Системийн үйл ажиллагаа явуулагчдын мэдээллийн алдагдалд өртөх эрсдэл ба хууль ёсны хариуцлага

Компаниудын мэдээллийн сангуудад хадгалагдаж буй чухал корпорацийн мэдээлэл санамсаргүй шалтгаанаар алдагдаж болзошгүй асуудал нь системийн хэсэгт гарч болзошгүй юм. Ийм тохиолдолд, системийн үйл ажиллагааг гадаад үйлчилгээний байгууллагад гадагшлуулсан бол, тухайн хариуцлагыг гадаад үйлчилгээний байгууллагад хүлээлгэх нь хууль ёсны хувьд боломжтой юу?

Энэхүү нийтлэлд бид компанийн мэдээллийн алдагдалд холбогдох хууль ёсны хариуцлагыг хэнд хүлээлгэх талаар тайлбарлах болно.

IT системийн “үйл ажиллагаа” гэж юу вэ?

IT системийн “үйл ажиллагаа” гэдэг нь маш энгийнээр хэлбэл, одоо байгаа системийг өмнөх шигээ ашиглах үйл ажиллагааг хэлнэ. IT инженер, программистууд шинээр бүтээсэн (буюу хөгжүүлсэн) систем нь нэг удаа бүтээгдсэнээр дуусах зүйл биш юм. Жишээ нь, дэлгэцийн талаас гүйцэтгэх боломжгүй үйлдлийг хийхийг хүсвэл, компьютерийн хэл (SQL гэх мэт) -г шууд оруулах шаардлагатай болдог (жишээлбэл, дэлгэцийн талаас гүйцэтгэх боломжгүй өгөгдлийг сонгон авах, өөрчлөх гэх мэт).

Ийм үйл ажиллагааны ажлууд нь шинээр програм хангамжийг суурилуулах ажлаас харьцангуй журамжлалтай, журамжлалтай болгоход хялбар байдаг тул, гадаад үйлчилгээний байгууллагад гадагшлуулахад хялбар байдаг.

Гэсэн хэдий ч, журамжлалтай ажиллагаа байсан ч, энэ нь компанийн удирдлага дор буй мэдээллийн санг шууд удирдах ажил болохоор, томоохон инциденттэй хажуудаа байдаг байх магадлалтай. Компанийн мэдээллийн алдагдал эсвэл алга болох зэрэг эрсдэлүүд нь, ажлын хариуцлагын чухал байдлыг харгалзан үзэхгүйгээр гадагшлуулах ажиллагааг хялбархан явуулах нь, санамсаргүйгээр ихээхэн хэмжээнд өсөж болзошгүй.

Мэдээллийн алдагдалд өртөх эрсдэл нь бидэнд ойрхон байдаг

Компаниуд ашигладаг мэдээллийн сангууд нь хэд хэдэн төрөл байдаг ч, тэдгээрийн үндсэн байдал нь нэг төрлийн програм хангамж юм. Мөн тэнд удирдлага дор буй мэдээллийг татаж авах, өөрчлөх, нэмэх, устгах гэх мэт үйлдлүүд нь ерөнхийдөө SQL гэх компьютер хэл ашиглан хийгддэг.

Хууль зүйн чухал ач холбогдол

IT системтэй холбоотой техникийн ажилтнуудын ажилд хөгжүүлэлт, үйл ажиллагаа, засвар үйлчилгээ гэх мэт олон төрлийн ажил байдаг ч, тэдгээрийн хамтын онцлог нь ‘мэдээлэл’ болон ‘компьютер хэл’ зэрэг абстракт зүйлсийг боловсруулахад төвлөрдөг гэдэгт оршино. Иймд, гадна талаасаа харахад, зөвхөн нэг товчлуурын алдаа эсвэл жижигхэн оруулгын алдаа мэт санагдаж болох ч, тэр алдааны нөлөөллийн хүрээ нь урьдчилан таамаглашгүй өргөн цар хүрээтэй байж болохыг ойлгох хэрэгтэй. Энэхүү үндсэн зарчим нь IT технологийн мэргэжилтэн байна уу бус байна уу, системтэй холбоотой ажил хийдэг бүх хүмүүсийн ухамсарлах ёстой зүйл юм. Системтэй холбоотой ажил нь онцлог шинж чанартай бөгөөд ямар нэгэн асуудал гарвал, түүний нөлөөлөл нь тухайн хэлтсийг даван туулж, мөн компанийн хашааны хязгаарыг даван туулж, шуурхай тархах нь элбэг байдаг. Системд хууль зүйн учир чухал байдлыг захиалагч тал болон гүйцэтгэгч тал хоёрын хувьд энэхүү өнцгөөс нэгдсэн хэлбэрээр тайлбарлах боломжтой.

Компанийн мэдээллийн алдагдалд өртөх эрсдэл

Жишээ нь, SQL-д нэг ширхэг хүснэгтийн бүх мэдээллийг устгах команд (заавар) нь зөвхөн нэг мөр ‘TRUNCATE’ гэж бичихэд л хангалттай. Компанийн мэдээллийн алдагдалд өртөх эрсдлийг харахад, SQL-ийн дүрмийг эсвэл мэдээллийн сангийн програм хангамжийн ажиллагааг сайн мэдэх нь тийм ч чухал биш байж болох. Гэхдээ, компанийн хадгалж буй мэдээллийн бүх цуглуулгыг устгах тухай ярихад, арга хэмжээний талаарх яриа нь ийм л амархан байж болохыг ойлгох хэрэгтэй. Энэхүү бодит ойлголт нь компанийн мэдээллийн алдагдалд өртөх эрсдлийг харахад эхлэл цэг байж болох юм.

Үнэхээр, үйл ажиллагааны ажил нь стандартчилагдсан байдлаар хийгдэж, журам баримтлахад ямар ч асуудалгүй байдаг тохиолдол олон байдаг. Гэвч зэрэгцээд, журам баримтлаагүй бөгөөд хэвийн бус нөхцөл байдлыг үүсгэх тохиолдлыг төсөөлвөл, хууль зүйн чухал ач холбогдлыг ойлгох нь тодорхой болно.

Мэдээллийн алдагдал хууль ёсны хувьд хэний хариуцлага болох вэ?

Үйл ажиллагаа явуулагчийн ажлын хууль ёсны онцлог

Тэгвэл, иймэрхүү санамсаргүй инцидентээр өгөгдлийг алдаж, мөн сэргээх арга байхгүй болсон тохиолдолд, тухайн хууль ёсны хариуцлага хаана харьяалагдаж байгаа вэ? Доорхи хэсэгт хууль ёсны өнцгөөс, ийм инцидентүүдийг шинжлэх ухааны аргаар шинжлэхийг хичээе.

Хадгаламжийн үүргийг хүлээлгэх тухай хадгалалтын гэрээний үндсэн дээр хүндрэлтэй

Өгөгдлийн үйл ажиллагааг дамжуулан гүйцэтгэх үйлчилгээний үйлчлүүлэгчийн хариуцлагыг асуудал болгон авч үзэхдээ, нэг төрлийн онолын бүтэц гэж үзэж болох нь төлбөртэй хадгалалтын гэрээний үндсэн дээрх сайн зохицуулалтын үүргийг хүлээлгэх явдал юм. Энэ нь энгийнээр хэлбэл, төлбөртэй хувцасны хөлөгт бараа хадгалуулсан үйлчлүүлэгч нь тухайн бараагаа алдсан тохиолдолд үндсэндээ хохирол барагдуулах үүрэгтэй адил, “өгөгдөл”-ийн алдагдалд хариуцлага хүлээх боломжтой эсэх асуудал юм. Гэвч, “бараа”-ны хадгаламжийн үүргийн талаар ярихтай адил, “өгөгдлийн хадгаламжийн үүрэг” нь одоогийн хууль дүрмийн хүрээнд өөрөө гарч ирэх нь бодит бус байдаг.

Гэрээний тусгай заалтын хамааралтай

Эцсийн дүнд, “Өгөгдлийг хадгалах үүрэг хэн дээр байх вэ?” гэдэг асуудалд хариулт олох нь, Японы Иргэний хуулийн (民法) журмыг үндэслэн нэгдсэн шийдвэр гаргах нь хэцүү болохыг хэлэх хэрэгтэй. Иймд, энэ асуудлын хариулт нь “Гэрээний тусгай заалтын хамааралтай” гэдэг нь зөв байх болно.

