Systemoperatörens risk för datförlust och juridiskt ansvar
Det kan hända att företag på IT-avdelningen råkar ut för problem där viktig företagsinformation som lagras i databaser förloras på grund av oförutsedda omständigheter. I sådana fall, om systemdriften har outsourcats till en extern leverantör, är det juridiskt möjligt att hålla den externa leverantören ansvarig?
I denna artikel kommer vi att förklara vem som juridiskt sett bär ansvaret när information går förlorad inom ett företag.
Vad innebär “drift” i ett IT-system?
“Drift” i ett IT-system, för att uttrycka det mycket enkelt, kan beskrivas som arbetet med att fortsätta använda det befintliga systemet som tidigare. Ett system som IT-ingenjörer och programmerare har skapat (dvs. utvecklat) är inte något som är klart när det väl har skapats. Till exempel, om du vill utföra en operation som inte kan utföras från skärmsidan, kan det vara nödvändigt att ansluta en dator till databasen och direkt mata in datorspråk (som SQL). Detta kan inkludera extraktion eller ändring av data som inte kan utföras från skärmsidan.
Denna typ av driftsarbete kan ofta standardiseras genom att förbereda procedurmanualer och liknande, jämfört med arbete som innebär att implementera nya program, och det är ofta lätt att outsourca till externa leverantörer.
Men även om det är en uppgift som lätt kan standardiseras, bör man komma ihåg att eftersom det innebär att man direkt hanterar databasen som företaget kontrollerar, kan det ofta vara nära stora incidenter. Risker som läckage eller förlust av information som företaget har, kan snabbt svälla om man outsourcar utan att vara medveten om det stora ansvaret som kommer med uppgiften.
Risken för informationsförlust är närmare än du tror
Det finns flera typer av databaser som företag använder, men i grunden är de en typ av mjukvara. Och de processer som används för att extrahera, ändra, lägga till och ta bort data som hanteras där, används i grunden av ett datorspråk som kallas SQL.
Vikten av juridiska frågor
Det finns olika typer av arbete för tekniker som arbetar med IT-system, såsom utveckling, drift och underhåll, men det gemensamma för dessa arbetssätt är att de huvudsakligen hanterar abstrakta saker som “data” och “datorspråk”. Därför kan även ett litet misstag, som att trycka på fel knapp eller göra ett litet inmatningsfel, ha en effekt som sprider sig mycket mer än vad man kan förutse i förväg. Denna grundläggande princip bör vara medveten om alla som arbetar med system, oavsett om de är IT-experter eller inte. På grund av naturen av arbete som involverar system, om ett problem uppstår, sprider dess effekter sig ofta omedelbart bortom den berörda avdelningen och även bortom företagets gränser. Varför juridiska frågor är viktiga för system kan förklaras enhetligt från både beställarens och entreprenörens perspektiv.
Risken för förlust av företagsdata
Låt oss ta ett lite mer vardagligt exempel. En SQL-fråga (kommando) som tar bort all data från en tabell är bara en rad “TRUNCATE”. När man tänker på risken för förlust av företagsdata är det kanske inte så viktigt att ha fullständig kunskap om SQL-syntax eller hur man använder databasmjukvara. Men det är viktigt att förstå att även om det handlar om hur man gör det, kan det vara så enkelt att radera alla data som ett företag lagrar. Denna verklighetsinsikt bör vara utgångspunkten när man tänker på risken för förlust av företagsdata.
Visst, driftsarbete kan lätt standardiseras och det finns ofta inga problem om man följer proceduren. Men samtidigt, om proceduren inte följs och en oregelbunden situation uppstår, blir vikten av juridiska frågor uppenbar.
Vems är det lagliga ansvaret för förlust av information?
Den juridiska naturen av operatörens arbete
Så, i händelse av att data går förlorade på grund av en oväntad incident och det inte finns något sätt att återställa det, var ligger det juridiska ansvaret? Nedan analyserar vi sådana incidenter ur ett juridiskt perspektiv.
Det är svårt att kräva förvaringsplikt baserat på depositionsavtal
En av de teoretiska konstruktionerna som kan övervägas när man ifrågasätter ansvaret för en operatör som hanterar data, är att kräva en plikt att ta hand om saker baserat på ett betalt depositionsavtal. För att uttrycka det enkelt, det är samma sak som att förfölja skadeståndsansvar i princip när en operatör som har accepterat deposition av varor i betalda myntskåp och liknande förlorar dessa varor, det är en fråga om det är möjligt att förfölja “dataförlustansvar”. Men, precis som diskussionen om “förvaringsplikt för varor”, är det inte realistiskt att anta att “dataförvaringsplikt” uppstår naturligt enligt gällande lag.
Det beror på de specifika kontraktsvillkoren
I slutändan bör vi säga att det är svårt att dra en enhetlig lösning på frågan “vem har skyldigheten att lagra data” baserat på bestämmelserna i civilrätten. Därför skulle det rimliga svaret vara “det beror på vad som är fastställt i de specifika kontraktsvillkoren”.
Och frågan “vad var innehållet i kontraktet” bedöms inte bara utifrån kontraktet självt, utan också utifrån mötesprotokoll och liknande. Vikten av mötesprotokoll förklaras mer detaljerat i artikeln nedan.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Det är svårt att förfölja skadeståndsansvar från tredje part som inte är kontraktsparter
Det är tydligt i rättspraxis att det är omöjligt att förfölja skadeståndsansvar från en tredje part som inte har något kontraktsförhållande. I rättspraxis blev frågan om användare kunde begära skadestånd baserat på olaga handlingar i händelse av dataförlust i en hyrd serverstjänst.
Typiska exempel på olaga handlingar inkluderar till exempel trafikolyckor. Till exempel, om en person skadas på grund av förarens vårdslöshet i en bilolycka, bär föraren ansvar (inte bara straffrättsligt utan också civilrättsligt). Även om det inte finns något kontrakt mellan främlingar om att “inte träffa människor med en bil”, kan skadeståndsansvar uppstå mellan privatpersoner. Baserat på denna ram för skadeståndsansvar, debatterades det om det var möjligt att förfölja ansvar för förlust av data, även om det inte fanns något direkt kontraktsförhållande.
Men domstolen påpekade egenskaperna hos digital information och indikerade att det är svårt att naturligtvis leda till existensen av sådana skyldigheter.
En server är inte felfri och kan få fel som gör att program som lagras på den försvinner, men program är digital information som lätt kan kopieras, och användare kan återställa program om de har registrerat och lagrat dem, även om de har försvunnit, vilket är allmänt känt (hela argumentet), så svarandena kunde lätt ha vidtagit åtgärder för att förhindra att program och data försvann. Med tanke på både kärandens och svarandens intressen, finns det ingen anledning eller behov att belasta svaranden, som installerar och hanterar servern, med skyldigheten att förhindra att ovanstående register försvinner. (Utelämnat), kärandena hävdar att hyresavtalet för servern har karaktären av ett depositionsavtal för tredje parts program eller data, och att svaranden, som hyrserveroperatör, har en skyldighet att ta hand om alla som lagrar register på servern, specifikt att förhindra att serverns register försvinner, och att svaranden har brutit mot denna skyldighet att förhindra att registret försvinner genom att låta kärandenas register som lagrats på servern försvinna.
Tokyo District Court, May 20, 2009 (Heisei 21)
Men svaranden har bara ingått ett avtal om att använda delad servervärdtjänst med användare A, det finns inget kontraktsförhållande mellan svaranden och kärandena, och det kan inte sägas att det finns en depositionsliknande karaktär i förvaringen av program och data som lagrats på servern, så det är svårt att hitta en grund för att svaranden har en skyldighet att ta hand om registret som lagrats på servern enligt skadeståndslagen, även mot kärandena som inte har något kontraktsförhållande. Därför kan det inte sägas att svaranden, bara för att de är en hyrserveroperatör, naturligtvis har en skyldighet att ta hand om registret som lagrats på servern, eller att förhindra att registret försvinner, i förhållande till tredje part som inte har något kontraktsförhållande.
Detta beslut pekar på att det inte är rimligt att anta en “skyldighet att inte radera data” för en tredje part (käranden) som inte har ett direkt kontraktsförhållande. Detta beslut har fått viss uppmärksamhet som ett potentiellt ledande fall om liknande fall inträffar i framtiden.
Slutsatsen är att det ofta kan vara “svårt” att utkräva ansvar
I praktiken, när det gäller kontrakt som ofta används, är det inte så vanligt att kontrakt som gör driftoperatören ansvarig för lagring och backup av data används. Tvärtom, det är överväldigande fler kontrakt som fastställer att det är användarens (det vill säga kundföretagets) ansvar.
Därför, om det inte finns någon särskild överenskommelse, bör det sägas att det är extremt svårt att juridiskt tänka sig att systemdriftoperatören har skyldighet att vidta åtgärder för att förhindra förlust av data.
Åtgärder att vidta för att förbereda sig för risken för informationsförlust
I slutändan, när det gäller risken för informationsförlust som ett företag står inför, handlar det i grunden om informationen som företaget självt lagrar. Därför är det troligt att frågan om hur man ska beakta denna förlustrisk och vilket lagringssystem man ska bygga, bör bestämmas av företaget självt.
Även om företagets ansvar erkänns, kan det hända att skadeståndet inte beviljas fullt ut på grund av jämkning för vårdslöshet. Det finns rättsfall där domstolen har erkänt jämkning för vårdslöshet i fall där svaranden, som hade lagrat kärandens data på en server, raderade datan, och käranden inte hade tagit en säkerhetskopia, vilket ansågs vara “vårdslöshet”.
Käranden kunde lätt ha vidtagit åtgärder som att ta en säkerhetskopia av filens innehåll, och kunde ha förhindrat uppkomsten av skada, eller kunde ha begränsat skadan till en mycket liten mängd, trots detta erkänns det att käranden inte hade sparat något datainnehåll från filen vid tidpunkten för den här förlustolyckan.
I det här fallet bör vi, när vi bestämmer beloppet för svarandens skadeståndsansvar, tillämpa bestämmelserna om jämkning för vårdslöshet med hänsyn till detta, vilket är i linje med principen om rättvisa i skadeståndslagen. (Utelämnat)
Å andra sidan hävdar käranden att det var omöjligt för honom att förutse att filen skulle raderas från servern av svaranden, som är en internetleverantör, och att det inte var möjligt att säga att han borde ha förutsett det, så det är inte möjligt att erkänna en laglig skyldighet att ta en säkerhetskopia, och det är inte möjligt att säga att hans underlåtenhet att göra det var vårdslöshet i laglig mening, och han hävdar att tillämpningen av jämkning för vårdslöshet bör förnekas.
Men när det gäller att tillämpa jämkning för vårdslöshet, är det tillräckligt att erkänna att käranden kunde ha förutsett uppkomsten av resultatet att filen skulle försvinna, och det är inte nödvändigt att förutse att filen skulle försvinna på grund av svarandens brott mot sin skyldighet att vara försiktig, vilket ledde till att filen försvann.
I det här fallet, (utelämnat), är det klart att käranden var medveten om risken för att hackare och andra skulle bryta sig in på hemsidan, och käranden erkänner att det finns en risk för att informationen kommer att ändras eller förstöras i internetkommunikation, och att denna risk var förutsägbar, så det bedöms att käranden hade förutsett risken för att filen skulle försvinna på grund av orsaker som är specifika för internetkommunikation, och det är fullt möjligt att bekräfta möjligheten att förutse uppkomsten av resultatet att filen skulle försvinna, och det finns inga hinder för att bekräfta tillämpningen av jämkning för vårdslöshet.
Tokyo District Court, September 28, 2001 (Heisei 13)
I detta fall, eftersom “det var möjligt att förutse risken för att filen skulle försvinna på grund av intrång av hackare eller av någon annan anledning om man inte hade tagit en säkerhetskopia, bör det finnas en tillämpning av jämkning för vårdslöshet”, och skadeståndet halverades.
Sammanfattning
Även om det inte bara gäller risken för dataförlust, när systemfrågor outsourcas tenderar användare ofta att endast fokusera på känslan av att hantera skärmen, och organisationens styrning sträcker sig ofta inte till databasområdet som lagras bakom den.
Men, tidigare rättsfall antyder att vi inte bör betrakta dessa frågor som någon annans problem. Med andra ord, vi bör vara medvetna om att det är upp till användaren (inom företaget) att utveckla en förvaltningsstruktur som tar hänsyn till risken för informationsförlust, som att ta backup.
Tidigare rättsfall antyder att att inte vara förberedd på sådana risker kan leda till oåterkalleliga situationer, och vi bör förstå detta som en varning om behovet av förebyggande åtgärder.
Category: IT
Tag: ITSystem Development