云计算提供商的责任赔偿限额似乎是自相矛盾的。一方面，几乎所有的大型服务提供商都对客户说，“我们不对任何因为服务故障而导致的商业损失承担责任。”另一方面，CIO们不愿面对将公司数据放到云中而导致的财务风险。TechTarget的专家认为，如果不想把云计算仅仅用来承载非关键性数据，那么这种对峙状态必须得到解决。

　　Julio Gómez，Innovation Councils LLC公司（位于Massachusetts州的Concord，时常组织来自于各行业的CIO们一起进行战略研讨）的创始人，认为：“在服务提供商愿意承担的责任和客户需要他们承担的责任之间，肯定会存在着不一致。”关于云计算责任的事宜已经在讨论会上被数次提及，他说：“通常来说，服务提供商只愿意基于用户所付的服务费用进行退款赔偿。从长远来看，这在市场上是行不通的。”

　　Drue Reeves，Burton集团的研究总监，在San Diego的Catalyst conference上召集了由律师和网上保险提供商参加的座谈，主要讨论云计算提供商的责任限额，他表示：“在某种程度上我理解这种状态。”如果大型云计算服务提供商在多租户环境中接受针对每个用户的大量责任，他们所承担的总责任将很快超越其本身的价值。上市的服务提供商不得不公告其责任，从而导致不再有人愿意购买其股份。Reeves指出，没有任何服务提供商能够支付足以覆盖其责任的网上保险费。（关于网上保险，参见SearchCIO.com本周的后续文章）

　　“责任必须是共同承担的，合同双方都要理性对待，”Reeves说，“如果审视一下云计算，它由我们现有的技术构建而成。在技术层面，我们要解决的是一个个现实的问题。但是关于服务部分，我们还未能够完全了然，相关责任就是其中很主要的一部分。”

　　Tanya Forsheit，Information Law Group（位于洛杉基）的合伙创始人，认为服务提供商责任规定的条款和条件对于个人用户来说很简单，仅仅点击网站并使用信用卡即可，但是对于企业来说并非如此清晰明确。“你必须设法修正责任限制使服务提供商对其可接受，”她认为如果没有云计算相关法律的建立，“你将不得不作出妥协。”

　　很不幸，目前对于业界来说很少有现成的法规可以利用。绝大部分涉及数据违规的案例都以庭外调解的方式解决，也许服务商提供了赔偿，但是都没有形成判决或判例。比如，针对著名的TJX公司数据违规的诉讼，就以2.5亿美元赔偿的形式而平静地结束。Forsheit预测，在未来的两年内，将会出现一个案例出现在法官面前，其将对安全事故带来的损失进行明晰的概念界定。在此之前，企业还需要在这方面对服务提供商进行推动。

　　John Moss，位于旧金山的Salesforce.com的副总裁，代理律师和商业事物主任，认为在诸如Twitter.com和Facebook.com提供的B2C服务与Salesforce.com和Amazon Web Services提供的B2B服务之间也需要作出区分。

　　“针对B2B业务，我们面向大公司服务并且认为相互之间只需要共同承担一小部分责任，”Moss表示。Salesforce.com将责任限制在基本且直接的损失上。“如果服务故障，赔付数额可能将被控制在你对服务所付费用的范围内。如果出现了数据丢失导致你被客户起诉时，可能就需要自行支付费用，”他说，“但是我们会尽量避免所谓的衍生性损害（consequential damages），即那种间接带来的损失，比如你在信誉或者业务上的损失。”

　　云服务提供商责任限额：法律的灰色地带

　　现实地说，用户并不期望能得到全额的赔偿，但是他们希望服务商受到足够的惩罚以警戒自己尽量避免故障的发生，Gómez认为：“责任必须要对故障有抑制作用。”

　　Forsheit表示：“事故的原因是复杂的，但是所有一切都归结到究竟什么是客观上情有可原的。”一些州要求无论是云计算或是其他服务提供商，都要在合同中规定对个人信息的合理保护措施。她提到现在许多合同中用术语“合理的安全（reasonable security）”作为基础，但是通常服务提供商又会补充到：“这是我们的规定。但是由你来告诉我们其是否合理。”

　　诸如《健康保险便利和责任法案》（HIPAA）之类的法规对当数据受到侵犯时由谁来负责通知第三方有明确的规定。Forsheit认为数据的拥有者或者云服务的用户应该对此负责。云服务用户可能有意愿在这种通知的费用方面和服务提供商进行协商。

　　这些和责任限额有关的方面 – 包括网上保险，全球法规以及大规模数据违规带来的经济影响 – 使得行业观察家们对事情的发展方向持谨慎的态度。Drew Bartkiewicz，位于纽约的The Hartford Financial Services Group的技术和新媒体市场副总裁，认为：“我们正处于一个技术创新的进程中，在此过程中我们仅仅注意到资产，容量和成本；但是相比于2005年的时候，人们已经开始认识到损害会带来更深层次的影响”。他说：“2009年对数据违规来说是划时代的一年，而我们都还在这方面所知甚少。对于数据的侵害方式正在变得越来越复杂，无论在中国，拉丁美洲和中欧都是如此。我认为相对于过去的十年，数据侵害带来的后果会变得更加严重和深远。”

　　而且，Forsheit认为国际责任更是一个“梦魇”。没有任何先例和法庭意见供参考，除非遵守欧洲数据保护指令和实施法案，否则任何公司不能在国家间传输数据。这对数据出口来说意味着必须获得安全港（Safe Harbor协议：美国与欧盟之间关于个人数据隐私的协议）认证或者制定标准的合同条款。Forsheit补充说：“你必须和你的服务提供商讨论这些事宜。”