MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

IT

Advokaat selgitab ebaseadusliku juurdepääsu keelustava seaduse (Jaapani ebaseadusliku juurdepääsu keelustamise seadus) poolt keelatud tegevusi ja näiteid

IT

Advokaat selgitab ebaseadusliku juurdepääsu keelustava seaduse (Jaapani ebaseadusliku juurdepääsu keelustamise seadus) poolt keelatud tegevusi ja näiteid

Ebaseadusliku juurdepääsu keelustamise seadus (ametlik nimi “Ebaseadusliku juurdepääsu ja sellega seotud tegevuste keelustamise seadus”) jõustus 2000. aasta veebruaris (Gregoriuse kalendri järgi) ja seda muudeti 2012. aasta mais (Gregoriuse kalendri järgi). See on praegu kehtiv seadus. See on seadus, mille eesmärk on ennetada küberruumis toime pandavaid kuritegusid ja säilitada elektroonilise side korra, koosnedes 14 paragrahvist.

“Ebaseadusliku juurdepääsu ja sellega seotud tegevuste keelustamise seadus” (eesmärk)

Paragrahv 1. Selle seaduse eesmärk on keelustada ebaseaduslik juurdepääs, määrata karistused selle eest ja määrata kindlaks maakonna avaliku julgeoleku komisjoni abinõud selle kordumise vältimiseks, et ennetada arvutikuritegusid, mis toimuvad elektroonilise side kaudu, ja säilitada elektroonilise side kord, mida realiseeritakse juurdepääsukontrolli funktsioonide kaudu, ning seeläbi aidata kaasa kõrgtehnoloogilise infoühiskonna tervislikule arengule.

Mida täpselt ebaseadusliku juurdepääsu keelustamise seadus keelustab? Millised on reaalsed juhtumid ja milliseid meetmeid tuleks kriminaal- ja tsiviilõiguslikult võtta? Selgitame ebaseadusliku juurdepääsu keelustamise seaduse üldjoontes ja mida teha, kui olete selle ohvriks langenud.

Tegevused, mida keelatakse ebaseadusliku juurdepääsu tõkestamise seadusega (Jaapani ebaseadusliku juurdepääsu tõkestamise seadus)

Ebaseadusliku juurdepääsu tõkestamise seadusega (Jaapani ebaseadusliku juurdepääsu tõkestamise seadus) keelatakse ja karistatakse peamiselt järgmisi kolme tegevust:

  • Ebaseadusliku juurdepääsu tegevuse keelustamine (artikkel 3)
  • Ebaseadusliku juurdepääsu soodustava tegevuse keelustamine (artikkel 5)
  • Teise isiku tuvastuskoodi ebaseaduslik hankimine, hoidmine või sisestamise nõudmine (artiklid 4, 6, 7)

Selles kontekstis tähendab tuvastuskood koodi, mida kasutatakse juurdepääsu haldaja poolt konkreetse elektroonilise arvuti konkreetse kasutamise lubamiseks ja kasutajaõiguste eristamiseks teistest kasutajaõiguste omanikest (artikkel 2, lõige 2).

Tuvastuskoodi tüüpiliseks näiteks on parool, mida kasutatakse koos ID-ga. Lisaks on viimasel ajal üha enam levinud süsteemid, mis tuvastavad isiku sõrmejälje või silma iirise abil, ja need on samuti tuvastuskoodid. Lisaks, kui isikut tuvastatakse allkirja kuju või kirjutamissurve alusel, on tuvastuskoodiks allkirja digiteeritud ja kodeeritud versioon.

Ebaõiglane juurdepääs: mis see on?

Konkreetselt on see määratletud paragrahvi 2 lõikes 4, kuid ebaõiglane juurdepääs hõlmab teise isiku identifitseerimiskoodi kuritarvitamist, mida nimetatakse “pettuseks”, ja arvutiprogrammi puuduste ärakasutamist, mida nimetatakse “turvaaukude ründamiseks”. Jaapani ebaõiglase juurdepääsu seadus keelab nende meetodite abil teise isiku arvutisse ebaõiglaselt sisse logimise.

Teise isiku identifitseerimiskoodi kuritarvitamine

Niinimetatud “pettus” tähendab teise isiku identifitseerimiskoodi kuritarvitamist, et kasutada arvutit, millele teil pole õigust juurde pääseda.

Teisisõnu, kui kasutate arvutisüsteemi, peate sisestama arvutisse ID või parooli või muu identifitseerimiskoodi. See tähendab, et sisestate teise isiku identifitseerimiskoodi ilma tema loata.

Võib olla natuke keeruline mõista, kuid siin tähendab “teise isiku” juba loodud (ja kasutatud) ID või parooli. “Pettus” tähendab lühidalt, et “võtate üle” teise isiku konto, mida ta juba kasutab, näiteks Twitteri või muu sotsiaalmeedia konto.

Kuna nõue on see, et identifitseerimiskoodi sisestatakse ilma isiku loata, ei riku see ebaõiglase juurdepääsu seadust, kui näiteks ärireisil olles palute kolleegil, kes on kontoris, oma parooli õpetada ja kontrollida oma e-kirju teie eest, kuna olete saanud nõusoleku isikult.

Üldiselt tähendab “pettus” seda, kui keegi loob uue konto, kasutades teise isiku nime või fotot, ja kasutab Twitterit või muud sotsiaalmeediat teise isiku nimel. Kuid ebaõiglase juurdepääsu seadusega keelatud tegevus on erinev. Üldise tähendusega “pettuse” kohta leiate üksikasjalikuma selgituse allpool toodud artiklist.

https://monolith.law/reputation/spoofing-dentityright[ja]

Arvutiprogrammi puuduste ärakasutamine

“Turvaaukude ründamine” tähendab teise isiku arvuti turvaaukude (turvameetmete puudused) ründamist, et saada juurdepääs sellele arvutile. Kasutades ründeprogramme jms, antakse rünnaku objektile identifitseerimiskoodist erinevaid andmeid või juhiseid, et mööda minna teise isiku arvuti juurdepääsukontrollifunktsioonist ja kasutada arvutit ilma loata.

Selles kontekstis tähendab juurdepääsukontrollifunktsioon funktsiooni, mille juurdepääsuadministraator on andnud konkreetsele arvutile või arvutile, mis on ühendatud teise arvutiga telekommunikatsiooniliini kaudu, et piirata konkreetse arvuti konkreetset kasutamist nii, et seda ei saaks kasutada keegi teine peale õigustatud kasutaja (paragrahv 2, lõige 3).

Lihtsamalt öeldes on see süsteem, mis nõuab võrgus kasutajatelt ID ja parooli sisestamist ning võimaldab kasutamist ainult siis, kui on sisestatud õige ID ja parool.

Seega, “turvaaukude ründamine” tähendab, et see süsteem muudetakse kasutuks, võimaldades kasutada vastavat arvutisüsteemi ilma õige ID ja parooli sisestamiseta.

Kaks tüüpi ebaõiglast juurdepääsu

Nagu eespool mainitud, on ebaõiglasel juurdepääsul kaks tüüpi.

Tuleb märkida, et mõlemat tüüpi ebaõiglase juurdepääsu korral peab see toimuma arvutivõrgu kaudu. Seega, isegi kui sisestate loata parooli jne arvutisse, mis pole võrguga ühendatud, st nn standalone arvutisse, ei loeta seda ebaõiglaseks juurdepääsuks.

Kuid arvutivõrk hõlmab mitte ainult avatud võrke nagu internet, vaid ka suletud võrke nagu ettevõtte LAN.

Lisaks ei ole ebaõiglase juurdepääsu abil tehtava ebaõiglase kasutamise sisule piiranguid. Näiteks ebaõiglane tellimine, andmete vaatamine, failide ülekandmine ja isegi veebilehe ümberkirjutamine rikub ebaõiglase juurdepääsu seadust.

Kui teete ühte neist kahest ebaõiglase juurdepääsu tüübist, võib teile määrata “kuni kolmeaastase vangistuse või kuni miljoni jeeni suuruse trahvi” (paragrahv 11).

Mis on ebaseadusliku juurdepääsu soodustamine?

Ebaseadusliku juurdepääsu soodustamine, mida keelustab Jaapani ebaseadusliku juurdepääsu tõkestamise seadus (Japanese Unauthorized Access Prohibition Law), tähendab kellegi teise ID või parooli andmete andmist kolmandale isikule ilma selle isiku loata. Sõltumata vahenditest, nagu telefon, e-post või veebileht, kui te teavitate teist isikut, öeldes näiteks “ID on XX, parool on YY”, ja võimaldate teistel isikutel juurdepääsu kellegi teise andmetele, siis see kvalifitseerub ebaseadusliku juurdepääsu soodustamiseks.

Kui te soodustate ebaseaduslikku juurdepääsu, võite saada karistuseks kuni ühe aasta vangistust või kuni 500 000 jeeni (Japanese yen) trahvi (paragrahv 12, lõige 2).

Märkus: isegi kui te annate parooli teadmata, et see soodustab ebaseaduslikku juurdepääsu, võite saada kuni 300 000 jeeni trahvi (paragrahv 13).

Teise isiku tuvastuskoodi ebaseaduslik hankimine, hoidmine ja sisestamise nõudmine

Jaapani ebaseadusliku juurdepääsu seaduses (Japanese Unauthorised Access Prohibition Law) on keelatud teise isiku tuvastuskoodi (ID, parool) ebaseaduslik hankimine, hoidmine ja sisestamise nõudmine.

