2015年5月末,“黑天鹅”频频垂青中国互联网——支付宝、携程两家行业巨头的服务器接连宕机,不仅无数用户的出行、支付受到影响,个人信息安全也受到威胁。
在这次网络故障中,部分支付宝用户的客户端和网页版均出现故障,当用户想要进行转账或者货物交易,会显示“系统错误”导致交易失败。多名网友反映,由于故障发生时正值业务交付时间,大笔款项无法正常交易,产生巨大风险。而携程用户也在网上反映,由于网站故障,在出差途中发生了订单丢失的情形,其中损失希望能得到赔偿。
回顾这次支付宝和携程的故障原因,支付宝方面表态,是由于杭州市萧山区某地光纤被挖断,造成用户无法使用;携程官方则表示,经过技术排查,确认此次事件系员工错误操作导致。
虽然两者都属于发生概率在数万分之一的意外事件,并非公司恶意所为,但从性质上来说,前者涉及到一个公司在数据管理上的顶层设计架构,后者则涉及到公司内部的信息数据安全管理。
其中的风险成本和管理责任,理应由企业来承担,现实却并非如此。在用户索偿的声音中,越来越多人开始意识到一个问题:当互联网逐渐覆盖社会的基础服务,有没有法律可以保护用户利益?
以现行法律框架来看,全国人大常委会最早在《关于维护互联网安全的决定》(2000年)中指出,为了保障互联网的运行安全,对于擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行,或者故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害的行为,构成犯罪的,依照《刑法》有关规定追究刑事责任。
相对应的是《刑法》第280条“破坏计算机信息系统罪”。根据该条文内容:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
而该条第二款、第三款亦表示:违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
诚然,从公法层面上,相配套的法律责任存在,但若是对这个罪名进行分析,可以发现追责很难落到互联网企业头上。像涉嫌破坏电缆的支付宝事件虽然存在相关个人进一步被追责的可能性,但马云“若支付宝瘫痪自己将进监狱”的表态很难成为现实。
从构成要件的主观方面来说,该罪名要求犯罪主体在主观上出于故意,即犯罪人如果因操作疏忽大意或者过失,则不构成该罪。因而作为公司一方的支付宝和携程,均可以此为理由进行法律追责上的抗辩。
从私法层面来说,这个追责更加困难。用户注册时,互联网企业往往会要求用户对一份长篇电子文本点击“同意”,这份文本除了介绍产品的功能,主要就是通过格式合同的形式,对企业运营中的各种因素进行风险规避。
以携程为例,这份同意书中就写有 “本服务涉及到互联网及移动通讯等服务,可能会受到各个环节不稳定因素的影响。因此任何因不可抗力、计算机病毒或黑客攻击、系统不稳定、用户所在位置、用户关机、GSM网络、互联网络、通信线路等其他本服务无法预测或控制的原因,造成服务中断、取消或终止的风险,由此给您带来的损失本服务不承担赔偿责任”;“服务需要定期或不定期地对提供网络服务的平台或相关的设备进行检修或者维护,如因此类情况而造成网络服务(包括收费网络服务)在合理时间内的中断,本服务无需为此承担任何责任,但本服务应尽可能事先进行通知”;“除本服务协议另有规定外,鉴于网络服务的特殊性,本服务有可能变更、中断或终止部分或全部的网络服务,本服务无需为此承担任何责任,但本服务应尽可能事先进行通知,并尽可能给您预留时间以便处理相关权益”等条款。携程要求用户对这些风险“完全理解并同意”。
99%以上的用户在注册时基本不会阅读类似条款,更无法意识到背后潜在的法律问题。
即便不认同互联网企业的这些风险规避条款,用户也没有机会与互联网企业进行商讨抗衡。因而除了公法层面,用户在私法层面上想通过法律为自己进行维权也非常困难。
现在再回溯2011年时爆发的中国开发者技术在线社区CSDN“600万用户账号密码泄露事件”:由于许多用户在不同网站使用相同的用户名和密码,因而在账号密码被泄露后,发生了大量淘宝、当当、京东等电子商务网站账户被盗用。但对此,CSDN最后仅仅发表声明公开道歉,用户的损失一直无法认定和赔偿。
在这些“黑天鹅”事件背后,反映的是互联网公司在信息技术和安全管理上存在漏洞,其中的风险和成本却分摊到每一位互联网用户身上。疏漏的规则使得企业更容易轻视自身的风险控制。由此看来,在推进互联网产业发展的过程中,立法者对用户权益保障的规则设计,是互联网立法需“+”的基因。
上一篇:安全管理四项基本原则