MONOLITH LAW OFFICE+81-3-6262-3248工作日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

律师解释《日本禁止非法访问法》所禁止的行为和案例

IT

律师解释《日本禁止非法访问法》所禁止的行为和案例

《禁止非法访问法》(正式名称为《禁止非法访问行为等相关法律》),是在2000年2月(公历2000年)实施,并在2012年5月(公历2012年)修订的法律,现在仍然有效。这是一部旨在防止网络犯罪和维护电信秩序的法律,共有14条。

《禁止非法访问行为等相关法律》(目的)

第1条 本法旨在禁止非法访问行为,并通过设定对此的刑罚以及由都道府县公安委员会实施的防止再次发生的援助措施等,以维护通过电信线路进行的电子计算机相关犯罪的防止和通过访问控制功能实现的电信秩序,从而促进高度信息通信社会的健康发展。

那么,《禁止非法访问法》具体禁止了哪些行为呢?实际上有哪些案例,应该如何在刑事和民事上采取措施?我们将解释《禁止非法访问法》的概要,以及在遭受损害的情况下应采取的措施。

被禁止的行为在日本的非法访问禁止法中

在日本的非法访问禁止法中,被禁止和处罚的行为主要有以下三种:

  • 禁止非法访问行为(第3条)
  • 禁止促进非法访问行为的行为(第5条)
  • 禁止非法获取、保存、输入他人的识别代码的行为(第4,6,7条)

这里所说的识别代码,是指获得了访问管理员许可权的特定电子计算机的特定使用者和每个访问管理员所规定的代码,用于访问管理员区分其使用者和其他使用者的代码(第2条第2款)。

识别代码的典型例子是与ID配合使用的密码。此外,最近,通过指纹和眼睛的虹膜来识别本人的机制也在普及,这些也属于识别代码。此外,通过签名的形状和笔压等来识别是否为本人,将这种签名数字化并编码的也是识别代码。

什么是非法访问行为

具体来说,第2条第4款规定了非法访问行为,即滥用他人的识别码的“冒充行为”和攻击计算机程序的缺陷的“安全漏洞攻击行为”。在日本的《非法访问禁止法》(Unauthorised Access Prohibition Law)中,禁止了通过这些方法非法访问他人的计算机的行为。

滥用他人的识别码的行为

所谓的“冒充行为”,是指通过滥用他人的识别码,使用本来没有访问权限的计算机。

简单来说,当我们使用某个计算机系统时,必须在电脑上输入ID和密码等识别码。在这个过程中,如果输入了有正规使用权限的他人的识别码,而没有得到本人的许可,这就是所谓的“冒充行为”。

这可能有些难以理解,但这里的“他人的”是指已经被他人创建(并使用)的ID和密码。简单来说,“冒充行为”就是“篡夺”他人已经在使用的,例如Twitter等社交网络服务(SNS)的账户等的行为。

然而,由于必须无许可地输入识别码才能构成违法行为,所以如果在出差期间让公司的同事代替自己查看邮件等,并告诉他们自己的密码,由于已经得到了本人的同意,所以这并不违反《非法访问禁止法》。

一般来说,“冒充”是指使用他人的姓名或照片等创建新的账户,并假装是他人使用Twitter等SNS的行为。但是,《非法访问禁止法》禁止的行为与此不同。关于一般意义上的“冒充”,我们在下面的文章中进行了详细的解释。

https://monolith-law.jp/reputation/spoofing-dentityright[ja]

攻击计算机程序的缺陷的行为

“安全漏洞攻击行为”是指攻击他人计算机的安全漏洞(安全措施的缺陷),使自己能够使用该计算机的行为。通过使用攻击程序等,向攻击目标提供除识别码以外的信息或指令,绕过他人计算机的访问控制功能,无许可地使用计算机。

这里所说的访问控制功能,是指为了限制除正规使用者以外的人使用特定电子计算机的特定功能,由访问管理员赋予特定电子计算机或与特定电子计算机通过电信线路连接的电子计算机的功能(第2条第3款)。

简单来说,这是一种机制,要求试图访问计算机系统的人在网络上输入ID和密码等,只有在输入正确的ID和密码等的情况下才能使用。

因此,“安全漏洞攻击行为”可以说是通过使这种机制失效,使得无需输入正确的ID和密码等就可以使用该计算机系统。

非法访问行为的两种类型

如上所述,非法访问行为有两种类型。

需要注意的是,无论哪种类型,都必须通过计算机网络进行,这是构成非法访问行为的要件。因此,即使无许可地输入密码等使用未连接到网络的,所谓的独立计算机,也不构成非法访问行为。

然而,计算机网络不仅包括互联网等开放网络,也包括像公司内部局域网(LAN)这样的封闭网络。

此外,非法访问所进行的非法使用的内容没有限制,例如无许可地下订单、查看数据、传输文件等,以及修改主页等,都会违反《非法访问禁止法》。

如果进行这两种非法访问行为,可能会被判处“3年以下的有期徒刑或100万日元以下的罚金”(第11条)。

什么是助长非法访问行为

在《日本禁止非法访问法》中,助长非法访问行为是指未经本人许可,向第三方提供他人的ID和密码。无论是通过电话、邮件、网页等任何方式,向他人透露或公告“某某的ID是××,密码是△△”等信息,使他人能够随意访问他人的数据,都属于助长非法访问行为。

