Ризик втрати даних оператором системи та юридична відповідальність
Іноді на робочому місці відділу систем може виникнути проблема, коли важлива корпоративна інформація, яку компанія зберігає в базі даних, втрачається через непередбачені обставини. Чи можливо з юридичної точки зору вимагати відповідальності від зовнішнього виконавця, якщо системні операції були віддані на аутсорсинг?
У цій статті ми розглянемо, до кого належить юридична відповідальність за втрату інформації в компанії.
Що таке “експлуатація” в IT-системах
“Експлуатація” в IT-системах, якщо говорити дуже просто, це робота, пов’язана з “продовженням використання поточної системи”. Система, яку новостворили (тобто розробили) IT-інженери та програмісти, не є такою, що закінчується одразу після створення. Наприклад, можна припустити, що виникне потреба вводити комп’ютерну мову (наприклад, SQL) безпосередньо в базу даних, підключивши комп’ютер, якщо ви хочете виконати операції, які не можна виконати з екрану (наприклад, витягування або зміна даних, які не можна виконати з екрану).
Ці експлуатаційні завдання часто легше стандартизувати, наприклад, розробляючи інструкції, порівняно з роботою по новій реалізації програми, і часто їх легше віддати на аутсорсинг стороннім компаніям.
Однак, навіть якщо завдання легко стандартизувати, варто пам’ятати, що вони часто супроводжуються великими інцидентами, оскільки вони включають безпосереднє керування базами даних, які контролюються компаніями. Ризик витоку або втрати інформації, яку має компанія, може несподівано зрости, якщо ви бездумно продовжуєте аутсорсинг, не зважаючи на важливість відповідальності, яку несе робота.
Ризик втрати інформації є дивно близьким
Є різні типи баз даних, які використовуються компаніями, але вони насправді є видом програмного забезпечення. Основні операції, такі як витягування, зміна, додавання та видалення даних, які керуються в цих базах даних, зазвичай виконуються за допомогою комп’ютерної мови SQL.
Важливість юридичних питань
Робота технічних спеціалістів, пов’язаних з IT-системами, включає в себе розробку, експлуатацію, обслуговування та інші види діяльності. Спільним для всіх цих видів роботи є те, що вони зосереджені на обробці абстрактних об’єктів, таких як “дані” та “комп’ютерні мови”. Тому, навіть якщо помилка зовні виглядає як просте натискання неправильної кнопки або невелика помилка вводу, вплив цієї помилки може поширитися набагато ширше, ніж можна було передбачити. Цей фундаментальний принцип повинен бути відомий всім, хто працює з системами, незалежно від того, чи є вони спеціалістами в галузі IT. Через природу роботи, пов’язаної з системами, якщо виникає проблема, її вплив часто швидко поширюється не тільки за межі відповідного відділу, але й за межі компанії. Важливість юридичних питань у системах може бути пояснена з цієї точки зору, як для замовника, так і для виконавця.
Ризик втрати корпоративних даних
Давайте розглянемо простий приклад. Запит SQL для видалення всіх даних з однієї таблиці – це просто одне слово “TRUNCATE”. Коли ми думаємо про ризик втрати даних, які зберігає компанія, знання синтаксису SQL або способу роботи з програмним забезпеченням бази даних, можливо, не є таким важливим. Однак, варто зазначити, що навіть процес видалення всіх даних, які зберігає компанія, може бути таким простим. Це розуміння реальності, можливо, є відправною точкою, коли ми думаємо про ризик втрати даних компанії.
Безумовно, операційна робота часто стандартизується, і якщо все виконується відповідно до процедури, часто не виникає проблем. Однак, якщо процедура не виконується належним чином і виникає непередбачувана ситуація, важливість юридичних питань стає очевидною.
Хто несе юридичну відповідальність за втрату інформації?
Юридична природа роботи оператора застосування
Отже, у випадку втрати даних через непередбачувані інциденти, коли відновлення неможливе, хто несе юридичну відповідальність? Давайте проаналізуємо такі інциденти з юридичної точки зору.
Важко вимагати виконання обов’язків зберігання на основі договору про депозит
Однією з теоретичних конструкцій, які можна розглянути при визначенні відповідальності оператора даних, що виконує функції управління даними, є вимога до виконання обов’язку доброго управління на основі договору про депозит за плату. Простими словами, це подібно до ситуації, коли бізнес, який приймає предмети на зберігання в платних шафах для зберігання, наприклад, монет, втрачає ці предмети і, як правило, несе відповідальність за відшкодування збитків, і ставить питання про можливість вимагати відповідальності за втрату “даних”. Однак, як і в разі обговорення обов’язку зберігання “речей”, припущення, що “обов’язок зберігання даних” виникає автоматично, не є реалістичним в рамках чинного законодавства.
Залежить від конкретного змісту договору
В кінцевому підсумку, питання “хто несе обов’язок зберігання даних” є складним для однозначного вирішення на основі положень цивільного кодексу. Тому, відповідь на це питання, ймовірно, залежить від того, як це визначено в конкретному договорі.
І тут, питання “що було змістом договору” вирішується не тільки на основі самого договору, але й з урахуванням протоколів засідань та інших документів. Детальніше про важливість протоколів засідань ви можете прочитати в статті нижче.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Переслідування відповідальності за незаконні дії від третіх осіб, які не є сторонами договору, є складним
Варто зазначити, що в судовій практиці чітко встановлено, що переслідування відповідальності за незаконні дії від третіх осіб, які не є сторонами договору, є неможливим. У судовому рішенні було розглянуто питання про можливість вимоги відшкодування збитків на основі незаконних дій користувача в результаті втрати даних у сервісі оренди серверів.
Типовими прикладами незаконних дій є, наприклад, дорожньо-транспортні пригоди. Наприклад, якщо в результаті необережності водія в автомобільній аварії людина отримує травми, він несе відповідальність (не тільки кримінальну, але й цивільну). Не існує договору між незнайомими людьми про “не наїжджати на людей автомобілем”, але можна припустити, що відповідальність за відшкодування збитків може виникнути навіть між приватними особами. На основі цієї структури відповідальності за незаконні дії, було обговорено, чи можливе переслідування відповідальності за втрату даних, навіть якщо вони не були прямо пов’язані з договором.
Однак, суд вказав на особливості цифрової інформації і зазначив, що важко припустити наявність такого обов’язку.
Сервер не є бездоганним і може виникнути збій, який призведе до втрати збережених програм та іншого, але програми та інше є цифровою інформацією, яку можна легко скопіювати, і якщо користувач зберігає цю інформацію, він може відновити роботу програми, навіть якщо вона зникла, і це широко відомо (загальний зміст аргументів), тому позивачі могли легко вжити заходів для запобігання втраті цієї програми та даних. Враховуючи такі обставини, немає причини, або необхідності, щоб відповідач, який встановлює та керує сервером, нес відповідальність за запобігання втраті записів позивачів для захисту їхніх записів. (Пропуск) Позивачі стверджують, що договір про оренду сервера має характер договору про зберігання програм та даних третіх осіб, і на цій основі вони стверджують, що відповідач, як постачальник оренди серверів, несе обов’язок доброго управління всіма тими, хто зберігає записи на сервері, і конкретно несе обов’язок не допускати втрати записів на сервері, і на цій основі вони стверджують, що відповідач порушив обов’язок запобігання втрати записів, дозволивши втрату записів позивачів, які були збережені на сервері.
Рішення Токійського окружного суду від 20 травня 2009 року (Heisei 21)
Однак, відповідач уклав лише договір про спільне використання хостинг-сервісу сервера з користувачем A, і немає договірних відносин з позивачами, і неможливо стверджувати, що є договірними відносинами щодо зберігання програм та даних, які були збережені на сервері, тому важко знайти підстави для того, щоб відповідач нес відповідальність за добре управління записами, які були збережені на сервері, відповідно до закону про незаконні дії, щодо позивачів, з якими він не має договірних відносин. Таким чином, тільки тому, що відповідач є постачальником оренди серверів, він не може нести обов’язок доброго управління записами, які були збережені на сервері, або обов’язок запобігання втрати записів у відносинах з третіми особами, з якими він не має договірних відносин.
Це рішення вказує на те, що не є доцільним припускати наявність “обов’язку не видаляти дані” щодо третіх осіб (позивачів), які не мають прямого договірного відношення. Це рішення привернуло певну увагу як потенційний провідний випадок для подібних ситуацій, які можуть виникнути в майбутньому.
Висновком є те, що відповідальність часто стає “складною”
Якщо говорити про контракти, які часто використовуються на практиці, то випадків, коли контракт передбачає відповідальність оператора за зберігання та резервне копіювання даних, не так багато. Натомість, контракти, які визначають цю відповідальність на користувача (тобто на компанію-клієнта), є значно більш поширеними.
Отже, якщо не було укладено спеціальної угоди, думати, що оператор системи несе відповідальність за заходи щодо запобігання втрати даних, є дуже складним з юридичної точки зору.
Що робити для запобігання ризику втрати інформації
В кінцевому рахунку, ризик втрати інформації, яку має компанія, в першу чергу стосується інформації, яку ця компанія зберігає. Тому, як враховувати цей ризик втрати і яку систему зберігання створити, це питання, яке повинна вирішувати сама компанія.
Також, навіть якщо відповідальність бізнесу буде визнана, можливо, що відшкодування збитків не буде повністю визнано через компенсацію за недбалість. У минулих судових рішеннях були випадки, коли було визнано, що відсутність резервного копіювання даних з боку позивача вважається “недбалістю”, і було визнано компенсацію за недбалість, коли відповідач, який зберігав дані позивача на сервері, знищив ці дані.
Позивач міг легко взяти резервну копію файлу, і, не дивлячись на це, не зберіг ніяких даних файлу на момент випадку знищення. Тому, при визначенні суми відповідальності за відшкодування збитків відповідача в цьому випадку, слід застосувати положення про компенсацію за недбалість, враховуючи цей факт, який відповідає принципу справедливості в законодавстві про відшкодування збитків.
Проте, щодо застосування компенсації за недбалість, достатньо визнати можливість передбачення позивачем настання такого результату, як знищення файлу, і не потрібно передбачати можливість настання такого результату, як знищення файлу через порушення відповідачем обов’язку бути уважним.
У цьому випадку, як відомо, позивач був свідомим ризику вторгнення хакерів на веб-сайт, і позивач визнав, що інтернет-комунікації мають ризик зміни та знищення інформації, і цей ризик був передбачуваним. Тому, позивач передбачав ризик знищення файлу через причини, властиві інтернет-комунікаціям, і можливість передбачення настання такого результату, як знищення файлу, повністю підтверджена, і немає жодних перешкод для застосування компенсації за недбалість.
Рішення Токійського суду від 28 вересня 2001 року (Грегоріанський календар)
У цьому випадку, “оскільки не було зроблено резервне копіювання, було можливо передбачити ризик знищення файлу з будь-якої причини, такої як вторгнення хакерів, і тому є застосування компенсації за недбалість”, і сума відшкодування збитків була зменшена вдвічі.
Підсумки
Це не тільки про ризик втрати даних, але часто, коли ми передаємо систему на аутсорсинг, користувачі зазвичай турбуються лише про відчуття від роботи з інтерфейсом, і часто буває так, що корпоративне управління не поширюється на область бази даних, яка зберігається позаду.
Однак, як показують минулі судові рішення, нам не можна вважати ці питання “чужими”. Іншими словами, ми повинні усвідомлювати, що розробка системи управління, яка враховує ризик втрати інформації, така як резервне копіювання, є проблемою користувача (внутрішньою проблемою компанії).
Минулі судові рішення натякають, що неготовність до таких ризиків може призвести до незворотних наслідків, і, можливо, ми повинні розглядати це як попередження про необхідність профілактики.
Category: IT
Tag: ITSystem Development
