國外文件和檔案機構云服務合同研究

程妍妍/國防大學政治學院

李圓圓/解放軍檔案館

當前發(fā)達國家均將云計算技術定位為維持國家核心競爭力和提升創(chuàng)新能力的重要技術，在這樣的背景下云服務也開始被應用于檔案行業(yè)。據(jù)一項國際調查[1]顯示，全球300多家文件和檔案機構中，超過一半的機構已經(jīng)開始或計劃采用云服務管理文件和檔案。檔案機構在逐步應用云服務的同時也清醒地意識到，前期簽訂條款完善的合同是明確云服務責任、防范云服務風險的重要措施之一。但從目前云服務商提供的合同樣本來看，存在與文件檔案管理相關的核心條款缺失或不明確等問題。如2017年美國國家檔案館發(fā)布的《云計算采取和管理報告》[2]中就特別指出，美國國家檔案館在制定云計算合同方面缺乏可依據(jù)的標準，這已嚴重影響了機構對云服務的有效控制。本文以國外相關標準、指南等文獻作為樣本，對其中云服務合同的核心條款進行分析，為我國檔案機構簽訂云服務合同、規(guī)范使用云服務提供參考。

1 國外文件和檔案機構云服務合同的政策框架

對于云服務合同問題，各國檔案機構都出臺或印發(fā)了標準、法規(guī)、指南等規(guī)范性文件，對云服務合同的規(guī)范化要求和核心條款等進行了闡述，其中具有代表性的主要有：美國國家檔案館發(fā)布的《云計算環(huán)境中文件管理指南》（2010）[3]，描述了云合同制定的最基本要求，即滿足美國聯(lián)邦文件管理相關的法律和法規(guī)要求，但該指南對具體的合同條款沒有進行詳細說明；肯塔基州發(fā)布的《肯塔基州政府云計算文件管理的背景和指南》（2012）[4]，對《云計算環(huán)境中文件管理指南》（2010）中的合同要求進行了再次強調；北卡羅萊納文化資源部檔案和文件部發(fā)布的《云計算文件管理的最佳實踐》（2012）[5]，對簽訂服務等級協(xié)議（SLA）的重要性進行了說明。英國國家檔案館發(fā)布的《云存儲和數(shù)字長久保存指南》（2014）[6]，提出了云服務合同的核心條款，包括服務可用性、性能、功能、外包、數(shù)據(jù)保護、安全性、監(jiān)督和審計、數(shù)據(jù)和元數(shù)據(jù)所有權、退出戰(zhàn)略、服務商狀態(tài)變更、合同更新、成本、云計算法律問題等。澳大利亞文件和檔案委員會發(fā)布的《云計算文件保管的風險管理建議》（2010）[7]，從風險管理的角度提出了合同的主要條款，例如應在合同中明確數(shù)據(jù)的所有權必須歸檔案機構所有、文件和元數(shù)據(jù)必須能夠以合同約定的格式返回給檔案機構、云中文件必須經(jīng)過形成機構批準移交至第三方保管等；澳大利亞國家檔案館發(fā)布的《文件管理和云》（2011）[8]指南，提出澳大利亞政府在云中進行文件和檔案管理的總體需求，即確保云中文件的真實完整和可信任的需求、確保云中文件可檢索和可讀取的需求、確保云中文件和其背景信息相關聯(lián)的需求等，并且該指南也指出這些需求都應以條款的形式體現(xiàn)在合同中。國際合作項目InterPARESTrust項目發(fā)布了項目報告（2016）[9]，總結了15條和云服務商簽訂的合同條款，包括文件銷毀、銷毀方法、合同終止銷毀、服務持續(xù)性、斷電、風險管理計劃、一般安全條款、物理安全條款、技術安全等內(nèi)容。這些規(guī)范性文件從文件檔案管理的視角出發(fā)，將文件檔案管理需求融入云服務合同條款中，從而保障云服務能更好地為檔案機構服務，確保其核心職能的實現(xiàn)。

2 國外文件和檔案機構云服務合同的核心條款

對上述規(guī)范性文件進行系統(tǒng)分析，可以發(fā)現(xiàn)其在云服務合同要求上存在一些具有共性的條款。對于我國文件和檔案機構采用云服務來說，較為重要的和具備可參照性的有12項條款，涵蓋云服務中數(shù)據(jù)和元數(shù)據(jù)所有權問題、性能、功能、云服務外包等。下面將對每一項條款所體現(xiàn)的文件檔案管理需求和規(guī)范化的說明進行分析。

