【IT168 专稿】选择SaaS，当用户的信息被盗，矛头一定直指SaaS服务提供商，此时SaaS的安全问题已经由技术防范延伸到法律层面。在传统社会中，偷窃所产生的法律责任由行为者来承担，但是偷窃发生在互联网上，偷窃者的身份因难以确定而无法追究，这种法律责任由谁承担？

服务端遭遇黑客攻击 责任由谁承担？

　　SaaS系统端风险所引发的数据丢失纠纷，一般来说SaaS应该承担赔偿责任。如因为SaaS雇员的素质低下，诸如欺诈、误操作等造成客户资金损失，被视为服务商过错，服务商需要承担全部赔偿责任；SaaS系统软硬件出现的技术故障给客户造成的直接和间接损失，尽管SaaS主观上没有过错，SaaS仍然需要承担民事责任，这毫无争议的。但是，如果SaaS系统端遭遇黑客攻击，不法分子把SaaS平台作为攻击的对象，所发生的数据丢失或泄密，服务商是否需要承担相应的法律责任呢？

　　依照我国《民法通则》及《合同法》的有关规定，SaaS作为一方当事人的违约责任免责事由有约定和法定两种。法律会尊重服务商和客户在服务协议中的约定为先，但同时也规定了一些法定的风险和分配制度。有些人认为SaaS系统遭遇黑客攻击属于一种不可抗力，应该免责。

　　其实，黑客攻击事件不应该作为不可抗力，而是属于一种意外事件。依据我国合同法，不可抗力是指“不能预见、不能避免并不能克服的客观情况”，黑客攻击事件虽然具有不可预见性，但是能够克服。SaaS服务商通过提高系统的安全性就是一种不停地与黑客展开“反攻击”的过程。我国合同法实行严格责任原则，不可抗力可以免责，意外事件则不能免责。同时，从敦促SaaS服务商履行维护系统安全的义务角度出发，黑客攻击也不能作为服务商的免责条款，否则SaaS会因此怠于履行提高系统安全性的义务，使得客户数据的安全性变得更差。