陳俊熹（蘭州大學(xué) 法學(xué)院，甘肅 蘭州 730000）

一、提出問題

電商平臺遭遇黑客入侵時，因平臺主體在主觀上對其可預(yù)知、客觀上也可積極采取措施避免，故黑客入侵不是法定的不可抗力免責事由。實踐中平臺與消費者約定“不可抗力”免責條款是否具備效力在司法實踐中廣受爭議，按照韓世遠教授的觀點，其尚未達到與法定免責事由相等同之程度。在當前法律尚未明確不可抗力約款效力時，轉(zhuǎn)用情勢變更制度更有利于保障消費者的合法權(quán)益[1]?！吨腥A人民共和國電子商務(wù)法》（以下簡稱《電子商務(wù)法》）第三十八條第一款規(guī)定，電商平臺對消費者財產(chǎn)、個人信息等具有注意義務(wù)①，故平臺遭黑客入侵致使服務(wù)合同履行受阻、消費者遭受損害時，其充分盡到注意義務(wù)可轉(zhuǎn)用情勢變更制度更改合同并對消費者給予適當補償，違反注意義務(wù)則應(yīng)對消費者承擔民事責任。

結(jié)合理論界觀點，不可抗力的表現(xiàn)形式具體可以劃分為法定不可抗力事件與約定不可抗力條款兩類[2]。前者是指符合法律規(guī)定不可抗力免責條款主客觀構(gòu)成要件的事件，如地震、洪水、臺風、海嘯、罷工、疫病、車禍等，這些事件多屬于主觀上不可預(yù)知、當前科學(xué)技術(shù)不可克服與避免，將其作為不可抗力免責事由所對應(yīng)的表現(xiàn)形式，體現(xiàn)著民法維護交易安全與公平原則。后者具體是指交易雙方當事人在訂立合同的過程中，以“約定條款”的形式將某些事項作為將來發(fā)生免責效力的事由[3]。約定條款在現(xiàn)實中多存在于買賣、服務(wù)、保管等合同中，主體間將一些特定事項作為免責條款訂入合同當中，以期在將來特定事項發(fā)生時作為免責依據(jù)。然而，因《中華人民共和國民法典》（以下簡稱《民法典》）未涉及約定免責事由的效力，且當事人約定的事項一般達不到法定不可抗力事件之嚴重程度，故在實踐操作中對其效力判斷存有爭議。

近幾年隨著數(shù)字經(jīng)濟的飛速發(fā)展，電商平臺華麗登場，成為我國當前交易領(lǐng)域中的“主力軍”。而與此同時，部分不法主體利用信息技術(shù)手段“攻擊”平臺系統(tǒng)，造成平臺消費者合法權(quán)益遭受損害的事例“時有發(fā)生”[4]，平臺主體為避免在較為頻繁的黑客入侵中向消費者負擔民事責任，在與消費者訂立服務(wù)合同時，傾向于訂立類似于“因黑客入侵造成系統(tǒng)故障、消費者財產(chǎn)等因此遭受損失時，平臺不承擔責任”這樣的約定不可抗力條款，在發(fā)生該種情形時達到免責效果[5]。但對于平臺這一類特殊服務(wù)主體來說，黑客入侵較之于《民法典》中所列舉的法定不可抗力事件，其遠沒有達到與其相等同的程度，加之《民法典》并沒有對約定免責事由效力作出明確規(guī)定，造成法官在裁斷處理消費者針對“黑客入侵”提起的訴訟易陷入困境。正確認識黑客入侵與不可抗力之間的關(guān)系，探討法院之裁判路徑，成為當下亟待解決的一個重要問題。

二、黑客入侵并非法定不可抗力之證成

《民法典》第一百八十條第一款對不可抗力作了如下定義：因不可抗力不能履行民事義務(wù)的,不承擔民事責任。因該條款處于總則編位置，結(jié)合定義可知，這里所稱謂的“不可抗力”，屬于法律明確規(guī)定的可發(fā)生免除承擔民事責任后果之法定條款，為強行法規(guī)定[6]?；谄鋸娦蟹▽傩?，《民法典》第一百八十條第二款專門對其構(gòu)成要件予以界定，即“不可抗力是不能預(yù)見、不能避免且不能克服的客觀情況”。該條款從主觀與客觀層面[7]揭示了不可抗力的組成要素：（1）主觀上不能預(yù)見，即作為正常的民事主體對其熟知領(lǐng)域內(nèi)所發(fā)生的事件無法預(yù)知；（2）客觀上不能克服、不能避免，即所發(fā)生的事件依照現(xiàn)有技術(shù)水平是無法克服與避免的；（3）主客觀要件須同時滿足，即我國《民法典》中的不可抗力免責條款只有同時符合主客觀要件時，相應(yīng)主體才能援引該條款進行免責。

