Проверка SaaS-контрактов, редлайнинг и споры
Я Сергей Токмаков, калифорнийский юрист (CA Bar #279869), проверяю и составляю SaaS-контракты с 2011 года. На этой странице описывается то, чем я занимаюсь в области SaaS: переговоры по order form, редлайнинг рамочных соглашений об услугах, споры по индемнификации и лимитам ответственности, споры по автоматическим продлениям в соответствии с законодательством Калифорнии, дополнения об обработке данных, передача прав на интеллектуальную собственность для интеграционных партнёров, а также анализ нарушений после подписания. Если Вы поставщик, клиент, партнёр канала или инвестор, изучающий SaaS-условия до подписания или после того, как сделка пошла не так, Вы попали на нужную страницу.
Какие вопросы я веду в этой области
- Order form и редлайнинг MSA. Проверка документации поставщика на предмет асимметричных условий с последующей выдачей чистого редлайна с комментариями юриста. Типичные цели: индемнификация без лимита, двусторонние против односторонних ограничений ответственности, исключения из индемнификации по ИС, кредиты по уровню обслуживания против возвратов средств.
- Споры об автоматическом продлении и отмене. Клиенты, оказавшиеся запертыми в многолетних договорах после пропуска окна отмены. Раздел 17602 Кодекса коммерции и профессий Калифорнии (Закон об автоматическом продлении) применяется ко многим B2C SaaS-подпискам и к некоторым B2B-ситуациям.
- Дополнения об обработке данных и приложения по безопасности. Формулировки поставщика услуг по CCPA/CPRA, условия от контролёра к процессору по статье 28 GDPR, передача субпроцессорам и сроки уведомления о нарушениях, соответствующие обязательствам клиента перед его собственными клиентами.
- Переговоры по индемнификации и лимитам ответственности. Исключения из лимита по индемнификации ИС, нарушению конфиденциальности, утечке данных, грубой небрежности и умышленному поведению. Структуры super-cap и формулировки об обязательном страховании.
- Соглашения с интеграционными партнёрами и реселлерами. Распределение доходов, условия размещения в маркетплейсе, OEM и white-label, программы технологических партнёров и перекрёстная лицензия на ИС, которая почти всегда составляется слишком узко.
- Прекращение SaaS и возврат данных. Отключение клиента, помощь в переходе, депонирование исходного кода и сроки возврата или уничтожения данных, которые почти всегда вступают в конфликт с собственными обязательствами клиента по хранению.
- Работа по нарушениям и спорам. Претензионные письма по неплатежам, неправомерному прекращению, неисполнению обещанных функций и существенным нарушениям. Досудебная или доарбитражная позиция, в том числе арбитраж AAA Commercial, когда того требует контракт.
Анонимизированные кейсы
SaaS-поставщик Series A столкнулся с индемнификацией ИС без лимита от клиента Fortune 500
Факты: аналитическая компания на ранней стадии готовилась подписать корпоративную сделку в шестизначной сумме, однако редлайн клиента требовал индемнификации ИС без лимита и формулировки «единственного и исключительного средства защиты», не предусматривавшей возврата предоплаченных сборов. Существующий лимит ответственности поставщика составлял 12 месяцев платежей. Команда закупок клиента уже дважды отклоняла предыдущие редлайны.
Что я сделал: я переписал индемнификацию как super-cap на уровне двукратной годовой суммы платежей, добавил исключение со стороны закупок по contributory infringement клиента и переписал формулировку «единственного и исключительного средства защиты» так, чтобы сохранить возможность судебного запрета и расторжения с возвратом средств при существенном нарушении. Я подготовил для основателя меморандум о переговорах объёмом в одну страницу, который тот отправил вместе с редлайном и в котором объяснялось, почему каждое изменение соответствует общепринятой практике корпоративного SaaS.
Результат: клиент принял super-cap и исключение по contributory infringement. Формулировка «единственного и исключительного средства защиты» была уточнена с сохранением права на расторжение. Сделка закрылась в первоначальные сроки.
Клиент оказался заперт в трёхлетнем автопродлении после пропуска уведомления об отмене
Факты: небольшой бизнес-клиент подписался на SaaS для автоматизации маркетинга примерно за $24,000 в год. Первоначальный срок составлял один год с автопродлением на последовательные трёхлетние периоды, если расторжение не оформлено за 60 дней до даты продления. Клиент пропустил окно отмены на три дня. Поставщик выставил счёт за полные три года продления авансом.
Что я сделал: я проверил исходное click-through соглашение, уведомление о продлении, которое поставщик утверждал отправленным, и архив электронной почты клиента. Уведомление о продлении не соответствовало требованию о ясном и заметном раскрытии условий продления, предусмотренному Законом Калифорнии об автоматическом продлении. Я направил претензионное письмо со ссылкой на раздел 17602 Кодекса коммерции и профессий и потребовал либо освобождения от продления, либо перехода на помесячный режим.
Результат: поставщик согласился перевести продление на годовой срок по сниженной ставке с чётким напоминанием об отмене за 90 дней до следующего продления. Клиент восстановил около $40,000 спорной суммы.
Партнёрская API-программа требовала широкой передачи ИС по «совместно разработанным интеграциям»
Факты: бутиковый интегратор CRM собирался подписать партнёрское соглашение с крупной платформой. Соглашение содержало пункт о передаче платформе всей ИС в любых «совместно разработанных интеграциях» без определения совместной разработки и без исключений для уже существовавших инструментов и библиотек интегратора.
Что я сделал: я переписал пункт о передаче как обратную лицензию. Интегратор сохранил собственность на всю предсуществующую ИС и на любой код, разработанный независимо. Платформа получила неисключительную безвозмездную лицензию на использование интеграции внутри маркетплейса, а также право первого согласования эксклюзивной перепродажи. Также я добавил период исправления для снятия с маркетплейса, чтобы платформа не могла удалить интеграцию без 30-дневного уведомления и без указания причины.
Результат: платформа приняла структуру обратной лицензии. Интегратор сохранил право продавать аналогичные интеграции конкурирующим платформам, что в течение двенадцати месяцев стало значительной долей его выручки.
Применимые статуты Калифорнии и федеральное законодательство
Ниже приведены правила, на которые я чаще всего ссылаюсь в работе с SaaS. Это рабочий перечень, а не трактат.
- Cal. Civ. Code раздел 1668, аннулирующий договорные освобождения от ответственности за мошенничество, умышленный вред или нарушение закона.
- Cal. Civ. Code разделы 1670.5 и 1671, кабальные договоры и заранее оценённые убытки.
- Cal. Bus. and Prof. Code раздел 17602, Закон об автоматическом продлении, применяемый ко многим SaaS-подпискам.
- Cal. Bus. and Prof. Code раздел 17200, Закон о недобросовестной конкуренции, часто заявляемый параллельно с нарушением договора при недобросовестных практиках продления или прекращения.
- Cal. Civ. Code раздел 1798.140 и далее, CCPA/CPRA, в особенности обязательства поставщика услуг и контрактора, а также договорные формулировки, необходимые для квалификации.
- Cal. Comm. Code раздел 2, статья 2 UCC о продаже товаров, иногда применима, когда SaaS поставляется в комплекте с оборудованием или с лицензированным и поставляемым программным обеспечением.
- Federal Defend Trade Secrets Act, 18 U.S.C. раздел 1836, для случаев присвоения, связанных с SaaS-доступом.
- Правила CCPA/CPRA, изданные California Privacy Protection Agency, включая недавние правила об автоматизированном принятии решений и оценках рисков.
- Статьи 28 и 32 GDPR, условия от контролёра к процессору и безопасность обработки, когда у клиента есть субъекты данных в ЕС.
- Коммерческие арбитражные правила и процедуры медиации AAA, если контракт требует AAA Commercial, а не Consumer.
- Калифорнийская судебная практика: Armendariz v. Foundation Health Psychcare Servs., 24 Cal.4th 83 (2000), о кабальности арбитража; Sanchez v. Valencia Holding Co., 61 Cal.4th 899 (2015); McGill v. Citibank, 2 Cal.5th 945 (2017), о публичных запретительных мерах; и Discover Bank v. Superior Court, 36 Cal.4th 148 (2005) (база до Concepcion по отказам от коллективных исков).
Я сверяю цитаты с действующими статутами и правилами до того, как они попадут в результат для клиента. Статуты и сетки тарифов AAA меняются; одной только ссылки на титульный лист недостаточно.
Примерные пункты, которые я проверяю в каждой SaaS-проверке
Это контрольный список, который я применяю в типичной проверке документации со стороны поставщика или клиента. Каждый пункт даёт конкретное замечание для редлайна.
- Ограничение ответственности: симметричен ли лимит, какой множитель платежей и какие предусмотрены исключения.
- Индемнификация: является ли индемнификация ИС двусторонней, есть ли обязанность защищать, каковы условия со стороны закупок.
- Автопродление: как доставляется уведомление о продлении, какова окно отмены, удовлетворяет ли раскрытие требованиям раздела 17602 Кодекса коммерции и профессий.
