सिस्टम ऑपरेटर के डाटा खोने का जोखिम और कानूनी जिम्मेदारी

2023.12.01

2023.12.26

सिस्टम ऑपरेटर के डाटा खोने का जोखिम और कानूनी जिम्मेदारी

कंपनियां जो अपनी महत्वपूर्ण जानकारी को डेटाबेस में संग्रहित करती हैं, उन्हें कभी-कभी अप्रत्याशित परिस्थितियों के कारण उस जानकारी की हानि का सामना करना पड़ता है, जो सिस्टम विभाग के स्तर पर होता है। ऐसी स्थिति में, यदि सिस्टम के संचालन कार्य को बाहरी एजेंसी को आउटसोर्स किया गया है, तो क्या उस एजेंसी पर जिम्मेदारी का दाब दिया जा सकता है कानूनी रूप से?

इस लेख में, हम कंपनियों में जानकारी की हानि के दुर्घटनाओं के बारे में चर्चा करेंगे, और यह स्पष्ट करेंगे कि कानूनी रूप से जिम्मेदारी किस पर आती है।

IT सिस्टम में ‘ऑपरेशन’ का क्या अर्थ है

यदि हम बहुत सरल भाषा में बताएं, तो IT सिस्टम में ‘ऑपरेशन’ का अर्थ होता है, “वर्तमान सिस्टम का उपयोग करने का काम जारी रखना।” IT इंजीनियर और प्रोग्रामर द्वारा नया बनाया गया (यानी विकसित किया गया) सिस्टम, एक बार बनने के बाद समाप्त नहीं होता। उदाहरण के लिए, यदि आपको ऐसा ऑपरेशन चलाना हो जिसे स्क्रीन के माध्यम से नहीं किया जा सकता, तो आपको डाटाबेस से कंप्यूटर को जोड़ने की और कंप्यूटर भाषा (जैसे SQL) को सीधे इनपुट करने की आवश्यकता हो सकती है (उदाहरण के लिए, डाटा का निष्कर्षण या परिवर्तन जिसे स्क्रीन के माध्यम से नहीं किया जा सकता)।

ऐसे ऑपरेशन कार्य, नए प्रोग्राम को लागू करने के काम की तुलना में, अक्सर प्रक्रिया को स्थिर करने के लिए जैसे कि मैनुअल तैयार करना, आसान होता है, और इसे बाहरी विक्रेताओं को आउटसोर्स करना भी आसान होता है।

हालांकि, यदि कार्य स्थिर होने के लिए आसान है, तो भी, यदि यह कार्य कंपनी के डाटाबेस को सीधे संचालित करने का काम है, तो यह बड़े पैमाने पर घटनाओं के साथ जुड़ा हो सकता है, इसे ध्यान में रखना चाहिए। कंपनी की जानकारी की रिस्क लीक होने या खो जाने का जोखिम, कार्य की जिम्मेदारी की गंभीरता को नजरअंदाज करते हुए आसानी से आउटसोर्सिंग को बढ़ाने से, कभी-कभी बड़े पैमाने पर बढ़ जाता है।

सूचना की हानि का जोखिम अपेक्षाकृत नजदीकी होता है

व्यवसायों द्वारा उपयोग किए जाने वाले डेटाबेस के कई प्रकार होते हैं, लेकिन उनकी वास्तविकता एक प्रकार के सॉफ्टवेयर की होती है। और, वहां प्रबंधित होने वाले डेटा की निकासी, परिवर्तन, जोड़ना, हटाना आदि प्रक्रियाएं मूल रूप से, SQL नामक कंप्यूटर भाषा का उपयोग करके की जाती हैं।

कानूनी मामलों का महत्व

IT सिस्टम से संबंधित तकनीशियनों के काम में विकास, संचालन, रखरखाव आदि, विभिन्न प्रकार होते हैं, लेकिन उनके काम करने के तरीके में सामान्यतः ‘डेटा’ और ‘कंप्यूटर भाषा’ जैसी अमूर्त वस्तुओं का संचालन केंद्रीय होता है। इसलिए, केवल काम की बाहरी दिखावट के हिसाब से, एक गलत बटन की क्रिया या थोड़ी सी इनपुट गलती भी, उस गलती के प्रभाव की सीमा ऐसी हो सकती है जिसे पहले से अनुमान लगाना संभव नहीं होता है। ऐसा आधारभूत धारणा, IT तकनीशियन हों या न हों, मूल रूप से सिस्टम से संबंधित काम करने वाले सभी लोगों को स्वीकार करनी चाहिए। सिस्टम से संबंधित काम की प्रकृति के कारण, अगर कोई समस्या उत्पन्न होती है, तो उसका प्रभाव संबंधित विभाग को पार करके, और कंपनी की सीमाओं को पार करके, तत्परता से फैल जाता है। सिस्टम में कानूनी मामलों का महत्व क्यों है, यह आदेशकर्ता और ठेकेदार दोनों की दृष्टि से, इस प्रकार के दृष्टिकोण से समझाया जा सकता है।

