合同模板：客户与供应商协议

免责声明：本页面为一般信息，并非法律建议。使用前请咨询律师。

此包旨在帮助你快速产生收入，而不会触及法律雷区。它针对需要合理的默认设置、较短的谈判周期以及不会让你未来的投资者头疼的审计友好型文件的种子轮到B轮团队进行了优化。

你将在此处找到什么​

本指南分为三大类法律文件，为每个类别提供模板和背景信息。

• 客户侧（当你销售时）：

  • 点击同意服务条款 (Clickwrap Terms of Service)： 适用于自助式SaaS产品。
  • 客户 MSA（主服务协议）： 协商交易的主要法律框架。
  • 订单 (Order Form)： 记录所有商业细节的单页文档。
  • SLA（服务级别协议）： 你的正常运行时间承诺和服务信用。
  • DPA（数据处理附录）： 处理个人数据时必需。
  • 安全附录 (Security Exhibit)： 你的技术和组织安全控制。
  • SOW（工作说明书）： 适用于专业服务或特定项目。
  • 变更单 (Change Order)： 用于修改现有SOW的简单表格。

• 供应商侧（当你购买时）：

  • 供应商 MSA： 在你采购服务时使用的模板。
  • 保险计划表 (Insurance Schedule)： 你的供应商的标准保险要求。
  • 采购尽职调查清单 (Procurement Due-Diligence Checklist)： 用于审查新供应商的指南。

• 跨领域文件：

  • 互惠 NDA（保密协议）： 用于保护机密讨论。
  • 谈判手册 (Negotiation Playbook)： 包含常用条款、备选方案和清单的指南。

快速入门指南​

不确定从哪里开始？在下面找到你的场景并使用推荐的文档堆栈。

• 对于自助式 SaaS 产品：

  • 使用： 点击同意服务条款 + 公共隐私政策 + 注册流程中指向 DPA 的链接。
  • 证明： 确保你的系统保存每个用户接受条款的时间戳记录以及他们同意的条款的特定版本。

• 对于企业 SaaS（典型交易）：

  • 使用： MSA + 订单 + SLA + DPA + 安全附录。
  • 流程： 从订单上的徽标和高级商业条款开始对话。仅在客户要求或交易规模需要时才引入 MSA。准备好 DPA 和安全附录，因为这些是大型客户的标准要求。

• 对于服务或咨询业务：

  • 使用： MSA + SOW。使用变更单正式记录任何范围调整。

• 从供应商处购买：

  • 使用： 你的供应商 MSA + 供应商的订单或 SOW + 他们的 DPA 和安全附录。始终验证他们的保险范围。

谈判手册：默认设置和备选方案​

以下是关于常见合同条款的初创企业友好型立场。从“默认”开始，并使用“备选”作为预先批准的妥协方案来加快谈判速度。

• 付款和税款

  • 默认： Net 30付款条件，发票在签名或服务上线后发送。
  • 备选： 如果需要，同意Net 45。对于较大的交易，请考虑分阶段计费（例如，签名时40％，上线时40％，30天后20％）。
  • 滞纳金： 每月收取1.5％的费用或法律允许的最大利率，以较低者为准。
  • 税款： 明确声明客户负责所有适用的销售税、使用税和其他税款，而你负责你自己收入的税款。

• 期限和续订

  • 默认： 12个月的初始期限，随后自动续订12个月。
  • 退出： 允许因未在30天通知期内纠正的重大违约而终止。
  • 预付款退款： 如果你为方便起见而终止（如果你提供此项服务），或者如果客户因你未纠正的重大违约而终止，则提供按比例退款。

• 知识产权 (IP)

  • SaaS： 你保留你的平台中的所有IP。你授予客户在订阅期内使用该服务的非独占、不可转让的许可。
  • 服务： 客户拥有最终交付成果（例如，报告或自定义代码）。你保留对所有背景 IP（你的工具、框架和预先存在的代码）的所有权，并授予客户许可，以将其用作交付成果的一部分。

• 保密

  • 默认： 使义务相互承担。保密义务应在协议终止后持续2-5年。包括对公共信息、已知信息或独立开发的信息的标准免责条款。如果法律要求，则概述强制披露的明确流程。

• 安全和隐私

  • DPA： 当你代表客户处理个人数据时，始终使用数据处理附录。
  • 违规通知： 承诺在72小时内或更灵活地“无不当延误”地提供安全漏洞通知。
  • 子处理者： 维护你的子处理者的公共列表，并赋予客户反对新子处理者的权利（受商业合理性约束）。
  • 数据处理： 承诺在期限结束时返回或删除客户数据。

• 责任限制 (LoL)

  • 基本上限： 将每一方的总责任限制为客户在提出索赔之前的12个月内已支付或应支付的费用。
  • 排除： 排除对所有间接、后果性、特殊或惩罚性损害（包括利润损失）的责任。
  • 超级上限： 对于高风险领域，提供更高的责任上限（“超级上限”），最高可达基本上限的3倍。此条款的常见例外包括数据泄露、知识产权侵权索赔和违反保密协议。

• 赔偿

  • 你的赔偿： 你赔偿客户因你的产品侵犯其知识产权而引起的第三方索赔。
  • 客户赔偿： 客户赔偿你因其数据或非法使用你的服务而引起的问题。
  • 流程： 受赔偿方必须提供及时通知，并且赔偿方可以控制辩护和任何和解。

• 宣传

  • 默认： 包括一个可选条款，允许你在你的网站和销售材料中使用客户的名称和徽标。

• 适用法律和管辖地

  • 默认： 美国初创企业的一个常见的、对企业友好的选择是特拉华州法律，管辖地为纽约州纽约市或旧金山湾区。
  • 争议： 考虑可选的仲裁，但始终排除向法院寻求禁令救济的权利。

• 保险（对于你雇用的供应商）

  • 最低限额： 商业一般责任险（每次事故100万美元），技术E&O/网络险（总计200万美元），以及法律要求的工人赔偿。在适当的情况下，要求他们将你列为附加被保险人。

需要抵制的危险信号​

如果你在客户或供应商的文件中看到这些条款，请坚决抵制。

• 无上限的责任或含糊的语言，例如对“所有损失”的赔偿。
• 最惠国 (MFN) 定价条款、无限的审计权或他们单方面更改影响你的政策的权利。
• 你核心平台、工具或通用知识的 IP 转让。
• 超过 12 个月或需要超过 90 天通知才能取消的自动续订。
• 允许客户接管你的服务或雇用你的员工的**“介入”权**。
• 个人担保、过于宽泛的竞业禁止或数据泄露的无上限损害赔偿。

执行清单​

“发送前”清单 ✅​

• 商业条款已完成： 价格、期限、开始日期和结算计划都已填写。
• 订单与你的报价和你的CRM中的数据匹配。
• 策略（如隐私策略、SLA）与包含版本号的不可变URL链接。
• 如果交易需要，则DPA、SLA和安全附录已附加或链接。
• 签名块包含双方的正确法律实体名称。
• 文件名已明确版本化： CustomerName_MSA_v2_2025-08-17.pdf。

“签署前”清单 ✍️​

• 红线审查已完成。 所有已跟踪的更改都已解决，并且所有未解决的问题都已记录并被有意识地接受。
• 优先顺序已设置。 典型的、对供应商友好的顺序是：订单 > MSA > SOW > 附件 > 策略。
• 自动续订和通知期已在你的CRM中记录，并带有日历警报。
• 终止、退款和数据返回流程对你来说是清晰且在运营上可行的。
• 已收到保险证明（在与新供应商签约时）。

条款库（复制粘贴，然后定制）​

以下是一些你可以改编的常见条款。

责任限制 — 基本

除法律无法限制的责任外，每一方因本协议引起或与本协议相关的总责任均不得超过客户在本协议项下在引起责任的事件发生之前的十二 (12) 个月内向公司支付或应支付的金额。在任何情况下，任何一方均不对间接、附带、特殊、后果性或惩罚性损害赔偿，或利润、收入、商誉或数据损失承担责任，即使已被告知可能发生此类损害。

超级上限例外（可选附加条款）

上述上限不适用于一方的 (A) 违反保密协议，(B) 侵犯或盗用另一方的知识产权，或 (C) 违反安全附录或DPA中的数据安全义务。对于此类索赔，总责任限于前十二 (12) 个月内已支付或应支付金额的三 (3) 倍。

IP — 服务交付成果

客户在全额付款后拥有SOW中明确标识的所有交付成果。公司保留所有背景IP（预先存在的材料、工具、框架），并授予客户永久、全球、免版税的许可，仅用于将背景IP纳入交付成果中。

宣传（选择加入）

客户允许公司在客户列表、网站和演示文稿中使用客户的名称和徽标。任何新闻稿都需要事先书面同意。

转让

未经另一方同意，任何一方均不得转让本协议，除非转让给关联公司或与合并、收购或出售基本上所有资产有关，前提是受让人承担所有义务。

模板（简短，对创始人友好）​

1) 互惠 NDA（简短形式）​

互惠保密协议

本互惠NDA（“协议”）由[公司法律名称]（位于[地址]的[州/国家][实体类型]）（“公司”）和位于[地址]的[交易对手法律名称]（“交易对手”）于[日期]生效。

1.  **保密信息。** 一方披露并标记为机密或应合理理解为机密的非公开信息。
2.  **使用和保护。** 接收方将仅使用保密信息来评估业务关系，并使用合理的措施对其进行保护。
3.  **排除。** 公开、已知、独立开发或合法接收且没有保密义务的信息。
4.  **强制披露。** 如果法律要求，可以披露，但需及时通知并合作。
5.  **期限。** 自生效日期起 2 年；保密义务持续 3 年（商业秘密在受到保护的情况下持续存在）。
6.  **无许可。** 不授予任何知识产权。
7.  **无义务。** 没有义务进行任何交易。
8.  **杂项。** 适用法律：[州]。完整协议；副本；电子签名。

由正式授权的代表签署：

[公司名称]                       [交易对手名称]
签名：___________________               签名：___________________
姓名/职务：__________________        姓名/职务：__________________
日期：__________________________      日期：________________________

2) 客户 MSA（SaaS；核心条款）​

主订阅协议 (MSA)

[公司法律名称]（“公司”）和[客户法律名称]（“客户”）之间。于 [日期] 生效。

1.  **服务。** 公司提供订单中描述的托管软件（“服务”）。
2.  **访问权限。** 在期限内使用服务的非独占、不可转让的权利，但须遵守本MSA和订单。
3.  **客户数据。** 客户保留所有权利。公司仅使用客户数据来提供和改进服务，并按照DPA的允许使用。
4.  **支持和服务级别协议。** 公司将根据订单中附加或链接的SLA提供支持和正常运行时间承诺。
5.  **安全和隐私。** 公司维护安全附录和DPA中规定的管理、物理和技术保障措施。
6.  **费用和付款。** 订单中的费用。发票应在净[30]天内支付。滞纳金按[1.5%/月]或最高允许额收取。不含税。
7.  **IP和反馈。** 公司拥有服务和所有相关的IP。公司可以无义务地使用反馈。
8.  **限制。** 禁止反向工程、禁止规避使用限制、禁止非法或高风险使用。
9.  **保密。** 相互的；持续 [3] 年。
10. **保证。** 服务将按照文档进行实质性执行。没有恶意软件；遵守法律。免责声明：对于beta版、评估版或免费层级，“按原样”提供。
11. **赔偿。** 公司赔偿因第三方IP索赔而引起的指控服务侵权的赔偿；客户赔偿因数据/内容和非法使用引起的赔偿。
12. **责任。** 如条款库中所述（基本上限 + 排除；可选的超级上限例外）。
13. **期限和终止。** 订单中的期限；订单中的续订。任何一方都可以在 [30] 天的补救期后因重大违约而终止。终止后，客户可以导出数据；公司将按照DPA删除。
14. **宣传。** [选择加入/退出语言]。
15. **适用法律和管辖地。** [州/国家]；管辖地 [城市，州]。
16. **优先顺序。** 订单 > 本MSA > SLA > DPA > 安全附录 > 文档。

由授权代表签署。

3) 订单（单页）​

订单 # [编号]

客户：[法律名称]       公司：[你的法律名称]
生效日期：[日期]       期限开始：[日期]     初始期限：[12] 个月

服务：[计划 / 模块 / 座席 / 环境]
费用：[每月/每年USD $X]；结算：[年度预付款 / 每月]；超额费用：[描述]
SLA 层级：[标准 / 增强]
DPA 和安全附录：[链接的URL + 版本]
专业服务（如有）：[范围摘要] 按 [费率] 收取
特殊条款：[折扣、爬坡、EAP、自定义义务]
续订：自动续订 [12] 个月，除非提前 [30] 天通知。
采购订单：[必需？是/否]   开票：[电子邮件/AP门户]

