Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Riscul de pierdere a datelor și responsabilitatea legală a operatorilor de sistem

Riscul de pierdere a datelor și responsabilitatea legală a operatorilor de sistem

IT

Riscul de pierdere a datelor și responsabilitatea legală a operatorilor de sistem

Se poate întâmpla ca în departamentul de sistem al unei companii, informațiile importante ale companiei stocate în baza de date să se piardă din cauza unor circumstanțe neprevăzute. În astfel de cazuri, dacă operațiunile de sistem sunt externalizate către un furnizor extern, este posibil din punct de vedere legal să se solicite răspunderea acestuia?

Acest articol va explica unde revine responsabilitatea legală în cazul pierderii de informații într-o companie.

Ce înseamnă “operare” în cadrul unui sistem IT

“Operarea” în cadrul unui sistem IT, pentru a o descrie foarte simplu, poate fi definită ca fiind munca care implică “utilizarea continuă a sistemului existent așa cum a fost până acum”. Sistemul pe care inginerii IT și programatorii l-au creat (adică dezvoltat) nu se termină odată ce a fost realizat. De exemplu, dacă doriți să executați o operațiune care nu poate fi executată din partea de interfață, s-ar putea să fie necesar să conectați un computer la baza de date și să introduceți direct limbajul computerului (cum ar fi SQL). Acest lucru poate fi necesar pentru extragerea sau modificarea datelor care nu pot fi executate din partea de interfață.

Aceste sarcini de operare, comparativ cu munca de implementare a unui nou program, sunt adesea mai ușor de standardizat prin pregătirea unor instrucțiuni de lucru și sunt adesea mai ușor de externalizat către furnizori externi.

Însă, chiar și în cazul sarcinilor care pot fi ușor standardizate, trebuie să avem în vedere că, deoarece acestea implică operarea directă a bazei de date gestionate de companie, există adesea un risc mare de incidente majore. Riscurile de scurgeri sau pierderi de informații deținute de companie pot crește semnificativ dacă externalizarea este promovată fără a fi conștienți de gravitatea responsabilităților asociate cu aceste sarcini.

Riscul pierderii informațiilor este mai aproape decât ne așteptăm

Există mai multe tipuri de baze de date pe care le folosesc companiile, dar în esență, acestea sunt un tip de software. Și procesarea datelor gestionate acolo, cum ar fi extragerea, modificarea, adăugarea și ștergerea, se face în principal cu ajutorul unui limbaj de programare numit SQL.

Importanța juridică

Munca tehnicienilor implicați în sistemele IT include dezvoltarea, operarea și întreținerea, printre altele, dar ceea ce este comun în modul lor de lucru este că manipularea obiectelor abstracte, cum ar fi “datele” și “limbajul de programare”, este la baza acestora. Prin urmare, chiar dacă este doar o greșeală de operare a unui buton sau o mică eroare de introducere, impactul acestei greșeli poate avea un efect de undă mult mai larg decât se poate anticipa în prealabil. Această premisă de bază ar trebui să fie conștientizată de toți cei care lucrează cu sisteme, indiferent dacă sunt experți în tehnologia IT sau nu. Datorită naturii muncii legate de sisteme, dacă apare o problemă, impactul acesteia se răspândește adesea instantaneu, depășind departamentul respectiv și chiar granițele interne ale companiei. Importanța juridică a sistemelor poate fi explicată în mod uniform din această perspectivă, atât din partea comanditarului, cât și din partea contractantului.

Riscul de pierdere a datelor corporative

Să luăm un exemplu mai simplu. Comanda (instrucțiunea) SQL pentru a șterge toate datele dintr-un tabel este doar o singură linie: “TRUNCATE”. Când ne gândim la riscul de pierdere a datelor corporative, nu este atât de important să cunoaștem sintaxa SQL sau modul de operare a software-ului de bază de date. Cu toate acestea, ar trebui să fim conștienți că, chiar și atunci când vine vorba de ștergerea tuturor datelor stocate de o companie, metoda este la fel de simplă. Această recunoaștere a realității ar trebui să fie punctul de plecare atunci când ne gândim la riscul de pierdere a datelor corporative.

