北京时间今年7月19日,网络安全公司CrowdStrike的一次软件更新导致微软全球多个系统出现蓝屏故障,造成广泛影响。距离事件发生已过去一月有余,但相关的后续处置与索赔还远没有结束。本文旨在结合过去一个月中对于CrowdStrike事件的跟踪观察,从服务商和用户角度总结网络产品、服务出现故障后需关注的合规义务和可采取的相关救济措施。
事故报告
IT系统故障发生后,服务商向相关权益人和监管部门及时报告往往是与故障修复同等顺位的合规义务,并且往往具有明确的时效性要求。我国《网络安全法》和《数据安全法》均要求网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。若相关事故导致个人信息泄露的,根据《个人信息保护法》的要求,除非采取措施能够有效避免信息泄露、篡改、丢失造成危害,否则应通知相关个人信息主体。
我们注意到其他法域也有类似规定,例如欧盟《网络安全条例》要求成员国必须采取的网络安全风险管理措施包括在采购相关规则中要求相关方通过合同约定网络事故、漏洞、威胁的报告义务。我国香港特别行政区虽无法律层面统一的网络安全事故报告规定,但部分行业存在相应的监管要求,例如证券及期货事务监察委员会和金融管理局订立了指引,要求受监管的机构在运作上出现重大缺陷时或在发生重大事故(例如电子银行服务中断)时,通知客户及向其报告事故。值得注意的是,香港保安局为加强保护指定关键基础设施的电脑系统安全,在今年七月的公开发言中提出建议对关键基础设施营运者在指定时间内报告有关电脑系统事故进行立法规定。
对属于受监管行业、自身负有法定的事故报告义务的企业而言,在与网络产品服务商订立相关合同时,需特别注意在合同中对服务商约定详细的事故报告义务,包括报告的时效、内容和形式要求、初始报告之后的持续性更新报告要求、以及配合提供相关信息和协助的义务以应对后续监管调查或客户问询等。其中对于服务商报告的时效要求需注意在法定的报告期限要求之内预留充足的时间,供企业在接收到服务商报告之后,进行内部审阅、评估以结合自身监管义务确定其是否需要进行进一步报告,以及完成相关报告。
合同违约
合同条款的约定在很大程度上影响着服务商与用户之间的赔偿范围。根据我们的观察,市场上大部分成熟的IT系统服务合同系基于服务商制定的标准条款,而常见的故障违约救济措施为服务信用额(service credit),即用户可以获得一定的服务费用减免或未来免费服务的额度作为服务商对未能达到约定服务水平所支付的补偿。此外,部分服务商可能将因第三方供应商过错或网络黑客攻击导致的系统故障约定为不可抗力以豁免其赔偿责任,或者排除针对特定类型损失的赔偿责任(例如利润、收入损失、商业机会损失、数据丢失、附带或间接损失等),或约定赔偿上限等。尽管如此,用户仍可核查合同中是否存在针对该等服务商责任豁免的前置性程序要件,以及该等程序要件是否已得到满足,例如服务商需在发生网络安全事件后一定时间内通知用户、提供相应的书面证明等,以尝试抗辩服务商责任豁免或限制。若IT系统故障系因上游供应商产品、服务而产生,服务商可核查其与上游供应商之间的合同条款是否明确约定了针对服务商受到终端用户求偿、行政处罚等第三方追索的责任分配安排。
产品侵权
在缺少明确合同条款约定的情况下,相关权益方亦可从侵权责任方面角度考虑处理IT系统故障所造成的损害。我国《民法典》专门设立了产品责任章节,被侵权人有权请求产品生产者、销售者排除妨碍、消除危险,因产品存在缺陷造成损害的,被侵权人可以向产品的生产者或者销售者请求赔偿。而生产者和/或销售者赔偿后,可向有过错造成产品缺陷的一方追偿。在法律程序方面,产品侵权适用于举证责任倒置原则,即产品生产者、销售者应证明用户受到的损害与产品、服务没有因果关系。
香港法下,若瑕疵软件产品是通过实体媒介提供,例如光盘,则瑕疵软件违反了《香港货品售卖条例》有关质量及适用性的隐含条款,用户可向出售方追责。若瑕疵软件是以非实体电子方式提供,则不属于《香港货品售卖条例》中货品的定义范围,进而不受到该法律的保护。因此,在适用侵权责任时,相关权益方需结合不同法域下产品责任规定以实施追责措施。
网络安全保险
根据新闻报道,本次CrowdStrike全球IT故障引起的保险公司理赔金额近十几亿美金。网络安全保险作为转移和防范网络安全风险的重要工具,起源于美国,并于2013年进入中国内地市场。根据中国通信标准化协会的报告,由于网络安全事件发生频率较低、相关产品和服务不成熟等原因,网络安全保险在中国内地市场的发展较为缓慢,但近年来随着《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规的出台,网络安全的重要性得到各界的愈加重视。2023年7月,工业和信息化部(工信部)和国家金融监督管理局联合发布《关于促进网络安全保险规范健康发展的意见》,提出建立健全网络安全保险政策标准体系。
工信部于2023年12月份发布《关于组织开展网络安全保险服务试点工作的通知》(试点通知),针对电信和互联网、工业互联网和车联网行业试点以第一方损失理赔(即被保险人自身因网络安全事件而造成的损失及因此产生的费用,包括数据损失、营业中断、数据资产重置费用、为应对网络安全事件而产生的法律与公关费用等)为主的网络安全财产类保险和以第三方赔偿责任(即被保险人因网络安全事件而对第三方应当承担的责任,如第三方数据丢失、第三方索赔等)为主的网络安全责任类保险两大类险种。值得注意的是,试点通知中所提出的保险适用风险场景主要包括网络攻击和内部人员操作不当造成的系统运行故障两大类,因此我们理解类似于本次CrowdStrike事件这类非因网络攻击导致的风险事件也可能纳入网络安全保险的保障范围中。对于电信互联网企业,或其他具有较高网络安全要求或风险特征的企业来说,可以考虑在传统保险类别之外,配置相关的网络安全保险,以防范和抵御网络安全事件对企业正常业务运营带来的冲击。我们提请有相关需求的主体在签署保险合同时,特别注意保险范围以及对保险责任的排除事项,确保所配置的保险足以覆盖企业面临的主要网络安全风险。
作者
特别声明
西盟斯律师事务所版权所有。以上信息(包括通过本文访问的任何网站链接)仅供一般性参考,不应视为针对特定事务的法律意见或依据。在因本文内容而采取任何行动之前,应获得专业法律意见。
本文系西盟斯律师事务所原创,如需转载,请联系我们。
