虽然“黑客”看起来是个高大上的职业,在众多小说和电影中也有一些让圈外人颇为憧憬、崇拜的刻画。
但在实际生活中,各位网络服务经营者却是求神拜佛也希望他们不要造访。不仅有可能在短时间内受到不低的经济损失,还会让用户怨声载道,企业形象不说一落千丈,也不可能完璧无瑕。
不管是出于同行业的恶意竞争还是黑客本人为了窃取钱财、信息等原因,作出了攻击计算机系统的违法行为,无疑应当受到法律制裁。
但受到损失的网络服务用户和运营商,他们该找谁维权呢?
这其实是个世界性的议题,而根据新闻报道,英国的最新版《数据保护法案》,首次将“精神损失”纳入索赔范畴,引发不小的争议。
根据英国现行法律,黑客攻击受害者只有在经济利益受到侵害,如银行账户被“洗劫”时方可提出索赔。但最新法案明确提出,受害者只要蒙受“精神或心理伤害”便可提出经济赔偿,赔偿数额视遭入侵数据的“敏感度”而定,最高可达6000英镑(约合人民币5.2万元)。不仅如此,当局对存在网络安全疏漏的公司也将提高罚款力度。
新法案被指容易造成企业破产,还有可能诞生新型诈骗——通过伪造“被黑”的假象,向公司企业或机构“碰瓷”并骗赔。
国外的法规咱们暂不过多讨论,来说说国内的情况,被黑客攻击的公司或者机构、信息遭到入侵的用户,他们的损失由谁来承担?
有种说法是,黑客攻击属于不可抗力,用户的损失网络服务平台经营者一律不负责。实际上,这种说法站不住脚:
根据我国《民法通则》第153条、《合同法》第117条规定,不可抗力是指不能预见、不能避免并不能克服的客观情况。因不可抗力不能履行合同的,根据不可抗力的影响,部分或者全部免除责任,但法律另有规定的除外。
作为基于互联网运作的服务平台,不管经营范围和目的是什么,理论上都可以预见黑客攻击发生的可能性。往自信点说,如果平台的IT技术过硬,黑客攻击导致的不利后果也是可以避免的。
因此平台遭遇黑客攻击不属于法律上规定的不可抗力,不得作为平台免责的法定事由,但是这并不意味着客户遭受的损失都一定由服务提供者承担,因为还有“合同约定”。
列举两个来自网络的实际提问:
01
——“我们是一家网络公司,需要和域名服务商签订合同,对方有2家,一家直接把黑客攻击列为了不可抗力,一家明确说明此类事件对方不承担责任。对于这样的情况我们公司应该怎么做,或者怎么防范能减少这种意外损失呢?”
——律师回答:按照你们的约定处理,黑客攻击属于犯罪行为,一般只能报案处理。
律师回答比较笼统,其实前半句说的是用户因黑客攻击受损谁担责,后半句说的是实际受到攻击的网络服务提供者的损失谁担责。小安分别分析一下提问中两家公司的不同做法:
前者把黑客攻击定位为不可抗力,我们前面说了这是不符合法律规定的,所以这种合同条款显然无效。但是后者不同,只约定该公司对黑客攻击不负责任,不提不可抗力,那么只要双方当事人认可、达成合意,那么约定有效。
02
——“黑客恶意入侵我们公司服务器空间造成客户数据被盗取,客户追究责任的话,这类事情在互联网领域,属不属于不可抗力的事件?”
——律师回答:不属于不可抗力,应该由你公司负担责任。
但是也有例外,就是我们刚说过的“合同约定”,举个例子,某网络支付服务提供者在其服务协议中这么写道:
“因受不可抗力影响而不能履行或不能完全履行本协议的一方可以免除责任。不可抗力是指本协议各方不能预见、不能避免、不能克服的客观情况。
“
因受不可抗力影响而不能履行或不能完全履行本协议的一方可以免除责任。不可抗力是指本协议各方不能预见、不能避免、不能克服的客观情况。
此外,鉴于网络之特殊属性,发生包括但不限于下列任何情形导致不能履行本协议下义务的,各方可以免责:
(1)黑客攻击、计算机病毒侵入或发作;
(2)计算机系统遭到破坏、瘫痪或无法正常使用而导致信息或纪录的丢失、不能提供本协议项下之服务的;
……
”
意思就是黑客攻击导致的服务中断,不管有没有造成用户损失,服务提供者都是不承担责任的,实际损失都不赔,更别提精神损失了……
但是遭到黑客攻击的网络服务提供者,他们可以通过刑事附带民事诉讼对黑客进行索赔,国内有成功案例。
最后顺带提一下:黑客攻击企业和单位的行为,属于刑法中的【破坏计算机信息系统罪】,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,后果严重的行为。后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
【如何界定后果严重和特别严重,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中有明确规定,篇幅有限不在此列举。】
互联网虽然碰不到摸不着,但这并不意味着在网络上的行为不用承担法律责任,越来越多的网络立法已经证明了这一点。一方面,互联网企业为了防范黑客,需要不断提高技能点,另一方面,不管黑客们技术多高超,法网恢恢,疏而不漏,犯罪终有落网时。
热门跟贴