選擇SaaS風險由誰承擔？

申請免費試用、咨詢電話：400-8352-114

選擇SaaS，當用戶的信息被盜，矛頭一定直指SaaS服務提供商，此時SaaS的安全問題已經(jīng)由技術防范延伸到法律層面。在傳統(tǒng)社會中，偷竊所產(chǎn)生的法律責任由行為者來承擔，但是偷竊發(fā)生在互聯(lián)網(wǎng)上，偷竊者的身份因難以確定而無法追究，這種法律責任由誰承擔？

服務端遭遇黑客攻擊 責任由誰承擔？

SaaS系統(tǒng)端風險所引發(fā)的數(shù)據(jù)丟失糾紛，一般來說SaaS應該承擔賠償責任。如因為SaaS雇員的素質(zhì)低下，諸如欺詐、誤操作等造成客戶資金損失，被視為服務商過錯，服務商需要承擔全部賠償責任；SaaS系統(tǒng)軟硬件出現(xiàn)的技術故障給客戶造成的直接和間接損失，盡管SaaS主觀上沒有過錯，SaaS仍然需要承擔民事責任，這毫無爭議的。但是，如果SaaS系統(tǒng)端遭遇黑客攻擊，不法分子把SaaS平臺作為攻擊的對象，所發(fā)生的數(shù)據(jù)丟失或泄密，服務商是否需要承擔相應的法律責任呢？

依照我國《民法通則》及《合同法》的有關規(guī)定，SaaS作為一方當事人的違約責任免責事由有約定和法定兩種。法律會尊重服務商和客戶在服務協(xié)議中的約定為先，但同時也規(guī)定了一些法定的風險和分配制度。有些人認為SaaS系統(tǒng)遭遇黑客攻擊屬于一種不可抗力，應該免責。

其實，黑客攻擊事件不應該作為不可抗力，而是屬于一種意外事件。依據(jù)我國合同法，不可抗力是指"不能預見、不能避免并不能克服的客觀情況"，黑客攻擊事件雖然具有不可預見性，但是能夠克服。SaaS服務商通過提高系統(tǒng)的安全性就是一種不停地與黑客展開"反攻擊"的過程。我國合同法實行嚴格責任原則，不可抗力可以免責，意外事件則不能免責。同時，從敦促SaaS服務商履行維護系統(tǒng)安全的義務角度出發(fā)，黑客攻擊也不能作為服務商的免責條款，否則SaaS會因此怠于履行提高系統(tǒng)安全性的義務，使得客戶數(shù)據(jù)的安全性變得更差。

惡意格式條款 不是服務商的免責保護傘

SaaS服務商在與客戶的服務協(xié)議中一般會約定客戶對密碼的保管責任，因密碼泄露所造成的后果由客戶來承擔。這屬于協(xié)議約定的SaaS服務商免責事由，SaaS服務商可以因此而拒絕承擔SaaS客戶端因密碼問題所帶來的客戶數(shù)據(jù)丟失的任何法律責任。但是協(xié)議屬于格式的合同，如果制訂合同一方惡意免除自己的責任條款，此時的"格式條款"并不能作為服務商的免責保護傘。

在洪榮堯訴中國農(nóng)業(yè)銀行永嘉縣支行一案中，法院認定了《中國農(nóng)業(yè)銀行網(wǎng)上銀行業(yè)務章程》第六條"凡是憑客戶證書和密碼進行操作皆視為客戶本人所為，銀行不承擔任何責任"這一格式條款作為銀行的免責理由進行抗辯，把本屬于銀行承擔的責任也推向儲戶屬于無效條款。