如果进行助长非法访问行为,可能会被判处“1年以下的有期徒刑或50万日元以下的罚金”(第12条2号)。

另外,即使在不知道非法访问目的的情况下提供密码,也可能会被判处30万日元以下的罚金(第13条)。

什么是非法获取、储存、输入他人的识别代码

在日本的《不正访问禁止法》中,非法获取、储存、输入他人的识别代码(ID和密码)的行为是被禁止的。

  • 第4条 禁止非法获取他人的识别代码
  • 第6条 禁止非法储存他人的识别代码
  • 第7条 禁止非法输入他人的识别代码

这些禁止行为的典型例子就是“输入请求行为”,也就是所谓的网络钓鱼行为。例如,假冒金融机构,引导受害者进入与真实网页极其相似的假网页,并在该假网页上让受害者输入他们的密码和ID等。

通过网络钓鱼行为获取的识别代码被用于网络拍卖诈骗,以及将存款擅自转入其他账户等诈骗行为,这类诈骗案件频发。

进行这些行为的人,将被判处1年以下的有期徒刑或50万日元以下的罚款(第12条第4号)。

除非法访问行为外,打击网络犯罪的法律是什么

如此,禁止非法访问法(日本的非法访问禁止法)是为了应对所谓的网络犯罪中的一部分类型而制定的法律。如果说到“网络犯课”的整体,电子计算机破坏等业务妨碍罪、欺诈业务妨碍罪、名誉诽谤罪等,其他的法律也可能成为问题。关于网络犯罪的全貌,我们在下面的文章中进行了详细的解释。

https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]

访问管理者的义务

我们将解释在《日本禁止非法访问法》中定义的义务。访问管理者是指管理特定电子计算机操作的人,该电子计算机连接到电信线路并被使用(第2条第1款)。

这里所说的管理,是指在通过网络使用特定电子计算机时,决定谁可以使用以及使用的范围。拥有决定这些用户和使用范围权限的人就是《日本禁止非法访问法》中的访问管理者。

例如,如果一个公司正在运行某个计算机系统,他们会从员工中选出系统管理员来进行管理,但每个系统管理员都只是按照公司的意愿进行管理。因此,在这种情况下,访问管理者是运行计算机系统的公司,而不是系统管理员。

《日本禁止非法访问法》不仅定义了非法访问行为和罚款,还规定了服务器等管理者有防止非法访问的义务。

访问管理者的防御措施

第8条 访问管理者在特定电子计算机上添加访问控制功能后,应努力正确管理与该访问控制功能相关的识别代码或用于通过该访问控制功能确认这些代码的代码,并始终验证该访问控制功能的有效性,如果认为有必要,应尽快提高其功能,采取其他必要的措施来防止特定电子计算机遭受非法访问行为。

虽然“正确管理识别代码”、“始终验证访问控制功能的有效性”和“根据需要提高访问控制功能”的义务已经规定,但这些都是努力义务,因此,如果忽视这些措施,是不会受到罚款的。

然而,如果管理者发现ID或密码有泄露的迹象,必须立即进行账户删除或密码更改等访问控制。

遭遇非法访问时的应对措施

在使用电子邮件或社交网络等时,可能会遭受他人的非法访问。在这种情况下,我们可以采取哪些措施呢?

提起刑事诉讼

首先,可以对非法访问的对方提起刑事诉讼。非法访问是一种犯罪行为,非法访问的人将受到刑事处罚。如上所述,本人可能会受到不超过3年的有期徒刑或不超过100万日元的罚金刑,如果有人协助,可能会受到不超过1年的有期徒刑或不超过50万日元的罚金刑。

另外,违反《日本非法访问禁止法》是一种非亲告罪,即使没有告诉,只要警察知道了这个事实,就可以开始调查,并有可能逮捕犯罪嫌疑人。即使不是遭受非法访问的本人,只要知道这个事实的人也可以向警察举报。

我们在关于妨害业务罪的文章中也提到过,亲告罪是“如果没有受害者的刑事诉讼,就不能起诉的犯罪”,但这并不意味着“如果不是亲告罪,就不能提起诉讼”。即使是非亲告罪,受害者也可以告诉犯罪嫌疑人。

即使是非亲告罪,如果受害者提起刑事诉讼,嫌疑人的情况可能会变得更糟,可能会受到更重的处罚。如果你发现自己被非法访问了,你应该咨询律师,并向警察提交受害报告或诉状。一旦接受了受害报告,警察将立即进行调查,并逮捕或送达嫌疑人。

提出民事赔偿

如果你因非法访问而受到损害,你可以根据《日本民法》第709条,向加害者提出民事赔偿。

《日本民法》第709条

故意或过失侵犯他人的权利或法律上受保护的利益的人,应负赔偿因此而产生的损害的责任。

如果加害者非法访问并散播了获取的个人信息,或者窃取了社交游戏的物品,或者访问了信用卡或银行账户等数据,导致财产损失,你应该要求赔偿,并提出损害赔偿请求。当然,如果你的信用卡或银行账户等数据被访问,实际上造成了财产损失,你也可以要求赔偿。

然而,为了向加害者提出损害赔偿请求,你必须确定犯罪嫌疑人,并收集证据证明他们确实进行了非法访问,这需要高度专业的知识。如果你因非法访问而受到损害,你需要咨询有丰富网络问题经验的律师,并委托他们进行程序。

总结

禁止非法访问法(日本的”不正アクセス禁止法”)在未来IT化日益发展的现代社会中,将具有越来越重要的意义。然而,即使实际上遭受了非法访问的损害,受害者自身往往在技术上难以确定犯罪者。

此外,违反禁止非法访问法是刑事处罚的对象,因此可能会向警察报告损害,但由于这是一种新型犯罪,警察并不一定能立即理解案件。因此,在报告损害时,需要从法律和技术两个角度进行详细的解释,以帮助警察理解。在这个意义上,对禁止非法访问法的应对需要非常高的专业性,因此,向熟悉IT技术方面的律师咨询变得非常重要。

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Return to Top