Мөн “Гэрээний агуулга ямар байсан бэ?” гэдэг асуудалд хариулахдаа, зөвхөн гэрээний бичиг баримт биш, хурлын тэмдэглэл гэх мэт бусад баримтуудыг ч бас нэгтгэн үзэх шаардлагатай болно. Хурлын тэмдэглэлийн чухал байдлын талаар доорхи нийтлэлд дэлгэрэнгүй тайлбарласан байдаг.

Систем хөгжүүлэлтэд хууль зүйн өнцгөөс харахад хурлын тэмдэглэлийг хэрхэн үлдээх вэ

Гэрээ бус хүмүүсийн хууль бус үйлдлээс үүдэлтэй хариуцлагыг нэхэмжлэх нь хүндрэлтэй

Мөн, гэрээт харилцаагүй гуравдагч этгээдээс хууль бус үйлдлээс үүдэлтэй хариуцлагыг нэхэмжлэх нь боломжгүй гэдэг нь шүүхийн шийдвэрээр тодорхой болсон байдаг. Шүүхийн шийдвэрт, серверын үйлчилгээний үед өгөгдлийн алдагдалд орсон тохиолдолд, хэрэглэгч хууль бус үйлдлээр үндэслэсэн хохирлын б compensлбар төлүүлэх эсэх асуудал хөндөгдсөн байна.

Хууль бус үйлдлийн жишээнд, жишээ нь, замын осол гэх мэт явдал байдаг. Жишээлбэл, автомашины осолд жолоочийн анхаарал болгоомжгүй байдлаас болж хүн гэмтээсэн тохиолдолд, (эрүүгийн хуульд нийцсэнээс гадна) иргэний хуульд дагаж мөрдөх хариуцлага хүлээх ёстой. Харин та бид хоорондоо “Хүнийг машинд мөргөхгүй” гэсэн гэрээ байгуулахгүй ч, хувь хүний хооронд хохирлын б комплбар хариуцлага үүсэх нь бодит байдал юм. Энэхүү хууль бус үйлдлийн хариуцлагын хүрээнд, шуудангийн гэрээт харилцаа байхгүй байсан ч, өгөгдлийг алдагдуулсан хариуцлагыг нэхэмжлэх боломжтой эсэх асуудал хөндөгдсөн байна.

Гэвч, шүүх дижитал мэдээллийн онцлогийг зааж, ийм үүргийн байгаа эсэхийг хялбархан тогтоох нь хүндрэлтэй гэдгийг тодорхойлсон байна.

Сервер нь бүрэн бүтэн биш бөгөөд түүнд доголдол гарч, хадгалагдаж байсан програмууд болон бусад мэдээлэл устаж болзошгүй боловч програмууд нь дижитал мэдээлэл бөгөөд, хэрэглэгчид програмуудыг хадгалж, тэмдэглэж байсан бол, тэдгээрийг дахин ажиллуулах боломжтой бөгөөд энэ нь өргөнөөр мэдэгдэж байгаа (хэлэлцүүлгийн нийт утга санаа) учраас, өгөгдлийн алдагдалтай тэмцэх арга хэмжээг хялбархан авч болох байсан. Энэхүү хэрэглэгчид болон үйлчлүүлэгчид хоёрын эрх ашгийн байдалд үндэслэн, серверийг суурилуулж, удирдан зохицуулж байсан үйлчлүүлэгчид өгөгдлийн алдагдалтай тэмцэх үүргийг хүлээлгэх шаардлага байхгүй гэж үзэх ёстой. (дундуур таслал), хэрэглэгчид серверийн үйлчилгээний гэрээг гуравдагч этгээдийн програм болон өгөгдлийг хадгалах хадгаламжийн гэрээний онцлогтой гэж үзэж, энэ дээр үндэслэн, үйлчлүүлэгчид серверийн үйлчилгээний үүргийг хүлээж, тодорхойлолт дор, сервер дээр хадгалагдаж байсан хэрэглэгчийн мэдээллийг устгасан нь өгөгдлийн алдагдалтай тэмцэх үүргээ зөрчсөн гэж үзэж байна.

Гэсэн хэдий ч, үйлчлүүлэгч нь хэрэглэгч A-тай хамтран ашиглах серверийн хостинг үйлчилгээний гэрээг зөвхөн байгуулсан бөгөөд, хэрэглэгчидтэй хоорондоо гэрээт харилцаа байхгүй, сервер дээр хадгалагдаж байсан програм болон өгөгдлийг хадгалах хадгаламжийн гэрээний онцлогтой гэж үзэж болохгүй учраас, үйлчлүүлэгчид гэрээт харилцаагүй хэрэглэгчидтэй холбоотойгоор сервер дээр хадгалагдаж байсан мэдээллийг хууль бус үйлдлийн хүрээнд сайн зохицуулах үүргийг хүлээх, мэдээллийн алдагдалтай тэмцэх үүргийг хүлээх гэдэг нь батлагдашгүй.

