云与法律(5)

准备合同

选择服务

如同云服务具有模块化及可扩充性的特性,对企业来说,加入云并不是孤注一掷的决定。就用户的业务而言,会特别考虑投入云是否为正确性的技术选择,是否能带来预期利益,仍有疑虑。企业可通过外包方式将部分的服务交由云处理,由此运用云的经验,发展出下一步的云策略。

筛选出适合的云服务商后,须进一步排除攸关敏感性的数据可能外世的服务。 过滤的首要任务,乃是决定企业应用程序及数据的敏感性,例如电子邮件。电子邮件的通信数据通常是企业敏感的数据,有些电子邮件中包含了一些商业机密。 然而,经过进一步的审视后,会发现只有小部分电子邮件的通信数据含有商业机密。准确评估资料是否因合同或法律因素需被归类为机密资料,已不再那么重要。现阶段的重点是:准确判断数据是否可交付给第三方,如果可以,那会是在何种情况下交付使用。即使第三方只负责云计算的数据存储与管理(也就是虚拟及实体服务器间数据的移动) ,并不会看到数据内容。

评估云服务商的法律考虑

确定要将哪些服务及数据迁移到云及可能的服务商后,接下来要处理的问题是:如何评估最合适的服务商。就法律观点来看,第一个选择标准是:确定哪一家服务商能满足客户的特定产业需要。云服务商可能须具备相关权限或是证照,或有实际执行业务的经验,例如,具备将所有数据存储在国内的能力。

此外,也不可忽略第二方权限的事实,某些情况,可允许第三方存取用户数据。必须理清服务商是否须直接或间接遵守数据公开的责任。 若是如此,是否允许将商业机密转移到云,或者是外国的权责单位可否要求审视数据。除非获得所有明确的事实,否则很难做完整的风险评估。

一个重要的决定因素就是:合同内容的遣词造句。一般云服务商通常会事先拟好一个标准合同,虽然此时可能需要签署保密协议,才可审视与比较合同中的各项条款,从而由法律层面找出最适合的服务商,并有协商的空间。大客户对于规模较小的服务商,就比小客户对大规模的服务商更具谈判筹码,虽然后者的合同要求可能更合理。

诸多因素关系到服务商的筛选,技术层面的选择又比法律层面更加重要。例如,云服务商 IT 基础设施与客户的兼容性,以及这部分对迁移云服务费用的影响。然而,这些因素也应有法律上的考虑。 例如,可确保最低程度的可用性及数据安全,及使用私有或标准化 E 基础设施而造成的服务商变更的难易度。

读书导航