जब कम्पनीहरूले डाटाबेसमा भण्डारण गरेको महत्त्वपूर्ण कम्पनी जानकारी अनपेक्षित परिस्थितिहरूका कारण हराउँछ, त्यस्तो समस्या प्रायः सिस्टम विभागको कार्यस्थलमा देखा पर्न सक्छ। यस्तो अवस्थामा, यदि सिस्टम सञ्चालन कार्य बाह्य सेवा प्रदायकलाई आउटसोर्स गरिएको छ भने, के त्यस्तो बाह्य सेवा प्रदायकलाई कानूनी रूपमा जिम्मेवार ठहराउन सकिन्छ?
यस लेखमा, हामी जापानमा कम्पनीहरूमा जानकारी हराउने घटनाको कानूनी जिम्मेवारी कहाँ पर्छ भन्ने विषयमा विस्तृत विवरण दिनेछौं।
जापानमा IT प्रणालीमा ‘अपरेशन’ को अर्थ
जापानमा IT प्रणालीमा ‘अपरेशन’ भन्नाले साधारण रूपमा भन्नु पर्दा, वर्तमान प्रणालीलाई यथावत् रूपमा प्रयोग गरिरहने काम हो। IT इन्जिनियर र प्रोग्रामरहरूले नयाँ विकसित गरेको प्रणालीलाई एक पटक निर्माण गरेपछि समाप्त हुने कुरा होइन। उदाहरणका लागि, यदि तपाईंले स्क्रिनबाट गर्न नसकिने अपरेशनहरू गर्न चाहनुहुन्छ भने, डाटाबेसमा कम्प्युटरलाई जडान गर्नु पर्ने हुन्छ र प्रत्यक्ष कम्प्युटर भाषा (जस्तै SQL) प्रविष्ट गर्नु पर्ने हुन्छ (जस्तै स्क्रिनबाट गर्न नसकिने डाटा निकाल्ने वा परिवर्तन गर्ने कामहरू)।
यस्ता अपरेशनका कामहरूलाई नयाँ प्रोग्रामहरू लागू गर्ने कामसँग तुलना गर्दा, प्रक्रिया पुस्तिका तयार पार्ने जस्ता कार्यहरूले नियमितीकरण गर्न सजिलो हुन्छ र बाह्य सेवा प्रदायकहरूलाई बाहिरी काम दिन सजिलो हुन्छ।
तथापि, नियमितीकरण गर्न सजिलो काम भए पनि, यो काम कम्पनीले व्यवस्थापन गरेको डाटाबेसलाई प्रत्यक्ष रूपमा सञ्चालन गर्ने काम हो, र यसले ठूलो घटनासँग नजिकको सम्बन्ध राख्न सक्छ भन्ने कुरा पनि ध्यानमा राख्नु पर्छ। कम्पनीको जानकारी चुहावट वा हराइरहेको जोखिम जस्ता घटनाहरू, कामको जिम्मेवारीको महत्वलाई बेवास्ता गर्दै सजिलै बाहिरी स्रोतमा काम दिँदा, अनजानमा ठूलो समस्यामा परिणत हुन सक्छ।
जानकारीको हानि जोखिम अपेक्षाकृत नजिकै छ
कम्पनीहरूले प्रयोग गर्ने डाटाबेसहरूका केहि प्रकारहरू छन्, तर यसको वास्तविकता एक प्रकारको सफ्टवेयर हो। र, त्यहाँ व्यवस्थापित गरिएको डाटाको निष्कर्षण, परिवर्तन, थप्ने र हटाउने जस्ता प्रक्रियाहरू मूलतः SQL भनिने कम्प्युटर भाषामा गरिन्छ।
कानूनी महत्व
IT प्रणालीमा संलग्न प्राविधिकहरूको काममा विकास, सञ्चालन, र रखरखाव जस्ता विभिन्न प्रकारका कामहरू छन्, तर यसमा साझा गरिने कुरा डाटा र कम्प्युटर भाषा जस्ता अमूर्त वस्तुहरूको हेरविचार हो। यसैले, कामको बाह्य रूपमा हेर्दा, यो केवल एक बटन थिच्ने गल्ती वा सानो इनपुट त्रुटि मात्र हुन सक्छ, तर यस्तो गल्तीको प्रभावको दायरा अप्रत्याशित रूपमा व्यापक हुन सक्छ। यस्तो ठूलो अवधारणा आवश्यक रूपमा IT प्राविधिकहरूले मात्र होइन, प्रणालीमा संलग्न सबै कामदारहरूले सचेत हुनुपर्ने कुरा हो। प्रणालीमा संलग्न कामको स्वभावले गर्दा, कुनै समस्या उत्पन्न भएमा, यसको प्रभावको दायरा सम्बन्धित विभागलाई मात्र होइन, कम्पनी भित्रका सीमानाहरूलाई पनि पार गरेर तत्काल फैलिन सक्छ। प्रणालीमा कानूनी महत्व किन छ भन्ने कुरा आदेशकर्ता र प्राप्तकर्ता दुवै पक्षबाट यस्तो दृष्टिकोणबाट समान रूपमा व्याख्या गर्न सकिन्छ।
