当新冠疫情席卷全球,居家办公成为一种新常态时,以外包服务商场所为业务支撑的商业流程外包(Business Process Outsourcing, BPO)面临着在交付地点、数据及网络安全、客户介入权和客户技术植入等方面的违约风险与不确定性。对具有财务、采购、数据、人事等的内部共享服务中心的大型企业集团,其集团内的独立法人共享服务中心对其服务的关联企业也面临着与外部BPO外包服务商类似的问题。首先,BPO服务商可能并无合同依据来完成从“外包服务商场所”到“居家交付”的过渡,而且交付地点的数据及网络安全标准和变更程序也使得服务商稍有不慎就深陷违约的泥潭;其次,即使居家交付的BPO服务商可以采取技术措施来预防数据网络攻击,但是诸如公共网络环境、网速等不可控的风险也让违约成为BPO服务商头上的达摩之剑;再次,疫情的不明朗和对风险的厌恶情绪也可能导致客户对其BPO服务商行使介入权,不过与服务商居家远程系统的兼容性可能会是最大的障碍;最后,部分客户会要求将其技术工具植入服务商的系统,而对于最后承担责任的BPO服务商而言,客户技术植入究竟是祸是福?
本文原文为英文,为澳大利亚国际商事仲裁中心(Australian Centre for International Commercial Arbitration)半年刊(The ACICA Review, Mid-Year Edition 2020, JUN 2020 | Vol 8 | No 1, ISSN 1837 8994)中发表的唯一一篇来自于中国律所的文章。
英文原文可通过点击文末左下方“相关下载”,进行阅读及下载。
随着新冠疫情的全球爆发及其社会经济影响的不断深化,它对全球商业也产生了深远的影响。最值得注意的是,某些行业能够过渡到居家办公的模式,以确保能够继续照常营业。但是,与这些能够平稳过渡到居家办公模式的行业不同,商业流程外包(Business Process Outsourcing, “BPO”)行业的核心是以在固定且安全的交付场所(“交付中心”,Delivery Centre)为客户公司(“客户”)提供服务,因此,BPO服务提供商(“BPO服务商”)面临着更大的挑战。如果BPO服务商也转变为居家办公(即“从家交付”)的模式,出于对潜在的网络安全、数据安全和服务水平的顾虑(包括但不限于《通用数据保护条例》的规定)[1],客户恐怕难得一夕安寝。这场转变还可能会引发BPO行业中独有的争议点。鉴于BPO协议通常选择仲裁和调解作为争议解决的方式,本文也将试图分析此等争议解决中的一些考量因素。
一个硬币的两面
在分析从家交付模式造成的典型争议点之前,我们不妨先理解一下在BPO协议下双方可能产生的顾虑。
一方面,在当下这个过渡到居家办公模式的时代,BPO所必须采用的特殊商业模式会使客户担忧:当BPO服务商员工从家交付而非在交付中心工作,各种安全还有保障吗?对于采取从家交付模式的BPO服务商而言,其应当如何履行其合同义务以遵守约定的最优操作规程?如果发生违约事件,客户是应该自认倒霉(基于不可抗力或艰难情势),还是可以追究BPO服务商的责任?如果BPO协议(通常期限超过五年)需要修改或变更,那么哪些条款需要加以考虑?
另一方面,我们还必须认识到当今BPO服务商所面临的困难。要让其工作人员从家交付,BPO服务商可能需要进行重大的技术升级并修改现有的BPO协议。某些从家办公技术(例如zoom)尽管具有创新性,但可能不够安全或稳定,无法保证BPO服务商能够稳定地为客户提供符合合同所约定的服务水平(Service Levels)的服务。除此以外,困难也可能来自于BPO服务商无法控制的因素,比如互联网基础设施的带宽,这与一个地区的电信基础设施有着直接的关系。现有的BPO业务连续计划(Business Continuity Plan)或灾难恢复计划(Disaster Recovery Plan)虽然可能已考虑到将服务从一个交付中心转移到另一个交付中心的情况,但可能没有预见到一场全球范围内旷日持久的大流行病,这意味着在疫苗诞生且价格适中之前,居家办公可能会是一种常态。
结合以上客户和BPO服务商的顾虑,我们现在可以更深入地探讨从家交付模式可能引起的几个热点问题。
工作地点(Working Location)
在以往的BPO协议中,工作地点条款或其附件中的《服务水平协议》(Service Level Agreement, SLA)通常会规定BPO服务商将在何处向客户交付BPO服务,但几乎不会涉及到从家交付的情形。
鉴于某些BPO服务的敏感性和保密性(例如为金融、信用卡、采购、人力资源和IT技术支持所提供的BPO服务),客户通常要求BPO服务只能从特定的交付中心交付,该交付中心需要符合某些物理和网络安全和数据标准。即使相关服务的交付地从一个交付中心转移到另一个交付中心,BPO服务商也需要事先书面通知客户并取得其事先同意。
但是,当交付中心的员工不得不开始从家交付时,上述要求应如何实现呢?如果BPO服务商未经客户事先同意就自行采用从家交付的模式,那么这可能就是直接违约。对该违约行为的补救,仅以服务费抵扣积分(Service Credit,服务商通常向客户提供此种积分来抵扣未来收取的服务费)可能还不够,因为服务费抵扣积分通常是用来补救对《服务水平协议》的可纠正瑕疵履行的。补救措施除了上述形式以外,还包括约定违约金或损害赔偿金。因此,BPO服务商不能低估擅自采用从家交付模式导致的违约后果。在BPO服务商突然过渡到从家交付模式之前,双方应提前做出安排,此种安排可以采用BPO协议的补充协议或书面变更的形式,并且结合下文讨论的其他主要考虑因素。
