去年，一家知名的全球食品生产与配送公司打算将他们的人力资源管理程序交给一家软件即服务(SaaS)提供商运营。但是当这家食品公司的律师审查这份拟议合同时，他们发现这份合同在法律方面存在着一些严重隐患。

　　首先，这家SaaS提供商在美国、欧洲和加拿大都有业务。这家食品公司的律师，外包方面的专家Rebecca Eisner回忆称：“欧洲和加拿大是两个不同的司法管辖区，他们对个人信息的使用有着严格的规定。由于是人力资源系统，因此其中涉及大量的个人信息。”

　　这家服务提供商希望能够灵活地将公司的信息转移至全球其它地方的数据中心上，这导致公司必须遵守这些国家有关数据流入或流经的法规。

　　由于这家食品公司对SaaS应用十分着迷，因此并没有意识到其中的法律风险。经过两个月的谈判，双方签订了一份合同。

　　Mayer Brown律师事务所芝加哥办公室的合作伙伴Eisner称：“这家SaaS服务提供商并不愿意承认他们缺乏这方面的丰富经验。他们知道我们的职责是干什么的。”Eisner称：“最终，他们明白，如果想让这家食品公司成为他们的客户，以及今后得到全球其他地方的客户，他们需要提供这类最低限度的保护。因此他们最终同意要求。”

　　如果你使用云计算或是打算使用云计算，你不应当忽视以下五个方面的法律风险。

　　1. 隐私

　　《美国健康保险流通和责任法案》(HIPAA) 规定将个人健康信息透露给第三方公司应达成“业务关系协议”。这些合同规定第三方如何处理这类数据。旧金山Sideman & Bancroft律师事务所律师Polly Dinkel称：“许多人在使用云计算时，并没有考虑这一规定。他们并不认为他们是在向第三方透露信息，但是事实是他们透露了。”

　　与此相同的是，《格雷姆-里奇-比利雷法案》规定金融机构要与共享其客户个人信息的第三方签署协议，以确保第三方能够安全的存储这些数据。Dinkel称：“必须要以合同的形式履行和维持这类安全措施。”

　　她指出，如果云计算协议中未能实现这些要求，金融机构的执行官们应当亲自对此承担责任。

　　Mayer Brown律师事务所合作伙伴Dan Masur称，棘手的部分是要求清楚地知道所有云服务提供商的数据中心和次承包商的所在地。他称，《萨班斯—奥克斯利法案》规定数据的原始拥有者需知道在云计算环境中数据在何处，以及在何处保持对其的控制。

　　正如Masur所说的那样“你可以让数据迁移至全球任何地方，但这不仅仅是提供商的事，而是整个次提供商与次承包商网络和平台的事。在任何时候，它们的准确位置在哪里?它们经过了多少国家，需遵守什么样的相关法律呢?即使你与提供商签订了合同，你是否真的能够确认提供商向下推行这些条款，让整个次承包商网络都遵守这些合同条款。”

　　Masur称，客户需要坚持确认这些次承包商，以及让合同条款适用于他们。好消息是，一些大型云服务提供商仅提供位于美国境内的公共云，并且保证合同的相关条款适用于次承包商。

　　在美国急诊医学实践管理公司Schumacher Group内，大约80%至90%的IT程序被分别托管给了12家不同的云服务提供商。

　　该公司首席信息官Douglas Menefee称：“我们选择的服务提供商必须遵从HIPAA规定和有关要求。”他还要求云服务提供商签署一份业务关系协议，协议规定提供商的雇员只可在必要时才能查看与他们工作有关的信息，