查看原文
其他

第一案 | 因勒索软件攻击,数据被加密:IT主管和工程师被开除,并被索赔 21.5 万元

数据法盟 2022-07-02

何渊《个人信息保护法》10讲,立即扫码报名!

来源:云头条,仅供学习!

原告:昭衍(苏州)新药研究中心有限公司
被告:谢某某

昭衍公司向法院提出诉讼请求:


1、确认昭衍公司解除与谢某某的劳动合同行为合法;
2、判令昭衍公司无需支付谢某某赔偿金319323元;
3、判令谢某某和(2021)苏0585民初343号案件谢某某单某共同向昭衍公司赔偿损失215000元。

事实和理由:

谢某某于2010年3月15日入职昭衍公司处担任IT部门主管,双方签订了无固定期限劳动合同。因谢某某在职期间未按照昭衍公司相关规定开展工作,工作存在重大失误及失职,给昭衍公司造成重大损失,严重违反了劳动合同以及公司相关规章制度,昭衍公司依据《劳动合同法》第三十九条第二、三项的规定,依法于2020年1月3日单方解除了谢某某的劳动合同。

谢某某关于要求昭衍公司支付违法解除劳动合同赔偿金的主张缺乏事实与法律依据,故昭衍公司不服仲裁裁决,恳请法院查明事实,依法支持昭衍公司的全部诉讼请求,其中昭衍公司主张的损失包括向朗云公司支付的实施费用63000元、运维服务费用72000元以及向刻奇公司支付的80000元,合计215000元。

谢某某辩称:


1、昭衍公司以谢某某“未按照公司规章制度开展工作,工作存在重大失误及失职,给公司造成重大损失”为由解除劳动合同,谢某某对此并不认可。谢某某作为昭衍公司处的IT人员,在工作中已经依照相应的规范进行操作,履行了相应的工作职责,不存在昭衍公司所述情形。且昭衍公司规章制度中并没有对该情形明确规定可以单方解除劳动关系;
2、本次昭衍公司电脑受到勒索病毒攻击并非如昭衍公司所述系谢某某在工作中失误及失职所致,昭衍公司没有证据证明两者之间存在因果关系;
3、昭衍公司相关的数据根据仲裁庭审时自述,已经基本全部恢复,所谓的严重损失即需要更换硬件设备、实施费用、运维服务费用等是否与本次电脑中毒有关联性也没有证据证明;
4、昭衍公司在诉讼中新增加的损失赔偿的诉讼请求,该请求未经仲裁前置程序,且昭衍公司也未有相应事实证明损失与谢某某的工作失职有关。

综上,请求法院驳回昭衍公司的全部诉讼请求。

法院经审理认定事实如下:


2010年3月15日,谢某某进入昭衍公司从事网络管理员工作,并于2015年4月起担任设备保障部IT主管一职。

双方签订了期限自2010年3月15日起至2012年3月15日止的《劳动合同书》,其中第十八条约定,谢某某存在“严重违反昭衍公司的工作纪律、员工手册或规章制度”或“严重失职、营私舞弊给昭衍公司利益造成5000元(含)以上重大损害的”等情形下,昭衍公司可立即解除合同、辞退谢某某;第二十三条约定,员工手册等作为本合同的附件,与本合同具有同等法律效力。2012年3月16日,双方签订《劳动合同续订书》,明确“续订合同至2017年3月16日终止”。2017年3月9日,双方再次签订《劳动合同续订书》,明确“本次续订劳动合同期限类型为无固定期限合同,续订合同生效日为2017年3月17日”。

昭衍公司《员工手册》第三章规定了公司纪律、员工行为规范及奖惩制度。其中第一条规定,公司有权利依不时变更的情况制订、修改、公布公司纪律、专业技术操作规程规定及其它相关规定,员工有义务遵守。该纪律、专业技术操作规程等一经公布,即构成《劳动合同》附件。第二条规定了员工有义务遵守的要求和禁止性条款,包括“遵守公司的一切规章制度、专业技术操作规程及其它规定”。第三条规定了违纪行为的处罚,即“员工有违纪行为的,视违纪情节、认错态度和对公司造成的影响给予口头警告、书面警告、扣减工资、扣减岗位津贴、扣减绩效奖金、降薪降职以至解除劳动合同等的处分,并依据劳动合同及专项协议的约定承担违约责任和经济赔偿责任”。

谢某某在职期间每年均填写《个人简历》,并填写所从事的岗位职责描述信息。自2015年起,谢某某签字确认的岗位职责包括“全面负责本部门各项工作的组织管理,确保公司数据安全”“负责制定及修改IT相关标准操作规程”等内容。

谢某某名下的《SOP阅读记录表》载明,谢某某于2018年10月8日阅读《数据备份的标准操作规程》。该《数据备份的标准操作规程》系于2018年9月30日制定,并由谢某某审核,于2018年10月8日生效。第3条规定,IT人员定期对重要数据进行备份,保证数据的完整性,对数据恢复进行管理。第4条规定了操作规程,其中4.1“Commvault备份系统”实现太仓和北京公司首先备份到本地,然后每周实现异地备份,要求IT人员负责每日对备份作业进行检查,系统设定每日下午3:00对备份失败的作业发邮件给IT人员,根据邮件内容中显示的客户端名称进行检查,找到失败原因,恢复备份;4.2“BackupExec2010备份系统”将服务器上的数据备份到磁带库中,要求磁带库放置在档案室,作为机房数据的一个备份;4.2.6规定,对于未归档的资料恢复应填写《数据恢复申请表》并有部门负责人签字后,由IT部负责恢复资料,已经交给档案室保存的资料需要恢复,则需要申请人填写《数据恢复申请表》并有机构负责人签字后,由IT人员恢复资料。

昭衍公司的《档案(文件)接收登记表》显示,IT工程师单某曾于2018年10月9日归档49盒磁带、于2019年1月29日归档计算机管理记录及磁带(备注2018年),此后无磁带归档记录。

2019年11月30日,昭衍公司处的电脑系统受“勒索”病毒攻击,导致电脑中的实验、办公等数据被加密,无法打开。

2019年12月5日,谢某某和IT工程师单某分别就上述受病毒攻击事件出具书面陈述。谢某某确认自己的工作职责包括“①维护IT部门(太仓)正常运行,分配任务,检查工作完成情况……⑤各服务器、各系统故障分析,维护数据安全备份……”,并记载了11月30日出现系统故障以及其之后数日的工作内容,包括“12月3日配合北京同事工作,加固电脑服务器……”等,同时还对此次事件进行了反思“建议数据备份用硬盘单独做,一天一块硬盘的那类备份方法,硬盘要放在专门的监控设备中,每个硬盘要单独可用,不建议用磁带机,慢并且磁带容易坏,不易保存”。单某的书面陈述记载了“12月1日……朗云过来安装……;12月4日,配合朗云安装新设备……”等工作内容。

2019年12月31日,昭衍公司及公司的工会委员会共同向谢某某发出《解除劳动关系通知书》,以谢某某“未按照公司相关规定开展工作,工作存在重大失误及失职,给公司造成重大损失”为由,根据劳动合同法第三十九条第二、三项的规定,通知谢某某:双方劳动关系于2020年1月3日解除,且昭衍公司无需支付经济补偿。

2020年1月3日,昭衍公司与苏州朗云信息技术有限公司(以下简称朗云公司)订立了《销售合同》,合同约定的标的为:硬件设备65000元(服务器及操作系统)、实施费用63000元(其中Commvault平台重建费用35000元)、运维服务费用72000元(其中Commvault平台维护服务36000元)。朗云公司编写的工作日志显示其自2019年12月1日起至2020年3月13日向昭衍公司提供数据备份复制平台技术支持与重构服务,其中2019年12月2日的工作内容为“使用Commvault进行数据恢复,恢复文件报错,索引文件重建失败,开原厂case后,原厂售后工程师反馈原因是备份的chunk文件无法读取”,2019年12月8日的工作内容为“通过Commvault恢复文件,能恢复部分文件,但是依然提示部分Chunk文件找不到”,2020年1月9日的工作内容为“配合北京昭衍执行Commvault初步数据恢复测试”等。期间,昭衍公司于2020年1月10日向朗云公司支付购买“戴尔服务器”的65000元、于同年4月15日支付“平台重建服务费”99000元,后又支付了“信息技术服务费”36000元。

2021年6月8日,朗云公司出具《确认函》,载明“我司曾在2019年12月初至2020年3月中旬配合昭衍公司IT团队和安全顾问团队进行备份系统的标准化重新搭建工作,我司配合提供的主要工作如下:1、主要协助检查备份服务器的异常问题;使用Commvault进行数据恢复;协助提取Chunk数据文件给昭衍公司的安全顾问,讨论Chunk文件组合和读取事宜;配合执行数据恢复测试。2、主要实施Commvault、veeam和double-take三个备份系统的标准化重新搭建工作。上述工作任务详见《昭衍(苏州)新药研究中心有限公司数据备份复制平台技术支持与重构服务工作日志》以及《销售合同》附件1《合同标的一览表》的实施费用63000元中所载工作、运维服务费用72000元中所载工作等”。昭衍公司确认该函中所指的安全顾问团队系北京刻奇网络科技有限公司。

