ประเด็นกฎหมายของเหตุการณ์ Crowdstrike
เมื่อวันศุกร์ที่ 19 กรกฎาคมที่ผ่านมา เกิดเหตุการณ์ระบบไอทีล่ม หรือระบบไอทีทั่วโลกหยุดชะงักหน้าจอของระบบปฏิบัติการ Windows แสดงหน้าจอเป็นสีฟ้า มีผลทำให้เครื่องเหล่านั้นหยุดการทำงาน ทำให้สายการบิน โรงพยาบาล ธนาคาร ฯลฯ ไม่สามารถให้บริการ
เหตุการณ์ดังกล่าวเกิดจากการอัพเดทโปรแกรมคอมพิวเตอร์ชื่อ Crowdstrike แล้วทำให้ระบบเกิดขัดข้องใช้การไม่ได้ขึ้นมาแผ่ขยายไปอย่างกว้างขวางทั่วโลกจนได้ชื่อว่า The largest IT outage in history
แน่นอนว่าการขัดข้องดังกล่าวก่อให้เกิดปัญหากฎหมายในประเด็นต่าง ๆ ขึ้นมา เริ่มตั้งแต่จะให้ผู้ขายโปรแกรมดังกล่าวรับผิดชอบได้หรือไม่?
ธรรมดาผู้ขายสินค้าอะไรก็ต้องรับผิดชอบในความชำรุดบกพร่องของสินค้าที่ตัวเองขายอยู่แล้ว แต่ในสัญญาสำเร็จรูปที่ใช้กันในวงการคอมพิวเตอร์ก็มักจะมีข้อจำกัดความรับผิด (Exclusions of liability) ว่าไม่ต้องรับผิดอย่างในกรณีเช่นนี้ไว้อยู่แล้ว
แต่จะแก้ไขให้จนสามารถใช้ตรงตามวัตถุประสงค์หรือมีกำหนดไว้ว่าจะรับผิดเป็นจำนวนเงินแต่ไม่เกินเท่าใดเป็นต้น เพราะว่าในฐานะผู้ขายเขาย่อมรู้ดีอยู่แล้วว่า อาจจะเกิดเหตุการณ์ทำนองนี้เกิดขึ้นได้
ข้อกฎหมายอีกข้อหนึ่งที่ผู้ขายโปรแกรมจะเอามาอ้างได้ก็คือ “เหตุสุดวิสัย” (force majeure) โดยทั่วไปเมื่อเกิดเหตุการณ์เฉพาะเจาะจงที่อยู่นอกเหนือการควบคุมตามสมควรของคู่สัญญาฝ่ายใดทำให้ไม่สามารถปฏิบัติตามสัญญาได้
หลักการพื้นฐานคือ เมื่อเกิดเหตุการณ์ดังกล่าวขึ้น ฝ่ายใดฝ่ายหนึ่งไม่ต้องรับผิดต่ออีกฝ่ายหนึ่งสำหรับการไม่ปฏิบัติตามภาระผูกพันภายใต้สัญญาที่กำหนด
ฝ่ายผู้ขายโปรแกรมคงต้องอ้างถึงการเกิดเหตุการณ์ดังกล่าวเป็นเหตุสุดวิสัยอยู่แล้ว แต่ทางฝ่ายผู้ซื้อก็ต้องอ้างว่าเหตุการณ์ครั้งนี้ ไม่ถือเป็นเหตุสุดวิสัย เพราะเหตุผลอะไรก็ว่าไป เรื่องของเหตุสุดวิสัยจึงเป็นเรื่องที่ถกเถียงกันอยู่เสมอ และผลสุดท้ายก็ต้องไปให้ศาลท่านเป็นผู้ชี้ขาด
สมัยนี้บริษัทห้างร้านทั้งหลายจะทำประกันภัยเกี่ยวกับกิจการของตน จากความเสียหายที่เกิดได้จากเหตุทั่วไปเช่น น้ำท่วม ลมพายุ เดี๋ยวนี้เมื่อโลกก้าวหน้าขึ้น มีการใช้อินเทอร์เน็ตเพื่อการทำธุรกรรมต่าง ๆ มากขึ้น ก็มีการประกันภัยเกี่ยวกับอินเตอร์เน็ตหรือ Cyberinsurance
เมื่อเกิดเหตุการณ์ Crowdstrike ขึ้น หลายคนก็นึกถึงการได้รับชดใช้ความเสียหายจากการประกันภัยขึ้นมา คุณ Aaron Le Marquer แห่งสำนักกฎหมาย Stewarts ซึ่งเป็นสำนักกฎหมายที่ทำงานด้านคดีความอย่างเดียวที่ใหญ่ที่สุดของประเทศอังกฤษ ได้ให้ข้อสังเกตว่า
กรณี Crowdstrike ผู้ที่ได้รับความเสียหายโดยเฉพาะผู้ประกอบธุรกิจจะได้รับการชดใช้หรือไม่ ก็คงขึ้นอยู่กับว่าเหตุการณ์อย่างนี้ถือเป็น system failures ที่สัญญาประกันภัยว่าไว้หรือเปล่าเป็นข้อแรก
และถึงแม้จะเป็น system failures แต่ผู้เอาประกันภัยก็จะต้องพิสูจน์ด้วยว่าความเสียหายที่เกิดขึ้นนั้นเป็นผลโดยตรง (proximately caused) จากการที่มีความขัดข้องของระบบคอมพิวเตอร์ด้วยเป็นข้อที่สอง
เคยมีคดีบรรทัดฐานเมื่อครั้งเกิดโรคระบาดจากไวรัส Covid-19 คือ คดี FCA v. Arch ที่ศาล Supreme Court ของอังกฤษได้ตัดสินว่า การที่รัฐบาลอังกฤษสั่งให้มีการปิดการดำเนินธุรกิจ (lockdown) ถือเป็นความเสียหายที่ได้รับการคุ้มครองตามกฎหมายประกันภัย
ประเด็นถัดมาก็คือเรื่องค่าสินไหมทดแทน โดยทั่วไปก็คือ ความคุ้มครองสำหรับการสูญเสีย "รายได้" "รายรับ" "กำไรสุทธิ" หรือ "กำไรขั้นต้น" แต่ที่น่าแปลกใจที่เงื่อนไขเหล่านี้มักถูกกำหนดไว้ไม่ชัดเจนนักในบริบทของโลกไซเบอร์ ซึ่งหมายความว่าขอบเขตที่แท้จริงของความคุ้มครองอาจคลุมเครือและอาจเกิดข้อโต้แย้งได้
นอกจากนี้ กรมธรรม์ส่วนใหญ่ยังครอบคลุมถึงต้นทุนที่เพิ่มขึ้น (increased cost) ในการทำงานที่เกิดขึ้นอย่างสมเหตุสมผลเพื่อหลีกเลี่ยงการสูญเสียกำไรอีกด้วย
ที่กล่าวมาเป็นเพียงประเด็นตัวอย่างบางประเด็นเพื่อที่จะแสดงให้เห็นว่า กรณีของ Crowdstrike ก็ทำให้เกิดประเด็นทางกฎหมายได้อย่างมากมาย.