Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Systemoperatørens risiko for datatab og juridisk ansvar

Systemoperatørens risiko for datatab og juridisk ansvar

IT

Systemoperatørens risiko for datatab og juridisk ansvar

Der kan opstå problemer på IT-afdelingens arbejdsplads, hvor vigtige virksomhedsoplysninger, som virksomheden opbevarer i databaser, går tabt på grund af uforudsete omstændigheder. I sådanne tilfælde, hvis systemdriften er outsourcet til en ekstern leverandør, er det juridisk muligt at holde den eksterne leverandør ansvarlig?

I denne artikel vil vi diskutere, hvem der juridisk set bærer ansvaret for tab af information i en virksomhed.

Hvad betyder “drift” i en IT-system?

“Drift” i et IT-system kan meget simpelt beskrives som det arbejde, der involverer “at fortsætte med at bruge det eksisterende system som hidtil”. Systemer, der er nyudviklede (=udviklet) af IT-ingeniører og programmører, er ikke noget, der slutter, når de først er lavet. For eksempel, hvis du vil udføre en operation, der ikke kan udføres fra skærmsiden, kan det være nødvendigt at forbinde en computer til databasen og direkte indtaste computersprog (som SQL). Dette kan være nødvendigt for at udføre handlinger, der ikke kan udføres fra skærmsiden, såsom udtrækning eller ændring af data.

Denne type driftsarbejde er ofte lettere at standardisere, for eksempel ved at forberede en proceduremanual, sammenlignet med arbejde, der involverer implementering af nye programmer, og det er ofte lettere at outsource til eksterne leverandører.

Men selvom det er let at standardisere arbejdsopgaver, skal man huske, at fordi det er arbejde, der direkte manipulerer databasen, som virksomheden styrer, er det ofte tæt forbundet med store hændelser. Risikoen for lækage eller tab af information, som virksomheden har, kan være stigende uden at man er opmærksom på det, hvis man letfærdigt fortsætter med at outsource, uden at være opmærksom på det store ansvar, der følger med arbejdsopgaverne.

Risikoen for tab af information er tættere på, end du tror

Der er flere typer databaser, som virksomheder bruger, men i virkeligheden er de en form for software. Og de processer, der håndterer dataudtræk, ændringer, tilføjelser og sletninger i disse databaser, bruger typisk et computersprog kaldet SQL.

Vigtigheden af juridiske forhold

Der er mange forskellige typer arbejde inden for IT-systemer, herunder udvikling, drift og vedligeholdelse. Men det, der er fælles for alle disse job, er, at de primært handler om at arbejde med abstrakte ting som ‘data’ og ‘computersprog’. Derfor kan selv en lille fejl, som en forkert knaptrykning eller en lille indtastningsfejl, have konsekvenser, der spreder sig meget bredere end man kunne forvente. Dette er en grundlæggende forståelse, som alle, der arbejder med systemer, bør have, uanset om de er IT-specialister eller ej. Når der opstår et problem i et system, kan det hurtigt sprede sig ud over den pågældende afdeling og endda ud over virksomhedens grænser. Derfor er det vigtigt at forstå, hvorfor juridiske forhold er vigtige for systemer, både fra bestillerens og leverandørens synspunkt.

Risikoen for tab af virksomhedsdata

Lad os tage et simpelt eksempel. En SQL-kommando, der sletter alle data i en tabel, er bare en enkelt linje: ‘TRUNCATE’. Når man tænker på risikoen for tab af virksomhedsdata, er det ikke så vigtigt at kende SQL-syntaksen eller hvordan man betjener databasesoftware. Men det er vigtigt at forstå, at selv processen med at slette alle virksomhedens data kan være så simpel. Denne erkendelse er et godt udgangspunkt, når man tænker på risikoen for tab af virksomhedsdata.

Det er sandt, at driftsopgaver ofte kan standardiseres, og at der ofte ikke er problemer, hvis man følger proceduren. Men samtidig, hvis proceduren ikke følges, og der opstår en uregelmæssig situation, bliver vigtigheden af juridiske forhold tydelig.

Hvem er juridisk ansvarlig for tab af information?

Hvad er det juridiske ansvar i tilfælde af utilsigtet datatab?

Den juridiske karakter af en driftsoperatørs arbejde

Så, hvis data går tabt på grund af en utilsigtet hændelse, og der ikke er nogen måde at gendanne det på, hvem er så juridisk ansvarlig? Lad os analysere sådanne hændelser fra et juridisk perspektiv.

Det er svært at forfølge opbevaringspligten baseret på depositumskontrakten

En af de teoretiske konstruktioner, der kan overvejes, når man stiller spørgsmålet om ansvaret for en virksomhed, der håndterer dataoperationer, er at forfølge pligten til omhyggelig forvaltning baseret på en betalt depositumskontrakt. Dette er spørgsmålet om, hvorvidt det er muligt at forfølge ansvaret for tab af “data”, ligesom man ville forfølge erstatningsansvaret i princippet, hvis en virksomhed, der har modtaget et depositum af varer i en betalt møntskab, taber disse varer. Men ligesom med “opbevaringspligten” for “ting”, er det ikke realistisk at antage, at “opbevaringspligten for data” opstår naturligt under gældende lov.

Det afhænger af den specifikke kontraktindhold

I sidste ende er det svært at sige, at det er svært at komme frem til en ensartet løsning baseret på bestemmelserne i civilretten om, hvem der har “pligten til at opbevare data”. Derfor er det rimeligt at sige, at svaret afhænger af, hvad der er fastsat i den specifikke kontraktindhold.

Og “hvad var indholdet af kontrakten?” er ikke kun baseret på kontrakten selv, men også på mødereferater og lignende. Vigtigheden af mødereferater er detaljeret forklaret i artiklen nedenfor.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Det er svært at forfølge ansvaret for ulovlige handlinger fra tredjeparter, der ikke er kontrahenter

Det er klart fra retspraksis, at det er umuligt at forfølge ansvaret for ulovlige handlinger fra tredjeparter, der ikke har en kontraktforhold. I retspraksis blev spørgsmålet om muligheden for at kræve erstatning for skader baseret på ulovlige handlinger i tilfælde af tab af data i en serverudlejningstjeneste taget op.

Et typisk eksempel på en ulovlig handling er en trafikulykke. For eksempel, hvis en person bliver såret i en bilulykke på grund af førerens uagtsomhed, vil føreren være ansvarlig (ikke kun strafferetligt, men også civilretligt). Selvom der ikke er indgået en kontrakt mellem fremmede om “ikke at ramme en person med en bil”, kan erstatningsansvar opstå mellem private personer. På baggrund af denne ramme for ansvar for ulovlige handlinger blev det diskuteret, om det var muligt at forfølge ansvaret for tab af data, selvom der ikke var en direkte kontraktforhold.

Men retten påpegede karakteristika ved digital information og indikerede, at det er svært at antage eksistensen af sådanne forpligtelser naturligt.

Servere er ikke fejlfri, og fejl kan opstå, hvilket resulterer i tab af programmer og lignende, men programmer og lignende er digital information, der nemt kan kopieres, og hvis brugeren har registreret og gemt det, kan programmet genstartes, selvom det er tabt, hvilket er almindeligt kendt (hele essensen af argumentet), så sagsøgerne kunne nemt have taget foranstaltninger for at forhindre tab af programmet og dataene. I lyset af begge parters interesser, er der ingen grund eller nødvendighed for at pålægge sagsøgte, der installerer og administrerer serveren, en forpligtelse til at forhindre tab af sagsøgernes registreringer. (Omission) Sagsøgerne hævder, at udlejningsaftalen har karakter af en depositumskontrakt for tredjeparters programmer eller data, og at sagsøgte, som udlejer af serveren, har en pligt til at udvise omhyggelig forvaltning over for alle, der opbevarer registreringer på serveren, specifikt en forpligtelse til at forhindre tab af registreringer på serveren, og at sagsøgte har overtrådt denne forpligtelse ved at tabe sagsøgernes registreringer, der var gemt på serveren.


Men sagsøgte har kun indgået en aftale om brug af delt server hosting service med bruger A, og der er ingen kontraktforhold mellem sagsøgte og sagsøgerne, og det kan ikke siges, at der er en depositumskarakter i forhold til opbevaring af programmet og dataene, der er gemt på serveren, så det er svært at finde en grund til, at sagsøgte har en pligt til at udvise omhyggelig forvaltning under loven om ulovlige handlinger over for sagsøgerne, der ikke har en kontraktforhold, i forhold til registreringerne, der er gemt på serveren. Derfor kan det ikke siges, at sagsøgte, blot fordi den er en udlejer af servere, naturligt har en pligt til at udvise omhyggelig forvaltning eller en forpligtelse til at forhindre tab af registreringer, der er gemt på serveren, i forhold til tredjeparter, der ikke har en kontraktforhold.

Tokyo District Court, May 20, 2009 (Heisei 21)

Denne dom påpeger, at det ikke er rimeligt at antage, at der er en “pligt til ikke at slette data” for tredjeparter, der ikke har en direkte kontraktforhold (sagsøgerne). Denne dom har tiltrukket en vis opmærksomhed som en potentiel ledende sag, hvis lignende sager opstår i fremtiden.

I konklusion, er det ofte “svært” at forfølge ansvar

Desuden, hvis vi taler om kontrakter, der ofte bruges i praksis, er der ikke mange tilfælde, hvor kontrakter, der gør opbevaring og backup af data til driftsoperatørens ansvar, bruges, og tværtimod er der langt flere tilfælde, hvor det er fastsat, at det er brugerens (dvs. kundens virksomheds) ansvar.

Derfor, medmindre der er indgået en særlig aftale, bør det siges, at det er meget svært at antage, at en systemdriftsoperatør har pligten til at tage foranstaltninger for at forhindre tab af data, både juridisk og praktisk.

Hvad man bør gøre for at forberede sig på risikoen for tab af information

Sørg altid for at lave en backup for at forhindre tab af data.

I sidste ende handler risikoen for tab af information, som en virksomhed har, om den information, virksomheden selv opbevarer. Derfor er det sandsynligt, at det er op til virksomheden selv at afgøre, hvordan man skal tage højde for denne risiko og hvilken opbevaringsstruktur man skal opbygge.

Desuden, selvom virksomhedens ansvar skulle blive anerkendt, kan det være, at erstatningsbeløbet ikke bliver fuldt ud anerkendt på grund af en modregning for uagtsomhed. Der har været retssager, hvor sagsøgeren, der havde lagret sine data på serveren, havde slettet dataene, og det blev anerkendt, at sagsøgeren ikke havde taget en backup, hvilket blev betragtet som “uagtsomhed”, og en modregning for uagtsomhed blev anerkendt.

Sagsøgeren kunne nemt have taget backup af filens indhold og dermed have forhindret skaden, eller i det mindste have begrænset skaden til et meget minimalt niveau, men det er anerkendt, at sagsøgeren ikke havde gemt nogen data fra filen på tidspunktet for ulykken.

Derfor bør vi i denne sag tage højde for dette punkt og anvende bestemmelsen om modregning for uagtsomhed, når vi fastsætter beløbet af sagsøgtes erstatningsansvar. Dette er i overensstemmelse med princippet om retfærdighed i erstatningsretten.

Imidlertid hævder sagsøgeren, at det var umuligt for ham at forudse, at filen ville blive slettet fra serveren af sagsøgte, der er en internetudbyder, og at det derfor ikke kan anerkendes, at han havde en juridisk forpligtelse til at tage en backup, og at hans undladelse ikke kan betragtes som uagtsomhed i juridisk forstand, og at anvendelsen af modregning for uagtsomhed bør afvises.

Men for at anvende modregning for uagtsomhed er det tilstrækkeligt at anerkende, at sagsøgeren kunne have forudset, at filen ville blive slettet, og det er ikke nødvendigt at forudse, at filen ville blive slettet som følge af sagsøgtes overtrædelse af sin pligt til at være opmærksom.

I denne sag er det klart, at sagsøgeren var opmærksom på risikoen for, at hackere kunne trænge ind på hjemmesiden, og sagsøgeren anerkender, at der er en risiko for, at information kan blive ændret eller ødelagt i internetkommunikation, og at denne risiko kunne forudses. Derfor kan det konkluderes, at sagsøgeren kunne have forudset risikoen for, at filen kunne blive slettet på grund af årsager, der er specifikke for internetkommunikation, og at det er fuldt ud muligt at bekræfte, at sagsøgeren kunne have forudset, at filen kunne blive slettet, og at der ikke er nogen hindring for at bekræfte anvendelsen af modregning for uagtsomhed.

Tokyo District Court, September 28, 2001 (Heisei 13)

I denne sag blev erstatningsbeløbet halveret, fordi det blev fastslået, at “da der ikke blev taget en backup, var det muligt at forudse risikoen for, at filen kunne blive slettet af en eller anden grund, såsom indtrængen af hackere, og derfor er der en anvendelse af modregning for uagtsomhed”.

Opsummering

Det er ikke kun begrænset til risikoen for tab af data, men når systemarbejdet outsources, er brugerne ofte kun bekymrede for betjeningen af skærmsiden, og organisationens governance strækker sig ofte ikke til databasen, der opbevares i baggrunden.

Men, som tidligere retssager antyder, er det ikke noget, man bare kan betragte som “andres problem”. Med andre ord, det er nødvendigt at være opmærksom på, at det at etablere en ledelsesstruktur, der tager højde for risikoen for tab af information, såsom at tage backup, i sidste ende er et problem på brugersiden (internt i virksomheden).

Tidligere retssager antyder, at det at ikke være forberedt på sådanne risici kan føre til uoprettelige situationer, og det bør forstås som en advarsel om nødvendigheden af forebyggelse. Er det ikke det, vi bør tage til efterretning?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Hvad er de juridiske problemer forbundet med server- og infrastruktur i systemudvikling?

Hvad er de juridiske problemer forbundet med server- og infrastruktur i systemudvikling?

IT

Risici ved virksomheders implementering af ChatGPT. En gennemgang af tilfælde af lækage af fortrolige oplysninger og modforholdsregler

Risici ved virksomheders implementering af ChatGPT. En gennemgang af tilfælde af lækage af fortr.

IT

Er DoS en forbrydelse? En advokat forklarer om 'Japanese Computer Damage and Business Interference Crime'

Er DoS en forbrydelse? En advokat forklarer om 'Japanese Computer Damage and Business Interferen.

IT

Er det muligt at øge det estimerede beløb for systemudvikling efterfølgende?

Er det muligt at øge det estimerede beløb for systemudvikling efterfølgende?

IT

Forklaring af juridiske overvejelser ved 'SES-kontrakter' for at løse mangel på personale

Forklaring af juridiske overvejelser ved 'SES-kontrakter' for at løse mangel på personale

IT

Kan en kontrakt om systemudvikling etableres uden en kontrakt?

Kan en kontrakt om systemudvikling etableres uden en kontrakt?

IT

Krav om licensvisning, når AGPL's open source kun bruges på serversiden

Krav om licensvisning, når AGPL's open source kun bruges på serversiden

IT

Risici og foranstaltninger forbundet med brug af biblioteker i forretnings systemopbygning

Risici og foranstaltninger forbundet med brug af biblioteker i forretnings systemopbygning

IT

Hvad er flertrinskontrakter i systemudvikling? En forklaring inklusive anbefalede grunde

Hvad er flertrinskontrakter i systemudvikling? En forklaring inklusive anbefalede grunde

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen