選擇SaaS風(fēng)險(xiǎn)由誰(shuí)承擔(dān)？

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

選擇SaaS，當(dāng)用戶(hù)的信息被盜，矛頭一定直指SaaS服務(wù)提供商，此時(shí)SaaS的安全問(wèn)題已經(jīng)由技術(shù)防范延伸到法律層面。在傳統(tǒng)社會(huì)中，偷竊所產(chǎn)生的法律責(zé)任由行為者來(lái)承擔(dān)，但是偷竊發(fā)生在互聯(lián)網(wǎng)上，偷竊者的身份因難以確定而無(wú)法追究，這種法律責(zé)任由誰(shuí)承擔(dān)？

服務(wù)端遭遇黑客攻擊 責(zé)任由誰(shuí)承擔(dān)？

SaaS系統(tǒng)端風(fēng)險(xiǎn)所引發(fā)的數(shù)據(jù)丟失糾紛，一般來(lái)說(shuō)SaaS應(yīng)該承擔(dān)賠償責(zé)任。如因?yàn)镾aaS雇員的素質(zhì)低下，諸如欺詐、誤操作等造成客戶(hù)資金損失，被視為服務(wù)商過(guò)錯(cuò)，服務(wù)商需要承擔(dān)全部賠償責(zé)任；SaaS系統(tǒng)軟硬件出現(xiàn)的技術(shù)故障給客戶(hù)造成的直接和間接損失，盡管SaaS主觀上沒(méi)有過(guò)錯(cuò)，SaaS仍然需要承擔(dān)民事責(zé)任，這毫無(wú)爭(zhēng)議的。但是，如果SaaS系統(tǒng)端遭遇黑客攻擊，不法分子把SaaS平臺(tái)作為攻擊的對(duì)象，所發(fā)生的數(shù)據(jù)丟失或泄密，服務(wù)商是否需要承擔(dān)相應(yīng)的法律責(zé)任呢？

依照我國(guó)《民法通則》及《合同法》的有關(guān)規(guī)定，SaaS作為一方當(dāng)事人的違約責(zé)任免責(zé)事由有約定和法定兩種。法律會(huì)尊重服務(wù)商和客戶(hù)在服務(wù)協(xié)議中的約定為先，但同時(shí)也規(guī)定了一些法定的風(fēng)險(xiǎn)和分配制度。有些人認(rèn)為SaaS系統(tǒng)遭遇黑客攻擊屬于一種不可抗力，應(yīng)該免責(zé)。

其實(shí)，黑客攻擊事件不應(yīng)該作為不可抗力，而是屬于一種意外事件。依據(jù)我國(guó)合同法，不可抗力是指"不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況"，黑客攻擊事件雖然具有不可預(yù)見(jiàn)性，但是能夠克服。SaaS服務(wù)商通過(guò)提高系統(tǒng)的安全性就是一種不停地與黑客展開(kāi)"反攻擊"的過(guò)程。我國(guó)合同法實(shí)行嚴(yán)格責(zé)任原則，不可抗力可以免責(zé)，意外事件則不能免責(zé)。同時(shí)，從敦促SaaS服務(wù)商履行維護(hù)系統(tǒng)安全的義務(wù)角度出發(fā)，黑客攻擊也不能作為服務(wù)商的免責(zé)條款，否則SaaS會(huì)因此怠于履行提高系統(tǒng)安全性的義務(wù)，使得客戶(hù)數(shù)據(jù)的安全性變得更差。

惡意格式條款 不是服務(wù)商的免責(zé)保護(hù)傘

SaaS服務(wù)商在與客戶(hù)的服務(wù)協(xié)議中一般會(huì)約定客戶(hù)對(duì)密碼的保管責(zé)任，因密碼泄露所造成的后果由客戶(hù)來(lái)承擔(dān)。這屬于協(xié)議約定的SaaS服務(wù)商免責(zé)事由，SaaS服務(wù)商可以因此而拒絕承擔(dān)SaaS客戶(hù)端因密碼問(wèn)題所帶來(lái)的客戶(hù)數(shù)據(jù)丟失的任何法律責(zé)任。但是協(xié)議屬于格式的合同，如果制訂合同一方惡意免除自己的責(zé)任條款，此時(shí)的"格式條款"并不能作為服務(wù)商的免責(zé)保護(hù)傘。

在洪榮堯訴中國(guó)農(nóng)業(yè)銀行永嘉縣支行一案中，法院認(rèn)定了《中國(guó)農(nóng)業(yè)銀行網(wǎng)上銀行業(yè)務(wù)章程》第六條"凡是憑客戶(hù)證書(shū)和密碼進(jìn)行操作皆視為客戶(hù)本人所為，銀行不承擔(dān)任何責(zé)任"這一格式條款作為銀行的免責(zé)理由進(jìn)行抗辯，把本屬于銀行承擔(dān)的責(zé)任也推向儲(chǔ)戶(hù)屬于無(wú)效條款。

但這一條的規(guī)定與目前工行電子銀行服務(wù)協(xié)議中關(guān)于客戶(hù)密碼保管責(zé)任的規(guī)定不同，因?yàn)樗?凡是憑客戶(hù)證書(shū)和密碼進(jìn)行操作皆視為客戶(hù)本人所為"，排除了銀行的過(guò)錯(cuò)所造成的密碼丟失，將此責(zé)任也推卸到客戶(hù)身上。而工行的條款則是規(guī)定客戶(hù)自身造成的密碼丟失，責(zé)任由客戶(hù)承擔(dān)。農(nóng)業(yè)銀行現(xiàn)在已經(jīng)修改了電子銀行業(yè)務(wù)章程，此條規(guī)定已被廢除，轉(zhuǎn)而規(guī)定"因客戶(hù)保管不善、掛失不及時(shí)等造成的資金損失由客戶(hù)自行承擔(dān)"。

