企業如何善用 ASP 應用服務供應商（下）

─ASP之外包管理與合約簽定─

　　於十月份的e-Business專欄，我們雖然描述了ASP的諸多美好遠景，但是本土企業對ASP的運作模式仍然處於摸索的階段，因此，可以用「既期待，又怕受傷害」來形容。到底企業是否應該採用ASP？如果決定採用，又應如何選擇適當的配合廠商？該ASP廠商又應該提供何種服務水準？而當其所提供的服務發生問題時，應該如何處理？其罰則又應如何訂定？

　　 面對上述種種問題，不論是ASP廠商或是其客戶，可能都會有一點害怕，因為ASP所提供的是整合性的服務，必須將各種軟體、硬體、網路設備、維修及支援等服務串連起來，由於其背後的服務機制牽涉到各類型的合作夥伴，因此其運作的複雜性相當高。

　　 「一般認為一個完整的ASP必須具備應用軟體、網路基礎建設、以及服務之提供，因此ASP業者必須整合價值鏈(Value Chain)各個或部分環節，建立自身之經營模式，將服務提供給客戶（一般以中小型企業用戶為主），企業在選擇ASP時應特別注意考慮：營運之管理、加強企業流程之進行、技術之管理（包括營運監測、技術資源之管理、升級及存檔等）、維護、繼續性的知識移轉、以及即時的互動的支援等。」太穎國際法律事務所詹婷怡律師針對企業如何選擇與評估ASP廠商，提出其專業的看法與建議。

　　詹婷怡認為ASP基本上是委外服務的進一步延伸，它結合了資訊委外服務與網際網路的應用，而想要達成雙贏的局面，必須經由ASP與企業用戶談判達成一份服務水準協定(Service-Level Agreements; SLAs)，基本上委外是將企業內部一定之工作交由外部人員來完成，性質上近似於我國民法上之承攬契約。這其中，雙方同意的層次及內容必須清楚詳細，也就是說必須有效界定服務之內容，但同時也要保持適度之變通性以因應企業之需求。目前ASP業者與企業用戶間有前述諸多議題亟需要協調，尤其「服務品質」及「資訊安全」一向為資訊委外服務之瓶頸，仍有待ASP業者之努力，以強化企業委外之信心。

　　SLA所牽涉的範圍相當廣泛，其可能包括的項目有服務的範疇與責任、系統效能、軟體昇級、網路安全、支援服務、瑕疵擔保、違約罰則等，詹婷怡提醒採用ASP的企業於訂定契約時一定要注意報酬的支付問題，務必使報酬分項和服務內容能夠相對應，而運用ASP所產生的交易資料是屬於客戶或ASP所有也要有明確的定義。

　　企業為了確保自己的權益，則必須熟悉協商與談判之技巧以達成協議。詹婷怡建議協商的各方畫出清楚的界限，一方面是彼此利益；而另一方面，是協商的議題，以及各方在這些議題上的立場，如：

　　1.委外作業的動機，與每一項動機相關的利益所達成的成果。
　　2.最能讓您的組織成功的委外型態。
　　3.最適合您組織的合約期限或時間長度。
　　4.有助於激勵與約制ASP業者，不讓其有投機行為的合約條款。
　　5.有許多戰術能以較有利的或是強烈的方式表明自己的立場，當然，能不能用這些戰術，要視您的談判力
　　   量而定。
　　6.根據最有利的方式，訂下談判的底限。

　　此外，談判時立場要堅定，對於每個重要的關鍵議題，都要想出一個策略，包括一個或更多的讓步位置，如此談判時才不會亂。如果您不能得到您所想要的結果，則應考慮能接受的其他途徑是什麼？如果可接受的第一途徑走不通，那可接受的第二途徑又是如何？而協商小組的成員組合可能要包括法務、財務及技術人員；如果人事問題很重要，人力資源的成員也應加入協商小組。其他應注意的協商事項包括：

　　1.要確定ASP的技術人員也參與協商，而不是只有業務人員。因為技術人員知道ASP能力的限度；而業務人
　　   員只是負責業務而已。

　　2.找來協商的人，要有做決定的能力與授權，也要求ASP做到這點，否則就是浪費時間。

　　3.當同時與數個ASP協商時，要為提供最佳條件設下截止日期，這是在談判桌前取得最佳條件的戰術。

　　4.促進ASP間的競爭，首先要做條件表單，利用提案說明書來蒐集ASP對挑戰ASP的重要性問題作回答，
　　   接著讓兩個ASP進入最後階段，他們必須回答非常困難的問題。與個別ASP協商，並做適當的評鑑，以
            確認ASP對所有在條件表單上的關鍵性問題做出了回應。

　　5.對協商的重要題題應保持集中，並先解決這些問題。不要讓ASP覺得把議程花費在瑣事討論上，直到後
           來才因時間壓力，趕著解決真正重要的問題。從提議的合約（可以是您的或ASP的）開始協商，並且逐步
　　
　　進行討論，用正反對照方法處理重要議題。說明議程由重要議題開始，取得同意，並遵守議程。
經過協商、談判之後，基本上企業會先與ASP簽定一個主約，然後另外簽一份維護合約，有時維護合約只是主約中的一個條款，一般而言，這一類資訊委外合約通常會持續一段時間，例如五年，不太可能只有一年。而合約內容對包括不能超過多少小時當機，其備用電力如何皆要規定清楚，對於大家所最擔心的安全問題，更是一定要有所約定，清楚地說明風險的分擔原則，對此，詹婷怡表示ASP可利用保險制度分散風險，不但可以藉此提昇形象，同時也可以協助企業跨越心理上的障礙。

　　企業成功利用ASP之關鍵在於詳細的計劃、談判、持續且確實地執行、有效之管理、嚴格地監督等。對於企業最關心的「資訊安全」問題，詹婷怡進一步提出其個人獨到的見解，她表示安全議題不只是技術問題，還牽涉到管理問題，ASP必須清楚說明其安全政策，防火牆等安全技術當然不可或缺，防毒及防止非法入侵之機制必須建立，對ID code 或password之審查及使用應建立規範，專人負責安全議題之報告與回應，當受雇人員離職時如何規範等；必要時尚應透過保險機制來分散風險；並應於SLA約定保密義務及安全維護責任。
　　
　　由於安全問題主要是人的因素在搞鬼，包括ASP廠商和客戶本身都要注意安全管理的問題，ASP廠商於員工聘雇時應簽訂保密協定，要求員工不得侵害他人的智慧財產權，同時強制員工要嚴守客戶的密秘，不能洩露給其他人，如此，將可有效降低發生安全問題時，ASP廠商於刑事及民事上應負的責任，保密協定一方面可以保護自己，降低自己的惡意，同時也可以降低安全上發生問題時的風險於某種程度之內。 
　　
　　隨著商業上日趨激烈的競爭攻防以及優秀人才難覓，愈來愈多專業人士離職轉戰其他企業甚至是競爭對手之案例發生，此情形在高科技產業尤熾，一般企業應如何避免在商場上維持競爭優勢之營業秘密及專有資訊不為他人利用，以及本身如何避免誤觸相關法令，是每一個企業應正視之問題。有了相關規劃環境，真正還是需要企業注意相關營業密可能流失之管道、建立合理之保密措施制度等，可行的因應之道包括：

　　1. 企業如僱用曾於其他相關企業任職之新任員工時，應以書面告知其不得使用或揭露與其前所任職企業工
　　　作有關的資訊，並要求新僱員工簽署被告知上情的聲明，並應隨時提醒其應遵守上開聲明之義務，以避
　　　免捲入糾紛當中。

　　2. 訂定企業保密措施制度及內部調查程序，可包括：人事查詢之運用、員工保密協定之簽訂、與他人如委
　　　外專案人員等簽訂保密契約、相關營業秘密建檔加註機密字樣、Intranet安全維護等，同時在發生未經授
　　　權使用可能構成他人營業秘密之嫌疑時，即可快速調查，並將該資訊隔離，以免其進一步擴大損害；更
　　　重要的是，與營業秘密所有人合作調查可能未經授權使用資訊之情形，展現企業誠意，並建立企業的倫
　　　理形象。

　　3. 要求員工詳細記錄對其新產品、新製程或新客戶的發展工作，以免其研發工作係利用他人的營業秘密而
　　　發展。

　　4. 企業在進行技術移轉時，應簽署保密協定，明定雙方應保密之事項；企業並應詳實紀錄其對外公開或交
　　　換之資訊。

　　落實企業內部控制與管理是維護企業營業秘密最有效之方式，如果企業能夠切實執行上述幾點，可建立真正尊重智慧財產權及專有資訊之制度，並減少可能的未授權資訊使用；反之在不利於己之情形發生時，企業亦可藉由前開員工保密協定與第三人保密契約或協定之簽訂免除其事先知情之責任，並將企業之法律風險與成本降到最低。

