Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Daune cauzate de atacuri cibernetice. Care este responsabilitatea furnizorului de sistem pentru despăgubiri? Explicăm exemplele menționate în contract.

Daune cauzate de atacuri cibernetice. Care este responsabilitatea furnizorului de sistem pentru despăgubiri? Explicăm exemplele menționate în contract.

IT

Daune cauzate de atacuri cibernetice. Care este responsabilitatea furnizorului de sistem pentru despăgubiri? Explicăm exemplele menționate în contract.

În ultimii ani, atacurile cibernetice împotriva companiilor sunt într-o creștere constantă.

Conform unui studiu realizat de Asociația Japoneză pentru Securitatea Rețelei (JNSA), proporția de acces neautorizat în cazurile de scurgeri de informații personale a fost de 4,7% în 2013, dar a crescut până la 20,3% în 2018 (Raportul de cercetare privind incidentele de securitate a informațiilor din 2018[ja]).

Acest articol explică domeniul de responsabilitate al furnizorilor de sisteme în cazul unui atac cibernetic, bazându-se pe exemple de cazuri judecate în trecut. De asemenea, explică rolurile și domeniile de responsabilitate pe care furnizorii și utilizatorii ar trebui să le stabilească în contracte pentru a combate împreună atacurile cibernetice, bazându-se pe un contract model.

Furnizorii de sisteme sunt responsabili pentru daunele cauzate de atacurile cibernetice?

Furnizorii de sisteme sunt responsabili pentru daunele cauzate de atacurile cibernetice?

În cazul în care o companie utilizatoare suferă daune din cauza unui atac cibernetic, primul care ar trebui să fie tras la răspundere este autorul atacului cibernetic. Cu toate acestea, dacă există posibilitatea ca atacul să fi fost facilitat de neglijența în dezvoltarea și operarea sistemului, este posibil ca cererile de despăgubire pentru daune din partea utilizatorilor să fie recunoscute împotriva furnizorilor de sisteme.

Baza pentru cererile de despăgubire pentru daune împotriva furnizorilor de sisteme poate include următoarele:

  • Răspunderea pentru neconformitatea contractului
  • Încălcarea obligației de a gestiona cu bună-credință

Însă, este posibil ca daunele să se extindă și din cauza neglijenței utilizatorilor. În acest caz, responsabilitatea utilizatorilor poate fi, de asemenea, recunoscută. În cazurile reale de judecată, acest lucru a fost luat în considerare ca o compensare a neglijenței, limitând despăgubirile pentru daune împotriva furnizorilor de sisteme.

Articolul corelat: Ce sunt cele 3 categorii de infracțiuni cibernetice? Un avocat explică măsurile de prevenire a daunelor pentru fiecare tip[ja]

Răspunderea pentru daune a furnizorilor de sisteme și exemple de înregistrări în contract

Exemplele reprezentative ale contractelor de sistem IT între furnizorii de sisteme și companiile utilizatoare includ următoarele trei tipuri:

  1. Contractul de dezvoltare a software-ului
  2. Contractul de întreținere și operare a sistemului
  3. Contractul de utilizare a serviciilor cloud

Răspunderea pentru daune este determinată în funcție de contractul inițial, așa că vom explica pentru fiecare tip de contract în continuare.

Contractul de dezvoltare a software-ului

Contractul de dezvoltare a software-ului este un contract încheiat atunci când o companie, din partea utilizatorului, încredințează dezvoltarea sistemului său unei companii de software.

Dacă vulnerabilitățile software-ului au contribuit la extinderea daunelor atunci când compania utilizator a fost ținta unui atac cibernetic, este posibil să se solicite responsabilitatea furnizorului de software de către utilizator.

Responsabilitățile pe care le are furnizorul de sistem depind de tipul contractului de dezvoltare a software-ului și pot fi de două tipuri:

  • Contract de lucrări: responsabilitatea pentru neconformitatea contractului
  • Contract de mandat: încălcarea obligației de a acționa cu diligența unui bun administrator

Contract de lucrări

Contractul de lucrări este un contract în care se promite finalizarea sistemului și se plătește o recompensă pentru produsul final.

Dacă produsul livrat “nu corespunde scopului contractului”, responsabilitatea pentru neconformitatea contractului (Articolul 559 și 562 din Codul Civil Japonez[ja]) se aplică pentru o anumită perioadă de timp după livrare.

Prin urmare, există posibilitatea ca utilizatorul să solicite despăgubiri pentru neconformitatea contractului dacă produsul poate provoca cu ușurință o defecțiune a sistemului în cazul unui atac cibernetic. Acest lucru este considerat “neconform cu scopul contractului”.

Acceptarea acestei cereri depinde de nivelul de securitate al software-ului stabilit în prealabil între părți.

【Exemplu de responsabilitate pentru neconformitatea contractului】

Articolul X După finalizarea inspecției menționate în articolul anterior, dacă se descoperă o neconformitate (inclusiv bug-uri, denumită în continuare “neconformitatea contractului”) cu specificațiile sistemului pentru produsul livrat, partea A poate solicita partii B să remedieze această neconformitate a contractului (denumită în continuare “remediere”). Partea B va efectua această remediere. Cu toate acestea, dacă nu impune o sarcină nerezonabilă părții A, partea B poate efectua remedierea prin metode diferite de cele solicitate de partea A.

2. Indiferent de prevederile paragrafului anterior, dacă scopul contractului individual poate fi îndeplinit chiar și cu neconformitatea contractului și dacă remedierea necesită costuri excesive, partea B nu va avea obligația de a efectua remedierea specificată în paragraful anterior.

3. Dacă partea A suferă daune din cauza neconformității contractului (limitat la cele cauzate de motive care pot fi atribuite părții B), partea A poate solicita despăgubiri de la partea B.

Sursa: Model de contract de tranzacție pentru sistemul de informații (a doua ediție)[ja]

Contract de mandat

În cazul unui contract de mandat, nu se aplică responsabilitatea pentru neconformitatea contractului, deoarece nu există o obligație de a finaliza produsul. În schimb, există o “obligație de a gestiona afacerile delegate cu atenția unui bun administrator” (obligația de a acționa cu diligență).

În cazul unui atac cibernetic care provoacă o defecțiune a sistemului, chiar dacă nivelul de securitate nu a fost stabilit la momentul contractului, faptul că ați dezvoltat un sistem de acest nivel poate fi considerat “o încălcare a obligației de a acționa cu diligență” (Articolul 656 și 644 din Codul Civil Japonez[ja]), și există posibilitatea de a fi solicitat despăgubiri.

【Exemplu de obligație de a acționa cu diligență】

Articolul X Partea B, după încheierea contractului individual specificat în articolul X, va oferi servicii de asistență pentru crearea unui document de definire a cerințelor bazat pe documentul de concept al sistemului de informații, planul de sistematizare, etc., creat de partea A (denumit în continuare “servicii de asistență pentru crearea documentului de definire a cerințelor”).

2. Pe baza cunoștințelor și experienței sale profesionale în tehnologia de procesare a informațiilor, partea B va efectua activități de asistență, cum ar fi cercetarea, analiza, organizarea, propunerea și consultarea, cu atenția unui bun administrator, pentru a asigura că activitățile părții A sunt realizate în mod eficient și adecvat.

Sursa: Model de contract de tranzacție pentru sistemul de informații (a doua ediție)[ja]

Contractul de întreținere și operare a sistemului

Contractul de întreținere și operare a sistemului este un contract prin care o companie încredințează unui furnizor de software sarcina de a întreține și opera software-ul existent. Atunci când se încheie un contract de întreținere și operare, este obișnuit să se includă în contract, prin intermediul specificațiilor de lucru, nivelul de securitate care trebuie atins.

În cazul în care se produce un prejudiciu ca urmare a unui atac cibernetic, dacă nivelul de securitate al sistemului este mai mic decât cel convenit la momentul contractării, responsabilitatea pentru neexecutarea obligațiilor poate fi urmărită pe baza clauzei de neconformitate a contractului.

Însă, dacă nu s-a stabilit în prealabil un nivel de securitate, faptul că s-a întreținut și operat un sistem vulnerabil la atacuri cibernetice poate fi considerat o încălcare a obligației de diligență adecvată, ceea ce ar putea duce la urmărirea responsabilității.

Contractul de utilizare a serviciilor cloud

Contractul de utilizare a serviciilor cloud este un acord încheiat atunci când se utilizează serviciile oferite de un furnizor în cloud. Deoarece se presupune că furnizorul va oferi același serviciu unui număr mare de utilizatori, este probabil să se încheie un contract conform termenilor de utilizare stabiliți de furnizor.

În general, acest contract prevede în prealabil responsabilitatea în cazul în care serviciul nu poate fi furnizat din cauza unui atac cibernetic.

În contractul de utilizare a serviciilor cloud, de obicei, se stabilesc următoarele la momentul încheierii contractului:

  • SLA (Service Level Agreement): garanții privind calitatea și regulile de operare
  • Clausa de limitare a răspunderii: sfera de responsabilitate a furnizorului în cazul apariției unui prejudiciu

SLA este un document care formalizează nivelul de cerințe al utilizatorului și regulile de operare ale furnizorului. Dacă nu se poate beneficia de serviciul stabilit aici, se poate solicita despăgubiri pentru încălcarea parțială a obligațiilor. De asemenea, în contract, furnizorul poate limita în prealabil condițiile în care poate fi solicitat pentru încălcarea obligațiilor și, chiar dacă răspunderea este recunoscută, poate limita suma despăgubirilor prin “clauza de limitare a răspunderii”.

Însă, deoarece clauza de limitare a răspunderii conține adesea prevederi favorabile furnizorului, în caz de dispută, aceasta poate fi limitată în parte conform jurisprudenței japoneze.

【Exemplu de clauză de limitare a răspunderii】

Articolul X: Părțile A și B pot solicita despăgubiri de la cealaltă parte dacă suferă daune datorate unor motive care pot fi atribuite celeilalte părți în legătură cu îndeplinirea acestui contract și a contractelor individuale. Cu toate acestea, această cerere nu poate fi făcută după ce au trecut X luni de la data finalizării inspecției produselor sau a confirmării finalizării serviciilor prevăzute în contractul individual care a cauzat cererea de despăgubire.

2. Suma totală acumulată a despăgubirilor pentru îndeplinirea acestui contract și a contractelor individuale, indiferent de cauza cererii, inclusiv încălcarea obligațiilor (inclusiv responsabilitatea pentru neconformitatea contractului), beneficiul nejustificat, actul ilegal sau orice alt motiv, este limitată la suma X prevăzută în contractul individual care a cauzat motivul de răspundere.

3. Prevederile alineatului anterior nu se aplică în cazul în care obligația de despăgubire se bazează pe intenție sau neglijență gravă.

Sursa: Sistemul de informații – Contractul model de tranzacție (a doua ediție)[ja]

Criteriile de evaluare a răspunderii pentru daunele cauzate de partea furnizorului de sistem

Criteriile de evaluare a răspunderii pentru daunele cauzate de partea furnizorului de sistem

Când o companie utilizatoare suferă daune ca urmare a unui atac cibernetic, în ce situații concrete poate fi pusă în discuție responsabilitatea furnizorului care a dezvoltat sistemul?

În continuare, vom explica pe baza unor cazuri de judecată în care responsabilitatea furnizorului de sistem a fost pusă în discuție.

Implementarea de măsuri în conformitate cu nivelul tehnologic la momentul dezvoltării

În cazurile de judecată în care responsabilitatea este disputată, este important dacă furnizorul de sistem a implementat măsuri de securitate la nivelul standardelor stabilite de agențiile guvernamentale și organizațiile industriale la momentul dezvoltării, conform alertelor și manualelor acestora.

Există cazuri de judecată în care furnizorul de sistem a fost obligat să plătească daune pentru daunele cauzate de atacurile cibernetice, cum ar fi următorul:

【Exemplu de caz】Judecătoria Tokyo, 23.1.2014 (2014)
Utilizator: Compania X, care se ocupă cu vânzarea cu amănuntul și vânzarea prin corespondență a materialelor de interior
Furnizor: Compania Y, care a preluat proiectarea și întreținerea sistemului de comenzi online

Un incident în care informațiile a 7.000 de carduri de credit ale clienților au fost scurse ca urmare a unui atac cibernetic

■Verdict
Ordin de despăgubire de aproximativ 20 de milioane de yeni pentru partea furnizorului de sistem
A fost recunoscută o sumă care depășește cu aproximativ 2 milioane de yeni costul dezvoltării
Compania X a fost, de asemenea, recunoscută ca fiind neglijentă, cu o compensare de 30% pentru neglijență

■Motiv
・Furnizorul de sistem a neglijat să implementeze măsuri de securitate în conformitate cu nivelul tehnologic la momentul respectiv.
・Chiar dacă compania utilizatoare a primit o explicație despre riscuri din partea furnizorului de sistem, a neglijat să ia măsuri, astfel că a fost recunoscută o compensare de 30% pentru neglijență.

În 2014, “atacurile prin injecție SQL” erau principala metodă de atac cibernetic, iar Ministerul Economiei, Comerțului și Industriei a publicat un document intitulat “Avertizare privind implementarea riguroasă a măsurilor de securitate a datelor personale în conformitate cu Legea japoneză privind protecția datelor personale[ja]“, subliniind riscul cibernetic și apelând la consolidarea sistemelor.

Verdictul a recunoscut responsabilitatea furnizorului de sistem care nu a luat măsuri și a ordonat plata de despăgubiri, dar a recunoscut și neglijența companiei utilizatoare, acordând o compensare de 30% pentru neglijență.

Există vreo neglijență din partea companiei utilizatoare?

Companiile utilizatoare care comandă dezvoltarea de sisteme au, de asemenea, obligații pe care trebuie să le îndeplinească, iar dacă există vreo neglijență, ele pot fi responsabile în totalitate.

Următorul este un exemplu de caz în care nu este vorba de un atac cibernetic, dar în care responsabilitatea totală a companiei utilizatoare a fost recunoscută și i s-a ordonat să plătească despăgubiri.

【Exemplu de caz】Judecătoria Asahikawa, 31.8.2017 (2017)

Utilizator: Spitalul Universitar
Furnizor: Compania de sisteme care a primit comanda de dezvoltare a sistemului de fișe medicale electronice de la spitalul universitar

Imediat după începerea proiectului, au apărut cereri suplimentare din partea medicilor de pe teren.
Cererile nu s-au oprit, dezvoltarea a fost întârziată, iar spitalul universitar a anunțat rezilierea contractului din cauza întârzierii.

■Verdict (apel)
Ordin de despăgubire de aproximativ 1,4 miliarde de yeni pentru spitalul universitar
Verdictul din prima instanță, care a ordonat despăgubiri ambelor părți, a fost anulat

■Motiv
・A fost pusă în discuție problema că spitalul nu a ascultat avertismentul furnizorului că, dacă se răspunde la cererile suplimentare, nu se va putea respecta termenul limită.

Acest caz de judecată implică un incident în care, din cauza întârzierii dezvoltării sistemului, compania utilizatoare a anunțat rezilierea contractului, iar compania utilizatoare și furnizorul au dat în judecată reciproc pentru a solicita despăgubiri.

În verdict, a fost recunoscut faptul că compania utilizatoare nu a ascultat avertismentul furnizorului de sistem ca fiind cauza întârzierii dezvoltării, a recunoscut 100% din responsabilitatea companiei utilizatoare și a respins cererea acesteia. Furnizorul de sistem are “obligația de gestionare a proiectului” de a gestiona progresul proiectului astfel încât să se încadreze în termenul limită. Pe de altă parte, compania utilizatoare are, de asemenea, “obligația de cooperare”, iar dacă aceasta este neglijată, poate fi responsabilă în totalitate, iar în cazurile de judecată reale, responsabilitatea pentru despăgubiri este determinată în funcție de acest procent.

Trei puncte pentru dezvoltarea sigură a sistemelor

Trei puncte pentru dezvoltarea sigură a sistemelor

Pentru a face față riscurilor cibernetice, este important ca atât utilizatorii, cât și furnizorii să lucreze împreună la măsurile de precauție.

În continuare, vom explica măsurile pe care furnizorii și utilizatorii le pot lua din perspectiva lor.

Înțelegerea riscurilor cibernetice subliniate de agențiile guvernamentale

Furnizorii de sisteme ar trebui să verifice liniile directoare emise de organizații specializate, cum ar fi Ministerul Economiei, Comerțului și Industriei din Japonia (METI) și Organizația pentru Promovarea Procesării Informațiilor (IPA), să înțeleagă riscurile cibernetice actuale și metodele de combatere a acestora și să le aplice în dezvoltarea și operarea sistemelor.

De asemenea, nu numai furnizorii, ci și companiile utilizatoare ar trebui să înțeleagă conținutul liniilor directoare până la un anumit nivel și să solicite dezvoltarea și operarea în conformitate cu acestea, introducând clauze de nivel de securitate în contracte.

Referință: Ministerul Economiei, Comerțului și Industriei din Japonia | Linii directoare pentru managementul securității cibernetice Ver 2.0[ja]

Referință: Organizația pentru Promovarea Procesării Informațiilor | Cum să creați un site web sigur[ja]

În special, în domenii precum finanțele, se poate solicita un nivel ridicat de securitate prin legi și linii directoare. Pentru măsurile de securitate legate de activele criptografice, vă rugăm să consultați explicația detaliată de mai jos.

Articolul corelat: Ce sunt măsurile de securitate pentru activele criptografice (monede virtuale)? Explicație cu trei cazuri de scurgeri[ja]

Ambii părți implicați înțeleg necesitatea securității

În “Linii directoare pentru managementul securității cibernetice Ver 2.0[ja]” al Ministerului Economiei, Comerțului și Industriei din Japonia, se menționează clar că “măsurile de securitate cibernetică sunt o problemă de management”.

În loc să lăsați totul în seama furnizorului pentru că nu înțelegeți securitatea, companiile ar trebui să considere managementul riscurilor ca parte a managementului și să se implice responsabil în măsurile de precauție.

Ambii părți implicați lucrează împreună pentru a face față atacurilor cibernetice

În cazul unui atac cibernetic, atât clientul cât și furnizorul ar trebui să lucreze împreună pentru a minimiza daunele, în loc să-și împingă responsabilitatea unul asupra celuilalt.

În dezvoltarea de sisteme, poziția clientului tinde să fie mai puternică, iar dezvoltarea sistemului tinde să se concentreze pe costuri și termene limită. Furnizorul poate să nu aibă suficiente resurse financiare sau timp și propunerile sale de securitate pot să nu fie acceptate.

Însă, în liniile directoare, se subliniază că companiile utilizatoare ar trebui să considere implementarea măsurilor de securitate nu ca un “cost”, ci ca o investiție esențială pentru activitățile și creșterea viitoare a afacerii.

În dezvoltarea de sisteme, este important ca furnizorul și utilizatorul să lucreze împreună, pe picior de egalitate, pentru a face față atacurilor cibernetice.

Concluzie: Consultați un avocat pentru redactarea contractelor de dezvoltare a sistemelor

În cazul în care se produc daune ca urmare a unui atac cibernetic, furnizorul implicat în dezvoltarea sistemului poate fi tras la răspundere de către compania utilizatoare, dacă acesta a neglijat măsurile de prevenire a riscurilor cibernetice.

Însă, compania utilizatoare care a neglijat obligația de cooperare cu furnizorul are, de asemenea, o responsabilitate.

Pentru a minimiza daunele cauzate de atacurile cibernetice, este necesar să se stabilească nivelul sistemului și domeniul de responsabilitate al fiecăruia în contract.

Pentru redactarea contractelor de dezvoltare a sistemelor, consultați un avocat cu cunoștințe avansate care înțelege conținutul liniilor directoare și riscurile cibernetice actuale.

Orientări privind măsurile luate de biroul nostru

Biroul nostru de avocatură Monolith este specializat în IT, în special în aspectele legale ale internetului. În cazul contractelor de dezvoltare a sistemelor, este necesară crearea unui contract. Biroul nostru se ocupă cu crearea și revizuirea contractelor pentru o varietate de cazuri, de la companiile listate pe Bursa de Valori din Tokyo până la startup-uri. Dacă aveți probleme cu contractul, vă rugăm să consultați articolul de mai jos.

Domeniile de activitate ale Biroului de Avocatură Monolith: Servicii juridice legate de dezvoltarea sistemelor[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Avocatul explică cum să creezi termenii și condițiile de utilizare a serviciilor web (Prima parte)

Avocatul explică cum să creezi termenii și condițiile de utilizare a serviciilor web (Prima part.

IT

Puncte de atenție la emiterea NFT? Explicăm efectele legale ale deținerii și transferului de NFT

Puncte de atenție la emiterea NFT? Explicăm efectele legale ale deținerii și transferului de NFT

IT

Se poate încheia un contract de dezvoltare a sistemului fără un contract scris?

Se poate încheia un contract de dezvoltare a sistemului fără un contract scris?

IT

Ce reprezintă reglementările legii japoneze 'Legea privind prevenirea transferului veniturilor din infracțiuni' în tranzacțiile non-față în față, cum ar fi primirea corespondenței?

Ce reprezintă reglementările legii japoneze 'Legea privind prevenirea transferului veniturilor d.

IT

Ce înseamnă operațiunile de custodie? Explicăm reglementările pentru operatorii de schimb de active criptografice

Ce înseamnă operațiunile de custodie? Explicăm reglementările pentru operatorii de schimb de act.

IT

Ce sunt activele criptografice (monedele virtuale)? Explicații detaliate despre definiția legală și diferențele față de moneda electronică

Ce sunt activele criptografice (monedele virtuale)? Explicații detaliate despre definiția legală.

IT

Cum să rezolvați conflictele de dezvoltare a sistemelor prin negocieri

Cum să rezolvați conflictele de dezvoltare a sistemelor prin negocieri

IT

Ce sunt DAO (Organizațiile Autonome Descentralizate) în Japonia și problemele lor juridice

Ce sunt DAO (Organizațiile Autonome Descentralizate) în Japonia și problemele lor juridice

IT

Relația dintre întârzierea termenului de dezvoltare a sistemului și întârzierea executării în conformitate cu legea

Relația dintre întârzierea termenului de dezvoltare a sistemului și întârzierea executării în co.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput