Luật cấm truy cập trái phép Nhật Bản: Các hành vi và ví dụ bị cấm - Phân tích của luật sư

Luật cấm truy cập trái phép (tên chính thức là “Luật về việc cấm hành vi truy cập trái phép”) đã được ban hành vào tháng 2 năm 2000 (năm Heisei 12) và được sửa đổi vào tháng 5 năm 2012 (năm Heisei 24), hiện đang có hiệu lực. Đây là một luật nhằm ngăn chặn tội phạm mạng và duy trì trật tự liên quan đến việc truyền thông điện tử, bao gồm tổng cộng 14 điều.

“Luật về việc cấm hành vi truy cập trái phép” (Mục đích)

Điều 1: Mục đích của luật này là cấm hành vi truy cập trái phép, đồng thời quy định về hình phạt và các biện pháp hỗ trợ từ Ủy ban Công an tỉnh để ngăn ngừa tái phạm, nhằm ngăn chặn tội phạm liên quan đến máy tính được thực hiện thông qua đường truyền thông điện tử và duy trì trật tự liên quan đến việc truyền thông điện tử được thực hiện bằng chức năng kiểm soát truy cập, từ đó đóng góp vào sự phát triển lành mạnh của xã hội thông tin cao cấp.

Vậy cụ thể, Luật cấm truy cập trái phép cấm những hành vi nào? Và trong thực tế, có những ví dụ nào và chúng ta nên thực hiện những biện pháp nào về mặt hình sự và dân sự? Chúng tôi sẽ giải thích về tóm tắt của Luật cấm truy cập trái phép và các biện pháp khi bạn trở thành nạn nhân của hành vi truy cập trái phép.

Hành vi bị cấm theo Luật cấm truy cập trái phép của Nhật Bản

Theo Luật cấm truy cập trái phép của Nhật Bản, có ba hành vi chính bị cấm và bị trừng phạt:

• Cấm hành vi truy cập trái phép (Điều 3)
• Cấm hành vi thúc đẩy hành vi truy cập trái phép (Điều 5)
• Cấm hành vi trái phép lấy, lưu trữ, yêu cầu nhập mã nhận dạng của người khác (Điều 4, 6, 7)

Ở đây, “mã nhận dạng” được định nghĩa là mã được quy định cho mỗi người quản lý truy cập, được sử dụng bởi những người đã nhận được sự cho phép của người quản lý truy cập để sử dụng máy tính điện tử cụ thể (Điều 2, Khoản 2).

Ví dụ điển hình về mã nhận dạng là mật khẩu được sử dụng kết hợp với ID. Ngoài ra, gần đây, các cơ chế nhận dạng người dùng bằng dấu vân tay hoặc mống mắt cũng đang ngày càng phổ biến, và chúng cũng được coi là mã nhận dạng. Ngoài ra, khi nhận dạng một người dựa trên hình dạng chữ ký hoặc áp lực bút, mã nhận dạng cũng bao gồm các chữ ký đã được số hóa và mã hóa.

Hành vi truy cập trái phép là gì

Cụ thể, điều 2 khoản 4 đã quy định, hành vi truy cập trái phép là hành vi lợi dụng mã nhận dạng của người khác, còn được gọi là “hành vi giả mạo”, và hành vi tấn công lỗ hổng bảo mật của chương trình máy tính. Luật cấm truy cập trái phép ở Nhật Bản (Japanese Unauthorized Access Prohibition Law) cấm các hành vi truy cập trái phép vào máy tính của người khác bằng các phương pháp này.

Hành vi lợi dụng mã nhận dạng của người khác

“Hành vi giả mạo” nói chung là việc sử dụng máy tính mà bạn không có quyền truy cập bằng cách lợi dụng mã nhận dạng của người khác.

Nói cách khác, khi sử dụng một hệ thống máy tính, bạn phải nhập mã nhận dạng như ID và mật khẩu trên máy tính. Tại thời điểm này, hành vi nhập mã nhận dạng của người khác có quyền sử dụng hợp pháp mà không có sự cho phép của người đó được gọi là hành vi giả mạo.

Có thể hơi khó hiểu, nhưng “mã nhận dạng của người khác” ở đây nghĩa là ID và mật khẩu mà người khác đã tạo (và sử dụng), và “hành vi giả mạo” nói cách khác, là hành vi “chiếm đoạt” tài khoản của người khác đã sử dụng, chẳng hạn như tài khoản SNS như Twitter.

Tuy nhiên, vì việc nhập mã nhận dạng mà không có sự cho phép của người đó là một yêu cầu, trong trường hợp bạn dạy mật khẩu của mình cho đồng nghiệp ở công ty khi bạn đi công tác và yêu cầu họ kiểm tra email thay mình, vì bạn đã nhận được sự đồng ý từ người đó, nên bạn sẽ không vi phạm Luật cấm truy cập trái phép.

Thông thường, “hành vi giả mạo” là việc tạo tài khoản mới bằng cách sử dụng tên và hình ảnh của người khác và sử dụng SNS như Twitter dưới danh nghĩa của người đó, nhưng hành vi bị cấm theo Luật cấm truy cập trái phép khác với điều này. Chúng tôi đã giải thích chi tiết về “hành vi giả mạo” theo nghĩa thông thường trong bài viết dưới đây.

https://monolith.law/reputation/spoofing-dentityright[ja]

Hành vi tấn công lỗ hổng bảo mật của chương trình máy tính

“Hành vi tấn công lỗ hổng bảo mật” là hành vi tấn công lỗ hổng bảo mật (sự thiếu sót trong biện pháp an toàn) của máy tính của người khác để có thể sử dụng máy tính đó. Sử dụng chương trình tấn công để cung cấp thông tin hoặc chỉ thị không phải là mã nhận dạng cho mục tiêu tấn công, vượt qua chức năng kiểm soát truy cập của máy tính của người khác và sử dụng máy tính mà không cần sự cho phép.

Chức năng kiểm soát truy cập ở đây là chức năng mà người quản lý truy cập đặt trên máy tính điện tử cụ thể hoặc máy tính điện tử được kết nối với máy tính điện tử cụ thể qua đường truyền điện để hạn chế việc sử dụng cụ thể của máy tính điện tử cụ thể đó bởi những người không phải là người sử dụng hợp pháp (điều 2 khoản 3).

Để giải thích một cách dễ hiểu, đây là cơ chế mà chỉ cho phép sử dụng khi ID và mật khẩu, v.v. được nhập chính xác trên mạng đối với những người muốn truy cập vào hệ thống máy tính.

Vì vậy, “hành vi tấn công lỗ hổng bảo mật” có thể được nói là việc làm vô hiệu hóa cơ chế này để có thể sử dụng hệ thống máy tính mà không cần nhập ID và mật khẩu chính xác.

Hai loại hình hành vi truy cập trái phép

Như đã nêu trên, có hai loại hình hành vi truy cập trái phép.

Điều cần lưu ý là, trong cả hai loại hình, yêu cầu là phải thực hiện thông qua mạng máy tính. Do đó, ngay cả khi bạn nhập mật khẩu, v.v. mà không có sự cho phép vào máy tính không kết nối với mạng, còn được gọi là máy tính độc lập, bạn sẽ không bị xem là hành vi truy cập trái phép.

Tuy nhiên, mạng máy tính không chỉ bao gồm mạng mở như Internet mà còn bao gồm cả mạng đóng như LAN nội bộ.

Ngoài ra, không có giới hạn về nội dung sử dụng trái phép do truy cập trái phép, ví dụ, việc đặt hàng mà không cần sự cho phép, xem dữ liệu, chuyển tệp, v.v., và thậm chí việc chỉnh sửa trang web cũng sẽ vi phạm Luật cấm truy cập trái phép.

Nếu bạn thực hiện một trong hai hành vi truy cập trái phép này, bạn có thể bị phạt tù dưới 3 năm hoặc phạt dưới 1 triệu yên (điều 11).

Hành vi khuyến khích truy cập trái phép là gì

Hành vi khuyến khích truy cập trái phép, mà được cấm theo ‘Luật cấm truy cập trái phép của Nhật Bản’, là việc cung cấp ID và mật khẩu của người khác cho bên thứ ba mà không có sự đồng ý của chủ nhân. Dù thông qua điện thoại, email, trang web hay bất kỳ phương tiện nào khác, nếu bạn thông báo cho người khác rằng “ID của ○○ là ××, mật khẩu là △△”, và làm cho người khác có thể truy cập vào dữ liệu của người khác một cách tự ý, bạn sẽ vi phạm hành vi khuyến khích truy cập trái phép.

Nếu bạn thực hiện hành vi khuyến khích truy cập trái phép, bạn có thể bị phạt tù dưới 1 năm hoặc phạt tiền dưới 500.000 yên (Điều 12, khoản 2).

Xin lưu ý, ngay cả khi bạn cung cấp mật khẩu mà không biết mục đích truy cập trái phép, bạn cũng có thể bị phạt tiền dưới 300.000 yên (Điều 13).

Hành vi lấy, lưu trữ và yêu cầu nhập mã nhận dạng của người khác một cách bất hợp pháp

Theo Luật cấm truy cập trái phép của Nhật Bản (Japanese Unauthorized Access Prohibition Law), việc lấy, lưu trữ và yêu cầu nhập mã nhận dạng (ID và mật khẩu) của người khác một cách bất hợp pháp là bị cấm.

• Điều 4: Cấm hành vi lấy mã nhận dạng của người khác một cách bất hợp pháp
• Điều 6: Cấm hành vi lưu trữ mã nhận dạng của người khác một cách bất hợp pháp
• Điều 7: Cấm hành vi yêu cầu nhập mã nhận dạng của người khác một cách bất hợp pháp

Một ví dụ điển hình về hành vi bị cấm này là “hành vi yêu cầu nhập”, hay còn được gọi là hành vi phishing. Ví dụ, giả mạo thành một tổ chức tài chính, dẫn dắt nạn nhân đến một trang web giả mạo giống hệt trang web chính thức, và yêu cầu nạn nhân nhập mật khẩu và ID của họ vào trang web giả mạo này.

Các số nhận dạng thu được thông qua hành vi phishing được sử dụng trong các vụ lừa đảo đấu giá, và cũng có nhiều trường hợp tiền gửi bị chuyển một cách tự ý vào tài khoản khác.

Nếu thực hiện những hành vi này, bạn có thể bị phạt tù dưới 1 năm hoặc phạt tiền dưới 500.000 yên (theo Điều 12, khoản 4).

Pháp luật quản lý tội phạm mạng ngoại trừ hành vi truy cập trái phép là gì?

Như vậy, ‘Luật cấm truy cập trái phép’ của Nhật Bản là pháp luật nhằm đối phó với một số loại tội phạm mạng cụ thể. Nếu nói về toàn bộ ‘tội phạm mạng’, thì có thể liên quan đến các tội phạm khác như tội phá hoại máy tính điện tử, tội cản trở công việc bằng cách lừa dối, tội phỉ báng danh dự, v.v. trong các luật pháp khác. Chúng tôi đã giải thích chi tiết về toàn cảnh tội phạm mạng trong bài viết dưới đây.

Nghĩa vụ của người quản lý truy cập

Chúng tôi sẽ giải thích về nghĩa vụ được định rõ trong Luật cấm truy cập trái phép của Nhật Bản. Người quản lý truy cập là người quản lý hoạt động của máy tính điện tử cụ thể được kết nối với đường truyền viễn thông (Điều 2, Khoản 1).

Quản lý ở đây có nghĩa là quyết định ai được sử dụng và phạm vi sử dụng khi cho phép sử dụng máy tính điện tử cụ thể qua mạng. Người có quyền quyết định người sử dụng và phạm vi sử dụng như vậy được gọi là người quản lý truy cập theo Luật cấm truy cập trái phép của Nhật Bản.

Ví dụ, khi một công ty vận hành một hệ thống máy tính, họ sẽ chọn một người phụ trách hệ thống từ số nhân viên để quản lý. Tuy nhiên, người phụ trách hệ thống chỉ quản lý theo ý của công ty. Do đó, trong trường hợp như vậy, người quản lý truy cập không phải là người phụ trách hệ thống mà là công ty vận hành hệ thống máy tính.

Luật cấm truy cập trái phép không chỉ định rõ hành vi truy cập trái phép và hình phạt, mà còn đặt ra nghĩa vụ cho người quản lý để ngăn chặn truy cập trái phép trong việc quản lý máy chủ và các thiết bị khác.

Biện pháp phòng vệ do người quản lý truy cập thực hiện

Điều 8: Người quản lý truy cập đã thêm chức năng kiểm soát truy cập vào máy tính điện tử cụ thể phải nỗ lực quản lý đúng mã nhận dạng hoặc mã được sử dụng để xác nhận chức năng kiểm soát truy cập, luôn kiểm tra hiệu lực của chức năng kiểm soát truy cập và nếu cần, nhanh chóng nâng cao chức năng này và thực hiện các biện pháp cần thiết để bảo vệ máy tính điện tử cụ thể khỏi hành vi truy cập trái phép.

“Quản lý đúng mã nhận dạng”, “luôn kiểm tra hiệu lực của chức năng kiểm soát truy cập”, “nâng cao chức năng kiểm soát truy cập khi cần thiết” là những nghĩa vụ được đặt ra, nhưng vì đây là nghĩa vụ nỗ lực, không có hình phạt nếu không thực hiện những biện pháp này.

Tuy nhiên, nếu có dấu hiệu rằng ID hoặc mật khẩu đã bị rò rỉ, người quản lý phải thực hiện kiểm soát truy cập như xóa tài khoản hoặc thay đổi mật khẩu một cách nhanh chóng.

Biện pháp khi bị truy cập trái phép

Khi sử dụng email hoặc SNS, có thể bạn sẽ bị truy cập trái phép từ người khác. Trong trường hợp này, bạn có thể xử lý như thế nào?

Khởi tố hình sự

Đầu tiên, bạn có thể khởi tố hình sự đối tác đã truy cập trái phép. Truy cập trái phép là một tội phạm và người đã truy cập trái phép sẽ bị trừng phạt hình sự. Như đã giải thích ở trên, người chính có thể bị phạt tù dưới 3 năm hoặc phạt tiền dưới 1 triệu yên, và nếu có người đã khuyến khích, họ có thể bị phạt tù dưới 1 năm hoặc phạt tiền dưới 500.000 yên.

Tuy nhiên, vi phạm Luật cấm truy cập trái phép (Japanese Unauthorized Access Prohibition Law) là tội không cần tố giác, nên cảnh sát có thể bắt đầu điều tra và bắt giữ tội phạm ngay cả khi không có tố giác. Ngoài ra, người không phải là nạn nhân của truy cập trái phép cũng có thể tố cáo với cảnh sát nếu họ biết về sự việc.

Như đã đề cập trong bài viết về tội cản trở công việc, tội cần tố giác là “tội phạm không thể khởi tố nếu không có tố giác hình sự từ nạn nhân”, nhưng điều này không có nghĩa là “không thể tố giác nếu không phải là tội cần tố giác”. Ngay cả trong trường hợp của tội không cần tố giác, nạn nhân cũng có thể tố giác tội phạm.

Ngay cả khi là tội không cần tố giác, nếu nạn nhân đã tố giác hình sự, tình cảnh của bị can sẽ trở nên tồi tệ hơn và có khả năng bị phạt nặng hơn. Nếu bạn nhận ra rằng bạn đã bị truy cập trái phép, hãy thảo luận với luật sư và nộp đơn tố giác hoặc báo cáo tội phạm cho cảnh sát. Khi nhận được báo cáo tội phạm, cảnh sát sẽ nhanh chóng tiến hành điều tra và bắt giữ hoặc chuyển giao bị can.

Yêu cầu bồi thường dân sự

Khi bị thiệt hại do truy cập trái phép, bạn có thể yêu cầu bồi thường dân sự từ phía người gây hại dựa trên Điều 709 của Bộ luật dân sự Nhật Bản (Japanese Civil Code).

Bộ luật dân sự Điều 709

Người đã vi phạm quyền hoặc lợi ích được bảo vệ theo pháp luật của người khác do cố ý hoặc sơ suất phải chịu trách nhiệm bồi thường thiệt hại phát sinh từ việc này.

Nếu người gây hại đã truy cập trái phép và phát tán thông tin cá nhân thu được từ đó, hoặc nếu họ đã ăn cắp các mục trong trò chơi xã hội, hoặc nếu họ đã truy cập vào dữ liệu thẻ tín dụng hoặc tài khoản ngân hàng và gây ra thiệt hại về tài sản, hãy yêu cầu bồi thường thiệt hại, bao gồm cả tiền đền bù tinh thần. Tất nhiên, nếu dữ liệu thẻ tín dụng hoặc tài khoản ngân hàng của bạn đã bị truy cập và gây ra thiệt hại tài sản thực tế, bạn cũng có thể yêu cầu bồi thường cho những thiệt hại này.

Tuy nhiên, để yêu cầu bồi thường thiệt hại từ người gây hại, bạn phải xác định được tội phạm và bạn cần thu thập bằng chứng rằng tội phạm thực sự đã truy cập trái phép, vì vậy bạn cần có kiến thức chuyên môn cao. Nếu bạn bị thiệt hại do truy cập trái phép, bạn cần tìm đến một luật sư có kinh nghiệm về vấn đề mạng để thảo luận và yêu cầu thủ tục.

Tóm tắt

Luật cấm truy cập trái phép (Japanese Unauthorised Access Prohibition Law) ngày càng có ý nghĩa quan trọng trong xã hội hiện đại với sự phát triển của IT. Tuy nhiên, thậm chí khi trở thành nạn nhân của việc truy cập trái phép, việc xác định thủ phạm bởi chính nạn nhân thường gặp khó khăn vì lý do kỹ thuật.

Ngoài ra, vi phạm Luật cấm truy cập trái phép là đối tượng của hình phạt hình sự, do đó có thể cần phải báo cáo tới cảnh sát. Tuy nhiên, vì đây là loại tội phạm mới, không phải lúc nào cảnh sát cũng hiểu ngay lập tức về vụ việc. Vì lý do này, khi báo cáo tới cảnh sát, cần phải giải thích cẩn thận từ cả hai góc độ pháp lý và kỹ thuật để giúp cảnh sát hiểu rõ hơn. Trong ngữ cảnh này, việc đối phó với Luật cấm truy cập trái phép đòi hỏi chuyên môn cao, do đó việc tư vấn với luật sư am hiểu về mặt kỹ thuật của IT trở nên quan trọng.