Соглашение пользователя — Ответственность сторон

ссылка

Цитата:

6. ОТВЕТСТВЕННОСТЬ СТОРОН
...
6.2. Пользователь несет ответственность:
6.2.1. За все действия, осуществленные от имени Пользователя в рамках Сервиса.

В принципе, это понятно, что я несу ответственность за все СВОИ действия в рамках сервиса.
Но возникают другие вопросы:

1. Если у пользователя увели пароль например трояном/кейлоггером, и злоумышленник что-то сделал под его именем, то, хотя пользователь как бы и виноват что пароль прошляпил, но признавать его автоматически виновным за все действия взломщика вряд ли законно. Более того, признание взломанного пользователя ответственным и виновным вполне можно назвать клеветой в адрес этого пользователя, оскорблением его чести и достоинства, а также это является причинением ему морального и материального ущерба. Хотя тут я не уверен, возможно я уже совсем оторвался от реальности? Хотелось бы пояснений.

2. А вот случай, когда пользователь вообще не виноват. Если взломан сам сервис, например вдруг уведут базу пользователей, или какую-либо дыру найдут, и т.д., и злоумышленник что-то сделает под именем другого пользователя, будет ли этот пользователь нести ответственность согласно пункту 6.2.1 данного Соглашения?

3. Если от имени пользователя было сделано некоторое действие представителем администрации (или любым лицом, имеющим доступ к базе пользователей), будет ли пользователь нести ответственность согласно пункту 6.2.1 данного Соглашения?

В любом случае, хорошо бы эти вопросы раскрыть более подробно в Соглашении, чтобы было однозначное понимание, и пользователи чувствовали себя защищенными.

Что делать в случае взлома — это уже отдельный вопрос, его можем рассмотреть позже.
Возможно, имеет смысл написать специальный мануал по этому поводу, с пошаговой инструкцией.

В любом случае, по факту кражи пароля сообщаем админу и требуем, требуем, требуем...

Возможна и более простая ситуация. Технический сбой. Пользователь, например, отправил через приватные сообщения какую-то информацию, а сообщение не дошло или исказилось.

1. Отличный гибкий вопрос. Могу ошибаться, но, как мне кажется, Вы не оставляете шансов на однозначный ответ. Слишком много "если" и "возможно". А уж о определении морального ущерба мне и вовсе сложно судить.
В реальности такие ситуации крайне редки. Если у пользователя троян и он потерял доступ от почты и всех аккаунтов на различных ресурсах - предъявлять претензии он может кому угодно, но только не сервису.

2. Не виноват - ответственности не несет. Очевидно ведь.

3. Во-первых, исключено. Во-вторых, не будет. Вновь - очевидно.

Вообще, подобные сомнения несколько задевают. Мне кажется, мы никогда не давали повод. Или я ошибаюсь?

Цитата ("tvv"):

В любом случае, хорошо бы эти вопросы раскрыть более подробно в Соглашении, чтобы было однозначное понимание, и пользователи чувствовали себя защищенными.

В принципе - здраво. Хотя с подобными пользовательскими соглашениями, где были бы расписаны все возможные вариации, я лично и не сталкивался.
Но, как мне кажется, усложнение пользовательского соглашения не послужит решением. Гораздо более правильный путь - увеличение уровня безопасности, чем мы и занимаемся.

Цитата ("SMullerin"):

В любом случае, по факту кражи пароля сообщаем админу и требуем, требуем, требуем...

Требуем чего?

Цитата ("elosoft"):

Возможна и более простая ситуация. Технический сбой. Пользователь, например, отправил через приватные сообщения какую-то информацию, а сообщение не дошло или исказилось.

Не представляю, что необходимо сделать, чтобы сообщение исказилось...
Но, гипотетически, возможно всё. Разумеется, за технический сбой в работе сервиса ответственность на пользователей возлагаться не может.

Печально.. Мне приходится прописные истины пояснять. Неужели настолько высок уровень недоверия к сервису?

По-моему, ТС несколько перегнул палку.
Прописывать формально абсолютно все нюансы, которые вообще-то относятся к этике и просто здравому смыслу - это убивать сервис как таковой.
Если есть недоверие к ресурсу - все эти формальности не помогут.
Если доверие - они бессмысленны, не нужны.
А веблансеру терять доверие банально невыгодно. Не говоря уже о том, что в мире еще существуют такие понятия, как честность и совесть, хотя иногда, увлекаясь прописыванием формальных законов и правил, о них попросту забывают.