　　雖然我國ASP尚處於發展階段，然而由於ASP將有助於提升中小企業的資訊應用程度，以及解決資訊人才不足的問題，非常適合於以中小企業為主體的台灣產業。而隨著越來越多的企業加入ASP產業的行列，可預期的是這一、二年ASP將逐步的邁入成長期，企業只要能夠留意上述各種原則，將可獲得更周全的服務與保障。

【能力視窗】

評選ASP廠商的十大問題

　　資策會產業分析師周樹林表示：「傳統委外業者所面臨的問題，也將會是ASP業者最大的阻力，特別是品質的認定與安全性。因此，透過SLAs來評選ASP，成為企業降低風險的重要方法，從使用者的角度來看SLA至少需要包含可用性(availability)、安全性(Security)、效能性(Performance)與客戶服務四大部份。」
　
　　此外，他建議企業在評選ASP業者時，不仿以所列的十大問題做為評估的基本原則，以建立互信的基礎，達到合作興利的目標。

　　1.應用軟體是擺放在共用的伺服器或是獨立的伺服器? 獨立的伺服器必須不會因為別人的資料流量太大而影
　　　響自己的存取速度。
　　2.ASP如何擔保資料的安全性與有效性、服務的品質與系統的擴充性?
　　3.ASP如何管理日常資料備份與緊急災難復原?
　　4.ASP是否提供客戶安全的連線保證(例如透過VPN)?
　　5.除了Browser之外，還需要哪些軟體或硬體配備才可以使用ASP服務？
　　6.誰負責提供應用軟體的第一線支援服務？是ASP還是軟體公司？
　　7.ASP是否提供系統上線與教育訓練服務？如果沒有，由誰提供？
　　8.軟體升級的程序為何？ASP如何管理？
　　9.網路斷線或者資料遺失時，ASP要如何處理？
　　10.ASP是否提供有關應用軟體存取與使用記錄等報告？

【能力視窗】

SLA之簽訂與應注意之條款

　　為了避免產生不必要的爭端，並有效解決解決企業對於服務品質的疑慮，國內亟待建立服務水準協定之範本，而詹婷怡律師所提出的注意條款相當具有參考價值，茲詳列如下：

1.定義：就何謂協議當中所稱之服務內容、交易平台、程式、工作說明等應清楚定義。

2.服務內容：即所謂契約標的，企業用戶需求之內容涵蓋之模組及範圍、維護、擴充性與技術支援等議題，特別是應指定服務之需求及等級，而且應指派專人說明範圍、規格及期間等細項，如頻寬容量等。

3.CPU效能臨界值、Memory臨界值、Data　Disk臨界值之約定：應約定在一定之使用率情形下進行擴充計劃。

4.服務之報酬：是否包括育成輔導與顧問服務費用、專案開發費用、平台使用費、營運與交易費用、或是技術支援與維護費用等，應將報酬分項與服務內容相對應，並明確約定支付方式，攤提或一次付清；一般可能包括依使用軟體模組數計、依交易計、依使用功能次數計、或依存放資料量大小計。

5.智慧財產之歸屬及擔保。

6.交易資料（包括商流、資訊流、物流及金流）等之歸屬及保密。

7.技術支援與維護：可包括一般之技術支援，以及諮詢服務、保固、修改、新增功能、以及版本升級等；有時可能分別以服務維護合約訂定，則自應一並審酌。

8.系統交付與安裝、以及相關環境設定之約定。

9.教育訓練。

10.作業管制：如追蹤、稽核、控管等。

11.系統異常之處理：包括故障或中斷之處理及速率，一般可約定年當機或月當機之時間限制，以及系統恢復時間之限制；同時也應約定系統備援接替運作之時限。

12.安全維護責任：以財政部頒佈之「個人電腦銀行業務及網路銀行業務契約範本」第十二條資料安全之規定為例，明文為：「雙方應確保電子訊息安全，防止非法進入系統、竊取、竄改或毀損業務記錄及資料。因第三人破解授權使用者代號或密碼而入侵網路系統（駭客行為）所發生之損害，由銀行負擔其危險。」，但涉及舉證責任問題，ASP亦可考慮利用保險制度分散此項風險。

13.使用者代號或密碼之保管、管理及防範等。

14.服務維護及服務品質之認定標準。

15.瑕疵擔保。

16.保密條款：特別是ASP之受僱人或受聘人，或其另行外聘之協力夥伴，是否ASP應負同一之責任亦應約定。

17.資料庫之歸屬及管理使用，針對raw material之日常作業、整理、擷取、編排、分析、設計等之需求執行。

18.責任。

19.解除條款。

20.合約期間與終止。