首頁 · 百科 · 正文

刪庫容易恢復難,數據安全重于山——微盟“刪庫”事件的法律思考

導語
截止3月1日晚,在騰訊云的技術人員的協助下,微盟已找回被刪除的所有數據。即便如此,經濟上微盟也將付出巨大代價,公告顯示,預計現金賠付的總額就高達1.5億元人民幣。

  2月25日微盟集團對外公告,微盟內部運維人員破壞公司數據系統導致系統全面宕機(以下簡稱“刪庫”事件或本案)。這一事件發酵數日,引發社會強烈關注,在經濟生活日益數據化及網絡化的趨勢下,中小企業對于網絡平臺服務商的依存度也日益提高,本案無疑將給廣大用戶帶來警示,并將注定作為反面案例載入我國云計算業務的發展史。據悉,截止3月1日晚,在騰訊云的技術人員的協助下,微盟已找回被刪除的所有數據。即便如此,經濟上微盟也將付出巨大代價,公告顯示,預計現金賠付的總額就高達1.5億元人民幣。

  “刪庫”事件發生后,上海寶山警方迅速立案偵查,涉案人員賀某(以下或稱“行為人”)業已被采取強制措施,等待他的將是法律的嚴厲制裁——然而對于賀某和微盟而言,無論事前存在什么樣的紛爭,在事件發生后回看,“刪庫”導致的嚴重后果對雙方而言都是不可承受的。筆者作為從事數據合規與網絡安全相關領域的法律工作者,將從法律責任與數據安全的角度剖析此次事件,并就相關問題提出意見。

  一、“刪庫”事件的性質與行為人法律責任

  1.“刪庫”事件的技術分析

  雖然微盟的公告并未透露“刪庫”事件的具體技術細節,但是諸多業內人士紛紛得出行為人采取了類似“刪庫”操作的結論,即通過執行一些較為徹底的刪除指令使微盟系統的核心數據庫和應用環境被嚴重破壞,同時,備份數據庫可能也遭到刪除,故而數據恢復的難度很大。

  微盟于2016年將其SaaS業務遷移至騰訊云。從有關媒體報道得到的信息來看,微盟可能并未僅使用騰訊云的數據庫及相關應用,而是在云空間上部署自己的數據庫和應用環境。在宕機故障發生初期,不少客戶向微盟詢問原因,得到的回復是“騰訊云機房內網設備物理故障?!钡芸祢v訊就澄清其云服務后臺沒有問題。

  由此觀之,“刪庫”事件之所以造成嚴重后果,除了行為人主觀故意實施犯罪行為之外,微盟的備份恢復設計和數據安全內控制度可能存在漏洞。

  2.對“刪庫”行為的法律責任分析

  (1)本案中“刪庫”行為可能構成破壞計算機信息系統罪

  《中華人民共和國刑法》(以下簡稱《刑法》)第二百八十六條規定了破壞計算機信息系統罪。此罪系“妨害社會管理秩序罪”的一種,其保護的法益是計算機系統功能本身的正常運行,同時也兼顧系統中數據價值的保護。第二百八十六條的三款分別構成此罪的三個行為要件,在“刪庫”事件中,行為人的行為滿足該條第二款“違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重”這一行為要件。

  此罪的責任要件為故意,即要求行為人明知其行為造成計算機系統不能運行的嚴重后果,且追求或放任這一后果的發生。本案行為人作為微盟運維人員,且以其“刪庫”操作之專業,在現實中幾乎不存在誤操作的可能,故完全能夠通過其職業身份推定其明知行為的嚴重后果與追求該后果發生的主觀態度。當然,司法實務中關于責任要素的證明需要根據綜合因素來判斷其主觀方面的狀態,其中,口供將是重要佐證。微盟集團的公告已明確行為人對其行為供認不諱,但這并不能構成法律程序中的供述,具體還要看司法機關依據法律和事實做出認定。

  “違反國家規定”是行為構成犯罪的前提。根據最高院《關于準確理解和適用刑法中“國家規定”的有關問題的通知》,成立此罪依據的國家規定僅包括全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發布的決定和命令。經檢索,構成此罪前提的國家規定主要為《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡國際聯網安全保護管理辦法》中關于危害計算機信息系統安全的禁止性規定。按照當前司法實踐關于違法性認識的主流觀點,行為人是否認識到自己的行為違反以上規定,不妨礙罪名成立。

