MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Risiko Kehilangan Data dan Tanggungjawab Undang-Undang bagi Pengendali Sistem

IT

Risiko Kehilangan Data dan Tanggungjawab Undang-Undang bagi Pengendali Sistem

Adalah mungkin untuk berlaku masalah di mana maklumat penting syarikat yang disimpan dalam pangkalan data hilang akibat keadaan yang tidak dijangka, terutama di bahagian sistem. Dalam situasi seperti ini, adakah mungkin dari segi undang-undang untuk menuntut tanggungjawab dari vendor luar jika operasi sistem telah dihantar keluar?

Artikel ini akan menerangkan tentang siapa yang bertanggungjawab dari segi undang-undang dalam kes kehilangan maklumat di syarikat.

Apa itu ‘Operasi’ dalam Sistem IT

‘Operasi’ dalam sistem IT, jika dijelaskan dengan sangat sederhana, adalah pekerjaan yang berkaitan dengan sistem IT yang ‘meneruskan penggunaan sistem yang ada seperti biasa’. Sistem yang baru dibuat (dikembangkan) oleh jurutera IT atau pengaturcara bukanlah sesuatu yang berakhir setelah dibuat sekali. Misalnya, jika anda ingin menjalankan operasi yang tidak dapat dijalankan dari sisi skrin, anda mungkin perlu menyambungkan komputer ke pangkalan data dan memasukkan bahasa komputer (seperti SQL) secara langsung (misalnya, pengekstrakan atau pengubahan data yang tidak dapat dijalankan dari sisi skrin).

Pekerjaan operasi seperti ini seringkali lebih mudah untuk dijadikan rutin melalui penyediaan manual prosedur dan lain-lain, berbanding dengan pekerjaan seperti mengimplementasikan program baru, dan seringkali lebih mudah untuk dihantar ke vendor luar.

Namun, walaupun pekerjaan tersebut mudah dijadikan rutin, kerana ia adalah pekerjaan yang mengendalikan secara langsung pangkalan data yang dikelola oleh syarikat, kita harus selalu ingat bahwa ia seringkali bersebelahan dengan insiden besar. Risiko seperti kebocoran atau kehilangan informasi yang dimiliki oleh syarikat dapat dengan mudah meningkat secara besar-besaran jika anda terus meneruskan outsourcing tanpa mempedulikan tanggung jawab besar yang dimiliki oleh pekerjaan tersebut.

Risiko Kehilangan Maklumat Lebih Dekat Dengan Kita Daripada Yang Kita Sangka

Walaupun terdapat beberapa jenis pangkalan data yang digunakan oleh syarikat, pada hakikatnya ia adalah sejenis perisian. Dan, pengendalian data seperti pengekstrakan, pengubahan, penambahan, dan penghapusan yang dikelola di sana pada dasarnya menggunakan bahasa komputer yang dikenali sebagai SQL.

Kepentingan Undang-undang

Ada pelbagai jenis pekerjaan untuk jurutera yang terlibat dalam sistem IT, seperti pembangunan, operasi, dan penyelenggaraan, tetapi apa yang umum dalam cara kerja mereka adalah penanganan benda abstrak seperti ‘data’ dan ‘bahasa komputer’. Oleh itu, walaupun hanya kesilapan operasi butang atau kesilapan input kecil jika dilihat dari penampilan kerja yang dilakukan, kesan kesilapan tersebut boleh menyebar secara luas tanpa dapat dijangka sebelumnya. Prinsip ini harus disedari oleh semua orang yang bekerja dengan sistem, sama ada mereka adalah pakar teknologi IT atau tidak. Pekerjaan yang melibatkan sistem secara semula jadi, jika ada masalah, kesannya seringkali menyebar dengan segera melampaui jabatan yang berkenaan dan melampaui batasan dalam syarikat. Mengapa undang-undang penting untuk sistem dapat dijelaskan secara konsisten dari kedua-dua perspektif, dari pihak yang memesan dan dari pihak yang menerima pesanan.

Risiko Kehilangan Data Syarikat

Mari kita lihat contoh yang lebih mudah. Query (perintah) untuk menghapus semua data yang dimiliki oleh satu tabel dalam SQL hanya memerlukan satu baris ‘TRUNCATE’. Apabila memikirkan risiko kehilangan data syarikat, memahami tatabahasa SQL atau cara mengoperasikan perisian pangkalan data mungkin tidak begitu penting. Namun, kita harus menyedari bahawa, jika kita hanya berbicara tentang cara melakukannya, menghapus semua data yang disimpan oleh syarikat juga bisa menjadi sesuatu yang begitu mudah. Pengakuan realiti ini mungkin merupakan titik permulaan untuk memikirkan risiko kehilangan data syarikat.

Memang, operasi cenderung menjadi rutin, dan seringkali tidak ada masalah jika dilakukan mengikut prosedur. Namun, pada masa yang sama, jika kita mempertimbangkan situasi di mana prosedur tidak diikuti dan situasi luar biasa terjadi, kepentingan undang-undang pasti jelas.

Siapakah yang Bertanggungjawab di Sisi Undang-undang Jika Berlaku Kehilangan Maklumat?

Apa tanggungjawab undang-undang jika berlaku kehilangan data secara tidak sengaja?

Sifat Undang-Undang Kerja Pengendali Operasi

Jadi, dalam situasi di mana data hilang akibat insiden yang tidak dijangka, dan tiada cara untuk memulihkannya, siapakah yang bertanggungjawab secara undang-undang? Mari kita analisis insiden seperti ini dari perspektif undang-undang.

Sukar untuk Menuntut Tanggungjawab Penyimpanan Berdasarkan Kontrak Penyimpanan

Sebagai satu daripada struktur teori yang boleh dipertimbangkan apabila menyoal tanggungjawab pengendali perniagaan yang mengendalikan operasi data, kita boleh mempertimbangkan untuk menuntut tanggungjawab berjaga-jaga dalam penyimpanan berdasarkan kontrak penyimpanan berbayar. Secara ringkasnya, ini adalah sama seperti mengejar tanggungjawab ganti rugi apabila pengendali perniagaan yang menerima penitipan barang di locker berbayar seperti kehilangan barang tersebut, iaitu, soalan sama ada kita boleh mengejar tanggungjawab kehilangan “data”. Walau bagaimanapun, sama seperti tanggungjawab penyimpanan “barang”, menganggap bahawa “tanggungjawab penyimpanan data” secara semulajadi timbul adalah tidak realistik dalam undang-undang semasa.

Bergantung pada isi kontrak individu

Akhirnya, masalah “siapa yang bertanggung jawab untuk menyimpan data” adalah sukar untuk mendapatkan jawapan yang seragam berdasarkan peraturan undang-undang sivil Jepun. Oleh itu, jawapan yang paling tepat adalah “bergantung pada apa yang ditentukan dalam isi kontrak individu”.

Dan, soalan “apa isi kontrak itu” tidak semestinya hanya berdasarkan kontrak sahaja, tetapi juga akan dinilai berdasarkan minit mesyuarat dan lain-lain. Kepentingan minit mesyuarat dijelaskan secara terperinci dalam artikel di bawah.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Menuntut Tanggungjawab Tindakan Salah Undang-undang daripada Pihak Ketiga yang Bukan Pihak Berkontrak adalah Sukar

Selain itu, sudah jelas dalam kes mahkamah bahawa adalah mustahil untuk menuntut tanggungjawab tindakan salah undang-undang daripada pihak ketiga yang tidak mempunyai hubungan kontrak. Dalam kes mahkamah, isu sama ada pengguna boleh membuat tuntutan ganti rugi berdasarkan tindakan salah undang-undang dalam kes kehilangan data dalam perkhidmatan server sewa telah menjadi isu.

Contoh klasik tindakan salah undang-undang termasuklah kemalangan jalan raya. Misalnya, jika seseorang cedera akibat kecuaian pemandu dalam kemalangan kereta, mereka bertanggungjawab dalam undang-undang sivil (dan tentu saja dalam undang-undang jenayah). Walaupun tidak ada kontrak antara orang asing yang mengatakan “saya tidak akan memandu kereta dan melanggar orang lain”, adalah mungkin untuk berfikir bahawa tanggungjawab ganti rugi boleh timbul antara individu. Berdasarkan kerangka tanggungjawab tindakan salah undang-undang ini, isu sama ada tanggungjawab boleh dituntut untuk kehilangan data, walaupun tidak ada hubungan kontrak secara langsung, telah dipertikaikan.

Namun, mahkamah telah menunjukkan bahawa adalah sukar untuk mengandaikan kewujudan tanggungjawab seperti ini berdasarkan sifat maklumat digital.

Server tidak sempurna dan boleh mengalami gangguan, dan program yang disimpan boleh hilang, tetapi program adalah maklumat digital dan boleh disalin dengan mudah, dan jika pengguna menyimpan dan merekod program, mereka dapat menjalankan semula program walaupun program hilang, dan ini adalah sesuatu yang diketahui secara umum (keseluruhan hujah), jadi plaintif dapat dengan mudah mengambil langkah-langkah untuk mencegah kehilangan program dan data ini. Mengingat keadaan kepentingan kedua-dua plaintif dan defendan, tidak ada alasan atau keperluan untuk membebankan defendan, yang memasang dan menguruskan server ini, dengan tanggungjawab untuk mencegah kehilangan rekod plaintif. (Omitted) Plaintif berpendapat bahawa kontrak sewa server mempunyai sifat kontrak penitipan untuk program atau data pihak ketiga, dan berdasarkan ini, defendan, sebagai penyedia perkhidmatan sewa server, mempunyai tanggungjawab untuk menjaga semua orang yang menyimpan rekod di server ini dengan baik, dan secara khusus, mempunyai tanggungjawab untuk mencegah kehilangan rekod server ini, dan berdasarkan prasyarat ini, defendan telah melanggar tanggungjawab untuk mencegah kehilangan rekod yang disimpan oleh plaintif di server ini.


Namun, defendan hanya membuat kontrak penggunaan perkhidmatan hosting server bersama dengan Pengguna A, dan tidak ada hubungan kontrak dengan plaintif, dan tidak dapat dikatakan bahawa ada sifat kontrak penitipan dalam penyimpanan program atau data ini di server ini, jadi adalah sukar untuk mencari alasan bahawa defendan mempunyai tanggungjawab untuk menjaga rekod yang disimpan di server ini dengan baik dalam undang-undang tindakan salah undang-undang terhadap plaintif yang tidak mempunyai hubungan kontrak. Oleh itu, hanya kerana defendan adalah penyedia perkhidmatan sewa server, mereka tidak dapat mempunyai tanggungjawab untuk menjaga rekod yang disimpan di server ini dengan baik atau mempunyai tanggungjawab untuk mencegah kehilangan rekod dalam hubungan dengan pihak ketiga yang tidak mempunyai hubungan kontrak.

Keputusan Mahkamah Tokyo, 20 Mei 2009 (Tahun 21 Era Heisei)

Keputusan ini menunjukkan bahawa tidak wajar untuk menganggap adanya “tanggungjawab untuk tidak menghapus data” terhadap pihak ketiga (plaintif) yang tidak mempunyai hubungan kontrak secara langsung. Keputusan ini telah menarik perhatian tertentu sebagai kes yang boleh menjadi contoh dalam kes yang sama di masa depan.

Sebagai kesimpulan, mencari tanggung jawab seringkali menjadi ‘sukar’

Selain itu, jika kita bercakap tentang kontrak yang sering digunakan dalam praktik, kes di mana kontrak yang menjadikan penyimpanan dan backup data sebagai tanggung jawab pengendali operasi tidak begitu banyak. Sebaliknya, kontrak yang menetapkan bahawa ini adalah tanggung jawab pengguna (iaitu syarikat pelanggan yang menjadi pengguna) adalah jauh lebih banyak.

Oleh itu, kecuali dalam kes di mana ada persetujuan khusus, adalah sangat sukar dalam undang-undang untuk beranggapan bahawa pengendali sistem mempunyai tanggung jawab untuk mengambil langkah-langkah untuk mencegah kehilangan data.

Langkah-langkah yang perlu diambil untuk menghadapi risiko kehilangan maklumat

Sentiasa membuat salinan sandaran (backup) untuk mengelakkan kehilangan data.

Pada akhirnya, berkenaan dengan risiko kehilangan maklumat yang dimiliki oleh syarikat, ini juga melibatkan maklumat yang disimpan oleh syarikat itu sendiri. Oleh itu, bagaimana risiko kehilangan ini diambil kira dan sistem penyimpanan apa yang dibina, adalah perkara yang harus ditentukan oleh syarikat itu sendiri.

Walaupun tanggungjawab pengusaha mungkin diakui, mungkin juga terdapat situasi di mana ganti rugi tidak diberikan sepenuhnya kerana penyeimbangan kecuaian. Dalam kes-kes mahkamah sebelum ini, terdapat kes di mana pengadu yang menyimpan data mereka di server defendan telah menghilangkan data tersebut, dan fakta bahawa pengadu tidak membuat salinan sandaran dianggap sebagai “kecuaian”, dan penyeimbangan kecuaian diakui.

Penggugat, walaupun mampu mengambil langkah-langkah seperti membuat salinan sandaran fail tersebut dengan mudah, dan dengan itu mencegah kerugian… walaupun demikian, pada masa kejadian kehilangan ini, diakui bahawa penggugat tidak menyimpan sebarang data fail tersebut.

Dalam kes ini, dalam menentukan jumlah tanggungjawab ganti rugi defendan, adalah wajar untuk mengambil kira perkara ini dan mengaplikasikan peraturan penyeimbangan kecuaian, yang sesuai dengan konsep keadilan dalam undang-undang ganti rugi.

Sebaliknya, penggugat berhujah bahawa adalah mustahil untuk meramalkan bahawa fail tersebut akan dihapuskan dari server oleh defendan, yang merupakan penyedia perkhidmatan, dan oleh itu, tidak boleh mengakui kewajipan untuk membuat salinan sandaran sebagai kewajipan undang-undang, dan tidak boleh menganggap ketidakaktifan tersebut sebagai kecuaian dalam erti kata undang-undang.

Namun, dalam mengaplikasikan penyeimbangan kecuaian, cukup jika penggugat mengakui kemungkinan kehilangan fail tersebut, dan tidak perlu mengakui kemungkinan kehilangan fail tersebut sebagai akibat daripada pelanggaran kewajipan berjaga-jaga defendan.

Dalam kes ini, … penggugat mengakui bahawa ada risiko bahawa laman web akan diserang oleh peretas dan lain-lain, dan juga mengakui bahawa ada risiko perubahan dan pemusnahan maklumat dalam komunikasi internet, dan risiko ini boleh diramalkan, oleh itu, penggugat dianggap telah meramalkan risiko kehilangan fail tersebut kerana sebab-sebab khas komunikasi internet, dan kemungkinan kehilangan fail tersebut cukup diterima, dan tidak ada halangan untuk mengakui penyeimbangan kecuaian.

Keputusan Mahkamah Tokyo, 28 September 2001 (Tahun 13 Era Heisei)

Dalam kes ini, “kerana tidak membuat salinan sandaran, adalah mungkin untuk meramalkan risiko kehilangan fail kerana sebab-sebab seperti serangan peretas, dan oleh itu, ada penyeimbangan kecuaian”, dan jumlah ganti rugi telah ditetapkan sebagai separuh.

Rumusan

Walaupun ia tidak terhad kepada risiko kehilangan data, apabila kita menghantar sistem kepada pihak ketiga, pengguna biasanya hanya fokus kepada operasi di skrin dan sering kali mengabaikan kawasan pangkalan data yang disimpan di belakangnya, di mana tadbir urus organisasi sering kali tidak mencapai.

Namun, contoh-contoh kes mahkamah sebelum ini menunjukkan bahawa kita tidak boleh menganggap isu-isu ini sebagai masalah orang lain. Dalam kata lain, kita harus menyedari bahawa membangunkan sistem pengurusan yang mempertimbangkan risiko kehilangan maklumat, seperti membuat salinan sandaran, adalah masalah yang harus dihadapi oleh pengguna (dalam organisasi).

Contoh-contoh kes mahkamah sebelum ini menunjukkan bahawa kegagalan untuk bersedia menghadapi risiko-risiko ini boleh membawa kepada situasi yang tidak dapat dipulihkan, dan mungkin kita harus memahami ini sebagai amaran tentang keperluan pencegahan.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Kembali ke Atas