Токиогийн дүүргийн шүүхийн 2009 (Хэйсэй 21) оны 5-р сарын 20-ны өдрийн шийдвэр

Энэхүү шийдвэр нь, гэрээт харилцаа шуудангийн байдлаар байхгүй гуравдагч этгээд (хэрэглэгч) холбогдох “Өгөгдлийг устгахгүй байх үүрэг” гэх зүйлийг төсөөлөх нь зохимжгүй гэдгийг заасан билээ. Энэхүү шийдвэр нь, цаашид ижил төстэй хэргүүд гарахад тэргүүлэх шийдвэр болох боломжтой бөгөөд тодорхой анхаарал татсан билээ.

Дүгнэлтээр, хариуцлага тооцох нь “хүндрэлтэй” болдог

Жишээ нь, өдөр тутмын ажиллагаанд ихэвчлэн ашигладаг гэрээний талаар ярихад, өгөгдлийн хадгалалт болон нөөцлөлтийг үйлчилгээний үйлчлэгчийн хариуцлага болгон тогтоосон гэрээг ашигладаг тохиолдол нь тийм ч олон биш бөгөөд ихэвчлэн энэ нь хэрэглэгч буюу үйлчлүүлэгчийн компаний хариуцлага болохыг заасан гэрээнүүд нь давамгайлдаг.

Иймд, тусгай тохиролцоо хийгдсэн гэх мэт онцгой тохиолдол бусад үед, системийн үйлчилгээний үйлчлэгч нь өгөгдлийн алдагдалтай тэмцэх арга хэмжээ авах үүрэг хүлээхийг хууль ёсны хувьд маш хүндрэлтэй гэж үзэх хэрэгтэй.

Мэдээллийн алдагдалд бэлэн байхын тулд хийх ёстой зүйлс

Эцсийн дүнд, компаниудын мэдээллийн алдагдалд өртөх эрсдэл нь тухайн компанийн хадгалж буй мэдээлэлтэй холбоотой асуудал юм. Иймд, тэр эрсдлийг хэрхэн тооцоолох, ямар хадгалалтын систем барих талаарх шийдвэр нь тухайн компанийн өөрийнх нь хэрэг юм гэдгийг хэлэх хэрэгтэй.

Мөн хэрэв үйл ажиллагаа эрхлэгчийн хариуцлагыг хүлээлгэх тохиолдолд ч, гэм буруутай талуудын хариуцлагыг харилцан тооцоолох нь бүрэн хохирлыг нөхөн төлөхгүй болгох магадлалтай. Өмнөх шүүхийн шийдвэрүүдэд, хэрэглэгчийн өгөгдлийг сервер дээр хадгалж байсан байгууллага өгөгдлийг устгасан тохиолдолд, хэрэглэгч нөөцлөлт хийгээгүй нь “гэм буруутай” үйлдэлд тооцогдож, гэм буруутай талуудын хариуцлагыг харилцан тооцоолох шийдвэр гарсан байдаг.

Хэрэглэгч нь, тухайн файлын агуулгыг амархан нөөцлөх боломжтой байсан бөгөөд түүнийгээр (дундас нь) хохирлын үүсэхийг сэргийлж, эсвэл хохирлыг маш бага хэмжээнд хязгаарлах боломжтой байсан хэдий ч, тухайн өгөгдлийн алдагдал гарсан үед, хэрэглэгч талаас тухайн файлын өгөгдлийг ямар ч байдлаар хадгалаагүй байсан гэж үзэж болно.

Тиймээс, энэ тохиолдолд, байгууллагын хохирлын хариуцлагын хэмжээг тогтооход, энэ асуудлыг харгалзан үзэж, гэм буруутай талуудын хариуцлагыг харилцан тооцоолох журмыг хэрэглэх нь хохирлын төлбөрийн хуульд нийцсэн зүйл болохыг хэлэх ёстой. (дундас нь)

Эсрэгээр, хэрэглэгч нь, интернет үйлчилгээ үзүүлэгч байгууллага болох байгууллагаас тухайн файлыг сервер дотор устгасаныг хэрэглэгч урьдчилан таамаглах боломжгүй байсан, түүнийг урьдчилан таамаглах ёстой гэж үзэх боломжгүй учраас, нөөцлөлт хийх үйлдлийг хууль ёсны үүрэг гэж үзэх боломжгүй бөгөөд түүнийг хийгээгүйг хууль ёсны гэм буруутай үйлдэл гэж үзэх боломжгүй гэж үзэж, гэм буруутай талуудын хариуцлагыг харилцан тооцоолохыг эсэргүүцэж байна.

Гэсэн хэдий ч, гэм буруутай талуудын хариуцлагыг харилцан тооцоолохдоо, хэрэглэгчид тухайн файлын алдагдал гарах боломжийг урьдчилан таамаглах боломжтой байсан бол хангалттай бөгөөд, тухайн үр дагаврыг хүргэсэн шалтгаан нь байгууллагын анхаарал хандуулах үүрэг зөрчсөнтэй холбоотой байсан боломжийг урьдчилан таамаглах шаардлагагүй гэж үзэх ёстой.

Энэ тохиолдолд, (дундас нь), веб хуудас руу хакер болон бусад нэвтрэх аюултай тулгарсан байдал нь тодорхой бөгөөд, мөн хэрэглэгч нь интернет харилцаа холбооны өөрчлөлт, устгалын аюултай байдаг бөгөөд тэр аюулыг урьдчилан таамаглах боломжтой байсан гэдгийг хүлээн зөвшөөрч байгаа учраас, хэрэглэгч нь интернет харилцаа холбооны онцлог шалтгаанаар тухайн файлын алдагдал гарах аюулыг урьдчилан таамаглаж байсан гэж үзэж болно, тухайн файлын алдагдал гарах үр дагаврыг урьдчилан таамаглах боломжийг бүрэн баталгаажуулж, гэм буруутай талуудын хариуцлагыг харилцан тооцоолохыг зөвшөөрөхөд ямар ч саад бэрхшээл байхгүй гэж үзэж болно.

Токио дүүргийн шүүх, 2001 (Хэйсэй 13) оны 9 сарын 28-ны өдөр

Энэ хэргийн хувьд, “Нөөцлөлт хийгээгүй бол хакер болон бусад шалтгаанаар файл алдагдах аюулыг урьдчилан таамаглах боломжтой байсан бөгөөд ийм учраас гэм буруутай талуудын хариуцлагыг харилцан тооцоолох нь зөв байна” гэж үзэж, хохирлын төлбөрийн хэмжээг хагас болгосон байна.

Хураангуй

Өгөгдлийн алдагдалд өртөх эрсдэл нь зөвхөн тодорхой нэг чиглэлд хязгаарлагддаггүй ч, системийн ажлыг гадны байгууллагад гардуулах үед, хэрэглэгчид ихэвчлэн дэлгэцийн ажиллагааны мэдрэмжийг л анхаарч, өгөгдлийг хадгалах үндсэн сангийн бүс нутагт хүртэл байгууллагын удирдлагын систем нэвтрүүлэх нь ховор байдаг.

Гэсэн хэдий ч, эдгээр асуудлуудыг зөвхөн “өөр хүний хэрэг” гэж үзэж болохгүй гэдгийг өнгөрсөн шүүхийн шийдвэрүүд харуулж байна. Өөрөөр хэлбэл, мэдээллийн алдагдалд өртөх эрсдэлийг ухамсарласан удирдлагын системийг бэлтгэх, жишээлбэл, нөөцлөлт хийх зэрэг арга хэмжээ авах нь, эцсийн эцэст хэрэглэгчийн талын (байгууллагын дотоод) асуудал бөгөөд өөрийнхөө хариуцлагыг ухамсарлах ёстой гэсэн үг юм.

Өнгөрсөн шүүхийн шийдвэрүүд нь ийм төрлийн эрсдэлд бэлтгэлгүй байх нь оношлогооны боломжгүй хүндрэлүүдийг үүсгэж болзошгүй гэдгийг харуулж, урьдчилан сэргийлэх шаардлагыг анхааруулж байгаа бөгөөд энэ нь урьдчилан сэргийлэх арга хэмжээ авахын чухал байдлыг ойлгох ёстой гэсэн үг юм.