云服务合同重点法律问题与责任初探(下)
上篇我们已就规范性文件和市场实践的层面分析了云服务商与云用户之间在数据处理环节的角色与责任分配。结合相关实例, 本篇中我们将从安全责任分配、合同解除、责任限制、数据限制等核心条款出发, 进一步探讨云服务协议中的主要风险及核心问题。
一
云服务协议的重点问题
1. 安全责任分配
云服务涉及云服务商与云用户对数据安全问题的共同责任, 因此, 在涉及双方共同承担责任的层级时, 建议企业在服务合同中具体约定双方对安全措施的预期分工和共同职责, 以最大程度避免在发生安全事件时因责任分配而产生争议, 或在争议发生后因责任不明致使产生无法追究对方责任的损失。
2. 合同解除
一般而言, 双方可协商一致提前终止服务协议, 以《阿里云云服务器服务协议》为例, 双方就服务器提前终止的情形, 先付费的服务、后付费的服务如何收费并分配权利义务进行了明确约定, 示例如下:
9.1.3. 您应在服务期限内将资源包的服务数量使用完毕, 如资源包的服务期限届满, 您已订购但未使用完毕的服务将被作废且阿里云将不提供其他替代或补充;
9.1.4. 您对于服务的使用将优先消耗订购的资源包, 除法定及双方另行约定外, 如资源包中的各项服务使用完毕或者服务期限到期, 且您未继续订购资源包服务但持续使用此项服务的, 阿里云将视为您使用阿里云以后付费形式售卖的该服务(如有), 阿里云将持续计费并根据计费结果予以扣划服务费用。
9.2. 除非另有其他约定或您未结清其他应付款项的, 您开通服务即可使用阿里云的服务; 您应确保您的账户余额充足, 以便持续使用服务至法律规定或本服务协议约定的终止情形出现时为止。
9.3. 发生下列情形之一的, 服务期限提前终止: 双方协商一致提前终止的; 您严重违反本协议(包括, 您严重违反相关法律法规规定, 或您严重违反本协议项下之任一承诺内容等), 阿里云有权提前终止服务直至清除您的全部数据; 如果“您严重违反本协议(包括您严重违反相关法律法规规定, 或您严重违反本协议项下之任一承诺内容等)[1]。
企业也可以根据业务需要, 在合同中约定解约条件, 如在发生严重安全事件(造成数据丢失等)的情况下有权解除合同并赔偿。
另一方面, 根据《民法典》第563条规定, 合同法定解除的情形包括: (1)因不可抗力致使不能实现合同目的; (2)在履行期限届满前, 当事人一方明确表示或者以自己的行为表明不履行主要债务; (3)当事人一方迟延履行主要债务, 经催告后在合理期限内仍未履行; (4)当事人一方迟延履行债务或者有其他违约行为致使不能实现合同目的等。以上事由也可作为云用户或云服务商解除服务协议的法定依据。
3. 责任限制
值得注意的是, 云服务商大多会在服务协议中采用责任限制条款, 以扩大自身免责范围。例如, 阿里云在服务协议中约定除不可抗力和意外事件外, “进行服务器配置、维护时, 需要短时间中断服务, 或由于Internet上的通路阻塞造成网站访问、应用或服务运行等的速度下降”, 不属于云服务商的违约情形; 腾讯云在协议中还将 “网络安全事故, 如计算机病毒、木马或其他恶意程序、黑客攻击的破坏”以及“提供的服务存在瑕疵, 但瑕疵是当时行业技术水平所无法避免的”等情形也排除在责任范围之外。与此类似, 国外的亚马逊云科技AWS也在云服务协议中特别约定了如对“任何未经授权访问、修改、删除、毁损、损害或丢失或未能存储您的任何内容或其他数据”不承担违约赔偿责任的责任排除条款。
同时, 云服务商对责任赔偿的金额通常也存在一定限制。如微软Azure在《微软在线订阅协议》中约定“对于免费提供的产品, 微软的责任仅限于直接损失, 最高为5,000.00美元”; 而对于间接性、惩戒性的损害, 包括企业使用服务而遭受的利润损失, 云服务商也拟定了相应责任豁免条款。因此, 企业在签订相关云服务协议时, 应特别注意协议的责任限制条款, 尤其是包括黑客攻击等未授权访问在内的特别豁免的责任范围和赔偿金额的限制。
4. 数据迁移
当云用户不再需要使用相关云服务, 或因法定或约定事由需解除服务协议时, 其仍涉及协议终止/解除后双方的潜在争议, 如数据迁移等事项。对于数据迁移所涉及的责任方及法律责任, 目前尚未出台相关的法律法规或规范性文件, 这导致企业在使用云服务时可能会产生“锁定风险”, 具体而言, 企业可能需要花费资源将数据全部导出, 并自行上传到新的系统; 或者数据可能以某一系统特有的格式存在, 而这种格式不能在其他系统中使用。
