×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 删库容易恢复难,数据安全重于山——微盟“删库”事件的法律思考

删库容易恢复难,数据安全重于山——微盟“删库”事件的法律思考

作者:吴卫明 张成器 2020-03-022507

2月25日微盟集团对外公告,微盟内部运维人员破坏公司数据系统导致系统全面宕机(以下简称“删库”事件本案)。这一事件发酵数日,引发社会强烈关注,在经济生活日益数据化及网络化的趋势下,中小企业对于网络平台服务商的依存度也日益提高,本案无疑将给广大用户带来警示,并将注定作为反面案例载入我国云计算业务的发展史。据悉,截止3月1日晚,在腾讯云的技术人员的协助下,微盟已找回被删除的所有数据。即便如此,经济上微盟也将付出巨大代价,公告显示,预计现金赔付的总额就高达1.5亿元人民币。


“删库”事件发生后,上海宝山警方迅速立案侦查,涉案人员贺某(以下或称“行为人”)业已被采取强制措施,等待他的将是法律的严厉制裁——然而对于贺某和微盟而言,无论事前存在什么样的纷争,在事件发生后回看,“删库”导致的严重后果对双方而言都是不可承受的。笔者作为从事数据合规与网络安全相关领域的法律工作者,将从法律责任与数据安全的角度剖析此次事件,并就相关问题提出意见。



一、“删库”事件的性质与行为人法律责任



1.“删库”事件的技术分析


虽然微盟的公告并未透露“删库”事件的具体技术细节,但是诸多业内人士纷纷得出行为人采取了类似“删库”操作的结论,即通过执行一些较为彻底的删除指令使微盟系统的核心数据库和应用环境被严重破坏,同时,备份数据库可能也遭到删除,故而数据恢复的难度很大。


微盟于2016年将其SaaS业务迁移至腾讯云。从有关媒体报道得到的信息来看,微盟可能并未仅使用腾讯云的数据库及相关应用,而是在云空间上部署自己的数据库和应用环境。在宕机故障发生初期,不少客户向微盟询问原因,得到的回复是“腾讯云机房内网设备物理故障。”但很快腾讯就澄清其云服务后台没有问题。


由此观之,“删库”事件之所以造成严重后果,除了行为人主观故意实施犯罪行为之外,微盟的备份恢复设计和数据安全内控制度可能存在漏洞。


2.对“删库”行为的法律责任分析


(1)本案中“删库”行为可能构成破坏计算机信息系统罪


《中华人民共和国刑法》(以下简称《刑法》)第二百八十六条规定了破坏计算机信息系统罪。此罪系“妨害社会管理秩序罪”的一种,其保护的法益是计算机系统功能本身的正常运行,同时也兼顾系统中数据价值的保护。第二百八十六条的三款分别构成此罪的三个行为要件,在“删库”事件中,行为人的行为满足该条第二款“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重”这一行为要件。


此罪的责任要件为故意,即要求行为人明知其行为造成计算机系统不能运行的严重后果,且追求或放任这一后果的发生。本案行为人作为微盟运维人员,且以其“删库”操作之专业,在现实中几乎不存在误操作的可能,故完全能够通过其职业身份推定其明知行为的严重后果与追求该后果发生的主观态度。当然,司法实务中关于责任要素的证明需要根据综合因素来判断其主观方面的状态,其中,口供将是重要佐证。微盟集团的公告已明确行为人对其行为供认不讳,但这并不能构成法律程序中的供述,具体还要看司法机关依据法律和事实做出认定。


“违反国家规定”是行为构成犯罪的前提。根据最高院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》,成立此罪依据的国家规定仅包括全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。经检索,构成此罪前提的国家规定主要为《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络国际联网安全保护管理办法》中关于危害计算机信息系统安全的禁止性规定。按照当前司法实践关于违法性认识的主流观点,行为人是否认识到自己的行为违反以上规定,不妨碍罪名成立。


值得注意的是,针对构成要件中“后果严重”的界定,“两高”在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条已作出明确的规定:“实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统‘后果特别严重’:……(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的……”。“删库”事件给微盟造成的经济损失虽然有待司法鉴定,但可以预计是一个亿元级的天文数字,从微盟集团近日重挫的股价即可略知一二。而根据微盟集团2019年中期财报,其企业客户数已达300万。以上种种,足以反映“删库”事件影响面之广,以及行为后果的极端严重性。


截止目前,笔者对“删库”事件中行为人的实际行为与主观动机仅停留于微盟集团的公开信息,故难以准确判断行为人是否满足以上犯罪构成要件。若日后的消息证实,行为人确实如微盟的公告所言,因个人精神与生活原因对微盟的生产系统进行恶意破坏,则其行为可能构成破坏计算机信息系统罪。


(2)“删库”行为可能构成的其他刑事罪名


微盟“删库”事件中,嫌疑人因为个人原因“删库”泄愤,这种纯粹破坏性的行为在司法实务中却是比较少见的。笔者尝试搜索“破坏计算机信息系统”,却发现不少类似案件最后并非以此罪名定罪。在当前网络应用快速发展的背景下,破坏计算机信息系统罪渐有成为“兜底罪”的趋势。就信息、网络、数据类犯罪而言,几乎所有犯罪行为都涉及对信息系统中的数据进行增、删、改等操作,很轻易就满足破坏计算机信息系统罪的构成要件。这也造成了该罪名易与其他罪名构成想象竞合犯或牵连犯的情形。实务中,司法机关通常会结合行为人的行为目的,如盗窃、敲诈勒索、诈骗、不正当竞争等,判断相应罪名与破坏计算机信息系统罪之间是否构成想象竞合,或是牵连关系。


除行为目的之外,“删库”的特殊对象也可能导致行为人涉嫌其他刑事罪名。譬如,企业通过财务系统建立的会计账簿,行为人明知这一情况仍然进行删除或其他毁损操作,则可能构成破坏计算机信息系统罪与故意销毁会计账簿罪的竞合。


(3)“删库”行为人应当承担的民事责任


“删库”的行为不仅触犯法律,也往往为信息系统(包括其上的数据)的运营方、使用方造成严重的经济损失,对此行为人应当承担民事赔偿责任。《刑法》第三十六条明确了犯罪分子在接受刑事惩戒的基础上,应当赔偿经济损失的原则[5]。在程序法层面,《中华人民共和国刑事诉讼法》第一百零一条的规定了行为人在面临刑事指控的同时,或将面临公诉机关附带提起的民事诉讼。被害人遭受物质损失的,被害人及其近亲属,法定代理人也有权提起附带民事诉讼。


针对刑事案件中被害人“物质损失”的界定,根据最高院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第一百五十五条的规定,“物质损失”包括各类人身损害赔偿和机动车交通事故中的有关赔偿。司法实践中,法院通常支持对已经造成的损失和将来必然遭受的损失部分的赔偿主张,即所谓的“直接损失”。但对于类似商誉、商业机会、预期利益等间接损失的赔偿请求,因为难以衡量与计算,及考虑行为人的赔偿能力有限而难以得到支持。这也是刑事附带民事诉讼制度中有待解决的一个“痛点”。



二、“删库”事件其他各方面临的法律风险



1.类似微盟的产品运营方的法律责任


如上所述,微盟集团作为头部的云端商业服务供应商,受“删库”事件影响损失巨大,这些损失不仅包括为恢复数据所耗费的成本,也包括根据微盟与客户间的协议约定所需承担的赔偿——微盟集团在2月25日的对外公告中已表示“正在拟定相关赔付方案来补偿因此次事故而遭受损失的商家”,而3月1日的公告则是正式公布了现金赔付和流量赔付的初步金额与方案。


微盟作为产品运营方,向其签约客户提供各类SaaS产品及相关的商业服务。微盟的客户多为中小企业,数日的宕机给本因新冠肺炎疫情而处于经营困难中的这一群体又浇上了一盆冷水,以微盟百万级的客户数,数日内的经济损失无法估量。由于内部人员“删库”的极端操作导致服务中断,虽然就损失金额而言微盟是最大的受害者,但却无法因此排除其违约责任,根据协议条款支付必要的违约金在所难免。


2.公有云厂商的法律责任


本案中,腾讯云是微盟SaaS产品与服务的公有云平台提供方。SaaS,翻译过来就是“软件即服务”。以腾讯云与微盟为例,腾讯云为微盟提供基础云平台,包括云空间与部分基础应用,微盟在云空间中自己开发商业应用与数据库,作为服务销售给终端客户。针对终端客户而言,只需具备接入条件,登录微盟的SaaS平台就可使用其中的应用。