कंपनी डेटा की हानि का जोखिम

आइए थोड़ा सा साधारण उदाहरण लेते हैं। SQL में एक तालिका के द्वारा रखे गए डेटा को पूरी तरह से हटाने के लिए क्वेरी (आदेश) केवल एक पंक्ति ‘TRUNCATE’ लिखने की आवश्यकता होती है। कंपनी के डेटा की हानि के जोखिम के बारे में सोचते समय, SQL की व्याकरण या डेटाबेस सॉफ्टवेयर के ऑपरेशन को अच्छी तरह से जानना इतना महत्वपूर्ण नहीं होगा। हालांकि, कंपनी द्वारा संग्रहीत सभी डेटा को हटाने के बारे में भी, केवल कार्य की बात करने पर, यह बहुत ही साधारण हो सकता है, इस बात को समझना चाहिए। ऐसी वास्तविकता की पहचान ही, कंपनी के डेटा की हानि के जोखिम के बारे में सोचने का आधारभूत बिंदु हो सकती है।

निश्चित रूप से, संचालन कार्य को मानकीकृत किया जा सकता है, और अगर प्रक्रिया के अनुसार काम किया जाए तो अधिकांश समस्याएं नहीं होती हैं। हालांकि, यदि प्रक्रिया के अनुसार काम नहीं किया जाता है, और अनियमित स्थिति उत्पन्न होती है, तो कानूनी मामलों का महत्व स्वतः ही स्पष्ट हो जाता है।

सूचना की हानि कानूनी रूप से किसकी जिम्मेदारी होती है

अनपेक्षित डेटा हानि के मामले में कानूनी जिम्मेदारी क्या होती है?

ऑपरेटिंग बिजनेस के काम की कानूनी प्रकृति

तो, अगर ऐसे अनपेक्षित घटनाक्रम के कारण डेटा खो गया है, और उसे पुनर्स्थापित करने का कोई तरीका भी नहीं है, तो इसकी कानूनी जिम्मेदारी कहां होगी? नीचे, कानूनी दृष्टिकोण से, ऐसी घटनाओं का विश्लेषण करते हैं।

आधारित निर्वासन संविदा के आधार पर भंडारण करने का दायित्व लेना कठिन है

डाटा संचालन कार्य को प्रतिस्थापित करने वाले व्यापारी की जिम्मेदारी को सवाल बनाने के लिए सोचा जा सकता है कि एक सिद्धांत रचना, एक विचार किया जा सकता है, यही है कि भुगतान की आधारित निर्वासन संविदा के आधार पर अच्छी प्रबंधन की जिम्मेदारी को ले रहे हैं। यह सीधे शब्दों में कहने के लिए, यह एक ऐसे मामले की तरह है जैसे कि एक व्यापारी ने भुगतान की आधारित कॉइन लॉकर में वस्तुओं की निर्वासन को स्वीकार किया और उस वस्तु को खो दिया, जिसमें मूल रूप से क्षतिपूर्ति की जिम्मेदारी का पीछा किया जाता है, यही समस्या है कि क्या “डाटा” की खोने की जिम्मेदारी का पीछा किया जा सकता है। हालांकि, “वस्तु” के प्रति भंडारण की जिम्मेदारी की बात के समान, “डाटा की भंडारण की जिम्मेदारी” को स्वतः ही उत्पन्न होने का विचार करना, वर्तमान कानून के तहत वास्तविक नहीं है।

यह विशेष अनुबंध सामग्री पर निर्भर करता है

अंत में, “डेटा की संग्रहण जिम्मेदारी किसकी होगी” इस समस्या का समाधान नागरिक कानून के प्रावधानों के आधार पर एक सामान्य समाधान निकालना कठिन होगा। इसलिए, इसका उत्तर होगा, “यह विशेष अनुबंध सामग्री में कैसे निर्धारित किया गया है”।

और, “अनुबंध की सामग्री क्या थी” इस बिंदु पर, यह केवल अनुबंध पत्र के आधार पर नहीं, बल्कि बैठक की कार्यवाही आदि को भी मिलाकर निर्धारित किया जाएगा। बैठक की कार्यवाही के महत्व के बारे में निम्नलिखित लेख में विस्तार से विवेचना की गई है।

https://monolith.law/corporate/the-minutes-in-system-development[ja]

अनुबंधकर्ता के अलावा तीसरे पक्ष से अवैध कार्यवाही की जिम्मेदारी का पीछा करना कठिन है

इसके अलावा, अनुबंध संबंध न होने वाले तीसरे पक्ष से अवैध कार्यवाही की जिम्मेदारी का पीछा करना असंभव है, यह न्यायाधीश के फैसले पर स्पष्ट रूप से दिखाई देता है। न्यायाधीश के फैसले में, रेंटल सर्वर सेवा में डाटा की हानि के मामले में, उपयोगकर्ता के अवैध कार्यवाही के आधार पर हानि भरपाई की मांग की संभावना को विचार किया गया था।

अवैध कार्यवाही के प्रमुख उदाहरण में, यातायात दुर्घटना होती है। उदाहरण के लिए, यदि एक कार दुर्घटना में चालक की लापरवाही के कारण किसी को चोट पहुंचती है, तो (आपराधिक तो बिलकुल भी) नागरिक रूप से भी जिम्मेदारी होती है। एक अजनबी के साथ “कार से किसी को नहीं मारने” का अनुबंध बनाने का कोई मामला नहीं होता, लेकिन निजी व्यक्तियों के बीच भी हानि भरपाई की जिम्मेदारी उत्पन्न हो सकती है। इस प्रकार की अवैध कार्यवाही की जिम्मेदारी के ढांचे के आधार पर, सीधे अनुबंध संबंध न होने वाले पक्ष के लिए भी, डाटा की हानि की जिम्मेदारी का पीछा करना संभव है या नहीं, इस पर विवाद हुआ था।

हालांकि, न्यायालय ने डिजिटल जानकारी की विशेषताओं को उद्धृत करते हुए, इस प्रकार के कर्तव्य की उपस्थिति को स्वाभाविक रूप से निर्देशित करना कठिन है, इसका संकेत दिया।

सर्वर अदोष नहीं होते हैं और विकृति हो सकती है जिससे सहेजे गए प्रोग्राम आदि नष्ट हो सकते हैं, प्रोग्राम आदि डिजिटल जानकारी होती है, जिसे आसानी से प्रतिलिपि बनाया जा सकता है, उपयोगकर्ता यदि प्रोग्राम आदि नष्ट हो गए हैं, तो यदि उन्होंने इसे रिकॉर्ड और सहेजा है, तो प्रोग्राम आदि को फिर से चालू कर सकते हैं इसलिए, यह बात व्यापक रूप से जानी जाती है (वाद का पूरा सारांश) कि, मुद्दायी आसानी से इस मामले के प्रोग्राम और इस मामले के डाटा की हानि रोकने के उपाय कर सकते थे। इस प्रकार के मुद्दायी और प्रतिवादी दोनों के लाभ स्थिति को ध्यान में रखते हुए, इस मामले के सर्वर को स्थापित और प्रबंधित करने वाले प्रतिवादी के लिए, मुद्दायी के उपरोक्त रिकॉर्ड की सुरक्षा के लिए उनकी हानि रोकने के कर्तव्य को भी उठाने का कोई कारण या आवश्यकता नहीं होनी चाहिए। (मध्य छोड़कर), मुद्दायी ने, रेंटल सर्वर अनुबंध का तीसरे पक्ष के प्रोग्राम या डाटा के संबंध में जमानत अनुबंध की प्रकृति होती है, और इसे आधार बनाते हुए, प्रतिवादी को रेंटल सर्वर व्यापारी के रूप में इस मामले के सर्वर पर रिकॉर्ड संग्रहित करने वाले सभी लोगों के प्रति अच्छी प्रबंधन की जिम्मेदारी और विशेष रूप से इस मामले के सर्वर के रिकॉर्ड को नष्ट नहीं करने की जिम्मेदारी उठानी चाहिए, और उसके पूर्वानुमान पर खड़े होते हुए, प्रतिवादी ने इस मामले के सर्वर में सहेजे गए मुद्दायी के रिकॉर्ड को नष्ट करने का दोषी है, यह ऊपरोक्त हानि रोकने की जिम्मेदारी का उल्लंघन है।

