SaaS的风险应由谁承担？

　　在大多数人看来，这个问题存在两种可能的处理方式：

　　① SaaS服务商承担整体风险

　　SaaS服务商需要主动承担整体的安全环境构建任务。这种方式的实施难点在于：SaaS需要转变有关风险的观念和体制，因此存在巨大的创新风险。

　　② 用户承担自身风险

　　参照银行不承担用户端风险，通过较长时间的教育和安全知识的普及，提高客户安全意识，SaaS服务商也可以提出由客户主动负责本人客户端的安全。但是这种方式实施的难点在受制于客户接受程度与安全知识可能的普及的程度，一旦客户接受程度度和安全知识普及程度不够，就会导致客户群增长速度缓慢。

　　因此，不论SaaS安全风险的原因在于系统端还是客户端，在举证上客户明显处于不利。客户由于专业知识和条件的限制，很难找出SaaS服务的技术漏洞。因此SaaS服务也应参照医疗事故纠纷，将“谁主张，谁举证”的举证责任原则变通为 “举证责任倒置”，即由SaaS服务商来举证，证明自己的系统没有漏洞，从而增强实际的操作性。

　　“举证责任倒置”能够切实保护SaaS客户的利益，体现客户与SaaS服务商之间的服务合同的平等关系，从而增强客户使用SaaS的信心，从长远来看对SaaS产业的发展是有利的。