Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > A rendszerműködtetők adatvesztési kockázatai és jogi felelősségei

A rendszerműködtetők adatvesztési kockázatai és jogi felelősségei

IT

A rendszerműködtetők adatvesztési kockázatai és jogi felelősségei

Előfordulhat, hogy a vállalatoknál a rendszerfejlesztési osztályon belül a vállalati adatbázisban tárolt fontos vállalati információk váratlan körülmények között elvesznek. Ilyen esetekben, ha a rendszer működtetési feladatait külső szolgáltatóra bízták, vajon jogilag lehetséges-e a felelősséget a külső szolgáltatóra hárítani?

Ebben a cikkben megvizsgáljuk, hogy a vállalatoknál bekövetkező információvesztési balesetek esetén a jogi felelősség vajon kire hárul.

Az “üzemeltetés” az IT rendszerekben

Az “üzemeltetés” az IT rendszerekben, egyszerűen fogalmazva, az IT rendszerekkel kapcsolatos munkák közül azt jelenti, hogy “a jelenlegi rendszert továbbra is a megszokott módon használjuk”. Az IT mérnökök és programozók által újonnan létrehozott (azaz fejlesztett) rendszerek nem olyanok, hogy egyszer elkészülnek, és azzal vége. Például, ha olyan műveletet szeretnénk végrehajtani, amelyet nem lehet a képernyőről elindítani, akkor szükség lehet arra, hogy a számítógépet közvetlenül csatlakoztassuk az adatbázishoz, és közvetlenül adjuk be a számítógépes nyelvet (például SQL-t) (például adatok kivonása vagy módosítása, amelyeket nem lehet a képernyőről elindítani).

Ezek az üzemeltetési feladatok gyakran könnyen szabványosíthatók, például útmutatók készítésével, és összehasonlítva a programok új implementációjával kapcsolatos munkával, gyakran könnyen kiszervezhetők külső szolgáltatóknak.

Ugyanakkor, még ha a feladatok könnyen szabványosíthatók is, ha ezek közvetlenül kezelik a vállalat által kezelt adatbázisokat, akkor gyakran szoros kapcsolatban állnak nagy incidensekkel, és ezt is szem előtt kell tartani. A vállalatok által kezelt információk szivárgásának vagy elvesztésének kockázata gyakran nagymértékben növekszik, ha gondatlanul haladunk előre a kiszervezéssel, figyelmen kívül hagyva a munka súlyos felelősségét.

Az információvesztés kockázata meglepően közel van

A vállalatok által használt adatbázisok is többféle típusúak, de valójában ezek mind szoftverek. Az adatok kivonása, módosítása, hozzáadása és törlése, amelyeket ezekben kezelnek, alapvetően az SQL nevű számítógépes nyelvet használják.

A jogi munka fontossága

Az IT rendszerekkel foglalkozó mérnökök munkája között számos típus található, mint például a fejlesztés, üzemeltetés és karbantartás. Azonban közös bennük, hogy a munkájuk középpontjában az “adatok” és a “számítógépes nyelvek” kezelése áll. Emiatt, ha csak a munka külső megjelenését nézzük, akkor egyetlen rossz gombnyomás vagy apró beviteli hiba is hatalmas hatással lehet, amelynek következményei előre nem látható módon terjedhetnek szét. Ez az alapvető tény mindenkinek tudatában kell lennie, aki az IT rendszerekkel foglalkozik, legyen szakember vagy sem. A rendszerekkel kapcsolatos munka természeténél fogva, ha probléma merül fel, annak hatása gyakran azonnal terjed a releváns osztályon túl, és átlépi a vállalaton belüli határokat. A jogi munka fontossága a rendszerekben mind a megrendelő, mind a vállalkozó szempontjából egységesen magyarázható ebből a szempontból.

A vállalati adatvesztés kockázata

Vegyünk egy egyszerű példát. Az SQL-ben egy táblázat összes adatát törölni egyetlen “TRUNCATE” parancs kiadásával lehet. Amikor a vállalatok az adatvesztés kockázatát vizsgálják, az SQL szintaxisának vagy az adatbázis-szoftver kezelésének ismerete nem feltétlenül fontos. Azonban tudatában kell lennünk annak, hogy a vállalat által tárolt összes adat törlése, ha csak a módszerről beszélünk, ilyen egyszerű lehet. Ez a valóságos felismerés lehet a kiindulópontja annak, amikor a vállalatok az adatvesztés kockázatát vizsgálják.

