国外文件和档案机构云服务合同研究

程妍妍/国防大学政治学院

李圆圆/解放军档案馆

当前发达国家均将云计算技术定位为维持国家核心竞争力和提升创新能力的重要技术，在这样的背景下云服务也开始被应用于档案行业。据一项国际调查[1]显示，全球300多家文件和档案机构中，超过一半的机构已经开始或计划采用云服务管理文件和档案。档案机构在逐步应用云服务的同时也清醒地意识到，前期签订条款完善的合同是明确云服务责任、防范云服务风险的重要措施之一。但从目前云服务商提供的合同样本来看，存在与文件档案管理相关的核心条款缺失或不明确等问题。如2017年美国国家档案馆发布的《云计算采取和管理报告》[2]中就特别指出，美国国家档案馆在制定云计算合同方面缺乏可依据的标准，这已严重影响了机构对云服务的有效控制。本文以国外相关标准、指南等文献作为样本，对其中云服务合同的核心条款进行分析，为我国档案机构签订云服务合同、规范使用云服务提供参考。

1 国外文件和档案机构云服务合同的政策框架

对于云服务合同问题，各国档案机构都出台或印发了标准、法规、指南等规范性文件，对云服务合同的规范化要求和核心条款等进行了阐述，其中具有代表性的主要有：美国国家档案馆发布的《云计算环境中文件管理指南》（2010）[3]，描述了云合同制定的最基本要求，即满足美国联邦文件管理相关的法律和法规要求，但该指南对具体的合同条款没有进行详细说明；肯塔基州发布的《肯塔基州政府云计算文件管理的背景和指南》（2012）[4]，对《云计算环境中文件管理指南》（2010）中的合同要求进行了再次强调；北卡罗莱纳文化资源部档案和文件部发布的《云计算文件管理的最佳实践》（2012）[5]，对签订服务等级协议（SLA）的重要性进行了说明。英国国家档案馆发布的《云存储和数字长久保存指南》（2014）[6]，提出了云服务合同的核心条款，包括服务可用性、性能、功能、外包、数据保护、安全性、监督和审计、数据和元数据所有权、退出战略、服务商状态变更、合同更新、成本、云计算法律问题等。澳大利亚文件和档案委员会发布的《云计算文件保管的风险管理建议》（2010）[7]，从风险管理的角度提出了合同的主要条款，例如应在合同中明确数据的所有权必须归档案机构所有、文件和元数据必须能够以合同约定的格式返回给档案机构、云中文件必须经过形成机构批准移交至第三方保管等；澳大利亚国家档案馆发布的《文件管理和云》（2011）[8]指南，提出澳大利亚政府在云中进行文件和档案管理的总体需求，即确保云中文件的真实完整和可信任的需求、确保云中文件可检索和可读取的需求、确保云中文件和其背景信息相关联的需求等，并且该指南也指出这些需求都应以条款的形式体现在合同中。国际合作项目InterPARESTrust项目发布了项目报告（2016）[9]，总结了15条和云服务商签订的合同条款，包括文件销毁、销毁方法、合同终止销毁、服务持续性、断电、风险管理计划、一般安全条款、物理安全条款、技术安全等内容。这些规范性文件从文件档案管理的视角出发，将文件档案管理需求融入云服务合同条款中，从而保障云服务能更好地为档案机构服务，确保其核心职能的实现。

2 国外文件和档案机构云服务合同的核心条款

对上述规范性文件进行系统分析，可以发现其在云服务合同要求上存在一些具有共性的条款。对于我国文件和档案机构采用云服务来说，较为重要的和具备可参照性的有12项条款，涵盖云服务中数据和元数据所有权问题、性能、功能、云服务外包等。下面将对每一项条款所体现的文件档案管理需求和规范化的说明进行分析。

2.1 数据和元数据所有权

该条款说明云服务中文件和档案数据和在处理过程中产生数据的所有权问题。由于云中数据将存储在云服务商的基础设施上，因此对档案机构来说，在合同或协议中明确申明对数据的所有权是非常重要的。出于凭证性和业务目的，对云中形成和处理的任何业务数据，档案机构都应当申明对这些数据的所有权，国内外标准中对这一条都进行了强调。此外，档案机构需要明确云服务商会存储何种数据，并且在云服务中会形成何种额外的元数据和数据。

2.2 云服务性能

该条款以可度量的方式说明云服务的目标运行时间、响应时间、服务速度等性能参数，以便防范文件无法利用的风险。一项国际调研[10]指出，47%的机构表示，如果业务文件无法提供利用超过一天，就会影响到机构的业务工作。因此，合同协议中应当明确能够满足档案机构需求的服务的最长正常运行时间；并且在云服务不达标的情况下，应明确对档案机构的补偿。InterPARESTrust项目报告中指出：“合同协议中云服务商应当明确向用户保证，文件应当在绝大多数时间内可用，如99.99%的时间内都可以提供利用。”[11]

2.3 云服务功能

该条款说明为满足档案机构特定需求，云服务应设置怎样的架构和提供怎样的功能。档案机构应明确对于自身运行来说，云服务提供了何种专门功能和服务；说明当服务发生变更时，云服务商应提前通知档案机构，档案机构可以对主要架构、服务和功能提出预先的修改意见，防止功能的变更影响档案机构的业务运行。

2.4 云服务外包

该条款说明云服务是否存在外包以及外包的责任情况。对于云服务商来说，将其服务外包给第三方是通行的做法，例如从其他云服务商处获取处理和存储功能，合同应当明确云服务商已经外包的云部分功能和外包方。档案机构必须明确外包服务商存储数据地点、审计等满足自身需求；明确当外包出现问题影响档案机构时，云服务商应负直接责任。

2.5 云服务安全

云服务安全分为一般性的安全条款、物理安全条款、技术安全条款和安全分级条款。（1）一般安全条款：该条款说明云服务商为云中文件和档案提供的安全保护级别。合同中必须明确云服务商能够达到国际或国家档案信息系统安全标准的要求，并且当发生安全违例事件时，定义清楚云服务商的责任，包括通知档案机构数据被非法利用，通知的时间期限和安全违规细节披露、赔偿条款等。（2）物理安全条款：该条款说明云服务器所在的物理地址和其采取的物理安全措施。考虑到文件和档案放在云服务器上，如果云服务器放置在其他国家，这就等同于文件和档案数据存储在境外，这就可能会产生相应的法律和法规问题，因此定义和记录云服务器所在的物理地址是非常重要的，并且档案机构也需要明确控制云服务器访问的具体物理安全措施。理想的情况是，档案机构可以实地考察云服务器所在的物理地址，明确云服务商的基础设施和物理安全配置情况，获得书面形式的报告，然后再组织专家进行审查和适用性评估。合同中应当明确在合同存续期内，如果云服务器所在的物理地址需要发生变更，云服务商应预先通知档案机构，并在经过档案机构批准的条件下才能够进行变更，而一旦云服务器或者物理安全配置变更后无法达到合同中所指定的安全标准要求，合同中必须赋予档案机构的云合同终止权。（3）技术安全条款：该条款说明云中文件存储采用的技术安全措施，例如防火墙、防病毒软件等。技术风险例如黑客通过向公共IaaS传输恶意软件攻击云服务，也有可能云服务接口软件存在漏洞，档案机构不可能亲自监督云服务商的技术安全，但是在合同条款中说明技术安全措施可以强制云服务商必须采用一定的安全手段来防止云中文件的非法访问和篡改；（4）安全分级条款：该条款说明云服务为不同密级文件适用的不同等级的安全措施。一旦档案机构决定将涉密文件存储在云中，合同条款中应当说明为保护这些特殊的涉密文件而额外采取的高等级安全措施。

2.6 数据处置

该条款说明档案机构利用、编辑和删除云服务中数据的权限。档案机构可能存在特殊需求，例如在特定场合时间需要快速及时获取数据，或是根据档案机构保管期限表对云服务中的档案数据进行处置，这些都必须在合同中明确指出。

