通过对CrowdStrike事件之后一个月内各类损失求偿、保险赔付等事件的观察,许多损失类型都属于常规认知中的“间接损失”。这类损失求偿难度大,加上很多技术和在线服务供应商的条款都有间接损失排除的免责条款。每个公司在今天都面临复杂的技术和安全服务外包网络,由这些外包网络引发的损失最终由谁买单是一个值得思考的问题。这对于AI行业的研发、服务提供到部署使用也都是有借鉴意义的,无论是服务稳定性角度还是产品质量角度。
2024年7月19日,网络安全服务头部企业CrowdStrike发布了一个“快速响应内容更新(a Rapid Response Content update)”,引起了全球范围内大量Windows主机遭遇蓝屏故障。此次中断直接影响了全球多个行业的运营,包括航空、银行、医疗保健、政府、零售等关键服务领域。据不完全统计,全球有850万台Windows设备受到影响,[1]CrowdStrike的大规模中断或将给财富500强公司造成超过50亿美元的损失。[2] CrowdStrike事件在多个行业引发了严重的负面影响,比如在民航领域,信息系统的宕机,直接导致当天数千架次航班被迫取消;零售商无法处理非现金支付;众多金融机构的线上银行和支付业务都因此受到影响,甚至间接导致部分企业无法及时向员工支付工资;医疗机构的医生被迫需要通过手写处方的方式来克服HIS系统故障的问题,部分依赖信息系统支持的手术也都被迫取消;更有甚者,犯罪分子可能会利用此次漏洞开展网络攻击或者网络诈骗。
据预估,CrowdStrike事件可能会导致近10亿美元的赔付金额[3]。此外,CrowdStrike事件多会触发“系统故障”保险下的定损流程[4],这可能会引发保险行业对潜在风险的重新评估,例如减少对单一灾难性事件的考虑,而是考虑发生频率更高但规模较小的中型事件的风险。[5]
作为市场惯常实践,CrowdStrike与其他云服务厂商通常都会在服务协议中明确对特定类型的损失进行排除(见如下)。
“10.1 To the maximum extent permitted by applicable law, except for liability for any amounts paid or payable to third parties under section 9 (indemnification), customer’s payment obligations, and/or any infringement or misappropriation by one party of the other party’s intellectual property rights, neither party shall be liable to the other party in connection with this agreement or the subject matter hereof (under any theory of liability, whether in contract, statute, tort or otherwise) for any lost profits, revenue, or savings, lost business opportunities, lost data, or special, incidental, consequential, or punitive damages, even if such party has been advised of the possibility of such damages or losses or such damages or losses were reasonably foreseeable; or (B) an amount that exceeds the total fees paid or payable to CrowdStrike for the relevant offering during that offering’s subscription/order term. These limitations will apply notwithstanding any failure of essential purpose of any remedy specified in this agreement. Multiple claims shall not expand the limitations specified in this section 10.”
虽然该事件导致了很多损失,但是很多诉讼目前处在开始阶段。将来这些司法判例(或者其他庭外处理结果)也会给予其他公司有益的启示,对于这类的免责条款将来可能也会有新的影响和裁判路径。
