Peguam Menerangkan Perbuatan dan Contoh yang Dilarang oleh 'Undang-Undang Jepun Mengenai Larangan Akses Tidak Sah
Akta Larangan Akses Tidak Sah (nama rasmi ‘Akta mengenai Larangan Akses Tidak Sah dan lain-lain’) telah dikuatkuasakan pada Februari 2000 (Tahun 2000 dalam Kalendar Gregorian) dan dipinda pada Mei 2012 (Tahun 2012 dalam Kalendar Gregorian), dan kini masih berkuat kuasa. Undang-undang ini bertujuan untuk mencegah jenayah siber dan mengekalkan ketertiban dalam komunikasi elektronik, dan terdiri daripada 14 perenggan.
‘Akta mengenai Larangan Akses Tidak Sah dan lain-lain’ (Tujuan)
Perenggan 1: Tujuan undang-undang ini adalah untuk melarang akses tidak sah dan menetapkan hukuman serta langkah-langkah bantuan oleh Suruhanjaya Keselamatan Awam Prefektur untuk mencegah pengulangan, dengan tujuan mencegah jenayah yang berkaitan dengan komputer melalui talian komunikasi elektronik dan mengekalkan ketertiban dalam komunikasi elektronik yang dicapai melalui fungsi kawalan akses, dan dengan itu menyumbang kepada perkembangan sihat masyarakat komunikasi maklumat tingkat tinggi.
Apa sebenarnya yang dilarang oleh Akta Larangan Akses Tidak Sah? Dan apa contoh-contoh sebenar, dan apa langkah-langkah yang harus diambil dalam hukum jenayah dan sivil? Kami akan menerangkan ringkasan Akta Larangan Akses Tidak Sah dan langkah-langkah yang harus diambil jika anda menjadi mangsa.
Tindakan yang Dilarang di bawah Undang-Undang Larangan Akses Tidak Sah (Japanese Unauthorised Access Prohibition Law)
Secara umum, terdapat tiga tindakan utama yang dilarang dan dikenakan hukuman di bawah Undang-Undang Larangan Akses Tidak Sah:
- Larangan terhadap tindakan akses tidak sah (Perkara 3)
- Larangan terhadap tindakan yang mendorong akses tidak sah (Perkara 5)
- Larangan terhadap tindakan mendapatkan, menyimpan, atau meminta kod pengenalan orang lain secara tidak sah (Perkara 4, 6, 7)
Kod pengenalan yang dimaksudkan di sini adalah kod yang ditetapkan oleh pengurus akses untuk setiap pengguna yang telah mendapat kebenaran untuk menggunakan komputer elektronik tertentu, dan digunakan oleh pengurus akses untuk membezakan pengguna tersebut dari pengguna lain (Perkara 2, Ayat 2).
Contoh klasik kod pengenalan adalah kata laluan yang digunakan bersama-sama dengan ID. Selain itu, mekanisme pengenalan seperti cap jari dan iris mata juga semakin popular, dan ini juga termasuk dalam kod pengenalan. Selain itu, jika pengenalan dilakukan berdasarkan bentuk tanda tangan atau tekanan pen, kod pengenalan juga termasuk nilai yang telah diubah menjadi kod berdasarkan tanda tangan tersebut.
Apa itu Akses Tidak Sah
Secara khusus, ia ditentukan dalam Perenggan 4 Artikel 2, akses tidak sah adalah tindakan ‘menyamar’ dengan menyalahgunakan kod pengenalan orang lain dan ‘serangan lubang keselamatan’ yang mengeksploitasi kelemahan dalam program komputer. Undang-Undang Larangan Akses Tidak Sah (Undang-Undang Jepun Larangan Akses Tidak Sah) melarang tindakan mengakses komputer orang lain secara tidak sah dengan menggunakan kaedah ini.
Tindakan Menyalahgunakan Kod Pengenalan Orang Lain
‘Menyamar’ dalam erti kata sebenar adalah menggunakan komputer yang sebenarnya tidak mempunyai kebenaran untuk mengakses dengan menyalahgunakan kod pengenalan orang lain.
Dengan kata lain, apabila menggunakan sistem komputer, anda perlu memasukkan kod pengenalan seperti ID dan kata laluan pada komputer, dan tindakan ini merujuk kepada memasukkan kod pengenalan orang lain yang mempunyai kebenaran penggunaan yang sah tanpa kebenaran daripada orang tersebut.
Agak sukar untuk difahami, tetapi ‘orang lain’ yang dimaksudkan di sini adalah ID dan kata laluan yang telah dibuat (dan digunakan) oleh orang lain, dan ‘menyamar’ adalah, dengan kata lain, tindakan ‘mengambil alih’ akaun seperti SNS Twitter yang sudah digunakan oleh orang lain.
Memandangkan keperluan adalah memasukkan kod pengenalan tanpa kebenaran daripada orang tersebut, dalam kes seperti memberitahu rakan sekerja yang berada di pejabat kata laluan anda semasa dalam perjalanan perniagaan dan meminta mereka untuk memeriksa e-mel dan sebagainya bagi pihak anda, ia tidak bertentangan dengan Undang-Undang Larangan Akses Tidak Sah kerana anda mendapat persetujuan daripada orang tersebut.
Secara umum, ‘menyamar’ merujuk kepada tindakan membuat akaun baru dengan menggunakan nama dan gambar muka orang lain dan menggunakan SNS seperti Twitter sebagai orang lain, tetapi tindakan yang dilarang oleh Undang-Undang Larangan Akses Tidak Sah adalah berbeza. Untuk ‘menyamar’ dalam erti kata umum, sila lihat artikel di bawah untuk penjelasan lebih terperinci.
https://monolith.law/reputation/spoofing-dentityright[ja]
Tindakan Menyerang Kelemahan Program Komputer
‘Serangan lubang keselamatan’ adalah tindakan menyerang lubang keselamatan (kelemahan dalam langkah-langkah keselamatan) komputer orang lain dan membuat komputer tersebut boleh digunakan. Ia menggunakan program serangan dan sebagainya untuk memberikan maklumat dan arahan selain kod pengenalan kepada sasaran serangan, mengelakkan fungsi kawalan akses komputer orang lain, dan menggunakan komputer tanpa kebenaran.
Fungsi kawalan akses yang dimaksudkan di sini adalah fungsi yang diberikan oleh pengurus akses kepada komputer elektronik tertentu atau komputer elektronik yang disambungkan dengan talian telekomunikasi untuk menghadkan penggunaan tertentu komputer elektronik oleh orang lain selain pengguna yang sah (Perenggan 3 Artikel 2).
Untuk menjelaskan dengan mudah, ia adalah mekanisme yang membolehkan penggunaan hanya apabila ID dan kata laluan yang betul dimasukkan oleh mereka yang cuba mengakses sistem komputer melalui rangkaian.
Dengan kata lain, ‘serangan lubang keselamatan’ adalah tindakan yang membolehkan penggunaan sistem komputer tersebut tanpa memasukkan ID dan kata laluan yang betul dengan menonaktifkan mekanisme ini.
Dua Jenis Akses Tidak Sah
Sebagaimana yang dinyatakan di atas, terdapat dua jenis akses tidak sah.
Perlu diperhatikan bahawa dalam kedua-dua jenis, syarat untuk dianggap sebagai akses tidak sah adalah bahawa ia harus dilakukan melalui rangkaian komputer. Oleh itu, walaupun anda memasukkan kata laluan dan sebagainya tanpa kebenaran pada komputer yang tidak disambungkan ke rangkaian, iaitu komputer standalone, ia tidak dianggap sebagai akses tidak sah.
Walau bagaimanapun, rangkaian komputer bukan hanya merujuk kepada rangkaian terbuka seperti internet, tetapi juga merangkumi rangkaian tertutup seperti LAN syarikat.
Selain itu, tidak ada had pada kandungan penyalahgunaan yang dilakukan oleh akses tidak sah, dan ia akan bertentangan dengan Undang-Undang Larangan Akses Tidak Sah jika anda melakukan tindakan seperti pesanan tanpa kebenaran, melihat data, penghantaran fail, dan mengubah laman web rumah.
Jika anda melakukan salah satu daripada dua jenis akses tidak sah ini, anda mungkin dikenakan ‘hukuman penjara tidak melebihi tiga tahun atau denda tidak melebihi 1 juta yen’ (Artikel 11).
Apa Itu Tindakan yang Mendorong Akses Tidak Sah
Tindakan yang mendorong akses tidak sah yang dilarang oleh ‘Undang-Undang Jepun Mengenai Larangan Akses Tidak Sah’ adalah memberikan ID dan kata laluan orang lain kepada pihak ketiga tanpa kebenaran dari pemiliknya. Tidak kira melalui telefon, e-mel, atau laman web, jika anda memberitahu orang lain seperti “ID untuk ○○ adalah ××, dan kata laluan adalah △△”, dan membolehkan orang lain mengakses data orang lain secara sewenang-wenangnya, ini akan dianggap sebagai tindakan yang mendorong akses tidak sah.
Jika anda melakukan tindakan yang mendorong akses tidak sah, anda mungkin dikenakan hukuman penjara tidak melebihi satu tahun atau denda tidak melebihi 500,000 yen (Pasal 12(2)).
Selain itu, walaupun anda memberikan kata laluan tanpa mengetahui tujuan akses tidak sah, anda mungkin dikenakan denda tidak melebihi 300,000 yen (Pasal 13).
Apa itu Tindakan Mendapatkan, Menyimpan, dan Meminta Kode Pengenalan Orang Lain secara Tidak Sah
Dalam Undang-Undang Jepun Larangan Akses Tidak Sah, tindakan mendapatkan, menyimpan, dan meminta kode pengenalan (ID dan kata laluan) orang lain secara tidak sah adalah dilarang.
- Perkara 4: Larangan terhadap tindakan mendapatkan kode pengenalan orang lain secara tidak sah
- Perkara 6: Larangan terhadap tindakan menyimpan kode pengenalan orang lain secara tidak sah
- Perkara 7: Larangan terhadap tindakan meminta masukan kode pengenalan orang lain secara tidak sah
Contoh utama tindakan yang dilarang ini adalah ‘tindakan meminta masukan’, yang dikenali sebagai tindakan ‘phishing’. Misalnya, dengan menyamar sebagai institusi kewangan, mangsa dipandu ke laman web palsu yang mirip dengan laman web asli, dan di laman web palsu ini, mangsa diminta untuk memasukkan kata laluan dan ID mereka.
Nombor pengenalan yang diperoleh melalui tindakan phishing ini digunakan dalam penipuan lelongan, dan juga banyak kejadian penipuan seperti deposit yang dipindahkan secara sewenang-wenang ke akaun lain.
Jika anda melakukan tindakan-tindakan ini, anda boleh dihukum penjara selama satu tahun atau kurang, atau denda sebanyak 500,000 yen atau kurang (Perkara 12, Butiran 4).
Undang-undang yang Mengawal Jenayah Siber Selain daripada Akses Tidak Sah
Seperti yang dinyatakan, Undang-Undang Larangan Akses Tidak Sah adalah undang-undang yang ditujukan untuk menangani sebahagian daripada jenis jenayah siber yang dikenali. Apabila membicarakan tentang ‘jenayah siber’ secara keseluruhan, undang-undang lain seperti Undang-Undang Gangguan Perniagaan melalui Kerosakan Komputer Elektronik (Japanese Electronic Computer Damage Business Obstruction Law), Undang-Undang Gangguan Perniagaan melalui Penipuan (Japanese Fraudulent Business Obstruction Law), dan Undang-Undang Fitnah (Japanese Defamation Law) juga mungkin menjadi isu dalam beberapa kes. Kami telah menerangkan secara terperinci tentang gambaran keseluruhan jenayah siber dalam artikel di bawah.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Tanggungjawab Pengurus Akses
Kami akan menerangkan tentang tanggungjawab yang ditakrifkan oleh Undang-Undang Larangan Akses Tidak Sah (Japanese Unauthorised Access Prohibition Law). Pengurus akses adalah orang yang mengurus operasi komputer elektronik tertentu yang disambungkan ke talian telekomunikasi (Perenggan 1, Artikel 2).
Pengurusan yang dimaksudkan di sini adalah menentukan siapa yang boleh menggunakan komputer elektronik tertentu melalui rangkaian dan lingkup penggunaannya. Orang yang mempunyai kuasa untuk menentukan pengguna dan lingkup penggunaan ini adalah pengurus akses di bawah Undang-Undang Larangan Akses Tidak Sah.
Sebagai contoh, jika sebuah syarikat mengendalikan sistem komputer, mereka akan memilih pengurus sistem dari kalangan pekerja mereka untuk mengurus sistem tersebut. Namun, pengurus sistem ini hanya mengurus sistem tersebut mengikut kehendak syarikat. Oleh itu, dalam kes seperti ini, pengurus akses bukanlah pengurus sistem, tetapi syarikat yang mengendalikan sistem komputer tersebut.
Undang-Undang Larangan Akses Tidak Sah tidak hanya menentukan tindakan akses tidak sah dan hukuman, tetapi juga mewajibkan pengurus untuk mencegah akses tidak sah dalam pengurusan server dan sebagainya.
Tindakan pertahanan oleh pengurus akses
Artikel 8: Pengurus akses yang telah menambah fungsi kawalan akses ke komputer elektronik tertentu harus berusaha untuk mengurus kod pengenalan atau kod yang digunakan untuk mengesahkan fungsi kawalan akses tersebut dengan betul, selalu memeriksa keberkesanan fungsi kawalan akses tersebut, dan apabila diperlukan, segera meningkatkan fungsi tersebut dan mengambil langkah-langkah yang diperlukan untuk melindungi komputer elektronik tertentu dari tindakan akses tidak sah.
Walaupun “mengurus kod pengenalan dengan betul”, “selalu memeriksa keberkesanan fungsi kawalan akses”, dan “meningkatkan fungsi kawalan akses jika perlu” adalah tanggungjawab, ini adalah tanggungjawab usaha, jadi tidak ada hukuman jika langkah-langkah ini diabaikan.
Namun, pengurus harus melakukan kawalan akses seperti penghapusan akaun atau perubahan kata laluan segera jika ada tanda-tanda bahawa ID atau kata laluan telah bocor.
Langkah-langkah Apabila Menjadi Mangsa Akses Tidak Sah
Jika anda menggunakan emel atau SNS, anda mungkin menjadi mangsa akses tidak sah oleh orang lain. Dalam kes ini, apa tindakan yang boleh diambil?
Membuat Laporan Jenayah
Pertama sekali, anda boleh membuat laporan jenayah terhadap individu yang melakukan akses tidak sah. Akses tidak sah adalah jenayah dan individu yang melakukan akses tidak sah akan dikenakan hukuman jenayah. Seperti yang diterangkan sebelum ini, individu tersebut mungkin akan dikenakan hukuman penjara tidak melebihi 3 tahun atau denda tidak melebihi 1 juta yen, dan jika ada individu yang membantu, mereka mungkin akan dikenakan hukuman penjara tidak melebihi 1 tahun atau denda tidak melebihi 500,000 yen.
