3 loại tội phạm mạng là gì? Luật sư giải thích các biện pháp đối phó với hậu quả của từng loại

“Tội phạm mạng” là từ đã được sử dụng phổ biến đến mức trở thành ngôn ngữ hàng ngày, nhưng theo quy định quốc tế, nó được định nghĩa là “tội phạm lạm dụng công nghệ máy tính và công nghệ truyền thông điện tử”. Các tội phạm mạng như “hacking (cracking)” có thể khiến doanh nghiệp trở thành nạn nhân, và khi gặp phải những thiệt hại như vậy, cần phải xem xét biện pháp phòng ngừa nào là phù hợp.

Bài viết này sẽ phân loại tội phạm mạng thành ba mô hình phổ biến được sử dụng tại Nhật Bản, và giải thích về loại tội phạm nào mà mỗi mô hình tương ứng, cũng như các biện pháp phòng ngừa nếu trở thành nạn nhân. Việc phân loại này quan trọng vì:

• Nếu không thể xác định là “nạn nhân” theo nghĩa pháp lý, dù có thể “báo cáo” về việc phạm tội, nhưng việc khuyến nghị cảnh sát điều tra thông qua việc báo cáo thiệt hại hoặc tố cáo sẽ trở nên khó khăn
• Đối với tội phạm có biện pháp phòng ngừa theo quy định dân sự, không cần phải dựa vào điều tra của cảnh sát, có thể yêu cầu luật sư xác định thủ phạm và yêu cầu bồi thường thiệt hại từ thủ phạm theo phương pháp dân sự
• Trong trường hợp không có giải pháp dân sự cho tội phạm mà bản thân trở thành nạn nhân, sẽ cần khuyến nghị cảnh sát điều tra

Do đó, “biện pháp phòng ngừa” sẽ khác nhau tùy thuộc vào từng mô hình.

Phân loại 3 loại tội phạm mạng

Như đã nêu trên, tại Nhật Bản, tội phạm mạng thường được phân loại thành 3 loại.

• Tội phạm máy tính: Định nghĩa chính xác sẽ được trình bày sau, nhưng nói một cách ngắn gọn, đó là các hành vi phạm tội làm cản trở hoạt động kinh doanh của các công ty
• Tội phạm sử dụng mạng: Các hành vi phạm tội thực hiện bằng cách lạm dụng Internet
• Vi phạm luật cấm truy cập trái phép: Các hành vi như đăng nhập trái phép, v.v.

Dưới đây, chúng tôi sẽ giải thích từng loại một.

Tội phạm máy tính là gì?

Tội phá hoại máy tính điện tử và cản trở công việc

Hoạt động phù hợp với tội phạm phá hoại máy tính điện tử và cản trở công việc, được quy định trong Bộ luật hình sự Nhật Bản, là một ví dụ điển hình của loại tội phạm này.

Người phá hoại máy tính điện tử hoặc bản ghi từ tính dùng cho công việc của người khác, hoặc cung cấp thông tin giả mạo hoặc chỉ dẫn không chính xác cho máy tính điện tử dùng cho công việc của người khác, hoặc bằng cách khác, không cho máy tính điện tử hoạt động theo mục đích sử dụng hoặc làm cho nó hoạt động trái với mục đích sử dụng, cản trở công việc của người khác, sẽ bị phạt tù dưới 5 năm hoặc phạt dưới 1 triệu yên.

Điều 224-2 Bộ luật hình sự Nhật Bản

Đây là một đoạn văn khá khó đọc, nhưng nói một cách ngắn gọn,

• Phá hoại PC dùng cho công việc hoặc dữ liệu bên trong
• Gửi thông tin giả mạo hoặc thông tin không được dự kiến đến PC dùng cho công việc

là những phương pháp khiến PC hoạt động không như dự kiến và cản trở công việc, tạo thành tội phạm.

Ví dụ điển hình cho loại tội phạm này là việc tăng số dư tài khoản ngân hàng trực tuyến bằng cách tận dụng lỗ hổng bảo mật, đăng nhập trái phép vào tài khoản của người khác, v.v. Ngoài ra, việc thay đổi trang web của công ty bằng cách tận dụng lỗ hổng bảo mật hoặc lấy thông tin đăng nhập một cách trái phép cũng thuộc về loại tội phạm này. Việc “đăng nhập trái phép” là một loại tội phạm “vi phạm luật cấm truy cập trái phép” sẽ được đề cập sau, nhưng việc nắm bắt các hành vi thao tác trái phép, thay đổi, xóa, viết lại dữ liệu trái phép, v.v. là loại tội phạm này.

Sự khác biệt so với truy cập trái phép là gì?