根据对CrowdStrike事件之后一个月以来的各项事件的跟踪,我们通过对本次事件的损失进行类型化后,评估这些损失在国内法律项下是否可以获赔,以帮助企业更好地在发生因技术厂商引起的数据泄露或者其他网络安全事件时处理索偿事宜,同时能够更有的放矢地商定与技术厂商的服务协议或者数据处理合同中的责任条款。
CrowdStrike事件的损失的类型
尽管现实中CrowdStrike事件造成的损失是多种多样的,我们针对这些损失的类型以及CrowdStrike服务条款中涉及的损失类型和排除罗列如下。
中国法下的间接损失与损害赔偿问题
在系统奔溃、数据泄漏或者其他安全事件等情况,假设这些已经构成服务提供方的违约,接下来的核心问题就是哪些损失可以作为违约损害赔偿。如果服务提供方的服务条款/协议对损失做出各类特殊安排、限定条件,会对用户的救济范围产生什么样的影响。这些条款在中国法律下效力如何。
1. 基本框架:以“完全赔偿”为基本原则,以“可预见性”加以限制,同时允许特别约定
就违约损害赔偿的范围,《民法典》第五百八十四条规定:“…损失赔偿额应当相当于因违约所造成的损失,包括合同履行后可以获得的利益;但是,不得超过违约一方订立合同时预见到或者应当预见到的因违约可能造成的损失。”在此基础上,最高人民法院的理解与适用针对前述条款进一步明确,“赔偿损失的范围可由法律直接规定或由当事人双方约定。在法律没有特殊规定和当事人没有另行约定的情况下,应按完全赔偿原则赔偿全部损失…”
由此可见,根据前述“法定违约赔偿范围”的规定,赔偿损失的范围首先可由当事人自行约定。在没有特别约定的情况下,则应当适用“完全赔偿原则”,即在“可预见性规则”的限制下,违约方应当赔偿守约方因其违约行为而遭受的全部损失。
2. 违约损失的“分类”
尽管《民法典》第五百八十四条在违约损害赔偿的范围上采取“完全赔偿原则”,并没有对“损失”进行常见的所谓“直接损失”和“间接损失”的区分。但是,该条将违约损失基本区分为“当事人现有财产或者利益的减少”和“当事人本可以获得的利益”两大类,从这个角度上来看,内涵上“直接损失”约等于“当事人现有财产或者利益的减少”以及“当事人本可以获得的利益”约等于“间接损失”。
- 最高人民法院针对《民法典》第五百八十四条的理解与适用提及“…全部损失,包括直接损失和间接损失。直接损失是指财产上的直接减少。间接损失又称所失利益,是指失去的可以预期取得的利益”。此外,最高院在诸多案件中也持有类似观点,比如,其在(2021)最高法民终387号民事判决中认为,“损失包括直接损失和间接损失两部分,前者是指现有财产的减损、灭失以及费用的支出,是一种现实的财产损失;后者是指一方当事人的违约行为,导致对方当事人本来可以获得的利益没有得到,是未来可得利益的减少”。
在此前提下,各类因为系统奔溃、数据泄漏以及其他安全事件等情况而给用户造成的损失,在中国法下,本质上都可以归入“直接损失”和“可得利益损失”两大范畴(具体请见下表),基本原则为:用户因为相关事件而对其自身客户进行的实际赔付、因为补救等而产生的额外支出,即在前者之列;而用户因为相关事件而导致的交易机会的丧失,即在后者之列。
3. 中国法下的“可得利益损失”
如果用户、服务提供方并没有对赔偿损失的范围进行任何特别约定、没有对“间接损失”“可得利益损失”进行特别排除的情况下,“可得利益损失”实际属于用户可以进行主张的范围。不过,“可得利益损失”的举证一直是实践中的难点,因为国内没有对因果关系以及损失是否会发生的概率以及对方是否已经被告知的角度进行细致的规定。
最《最高人民法院关于适用<中华人民共和国民法典>合同编通则若干问题的解释》(法释〔2023〕13号)(“《民法典合同编司法解释》”)第六十条第一款规定:“人民法院依据民法典第五百八十四条的规定确定合同履行后可以获得的利益时,可以在扣除非违约方为订立、履行合同支出的费用等合理成本后,按照非违约方能够获得的生产利润、经营利润或者转售利润等计算。”本条一方面明确了“可得利益”是合同履行后非违约方所能获得的纯利润(应当扣除成本)的基本概念,另一方面也归纳了可得利益损失的具体三种类型,即“生产利润损失”“经营利润损失”以及“转售利润损失”。
其中,“经营利润损失”似乎最贴合本文所讨论的服务提供者与用户的关系的类型。比如,航空公司、医疗机构、零售商因为所使用的互联网系统、网络服务出现服务器奔溃、数据泄露等情况,导致已经确定的机票、预约、订单被取消,以及错失本可以获得的机票、预约、订单,理论上均会产生“经营利润损失”。不过,实践中,就既有交易的取消、潜在交易的错失与服务提供方违约行为之间因果关系,以及用户本来可以获得的“纯利润”究竟几何,用户无疑面临巨大的举证压力。
所幸的是,《民法典合同编司法解释》第六十二条规定:“非违约方在合同履行后可以获得的利益难以根据本解释第六十条、第六十一条的规定予以确定的,人民法院可以综合考虑违约方因违约获得的利益、违约方的过错程度、其他违约情节等因素,遵循公平原则和诚信原则确定”,通过对若干参考因素的归纳,给非违约方关于“可得利益损失”的救济提供了兜底性的保障和指引,保留了主张的空间。实践中,在面临举证困难时,用户可以尝试通过:1)举证与自身客户的相关沟通记录、自身客户出具的相关情况说明等,对因果关系进行举证;2)说明自身业务经营模式、举证日常交易量与系统奔溃、数据泄露期间的交易量的差异变动情况、公司其他时期的利润率等方式,尽可能地呈现用户确实存在“经营利润损失”的客观情况,并提供具有参考价值的“经营利润损失”参数,争取司法机关综合酌定“可得利益损失”金额。因此在事件发生之后,通过与供应商约定的协助或者是知情的条款获得信息以及进行相应的救济和沟通是非常有必要的,这对于后续的求偿有关键的作用。
不过实践中,如CrowdStrike的服务条款所示,“间接损失不赔”是一种比较常见的责任限定条款,即合同明确服务提供方仅赔偿用户的“直接损失”,而“间接损失”不赔,或者在英语文件的表述上排除“indirect damages”“consequential damages”等的概念。结合前文分析,考虑到中国法与司法实践项下“间接损失”与“可得利益损失”之间的基本相互对应关系,此类条款在中国法下在现实中可能产生的效果,就是将用户本来在合同履行情况下可以获得的利益排除在外,使得用户只能就现实的财产损失取得赔偿。
4. 中国法下的精神损害赔偿
在境外涉及系统奔溃、数据泄漏等事件的案件中,不乏用户向服务提供方同时主张精神损害赔偿的情况。不过,从中国法角度而言,根据《民法典》第九百九十六条“因当事人一方的违约行为,损害对方人格权并造成严重精神损害,受损害方选择请求其承担违约责任的,不影响受损害方请求精神损害赔偿。”以及第一千一百八十三条“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。因故意或者重大过失侵害自然人具有人身意义的特定物造成严重精神损害的,被侵权人有权请求精神损害赔偿”的规定,中国法项下的精神损害赔偿,只适用于自然人的“人身权益”(即非财产权益)或者“具有人身意义的特定物”受到侵害并造成严重精神损害的情况。
换而言之,在系统奔溃、数据泄漏等事件中,只有在服务提供方的违约行为,同时造成用户隐私权等人格权遭到侵害、或者导致用户“具有人身意义的特定物”的灭失(比如在司法实践中,存在多起因手机系统故障导致当事人存储的家人视频照片丢失,获得法院支持精神损害赔偿的案件),方才可能存在引起精神损害赔偿的可能。用户在系统奔溃、数据泄漏等事件发生过程中,遭受的额外的烦恼、压力等,这些损失在中国获赔的难度很大。
5. 设置“赔偿责任限制”条款的效果
如CrowdStrike的服务条款所示,另一类实践中比较常见的对服务提供方提供保护的条款,则是对赔偿金额设置上限,比如以服务提供方向用户收取的服务费用为限。
就此等“赔偿责任限制”的约定而言,实践中除了典型的“格式条款”、未尽说明义务的主张已经老生常谈本文不再赘述之外,守约方通常还会尝试主张赔偿责任限制条款本质上属于“免责条款”,在基础上基于《民法典》第五百零六条“合同中的下列免责条款无效:(一)造成对方人身损害的;(二)因故意或者重大过失造成对方财产损失的”的规定,主张服务提供方的违约行为构成“重大过失”从而企图将其无效。
值得一提的是,虽然在司法实践中尚未有在《民法典》第五百零六条适用于系统奔溃、数据泄漏或者其他安全事件等情况下并将“赔偿责任限制条款”进行无效认定案件,但是在快递行业,类似的情况和条款引发的案件已经不少,其中确实不乏将具有赔偿责任限制性质的“保价条款”认定为属于“免责条款”,并将快递公司的投递错误行为认定为“重大过失”从而予以无效认定的情况。比如,在(2016)最高法民申381号民事判决中,最高人民法院认为,“本案中,敦豪山东公司作为知名快件运输企业,违反与即墨工行的合同约定和邮递业务规程,将邮件错投,导致所运物权凭证错交他人,该违约行为即非故意,亦可认定存在重大过失。因敦豪山东公司履行合同中发生重大过失,导致的违约行为给即墨工行造成了重大财产损失,故运单中约定的限制其责任的条款应认定无效。”在系统奔溃、数据泄漏等情况下,用户根据基于《民法典》第五百零六条无效服务提供方的“赔偿责任限制条款”确实存在一定的可行性。不过,如何从技术层面论证相关情况的发生落入“重大过失”范畴是比较困难的,也即证明服务提供方在提供服务过着中存在最基本的注意义务都未能达到的过失状态,从而导致了系统奔溃、数据泄漏等事件的发生。
三、合规启示
企业在面临复杂的服务外包的现实下,不仅需要考虑在供应商入库和采购环节的合规尽调和审查,以及合同谈判,还需要特别考虑合同条款在现实中的求偿效果以有的放矢地协商责任和赔偿条款。从这些条款和损失的求偿效果来看,当前好一部分的损失在服务厂商这些复杂的协议和条款网络面前,最后只能由企业自己掏腰包买单。因此,如下的合规考虑值得企业重新审视:
1. 设置合同专门条款
在合同谈判期间,建议公司针对可能的供应商数据泄露或其他网络安全事件进行专门的处理安排或责任条款设置。例如,在合同内直接约定数据泄露或其他网络安全事件发生后,供应商积极配合事件影响评估的义务,并引入不同类别的损失认定和赔偿机制。针对AI企业的服务,从部署方的角度来看,还需要特别考虑要求AI企业满足特定的合规条款,以应对监管后续的检查以及潜在的舆情和第三方诉讼问题。
就具体的合同条款起草而言,在合同适用国内法的情况下,应当尽量避免机械性照搬翻译普通法国家惯常使用的、中国法下并无相关界定或者内涵不尽然相同的损失相关术语和概念,而是应当基于国内法的规定进行约定(比如约定可得利益损失不赔),或者结合实际情况对赔偿范围和免赔范围进行具体明确。如果出于习惯或者概括归纳之目的,确实需要引入一些非法律规定层面的概念,比如“直接损失”和“间接损失”,为增加发生纠纷后定位损失的确定性和可预期性,建议同时在合同中对相关概念的认定标准和区分方式进行适当的约定。除此之外,考虑到很多在线服务企业以及AI企业的研发到上线过程都有很多的外包,这些外包导致的数据错误或者是其他可能导致产品责任的问题,也建议在合同条款中提前考虑。
2. 重视对供应商审计权和信息询问权的行使
除设置合同专门条款之外,企业还应重视对供应商的审计权和信息询问权的行使,这不仅有利于查明事件原因,还有利于作为网络运营者的企业在日常经营过程中履行其在中国网络和数据安全及隐私保护规则下有关事件应对的义务(如向监管部门上报和/或向受影响用户通知),同时也便于在权利行使过程中计算与固定损失金额,进而认定相关损失。如果供应商的行业地位较高和比较强势,或者其在法律意义上构成相关(个人)数据的控制者,实践中企业也较难要求或实施审计权和信息询问权。但即便如此,为了考虑企业自己的利益,企业还是需要在事件发生后有针对性地预判和类型化潜在的损失,尽早与供应商沟通。
3. 购买网络保险(cyber insurance)
网络保险,也称为网络责任保险或网络安全保险,是一种专门针对网络风险的保险产品,一般覆盖数据泄露、黑客攻击、业务中断、网络勒索、网络犯罪、隐私责任、技术错误等风险,并在事件发生时提供经济补偿。网络保险承保内容主要包括两大类:一类是网络风险事件对投保人自身造成的损失,包括数字资产的丢失或损坏、运营中断、网络欺诈、金钱或数据资产的失窃等;另一类是对第三方造成的损失(第三方责任),如调查取证费用、公关费用、第三方数据丢失和第三方合同赔偿等。[8]从企业自身风险管控以及转移第三方责任风险的角度,建议采购和使用网络产品和服务的企业购买网络保险,以尽可能全面覆盖因数据安全或泄露事件导致的损失,特别是最后因为各类供应商的免责条款导致企业需要自己买单的这部分的损失。
- https://www.pcmag.com/news/microsoft-says-85-million-devices-were-impacted-by-crowdstrikes-faulty ↑
- https://www.199it.com/archives/1710679.html ↑
- https://www.guycarp.com/content/dam/guycarp-rebrand/insights-images/2024/07/2024-8-1-Unveiling-the-Global-Impact-of-CrowdStrike-Event.pdf ↑
- https://www.aon.com/en/insights/alerts/crowdstrike-and-windows-event-briefing-implications-and-initial-findings-for-cyber-reinsurers ↑
- https://www.cybersecuritydive.com/news/insured-losses-crowdstrike-1-billion/723315/ ↑
- CrowdStrike的服务条款明示排除对任何利润、收入或储蓄损失、商业机会损失、数据丢失,或特殊、附带、间接或惩罚性损害赔偿的赔偿责任(即便在可预期范围内),并且将其责任限制在“已支付的费用”内。具体请见:https://www.crowdstrike.com/terms-conditions/ 10.1 TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, EXCEPT FOR LIABILITY FOR ANY AMOUNTS PAID OR PAYABLE TO THIRD PARTIES UNDER SECTION 9 (INDEMNIFICATION), CUSTOMER’S PAYMENT OBLIGATIONS, AND/OR ANY INFRINGEMENT OR MISAPPROPRIATION BY ONE PARTY OF THE OTHER PARTY’S INTELLECTUAL PROPERTY RIGHTS, NEITHER PARTY SHALL BE LIABLE TO THE OTHER PARTY IN