  值得注意的是,針對構成要件中“后果嚴重”的界定,“兩高”在《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第四條已作出明確的規定:“實施前款規定行為,具有下列情形之一的,應當認定為破壞計算機信息系統‘后果特別嚴重’:……(一)數量或者數額達到前款第(一)項至第(三)項規定標準五倍以上的;(二)造成為五百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為五萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的……”?!皠h庫”事件給微盟造成的經濟損失雖然有待司法鑒定,但可以預計是一個億元級的天文數字,從微盟集團近日重挫的股價即可略知一二。而根據微盟集團2019年中期財報,其企業客戶數已達300萬。以上種種,足以反映“刪庫”事件影響面之廣,以及行為后果的極端嚴重性。

  截止目前,筆者對“刪庫”事件中行為人的實際行為與主觀動機僅停留于微盟集團的公開信息,故難以準確判斷行為人是否滿足以上犯罪構成要件。若日后的消息證實,行為人確實如微盟的公告所言,因個人精神與生活原因對微盟的生產系統進行惡意破壞,則其行為可能構成破壞計算機信息系統罪。

  (2)“刪庫”行為可能構成的其他刑事罪名

  微盟“刪庫”事件中,嫌疑人因為個人原因“刪庫”泄憤,這種純粹破壞性的行為在司法實務中卻是比較少見的。筆者嘗試搜索“破壞計算機信息系統”,卻發現不少類似案件最后并非以此罪名定罪。在當前網絡應用快速發展的背景下,破壞計算機信息系統罪漸有成為“兜底罪”的趨勢。就信息、網絡、數據類犯罪而言,幾乎所有犯罪行為都涉及對信息系統中的數據進行增、刪、改等操作,很輕易就滿足破壞計算機信息系統罪的構成要件。這也造成了該罪名易與其他罪名構成想象競合犯或牽連犯的情形。實務中,司法機關通常會結合行為人的行為目的,如盜竊、敲詐勒索、詐騙、不正當競爭等,判斷相應罪名與破壞計算機信息系統罪之間是否構成想象競合,或是牽連關系。

  除行為目的之外,“刪庫”的特殊對象也可能導致行為人涉嫌其他刑事罪名。譬如,企業通過財務系統建立的會計賬簿,行為人明知這一情況仍然進行刪除或其他毀損操作,則可能構成破壞計算機信息系統罪與故意銷毀會計賬簿罪的競合。

  (3)“刪庫”行為人應當承擔的民事責任

  “刪庫”的行為不僅觸犯法律,也往往為信息系統(包括其上的數據)的運營方、使用方造成嚴重的經濟損失,對此行為人應當承擔民事賠償責任?!缎谭ā返谌鶙l明確了犯罪分子在接受刑事懲戒的基礎上,應當賠償經濟損失的原則[5]。在程序法層面,《中華人民共和國刑事訴訟法》第一百零一條的規定了行為人在面臨刑事指控的同時,或將面臨公訴機關附帶提起的民事訴訟。被害人遭受物質損失的,被害人及其近親屬,法定代理人也有權提起附帶民事訴訟。

  針對刑事案件中被害人“物質損失”的界定,根據最高院《關于適用〈中華人民共和國刑事訴訟法〉的解釋》第一百五十五條的規定,“物質損失”包括各類人身損害賠償和機動車交通事故中的有關賠償。司法實踐中,法院通常支持對已經造成的損失和將來必然遭受的損失部分的賠償主張,即所謂的“直接損失”。但對于類似商譽、商業機會、預期利益等間接損失的賠償請求,因為難以衡量與計算,及考慮行為人的賠償能力有限而難以得到支持。這也是刑事附帶民事訴訟制度中有待解決的一個“痛點”。

  二、“刪庫”事件其他各方面臨的法律風險

  1.類似微盟的產品運營方的法律責任

  如上所述,微盟集團作為頭部的云端商業服務供應商,受“刪庫”事件影響損失巨大,這些損失不僅包括為恢復數據所耗費的成本,也包括根據微盟與客戶間的協議約定所需承擔的賠償——微盟集團在2月25日的對外公告中已表示“正在擬定相關賠付方案來補償因此次事故而遭受損失的商家”,而3月1日的公告則是正式公布了現金賠付和流量賠付的初步金額與方案。

  微盟作為產品運營方,向其簽約客戶提供各類SaaS產品及相關的商業服務。微盟的客戶多為中小企業,數日的宕機給本因新冠肺炎疫情而處于經營困難中的這一群體又澆上了一盆冷水,以微盟百萬級的客戶數,數日內的經濟損失無法估量。由于內部人員“刪庫”的極端操作導致服務中斷,雖然就損失金額而言微盟是最大的受害者,但卻無法因此排除其違約責任,根據協議條款支付必要的違約金在所難免。

  2.公有云廠商的法律責任

  本案中,騰訊云是微盟SaaS產品與服務的公有云平臺提供方。SaaS,翻譯過來就是“軟件即服務”。以騰訊云與微盟為例,騰訊云為微盟提供基礎云平臺,包括云空間與部分基礎應用,微盟在云空間中自己開發商業應用與數據庫,作為服務銷售給終端客戶。針對終端客戶而言,只需具備接入條件,登錄微盟的SaaS平臺就可使用其中的應用。

  “刪庫”事件后,騰訊云快速響應微盟恢復數據的請求,以7*24小時的努力幫助微盟找回數據,化解危機。就事論事,此次微盟的宕機系內部人為破壞,騰訊云并不必為此承擔法律責任。然而,作為一家主流的公有云廠商,騰訊云上各類服務承載的用戶數量以及用戶背后的終端客戶數量數以億計,云端應用深入各行各業,一旦發生故障,后果不能想象??紤]到眾多公有云廠商在行業中的優勢地位,若以協議自治的理念放任大廠利用格式協議約定法律責任的劃分,對于廣大用戶并不公平。國家顯然意識到這個問題,故而在等級保護標準《網絡安全等保護基本要求第二部分:云計算安全擴展要求》(GB T 22239.2,以下簡稱《云計算安全擴展要求》)中對公有云平臺廠商與用戶間的安全責任劃分提出了具體意見。

  根據《云計算安全擴展要求》附錄B,針對IaaS(基礎設施即服務)、PaaS(平臺即服務)、SaaS(軟件即服務)三類云平臺服務提供模式的不同安全要求,云服務商(即類似騰訊云、阿里云的公有云廠商)與云租戶(即類似微盟的公有云使用者與云端應用服務提供者)之間的安全責任邊際也有所不同。如前文所述,騰訊云與微盟之間的云服務架構可能介于IaaS與PaaS之間。騰訊云提供主要的存儲資源、網絡資源和計算資源,并對上述基礎設施的安全負責;微盟作為云租戶,對其開發的數據庫、應用程序的安全負責?;谝陨习踩熑蝿澐謽藴?,若因云租戶自身原因導致其開發的應用系統、軟件、數據受到損失,云廠商并無法定責任(但可能因為協議約定而產生包括協助恢復數據在內的履約責任);若非因云租戶原因,云平臺在物理設施、虛擬網絡、管理平臺、安全設備等方面存在漏洞導致云服務中斷,公有云廠商可能會承擔一定的法律責任。

  三、律師視角下,如何避免“刪庫”事件的重演

  1.做好數據安全基礎工作

  雖說騰訊云號稱99.9999%的可靠性也曾百密一疏,但不可否認,知名的公有云廠商在網絡安全、數據備份、應急管理等層面的服務能力仍然是業界頂級的。以數據備份為例,公有云廠商的備份策略,恢復機制,權限管理等設計,絕大多數的SaaS應用服務提供商都無法比擬。就技術實力而言,公有云廠商的技術支持團隊專業度也較高,選擇公有云的數據庫產品,相對而言可以獲得更可靠的數據安全保障。微盟在3月1日晚間的公告中表示,將逐步放棄自建數據庫服務,將數據逐步遷移至騰訊云數據庫(CDB),這正體現了在“刪庫”事件發生后微盟對基礎設施建設的反思以及對騰訊云應急處置能力的高度信任。

  當然,即使選擇了公有云的數據庫或有關的管控應用,建議用戶也要定時做好多重備份。因為云廠商十億分之一的故障可能,就可以讓用戶產生難以挽回的損失。所以,多重備份的必要性是顯而易見的。

  2.重新檢視內控制度的缺陷

  微盟“刪庫”事件雖是人禍,但微盟是否缺乏有效的內控制度,或有關制度是否疏于履行?這些也是需要思考的問題。國標層面,《信息安全技術 個人信息安全規范》(GB T 35273)指出,在數據訪問的權限控制方面,企業應樹立“最小授權”原則的思想[1];對于一些極其敏感的操作,應嚴格遵循職責分離的要求,一人發起一人復核,有條件的團隊可另行安排專人再次授權。

  在內控制度方面,企業應當注重信息安全制度的建設,尤其是訪問管理、密鑰管理、備份恢復、安全審計等方面的制度。有了制度,更需要嚴格執行,日常的學習與警示也要跟上,制度才能落在實處。

  3.注重對員工的人文關懷

  雖然這并非一個與技術、內控或法律相關的命題,但是仍有必要引起每個管理者的重視。據統計,程序員“刪庫”事件的發生并非個案。去年1月,游戲公司螃蟹網絡就因某程序員鎖死服務器,導致當天上線的項目失敗,公司創始人“一夜回到解放前”?!皠h庫”事件雖然極端,但每個案件背后或許都有未能妥善解決的矛盾糾紛。企業如何管理員工,如何與員工良性溝通,建立具有人文關懷的團隊文化,是值得每一個管理者思考的命題。

頭圖來源:123RF

聲明:本文為資本邦轉載文章,如有版權問題請聯系[email protected]。

風險提示 資本邦呈現的所有信息僅作為投資參考,不構成投資建議,一切投資操作信息不能作為投資依據。投資有風險,入市需謹慎!

  • 聚焦注冊制 - 資本邦
    聚焦注冊制

    2020年4月27日,中央全面深化改革委員會第十三次會議審議通過了《創業板改革并試點注冊制總體實施方案》。這是中國資本市場的轉折點,標志著繼設立科創板推進注冊制改革之后,又一次自上而下的大刀闊斧式改革即將拉開大幕。當前創業板試點可能是存量市場注冊制改革的重要起點,將促進中長期市場風險偏好提升,實現資本市場的優勝劣汰, 進一步提升資本市場對實體經濟的服務能力和效率。

  • 精選層那些事兒 - 資本邦
    精選層那些事兒

    根據中國證監會黨委部署,全國股轉公司于4月27日正式啟動股票向不特定合格投資者公開發行并在精選層掛牌工作,股票公開發行并在精選層掛牌涉及的業務、人員、技術等各項準備工作均已就緒。監管層“萬事俱備”,市場各方積極參與,不止掛牌公司,券商、公募基金、私募基金等市場參與者跑步入場,向著精選層沖刺。全國股轉公司審查主要聚焦發行人是否符合公開發行條件、精選層進層條件及相關信息披露要求,不對企業投資價值進行判斷,主要關注公司治理規范性、資產與股權權屬清晰性、業務經營獨立性、經營合法合規性、會計處理準確性、財務真實性、財務規范性及持續盈利能力等問題。截至4月27日,共計13家新三板企業完成輔導驗收,那么首批精選層掛牌企業將會有哪些呢?資質如何?我們共同探究。

  • 英翼創始人余慧:打造“商品界的今日頭條” - 資本邦
    英翼創始人余慧:打造“商品界的今日頭條”

    如今英翼已經從最初的節目出品公司,形成了“智聲物聯為技術中臺、泛科技IP內容為前臺”的商業模式?!叭绻f今日頭條是千人千面的資訊推動平臺,那英翼的智能云融媒體跨屏互動平臺就是千人千面的商品推動?!?/p>

  • 匯石資本陸仁杰:看好長期價值投資 - 資本邦
    匯石資本陸仁杰:看好長期價值投資

    陸仁杰認為,科創板的最重大的意義在于,一些以前沒法在國內A股上市,但是市場認為有投資價值和發展前景的企業有機會在中國的資本市場上市。簡單點講,就是讓資本市場更加市場化。

×
分享到微信

打開微信,使用 “掃一掃”,分享到我的朋友圈

捕鱼欢乐炸vip10卖多少 下载双色球最新版本 陕西省快乐十分开奖结果今天 体彩飞鱼开奖结果 何明七乐彩预测 一定牛彩票网十一选五宁夏 江西多乐彩开奖结果彩经网 比亚迪股票行情 北京时时彩计划免费群 正常期货配资手续费标准 浙江飞鱼犬舍