你曾经从法律和业务的角度考虑过SaaS吗?通过使用SaaS解决方案,企业把部分IT外包出去,有些时候是外包了部分的业务流程。这个过程有一系列与法律和业务有关的问题需要考虑,包括服务级别协议、第三方担保、业务连续性、IT部门的重新定位以及企业的隐私保护等。
服务级别协议
定义一些服务的术语,然后与SaaS供应商约定公司对服务的要求似乎很正常。有时候,用户会把这些要求写到服务级别协议中,同时还会拟定违反服务级别协议后的惩罚性条款。然而,要和供应商就达不到服务级别协议时的惩罚性条款达成一致非常困难,因为这种赔偿对供应商来说是一种业务风险。
用户之所以这样做很大程度上是参考了外包服务合同。实际上,在SaaS合同的签订过程中参考大型外包合同中的违约条款规定并不合适,因为在大型外包合同中,合同涉及范围广、金额大,使得服务提供方容易接受违约的赔偿条款。而且,在这样的合同中通常也会有奖励性的条款以鼓励提供更好的服务。而反观SaaS合同,通常每个用户每月收费只有20~50美元,并没有充足的利润让供应商愿意接受赔偿性的条款。
一个比较现实的方法是对供应商过去的服务水平进行评估。同时,客户一定要有备用方案,这就是业务连续性计划。一旦服务达不到要求,可以马上迁移到一个新的供应商或者采用新的解决方案。
业务连续性
用户通常会要求让SaaS供应商达到自己的业务连续性要求。事实上这并不够。用户还应该做好另外的业务连续性计划,在必要的时候转移到其他的SaaS供应商,尽管这时的准备工作并不像SaaS供应商倒闭时用户向其他SaaS供应商迁移时那么多。
因为所有的企业都要规划自己的产品线,对企业来说,退出市场与进入市场同样重要。实际上,从市场的角度来说,退出市场的产品也许根本就不是不成功的产品,也许只是没有达到利润要求,或者不符合企业的战略规划。
这就意味着,用户应该有所准备,如果需要,可以选择其他供应商或者自己部署应用; 也就是说,用户还要选定第二家候选供应商。这时并不要求它提供全部的功能,只是一旦首选的供应商提供的服务出现问题,它可以让你的业务继续运行下去。这里还有非常重要的一点是,用户一定要认真地执行备份计划,确保企业自己的数据得以保存下来,而且是独立于SaaS供应商、由用户自己完成的。
隐私的保护
确保内容的保密以及保证内容不被SaaS运营商滥用非常重要。不幸的是,很多时候要做到这一点并不容易,因为有些SaaS运营商的商业模式依赖于广告,如果用户要使用这一类运营商的SaaS服务,之前必须认真对此进行评估。
Google是最为我们所熟知的这样一家互联网企业,它把全世界的内容都收集起来,以一种非常容易的方式供人们访问。但是,人们不应该忽视的是,它的商业模式是基于Google能收集和阅读有关我们的内容这个前提的。Google Docs的使用许可协议(第11条)非常清楚地说明这个问题: 通过服务提交、发布或展示内容,则表明你授予Google在全球范围内复制、改编、修改、翻译、出版、公开演出、公开展示和分发这些内容的永久、不可撤销、无版税、非专有的许可。
除了隐私策略方面的问题外,电子信息被盗案件频频发生也提醒用户必须留意SaaS供应商如何保存用户的数据。此外,还有与法律有关的其他一些问题也值得关注。
首先,因为SaaS模式采用的是多租户模式,多个用户共享同样的资源,一旦司法调查涉及其中某个用户,需要查看这个用户的数据,共享同样资源的其他用户的数据隐私如何保证?
其次,SaaS供应商适用何种司法制度可能涉及到用户的知情权。例如,在美国根据美国爱国者法案的规定,联邦官员有权在不通知第三方的情况下,对保存在SaaS运营商处的第三方数据进行调查。
在与SaaS运营商签订合同之前,最好对这些问题进行一定的了解。SaaS应用的源代码
在采购企业级软件时,很多用户会与供应商签订一个协议把源代码保存在第三方,一旦供应商出现问题(如倒闭),用户可以拿到源代码。其目的是防止供应商倒闭或者停止此类业务的经营时,用户遭到遗弃。
尽管这是很普遍的行为,但其实际意义值得商榷。从供应商的角度来说,他们实际上是在签署一个他们看不到执行结果的保证条款。更为严重的是,除非供应商倒闭,用户根本看不到源代码,因此,用户无从知晓是否重要的代码都已经包括在其中以及供应商是否及时更新了。更进一步说,虽然这种方法可以应对供应商倒闭,却无法应对供应商不再在市场销售这种软件或者不再提供技术支持等情况。
在SaaS领域,上述问题仍然存在,而且,源代码有可能变得更没有意义。比如,在传统软件的采购中,如果供应商倒闭或者很多年不再销售该软件后,系统仍然可以在用户的机器上运行。因为一旦系统运行稳定,再出现Bug的可能性会小很多。由于系统就在用户自己的计算机上运行,因此,用户可以在方便的时候检查源代码、解决故障、编译成正确的版本。
而采用SaaS模式后,一旦供应商倒闭系统马上就会停止运行。对用户来说,尽管拿到了源代码却无法马上让系统运行起来。而且,SaaS模式的价值很大程度上体现在供应商的服务上,用户无需负责服务的采购、升级以及系统的维护等。一旦用户按照约定拿到了源代码,用户必须自己接替供应商的所有工作。不仅要安装软件,而且在之前还必须采购和部署网络基础设施。因此,如果可以把数据迁移到其他供应商的话,很少有用户会选择自己来做前面所述的那些工作。
而且,尽管SaaS系统看起来与其他应用没有什么不同,但是,从供应商的角度来说,要支持数万名用户还是有很多不同之处的,这其中涉及很多专业的软件,也需要很多的投入。比如,用户每访问一行代码,必须有相应的代码来管理,而其系统管理和支持代码通常是紧密相关的,这就会出现一个问题: 源代码中会包括这些代码吗?如果安装它们?即使用户可以拿到全部的代码,也不太可能提供像Salesfore.com那样专业的服务。鉴于此,源代码不应该成为一个关注的重点。
IT部门与SaaS的关系
一直以来,IT部门负责硬件、软件、网络、系统的安装、项目和服务等工作。而今天,业务人员突然发现只要能连上互联网和有一张信用卡,这一切都可以轻松搞定。这肯定会给IT部门带来很大的挫折感。哈佛商业评论上发表的著名评论《IT不再重要》更加重了他们的担心。
实际上,尽管SaaS改变了我们使用IT的方式,但是仍然有很多东西不会改变,那就是IT部门必须介入并做出很多的努力,以保证系统安全以及企业的保密要求。
总体而言,SaaS给企业提供了一个降低成本、提高运营效率的契机,但是,作为一种新的IT运营模式,SaaS同时也需要用户改变传统的思考和评估IT系统的方式。签订合同时,用户就不应该把宝押在制定惩罚性的条款和拿到源代码上,而应该提前考虑好业务连续性的问题,要预先选择好候补的供应商,自己做好内容的备份,制定一个迁移到新的供应商的计划等等。