第一部分 订约前的主要方面

B. 订约前风险评估

适用的强制性法律可能要求将风险评估作为订立云计算合同的一项先决条件。即使没有法定要求，订约双方亦可决定进行风险评估，这可能有助于他们确定减少风险战略，包括谈判适当的合同条款。

并非所有产生于云计算合同的风险都是云业务特有的。有些风险将在云计算合同以外加以处理（例如，网络连接中断所引发的风险），而且并非所有风险都能够以可接受的费用减轻（例如，名誉损失）。此外，风险评估不是订约前的一次性活动。风险评估可能会在整个合同期间持续进行，风险评估结果出来后可能要求修正或终止合同。

核实关于特定云计算服务和所选订约方的信息

当订约方考虑采用某项云计算服务和选择订约方时，以下信息可能与订约方相关：

(a)      使用特定云计算服务所需要的知识产权许可证；

(b)      所确立的隐私、保密和安全政策，特别是关于防止在使用云计算基础设施进行处理、中转或转移期间擅自获取、使用、翻改或销毁数据的政策；

(c)      所建立的确保持续获取元数据、审计记录以及显示安全措施的其他记录的措施；

(d)      发生泄密或系统故障时的现有灾难恢复计划和通知义务；

(e)      所确立的关于云迁移和服务终了援助以及互操作性和可移植性的政策；

(f)       对雇员、分包商和参与提供云计算服务的第三方进行背景审查和培训的现有措施；

(g)      安全事件统计数字，以及关于灾难恢复程序以往运行情况的资料；

(h)      独立第三方进行技术标准合规情况核证；

(i)       表明独立机构审计经常性和范围的信息；

(j)       财务可行性；

(k)      保险合同；

(l)       可能的利益冲突；

(m)     分包和分层云计算服务的范围；

(n)      数据及其他内容在云计算基础设施中的隔离程度；以及

(o)      订约双方对采取安全措施的预期分工和共同职责。

知识产权侵权风险

可能发生知识产权侵权风险，例如，提供商不是向其客户提供的资源的所有人或开发人，而是根据与第三方的知识产权许可安排使用这些资源。如果为执行合同而要求客户准予提供商一项使用客户打算放入云中内容的许可，也有可能出现知识产权侵权风险。在有些法域，即使为备份目的而在云上存储内容可能也会定性为复制，要求事先取得知识产权所有人的授权。

为了双方的利益，应在订立合同之前确保云计算服务的使用不会构成侵犯知识产权并成为撤销授予其中任何一方的知识产权许可的理由。知识产权侵权的代价可能极高。可能需要就次级许可做出安排，或者可能需要与有关的第三方许可人订立直接许可安排，以根据这种安排准予对许可的管理权。开源软件或其他内容的使用可能必须事先取得第三方的同意，并披露源代码和对开源软件或其他内容做出的任何修改。

数据安全、完整性、保密和隐私方面的风险

数据全部或部分迁移到云中会导致客户失去对该数据的专属控制，无法部署必要措施来保证数据的完整性和机密性，也无法验证数据处理和留存是否得到充分处置。失控程度将取决于云计算服务的类型。

诸如广泛网络接入、多租户安排和资源集合等云计算服务的固有特性可能要求各方采取更多防范措施，以防止拦截通信和其他网络攻击，这可能导致云计算服务访问证书丧失或受损、数据丢失以及其他安全漏洞。在云计算等共享环境中，充分隔绝资源和隔离数据以及强大的安全程序尤为重要。

无论采用何种云计算服务，安全措施都将是云计算环境中双方的共同责任。订约前风险评估为双方提供了良好机会，可籍此消除在界定双方与数据安全、完整性、保密和隐私相关的作用和职责方面的任何模糊之处。合同条款将发挥的重要作用是，反映双方就提供云计算服务的这些方面及其他方面彼此分担风险和责任达成的协议。这些条款不能凌驾于强制性法律条款之上。 (详细信息)

渗透测试、审计和实地考察

可在订约前阶段采取步骤，对资源隔绝和数据隔离、身份识别程序以及其他安全措施是否充分进行核证。这些步骤应当着眼于查明各方可能还需采取哪些可能的补充措施，以防向客户提供云计算服务出现数据安全漏洞及其他故障。

法律和条例可能要求对参与提供云计算服务的数据中心进行审计、渗透测试和实地检查，目的主要是确定其所在地符合法定的数据本地化存储要求。双方需商定开展这些活动的条件，其中包括时间安排、费用分担以及对这些活动可能造成的任何损失的补偿。

锁定风险

锁定风险通常由于缺乏互操作性和可移植性而产生，避免或减少这种风险是双方的最重要考虑之一。长期合同以及自动延期的中短期合同可能导致锁定风险升高。

软件即服务(SaaS)和平台即服务(PaaS)中的应用程序和数据锁定风险尤其高。数据可能以某一云系统特有的格式存在，而这种格式不能在其他系统中使用。此外，组织数据所使用的专有应用程序或系统可能要求调整许可条款才能在另一不同网络中操作。与应用程序编程接口(API)交互的程序可能需要重写，以考虑到新系统
的API。还可能由于需要重新培训终端用户而产生很高的转换成本。

平台即服务(PaaS)中还可能存在运行时锁定，因为运行时（即为支持执行用特定编程语言编写的计算机程序而设计的软件）通常是高定制的（如记忆分配或释放、调试等方面）。基础设施即服务(IaaS)中的锁定因所使用的特定基础设施服务而不同。同平台即服务一样，一些基础设施服务如果依赖于某一政策特征（如访问控制）有可能
导致应用程序锁定。如果有更多数据移入云中存储，一些基础设施服务也可能导致数据锁定。

在订约前阶段，可以为验证数据及其他内容是否能够被导入另一系统并可在该系统上使用而进行测试。云平台与内部平台之间可能需要同步，还可能需要异地复制数据。与不止一方进行交易并选择组合各类型的云计算服务及其部署模式（即多来源），即使可能会造成费用及其他影响，可能不失为防范锁定风险的缓减战略的一个重要部分。合同条款也可有助于减轻锁定风险。 (详细信息)

业务连续性风险

双方可能担心业务连续性风险，不仅预期合同按预定时间终止，而且预期合同可能单方面暂停或提前终止，包括其中一方可能不再经营。法律可能要求提前确立一种确保业务连续性的适当战略，主要是为了避免终止或暂停云计算服务给终端用户造成不利影响。合同条款也可有助于减轻业务连续性风险。 (详细信息)

撤出战略

为确保撤出战略成功，双方可能需要从一开始就明确以下几点：(a)必须撤出的内容（例如，只撤出客户输入云中的数据，还是也撤出云服务衍生数据）；(b)为能够在另一系统使用该内容而要求对知识产权许可作出的任何修改；(c)对解密钥匙及其使用权的控制；(d)完成撤出所需时间。服务终了合同条款通常反映双方就这些问题达成的协议。 (详细信息)