Este adevărat că operațiunile pot fi ușor standardizate și că adesea nu există probleme dacă sunt efectuate conform procedurilor. Cu toate acestea, în același timp, dacă procedurile nu sunt urmate și se produce o situație neregulată, importanța juridică devine evidentă.

Cine este responsabil din punct de vedere legal pentru pierderea informațiilor?

Ce responsabilitate legală există în cazul unei pierderi neașteptate de date?

Natura juridică a muncii operatorilor de investiții

Deci, în cazul în care datele sunt pierdute din cauza unui incident neprevăzut și nu există nicio metodă de recuperare, unde se situează responsabilitatea juridică? Mai jos, vom analiza astfel de incidente dintr-o perspectivă juridică.

E dificil să urmărim obligația de păstrare bazată pe contractul de depozit

Unul dintre scenariile teoretice care pot fi luate în considerare atunci când se discută responsabilitatea operatorilor care gestionează datele în numele altora, este urmărirea obligației de a avea grijă de bunurile depuse în baza unui contract de depozit plătit. Simplificând, aceasta este similară cu situația în care un operator care a primit bunuri într-un dulap cu monede plătit, cum ar fi un locker, și le-a pierdut, este în principiu urmărit pentru responsabilitatea pentru daune. Problema este dacă putem urmări responsabilitatea pentru pierderea “datelor”. Cu toate acestea, la fel ca în cazul obligației de păstrare a “bunurilor”, a presupune că există o “obligație de păstrare a datelor” nu este realist în cadrul legii actuale.

Depinde de conținutul specific al contractului

În final, problema “cine are obligația de a păstra datele” este dificil de rezolvat uniform pe baza prevederilor Codului Civil Japonez. Prin urmare, răspunsul ar trebui să fie “depinde de cum este stipulat în conținutul specific al contractului”.

Și punctul “care a fost conținutul contractului” nu este determinat doar de contract în sine, ci și de procesul verbal al ședințelor și alte documente similare. Importanța procesului verbal este explicată în detaliu în articolul de mai jos.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Este dificil să urmărim răspunderea pentru fapte ilicite de la terțe părți care nu sunt părți contractante

De asemenea, este clar în jurisprudență că este imposibil să urmărim răspunderea pentru fapte ilicite de la terțe părți care nu sunt părți contractante. În jurisprudență, a fost o problemă dacă un utilizator poate solicita despăgubiri pe baza unui act ilicit în cazul unui accident de pierdere de date în serviciul de server de închiriere.

Exemple tipice de fapte ilicite includ accidentele de circulație. De exemplu, dacă rănești pe cineva din cauza neglijenței într-un accident de mașină, ești responsabil nu numai penal, dar și civil. Nu încheiem un contract cu un străin care spune “nu voi lovi o persoană cu mașina”, dar se poate presupune că există o responsabilitate pentru despăgubiri chiar și între persoane private. Pe baza acestui cadru de responsabilitate pentru fapte ilicite, a fost disputat dacă este posibil să urmărim responsabilitatea pentru pierderea datelor, chiar dacă partenerul nu are o relație contractuală directă.

Cu toate acestea, instanța a indicat caracteristicile informațiilor digitale și a arătat că este dificil să deducem existența unei astfel de obligații ca o chestiune de curs.

Serverul nu este perfect și poate apărea o defecțiune care face ca programele stocate să dispară, dar programele sunt informații digitale care pot fi ușor duplicate, iar dacă utilizatorul a înregistrat și a stocat aceste programe, poate reporni programul chiar dacă acesta a dispărut. Acest lucru este bine cunoscut (în întregul argument), deci plângătorii au putut lua măsuri ușoare pentru a preveni dispariția programului și a datelor în cauză. Având în vedere situația beneficiilor atât a reclamanților, cât și a inculpaților, nu există niciun motiv sau necesitate de a impune inculpatului, care instalează și gestionează serverul în cauză, obligația de a preveni dispariția înregistrărilor pentru a proteja înregistrările de mai sus ale reclamanților. (omisiune), reclamanții susțin că contractul de închiriere a serverului are natura unui contract de depozit pentru programele sau datele terților și, pe baza acestui fapt, inculpatul, ca operator de închiriere a serverului, are obligația de a avea grijă de toți cei care stochează înregistrări pe serverul în cauză, în special obligația de a nu permite dispariția înregistrărilor de pe serverul în cauză, și susțin că faptul că inculpatul a făcut ca înregistrările reclamanților stocate pe serverul în cauză să dispară încalcă obligația de prevenire a dispariției menționată mai sus.