同樣，為了保障用戶(hù)數(shù)據(jù)安全，SaaS服務(wù)商和客戶(hù)都必須要承擔(dān)一定的合同義務(wù)，而不能一味將義務(wù)強(qiáng)加到SaaS服務(wù)商身上。

比如，在我國(guó)《電子銀行業(yè)務(wù)管理辦法》第十條規(guī)定，在開(kāi)通網(wǎng)上銀行業(yè)務(wù)時(shí)銀行有告知風(fēng)險(xiǎn)的義務(wù)。網(wǎng)銀只需要盡到合理提示風(fēng)險(xiǎn)的義務(wù)，客戶(hù)就需要履行妥善保管密碼的義務(wù)，一旦疏于履行，造成的密碼泄露，可能會(huì)造成資金丟失。

前述美國(guó)《電子資金轉(zhuǎn)移法》規(guī)定，一旦儲(chǔ)戶(hù)存款在銀行發(fā)生了問(wèn)題，銀行應(yīng)先行賠付，而后由司法機(jī)關(guān)介入調(diào)查，從而保證了客戶(hù)利益。這個(gè)規(guī)定目前被不少人用來(lái)作為網(wǎng)銀賠付的一點(diǎn)理由，但是這里規(guī)定的是儲(chǔ)戶(hù)存款在銀行發(fā)生了問(wèn)題，而客戶(hù)造成密碼丟失是在銀行控制范圍之外，"偷竊者"以盜來(lái)的客戶(hù)賬號(hào)和密碼造成銀行做出錯(cuò)誤動(dòng)作，銀行不應(yīng)該承擔(dān)責(zé)任。這也就是一種準(zhǔn)債權(quán)人占有了債權(quán)憑證的情況。

SaaS服務(wù)商在處理用戶(hù)密碼的時(shí)候，也完全可以參照商業(yè)銀行的方式來(lái)處理。充分告知用戶(hù)密碼安全性的重要，并將丟失密碼容易遭受的損失也要告訴清楚。當(dāng)一旦有用戶(hù)密碼被竊取或丟失的時(shí)候，SaaS服務(wù)商也要有相應(yīng)的應(yīng)急預(yù)案，以便在第一時(shí)間啟動(dòng)，將損失降到最低。

客戶(hù)對(duì)于密碼妥善保管的義務(wù)范圍應(yīng)該限制在客戶(hù)盡到一般人的保管密碼能力，也就是對(duì)于上網(wǎng)操作的計(jì)算機(jī)進(jìn)行了基本而且必要的軟硬件防病毒保護(hù)義務(wù)。在客戶(hù)盡到了一般正常的注意義務(wù)和及時(shí)通知義務(wù)時(shí)，仍然發(fā)生數(shù)據(jù)丟失的情況，也就是客戶(hù)作為合同中的債權(quán)人并沒(méi)有過(guò)錯(cuò)，應(yīng)該按照公平責(zé)任讓SaaS給予客戶(hù)一定補(bǔ)償。

在大多數(shù)人看來(lái)，這個(gè)問(wèn)題存在兩種可能的處理方式：

① SaaS服務(wù)商承擔(dān)整體風(fēng)險(xiǎn)

SaaS服務(wù)商需要主動(dòng)承擔(dān)整體的安全環(huán)境構(gòu)建任務(wù)。這種方式的實(shí)施難點(diǎn)在于：SaaS需要轉(zhuǎn)變有關(guān)風(fēng)險(xiǎn)的觀念和體制，因此存在巨大的創(chuàng)新風(fēng)險(xiǎn)。

② 用戶(hù)承擔(dān)自身風(fēng)險(xiǎn)

參照銀行不承擔(dān)用戶(hù)端風(fēng)險(xiǎn)，通過(guò)較長(zhǎng)時(shí)間的教育和安全知識(shí)的普及，提高客戶(hù)安全意識(shí)，SaaS服務(wù)商也可以提出由客戶(hù)主動(dòng)負(fù)責(zé)本人客戶(hù)端的安全。但是這種方式實(shí)施的難點(diǎn)在受制于客戶(hù)接受程度與安全知識(shí)可能的普及的程度，一旦客戶(hù)接受程度度和安全知識(shí)普及程度不夠，就會(huì)導(dǎo)致客戶(hù)群增長(zhǎng)速度緩慢。

因此，不論SaaS安全風(fēng)險(xiǎn)的原因在于系統(tǒng)端還是客戶(hù)端，在舉證上客戶(hù)明顯處于不利?？蛻?hù)由于專(zhuān)業(yè)知識(shí)和條件的限制，很難找出SaaS服務(wù)的技術(shù)漏洞。因此SaaS服務(wù)也應(yīng)參照醫(yī)療事故糾紛，將"誰(shuí)主張，誰(shuí)舉證"的舉證責(zé)任原則變通為 "舉證責(zé)任倒置"，即由SaaS服務(wù)商來(lái)舉證，證明自己的系統(tǒng)沒(méi)有漏洞，從而增強(qiáng)實(shí)際的操作性。

"舉證責(zé)任倒置"能夠切實(shí)保護(hù)SaaS客戶(hù)的利益，體現(xiàn)客戶(hù)與SaaS服務(wù)商之間的服務(wù)合同的平等關(guān)系，從而增強(qiáng)客戶(hù)使用SaaS的信心，從長(zhǎng)遠(yuǎn)來(lái)看對(duì)SaaS產(chǎn)業(yè)的發(fā)展是有利的。(it168)