2018-08-14 14:00

　　各位下午好！首先感谢本次大会给我这次机会。我这次发言的主题是《云计算合同的法律问题》。

　　首先，讲一下电子合同一般的说明。关于合同其实大家都很清楚，无非就是意思表示一致的结果。关键是在网络环境，或者是在电子商务的环境之下，这个意思表示有可能不是人和人之间进行的意思表示，有可能是人和机器进行的意思表示。甚至于可能是机器和机器进行的意思表示。所以，有一个案件不知道大家还有没有印象，叫做“许霆案”，许霆有一天他要去取钱，在广州黄埔大道一个银行的自动柜员机上取钱，那张卡只有170多块钱，本来要取100块钱，一不小心按成1000块钱，没想到1000块钱真的取出来了。更加令他惊喜的是他取1000块钱的时候自动柜员机只扣了他一块钱，所以这使得她卡里只有170多块钱，他就不断的取，一直取到17万多。最后法院对这个案件进行了二审，以盗窃罪判他无期徒刑。当时这个案子在社会上也引起了很多反响，大家对这个判决是有些质疑的。所以，这个案件经过了重新审理，法院还是按照盗窃罪来定罪，但是刑期就变成了有期徒刑五年。

　　这里有一个问题大家比较质疑，到底自动柜员机是什么样的身份。实际上电子商务当中有两个概念，一个叫做电子代理人，一个叫做电子错误人，这两个概念在我们国家的法律当中是没有明确的，但是在美国《统计信息交易法》里非常明确有这两个概念，并且明确的说明这些电子代理人对于信息的接收、发送和处理是等同于设置他的那个当事人的。这些电子代理人最常见的就是银行的自动柜员机，也包括我们很熟悉的自动贩卖机，就是投币进去，就可以拿到饮料之类的。

　　如果按照这样的法律关系来理解，就等于我们去银行的自动柜员取钱的时候，其实等同于我们在银行的柜台取钱。意味着假如我们去银行柜员机取钱和柜台取钱是类似的，我取1000块钱，结果银行的服务人员就给了我一万块钱。从民法上讲，其实这就是一个不当得利而已。如果往刑事的方向说，也很难说这是一个盗窃罪。原因在于盗窃罪是一个秘密的窃取，可是如果你把柜员机就当做代理人，就没有秘密可言，类似于当着银行的面拿到了钱，这里没有秘密性可言，最后最多认为是侵占罪。所以，关于合同首先会涉及到的关于意思表示的主体的问题。

　　另外一个问题，涉及到关于电子签名，刚才看到很多个公司其实都跟电子合同的认证和签名是有关系的。刚才我看有法大大，e签宝等都有这些业务。从法律上的角度来讲，为什么要在合同中签名，是因为我们需要把一个特定的主体和某一个特定的文件要联系在一起。同时，我们还要把这个特定的主体与这个文件上所表达的意思联系在一起。

　　那么，要实现这样的一种功能，在电子环境之下就可以用一种电子签名的方式来实现。在功能等同的原则之下，必然会产生令一个原则，就叫做技术中性原则，在技术中性的研究之下，就一定会把电子合同这个制度进一步的发展。所以，刚才闫丹女士给我们进的内容都已经涉及到一个叫做电子身份管理的概念。也就是说，我不论用任何一种技术，只要能实现刚才我们所说的唯一性和真实性，那就可以了。所以，这种情况之下，我们不仅仅只有电子签名，可能还有任何一种通过人脸的刷脸，或者通过手机号码动态的密码，或者通过声音、指纹等等，只要能够实现这个目的都可以进行身份的确认。所以，在这种情况之下，也就是说明电子签名这样一种概念或者制度已经逐步发展成为电子身份管理制度了。实际上欧盟是已经出台了一个电子身份管理的指令。也意味着我们现在第三方的认证机构，可能这个业务就可以进一步的升级，已经上升到电子身份信赖服务了，而不仅仅只是电子签名的认证的服务。

