博客首页|TW首页| 同事录|业界社区

维权Dropbox类网站数据泄露的法律分析

云储存服务商Dropbox最近遭遇了一次严重的安全问题,该公司是一家非常典型的云计算服务公司,云存储技术便捷、高效,一直为良好的用户体验著称。6月19日,该公司软件升级出错,导致约有两个小时时间里(一说为四小时),任何用户只需帐号,不用密码就可以直接访问用户存储在该公司网站的数据。

身边不少朋友都是Dropbox或者与之类似的快盘、酷盘、云盘等网盘的用户,笔者想到一个问题,如果有用户因此丢失了重要数据,如软件源程序因此被盗,导致盗版横行;涉及商业秘密或个人隐私资料落入类似维基解密之类的网站,导致被公开,用户能不能通过法律维权?获得赔偿的前景又会如何?考虑的结果是:如果此事发生在中国,用户的维权将非常艰难,获得赔偿的可能性也是非常之低,金额更会少的可怜。技术上,用户维权将遭遇如下问题:

一、举证难。如何证明用户的资料是因为网站的技术故障而遭到泄露的?从用户的角度,证明难度非常大。以类似的国内网银失窃案为例,迄今为止,所有的因用户银行存款被通过网上银行转走的盗窃案件,用户起诉银行时,银行无一例外的会指责用户密码保管不当而给了犯罪分子可乘之机,并自辩自己的系统有多么先进、靠谱。对此,作为个体的用户显然在举证证明银行的网银存在技术漏洞方面存在很大困难,因此,此类案件多以银行胜诉告终。

同样的问题也会存在于在用户起诉类似Dropbox的网站时。虽然数据泄露后被公开有时会涉嫌商业秘密或传播淫秽物品的刑事犯罪,运气好的用户可以在公安局破案后把刑事判决书中的相关记载作为证据。但刑事案件的处理时间非常长,拿到判决通常已经是事发后一年乃至更长时间。同时,我国对于商业秘密的泄露有50万元损失的刑事立案要求,而很多数据泄露案的损失根本无法评估或损失未达要求,传播淫秽物品罪也有类似的立案标准问题,因此,通过到公安局报案取得证据的方法可能并不适用于多数案件。

二、获赔难。用户在赔偿问题上会遇到两个法律障碍:
障碍一、免费用户求偿难。法律的一条原则是权利义务对等。国内互联网用户基本没有付费习惯,所以除了网游外的多数互联网服务基本都是免费的。既然没有收费,网盘服务商的法律责任也不会很大,因此付出相应的获得赔偿的概率是非常小的。实际上,国内用户在遭遇互联网服务相关问题,比如服务中断、资料泄露而要起诉维权都会碰到这个法律障碍。那么,如果你是付费用户求偿会不会容易点?答:一样难。且看下条。

障碍二、用户协议问题。使用网站服务前,用户一般会点击同意网站的用户协议。作为从业律师,笔者看过很多互联网公司的用户协议,总体而言,这些作为格式合同的用户协议简直就是霸王条款大全。里面关于赔偿部分的内容一般只有两种规定:不赔;或者限额赔——即根据用户已经支付的费用的上限进行赔偿。不赔的范围包括常见的地震、海啸等不可抗力,还包括有中国特色的政府断网、停电乃至网站自己的技术故障等,条款五花八门,挖空心思免责。笔者经常觉得这样的条款设计者不去保险公司设计保险免责条款真是屈才了。而限额赔并不是一个孤立的条款,其通常和把用户和网站争议的司法管辖放在网站所在地法院,而实践中当地法院一般会支持限额赔偿的条款。这样,付费用户的求偿之路也给弄断了。

虽然表面看来,互联网服务企业可以在和用户发生争议时免责对企业有利,但从更大的背景看,在法律适用标准上对于消费者欠缺公平,实际会阻碍消费者放心大胆的使用互联网产品,对互联网发展不利。笔者建议,为保证互联网产业的长远发展,可以从如下方面进行改革,立法上增加赔偿标准金额,行政上规范格式合同,限制霸王条款,规定只有真正的不可抗力服务商才可免,如果是服务商工作疏失的,一定不能免责。在诉讼时增加互联网服务提供者在自身不存在技术问题方面的举证责任等。写就本文之际,笔者发现最近互联网数据信息安全问题突然爆发,故整理了一个四月底至六月底的互联网数据安全事件列表(可能不完全),在附录中,供大家参考。

本文作者:游云庭,上海大邦律师事务所知识产权律师,电话:8621-52134900,Email: yytbest(@ gmail.com,本文仅代表个人观点。

附录:一组近期与互联网数据信息安全有关的消息:
1、2011年4月27日,索尼7700万网络用户数据被黑客窃取,其中包括姓名、出生日期,信用卡号等重要信息。分析人士称,这可能是史上最严重的黑客入侵窃取数据事件。
2、05月06日,密码管理服务商LastPass网站疑遭黑客攻击,用户数据或遭窃取。
3、6月1日,谷歌称其Gmail邮箱服务遭黑客攻击。
4、6月19日,日本游戏研发企业世嘉株式会社宣布,因Pass网络系统遭遇黑客攻击,130万游戏用户个人信息失窃。
5、6月20日,国内知名的技术博客,月光博客williamlong.info网站被黑客攻破。
6、6月19日云储存服务商Dropbox遭遇了一次严重的安全问题,约有两个小时时间里,任何用户的帐号不用密码就可以直接访问。(这是因该公司软件升级出错导致的信息泄露)
7、06月21日索尼再度被黑 黑客拿到17.7万电子邮件地址。


上一篇: 就支付宝股权案涉及的法律问题答记者问
下一篇:网络著作权司法解释起草的原因分析

评论

Good.Be the first to comment on this entry.

发表评论