近日,江苏省消费者权益保护委员会发布的《新能源汽车行业不公平格式条款调查报告》指出,部分商家以不可抗力为依据,在其格式合同中将网络安全漏洞事件作为免责条款,加重了消费者的责任和义务,这在一定程度上影响数字经济发展。今年4月印发的《中共中央 国务院关于加快建设全国统一大市场的意见》提出,“加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。”因此,如何认定商家格式合同中网络安全漏洞免责条款,合法、合理规制格式合同条款至关重要。
格式合同中网络安全漏洞免责条款的认定
网络安全漏洞的本质是因软件或者系统逻辑缺陷所引发的错误,从而使攻击者在未经授权情形下访问或者破坏网络。因此,网络安全漏洞应以软件漏洞的防范为核心。
在很多行业的格式合同中,商家多将网络安全漏洞事件定位为不可抗力事件,以此作为其免责事由,但网络安全漏洞事件本质上不属于不可抗力事件。《中华人民共和国民法典》第一百八十条规定:“因不可抗力不能履行民事义务的,不承担民事责任。法律另有规定的,依照其规定。不可抗力是不能预见、不能避免且不能克服的客观情况。”不可抗力一般包括自然灾害、社会异常事件等。首先,网络安全漏洞事件在一定程度上是可避免、可防范的。我国网络安全法第二十一条明确规定了网络运营者或服务者应当履行保护网络安全的义务。保障网络运行安全和信息安全是商家的法定义务。其次,我国2020年发布的《信息安全技术 网络安全漏洞分类分级指南》和2021年发布的《信息安全技术 网络安全漏洞管理规范》规定了网络安全漏洞管理的流程,为商家履行网络安全保护义务提供了基本方向。最后,网络安全漏洞事件并非不可克服。即使发生了网络安全漏洞事件,也可以通过一系列措施防止损害发生,克服其带来的不良后果。因此,网络安全漏洞事件不属于不可抗力事件,不应以此作为商家的免责事由,商家格式合同中的网络安全漏洞免责条款应当是无效的。若商家违反这一义务,未重视网络安全防护工作,未落实安全保护技术措施,并因此给用户造成损害的,理应承担法律责任。
格式合同中网络安全漏洞免责条款的规范
为了促进数字经济健康有序发展,保障消费者合法权益,遵循合同公平正义原则,应当规范格式合同中网络安全漏洞免责条款,不能将其直接且笼统地概括为免责事由。
首先,在订立合同时,鉴于格式合同中消费者处于弱势地位,合同提供者应明确排除将网络安全漏洞作为免责条款,同时提供有效条款确保合同的公平正义。具体而言,一方面应依据网络安全法、数据安全法及个人信息保护法等相关法律法规的规定,在格式合同中明确商家应当按照网络安全等级保护制度的要求,履行网络安全保护义务。另一方面,各行业的网络安全等级、所面临的网络安全漏洞及产生的结果是有所差异的,合同提供者应根据本行业的特点,在其提供的格式合同中,具体列明商家应履行的网络安全保障义务,确保消费者能够知悉并理解商家的网络安保义务及措施。
其次,在合同履行中,应加强网络安全漏洞协同处理机制。我国虽然已建立起由国家信息安全漏洞共享平台(CNVD)为主导的网络安全漏洞信息披露机制,但是在网络安全漏洞披露后的协同处置上还需要进一步完善。商家采取措施履行保护网络信息安全义务,一方面要求商家对所处行业网络安全漏洞有清晰的认知,这方面CNVD构建的网络安全漏洞信息披露机制为其提供了适当渠道;另一方面需要消费者及相关部门积极配合,互通有无。发生网络安全漏洞事件后,需要多元主体积极配合,以防范损害结果发生或防止损害扩大化。因此,在合同履行过程中,应当加强政府、商家及消费者等多元主体的综合治理,加强网络安全漏洞协同处理机制。
最后,在特殊类型的网络安全漏洞事件中引入公平责任。公平责任是指在行为人与受害人对损害的发生均无过错,又不能适用无过错责任要求行为人承担赔偿责任的情形下,法院依据公平理念,在考量受害人的损害、双方当事人的经济财产状况及其他相关情况基础上,裁判行为人对受害人损失予以补偿的一种损失分担机制。随着数字经济的发展,网络侵害手段日渐隐蔽、复杂,由此产生的损害很难预料。在商家已履行全部网络安全保障义务尚未阻止网络安全漏洞事件发生的情形下,由商家承担全部责任显失公平,建议在商家和消费者均无过错情形下,采用公平责任承担方式,由双方公平合理地分担责任。
(作者单位:山西大学法学院)
热门跟贴