Valóban, az üzemeltetési feladatok gyakran szabványosíthatók, és ha a megfelelő eljárást követik, gyakran nincs probléma. Ugyanakkor, ha olyan helyzeteket kell figyelembe venni, amelyekben az eljárásokat nem követik, és rendkívüli helyzeteket okoznak, a jogi munka fontossága magától értetődővé válik.

Ki a felelős jogilag az információ elvesztéséért?

Mi a jogi felelősség, ha váratlan adatvesztés történik?

Az üzemeltetők munkájának jogi természete

De mi történik, ha váratlan incidens következtében adatok vesznek el, és nincs mód a helyreállításukra? Kinek a jogi felelőssége ez? Nézzük meg ezt az incidenset jogi szempontból.

Nehéz érvényesíteni a letétbe helyezési szerződésen alapuló őrzési kötelezettséget

Az adatkezelési feladatokat ellátó vállalkozások felelősségének megkérdőjelezésekor egy lehetséges elméleti struktúra a fizetett letétbe helyezési szerződésen alapuló gondos őrzési kötelezettség érvényesítése. Egyszerűen fogalmazva, ez olyan, mint amikor a fizetett érmés szekrényeket üzemeltető vállalkozásokat felelősségre vonják a letétbe helyezett tárgyak elvesztése esetén, hasonlóképpen, felmerül a kérdés, hogy vajon lehetséges-e a “data” elvesztésének felelősségét érvényesíteni. Azonban, ahogyan a “tárgyak” őrzési kötelezettségének esetében is, a “data őrzési kötelezettség” automatikus létrejötte nem valószerű a jelenlegi jogszabályok alapján.

Egyedi szerződéses tartalomtól függ

Végül is azt kell mondanunk, hogy a “ki viseli az adatok tárolásának kötelezettségét” kérdésére a polgári törvénykönyv alapján egységes választ adni nehéz. Tehát a válasz valószínűleg az lesz, hogy “attól függ, hogyan van meghatározva az egyedi szerződéses tartalomban”.

És a “mi volt a szerződés tartalma” kérdésre a válasz nem csak a szerződésben található, hanem a jegyzőkönyvek és egyéb dokumentumok is figyelembe vannak véve. A jegyzőkönyvek fontosságát a következő cikkben részletesen ismertetjük.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

A szerződő felekkel nem rendelkező harmadik felektől származó jogellenes cselekmények felelősségének üldözése nehéz

Meg kell jegyezni, hogy a bírósági gyakorlatban világosan meghatározott, hogy a szerződéses kapcsolattal nem rendelkező harmadik felektől származó jogellenes cselekmények felelősségének üldözése lehetetlen. A bírósági gyakorlatban például a bérelt szerver szolgáltatásban bekövetkezett adatvesztési baleset kapcsán merült fel a kérdés, hogy a felhasználó jogellenes cselekmény alapján kártérítést igényelhet-e.

A jogellenes cselekmények tipikus példája például a közlekedési baleset. Ha például egy autóbaleset során a vezető hibájából valaki megsérül, a vezetőnek (nem csak büntetőjogi, hanem) polgári jogi felelősséget is kell vállalnia. Nem kötünk szerződést idegenekkel arról, hogy “nem ütünk le senkit az autónkkal”, de mégis előfordulhat, hogy magánemberek között kártérítési felelősség keletkezik. Ezen jogellenes cselekmények felelősségének keretrendszerén belül vitatott volt, hogy lehetséges-e a felelősség megállapítása az adatvesztésért, még akkor is, ha közvetlen szerződéses kapcsolat nem áll fenn.

Azonban a bíróság rámutatott a digitális információ sajátosságaira, és megállapította, hogy ilyen kötelezettség létezését természetesnek tekinteni nehéz.