हालांकि, प्रतिवादी ने केवल उपयोगकर्ता A के साथ साझा सर्वर होस्टिंग सेवा का उपयोग करने का अनुबंध बनाया है, मुद्दायी के साथ कोई अनुबंध संबंध नहीं है, और इस मामले के सर्वर में सहेजे गए इस मामले के प्रोग्राम या इस मामले के डाटा की संग्रहण में जमानत अनुबंध की प्रकृति नहीं होती है इसलिए, प्रतिवादी के अनुबंध संबंध न होने वाले मुद्दायी के प्रति इस मामले के सर्वर में सहेजे गए रिकॉर्ड के लिए अवैध कार्यवाही कानून के तहत अच्छी प्रबंधन की जिम्मेदारी उठाने का आधार मुश्किल से देखा जा सकता है। इस प्रकार, प्रतिवादी को रेंटल सर्वर व्यापारी होने की एक बात के साथ, अनुबंध संबंध न होने वाले तीसरे पक्ष के संबंध में इस मामले के सर्वर में संग्रहीत रिकॉर्ड के लिए अच्छी प्रबंधन की जिम्मेदारी उठाने या रिकॉर्ड की हानि रोकने की जिम्मेदारी उठाने की बात नहीं कही जा सकती है।
टोक्यो जिला न्यायालय, हेइसेई 21 वर्ष (2009) मई 20 दिन

यह फैसला, अनुबंध संबंध सीधे न होने वाले तीसरे पक्ष (मुद्दायी) के संबंध में, “डाटा को नष्ट नहीं करने की जिम्मेदारी” की कल्पना करना उचित नहीं है, इसे संकेत करता है। यह फैसला, आगे चलकर समान प्रकरणों के लिए एक नेतृत्व मामले के रूप में काम कर सकता है, और इसने कुछ हद तक ध्यान आकर्षित किया।

निष्कर्ष के रूप में, जिम्मेदारी का पता लगाना “कठिन” हो सकता है

फिर भी, यदि हम व्यावहारिक रूप से अक्सर उपयोग की जाने वाली संविदाओं की बात करें, तो डेटा की संग्रहण और बैकअप को ऑपरेटिंग ऑपरेटर की जिम्मेदारी के रूप में निर्धारित करने वाली संविदाएं इतनी अधिक संख्या में नहीं होतीं, बल्कि यह उपयोगकर्ता (अर्थात ग्राहक की ओर से कंपनी) की जिम्मेदारी होने का निर्धारण करने वाले विधानों की संख्या अधिक होती है।

इसलिए, विशेष रूप से कुछ सहमति की बात होने के अलावा, सिस्टम ऑपरेटिंग ऑपरेटर को डेटा की हानि से बचने के उपाय करने की जिम्मेदारी उठाने की सोचना कानूनी रूप से भी अत्यंत कठिन होगी।

सूचना की हानि के जोखिम के खिलाफ क्या कार्यवाही करनी चाहिए

डाटा की हानि से बचने के लिए बैकअप जरूर लें।

अंत में, एक कंपनी के पास मौजूद सूचना की हानि के जोखिम के बारे में, यह बात उसी कंपनी की होती है जो सूचना को संग्रहित करती है। इसलिए, इस हानि के जोखिम को कैसे मान्य करें और किस प्रकार की संग्रहण व्यवस्था बनाएं, यह बात उसी कंपनी को तय करनी चाहिए, ऐसा कहना चाहिए।

इसके अलावा, यदि किसी व्यापारी की जिम्मेदारी मानी जाती है, तो यह भी संभावित है कि नुकसान भरपाई पूरी तरह से मान्य नहीं की जाएगी और इसे गलती के खिलाफ अदालत में बचाव के रूप में पेश किया जाएगा। पिछले न्यायाधीशों के फैसलों में, ऐसा मामला भी हुआ है जिसमें मुद्दायी के डाटा को सर्वर पर रखने वाले प्रतिवादी ने डाटा को नष्ट कर दिया था, और इसे “गलती” माना गया था क्योंकि मुद्दायी ने बैकअप नहीं लिया था।

मुद्दायी ने, इस फ़ाइल की सामग्री के बारे में आसानी से बैकअप ले सकते थे, और इससे (मध्यवर्ती) के नुकसान को रोक सकते थे, या नुकसान को बहुत ही कम कर सकते थे, फिर भी, इस दुर्घटना के समय, मुद्दायी ने इस फ़ाइल की डाटा सामग्री को कहीं भी संग्रहित नहीं किया था।
और, इस मामले में, प्रतिवादी की नुकसान भरपाई की जिम्मेदारी की बोझ को निर्धारित करने के लिए, इस बात को ध्यान में रखते हुए, गलती के खिलाफ अदालत में बचाव का नियम लागू करना चाहिए, जो नुकसान भरपाई कानून के तुल्यता के सिद्धांत के अनुरूप होता है। (मध्यवर्ती)
इसके विपरीत, मुद्दायी ने यह तर्क दिया है कि प्रतिवादी, जो प्रदाता है, इस फ़ाइल को सर्वर से हटा देगा, ऐसा मुद्दायी द्वारा पूर्वानुमान करना असंभव था, और इसलिए, बैकअप लेने का कार्य कानूनी दायित्व के रूप में मान्य नहीं किया जा सकता था, और उसकी अनुपस्थिति को कानूनी अर्थ में गलती कहा नहीं जा सकता था, और इसलिए, गलती के खिलाफ अदालत में बचाव का उपयोग नकारा जाना चाहिए।
हालांकि, गलती के खिलाफ अदालत में बचाव का उपयोग करते समय, यदि मुद्दायी को इस फ़ाइल के नष्ट होने के परिणाम की पूर्वानुमान की संभावना मानी जाती है, तो यह पर्याप्त होता है, और इस परिणाम को प्राप्त करने के लिए, प्रतिवादी की इस ध्यान देने वाली गलती के कारण इस फ़ाइल का नष्ट होने की पूर्वानुमान की संभावना की आवश्यकता नहीं होती है।
इस मामले में, (मध्यवर्ती), होमपेज पर हैकर आदि के प्रवेश के खतरे के बारे में पता चल गया था, और इसके अलावा, मुद्दायी ने माना है कि इंटरनेट संचार में सूचना के बदलाव, विनाश का खतरा होता है, और यह खतरा पूर्वानुमान किया जा सकता था, इसलिए, मुद्दायी ने, इंटरनेट संचार के स्वाभाविक कारणों के कारण इस फ़ाइल का नष्ट होने का खतरा पूर्वानुमान किया था, और इस फ़ाइल के नष्ट होने के परिणाम की पूर्वानुमान की संभावना को पूरी तरह से स्वीकार किया गया था, और गलती के खिलाफ अदालत में बचाव का उपयोग करने में कोई बाधा नहीं थी।
टोक्यो जिला न्यायालय, हेइसेई 13 (2001) साल, 28 सितंबर

इस मामले में, “बैकअप नहीं लेने के कारण, हैकर के प्रवेश आदि, किसी भी कारण से फ़ाइल का नष्ट होने का खतरा पूर्वानुमान किया जा सकता था, और इसलिए, गलती के खिलाफ अदालत में बचाव का उपयोग होना चाहिए” और इसलिए, नुकसान भरपाई की राशि आधी कर दी गई थी।

सारांश

डेटा की हानि के जोखिम के मामले में ही सीमित नहीं है, लेकिन जब सिस्टम को बाहरी स्रोतों को सौंपा जाता है, तो उपयोगकर्ताओं का ध्यान अधिकांशतः स्क्रीन की कार्यक्षमता पर होता है, और उसके पीछे संग्रहित होने वाले डेटाबेस क्षेत्र तक संगठन की गवर्नेंस नहीं पहुंच पाती है।

हालांकि, इन बातों को भी ‘दूसरों की समस्या’ के रूप में नहीं छोड़ा जा सकता है, यह बात पिछले न्यायिक मामलों ने सुझाई है। दूसरे शब्दों में, बैकअप लेने आदि के लिए, सूचना की हानि के जोखिम को ध्यान में रखते हुए प्रबंधन प्रणाली की व्यवस्था करना, अंततः उपयोगकर्ता की (संगठन के भीतरी) समस्या है, और इसका ज्ञान होना चाहिए।

पिछले न्यायिक मामले यह सुझाते हैं कि ऐसे जोखिमों के लिए तैयार नहीं होना, अपरिहार्य स्थिति को उत्पन्न कर सकता है, और इसे एक चेतावनी के रूप में समझना चाहिए कि इसकी रोकथाम की आवश्यकता है।

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag: IT System Development

सिस्टम ऑपरेटर के डाटा खोने का जोखिम और कानूनी जिम्मेदारी

IT सिस्टम में ‘ऑपरेशन’ का क्या अर्थ है