Materi muatan dan struktur (kenvorm atau bentuk luar) kontrak antara traditional ICT project/outsourcing berbeda karena implikasi dari perbedaan karakteristik dari keduanya (active supplier v. pasive resources, ‘tailormade’ v. standardized service, degree of control, dll). Struktur kontrak SaaS umumnya terdiri dari (1) terms of services atau ToS; (2) service level agreement atau SLA; (3) Acceptable Use Policy atau AUP; dan (4) Privacy policy. Materi muatan kontrak menjadi semakin kompleks jika layanan the cloud terdiri dari kombinasi, misal SaaS didesain di PaaS, SaaS di atas IaaS, dan seterusnya.
Contohnya, pembedaan antara the data controller dan the data processor kadang tidak eksplisit, maka dari itu, mekanisme hukum mengatur tentang joint-controller dengan kondisi dan syarat-syarat tentu diterapkan sehingga membuat supplier cloud sulit berkilah jika memiliki kewajiban penuh dalam perlindungan data pribadi, keamanan data, pembangunan pusat data di wilayah yurisdiksi suatu negara, dan kewajiban lain dengan akibat hukum lain.
Materi muatan apa yang kerap diatur dalam SaaS, di antaranya: judul kontrak dan identitas para pihak, ketentuan umum (ruang lingkup, waktu, dll), komunikasi/tata kelola (hak audit, tarif dan cara pembayaran, kadang juga continuity), jaminan dan tanggung jawab (termasuk force majeure), kerahasiaan dan keamanan data (plus soal HaKI), pengakhiran kontrak dan konsekuensinya (termasuk pelimpahan/perubahan kontrol, severability, penyelesaian sengketa, pilihan hukum-pengadilan, pemberitahuan, penjadwalan, dan lain-lain).
Penyusunan formulasi norma dalam kalimat/klausa hukum dalam kontrak juga luar biasa berbeda-beda. Berdasarkan pengalaman penulis ketika menyusun dan mengevaluasi kontrak cloud computing, sejumlah hal perlu mendapat perhatian istimewa, seperti dasar pertimbangan penyelenggaraan dan penggunaan layanan the cloud, kesepakatan dalam tahap negosiasi, batas dan sangkalan tanggung jawab, indikasi ingkar janji, istilah-istilah hukum kontrak yang berbeda-beda dan kurang dikenal antara dua/lebih rezim hukum, perihal kelalaian, kebocoran keamanan dan konsekuensinya (seperti terjadi pada Equifax bulan ini), prosedur notifikasi, dan sejumlah hal lain. Hal esensial adalah soal keamanan platform cloud computing karena beroperasi 24/7 jam/hari yang artinya risiko under acttack 24/7.
Postscriptum: Terminologi dalam UU ITE dan UU Telekomunikasi
Penulis cenderung kurang yakin bahwa ketika UU Telekomunikasi tahun 1999 disusun telah ada dalam benak para pembuat UU perihal layanan cloud computing, begitu pula dengan UU ITE yang satu di antaranya lebih fokus pada transaksi elektronik dalam konteks e-commerce (dengan ciri berupa komunikasi, transaksi bisnis, layanan, plus online) dan cybercrime (tindak pidana siber/dengan IT). Walaupun demikian, dapat diargumentasikan bahwa layanan cloud computing termasuk objek pengaturan dari dua UU itu. Hal ini didasarkan pada ruang lingkup definisi hukum dari ‘jasa telekomunikasi’ dan ‘transaksi elektronik’.
Jasa telekomunikasi adalah layanan pemancaran, pengiriman, dan/atau penerimaan setiap informasi melalui sistem kawat, optik, radio atau sistem elektromagnetik untuk memenuhi kebutuhan bertelekomunikasi (any information exchange) dengan menggunakan rangkaian perangkat telekomunikasi dan kelengkapannya (esensi Pasal 1 angka 1, 6 dan 7 UU 36/1999).
Sedangkan pengertian ‘transaksi elektronik’ cukup luas tidak hanya sebatas pada aktivitas perdagangan (transaksi bisnis), tetapi semua jenis perbuatan hukum yang menggunakan media elektronik (Baca Pasal 1 angka 2 UU ITE). Hal ini juga membuat kekhasan/elemen e-commerce cukup terabaikan, apalagi kekhasan layanan cloud computing. Aktivitas masyarakat informasi (information society) di ruang siber sangat bermacam-macam dengan karakter dan kompleksitasnya masing-masing.