来源：威科先行，作者：王彩琴

当地时间2026年3月1日，亚马逊公司旗下的云计算部门AWS位于阿联酋的数据中心园区因外部物体撞击起火并导致服务中断，成为近期中东地缘冲突升级背景下全球云基础设施遭受物理安全威胁的标志性事件。

本文从律师实务角度，分析此类事件中涉及的法律责任分配、合同风险、数据合规及企业应对策略，为中资出海企业提供法律风险防控建议。

一、事件背景

根据AWS官方通报，本次事故系外部物体撞击导致火花引发火灾，应急部门救援过程中切断主备电源，造成阿联酋区域（ME-CENTRAL-1）mec1-az2可用区服务中断。事件发生在地区安全局势急剧升温的节点，周边多国军事打击与报复行动频发，阿联酋境内关键基础设施已受波及。

法律定性层面，该事件属于不可抗力与第三方侵权交织的复合型风险事件：

• 不可抗力因素：地区武装冲突构成《民法典》第180条规定的“不能预见、不能避免且不能克服的客观情况”；
• 第三方侵权：数据中心可能因恐怖主义行为、军事行动或其他人为破坏等第三人行为而遭受外部攻击并造成损害。这也符合《民法典》第1175条规定的，当损害由第三人造成，受害人可以向第三人请求赔偿；
• 合同履行障碍：云服务中断可能导致依赖相关云基础设施运营的企业无法按约履行其对客户或合作伙伴承担的合同义务，从而产生履行迟延甚至履行不能的法律风险。

二、核心法律问题分析

（一）云服务合同中的责任限制与免责条款

AWS与客户签订的《云服务协议》（AWS Customer Agreement）通常包含以下关键条款：

1. 服务等级协议（SLA）与赔偿限制

AWS《客户协议》规定，部分云服务适用单独的服务等级协议（Service Level Agreement, SLA）。SLA 通常针对具体服务设定可用性承诺（例如 EC2 服务常见为 99.99% 的月度正常运行时间），并通过服务积分（Service Credits）作为未达标时的主要补偿机制。相关 SLA 一般同时排除因超出 AWS 合理控制范围的事件导致的服务中断，因此在地区冲突等极端情形下，AWS 可能依据 SLA 排除条款及合同中的不可抗力条款主张责任限制。

2. 责任上限条款

云服务商普遍设置责任上限，通常为“客户在索赔前12个月内支付的服务费用”。对于因业务中断导致的间接损失、预期利益损失、数据丢失损失，云服务商通常明确免责。这意味着依赖单一可用区的跨境电商、金融机构可能面临“索赔无门”的困境。

3. 数据区域、管辖法律与合规要求

在云服务环境下，需要区分数据所在地涉及的法律管辖与云服务协议本身的合同管辖。

首先，AWS 允许客户选择数据存储的云区域（Region），通常不会将客户内容移出所选区域，但在为提供服务或遵守具有约束力的法律或监管要求时可能存在例外。因此，数据存储所在地可能使相关数据活动受到该司法辖区法律及监管机构的管辖，例如当地的数据保护、网络安全或执法调取规则。

其次，云服务协议本身的管辖法律通常取决于 AWS 的缔约主体，而并非数据中心所在国家。因此，即使企业选择特定国家或地区的数据中心区域，其云服务合同的适用法律和争议管辖仍可能由其他司法辖区的法律确定。

此外，AWS 服务的使用还需遵守相关出口管制及经济制裁法律，包括美国出口管制及制裁合规要求。因此，在跨境使用云服务时，企业不仅需要考虑数据存储位置，还需评估潜在的跨境合规与制裁风险。

（二）多层级合同关系的责任传导

受影响的出海企业通常处于复杂的合同链条中：

AWS（基础设施层）→ 出海企业（平台/应用层）→ 终端客户/消费者

责任传导风险：

• 对下游客户的违约责任：出海企业因云服务中断无法履行与终端客户的合同，需承担违约责任，除非能证明存在不可抗力且已尽通知义务；
• 供应链中断的连锁反应：制造业企业因ERP系统中断导致生产停滞，可能触发与上游供应商、下游经销商的连锁违约；
• 金融监管合规风险：金融机构因系统中断导致交易失败、数据报送延迟，可能面临东道国金融监管机构的处罚。

（三）数据安全与跨境合规义务

1. 数据完整性义务

根据《数据安全法》《个人信息保护法》及东道国数据保护法规（如阿联酋《个人数据保护法》），企业负有确保数据完整性、可用性的义务。本次事件中，若因未采取多可用区架构导致数据丢失，企业可能面临监管处罚及民事赔偿。

2. 数据泄露风险

物理设施损毁可能导致存储介质失控，若涉及个人信息或敏感数据，需立即评估是否构成数据泄露事件并触发报告义务。阿联酋法律要求数据控制者在知悉泄露后在法律规定期限内向监管机构报告。

3. 跨境传输合规

若企业采用“主备架构”将数据从阿联酋区域备份至其他区域（如新加坡、法兰克福），需确保符合相关数据跨境传输规则，例如中国法律项下的数据出境安全评估、标准合同或认证机制等要求，以避免在应急处置过程中引发新的合规风险。

（四）地缘政治风险的法律定性难题

本次事件的核心争议在于：地区冲突是否构成不可抗力？

• 中国法视角：武装冲突通常被认定为不可抗力，但需证明“不能预见、不能避免、不能克服”；
• 普通法视角：在英美法体系下，“不可抗力”（Force Majeure）通常并非法律当然适用的原则，而主要依赖合同条款的具体约定。若合同条款明确将战争、武装冲突或恐怖袭击列为不可抗力事件，当事人可能据此主张免责；否则，法院通常通过合同目的落空（frustration）等原则进行判断；
• 东道国法视角：阿联酋在其《民法典》第273条规定了不可抗力免责，但司法实践对“外部原因”的认定存在不确定性；

关键风险：若AWS主张不可抗力免责，而下游客户不认可该主张，可能引发跨国诉讼或仲裁，涉及准据法选择、管辖权冲突等复杂问题。

三、企业现阶段应对策略

（一）紧急处置阶段（事件发生后24-72小时）

1. 合同权利主张与证据固定

• 立即审查SLA条款：确认AWS是否触发服务积分赔偿条件，即使存在不可抗力免责，部分服务商仍可能提供善意补偿；
• 书面通知义务：向受影响的下游客户发送不可抗力通知，援引合同中的不可抗力条款，主张责任免除或延期履行；
• 证据保全：通过AWS状态页面截图、系统日志、通讯记录等方式，固定服务中断时间、影响范围、损失金额等关键证据。

2.  数据安全应急响应

• 启动备份恢复：立即切换至备用可用区或异地灾备中心，确保业务连续性；
• 数据完整性核查：对受影响数据进行哈希校验，确认是否存在损坏或丢失；
• 泄露风险评估：若怀疑存储介质失控，委托第三方进行数据泄露影响评估，必要时向监管机构报告；

3.  监管沟通与信息披露

• 金融行业：向阿联酋中央银行（CBUAE）或中国证券监管机构报告系统中断情况，避免因延迟报告引发处罚；
• 上市公司：评估是否触发信息披露义务，避免因重大事件未披露导致证券合规风险；
• 保险报案：若投保了营业中断险（Business Interruption Insurance）或网络安全险，应在约定期限内提交索赔申请。

（二）中期应对阶段（事件发生后1-4周）

4.  损失评估与索赔谈判

• 直接损失核算：包括云服务费损失、数据恢复成本、系统重构费用；
• 间接损失评估：订单流失、客户流失、品牌声誉损失（虽难以向AWS索赔，但可作为商业谈判筹码）；
• 集体谈判：联合其他受影响企业，通过行业协会或律师团与AWS进行集体谈判，争取更优赔偿方案。

5.  合同条款重议

• 架构升级谈判：要求AWS提供多可用区部署的技术支持及费用减免；
• 责任条款修订：在续签合同时，细化不可抗力范围或者增加灾备承诺，或要求云服务商购买更高额度的责任保险；
• 退出机制协商：明确在区域性风险持续升级时的数据迁移权、服务终止权及费用结算机制。

6.  供应链风险再评估

• 客户沟通：向终端客户说明事件原因及恢复进展，提供补偿方案（如延长服务期、折扣券），维护客户关系；
• 供应商协商：与上游供应商协商调整交货期、付款条件，避免连锁违约；
• 金融机构特别措施：向交易对手方发送不可抗力确认函，就未能及时结算的资金利息损失进行协商。

（三）长期合规建设阶段

7.  架构合规升级：从“单可用区”到“多活架构”