Цитата ("Weblancer"):

Не представляю, что необходимо сделать, чтобы сообщение исказилось...

Цепочка достаточно длинная и сбой может произойти и не у Вас. У меня не так давно случай был. Страница в кодировке windows1251. Вставляю текст в textarea из документа utf8. Вставилось нормально, а на сайт пришли знаки вопроса. Где тут сбой прошел в жизни не выяснишь.
Но вообще-то под искажениями я имел ввиду более простую ситуацию. Что-то вроде такого: модератор случайно при проверке сообщения добавил/заменил исходный текст своим буфером обмена. Всякое бывает.

Цитата ("tvv"):

1. Если у пользователя увели пароль например трояном/кейлоггером, и злоумышленник что-то сделал под его именем, то, хотя пользователь как бы и виноват что пароль прошляпил, но признавать его автоматически виновным за все действия взломщика вряд ли законно.

С одной стороны - да. А с другой стороны - где взять доказательства, что действия были произведены не пользователем? Провести экспертизу компьютера пользователя? Так трояна себе можно и самому подсадить. Вообще сам факт взлома установить, на мой взгляд, очень не просто. В том смысле, что определить, что взлом в самом деле имел место. Это с одной стороны.

А с другой стороны - пароль могли увести, а может даже и прокси поставить на машину пользователя, а он и знать не будет, что он вообще взломан. Даже сам пользователь не сможет быстро отреагировать на взлом. Не будет он этого видеть.

И выходит что есть две неприятнейшие ситуации. Приходит человек и говорит, что деньги с его счета увели, а он этого не делал. Вернуть ему деньги? А если окажется, что его не ломали? Вернуть следующему? Так можно и в трубу вылететь весьма быстро. А с другой стороны, если он был реально взломан - вернуть ему деньги?

Тоже самое, в принципе, касается и других действий. Они, правда, не так опасны, на мой взгляд.
Можно, конечно ввести усиленную проверку на каждый чих - подтверждать через смс, например. Но мало кто станет терпеть это. На мой взгляд тут нет однозначного и простого ответа.

Цитата ("frig"):

Можно, конечно ввести усиленную проверку на каждый чих - подтверждать через смс, например. Но мало кто станет терпеть это.

Есть несложный способ, но не знаю подойдет он здесь или нет. Потребует установку собственного элемента ActiveX на клиенте или чего-то подобного.
Сообщение отправляется 2 каналами - обычным через браузер и через свой компонент. При получении оба полученных сообщения сверяются на полное совпадение.

elosoft, ActiveX на сколько я знаю будет причиной поросячего визга у многих. Особо бдительные будут отрубать.
Да и если есть контроль над машиной жертвы, то что не ставь - все зря будет. Кроме, пожалуй, смс.

Цитата ("frig"):

elosoft, ActiveX на сколько я знаю будет причиной поросячего визга у многих. Особо бдительные будут отрубать.

Увы...

Цитата ("frig"):

Да и если есть контроль над машиной жертвы, то что не ставь - все зря будет.

Нет, смысл в этом есть. Вы можете своим компонентом попутно собрать кое-какую дополнительную информацию о клиенте для однозначной идентификации. Чтобы троян или еще кто-то исказил и эту информацию, он должен хотя бы знать об этом компоненте, не говоря уж о том, что тоже взломать. На таком принципе иногда строят защиту в корпоративных сетях.

elosoft, мне кажется в данном случае это не применимо совсем. На стороне клиента что-то такое соорудить почти невозможно. Половина отключит, половина не включит, да и не очень понятно как к этому отнесутся антивирусы и другие браузеры. Тут даже обычный и привычный javascript создает часто проблемы с теми же антивирусами, а в дербях будет совсем плохо. В общем, имхо, не поможет.
А вообще - оффтоп .