“删库”事件后,腾讯云快速响应微盟恢复数据的请求,以7*24小时的努力帮助微盟找回数据,化解危机。就事论事,此次微盟的宕机系内部人为破坏,腾讯云并不必为此承担法律责任。然而,作为一家主流的公有云厂商,腾讯云上各类服务承载的用户数量以及用户背后的终端客户数量数以亿计,云端应用深入各行各业,一旦发生故障,后果不能想象。考虑到众多公有云厂商在行业中的优势地位,若以协议自治的理念放任大厂利用格式协议约定法律责任的划分,对于广大用户并不公平。国家显然意识到这个问题,故而在等级保护标准《网络安全等保护基本要求第二部分:云计算安全扩展要求》(GB T 22239.2,以下简称《云计算安全扩展要求》)中对公有云平台厂商与用户间的安全责任划分提出了具体意见。


根据《云计算安全扩展要求》附录B,针对IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)三类云平台服务提供模式的不同安全要求,云服务商(即类似腾讯云、阿里云的公有云厂商)与云租户(即类似微盟的公有云使用者与云端应用服务提供者)之间的安全责任边际也有所不同。如前文所述,腾讯云与微盟之间的云服务架构可能介于IaaS与PaaS之间。腾讯云提供主要的存储资源、网络资源和计算资源,并对上述基础设施的安全负责;微盟作为云租户,对其开发的数据库、应用程序的安全负责。基于以上安全责任划分标准,若因云租户自身原因导致其开发的应用系统、软件、数据受到损失,云厂商并无法定责任(但可能因为协议约定而产生包括协助恢复数据在内的履约责任);若非因云租户原因,云平台在物理设施、虚拟网络、管理平台、安全设备等方面存在漏洞导致云服务中断,公有云厂商可能会承担一定的法律责任。



三、律师视角下,如何避免“删库”事件的重演



1.做好数据安全基础工作


虽说腾讯云号称99.9999%的可靠性也曾百密一疏,但不可否认,知名的公有云厂商在网络安全、数据备份、应急管理等层面的服务能力仍然是业界顶级的。以数据备份为例,公有云厂商的备份策略,恢复机制,权限管理等设计,绝大多数的SaaS应用服务提供商都无法比拟。就技术实力而言,公有云厂商的技术支持团队专业度也较高,选择公有云的数据库产品,相对而言可以获得更可靠的数据安全保障。微盟在3月1日晚间的公告中表示,将逐步放弃自建数据库服务,将数据逐步迁移至腾讯云数据库(CDB),这正体现了在“删库”事件发生后微盟对基础设施建设的反思以及对腾讯云应急处置能力的高度信任。


当然,即使选择了公有云的数据库或有关的管控应用,建议用户也要定时做好多重备份。因为云厂商十亿分之一的故障可能,就可以让用户产生难以挽回的损失。所以,多重备份的必要性是显而易见的。


2.重新检视内控制度的缺陷


微盟“删库”事件虽是人祸,但微盟是否缺乏有效的内控制度,或有关制度是否疏于履行?这些也是需要思考的问题。国标层面,《信息安全技术 个人信息安全规范》(GB T 35273)指出,在数据访问的权限控制方面,企业应树立“最小授权”原则的思想[1];对于一些极其敏感的操作,应严格遵循职责分离的要求,一人发起一人复核,有条件的团队可另行安排专人再次授权。


在内控制度方面,企业应当注重信息安全制度的建设,尤其是访问管理、密钥管理、备份恢复、安全审计等方面的制度。有了制度,更需要严格执行,日常的学习与警示也要跟上,制度才能落在实处。


3.注重对员工的人文关怀


虽然这并非一个与技术、内控或法律相关的命题,但是仍有必要引起每个管理者的重视。据统计,程序员“删库”事件的发生并非个案。去年1月,游戏公司螃蟹网络就因某程序员锁死服务器,导致当天上线的项目失败,公司创始人“一夜回到解放前”。“删库”事件虽然极端,但每个案件背后或许都有未能妥善解决的矛盾纠纷。企业如何管理员工,如何与员工良性沟通,建立具有人文关怀的团队文化,是值得每一个管理者思考的命题。