MONOLITH LAW OFFICE+81-3-6262-3248工作日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

《日本不正访问禁止法》中所禁止的行为

IT

《日本不正访问禁止法》中所禁止的行为

《禁止非法访问法》(正式名称为”禁止非法访问行为等相关法律”,日本《禁止非法访问行为等相关法律》)于2000年2月(公历2000年)实施,并在2012年5月(公历2012年)进行了修订,现在仍然有效。这是一部旨在防止网络犯罪和维护电信秩序的法律,共有14条。

“禁止非法访问行为等相关法律”(目的)
第1条 本法旨在禁止非法访问行为,并通过设定相关的刑罚和由都道府县公安委员会实施的防止再次发生的援助措施,以维护通过电信线路进行的电脑犯罪的防止和通过访问控制功能实现的电信秩序,从而为高度信息通信社会的健康发展做出贡献。

那么,《禁止非法访问法》具体禁止了哪些行为呢?实际上有哪些案例,应该如何在刑事和民事上采取措施呢?我们将解释《禁止非法访问法》的概要,以及在遭受损害的情况下应采取的措施。

被禁止的行为在日本《不正访问禁止法》中

在日本《不正访问禁止法》中,被禁止和处罚的行为主要有以下三种:

  • 禁止不正访问行为(第3条)
  • 禁止助长不正访问行为的行为(第5条)
  • 禁止非法获取、保存、输入他人的识别代码的行为(第4、6、7条)

什么是非法访问行为

具体来说,是由第2条第4款规定的“冒充行为”和“安全漏洞攻击行为”。在日本的《禁止非法访问法》中,禁止了非法访问他人的计算机的行为。

“冒充行为”是指,在使用提供商时,必须在计算机上输入ID和密码等识别代码,此时,未经本人许可输入他人的识别代码的行为。

虽然有些难以理解,但这里的“他人的”是指已经由他人创建(并使用)的ID和密码,“冒充行为”简单来说,就是“接管”他人已经在使用的,例如Twitter等社交网络服务的账户等的行为。

一般来说,“冒充”是指使用他人的姓名或照片等创建新账户,并假装是他人使用Twitter等社交网络服务的行为,但这与之不同。关于这个意义的“冒充”,我们在下面的文章中进行了详细的解释。

https://monolith-law.jp/reputation/spoofing-dentityright[ja]

“安全漏洞攻击行为”是指攻击他人计算机的安全漏洞(安全措施上的疏忽),使其可以使用该计算机的行为。使用攻击程序等,向攻击目标提供识别代码以外的信息或指令,绕过他人计算机的访问控制功能,未经许可使用计算机。

如果进行这些非法访问行为,可能会被判处“3年以下的有期徒刑或100万日元以下的罚款”(第11条)。

什么是助长非法访问行为

在《日本禁止非法访问法》中,助长非法访问行为是指未经本人许可,将他人的ID和密码提供给第三方。无论是通过电话、邮件、网页等方式,只要告诉他人“某某的ID是××,密码是△△”,使他人能够随意访问他人的数据,都属于助长非法访问行为。

如果进行助长非法访问行为,可能会被判处“1年以下的有期徒刑或50万日元以下的罚金”(第12条2号)。

另外,即使在不知道非法访问目的的情况下提供密码,也可能会被判处30万日元以下的罚金(第13条)。

关于非法获取、储存、请求他人识别码的行为

在日本的《不正访问禁止法》中,非法获取、储存、请求他人的识别码(ID和密码)的行为是被禁止的。

第4条 禁止非法获取他人识别码的行为
第6条 禁止非法储存他人识别码的行为
第7条 禁止非法请求他人识别码的行为

这些禁止行为的典型例子就是“请求输入行为”,也就是所谓的网络钓鱼行为。例如,假冒金融机构,引导受害者进入假冒的、与真实网站极其相似的网页,并在该假冒网页上让受害者输入他们的密码和ID等。

通过网络钓鱼行为获取的识别码被用于网络拍卖诈骗,以及将存款擅自转入其他账户等诈骗行为,这类诈骗案件频发。

进行这些行为的人,将被判处1年以下的有期徒刑或50万日元以下的罚金(第12条第4号)。

除非法访问行为外,打击网络犯罪的法律是什么

如此,禁止非法访问法(日本禁止非法访问法)是为了应对所谓的网络犯罪中的一部分类型而制定的法律。如果说到“网络犯罪”的整体,可能涉及到电子计算机破坏等业务妨碍罪、欺诈业务妨碍罪、名誉诽谤罪等其他法律也可能成为问题。关于网络犯罪的全貌,我们在下面的文章中进行了详细的解释。

https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]

访问管理者的义务

我们将解释由《日本禁止非法访问法》定义的义务。

《日本禁止非法访问法》不仅定义了非法访问行为和惩罚,还规定了服务器等管理者防止非法访问的义务。

访问管理者的防御措施

第8条 访问管理者在特定电子计算机上添加了访问控制功能,应努力适当管理与该访问控制功能相关的识别代码或用于通过该访问控制功能确认这些代码的代码,始终验证该访问控制功能的有效性,并在认为有必要时,迅速提高该功能的级别和采取其他必要的措施来防止该特定电子计算机遭受非法访问行为。

虽然规定了“适当管理识别代码”、“始终验证访问控制功能的有效性”和“根据需要提高访问控制功能的级别”的义务,但这些都是努力义务,因此,如果忽视这些措施,是不会受到惩罚的。

