程序員發現系統漏洞

竟偷偷利用“爬取”甲方信息

踩到網絡安全紅線

公司的違約金損失

員工該承擔嗎？

案情簡介

某網絡公司委托某軟件公司開發軟件，雙方簽訂了《網絡安全協議》，約定受托方員工未經書面授權，收集、持有、處理、修改委托方網絡中的任何數據或信息的，屬于最高級別違規行爲，受托方應支付懲罰性違約金。

章某是該軟件公司技術工程師，入職時簽署了《網絡安全承諾書》，承諾不對客戶網絡采取任何攻擊、破壞、竊取、侵入等操作，同時還收到了軟件公司的《員工手冊》，手冊規定員工有責任確保爲正當工作目的使用公司或客戶的信息系統，必須遵守公司及客戶的各項信息安全制度和網絡安全制度，對公司造成經濟損失的行爲，在予以紀律處分的同時違規員工需賠償公司相應的經濟損失。

一天，章某在參加軟件公司組織的編碼考試中，發現委托方網絡公司的網絡系統存在可以提取考題的漏洞，遂自行編寫腳本向服務器發送類似于“網頁爬蟲”的請求，將考題傳輸至個人電腦上生成題庫，該行爲被網絡公司後台監控發現。

網絡公司立即會同軟件公司對該事件開展調查，章某在調查中承認其存在危害客戶信息的行爲，意識到自身缺乏網絡安全意識，並表示願意在個人能力範圍內承擔責任。

調查結束後，兩家公司將本次事件定性爲網絡安全最高級別違規，並根據《網絡安全協議》約定從應付軟件公司的業務款中扣除了相應的違約金。

章某從軟件公司離職後，雙方因違約金承擔問題發生爭議，軟件公司向法院提起訴訟，請求章某賠償其因支付違約金而産生的全部經濟損失。章某則表示其提取的考試信息都是行業知識，只用于自身學習，屬于輕微違紀，最多承擔30%比例的次要責任，不同意全額賠償。

法院審理

章某是接受過網絡安全培訓的技術工程師，受聘的軟件公司是從事軟件開發服務的科技型企業。章某非因工作原因擅自通過網絡請求獲取客戶信息，不論該信息的性質如何，章某的行爲本身都不具有正當性，對網絡安全構成危害。網絡公司與軟件公司共同確認該行爲屬于網絡安全最嚴重違規情形，符合實際情況。網絡公司因此從應付軟件公司款項中扣除違約金，應當認定軟件公司因章某的案涉違規行爲遭受了相應的經濟損失。

軟件公司的《員工手冊》經過民主程序制定，並已告知章某，能夠作爲確定雙方權利義務的依據。根據手冊規定，對公司造成經濟損失的行爲，在予以紀律處分的同時，違規員工需賠償公司相應的經濟損失。

一方面

章某在本案中所涉的違規事件，並非因正常履職出現的過失行爲，而是具有一定的主觀故意，其對損害後果應當承擔賠償責任

另一方面

軟件公司承擔的違約金具有一定的懲罰性，公司並未通過民主程序將《網絡安全協議》中的違約金條款納入規章制度的範圍，導致章某對自身行爲後果的預期不足，軟件公司也應自擔一定程度的損失。

法院判決章某對軟件公司的違約金損失承擔60%比例的主要責任。判決已生效。

法官說法

勞動者因故意或重大過失造成用人單位損失，用人單位在承擔相應責任後，有權向勞動者提出追償。與用人單位追償實際損失的情形相比，追償違約金的情況相對更爲複雜。

根據合同法理論，違約金是合同相對人對違約損失的預先鎖定，而違約行爲發生後，如果約定的違約金偏離了實際損失，當事人有權申請法院予以調整。

這在追償案件中會帶來兩個問題：

其一，勞動者並非合同相對人，不受違約金條款的約束，如果用人單位沒有提前充分告知說明，勞動者將無法對其行爲可能引發的違約金後果形成合理預判；

其二，雖然合同相對方享有申請法院調整違約金的權利，但在一些行業中受托方的話語權有限，爲了維系長久的合作關系，受托方有時不會對違約金數額提出異議，尤其在違約金具有懲罰性質的情況下，違約金數額往往高于實際發生的損害。

因此，在當用人單位未申請調整違約金時，有必要綜合考慮違約金的性質、違約金與合同守約方損失之間的關系、勞動者對行爲後果的預判能力等因素，確定具體追償範圍。

在此對用人單位提出幾點建議：

一是建議在勞動合同、集體合同或者規章制度中，對勞動者在履職過程中因不當行爲造成損害的具體情形和責任範圍作出明確規定，確立合情合理的追償規則；

二是建議在處理違約糾紛的過程中，秉持對勞動者負責任的態度，積極爭取“甲方”諒解，盡量減輕相應的違約責任；

三是建議在對未離職的勞動者實際追償時，嚴格遵守《工資支付暫行規定》第十六條、《江蘇省工資支付條例》第十二條規定，確保每月扣發工資不得超過當月應發工資的20%，且扣除後的金額不得低于最低工資標准。

來源：江甯開發區法院

作者：韓 丹

編輯：江萍