CONNECTION WITH THIS AGREEMENT OR THE SUBJECT MATTER HEREOF (UNDER ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STATUTE, TORT OR OTHERWISE) FOR ANY LOST PROFITS, REVENUE, OR SAVINGS, LOST BUSINESS OPPORTUNITIES, LOST DATA, OR SPECIAL, INCIDENTAL, CONSEQUENTIAL, OR PUNITIVE DAMAGES, EVEN IF SUCH PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES OR LOSSES OR SUCH DAMAGES OR LOSSES WERE REASONABLY FORESEEABLE; OR (B) AN AMOUNT THAT EXCEEDS THE TOTAL FEES PAID OR PAYABLE TO CROWDSTRIKE FOR THE RELEVANT OFFERING DURING THAT OFFERING’S SUBSCRIPTION/ORDER TERM. THESE LIMITATIONS WILL APPLY NOTWITHSTANDING ANY FAILURE OF ESSENTIAL PURPOSE OF ANY REMEDY SPECIFIED IN THIS AGREEMENT. MULTIPLE CLAIMS SHALL NOT EXPAND THE LIMITATIONS SPECIFIED IN THIS SECTION 10. ↑
- CrowdStrike的服务条款明示排除对任何利润、收入或储蓄损失、商业机会损失、数据丢失,或特殊、附带、间接或惩罚性损害赔偿的赔偿责任(即便在可预期范围内),并且将其责任限制在“已支付的费用”内。具体请见:https://www.crowdstrike.com/terms-conditions/ 10.1 TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, EXCEPT FOR LIABILITY FOR ANY AMOUNTS PAID OR PAYABLE TO THIRD PARTIES UNDER SECTION 9 (INDEMNIFICATION), CUSTOMER’S PAYMENT OBLIGATIONS, AND/OR ANY INFRINGEMENT OR MISAPPROPRIATION BY ONE PARTY OF THE OTHER PARTY’S INTELLECTUAL PROPERTY RIGHTS, NEITHER PARTY SHALL BE LIABLE TO THE OTHER PARTY IN CONNECTION WITH THIS AGREEMENT OR THE SUBJECT MATTER HEREOF (UNDER ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STATUTE, TORT OR OTHERWISE) FOR ANY LOST PROFITS, REVENUE, OR SAVINGS, LOST BUSINESS OPPORTUNITIES, LOST DATA, OR SPECIAL, INCIDENTAL, CONSEQUENTIAL, OR PUNITIVE DAMAGES, EVEN IF SUCH PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES OR LOSSES OR SUCH DAMAGES OR LOSSES WERE REASONABLY FORESEEABLE; OR (B) AN AMOUNT THAT EXCEEDS THE TOTAL FEES PAID OR PAYABLE TO CROWDSTRIKE FOR THE RELEVANT OFFERING DURING THAT OFFERING’S SUBSCRIPTION/ORDER TERM. THESE LIMITATIONS WILL APPLY NOTWITHSTANDING ANY FAILURE OF ESSENTIAL PURPOSE OF ANY REMEDY SPECIFIED IN THIS AGREEMENT. MULTIPLE CLAIMS SHALL NOT EXPAND THE LIMITATIONS SPECIFIED IN THIS SECTION 10. ↑
- https://www.secrss.com/articles/47459 ↑