कम्पनी डाटाको हानि जोखिम
एउटा सामान्य उदाहरण लिनुपर्छ। SQLमा एउटा टेबलमा भएको सबै डाटा हटाउने क्वेरी (आदेश) लेख्न केवल एक पंक्ति ‘TRUNCATE’ मात्र पर्याप्त छ। कम्पनीले बोकेको डाटाको हानि जोखिमको बारेमा सोच्दा, SQLको व्याकरण वा डाटाबेस सफ्टवेयरको सञ्चालन विधि धेरै महत्त्वपूर्ण छैन। तर, कम्पनीले भण्डारण गरेको सम्पूर्ण डाटा सेट हटाउने कुरामा, यदि तरिकाको कुरा गर्ने हो भने, यो पनि यति सजिलो मात्र हो भन्ने कुरा चिन्तन गर्नुपर्ने हुन्छ। यस्तो वास्तविकता चिन्तनको आधार हुन सक्छ, जब कम्पनीको डाटाको हानि जोखिमको बारेमा सोचिन्छ।
निश्चित रूपमा, सञ्चालन कार्यहरू स्थिरीकरण गर्न सजिलो हुन्छ र प्रक्रिया अनुसार गर्दा समस्या उत्पन्न हुन सक्दैन। तर साथै, प्रक्रिया अनुसार नभएर, अनियमित घटनाहरू उत्पन्न गर्ने स्थितिहरूलाई समावेश गर्दा, कानूनी महत्व स्वतः स्पष्ट हुन्छ।
जानकारीको हानि कसको कानूनी जिम्मेवारी हो?
अनपेक्षित डाटा हानि उत्पन्न भएमा कानूनी जिम्मेवारी के हो?
जापानमा अपरेटरहरूको कामको कानूनी प्रकृति
त्यसो भए, अनपेक्षित घटनाका कारण डाटा हराएमा र पुनः प्राप्ति विधि नभएको अवस्थामा, त्यसको कानूनी जिम्मेवारी कसमा पर्दछ भन्ने कुरा अब हामी कानूनी दृष्टिकोणबाट विश्लेषण गर्नेछौं।
जापानमा भुक्तानी आधारित जिम्मेवारी सम्झौताअनुसार भण्डारण कर्तव्य पछ्याउनु कठिन छ
डाटा सञ्चालन सेवाहरू प्रदान गर्ने व्यवसायीहरूको जिम्मेवारीको मुद्दा उठाउँदा, एउटा सिद्धान्त यो हो कि भुक्तानी आधारित जिम्मेवारी सम्झौताअनुसार राम्रो व्यवस्थापनको कर्तव्य पछ्याउनु पर्छ। यसलाई सरल रूपमा भन्नुपर्दा, यदि भुक्तानी गरिएको कोइन लकर जस्ता स्थानमा वस्तुहरू भण्डारण गर्ने व्यवसायीले ती वस्तुहरू गुमाएमा उसले हानि भरपाईको जिम्मेवारी लिनुपर्छ भन्ने उस्तै, ‘डाटा’को हराइको जिम्मेवारी पछ्याउन सकिन्छ कि भन्ने प्रश्न हो। तर, वस्तुहरूको भण्डारण कर्तव्यको कुरा जस्तै, ‘डाटाको भण्डारण कर्तव्य’ स्वाभाविक रूपमा उत्पन्न हुन्छ भन्ने कुरा वर्तमान कानून अनुसार व्यावहारिक छैन।
व्यक्तिगत सम्झौताको सामग्रीमा निर्भर गर्दछ
अन्ततः, “डाटा संग्रहणको जिम्मेवारी कसले लिन्छ?” भन्ने प्रश्नको समाधान जापानी नागरिक कानूनका प्रावधानहरूको आधारमा एकरूप रूपमा निकाल्न सकिन्न। तसर्थ, यसको उत्तर “व्यक्तिगत सम्झौताको सामग्रीमा कसरी व्यवस्था गरिएको छ भन्ने कुरामा निर्भर गर्दछ” भन्ने नै उपयुक्त हुनेछ।
त्यसपछि, “सम्झौताको सामग्री के थियो?” भन्ने बिन्दुलाई अनिवार्य रूपमा केवल सम्झौता पत्रमात्र होइन, बैठकको मिनेट्स लगायतका अन्य कागजातहरूसँगै निर्णय गरिन्छ। बैठकको मिनेट्सको महत्वको बारेमा तलको लेखमा विस्तृत रूपमा व्याख्या गरिएको छ।
जापानमा सम्झौता नभएका तेस्रो पक्षबाट अवैध कार्यको जिम्मेवारी पछ्याउन समस्यापूर्ण
जापानी कानून अनुसार, सम्झौता नभएका तेस्रो पक्षबाट अवैध कार्यको जिम्मेवारी पछ्याउनु असम्भव रहेको न्यायिक निर्णयले स्पष्ट पारेको छ। न्यायिक निर्णयमा, रेन्टल सर्भर सेवामा डाटा हराएको घटनामा, प्रयोगकर्ताले अवैध कार्यको आधारमा क्षतिपूर्ति दाबी गर्न सकिन्छ कि भन्ने विषय विवादमा रह्यो।
अवैध कार्यको उदाहरणमा, उदाहरणका लागि, यातायात दुर्घटना छ। उदाहरणका लागि, यदि एउटा गाडी दुर्घटनामा चालकको लापरवाहीले मानिसलाई चोट पुर्याएको छ भने, (आपराधिक रूपमा मात्र होइन) नागरिक रूपमा पनि जिम्मेवारी बहन गर्नुपर्छ। अन्य व्यक्तिसँग ‘मानिसलाई गाडीले ठक्कर नदिने’ भन्ने सम्झौता गरिएको हुँदैन, तर निजी व्यक्तिहरूबीच पनि क्षतिपूर्ति जिम्मेवारी उत्पन्न हुन सक्छ। यस्तो अवैध कार्यको जिम्मेवारीको ढाँचामा आधारित भएर, प्रत्यक्ष सम्झौता सम्बन्ध नभएका पक्षसँग पनि डाटा हराएकोमा जिम्मेवारी पछ्याउन सकिन्छ कि भन्ने विषय विवादमा रह्यो।
तर, अदालतले डिजिटल जानकारीका विशेषताहरूलाई उल्लेख गर्दै, यस्ता कर्तव्यहरूको अस्तित्वलाई स्वाभाविक रूपमा निष्कर्ष निकाल्न समस्यापूर्ण रहेको बताएको छ।
सर्भर पूर्ण रूपमा त्रुटिरहित हुँदैन र समस्या उत्पन्न भएर संग्रहित प्रोग्रामहरू हराउन सक्छ, तर प्रोग्रामहरू डिजिटल जानकारी हुन्, जुन सजिलै प्रतिलिपि गर्न सकिन्छ, प्रयोगकर्ताले प्रोग्रामहरू हराए पनि, यसलाई रेकर्ड गरी संग्रह गरेको भए, प्रोग्रामहरूलाई पुनः सञ्चालन गर्न सक्छन् र यो कुरा व्यापक रूपमा ज्ञात छ (बहसको पूर्ण अर्थ) बाट, मुद्दावालाहरूले यस प्रकरणका प्रोग्राम वा डाटाको हराउन नदिने उपायहरू सजिलै अपनाउन सक्थे। यस्तो परिस्थितिमा मुद्दावाला र प्रतिवादी दुवैका हित अवस्थालाई हेर्दा, मुद्दावालाहरूका उल्लिखित रेकर्डहरूलाई सुरक्षित गर्न तिनीहरूको हराउन नदिने कर्तव्यसम्म बहन गर्नुपर्ने कारण वा आवश्यकता छैन भन्ने ठहर गर्नुपर्छ। (मध्य छोडिएको), मुद्दावालाहरूले, रेन्टल सर्भर सम्झौता तेस्रो पक्षको प्रोग्राम वा डाटासँग सम्बन्धित जमानत सम्झौताको स्वरूप राख्छ भनी, यसलाई आधार मानेर, प्रतिवादीले रेन्टल सर्भर व्यवसायीको रूपमा यस सर्भरमा संग्रहित सबैका लागि सावधानीपूर्वक कर्तव्य बहन गर्नुपर्छ र विशेष गरी यस सर्भरका रेकर्डहरू हराउन नदिने कर्तव्य बहन गर्नुपर्छ भनी दाबी गरे।
तथापि, प्रतिवादीले प्रयोगकर्ता A सँग मात्र साझा सर्भर होस्टिंग सेवाको प्रयोग सम्झौता गरेका छन्, मुद्दावालाहरूसँग सम्झौता सम्बन्ध छैन, र यस सर्भरमा संग्रहित यस प्रकरणका प्रोग्राम वा डाटाको भण्डारणमा जमानत सम्झौताको स्वरूप छ भन्न सकिन्न भनेर, प्रतिवादीले सम्झौता सम्बन्ध नभएका मुद्दावालाहरूलाई यस सर्भरमा संग्रहित रेकर्डहरूको लागि अवैध कार्य कानून अनुसार सावधानीपूर्वक कर्तव्य बहन गर्ने आधार फेला पार्न गाह्रो छ। यसरी, प्रतिवादीले रेन्टल सर्भर व्यवसायी भएको एक मात्र कुराले, सम्झौता सम्बन्ध नभएका तेस्रो पक्षसँगको सम्बन्धमा स्वाभाविक रूपमा यस सर्भरमा संग्रहित रेकर्डहरूको लागि सावधानीपूर्वक कर्तव्य बहन गर्ने वा रेकर्डहरू हराउन नदिने कर्तव्य बहन गर्न सक्दैन।
टोक्यो जिल्ला अदालत, हेइसेइ (2009) मे 20
यो निर्णयले सम्झौता सम्बन्ध सीधै नभएका तेस्रो पक्ष (मुद्दावाला) सँग ‘डाटा नहराउने कर्तव्य’ भन्ने कुरा कल्पना गर्न उचित नरहेको बताएको छ। यो निर्णयले पछिल्लो समयमा यस्तै घटनाहरू उत्पन्न भएमा नेतृत्व गर्ने मुख्य मामला बन्न सक्ने र यसले निश्चित ध्यान आकर्षित गर्ने छ।
निष्कर्षमा, जिम्मेवारी पुष्टि गर्नु “कठिन” हुन सक्छ
व्यवहारमा प्रायः प्रयोग गरिने अनुबंधको कुरा गर्दा, डाटा संग्रहण र ब्याकअपसम्मको जिम्मेवारी सञ्चालन व्यवसायीलाई दिइने अनुबंधहरूको संख्या धेरै छैन, बरु यस्ता जिम्मेवारीहरू प्रयोगकर्ता (अर्थात् ग्राहकको कम्पनी) लाई दिइन्छ भन्ने अनुबंधहरू नै बढी प्रचलित छन्।
तसर्थ, कुनै विशेष सहमति भएको छैन भने, सिस्टम सञ्चालन व्यवसायीले डाटा हराउनबाट जोगाउने उपायहरू अपनाउनुपर्ने कानूनी दायित्व धारण गर्नु निकै कठिन छ भन्ने कुरा उल्लेख गर्नुपर्छ।
जापानमा सूचना हराउने जोखिमको तयारीमा गर्नुपर्ने कामहरू
डाटा हराउनबाट बच्न अवश्य ब्याकअप लिनुहोस्।
अन्ततः, कम्पनीहरूले बोकेको सूचनाको हराउने जोखिम सम्बन्धमा, यो कम्पनी आफैंले भण्डारण गरेको सूचनाको कुरा पनि हो। तसर्थ, यस जोखिमलाई कसरी मध्यनजर गर्ने र कुन प्रकारको भण्डारण प्रणाली बनाउने भन्ने विषयमा पनि, कम्पनी आफैंले निर्णय गर्नुपर्ने कुरा हुन सक्छ।
यद्यपि व्यवसायीको जिम्मेवारी स्वीकार गरिएको छ भने पनि, लापरवाहीले गर्दा क्षतिपूर्तिको रकम पूर्ण रूपमा स्वीकृत हुन नसक्ने अवस्था पनि आउन सक्छ। अतीतका न्यायिक निर्णयहरूमा, प्रतिवादीले सर्वरमा भण्डारण गरेको प्रतिवादीको डाटा हराएको घटनामा, प्रतिवादीले ब्याकअप नलिएकोले ‘लापरवाही’ भएको ठहर गर्दै लापरवाहीको कटौती स्वीकार गरिएको न्यायिक निर्णय पनि छ।
प्रतिवादीले, यस फाइलको सामग्रीको सन्दर्भमा सजिलै ब्याकअप वा अन्य कदम चाल्न सक्ने थियो, र त्यसले (बीचमा छुट्याइएको) क्षतिको उत्पत्ति रोक्न, वा क्षतिको उत्पत्ति न्यूनतम सीमामा राख्न सक्ने थियो तथापि, यस घटनाको समयमा, प्रतिवादीले यस फाइलको डाटा सामग्री केहि पनि बचाएको थिएन भन्ने मानिन्छ।
