MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Akce zakázané podle japonského zákona o zákazu neoprávněného přístupu

IT

Akce zakázané podle japonského zákona o zákazu neoprávněného přístupu

Zákon o zákazu neoprávněného přístupu (oficiální název “Zákon o zákazu neoprávněného přístupu a podobných činnostech”) byl zaveden v únoru 2000 (rok 2000 podle gregoriánského kalendáře) a byl revidován v květnu 2012 (rok 2012 podle gregoriánského kalendáře). Tento zákon je nyní v platnosti. Je to zákon zaměřený na prevenci kybernetické kriminality a udržení řádu v oblasti elektronických komunikací, skládající se z celkem 14 článků.

“Zákon o zákazu neoprávněného přístupu a podobných činnostech” (Cíl)
Článek 1 Tento zákon má za cíl zakázat neoprávněný přístup a stanovit sankce a opatření k zabránění opakování takových činností prostřednictvím prefekturních bezpečnostních komisí, udržovat řád v oblasti elektronických komunikací realizovaných prostřednictvím telekomunikačních linek a předcházet trestným činům spojeným s počítači, a tím přispět k zdravému rozvoji informační a komunikační společnosti.

Jaké konkrétní činnosti zákon o zákazu neoprávněného přístupu zakazuje? Jaké jsou skutečné případy a jaké opatření by měly být přijaty z hlediska trestního a občanského práva? Vysvětlíme přehled zákona o zákazu neoprávněného přístupu a opatření, která by měla být přijata v případě, že se stanete obětí.

Akce zakázané podle Japonského zákona o zákazu neoprávněného přístupu

Akce, které jsou zakázány a trestány podle Japonského zákona o zákazu neoprávněného přístupu, lze rozdělit do tří hlavních kategorií:

  • Zákaz neoprávněného přístupu (článek 3)
  • Zákaz činností podporujících neoprávněný přístup (článek 5)
  • Zákaz neoprávněného získávání, uchovávání nebo požadování identifikačních kódů jiných osob (články 4, 6, 7)

Co je neoprávněný přístup

Konkrétně je to definováno v článku 2, odstavec 4, a zahrnuje “činy předstírání” a “útoky na bezpečnostní díry”. Japonský zákon o zákazu neoprávněného přístupu zakazuje neoprávněný přístup k cizím počítačům.

“Činy předstírání” znamenají, že při používání poskytovatele musíte na počítači zadat identifikační kódy, jako je ID nebo heslo. Tento čin se týká zadání cizích identifikačních kódů bez svolení majitele.

Je to trochu složité, ale “cizí” zde znamená ID a hesla, která již někdo jiný vytvořil (a používá), a “činy předstírání” jsou v podstatě činy “přebrání” účtů, jako jsou například účty na sociálních sítích jako Twitter, které již někdo jiný používá.

Obecně se “předstírání” vztahuje na činy, kdy někdo vytvoří nový účet pomocí cizího jména nebo fotografie a používá sociální sítě jako Twitter pod předstíráním, že je někým jiným. To je však odlišné. Podrobněji vysvětlujeme “předstírání” v tomto smyslu v následujícím článku.

https://monolith.law/reputation/spoofing-dentityright[ja]

“Útoky na bezpečnostní díry” jsou činy, kdy někdo napadne bezpečnostní díru (nedostatek v bezpečnostních opatřeních) cizího počítače a umožní tak jeho využití. K tomu se používají útočné programy a podobné nástroje, které poskytují informace a pokyny mimo identifikační kódy cílovému počítači, obejdou funkci kontroly přístupu cizího počítače a využívají počítač bez svolení.

Pokud se dopustíte těchto neoprávněných přístupů, můžete být potrestáni až třemi lety vězení nebo pokutou do 1 milionu jenů (článek 11).