Và, loại tội phạm này có thể được thành lập mà không cần phải tham gia vào hành vi đăng nhập trái phép. Ví dụ điển hình là cuộc tấn công DoS. Gửi một lượng lớn email, gây ra sự cố cho máy chủ email, thực hiện một lượng lớn truy cập vào trang web, gây ra sự cố cho máy chủ web, v.v. Những hành vi này, nếu chỉ xem từng email hoặc truy cập, thì hợp pháp, nhưng khi thực hiện hàng loạt, chúng khiến máy chủ (PC) hoạt động không như dự kiến và gây ra thiệt hại cho công ty đó, như không thể sử dụng email hoặc không thể mở trang web. Do đó, “không vi phạm luật cấm truy cập trái phép, nhưng phù hợp với tội phạm phá hoại máy tính điện tử và cản trở công việc”. Ngoài ra, trong trường hợp tội phạm theo mô hình này, tội phạm cản trở công việc bằng cách lừa dối cũng trở thành vấn đề.

Để khuyến nghị điều tra của cảnh sát

Những hành vi này là tội phạm như đã nêu trên, và công ty bị hại có thể yêu cầu cảnh sát điều tra. Tuy nhiên, thực tế, cảnh sát Nhật Bản không thực sự tốt trong việc xử lý loại tội phạm này. Điều này cũng phụ thuộc vào vấn đề kỹ thuật. Ví dụ, trên đây, tôi đã nói về cuộc tấn công DoS đơn giản, nhưng thực tế, cuộc tấn công thường không đơn giản như việc gửi 1 triệu email hoặc truy cập từ một địa chỉ IP duy nhất, mà thường được thực hiện từ nhiều địa chỉ IP, tức là, nguồn tấn công được phân tán. Loại tấn công này được gọi là “DDoS”.

Nếu một lượng lớn email hoặc truy cập được thực hiện từ cùng một địa chỉ IP, rõ ràng đó là một lượng lớn truy cập từ cùng một người và là “thông tin không được dự kiến”. Tuy nhiên, nếu các địa chỉ IP được phân tán, từng email hoặc truy cập riêng lẻ là hợp pháp, nên nếu không có bằng chứng cho thấy chúng đều do cùng một người thực hiện, chúng không thể được coi là việc gửi thông tin bất hợp pháp. Vậy, làm thế nào để chứng minh rằng “một lượng lớn email hoặc truy cập do cùng một người thực hiện” dưới sự nghiêm ngặt của tòa án hình sự? Đúng, đây là một vấn đề đau đầu đối với cảnh sát và viện kiểm sát.

Ngoài ra, trong tòa án hình sự, chỉ cần chứng minh rằng “việc giao tiếp phạm tội (ví dụ, gửi một lượng lớn email như đã nêu trên) đã được thực hiện từ PC của nghi can” không đủ để có được một phán quyết có tội. Điều cần thiết trong vụ án hình sự là việc xác định sự thật ở cấp độ “do ai”, chứ không phải “từ PC nào”. Thực tế, trong các phán quyết tòa án hình sự, không ít trường hợp đã cẩn thận xem xét phần này, tức là, “không còn nghi ngờ gì rằng hành vi phạm tội đã được thực hiện từ PC của nghi can, nhưng liệu đó có phải là hành động do chính nghi can thực hiện hay không”. Những rào cản chứng minh như vậy, dĩ nhiên, rất quan trọng trong việc “ngăn chặn án oan”, nhưng tôi nghĩ rằng chúng cũng là nguyên nhân khiến cảnh sát và viện kiểm sát do dự trong việc điều tra tội phạm mạng.

Tuy nhiên, nếu là thời điểm ngay sau khi sự cố xảy ra, có thể tìm ra bằng chứng như “rất có thể do cùng một người” và “và không còn nghi ngờ gì rằng đó là do chính nghi can” bằng cách phân tích kỹ lưỡng nhật ký máy chủ, v.v. Điều tra bằng kỹ thuật IT và phân tích pháp lý để chuyển những điều đã biết từ điều tra thành tài liệu có ý nghĩa pháp lý. Nếu có cả hai, có thể nói rằng có trường hợp có thể khuyến nghị cảnh sát điều tra.

Giải quyết dân sự khó khăn

Nếu có giải pháp dân sự mà không cần phải dựa vào cảnh sát thì tốt, nhưng thực tế là loại tội phạm này thiếu giải pháp dân sự.

Ví dụ, trong trường hợp nhận được một lượng lớn email, địa chỉ IP của nguồn gửi được ghi trong email (trong tiêu đề email), vì vậy bạn sẽ muốn yêu cầu nhà cung cấp mở địa chỉ và tên của người ký hợp đồng sử dụng địa chỉ IP đó. Tuy nhiên, theo luật dân sự Nhật Bản, không có quyền yêu cầu mở cửa này. Trong trường hợp bị hại do lăng mạ trên Internet, v.v., có thể sử dụng quyền yêu cầu mở thông tin người gửi theo Luật giới hạn trách nhiệm của nhà cung cấp, nhưng nói một cách ngắn gọn, quyền yêu cầu mở này chỉ được công nhận cho

Giao tiếp để đăng bài cho nhiều người xem (ví dụ điển hình là giao tiếp để đăng bài lăng mạ trên diễn đàn Internet công khai cho nhiều người xem)

chứ không phải.

Thực tế, trong trường hợp tội phạm mạng cao cấp, không ít trường hợp cần phải có báo cáo chi tiết hơn so với khi khởi kiện để khuyến nghị cảnh sát điều tra. Ngoài ra, từ lần liên hệ đầu tiên với cảnh sát đến việc thực sự điều tra và bắt giữ, có thể mất một năm hoặc hơn. Ngược lại, việc giải quyết dân sự có thể tiết kiệm thời gian và công sức hơn… nhưng loại tội phạm này, nguyên tắc là không thể hoặc rất khó giải quyết dân sự. Nếu có thể xác định tội phạm, có thể yêu cầu bồi thường thiệt hại do hành vi phạm tội, ví dụ, thiệt hại do sự cố máy chủ web, nhưng không có cách xác định nào được chuẩn bị cho việc này.

https://Monolith.law/corporate/denial-of-service-attack-dos[ja]

Tội phạm sử dụng mạng

Nạn nhân của lời lăng mạ trên Internet

Đây là những hành vi phạm tội sử dụng máy tính hoặc mạng lưới như một phương tiện, không giống như tội phạm máy tính mà chúng tôi đã đề cập ở trên. Ví dụ, lời lăng mạ trên Internet không phá hủy dữ liệu, gửi thông tin không mong muốn, hoặc làm cho máy tính hoạt động không như dự kiến, nhưng nó được thực hiện bằng cách sử dụng mạng Internet.

Các bài đăng có nội dung lăng mạ có thể được phân loại thành:

• Vi phạm hình sự và dân sự (ví dụ điển hình là phỉ báng danh dự)
• Không vi phạm hình sự nhưng vi phạm dân sự (ví dụ điển hình là vi phạm quyền riêng tư hoặc quyền hình ảnh)

Nếu đó là vi phạm hình sự, bạn có thể nhắm vào việc xác định người đăng bằng cách sử dụng yêu cầu tiết lộ thông tin người gửi theo Luật Giới hạn Trách nhiệm Nhà cung cấp Dịch vụ Internet (Japanese Provider Liability Limitation Act) như một biện pháp dân sự, hoặc bạn cũng có thể yêu cầu cảnh sát điều tra và bắt giữ người đăng.

Tuy nhiên, tùy thuộc vào nội dung, cảnh sát thường không điều tra tích cực các bài đăng như vậy do thái độ được gọi là “không can thiệp vào vấn đề dân sự”. Ngoài ra, vi phạm quyền riêng tư và quyền hình ảnh không phải là tội phạm theo luật hình sự, vì vậy việc giải quyết dân sự là cần thiết.

https://Monolith.law/practices/reputation[ja]

Thiệt hại do giao tiếp một-một như email

Điều khó khăn là việc gửi tin nhắn không phù hợp thông qua các phương tiện giao tiếp một-một như email hoặc DM trên Twitter. Ví dụ điển hình là email có nội dung đe dọa hoặc tống tiền. Yêu cầu tiết lộ thông tin người gửi theo Luật Giới hạn Trách nhiệm Nhà cung cấp Dịch vụ Internet chỉ có thể sử dụng trong trường hợp:

Giao tiếp để đăng bài cho nhiều người xem (ví dụ điển hình là giao tiếp để đăng bài lăng mạ trên diễn đàn Internet công khai cho nhiều người xem)

Vì vậy, với những giao tiếp như vậy, không có giải pháp dân sự nào được chuẩn bị từ đầu, và chúng ta chỉ có thể hy vọng vào việc điều tra của cảnh sát. Tuy nhiên, ngay cả khi nội dung đăng trên diễn đàn trên Internet có thể phạm tội phỉ báng danh dự, nếu sử dụng phương tiện giao tiếp một-một, tội phỉ báng danh dự không được thành lập. Nói một cách ngắn gọn, tội phỉ báng danh dự chỉ được thành lập khi hành vi được thực hiện đối với một số lượng không xác định hoặc nhiều người. Trong trường hợp của phương tiện giao tiếp một-một, tội phỉ báng danh dự không được thành lập theo nguyên tắc. Chúng tôi đã giải thích chi tiết về vấn đề này trong một bài viết khác.

https://Monolith.law/reputation/email-sender-identification[ja]

Thiệt hại do hình ảnh khiêu dâm hoặc trang web bất hợp pháp

Ngoài ra, có những tội phạm mà không có nạn nhân hoặc doanh nghiệp không trở thành nạn nhân mặc dù họ thực sự bị thiệt hại. Ví dụ,

• Đăng hình ảnh hoặc video không chỉnh sửa trên các trang web người lớn (trưng bày công khai hình ảnh khiêu dâm)
• Quảng cáo cho các trang web casino bất hợp pháp
• Trang web lừa đảo tuyên bố bán hàng hiệu nhưng thực tế không giao hàng

Đây là những mẫu tiêu biểu.

Ví dụ, nếu có hành vi quay lén trong phòng thay đồ của phụ nữ trong công ty và hình ảnh quay lén được đăng trên Internet, hình ảnh đó rõ ràng vi phạm quyền riêng tư (hoặc quyền hình ảnh) của người phụ nữ trong hình, nhưng vi phạm quyền riêng tư (hoặc quyền hình ảnh) không phải là tội phạm, và mặc dù hành vi quay lén là tội phạm, việc đăng hình ảnh chụp lén không phải lúc nào cũng là tội phạm, vì vậy việc yêu cầu cảnh sát điều tra như thế nào trở thành một vấn đề khó khăn.

Ngoài ra, ngay cả khi doanh thu của công ty giảm do sự tồn tại của các trang web casino bất hợp pháp hoặc trang web lừa đảo, hoặc uy tín của công ty giảm, những hành vi như trên là tội phạm vì lợi ích của xã hội mà không có nạn nhân cụ thể (ví dụ điển hình là vi phạm tốc độ hoặc quy định về chất cấm, giống như nhau) hoặc chỉ coi nạn nhân trực tiếp (ví dụ, người tiêu dùng đã trả tiền cho trang web lừa đảo) là nạn nhân, vì vậy, ngay cả khi doanh nghiệp khiếu nại về thiệt hại, nó chỉ là một báo cáo của người thứ ba không phải là nạn nhân. Ngoài ra, nếu bạn không phải là “nạn nhân”, việc xác định thông qua yêu cầu tiết lộ thông tin người gửi là không thể từ đầu.

Tuy nhiên, nếu là hành vi vi phạm quyền sở hữu trí tuệ của công ty (như quyền thương hiệu, quyền tác giả, v.v.), công ty có thể yêu cầu cảnh sát điều tra như một “nạn nhân” hoặc hướng đến việc xác định người bán thông qua các biện pháp dân sự.

Vi phạm Luật cấm truy cập trái phép

Hành vi bị Luật cấm truy cập trái phép cấm

Cuối cùng, đây là những hành vi bị cấm theo Luật cấm truy cập trái phép. Luật cấm truy cập trái phép cấm:

1. Hành vi truy cập trái phép
2. Hành vi khuyến khích truy cập trái phép
3. Hành vi lấy cắp thông tin trái phép

Trong số này, hành vi truy cập trái phép đầu tiên bao gồm:

• Hành vi giả mạo: nhập ID và mật khẩu của người khác mà không có sự cho phép và đăng nhập như là người đó
• Hành vi tấn công lỗ hổng bảo mật: lợi dụng lỗ hổng bảo mật, không cần nhập ID và mật khẩu, và đăng nhập như là người khác

Có hai loại hành vi này.

Hành vi thứ hai, hành vi khuyến khích truy cập trái phép, là hành vi thông báo hoặc bán thông tin tài khoản của người khác (ID, mật khẩu, v.v.) mà không có sự cho phép.

Cuối cùng, hành vi thứ ba, hành vi lấy cắp thông tin trái phép, là hành vi lưu trữ thông tin tài khoản mà người khác đã lấy trái phép, ví dụ như thông qua các trang web phishing.

Chi tiết về Luật cấm truy cập trái phép được giải thích chi tiết trong bài viết dưới đây.

https://Monolith.law/reputation/unauthorized-computer-access[ja]

Giải quyết thông qua cảnh sát

Trong trường hợp bạn trở thành nạn nhân của truy cập trái phép, bạn cũng sẽ phải yêu cầu cảnh sát điều tra. Tuy nhiên, trong nhiều trường hợp, đây là một vấn đề rất phức tạp về mặt kỹ thuật, giống như tội phạm máy tính đã nêu trên, nếu không có người có kiến thức và kỹ năng về cả IT và luật pháp để soạn thảo báo cáo, việc điều tra của cảnh sát thực tế có thể không được tiến hành.

Ngoài ra, nếu có thể xác định được thủ phạm, việc yêu cầu bồi thường thiệt hại từ thủ phạm là khả thi, nhưng việc xác định thủ phạm thông qua các biện pháp dân sự cũng rất khó khăn, giống như trường hợp của tội phạm máy tính đã nêu trên.