Tiếng Việt English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_vi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Ngày làm việc 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Rủi ro mất mát dữ liệu và trách nhiệm pháp lý của nhà điều hành hệ thống

Rủi ro mất mát dữ liệu và trách nhiệm pháp lý của nhà điều hành hệ thống

IT

Rủi ro mất mát dữ liệu và trách nhiệm pháp lý của nhà điều hành hệ thống

Có những trường hợp rắc rối khi thông tin quan trọng của doanh nghiệp được lưu trữ trong cơ sở dữ liệu bị mất do những sự cố bất ngờ, điều này có thể xảy ra tại bộ phận hệ thống của doanh nghiệp. Trong những trường hợp như vậy, nếu doanh nghiệp đã giao việc vận hành hệ thống cho một bên thứ ba, liệu có thể đòi trách nhiệm pháp lý từ bên thứ ba đó không?

Bài viết này sẽ giải thích về trách nhiệm pháp lý thuộc về ai trong trường hợp mất mát thông tin tại doanh nghiệp.

“Vận hành” trong hệ thống IT là gì?

“Vận hành” trong hệ thống IT, nếu nói một cách đơn giản, có thể được hiểu là công việc tiếp tục sử dụng hệ thống hiện có như trước đây trong các công việc liên quan đến hệ thống IT. Hệ thống mà các kỹ sư IT, lập trình viên mới tạo ra (= phát triển) không phải là loại hệ thống mà chỉ cần tạo ra một lần là xong. Ví dụ, nếu bạn muốn thực hiện các hoạt động mà không thể thực hiện từ màn hình, bạn có thể cần kết nối máy tính với cơ sở dữ liệu và nhập trực tiếp ngôn ngữ máy tính (như SQL) (ví dụ, việc rút trích, thay đổi dữ liệu mà không thể thực hiện từ màn hình).

Các công việc vận hành như vậy thường dễ dàng hóa hơn so với việc triển khai chương trình mới, thường dễ dàng hóa bằng cách chuẩn bị hướng dẫn vận hành và thường dễ dàng giao phó cho các nhà thầu bên ngoài.

Tuy nhiên, ngay cả khi công việc dễ dàng hóa, nếu đó là công việc điều khiển trực tiếp cơ sở dữ liệu mà doanh nghiệp quản lý, bạn cũng nên nhớ rằng nó thường dễ dàng gặp phải sự cố lớn. Rủi ro về việc rò rỉ hoặc mất thông tin mà doanh nghiệp sở hữu có thể tăng lên đáng kể nếu bạn tiếp tục giao phó công việc một cách dễ dàng mà không quan tâm đến trách nhiệm nặng nề của công việc.

Rủi ro mất mát thông tin thực ra rất gần gũi

Có nhiều loại cơ sở dữ liệu mà các doanh nghiệp sử dụng, nhưng thực chất chúng đều là một loại phần mềm. Và việc xử lý dữ liệu được quản lý tại đây như trích xuất, thay đổi, thêm mới, xóa, về cơ bản đều sử dụng ngôn ngữ máy tính SQL.

Tầm quan trọng của công việc pháp lý

Công việc của các kỹ sư liên quan đến hệ thống IT bao gồm nhiều loại như phát triển, vận hành, bảo dưỡng, v.v., nhưng điểm chung trong cách làm việc của họ là việc xử lý các vấn đề trừu tượng như “dữ liệu” và “ngôn ngữ máy tính” là trọng tâm. Do đó, chỉ dựa vào hình thức công việc mà nói, ngay cả một lỗi thao tác nút hoặc một lỗi nhập nhỏ cũng có thể tạo ra tác động rộng lớn mà không thể dự đoán trước được. Điều này là một giả định cơ bản mà mọi người làm việc liên quan đến hệ thống, dù là chuyên gia công nghệ thông tin hay không, đều nên nhận thức. Công việc liên quan đến hệ thống có tính chất là nếu có vấn đề xảy ra, tác động của nó thường lan rộng nhanh chóng vượt qua phạm vi bộ phận liên quan và vượt qua các rào cản trong công ty. Tầm quan trọng của công việc pháp lý trong hệ thống có thể được giải thích một cách thống nhất từ cả hai phía, đó là người đặt hàng và người nhận đặt hàng.

Rủi ro mất mát dữ liệu doanh nghiệp

Hãy xem xét một ví dụ đơn giản. Lệnh (query) để xóa tất cả dữ liệu mà một bảng trong SQL sở hữu chỉ cần viết một dòng “TRUNCATE”. Khi suy nghĩ về rủi ro mất mát dữ liệu của doanh nghiệp, việc hiểu rõ ngữ pháp SQL hoặc cách thao tác phần mềm cơ sở dữ liệu có lẽ không quan trọng lắm. Tuy nhiên, bạn nên nhận thức rằng việc xóa toàn bộ dữ liệu mà doanh nghiệp lưu trữ, nếu chỉ nói về cách thực hiện, cũng chỉ đơn giản như vậy. Có lẽ đây chính là điểm xuất phát khi suy nghĩ về rủi ro mất mát dữ liệu của doanh nghiệp.

Quả thật, công việc vận hành thường dễ dàng được chuẩn hóa và nếu thực hiện theo quy trình thì thường không có vấn đề gì. Tuy nhiên, đồng thời, nếu không thực hiện theo quy trình và gây ra tình huống bất thường, tầm quan trọng của công việc pháp lý sẽ tự nhiên trở nên rõ ràng.

Trách nhiệm pháp lý của ai khi mất thông tin

Trách nhiệm pháp lý khi xảy ra sự mất mát dữ liệu không mong muốn là gì?

Tính chất pháp lý của công việc của nhà điều hành

Vậy, khi mất dữ liệu do sự cố không mong muốn và không có cách phục hồi, trách nhiệm pháp lý sẽ thuộc về ai? Dưới đây, chúng ta sẽ phân tích vấn đề này từ góc độ pháp lý.

Khó khăn trong việc đòi hỏi nghĩa vụ bảo quản dựa trên hợp đồng gửi cất

Khi đặt câu hỏi về trách nhiệm của nhà điều hành dịch vụ dữ liệu, một trong những lý thuyết có thể xem xét là việc đòi hỏi nghĩa vụ chăm sóc tốt dựa trên hợp đồng gửi cất có phí. Đơn giản hóa, đây giống như trường hợp một doanh nghiệp nhận gửi cất đồ vật trong tủ đựng đồ có phí như tủ locker và mất mát đồ đó, họ sẽ chịu trách nhiệm bồi thường thiệt hại như thế nào, và liệu có thể đòi hỏi trách nhiệm mất mát “dữ liệu” không. Tuy nhiên, giống như việc “nghĩa vụ bảo quản đồ vật”, việc coi “nghĩa vụ bảo quản dữ liệu” như một điều hiển nhiên không phải là thực tế trong pháp luật hiện hành.

Tùy thuộc vào nội dung hợp đồng cụ thể

Cuối cùng, vấn đề “ai phải chịu trách nhiệm bảo quản dữ liệu” khó có thể đưa ra một giải pháp chung dựa trên quy định của luật dân sự. Do đó, câu trả lời phù hợp nhất có lẽ là “tùy thuộc vào nội dung hợp đồng cụ thể được quy định như thế nào”.

Và “nội dung hợp đồng là gì” không chỉ dựa vào hợp đồng mà còn phải xem xét biên bản họp và các tài liệu khác. Tầm quan trọng của biên bản họp được giải thích chi tiết trong bài viết dưới đây.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Khó khăn trong việc đòi hỏi trách nhiệm hành vi phạm pháp từ bên thứ ba không liên quan đến hợp đồng

Ngoài ra, đã có các phán quyết rõ ràng cho thấy việc đòi hỏi trách nhiệm hành vi phạm pháp từ bên thứ ba không có quan hệ hợp đồng là không thể. Trong các phán quyết, vụ mất dữ liệu trong dịch vụ máy chủ cho thuê, việc có thể yêu cầu bồi thường thiệt hại dựa trên hành vi phạm pháp của người dùng đã trở thành vấn đề.

Ví dụ điển hình về hành vi phạm pháp là tai nạn giao thông. Chẳng hạn, nếu gây thương tích cho người khác do lỗi khi lái xe, bạn sẽ chịu trách nhiệm (không chỉ hình sự mà còn dân sự). Mặc dù không ký kết “hợp đồng không đâm xe vào người” với người xa lạ, nhưng bạn vẫn có thể chịu trách nhiệm bồi thường thiệt hại giữa các cá nhân. Dựa trên khung trách nhiệm hành vi phạm pháp này, việc có thể đòi hỏi trách nhiệm về việc mất dữ liệu, ngay cả khi không có mối quan hệ hợp đồng trực tiếp, đã được tranh cãi.

Tuy nhiên, tòa án đã chỉ ra đặc tính của thông tin số và khẳng định rằng việc giả định sự tồn tại của nghĩa vụ này là khó khăn.

Máy chủ không hoàn hảo và có thể gặp sự cố khiến chương trình được lưu trữ mất đi, nhưng chương trình là thông tin số, có thể dễ dàng sao chép, và người dùng có thể khôi phục chương trình nếu họ đã lưu trữ nó khi chương trình mất đi, điều này đã được biết rộng rãi (tổng quan về lý luận) nên, nguyên đơn có thể dễ dàng thực hiện các biện pháp phòng ngừa mất mát chương trình và dữ liệu này. Trong tình hình lợi ích của cả hai bên nguyên đơn và bị đơn, không có lý do hoặc cần thiết để yêu cầu bị đơn, người cài đặt và quản lý máy chủ này, phải chịu trách nhiệm phòng ngừa mất mát các bản ghi của nguyên đơn để bảo vệ chúng. (trích dẫn) Nguyên đơn cho rằng hợp đồng thuê máy chủ có tính chất của hợp đồng gửi cất đối với chương trình hoặc dữ liệu của bên thứ ba, và dựa trên điều này, bị đơn, như một nhà cung cấp dịch vụ thuê máy chủ, phải chịu trách nhiệm chăm sóc tốt đối với tất cả những người lưu trữ bản ghi trên máy chủ này, cụ thể là nghĩa vụ không để mất bản ghi trên máy chủ, và dựa trên giả định này, bị đơn đã làm mất bản ghi của nguyên đơn được lưu trữ trên máy chủ là vi phạm nghĩa vụ phòng ngừa mất mát trên.


Tuy nhiên, bị đơn chỉ ký kết hợp đồng sử dụng dịch vụ hosting máy chủ chung với người dùng A, không có mối quan hệ hợp đồng với nguyên đơn, và không thể nói rằng việc lưu trữ chương trình và dữ liệu này trên máy chủ có tính chất của hợp đồng gửi cất, vì vậy, khó tìm thấy cơ sở để cho rằng bị đơn phải chịu trách nhiệm chăm sóc tốt theo luật hành vi phạm pháp đối với bản ghi được lưu trữ trên máy chủ đối với nguyên đơn không có mối quan hệ hợp đồng. Do đó, chỉ vì bị đơn là nhà cung cấp dịch vụ thuê máy chủ, không thể nói rằng họ phải chịu trách nhiệm chăm sóc tốt hoặc nghĩa vụ phòng ngừa mất mát bản ghi được lưu trữ trên máy chủ trong mối quan hệ với bên thứ ba không có mối quan hệ hợp đồng.

Phán quyết của Tòa án Tokyo ngày 20 tháng 5 năm 2009 (năm 2009)

Phán quyết này chỉ ra rằng không hợp lý khi giả định rằng có “nghĩa vụ không xóa dữ liệu” đối với bên thứ ba không có mối quan hệ hợp đồng trực tiếp (nguyên đơn). Phán quyết này đã thu hút sự chú ý nhất định vì có thể trở thành trường hợp dẫn đầu cho các vụ việc tương tự xảy ra sau này.

Kết luận, việc đòi hỏi trách nhiệm thường “khó khăn”

Ngoài ra, nếu nói về hợp đồng thường được sử dụng trong thực tế, số lượng hợp đồng mà việc bảo quản và sao lưu dữ liệu là trách nhiệm của nhà điều hành không nhiều, và phần lớn là những hợp đồng quy định rằng đó là trách nhiệm của người sử dụng (tức là công ty khách hàng).

Do đó, trừ khi có thỏa thuận đặc biệt nào đó, việc cho rằng nhà điều hành hệ thống có nghĩa vụ thực hiện các biện pháp để ngăn chặn mất mát dữ liệu là rất khó khăn trong pháp luật.

Điều cần làm để phòng ngừa rủi ro mất mát thông tin

Luôn sao lưu để ngăn chặn mất dữ liệu.

Rốt cuộc, về rủi ro mất mát thông tin mà doanh nghiệp nắm giữ, đó cũng là câu chuyện về thông tin mà chính doanh nghiệp đó lưu trữ. Do đó, có thể nói rằng việc xem xét rủi ro mất mát này và xây dựng hệ thống lưu trữ như thế nào là vấn đề mà chính doanh nghiệp đó phải quyết định.

Đồng thời, ngay cả khi trách nhiệm của doanh nghiệp được công nhận, cũng có thể xảy ra trường hợp bồi thường thiệt hại không được công nhận đầy đủ do bị giảm bớt do lỗi. Trong các vụ kiện trước đây, có trường hợp mà bị đơn, người đã giữ dữ liệu của nguyên đơn trên máy chủ, đã xóa dữ liệu, và việc nguyên đơn không sao lưu dữ liệu đã được xem là “lỗi”, và đã công nhận việc giảm bớt do lỗi.

Nguyên đơn, có thể dễ dàng thực hiện các biện pháp như sao lưu nội dung tệp này, và bằng cách đó, có thể ngăn chặn sự phát sinh của thiệt hại (trích dẫn) và giữ thiệt hại phát sinh ở mức rất nhỏ, tuy nhiên, vào thời điểm xảy ra sự cố mất mát này, nguyên đơn không còn giữ lại nội dung dữ liệu của tệp này.

Do đó, trong trường hợp này, khi xác định số tiền mà bị đơn phải chịu trách nhiệm bồi thường, việc áp dụng quy định giảm bớt do lỗi sau khi xem xét điểm này phù hợp với nguyên tắc cân nhắc trong luật bồi thường thiệt hại. (trích dẫn)

Ngược lại, nguyên đơn, không thể dự đoán rằng tệp này sẽ bị xóa khỏi máy chủ bởi bị đơn, nhà cung cấp dịch vụ, và không thể nói rằng họ nên dự đoán điều đó, do đó, không thể công nhận việc sao lưu là nghĩa vụ pháp lý, và không thể nói rằng việc không làm là lỗi theo nghĩa pháp lý, và họ khẳng định rằng việc áp dụng giảm bớt do lỗi nên bị phủ nhận.

Tuy nhiên, khi áp dụng giảm bớt do lỗi, đủ khi công nhận khả năng dự đoán sự phát sinh của kết quả là sự mất mát của tệp này đối với nguyên đơn, và không cần thiết phải dự đoán khả năng phát sinh của kết quả đó do vi phạm nghĩa vụ chú ý của bị đơn, tệp này đã bị mất.

Trong trường hợp này, (trích dẫn), rõ ràng rằng họ đã nhận thức được nguy cơ bị hacker và người khác xâm nhập vào trang web, và nguyên đơn đã công nhận rằng có nguy cơ thay đổi và phá hủy thông tin trong giao tiếp internet, và nguy cơ đó có thể dự đoán, do đó, nguyên đơn đã dự đoán nguy cơ mất mát tệp này do nguyên nhân đặc trưng của giao tiếp internet, và khả năng dự đoán sự phát sinh của kết quả là sự mất mát của tệp này đã được khẳng định đầy đủ, và không thể công nhận rằng có trở ngại trong việc công nhận việc áp dụng giảm bớt do lỗi.

Phán quyết của Tòa án Tokyo ngày 28 tháng 9 năm 2001 (năm Heisei 13)

Trong vụ việc này, “Vì không sao lưu, họ đã có thể dự đoán nguy cơ mất tệp do sự xâm nhập của hacker và nguyên nhân khác, và do đó, có việc áp dụng giảm bớt do lỗi”, và số tiền bồi thường thiệt hại đã được giảm một nửa.

Tóm tắt

Không chỉ giới hạn ở rủi ro mất mát dữ liệu, khi giao phó việc phát triển hệ thống cho bên thứ ba, người dùng thường chỉ quan tâm đến cảm giác thao tác trên giao diện màn hình, và thường bỏ qua việc quản lý cơ sở dữ liệu được lưu trữ phía sau.

Tuy nhiên, các ví dụ từ các vụ kiện trong quá khứ đã chỉ ra rằng, chúng ta không thể coi những vấn đề này như là “chuyện của người khác”. Nói cách khác, việc tiến hành các biện pháp như sao lưu dữ liệu, và xây dựng hệ thống quản lý dựa trên rủi ro mất mát thông tin, là những vấn đề mà người dùng (bên trong tổ chức) cần nhận thức rõ.

Các vụ kiện trong quá khứ đã chỉ ra rằng, việc không chuẩn bị cho những rủi ro như vậy có thể dẫn đến những hậu quả không thể khắc phục, và cũng như một lời cảnh báo về việc cần phải phòng ngừa.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

AI sinh tạo là gì? Giải thích dễ hiểu về các loại, lợi ích và cách sử dụng

AI sinh tạo là gì? Giải thích dễ hiểu về các loại, lợi ích và cách sử dụng

IT

Điều gì là hệ thống lao động tự quyết? Có thể áp dụng cho lập trình viên không?

Điều gì là hệ thống lao động tự quyết? Có thể áp dụng cho lập trình viên không?

IT

3 vấn đề pháp lý của DeFi là gì? Giải thích quy định pháp luật liên quan đến việc phát hành token của DEX

3 vấn đề pháp lý của DeFi là gì? Giải thích quy định pháp luật liên quan đến việc phát hành toke.

IT

Phán quyết của tòa án về việc vi phạm quyền thương hiệu trong NFT là gì? Giải thích thông qua ví dụ của Hermes và Nike

Phán quyết của tòa án về việc vi phạm quyền thương hiệu trong NFT là gì? Giải thích thông qua ví.

IT

Cấu trúc của việc xét xử liên quan đến yêu cầu chuyển nhượng tên miền là gì?

Cấu trúc của việc xét xử liên quan đến yêu cầu chuyển nhượng tên miền là gì?

IT

Những tình huống áp dụng điều khoản chấp nhận giả định trong việc kiểm tra chấp nhận phát triển hệ thống

Những tình huống áp dụng điều khoản chấp nhận giả định trong việc kiểm tra chấp nhận phát triển .

IT

Bị thiệt hại do tấn công mạng. Trách nhiệm bồi thường thiệt hại của nhà cung cấp hệ thống là gì? Giải thích ví dụ về việc ghi chú trong hợp đồng

Bị thiệt hại do tấn công mạng. Trách nhiệm bồi thường thiệt hại của nhà cung cấp hệ thống là gì?.

IT

Là những vấn đề gì về luật bản quyền liên quan đến hệ thống IT (phần mềm, v.v.)?

Là những vấn đề gì về luật bản quyền liên quan đến hệ thống IT (phần mềm, v.v.)?

IT

Những điểm cần lưu ý khi ký kết hợp đồng thầu trong phát triển hệ thống

Những điểm cần lưu ý khi ký kết hợp đồng thầu trong phát triển hệ thống

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

Quay lại Lên trên