Ryzyko utraty danych przez operatorów systemów i ich prawna odpowiedzialność
Może zdarzyć się, że ważne informacje firmowe przechowywane w bazie danych firmy zostaną utracone z powodu nieprzewidzianych okoliczności. Takie sytuacje mogą wystąpić na miejscu w dziale systemowym. Czy w takim przypadku, jeśli operacje systemowe są zlecone zewnętrznemu dostawcy, możliwe jest prawnie pociągnięcie go do odpowiedzialności?
W tym artykule omówimy, gdzie spoczywa prawna odpowiedzialność za utratę informacji w firmie.
Co oznacza “operacja” w systemach IT
“Operacja” w systemach IT, mówiąc najprościej, to praca związana z utrzymaniem istniejącego systemu w takim stanie, jak dotychczas. Systemy, które inżynierowie IT i programiści stworzyli (czyli rozwijali), nie kończą się na jednorazowym stworzeniu. Na przykład, jeśli chcesz wykonać operacje, które nie mogą być wykonane z poziomu interfejsu użytkownika, musisz podłączyć komputer do bazy danych i wprowadzić bezpośrednio język komputerowy (takie jak SQL). Można to zrobić, na przykład, aby wyodrębnić lub zmienić dane, które nie mogą być wykonane z poziomu interfejsu użytkownika.
Takie operacyjne zadania są często łatwiejsze do sformalizowania, na przykład poprzez przygotowanie instrukcji, w porównaniu do pracy nad nową implementacją programu, co często sprawia, że są one łatwe do zlecenia zewnętrznym firmom.
Jednakże, nawet jeśli zadania są łatwe do sformalizowania, fakt, że są to zadania związane z bezpośrednią obsługą baz danych zarządzanych przez firmę, oznacza, że często są one blisko związane z poważnymi incydentami. Należy pamiętać, że ryzyko wycieku lub utraty informacji przechowywanych przez firmę może niepostrzeżenie wzrosnąć, jeśli zbyt lekko podchodzi się do powagi odpowiedzialności związanej z tymi zadaniami i zbyt łatwo zleca się je na zewnątrz.
Ryzyko utraty informacji jest bliższe, niż myślimy
Chociaż istnieje wiele rodzajów baz danych, które korzystają firmy, w rzeczywistości są one rodzajem oprogramowania. Procesy ekstrakcji, modyfikacji, dodawania i usuwania danych zarządzanych w tych systemach są zasadniczo realizowane za pomocą języka komputerowego SQL.
Znaczenie prawne
Praca inżynierów związanych z systemami IT obejmuje rozwój, operacje i konserwację, a wspólnym elementem ich pracy jest obsługa abstrakcyjnych elementów, takich jak “dane” i “języki komputerowe”. W związku z tym, nawet jeśli patrzymy tylko na wygląd zewnętrzny wykonywanej pracy, błąd jednego przycisku lub drobny błąd wprowadzania danych może mieć skutki, które rozprzestrzeniają się znacznie szerzej niż można przewidzieć. Ta podstawowa zasada powinna być świadoma dla wszystkich pracujących z systemami, niezależnie od tego, czy są specjalistami w dziedzinie technologii IT. Praca związana z systemami ma charakterystykę, że jeśli wystąpi jakiś problem, jego skutki często rozprzestrzeniają się natychmiast poza odpowiedni dział i poza granice firmy. Dlaczego prawnicy są ważni dla systemów, można wyjaśnić z jednolitej perspektywy zarówno dla zamawiającego, jak i wykonawcy.
Ryzyko utraty danych firmowych
Przyjrzyjmy się prostszemu przykładowi. Zapytanie (polecenie) SQL do usunięcia wszystkich danych z jednej tabeli to tylko jedno słowo: “TRUNCATE”. Gdy myślimy o ryzyku utraty danych przez firmę, znajomość składni SQL lub sposobu obsługi oprogramowania bazodanowego może nie być tak ważna. Jednakże, powinniśmy być świadomi, że nawet jeśli chodzi o usunięcie wszystkich danych przechowywanych przez firmę, jest to tak proste. To właśnie ta świadomość rzeczywistości powinna być punktem wyjścia, gdy myślimy o ryzyku utraty danych firmowych.
Na pewno operacje są łatwe do standaryzacji i często nie ma problemów, jeśli są wykonywane zgodnie z procedurą. Jednak jednocześnie, jeśli weźmiemy pod uwagę sytuacje nieregularne, które mogą wystąpić, gdy procedury nie są przestrzegane, znaczenie prawa staje się oczywiste.
Kto jest prawnie odpowiedzialny za utratę informacji?
Prawna natura pracy operatora
Więc, kiedy dochodzi do niezamierzonej utraty danych z powodu incydentu i nie ma możliwości odzyskania, gdzie leży prawna odpowiedzialność? Poniżej analizujemy takie incydenty z prawnego punktu widzenia.
Trudno jest dochodzić obowiązku przechowywania na podstawie umowy depozytowej
Jednym z możliwych teoretycznych podejść do kwestionowania odpowiedzialności operatora zarządzającego danymi jest dochodzenie obowiązku należytej staranności na podstawie umowy depozytowej. W skrócie, jest to kwestia, czy można dochodzić odpowiedzialności za utratę “danych” w ten sam sposób, jak dochodzi się odpowiedzialności za odszkodowanie za utratę przedmiotu w płatnej szafce na monety. Jednakże, podobnie jak w przypadku obowiązku przechowywania “rzeczy”, założenie, że “obowiązek przechowywania danych” powstaje automatycznie, nie jest realistyczne w obecnym prawie.
Zależy od indywidualnej treści umowy
Ostatecznie, problem “kto ma obowiązek przechowywania danych” jest trudny do rozwiązania na podstawie przepisów prawa cywilnego. Dlatego odpowiedź powinna brzmieć: “zależy od tego, co jest określone w indywidualnej treści umowy”.
A co do “treści umowy”, nie jest to tylko umowa pisemna, ale także protokoły, które są również oceniane. Szczegółowe wyjaśnienia na temat znaczenia protokołów można znaleźć w poniższym artykule.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Trudno jest dochodzić odpowiedzialności za czyny niedozwolone od osób trzecich, które nie są stronami umowy
W orzecznictwie jest jasno określone, że niemożliwe jest dochodzenie odpowiedzialności za czyny niedozwolone od osób trzecich, które nie są stronami umowy. W przypadku, który był przedmiotem orzeczenia, kwestionowano możliwość dochodzenia odszkodowania na podstawie czynu niedozwolonego w przypadku utraty danych w usłudze serwera wynajmowanego.
Typowym przykładem czynu niedozwolonego jest wypadek drogowy. Na przykład, jeśli kierowca spowoduje wypadek samochodowy i rani kogoś z powodu swojego zaniedbania, ponosi odpowiedzialność cywilną (oczywiście także karną). Można to rozważać, nawet jeśli nie zawarto umowy między obcymi, mówiącej “nie uderzę w ciebie samochodem”, odpowiedzialność za odszkodowanie może powstać między osobami prywatnymi. Na podstawie tego ramowego podejścia do odpowiedzialności za czyny niedozwolone, kwestionowano, czy możliwe jest dochodzenie odpowiedzialności za utratę danych, nawet jeśli nie ma bezpośredniego związku umownego.
Jednakże, sąd wskazał na specyfikę informacji cyfrowych i stwierdził, że trudno jest domniemywać istnienie takiego obowiązku.
Serwer nie jest doskonały i może wystąpić awaria, która spowoduje utratę zapisanych programów itp., ale programy itp. są informacjami cyfrowymi, które można łatwo skopiować, a jeśli użytkownik zapisze i przechowa te programy itp., będzie mógł je ponownie uruchomić, nawet jeśli zostaną utracone, co jest powszechnie znane (całość argumentacji), więc powodowie mogli łatwo podjąć środki zapobiegające utracie programów i danych. W świetle sytuacji korzyści obu stron, powodów i pozwanych, nie ma powodu ani konieczności, aby pozwany, który instaluje i zarządza serwerem, miał obowiązek zapobiegać utracie zapisów powodów w celu ich ochrony. (pominięcie) Powodowie twierdzą, że umowa wynajmu serwera ma charakter umowy depozytowej dotyczącej programów lub danych osób trzecich, i na tej podstawie, że pozwany, jako operator serwera wynajmowanego, ma obowiązek należytej staranności wobec wszystkich osób, które przechowują zapisy na serwerze, a konkretnie, ma obowiązek zapobiegać utracie zapisów na serwerze, i na tej podstawie twierdzą, że utrata zapisów powodów przechowywanych na serwerze przez pozwanego jest naruszeniem obowiązku zapobiegania utracie.
Sąd Okręgowy w Tokio, 20 maja 2009 roku (Rok Heisei 21)
Jednakże, pozwany zawarł tylko umowę o korzystanie z usługi hostingowej serwera współdzielonego z użytkownikiem A, a nie ma żadnego związku umownego z powodami, a przechowywanie programów i danych na serwerze nie ma charakteru depozytowego, więc trudno jest znaleźć podstawę dla twierdzenia, że pozwany ma obowiązek należytej staranności wobec powodów, którzy nie są stronami umowy, w odniesieniu do zapisów przechowywanych na serwerze na podstawie prawa o czynach niedozwolonych. W takim przypadku, nie można twierdzić, że pozwany, jako operator serwera wynajmowanego, ma obowiązek należytej staranności wobec zapisów przechowywanych na serwerze, czy obowiązek zapobiegania utracie zapisów, w stosunku do osób trzecich, które nie są stronami umowy, tylko dlatego, że jest operatorem serwera wynajmowanego.
Wyrok ten wskazuje, że nie jest uzasadnione zakładanie istnienia “obowiązku nieusuwania danych” w odniesieniu do osób trzecich (powodów), które nie mają bezpośredniego związku umownego. Ten wyrok przyciągnął pewną uwagę jako potencjalny przypadek prowadzący w przypadku podobnych incydentów w przyszłości.
Podsumowując, dochodzenie odpowiedzialności jest “trudne”
Jeśli chodzi o praktyczne umowy, które są często stosowane, nie jest tak często, że umowy określają, że obowiązek przechowywania i tworzenia kopii zapasowych danych spoczywa na operatorze. Zdecydowanie częściej są to umowy, które określają, że jest to obowiązek użytkownika (tj. firmy klienta).
Dlatego, chyba że jest jakaś specjalna umowa, jest bardzo trudno prawo zakłada, że operator systemu ma obowiązek podejmować środki zapobiegające utracie danych.
Co należy zrobić, aby zabezpieczyć się przed ryzykiem utraty informacji
Ostatecznie, ryzyko utraty informacji, które posiada firma, dotyczy przede wszystkim informacji przechowywanych przez tę firmę. Dlatego też, jak firma powinna uwzględnić to ryzyko i jaką strukturę przechowywania powinna zbudować, to kwestie, które firma powinna sama zdecydować. Można powiedzieć, że istnieje duże prawdopodobieństwo, że tak będzie.
Nawet jeśli odpowiedzialność przedsiębiorcy zostanie uznana, można rozważyć takie sytuacje, jak kompensacja za błąd, która nie zostanie w pełni uznana. W przeszłych wyrokach sądowych, w przypadku, gdy pozwany, który przechowywał dane powoda na serwerze, usunął te dane, fakt, że powód nie utworzył kopii zapasowej, został uznany za “błąd” i sąd uznał kompensację za błąd.
Powód mógł łatwo podjąć środki takie jak tworzenie kopii zapasowych plików, a mimo to nie zrobił tego, co mogło zapobiec powstaniu szkody lub zminimalizować jej skutki. W związku z tym, uznaje się, że powód nie zachował żadnych danych pliku w momencie incydentu.
W tym przypadku, przy ustalaniu kwoty odpowiedzialności za szkody, które pozwany musi ponieść, należy uwzględnić ten fakt i zastosować przepisy o kompensacji za błąd, co jest zgodne z ideą sprawiedliwości w prawie odszkodowawczym.
W odpowiedzi na to, powód twierdzi, że nie było możliwe przewidzenie, że plik zostanie usunięty z serwera przez pozwanego, który jest dostawcą usług internetowych, i że nie można uznać, że powód miał obowiązek tworzyć kopie zapasowe, ani że jego zaniechanie stanowi błąd w sensie prawnym, i zaprzecza zastosowaniu kompensacji za błąd.
Jednakże, przy zastosowaniu kompensacji za błąd, wystarczy uznać, że powód mógł przewidzieć, że plik zostanie usunięty, niezależnie od przyczyny, a nie jest konieczne przewidzenie, że plik zostanie usunięty z powodu naruszenia obowiązku ostrożności przez pozwanego.
W tym przypadku, jest jasne, że powód był świadomy ryzyka wtargnięcia hakera na stronę internetową, a także, że powód przyznaje, że komunikacja internetowa niesie ze sobą ryzyko zmiany i zniszczenia informacji, które można było przewidzieć, dlatego uznaje się, że powód mógł przewidzieć ryzyko utraty pliku z powodu przyczyn charakterystycznych dla komunikacji internetowej, i nie ma żadnych przeszkód do zastosowania kompensacji za błąd.
Wyrok Sądu Okręgowego w Tokio z dnia 28 września 2001 roku (rok Heisei 13)
W tym przypadku, “Ponieważ nie utworzyłeś kopii zapasowej, mogłeś przewidzieć ryzyko utraty pliku z jakiegokolwiek powodu, takiego jak wtargnięcie hakera, więc istnieje kompensacja za błąd”, a kwota odszkodowania została zmniejszona o połowę.
Podsumowanie
Nie ograniczając się do ryzyka utraty danych, często zdarza się, że kiedy użytkownicy zlecają rozwój systemu firmom zewnętrznym, skupiają się głównie na odczuciach związanych z obsługą interfejsu, a nie zwracają uwagi na obszar bazy danych, gdzie przechowywane są informacje. W rezultacie, zasady zarządzania organizacją często nie obejmują tego obszaru.
Jednakże, jak sugerują wcześniejsze precedensy sądowe, nie możemy po prostu traktować tych kwestii jako “cudzych problemów”. Innymi słowy, powinniśmy zdawać sobie sprawę, że rozwijanie systemów zarządzania, takich jak tworzenie kopii zapasowych, z uwzględnieniem ryzyka utraty informacji, jest przede wszystkim problemem użytkowników (wewnętrznym problemem firmy).
Wcześniejsze precedensy sądowe sugerują, że niezabezpieczanie się przed takimi ryzykami może prowadzić do nieodwracalnych sytuacji. Czy nie powinniśmy zrozumieć tego jako ostrzeżenia o konieczności zapobiegania takim sytuacjom?
Category: IT
Tag: ITSystem Development