律師解釋「日本不正存取禁止法」所禁止的行為與實例
不正存取禁止法(正式名稱為「禁止不正存取行為等相關法律」)於2000年2月(西元2000年)實施,並於2012年5月(西元2012年)進行修訂,目前仍然有效。這是一項旨在防止網路犯罪並維護電信秩序的法律,共包含14條。
「禁止不正存取行為等相關法律」(目的)
第1條 本法旨在禁止不正存取行為,並規定相關的刑罰以及由各都道府縣公安委員會提供的再犯防止援助措施等,以防止透過電信線路進行的電腦犯罪,並維護由存取控制功能實現的電信秩序,從而促進高度資訊通信社會的健全發展。
那麼,不正存取禁止法具體禁止了哪些行為呢?實際上有哪些案例,本所應該如何在刑事和民事上採取對策?本所將解釋不正存取禁止法的概要,以及在遭受損害的情況下應該採取的對策。
在不正訪問禁止法中被禁止的行為
在不正訪問禁止法中被禁止和懲罰的行為,主要有以下三種:
- 禁止不正訪問行為(第3條)
- 禁止助長不正訪問行為的行為(第5條)
- 禁止不正獲取、保存、輸入他人的識別碼的行為(第4,6,7條)
在此,所謂的識別碼,是指獲得訪問管理員許可權的特定電子計算機的特定使用者和每個訪問管理員所定義的符號,訪問管理員使用該符號來區分其使用者和其他使用者(第2條第2項)。
識別碼的典型例子是與ID組合使用的密碼。此外,近年來,利用指紋或眼睛的虹膜來識別本人的機制也逐漸普及,這些也屬於識別碼。此外,如果通過簽名的形狀或筆壓等來識別是否為本人,那麼將該簽名數字化並編碼的內容也將成為識別碼。
何謂非法存取行為
具體來說,第2條第4項有所規定,非法存取行為是指濫用他人的識別碼進行「偽冒行為」和利用電腦程式的缺陷進行「安全漏洞攻擊行為」。在日本《非法存取禁止法》中,禁止透過這些方式非法存取他人的電腦。
濫用他人的識別碼的行為
所謂的「偽冒行為」,是指透過濫用他人的識別碼,使用原本無權存取的電腦。
簡單來說,當使用某個電腦系統時,必須在電腦上輸入ID和密碼等識別碼,此時,如果輸入了未經本人許可的他人的識別碼,就被視為「偽冒行為」。
這裡可能有些難以理解,但所謂的「他人的」,是指他人已經創建(並使用)的ID和密碼,「偽冒行為」,簡單來說,就是「奪取」他人已經在使用的,例如Twitter等社交網絡的帳戶等行為。
由於未經本人許可輸入識別碼是要件,因此,例如在出差期間,告訴公司裡的同事自己的密碼等,讓他們代替自己確認郵件等,由於已經得到本人的同意,所以不會違反《非法存取防止法》。
一般來說,「偽冒」是指使用他人的姓名或照片等創建新帳戶,並假裝是他人使用Twitter等社交網絡的行為,但《非法存取禁止法》禁止的行為與此不同。關於一般意義上的「偽冒」,本所在下面的文章中進行了詳細解釋。
https://monolith-law.jp/reputation/spoofing-dentityright[ja]
利用電腦程式的缺陷的行為
「安全漏洞攻擊行為」是指攻擊他人電腦的安全漏洞(安全防護上的缺陷),使得能夠使用該電腦的行為。使用攻擊用程式等,向攻擊目標提供識別碼以外的信息或指令,繞過他人電腦的存取控制功能,未經許可地使用電腦。
這裡所說的存取控制功能,是指為了限制除正規使用權者以外的人使用特定電子計算機的特定功能,存取管理者賦予特定電子計算機或與特定電子計算機通過電信線路連接的電子計算機的功能(第2條第3項)。
簡單來說,對於試圖存取電腦系統的人,會在網路上要求他們輸入ID和密碼等,只有在輸入正確的ID和密碼等的情況下才能使用,這就是所謂的存取控制功能。
因此,「安全漏洞攻擊行為」可以說是通過使這種機制失效,使得無需輸入正確的ID和密碼等就能使用該電腦系統。
非法存取行為的兩種類型
如上所述,非法存取行為有兩種類型。
需要注意的是,無論哪種類型,要被認定為非法存取行為,都必須通過電腦網路進行。因此,即使未經許可地輸入密碼等使用未連接到網路的所謂獨立電腦,也不會被認定為非法存取行為。
然而,對於電腦網路,不僅包括互聯網等開放網路,也包括公司內部網路等封閉網路。
此外,非法存取行為所進行的非法使用的內容並無限制,例如無許可訂購、數據查看、文件傳輸等,以及修改首頁等,都會違反《非法存取禁止法》。
如果進行這兩種非法存取行為,可能會被判處「3年以下的有期徒刑或100萬日元以下的罰金」(第11條)。
何謂助長不正訪問行為
在《日本禁止不正訪問法》中,所謂的助長不正訪問行為,是指未經本人許可,將他人的ID和密碼提供給第三方。無論是通過電話、電子郵件、網頁等方式,只要告知他人「某某的ID是××,密碼是△△」等信息,使他人能夠隨意訪問他人的數據,就屬於助長不正訪問行為。
如果進行助長不正訪問行為,可能會被處以「不超過1年的有期徒刑或不超過50萬日元的罰金」(第12條2號)。
另外,即使在不知道不正訪問目的的情況下提供密碼,也可能會被處以不超過30萬日元的罰金(第13條)。
何謂非法獲取、儲存、輸入他人的識別碼
在日本的《不正存取禁止法》中,非法獲取、儲存、輸入他人的識別碼(ID和密碼)的行為是被禁止的。
- 第4條 禁止非法獲取他人的識別碼
- 第6條 禁止非法儲存他人的識別碼
- 第7條 禁止非法輸入他人的識別碼
這些禁止行為的典型例子就是「輸入要求行為」,也就是所謂的釣魚行為。例如,偽裝成金融機構,引導受害者進入與真實網頁極為相似的假網頁,並在該假網頁上讓受害者輸入他們的密碼和ID等。
透過釣魚行為獲取的識別碼被用於拍賣詐騙,並且頻繁發生如存款被擅自轉入其他賬戶等詐騙案件。
進行這些行為將被處以不超過一年的有期徒刑或五十萬日元以下的罰金(第12條第4項)。
除非法存取行為外,打擊網路犯罪的法律是什麼
如此,禁止非法存取法是為了應對所謂的網路犯罪中的一部分類型的法律。「網路犯罪」的整體來說,可能涉及到電腦損壞等業務阻礙罪、詐欺業務阻礙罪、日本的名譽毀損罪等其他日本法律。關於網路犯罪的全貌,本所在下面的文章中進行了詳細的解釋。
https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]
存取管理者的義務
本所將解釋由《日本不正存取禁止法》所定義的義務。存取管理者是指管理特定電子計算機運作的人,該電子計算機連接到電信線路並被使用(第2條第1項)。
這裡所說的管理,是指在允許特定電子計算機透過網路被使用時,決定誰可以使用以及使用的範圍。擁有這種決定使用者和使用範圍權限的人,就是《日本不正存取禁止法》上所說的存取管理者。
例如,當企業運營某個電腦系統時,會從員工中選任系統負責人來進行管理,但每個系統負責人都只是按照企業的意願進行管理。因此,在這種情況下,存取管理者並非系統負責人,而是運營電腦系統的企業。
《日本不正存取禁止法》不僅定義了不正存取行為和懲罰,也對伺服器等的管理規定了防止不正存取的管理者的義務。
存取管理者的防禦措施
第8條 存取管理者在特定電子計算機上添加存取控制功能後,應努力適當管理與該存取控制功能相關的識別碼或用於通過該存取控制功能確認的碼,並始終驗證該存取控制功能的有效性,並在認為有必要時,迅速提高該功能的高度化和其他必要的措施,以防止該特定電子計算機遭受不正存取行為。
雖然「適當管理識別碼」、「始終驗證存取控制功能的有效性」和「根據需要提高存取控制功能的高度化」都被規定為義務,但這些都是努力義務,因此,即使忽視這些措施,也不會受到懲罰。
然而,如果管理者發現ID或密碼有洩露的跡象,則必須立即進行帳戶刪除、密碼更改等存取控制。
遭受不正訪問時的對策
在使用電子郵件或社交網路等時,可能會遭受他人的不正訪問。在這種情況下,本所可以採取哪些對策呢?
提出刑事告訴
首先,可以對進行不正訪問的對方提出刑事告訴。不正訪問是犯罪行為,進行不正訪問的人將受到刑事懲罰。如上所述,本人可能會受到3年以下的監禁或100萬日元以下的罰金,如果有人協助,可能會受到1年以下的監禁或50萬日元以下的罰金。
另外,即使沒有告訴,只要警察知道了不正訪問禁止法的違反事實,就可以開始調查,並有可能逮捕犯人。即使不是遭受不正訪問的本人,只要知道這個事實的人也可以向警察告發。
本所在關於業務妨礙罪的文章中也提到過,親告罪是「如果沒有受害者的刑事告訴,就不能起訴的犯罪」,但這並不意味著「如果不是親告罪,就不能告訴」。即使是非親告罪,受害者也可以告訴犯人。
即使是非親告罪,如果受害者提出刑事告訴,被疑犯的情況可能會變得更糟,可能會受到更重的懲罰。如果你發現被不正訪問,應該諮詢律師,向警察提交受害報告或告訴書。一旦接受了受害報告,警察將立即進行調查,並逮捕或送審被疑犯。
提出民事賠償請求
如果遭受不正訪問的損害,可以根據日本民法第709條,對加害者提出民事賠償請求。
日本民法 第709條
故意或過失侵犯他人的權利或法律上受保護的利益的人,應負擔因此產生的損害賠償責任。
如果加害者進行不正訪問,並散播所獲得的個人資訊,或者偷取社交遊戲的物品,或者訪問信用卡或銀行帳戶等數據,導致財產損失,應該提出損害賠償請求,要求賠償慰撫金等。當然,如果信用卡或銀行帳戶等數據被訪問,實際上造成了財產損失,也可以提出這些賠償請求。
然而,為了對加害者提出損害賠償請求,必須確定犯人,並收集證明該犯人確實進行了不正訪問的證據,這需要高度的專業知識。如果遭受不正訪問的損害,必須諮詢有豐富網路問題經驗的律師,並委託他們進行手續。
總結
禁止非法存取法(日本的禁止非法存取法)在未來IT化進程中將持續擁有重要的意義。然而,即使實際上遭受了非法存取的損害,受害者自身往往在技術上難以確定犯罪者。
此外,違反禁止非法存取法是刑事懲罰的對象,因此可能需要向警察報告損害。但由於這是一種新型犯罪,警察並不一定能立即理解案件。因此,在報告損害時,需要從法律和技術兩個角度進行詳細的解釋,以幫助警察理解。在這個意義上,由於處理禁止非法存取法的問題需要高度的專業知識,因此與熟悉IT技術方面的律師諮詢變得非常重要。
Category: IT
Tag: CybercrimeIT