IT是一个技术领域,但是它也会牵扯到其他人、固定格式合同以及协议管理、采购设备或者很多其他的牵涉到法律问题的领域。你可能不是一名律师,但是如果你是一名IT经理,或者有志于成为一名IT经理,你应该了解以下这些法律问题。
1. 格式合同
绝大多数的厂商会告诉你不可能修改厂商合同。这是因为厂商需要花钱才能让自己的律师修改已经是行业标准的格式合同。但是这种一刀切式的合约方式并不总是能够适合于客户。如果你有特殊的需求(例如服务品质协议),你希望你的厂商能够满足,可是这些要求是厂商提供的格式合同中所没有的,你或者你的律师就可以自己起草附加文件,并且增加一个封面页,说明格式合同和你编写的附加文件合在一起才是完整的合约,如果格式合同之中的内容和附加文件之中的内容有冲突,那么以附加文件为主。这样厂商就不必一定去麻烦法律团队,而你也得到了自己想要的书面保障。
2. 服务品质协议(SLA)
很多厂商在它们的合同中没有包含既定的服务水平协议(SLA),这种厂商的数量大得惊人,但是你可能会向你的客户承诺你自己的服务品质。最低限度上说,你的供应商应该能够应该能够达到这些领域的标准——例如在平均时限内恢复,在平均时限内修复、正常运行时间、处理速度和安全性等。服务品质协议是企业在厂商格式合同中添加附件的最常见内容。
3. 第三方责任
如果你在考虑使用基于云的厂商,你应该问的第一个问题就是这家厂商是否拥有属于自己的数据中心。如果答案是否定的,这家厂商是从第三方租用数据中心并运营着销售给你的应用程序,那么这里就亮起了一盏红灯。为什么?因为你的应用程序厂商所使用的、拥有数据中心的第三方厂商和你之间不存在任何直接的合同关系(或者义务)。虽然关于这个问题存在着法律理论上的争论,但是这无论如何都是一个问题。避免这个问题最干脆利落的方法就是寻找拥有自己数据中心的云厂商。
4. 雇佣业务伙伴的员工
雇佣员工总是会有风险,因为你永远也不会了解新员工是否能够胜任工作,直到在一段时间之后你看到了他们的工作表现。这就是为什么很多企业会去寻找比较了解的新员工——这也是为什么IT专业人士总是会从厂商跳槽到客户或者从客户跳槽到厂商的主要原因。如果你担心你的重要员工会跑到潜在的商业合作伙伴那里去,那么解决这个问题的最好方法就是在你们的业务关系建立之初就说明一些基本规则。通常情况下,企业可以约定厂商必须至少合作一年之后才能够从公司挖人,或者厂商必须为流失的员工支付一笔费用。同样的一套规则反过来也适用。
5. 承包商责任
当一家公司雇佣外部承包商来完成某项工作(例如编写一个移动应用程序的代码),他们可能会使用该公司的IT资产来完成工作,但是他们使用的是自己的方法和专业知识。这就关乎法律了,因为这些人是独立受雇的,因为他们受制于他们自己的专业知识和工作方法,因此如果他们的工作出了差错,他们对你的公司没有义务和责任。这种情况的一个例外是如果承包商在做的是极端危险的工作(例如为核反应堆编程),那么企业应该自己保持控制并进行监督,或者根本就不要将工作承包给他人。
6. 终止和违约金条款
公司急于签订新合同,但是他们往往在退出条款上未能尽责。曾经出现过有些开放的IT服务合同没有截止日期或者有着不合理的违约金条款的情况,企业应该选择退出这些合同。你和你的律师在合同尾部的虚线上签名之前,应该非常仔细地检查厂商合同里的终止条款/违约金条款。如果厂商合同缺少终止条款/条件,就需要用合同附件的方式增加这一条款。
7. 数据保留和电子发现
联邦民事诉讼规则(Federal Rules of Civil Procedure Rules)26条和34条定义了电子邮件、社交媒体、短信、企业社交通信和网站内容是以电子方式存储的信息(ESI),企业应该出于法律或者保留证据的目的保留这些信息。如果企业IT没有这些信息,企业可能会承担销毁证据的责任,也就是“故意、鲁莽或者无意间扣留、隐藏、变造、伪造或者破坏与诉讼相关的证据。”
IT在这个过程中扮演了重要的角色。满足电子发现和法律业务要求的数据保留政策必须被写下来,并且得到IT和其他业务部门的同意。同样重要的是,企业特别是企业的IT部门必须向外部审计员/检查者证明这一政策得到了严格地执行。贯彻这一政策不仅仅是要做好数据防护和保存,还要妥善处置不再“服役”的硬盘和其他存储媒体,确保安全。目标是要让不再使用的任何存储媒介在离开大厦的时候不能残留任何数据。
8. 供应商被收购
这是你最可怕的噩梦,但是这种情况不止一次地在企业里出现:企业对旧的供应商的业务合作关系不满意,放弃了这家供应商,用一家新的供应商取代了这家旧的供应商。一切都很顺利,直到有一天公司收到了通知,旧的(而且是不满意的)厂商即将收购新的厂商。从法律角度解决这种状况非常简单,只要在你同新厂商的合同里写明你保留在管理控制发生变化(例如收购)的时候终止协议的权力就可以了。
9. 监管和安全要求
对于绝大多数的IT人士来说,如果你无法让IT符合你所在的行业的新的法规或者安全要求,那么不用说,你所在的公司会不得不面对法律后果。然而,对于规模较小的IT部门来说,现实是他们无法负担遵从每一项新法规所需要的资源。如果你也处于这种情况,担心落后会带来不好的法律后果,那么最好的起点就是监管机构本身。在某些情况下(金融行业是一个很好的例子)遵从法规是必需的,在另外一些情况下,规模较小的组织被允许按照较低标准遵从法规。
10. 审计
除非绝对有必要,审计常常被认为是在削减费用的可以被砍掉的费用。有时候这是好的策略,但是情况正在变得越来越不同。目前的入侵和安全威胁水平很高。法律的底线是审计应该被视为强制性的而不是一种可以自行裁量的费用。它们是你从有技能的第三方那里获得的文件,表明你有能力履行你在信息管理方面的职责,对你的股东负责。
http://www.techrepublic.com/blog/10-things/10-legal-areas-that-it-managers-should-know-about/