本次事件再次验证，多可用区部署不是可选项，而是合规刚需。企业应：

• 技术层面：实施跨可用区、跨区域的“多活架构”，确保单一节点故障时自动切换；
• 合同层面：在客户协议中明确“服务可用性承诺”，并确保底层云架构能够支撑该承诺；
• 合规层面：将架构冗余度纳入数据安全影响评估（DPIA）及业务连续性计划（BCP）。

8.  地缘政治风险法律防控体系

• 区域风险评级：建立“红橙黄绿”四级的区域风险评估机制，对高风险区域（如中东、东欧）实施更严格的准入审查；
• 合同条款库建设：针对不同风险等级区域，制定差异化的云服务合同模板，明确战争、制裁、汇兑管制等极端情形的权利义务；
• 制裁合规筛查：利用自动化工具持续监控云服务提供商、数据中心所在地是否被列入制裁名单，避免违反美国OFAC、欧盟制裁法规。

9.  多元化供应商策略

• 多云架构：避免单一云服务商依赖，采用“AWS+Azure+阿里云”的多云策略，分散区域性风险；
• 混合云部署：核心数据采用私有云或本地部署，非敏感业务采用公有云，平衡成本与风险；
• 主权云合作：在数据主权要求严格的区域（如欧盟、中东），优先选择当地主权云服务商或合资云服务商。

10.  应急预案的法律嵌入

• 法律预案：将法律审查嵌入技术应急预案，明确“何时发送不可抗力通知”“如何固定证据”“向谁报告”等法律动作；
• 模拟演练：定期开展“地缘冲突导致云服务中断”的桌面推演，测试法律、技术、商务团队的协同响应能力；
• 保险配置：购买覆盖“战争、恐怖主义、政治风险”的营业中断险，弥补云服务商责任限制导致的保障缺口。

四、特别提示：中东区域投资的合规红线

针对本次事件涉及的中东区域，中资出海企业需特别关注：

1. 制裁合规风险

阿联酋虽非受制裁国家，但其与伊朗等国的经贸往来可能引发次级制裁风险。企业应确保云服务数据不流向受制裁实体；

2. 数据跨境要求

阿联酋《个人数据保护法》对个人数据跨境传输设定了合规要求，例如需确保接收方提供充分的数据保护水平或满足法律规定的传输机制。企业在实施跨区域灾备时，应评估是否符合相关数据跨境传输规则；

3. 政治风险保险

出海企业可通过投保海外投资保险的方式，将战争、征收、汇兑限制等政治风险纳入保障范围；该类保险作为政策性风险保障工具，能在风险发生时为企业提供损失补偿与代位求偿支持，建议企业在项目立项阶段即完成投保规划。

五、结语

AWS阿联酋数据中心受袭事件标志着地缘政治风险已成为云基础设施安全的“新常态”。对于律师而言，这不仅是技术故障或合同违约问题，更是涉及跨国法律适用、监管合规、供应链风险管理的系统性挑战。

中资出海企业应从本次事件中汲取教训：法律合规不能滞后于技术架构，风险防控必须前置到业务设计阶段。建议企业立即开展以下行动：

1. 审查现有云服务合同的不可抗力及责任限制条款；

2. 评估当前云架构的区域集中度风险；

3. 建立“法律+技术+商务”三位一体的应急响应机制；

4. 投保覆盖政治风险的营业中断保险；

在全球化退潮、区域冲突频发的背景下，“合规即竞争力，风控即生存力”已成为出海企业的核心法则。律师作为风险管理的守门人，应帮助企业将法律合规嵌入业务基因，在不确定性中构建确定性。

参考文献：

1．《中华人民共和国民法典》（2020年），第180条、第563条、第590条。

2．Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (United Arab Emirates).

3．Amazon Web Services, AWS Customer Agreement (2024 edition), including Service Level Agreement and limitation of liability provisions.

4．Amazon Web Services, AWS Service Health Dashboard / Status Page, incident report dated 1 March 2025.

5．中国出口信用保险公司，《投资保险业务指南》。

（原标题：中东地缘冲突升级背景下云基础设施物理安全的风险与应对——以AWS阿联酋数据中心受袭事件为视角丨威科先行）

作者：王彩琴，北京市盈科（深圳）律师事务所高级合伙人；联系方式：邮箱：wangcaiqin@yingkelawyer.com

声明：以上所刊登的文章仅代表作者本人观点，不代表威科中国出具的任何形式之法律意见或建议。