薛教授接受人民法治采访
2024年1月24日,薛虹教授接受《人民法治》副总编辑采访,就2023年11月27日滴滴平台系统崩溃事件进行法律分析。薛教授谈到,在数字经济中,数字平台是社会经济文化生活的中心和枢纽。大型数字平台的正常运行甚至对整个社会生产和人们日常生活有很大的影响。数字平台的运行依赖于复杂的网络信息系统的支撑。网络系统丧失全部或部分功能,俗称系统崩溃。内外因都可能导致数字平台运行发生严重故障、系统失灵等网络安全事故。2023年1127滴滴事件中,滴滴承认系由“底层系统软件发生故障”造成,证明该事故原因是滴滴网络信息系统自身存在安全缺陷、系统漏洞。除了数字平台的内因,计算机病毒、网络攻击、网络侵入等网络犯罪或者火灾、地震、海啸等自然灾害也是造成网络安全事故的原因。例如,向目标系统恶意提交超大数量的服务请求造成系统过载、瘫痪的网络攻击,就是典型的情况。当今的数字平台(特别是大型平台)都已经具备了比较强大的防范网络犯罪、灾害的能力,达到系统崩溃程度的严重网络安全事故一般是内外因共同作用形成。例如,病毒、入侵等外因触发了系统安全缺陷、漏洞,造成代码运行、用户界面出现大规模、持续性错乱的严重后果。
我国法律法规对数字平台的网络安全保障义务有明确的规定,在行政法律体系中进行比较充分全面的监管。所有运营网络或者通过网络提供服务的企业都必须采用国家强制性技术标准,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。所有网络运营者都应制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。发生危害网络安全的事件时,网络运营者应立即启动应急预案,采取有效补救措施,防止危害扩大,并及时向社会发布与公众有关的警示信息,按照规定及时告知用户并向有关主管部门报告。违反上述法定义务的数字平台将受到国家网信部门会同主管部门的行政处罚。滴滴事件中,平台补救措施部到位,公众警示不及时,亦未积极调查事故原因及公布详细的事故调查结果,草草了事,并不符合有关的法律要求。
交通运输部、国家网信办、公安部等八部委组成的交通运输新业态协同监管部际联席会议将滴滴出行、货拉拉、美团打车等列为“交通运输新业态平台公司”,并对其进行了多次提醒式约谈,要求强化安全生产和应急处置能力,维护司机和消费者合法权益。如果滴滴等平台公司的规模已经发展到了影响客货运市场、公共服务等重要领域的国家安全、公共利益的程度,应当按照《网络安全法》规定的关键信息基础设施进行监管。此类平台必须履行各项法定义务,严防系统丧失功能或信息泄露发生,采购网络产品和服务须接受网络安全审查,定期进行安全评估,进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力。
依据《电子商务法》的规定,电子商务平台经营者应当采取措施,保证网络安全稳定运行,有效应对网络安全事件,保证电子商务交易安全。平台用户的合法权益因平台网络安全事故受到损害的,有权依据《民法典》等法律的规定,获取相应的法律救济。但是,用户追究平台的侵权责任,在举证责任方面面临较大的困难,难以证明网络安全事故完全系平台网络系统造成。在电子支付等特殊领域,举证责任倒置,用户追究平台责任的能力增强。例如,在滴滴事件中,结算系统出现故障,导致结算记录错误,用户遭受实际损失的,有权依据《电子商务法》的规定,由滴滴承担错误支付或者非授权支付的赔偿责任,除非滴滴能证明错误支付非自身原因造成或者非授权支付是因用户原则造成。
用户与数字平台之间订立了用户协议,存在合同关系。用户因平台网络安全事故遭受损失的,也可以依据用户协议追究平台的违约责任。但因用户协议中大部分条款是基于平台规则所形成的格式条款,平台一般事先规定了大量免责或者责任限制的事由,使用户难以获得赔偿。在滴滴事件中,即便平台承认网络安全事故系因网络信息系统自身问题造成,也仅给予用户10元红包了事,显然是用户协议中责任限制条款在发挥作用。而且,用户协议格式条款不仅规定了赔偿用户实际损害的限额,而且排除了平台对用户间接的、预期的、偶然的、附带等损失的赔偿责任。因此,用户因无法上班的误工损失、无法回家的酒店费用都无法获得违约赔偿。更有甚者,某些平台的用户协议规定了采用仲裁的方式解决与用户的争议的格式条款。因仲裁程序费用较高,用户面临小额争议望而却步,进一步缩小了用户获得赔偿的可能性。市场监督管理部门及主管部门有必要强化对平台规则和用户协议的监管,对违反《电子商务法》的规定,不遵循公平公正的原则制定平台规则和用户协议的行为予以制止和处罚。
平台网络安全事故很可能导致大量消费者的个人信息(包括支付账户等敏感个人信息)泄露,使个人信息权利受到损害。依据《个人信息保护法》,数字平台作为个人信息处理者,侵害消费者个人信息权益造成损害,不能证明自己没有过错的,应当赔偿消费者受到的损失或者个人信息处理者因此获得的利益;损失和获利难以确定的,根据实际情况确定赔偿数额。数字平台面临用户索赔的情况将越来越多。平台出于风险控制、可持续性发展的目的已经比较普遍地购买了责任保险。随着保险理赔的范围扩大,用户因平台系统崩溃得到赔偿的机会也可能增加。