2.7 数据移动性

该条款说明当档案机构出于某种原因，需要将数据移交到不同的云服务商时，云服务商可以提供的移交数据格式和时间期限。

2.8 云文件销毁和档案数据返还

该条款说明云中文件销毁的流程和档案数据返还档案机构的方式。（1）一般销毁条款：文件和档案领域要求的销毁和云服务理解的销毁有差别，后者将文件销毁视为文件删除，而前者视销毁为文件保管和处置的一项流程。因此，该条款应说明当档案保管期限内结束后，文件能够被销毁，并且云服务商不能有任何备份残留。（2）销毁方法：明确文件及备份具体的销毁方法，例如消磁去磁、物理销毁和重新格式化等，并且云服务商应提供销毁记录和证明。（3）合同终止销毁或返还：说明当云服务合同终止时，用户所有的文件能够被销毁或返还档案机构。合同中应明确指出“服务商锁定”（即只能使用特定服务商的云）的行为是无效的。档案机构在合同终止时有权更换云服务商，并能以可用的格式拿回云服务数据，在合同终止之后仍然能确保数据的一致性和互操作性，因此合同中应说明云数据返还机构的方法、返还云数据的时间期限和返还的数据格式。

2.9 灾难恢复计划

该条款说明当云服务发生问题时，云服务商应提供灾难恢复计划。合同应详细描述云服务商采取何种计划进行数据恢复，并且数据能够恢复到何种程度。如果由于云服务商的问题导致数据无法完整恢复而造成档案数据丢失或损坏，合同应说明云服务商的责任、通知档案机构的方法、采取的纠正措施、时间期限和持续服务的条件、如何弥补损失等内容。

2.10 隐私保护

该条款说明云中存储的文件和档案涉及的隐私保护问题。某些文件和档案内容中可能会含有个人隐私，因此，合同条款中需要明确云服务能够保护这类含有个人隐私信息的档案不会泄露和被非法利用。例如福特汉姆大学（Fordham University）法律学院的一项最新研究发现采用云服务存储学生档案数据，云合同中缺乏保护学生个人隐私的专门条款，因此该研究推荐云服务合同应更明确和直接的说明隐私保护的相关约定和应遵循的相关隐私法律法规。国际标准《ISO15489 信息与文件——文件管理》中也建议在信息存储系统中明确隐私保护相关需求。

2.11 合同变更

该条款说明合同的中止和修订。云计算不断发展，其服务功能可以增加或移除。在某些服务功能增加或移除之前，合同中应当明确通知档案机构的方法；合同中对通知期限的设定应考虑档案机构更换新解决方案所需的时间；由于企业合并和兼并会对云数据所有权、数据完整性维护和持续利用带来不利影响，合同应当明确在何种情况下，档案机构或云服务商有权终止协议；档案机构应考虑因此产生的费用或惩罚措施，因此需要协商制定相关条款，用以限制云服务商终止服务的权利。合同也应明确在何种情况下，档案机构可以继续使用、更换或终止云服务。

2.12 费用

该条款说明云服务的先期成本、维护和持续成本、更新成本、随着数据量增长的预期成本等信息。档案机构需要预估馆藏数据量增长可能会带来云服务成本的上升，防止云服务成本的上升导致无法继续使用云服务。

3 结语

通过研究发现，国外文件和档案机构出台的各种规范性文件对云服务合同提出要求的目的，主要是为了保护档案机构的利益，防止档案文献由于云服务商的疏忽或是其他因素导致损毁或丢失。因此规范性文件反复强调档案机构应在合同中明确对云服务商的监督措施、限期整改和补偿性条款，并且要求条款以明确的合同语言、可以量化的形式写入合同。这样做一方面可以督促云服务商不断提升服务能力、强化风险意识、保护云中档案安全，另一方面也为档案机构评估云服务商承诺的服务指标提供了可依据的指南。