数据完整性、隐私和网络安全(Data Integrity, Privacy and Cybersecurity)
从本质上说,要求BPO服务商从特定工作地点(交付中心)服务客户是为了给客户的一颗定心丸——让客户对数据的完整性、隐私和网络安全安然无忧。约定的交付中心是符合客户和BPO服务商所在国法律所规定的有关数据、隐私和网络安全的适用标准的,而违反此类规定可能会招致监管机构的严厉惩罚,并导致双方声誉受损。因此,客户对工作地点(交付中心)是否合适的顾虑是合理的。
如果没有适当的技术调试,从家交付可能会破坏加密和其他安全处理。结果就是,BPO服务商正在处理的数据可能很容易就受到来自内部的疏忽或遭到来自外部的攻击的影响。为了解决这一问题,一些BPO服务商会提供并使用额外的安全设备,例如VDI(Virtual Desktop Infrastructure,虚拟桌面基础结构)和VPN(Virtual Private Network,虚拟专用网络),从而使从家交付尽量安全,并通过这些设备来检查其员工的工作计算机或自带个人计算机是否符合BPO协议中规定的安全标准。
然而即使有了这些积极措施,也仍然存在一些无法控制的因素。例如,员工家中的带宽可能时好时坏(如果家庭网络中的在线用户数量激增,那么网速就会大幅下降)。在这种情况下,服务效率可能会降低,从而导致BPO服务商违反《服务水平协议》。如果BPO服务商无法在事先约定的时间内补救该违约行为,那么客户自然就有权获得金钱赔偿。
客户的介入权(Client’s Step-in Right)
当人类不得不暂时和病毒共存,与其被动地依赖BPO服务商,客户难免会考虑依靠自己的努力和参与来减小有关数据风险。例如,客户可能会考虑:“如果我委派一个监督或协助的小组到BPO服务商那里,或是让其他人介入BPO服务商的工作,会不会是一个更好的选择?”
出于一种专业自豪感,一些BPO服务商反对将客户的介入权纳入BPO协议,无论介入者是客户还是由其客户聘用的第三方实体。介入权条款通常只赋予客户非常有限的权利来介入BPO服务商的工作。就从家交付而言,兼容性才是真正的障碍。
BPO服务商对其专业系统及其工作方法论感到自豪是有道理的,这不仅是BPO服务行业的本质,也是客户一开始就选择并委托BPO服务商的原因。但是,BPO服务商现有的系统可能无法兼容客户所尝试介入的技术或流程。在另一方面,客户的担心也是可以理解的,毕竟比起传统的交付中心,从家交付模式将对业务流程的无缝性产生负面影响,降低效率并危害客户的数据和专有信息。因此,客户总是会对意外事件感到紧张,这也迫使他们行使介入权,直接参与到BPO服务商的技术或流程工作中去。
对介入权的争夺最终可能无法避免。这样的争夺只在《服务水平协议》出现实质性的、连续的不达标,从而导致合同目的落空时才会考虑;但是,鉴于新冠疫情预计将持续更长一段时间(可能远超想象),一些客户或许下一秒就都会斟酌这项权利并由此来自救。
客户技术(Client’s Technology)
为了使从家交付更为便利,出于善意,一些有技术能力的客户可能想要以行使介入权的名义来将某些技术工具分享给服务商,而这种做法可能需要将另一个有关于客户技术的常见条款纳入原有的BPO协议。首先面临的问题是,客户是否具有合同基础使其能在特定情况下强制要求将其技术植入到BPO服务商的服务中。而在许多情况下,BPO服务商对此有发言权。原因很简单,因为BPO服务商需对所交付的结果负责,所以对于任何植入到BPO服务商技术环境的技术,他们都应该有最终决定权。然而,在BPO协议的协商和最终定稿阶段,双方可能不太会考虑如何限定“特定情况”。
通常,有关客户技术的合同附件需要经过大量技术、商务和法务的协商。背后的逻辑是:在BPO服务商使用客户植入的技术的过程中,对于由技术造成的故障或引起的损失,BPO服务商应当免责。然而,客户技术无法与BPO服务商现有的技术或环境协调配合,这使得确定违约的根本原因难上加难。客户向BPO服务商提供技术支持是一种善意的举动,本意是减少BPO服务商的违约,以保持应有的服务水平,然而,如果BPO服务商可以通过接受客户技术来免除其在该技术下的责任,那么这是否会使客户分享技术的善意落空?
结论:如何帮助
本文只是对BPO争议调解中的某些问题进行了简要分析。显然,世上并没有简单的解决方案。谨慎的仲裁员和调解员可能会提防极端情况(例如由于不可抗力或履行不能条款而提前终止协议)的发生,因为实际上,在BPO协议签署之前,各方已投入了大量的时间、人力和其他资本来达成该协议,并希望其能够如约持续履行。但如果BPO协议真的被裁定终止,那么后续移交工作(Transition-out)也是比较繁杂的。因此,在处理BPO争议后通过选择富有技术背景和业务经验的调解员来重构双方的合作并解决具体问题,会比贸然通过仲裁来裁定合同终止明智高效的多。
[实习生戴宇豪为本文的翻译提供了协助]
注释:
[1] 2016年4月27日欧洲议会和理事会(EU)2016/679条例,有关于在处理个人数据和此类数据自由流通方面保护自然人,并废除95/46 / EC指令[2016] OJ L 119/1。