咨讯 八个关键要点 | 内部法律顾问在协商SaaS, PaaS 和 IaaS 中数据相关问题时
美国凯拓国际律师事务所的律师 Sonia Baldia 和 Jeff Connell 最近在弗吉尼亚州维也纳举行的“国家首都地区公司法律顾问协会秋季会议:内部法律顾问的高级主题”上发表了演讲。随着企业不断加速采用云服务的采用和数字化转型,内部法律顾问必须保护好公司最有价值的资产之一:数据。数据是一个日益复杂的主题,它贯穿于潜在交易的各个条款中,无论是软件即服务( SaaS)、基础设施即服务(IaaS)还是平台即服务(PaaS),掌握合同控制在很大程度上取决于现有的应用技术。本次会议提供了关于如何有效应对数据固有风险的实用指南,并提供了谈判协议的策略,以更好地处理和保护有价值的数据。
演讲的关键要点包括:
随着企业使用云服务,数据漏洞仍然是最大的障碍。在云服务合同中,内部法律顾问最关心的问题是降低公司数据迁移到云端的风险,这些数据通常是公司最有价值或最核心的资产之一。当数据出现在软件即服务(SaaS)、平台即服务(PaaS) 或基础设施即服务(IaaS) 中时,许多关键问题就会出现。云服务中的数据安全吗?哪些人可以访问和使用数据?数据将被储存在哪里?数据会被转移到境外或者可以从境外访问数据吗?云服务是否符合适用的法规要求?供应商是否会采取必要的操作和技术上的措施来保护数据?哪一方需对数据泄露负责?供应商是否购买了充足的网络责任保险以承担责任风险?与传统的本地计算(客户对数据有更大的控制权)不同,云服务通常需要客户将对数据的控制权交给云供应商。这很大程度上放大了客户对数据访问、安全问题和责任问题的担忧,以及供应商对竞争的担忧,包括:潜在的过度限制客户、侵入式审计和过度承担数据泄露责任。客户和云供应商都必须应对数据固有的风险,并就云服务合同进行谈判,尝试平衡各方与数据相关的风险和责任。
确定数据“风险状况”以调整合同控制。并非所有的数据都是相同的,在协商云服务合同中与数据相关的条款时,没有任何标准适用于所有情况。涉及的数据类型和现有的云服务类型通常决定了云服务合同中供应商尽职服务和数据保护的范围。为了确定数据的风险状况,客户需要预先知道哪些数据正在流向云端,这些数据在云端发生了什么,哪些数据正在流回到客户端,以及哪些数据可能正在流向第三方。然后才可以根据数据风险状况调整合同控制。例如,如果将对个人数据(如个人身份信息或受保护的健康信息)或消费者数据在云服务中进行处理,则风险等级很高。在这种情况下,双方通常会协商一个稳健的数据处理协议(DPA),以根据适用法律规范此类数据的访问、使用、披露、存储、传输和返回。内部法律顾问应注意服务供应商的数据处理协议,他们试图将数据处理协议责任从总合同中分离出来,或从该协议的范围中删除某些数据。
与内部利益相关者一起评估供应商风险状况。每个云服务供应商都存在与客户数据相关的不同风险状况,因此供应商受制于不同安全性能标准,这些标准与数据的关键程度、服务类别和合规性需求相对应。在基础设施即服务(IaaS)和平台即服务(PaaS)中,客户负责管理和保护云存储栈的应用程序和数据层,而在软件即服务(SaaS)中,供应商负责保护云存储栈的所有数据层。因此,每一方的安全责任将因云服务而异。服务供应商文档经常试图将数据风险和责任转移给客户。内部法律顾问必须在早期供应商选择的过程中与内部利益相关者以及主题专家接触,以评估供应商风险状况并相应地制定云服务解决方案和合同保护措施,以保护客户数据并适当分配责任。
拥有数据可以更好地控制数据。一般来说,“拥有”数据的一方有能力控制哪些用户可以访问或使用数据,并规定其隐私政策。数据的所有权通常是没有争议的,供应商愿意接受客户拥有所有上传到云服务的“客户数据”或“输入数据”。然而,对于云服务的“输出数据”有关的所有权仍然存在异议,这取决于云服务合同中对“客户数据”的定义。从客户的角度来看,狭义上的客户数据可能使其无法存储客户使用云服务时产生的“输入数据”以外的其他数据,这些数据可能包含客户想要控制的客户特定信息或敏感信息。然而,云服务供应商可能会发现,同意拓宽对客户数据的定义在操作上具有挑战性,因为它可能阻止供应商使用某些数据或见解来改进解决方案,或阻止其提供针对单个客户数据的其他严格数据科学限制(或者供应商可能在最初的谈判中声称这种操作不切实际)。
审查汇总数据规定。随着云市场的成熟和供应商寻求竞争优势,供应商越来越坚持不受限制地收集和使用广义上的“汇总数据”,不仅是为了内部业务目的,而且也是为了与第三方一起将这些数据变现。虽然如此广泛的使用权可能伴随着诱人的价格和产品提升,但必须密切审查允许的使用范围和汇总数据,特别是在涉及敏感、受监管或客户特定的数据时,这些数据可能无法以继续维护客户机密或遵守适用法律的方式有效汇总和匿名化。例如,此类使用可能会削弱客户为遵守数据保护法而依赖的供应商的“处理者”或“服务供应商”的角色。此外,客户应就供应商使用汇总数据的问题协商一份适当的客户责任免责声明和赔偿条款。
哪方的数据安全和隐私政策占主导—客户的还是供应商的?答案通常是有点微妙的,而不是客户简单地坚持用自己的安全策略来管理云服务。一般来说,软件即服务(SaaS)、平台即服务(PaaS)或基础设施即服务(IaaS)的供应商无法在共享资源模式的情况下为每个客户定制其安全解决方案和隐私配置方案,定制解决方案可能会大量地增加客户的成本。内部法律顾问应与他们的信息安全团队合作,将客户的安全需求和供应商的安全政策(包括配置和事故响应计划)进行差异分析,并通过额外的保护措施来处理云服务合同中的重大差异。如数据分隔、本地化、加密、屏蔽、渗透测试、背景调查、和年度SOC审计报告。
要求云服务供应商对其云服务代理商负责。许多云服务供应商依赖其他云服务代理商来支持他们的云产品。例如,软件即服务(SaaS)供应商可能会通过云平台或基础设施供应商托管其解决方案。云服务供应商经常拒绝客户对其云服务代理商的事先批准权,并寻求免除对此类第三方的责任。如果云服务供应商或第三方违反云服务合同的任何条款,或因客户与供应商的第三方之间缺乏合同的相对性而以其他方式不当使用其控制的客户数据,则此类免责声明可能会严重损害客户对云服务供应商或其第三方执行其权利和补救措施的能力。客户不仅应明确要求云服务供应商对其云服务代理商的行为和疏忽负责,还应考虑其他合同条款(如保险、审计和终止权)是否应由此类第三方承担。
在云服务合同中,关于数据泄露责任的谈判仍然非常激烈。在与数据相关的赔偿和责任条款的谈判中,每个云服务供应商都有不同的门槛,每位客户也有不同的影响力。客户希望云服务供应商为其未能遵守合同安全义务而导致的数据泄露承担责任,而供应商试图将责任转移给客户,或者至少大幅减少他们可能要承担责任的状况。例如,供应商可以通过谈判确定最高限额来限制需要承担的责任。内部律师应特别注意在云服务合同中排除间接性损害赔偿,因为某些美国法院认定数据泄露损失为间接性损失。因此,客户可以考虑在合同中将预期的数据泄露损害赔偿(如信用监控、调查和补救)定义为直接损害赔偿,以避免其根据合同追讨此类损害赔偿能力存在不确定性。谈判成功的云服务合同并根据交易价值和交易风险在各方之间适当分配数据泄露责任的关键是要了解数据的性质和范围、所涉及的云服务及其与云服务合同中数据相关条款的相互作用。为了了解风险,内部法律顾问应该考虑,除其他因素外,违约行为是否会暴露客户的“皇冠之珠”(顶级)商业秘密,削弱用户信任,或引发消费者集体诉讼。
两位作者想要感谢他们的同事John Brigagliano对这篇文章的评论。
更多信息,请咨询:
Sonia Baldia: sbaldia@ktslaw.com
Jeff Connell: jconnell@ktslaw.com
www.kilpatricktownsend.com