关于云计算合同所涉主要问题的说明 (联合国国际贸易法委员会秘书处编拟,2019年):赔偿责任

第二部分 起草合同

J. 赔偿责任

对合同自由的法定限制

虽然大多数法律制度一般都承认订约方有权通过合同条款分配风险和赔偿责任并限制或排除赔偿责任,但这种权利通常都附加各种限制和条件。例如,个人数据处理风险和赔偿责任分配方面的一个重要因素是,每一方对放入云中个人数据所承担的责任。在个人数据方面,某些法域的数据保护法律对数据控制人规定的赔偿责任比对数据处理人规定的赔偿责任更多。尽管有合同条款,但此类数据的实际处理方式一般将决定根据适用法律订约方受其管辖的法律制度。由于非法处理个人数据或任何不符合国内数据保护条例的行为而遭受损失的数据主体可能有权直接从数据控制人获得赔偿。

此外,在许多法域,完全排除对个人过失的赔偿责任是无法接受的,或者必须对此加以限制。也许不可能完全排除与人身伤害(包括患病和死亡)有关的赔偿责任,以及对于严重过失、故意伤害、缺陷、违反对于合同至关重要的核心义务或不遵守适用的监管要求的赔偿责任。某些类型的赔偿责任限制条款可能因被认为带有“滥用性”而无效,例如,在客户无法控制或无法实施安全措施的情况下提供商免除对安全事件的赔偿责任的条款。附和合同的条款通常不是谈判达成,而是由一方预先确定,因而可能会受到特别审查。此外,无限赔偿责任可能产生于法律规定的某些类别的缺陷(例如,有缺陷的硬件或软件)。

公共机构承担某些赔偿责任的能力可能受到法律限制,或者公共机构需要事先征求国家主管机构同意才能这样做。还可能禁止公共机构接受完全排除或限制提供商的赔偿责任,或者禁止公共机构接受排除或限制对于法律所定义的作为或不作为的赔偿责任。

另一方面,适用法律可能规定,如果本来会面临赔偿责任风险的订约方满足了某些标准,可以免除责任。例如,根据某些法域的“通知后下架”程序,如果提供商一得知在其云基础设施上有非法内容即将其删除,提供商托管这些非法内容的责任将予以免除。

在某些法域,为了得以执行,必须在合同中纳入载有订约双方商定的免责声明和责任限制的条款。适用法律可能对这些条款的有效性和可执行性规定形式上的要求或其他要求

起草赔偿责任条款方面的其他考虑

在就风险和赔偿责任分配进行谈判时,将考虑到云计算服务的任何收费数额以及提供这些服务所涉及的风险。尽管双方一般倾向于排除或限制对其无法控制或控制程度有限的因素(例如,终端用户行为、分包商作为或不作为)的赔偿责任,但控制程度并非总是一个决定性考虑因素。一方准备对不受其控制的要素承担风险和赔偿责任,可能是为了使其在市场上与众不同。但很有可能的是,该方所承担的风险和赔偿责任是与受其控制部分成比例逐渐增加的。

例如,在涉及使用标准办公软件的软件即服务(SaaS)模式下,提供商很可能对提供给客户的几乎所有资源负责,每次发生这些资源不到位或出现故障的情况,提供商可能都要承担赔偿责任。尽管如此,即使在这些情况下,客户可能仍然要对服务的某些部分负责,例如,对其控制下的数据加密或备份。如果不能确保适当备份,一旦数据丢失可能导致丧失对提供商的追索权。另一方面,在基础设施即服务(IaaS)平台即服务(PaaS)模式下,提供商仅对所提供的基础设施和平台(如硬件资源、操作系统或中间设备)负责,而客户将对所有属于客户的部分承担责任,例如,使用所提供的基础设施或平台及其中所含数据运行的应用程序。

提供商的标准条款

提供商的标准条款可能排除合同下的任何赔偿责任,并采取赔偿责任条款不容谈判的立场。或者,提供商可能愿意接受对提供商的可控性违反事件(例如,违反客户准予提供商的知识产权许可)的赔偿责任,包括无限赔偿责任,但不愿意接受对由于超出提供商控制范围而可能发生的违反事件(例如,不可预见的事件或泄露机密数据)的赔偿责任。

提供商的标准条款一般都排除对间接损失或连带损失(例如,云计算服务不到位导致丧失商业机会)的赔偿责任。如果一般接受赔偿责任或接受对某些具体指明情形的赔偿责任,提供商的标准条款往往(按每起事件、每批事件或每段时期)限制将赔付的损失金。此外,提供商往往对合同规定的赔偿责任设定一个总上限,与之有关的可能是合同下预期得到的收入、提供商营业额或保险范围。

提供商的标准条款通常对客户不遵守可接受的使用政策(AUP)规定赔偿责任。

标准条款的可能变式

有些事件(例如,侵犯个人数据保护和侵犯知识产权)可能使其中一方对第三方承担潜在的高额赔偿责任,或导致监管罚款。当由于另一方的过失或疏忽而发生这些事件时,通常商定一种更严格的赔偿制度(无限赔偿责任或更高赔金)。

合同或法律可以限制或排除订约双方对其无法控制的第三方行动的赔偿责任(例如,客户对终端用户行动的赔偿责任,或提供商对客户或其终端用户行动的赔偿责任)。

赔偿责任保险

合同可以载明双方或其中一方的保险义务,特别有关的是对保险公司的质量要求以及所寻求的最低保险额。合同还可以要求双方通知保险范围的变更情况或相互提供当前保险合同副本。

相关术语表

个人数据:可用以识别自然人身份的与其相关的敏感数据和非敏感数据。在一些法域,个人数据定义可包含与身份已识别的个人或身份可识别的个人(见数据主体)直接或间接关联或相关的任何数据或信息。

个人数据处理:个人数据的收集、记录、整理、存储、改编或翻改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、挂钩或组合、封锁、清除或销毁。

数据控制人:确定个人数据处理目的和手段的人。

数据处理人:代表数据控制人处理数据的人。

数据主体:可通过数据直接或间接识别的自然人,包括参照诸如姓名、识别号码、所在地等标识以及与该人的身体、基因、心理、经济、文化或社会特质有关的任何因素进行识别。在一些法域,数据主体在数据保护或数据隐私条例下对能够识别他们的数据享有某些权利。这些条例可导致在服务级别协议(SLA) 中列入数据保护方面的绩效参数,例如,根据合同提供的服务至少每年由独立审计师根据合同中确定的数据保护/隐私标准进行核证。(另见数据主体的权利个人数据)。

安全事件:表明系统或数据已经受损的事件,或表明为保护系统或数据而建立的措施已经失灵的事件。安全事件的例子包括未经授权的来源试图进入系统或访问数据、计划外中断服务、服务被拒、擅自处理或存储数据,以及擅自更改系统的基础设施。

基础设施即服务(IaaS):客户用以获得并使用处理资源、存储资源或连网资源的各类云计算服务。客户并不管理或控制基础物理资源或虚拟资源,而是对使用物理资源或虚拟资源的操作系统、存储器或所部署的应用程序进行控制。客户也可享有控制某些连网部件(如主防火墙)的有限能力。

平台即服务(PaaS):客户使用提供商支持的一种或数种现有编程语言和执行环境,用以在云中部署、管理和运行由客户创建或由客户获取的应用程序的各类云计算服务

软件即服务(SaaS):客户用以使用提供商的云中应用程序的各类云计算服务

可接受的使用政策(AUP):提供商与客户之间云计算合同中界定客户及其终端用户对合同所涵盖云计算服务的使用限度的部分。

•    首页
•    订约前方面
•    订约方面
•    术语表