优先顺序：如果发生冲突，本订单优先于MSA。
签名：[签名块]

4) SLA（精简）​

服务级别协议

正常运行时间：每月 99.9%，不包括计划内维护（≤4 小时/月，提前 48 小时通知）和不可抗力。

积分：
- 99.0–99.9% → 月费的 5%
- 98.0–99.0% → 10%
- <98.0% → 25%
在 30 天内提出索赔后，作为下一张发票的抵免额申请。积分是SLA失败的唯一补救措施。

支持：
- 优先级 1 在 1 个工作小时内响应；每 4 小时提供一次解决方法或缓解更新。
- 支持时间：[时区，小时]。渠道：[电子邮件/门户]。

5) DPA（框架）​

数据处理附录

当事方：公司（处理者）和客户（控制者）。

1.  **主题和期限：** 处理客户个人数据以在期限内提供服务。
2.  **性质和目的：** 提供功能所需的托管、存储、传输、分析。
3.  **类别：** [员工、客户、最终用户]；数据类型：[联系信息、使用日志、标识符]；敏感数据：[如果有]。
4.  **说明：** 处理者仅根据控制者的书面说明行事。
5.  **安全措施：** 如安全附录（附件）中所列。
6.  **子处理者：** 列于 [URL]；处理者仍承担责任；提供变更通知；客户可以基于合理理由提出异议。
7.  **国际传输：** 在需要时使用适当的保障措施（例如，SCC）。
8.  **协助：** 数据主体请求、DPIAs、违规通知不得无故拖延。
9.  **返回/删除：** 终止时，以 [格式] 返回数据并在 [X] 天内删除，除非法律要求保留。
10. **审计：** 提供 SOC 2/ISO 报告或同等报告；在合理的通知和限制下进行现场审计。

标准合同条款（如果适用）附在后面。

6) 安全附录（摘要）​

安全附录

-   **治理：** 安全负责人、年度风险评估、政策（访问控制、事件响应、供应商管理）。
-   **访问：** SSO/MFA；最小权限；季度审查；安全密钥管理。
-   **数据：** 传输中（TLS 1.2+）和静态加密；备份；保留计划。
-   **开发：** 安全 SDLC、代码审查、依赖项扫描、漏洞管理（7 天内修复 P1）。
-   **基础设施：** 网络分段；日志记录和监控；端点保护；变更管理。
-   **事件：** 24/7 监控；在 72 小时内通知客户；提供事件报告和补救计划。
-   **合规性：** SOC 2 II 类或 ISO 27001（如果适用）或路线图日期。

7) SOW（服务工作）和变更单​

工作说明书 # [编号]

项目：[名称]
范围：[可交付成果、排除]
里程碑和时间表：[日期]
客户职责：[访问权限、数据、批准]
费用：[固定费用 / T&M费率]，费用：[上限，预先批准阈值]
验收：[标准、审核期]
变更控制：由双方签署的书面变更单。
依赖项和假设：[列表]
联系人和治理：[每周例会、演示节奏]

变更单（一句话）：

对SOW # [y] 的变更单 # [x]

变更：[描述]
影响：[时间表、费用、范围]

所有其他SOW条款不变。签名：[签名块]

8) 供应商 MSA（当你购买时）​

供应商主服务协议

1.  **服务和可交付成果** 根据 SOW/PO。供应商保证专业、熟练的性能，满足规格。
2.  **费用和支出。** 除非事先以书面形式批准，否则全部包含在内。净 [30/45]。
3.  **合规性。** 供应商遵守法律、反贿赂、出口和你的行为准则。
4.  **IP。** 你拥有所有已付款的可交付成果；供应商保留背景IP，并许可你使用可交付成果。
5.  **保密。** 相互的。
6.  **安全和隐私。** 如果供应商处理你或你的用户的个人数据，则适用 DPA + 安全附录；违规通知 ≤72 小时。
7.  **审计和报告。** 提供 SOC 2/ISO（或问卷）。有限的通知审计权；范围和频率合理。
8.  **赔偿。** 供应商赔偿知识产权侵权、人身伤害、财产损失和供应商违反法律的行为。
9.  **保险。** CGL 每次事故 100 万美元；技术 E&O/网络总计 200 万美元；提供证书；在通常情况下将你指定为附加被保险人。
10. **责任。** 上限可能不适用于供应商的知识产权赔偿、违反保密义务或数据安全漏洞（协商）。
11. **分包商。** 主要部分的预先批准；供应商仍承担责任。
12. **期限和终止。** 你可以提前 [30] 天通知终止协议以方便使用；支付已完成的工作。因违规而终止，并给予 [30] 天的补救期。
13. **宣传。** 供应商需要你的书面同意才能使用你的姓名/徽标。
14. **适用法律和管辖地。** [你首选的论坛]。

9) 点击同意服务条款 (Clickwrap TOS)（自助框架）​

服务条款

接受。通过创建帐户或单击“同意”，你接受这些条款和隐私政策。

帐户和使用。你必须年满 18 岁。保持凭据安全。禁止非法或违禁使用。

订阅和结算。注册时发布计划、限制和定价；定期结算；在周期结束时取消。

内容和 IP。你拥有你的内容。我们拥有服务。授予运营服务的许可。

禁止使用。 [示例]。我们可能会因滥用、安全风险或未付款而暂停服务。

保证和免责声明。提供的服务“按原样”（除非付费层级可能包含SLA）。

责任。根据责任限制条款。

数据和隐私。请参阅 DPA（如果适用）和隐私政策。

变更。我们可能会在通知后更新条款；重大不利变更将在下一个结算周期生效。

适用法律；争议。 [论坛]。首先联系支持部门；可选的仲裁。

联系方式。 [legal@yourcompany]。

采购尽职调查清单（与供应商一起使用）​

• 公司： 法律名称、地址、W-9/税务详细信息、任何最近的所有权变更。
• 服务： 明确的范围、SLA、退出计划和数据导出格式。
• 安全： SOC 2/ISO 报告或安全问卷；子处理者列表；漏洞管理流程；事件响应策略。
• 隐私： DPA、数据地图、数据保留和删除策略，以及有关跨境数据传输的详细信息。
• 合规性： 制裁/出口管制检查、反贿赂政策、可访问性（例如，WCAG）和开源软件政策。
• 财务： 明确的定价、爬坡/折扣条款、调整政策和自动续订窗口。
• 保险： 验证保险范围和限额；确认你是否被指定为相关的附加被保险人。

问题日志（跟踪每一个红线）​

在谈判期间，使用像这样的简单跟踪日志来管理红线。它可以使交易团队保持一致，并提供对已讨论和达成一致的内容的清晰记录。

| # | 条款 | 客户要求 | 你的立场 | 状态 | 负责人 | 目标日期 | | --- | --- | --- | -- | - | | - | | 1 | 责任上限 | 客户要求 24 个月费用 | 提供 12 个月费用 + 3 倍安全/IP 超级上限 | 打开 | 销售 | 2025-08-20 | | 2 | 宣传 | 完全删除徽标使用 | 接受；稍后会要求进行案例研究 | 关闭 | 法律 | 2025-08-18 |

将此日志存储在你的 CRM 或交易室中，并将其直接链接到协议草案。

存储和命名约定​

• 中央存储库： 创建清晰的文件夹结构，例如 /Legal/Contracts/Executed/YYYY/。
• 文件名： 使用一致的命名约定：Counterparty_DocType_v#_YYYY-MM-DD_signed.pdf。
• 版本： 保留最终执行的 PDF 和带有所有红线的源 (.docx) 文件。将这些附加到你的 CRM 中的商机记录。
• 提醒： 在期限结束前 60、30 和 7 天在你的日历和 CRM 中设置续订提醒。

如何按阶段适应​

你的合同流程应随着公司的发展而发展。

• Pre-PMF： 坚持使用简单的点击同意服务条款和简短的NDA。目标是最大限度地减少摩擦并从早期客户那里学习。
• 早期企业（前 10 多个客户）： 使用单页订单和精简的 MSA。仅当客户要求时才添加 DPA 和安全附录。
• 规模化（A/B 轮及之后）： 规范你的文档。拥有强大的 SLA、特定区域的 DPA（例如，对于 GDPR、CCPA）、安全证明（如 SOC 2）和正式的供应商管理手册。

最后说明​

• 请记住将所有带括号的字段 [...] 替换为你自己的具体信息。
• 始终保留版本历史记录并在谈判期间保存带有红线的副本。
• 最重要的是，确保销售承诺的内容、合同的法律规定以及你的产品实际可以交付的内容之间保持一致。