1. 预备阶段:准备材料和设定谈判目标
步骤:1) 收集需求清单(存储大小、带宽、CPU、IO、地域、合规要求如PDPO/GDPR/ISO27001等);2) 准备预算与授权人(谁有权签约、审批流程、支付方式);3) 制定谈判目标(最低SLA、责任上限、备份频率、数据返回期);4) 准备好合同模板和法务清单(列出必须保留或必须删除的条款)。小贴士:把目标分为“必须取得”、“可让步”、“可后置讨论”三类。
2. 初步审阅合同模板:逐条核对与标注
步骤:1) 用电子工具(如Word的修订模式或合同管理软件)将模板逐条审阅并做注释;2) 标注关键条款:服务范围(Scope)、SLA、计费、支付、保密、数据处理、子处理方、审计、责任限制、赔偿、终止与迁移、适用法律与争议解决;3) 将每条风险按高/中/低分类并汇总成清单交给技术、合规、法务与采购。输出:一份“问题清单(Question List)”用于首次谈判。
3. SLA与可用性条款的细化与谈判要点
步骤:1) 明确可用性百分比(例如99.95%)和计量方法(按月计);2) 约定故障发生时响应与修复时间(Response/Resolution Time)并列出不同严重级别的SLA;3) 要求SLA违约的补偿机制(服务费折扣或信用额度),并明确计算与申请流程;4) 要求包含维护窗口通知周期(例:72小时)和紧急维护的定义。注意:避免只写“合理努力”类模糊措辞,改为量化指标。
4. 数据保护、隐私与跨境传输条款
步骤:1) 明确数据控制者/处理者角色;2) 要求写入数据处理协议(DPA),包含处理目的、数据类型、保存期限;3) 若有跨境传输,明确传输国家、法律依据(如标准合同条款或企业规则);4) 要求技术与组织措施(TOMs)清单:加密(静态与传输)、访问控制、日志、备份加密;5) 要求供应商配合数据主体请求的流程和时间窗(如30天)。实操:将DPA作为主合同附件并签署。
5. 备份、恢复与演练:写入可测量的条款
步骤:1) 规定备份频率(如每日增量,周全备)与保存周期;2) 明确恢复时间目标(RTO)与恢复点目标(RPO),并写入合同数值;3) 要求年度或半年度恢复演练(演练范围、通知期、报告);4) 规定备份存放位置(异地/同机房/第三方)与备份加密要求。谈判策略:对关键业务提高RTO/RPO等级并争取可执行的赔偿条款。
6. 访问、审计与第三方托管/子处理方管理
步骤:1) 要求供应商提供定期安全报告(如ISO27001证书、SOC报表、渗透测试报告)并写入合同频率;2) 写明客户审计权利(年审一次、提前通知或无预告审计的条件);3) 要求供应商在合同中列出当前子处理方并承诺变动通知流程;4) 设定对不合规子处理方的处理措施(替换或解除合同)。实操:在问题清单中列出必须看到的证明材料。
7. 价格、计费与税务条款的核对实务
步骤:1) 明确计费周期与计量单位(小时/月/GB)与超额计费规则;2) 要求列出所有可能的额外费用(带宽峰值、流量、IP、安装、迁移、支援);3) 核对税务影响(香港是否征税、是否含税票据);4) 要求价格变动的预告期与最大涨幅上限。谈判提醒:争取一次性迁移费减免或首年优惠。
8. 终止、迁移与数据返回条款(Exit Plan)
步骤:1) 写明可无故提前终止的通知期与违约责任;2) 规定供应商在合同终止或到期时的迁移协助(包括导出格式、交付时间、费用豁免期);3) 明确数据删除与销毁证明的流程与时间(例如30天内完成并提供销毁证明);4) 要求在迁移期内维持原有SLA或减免迁移期间额外费用。实操:将迁移流程写成里程碑并与付款节点关联。
9. 责任限定、赔偿与保险条款的谈判重点
步骤:1) 审核责任上限(通常为年费或一定倍数),尽量争取提高或对关键损失(数据泄露、合规罚款)设例外;2) 要求供应商承担第三方索赔的赔偿责任并明确程序;3) 要求供应商维持一定额度的网络安全保险并提供保单摘要;4) 对不可抗力、间接损失等条款做明确界定并争取缩小免责范围。实操:如果供应商坚持低上限,争取额外的补救条款(更多SLA信用、免费延期服务)。
10. 合同条款的逐步谈判与红线管理(实操流程)
步骤:1) 第一次会谈:交付问题清单,确认重大分歧点;2) 起草红线版本:法务标注“红线”(不可撤销)与“橙线”(优先级高)与“绿线”(可协商);3) 与技术/合规并肩讨论供应商回复并做风险评估;4) 多轮谈判时保持版本管理(使用版本号与变更日志);5) 确认最终条款后做签署前的内审(合规/税务/安全);6) 签署并将合同及附件纳入合同管理系统。小贴士:谈判记录和邮件链是未来争议的重要证据。
11. 常见问题(问):签约前最容易忽略的技术或法律风险有哪些?
问:签约前最容易忽略的技术或法律风险有哪些?
答:常见被忽略的包括:子处理方未经授权的转移、备份未加密或存放在高风险区域、SLA以“尽最大努力”表述、责任上限过低(不能覆盖潜在罚款)、合同无明确迁移支持或删除证明、缺少渗透测试/合规证明。实操建议:对每项风险列出补救条款并在合同中写入明确数值或责任。
12. 其它问答(问):如果供应商拒绝修改模板中的某些条款,该如何处理?
问:如果供应商拒绝修改模板中的某些条款,该如何处理?
答:步骤为:1) 评估拒绝条款的业务与合规影响(重大/可接受);2) 对重大风险提出替代措辞或替代补偿(更高保险、额外监控、更多备份);3) 与内部高层确认风险接受度并记录决策;4) 若供应商坚持且风险不可接受,则考虑更换供应商或将该条款设为期限内试行并复审;5) 最后务必将任何口头承诺写入合同附件并由双方签署。
来源:企业签约前使用香港服务器托管合同模板的谈判要点清单