र, यस घटनामा, प्रतिवादीको क्षतिपूर्ति दायित्वको रकम निर्धारण गर्दा, यो कुरा विचारमा लिई लापरवाहीको कटौतीको नियम लागू गर्नु क्षतिपूर्ति कानूनको समानताको सिद्धान्तलाई उपयुक्त मानिन्छ। (बीचमा छुट्याइएको)
यसको विपरीत, प्रतिवादीले, प्रदायक कम्पनी भएको प्रतिवादीले यस फाइललाई सर्वरबाट मेटाउने कुरा प्रतिवादीले अनुमान गर्न सक्दैन थियो, र त्यसलाई अनुमान गर्नुपर्ने थिएन भन्ने कुरालाई कानूनी दायित्वको रूपमा स्वीकार गर्न सकिँदैन, र त्यसको अक्रियालाई कानूनी अर्थमा लापरवाही मान्न सकिँदैन भन्ने तर्क गर्दै, लापरवाहीको कटौतीको प्रयोग अस्वीकार गर्नुपर्ने भन्ने तर्क गर्छन्।
तथापि, लापरवाहीको कटौती लागू गर्दा, प्रतिवादीलाई यस फाइलको हराउने परिणामको अनुमान गर्न सक्ने पर्याप्तता छ भने पर्याप्त हुन्छ, र त्यस परिणामसम्म पुग्ने कारणको अनुक्रममा, प्रतिवादीको यस ध्यान दिने कर्तव्यको उल्लंघनले यस फाइललाई हराएको कुराको अनुमान गर्न आवश्यक छैन भन्ने ठान्नुपर्छ।
यस घटनामा, (बीचमा छुट्याइएको), ह्याकरहरूले वेबसाइटमा प्रवेश गर्ने खतराको बारेमा थाहा पाइएको छ, र प्रतिवादीले, इन्टरनेट सञ्चारमा सूचनाको परिवर्तन, विनाशको खतरा छ, र त्यो खतरा अनुमान गर्न सकिन्छ भन्ने कुरा स्वीकार गरेका छन्, त्यसैले, प्रतिवादीले, इन्टरनेट सञ्चारका विशेष कारणले यस फाइल हराउने खतरा अनुमान गरेका थिए, र यस फाइल हराउने परिणामको अनुमान गर्न सकिन्छ भन्ने कुरा पर्याप्त रूपमा स्वीकार गरिएको छ, र लापरवाहीको कटौती लागू गर्ने क्रममा आउने अवरोधहरू पर्याप्त रूपमा स्वीकार गरिन्न भन्ने ठहरिएको छ।
टोक्यो जिल्ला अदालत, हेइसेइ (2001) सेप्टेम्बर 28
यस मामलामा, ‘ब्याकअप नलिएकोले, ह्याकरहरूको प्रवेश जस्ता कुनै पनि कारणले फाइल हराउने खतरा अनुमान गर्न सकिन्थ्यो, र त्यसैले लापरवाहीको कटौती लागू गर्नुपर्छ’ भन्ने तर्कसँगै, क्षतिपूर्तिको रकम आधा भएको छ।
सारांश
डाटा हराउने जोखिमको सन्दर्भमा मात्र होइन, जब सिस्टम विकासको काम बाह्य स्रोतलाई सुम्पिन्छ, प्रयोगकर्ताहरू धेरैपटक स्क्रिन इन्टरफेसको अनुभवमा मात्र ध्यान केन्द्रित गर्छन् र पछाडि भण्डारण गरिएको डाटाबेस क्षेत्रमा संगठनको गभर्नेन्स पुग्न नसक्ने अवस्था सिर्जना हुन्छ।
तर, यी विषयहरू पनि कहिल्यै ‘अर्काको कुरा’ भनेर बेवास्ता गर्न मिल्दैन भन्ने कुरा भूतकालका न्यायिक निर्णयहरूले संकेत गर्दछन्। अर्को शब्दमा भन्नुपर्दा, ब्याकअप लिने जस्ता कार्यहरूमार्फत जानकारी हराउने जोखिमलाई ध्यानमा राखेर प्रबन्धन प्रणालीको व्यवस्थापन अगाडि बढाउनु पर्ने छ, जुन अन्ततः प्रयोगकर्ता पक्षको (संगठन भित्रको) जिम्मेवारी हो।
भूतकालका न्यायिक निर्णयहरूले यस्ता जोखिमहरूको तयारी नगर्नुले फिर्ता लिन नसकिने अवस्था सिर्जना गर्न सक्ने भन्ने कुरा संकेत गर्दछन् र यसको रोकथामको आवश्यकताको चेतावनी दिन्छन्।
An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.