В моей практике один случай, когда данное соглашение применилось по назначению. Заказчик после получения вариантов лого написал что это не он открывал тендер и делал мне заказ, а кто-то там из их конторы, и им вроде как не нравятся логотипы и вроде как они хотят заказать другому исполнителю но он не в курсе всего, в результате аккаунт данного заказчика был заблокирован, правда с формулировкой *абсурдные претензии в адрес работников сервиса*, но из саппорта мне был как раз ответ что каждый пользователь несет ответственность за действия произведенные от его имени, и отмазываться что я не я хата не моя не выйдет. А так, я думаю не самая насущная тема поднята ТС. Я лично доверяю сервису на все сто, и даже если и произойдет какой то форс-мажор уверена что все рузрулится адекватно.

Цитата ("Weblancer"):

1. Отличный гибкий вопрос. Могу ошибаться, но, как мне кажется, Вы не оставляете шансов на однозначный ответ. Слишком много "если" и "возможно". А уж о определении морального ущерба мне и вовсе сложно судить.
В реальности такие ситуации крайне редки. Если у пользователя троян и он потерял доступ от почты и всех аккаунтов на различных ресурсах - предъявлять претензии он может кому угодно, но только не сервису.

2. Не виноват - ответственности не несет. Очевидно ведь.

3. Во-первых, исключено. Во-вторых, не будет. Вновь - очевидно.

Вообще, подобные сомнения несколько задевают. Мне кажется, мы никогда не давали повод. Или я ошибаюсь?

Повода, конечно, нет. Тут все в порядке. И с доверием тоже все в порядке, Вы же знаете, я тут уже не первый год обитаю, и со временем опять фрилансить начну, когда разгребусь с делами... Всли бы я не доверял, тут не находился бы. В любом случе, в этом смысле во мне и в моей лояльности пожалуйста не сомневайтесь.

А вот почему я написал сообщение. Я — формалист. Если я вижу в правилах Сервиса нечто, то понимаю это буквально. Соответственно, пробую разобраться. Итак:

1. Моральный и материальный ущерб может возникнуть не из-за факта взлома, а из-за того, что человек будет призван виновным за преступные действия хакера от его имени (например, хакер от имени фрилансера наберет проектов и предоплат на крупные суммы). То есть, если кого просто ломанут, к Сервису конечно же нет претензий. Но если Сервис объявит этого владельца взломанного аккаунта мошенником, то это уже нехорошо. Например, как следствие, могут быть реальные проблемы с арбитражами платежных систем при наличии претензий (будут ссылаться на : видите, он — преступник, его на Веблансере забанили за мошенничество), и т.д., не говоря уже о проблемах для бизнеса... ведь получится, что все вложения в репутацию, рейтинг, отзывы и т.д. — всё было напрасно.

2,3. Не виноват — ответственности не несет. Да, мне это очевидно, и Вам это очевидно. Но это абсолютно не очевидно из Соглашения, пункт 6.2.1.

В общем, я за то, чтобы немного внести ясность в данное Соглашение.

Вот еще пункт, по которому желательно внести ясность:

Цитата:

6. ОТВЕТСТВЕННОСТЬ СТОРОН
6.1. Персонал Сервиса не несет ответственность:
6.1.1. За действия Пользователей, нарушающие действующее законодательство.

Веблансер — сервис международный.
Поэтому в этом пункте желательно уточнить, законодательство какой именно страны имеется в виду. Украины? Или страны, в которой на данный момент находится пользователь?
Это тоже не очевидно.

Цитата ("Olchytay"):

но из саппорта мне был как раз ответ что каждый пользователь несет ответственность за действия произведенные от его имени, и отмазываться что я не я хата не моя не выйдет.

Допустим, Вас взломали. От Вашего имени набрали 50 проектов, по многим из них взяли предоплату.
Суммарно набежит, скажем, 10.000 долларов. Вы несете за это ответственность? Будете кинутым людям компенсировать потери из своих денег?
Или смиритесь с тем, что Ваш аккаунт закроют, и будет написано "Аккаунт блокирован. Причина: Мошенничество."?

Да, возможно, администрация Веблансера пойдет Вам навстречу, поверит в то что Вас взломали, и т.д. А может быть и не пойдет навстречу, ведь доказательств взлома у них может не быть, зато факты заема денег от Вашего имени — налицо.

Цитата ("frig"):

И выходит что есть две неприятнейшие ситуации. Приходит человек и говорит, что деньги с его счета увели, а он этого не делал. Вернуть ему деньги? А если окажется, что его не ломали? Вернуть следующему? Так можно и в трубу вылететь весьма быстро. А с другой стороны, если он был реально взломан - вернуть ему деньги?

Если деньги у пользователя увели путем взлома его компа, то конечно же ничего ему возвращать не нужно, ведь вины Сервиса в этом никакой нет.
В этом случае он действительно отвечает за действия, произведенные от его имени.
Тут нет никаких возражений.

Но если например взломщик от его имени набирает например предоплат, то это уже совсем другое дело.
С точки зрения сервиса и кинутых заказчиков данный пользователь автоматически становится мошенником на основании Соглашения, пункт 6.2.1., со всеми вытекающими.

Чувствуете разницу между просто потерей денег в предыдущем случае, и потерей репутации и бизнеса во втором?
Именно это я и хочу донести.

Цитата ("frig"):

Можно, конечно ввести усиленную проверку на каждый чих - подтверждать через смс, например. Но мало кто станет терпеть это. На мой взгляд тут нет однозначного и простого ответа.

Это отдельная и сложная тема. У меня на данный момент нет рецепта, как полностью решить такую проблему с технической стороны (сомневаюсь, что это вообще возможно).

Цель этой темы на форуме — лишь внести ясность в Соглашение, пункт 6.2.1.

Цитата ("tvv"):

Но если например взломщик от его имени набирает например предоплат, то это уже совсем другое дело.

Откровенно говоря - не вижу разницы. Репутация, деньги, здоровье - в данном случае это не суть важно. Если человека возьмут в заложники и потребуют набрать предоплат? На мой взгляд это сервиса не касается. В том смысле, что сервис не должен проводить расследование искать того, кто реально мошенничал и его наказывать. Это функции государства, а не сервиса. Правила были нарушены - учетная запись в сервисе заблокирована. Могу предположить, что если пользователь предоставит доказательства своей невиновности, то эти доказательства будут рассмотрены.

Цитата ("tvv"):

Чувствуете разницу между просто потерей денег в предыдущем случае, и потерей репутации и бизнеса во втором?

Вообще не очень. Что в первом что во втором случае определить кто реально ставил ставки - невозможно. Мы можем различать учетные записи, но не людей которые за ними стоят.

Цитата ("tvv"):

У меня на данный момент нет рецепта, как полностью решить такую проблему с технической стороны (сомневаюсь, что это вообще возможно).

На важные моменты имеет смысл ввести проверку через смс. При работе через СБС, да и все что касается денег. Тут еще раз можно будет говорить о том, что при работе через СБС еще можно говорить о каких-то деньгах, предоплатах и всем остальном. А когда все это где-то там мимо сервиса непонятно где, то это уже где-то там и есть.

Цитата ("frig"):

Цитата (tvv): Но если например взломщик от его имени набирает например предоплат, то это уже совсем другое дело.

Откровенно говоря - не вижу разницы. Репутация, деньги, здоровье - в данном случае это не суть важно.

Попробую пояснить разницу. Итак:

1. Комп пользователя взломали, и увели деньги. В этом случае Веблансер не делает ничего. Соглашение пункт 6.2.1 защищает Сервис от претензий пользователя "верните мои деньги".
2. Комп пользователя взломали, и взломщик набрал предоплат. В этом случае Сервис банит пользователя как мошенника, с соответствующим сообщением.

Разница в том, что в первом случае Веблансер ничего с аккаунтом пользователя не делает, и это нормально, но во втором случае — совершает некоторое активное действие, которое _публично_ очерняет имя взломанного пользователя.

Да, пользователь потом может обратиться к администрации. Да, администрация скорее всего пойдет навстречу (а может быть и не пойдет?), разблокирует аккаунт, и т.д.
Но это абсолютно неочевидно из текущего Соглашения, согласно которому пользователь в любом случае 100% виновен.

Цитата ("tvv"):

Разница в том, что в первом случае Веблансер ничего с аккаунтом пользователя не делает, и это нормально, но во втором случае — совершает некоторое активное действие, которое _публично_ очерняет имя взломанного пользователя.

Вадим, я не думаю, что это самое публичное очернение будет произведено без разбирательств, что так вот возьмут, просто заблокируют и все. Сначала объяснений потребуют и у человека будет возможность эти объяснения дать. В том, что доступ к аккаунту был утрачен человек все равно виноват. Так ведь? А последствия которые за этим последовали - это тоже отчасти его вина.
Человек нарушает ПДД - выезжает на встречную полосу. Что ему положено за выезд на встречную полосу через сплошную? Ну штраф, да. А что если он при этом столкнется со встречкой? А если, не дай Бог, кто-то при этом пострадает? А он ведь просто пересек сплошную! Или еще проще - при проведении ТО механик накосячит в тормозной системе. Не поставит вакуумный шланг тормозов. Сам по себе шланг - фигня. А если приведет к аварии?
Так и тут. Пользователь виноват в том, что недостаточно беспокоится о своей безопасности, а последствия могут быть очень даже разными. Если оставить в замке ключи, то за это тоже по голове не погладят. Одно дело, что у тебя угнали машину, которая стояла на сигнализации в гараже, а другое дело, если ты выбежал в магазин и оставил в замке ключи.

В общем то понятно о чем речь, но решения я тут не вижу. Ни в поведении ни в дописании чего-то в правила.

Цитата ("frig"):

В том, что доступ к аккаунту был утрачен человек все равно виноват. Так ведь? А последствия которые за этим последовали - это тоже отчасти его вина.

Не совсем.
Да, то, что человек не позаботился о своей безопасности (а от этого, кстати, никто из нас не застрахован) — это его вина. Но не более чем.
А вот то, что сделал взломщик от его имени, вина исключительно взломщика.

Вот что я предлагаю сделать:

1. Написать мануал с пошаговой инструкцией что делать в случае взлома аккаунта, и поместить раздел "Помощь": ссылка

2. Изменить пункт 6.2.1: ссылка

Текущий текст: 6.2.1. За все действия, осуществленные от имени Пользователя в рамках Сервиса.

Предлагаемый текст: 6.2.1. За все действия, осуществленные от имени Пользователя в рамках Сервиса, за исключением подтвержденных фактов взлома аккаунта Пользователя. (можно дать сноску, где описать, что считается доказательством взлома, можно со ссылкой на мануал).

3. Внести изменение в страницу, которая выводится при просмотре блокированного аккаунта.

Текущий текст: Аккаунт блокирован. Причина: Мошенничество.

Предлагаемый текст: Аккаунт блокирован. Причина: Мошенничество. Примечание: <тут написать, что аккаунт пользователя мог быть взломан, и под именем пользователя мог действовать злоумышленник>.

Вышеуказанное само по себе не будет очернять доброе имя взломанных пользователей, и не будет больно быть по их репутации.
По крайней мере, пока администрация будет разбираться кто прав кто виноват, на пользователе не будет явно висеть публичный ярлык мошенника.

Также, в этом случае к Веблансеру нельзя будет выдвигать претензии по очернению имени пользователей, то есть это лишний раз защитит Сервис.

tvv, я сомневаюсь, что во время разбирательства аккаунт блокируется с причиной "мошенничество". А если даже это и происходит, то достаточно просто до окончания разбирательства ставить причину "до окончания разбирательства". И все. Никто никого не очерняет и ярлыков не вешает.

Всякого рода доказательства взлома мне кажутся очень уж разными от случая к случаю и если подробно описать как собственно это доказать, то по этой инструкции можно будет этот самый взлом сфабриковать. На мой взгляд это даже вредно. Помощь все равно никто не читает особо. А правила наверное вообще никто и нигде

ИМХО есть вещи поважнее. Например отображение истории блокировок в профиле. Это было бы куда полезнее.

Цитата ("frig"):

tvv, я сомневаюсь, что во время разбирательства аккаунт блокируется с причиной "мошенничество".

А что собой представляют разбирательства?
Думаю, отправляют сообщение пользователю. Если пользователь (мошенник) не ответил, что, разве аккаунт не заблокируют? Сколько времени администрация будет ответа-то ждать?

А настоящий пользователь в это время где-то в Крыму отдыхает и почту не читает. Приезжает из отпуска — а он уже, оказывается, мошенник!

Цитата ("frig"):

ИМХО есть вещи поважнее. Например отображение истории блокировок в профиле. Это было бы куда полезнее.

Да, это куда полезнее. Но для этого нужно доработать функциональность, писать код.
В то время как то, что предлагаю я, никаких доработок не требует, достаточно лишь поправить тексты.

В общем ладно, это дело такое. Мое дело обратить внимание на недостатки Соглашения пользователя сервиса, а вносить изменения в Соглашение или нет — пусть решает администрация.