2015年5月末，“黑天鵝”頻頻垂青中國互聯網——支付寶、攜程兩家行業巨頭的服務器接連宕機，不僅無數用戶的出行、支付受到影響，個人信息安全也受到威脅。

在這次網絡故障中，部分支付寶用戶的客戶端和網頁版均出現故障，當用戶想要進行轉賬或者貨物交易，會顯示“系統錯誤”導致交易失敗。多名網友反映，由于故障發生時正值業務交付時間，大筆款項無法正常交易，產生巨大風險。而攜程用戶也在網上反映，由于網站故障，在出差途中發生了訂單丟失的情形，其中損失希望能得到賠償。

回顧這次支付寶和攜程的故障原因，支付寶方面表態，是由于杭州市蕭山區某地光纖被挖斷，造成用戶無法使用；攜程官方則表示，經過技術排查，確認此次事件系員工錯誤操作導致。

雖然兩者都屬于發生概率在數萬分之一的意外事件，并非公司惡意所為，但從性質上來說，前者涉及到一個公司在數據管理上的頂層設計架構，后者則涉及到公司內部的信息數據安全管理。

其中的風險成本和管理責任，理應由企業來承擔，現實卻并非如此。在用戶索償的聲音中，越來越多人開始意識到一個問題：當互聯網逐漸覆蓋社會的基礎服務，有沒有法律可以保護用戶利益？

以現行法律框架來看，全國人大常委會最早在《關于維護互聯網安全的決定》（2000年）中指出，為了保障互聯網的運行安全，對于擅自中斷計算機網絡或者通信服務，造成計算機網絡或者通信系統不能正常運行，或者故意制作、傳播計算機病毒等破壞性程序，攻擊計算機系統及通信網絡，致使計算機系統及通信網絡遭受損害的行為，構成犯罪的，依照《刑法》有關規定追究刑事責任。

相對應的是《刑法》第280條“破壞計算機信息系統罪”。根據該條文內容：違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

而該條第二款、第三款亦表示：違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，依照第一款的規定處罰。

誠然，從公法層面上，相配套的法律責任存在，但若是對這個罪名進行分析，可以發現追責很難落到互聯網企業頭上。像涉嫌破壞電纜的支付寶事件雖然存在相關個人進一步被追責的可能性，但馬云“若支付寶癱瘓自己將進監獄”的表態很難成為現實。

從構成要件的主觀方面來說，該罪名要求犯罪主體在主觀上出于故意，即犯罪人如果因操作疏忽大意或者過失，則不構成該罪。因而作為公司一方的支付寶和攜程，均可以此為理由進行法律追責上的抗辯。

從私法層面來說，這個追責更加困難。用戶注冊時，互聯網企業往往會要求用戶對一份長篇電子文本點擊“同意”，這份文本除了介紹產品的功能，主要就是通過格式合同的形式，對企業運營中的各種因素進行風險規避。

以攜程為例，這份同意書中就寫有 “本服務涉及到互聯網及移動通訊等服務，可能會受到各個環節不穩定因素的影響。因此任何因不可抗力、計算機病毒或黑客攻擊、系統不穩定、用戶所在位置、用戶關機、GSM網絡、互聯網絡、通信線路等其他本服務無法預測或控制的原因，造成服務中斷、取消或終止的風險，由此給您帶來的損失本服務不承擔賠償責任”；“服務需要定期或不定期地對提供網絡服務的平臺或相關的設備進行檢修或者維護，如因此類情況而造成網絡服務(包括收費網絡服務)在合理時間內的中斷，本服務無需為此承擔任何責任，但本服務應盡可能事先進行通知”；“除本服務協議另有規定外，鑒于網絡服務的特殊性，本服務有可能變更、中斷或終止部分或全部的網絡服務，本服務無需為此承擔任何責任，但本服務應盡可能事先進行通知，并盡可能給您預留時間以便處理相關權益”等條款。攜程要求用戶對這些風險“完全理解并同意”。

99％以上的用戶在注冊時基本不會閱讀類似條款，更無法意識到背后潛在的法律問題。

即便不認同互聯網企業的這些風險規避條款，用戶也沒有機會與互聯網企業進行商討抗衡。因而除了公法層面，用戶在私法層面上想通過法律為自己進行維權也非常困難。

現在再回溯2011年時爆發的中國開發者技術在線社區CSDN“600萬用戶賬號密碼泄露事件”：由于許多用戶在不同網站使用相同的用戶名和密碼，因而在賬號密碼被泄露后，發生了大量淘寶、當當、京東等電子商務網站賬戶被盜用。但對此，CSDN最后僅僅發表聲明公開道歉，用戶的損失一直無法認定和賠償。

在這些“黑天鵝”事件背后，反映的是互聯網公司在信息技術和安全管理上存在漏洞，其中的風險和成本卻分攤到每一位互聯網用戶身上。疏漏的規則使得企業更容易輕視自身的風險控制。由此看來，在推進互聯網產業發展的過程中，立法者對用戶權益保障的規則設計，是互聯網立法需“＋”的基因。