　　在联合国贸法会，国际贸易法委员会对于云计算合同的一些问题的处理。提供的云服务合同通常都是一些格式化的，一些电子合同，或者我们通常所说的点击合同。这种合同也是一种复合式的合同，也就是你要么都同意，要么你就离开。所以，在这种情况之下，联合国贸法会就内容来讲，希望在云服务提供者和云用户之间能够实现一个相对的利益上的一个平衡。对于所涉及到的云计算服务和提供的合同中的问题是不考虑服务类型的，也就是不管是软件即服务，平台即服务都无所谓。也不管云计算设置的模式，公共云也好、私有云也好，或者社区云也好，都是无所谓的。

　　我们这个大会叫可信云大会，所以我是从法律的角度来理解这个“可信”的概念。

　　首先，显然涉及到是行政或者是法律强制性要求的可信。因为如果说你不符合他的强制性的法律要求，可能因为这个合同本身根本就是无效的，或者部分无效的。如果是这样的情况之下，根本就没有什么可信可言了，因为定理这个合同是没有任何约束力的。那么，对于他的这种强制性的要求，主要涉及到一些个人数据、网络安全，或者是出口的管制，海关、税务、商业秘密，或者知识产权方面的一些特定的法律和条款。如果合同的订立不符合这些强制性条款，这个合同可能就没有强制可知性性，而且还可能进一步的产生行政上的处罚，甚至于可能有刑事的责任。所以，这是第一个方面。

　　第二，涉及到的是一个主体身份的识别，这显然也是一个可信的问题。那就是我到底跟对方订立合同的时候，对方到底是谁。

　　那么，作为合同的最重要的一个可信的方面是诚实信用原则。其体现在合同的履行方面。在云服务提供的合同中，非常核心的一点是对客户的数据，或者其他内容的权利义务关系。因为作为云服务的提供，可能产生的多数情况下是客户所需要的一些数据。

　　所以，这里分为几种情况：

　　1.服务提供商为了提供服务而对客户的数据享有的权利。通常云服务提供商会在合同用用一个条款来表明他是可以自由的访问，或者使用客户的权利的，这个理由就叫做需要知道原则。我只有知道了客户你的这些数据，我才能够为你提供这个服务。所以，在这种情况之下，他是有权自由使用的。

　　2.提供商是为了其他目的使用客户的数据。在这种情况之下，服务提供商是不能当然的自由使用的，他只能基于一个请求，或者基于合同事先的约定。当然，也可能存在某些特定的情况之下是隐含着，或者漠视提供商是可以使用的。比如，提供商在合同中有一个义务，要为客户的数据进行复制。既然他要复制，他就必须要有权利能够获取，所以这是第二种情形。

　　3.客户的名称、标志和商标具有特权，所以提供商的使用一定要得到许可。

　　4.对于云服务提供商来说面临着两个维度的义务或者责任，一个是纵向的，一个是横向的。纵向来讲，比如某些国家机关，比如行政机关或者司法机关要求云服务提供商披露客户的数据，或者删除客户的数据。但是云服务商有一个横向义务就是对客户数据有一个保密的业务，当然也可能客户是基于被遗忘权，要求服务商删除掉他的数据。这个时候可能刚好跟司法机关或者行政机关的要求刚好是截然相反或者冲突的。在这种情况之下，至少在中国这个环境下，云服务提供商是不可能置国家机关的要求于不顾的，优先考虑的肯定是执法机关或者行政机关的要求。但是，在这种情况之下，至少有一个最低的限度，对于云服务提供商来说，那就是哪怕你把它的信息删除之后，或者提供之后，必须要给客户一个通知。这个通知最好是事先通知，如果法律不允许，或者客户不允许事先的通知，至少要进行事后的通知。

　　5.对服务的衍生数据的权利归谁所有所产生的。

　　另外，知识产权的使用问题，比如在云服务提供过程中可能会产生具有知识产权性质的内容，这时候对内容的知识产权的归属，是服务提供商拥有权利，还是客户拥有，当然也可能双方共同拥有，这些可能需要在合同中进行明确。

　　第五，涉及到赔偿责任，对于云服务提供商来说，他能把自己的责任排除掉越多越好。比如说，在任何情况之下都排除他的赔偿责任。但是这种情形非常大的可能会被法院认为是无效的。在这种情况下，云服务商可能采取的方法是我只对可控的事件承担赔偿责任，对那些不可控的情形就不再承担责任了。什么样的情形是可控的呢？比如客户对我有一个知识产权的许可。那么，我要按这个许可来行为。或者有一个授权的范围之内的行为，如果我超出这个行为，我就承担这个责任。但是，云服务提供商可能对那些很难去控制的事件承担责任。比如由第三方造成的数据泄露的事件，他可能不希望承担赔偿责任。另外，云服务提供商，也可能一些间接损失不愿意承担责任。什么叫做间接损失呢？比如你的云服务没有提供到位，导致客户所获得的商业机会丧失了。这种间接损失，云服务提供者通常也不想去赔偿。

　　那么，对于客户来说，客户至少有一点是要坚持的，他要坚持服务提供商，或者他的雇员，他的作为，或者不作为所导致的责任。哪些责任呢？比如客户的数据的丢失、被滥用、个人数据被侵犯，或者知识产权侵权，而且会导致客户对第三方还会承担责任。或者是被行政机关予以处罚。在这种情形之下，客户是希望或者要求提供商必须要承担一个没有限制的赔偿责任的。

　　另外，还有一些有缺陷的软件或者硬件，这都是客户必须，或者希望必须云服务提供商进行赔偿的问题。

　　云服务合同还有一个跟别的合同不一样的地方是，合同哪怕履行完毕之后，双方还存在着权利义务关系。原因就是在于在这种情形之下，这一个云服务所产生的数据，客户是希望你继续保留，替他进行保存或者进行控制。但是，对于云服务提供商来说，他就希望我早点结束这个合同义务，我不想再承担这个责任了。所以，这里就存在着双方之间怎么对权利义务关系进行平衡。

　　所以，他规定了几条内容：

　　1.在合同履行完毕多长的时间内，客户仍然可以要求服务提供商到处相应的数据或者内容，而且这些数据的内容在多大范围内可以进行到处，或者是云服务提供商有没有义务来提供这个到处的义务。如果云服务提供商可能会要求客户提供额外的费用，那么他是可以继续这样做。

　　2.关于数据的删除，删除既可能是客户要求，也可能是按一般的惯例，目前关于数据保留的法律的情形。

　　3.保密条款。

　　法律选择和诉讼地的选择的问题，一般云服务商肯定按照自己的方式训练法律的适用和管辖权。但是，会产生一些问题，有一些国家是以强制性的诉讼地选择进行确定，就是没有选择的，只有诉讼地的确定，比如你到另外一个国家开展云服务，你的云服务已经涉及到对该国的数据保护法律的规制的时候，有可能服务所在地的国家会认为他对相关的交易是有管辖权的。也许有的国家按另外一种设定的方式，按照的是服务机所在地标志，服务器在哪个国家，他认为我这个国家是有管辖权的。

　　还有另外一种判断标准，要看你的业务范围针对的是哪个地区，实际上这个条款肯定是美国的代表提出来的，叫做目标指向标准。就是他想看一下你进行业务拓展的时候，你用了什么样的语言，用了什么样的支付的货币，他来推断你指向的是哪个市场，这个被指向市场所在地的法院就会认为我有管辖权。比如说，如果我们提供一个云服务的业务的推广，我们的页面上用了英语，然后我们也明确的说，这个服务的支付方式是可以用美元的。很有可能在这种情况之下，美国的法院就认为对这个交易我们是有管辖权的，因为你很明显的指向了美国这个市场，涉及相关美国的当事人的时候，美国法院就认为这个交易我们有管辖权。

　　我的发言就到此为止，谢谢！