A szerver nem hibátlan, és előfordulhat, hogy a rajta tárolt programok stb. elvesznek, de a programok stb. digitális információk, amelyek könnyen másolhatók, és ha a felhasználók rögzítik és tárolják őket, akkor a programok stb. újra működőképessé tehetők, ha elvesznek. Ez széles körben ismert (a vita teljes lényege), tehát a felperesek könnyen megtehették volna a programok és az adatok elvesztésének megelőzését. Tekintettel a felperesek és az alperesek közötti előnyök helyzetére, nincs ok arra, hogy az alperest, aki a szervert telepítette és kezeli, arra kötelezzük, hogy megvédje a felperesek fent említett adatait, és megelőzze azok elvesztését. (Kihagyás) A felperesek azt állítják, hogy a bérelt szerver szerződés harmadik felek programjainak vagy adatainak letétbe helyezésére vonatkozó szerződés jellegű, és ezt alapul véve, az alperesnek, mint a bérelt szerver szolgáltatónak, gondos kezelési kötelezettséget kell vállalnia mindenki iránt, aki a szerveren adatokat tárol, konkrétan meg kell akadályoznia a szerveren tárolt adatok elvesztését, és ezen alapulva azt állítják, hogy az alperes megsértette az elvesztés megelőzésére vonatkozó kötelezettségét, amikor elveszítette a szerveren tárolt felperesek adatait.


Az alperes azonban csak a felhasználó A-val kötött közös szerver hosting szolgáltatás használati szerződést, és nincs szerződéses kapcsolata a felperesekkel, és nem mondható, hogy a szerveren tárolt programok vagy adatok tárolására vonatkozóan letétbe helyezési szerződés jellegű. Ezért nehéz megtalálni az alapot arra, hogy az alperesnek, aki nincs szerződéses kapcsolatban a felperesekkel, gondos kezelési kötelezettséget kell vállalnia a szerveren tárolt adatokkal kapcsolatban a jogellenes cselekmények törvénye alapján. Így az alperes, mint a bérelt szerver szolgáltató, nem vállalhat gondos kezelési kötelezettséget a szerződéses kapcsolattal nem rendelkező harmadik felekkel szemben a szerveren tárolt adatokkal kapcsolatban, és nem vállalhat kötelezettséget az adatok elvesztésének megelőzésére.

Tokyo District Court, May 20, 2009 (2009. május 20., Tokiói Kerületi Bíróság)

Ez az ítélet rámutat arra, hogy nem indokolt a “nem törölheti az adatokat” kötelezettség feltételezése a közvetlen szerződéses kapcsolattal nem rendelkező harmadik felek (a felperesek) esetében. Ez az ítélet figyelmet keltett, mivel potenciálisan iránymutató lehet hasonló esetekben a jövőben.

Következtetésként, a felelősség megállapítása gyakran ‘nehézkes’

Ha a gyakorlatban gyakran használt szerződésekről beszélünk, nem túl gyakori az olyan esetek száma, amikor olyan szerződést alkalmaznak, amely a szolgáltató felelősségévé teszi az adatok tárolását és biztonsági mentését. Ehelyett sokkal több olyan szerződés van, amely kimondja, hogy ez a felhasználók (vagyis a végfelhasználói cégek) felelőssége.

Ezért, kivéve, ha különleges megállapodás született, jogilag rendkívül nehéz azt gondolni, hogy a rendszerüzemeltetőnek felelőssége lenne az adatvesztés megelőzésére irányuló intézkedések megtételére.

Az információvesztés kockázatára való felkészülés

Mindig készítsen biztonsági másolatot az adatvesztés elkerülése érdekében.

Végül is, egy vállalat által tárolt információk veszteségének kockázata elsősorban a vállalatot érinti. Ezért a veszteség kockázatának mérlegelése és a tárolási rendszer kialakítása is a vállalat döntése. Nagy valószínűséggel ezt kellene mondanunk.

Még ha a vállalkozó felelőssége is elismert, lehetséges, hogy a hanyagság kompenzációja miatt a kártérítés összege nem teljes mértékben lesz elismert. A múltbeli bírósági ítéletek között volt olyan, amelyben a vádlott, aki a felperes adatait a szerveren tárolta, eltüntette az adatokat, és a felperes nem készített biztonsági másolatot, ami “hanyagságnak” minősült, és a bíróság elismerte a hanyagság kompenzációját.

A felperes könnyen készíthetett volna biztonsági másolatot a fájl tartalmáról, és ezzel megelőzhette volna a károk keletkezését, vagy a károk mértékét minimálisra csökkenthette volna, mégis a fájl eltűnésének idején a felperes oldalán nem maradt semmilyen adat a fájlról.

Ebben az esetben, amikor meghatározzuk a vádlott kártérítési felelősségének mértékét, figyelembe kell vennünk ezt a tényt, és alkalmaznunk kell a hanyagság kompenzációjának szabályát, ami összhangban van a kártérítési jog egyensúlyi elvével.

Ezzel szemben a felperes azt állítja, hogy lehetetlen volt előre látnia, hogy a fájl eltűnik a szerverről a szolgáltató vádlott által, és nem lehetett volna előre látnia, hogy biztonsági másolatot kell készítenie, és nem lehet a mulasztását jogi értelemben vett hanyagságnak tekinteni, és tagadja a hanyagság kompenzációjának alkalmazását.

Azonban a hanyagság kompenzációjának alkalmazásához elegendő, ha a felperes előre láthatta a fájl eltűnésének következményeit, és nem szükséges előre látnia, hogy a vádlott figyelmeztetési kötelezettségének megsértése miatt a fájl eltűnik.

Ebben az esetben, mivel nyilvánvaló, hogy a felperes tudatában volt a hacker támadások veszélyének a honlapon, és a felperes elismeri, hogy az internetes kommunikációban van információ módosításának és megsemmisítésének veszélye, és ez a veszély előre látható volt, a felperes előre láthatta a fájl eltűnésének veszélyét az internetes kommunikáció sajátosságai miatt, és elegendően megerősíthető a fájl eltűnésének következményeinek előre láthatósága, és nem lehet akadálya a hanyagság kompenzációjának alkalmazásának.

Tokyo District Court, September 28, 2001 (2001. szeptember 28., Tokyo District Court)

Ebben az esetben, mivel “nem készített biztonsági másolatot, előre láthatta a hacker támadások vagy más okok miatt a fájl eltűnésének veszélyét, és ezért alkalmazható a hanyagság kompenzációja”, a kártérítés összege felére csökkent.

Összefoglalás

Bár nem csak az adatvesztés kockázatára korlátozódik, gyakran előfordul, hogy amikor a rendszer működését külső szolgáltatóra bízzuk, a felhasználók hajlamosak csak a képernyőn látható műveletekre összpontosítani, és nem veszik figyelembe a mögöttük lévő adatbázis területet, ahol a szervezeti irányítás nem terjed ki.

Az elmúlt évek bírósági ítéletei azonban arra utalnak, hogy ezeket a kérdéseket sem szabad figyelmen kívül hagyni. Más szóval, a felhasználóknak tudatában kell lenniük annak, hogy az információvesztés kockázatának figyelembevételével, például a biztonsági mentések készítésével, a menedzsment rendszer fejlesztése a saját (belső) felelősségük.

A korábbi bírósági ítéletek azt sugallják, hogy a kockázatokra való felkészülés hiánya visszafordíthatatlan helyzeteket idézhet elő, és figyelmeztetnek a megelőzés szükségességére. Nem lenne-e érdemes ezt figyelembe venni?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Az 'opt-in' eljárás módszerei a hírlevélküldés során

Az 'opt-in' eljárás módszerei a hírlevélküldés során

IT

Az „Open Source Software (OSS)” definíciója és a szerzői jogi szempontok

Az „Open Source Software (OSS)” definíciója és a szerzői jogi szempontok

IT

A 'felelősség' jogi értelmezése a rendszerszoftver fejlesztéssel kapcsolatban

A 'felelősség' jogi értelmezése a rendszerszoftver fejlesztéssel kapcsolatban

IT

Google 'Saját Vállalkozásom' és helyi vállalkozások információinak internetes keresése

Google 'Saját Vállalkozásom' és helyi vállalkozások információinak internetes keresése

IT

Az eljárás, ha a rendszer hibái a szemle után derülnek ki

Az eljárás, ha a rendszer hibái a szemle után derülnek ki

IT

Az internetes áruházak működtetése és a jog - A 'Japán Speciális Elektronikus Levél Törvény' és a 'Japán Személyes Adatvédelmi Törvény

Az internetes áruházak működtetése és a jog - A 'Japán Speciális Elektronikus Levél Törvény' és .

IT

A munka befejezése a rendszerszerkesztési szerződésekben

A munka befejezése a rendszerszerkesztési szerződésekben

IT

Jogi problémák a régi rendszerről történő átállással kapcsolatban a rendszerfejlesztés során

Jogi problémák a régi rendszerről történő átállással kapcsolatban a rendszerfejlesztés során

IT

Milyen értelemben új technológia a blokklánc?

Milyen értelemben új technológia a blokklánc?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére