在《日本不正存取禁止法》中被禁止的行為
不正存取禁止法(正式名稱「禁止不正存取行為等相關法律」)於2000年2月(西曆2000年)實施,並於2012年5月(西曆2012年)進行修訂,現在仍然有效。這是一項旨在防止網路犯罪並維護電信秩序的法律,共有14條。
「禁止不正存取行為等相關法律」(目的)
第1條 本法旨在禁止不正存取行為,並通過設定相關的刑罰和都道府縣公安委員會的援助措施等以防止再次發生,從而維護通過電信線路進行的電腦犯罪的防止和實現通過存取控制功能的電信秩序,以促進高度資訊通信社會的健康發展。
那麼,不正存取禁止法具體禁止了哪些行為呢?實際上有哪些案例,本所應該如何在刑事和民事上採取措施?本所將解釋不正存取禁止法的概要,以及在遭受損害的情況下應該採取的措施。
在不正訪問禁止法中被禁止的行為
在不正訪問禁止法中被禁止和懲罰的行為主要有以下三種:
- 禁止不正訪問行為(第3條)
- 禁止助長不正訪問行為(第5條)
- 禁止非法獲取、保存、輸入他人的識別碼(第4、6、7條)
何謂不正訪問行為
具體來說,第2條第4項規定了「偽冒行為」和「安全漏洞攻擊行為」。在不正訪問禁止法中,禁止非法訪問他人的電腦。
「偽冒行為」是指在使用提供者時,必須在電腦上輸入ID和密碼等識別碼,此時,未經本人許可輸入他人的識別碼的行為。
這可能有些難以理解,但這裡的「他人的」是指已經由他人創建(並使用)的ID和密碼,「偽冒行為」簡單來說,就是「劫持」他人已經在使用的,例如Twitter等社交網絡的帳戶等的行為。
一般來說,「偽冒」是指使用他人的姓名或照片等創建新帳戶,並假裝是他人使用Twitter等社交網絡的行為,但這與之不同。關於這種意義的「偽冒」,本所在下面的文章中詳細解釋。
https://monolith-law.jp/reputation/spoofing-dentityright[ja]
「安全漏洞攻擊行為」是指攻擊他人電腦的安全漏洞(安全措施上的缺陷),使其可以使用該電腦的行為。使用攻擊程序等,向攻擊目標提供識別碼以外的信息或指令,繞過他人電腦的訪問控制功能,未經許可使用電腦。
如果進行這些不正訪問行為,可能會被判處「3年以下的有期徒刑或100萬日元以下的罰金」(第11條)。
何謂助長不正訪問行為
在不正訪問禁止法中被禁止的助長不正訪問行為是指,未經本人許可向第三者提供他人的ID和密碼。無論通過電話、郵件、網頁等方式,告訴他人「○○的ID是××,密碼是△△」等,使他人可以隨意訪問他人的數據,這就屬於助長不正訪問行為。
如果進行助長不正訪問行為,可能會被判處「1年以下的有期徒刑或50萬日元以下的罰金」(第12條第2項)。
另外,即使在不知道不正訪問的目的的情況下提供密碼,也可能會被判處30萬日元以下的罰金(第13條)。
何謂非法獲取、保存、輸入他人識別碼的行為
在不正訪問禁止法中,禁止非法獲取、保存、輸入他人的識別碼(ID、密碼)的行為。
第4條 禁止非法獲取他人識別碼的行為
第6條 禁止非法保存他人識別碼的行為
第7條 禁止非法輸入他人識別碼的行為
這些禁止行為的典型例子是「輸入要求行為」,也就是所謂的釣魚行為。例如,假冒金融機構,引導受害者到與真實網頁一模一樣的假網頁,並在該假網頁上讓受害者輸入他們的密碼和ID等。
釣魚行為獲取的識別號碼被用於拍賣詐騙,並且存款被無故轉入其他賬戶等詐騙案件頻發。
如果進行這些行為,可能會被判處1年以下的有期徒刑或50萬日元以下的罰金(第12條第4項)。
打擊除不正訪問行為以外的網絡犯罪的法律是什麼
如此,不正訪問禁止法是為了應對所謂的網絡犯罪中的一部分類型的法律。如果談到「網絡犯罪」的整體,那麼電子計算機損壞等業務妨礙罪、偽計業務妨礙罪、日本的名譽毀損罪等其他法律也可能成為問題。關於網絡犯罪的全貌,本所在下面的文章中詳細解釋。
https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]
存取管理者的義務
日本《不正存取禁止法》不僅定義了不正當存取行為和相關的懲罰,也對伺服器等的管理提出了防止不正當存取的管理者的義務。
存取管理者的防禦措施
第8條 對於在特定電子計算機上添加了存取控制功能的存取管理者,應努力適當管理與該存取控制功能相關的識別碼或用於通過該存取控制功能確認該識別碼的碼,並始終驗證該存取控制功能的有效性,並在認為有必要時,應迅速提高該功能的高級化和其他必要的措施,以防止該特定電子計算機遭受不正當存取行為。
「適當管理識別碼」、「始終驗證存取控制功能的有效性」和「根據需要提高存取控制功能的高級化」是被強制的義務,但由於這些是努力義務,因此即使忽視這些措施,也不會受到懲罰。
然而,如果管理者發現ID或密碼有洩露的跡象,則必須立即進行帳戶刪除、密碼更改等存取控制。
違反非法存取法的案例
劫持受女生歡迎的男生的Twitter帳號
一名男高中生劫持了同班男生的Twitter帳號,假冒該男生向女高中生發送了300多次訊息,因此在2017年1月30日(西元2017年),兵庫縣警方以違反非法存取法的嫌疑逮捕了該名兵庫縣的高中三年級男生(18歲)。
逮捕嫌疑是在前一年的9月至11月期間,該男生輸入了受女生歡迎的男生(18歲)的Twitter認證伺服器的密碼,總共登入了63次,並向其他學校追蹤該帳號的女生發送了「讓本所互相看看身體」「讓本所談談色情的話題」等淫穢訊息。
非法存取Facebook等
在一起因非法存取Facebook等而被控違反非法存取法的案件中,東京地方法院在2016年8月3日(西元2016年)判處被告(29歲)有罪,認定他非法存取了7名女性的Facebook等238次,並認為其行為是常態且頑固,並無考慮其非法存取成功時的成就感等動機的餘地,因此判處他有期徒刑2年6個月。然而,考慮到他並未洩露偷窺的信息,且無前科等情況,給予他4年的緩刑。
非法獲取所在公司的客戶信息
東京地方法院在2009年11月12日(西元2009年)判決,一名負責公司信息系統開發、運營和一般用戶支援等業務的員工(45歲)非法獲取並試圖出售公司持有的客戶信息,並竊取了CD-R,對此案件判處有期徒刑2年。
法院認為,不能忽視他通過出售信息獲得了近35萬日元的利益,即使充分考慮到他無前科,並已被公司解雇等社會制裁,也不能將其判為緩刑案件。
對網路攻擊犯判處8年有期徒刑
東京地方法院在2017年4月27日(西元2017年)判決,一名被告(32歲)利用釣魚郵件和遠程操作病毒等手段非法獲取了多家公司的網路銀行識別碼,進行非法登錄和接著的非法轉賬,並且還攻擊數據庫獲取電子郵件地址,發送遠程操作病毒使其可執行,因違反非法存取行為禁止等相關法律、電子計算機使用詐欺、私人電磁記錄不正作出・同供用、不正指令電磁記錄供用、電波法違反等罪名被判有罪,並被判處有期徒刑8年。
他使用各種手段進行網路攻擊,並且為了避免犯罪被發現,他提前非法獲取了加密鑰匙,連接到他人的無線LAN接入點,有時甚至通過中繼服務器來隱藏連接源,並在非法轉賬前更改聯繫用電子郵件地址等,他的犯罪行為巧妙且惡劣,此外,非法轉賬造成的財產損失總計超過519萬日元,而且他在因同類前科被假釋後不久就犯下了這些罪行,因此被判為重罪。
另外,如果在這種類型的攻擊過程中,犯罪者發送了電子郵件,則可以使用該電子郵件作為線索來識別犯罪者,這種方法在某些情況下是可行的。然而,在民事層面上,這通常是困難的。本所在下面的文章中也提到了這一點。
https://monolith-law.jp/reputation/email-sender-identification[ja]
遭受不正存取時的對策
在使用電子郵件或社交網路等時,可能會遭受他人的不正存取。在這種情況下,本所可以採取哪些對策呢?
提出刑事告訴
首先,您可以對不正存取的對象提出刑事告訴。不正存取是犯罪行為,不正存取的人將受到刑事懲罰。如上所述,本人可能會受到最高三年以下的有期徒刑或100萬日元以下的罰金,如果有人協助,則可能會受到最高一年以下的有期徒刑或50萬日元以下的罰金。
另外,即使沒有告訴,只要警察知道了不正存取禁止法的違反事實,就可以開始調查,並有可能逮捕犯人。即使不是遭受不正存取的本人,只要知道這個事實的人也可以向警察告發。
本所在關於業務妨礙罪的文章中也提到過,親告罪是「如果沒有受害者的刑事告訴就不能起訴的犯罪」,但這並不意味著「如果不是親告罪就不能告訴」。即使是非親告罪,受害者也可以告訴犯人。
即使是非親告罪,如果受害者提出刑事告訴,被疑犯的情況可能會變得更糟,可能會受到更重的懲罰。如果您發現自己被不正存取,應該向律師諮詢,並向警察提交受害報告或告訴書。一旦接受了受害報告,警察將立即進行調查,並逮捕或送審被疑犯。
提出民事賠償請求
如果您遭受了不正存取的損害,您可以根據日本民法第709條,對加害者提出民事賠償請求。
日本民法第709條
故意或過失侵害他人的權利或法律上受保護的利益的人,應負擔因此產生的損害賠償責任。
如果加害者不正存取並散播了得到的個人資訊,或者偷走了社交遊戲的物品,或者存取了信用卡或銀行帳戶等數據,導致財產損失,您應該提出損害賠償請求,要求賠償慰撫金等。當然,如果您的信用卡或銀行帳戶等數據被存取,並實際造成財產損失,您也可以提出這些賠償請求。
然而,為了對加害者提出損害賠償請求,您必須確定犯人,並收集證據證明該人確實進行了不正存取,這需要高度的專業知識。如果您遭受了不正存取的損害,您應該向有豐富網路問題經驗的律師諮詢並委託處理。
Category: IT
Tag: CybercrimeIT