第二部分 起草合同

J. 赔偿责任

对合同自由的法定限制

虽然大多数法律制度一般都承认订约方有权通过合同条款分配风险和赔偿责任并限制或排除赔偿责任，但这种权利通常都附加各种限制和条件。例如，个人数据处理风险和赔偿责任分配方面的一个重要因素是，每一方对放入云中个人数据所承担的责任。在个人数据方面，某些法域的数据保护法律对数据控制人规定的赔偿责任比对数据处理人规定的赔偿责任更多。尽管有合同条款，但此类数据的实际处理方式一般将决定根据适用法律订约方受其管辖的法律制度。由于非法处理个人数据或任何不符合国内数据保护条例的行为而遭受损失的数据主体可能有权直接从数据控制人获得赔偿。

此外，在许多法域，完全排除对个人过失的赔偿责任是无法接受的，或者必须对此加以限制。也许不可能完全排除与人身伤害（包括患病和死亡）有关的赔偿责任，以及对于严重过失、故意伤害、缺陷、违反对于合同至关重要的核心义务或不遵守适用的监管要求的赔偿责任。某些类型的赔偿责任限制条款可能因被认为带有“滥用性”而无效，例如，在客户无法控制或无法实施安全措施的情况下提供商免除对安全事件的赔偿责任的条款。附和合同的条款通常不是谈判达成，而是由一方预先确定，因而可能会受到特别审查。此外，无限赔偿责任可能产生于法律规定的某些类别的缺陷（例如，有缺陷的硬件或软件）。

公共机构承担某些赔偿责任的能力可能受到法律限制，或者公共机构需要事先征求国家主管机构同意才能这样做。还可能禁止公共机构接受完全排除或限制提供商的赔偿责任，或者禁止公共机构接受排除或限制对于法律所定义的作为或不作为的赔偿责任。

另一方面，适用法律可能规定，如果本来会面临赔偿责任风险的订约方满足了某些标准，可以免除责任。例如，根据某些法域的“通知后下架”程序，如果提供商一得知在其云基础设施上有非法内容即将其删除，提供商托管这些非法内容的责任将予以免除。

在某些法域，为了得以执行，必须在合同中纳入载有订约双方商定的免责声明和责任限制的条款。适用法律可能对这些条款的有效性和可执行性规定形式上的要求或其他要求

起草赔偿责任条款方面的其他考虑

在就风险和赔偿责任分配进行谈判时，将考虑到云计算服务的任何收费数额以及提供这些服务所涉及的风险。尽管双方一般倾向于排除或限制对其无法控制或控制程度有限的因素（例如，终端用户行为、分包商作为或不作为）的赔偿责任，但控制程度并非总是一个决定性考虑因素。一方准备对不受其控制的要素承担风险和赔偿责任，可能是为了使其在市场上与众不同。但很有可能的是，该方所承担的风险和赔偿责任是与受其控制部分成比例逐渐增加的。

例如，在涉及使用标准办公软件的软件即服务(SaaS)模式下，提供商很可能对提供给客户的几乎所有资源负责，每次发生这些资源不到位或出现故障的情况，提供商可能都要承担赔偿责任。尽管如此，即使在这些情况下，客户可能仍然要对服务的某些部分负责，例如，对其控制下的数据加密或备份。如果不能确保适当备份，一旦数据丢失可能导致丧失对提供商的追索权。另一方面，在基础设施即服务(IaaS)和平台即服务(PaaS)模式下，提供商仅对所提供的基础设施和平台（如硬件资源、操作系统或中间设备）负责，而客户将对所有属于客户的部分承担责任，例如，使用所提供的基础设施或平台及其中所含数据运行的应用程序。

提供商的标准条款

提供商的标准条款可能排除合同下的任何赔偿责任，并采取赔偿责任条款不容谈判的立场。或者，提供商可能愿意接受对提供商的可控性违反事件（例如，违反客户准予提供商的知识产权许可）的赔偿责任，包括无限赔偿责任，但不愿意接受对由于超出提供商控制范围而可能发生的违反事件（例如，不可预见的事件或泄露机密数据）的赔偿责任。

提供商的标准条款一般都排除对间接损失或连带损失（例如，云计算服务不到位导致丧失商业机会）的赔偿责任。如果一般接受赔偿责任或接受对某些具体指明情形的赔偿责任，提供商的标准条款往往（按每起事件、每批事件或每段时期）限制将赔付的损失金。此外，提供商往往对合同规定的赔偿责任设定一个总上限，与之有关的可能是合同下预期得到的收入、提供商营业额或保险范围。

提供商的标准条款通常对客户不遵守可接受的使用政策(AUP)规定赔偿责任。

标准条款的可能变式

有些事件（例如，侵犯个人数据保护和侵犯知识产权）可能使其中一方对第三方承担潜在的高额赔偿责任，或导致监管罚款。当由于另一方的过失或疏忽而发生这些事件时，通常商定一种更严格的赔偿制度（无限赔偿责任或更高赔金）。

合同或法律可以限制或排除订约双方对其无法控制的第三方行动的赔偿责任（例如，客户对终端用户行动的赔偿责任，或提供商对客户或其终端用户行动的赔偿责任）。

赔偿责任保险

合同可以载明双方或其中一方的保险义务，特别有关的是对保险公司的质量要求以及所寻求的最低保险额。合同还可以要求双方通知保险范围的变更情况或相互提供当前保险合同副本。