[[319262]]

微盟刪庫事件持續(xù)發(fā)酵，在數(shù)據(jù)逐步恢復(fù)的同時，對廣大商家(SaaS用戶)的損失賠償方案引發(fā)了新一輪熱議。

二選一的賠付方案

微盟官方宣布，針對此次賠付計劃，準(zhǔn)備了1.5億元人民幣賠付撥備金，其中公司承擔(dān)1億元，管理層承擔(dān)5000萬元。

具體而言，微盟的賠付計劃有兩個不同的方案供商家任選其一：

1、利潤賠付計劃

針對因系統(tǒng)不可用期間商家邊際貢獻利潤額進行賠付，即：

邊際貢獻利潤額 =日均收入×行業(yè)平均邊際貢獻利潤率×系統(tǒng)故障時間

(日均收入等于該商家在2020年2月17日晚7點至2020年2月23日晚7點在微盟系統(tǒng)中產(chǎn)生的實際成交額除稅后的平均值)

2、流量賠付計劃

針對因系統(tǒng)不可用期間的商家給予騰訊廣告50000曝光次數(shù)進行流量補償，并且提供賬戶運營服務(wù)，同時再延長SaaS服務(wù)有效期兩個月。

快評：

第一、賠付方案是微盟單方面提出的建議，商家如果認(rèn)為兩個方案都不合理，有權(quán)拒絕接受，仍可以通過談判，或起訴等其他途徑進行維權(quán)。

第二、賠付總額1.5億看上去很大，但如果平攤到300萬商家，戶均也就只有50元。而且，它僅僅是一項公司財務(wù)預(yù)算，具體怎么落實和分配還是未知數(shù)，因此與每一個商家具體獲賠金額并無直接關(guān)系。

賠償之難?

公有云宕機后如何向用戶賠付一直是困擾云服務(wù)供應(yīng)商的難題。

首先，云服務(wù)廠商不可能保證自己的云服務(wù)100%無宕機，安全風(fēng)險始終存在，所有國內(nèi)外公有云幾乎都遭遇過不同程度的安全事故，可謂是驚心動魄。

其次，用戶的損失難以估量，關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)、不同行業(yè)、不同企業(yè)規(guī)模造成的損失大小也不同，難以找到統(tǒng)一的衡量標(biāo)準(zhǔn)。比如，運營數(shù)據(jù)及客戶信息的丟失、人工費用、客戶流失等等。

由于上述兩點，大部分云服務(wù)提供商在服務(wù)協(xié)議中非常重視免責(zé)條款，以及賠償條款，會盡量避免在合同中承擔(dān)任何賠償責(zé)任，頂多是延長服務(wù)期限抵償。

有媒體報道，記者采訪的一些中小商家既不愿接受現(xiàn)金賠付計劃，也不愿接受流量賠付計劃。這時商家可以選擇以下任一訴訟路徑，要求微盟提供經(jīng)濟賠償。

選擇一：告合同違約

由于沒有獲得微盟的服務(wù)協(xié)議，我們目前無法對合同條款做出評論或建議，暫且參考云服務(wù)行業(yè)常見的服務(wù)等級協(xié)議(SLA)做一簡要分析。

云廠商為了顯示自身云平臺的穩(wěn)定性、安全性及吸引客戶，都會在產(chǎn)品服務(wù)等級協(xié)議(SLA)中承諾一個服務(wù)可用性指標(biāo)，如：99.99%。簡單地說，就是保證在服務(wù)期間99.9%的時間內(nèi)，可以按要求提供云計算服務(wù)。

在“賠償標(biāo)準(zhǔn)”條款中，阿里云、騰訊云兩家云平臺均承諾了如果服務(wù)可用性低于95%，則以代金券形式賠償月服務(wù)費的100%。對照微盟的流量賠付方案(延長SaaS服務(wù)有效期兩個月)來看，微盟的賠付方案似乎比阿里云、騰訊云更為優(yōu)厚哦。

但是，請注意一個關(guān)鍵的因素，時間!時間!時間!

出現(xiàn)云宕機或其他安全事故，業(yè)內(nèi)企業(yè)通常在很短時間內(nèi)(按分鐘或小時計)可恢復(fù)數(shù)據(jù)。但此次微盟耗時長達10天以上(從2月23日事故發(fā)生，暫計至官方承諾3月3日數(shù)據(jù)恢復(fù)上線)，這是史無前例的重大事故。

公有云行業(yè)的服務(wù)可用性承諾，通常是按分鐘計算的技術(shù)指標(biāo)。以上述阿里云、騰訊云的標(biāo)準(zhǔn)衡量，如果低于95%的可用性，則意味著用戶在當(dāng)月有2,160分鐘無法正常使用云服務(wù)。那么，如果云服務(wù)停擺10天呢?用戶將在14,400分鐘(102460)內(nèi)無法正常運營,是前者的6.67倍。如換算出當(dāng)月的服務(wù)可用性，達到驚人的66.67%!!!

以上為阿里云某產(chǎn)品的賠償標(biāo)準(zhǔn)，服務(wù)可用性劃分的非常細(xì)：第一檔是未到達承諾但不低于承諾的0.99%;第二檔是不低于承諾的4.99%;一旦低于5%，則意味著云廠商承認(rèn)自己存在嚴(yán)重失職，應(yīng)全額賠付。

作為通行的做法，云平臺也會設(shè)定賠償責(zé)任的上限，一般不超過云平臺收取的服務(wù)費總額。

我們判斷，微盟的合同條款中也會設(shè)置類似的賠償責(zé)任上限。因此，從合同違約角度提起訴訟，對維護商家利益而言可能并不有利。

選擇二：告侵權(quán)賠償

除了合同違約之訴外，商家還可選擇侵權(quán)(損害賠償)之訴，此時需要重點關(guān)注以下幾個問題。

問題一：微盟錯在哪兒?

與其他安全事件不同，此次刪庫事件的發(fā)生并不是由于外部(黑客)攻擊，也不是由于公司員工的疏忽造成的，而是一次罕見的內(nèi)部員工的惡意破壞事件。雖然作為受害方微盟及時報警，并將涉案程序員移交警方處理。但不可否認(rèn)的是，這是一次因內(nèi)部管理嚴(yán)重缺陷導(dǎo)致的重大網(wǎng)絡(luò)安全事故。

所暴露出的內(nèi)部管理缺陷，包括：安全架構(gòu)、員工行為管理、IT運維數(shù)據(jù)管控、預(yù)警及危機處理等各方面問題。對這次看似偶然實則必然的安全事故，微盟作為服務(wù)提供方難辭其咎。

問題二：誰對數(shù)據(jù)有備份義務(wù)?

刪庫事件的發(fā)生，與商家數(shù)據(jù)的丟失是否存在必然的因果關(guān)系?也是值得思考的問題。

網(wǎng)絡(luò)上針對數(shù)據(jù)丟失有不少討論，有的認(rèn)為微盟沒有做好備份工作，也有的認(rèn)為，客戶自身也有對數(shù)據(jù)做跨平臺實時備份的責(zé)任。這些討論主要是站在安全運維的角度，與法律意義上的“責(zé)任”有所區(qū)別。

若在服務(wù)合同中明確約定了，服務(wù)購買方的數(shù)據(jù)備份義務(wù)，那么商家在訴訟中主張由微盟承擔(dān)數(shù)據(jù)丟失的責(zé)任，將變得十分困難。

例如，在河南中京聯(lián)盟電子商務(wù)有限公司訴鄭州市景安網(wǎng)絡(luò)科技股份有限公司服務(wù)合同糾紛【(2019)豫01民終11930號】一案中，法院認(rèn)為，服務(wù)合同明確約定了原告(中京公司)應(yīng)自行對服務(wù)器內(nèi)的數(shù)據(jù)做好及時備份工作，未約定被告(景安公司)應(yīng)對中京公司的數(shù)據(jù)進行實時備份。且數(shù)據(jù)丟失的原因是第三方黑客攻擊，在簽訂的合同中也未約定此種情形下的數(shù)據(jù)備份和保護義務(wù)，故不能證明被告違反合同約定。

如果合同對數(shù)據(jù)備份義務(wù)沒有約定或約定不明，則可以參考行業(yè)慣例或?qū)嵺`，來分?jǐn)偢髯缘呢?zé)任。

問題三：商家的損失怎么算?

暫以數(shù)據(jù)丟失為例。如果因刪庫事件某商家丟失了3000個客戶信息，如何計算損失?每一個客戶價值該如何定價?對此，目前在司法界并無定論，甚至有可能因難以計算而被直接忽略。

在此，我們大膽套用投資界的方法來做一點推斷：

A. 假設(shè)一：客戶價值 = 客戶獲取成本(CAC)=市場總花費/同時期新增用戶數(shù);

或者

B. 假設(shè)二：客戶價值 = 客戶終身價值(LTV)的一定折扣率，其中LTV=月度平均每客戶收入 X 客戶生命周期(以月計)。

雖然以上方法，在投資機構(gòu)對SaaS企業(yè)估值過程中被普遍采用，但是否能被司法機構(gòu)所接受，仍存在較大不確定性。

問題四：賠償標(biāo)準(zhǔn)怎么定?

即使商家存在經(jīng)濟損失，且能夠被確認(rèn)，但是否應(yīng)完全按商家損失進行賠償則是另一個問題，這就涉及到賠償標(biāo)準(zhǔn)了。

作為一項IT基礎(chǔ)服務(wù)，云計算是“按照使用者的規(guī)模提供隨用量變化的彈性經(jīng)濟模式”，說白了就是用多少，付多少。由于客戶所處行業(yè)、客單價等相差懸殊，如果將云服務(wù)商的賠付責(zé)任，與客戶的業(yè)務(wù)價值相互掛鉤，是否有失公允?同時，這種掛鉤也會使云服務(wù)商陷入極大的法律風(fēng)險之中，阻礙云服務(wù)行業(yè)的健康發(fā)展。

顯然，在確定賠償標(biāo)準(zhǔn)時，云服務(wù)廠商與用戶之間存在明顯的沖突。因此，如何平衡這種利益關(guān)系，同時兼顧SaaS行業(yè)的技術(shù)特點、不阻礙云生態(tài)的健康、可持續(xù)發(fā)展，是對司法機構(gòu)的一個重大考驗。

我們建議，這個賠付標(biāo)準(zhǔn)應(yīng)當(dāng)綜合考慮案件的具體情況，既不能完全采用“損失說”(用戶角度)，也不能完全采用“費用說”(云廠商角度)，還需要考慮各方的過錯程度、因果關(guān)系、所涉及的技術(shù)服務(wù)內(nèi)容等因素。

小結(jié)：

綜上，我們對商家的初步建議是：

1、從損害賠償?shù)慕嵌冗M行索賠;

2、在專業(yè)律師的協(xié)助下，進行證據(jù)收集和損失計算;

3、學(xué)會換位思考，案件有一定難度，各方利益需要平衡;

4、在訴訟過程中繼續(xù)談判，爭取有利的處理結(jié)果。

微盟刪庫事件，注定成為中國網(wǎng)絡(luò)安全史上的一大慘案。而關(guān)于如何賠付“云上損失”的話題也才剛剛開始，希望通過更多的案例來找到一個最佳平衡點，使云生態(tài)中的各方利益得到兼顧，并推動中國的互聯(lián)網(wǎng)事業(yè)健康發(fā)展。