程序员发现系统漏洞

竟偷偷利用“爬取”甲方信息

踩到网络安全红线

公司的违约金损失

员工该承担吗？

案情简介

某网络公司委托某软件公司开发软件，双方签订了《网络安全协议》，约定受托方员工未经书面授权，收集、持有、处理、修改委托方网络中的任何数据或信息的，属于最高级别违规行为，受托方应支付惩罚性违约金。章某是该软件公司技术工程师，入职时签署了《网络安全承诺书》，承诺不对客户网络采取任何攻击、破坏、窃取、侵入等操作，同时还收到了软件公司的《员工手册》，手册规定员工有责任确保为正当工作目的使用公司或客户的信息系统，必须遵守公司及客户的各项信息安全制度和网络安全制度，对公司造成经济损失的行为，在予以纪律处分的同时违规员工需赔偿公司相应的经济损失。

一天，章某在参加软件公司组织的编码考试中，发现委托方网络公司的网络系统存在可以提取考题的漏洞，遂自行编写脚本向服务器发送类似于“网页爬虫”的请求，将考题传输至个人电脑上生成题库，该行为被网络公司后台监控发现。

网络公司立即会同软件公司对该事件开展调查，章某在调查中承认其存在危害客户信息的行为，意识到自身缺乏网络安全意识，并表示愿意在个人能力范围内承担责任。

调查结束后，两家公司将本次事件定性为网络安全最高级别违规，并根据《网络安全协议》约定从应付软件公司的业务款中扣除了相应的违约金。

章某从软件公司离职后，双方因违约金承担问题发生争议，软件公司向法院提起诉讼，请求章某赔偿其因支付违约金而产生的全部经济损失。章某则表示其提取的考试信息都是行业知识，只用于自身学习，属于轻微违纪，最多承担30%比例的次要责任，不同意全额赔偿。

法院审理

章某是接受过网络安全培训的技术工程师，受聘的软件公司是从事软件开发服务的科技型企业。章某非因工作原因擅自通过网络请求获取客户信息，不论该信息的性质如何，章某的行为本身都不具有正当性，对网络安全构成危害。网络公司与软件公司共同确认该行为属于网络安全最严重违规情形，符合实际情况。网络公司因此从应付软件公司款项中扣除违约金，应当认定软件公司因章某的案涉违规行为遭受了相应的经济损失。

软件公司的《员工手册》经过民主程序制定，并已告知章某，能够作为确定双方权利义务的依据。根据手册规定，对公司造成经济损失的行为，在予以纪律处分的同时，违规员工需赔偿公司相应的经济损失。

一方面

章某在本案中所涉的违规事件，并非因正常履职出现的过失行为，而是具有一定的主观故意，其对损害后果应当承担赔偿责任

另一方面

软件公司承担的违约金具有一定的惩罚性，公司并未通过民主程序将《网络安全协议》中的违约金条款纳入规章制度的范围，导致章某对自身行为后果的预期不足，软件公司也应自担一定程度的损失。

法院判决章某对软件公司的违约金损失承担60%比例的主要责任。判决已生效。

法官说法

劳动者因故意或重大过失造成用人单位损失，用人单位在承担相应责任后，有权向劳动者提出追偿。与用人单位追偿实际损失的情形相比，追偿违约金的情况相对更为复杂。

根据合同法理论，违约金是合同相对人对违约损失的预先锁定，而违约行为发生后，如果约定的违约金偏离了实际损失，当事人有权申请法院予以调整。

这在追偿案件中会带来两个问题：

其一，劳动者并非合同相对人，不受违约金条款的约束，如果用人单位没有提前充分告知说明，劳动者将无法对其行为可能引发的违约金后果形成合理预判；

其二，虽然合同相对方享有申请法院调整违约金的权利，但在一些行业中受托方的话语权有限，为了维系长久的合作关系，受托方有时不会对违约金数额提出异议，尤其在违约金具有惩罚性质的情况下，违约金数额往往高于实际发生的损害。

因此，在当用人单位未申请调整违约金时，有必要综合考虑违约金的性质、违约金与合同守约方损失之间的关系、劳动者对行为后果的预判能力等因素，确定具体追偿范围。

在此对用人单位提出几点建议：

一是建议在劳动合同、集体合同或者规章制度中，对劳动者在履职过程中因不当行为造成损害的具体情形和责任范围作出明确规定，确立合情合理的追偿规则；

二是建议在处理违约纠纷的过程中，秉持对劳动者负责任的态度，积极争取“甲方”谅解，尽量减轻相应的违约责任；

三是建议在对未离职的劳动者实际追偿时，严格遵守《工资支付暂行规定》第十六条、《江苏省工资支付条例》第十二条规定，确保每月扣发工资不得超过当月应发工资的20%，且扣除后的金额不得低于最低工资标准。