- Уровни обслуживания: является ли кредит за uptime единственным средством защиты, есть ли право на расторжение при хронических сбоях, складываются ли кредиты.
- Обработка данных: включается ли DPA по ссылке, поименованы ли субпроцессоры, каковы сроки уведомления о нарушениях.
- Передача ИС против лицензии: кому принадлежит индивидуальная разработка, что сохраняется после прекращения, обрабатываются ли отдельно фоновая ИС и обратная связь.
- Разрешение споров: какой форум, какие арбитражные правила, какая площадка, есть ли отказ от коллективного иска, есть ли исключение для публичной запретительной меры.
- Прекращение по усмотрению и по причине: периоды исправления, возврат предоплаченных сборов, помощь в переходе, возврат или уничтожение данных.
- Конфиденциальность: как долго сохраняется, каковы исключения, корректно ли накладывается DPA сверху.
- Страхование: требуемые полисы, лимиты, статус дополнительно застрахованного, уведомление об отмене.
Что меняется между проверкой SaaS со стороны поставщика и со стороны клиента
Пункты пересекаются. Инстинкт - нет. В документации поставщика я обычно ищу исключения, защищающие существующую маржу поставщика, и механизмы партнёрства и перепродажи, позволяющие расти без перезаключения договоров. В документации клиента я обычно смотрю на структуру лимита, механику возврата данных при выходе и арифметику кредитов SLA, которую коммерческая команда поставщика округлила в свою пользу. Простой и повторяющийся пример: один и тот же SLA по uptime, написанный со стороны поставщика, делает сервисные кредиты единственным и исключительным средством защиты и исключает плановое обслуживание из простоев; написанный со стороны клиента, он сочетает кредиты с правом расторжения при хронических сбоях и ужесточает определение окна обслуживания. Договор имеет ту же длину; рычаги - разные.
Также при проверках со стороны клиента я уделяю значительно больше внимания дополнению об обработке данных. DPA - это документ, который переживает переговоры сделочной команды, подписывается под давлением сроков и затем тихо регулирует обработку Ваших клиентских данных в течение следующих двух-четырёх лет. DPA, в котором не названы субпроцессоры, не зафиксирован срок уведомления о нарушении, который клиент сможет передать своим собственным клиентам, и не согласовано распределение субпроцессоров с базовыми клиентскими договорами, - это тот DPA, который я вижу чаще всего.
Споры по SaaS после подписания договора
Когда SaaS-сделка уже пошла не так, последующие действия зависят от того, кто перестал исполнять обязательства. Если клиент перестал платить, а поставщик перестал поставлять, в договоре, как правило, есть проблема последовательности: кто первый нарушил и оправдано ли неисполнение другой стороны первым нарушением. Работу со спорами по SaaS я начинаю с составления хронологии: что было обещано, что было поставлено, что было оплачено и какие уведомления были направлены. Повторяющаяся закономерность в том, что одна из сторон перестала работать задолго до того, как сказала об этом другой стороне, и переписка либо поддерживает, либо опровергает это прочтение. Я просматриваю переписку до того, как что-либо составить.
Другая повторяющаяся SaaS-проблема - провал в поставке функции, когда поставщик не выполнил ключевую обещанную функцию, а клиент хочет возврат средств. Договор обычно не позволяет возврат; пункты «сервисный кредит как единственное средство защиты» делают основную часть работы, чтобы этого избежать. Рычаг возникает из подразумеваемого условия добросовестности и честных деловых отношений, из любого определения «существенного нарушения», привязанного к функции в SOW или order form, и иногда из заявления о вводе в заблуждение, если функция письменно продавалась как уже готовая. Я излагаю рычаги в одностраничном меморандуме до претензионного письма, чтобы клиент мог решить, является ли реалистичным частичный возврат, кредит к продлённому сроку или прекращение со структурированным сворачиванием.
Типичные диапазоны гонораров
Указанный диапазон - это меню, а не предложение. Длинные корпоративные документы, многоюрисдикционные DPA или агрессивные контрагенты со стороны закупок сдвигают цену к индивидуальному расчёту. Я скажу Вам, какой уровень подходит, до оплаты.
