选择SaaS风险由谁承担？

申请免费试用、咨询电话：400-8352-114

选择SaaS，当用户的信息被盗，矛头一定直指SaaS服务提供商，此时SaaS的安全问题已经由技术防范延伸到法律层面。在传统社会中，偷窃所产生的法律责任由行为者来承担，但是偷窃发生在互联网上，偷窃者的身份因难以确定而无法追究，这种法律责任由谁承担？

服务端遭遇黑客攻击 责任由谁承担？

SaaS系统端风险所引发的数据丢失纠纷，一般来说SaaS应该承担赔偿责任。如因为SaaS雇员的素质低下，诸如欺诈、误操作等造成客户资金损失，被视为服务商过错，服务商需要承担全部赔偿责任；SaaS系统软硬件出现的技术故障给客户造成的直接和间接损失，尽管SaaS主观上没有过错，SaaS仍然需要承担民事责任，这毫无争议的。但是，如果SaaS系统端遭遇黑客攻击，不法分子把SaaS平台作为攻击的对象，所发生的数据丢失或泄密，服务商是否需要承担相应的法律责任呢？

依照我国《民法通则》及《合同法》的有关规定，SaaS作为一方当事人的违约责任免责事由有约定和法定两种。法律会尊重服务商和客户在服务协议中的约定为先，但同时也规定了一些法定的风险和分配制度。有些人认为SaaS系统遭遇黑客攻击属于一种不可抗力，应该免责。

其实，黑客攻击事件不应该作为不可抗力，而是属于一种意外事件。依据我国合同法，不可抗力是指"不能预见、不能避免并不能克服的客观情况"，黑客攻击事件虽然具有不可预见性，但是能够克服。SaaS服务商通过提高系统的安全性就是一种不停地与黑客展开"反攻击"的过程。我国合同法实行严格责任原则，不可抗力可以免责，意外事件则不能免责。同时，从敦促SaaS服务商履行维护系统安全的义务角度出发，黑客攻击也不能作为服务商的免责条款，否则SaaS会因此怠于履行提高系统安全性的义务，使得客户数据的安全性变得更差。

恶意格式条款 不是服务商的免责保护伞

SaaS服务商在与客户的服务协议中一般会约定客户对密码的保管责任，因密码泄露所造成的后果由客户来承担。这属于协议约定的SaaS服务商免责事由，SaaS服务商可以因此而拒绝承担SaaS客户端因密码问题所带来的客户数据丢失的任何法律责任。但是协议属于格式的合同，如果制订合同一方恶意免除自己的责任条款，此时的"格式条款"并不能作为服务商的免责保护伞。

在洪荣尧诉中国农业银行永嘉县支行一案中，法院认定了《中国农业银行网上银行业务章程》第六条"凡是凭客户证书和密码进行操作皆视为客户本人所为，银行不承担任何责任"这一格式条款作为银行的免责理由进行抗辩，把本属于银行承担的责任也推向储户属于无效条款。

但这一条的规定与目前工行电子银行服务协议中关于客户密码保管责任的规定不同，因为它"凡是凭客户证书和密码进行操作皆视为客户本人所为"，排除了银行的过错所造成的密码丢失，将此责任也推卸到客户身上。而工行的条款则是规定客户自身造成的密码丢失，责任由客户承担。农业银行现在已经修改了电子银行业务章程，此条规定已被废除，转而规定"因客户保管不善、挂失不及时等造成的资金损失由客户自行承担"。

同样，为了保障用户数据安全，SaaS服务商和客户都必须要承担一定的合同义务，而不能一味将义务强加到SaaS服务商身上。

比如，在我国《电子银行业务管理办法》第十条规定，在开通网上银行业务时银行有告知风险的义务。网银只需要尽到合理提示风险的义务，客户就需要履行妥善保管密码的义务，一旦疏于履行，造成的密码泄露，可能会造成资金丢失。

前述美国《电子资金转移法》规定，一旦储户存款在银行发生了问题，银行应先行赔付，而后由司法机关介入调查，从而保证了客户利益。这个规定目前被不少人用来作为网银赔付的一点理由，但是这里规定的是储户存款在银行发生了问题，而客户造成密码丢失是在银行控制范围之外，"偷窃者"以盗来的客户账号和密码造成银行做出错误动作，银行不应该承担责任。这也就是一种准债权人占有了债权凭证的情况。

SaaS服务商在处理用户密码的时候，也完全可以参照商业银行的方式来处理。充分告知用户密码安全性的重要，并将丢失密码容易遭受的损失也要告诉清楚。当一旦有用户密码被窃取或丢失的时候，SaaS服务商也要有相应的应急预案，以便在第一时间启动，将损失降到最低。

客户对于密码妥善保管的义务范围应该限制在客户尽到一般人的保管密码能力，也就是对于上网操作的计算机进行了基本而且必要的软硬件防病毒保护义务。在客户尽到了一般正常的注意义务和及时通知义务时，仍然发生数据丢失的情况，也就是客户作为合同中的债权人并没有过错，应该按照公平责任让SaaS给予客户一定补偿。

在大多数人看来，这个问题存在两种可能的处理方式：

① SaaS服务商承担整体风险

SaaS服务商需要主动承担整体的安全环境构建任务。这种方式的实施难点在于：SaaS需要转变有关风险的观念和体制，因此存在巨大的创新风险。

② 用户承担自身风险

参照银行不承担用户端风险，通过较长时间的教育和安全知识的普及，提高客户安全意识，SaaS服务商也可以提出由客户主动负责本人客户端的安全。但是这种方式实施的难点在受制于客户接受程度与安全知识可能的普及的程度，一旦客户接受程度度和安全知识普及程度不够，就会导致客户群增长速度缓慢。

因此，不论SaaS安全风险的原因在于系统端还是客户端，在举证上客户明显处于不利。客户由于专业知识和条件的限制，很难找出SaaS服务的技术漏洞。因此SaaS服务也应参照医疗事故纠纷，将"谁主张，谁举证"的举证责任原则变通为 "举证责任倒置"，即由SaaS服务商来举证，证明自己的系统没有漏洞，从而增强实际的操作性。

"举证责任倒置"能够切实保护SaaS客户的利益，体现客户与SaaS服务商之间的服务合同的平等关系，从而增强客户使用SaaS的信心，从长远来看对SaaS产业的发展是有利的。(it168)