freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

惨遭删库,这笔账应该怎么算?
2020-03-19 10:00:41

微盟删库事件持续发酵,在数据逐步恢复的同时,对广大商家(SaaS用户)的损失赔偿方案引发了新一轮热议。

二选一的赔付方案

image.png

微盟官方宣布,针对此次赔付计划,准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担5000万元。

具体而言,微盟的赔付计划有两个不同的方案供商家任选其一:

1、利润赔付计划

针对因系统不可用期间商家边际贡献利润额进行赔付,即:
边际贡献利润额 =日均收入×行业平均边际贡献利润率×系统故障时间

(日均收入等于该商家在2020年2月17日晚7点至2020年2月23日晚7点在微盟系统中产生的实际成交额除税后的平均值)

2、流量赔付计划

针对因系统不可用期间的商家给予腾讯广告50000曝光次数进行流量补偿,并且提供账户运营服务,同时再延长SaaS服务有效期两个月。

快评:

第一、赔付方案是微盟单方面提出的建议,商家如果认为两个方案都不合理,有权拒绝接受,仍可以通过谈判,或起诉等其他途径进行维权。

第二、赔付总额1.5亿看上去很大,但如果平摊到300万商家,户均也就只有50元。而且,它仅仅是一项公司财务预算,具体怎么落实和分配还是未知数,因此与每一个商家具体获赔金额并无直接关系。

赔偿之难?

公有云宕机后如何向用户赔付一直是困扰云服务供应商的难题。

首先,云服务厂商不可能保证自己的云服务100%无宕机,安全风险始终存在,所有国内外公有云几乎都遭遇过不同程度的安全事故,可谓是惊心动魄。

其次,用户的损失难以估量,关键系统与非关键系统、不同行业、不同企业规模造成的损失大小也不同,难以找到统一的衡量标准。比如,运营数据及客户信息的丢失、人工费用、客户流失等等。

由于上述两点,大部分云服务提供商在服务协议中非常重视免责条款,以及赔偿条款,会尽量避免在合同中承担任何赔偿责任,顶多是延长服务期限抵偿。

有媒体报道,记者采访的一些中小商家既不愿接受现金赔付计划,也不愿接受流量赔付计划。这时商家可以选择以下任一诉讼路径,要求微盟提供经济赔偿。

选择一:告合同违约

由于没有获得微盟的服务协议,我们目前无法对合同条款做出评论或建议,暂且参考云服务行业常见的服务等级协议(SLA)做一简要分析。

云厂商为了显示自身云平台的稳定性、安全性及吸引客户,都会在产品服务等级协议(SLA)中承诺一个服务可用性指标,如:99.99%。简单地说,就是保证在服务期间99.9%的时间内,可以按要求提供云计算服务。

在“赔偿标准”条款中,阿里云、腾讯云两家云平台均承诺了如果服务可用性低于95%,则以代金券形式赔偿月服务费的100%。对照微盟的流量赔付方案(延长SaaS服务有效期两个月)来看,微盟的赔付方案似乎比阿里云、腾讯云更为优厚哦。

但是,请注意一个关键的因素,时间!时间!时间!

出现云宕机或其他安全事故,业内企业通常在很短时间内(按分钟或小时计)可恢复数据。但此次微盟耗时长达10天以上(从2月23日事故发生,暂计至官方承诺3月3日数据恢复上线),这是史无前例的重大事故。

公有云行业的服务可用性承诺,通常是按分钟计算的技术指标。以上述阿里云、腾讯云的标准衡量,如果低于95%的可用性,则意味着用户在当月有2,160分钟无法正常使用云服务。那么,如果云服务停摆10天呢?用户将在14,400分钟(10*24*60)内无法正常运营,是前者的6.67倍。如换算出当月的服务可用性,达到惊人的66.67%!!!

image.png

以上为阿里云某产品的赔偿标准,服务可用性划分的非常细:第一档是未到达承诺但不低于承诺的0.99%;第二档是不低于承诺的4.99%;一旦低于5%,则意味着云厂商承认自己存在严重失职,应全额赔付。

image.png

作为通行的做法,云平台也会设定赔偿责任的上限,一般不超过云平台收取的服务费总额。

我们判断,微盟的合同条款中也会设置类似的赔偿责任上限。因此,从合同违约角度提起诉讼,对维护商家利益而言可能并不有利。

选择二:告侵权赔偿

除了合同违约之诉外,商家还可选择侵权(损害赔偿)之诉,此时需要重点关注以下几个问题。

问题一:微盟错在哪儿?

与其他安全事件不同,此次删库事件的发生并不是由于外部(黑客)攻击,也不是由于公司员工的疏忽造成的,而是一次罕见的内部员工的恶意破坏事件。虽然作为受害方微盟及时报警,并将涉案程序员移交警方处理。但不可否认的是,这是一次因内部管理严重缺陷导致的重大网络安全事故。

所暴露出的内部管理缺陷,包括:安全架构、员工行为管理、IT运维数据管控、预警及危机处理等各方面问题。对这次看似偶然实则必然的安全事故,微盟作为服务提供方难辞其咎。

问题二:谁对数据有备份义务?

删库事件的发生,与商家数据的丢失是否存在必然的因果关系?也是值得思考的问题。

网络上针对数据丢失有不少讨论,有的认为微盟没有做好备份工作,也有的认为,客户自身也有对数据做跨平台实时备份的责任。这些讨论主要是站在安全运维的角度,与法律意义上的“责任”有所区别。

若在服务合同中明确约定了,服务购买方的数据备份义务,那么商家在诉讼中主张由微盟承担数据丢失的责任,将变得十分困难。

例如,在河南中京联盟电子商务有限公司诉郑州市景安网络科技股份有限公司服务合同纠纷【(2019)豫01民终11930号一案中,法院认为,服务合同明确约定了原告(中京公司)应自行对服务器内的数据做好及时备份工作,未约定被告(景安公司)应对中京公司的数据进行实时备份。且数据丢失的原因是第三方黑客攻击,在签订的合同中也未约定此种情形下的数据备份和保护义务,故不能证明被告违反合同约定。

如果合同对数据备份义务没有约定或约定不明,则可以参考行业惯例或实践,来分摊各自的责任。

问题三:商家的损失怎么算?

暂以数据丢失为例。如果因删库事件某商家丢失了3000个客户信息,如何计算损失?每一个客户价值该如何定价?对此,目前在司法界并无定论,甚至有可能因难以计算而被直接忽略。

在此,我们大胆套用投资界的方法来做一点推断:

A. 假设一:客户价值 = 客户获取成本(CAC)=市场总花费/同时期新增用户数;

或者

B. 假设二:客户价值 = 客户终身价值(LTV)的一定折扣率,其中LTV=月度平均每客户收入 X 客户生命周期(以月计)。

虽然以上方法,在投资机构对SaaS企业估值过程中被普遍采用,但是否能被司法机构所接受,仍存在较大不确定性。

问题四:赔偿标准怎么定?

即使商家存在经济损失,且能够被确认,但是否应完全按商家损失进行赔偿则是另一个问题,这就涉及到赔偿标准了。

作为一项IT基础服务,云计算是“按照使用者的规模提供随用量变化的弹性经济模式”,说白了就是用多少,付多少。由于客户所处行业、客单价等相差悬殊,如果将云服务商的赔付责任,与客户的业务价值相互挂钩,是否有失公允?同时,这种挂钩也会使云服务商陷入极大的法律风险之中,阻碍云服务行业的健康发展。

显然,在确定赔偿标准时,云服务厂商与用户之间存在明显的冲突。因此,如何平衡这种利益关系,同时兼顾SaaS行业的技术特点、不阻碍云生态的健康、可持续发展,是对司法机构的一个重大考验。

我们建议,这个赔付标准应当综合考虑案件的具体情况,既不能完全采用“损失说”(用户角度),也不能完全采用“费用说”(云厂商角度),还需要考虑各方的过错程度、因果关系、所涉及的技术服务内容等因素。

小结:

综上,我们对商家的初步建议是:

1、从损害赔偿的角度进行索赔;

2、在专业律师的协助下,进行证据收集和损失计算;

3、学会换位思考,案件有一定难度,各方利益需要平衡;

4、在诉讼过程中继续谈判,争取有利的处理结果。

微盟删库事件,注定成为中国网络安全史上的一大惨案。而关于如何赔付“云上损失”的话题也才刚刚开始,希望通过更多的案例来找到一个最佳平衡点,使云生态中的各方利益得到兼顾,并推动中国的互联网事业健康发展。

*本文作者:娄鹤,转载请注明来自FreeBuf.COM


# 公有云 # 微盟删库 # 赔付
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者