2.1 數(shù)據(jù)和元數(shù)據(jù)所有權

該條款說明云服務中文件和檔案數(shù)據(jù)和在處理過程中產(chǎn)生數(shù)據(jù)的所有權問題。由于云中數(shù)據(jù)將存儲在云服務商的基礎設施上，因此對檔案機構來說，在合同或協(xié)議中明確申明對數(shù)據(jù)的所有權是非常重要的。出于憑證性和業(yè)務目的，對云中形成和處理的任何業(yè)務數(shù)據(jù)，檔案機構都應當申明對這些數(shù)據(jù)的所有權，國內(nèi)外標準中對這一條都進行了強調。此外，檔案機構需要明確云服務商會存儲何種數(shù)據(jù)，并且在云服務中會形成何種額外的元數(shù)據(jù)和數(shù)據(jù)。

2.2 云服務性能

該條款以可度量的方式說明云服務的目標運行時間、響應時間、服務速度等性能參數(shù)，以便防范文件無法利用的風險。一項國際調研[10]指出，47%的機構表示，如果業(yè)務文件無法提供利用超過一天，就會影響到機構的業(yè)務工作。因此，合同協(xié)議中應當明確能夠滿足檔案機構需求的服務的最長正常運行時間；并且在云服務不達標的情況下，應明確對檔案機構的補償。InterPARESTrust項目報告中指出：“合同協(xié)議中云服務商應當明確向用戶保證，文件應當在絕大多數(shù)時間內(nèi)可用，如99.99%的時間內(nèi)都可以提供利用?！盵11]

2.3 云服務功能

該條款說明為滿足檔案機構特定需求，云服務應設置怎樣的架構和提供怎樣的功能。檔案機構應明確對于自身運行來說，云服務提供了何種專門功能和服務；說明當服務發(fā)生變更時，云服務商應提前通知檔案機構，檔案機構可以對主要架構、服務和功能提出預先的修改意見，防止功能的變更影響檔案機構的業(yè)務運行。

2.4 云服務外包

該條款說明云服務是否存在外包以及外包的責任情況。對于云服務商來說，將其服務外包給第三方是通行的做法，例如從其他云服務商處獲取處理和存儲功能，合同應當明確云服務商已經(jīng)外包的云部分功能和外包方。檔案機構必須明確外包服務商存儲數(shù)據(jù)地點、審計等滿足自身需求；明確當外包出現(xiàn)問題影響檔案機構時，云服務商應負直接責任。

2.5 云服務安全

云服務安全分為一般性的安全條款、物理安全條款、技術安全條款和安全分級條款。（1）一般安全條款：該條款說明云服務商為云中文件和檔案提供的安全保護級別。合同中必須明確云服務商能夠達到國際或國家檔案信息系統(tǒng)安全標準的要求，并且當發(fā)生安全違例事件時，定義清楚云服務商的責任，包括通知檔案機構數(shù)據(jù)被非法利用，通知的時間期限和安全違規(guī)細節(jié)披露、賠償條款等。（2）物理安全條款：該條款說明云服務器所在的物理地址和其采取的物理安全措施?？紤]到文件和檔案放在云服務器上，如果云服務器放置在其他國家，這就等同于文件和檔案數(shù)據(jù)存儲在境外，這就可能會產(chǎn)生相應的法律和法規(guī)問題，因此定義和記錄云服務器所在的物理地址是非常重要的，并且檔案機構也需要明確控制云服務器訪問的具體物理安全措施。理想的情況是，檔案機構可以實地考察云服務器所在的物理地址，明確云服務商的基礎設施和物理安全配置情況，獲得書面形式的報告，然后再組織專家進行審查和適用性評估。合同中應當明確在合同存續(xù)期內(nèi)，如果云服務器所在的物理地址需要發(fā)生變更，云服務商應預先通知檔案機構，并在經(jīng)過檔案機構批準的條件下才能夠進行變更，而一旦云服務器或者物理安全配置變更后無法達到合同中所指定的安全標準要求，合同中必須賦予檔案機構的云合同終止權。（3）技術安全條款：該條款說明云中文件存儲采用的技術安全措施，例如防火墻、防病毒軟件等。技術風險例如黑客通過向公共IaaS傳輸惡意軟件攻擊云服務，也有可能云服務接口軟件存在漏洞，檔案機構不可能親自監(jiān)督云服務商的技術安全，但是在合同條款中說明技術安全措施可以強制云服務商必須采用一定的安全手段來防止云中文件的非法訪問和篡改；（4）安全分級條款：該條款說明云服務為不同密級文件適用的不同等級的安全措施。一旦檔案機構決定將涉密文件存儲在云中，合同條款中應當說明為保護這些特殊的涉密文件而額外采取的高等級安全措施。

2.6 數(shù)據(jù)處置

該條款說明檔案機構利用、編輯和刪除云服務中數(shù)據(jù)的權限。檔案機構可能存在特殊需求，例如在特定場合時間需要快速及時獲取數(shù)據(jù)，或是根據(jù)檔案機構保管期限表對云服務中的檔案數(shù)據(jù)進行處置，這些都必須在合同中明確指出。

