Адвокат пояснює дії та приклади, які забороняє 'Японський закон про заборону незаконного доступу
Закон про заборону незаконного доступу (офіційна назва “Закон про заборону незаконного доступу та інше”) був прийнятий у лютому 2000 року (2000 рік за Григоріанським календарем) і змінений у травні 2012 року (2012 рік за Григоріанським календарем), і зараз він діє. Цей закон, що складається з 14 статей, має на меті запобігти кіберзлочинам та підтримувати порядок у сфері електронних комунікацій.
“Закон про заборону незаконного доступу та інше” (Мета)
Стаття 1. Метою цього закону є запобігання злочинам, пов’язаним з комп’ютерами, через телекомунікаційні лінії, заборона незаконного доступу, встановлення карних санкцій за це та визначення заходів допомоги від комісії з громадської безпеки префектур для запобігання повторенню, а також підтримання порядку в телекомунікаціях, який забезпечується за допомогою функції контролю доступу, щоб сприяти здоровому розвитку високоінформаційного суспільства.
Які конкретні дії забороняє Закон про заборону незаконного доступу? Які реальні випадки відбуваються, і які заходи слід вжити в кримінальному та цивільному праві? Ми пояснимо загальні положення Закону про заборону незаконного доступу та заходи, які слід вжити, якщо ви стали жертвою.
Дії, заборонені Законом про заборону незаконного доступу (Japanese Unauthorised Access Prohibition Law)
Закон про заборону незаконного доступу забороняє та карає, в основному, наступні три види дій:
- Заборона незаконного доступу (стаття 3)
- Заборона дій, що сприяють незаконному доступу (стаття 5)
- Заборона незаконного отримання, зберігання та вимоги введення чужого ідентифікаційного коду (статті 4, 6, 7)
Тут ідентифікаційний код визначається як код, встановлений для кожного адміністратора доступу, який отримав дозвіл на використання певного електронного комп’ютера від адміністратора доступу, і використовується адміністратором доступу для відрізнення користувачів з правами доступу від інших користувачів (пункт 2 статті 2).
Типовим прикладом ідентифікаційного коду є пароль, який використовується разом з ID. Останнім часом поширюється також система ідентифікації особи за допомогою відбитків пальців або радужки ока, які також вважаються ідентифікаційними кодами. Крім того, якщо ідентифікація особи здійснюється за формою підпису або тиском ручки, то числовий код, отриманий шляхом кодування цього підпису, також вважається ідентифікаційним кодом.
Що таке незаконний доступ
Конкретно, це визначено в пункті 4 статті 2, але незаконний доступ – це “дії маскування”, які зловживають чужими ідентифікаційними кодами, та “дії атаки на безпеку”, які використовують недоліки комп’ютерної програми. Закон про заборону незаконного доступу забороняє доступ до чужого комп’ютера за допомогою цих методів.
Дії, які зловживають чужими ідентифікаційними кодами
Так звані “дії маскування” означають використання комп’ютера, до якого ви не маєте права доступу, шляхом зловживання чужими ідентифікаційними кодами.
Отже, коли ви використовуєте певну комп’ютерну систему, ви повинні ввести ідентифікаційні коди, такі як ID та пароль, на комп’ютері. Це означає введення чужих ідентифікаційних кодів без дозволу власника.
Це може бути трохи складно зрозуміти, але “чужий” тут означає ID та паролі, які вже створені (та використовуються) кимось іншим, а “дії маскування” – це, власне кажучи, “перехоплення” облікових записів, таких як облікові записи SNS, такі як Twitter, які вже використовуються кимось іншим.
Оскільки вимога полягає в тому, що ідентифікаційні коди вводяться без дозволу власника, якщо, наприклад, ви попросите колегу в офісі перевірити ваші електронні листи за вас, навчивши його вашому паролю, коли ви в командировці, це не порушує Закон про запобігання незаконному доступу, оскільки ви отримали згоду власника.
Зазвичай “маскування” означає створення нового облікового запису, використовуючи чуже ім’я та фотографію, та використання SNS, таких як Twitter, під виглядом цієї особи, але дії, заборонені Законом про запобігання незаконному доступу, відрізняються від цього. Детальніше про “маскування” в загальному розумінні описано в статті нижче.
https://monolith.law/reputation/spoofing-dentityright[ja]
Дії, які використовують недоліки комп’ютерної програми
“Дії атаки на безпеку” – це дії, які атакують дірки в безпеці (недоліки в заходах безпеки) чужого комп’ютера, щоб зробити його доступним для використання. Вони використовують програми для атаки, щоб надати інформацію та команди, що не є ідентифікаційними кодами, цілі атаки, обходячи функцію контролю доступу до чужого комп’ютера, та використовують комп’ютер без дозволу.
Функція контролю доступу, про яку йдеться тут, – це функція, яку адміністратор доступу надає специфічному електронному комп’ютеру або електронному комп’ютеру, що підключений до специфічного електронного комп’ютера через телекомунікаційну лінію, щоб обмежити використання специфічного електронного комп’ютера кимось іншим, крім законного користувача (пункт 3 статті 2).
Щоб пояснити простіше, це система, яка дозволяє використовувати лише тоді, коли вводяться правильні ID та паролі для тих, хто намагається отримати доступ до комп’ютерної системи через мережу.
Отже, “дії атаки на безпеку” – це дії, які роблять цю систему недієздатною, дозволяючи використовувати відповідну комп’ютерну систему без введення правильних ID та паролів.
Два типи незаконного доступу
Як бачимо, існують два типи незаконного доступу.
Важливо зазначити, що для того, щоб будь-який з цих типів міг бути визнаний незаконним доступом, він повинен відбуватися через комп’ютерну мережу. Тому, навіть якщо ви введете пароль тощо без дозволу на комп’ютер, який не підключений до мережі, тобто на так званий автономний комп’ютер, це не вважатиметься незаконним доступом.
Однак, щодо комп’ютерних мереж, не тільки відкриті мережі, такі як Інтернет, але й закриті мережі, такі як внутрішні мережі LAN, також є цільовими.
Крім того, немає обмежень на зміст незаконного використання, що відбувається через незаконний доступ, і це може порушити Закон про запобігання незаконному доступу, навіть якщо ви робите такі речі, як незаконне замовлення, перегляд даних, передача файлів, зміна домашньої сторінки тощо.
Якщо ви вчините одну з цих двох дій незаконного доступу, ви можете бути покарані “трьома роками ув’язнення або штрафом до 1 мільйона єн” (стаття 11).
Що таке дії, що сприяють незаконному доступу
Дії, що сприяють незаконному доступу, заборонені “Японським законом про заборону незаконного доступу”, це надання чужих ID та паролів третім особам без дозволу власника. Незалежно від засобів, таких як телефон, електронна пошта або веб-сайт, якщо ви повідомляєте іншим людям, наприклад, “ID для OO є XX, пароль є △△”, і дозволяєте іншим людям самовільно отримувати доступ до даних людини, це вважається заохоченням до незаконного доступу.
Якщо ви вчините дії, що сприяють незаконному доступу, ви можете бути покарані “тюремним ув’язненням на термін до одного року або штрафом до 500 000 єн” (пункт 2 статті 12).
Зверніть увагу, що навіть якщо ви надаєте пароль, не знаючи про намір незаконного доступу, ви можете бути оштрафовані на суму до 300 000 єн (стаття 13).
Що таке незаконне отримання, зберігання та вимога введення чужого ідентифікаційного коду
Згідно з Японським законом про заборону незаконного доступу, заборонено незаконне отримання, зберігання та вимога введення чужого ідентифікаційного коду (ID, пароль).
- Стаття 4. Заборона незаконного отримання чужого ідентифікаційного коду
- Стаття 6. Заборона незаконного зберігання чужого ідентифікаційного коду
- Стаття 7. Заборона незаконної вимоги введення чужого ідентифікаційного коду
Типовим прикладом такої забороненої дії є “вимога введення”, або так звана фішингова діяльність. Наприклад, вона включає в себе обманом приваблювання жертв на фальшиву домашню сторінку, яка імітує фінансову установу, та вимагає від жертв введення своїх паролів та ID на цій фальшивій сторінці.
Ідентифікаційні номери, отримані через фішинг, використовуються у шахрайстві на аукціонах, а також для незаконного переказу грошей з депозитних рахунків на інші рахунки.
За вчинення цих дій може бути накладено покарання у вигляді ув’язнення на термін до одного року або штрафу до 500 тисяч єн (стаття 12, пункт 4).
Які закони регулюють кіберзлочини, окрім незаконного доступу
Таким чином, Закон про заборону незаконного доступу – це закон, призначений для боротьби з певними типами так званих кіберзлочинів. Що стосується “кіберзлочинів” в цілому, у деяких випадках можуть стати актуальними інші закони, такі як Закон про злочини, пов’язані з пошкодженням електронних обчислювальних машин та перешкодами в роботі, Закон про злочини, пов’язані з обманом та перешкодами в роботі, Закон про злочини проти честі та гідності. Детальний опис загальної картини кіберзлочинів наведено в статті нижче.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Обов’язки адміністратора доступу
Ми пояснимо обов’язки, визначені Законом про заборону незаконного доступу (Японський ~). Адміністратор доступу – це особа, яка керує діями специфічного електронного обчислювального пристрою, пов’язаного з телекомунікаційною лінією (стаття 2, пункт 1).
У цьому контексті, керування означає визначення того, хто і в якому обсязі може використовувати специфічний електронний обчислювальний пристрій через мережу. Особа, яка має право визначати таких користувачів та обсяг їх використання, є адміністратором доступу за Законом про заборону незаконного доступу.
Наприклад, коли компанія експлуатує певну комп’ютерну систему, вона призначає відповідального за систему з числа своїх працівників для управління нею. Однак, кожен відповідальний за систему працює відповідно до волі компанії. Тому, в такому випадку, адміністратором доступу є не відповідальний за систему, а компанія, яка експлуатує комп’ютерну систему.
Закон про заборону незаконного доступу не лише визначає незаконний доступ та покарання за нього, але й накладає обов’язки на адміністратора для запобігання незаконному доступу до управління серверами та іншими.
Заходи захисту від адміністратора доступу
Стаття 8. Адміністратор доступу, який додав функцію контролю доступу до специфічного електронного обчислювального пристрою, повинен прагнути до належного управління ідентифікаційним кодом або символом, який використовується для перевірки цієї функції контролю доступу, завжди перевіряти ефективність цієї функції контролю доступу, і коли він вважає це необхідним, він повинен негайно прагнути до покращення цієї функції та інших необхідних заходів для захисту цього специфічного електронного обчислювального пристрою від незаконного доступу.
Є обов’язок “належно управляти ідентифікаційним кодом”, “завжди перевіряти ефективність функції контролю доступу” та “покращувати функцію контролю доступу за потреби”, але оскільки це обов’язок зусиль, немає покарання за невиконання цих заходів.
Однак, якщо адміністратор помічає, що ID або пароль були викрадені, він повинен негайно вжити заходів контролю доступу, таких як видалення облікового запису або зміна пароля.
Заходи у випадку несанкціонованого доступу
Якщо ви користуєтеся електронною поштою або соціальними мережами, можливо, ви станете жертвою несанкціонованого доступу від інших осіб. Що можна зробити в такому випадку?
Подати кримінальний позов
Перш за все, можна подати кримінальний позов проти особи, яка здійснила несанкціонований доступ. Несанкціонований доступ є злочином, і особа, яка його здійснила, може бути покарана. Як було пояснено вище, особа може отримати покарання у вигляді ув’язнення на термін до трьох років або штрафу до 1 мільйона єн, а якщо були особи, які сприяли цьому, вони можуть отримати покарання у вигляді ув’язнення на термін до одного року або штрафу до 500 тисяч єн.
Варто зазначити, що порушення Закону про заборону несанкціонованого доступу (японський Закон про заборону несанкціонованого доступу) є злочином, який не вимагає скарги, тому поліція може розпочати розслідування і арештувати злочинця, навіть якщо не було подано скаргу. Крім того, не тільки особа, яка стала жертвою несанкціонованого доступу, але й будь-яка особа, яка дізналася про це, може повідомити поліцію.
Як ми вже згадували в статті про злочин перешкоджання діяльності, злочини, які вимагають скарги від потерпілого, є “злочинами, які не можуть бути пред’явлені до суду без кримінального позову від потерпілого”, але це не означає, що “вони не можуть бути пред’явлені до суду, якщо вони не є злочинами, які вимагають скарги”. Навіть у випадку злочинів, які не вимагають скарги, потерпілий може подати кримінальний позов проти злочинця.
Навіть якщо це злочин, який не вимагає скарги, якщо потерпілий подає кримінальний позов, це може погіршити обставини підозрюваного, і покарання може стати суворішим. Якщо ви помітили, що були жертвою несанкціонованого доступу, вам слід звернутися до адвоката, подати заяву про злочин або позов до поліції. Як тільки поліція прийме заяву про злочин, вона негайно розпочне розслідування і може арештувати або відправити підозрюваного до прокуратури.
Запитати цивільне відшкодування
Якщо ви стали жертвою несанкціонованого доступу, ви можете вимагати відшкодування від злочинця в цивільному порядку на підставі статті 709 Цивільного кодексу (японський Цивільний кодекс).
Стаття 709 Цивільного кодексу
Особа, яка умисно або з недбалості порушила права іншої особи або інтереси, захищені законом, несе відповідальність за відшкодування збитків, спричинених цим.
Якщо злочинець здійснив несанкціонований доступ і поширив особисту інформацію, отриману в результаті цього, вкрав предмети з соціальних ігор, отримав доступ до даних кредитних карт або банківських рахунків, спричинивши матеріальну шкоду, ви повинні вимагати відшкодування за шкоду, включаючи компенсацію за моральну шкоду. Звичайно, якщо вам отримано доступ до даних вашої кредитної картки або банківського рахунку і ви дійсно зазнали матеріальної шкоди, ви також можете вимагати відшкодування за це.
Однак, щоб вимагати відшкодування від злочинця, вам потрібно визначити злочинця і зібрати докази того, що він дійсно здійснив несанкціонований доступ, що вимагає високої спеціалізації. Якщо ви стали жертвою несанкціонованого доступу, вам потрібно звернутися до адвоката з багатим досвідом у вирішенні проблем в Інтернеті і попросити його провести процедуру.
Підсумки
Закон про заборону незаконного доступу набуває все більшого значення в сучасному суспільстві, де IT-технології постійно розвиваються. Однак, навіть якщо ви стали жертвою незаконного доступу, часто технічно важко самостійно визначити злочинця.
Крім того, порушення Закону про заборону незаконного доступу (японський Закон про заборону незаконного доступу) є предметом кримінального покарання, тому можна подати заяву про злочин в поліцію. Однак, оскільки це новий тип злочину, поліція не завжди може швидко зрозуміти суть справи. Тому, подаючи заяву про злочин, необхідно детально пояснити ситуацію з правової та технічної точок зору, щоб допомогти поліції зрозуміти ситуацію. В цьому контексті, важливо звернутися за консультацією до адвоката, який добре розуміє технічні аспекти IT, оскільки відповідь на Закон про заборону незаконного доступу вимагає високої спеціалізації.
Category: IT
Tag: CybercrimeIT