  • Artikkel 4: Teise isiku tuvastuskoodi ebaseadusliku hankimise keeld
  • Artikkel 6: Teise isiku tuvastuskoodi ebaseadusliku hoidmise keeld
  • Artikkel 7: Teise isiku tuvastuskoodi ebaseadusliku sisestamise nõudmise keeld

Selle keelu tüüpiline näide on “sisestamise nõudmise tegevus”, mida tuntakse ka kui “kalapüügi” tegevust. Näiteks võib see hõlmata ohvri meelitamist võltsitud kodulehele, mis on tehtud sarnaseks autentse finantsasutusega, ja ohvri parooli või ID sisestamise nõudmist selles võltsitud kodulehel.

Kalapüügi teel hankitud tuvastuskoodi kasutatakse sageli oksjonipettustes ja sageli juhtub, et ohvri hoiused kantakse ilma loata teisele kontole.

Need tegevused võivad kaasa tuua kuni ühe aasta pikkuse vangistuse või kuni 500 000 jeeni (umbes 4000 euro) suuruse trahvi (Artikkel 12, punkt 4).

Mis on seadused, mis reguleerivad muid kui ebaseadusliku juurdepääsu tegevusi küberkuritegevuses?

Nagu näha, on ebaseadusliku juurdepääsu keelustamise seadus (Jaapani ebaseadusliku juurdepääsu keelustamise seadus) seadus, mis on mõeldud tegelema teatud tüüpi nn küberkuritegevusega. Kui rääkida “küberkuritegevuse” tervikust, võivad teised seadused, nagu arvuti hävitamise ja muude äritegevuse häirete seadus (Jaapani arvuti hävitamise ja muude äritegevuse häirete seadus), pettusega äritegevuse häirete seadus (Jaapani pettusega äritegevuse häirete seadus) ja au teotamise seadus (Jaapani au teotamise seadus), samuti olla probleemiks. Küberkuritegevuse üldpilti selgitatakse üksikasjalikult allpool toodud artiklis.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Juurdepääsu haldaja kohustused

Seletame kohustusi, mis on määratletud Jaapani ebaseadusliku juurdepääsu tõkestamise seadusega (Japanese Unauthorised Access Prohibition Law). Juurdepääsu haldaja on isik, kes haldab teatud arvuti toimimist, mis on ühendatud telekommunikatsiooniliiniga (paragrahv 2, lõige 1).

Selles kontekstis tähendab haldamine otsustamist, kes ja millises ulatuses saab teatud arvutit võrgu kaudu kasutada. Isikud, kellel on õigus määrata sellised kasutajad ja kasutusulatus, on ebaseadusliku juurdepääsu tõkestamise seaduse mõistes juurdepääsu haldajad.

Näiteks, kui ettevõte kasutab teatud arvutisüsteemi, määratakse süsteemi eest vastutav isik töötajate hulgast, kuid iga süsteemi eest vastutav isik haldab süsteemi ainult ettevõtte tahte kohaselt. Seega, sellises olukorras on juurdepääsu haldaja mitte süsteemi eest vastutav isik, vaid arvutisüsteemi kasutav ettevõte.

Ebaseadusliku juurdepääsu tõkestamise seadus määratleb mitte ainult ebaseadusliku juurdepääsu tegevuse ja karistused, vaid seab ka serverite jms haldamisele kohustuse tõkestada ebaseaduslik juurdepääs.

Juurdepääsu haldaja poolt rakendatavad kaitsemeetmed

Paragrahv 8. Juurdepääsu haldaja, kes on lisanud juurdepääsu kontrollfunktsiooni teatud arvutile, peab püüdma korralikult hallata identifitseerimiskoodi või koodi, mida kasutatakse selle juurdepääsu kontrollfunktsiooni kontrollimiseks, alati kontrollima juurdepääsu kontrollfunktsiooni tõhusust ja kui ta peab seda vajalikuks, peab ta kiiresti parandama selle funktsiooni või rakendama muid vajalikke meetmeid teatud arvuti kaitsmiseks ebaseadusliku juurdepääsu eest.

“Identifitseerimiskoodi korrektne haldamine”, “juurdepääsu kontrollfunktsiooni tõhususe pidev kontrollimine” ja “vajadusel juurdepääsu kontrollfunktsiooni täiustamine” on kohustuslikud, kuid need on jõupingutuste kohustused, seega ei kaasne nende meetmete eiramisega karistusi.

Kuid haldajad peavad, kui on märke, et ID või parool on lekkinud, viivitamatult rakendama juurdepääsu kontrolli, näiteks konto kustutamine või parooli muutmine.

Meetmed ebaseadusliku juurdepääsu korral

Kui kasutate e-kirju või sotsiaalmeediat, võite olla ohvriks ebaseaduslikule juurdepääsule teiste poolt. Millised on võimalikud meetmed sellises olukorras?

Kriminaalkaebuse esitamine

Esiteks, on võimalik esitada kriminaalkaebus isikule, kes on ebaseaduslikult juurde pääsenud. Ebaseaduslik juurdepääs on kuritegu ja ebaseadusliku juurdepääsu teinud isik võib saada kriminaalkaristuse. Nagu eespool selgitatud, võib isik, kes on ebaseaduslikult juurde pääsenud, saada kuni kolmeaastase vangistuse või kuni miljoni jeeni (umbes 8000 euro) trahvi. Kui keegi on seda soodustanud, võib ta saada kuni üheaastase vangistuse või kuni 500 000 jeeni (umbes 4000 euro) trahvi.

Lisaks, kuna ebaseadusliku juurdepääsu keelustamine on kuritegu, mida ei pea ohver ise avaldama, võib politsei alustada uurimist ja vahistada kahtlusaluse isegi ilma kaebuseta, kui nad saavad teada sellest faktist. Samuti võib isik, kes teab sellest faktist, isegi kui ta pole ohver, teavitada politseid.

Nagu mainitud ka äritegevuse häirimise seaduse artiklis, on kuriteod, mille puhul süüdistust ei saa esitada ilma ohvri kriminaalkaebuseta, kuid see ei tähenda, et kaebust ei saa esitada, kui see pole selline kuritegu. Ka juhul, kui tegemist ei ole sellise kuriteoga, võib ohver esitada kaebuse kahtlusaluse vastu.

Kuigi see ei pruugi olla selline kuritegu, võib kahtlusaluse olukord halveneda ja karistus võib olla raskem, kui ohver on esitanud kriminaalkaebuse. Kui märkate, et olete olnud ebaseadusliku juurdepääsu ohver, peaksite nõu pidama advokaadiga ja esitama politseile kuriteoteate või kaebuse. Kui politsei aktsepteerib kuriteoteate, alustavad nad kiiresti uurimist ja võivad kahtlusaluse vahistada või kohtusse saata.

Tsiviilhagi esitamine

Kui olete saanud kahju ebaseadusliku juurdepääsu tõttu, on võimalik nõuda kahjutasu süüdlaselt tsiviilõiguslikult, tuginedes Jaapani tsiviilseadustiku (Japanese Civil Code) paragrahvile 709.

Tsiviilseadustiku paragrahv 709

Isik, kes on tahtlikult või hooletuse tõttu rikkunud teise isiku õigusi või seadusega kaitstud huve, peab hüvitama sellest tuleneva kahju.

Kui süüdlane on ebaseaduslikult juurde pääsenud ja levitanud seal saadud isikuandmeid, varastanud sotsiaalmängude esemeid, pääsenud juurde krediitkaardi või pangakonto andmetele ja põhjustanud varalise kahju, peaksite nõudma hüvitist ja esitama kahjutasu nõude. Loomulikult, kui teie krediitkaardi või pangakonto andmetele on juurde pääsetud ja on tekkinud tegelik varaline kahju, on võimalik nõuda ka selle hüvitamist.

Kuid süüdlasele kahjutasu nõudmiseks peate kindlaks tegema süüdlase ja koguma tõendeid selle kohta, et ta on tõesti ebaseaduslikult juurde pääsenud, mis nõuab kõrgelt spetsialiseeritud teadmisi. Kui olete saanud kahju ebaseadusliku juurdepääsu tõttu, peaksite pöörduma kogenud advokaadi poole ja paluma tal menetlust läbi viia.

Kokkuvõte

Jaapani ebaseadusliku juurdepääsu keeluseadusel on tänapäeva üha enam IT-keskseks muutuvas ühiskonnas üha suurem tähtsus. Siiski, isegi kui tegelikult on toimunud ebaseaduslik juurdepääs, on ohvril endal sageli tehniliselt keeruline kurjategijat tuvastada.

Lisaks, kuna Jaapani ebaseadusliku juurdepääsu keeluseaduse rikkumine on kriminaalkaristuse objekt, võib ohver esitada politseile kaebuse. Kuid kuna see on uus kuriteoliik, ei pruugi politsei alati kohe juhtumit mõista. Seetõttu on kaebuse esitamisel vaja selgitada olukorda nii juriidilisest kui ka tehnilisest vaatenurgast, et aidata politseil olukorda mõista. Selles mõttes on Jaapani ebaseadusliku juurdepääsu keeluseadusega tegelemine väga spetsialiseerunud, mistõttu on oluline konsulteerida advokaadiga, kes on kursis ka IT-tehniliste aspektidega.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Return to Top