Co je to podpora nelegálního přístupu

Podpora nelegálního přístupu, který je zakázán podle japonského zákona o zákazu nelegálního přístupu (Unfair Access Prohibition Law), znamená poskytnutí cizího ID nebo hesla třetí osobě bez svolení majitele. Bez ohledu na prostředky, jako jsou telefon, e-mail nebo webové stránky, pokud někomu řeknete nebo oznámíte, že “ID je XX a heslo je YY”, a umožníte tak cizím lidem přístup k datům jiných lidí, jedná se o podporu nelegálního přístupu.

Pokud podporujete nelegální přístup, můžete být potrestáni až rokem vězení nebo pokutou do 500 000 jenů (článek 12, odstavec 2).

Je třeba poznamenat, že i když poskytnete heslo bez vědomí, že je to pro nelegální přístup, může být uložena pokuta až do výše 300 000 jenů (článek 13).

Co znamená neoprávněné získání, uchovávání nebo požadování cizích identifikačních kódů

Podle japonského zákona o zákazu neoprávněného přístupu (Japanese Unauthorised Access Prohibition Law) je zakázáno neoprávněně získávat, uchovávat nebo požadovat cizí identifikační kódy (ID, hesla).

Článek 4: Zákaz neoprávněného získávání cizích identifikačních kódů
Článek 6: Zákaz neoprávněného uchovávání cizích identifikačních kódů
Článek 7: Zákaz neoprávněného požadování cizích identifikačních kódů

Typickým příkladem těchto zakázaných činností je “požadování zadání”, což je v podstatě phishingová aktivita. Například se může jednat o předstírání, že jste finanční instituce, a navedení oběti na falešnou webovou stránku, která vypadá jako skutečná, a tam oběť požádat o zadání svého hesla nebo ID.

Identifikační kódy získané phishingovými aktivitami se často využívají v aukčních podvodech a také k neoprávněným převodům vkladů na jiné účty, což vede k mnoha případům podvodů.

Za tyto činnosti může být uložen trest odnětí svobody do jednoho roku nebo pokuta do 500 000 jenů (článek 12, bod 4).

Jaké jsou zákony týkající se kybernetické kriminality mimo nelegální přístupy

Takto, zákon o zákazu nelegálního přístupu je právní norma určená k řešení určitých typů takzvané kybernetické kriminality. Pokud mluvíme o celkovém rozsahu “kybernetické kriminality”, mohou se stát relevantními také jiné zákony, jako například zákon o trestných činech poškození elektronických počítačů a narušení provozu, zákon o trestných činech podvodu a narušení provozu, nebo zákon o trestných činech pomluvy. Podrobnější vysvětlení celkového obrazu kybernetické kriminality naleznete v následujícím článku.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Povinnosti správce přístupu

Vysvětlíme povinnosti definované v zákoně o zákazu neoprávněného přístupu.

Zákon o zákazu neoprávněného přístupu nejen definuje neoprávněné činy a sankce, ale také ukládá povinnosti správci, který má zabránit neoprávněnému přístupu k serverům a podobným zařízením.

Obranná opatření správce přístupu

Článek 8: Správce přístupu, který přidává funkci kontroly přístupu k určitému elektronickému počítači, se snaží správně spravovat identifikační kódy nebo kódy používané k ověření těchto funkcí kontroly přístupu, vždy ověřuje účinnost těchto funkcí kontroly přístupu a když to považuje za nutné, snaží se rychle zlepšit tyto funkce a podniknout jiné nezbytné kroky k ochraně daného elektronického počítače před neoprávněným přístupem.

“Správná správa identifikačních kódů”, “stálé ověřování účinnosti funkcí kontroly přístupu” a “zlepšení funkcí kontroly přístupu podle potřeby” jsou povinné, ale protože se jedná o povinnost úsilí, neexistují žádné sankce za zanedbání těchto opatření.

Nicméně, pokud správce zjistí stopy po úniku ID nebo hesla, musí okamžitě provést kontrolu přístupu, jako je smazání účtu nebo změna hesla.

Příklady porušení zákona o zákazu neoprávněného přístupu

Užívání Twitteru oblíbeného studenta mezi dívkami

Student třetího ročníku střední školy (18) v prefektuře Hyogo byl zatčen 30. ledna 2017 (Heisei 29) policií Hyogo za podezření z porušení zákona o zákazu neoprávněného přístupu, když se zmocnil Twitterového účtu svého spolužáka a poslal více než 300 zpráv dívkám na střední škole, předstírajíc, že je on.

Podle obvinění se mezi zářím a listopadem předchozího roku přihlásil do ověřovacího serveru Twitteru oblíbeného studenta (18) mezi dívkami, zadáním hesla a přihlášením se celkem 63krát. Poslal nevhodné zprávy dívkám z jiných škol, které sledovaly tento účet, jako například “Ukažme si těla” nebo “Pojďme si povídat o sexu”.

Neoprávněný přístup na Facebook a další

V případě, kdy bylo obviněno z porušení zákona o zákazu neoprávněného přístupu pro opakovaný neoprávněný přístup na Facebook a další a získání osobních údajů, vynesl Tokijský okresní soud 3. srpna 2016 (Heisei 28) rozsudek 2,5 roku vězení pro obžalovaného (29), který neoprávněně přistupoval k Facebooku a dalším stránkám sedmi žen celkem 238krát. Soud uvedl, že nebylo místo pro zohlednění motivů, jako je touha po pocitu uspokojení z úspěšného neoprávněného přístupu, protože jeho činy byly opakované a neústupné. Nicméně, soud vzal v úvahu skutečnost, že nevyzradil informace, které nahlédl, a že neměl žádné předchozí tresty, a udělil mu čtyřletý odklad trestu.

Neoprávněné získání informací o zákaznících firmy, kde pracoval

Tokijský okresní soud vynesl 12. listopadu 2009 (Heisei 21) trest 2 roky vězení pro zaměstnance (45), který byl odpovědný za vývoj, provoz a podporu uživatelů informačního systému firmy, kde pracoval, za to, že se neoprávněně zmocnil a pokusil se prodat informace o zákaznících, které firma vlastnila, a za krádež CD-R.

Soud uvedl, že nelze přehlédnout skutečnost, že z prodeje informací získal téměř 350 000 jenů, a i když vzal v úvahu skutečnost, že neměl žádné předchozí tresty a byl propuštěn z práce jako disciplinární opatření, nemohl tento případ považovat za vhodný pro odklad trestu.

Osmiletý trest odnětí svobody pro pachatele kybernetického útoku

Tokijský okresní soud vynesl 27. dubna 2017 (Heisei 29) rozsudek 8 let vězení pro obžalovaného (32), který pomocí phishingových e-mailů a vzdáleně ovládaných virů neoprávněně získal identifikační kódy internetového bankovnictví několika společností, provedl neoprávněné přihlášení a následné neoprávněné převody peněz, a také získal e-mailové adresy útokem na databázi a odeslal vzdáleně ovládané viry, aby je učinil spustitelnými. Byl shledán vinným z porušení zákona o zákazu neoprávněného přístupu, podvodu s využitím počítače, neoprávněného vytváření a použití soukromých elektronických záznamů, neoprávněného poskytování elektronických záznamů s neoprávněnými pokyny a porušení zákona o rádiových vlnách.

Použil různé metody pro kybernetický útok a navíc, aby se vyhnul odhalení svých činů, předem neoprávněně získal šifrovací klíče a připojil se k bezdrátovým přístupovým bodům LAN jiných lidí, někdy dokonce přes přeposílací servery, aby skryl původ připojení, a také změnil e-mailové adresy pro komunikaci před neoprávněnými převody peněz. Jeho činy byly sofistikované a zákeřné, a navíc, finanční škoda způsobená neoprávněnými převody peněz dosáhla celkem více než 5,19 milionu jenů. Navíc, krátce po podmínečném propuštění za předchozí trest za podobné trestné činy se dopustil těchto trestných činů, což vedlo k tomuto těžkému trestu.

Pokud má pachatel v průběhu takového útoku odeslat e-mail, může být možné identifikovat pachatele na základě tohoto e-mailu. Nicméně, na civilní úrovni je to obecně obtížné. Tento bod je také zmíněn v následujícím článku.

https://monolith.law/reputation/email-sender-identification[ja]

Opatření v případě neoprávněného přístupu

Pokud dojde k neoprávněnému přístupu do vašeho osobního účtu, poraďte se s právníkem dříve, než se škoda rozšíří.

Při používání e-mailu nebo sociálních sítí může dojít k neoprávněnému přístupu od cizích osob. Jaké jsou možnosti řešení v takovém případě?

Trestní oznámení

Nejprve je možné podat trestní oznámení na osobu, která provedla neoprávněný přístup. Neoprávněný přístup je trestný čin a osoba, která ho provedla, může být trestně stíhána. Jak jsme vysvětlili výše, pachatel může být potrestán trestem odnětí svobody až na tři roky nebo pokutou do 1 milionu jenů. Pokud někdo podpořil takové jednání, může být potrestán trestem odnětí svobody do jednoho roku nebo pokutou do 500 tisíc jenů.

Je třeba poznamenat, že porušení zákona o zákazu neoprávněného přístupu je trestný čin, který může být stíhán i bez trestního oznámení. Pokud policie zjistí o takovém činu, může zahájit vyšetřování a pachatele zatknout. Dokonce i když nejste osobou, která byla obětí neoprávněného přístupu, můžete tento čin nahlásit policii.

Jak jsme zmínili v článku o trestném činu narušení provozu, trestný čin, který vyžaduje trestní oznámení od oběti pro zahájení trestního stíhání, se nazývá “trestný čin na žalobu”. To však neznamená, že nemůžete podat trestní oznámení, pokud se nejedná o trestný čin na žalobu. I v případě trestných činů, které nejsou na žalobu, může oběť podat trestní oznámení.

I když se jedná o trestný čin, který není na žalobu, pokud oběť podá trestní oznámení, může to zhoršit situaci podezřelého a může vést k těžšímu trestu. Pokud si všimnete, že došlo k neoprávněnému přístupu, měli byste se poradit s právníkem a podat na policii oznámení o škodě nebo trestní oznámení. Jakmile policie přijme oznámení o škodě, začne okamžitě vyšetřování a může podezřelého zatknout nebo ho předat státnímu zástupci.

Požadovat občanskoprávní náhradu škody

V případě škody způsobené neoprávněným přístupem je možné požadovat občanskoprávní náhradu škody od pachatele na základě článku 709 občanského zákoníku.

Občanský zákoník článek 709
Osoba, která úmyslně nebo z nedbalosti porušila práva jiné osoby nebo zájmy chráněné zákonem, je povinna nahradit škodu způsobenou tímto porušením.

Pokud pachatel provede neoprávněný přístup a rozšíří tak získané osobní údaje, ukradne položky ze sociální hry, získá přístup k údajům o kreditní kartě nebo bankovním účtu a způsobí tak finanční škodu, měli byste požadovat náhradu škody, včetně odškodnění za bolest a utrpení. Samozřejmě, pokud dojde k neoprávněnému přístupu k údajům o kreditní kartě nebo bankovním účtu a skutečně vznikne finanční škoda, je možné požadovat náhradu této škody.

Avšak pro požadování náhrady škody od pachatele je nutné identifikovat pachatele a shromáždit důkazy o tom, že skutečně provedl neoprávněný přístup. To vyžaduje vysokou úroveň odborných znalostí. Pokud jste obětí škody způsobené neoprávněným přístupem, je nutné se poradit s právníkem s bohatými zkušenostmi s problémy na internetu a požádat ho o provedení postupu.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zpět na začátek