但這一條的規(guī)定與目前工行電子銀行服務協(xié)議中關于客戶密碼保管責任的規(guī)定不同，因為它"凡是憑客戶證書和密碼進行操作皆視為客戶本人所為"，排除了銀行的過錯所造成的密碼丟失，將此責任也推卸到客戶身上。而工行的條款則是規(guī)定客戶自身造成的密碼丟失，責任由客戶承擔。農(nóng)業(yè)銀行現(xiàn)在已經(jīng)修改了電子銀行業(yè)務章程，此條規(guī)定已被廢除，轉(zhuǎn)而規(guī)定"因客戶保管不善、掛失不及時等造成的資金損失由客戶自行承擔"。

同樣，為了保障用戶數(shù)據(jù)安全，SaaS服務商和客戶都必須要承擔一定的合同義務，而不能一味將義務強加到SaaS服務商身上。

比如，在我國《電子銀行業(yè)務管理辦法》第十條規(guī)定，在開通網(wǎng)上銀行業(yè)務時銀行有告知風險的義務。網(wǎng)銀只需要盡到合理提示風險的義務，客戶就需要履行妥善保管密碼的義務，一旦疏于履行，造成的密碼泄露，可能會造成資金丟失。

前述美國《電子資金轉(zhuǎn)移法》規(guī)定，一旦儲戶存款在銀行發(fā)生了問題，銀行應先行賠付，而后由司法機關介入調(diào)查，從而保證了客戶利益。這個規(guī)定目前被不少人用來作為網(wǎng)銀賠付的一點理由，但是這里規(guī)定的是儲戶存款在銀行發(fā)生了問題，而客戶造成密碼丟失是在銀行控制范圍之外，"偷竊者"以盜來的客戶賬號和密碼造成銀行做出錯誤動作，銀行不應該承擔責任。這也就是一種準債權人占有了債權憑證的情況。

SaaS服務商在處理用戶密碼的時候，也完全可以參照商業(yè)銀行的方式來處理。充分告知用戶密碼安全性的重要，并將丟失密碼容易遭受的損失也要告訴清楚。當一旦有用戶密碼被竊取或丟失的時候，SaaS服務商也要有相應的應急預案，以便在第一時間啟動，將損失降到最低。

客戶對于密碼妥善保管的義務范圍應該限制在客戶盡到一般人的保管密碼能力，也就是對于上網(wǎng)操作的計算機進行了基本而且必要的軟硬件防病毒保護義務。在客戶盡到了一般正常的注意義務和及時通知義務時，仍然發(fā)生數(shù)據(jù)丟失的情況，也就是客戶作為合同中的債權人并沒有過錯，應該按照公平責任讓SaaS給予客戶一定補償。

在大多數(shù)人看來，這個問題存在兩種可能的處理方式：

① SaaS服務商承擔整體風險

SaaS服務商需要主動承擔整體的安全環(huán)境構(gòu)建任務。這種方式的實施難點在于：SaaS需要轉(zhuǎn)變有關風險的觀念和體制，因此存在巨大的創(chuàng)新風險。

② 用戶承擔自身風險

參照銀行不承擔用戶端風險，通過較長時間的教育和安全知識的普及，提高客戶安全意識，SaaS服務商也可以提出由客戶主動負責本人客戶端的安全。但是這種方式實施的難點在受制于客戶接受程度與安全知識可能的普及的程度，一旦客戶接受程度度和安全知識普及程度不夠，就會導致客戶群增長速度緩慢。

因此，不論SaaS安全風險的原因在于系統(tǒng)端還是客戶端，在舉證上客戶明顯處于不利?？蛻粲捎趯I(yè)知識和條件的限制，很難找出SaaS服務的技術漏洞。因此SaaS服務也應參照醫(yī)療事故糾紛，將"誰主張，誰舉證"的舉證責任原則變通為 "舉證責任倒置"，即由SaaS服務商來舉證，證明自己的系統(tǒng)沒有漏洞，從而增強實際的操作性。

"舉證責任倒置"能夠切實保護SaaS客戶的利益，體現(xiàn)客戶與SaaS服務商之間的服務合同的平等關系，從而增強客戶使用SaaS的信心，從長遠來看對SaaS產(chǎn)業(yè)的發(fā)展是有利的。(it168)