然而,如果管理者发现ID或密码有泄露的迹象,必须立即进行账户删除、密码更改等访问控制。

违反禁止非法访问法的案例

劫持受女生欢迎的男生的Twitter账户

2017年1月30日(平成29年),兵库县警方逮捕了一名涉嫌违反日本《禁止非法访问法》的高中三年级男生(18岁)。他被指控劫持了同班男生的Twitter账户,冒充该男生向女高中生发送了300多条信息。

他被指控在前一年的9月至11月期间,输入密码登录了受女生欢迎的男生(18岁)的Twitter认证服务器,共计63次,向其他学校关注该账户的女生发送了“让我们互相看看身体”、“让我们谈谈色情的话题”等淫秽信息。

非法访问Facebook等

在一起因违反《禁止非法访问法》而被起诉的案件中,被告(29岁)被指控多次非法访问Facebook等网站并获取个人信息。2016年8月3日(平成28年),东京地方法院判决,被告非法访问了7名女性的Facebook等网站共238次,其行为是常态且顽固,没有任何可以考虑的动机,如想要获得非法访问成功的成就感,因此判处有期徒刑2年6个月。然而,考虑到被告没有泄露他偷窥的信息,且没有前科等情况,判决执行缓刑4年。

非法获取所在公司的客户信息

2009年11月12日(平成21年),东京地方法院判决,一名负责公司信息系统开发、运营和一般用户支持等工作的员工(45岁)非法获取并试图出售公司的客户信息,以及窃取CD-R,判处有期徒刑2年。

法院认为,不能忽视他通过出售信息获得的近35万日元的利润。尽管他没有前科,且已经受到了公司的纪律解雇等一定的社会制裁,但考虑到这些情况,仍不能将其判为缓刑。

对网络攻击犯判处8年有期徒刑

2017年4月27日(平成29年),东京地方法院判决,一名被告(32岁)利用钓鱼邮件和远程操作病毒等手段非法获取了多家公司的网络银行识别码,并进行非法登录和非法转账,此外,他还通过攻击数据库获取电子邮件地址,发送远程操作病毒使其可执行,因违反《禁止非法访问行为等法》、电子计算机使用欺诈、私人电磁记录非法制作和供应、非法指令电磁记录供应、违反无线电法等罪名被判有罪,判处有期徒刑8年。

他使用各种手段进行网络攻击,为了避免犯罪行为被发现,他预先非法获取了加密密钥,连接到他人的无线LAN接入点,有时甚至通过中继服务器隐藏连接源,此外,他在非法转账之前还更改了联系用电子邮件地址。本案的犯罪行为巧妙且恶劣,此外,非法转账造成的财产损失总计达到了519万日元以上,而且他在因同类前科被暂时释放后不久就进行了本案的各项犯罪行为,因此被判为重罪。

另外,如果在这种类型的攻击过程中,犯罪者发送了电子邮件,那么可以通过这些电子邮件来确定犯罪者,这是可能的情况。然而,在民事层面,这通常是困难的。关于这一点,我们在下面的文章中也有提到。

https://monolith-law.jp/reputation/email-sender-identification[ja]

遭受非法访问时的对策

如果个人账户遭到非法访问,请在损害扩大之前咨询律师。

在使用电子邮件或社交网络服务等时,可能会遭受他人的非法访问。在这种情况下,我们可以采取哪些对策呢?

提起刑事诉讼

首先,可以对非法访问的对方提起刑事诉讼。非法访问是犯罪行为,非法访问的人将受到刑事处罚。如上所述,本人可能会受到不超过3年的有期徒刑或不超过100万日元的罚金,如果有人协助,可能会受到不超过1年的有期徒刑或不超过50万日元的罚金。

另外,违反《日本禁止非法访问法》是非亲告罪,即使没有告诉,只要警察知道了这个事实,就可以开始调查,并有可能逮捕犯人。即使不是遭受非法访问的本人,只要知道这个事实的人也可以向警察告发。

我们在关于妨害业务罪的文章中也提到过,亲告罪是“如果没有受害者的刑事告诉,就不能起诉的犯罪”,但这并不意味着“如果不是亲告罪,就不能告诉”。即使是非亲告罪,受害者也可以告诉犯人。

即使是非亲告罪,如果受害者提起刑事诉讼,被怀疑者的情况可能会变得更糟,可能会受到更重的处罚。如果你发现自己被非法访问了,你应该咨询律师,向警察提交受害报告或告诉书。一旦接受了受害报告,警察将立即进行调查,并可能逮捕或送达被怀疑者。

提出民事赔偿

如果你因非法访问而受到损害,你可以根据《日本民法》第709条,向加害者提出民事赔偿。

《日本民法》第709条
故意或过失侵犯他人的权利或法律上受保护的利益的人,应负赔偿因此而产生的损害的责任。

如果加害者非法访问并散播了获取的个人信息,或者窃取了社交游戏的物品,或者访问了信用卡或银行账户等数据,导致财产损失,你应该要求赔偿,并提出损害赔偿请求。当然,如果你的信用卡或银行账户等数据被访问,实际上造成了财产损失,你也可以要求赔偿。

然而,为了向加害者提出损害赔偿请求,你必须确定犯人,并收集证据证明该犯人确实进行了非法访问,这需要高度专业的知识。如果你因非法访问而受到损害,你需要咨询有丰富网络问题经验的律师,并委托他们进行程序。

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Return to Top