企业邮箱

中文 EN

苏州
苏州

复盘、处置与改善—以微盟事件为视角浅谈互联网数据安全保护

所谓经验,即是从已发生的事件中获取的有价值的信息。而法律的生命,恰恰在于经验。在今后,类似互联网企业为免遭此等“飞来横祸”,强化技术保障的同时,需要法律在制度设计、程序制约等方面发挥更大价值。技术与法律,两者不可偏废,这才应当是互联网企业从这次事件中汲取的经验。

一、“删库”事件回顾——发生了什么?

微盟,SaaS(Software-as-a-Service)服务商,成立于2013年,主营业务为SaaS产品服务,涉及电商零售、餐饮外卖、本地生活、营销推广等。按2017年收益及付费商户数量计,微盟集团是微信平台上最大的中小企业第三方服务提供商。根据微盟2019年上半年财报数据,微盟SaaS产品及精准营销服务拥有超过300万注册商户。2019年1月15日,微盟集团成功登陆香港联交所主板并挂牌上市。

2020年2月23日晚7点,微盟收到系统监控警报,服务出现故障,大面积服务集群无响应,生产环境及数据遭受严重破坏。微盟集团随后表示,暂时无法向客户提供SaaS产品服务。

微盟3月1日发布公告称,截止到3月1日晚8点,在腾讯云团队的协助下,微盟已全面找回数据并表示将于3月2日晚10点至3月3日上午9点,正式进行数据恢复上线。

从微盟官方发布的上述事件经过来看,从2月23日数据被删除至数据恢复,长达6天甚至更久的时间里,微盟和其服务对象遭受了巨大损失。商户丢失数据,除经营损失之外,更大面积的信任危机理应引起重视。下阶段,在恢复数据、恢复运营的同时,微盟需要通过建立完善的数据安全保障机制以恢复用户信任,避免重大数据安全事故再次发生。

二、微盟的补救措施——怎样做得更好?

2020年3月1日,在紧锣密鼓地抢救数据的同时,微盟发布了针对本次事件的补救措施,包括对商户的赔付计划和数据安全保障计划,以降低损失,同时提升数据安全防护能力和等级。

1、赔付计划

微盟公布的赔付计划包括现金赔付计划和流量赔付计划。现金赔付计划针对商家因系统不可用而造成的利润损失,流量赔付计划针对系统不可用带来的流量损失。上述赔付计划同时考虑到了不同商家不同的损失范围,一定程度上值得肯定,但具体操作及止损效果仍有待观察。首先,商户需要在现金赔付计划和流量赔付计划中任选其一。需要指出的是,针对在微信生态经营的众多中小规模商家来说,数据丢失导致的损失、经营利润损失和流量损失是次要的,该部分商家基于微信社交属性和微信生态圈长期运营所得到的客户数据的丢失乃至客户资源的损失影响更大。申言之,现金赔付能否覆盖商户现阶段损失尚有待观察;流量赔付能否弥补中小规模商家丢失其基于长期运营获得的客户资源,流量曝光精准度和实际效果也有待观察。其次,1.5亿现金赔付计划中,由公司高管承担5000万元的措施合理与否有待商榷。必须指出的是,公司高管主动承担责任并参与高额赔付计划的行为体现了管理层的担当。但是,不管该举措是微盟集团出于责任划分作出的决定,还是其他考虑,其合理性都有待商榷。分担5000万元现金赔付计划的四位高管是公司管理团队核心成员。面对突发危机,“共克时艰”可以理解,但此举是否经过合法性论证,笔者保留质疑。质言之,分担损失的高管是否与公司针对分担比例达成某种形式的协议?协议如何达成?是否有资本裹挟因素?风波过后是否会因此再起新的纠纷?实难测也。

2、如何做得更好?

相对于优秀的公关,对于软件服务商而言,如何通过提供稳定、安全的系统服务来留住自己的商户才是最核心的任务。纵观本次微盟危机公关发布的内容角度、相关措施的阐述角度都可能让旁观者认为该事件影响有限且已得到有效解决。但从友商同期公关力度和采取的措施来看,微盟现有商户的流失已经不可避免且正在发生。不同于电商购物平台面对的是广大网购的消费者,SaaS服务商面对的是广大经营者,在花出去每一分钱的时候,经营者显然思虑更多。这就直接导致SaaS商户对平台的忠诚度远低于普通消费者对于电商平台的忠诚度。既然客户流失不可避免,那么针对现有客户,结合提供的服务类别,最大程度恢复商户经营是第一要务;其次是要尽快恢复商户的客户数据,同时采取精准的扶持政策,帮助商户挽回流失的客户,逐步恢复正常经营活动。在疫情阴霾的笼罩下,线下经营受挫,中小规模商户经不起线上业务持续无法运营带来的双重打击。针对数据丢失且无法恢复的商户,应当尽快定制推广措施,配置推广资源,帮助商户恢复稳定的客户数量。疫情的寒冬终将过去,删库事件的影响也终将平息,眼下在挽留商户和帮助商户恢复经营方面的投入,对日后整体业务的恢复必将大有裨益。

三、“删库余波”——下阶段可能面临的法律风险及应对措施

鉴于本次事件对平台商户影响较大,前文已分析现有补救措施力度有限,且赔付计划未必能够及时为商家止损,且可能出现现有赔付力度无法覆盖商户损失的情况。微盟集团若不及时疏解商家亏损难题,或将面临被商家集体起诉的局面。届时,除了应诉、赔付等巨大损失之外,商誉的损失也可能进一步扩大。

对于商户而言,由于商户和微盟签订有服务协议,根据《合同法》相关规定,在微盟因故无法提供正常服务时,商户可根据服务协议的约定,要求微盟承担违约责任。此外,若因微盟未尽到管理义务,导致数据丢失且无法恢复的,商户还可追究微盟侵权责任。

对于微盟而言,充分利用好平台规则和服务协议,依法合理确定责任承担,做好合理赔付的同时,也可将公司损失降到最低。同时,因删库员工已涉及刑事责任,公司还可通过附带民事诉讼程序,追究相关员工的法律责任,进一步降低损失。

概言之,商户可依法追究微盟法律责任,要求赔偿损失。微盟也可依法抗辩,在法定范围内进行赔付。

四、从“删库”事件谈互联网数据安全保障——技术+法律

“删库”事件是互联网时代的特殊产物,概览近年来大大小小数次删库事件,不一而足,影响范围也不尽相同。但是,此次删库事件足以给互联网行业敲响警钟——互联网企业究竟应当怎样完善数据安全保障机制?毕竟,数据存储、备份对于企业日常经营而言,会造成额外的成本负担。即,若不发生数据丢失等意外事故,在数据安全保护方面投入越多,成本越高,且该部分投入多数情况下并不直接产出效益。但是,保障数据安全不仅是法定义务,更是企业最基本的道德要求。除了本文论及的数据丢失风险之外,数据被恶意篡改、泄露等风险也必须时刻提防。因此,笔者认为,强化技术保障的同时,完善法律层面的制度设计、流程规范等全方位安全保障体系,方能更大程度保障互联网数据安全。

1、强化技术保障

从微盟最新公告来看,此前微盟并未全面覆盖云数据库,部分数据仍使用自建数据库。数据备份方面,异地备份机制也存在一定漏洞。诚然,技术开发和技术应用,都需要企业投入巨大成本,但数据安全关乎企业命脉,必须予以重视。想要实现更大的发展,应对更大体量的数据,必须采取更高等级的数据保护体系,不要让数据安全成为制约企业发展最短的那块木板。

2、完善法律保障

微盟公告中对于法律层面的保障鲜有涉及,仅在措施一最后一条提及加强法律学习。笔者以为,完善的数据安全保障体系,必须以严谨的法律思维贯穿始终。近在眼前的经验和教训是,在疫情爆发时才重视《传染病防治法》规定的各项措施和规范流程,代价之惨痛有目共睹!因此,法律在保障互联网数据安全方面具有不可替代的重要作用,从内部数据库操作权限设计、权限分工、流程规范、数据安全管控、风险监控、预警、数据事故应急预案的制定和实施等方面,通过完善制度的设计,可最大程度降低法律风险。《网络安全法》等相关法律规范应当成为互联网企业规范运营的准则。

首先,互联网企业应当制定完备的数据安全管理制度和操作规程,通过规范的数据操作流程排除数据操作人员因错误指令或恶意破坏导致的数据安全风险。数据安全管理制度中,应当分区、分级,按照相关人员权限等级和风险防控等级设计授权。针对具体项目中的数据,应当建立数据安全责任人制度,将数据安全责任落实到人。

其次,应当依法建立互联网数据安全动态监测系统,结合企业数据体量和重要等级,实时监测数据变更动态,防止数据大量泄露、被篡改、被删除等风险。

再次,应当依法建立互联网数据安全应急预案,根据突发事件风险等级,及时采取措施,确保数据安全和系统稳定,并立即采取补救措施,最大程度降低损失。

最后,应当注意的是,法律风险防控是互联网企业数据安全保护最坚实的生命线,依法、依规运用好法律,方能避免在面对突发的法律问题的同时,受到法律全方位的保护。企业除应依法采取上述措施外,还应当从核心员工招聘与尽职调查、日常管理、企业文化培养、法律风险培训、劳资纠纷处理等方面着手,助力企业健康、可持续发展。

联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市海甸四东路6号颐和花园B座二层,570208

电 话:(0898)6625 4181

传 真:

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区思安街99号鑫能商务广场1幢1001-1002室,215028

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 香港上环干诺道中200号信德中心(西翼)20层2002号

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030

电 话:(027)8361 5198

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。