（一）不符合主觀要件：平臺主體對黑客入侵可以預(yù)知

《民法典》對于法定不可抗力事件在主觀層面設(shè)定了“不能預(yù)知”的構(gòu)成要件，其含義是“普通主體在與之相關(guān)的領(lǐng)域內(nèi)，正常情況下超出其一般認知能力的事由”。意思是說，只有結(jié)合當前的社會發(fā)展狀況、主體自身知識及現(xiàn)有科技水平，無法對特定事件的來臨、發(fā)展、變化進行合理預(yù)知時[8]，才滿足這里法定不可抗力的主觀構(gòu)成要件。若是主體對某一類事件的發(fā)生、發(fā)展規(guī)律、表現(xiàn)特征等具有較為深入的認識，就不符合法定不可抗力主觀構(gòu)成要件的“要求”。

而作為依托自身技術(shù)優(yōu)勢開展各項交易、服務(wù)、直播等活動的電子商務(wù)平臺，對于近年在該領(lǐng)域內(nèi)猖獗的黑客入侵，其在主觀上較之普通人，更易知曉該種行為對自身及消費者造成的不利后果。對于黑客入侵中所采取的如植入病毒竊取消費者的財產(chǎn)信息、通過發(fā)布木馬鏈接引誘消費者上當受騙、通過攻擊電商平臺系統(tǒng)導(dǎo)致交易中斷或延誤交易造成消費者損失等具體手段[9]，作為“經(jīng)濟人”概念中的商事交易主體，平臺不可能無法判斷究竟何種行為屬于黑客入侵之范疇，也不可能對于隨時都有可能出現(xiàn)的黑客入侵事件在腦海中無合理的印象與概念建構(gòu)，故黑客入侵顯然不符合《民法典》對于法定不可抗力事件的主觀要求，部分電商平臺在訴訟糾紛中聲稱自身對黑客入侵“在主觀上無法預(yù)知”的抗辯理由難以成立。

譬如在韋某訴北京樂酷達網(wǎng)絡(luò)科技有限公司侵權(quán)責任糾紛一案中，樂酷達公司系手機應(yīng)用軟件“okcoin比特幣”的開發(fā)者，2015年7月10日與7月13日正值萊特幣和比特幣價值下跌，okcoin平臺因被黑客攻擊而癱瘓，客戶無法上線進行操作，導(dǎo)致大量客戶蒙受重大損失。經(jīng)韋某與平臺就損失賠償事宜進行交涉，平臺以“黑客入侵屬于不可抗力為由”，只同意賠償其15%的損失，其余則以“黑客入侵”為由，主張自己免責，損失由韋某自行承擔[10]。然而，作為具有存儲、提現(xiàn)功能的平臺來說，其本應(yīng)對消費者存入的錢款、購買存入的虛擬貨幣、證券等負有注意義務(wù)[11]，諸如黑客入侵竊取、篡改、操縱價格促使消費者財產(chǎn)蒙受重大損失的行為，平臺完全對此有著充分的認識，主觀上完全可以預(yù)知，其稱主觀上無法預(yù)知，屬于不可抗力，無非是為濫用不可抗力逃避承擔責任提供借口。故法官未支持平臺抗辯，而是認為本案屬于合同糾紛，裁定駁回韋某起訴。韋某之后以合同糾紛向法院提起訴訟后，平臺與韋某達成和解協(xié)議，賠償了因其違反合同約定給韋某造成的損失[12]。

（二）不符合客觀要件：平臺可采取技術(shù)手段避免與克服

《民法典》第一百八十條對于法定不可抗力事件的客觀構(gòu)成要件也同樣作出了說明：法定不可抗力事件在客觀方面須滿足不能避免與不能克服。所謂不能避免，是指因局限于現(xiàn)有科技技術(shù)或者人類主體自身特定因素，無法采取有效的措施積極阻止某類事件發(fā)生[13]，如地震、海嘯、臺風等，即便采取當前世界上最先進的技術(shù)，也無法避免。所謂不能克服，則是采取現(xiàn)有的技術(shù)手段無法將其根治，譬如太湖內(nèi)部因水質(zhì)富營養(yǎng)化造成的藍藻滋生問題，盡管國家、當?shù)卣?、地方公益組織與居民聯(lián)合進行打撈防治，但由于太湖常年集聚的污染短期難以完全消解，故藍藻生長蔓延仍然無法克服根治[14]，其引發(fā)養(yǎng)殖魚類死亡導(dǎo)致的經(jīng)濟損失從客觀而言，即屬于法定不可抗力事件客觀構(gòu)成要件中的“不能克服”。

對于依托技術(shù)開展交易、直播、籌款等活動的電商平臺來說，既然其主觀上對黑客采取的各項技術(shù)手段有著明確的認識，從保護消費者合法權(quán)益的角度出發(fā)，其應(yīng)當積極采取措施阻止因黑客入侵造成的損失。易言之，黑客之所以可以在平臺系統(tǒng)內(nèi)部“肆意橫行”，根本原因是平臺內(nèi)部負責維護平臺運營的主體疏忽大意抑或是平臺未及時更新升級、修復(fù)平臺系統(tǒng)存在的漏洞所致[15]。在現(xiàn)實中，作為商事主體的電子商務(wù)平臺，往往以追求營利作為自身的主要甚至唯一目的，對于平臺存有的安全隱患不愿意花費較多的時間金錢去維護，這便為黑客找尋時機入侵提供“可乘之機”。在發(fā)生黑客入侵后，部分平臺主張“維護成本費用過高”，其客觀上不能避免與克服。盡管從表面上看符合法定不可抗力的客觀構(gòu)成要件，但從作為法定免責事由的不可抗力角度出發(fā)，應(yīng)對其客觀要件進行從嚴解釋，即在當前條件水平下窮盡一切技術(shù)、方法、路徑等無法克服與避免時，方可認定為不可抗力要件中的“不能克服，不能避免”，因而平臺的該種主張不構(gòu)成不可抗力的客觀要件。此外，在現(xiàn)實網(wǎng)絡(luò)交易中，部分黑客不直接攻擊平臺系統(tǒng)，而是使用虛假的身份ID在平臺開立賬戶，通過在交易中實施詐騙、操作刪除交易記錄、發(fā)送釣魚鏈接等方式損害消費者財產(chǎn)利益[16]，作為負有審查義務(wù)的平臺，其對賣方中的“冒名頂替”“潛伏黑客”“刪除交易記錄”等行為在客觀上足以察覺，平臺只要采取較為嚴格、及時、定期的審查，必然可以發(fā)現(xiàn)這些問題“賬號”，進而采取措施對之進行避免與克服。因而，黑客入侵不符合法定不可抗力事件的客觀構(gòu)成要件。

還是在韋某訴樂酷達公司侵權(quán)糾紛一案中，在比特幣、萊特幣交易價格迅速變動的幾天內(nèi)，因平臺缺失對系統(tǒng)的維護，造成韋某無法操作自己的賬號，錯失良機。法官最后提示韋某應(yīng)當按照合同糾紛提起民事訴訟，本質(zhì)上是對平臺借用“黑客入侵是不可抗力，應(yīng)當免責”而逃避責任之否定[17]。從中可以窺見，電子商務(wù)平臺積極采取技術(shù)措施完全可以避免黑客對系統(tǒng)進行不法入侵，消費者的權(quán)益應(yīng)當由電子商務(wù)平臺維護，倘若平臺可將“黑客入侵”作為“不能避免、不能克服”之事由，免除自己應(yīng)盡之注意義務(wù)，不僅有違強行法規(guī)定及合同約定，也會嚴重損害消費者的正當利益，擾亂平臺市場的正常經(jīng)營秩序。

綜上，黑客入侵造成消費者合法權(quán)益受損，平臺主觀上對其所采取的各種侵害手段足以預(yù)知，客觀上也可以采取積極的措施進行避免，結(jié)合我國《民法典》對法定不可抗力須主客觀同時滿足的法律規(guī)定，黑客入侵不是法定不可抗力事件，實踐中部分平臺直接將其等同于法定不可抗力事件的做法違反法律規(guī)定，應(yīng)予禁止。