Шаблоны формулировок индемнификации, которые я рекомендую или отклоняю
Индемнификация - это пункт, определяющий, кто платит, когда сделка идёт не так, и повторяющийся режим отказа - это асимметричная формулировка, которую никто не читает внимательно до появления претензии. Рабочая схема: двусторонняя индемнификация ИС (поставщик возмещает за нарушение услугой прав третьих лиц на ИС; клиент возмещает за переданные клиентом данные, нарушающие ИС третьих лиц), с взаимными условиями со стороны закупок (своевременное уведомление, право контролировать защиту, содействие клиента) и с определённым исключением для комбинаций и модификаций, выполненных клиентом. Обязанность защищать должна сочетаться с пунктом «урегулирование с согласия», который не позволяет ни одной стороне урегулировать без разумного согласия другой, если урегулирование возлагает на индемнифицированную сторону неденежное обязательство.
Регулярно отклоняю три шаблона составления. Во-первых, пункты «единственного и исключительного средства защиты», совмещённые с индемнификацией ИС, которые могут сделать индемнификацию номинальной при низком лимите. Во-вторых, исключения из индемнификации для «компонентов с открытым исходным кодом» без определённого списка, которые могут поглотить большую часть современных SaaS-стеков. В-третьих, формулировка «обязанности защищать», возлагающая расходы на защиту на индемнификатора, но не передающая контроль над защитой, что создаёт структурный конфликт, проявляющийся только после подачи претензии.
Частые вопросы по SaaS-делам
Можете ли Вы вернуть редлайн за 48 часов? При документах стандартной длины (до 20 страниц) - да. Я сообщу в ответе при приёме, реалистичен ли срок. Пакеты из нескольких документов требуют больше времени.
Ведёте ли Вы переговоры напрямую с контрагентом? Да, по запросу, по почасовой ставке. Многие клиенты предпочитают вести переговоры самостоятельно с моим одностраничным меморандумом о переговорах в руке. Обе модели работают.
Можете ли Вы выступать как внешний главный юрист? Нет. Я беру дела с чётко определённым объёмом работ. Если Вам нужно постоянное сопровождение внешнего советника, я рекомендую небольшой круг бутиковых фирм, которые этим занимаются; я не буду делать вид, что являюсь такой фирмой.
Что, если договор уже подписан? Тогда дело находится в зоне спора или поправки. Я просматриваю подписанный документ, выявляю реалистичные рычаги для спора или поправки и сообщаю, что в разговоре изменит письмо от юриста или предложение о структурированной поправке.
Как Вы обращаетесь с привилегией, когда я отправляю Вам копию договора по электронной почте? Первоначальное письмо по делу, направленное с целью получения юридической консультации, как правило, защищено привилегией. Я не делюсь содержимым обращения ни с кем. После заключения соглашения об оказании услуг объём привилегии формализуется письменно.
Как быстро Вы отвечаете? В тот же или следующий рабочий день для приёма. Соглашение об оказании услуг обычно выходит в течение одного рабочего дня после согласования объёма. Сроки по содержательным результатам подгоняются под Ваш график; я заранее сообщаю, реалистичен ли срок.
Когда привлекать меня, когда справляться внутренними силами, когда идти в крупную фирму
Привлекайте меня, когда стоимость сделки находится в диапазоне от пяти до средне-шестизначных сумм, документ имеет от пяти до сорока страниц, и Вы хотите рабочий редлайн с юридическими комментариями и один раунд переговоров. Основатели, in-house юристы и операторы, желающие получить вторую пару глаз на «стандартный» документ поставщика, - естественная аудитория. Трансграничные SaaS-сделки с американскими, канадскими, британскими, сингапурскими или гонконгскими контрагентами находятся в моей полосе.
Справляйтесь внутренними силами, когда контракт - это Ваш собственный шаблон, контрагент принял его без редлайна и нет наслоения DPA или передачи ИС. Чистый шаблон, подписанный обеими сторонами без редлайна, редко является SaaS-проблемой; это движение продаж, работающее так, как задумано.
Идите в крупную фирму, когда стоимость сделки превышает семь знаков, когда контракт является частью процесса M&A или финансирования с экспозицией по графикам раскрытия и заверениям и гарантиям, или когда спор превратился в многосторонний коллективный иск или регулирующее правоприменение. Бутиковый юрист - не тот оператор для сделки уровня Wilson Sonsini, Gunderson или Cooley; в таких случаях наймите фирму, а меня привлеките как консультанта по специфическим SaaS-пунктам, если хотите второе мнение.
Отправьте краткое описание SaaS-ситуации
Напишите мне на email с приложенным соглашением и несколькими строками о Вашей роли и сроках. Я отвечаю лично, как правило, в течение одного рабочего дня.
Что включить: файл соглашения или ссылку, выступаете ли Вы поставщиком или клиентом, стоимость сделки или спорную сумму, срок подписания или продления и один абзац о том, что Вы хотите изменить или вернуть.
Отправить SaaS-обращение