V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
littlespider89
V2EX  ›  程序员

软件漏洞导致客户损失,要赔偿客户所有损失吗

  •  2
     
  •   littlespider89 · 2021-01-18 01:47:18 +08:00 · 4776 次点击
    这是一个创建于 1438 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我司一个应用服务,每月收费 1000 元,客户买了几个月,总共差不多 5000 不到。现在服务的一个边角功能漏洞被不法分子利用了,导致客户损失了 5 万元左右,在不法分子没法追究的情况下,这种要 100%赔偿吗,有没有有限责任的说法?

    如果有多个客户出现这种情况,要破产了……
    27 条回复    2021-01-19 09:25:57 +08:00
    BrettD
        1
    BrettD  
       2021-01-18 01:52:14 +08:00 via iPhone
    看你软件的使用协议是怎么写的
    xcstream
        2
    xcstream  
       2021-01-18 01:52:30 +08:00
    应该要赔,但可以拖,提升用户的追究成本
    Hugg
        3
    Hugg  
       2021-01-18 01:54:40 +08:00 via Android
    这用户也是惨
    littlespider89
        4
    littlespider89  
    OP
       2021-01-18 02:02:15 +08:00
    @BrettD 合同里没明确这一点,主要是小服务,结果搞出了大问题
    littlespider89
        5
    littlespider89  
    OP
       2021-01-18 02:02:45 +08:00
    @Hugg 现在两边都挺惨的
    x86
        6
    x86  
       2021-01-18 02:06:44 +08:00
    这不赔点的话,其它客户知道都要跑路
    Rocketer
        7
    Rocketer  
       2021-01-18 02:07:56 +08:00 via iPhone   ❤️ 7
    这个题不是那么简单,楼主必须提供更详细的信息才能回答。

    首先要明确损失是怎么产生的,是因为你的漏洞直接导致损失,还是用户使用不当导致漏洞爆发,还是漏洞被坏人利用才产生的。

    比如你的产品是电话机,如果电话在正常使用情况下自己漏电导致起火,那肯定是你的责任。

    如果用户不小心洒了水在上面导致起火,那可能是双方责任,因为这可能没达到一些法定的安全要求。

    如果电话机在正常使用情况下绝对不会起火,但被黑客攻入,运行恶意程序导致机器过热并起火,那就是黑客的责任。

    上面是归责问题,然后还要看损失的性质,是直接损失还是间接损失。

    直接损失如起火导致的家具烧毁、房屋清理及重新装修、以及停业期间仍需支付的工资等费用,都由责任方承担。

    但如果用户说这场火导致一个合同泡汤了,那就无需责任方承担,因为这是间接损失,不着火他可能也拿不到这份合同。

    还有一些比较扯皮的事情,比如这场火导致合同无法按期完成,进而导致违约金,那就只能让法官来判了。因为还要看合同本来是不是能完成,事故发生后他们有没有尽力弥补等等,以着火为借口放任自流是不被支持的(但和稀泥也是很常见的,法官通常会判责任方多少赔点)
    loveminds
        8
    loveminds  
       2021-01-18 02:20:41 +08:00
    描述不明确很难判断,可以描述下是什么类型的漏洞,以什么样的方式利用导致客户损失
    delectate
        9
    delectate  
       2021-01-18 07:02:07 +08:00
    没有免责声明,用户协议吗?照抄腾讯的就行,免除一切责任,用户承担一切法律后果(扫描你历史记录算什么?直接上传小飞机密码都可以!)。
    winnerczwx
        10
    winnerczwx  
       2021-01-18 07:41:45 +08:00   ❤️ 2
    如果从责任认定方面去讨论损失赔偿问题, 7#说的很详细了

    但这个问题如果仅从赔偿损失层面来考虑, 那从总体来说你们公司一定是亏的, 不论是赔偿金额还是客户资源

    以下观点我假设你是公司老板

    1. 承认错误, 无论是什么原因引发的问题, 既然是由你们开发的软件引起的, 你们都有不可推卸的责任, 如果直接推卸责任必定凉了客户的心

    2. 发布公告, 全面通知所有客户, 避免出现同样问题, 如影响范围很大, 可以暂停软件服务, 等待技术人员修复后再开放

    3. 估算损失, 如果如 6# 所说一样, 可能导致大规模客户流失, 那这 5 万元的赔偿根本不算什么. 除了赔偿的 5 万元直接损失, 还要估算间接损失

    4. 与客户协商赔偿或补偿方案, 我个人认为赔偿和补偿方案一定是超额的, 比如在条件允许的情况下除了补偿客户 5 万元损失, 可以再追加赠送一年的服务时间, 对于你们公司来说也就是 5.5 万元的赔偿, 但在客户那边却可以极大的挽回客户对你们的认可度与信任感

    4.1 如果最后责任认定下来, 是因为客户的误操作引发的问题, 那赔偿可以另议

    5. 事情处理完成并成功修复漏洞后可以根据事情的影响范围发布公告, 告知用户这次事件的处理结果, 比如这个受损失的用户在客户微信群里发表了言论, 所有人都知道了这次事件, 那这步骤是必不可少的

    6. 一定要安抚好客户的负面情绪, 当今时代可以发声的平台众多, 人家随便发点什么被大众知悉或被搜索引擎收录, 那就是一条你们公司的负面新闻, 新客户百度一搜你们公司的名字, 第一条就是负面新闻(还是涉及钱财损失的), 那对你们公司的影响可想而知


    我自己也曾遇到这样的事情, 那是我第一个创业项目, 当时我还在上学, 缺少技术经验, 又遇上 0day 漏洞, 导致数据全部丢失, 万幸的是我在 15 天前把数据备份了一次(为什么 15 天才备份? 因为当时真的是太菜了, 根本不懂数据备份的重要性), 直接结果就是所有用户丢失了半个月的数据

    当时的处理方案就是承认错误发布公告, 从技术层面超额弥补用户损失(因为项目性质关系, 虽然丢了 15 天的数据, 但后期可以通过一些办法弥补), 期间有付费的用户给出的方案是 1.如果要求退款就全额退款. 2.如果不退款则 1.5 倍补偿付费金额. 追溯期是一个月, 一个月内付费的用户都可以适用上述补偿方案

    最后的结果是几乎所有付费用户都选择了 1.5 倍补偿, 还有个别用户在群里抱怨了两天也就没多说什么了, 最终这件事就过去了, 至今也没人再拿这事做文章

    希望大家吸取教训, 数据安全很重要
    JuSH
        11
    JuSH  
       2021-01-18 08:36:49 +08:00 via Android
    前公司是做登记系统的,因系统限制功能 bug 造成司法纠纷,也被拉上了被告席,据说赔偿一部分钱。
    linksNoFound
        12
    linksNoFound  
       2021-01-18 08:57:27 +08:00
    商家卖把刀出去难道要负杀人的责任?
    mlhorizon
        13
    mlhorizon  
       2021-01-18 09:06:50 +08:00
    @littlespider89 #4 合同没有免责,5 万也还算可承担吧,赔了吧,就当做公关打广告的费用了。

    @linksNoFound #12 要是你买的刀因为质量问题,切菜的时候崩瞎了你的眼,你会不会找商家?
    AA5DE3F034ACCB9E
        14
    AA5DE3F034ACCB9E  
       2021-01-18 09:13:31 +08:00
    @linksNoFound 客户杀人了吗。。。
    markgor
        15
    markgor  
       2021-01-18 09:22:30 +08:00
    1 、完善协议;
    2 、可以参考大厂,出现问题赔付时候可以先道歉,然后告知客户这是不可抗因素,扯一大堆东西;然后为了表示歉意,赠送 5W 等效的使用周期;
    systemcall
        16
    systemcall  
       2021-01-18 09:30:44 +08:00
    看你的法务部了
    如果法务部足够强大,可以甩几个优惠卷让用户闭嘴,不听就把他们关起来
    diyisoft
        17
    diyisoft  
       2021-01-18 09:54:46 +08:00
    友好协商,不推卸不逃避。
    ifoto
        18
    ifoto  
       2021-01-18 10:24:49 +08:00
    @delectate 小飞机是什么
    H3x
        19
    H3x  
       2021-01-18 10:26:01 +08:00
    《中华人民共和国网络安全法》
    http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
    第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

    第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
      (一)设置恶意程序的;
      (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
      (三)擅自终止为其产品、服务提供安全维护的。
    sujin190
        20
    sujin190  
       2021-01-18 10:42:29 +08:00
    @delectate #9 没有能免除一切责任的合同吧,估计这种签了也是没啥用的吧
    mrchi
        21
    mrchi  
       2021-01-18 13:25:04 +08:00
    @xcstream 老赖?
    wangxiaoaer
        22
    wangxiaoaer  
       2021-01-18 13:29:03 +08:00
    1 你司破产跟你没关系。

    2 看样子这个公司是楼主自己的?
    janxin
        23
    janxin  
       2021-01-18 13:32:07 +08:00
    "如果有多个客户出现这种情况"

    你司知道有漏洞了还不修复的吗...
    chengkai1853
        24
    chengkai1853  
       2021-01-18 13:35:07 +08:00
    @linksNoFound 感觉你再说,钱存到银行,钱丢了,没有责任!
    xunmi1508
        25
    xunmi1508  
       2021-01-18 13:36:35 +08:00
    看合同有没有安全相关条款吧。Windows 每月补丁日都要修几个高危漏洞,要是因为 Windows 漏洞被入侵导致损失,大家岂不是都可以找微软赔偿
    linksNoFound
        26
    linksNoFound  
       2021-01-18 13:46:13 +08:00
    甚至还要追偿用户给银行带来的损失 @中行原油宝
    IDAEngine
        27
    IDAEngine  
       2021-01-19 09:25:57 +08:00
    赠一点优惠券,表示歉意
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1043 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:49 · PVG 03:49 · LAX 11:49 · JFK 14:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.