三、黑客入侵并非約定不可抗力之證成

基于對“黑客入侵”難以滿足法定不可抗力構(gòu)成要件的認識，現(xiàn)實中部分平臺傾向于將“黑客入侵作為約定不可抗力”訂入服務(wù)合同，以期在將來發(fā)生黑客入侵時起到免責效果[18]。從不可抗力發(fā)源地古羅馬帝國法律制度來看，因其尊重當事人之間的意思自治，故承認當事人可通過約定免責條款的形式免除一方責任，繼而達到與適用不可抗力條款免責相似的效果[19]。在《民法典》頒行之前，學(xué)者就對法條中當事人間是否可以約定不可抗力免責條款作為其中一個問題展開激烈討論[20]，電商平臺以約定形式將黑客入侵等事項等同于不可抗力免責條款發(fā)生免責效力，在理論界同樣引起廣泛爭議。然而，就目前來看，黑客入侵并非約定不可抗力，具體體現(xiàn)在以下兩個方面。

（一）黑客入侵作為約定不可抗力違反平臺應(yīng)盡的義務(wù)

其一，違反電商平臺應(yīng)盡的法定義務(wù)?！峨娮由虅?wù)法》第三十八條第一款專門就電子商務(wù)平臺的注意義務(wù)作出規(guī)定，即電子商務(wù)平臺應(yīng)當審慎經(jīng)營，確保消費者財產(chǎn)利益不受侵犯②。盡管在合同法體系中，基于當事人間的“意思自治”，將黑客入侵作為約定不可抗力本身不違反法律規(guī)定，然如前所述，平臺既然對于黑客入侵在主觀上可以預(yù)知，從保護消費者合法財產(chǎn)利益的角度出發(fā)，平臺應(yīng)采取積極措施阻止或減輕黑客入侵對消費者造成的損害。故平臺將“黑客入侵”作為約定免責事由，表明其主觀對黑客入侵造成消費者財產(chǎn)損失持放任態(tài)度，違反了《電子商務(wù)法》對電商平臺在交易活動中負有注意義務(wù)的具體規(guī)定，無法產(chǎn)生免責的效果。在韋某訴北京樂酷達侵權(quán)糾紛一案中，樂酷達旗下的平臺在與韋某訂立服務(wù)合同時，就對黑客入侵系統(tǒng)可能產(chǎn)生對消費者合法權(quán)益造成損害的后果可以預(yù)知，其通過約定黑客入侵作為免責事由而對之侵害予以放任的做法，違反《電子商務(wù)法》對其注意義務(wù)的要求，故在此案件中，黑客入侵作為約定不可抗力與法定義務(wù)相抵觸，不具有免責效力。

其二，違反電商平臺與消費者在合同中的約定義務(wù)。在現(xiàn)實交易活動中，部分電子商務(wù)平臺與消費者約定在交易中對于消費者的財產(chǎn)、人身安全等負有注意和保障義務(wù)，在法律沒有對合同約定義務(wù)作出禁止性規(guī)定的前提下，應(yīng)當承認雙方當事人以約定的形式確定義務(wù)?！峨娮由虅?wù)法》第三十八條第一、二款分別對其注意義務(wù)和安全保障義務(wù)作出規(guī)定，故平臺與消費者約定的義務(wù)實質(zhì)是將平臺的法定義務(wù)以約定形式固定下來，沒有減輕自己應(yīng)當履行的義務(wù)，屬于有效約定。然而，在這種情境中，平臺若是與消費者將“黑客入侵”作為約定免責事由訂入合同中，在其主觀對此可以預(yù)知的情形下，放任黑客對消費者財產(chǎn)的損害，則違反了合同中平臺對于消費者交易、財產(chǎn)安全所負有的注意和保障義務(wù)，屬于《民法典》合同編中“通過約定減損他人利益”的具體表現(xiàn)③，故同樣無法產(chǎn)生免責效果。在韋某訴北京樂酷達公司侵權(quán)糾紛一案中，法官認為雙方基于比特幣、萊特幣產(chǎn)生的糾紛，實質(zhì)上是屬于服務(wù)合同中標的物損失引起的，故應(yīng)按照合同糾紛處理[21]。由此觀之，樂酷達公司旗下所對應(yīng)的交易平臺因黑客入侵導(dǎo)致韋某無法正常操作，對于其投資標的物所生預(yù)期利益造成不當損害，違反平臺與韋某約定的其對交易所負有注意、保障義務(wù)，黑客入侵作為約定不可抗力在此也違反當事人間約定義務(wù)，不具有免責效力。

（二）黑客入侵作為約定不可抗力在司法實踐中被認定為無效

電商平臺將黑客入侵約定為不可抗力免責條款，在實務(wù)中易被司法機關(guān)認定為無效。因《民法典》只規(guī)定法定不可抗力事件，約定不可抗力僅停留在理論層面，故當事人約定“黑客入侵”屬于不可抗力并在庭審中要求免責時，法官在審查中就偏重從法定不可抗力的主客觀要件入手進行全面分析。如前所述，平臺對于黑客入侵主觀上明知、客觀上可以采取措施避免與克服，故法官依據(jù)此得出的結(jié)論是黑客入侵并非不可抗力[22]。由此延伸出的問題是當事人是否可以以約定的形式達到免責的效果？電商平臺負有對消費者財產(chǎn)的注意義務(wù)，這是《電子商務(wù)法》所明確規(guī)定的，平臺通過與消費者約定黑客入侵造成損害后果屬不可抗力、消費者自行承擔損失顯然屬于平臺對于自己法定責任之推脫，故應(yīng)當認定此免責條款因違反強行法而無效。

此外，部分平臺與消費者在訂立服務(wù)合同的過程中，也將保障財產(chǎn)安全作為約定內(nèi)容寫入合同條款當中，平臺將黑客入侵作為約定不可抗力，不僅存在違反合同約定之嫌[23]，而且屬于“運用合同條款不當減損他人利益、逃避負擔義務(wù)”之行為，相關(guān)條款應(yīng)當被認定為無效④。如在前述韋某訴北京樂酷達網(wǎng)絡(luò)科技有限公司侵權(quán)責任糾紛案件中，北京樂酷達網(wǎng)絡(luò)科技有限公司認為自己平臺遭遇黑客入侵，因服務(wù)條款中約定其屬于不可抗力，故平臺在賠付韋某15%損失后應(yīng)當免責[24]。而法院認為，平臺因系統(tǒng)維護存在瑕疵，致使因黑客攻擊造成韋某經(jīng)濟損失，平臺在此過程內(nèi)違反了與韋某服務(wù)合同中“平臺對于韋某的交易、財產(chǎn)安全具有注意和保障義務(wù)”之約定，應(yīng)當按照合同糾紛處理[25]。由此觀之，法院基于實踐考量，認為若是支持平臺免責，會使得韋某自身承受較重損失，無利于電商平臺市場的平穩(wěn)運行與消費者積極投資，故不支持“黑客入侵”不可抗力免責條款具有效力。

四、黑客入侵電商平臺的法律規(guī)制

黑客入侵不符合不可抗力的構(gòu)成要件，其不是不可抗力，平臺無法將之作為一種不可抗力事由援引《民法典》第一百八十條達到免責的效果；平臺與消費者約定的不可抗力免責條款因涉及逃脫責任也易被認定為無效。從解決實際問題的角度出發(fā)，結(jié)合理論界觀點與法律規(guī)定，探索出平臺遭遇黑客入侵、消費者財產(chǎn)受損的處理路徑，方是在明晰該問題的基礎(chǔ)上探尋“解決之道”。

（一）約定不可抗力：可轉(zhuǎn)用情勢變更制度

以韓世遠教授為代表的學(xué)者認為，在一個具體的民事活動中，一方主體將某事由約定為不可抗力，在庭審中向法官主張適用不可抗力進行免責時，在現(xiàn)行法尚未對約定不可抗力免責條款效力作出規(guī)定時，法官可向雙方當事人釋明無法適用不可抗力進行免責，促使當事人有充足的時間尋求其他正當解決路徑。他進一步認為，法官此時應(yīng)鼓勵雙方當事人適用情勢變更制度解決上述問題[26]。所謂情勢變更制度，即指在合同履行中非因商業(yè)風險而造成合同履行困難、無法按期履行、一方或雙方主體因此遭受損害時，其中一方主體可向法院主張適用情勢變更制度變更合同，受損害方還可結(jié)合具體案情要求另一方進行適當補償，以此平衡雙方當事人利益、促使合同經(jīng)由調(diào)整而達到正常履行目的的一項制度[27]。適用情勢變更制度，將合同的調(diào)整權(quán)與補償程度的確定交由實踐經(jīng)驗較為豐富的法官處理，利于彌補受損害方利益，使得主體對于合同履行后所產(chǎn)生的期待利益都能最大化實現(xiàn)，一改實踐中直接認定為無效后解除合同帶來的種種不利因素[28]。

如前所述，黑客入侵不符合法定不可抗力事件的構(gòu)成要件，作為不可抗力約定條款在實踐中也被認定為無效，因而在涉訴案件中，法官應(yīng)向平臺與消費者釋明，鼓勵消費者與平臺向?qū)Ψ街鲝堖m用情勢變更制度調(diào)整合同履行方式、履行期限、給付種類等具體內(nèi)容，同時應(yīng)支持遭受損害的消費者請求平臺支付適當補償費用的請求，以便平衡雙方主體之間的利益。由此可化解現(xiàn)實中因黑客入侵免責條款無法適用不可抗力制度引發(fā)平臺與消費者間的服務(wù)合同無法正常履行和種種社會不良問題，借助情勢變更制度合理平衡雙方主體之間的利益，在增強判決說理依據(jù)的同時，維護平臺市場內(nèi)部穩(wěn)定性。

在前述韋某訴北京樂酷達網(wǎng)絡(luò)科技有限公司侵權(quán)糾紛案件中，因韋某按照侵權(quán)糾紛提出的訴訟請求存在請求權(quán)模糊不明的問題，故法官向其釋明本案屬于合同糾紛，告知韋某另行提起相應(yīng)民事訴訟的做法無疑有利于維護韋某的合法權(quán)益[29]。若是法官當庭確認不可抗力免責約款無效，樂酷達網(wǎng)絡(luò)科技有限公司免責約款涉嫌違反其與韋某的服務(wù)合同約定，告知韋某按合同糾紛另行起訴時，一并告知雙方可適用情勢變更制度變更合同內(nèi)容，以便及時將約定的不可抗力免責條款轉(zhuǎn)化為情勢變更制度適用，促使雙方合同繼續(xù)履行，則會因后期合同完全履行起到維護交易穩(wěn)定的效果。

（二）違反注意義務(wù)：平臺承擔民事責任

民法上任何制度的適用需要區(qū)分不同情形，以便在邏輯上形成自洽。盡管平臺與消費者約定的“黑客入侵”免責條款在涉及具體案件時可轉(zhuǎn)化為情勢變更制度進行處理，然而，黑客入侵若是由于平臺自身疏于管理、違反注意義務(wù)導(dǎo)致的，其應(yīng)當依據(jù)法律規(guī)定對消費者負擔違約、侵權(quán)等民事責任，不再適用情勢變更制度，以此來維護消費者合法權(quán)益[30]。注意義務(wù)源自商法維護交易安全理念，商事主體在交易活動中享有更為廣泛的權(quán)利，其對于處于相對弱勢地位的消費者財產(chǎn)負有審慎、及時告知、采取措施維護等義務(wù)，其一般有法律加以規(guī)定，商主體與消費者也可在協(xié)議中具體約定，故其兼具法定與約定性質(zhì)[31]。作為促進與連接線上、線下交易的媒介主體，電子商務(wù)平臺對于消費者的財產(chǎn)、信息等負有注意義務(wù)，這是商事交易活動中維護交易安全原則在此的具體體現(xiàn)。《電子商務(wù)法》第三十八條第一款對平臺的注意義務(wù)作了明確規(guī)定，平臺在交易活動中應(yīng)注意義務(wù)造成消費者合法權(quán)益遭受損害的，平臺應(yīng)當承擔民事責任，該條款為法定條款，其具有排除其他減免責條款適用之效力。另外，若雙方當事人約定了具體的注意義務(wù)，則平臺以“黑客入侵”為由不履行注意義務(wù)的做法違反合同約定，其構(gòu)成違約責任。故前述案件中，韋某最終請求平臺承擔違約責任、返還投資款項的做法，正是平臺違反約定注意義務(wù)承擔民事責任之具體處理方式。

電商平臺在黑客入侵導(dǎo)致消費者財產(chǎn)損失時，若是因其自身違反注意義務(wù)，譬如前述未采取積極措施升級平臺操作系統(tǒng)、及時修補平臺漏洞、對主體的信息ID及交易活動等盡到充分審查義務(wù)時，平臺已從根本上違反了《電子商務(wù)法》賦予的其對消費者的法定義務(wù)[32]；在當事人約定注意義務(wù)的情形下，平臺也從根本上違反合同約定，在因此造成消費者損害時，若是仍然允許雙方主體適用情勢變更制度，必然會造成平臺在此后類似活動中惡意援引情勢變更逃避承擔責任。因而，法官此時應(yīng)向雙方當事人釋明，消費者可依據(jù)《電子商務(wù)法》第三十八條第一款之規(guī)定或基于合同約定，主張平臺承擔侵權(quán)責任，或基于平臺違反與其簽訂的服務(wù)協(xié)議主張其承擔違約責任。

為平衡電商平臺侵權(quán)案件中消費者舉證證明平臺存有過錯較為困難之現(xiàn)狀，結(jié)合實際，提出以下建議：消費者在選擇按侵權(quán)糾紛向法院起訴后，基于平臺與消費者之間權(quán)利義務(wù)的不對等性，應(yīng)當將舉證責任分配給平臺，實行“舉證責任倒置”，由平臺證明自身已經(jīng)充分盡到注意義務(wù)、主觀上不存在過錯。平臺無法證明其無過錯時，應(yīng)向消費者合理負擔民事責任，以此在黑客入侵無法作為不可抗力免責事由處理時，防止平臺借助情勢變更制度逃避履行義務(wù)與承擔民事責任之缺陷，同時尊重民事訴訟當中雙方當事人意思自治與“不告不理”原則，將按合同或侵權(quán)糾紛處理案件的選擇權(quán)交由消費者，法官不應(yīng)過度干預(yù)案件處理路徑，以此與前述一般情形下適用情勢變更制度緊密配合，較為合理地解決平臺將“黑客入侵”作為免責約款無效引發(fā)的現(xiàn)實問題。

至于山東高青國家糧食儲備庫訴浪潮軟件集團有限公司承攬合同糾紛一案中⑤，盡管后者還涉及刑事審判的處理，但平臺在系統(tǒng)升級中明顯違反了注意義務(wù)，且并未與處理相關(guān)黑客的刑事審判形成“牽連關(guān)系”⑥，故山東高青國家糧食儲備庫仍可先行要求平臺基于違約或侵權(quán)承擔民事責任，不必等到刑事判決執(zhí)行后再視情形是否提起相應(yīng)民事訴訟，法官駁回起訴的做法是對“先刑后民”案件處理模式之不當理解，其不利于平臺及時承擔民事責任，與民法實踐中的做法相抵觸，應(yīng)當?shù)玫郊m正，進而及時維護消費者之合法權(quán)益，警示平臺時刻履行注意義務(wù)。

（三）總結(jié)：分情形轉(zhuǎn)用情勢變更制度或承擔民事責任

電商平臺遭受黑客入侵必然導(dǎo)致消費者財產(chǎn)利益受損[33]，因“黑客入侵”不符合法定不可抗力事件構(gòu)成要件、作為不可抗力免責條款同樣無效，故結(jié)合前述在理論與實踐層面的探索，對此類問題的裁判路徑可根據(jù)平臺在整個過程中是否違反注意義務(wù)，細化為兩種情形。

其一，平臺不違反注意義務(wù)時可轉(zhuǎn)用情勢變更制度?！睹穹ǖ洹凡⑽创_認不可抗力約款與法定不可抗力事件具有同等效力，從維護強行法的嚴肅性和穩(wěn)定性角度出發(fā)，不應(yīng)承認約定不可抗力條款具有免責效力，平臺主體也不能依據(jù)約定事由適用不可抗力免除自己全部民事責任[34]。在平臺遭遇黑客入侵導(dǎo)致服務(wù)合同無法正常履行、平臺自身不違反注意義務(wù)時，從維護雙方當事人合法權(quán)益的角度出發(fā)，通過法官即時釋明，將主體間所約定的不可抗力免責條款轉(zhuǎn)化為“情勢變更事由”，在庭審中應(yīng)允許平臺或消費者適用情勢變更制度對合同內(nèi)容進行變更。同時可結(jié)合案情實際，判令平臺主體對消費者給予適當補償，以此平衡雙方當事人之間的利益，減少因履行不能造成的損失，促成交易繼續(xù)進行。