2020年1月,昭衍公司母公司北京昭衍新药研究中心股份有限公司(以下简称北京昭衍公司)与北京刻奇网络科技有限公司(以下简称刻奇公司)签订《安全服务合同》,北京昭衍公司向刻奇公司购买信息安全服务,具体服务内容为刻奇公司为北京昭衍公司所属子公司提供恶意代码分析服务和数据恢复服务,双方确认合同金额:恶意代码分析服务总价20000元、数据恢复服务总价240000元(单价8元,数量30000GB),总计260000元,专项折扣价100000元。北京昭衍公司于2020年8月25日向刻奇公司支付了该笔100000元。2021年6月7日,刻奇公司就其进行的数据恢复工作出具书面说明,载明“一、数据恢复工作包括提取解密密钥、恢复数据碎片、读取数据碎片三个步骤;二、我司于2019年底至2020年初在苏州昭衍的现场检查及核实,Commvault已被加密攻击数据无法直接使用,经检查磁带机备份系统,磁带机备份中没有原始数据服务器的备份,并且档案室归档的备份磁带数量极少,没有找到近期半年内的有效备份,并且就2018年至2019年期间的服务器、仪器台式机等终端中的重要数据几乎都未备份;三、根据前述情况,接受委托后,我司为苏州昭衍提供了恶意代码分析服务和数据恢复服务,实际收费总金额为100000元,其中涉及数据恢复的收费约80000元。我司为苏州昭衍提供数据恢复服务的主要内容如下:……4.服务器中的数据备份碎片被恢复后,由苏州昭衍的另一软件服务商苏州朗云信息技术有限公司对Commvault系统进行了标准化重新搭建,读取出服务器的文件数据,既定恢复目标完成”。

谢某某在离职后提起劳动仲裁申请,要求确认昭衍公司与其解除劳动合同违法,并要求昭衍公司支付赔偿金319323元。2020年10月29日,太仓市劳动人事争议仲裁委员会作出太劳人仲案字〔2020〕第322号仲裁裁决书,裁决支持了谢某某的仲裁请求。

昭衍公司不服上述裁决,向法院提起诉讼。双方当庭一致确认谢某某离职前12个月的平均工资为15966元/月。

关于劳动合同解除依据,昭衍公司当庭陈述其从未主张系谢某某的行为导致受勒索病毒攻击,而是谢某某长期怠于履行主管的领导职责,自身及其直线下属怠于检查数据备份情况,未及时修复备份失败情形,导致大量数量未备份并造成恢复数据的费用损失,且谢某某严重违反了数据备份服务器的SOP,构成严重违纪。为此昭衍公司提供了磁带机系统中转服务器上“Backup”应用程序于2018年3月1日起至2019年11月29日期间向谢某某发送的近千封报告备份失败的邮件。

对于数据备份的问题,谢某某指出“Commvault备份系统”和“BackupExec2010备份系统”(即赛门铁克磁带机备份系统)不兼容,为此提供了Commvault客户端安装步骤说明及相关邮件,以此主张2018年2月1日朗云公司的工作人员向其发送的客户端安装步骤说明中明确需卸载赛门铁克客户端。谢某某还陈述工程师安装Commvault客户端时测试过两套系统不兼容,此后其也就未再尝试过再安装赛门铁克客户端,谢某某还确认其从未收到报告备份失败的邮件。

上述事实,有昭衍公司提供的劳动合同及续订书、解除劳动关系通知书、个人简历及岗位职责描述信息填写表、SOP阅读记录表、堡垒机(IT维护管理)系统操作和管理的标准操作规程、防火墙管理的标准操作规程、数据备份的标准操作规程、电子邮件、档案(文件)接收登记表、销售合同及工作日志、转账凭证、仲裁裁决书及邮寄凭证、谢某某书面陈述、员工手册、数据恢复工作说明、确认函、安全服务合同、费用发票及付款电子回单,谢某某提供的银行账户收入明细、社会保险缴费证明、电子邮件、Commvault系统客户端安装步骤说明,本院制作的证据交换笔录、开庭笔录等在卷佐证,予以证实。

法院裁决


劳动合同法赋予了用人单位在劳动者“严重违反用人单位规章制度”“严重失职、营私舞弊,给用人单位造成重大损害”等情形下解除劳动合同的权利。

针对昭衍公司解除谢某某劳动合同的理由,法院作如下分析:

关于严重违反用人单位规章制度,昭衍公司提供的《员工手册》第三章第二条虽然列举了员工有义务遵守的要求和禁止性条款,包括遵守公司的一切规章制度、专业技术操作规程等规定,但对若违反规定应如何处理未作明确而具体的规定;第三条虽然列举了处分的各种类型,但与违纪行为之间不具有对应性。而劳动合同法明确规定,用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示或告知劳动者。由于昭衍公司的《员工手册》相关条款过于原则,并无可操作性和针对性,不具有明示作用,故昭衍公司以此为由解除谢某某劳动合同于法无据,法院不予支持。

关于严重失职、营私舞弊,给用人单位造成重大损害,双方在劳动合同中将重大损害的经济损失界定为5000元以上。结合双方举证、质证情况及庭审陈述,法院确认昭衍公司以此为由解除谢某某劳动合同有相应的事实依据,理由如下:

1、针对严重失职问题。

谢某某作为昭衍公司处的IT部门主管,其工作职责包括但不限于“全面负责本部门各项工作的组织管理,确保公司数据安全”“负责制定及修改IT相关标准操作规程”。而由谢某某于2018年10月8日审核并开始施行的《数据备份的标准操作规程》明确IT人员需定期对重要数据进行备份,保证数据的完整性;该规程第4条也规定了两种备份方式,其中“BackupExec2010备份系统”要求将数据备份到磁带库中,并定期将磁带库放置在档案室。“勒索”病毒攻击事件发生后,谢某某自述的材料中也明确其工作职责包括维护IT部门的正常运行及检查包括数据备份在内的工作的完成情况、分析各服务器、各系统故障以维护数据安全备份等。但在昭衍公司的归档登记表上,并无IT部门在2019年1月29日后进行磁带归档的记录,谢某某亦未向法院举证证明之后除Commvault系统备份外,其还进行了磁带的备份。

至于谢某某抗辩两种备份方式不兼容的问题,根据谢某某提供的2018年2月的电子邮件,其主张附件Commvault客户端安装步骤说明已明确两套系统不兼容,但在这之后谢某某仍审核了要求两种备份方式的《数据备份的标准操作规程》,且在事件发生后的反思中,谢某某也未向昭衍公司提出过磁带机备份不兼容的问题,亦未定期检查备份的有效性以保证数据完整和安全。昭衍公司据此认定谢某某严重失职并无不当。

2、针对重大损害问题。

本案中,昭衍公司的损害后果不仅限于数据恢复的经济利益损失,亦包括由此产生数据安全风险和对企业不利的负面影响。谢某某长期怠于检查数据备份情况,导致昭衍公司电脑系统受“勒索”病毒攻击后无法通过备份的数据进行恢复,不仅影响到昭衍公司的正常生产经营,且必然产生数据恢复的额外费用。从朗云公司的工作日志、谢某某及IT工程师单某的书面陈述看,在昭衍公司决定解除谢某某劳动合同之前,数据恢复工作已经开展,昭衍公司需要额外支付数据恢复的费用也是客观存在的。之后,昭衍公司通过朗云公司、刻奇公司进行数据恢复并重新搭建备份系统,其中支付的涉及数据恢复的费用远高于5000元,该损失确系谢某某未能定期对重要数据进行有效性检查所致。昭衍公司据此认定谢某某严重失职的行为造成昭衍公司重大损害并无不当。

综上,因谢某某严重失职给昭衍公司造成重大损害,昭衍公司与其解除劳动合同有事实和法律依据,昭衍公司在作出解除劳动合同决定时亦履行了告知工会的义务,程序符合法律规定,属合法解除,故昭衍公司无需支付谢某某赔偿金。

昭衍公司在仲裁时并未就其损失提出赔偿申请,现其不服仲裁裁决诉至法院时要求谢某某与另案当事人承担共同赔偿责任。因该请求是昭衍公司在诉讼中新增加的诉讼请求,与讼争的劳动争议也不具有不可分性,且昭衍公司主张的赔偿责任主体也超出本案当事人范围,故法院在本案中对昭衍公司新增的该项请求不予处理,昭衍公司可另案主张权利。

据此,依照《中华人民共和国劳动合同法》第四条、第三十九条第三项、第四十三条,《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》第十四条、第四十四条之规定,判决如下:

一、昭衍公司与谢某某解除劳动合同合法。
二、昭衍公司无需支付谢某某赔偿金319323元。
三、驳回昭衍公司的其他诉讼请求。

(2021)苏0585民初343号案件,昭衍公司与单某劳动合同纠纷民事一审民事判决书裁决结果:


一、昭衍公司与单某解除劳动合同合法。
二、昭衍公司无需支付单某赔偿金130000元。

三、驳回昭衍公司的其他诉讼请求。

每天只需一块钱,
第一时间掌握全球数据法资讯!
扫码立即加入“何渊数据合规俱乐部”!



DCLC中国数据合规律师俱乐部筹备群

数据合规,合则生,不合则亡!

欢迎扫码加入我们  

  点击“阅读原文”,立即报名何渊《个人信息保护法》10讲!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存