北京时间2024年7月19日3时，全球多个国家的数台电脑突然集中崩溃，Windows操作系统出现“蓝屏”死机现象，导致无法启动与使用。此次事件对美国、英国、日本、澳大利亚、印度等国家造成了严重影响，尤以美国为甚。包括航空公司、银行、医院、电信、铁路、零售、物流、公共服务及电视台在内的多个关键行业，上千万台电脑Windows系统崩溃，致使公共服务几近瘫痪，甚至美国911电话的接线员工作也受到波及。同时，全球供应链也遭受重创，尤以航空系统为甚，多家美国航空公司运营受阻，航班无法起飞，机场人流密集。
一、法律责任与问责

微软公司在紧急排查后确认，故障源于CrowdStrike的一次更新，导致多个IT系统出现故障。CrowdStrike是一家总部位于美国加利福尼亚州森尼韦尔的电脑安全技术公司，专注于提供端点安全、情报威胁和网络攻击的安全服务，其产品广泛应用于全球500强公司和社会公共服务的电脑中，以保障信息安全。

CrowdStrike创始人兼CEO George Kurtz在社交媒体X上表示，公司正积极与受Windows主机本次内容更新中发现缺陷影响的客户合作，并强调这不是安全事件或网络攻击，指出该问题已被确定、隔离，且已部署修复程序。然而，外媒将此事件称为“史上最大规模IT故障”，美国特斯拉工厂亦受到波及。特斯拉创始人马斯克公开质疑微软CEO纳德拉，称其为“史上最大的IT失败”，并表示已在公司所有系统中删除CrowdStrike的软件。

二、合同责任与赔偿

微软与CrowdStrike之间的合同条款及服务协议将作为界定双方法律责任的关键依据。其中，可能包含的免责条款、服务中断赔偿条款等对于责任的具体划分具有重大影响。若微软与CrowdStrike未能履行合同中约定的服务质量标准，受影响的客户有权依据合同条款向相关方提出索赔请求。

鉴于CrowdStrike为错误软件更新的源头，导致了大面积服务中断，其可能需要对其产品故障所造成的损失承担相应的责任。因此，受影响的企业可考虑向CrowdStrike提出索赔，涵盖因系统宕机、生产力损失或其他相关费用所造成的损失。尽管微软并非此次故障的直接原因，但若部分企业能够证明Windows系统漏洞加剧了影响，则可探讨向微软提出索赔的合理性。

对于服务中断或质量不达标所造成的直接经济损失，客户通常拥有要求赔偿的权利。此类赔偿可能包括因系统不可用而导致的收入损失、额外的IT支持成本、员工效率降低等。然而，对于非直接经济损失，如声誉损害或客户流失，其赔偿的确定则更为复杂，需依据具体的合同条款和法律规定进行综合判断。

在涉及数据泄露或安全事件的情况下，微软与CrowdStrike的责任将更加重大。双方不仅需要承担因未能有效保护客户数据安全而可能面临的法律责任，还需面对因客户信任受损所带来的商业风险。在此类情境中，赔偿范围可能不仅限于经济损失，还可能涵盖品牌形象修复、客户关系维护等成本。

微软与CrowdStrike在合同责任与赔偿的界定应综合考虑合同条款、法律规定及商业实践。通过明确双方责任范围、合理确定赔偿标准以及选择适当的争议解决方式，有助于双方更好地保护各自权益，维护商业关系的稳定与发展。

三、网络安全与合规

此次事件再次凸显了企业信息系统稳定性和数据安全性的重要性。尽管CrowdStrike已声明此次事件并非安全事件或网络攻击，但对于依赖其安全服务的企业来说，这无疑是一次严峻的考验。企业在选择网络安全服务提供商时，应更加重视其技术实力和风险管理能力。同时，企业也应当建立和完善自身的网络安全和应急响应机制，以应对突发事件。

四、法律建议与措施

对于企业而言，为防范潜在的技术风险与法律问题，需采取严谨的法律措施。

1.合同审查与风险评估：企业应定期对与IT服务提供商签署的合同进行细致审查，确保其中明确规定服务质量标准、责任划分与赔偿条款。同时，需进行全面风险评估，深入了解服务提供商的技术实力及应急响应措施。

2.数据保护与隐私合规：在选择网络安全服务提供商时，企业应确保其符合相关的数据保护和隐私法规，如GDPR（《通用数据保护条例》）和CCPA（《加州消费者隐私法》）等。此外，企业应定期进行数据隐私合规性检查，确保数据处理活动严格遵守法律规定。

3.应急响应与演练：企业应建立完善的应急响应机制，包括制定应急预案、定期进行应急演练，以确保在突发事件发生时能够迅速响应，有效减少损失。

4.法律支持与咨询：企业应聘请具备信息技术与数据隐私、网络安全和合规领域经验的法律专家，为企业提供专业的法律咨询与支持，协助企业构建完善的法律风险防控体系。

尽管微软公司和CrowdStrike公司正在全力修复故障，但由于无法通过网络批量修复，预计全面恢复正常仍需数周时间。7月20日，微软表示，全球共有850万台设备受到此次事件的影响，占所有Windows设备的比例不到1%。微软称：“虽然比例很小，但广泛的社会和经济影响反映了许多提供关键性服务的企业对CrowdStrike的使用。”微软表示，CrowdStrike已帮助开发了一种解决方案，将帮助微软的Azure基础设施加速修复。最新，美国众议院委员会要求CrowdStrike首席执行官George Kurtz就此次IT故障事件到国会作证。

此次“蓝屏事件”提醒企业在信息技术飞速发展的今天，应高度重视信息系统的稳定性和数据安全性，提前采取措施，预防潜在的技术风险和法律问题，以确保企业的正常运营和持续发展。
誉问咨询作为在法律行业深耕多年的专业机构，我们熟知各领域的专业律师团队，并且基于对企业战略的长期研究，我们能够精准地为企业/机构与律师团队搭建高效的沟通桥梁，以共同应对市场变化带来的各种挑战。