因此, 我们建议企业在合同中约定协议终止/解除时系统服务商/第三方的迁移协助义务, 例如要求服务商在协议解除时返还“结构化、通用和机器可读”的数据, 或直接将数据传输至第三方; 如果拒绝协助迁移或因云服务商或第三方的自身原因导致迁移数据丢失、泄露等问题发生的, 企业有权要求云服务商承担违约责任, 及时补救、赔偿, 并通知个人信息主体等。
二
案例
目前, 对于国内外涉及云服务商个人信息安全方面的行政处罚, 以及云服务商和云用户、个人信息主体之间的争议案例, 我们精选如下案例以供参考。企业在签订与云服务商的服务协议时, 应重视自身安全责任, 包括落实个人信息安全保护措施的义务, 适时进行数据本地备份; 与此同时, 重点关注云服务商是否在条款中规定了其相应的数据安全保护义务, 实际履行并采取适当安全措施, 且未履行时是否可依据相关条款追责而降低自身风险; 是否具体约定云服务商的数据迁移协助义务等。
1. 某电商公司因云数据泄露被处罚[2]
2021年3月26日, 山东网安部门在工作中发现, 某电商平台近19万条订单数据, 包括收件人、联系电话、收货地址、商品信息等疑似泄露。经查, 该电商平台没有物理机房, 共有5台某云服务器。公司购买的是某云负载均衡服务, 但未购买任何网络安全设备或云安全服务, 也未采取任何安全防护措施, 后台管理权限存在弱口令漏洞。
网安部门认为, 该公司未按照网络安全等级保护制度的要求履行安全保护义务, 依据《网络安全法》第21、59条, 对该公司作出单位罚款1万元、相关责任人罚款5000元的行政处罚, 并责令其限期整改。
启示:
本案行政主管部门实际处罚的是云用户, 因其未购买任何网络安全设备或云安全服务, 也未采取任何安全防护措施。IaaS模式下, 操作系统与网络安全的责任由云用户与云服务商共同承担: 在一般情形下, IaaS云服务商应当为云用户提供相关安全功能或产品, 而云用户应切实落实安全防护措施, 其可以通过购买云服务商提供的安全功能或产品的方式, 也可自行部署相应功能。未能落实的, 应当由云用户作为主体承担网络安全责任。
2. 数据备份义务、数据迁移协助义务的界限[3]
河南中京联盟电子商务有限公司、郑州市景安网络科技股份有限公司服务合同纠纷
中京公司所使用的服务器遭受第三方攻击致使系统瘫痪且导致存储数据丢失, 中京公司认为系景安公司未进行数据备份导致数据丢失且因此导致无法恢复, 主张解除合同并要求景安公司返还款项和赔偿损失的违约责任。
法院认为, 景安公司和中京公司的《解决方案服务合同》《运行维修服务合同》明确约定了中京公司应自行对服务器内的数据做好及时备份工作, 景安公司提供的产品清单只能证明相关产品的具有功能, 并未约定景安公司应对中京公司的数据进行实时备份。中京公司数据丢失的原因是第三方黑客攻击, 当事人在签订的合同中未约定此种情形下的数据备份和保护为景安公司的义务, 故中京公司提供的证据不能证明景安公司违反合同约定, 驳回中京公司的诉讼请求。
启示:
合同中未约定云服务商的备份义务的, 由云用户自己承担数据备份责任。
易初莲花诉南洋万邦销售合同纠纷
广州易初莲花连锁超市有限公司(甲方)以上海南洋万邦软件技术有限公司(乙方)在出售微软的Azure产品时承诺协助其进行数据迁移而实际未实现为由, 认为南洋万邦未完全履行合同、不能实现合同目的, 要求解除合同并返还支付款项。
但是法院认为, 由于双方并未在合同中明确约定乙方的数据迁移义务、其他材料也不能证明双方曾有约定, 法院不支持甲方的诉求。
启示:
合同中未约定云服务商的数据迁移义务的, 且其他材料也不能证明双方曾有相关约定的, 由云用户自己承担数据迁移责任。
3. 云服务商和云用户之间的争议索赔案例[4]
微盟[5]:
2020年2月23日晚, 微盟员工通过个人VPN登入公司内网跳板机, 对微盟线上生产环境进行恶意破坏。2020年2月25日, 微盟发布公告称, 公司线上生产环境及数据遭到员工恶意破坏, 导致公司系统服务不可用, 微盟业务因此停摆近8天, 且给300多万个云用户带来了不同程度的损失。2020年3月1日, 微盟再次发布公告称, 数据已全部找回, 将于3月2日进行系统上线演练, 并于3月3日上午9点恢复数据正式上线。同时, 针对受到影响的商家也提供了总计1.5亿元人民币的赔付计划, 包括现金赔付计划和流量赔付计划。
腾讯云[6]:
经调查发现, 该故障源于腾讯云运维人员在数据迁移过程中的不规范操作。为此, 腾讯云提出了总金额为136469元的解决方案, 分为赔偿部分和补偿部分。赔偿部分为前沿数控自2017年12月开户至今产生的实际消耗3569元, 腾讯云按照赔偿条款中的上限现金全额返还; 补偿部分为132900元现金或云资源的额外补偿。(根据《腾讯云服务协议》中违约服务补偿责任条款, 腾讯云公司的补偿责任总额不超过腾讯云公司就违约服务向用户收取的当次服务费用总额。)其后前沿数控向腾讯云发送了文件《前沿数控技术平台损失预估》, 包括前沿数控技术产品线发展及相关情况、丢失的数据、给前沿数控技术平台带来的影响、平台损失价值评估等, 要求腾讯云赔偿总计1101.6万元。最后双方私下达成和解, 和解金额未知。
启示:
以上案例的争议焦点包括员工恶意破坏云系统服务导致云用户损失, 运维人员违规操作导致数据无法完全恢复, 企业对此是否有本地备份义务等。可以发现, 根据行业惯例, 云服务商因自身原因导致用户数据损坏、丢失的, 云用户可要求取得相应赔偿。
4. 个人信息泄露案例[7]
来自加州的原告向被告Blackbaud云服务商公司发起集体诉讼, 诉由为其个人信息提供给Blackbaud的用户公司并由Blackbaud管理后, 从2020年2月7日至2020年5月20日, 因Blackbaud系统遭受勒索软件攻击, 发生了个人信息泄露事件。因此, 原告认为Blackbaud违反了包括California Medical Information Act(CMIA Act)在内的相关法律义务。
南卡联邦法院认为云服务商Blackbaud受CMIA Act约束, 需要为系统遭受勒索软件攻击时泄露个人信息负责。首先, CMIA Act适用于“通常不被视为医疗提供者的实体, 例如处理和维护医疗信息的技术公司”; 其次, Blackbaud需为被告能够证明她的个人信息是在勒索软件攻击时泄露的情况负责。
启示:
应关注未履行数据安全保护义务并采取适当安全措施的是企业还是云服务商, 如果确认系云服务商的责任, 则在发生安全事件时, 个人信息主体/云用户可要求其承担相应责任。
向下滑动查看注释
[1] 《阿里云云服务器服务协议》, https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201802111644_54047.html
[2] 公安部网安局, 《云安全, 谁不上心谁玩儿完》, https://mp.weixin.qq.com/s/ewpTDVxAK292uiSTbOBWDA
[3] https://law.wkinfo.com.cn/judgment-documents/detail/MjAyNzMwNzk2NTQ%3D
[4] https://mp.weixin.qq.com/s/GrQ1UetV6vuGdO9HQqPGaQ
[5] 《被删库后, 微盟赔付 1.5 亿, 放弃自建数据库, 全力上云》, https://www.infoq.cn/article/vhuklwy1qu4vhgz3ajyt
[6] 《赔1100万还是13万?腾讯云“丢数据”遭索赔, 云服务真的安全吗?》, https://mp.weixin.qq.com/s/u3X9KC3bAbnDvtduzbty3Q
[7] BLACKBAUD, INC., CUSTOMER DATA BREACH LITIGATION (2021), https://fingfx.thomsonreuters.com/gfx/legaldocs/egpbkknobvq/IN%20RE%20BLACKBAUD%20INC%20CUSTOMER%20DATA%20BREACH%20LITIGATION%20(1).pdf
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
点击长按识别左侧二维码查看合伙人介绍 |
左嘉玮 | |
吴若蘅 | |
往期分享
个人信息出境认证机制展望——以《个人信息跨境处理活动安全认证规范》为起点
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。