MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Co jsou tři kategorie kybernetické trestné činnosti? Advokát vysvětluje opatření proti škodám pro každý vzorec

IT

Co jsou tři kategorie kybernetické trestné činnosti? Advokát vysvětluje opatření proti škodám pro každý vzorec

“Kybernetický zločin” je termín, který je již do určité míry rozšířený i v běžné řeči, ale mezinárodně je definován jako “zločin zneužívající počítačovou a telekomunikační technologii”. Takzvané “hackování (cracking)” a další formy kybernetického zločinu mohou postihnout i firmy jako oběti. Je třeba zvážit, jaké opatření je třeba podniknout v případě, že dojde k takové škodě.

V tomto článku rozdělíme kybernetický zločin do tří obecně používaných kategorií v Japonsku a vysvětlíme, jaké zločiny do nich spadají a jaká opatření existují v případě, že se stanete obětí. Důvod, proč je toto rozdělení důležité, je ten, že:

  • Pokud se nemůžeme považovat za “oběť” v právním smyslu, můžeme sice “nahlásit” zločin, ale je obtížné povzbudit policii k vyšetřování prostřednictvím oznámení o škodě nebo trestního oznámení.
  • V případě zločinů, kde existují civilní opatření, nemusíme se spoléhat na policejní vyšetřování a můžeme požádat právníka, aby identifikoval pachatele civilními prostředky a podal žalobu na náhradu škody proti pachateli.
  • Pokud jde o zločiny, kde se stáváme obětí a neexistují žádná civilní řešení, budeme muset povzbudit policii k vyšetřování.

Jinými slovy, “opatření” se liší v závislosti na typu zločinu.

Tři kategorie kybernetické kriminality

Obecně přijímané kategorie kybernetické kriminality v Japonsku se dělí na tři typy.

Jak je uvedeno výše, v Japonsku je běžné rozdělit kybernetickou kriminalitu do tří kategorií.

  • Počítačová kriminalita: Přesná definice bude uvedena níže, ale jednoduše řečeno, jde o trestné činy, které narušují podnikání společností.
  • Trestné činy využívající sítě: Trestné činy spáchané zneužitím internetu.
  • Porušení zákona o zákazu neoprávněného přístupu (japonský zákon o zákazu neoprávněného přístupu): Takzvané neoprávněné přihlašovací činnosti atd.

Níže vysvětlíme každou z nich podrobněji.

Co je to počítačová kriminalita

Co je trestný čin poškození elektronického počítače a narušení jeho provozu

V trestním zákoně je definován trestný čin poškození elektronického počítače a narušení jeho provozu, který je typickým příkladem tohoto druhu.

Kdo poškodí elektronický počítač nebo magnetický záznam používaný pro podnikání, nebo kdo poskytne falešné informace nebo neoprávněné pokyny počítači používanému pro podnikání, nebo kdo jiným způsobem způsobí, že počítač neprovádí operace podle svého účelu, nebo provádí operace v rozporu se svým účelem a tím narušuje podnikání, bude potrestán trestem odnětí svobody až na pět let nebo pokutou do 1 milionu jenů.

Paragraf 224-2 japonského trestního zákona

Je to obtížně čitelný text, ale stručně řečeno,

  • poškození počítače nebo dat v něm používaných pro podnikání
  • odeslání falešných informací nebo informací, které nebyly původně předpokládány, do počítače používaného pro podnikání

jsou trestné činy, které se týkají situací, kdy jsou tyto metody použity k narušení podnikání tím, že se počítači donutí provádět nečekané operace.

Typickými příklady jsou činy, jako je využití bezpečnostních děr nebo neoprávněné přihlášení do cizího účtu, aby se zvýšil zůstatek na účtu online banky. Podobně, činy, jako je využití bezpečnostních děr nebo neoprávněné získání přihlašovacích údajů k přepsání webových stránek společnosti, také spadají do této kategorie. Samotný čin “neoprávněného přihlášení” je typem trestného činu “porušení zákona o zákazu neoprávněného přístupu”, který bude popsán později, ale tento typ trestného činu se týká činů, jako je neoprávněná manipulace, padělání, mazání nebo neoprávněné přepsání dat.

Jaký je rozdíl oproti neoprávněnému přístupu?

A tento typ trestné činnosti se může uskutečnit i bez neoprávněného přihlášení. Typickým příkladem je takzvaný DoS útok. Odesílání velkého množství e-mailů a způsobení poruchy na e-mailovém serveru, nebo provádění velkého množství přístupů na webovou stránku a způsobení poruchy na webovém serveru, jsou běžné vzorce. Tyto činy jsou legální, pokud se na každý e-mail nebo přístup díváme samostatně, ale když se provádějí ve velkém množství, způsobují neočekávané chování serveru (PC) a způsobují škody pro danou společnost, jako je nemožnost používat e-mail nebo otevřít webovou stránku. Proto se říká, že “to není porušení zákona o zákazu neoprávněného přístupu, ale spadá to pod trestný čin poškození elektronického počítače a podobného rušení obchodní činnosti”. Mimochodem, v těchto typech trestné činnosti se také stává problémem trestný čin podvodného rušení obchodní činnosti.

Jak podnítit policejní vyšetřování

Jak mohou oběti počítačové trestné činnosti zajistit, aby policie zadržela pachatele?

Tyto činy jsou trestné, jak je uvedeno výše, a protože dotčená společnost je obětí, je možné požádat o policejní vyšetřování. Avšak v praxi se nedá říci, že japonská policie je v těchto trestných činech aktivní. To je částečně způsobeno technickými problémy. Například, výše jsme hovořili o jednoduchých DoS útocích, ale skutečné útoky často nejsou tak jednoduché, jako když se z jedné IP adresy odešle milion e-mailů nebo přístupů, ale spíše se provádějí z mnoha IP adres, tedy útoky jsou distribuované. Tyto útoky se nazývají “DDoS”.

Pokud se velké množství e-mailů nebo přístupů provádí z jedné IP adresy, je jasné, že se jedná o velké množství přístupů od jedné osoby a že se jedná o “neočekávané informace”. Ale pokud jsou IP adresy distribuované, každý jednotlivý e-mail nebo přístup je legální, takže pokud neexistují důkazy, že byly provedeny jednou osobou, nemůžeme říci, že se jedná o nelegální odesílání informací. Jak tedy můžeme dokázat, že “velké množství e-mailů nebo přístupů bylo provedeno jednou osobou” v rámci přísného trestního řízení? To je skutečně problém, který trápí policii a státní zástupce.

Navíc, v trestním řízení, pouhé prokázání, že “komunikace odpovídající trestné činnosti (například odesílání velkého množství e-mailů, jak je uvedeno výše) byla provedena z počítače podezřelého”, nestačí k dosažení odsouzení. V trestních případech je požadováno zjištění skutečnosti na úrovni “kdo to udělal”, nikoli “z jakého počítače”. Ve skutečnosti, v mnoha rozhodnutích trestních soudů se pečlivě zkoumá tato část, tedy “zda byl trestný čin skutečně spáchán podezřelým z jeho počítače”. Tato vysoká laťka pro důkazy je samozřejmě důležitá z hlediska “prevence omylů”, ale může také vést k váhání policie a státního zástupce v případě vyšetřování kybernetické trestné činnosti.

Avšak, pokud je incident čerstvý, může být možné prostřednictvím podrobné analýzy serverových logů a podobně zjistit důkazy, že “je velmi pravděpodobné, že to byla jedna osoba” a “že to bylo nepochybně provedeno samotným podezřelým”. Vyšetřování pomocí IT technologií a právní analýza toho, co bylo zjištěno v tomto vyšetřování, mohou vést k významným důkazům. Pokud jsou tyto dvě věci k dispozici, můžeme říci, že existují případy, kdy je možné podnítit policejní vyšetřování.

Občanskoprávní řešení je obtížné

I když by bylo ideální mít občanskoprávní řešení bez nutnosti obracet se na policii, pravdou je, že v případě tohoto typu trestné činnosti jsou občanskoprávní opatření omezená.

Například, pokud bylo odesláno velké množství e-mailů, IP adresa odesílatele je uvedena v hlavičce e-mailu (v e-mailové hlavičce), takže byste chtěli, aby poskytovatel internetu odhalil adresu a jméno smluvní strany, která tuto IP adresu používá. Avšak v japonském občanském právu (Japonský občanský zákoník) neexistuje právo požadovat takové odhalení. V případě škod způsobených pomluvami na internetu, jak budeme diskutovat později, můžete využít právo na odhalení informací o odesílateli podle zákona o omezení odpovědnosti poskytovatelů (Japonský zákon o omezení odpovědnosti poskytovatelů), ale stručně řečeno, toto právo na odhalení je uznáno pouze pro:

Komunikaci pro příspěvky určené k prohlížení nespecifikovaným množstvím lidí (typickým příkladem je komunikace pro příspěvky pomlouvající na internetových diskusních fórech otevřených pro nespecifikované množství lidí)

Je to tak, že toto právo na odhalení je uznáno pouze pro takové případy.

Ve skutečnosti, v případě pokročilých kybernetických trestných činů, často je nutné pro podnět k policejnímu vyšetřování předložit podrobnější zprávy než v případě soudního řízení. Navíc, od prvního kontaktu s policií až po skutečné vyšetřování a zatčení může uplynout rok nebo více. Na druhou stranu, občanskoprávní řešení může být méně náročné na čas a snazší… ale v případě tohoto typu trestné činnosti je občanskoprávní řešení v zásadě nemožné nebo velmi obtížné. Pokud je možné identifikovat pachatele, je možné požadovat náhradu škody způsobené trestným činem, například škodou způsobenou poruchou webového serveru, ale neexistují žádné konkrétní prostředky pro takovou identifikaci.

https://monolith.law/corporate/denial-of-service-attack-dos[ja]

Trestné činy spojené s využitím sítě

Poškození pověsti na internetu

Poškození pověsti je také jednou z forem kybernetické kriminality.

Jedná se o trestné činy, které jsou spáchány prostřednictvím počítače nebo sítě, mimo již zmíněné počítačové trestné činy. Například takzvané pomluvy na internetu nezničí data, neposílají neočekávané informace ani neprovádějí neočekávané operace na počítači, ale jsou prováděny prostřednictvím internetové sítě.

Příspěvky, které mohou být považovány za pomluvu, jsou klasifikovány jako:

  • Trestně i občansky nezákonné (typickým příkladem je poškození pověsti)
  • Trestně nezákonné, ale občansky nezákonné (typickými příklady jsou porušení soukromí nebo porušení práva na obraz)

Pokud je něco trestně nezákonné, je možné se pokusit identifikovat autora příspěvku pomocí žádosti o zveřejnění informací o odesílateli podle zákona o omezení odpovědnosti poskytovatelů (japonský Zákon o omezení odpovědnosti poskytovatelů), nebo můžete požádat policii, aby provedla vyšetřování a zadržela autora.

Avšak skutečnost je, že policie často nevyšetřuje takové příspěvky aktivně, kvůli postoji známému jako “nezasahování do občanských záležitostí”. Navíc, porušení soukromí a práva na obraz nejsou trestné činy podle trestního zákona, takže občanské řešení je nezbytné.

https://monolith.law/practices/reputation[ja]

Poškození prostřednictvím jedno-na-jednoho komunikace, jako je e-mail

Identifikace odesílatele e-mailu v občanském právu je velmi obtížná.

Obtížné je řešení nevhodných zpráv a podobných činů, které jsou prováděny prostřednictvím jedno-na-jednoho komunikačních prostředků, jako je e-mail nebo Twitter DM. Typickým příkladem je e-mail obsahující výroky, které by mohly být považovány za výhrůžky nebo vydírání. Žádost o zveřejnění informací o odesílateli podle zákona o omezení odpovědnosti poskytovatelů (japonský Zákon o omezení odpovědnosti poskytovatelů) lze využít pouze v případě, že

komunikace je určena pro příspěvky, které mohou vidět nespecifikovaný počet lidí (typickým příkladem je komunikace pro příspěvky obsahující pomluvy na internetových diskusních fórech, které jsou veřejně přístupné)

Proto pro takovou komunikaci neexistují žádná občanská řešení a jedinou možností je spoléhat se na policejní vyšetřování. Avšak, i když obsah příspěvku na internetovém diskusním fóru může být považován za poškození pověsti, pokud je použit jedno-na-jednoho komunikační prostředek, trestný čin poškození pověsti se neuskuteční. Stručně řečeno, trestný čin poškození pověsti se uskuteční pouze v případě, že je čin spáchán vůči nespecifikovanému nebo velkému počtu lidí. V případě jedno-na-jednoho komunikačního prostředku se trestný čin poškození pověsti obecně neuskuteční. Tento problém je podrobněji vysvětlen v jiném článku.

https://monolith.law/reputation/email-sender-identification[ja]

Poškození prostřednictvím obscénních obrázků nebo nelegálních stránek

Dále, trestné činy, které nemají oběti, nebo trestné činy, které nezpůsobují škodu společnostem, které by se staly oběťmi v praxi, jsou také zahrnuty v těchto kategoriích. Například:

  • Publikace neupravených obrázků nebo videí na takzvaných dospělých stránkách (veřejné vystavení obscénních obrázků)
  • Propagace nelegálních kasinových stránek
  • Podvodné stránky, které tvrdí, že prodávají značkové zboží, ale ve skutečnosti nezasílají žádné zboží

Jedná se o typické příklady.

Například, pokud je v dámské šatně firmy prováděno nelegální fotografování a fotografie jsou zveřejněny na internetu, tyto fotografie jsou jasným porušením soukromí (nebo práva na obraz) dotyčné ženy, ale jak jsme již uvedli, porušení soukromí (nebo práva na obraz) není trestným činem a i když je nelegální fotografování samo o sobě trestným činem, zveřejnění fotografií pořízených nelegálním fotografováním není automaticky trestným činem, takže je obtížné požádat policii o vyšetřování.

Navíc, i když existenci nelegálních kasinových stránek nebo podvodných stránek způsobuje pokles tržeb vaší firmy nebo pokles důvěry ve vaší firmu, takové činy jsou trestné činy, které jsou trestné pro společnost, i když nemají konkrétní oběti (typickými příklady jsou překročení rychlosti nebo regulace drog), nebo jsou trestné činy, které mají pouze přímé oběti (například spotřebitelé, kteří zaplatili peníze na podvodné stránce), takže i když firma stěžuje na škodu, stává se to pouze oznámením od třetí strany, která není obětí. Navíc, pokud nejste “obětí”, identifikace pomocí žádosti o zveřejnění informací o odesílateli je v zásadě nemožná.

Avšak, pokud jde o prodej padělaných značkových výrobků a podobné činy, které porušují duševní vlastnictví firmy (například ochranné známky nebo autorská práva), firma může jako “oběť” požádat policii o vyšetřování nebo se pokusit identifikovat prodejce občanskými prostředky.

Porušení zákona o zákazu neoprávněného přístupu

Činnosti zakázané zákonem o zákazu neoprávněného přístupu

Nakonec, činnosti zakázané zákonem o zákazu neoprávněného přístupu (Japonský zákon o zákazu neoprávněného přístupu). Tento zákon zakazuje:

  1. Neoprávněný přístup
  2. Podpora neoprávněného přístupu
  3. Neoprávněné získání a podobné činnosti

Mezi těmito, první, neoprávněný přístup, zahrnuje hlavně:

  • Předstírání: činnost, kdy někdo zadá cizí ID nebo heslo a bez povolení se přihlásí jako tato osoba
  • Útoky na bezpečnostní díry: zneužití bezpečnostních děr, kdy není třeba zadávat ID nebo heslo a přihlásit se jako někdo jiný

Existují dva typy těchto činností.

Druhý, podpora neoprávněného přístupu, je činnost, kdy někdo bez povolení sdělí nebo prodá cizí účtové informace (ID, heslo atd.) jiné osobě.

Takzvané krádeže hesel prostřednictvím phishingových stránek patří do této kategorie.

Nakonec, třetí, neoprávněné získání a podobné činnosti, je činnost, kdy někdo donutí jinou osobu zadat informace o svém účtu, například prostřednictvím takzvaných phishingových stránek, nebo když někdo uchovává informace o účtu, které byly neoprávněně získány tímto způsobem.

Podrobnější vysvětlení zákona o zákazu neoprávněného přístupu najdete v následujícím článku.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Řešení policií

Pokud jste obětí neoprávněného přístupu, budete muset požádat policii o vyšetření. Avšak, často se jedná o technicky velmi složité problémy a stejně jako v případě výše uvedených počítačových trestných činů, pokud někdo, kdo má znalosti a know-how v oblasti IT a práva, nevytvoří zprávu atd., vyšetření policií se v praxi často neuskuteční.

Pokud je možné identifikovat pachatele, je možné požadovat odškodnění od daného pachatele. Avšak, stejně jako v případě výše uvedených počítačových trestných činů, je velmi obtížné identifikovat pachatele prostřednictvím civilních prostředků.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zpět na začátek