[[319262]]

微盟刪庫事件持續發酵，在數據逐步恢復的同時，對廣大商家(SaaS用戶)的損失賠償方案引發了新一輪熱議。

二選一的賠付方案

微盟官方宣布，針對此次賠付計劃，準備了1.5億元人民幣賠付撥備金，其中公司承擔1億元，管理層承擔5000萬元。

具體而言，微盟的賠付計劃有兩個不同的方案供商家任選其一：

1、利潤賠付計劃

針對因系統不可用期間商家邊際貢獻利潤額進行賠付，即：

邊際貢獻利潤額 =日均收入×行業平均邊際貢獻利潤率×系統故障時間

(日均收入等于該商家在2020年2月17日晚7點至2020年2月23日晚7點在微盟系統中產生的實際成交額除稅后的平均值)

2、流量賠付計劃

針對因系統不可用期間的商家給予騰訊廣告50000曝光次數進行流量補償，并且提供賬戶運營服務，同時再延長SaaS服務有效期兩個月。

快評：

第一、賠付方案是微盟單方面提出的建議，商家如果認為兩個方案都不合理，有權拒絕接受，仍可以通過談判，或起訴等其他途徑進行維權。

第二、賠付總額1.5億看上去很大，但如果平攤到300萬商家，戶均也就只有50元。而且，它僅僅是一項公司財務預算，具體怎么落實和分配還是未知數，因此與每一個商家具體獲賠金額并無直接關系。

賠償之難?

公有云宕機后如何向用戶賠付一直是困擾云服務供應商的難題。

首先，云服務廠商不可能保證自己的云服務100%無宕機，安全風險始終存在，所有國內外公有云幾乎都遭遇過不同程度的安全事故，可謂是驚心動魄。

其次，用戶的損失難以估量，關鍵系統與非關鍵系統、不同行業、不同企業規模造成的損失大小也不同，難以找到統一的衡量標準。比如，運營數據及客戶信息的丟失、人工費用、客戶流失等等。

由于上述兩點，大部分云服務提供商在服務協議中非常重視免責條款，以及賠償條款，會盡量避免在合同中承擔任何賠償責任，頂多是延長服務期限抵償。

有媒體報道，記者采訪的一些中小商家既不愿接受現金賠付計劃，也不愿接受流量賠付計劃。這時商家可以選擇以下任一訴訟路徑，要求微盟提供經濟賠償。

選擇一：告合同違約

由于沒有獲得微盟的服務協議，我們目前無法對合同條款做出評論或建議，暫且參考云服務行業常見的服務等級協議(SLA)做一簡要分析。

云廠商為了顯示自身云平臺的穩定性、安全性及吸引客戶，都會在產品服務等級協議(SLA)中承諾一個服務可用性指標，如：99.99%。簡單地說，就是保證在服務期間99.9%的時間內，可以按要求提供云計算服務。

在“賠償標準”條款中，阿里云、騰訊云兩家云平臺均承諾了如果服務可用性低于95%，則以代金券形式賠償月服務費的100%。對照微盟的流量賠付方案(延長SaaS服務有效期兩個月)來看，微盟的賠付方案似乎比阿里云、騰訊云更為優厚哦。

但是，請注意一個關鍵的因素，時間!時間!時間!

出現云宕機或其他安全事故，業內企業通常在很短時間內(按分鐘或小時計)可恢復數據。但此次微盟耗時長達10天以上(從2月23日事故發生，暫計至官方承諾3月3日數據恢復上線)，這是史無前例的重大事故。

公有云行業的服務可用性承諾，通常是按分鐘計算的技術指標。以上述阿里云、騰訊云的標準衡量，如果低于95%的可用性，則意味著用戶在當月有2,160分鐘無法正常使用云服務。那么，如果云服務停擺10天呢?用戶將在14,400分鐘(102460)內無法正常運營,是前者的6.67倍。如換算出當月的服務可用性，達到驚人的66.67%!!!

以上為阿里云某產品的賠償標準，服務可用性劃分的非常細：第一檔是未到達承諾但不低于承諾的0.99%;第二檔是不低于承諾的4.99%;一旦低于5%，則意味著云廠商承認自己存在嚴重失職，應全額賠付。

作為通行的做法，云平臺也會設定賠償責任的上限，一般不超過云平臺收取的服務費總額。

我們判斷，微盟的合同條款中也會設置類似的賠償責任上限。因此，從合同違約角度提起訴訟，對維護商家利益而言可能并不有利。

選擇二：告侵權賠償

除了合同違約之訴外，商家還可選擇侵權(損害賠償)之訴，此時需要重點關注以下幾個問題。

問題一：微盟錯在哪兒?

與其他安全事件不同，此次刪庫事件的發生并不是由于外部(黑客)攻擊，也不是由于公司員工的疏忽造成的，而是一次罕見的內部員工的惡意破壞事件。雖然作為受害方微盟及時報警，并將涉案程序員移交警方處理。但不可否認的是，這是一次因內部管理嚴重缺陷導致的重大網絡安全事故。

所暴露出的內部管理缺陷，包括：安全架構、員工行為管理、IT運維數據管控、預警及危機處理等各方面問題。對這次看似偶然實則必然的安全事故，微盟作為服務提供方難辭其咎。

問題二：誰對數據有備份義務?

刪庫事件的發生，與商家數據的丟失是否存在必然的因果關系?也是值得思考的問題。

網絡上針對數據丟失有不少討論，有的認為微盟沒有做好備份工作，也有的認為，客戶自身也有對數據做跨平臺實時備份的責任。這些討論主要是站在安全運維的角度，與法律意義上的“責任”有所區別。

若在服務合同中明確約定了，服務購買方的數據備份義務，那么商家在訴訟中主張由微盟承擔數據丟失的責任，將變得十分困難。

例如，在河南中京聯盟電子商務有限公司訴鄭州市景安網絡科技股份有限公司服務合同糾紛【(2019)豫01民終11930號】一案中，法院認為，服務合同明確約定了原告(中京公司)應自行對服務器內的數據做好及時備份工作，未約定被告(景安公司)應對中京公司的數據進行實時備份。且數據丟失的原因是第三方黑客攻擊，在簽訂的合同中也未約定此種情形下的數據備份和保護義務，故不能證明被告違反合同約定。

如果合同對數據備份義務沒有約定或約定不明，則可以參考行業慣例或實踐，來分攤各自的責任。

問題三：商家的損失怎么算?

暫以數據丟失為例。如果因刪庫事件某商家丟失了3000個客戶信息，如何計算損失?每一個客戶價值該如何定價?對此，目前在司法界并無定論，甚至有可能因難以計算而被直接忽略。

在此，我們大膽套用投資界的方法來做一點推斷：

A. 假設一：客戶價值 = 客戶獲取成本(CAC)=市場總花費/同時期新增用戶數;

或者

B. 假設二：客戶價值 = 客戶終身價值(LTV)的一定折扣率，其中LTV=月度平均每客戶收入 X 客戶生命周期(以月計)。

雖然以上方法，在投資機構對SaaS企業估值過程中被普遍采用，但是否能被司法機構所接受，仍存在較大不確定性。

問題四：賠償標準怎么定?

即使商家存在經濟損失，且能夠被確認，但是否應完全按商家損失進行賠償則是另一個問題，這就涉及到賠償標準了。

作為一項IT基礎服務，云計算是“按照使用者的規模提供隨用量變化的彈性經濟模式”，說白了就是用多少，付多少。由于客戶所處行業、客單價等相差懸殊，如果將云服務商的賠付責任，與客戶的業務價值相互掛鉤，是否有失公允?同時，這種掛鉤也會使云服務商陷入極大的法律風險之中，阻礙云服務行業的健康發展。

顯然，在確定賠償標準時，云服務廠商與用戶之間存在明顯的沖突。因此，如何平衡這種利益關系，同時兼顧SaaS行業的技術特點、不阻礙云生態的健康、可持續發展，是對司法機構的一個重大考驗。

我們建議，這個賠付標準應當綜合考慮案件的具體情況，既不能完全采用“損失說”(用戶角度)，也不能完全采用“費用說”(云廠商角度)，還需要考慮各方的過錯程度、因果關系、所涉及的技術服務內容等因素。

小結：

綜上，我們對商家的初步建議是：

1、從損害賠償的角度進行索賠;

2、在專業律師的協助下，進行證據收集和損失計算;

3、學會換位思考，案件有一定難度，各方利益需要平衡;

4、在訴訟過程中繼續談判，爭取有利的處理結果。

微盟刪庫事件，注定成為中國網絡安全史上的一大慘案。而關于如何賠付“云上損失”的話題也才剛剛開始，希望通過更多的案例來找到一個最佳平衡點，使云生態中的各方利益得到兼顧，并推動中國的互聯網事業健康發展。