2.7 數(shù)據(jù)移動性

該條款說明當檔案機構出于某種原因，需要將數(shù)據(jù)移交到不同的云服務商時，云服務商可以提供的移交數(shù)據(jù)格式和時間期限。

2.8 云文件銷毀和檔案數(shù)據(jù)返還

該條款說明云中文件銷毀的流程和檔案數(shù)據(jù)返還檔案機構的方式。（1）一般銷毀條款：文件和檔案領域要求的銷毀和云服務理解的銷毀有差別，后者將文件銷毀視為文件刪除，而前者視銷毀為文件保管和處置的一項流程。因此，該條款應說明當檔案保管期限內(nèi)結束后，文件能夠被銷毀，并且云服務商不能有任何備份殘留。（2）銷毀方法：明確文件及備份具體的銷毀方法，例如消磁去磁、物理銷毀和重新格式化等，并且云服務商應提供銷毀記錄和證明。（3）合同終止銷毀或返還：說明當云服務合同終止時，用戶所有的文件能夠被銷毀或返還檔案機構。合同中應明確指出“服務商鎖定”（即只能使用特定服務商的云）的行為是無效的。檔案機構在合同終止時有權更換云服務商，并能以可用的格式拿回云服務數(shù)據(jù)，在合同終止之后仍然能確保數(shù)據(jù)的一致性和互操作性，因此合同中應說明云數(shù)據(jù)返還機構的方法、返還云數(shù)據(jù)的時間期限和返還的數(shù)據(jù)格式。

2.9 災難恢復計劃

該條款說明當云服務發(fā)生問題時，云服務商應提供災難恢復計劃。合同應詳細描述云服務商采取何種計劃進行數(shù)據(jù)恢復，并且數(shù)據(jù)能夠恢復到何種程度。如果由于云服務商的問題導致數(shù)據(jù)無法完整恢復而造成檔案數(shù)據(jù)丟失或損壞，合同應說明云服務商的責任、通知檔案機構的方法、采取的糾正措施、時間期限和持續(xù)服務的條件、如何彌補損失等內(nèi)容。

2.10 隱私保護

該條款說明云中存儲的文件和檔案涉及的隱私保護問題。某些文件和檔案內(nèi)容中可能會含有個人隱私，因此，合同條款中需要明確云服務能夠保護這類含有個人隱私信息的檔案不會泄露和被非法利用。例如福特漢姆大學（Fordham University）法律學院的一項最新研究發(fā)現(xiàn)采用云服務存儲學生檔案數(shù)據(jù)，云合同中缺乏保護學生個人隱私的專門條款，因此該研究推薦云服務合同應更明確和直接的說明隱私保護的相關約定和應遵循的相關隱私法律法規(guī)。國際標準《ISO15489 信息與文件——文件管理》中也建議在信息存儲系統(tǒng)中明確隱私保護相關需求。

2.11 合同變更

該條款說明合同的中止和修訂。云計算不斷發(fā)展，其服務功能可以增加或移除。在某些服務功能增加或移除之前，合同中應當明確通知檔案機構的方法；合同中對通知期限的設定應考慮檔案機構更換新解決方案所需的時間；由于企業(yè)合并和兼并會對云數(shù)據(jù)所有權、數(shù)據(jù)完整性維護和持續(xù)利用帶來不利影響，合同應當明確在何種情況下，檔案機構或云服務商有權終止協(xié)議；檔案機構應考慮因此產(chǎn)生的費用或懲罰措施，因此需要協(xié)商制定相關條款，用以限制云服務商終止服務的權利。合同也應明確在何種情況下，檔案機構可以繼續(xù)使用、更換或終止云服務。

2.12 費用

該條款說明云服務的先期成本、維護和持續(xù)成本、更新成本、隨著數(shù)據(jù)量增長的預期成本等信息。檔案機構需要預估館藏數(shù)據(jù)量增長可能會帶來云服務成本的上升，防止云服務成本的上升導致無法繼續(xù)使用云服務。

3 結語

通過研究發(fā)現(xiàn)，國外文件和檔案機構出臺的各種規(guī)范性文件對云服務合同提出要求的目的，主要是為了保護檔案機構的利益，防止檔案文獻由于云服務商的疏忽或是其他因素導致?lián)p毀或丟失。因此規(guī)范性文件反復強調檔案機構應在合同中明確對云服務商的監(jiān)督措施、限期整改和補償性條款，并且要求條款以明確的合同語言、可以量化的形式寫入合同。這樣做一方面可以督促云服務商不斷提升服務能力、強化風險意識、保護云中檔案安全，另一方面也為檔案機構評估云服務商承諾的服務指標提供了可依據(jù)的指南。