员工“删库”殃及百万商家:微盟责任难免 或面临高额赔偿
新浪法问 王茜
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃。微盟主要为中小企业提供微商城等云端商业及营销解决方案,注册商户超300万。事发后,基于微盟SaaS业务的小程序宕机,受波及商户线上生意几乎“停摆”。
更令外界吃惊的是,此事是一位微盟员工故意为之。
微盟公告显示,公司研发中心运维部核心运维人员贺某“通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意的破坏”。微盟创始人孙涛勇发表的公开信称,该员工与公司无任何仇恨,但因深陷网络贷曾经轻生,加之疫情期在房间独处了30多天才有此举动。
截至发稿前,微盟已宣布核心业务恢复,并正在拟定相关赔付方案来补偿因此次事故而遭受损失的商家。但据媒体报道,微盟老用户数据尚未能完全修复。
“删库”事故重创微盟股价。自系统崩溃以来,微盟市值已经蒸发约14-15亿港元。然而,除此之外,微盟可能还面临着来自300余万户商家的高额索赔。
百万商家“停摆”微盟责任难免
事发后,有商家在微盟微博账号下方留言希望其尽早公布赔偿方案,也有商家在网络上表示会诉讼维权。对于此事,知名律所合伙人肖飒律师对新浪法问指出,本案中,微盟的过错在于内部数据管理失职。
商家与微盟签订商务服务合同,商家使用微盟提供的服务并支付服务费,微盟则需要依照合同妥善、积极且有效的履行合同。现微盟不能履行合同或因暂时不能履行,给商户造成严重损失的,微盟需承担违约责任。
微盟开发并向外推广起SaaS产品等服务内容。当客户使用其服务时,微盟需要保障客户的数据安全等其他合法权利,但该案例中由于微盟内部数据管理不当,客户财产权遭受损害,客户可以根据其遭受损害的结果,请求微盟予以赔偿。
以上合同责任为无过错责任,只要合同履行不当,违约方即需要承担责任;侵权责任通常情况下为过错责任(也有推定过错及无过错责任承担情形),只有在违约方存在过错时,被侵权人才可请求侵权人承担相应责任。
因而,商家就其损失既可以从合同违约角度[1]求偿,也可以从侵权角度求偿[2]。但两者构成竞合时,商家只可以选择其一行使权力。
微盟需要赔付商家哪些方面的损失?
北京岳成律师事务所高级合伙人岳屾山律师对新浪法问指出,赔偿范围原则上包括直接和间接损失,就具体赔偿标准而言,首要依据是微盟与商家的合同约定[3]。
具体而言:如果数据库全部修复,则只有宕机期间内的损失。此时,微盟需要承担的是合同履行不当致使商户遭受损失的赔偿责任,双方有约定按照约定进行赔偿,若双方没有约定,参照判例和行业惯例计算出损失;
如果数据丢失,无法修复。微盟则需要承担合同履行不能或暂时无法履行的违约责任,数据管理不当的侵权责任,具体而言,选择违约还是侵权可由商家自行选择。
第二种情况下,商户的损失可能包括:经营数据损失赔偿、重建网店的费用、大量重新录入商户数据所导致的人工费用、商户与消费者之间的补偿费用等等。“微盟将需要赔付高额损失。”他表示。
“删库”程序员面临刑事责任
孙涛勇在公开信里透露,涉事的微盟员工贺某已经向警方承认了犯罪事实。他认为,贺某“删库”是其在精神压力下自我解脱的手段,“我对他又痛恨又逐步转向了同情”。
岳屾山律师指出,通过新闻报道和微盟的声明来分析:微盟公司核心运维员工贺某通过线上实施了破坏微盟生产环境和数据的行为系破坏计算机信息系统行为;贺某主观上具有破坏微盟公司生产经营的主观故意,该行为亦可能对微盟这家以计算机业务为核心的公司的生产经营造成破坏,系破坏生产经营行为;
贺某的同一行为涉嫌构成两个犯罪行为,存在手段与目的的牵连,因此只有在法律拟制的情况下方可数罪并罚,否则从一重处罚即可。
他表示,依照条文规定,两罪中,破坏计算机信息系统罪量刑幅度更高,属重罪。若贺某的行为已达到两罪的入罪标准的情况下,以破坏计算机信息系统罪追究其刑事责任,否则应当以达到入罪标准的罪名追究其刑事责任[4]。
岳屾山律师还指出,目前案件还在侦办过程中,公布的案件情况极其有限,因此,具体的罪名、金额及情节等,还需以公安机关的进一步侦查结果为准。
微盟“删库”事件敲响了警钟
“删库”事件由员工而起,但折射了公司内控的巨大缺陷。肖飒律师指出,该案件不仅需要处理微盟与商家的关系,还需要处理员工与公司之间的关系。
“该类犯罪呈现出犯罪主体为高知分子,犯罪行为的社会影响较大,损害后果严重等特点。
对此,数据与软件服务企业还需反思并在未来改善公司运维权限,采取更可靠的备份机制,以及构建更加和谐的劳资关系等。”
岳屾山律师表示,“此次微盟爆出的删库事件,为处于‘互联网时代’的我们敲响了警钟,一方面是互联网公司内部数据管理的问题,互联网企业在进行数据管理时,应按照《网络安全法》、《网络安全等级保护条例》等法律法规的要求对于数据按照重要程度进行分级保护,数据安全和保护对于企业是比较大的成本支出,并不能直接创造营收,但却是企业的立身之本,做不到位会给企业带来灭顶之灾。
另一方面是用户个人信息保护的问题,微盟平台汇集了大量的用户私人信息,一旦泄露,将严重危及客户的个人信息安全。因此,希望互联网企业能完善内部管理,加强用户个人信息保护,营造更安全的网络环境。“
备注:
[1] 《合同法》
第六十条 当事人应当按照约定全面履行自己的义务。当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。
第一百零七条 当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
第一百一十三条 当事人一方不履行合同义务或者履行合同义务不符合约定,给对方造成损失的,损失赔偿额应当相当于因违约所造成的损失,包括合同履行后可以获得的利益,但不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失。
第一百一十二条当事人一方不履行合同义务或者履行合同义务不符合约定的,在履行义务或者采取补救措施后,对方还有其他损失的,应当赔偿损失。
[2] 《侵权责任法》
第六条 行为人因过错侵害他人民事权益,应当承担侵权责任。根据法律规定推定行为人有过错,行为人不能证明自己没有过错的,应当承担侵权责任。
第十五条 承担侵权责任的方式主要有:
(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)赔偿损失;(七)赔礼道歉;(八)消除影响、恢复名誉。
以上承担侵权责任的方式,可以单独适用,也可以合并适用。
第十九条 侵害他人财产的,财产损失按照损失发生时的市场价格或者其他方式计算。
第二十五条 损害发生后,当事人可以协商赔偿费用的支付方式。协商不一致的,赔偿费用应当一次性支付;一次性支付确有困难的,可以分期支付,但应当提供相应的担保。
[3]《合同法》第一百一十四条 当事人可以约定一方违约时应当根据违约情况向对方支付一定数额的违约金,也可以约定因违约产生的损失赔偿额的计算方法。约定的违约金低于造成的损失的,当事人可以请求人民法院或者仲裁机构予以增加;约定的违约金过分高于造成的损失的,当事人可以请求人民法院或者仲裁机构予以适当减少。当事人就迟延履行约定违约金的,违约方支付违约金后,还应当履行债务。
根据《合同法》司法解释二,根据当事人约定的违约金超过造成损失的百分之三十的,一般可以认定为合同法第一百一十四条第二款规定的“过分高于造成的损失。如果双方没有约定赔付标准则按实际损失计算。
[4]《刑法》第二百八十六条第二款规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
依据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条规定,破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:
(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;
(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;
(三)违法所得五千元以上或者造成经济损失一万元以上的;
(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
(五)造成其他严重后果的。
实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”:
(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;
(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
(三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的;
(四)造成其他特别严重后果的。
欢迎关注《法问》官方微博和微信公众号,阅读更多精彩文章。专业律师团为您解读财经大事件。读者爆料、法律咨询、律所投稿和意见反馈欢迎发送至fawen@staff.sina.com.cn,期待与您交流。