上一篇談了基礎的雲端合約字彙與概念，有助於了解手邊的雲端合約是屬於什麼性質——例如，合約中約定的權利是單純的雲端服務「使用權」，還是含有可以下載權利、涉及著作權重製的授權合約？採用的是一般SaaS，還是其他雲端服務種類？是公有雲還是私有雲？使用權的約定是哪一種？特定使用者還是席次？

筆者接續著上一篇，想來談談在常見的B2B public cloud computing contract（一般企業向廠商租用的雲端服務，而非企業自行在內部管理的私有雲架構），通常會約定了什麼內容呢？

我們先來談談B2B架構下，雙方會簽署什麼文件。首先，雙方通常會先協商主服務協議 (Master Service Agreement, MSA)，通常這會由供應商提供，設定基本條款和條件，名稱可能會是雲端服務協議（cloud services agreement)、主訂閱協議（master subscription agreement）或SaaS協議。主協議規範了整體服務範圍、雙方權責，以及，作為其他文件的執行依據。（註1）

那，這些其他文件是什麼呢？例如當客戶不是只單純的使用廠商的雲端軟體或平台，而是需要額外人力介入的專案，雙方可能後續會有訂單（Order）或是工作說明書（Statement of Work, SOW）來規劃這些特定專案。內容訂有明確的交付成果（deliverables），或是專業服務（professional services），同時可能會有來自客戶方需要配合的協作部分（cooperation）。

除了主協議外，供應商經常會另外附上服務水準協議 (Service Level Agreement, SLA)，這算是雲端合約中最關鍵的技術性文件之一，因為SLA會詳細定義供應商所承諾的服務品質標準，例如可用性指標（availability）、正常運作時間（uptime）、性能速度（speed of performance）、錯誤率（error rates）、修復故障時間（remedy times），以及在未達到服務水準時所提供的下期服務扣抵金額（credits）或其他補償機制。

對於「保固」有一點概念的讀者，可能會想問一個問題：主約裡不是會寫有關於保證相關的事情嗎？那SLA又是在擔保什麼？兩份文件會不會內容重疊呢？

這個問題在David Tollen的《the Tech Contracts Handbook》第二章B節有很棒的解答，筆者這裡摘錄如下：

「SLA和功能保證具有一些相同的目的，但相較於保證通常涵蓋所有軟體功能和特性，SLA通常只約定幾個經過定義的項目。幾乎沒有保證條款提供抵免額，且違反保證條款後果較為嚴重，最終的補救措施通常是終止合約。許多合約同時向客戶出具對功能的保證和SLA，因為它們有各自不同的用途和目的，有些供應商只提供其中一種，而在雲端服務交易中，通常是SLA。」。（註2）

沒錯，違反SLA中服務品質的後果，通常「只是」扣抵下期帳單金額，這跟一般的合約中違反保證所面臨的法律責任，相較起來當然對廠商「比較能接受」。而客戶也能明白，既然雲端服務不同於一般的產品買賣或授權合約，也不能以設備租賃或勞務提供一語帶過（可能以上擇一，或以上全包，用比較學術的話來說，就是所謂的無名合約，或是混合契約），也就不會強求一定要在主約上對服務品質做出保證。（注意！這裡只特別針對「服務品質」做討論，與其他的什麼不侵權保證或是資料安全保證無關！）

在B2B雲服務環境中，可接受使用政策（Acceptable Use Policy, AUP）也會構成合約架構的重要部分，它的內容是規定服務使用的限制與禁止事項，包括禁止未授權使用（unauthorized use）、反向工程（reverse engineering）或其他非法活動等，違反後果可能導致服務暫停或終止。通常，AUP 不直接寫入主約，而是以「參考文件」形式包含在內，透過合約中附帶連結到供應商網站的方式呈現，這樣可以方便供應商根據需求進行更新，而不需重新協商合約內容。此外，AUP 也可能以附件形式提供，確保客戶在簽署時清楚了解其內容。

其實講到雲端，讓人真正頭疼的就是有關於資料管理的的這一塊，鑑於內容寫起來可能比整份主約還要長，外加上沒事法規又在變，因此經常以以附錄形式納入主合約，作為其不可分割的一部分，但不直接嵌入正文，方便供應商在法規變更時靈活更新。這份附件的名稱可能是資料保護附錄（data protection addendum, DPA），或資料處理協議 (Data Processing Agreement，哈，也是簡寫成DPA），重點是內容會寫清楚資料處理範圍、資安措施（存取控制、刪除機制、稽核追蹤等）、跨境傳輸、資安等，這方面文獻實在太多，就不一一贅述啦！

在這複雜的雲端服務合約世界中，我們可以清楚看見：一份完整的雲端服務合約架構，絕非單一文件可以涵蓋。從MSA建立基礎框架，到SOW定義具體專案範疇，再到SLA確保服務品質，AUP規範使用限制，以及DPA保護資料隱私，每一份文件都扮演著不可或缺的角色。這些文件相互呼應、緊密連結，共同構築起一個完整的法律保護網，為雲端服務提供了清晰的遊戲規則與保障機制。

嘿！5 份中英文件名稱對照～你都清楚了嗎？

1. Master Service Agreement (MSA) 主服務協議

2. Statement of Work (SOW) 工作說明書

3. Service Level Agreement (SLA) 服務水準協議

4. Acceptable Use Policy (AUP) 可接受使用政策

5. Data Protection Addendum (DPA) 資料保護附錄

註1：參考lexology上《At a glance: cloud computing contracts in USA》一文：

註2：本書中文版《科技合約教戰手冊》由筆者翻譯，預計2025年由新學林出版。