Perlu diingatkan bahawa pelanggaran Undang-Undang Larangan Akses Tidak Sah (Japanese Unauthorised Access Prohibition Law) adalah jenayah yang boleh disiasat tanpa laporan, jadi polis boleh memulakan siasatan dan menangkap penjenayah jika mereka mengetahui tentang kejadian tersebut. Selain itu, bukan sahaja mangsa akses tidak sah, tetapi juga orang yang mengetahui tentang kejadian tersebut boleh membuat laporan kepada polis.
Seperti yang disentuh dalam artikel tentang jenayah gangguan perniagaan, walaupun jenayah yang memerlukan laporan oleh mangsa untuk pendakwaan, bukan bermakna anda tidak boleh membuat laporan jika bukan jenayah yang memerlukan laporan oleh mangsa. Dalam kes jenayah yang tidak memerlukan laporan oleh mangsa, mangsa masih boleh membuat laporan terhadap penjenayah.
Walaupun ia adalah jenayah yang tidak memerlukan laporan oleh mangsa, jika mangsa membuat laporan jenayah, keadaan tertuduh mungkin menjadi lebih buruk dan hukuman mungkin menjadi lebih berat. Jika anda menyedari bahawa anda telah menjadi mangsa akses tidak sah, anda harus berunding dengan peguam dan menghantar laporan mangsa atau laporan jenayah kepada polis. Sekiranya laporan mangsa diterima, polis akan segera memulakan siasatan dan menangkap atau menghantar tertuduh ke mahkamah.
Memohon Pampasan Sivil
Jika anda menjadi mangsa kerugian akibat akses tidak sah, anda boleh memohon pampasan sivil terhadap penjenayah berdasarkan Artikel 709 Undang-Undang Sivil Jepun (Japanese Civil Code).
Undang-Undang Sivil Artikel 709
Orang yang melanggar hak orang lain atau kepentingan yang dilindungi oleh undang-undang dengan sengaja atau kelalaian bertanggungjawab untuk membayar pampasan kerana kerugian yang timbul daripada pelanggaran tersebut.
Jika penjenayah melakukan akses tidak sah dan menyebarkan maklumat peribadi yang diperoleh, mencuri item permainan sosial, atau mengakses data kad kredit atau akaun bank dan menyebabkan kerugian harta, anda harus memohon pampasan kerugian, termasuk ganti rugi. Tentu saja, jika data kad kredit atau akaun bank anda diakses dan kerugian harta sebenar berlaku, anda juga boleh memohon pampasan untuk kerugian tersebut.
Namun, untuk memohon pampasan kerugian daripada penjenayah, anda perlu mengenal pasti penjenayah dan mengumpulkan bukti bahawa penjenayah tersebut benar-benar melakukan akses tidak sah, yang memerlukan pengetahuan yang sangat khusus. Jika anda menjadi mangsa kerugian akibat akses tidak sah, anda perlu berunding dengan peguam yang berpengalaman dalam isu-isu internet dan meminta mereka untuk mengendalikan prosedur.
Rumusan
Undang-undang Larangan Akses Tidak Sah (Japanese Unauthorised Access Prohibition Law) memegang makna yang semakin penting dalam masyarakat moden yang semakin maju dalam IT. Walau bagaimanapun, walaupun anda menjadi mangsa akses tidak sah, seringkali adalah sukar dari segi teknikal untuk mangsa sendiri mengenal pasti pelaku.
Selain itu, pelanggaran Undang-undang Larangan Akses Tidak Sah adalah subjek hukuman jenayah, jadi mungkin perlu membuat laporan kepada polis. Namun, kerana ia adalah jenis jenayah baru, polis mungkin tidak selalu memahami kes dengan segera. Oleh itu, semasa membuat laporan, anda perlu memberikan penjelasan yang teliti dari kedua-dua perspektif undang-undang dan teknikal untuk membantu polis memahami. Dalam konteks ini, kerana penanganan Undang-undang Larangan Akses Tidak Sah memerlukan kepakaran yang tinggi, adalah penting untuk berunding dengan peguam yang juga berpengetahuan tentang aspek teknikal IT.
Category: IT
Tag: CybercrimeIT