其二，平臺違反注意義務(wù)時承擔民事責任。黑客入侵必定造成消費者財產(chǎn)利益遭受損害，平臺主體應(yīng)防患于未然，盡到高度謹慎義務(wù)，提升系統(tǒng)的防御和安全審查能力。在黑客入侵造成無法依法律及服務(wù)協(xié)議開展交易活動時，平臺已經(jīng)從根本上違反注意義務(wù)的要求，為維護消費者合法權(quán)益，規(guī)范電商平臺領(lǐng)域經(jīng)營活動，應(yīng)按照《電子商務(wù)法》或當事人間的服務(wù)協(xié)議，敦促平臺主體承擔侵權(quán)、違約等民事責任，具體按照何種糾紛類型處理應(yīng)尊重當事人的意思自治。在涉及刑事審判的特殊案件中，若平臺承擔民事責任與黑客犯罪之間不存在牽連關(guān)系，當事人則可以直接主張平臺承擔相應(yīng)民事責任[35]，法院應(yīng)及時糾正此種情形下駁回起訴之不當做法，保障消費者通過行使民事訴訟、維護自身合法權(quán)益的救濟渠道。

五、結(jié)語

黑客入侵并非不可抗力，電商平臺無論是將其作為法定不可抗力免責事件還是約定不可抗力免責條款，在實踐中均不會產(chǎn)生免責的法律效力。為平衡基于此引發(fā)的消費者財產(chǎn)損害問題，法官在處理類似案件時應(yīng)當向當事人釋明，在平臺不違反注意義務(wù)時可轉(zhuǎn)用情勢變更制度變更合同；在平臺違反注意義務(wù)時，由消費者選擇按照合同或侵權(quán)糾紛主張平臺承擔違約或侵權(quán)責任，促使合同經(jīng)由變更、平臺向消費者進行補償后重新履行或者由平臺向消費者負擔民事責任，合理解決電商平臺遭遇黑客入侵后產(chǎn)生的民法領(lǐng)域問題，避免當下案件處理中僅將黑客入侵作為不可抗力免責條款認定為無效、欠缺后續(xù)處理路徑之情境下引發(fā)的種種社會隱患，建構(gòu)與完善平臺遭遇黑客入侵后的實踐處理模式，為在優(yōu)化營商環(huán)境背景下化解平臺與消費者之間的利益紛爭提供良好的促進與引導(dǎo)作用。

注 釋：

①《電子商務(wù)法》第三十八條第一款規(guī)定：電子商務(wù)平臺經(jīng)營者知道或者應(yīng)當知道平臺內(nèi)經(jīng)營者銷售的商品或者提供的服務(wù)不符合保障人身、財產(chǎn)安全的要求，或者有其他侵害消費者合法權(quán)益行為，未采取必要措施的，依法與該平臺內(nèi)經(jīng)營者承擔連帶責任。

②《電子商務(wù)法》第三十八條第一款規(guī)定：電子商務(wù)平臺經(jīng)營者知道或者應(yīng)當知道平臺內(nèi)經(jīng)營者銷售的商品或者提供的服務(wù)不符合保障人身、財產(chǎn)安全的要求，或者有其他侵害消費者合法權(quán)益行為，未采取必要措施的，依法與該平臺內(nèi)經(jīng)營者承擔連帶責任。

③《民法典》第四百九十七條規(guī)定：有下列情形之一的，該格式條款無效：（一）具有本法第一編第六章第三節(jié)和本法第五百零六條規(guī)定的無效情形；（二）提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權(quán)利；（三）提供格式條款一方排除對方主要權(quán)利。

④《民法典》第四百九十六條第二款規(guī)定：采用格式條款訂立合同的,提供格式條款的一方應(yīng)當遵循公平原則確定當事人之間的權(quán)利和義務(wù),并采取合理的方式提示對方注意免除或者減輕其責任等與對方有重大利害關(guān)系的條款,按照對方的要求,對該條款予以說明。提供格式條款的一方未履行提示或者說明義務(wù),致使對方?jīng)]有注意或者理解與其有重大利害關(guān)系的條款的,對方可以主張該條款不成為合同的內(nèi)容。

⑤山東高青國家糧食儲備庫訴被告浪潮軟件集團有限公司承攬合同糾紛案，山東省高青縣人民法院一審民事裁定書(2019)魯0322民初1737號。

⑥理論通說認為，處理民刑交叉案件時，當民刑法律關(guān)系之間形成“牽連制約”時，適用“先刑后民”原則，除此之外的民刑交叉案件應(yīng)適用“民刑并行”或者“先民后刑”的案件處理模式。（參見張永泉：《法秩序統(tǒng)一視野下的訴訟程序與法律效果的多元性——以競合型刑民交叉案件為視角》，載《法學(xué)雜志》2017年第3期，第44-54頁。）