Cu toate acestea, inculpatul a încheiat doar un contract de utilizare a serviciului de găzduire a serverului comun cu utilizatorul A, nu există o relație contractuală cu reclamanții, și nu se poate spune că există o natură de depozit în ceea ce privește stocarea programului sau a datelor în cauză pe serverul în cauză, deci este dificil de găsit o bază pentru a spune că inculpatul are obligația de a avea grijă în conformitate cu legea privind faptele ilicite cu privire la înregistrările stocate pe serverul în cauză pentru reclamanții cu care nu are o relație contractuală. Prin urmare, nu se poate spune că, doar pentru că inculpatul este un operator de server de închiriere, are în mod natural obligația de a avea grijă sau obligația de a preveni dispariția înregistrărilor stocate pe serverul în cauză în relația cu terții cu care nu are o relație contractuală.

Hotărârea Tribunalului din Tokyo, 20 mai 2009 (Heisei 21)

Această hotărâre a indicat că nu este rezonabil să presupunem o “obligație de a nu șterge datele” pentru o terță parte (reclamant) care nu are o relație contractuală directă. Această hotărâre a atras o anumită atenție ca un caz de referință care ar putea deveni un caz de referință atunci când se produc cazuri similare în viitor.

În concluzie, urmărirea responsabilității tinde să devină “dificilă”

De asemenea, dacă vorbim despre contractele frecvent utilizate în practică, nu sunt atât de multe cazuri în care se utilizează contracte care atribuie responsabilitatea pentru stocarea și backup-ul datelor operatorului de servicii. Mai degrabă, există o majoritate covârșitoare de cazuri în care se stabilește că responsabilitatea revine utilizatorului (adică compania client care devine utilizator).

Prin urmare, cu excepția cazurilor în care există un acord special, ar trebui să spunem că este extrem de dificil din punct de vedere juridic să presupunem că operatorul de sistem are obligația de a lua măsuri pentru a preveni pierderea datelor.

Ce ar trebui să facem pentru a ne pregăti de riscul pierderii informațiilor

Asigurați-vă că faceți backup pentru a preveni pierderea datelor.

În final, în ceea ce privește riscul de pierdere a informațiilor pe care o companie le deține, este vorba în primul rând despre informațiile pe care compania însăși le păstrează. Prin urmare, este foarte probabil să spunem că modul în care se ia în considerare acest risc de pierdere și ce fel de sistem de stocare se construiește sunt lucruri pe care compania însăși ar trebui să le decidă.

De asemenea, chiar dacă responsabilitatea operatorului este recunoscută, este posibil ca despăgubirile să nu fie recunoscute în totalitate din cauza compensării neglijenței. Există cazuri în instanță în care, într-un caz în care inculpatul, care păstra datele reclamantului pe server, a șters datele, faptul că reclamantul nu a făcut backup a fost considerat “neglijență” și s-a recunoscut compensarea neglijenței.

Reclamantul a putut lua ușor măsuri de backup pentru conținutul fișierului în cauză și, prin aceasta, a putut preveni apariția daunelor (omis) sau a putut limita daunele la un nivel extrem de mic, cu toate acestea, se recunoaște că la momentul accidentului de dispariție, reclamantul nu a păstrat niciun conținut de date al fișierului în cauză.

În acest caz, atunci când se stabilește suma responsabilității de despăgubire a inculpatului, se ar trebui să se aplice prevederile de compensare a neglijenței, luând în considerare acest punct, ceea ce este adecvat pentru conceptul de echitate în legea despăgubirilor. (omis)

În schimb, reclamantul susține că era imposibil pentru el să prevadă că fișierul în cauză va fi șters din server de către inculpat, care este un furnizor de servicii, și că nu se poate spune că ar fi trebuit să prevadă acest lucru, deci nu se poate recunoaște obligația legală de a face backup ca o obligație legală, și nu se poate spune că neacțiunea sa este neglijență în sensul legal, și susține că aplicarea compensării neglijenței ar trebui negată.

În schimb, pentru a aplica compensarea neglijenței, este suficient să se recunoască posibilitatea de a prevedea apariția rezultatului de dispariție a fișierului în cauză pentru reclamant, și nu este necesar să se recunoască posibilitatea de a prevedea că fișierul în cauză a dispărut din cauza încălcării obligației de atenție a inculpatului.

În acest caz, (omis), este clar că reclamantul era conștient de pericolul de a fi invadat de hackeri pe pagina sa de internet, și, de asemenea, reclamantul recunoaște că există un pericol de modificare și distrugere a informațiilor în comunicarea pe internet, și că acest pericol era previzibil, deci se consideră că reclamantul a prevăzut pericolul de dispariție a fișierului în cauză din cauza cauzelor specifice comunicării pe internet, și posibilitatea de a prevedea apariția rezultatului de dispariție a fișierului în cauză este suficient de afirmată, și nu există niciun obstacol în a afirma aplicarea compensării neglijenței.

Hotărârea Tribunalului din Tokyo, 28 septembrie 2001 (Anul 13 al erei Heisei)

În acest caz, “Dacă nu ați făcut backup, era posibil să previzionați pericolul de dispariție a fișierului din cauza unor motive precum invazia hackerilor, și, prin urmare, există o aplicare a compensării neglijenței”, iar suma despăgubirilor a fost redusă la jumătate.

Rezumat

Chiar dacă nu se limitează doar la riscul pierderii datelor, atunci când se externalizează aspectele legate de sistem, utilizatorii tind să se preocupe doar de modul în care funcționează interfața, iar guvernanța organizației nu se extinde adesea până la zona de stocare a bazei de date.

Însă, exemplele de cazuri juridice din trecut sugerează că nu ar trebui să considerăm aceste aspecte ca fiind “problemele altora”. Altfel spus, ar trebui să conștientizăm că implementarea unui sistem de gestionare care ține cont de riscul pierderii informațiilor, cum ar fi efectuarea de backup-uri, este în primul rând o problemă a utilizatorilor (sau a problemelor interne ale companiei).

Exemplele de cazuri juridice din trecut sugerează că neglijarea acestor riscuri poate duce la situații ireversibile, avertizând astfel asupra necesității prevenirii. Nu ar trebui să înțelegem acest lucru?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Cui îi aparține dreptul de autor al codului sursă al unui program?

Cui îi aparține dreptul de autor al codului sursă al unui program?

IT

Cum judecă instanțele încălcările drepturilor de marcă în NFT? Explicăm exemplele Hermes și Nike

Cum judecă instanțele încălcările drepturilor de marcă în NFT? Explicăm exemplele Hermes și Nike

IT

Metode de procedură opt-in pentru distribuția de buletine informative prin e-mail

Metode de procedură opt-in pentru distribuția de buletine informative prin e-mail

IT

Contractul pe care un inginer individual ar trebui să-l pregătească în avans pentru o afacere comună cu o companie

Contractul pe care un inginer individual ar trebui să-l pregătească în avans pentru o afacere co.

IT

Căutarea online a informațiilor despre Google My Business și afaceri locale

Căutarea online a informațiilor despre Google My Business și afaceri locale

IT

Similaritățile dintre verificarea contractelor și debug-ul explicat de un avocat fost inginer IT

Similaritățile dintre verificarea contractelor și debug-ul explicat de un avocat fost inginer IT

IT

Reglementările legale privind ICO și metodele pentru a le efectua în mod legal

Reglementările legale privind ICO și metodele pentru a le efectua în mod legal

IT

Responsabilitatea legală a operatorilor de platformă în tranzacțiile între utilizatori

Responsabilitatea legală a operatorilor de platformă în tranzacțiile între utilizatori

IT

Crime precum amenințări și incitare la sinucidere pe LINE

Crime precum amenințări și incitare la sinucidere pe LINE

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput