Риск потери данных операторами систем и их юридическая ответственность
Возможны случаи, когда важная корпоративная информация, хранящаяся в базе данных компании, может быть потеряна из-за непредвиденных обстоятельств. Это может произойти на рабочем месте в отделе системного обеспечения. В таких случаях, если операции системы были аутсорсированы стороннему исполнителю, возможно ли юридически привлечь его к ответственности?
В этой статье мы обсудим, кто несет юридическую ответственность за потерю информации в компании.
Что такое «эксплуатация» в IT-системах
«Эксплуатация» в IT-системах, если объяснить очень просто, это работа, связанная с продолжением использования существующей системы так, как это делалось ранее. Система, которую новоиспеченный IT-инженер или программист создал (то есть разработал), не заканчивается после того, как она была создана. Например, если вы хотите выполнить операцию, которую нельзя выполнить с экрана, вам, возможно, придется подключить компьютер к базе данных и ввести прямой компьютерный язык (например, SQL) (например, извлечение или изменение данных, которые нельзя выполнить с экрана).
Такие операционные задачи часто легко стандартизировать, например, путем разработки инструкций, и их легко передать на аутсорсинг сторонним организациям по сравнению с работой по новой реализации программы.
Однако, даже если задача легко стандартизируется, она может стать рядом с крупным инцидентом, поскольку она включает в себя прямое управление базой данных компании. Риски утечки или потери информации, которой владеет компания, могут неожиданно увеличиться, если вы бездумно продолжаете аутсорсинг, не обращая внимания на серьезность ответственности, связанной с работой.
Риск потери информации ближе, чем вы думаете
Существует несколько типов баз данных, которые используются компаниями, но по сути они являются программным обеспечением. Извлечение, изменение, добавление и удаление данных, управляемых в этих базах данных, в основном осуществляется с помощью компьютерного языка SQL.
Важность юридической работы
Среди работников в области IT, занимающихся разработкой, эксплуатацией и обслуживанием систем, общим является то, что они в основном работают с абстрактными объектами, такими как “данные” и “компьютерные языки”. Поэтому, даже если их работа выглядит как простая ошибка в нажатии кнопки или небольшая ошибка ввода, последствия этой ошибки могут распространиться гораздо шире, чем можно предположить заранее. Это основное предположение должно быть осознано всеми, кто работает с системами, будь они специалистами в области IT или нет. По своей природе, если в системе возникает проблема, ее влияние быстро распространяется не только на соответствующий отдел, но и на всю компанию. Важность юридической работы в системах объясняется как с точки зрения заказчика, так и исполнителя.
Риск потери корпоративных данных
Рассмотрим простой пример. Запрос (команда) для удаления всех данных из одной таблицы в SQL состоит всего из одной строки: “TRUNCATE”. При обдумывании риска потери данных компании, знание синтаксиса SQL или методов работы с программным обеспечением баз данных может быть не так важно. Однако, стоит осознать, что даже удаление всех данных, хранящихся компанией, может быть таким простым. Это осознание реальности должно быть отправной точкой при обдумывании риска потери данных компанией.
Безусловно, операционная работа легко стандартизируется, и если все делается в соответствии с процедурой, часто не возникает никаких проблем. Однако, если предположить ситуацию, когда процедура не соблюдается и возникает нерегулярная ситуация, важность юридической работы становится очевидной.
Кто несет юридическую ответственность за потерю информации?
Юридическая природа работы оператора
Так, в случае непредвиденного инцидента, когда данные теряются и нет способа восстановить их, кто несет юридическую ответственность? Давайте проанализируем такие инциденты с юридической точки зрения.
Трудности преследования обязанностей по хранению на основе договора о хранении
Одной из возможных теоретических конструкций, которые можно рассмотреть при обсуждении ответственности оператора, осуществляющего обработку данных, является преследование обязанности бережного хранения на основе договора о хранении за плату. Проще говоря, это аналогично ситуации, когда оператор, принимающий вещи на хранение за плату, например, в платных шкафчиках для хранения, теряет эти вещи и, как правило, несет ответственность за ущерб. Вопрос заключается в том, можно ли преследовать ответственность за потерю “данных”. Однако, так же как и в случае с обязанностью по хранению “вещей”, предположение о том, что “обязанность по хранению данных” возникает автоматически, на текущий момент не является реалистичным с точки зрения действующего законодательства.
Все зависит от конкретного содержания договора
В конечном итоге, вопрос “Кто несет обязанность по хранению данных?” сложно решить единообразно, опираясь только на положения гражданского законодательства. Следовательно, ответ на этот вопрос, вероятно, зависит от того, как это определено в конкретном договоре.
И вопрос “Что было содержанием договора?” будет решаться не только на основании самого договора, но и с учетом протоколов собраний и других документов. Подробное объяснение важности протоколов собраний приведено в статье ниже.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Преследование ответственности за незаконные действия от третьих лиц, не являющихся сторонами договора, является сложной задачей
Стоит отметить, что судебная практика ясно показывает, что преследование ответственности за незаконные действия от третьих лиц, не имеющих договорных отношений, невозможно. В судебных прецедентах вопрос о возможности требования компенсации ущерба на основании незаконных действий стал проблемой в случае потери данных в услугах аренды сервера.
Типичными примерами незаконных действий являются, например, дорожно-транспортные происшествия. Например, если водитель по своей вине причиняет травмы человеку в автомобильной аварии, он несет ответственность в гражданском порядке (конечно, и в уголовном). Не заключается договора между незнакомыми людьми о “ненанесении удара автомобилем”, но можно предположить, что возникает обязательство по возмещению ущерба даже между частными лицами. На основе этой структуры ответственности за незаконные действия, возник спор о возможности преследования ответственности за потерю данных, даже если нет прямых договорных отношений.
Однако суд указал на особенности цифровой информации и заявил, что сложно естественным образом выводить наличие таких обязательств.
Сервер не является безупречным и может произойти сбой, в результате которого могут исчезнуть сохраненные программы и т.д., но программы и т.д. являются цифровой информацией, которую можно легко скопировать, и если пользователь сохраняет эту информацию, он может восстановить работу программ и т.д., даже если они исчезнут, и это широко известно (по сути всей аргументации), поэтому истцы могли легко принять меры для предотвращения потери программ и данных. Учитывая интересы обеих сторон, истцов и ответчика, нет никаких оснований или необходимости обязывать ответчика, который устанавливает и управляет сервером, нести обязательство по предотвращению потери записей для защиты записей истцов. (Пропуск) Истцы утверждают, что договор об аренде сервера имеет характер договора о хранении программ или данных третьих лиц, и на этом основании ответчик, как поставщик услуг аренды сервера, несет обязательство по бережному управлению по отношению ко всем, кто хранит записи на сервере, в частности, обязательство не допускать потери записей на сервере, и на этом основании утверждают, что ответчик нарушил обязательство по предотвращению потери записей, сохраненных на сервере истцами.
Решение Токийского окружного суда от 20 мая 2009 года (Heisei 21)
Однако ответчик заключил договор об использовании услуги хостинга общего сервера только с пользователем A, и между ответчиком и истцами нет договорных отношений, и нельзя сказать, что хранение программ и данных на сервере имеет характер договора о хранении, поэтому сложно найти основание для того, чтобы ответчик нес ответственность за бережное управление по закону о незаконных действиях по отношению к истцам, с которыми он не имеет договорных отношений, по отношению к записям, сохраненным на сервере. Таким образом, просто потому, что ответчик является поставщиком услуг аренды сервера, он не может нести обязательство по бережному управлению или обязательство по предотвращению потери записей, сохраненных на сервере, по отношению к третьим лицам, с которыми он не имеет договорных отношений.
Это решение указывает на то, что нецелесообразно предполагать наличие “обязательства не удалять данные” в отношении третьих лиц (истцов), с которыми нет прямых договорных отношений. Это решение привлекло определенное внимание как потенциальный ведущий случай в случае возникновения подобных ситуаций в будущем.
Вывод: преследование ответственности часто бывает “трудным”
В практической работе, говоря о часто используемых контрактах, случаи, когда контракт предусматривает ответственность оператора за хранение и резервное копирование данных, не так уж и много. Напротив, контракты, которые определяют это как ответственность пользователя (то есть компании-клиента), значительно преобладают.
Следовательно, если не было особого соглашения, считать, что оператор системы несет обязанность предотвращать потерю данных, будет весьма сложно с юридической точки зрения.
Как подготовиться к риску потери информации
В конечном итоге, риск потери информации, которым обладает компания, в первую очередь связан с информацией, которую эта компания хранит. Следовательно, вопрос о том, как учесть этот риск и какую систему хранения создать, должен решать сама компания.
Кроме того, даже если ответственность бизнеса признается, возможно, что полная компенсация ущерба не будет признана из-за компенсации за ущерб. В прошлых судебных решениях были случаи, когда истец, который хранил свои данные на сервере ответчика, уничтожил данные, и отсутствие резервного копирования со стороны истца было признано “небрежностью”, и была признана компенсация за ущерб.
Истец мог легко принять меры, такие как резервное копирование содержимого файла, и, несмотря на это, предотвратить возникновение ущерба или свести его к минимуму. Однако, на момент инцидента, истец не сохранил никаких данных файла.
В этом случае, при определении суммы ответственности ответчика за ущерб, следует применить положение о компенсации за ущерб, учитывая этот факт, что соответствует принципу справедливости в законе о компенсации ущерба.
В ответ на это, истец утверждает, что невозможно предвидеть, что файл будет уничтожен внутри сервера провайдером, ответчиком, и что нельзя признать обязанность делать резервную копию как юридическую обязанность, и что его бездействие не может быть признано юридической небрежностью, и отрицает применение компенсации за ущерб.
Однако, для применения компенсации за ущерб достаточно признать, что истец мог предвидеть возникновение такого результата, как уничтожение файла, и не требуется предвидеть возможность уничтожения файла из-за нарушения ответчиком обязанности бережного отношения.
В этом случае, очевидно, что истец был осведомлен о риске вторжения хакеров и т.д. на веб-сайт, и истец признает, что есть риск изменения и уничтожения информации в интернет-коммуникациях, и этот риск был предсказуем. Поэтому, истец мог предвидеть риск уничтожения файла из-за причин, связанных с интернет-коммуникациями, и предвидение возможности возникновения такого результата, как уничтожение файла, полностью подтверждается, и препятствия для применения компенсации за ущерб не признаются.
Решение Токийского окружного суда от 28 сентября 2001 года (Heisei 13)
В этом случае, “поскольку не было сделано резервное копирование, было возможно предвидеть риск уничтожения файла по какой-либо причине, такой как вторжение хакеров, и поэтому применяется компенсация за ущерб”, и сумма компенсации ущерба была уменьшена вдвое.
Заключение
Хотя мы говорим не только о риске потери данных, но и о том, что при передаче системы на аутсорсинг пользователи часто обращают внимание только на удобство работы с интерфейсом, забывая о том, что организационное управление должно распространяться и на область базы данных, которая хранится в фоновом режиме.
Однако, как показывают прошлые судебные прецеденты, нельзя считать эту проблему “чужой”. Иначе говоря, необходимо осознавать, что разработка системы управления, учитывающей риск потери информации, такой как создание резервных копий, является вопросом, который должен быть решен на стороне пользователя (внутри компании).
Прошлые судебные прецеденты предупреждают о необходимости предотвращения, указывая на то, что неподготовленность к таким рискам может привести к невосстановимым последствиям. Не стоит ли мы понимать это как предупреждение о необходимости предотвращения?
Category: IT
Tag: ITSystem Development
