Review of the Computer Misuse Act 1990: consultation and response to call for information (Welsh accessible)
Updated 14 November 2023
Bydd yr ymgynghoriad hwn yn dechrau ar 7 Chwefror 2023
Daw’r ymgynghoriad hwn i ben ar 6 Ebrill 2023
Ynglŷn â’r ymgynghoriad hwn:
I:
Dyma ymgynghoriad cyhoeddus a allai fod o ddiddordeb arbennig i:
- Asiantaethau Gorfodi’r Gyfraith
- Cofrestryddion a chofrestrfeydd enwau parthau
- Cynnal darparwyr
Hyd:
O 07/02/2023 i 06/04/2023
Ymholiadau i:
Uned Polisi Seiber
Grŵp Diogelwch y Famwlad
Y Swyddfa Gartref
5fed Llawr, Peel Building
2 Marsham Street
Llundain
SW1P 4DF
Sut i ymateb:
Rhowch eich ymateb erbyn 6 Ebrill 2023 i cmareview@homeoffice.gov.uk
Byddem yn ddiolchgar am atebion i’r cwestiynau penodol sydd wedi’u cynnwys drwy gydol y ddogfen hon.
Hefyd defnyddiwch y manylion cyswllt uchod os oes angen gwybodaeth arnoch mewn unrhyw fformat arall, megis Braille, sain neu iaith arall.
Ni allwn ddadansoddi ymatebion nas cyflwynwyd i’r cyfeiriad e-bost a nodir uchod.
Rhagair Gweinidogol
Mae seiberdroseddu’n bygwth ein dinasyddion, ein busnesau a’n llywodraeth. Mae actorion gwladol a throseddwyr, ar bob lefel o gymhlethdod a gyda bwriadau amrywiol yn targedu cartrefi a busnesau ledled y DU. Fel Gweinidog Diogelwch, fy nghyfrifoldeb i yw sicrhau bod gennym y fframwaith deddfu, pwerau a gallu gorfodi’r gyfraith cywir i fynd i’r afael â’r bygythiad hwn.
Rydym eisoes wedi cymryd camau sylweddol i ddarparu’r sgiliau a’r adnoddau sydd eu hangen ar ein hasiantaethau gorfodi’r gyfraith i allu ymchwilio ac atal troseddwyr rhag ymosod arnon ni.Mae’r Gronfa Seiber Genedlaethol wedi rhoi hwb i fuddsoddi, wedi cynyddu gallu ac wedi ehangu hyfforddiant i wella ymateb gorfodi’r gyfraith. Mae’r Uned Seiberdroseddu Genedlaethol (rhan o’r NCA) wedi dod ag arbenigwyr gorfodi’r gyfraith at ei gilydd i un uned elitaidd. Rydym wedi sefydlu rhwydwaith o Unedau Troseddau Cyfundrefnol Rhanbarthol (ROCUs) sy’n cynnwys unedau seiberdroseddu, i ddarparu mynediad at alluoedd arbenigol ar lefel ranbarthol i luoedd. Mae’r ymateb gan orfodi’r gyfraith i seiberdroseddu ledled Cymru a Lloegr wedi newid fel ei fod yn gweithredu fel un adnodd wedi’i rhwydweithio’n cenedlaethol, sy’n gallu ymateb i unrhyw sefyllfa benodol ac yn seiliedig ar y gudd-wybodaeth orau sydd ar gael.
Er mwyn sicrhau bod fframwaith deddfwriaethol y DU yn parhau i gefnogi camau yn erbyn y niweidiau a achosir gan droseddwyr sy’n gweithredu ar-lein, mae’r Llywodraeth wedi cynnal adolygiad o Ddeddf Camddefnyddio Cyfrifiaduron 1990 (CMA / y Ddeddf). Fe wnaethom gynnal Galw am Wybodaeth ar y CMA a’r pwerau y mae eu hangen ar asiantaethau gorfodi’r gyfraith i ymchwilio i’r troseddau CMA, a chafodd nifer o gynigion eu cyflwyno, am newidiadau i’r Ddeddf ei hun, ac am bwerau ychwanegol i ganiatáu i asiantaethau gorfodi’r gyfraith fynd i’r afael yn fwy effeithiol â’r troseddau a gwmpesir gan y Ddeddf.
Mae’r ymgynghoriad hwn nawr yn gofyn am eich barn ar dri chynnig i’w deddfu. Mae’r cyntaf yn ymwneud â’r cynnig ar gyfer datblygu pŵer newydd i ganiatáu i asiantaethau gorfodi’r gyfraith gymryd rheolaeth ar barthau a chyfeiriadau protocol y rhyngrwyd (IP) lle mae’r rhain yn cael eu defnyddio gan droseddwyr i gefnogi ystod eang o droseddodeb, gan gynnwys twyll a chamddefnyddio cyfrifiadurol. Rydym yn cydnabod bod llawer yn cael ei wneud o dan drefniadau gwirfoddol i fynd i’r afael â chamddefnyddio enwau parthau, ac ni fyddem am weld y trefniadau hyn yn cael eu tanseilio, ond credaf fod angen i ni sicrhau, lle nad yw trefniadau o’r fath ar gael, bod gan asiantaethau gorfodi’r gyfraith y pŵer i weithredu.
Yr ail gynnig yw i bŵer ganiatáu i asiantaeth gorfodi’r gyfraith ei gwneud yn ofynnol i gadw data cyfrifiadurol er mwyn caniatáu i’r asiantaeth gorfodi’r gyfraith benderfynu a fyddai angen y data mewn ymchwiliad. Ni fyddai’r pŵer yn caniatáu i asiantaeth gorfodi’r gyfraith atafaelu’r data, ond byddai’n caniatáu iddynt gael eu cadw rhag ofn y byddai ei angen.
Yn olaf, byddem yn croesawu barn ynghylch a ddylid creu pŵer a fyddai’n caniatáu cymryd camau yn erbyn person sy’n meddu ar neu’n defnyddio data a gafwyd gan berson arall drwy drosedd CMA, megis trwy gael mynediad at system gyfrifiadurol i gael data personol, yn amodol ar gael mesurau diogelu priodol ar waith.
Mae’r ddogfen hon hefyd yn cynnwys manylion ein hymagwedd arfaethedig tuag at nifer o faterion eraill a godwyd yn ystod yr adolygiad. Roedd y rhain yn cynnwys cynigion ar lefelau dedfrydu, amddiffyniadau i’r troseddau CMA, gwelliannau i’r gallu i adrodd am fregusrwydd, ac a oes gan y DU ddeddfwriaeth ddigonol i gwmpasu bygythiadau all-diriogaethol. Mae’r rhain yn faterion cymhleth, ac felly bydd y Swyddfa Gartref yn arwain rhaglen i ddod â rhanddeiliaid at ei gilydd i nodi sut y dylid mynd i’r afael â’r materion hyn er mwyn sicrhau bod seiberddiogelwch y DU yn gallu gwrthsefyll y risgiau a achosir gan fygythiadau a throseddwyr gwladol.
Y Gwir Anrhydeddus Tom Tugendhat MBE VR AS
Gweinidog Diogelwch
Cefndir
Mae ystod eang o actorion gelyniaethus yn defnyddio galluoedd seiber i dargedu’r DU. Maen nhw’n cynnwys gwladwriaethau tramor, troseddwyr, grwpiau “haciwr ymgyrchu” a therfysgwyr, a tmae bygythiad a achosir gan ymosodiadau seibr yn parhau i dyfu o ran graddfa a chymhlethdod. Yn y flwyddyn a ddaeth i ben ym mis Mawrth 2022, amcangyfrifwyd bod 1.6 miliwn (1,633,000) o achosion o gamddefnyddio cyfrifiadurol a brofwyd gan oedolion 18 oed a throsodd yng Nghymru a Lloegr, gyda 335,000 (21%) ohonynt yn gysylltiedig â feirws cyfrifiadurol ac 1,298,000 (79%) yn gysylltiedig â mynediad heb awdurdod i wybodaeth bersonol (gan gynnwys hacio). Roedd camddefnyddio cyfrifiaduron yn cyfrif am 14% o droseddau cyffredinol yn y cyfnod hwn.
Mae Strategaeth Seiber Genedlaethol 2022 yn dangos newid i ddull seiber cenedlaethol mwy cynhwysfawr, gan dynnu ein galluoedd y tu mewn a’r tu allan i’r llywodraeth at ei gilydd. Bydd y strategaeth yn cael ei harwain gan y 5 piler ar gryfhau ein ecosystem seiber, meithrin gwytnwch, buddsoddi mewn technoleg, hyrwyddo arweinyddiaeth fyd-eang, ac amharu ar ein gwrthwynebwyr mewn seiberofod.
Mae’r Adolygiad Integredig o Ddiogelwch, Amddiffyn, Datblygu a Chymorth Tramor yn amlygu pwysigrwydd cryfhau’r amddiffyniad yn erbyn bygythiadau gwladol.
Adolygiad o Ddeddf Camddefnyddio Cyfrifiaduron 1990
Deddf Camddefnyddio Cyfrifiaduron 1990 (CMA) yw’r brif ddeddfwriaeth sy’n troseddoli mynediad heb awdurdod at systemau cyfrifiadurol a data, a difrodi neu ddinistrio’r rhain. Mae gan y Ddeddf y bwriad o ddiogelu uniondeb a diogelwch systemau cyfrifiadurol a data drwy droseddoli mynediad atynt nad yw wedi’i awdurdodi gan berchennog y system na’r data.
Ym mis Mai 2021, cyhoeddodd yr Ysgrifennydd Cartref adolygiad o’r CMA. Cam cyntaf yr adolygiad oedd Galwad Cyhoeddus am Wybodaeth yn gofyn am farn rhanddeiliaid a’r cyhoedd yn ehangach, er mwyn nodi a deall a oes gweithgarwch sy’n achosi niwed yn yr ardal a gwmpesir gan yr CMA nad yw’r troseddau presennol yn mynd i’r afael yn ddigonol ag ef.Roedd y cwmpas yn cynnwys a oes gan asiantaethau gorfodi’r gyfraith y pwerau angenrheidiol i ymchwilio a gweithredu yn erbyn y rhai sy’n ymosod ar systemau cyfrifiadurol, ac a yw’r ddeddfwriaeth yn addas i’w defnyddio yn dilyn y datblygiadau technolegol ers cyflwyno’r CMA.
Derbyniwyd ymatebion gan 51 o randdeiliaid ac roeddent yn ymdrin ag ystod o gynigion lle’r oedd ymatebwyr yn teimlo y gellid gwneud mwy i ddiogelu’r DU a gweithredu yn erbyn troseddwyr. Roedd y rhain yn cynnwys:
- Pwerau newydd i asiantaethau gorfodi’r gyfraith i’w galluogi i ymchwilio i droseddau CMA yn fwy effeithiol
- Sicrhau bod y DU yn gallu cymryd camau yn erbyn troseddau sy’n cael eu cyflawni’n all-diriogaethol neu sy’n effeithio ar y DU pan gaiff eu cyflawni dramor
- Amddiffyniadau statudol i’r troseddau CMA
- Sicrhau bod lefelau dedfrydu’n briodol
- Trosedd o feddu ar ddata a geir yn anghyfreithlon
-
Gwell hyfforddiant i’r farnwriaeth a’r erlynwyr
- Ystyried a yw technolegau newydd, fel Deallusrwydd Artiffisial a rhyngrwyd pethau, wedi’u cwmpasu’n ddigonol o dan yr CMA
- Methu ag atal seiberdroseddu / dyletswydd i amddiffyn
- Niweidiau ar-lein, megis delweddau ffug dwfn
Mae rhai o’r cynigion hyn, fel niweidiau ar-lein[footnote 1] a’r ddyletswydd seibr i amddiffyn[footnote 2], yn cael eu hystyried o dan raglenni eraill.
Yn dilyn yr Alwad am Wybodaeth, mae’n amlwg bod llawer o’r CMA yn parhau i fod yn effeithiol wrth ganiatáu i asiantaethau gorfodi’r gyfraith gymryd camau yn erbyn y rhai sy’n cyflawni’r niweidiau a gwmpesir gan y Ddeddf. Mae erlynwyr a’r llysoedd wedi gallu defnyddio’r Ddeddf i erlyn ac euogfarnu’r rhai sy’n cyflawni’r troseddau, er gwaethaf y newidiadau sylweddol mewn technoleg ers cyflwyno’r Ddeddf, gan adlewyrchu natur dechnoleg-niwtral y ddeddfwriaeth.
Fodd bynnag, cododd yr Alwad am Wybodaeth nifer o faterion pwysig mewn perthynas â meysydd penodol yn y Ddeddf, a’r pwerau sydd ar gael i asiantaethau gorfodi’r gyfraith i ymchwilio i’r troseddau hyn. Mae’r papur hwn yn nodi ymateb y Llywodraeth i’r cynigion hyn, gyda’r nod o sicrhau bod ein hymateb yn parhau i fod yn cadw i fyny â’r bygythiad.
Mae dau faes gwaith y byddwn yn ymgymryd â nhw. Yn gyntaf, mae nifer o gynigion am newid sydd, yn ein barn ni, yn ddigon clir i ni ymgynghori arnynt gyda’r bwriad o ddeddfu pan fydd amser Seneddol yn caniatáu. Mae’r rhain yn ffurfio adran gyntaf y papur hwn.
Mae’r ail adran yn nodi’r ymagwedd y byddwn yn ei gymryd at nifer o feysydd eraill lle credwn fod angen gwneud mwy o waith i nodi pa gamau y dylid eu cymryd. Rydym yn cynnig bod hyn yn cael ei wneud drwy ddull aml-randdeiliaid, dan arweiniad y Swyddfa Gartref.
Cynigion ar gyfer Newid Deddfwriaethol
Enw parth a chyfeiriad IP tynnu i lawr ac atafael
Cyd-destun
Mae troseddwyr yn defnyddio enwau parth a chyfeiriadau IP i gefnogi ystod eang o droseddoldeb, gan gynnwys troseddau megis dosbarthu a rheoli meddalwedd maleisus (“maleiswedd”), gwe-rwydo, twyll, a gwerthu nwyddau anghyfreithlon fel cyffuriau neu ddrylliau.
Mae’r rhain yn achosi niwed sylweddol i ddinasyddion a busnesau’r DU. Mae gwaith sylweddol eisoes i fynd i’r afael â’r gwefannau hyn a’u dileu, fel yr hyn a arweinir gan Action Fraud a’r Ganolfan Seiberddiogelwch Genedlaethol (NCSC), yn wirfoddol.Byddem yn disgwyl i’r trefniadau hyn barhau, a’r bwriad pendant yw y dylai’r rhain barhau i fod y prif fodd o gymryd parthau i lawr sy’n cefnogi gweithgarwch troseddol gan eu bod yn darparu ymateb cyflym ac effeithiol.
Fodd bynnag, er bod y trefniadau gwirfoddol hyn yn aml yn effeithiol, mae rhai rhanddeiliaid wedi awgrymu nad yw’r rhain ar gael yyn yr holl amgylchiadau, a bod angen pŵer ffurfiol lle nad yw trefniadau o’r fath ar gael neu na ellir eu defnyddio.
Mae pwerau o’r fath yn bodoli yn yr Unol Daleithiau a mannau eraill ledled y byd, a byddai cael pwerau o’r fath yn caniatáu i’r DU weithio’n effeithiol gydag asiantaethau gorfodi’r gyfraith dramor i fynd i’r afael â phroblem fyd-eang.
Felly, credwn gan nad oes pŵer penodol ar gael i asiantaethau gorfodi’r gyfraith, o ystyried y rôl allweddol sydd gan gamddefnyddio parthau’n droseddol mewn llawer o fathau o droseddau, mae angen i ni ystyried a ddylai fod pwerau ar gael i wella ein gallu i asiantaethau gorfodi’r gyfraith gymryd ystod o gamau yn erbyn y bygythiadau hyn.
Tynnu i lawr
Un o’r ffyrdd symlaf o ddelio â’r defnydd troseddol o enwau parth yw ei gwneud yn ofynnol i’r cofrestrydd sy’n gyfrifol am greu’r enw parth i’w dynnu oddi ar y rhestr o barthau cofrestredig. Bydd hyn yn atal unrhyw un rhag cyrchu’r wefan, ac yn atal troseddwyr rhag ei chamddefnyddio. Byddai’r pŵer hefyd yn berthnasol i atafael cyfeiriadau IP gan y gall troseddwyr (a maent yn ei wneud) ar achlysuron dim ond defnyddio cyfeiriadau IP yn eu maleiswedd.
Meddiannu gan orfodi’r gyfraith
Defnyddir enwau parth gan droseddwyr i gysylltu eu platfformau gorchymyn a rheoli gyda systemau cyfrifiadurol heintiedig i’w rheoli. Mewn rhai achosion, ni all pobl sy’n defnyddio’r diwydiant fod yn annigonol i atal y prosesau cefndir hyn rhag parhau i weithredu – mae lliniaru’r niwed felly yn gofyn am orchymyn gweinyddol y parthau neu gyfeiriadau IP eu hunain i’w cymryd yn gyflym, ac ar raddfa.
Mae enghraifft wych o gymhwyso rheolaeth parth yn ymwneud â mynd i’r afael â botrwydau.Mae botrwyd yn rhwydwaith o systemau heintiedig, fel arfer yn cael eu rheoli heb wybodaeth dioddefwyr, y mae eu cyfrifiaduron yn cael eu rheoli fel llwyfan i ledaenu gweithgarwch maleisus ymhellach (e.e. anfon sbam, caffael data, dirprwyo cyfathrebiadau troseddol neu gynnal ymosodiadau gwadu gwasanaeth). Gall botrwydau o’r fath weithredu ar raddfa sylweddol: mewn un achos cyfredol yn unig, amcangyfrifir bod 1.5 miliwn o systemau ledled y byd wedi’u heintio â maleiswedd. Mewn achosion eraill, mae botrwydau wedi cael eu defnyddio i gynhyrchu cannoedd o filiynau o ddoleri o golledion o systemau dioddefwyr yn fyd-eang. Mae gallu asiantaethau gorfodi’r gyfraith i atafaelu parthau a / neu gyfeiriadau IP eisoes ar gael yn y rhan fwyaf o awdurdodaethau datblygedig, ond nid yw ar gael i orfodi’r gyfraith yn y DU. Os oedd pŵer ar gael yma, byddai’n galluogi gorfodi’r gyfraith domestig i dorri’r cysylltiad cyfathrebu rhwng cyfrifiaduron troseddol a dioddefwyr.
Unwaith y bydd gorfodi’r gyfraith wedi cymryd rheolaeth ar y parthau neu gyfeiriadau IP mae posibiliadau eraill hefyd ar gael iddynt.Er enghraifft, gallen nhw ddewis “amddiffyn” (gweler geirfa termau allweddol yr ymdrechion cyfathrebu dioddefwyr sydd ar ddod. Gellir defnyddio’r data “amddiffyn” hyn i nodi faint o ddioddefwyr sydd yno, pa gyfeiriad IP y maent arno, ac ar adegau manylion pellach am y ddyfais heintiedig – fel ei system weithredu, a all helpu amddiffynwyr i ddod o hyd iddi a’i glanhau.Gellir lledaenu data amddiffyn drwy sianeli presennol i hysbysu dioddefwyr ledled y byd y gallent fod wedi’u heintio.
Credwn y byddai’r DU yn elwa o asiantaethau gorfodi’r gyfraith yn cael yr hawl i ildio rheolaeth ar y parth a/neu gyfeiriadau IP i bartïon dibynadwy ar gyfer ymdrechion rheoli ac amddiffyn, i ddileu’r angen i asiantaethau gorfodi’r gyfraith adnewyddu miliynau o enwau parth bob blwyddyn i sicrhau nad ydynt yn disgyn yn ôl i ddwylo troseddol. Mae sefydliadau dielw dibynadwy presennol a allai ymgymryd â’r swyddogaeth hon heb ychwanegu cost i’r pwrs cyhoeddus, tra’n gwella porthiant ar yr un pryd i dimau ymateb digwyddiadau seiberddiogelwch cenedlaethol (CSIRT), gan gynnwys Canolfan Seiberddiogelwch Genedlaethol y DU (NCSC).
Atal creu enwau parthau
Mae achosion lle mae’n bosibl rhagweld y bydd rhai enwau parthau yn cael eu creu at ddibenion troseddol, efallai i ddynwared busnes neu adran y llywodraeth, er mwyn cyflawni twyll. Rydym yn credu y byddai buddion i’w gwneud yn ofynnol i Gofrestrfa’r DU beidio â chofrestru enwau parthau diffiniedig i atal twyll o’r fath neu weithgarwch troseddol arall.
Mae achosion lle mae’n bosibl rhagweld y bydd rhai enwau parthau yn cael eu creu at ddibenion troseddol gan fod y aleiswedd ar ddyfeisiau heintiedig yn defnyddio algorithm i benderfynu pa barth(au) y bydd yn ceisio cysylltu â nhw.Mae’r Algorithmau Cynhyrchu Parthau hyn (DGAs) yn rhoi mantais anghymesur i droseddwyr – gan mai dim ond un parth y mae’n rhaid i droseddwyr ei reoli bob dydd – tra gallai gorfodi’r gyfraith orfod rheoli cannoedd neu filoedd o bosibiliadau bob dydd. Mae modd rhagweld DGAs ac felly mae’n bosibl rhagweld pa barthau fydd yn hyfyw ar unrhyw ddyddiad penodol. Credwn y byddai manteision i’w gwneud yn ofynnol i Gofrestrfa’r DU beidio â chofrestru enwau parthau diffiniedig o’r fath er mwyn atal gweithgarwch troseddol o’r fath. Byddai’r gallu i wneud hyn yn gyfreithiol yn y DU yn ei gwneud hi’n bosibl gwneud ceisiadau tebyg i orfodi’r gyfraith mewn gwledydd eraill lle mae’r mwyafrif o gofrestrfeydd wedi’u lleoli, yn enwedig gan na fydd rhai yn gweithredu mewn ymateb i geisiadau gorfodi’r gyfraith oni bai eu bod yn dod gyda gorchymyn llys.
Defnyddio’r pŵer
Byddai cais i dynnu i lawr, atafaelu neu atal creu enw parth yn cael ei gyflwyno i’r parti perthnasol a oedd yn rheoli’r parth, megis y Gofrestrfa (sy’n ei chreu ac yn sicrhau mai dim ond un enghraifft ohoni sy’n bodoli), Cofrestrydd (sy’n ei brydlesu’n ymarferol) neu’r Cofrestrai (sy’n ei rentu ac yn defnyddio eu cynnwys).
Byddai cais i atafaelu rheolaeth ar gyfeiriad IP yn cael ei gyflwyno ar ddarparwr rhwydwaith sy’n rheoli’r cyfeiriad IP hwnnw. Efallai y bydd yn ofynnol iddynt dwnelu yr IP hwnnw i un arall dan reolaeth gorfodi’r gyfraith neu barti dibynadwy arall.
Rydym yn cynnig bod y pŵer hwn ar gael i awdurdodau cyhoeddus penodedig, a byddem yn croesawu barn ynglŷn â pha asiantaethau ddylai allu ei ddefnyddio.
Gan fod ymosodiadau seibr yn aml yn rhychwantu awdurdodaethau lluosog, rydym felly’n cynnig bod y pŵer hwn ar gael i’w ddefnyddio mewn ymateb i gais o dramor o dan gymorth cyfreithiol cydfuddiannol, neu geisiadau brys.Byddai hyn yn caniatáu i asiantaethau gorfodi’r gyfraith ei gwneud yn ofynnol i dynnu i lawr enwau parthau, ar gyfer ymchwiliadau domestig ac fel rhan o ymchwiliadau ar y cyd gyda phartneriaid tramor.
Rydym yn cynnig y byddai angen i asiantaethau gorfodi’r gyfraith wneud cais i lys am y gorchymyn, a byddai angen dangos tystiolaeth bod y parth yn cefnogi troseddoldeb (neu y gellir ei ddangos ei fod o bosibl yn cefnogi troseddoldeb lle gellir rhagweld ei gynhyrchu) ac y byddai atal y parth yn lleihau neu’n cael gwared ar y bygythiad hwnnw neu fel arall yn cefnogi ymchwiliad yn sylweddol.
Dylai’r person sy’n gorfod cyflawni’r camau gael yr hawl i apelio i’r llys i gael gwared ar yr ataliad, yn ogystal â’r cofrestrydd lle mae enwau parthau wedi’u cofrestru. Fodd bynnag, dylai’r gwaharddiad aros yn ei le tra bod yr apêl yn digwydd a bydd gwrthod y cais gan y person y mae’n cael ei gyflwyno iddo yn arwain at ddirwy.
Yn olaf, dylid sicrhau bod llwybr i gofrestreion wneud cais am iawndal ar gael os ydynt yn credu bod y parth neu’r cyfeiriad IP y maent yn prydlesu wedi’i atafaelu ar gam. Mae’r atebolrwydd am y weithred yn nwylo asiantaeth gorfodi’r gyfraith.
Cwestiynau
C1.Beth ddylai fod y trothwy ar gyfer defnyddio’r pŵer hwn, pa brofion fyddai’n rhaid i gais eu bodloni a pha fesurau diogelu ddylai fod yn berthnasol iddo?
C2. Pa sefydliadau ddylai gael mynediad i’r pŵer?
C3. Beth fydd pŵer statudol sy’n galluogi atafaelu enw parth a chyfeiriadau IP yn caniatáu nad yw trefniadau gwirfoddol yn ei ganiatáu ar hyn o bryd?
C4. Pa weithgaredd y byddem yn gofyn i’r sawl sy’n derbyn gorchymyn i ymgymryd ag ef nad ydynt yn ymgymryd ag ef o dan drefniadau gwirfoddol?
C5. Sut y gellir gwarchod cytundebau gwirfoddol, sef y llwybr sy’n cael ei ffafrio i dynnu i lawr?
C6. A ddylai atafaelu olygu rheolaeth a pherchnogaeth gyfreithiol (o leiaf o gyfnod y brydles) o enwau parth a chyfeiriadau IP, neu weithredu mwy dros dro fel amddiffyn, trosglwyddo i asiantaeth gorfodi’r gyfraith sy’n gyfrifol am y gorchymyn? A fyddai asiantaethau gorfodi’r gyfraith yn talu am y brydles?
C7. Os cymerir camau gan orfodi’r gyfraith, a ddylid gwneud hynny ar gyfer yr enw parth a’r cyfeiriad IP, ac a oes gwahanol dderbynwyr ar gyfer archebion am y rhain?
C8. A ddylai parthau / cyfeiriadau IP lluosog ymddangos ar un cais neu a fydd angen ceisiadau ar wahân?
C9. A ddylai fod lle i orchymyn interim brys gael ei wneud cyn gwrandawiad am orchymyn llawn?
C10. A ddylai fod cyfle am estyniadau i’r gorchymyn?
Pŵer i gadw data
Cyd-destun
Prin iawn yw’r troseddau lle na fyddai’n debygol y gallai fod angen tystiolaeth electronig fel rhan o ymchwiliad, ac felly mae’n hanfodol bod asiantaethau gorfodi’r gyfraith yn gallu gofyn am gadw data presennol gan berchennog data i atal y data hynny rhag cael eu dileu. Byddai cadw’n ei gwneud yn ofynnol i’r data a gedwir gan berchennog y system gael eu cadw mewn cyflwr sydd heb ei newid, tra’n aros am benderfyniad ynghylch a ddylid gwneud cais ffurfiol am atafaelu’r data gan asiantaeth gorfodi’r gyfraith i lys.
Nid yw’r cynnig hwn yn berthnasol i wybodaeth lle mae angen cadw data eisoes, megis o dan Ddeddf Pwerau Ymchwilio 2016.
Mae data’n cael eu cadw’n wirfoddol ar gais asiantaethau gorfodi’r gyfraith, ac mae’r broses hon yn gweithio’n dda. Fodd bynnag, o ystyried yr angen i dystiolaeth electronig fod ar gael ar gyfer ymchwiliadau mewn nifer cynyddol o achosion, credwn ei bod yn angenrheidiol i asiantaethau gorfodi’r gyfraith y DU gael mynediad i bŵer sy’n ei gwneud yn ofynnol cadw data lle nad yw person yn fodlon gwneud hynny o’u gwirfodd.
Cynnig
Rydym yn cynnig y dylai fod pŵer sy’n galluogi asiantaethau gorfodi’r gyfraith i’w gwneud yn ofynnol cadw data cyfrifiadurol penodedig gan berson sy’n rheoli data o’r fath. Ni fyddai’r pŵer hwn yn caniatáu i asiantaeth gorfodi’r gyfraith atafaelu data, ond ei fwriad yw caniatáu amser i asiantaeth benderfynu a yw’r data’n berthnasol i ymchwiliad. Os oes angen y data, byddai angen cael yr awdurdodiad angenrheidiol o dan y ddeddfwriaeth bresennol, megis Deddf yr Heddlu a Thystiolaeth Droseddol 1984, o lys i atafaelu’r data.Byddai’r pŵer hwn yn berthnasol i unrhyw ddata sy’n ymwneud ag unrhyw drosedd.
O ystyried yr ystod eang o droseddau lle gallai fod angen data electronig yn ystod ymchwiliad, rydym yn cynnig y dylai’r pŵer hwn fod ar gael i holl asiantaethau gorfodi’r gyfraith yn y DU, gan gynnwys yr Asiantaeth Troseddu Cenedlaethol (NCA), heddluoedd y DU, Cyllid a Thollau EF (CThEF), a’r Swyddfa Twyll Difrifol, ac adrannau ac asiantaethau eraill sy’n gyfrifol am fynd i’r afael â throseddu.
Rydym hefyd yn cynnig y dylai’r pŵer fod ar gael i asiantaeth gorfodi’r gyfraith ei ddefnyddio mewn perthynas â chais gan asiantaeth gorfodi’r gyfraith dramor, yn amodol ar fesurau diogelu presennol y DU ar gyfer cydweithrediad rhyngwladol.
Gan fod hwn yn bŵer nad yw’n cynnwys data a geir gan yr asiantaeth yn gofyn am eu cadw, rydym yn cynnig bod rhaid i’r pŵer hwn gael ei lofnodi gan uwch swyddog ar ran y sefydliad.
Dylai perchennog y data gael yr hawl i apelio at lys yn erbyn y gofyniad i gadw’r data dan sylw. Fodd bynnag, dylid cadw’r data tra bo’r apêl yn digwydd a bydd camau i ddileu, newid, neu atal mynediad i’r data yn arwain at ddirwy.
Er mwyn atal unrhyw faich cost sylweddol rhag cael ei roi ar fusnes, rhaid i’r pŵer gael amserlen benodol ar gyfer cadw, ac ar ôl hynny mae perchennog y data yn rhydd o’r gofyniad i gadw’r data.Mae Confensiwn Budapest ar Seiberdroseddu yn darparu am derfyn amser o naw deg diwrnod, ac rydym yn credu y byddai hon yn amserlen resymol.
Cwestiynau
C1.Pa asiantaethau ddylai allu defnyddio’r pŵer hwn?
C2. A oes unrhyw broblemau’n gysylltiedig â chadw data y mae angen i ni eu hystyried?
C3. A ddylai fod terfyn amser ar y gorchymyn cadw? Os felly, beth ddylai hynny fod?
C4. Pwy ddylai fod yn gyfrifol am dalu unrhyw gostau cadw? Sut y dylen nhw gael eu penderfynu?
C5. A yw’r pwerau presennol yn Neddf yr Heddlu a Thystiolaeth Droseddol 1984 Atodlen 1 eisoes yn ddigon i ganiatáu cadw?
Copïo data
Cyd-destun
Mae’r CMA yn cwmpasu mynediad heb awdurdod i ddata cyfrifiadurol ond nid yw cymryd neu gopïo data heb awdurdod yn dod o dan y Ddeddf Dwyn ac mae hyn wedi’i sefydlu mewn cyfraith achos.Byddai copïo data syml ond yn denu’r cosbau o dan adran 1 o Ddeddf Camddefnyddio Cyfrifiaduron sef dirwy a / neu hyd at ddwy flynedd uchafswm o garchar.Gellid ystyried hyn yn gosb annigonol i ddelio â difrifoldeb y troseddoldeb.
Gellid defnyddio adran 2 i erlyn y rhai sydd, er enghraifft, yn copïo data er mwyn cyflawni twyll, sy’n cario uchafswm dedfryd o hyd at bum mlynedd o garchar.
Mae pryder hirhoedlog yn ymwneud â’r anhawster o gymryd camau yn erbyn person sy’n meddu ar neu ddefnyddio data a geir trwy drosedd CMA, megis lle nad oedd y person sy’n dal y data’n cyflawni’r drosedd CMA.Nid yw’n bosibl cyhuddo’r person hwnnw â dwyn neu drin eiddo wedi’i ddwyn, gan fod dwyn yn cael ei ddiffinio yn y Ddeddf Dwyn fel rhywbeth sy’n “amddifadu’n barhaol”, tra bod y rhan fwyaf o ddigwyddiadau dwyn o systemau cyfrifiadurol yn golygu copïo’r data. Mae darpariaethau yn y Ddeddf Twyll sy’n caniatáu erlyn y rhai sy’n defnyddio data o’r fath i gyflawni troseddau twyll[footnote 3].
Cynnig
Hoffem ystyried a oes angen creu trosedd gyffredinol am feddu neu ddefnyddio data a geir yn anghyfreithlon, a byddem yn croesawu barn ar yr angenrheidrwydd.
Cwestiynau
C1.Beth yw’r bwlch yn y ddeddfwriaeth bresennol, a pha effaith mae hynny’n ei gael?
C2. Oes enghreifftiau o ble mae niwed yn cael ei achosi gan absenoldeb trosedd?
C3. Beth yw’r gosb briodol pe bai trosedd o’r fath yn cael ei chreu?
Meysydddd i’w hystyried ymhellach
Cyflwyniad
Cafodd nifer o feysydd eu codi yn ystod yr adolygiad y mae’r Llywodraeth yn credu sydd angen eu hystyriaeth ymhellach, ac rydym yn cynnig y dylid sefydlu rhaglen rhanddeiliaid lluosog , i gynnwys erlynwyr, ymchwilwyr, adrannau eraill y llywodraeth a’r diwydiant seiberddiogelwch, i’w hystyried.
Darpariaethau all-diriogaethol
Mae natur troseddau CMA yn golygu eu bod yn torri ar draws awdurdodaethau rhyngwladol. Gall unigolion fod yn gweithredu mewn unrhyw wlad neu’n llwybro eu meddalwedd drwy wahanol wledydd cynnal; fel nad yw’r troseddu o reidrwydd yn digwydd yng Nghymru a Lloegr; er y gallai’r dioddefwr fod yno. Er bod yr awdurdodaeth mewn achosion CMA yn dod ymhellach na deddfwriaeth arall, mae meysydd llwyd yn parhau. Er enghraifft, gall y diffiniad o “gysylltiadau sylweddol” fod yn agored i wahanol ddehongliadau. Mae rhanddeiliaid wedi cynnig y byddai’n symlach pe bai un diffiniad clir o “gyswllt sylweddol” a a oedd yn gweithredu ar draws yr CMA cyfan (ar hyn o bryd mae hyn yn wahanol rhwng adrannau).
Mae rhanddeiliaid hefyd wedi awgrymu ein bod yn archwilio sut y gallem ennill y gallu i erlyn ar gyfer pob agwedd ar weithgarwch troseddol seibr yn y DU, yn hytrach na chyfyngu ar erlyniad o’r fath i ymddygiad lle mae cyswllt sylweddol. Byddai hyn yn arbennig o bwysig lle gallai unigolyn o’r fath geisio lleoli ei hun mewn awdurdodaeth na all neu na fydd yn ymchwilio ac erlyn. Nid oes gan lawer o awdurdodaethau’r gallu ymchwiliol na’r offer deddfwriaethol sydd eu hangen i erlyn troseddoldeb all-diriogaethol.
Amddiffyniadau
Un o’r prif faterion a godwyd yn ystod yr adolygiad o’r CMA oedd o ran a ddylid cyflwyno amddiffynfiadau statudol i’r troseddau yn y Ddeddf i’r rhai sy’n cymryd camau i ddiogelu’r DU mewn seiberofod. Y dadleuon a gyflwynwyd oedd bod y Ddeddf o bosibl yn troseddoli’r hyn y mae llawer yn yr ecosystem seiber yn ei ystyried yn weithgarwch seiberddiogelwch cyfreithlon, a’i fod yn rhwystro twf y diwydiant ei hun.
Mae’r Llywodraeth wedi ystyried y cynnig hwn yn ofalus, ac rydym yn credu bod angen rhagor o waith i ystyried opsiynau, a’r risgiau a’r buddion sy’n gysylltiedig â chyflwyno amddiffyniadau statudol. Mae’r Ddeddf yn seiliedig ar yr egwyddor bod rhaid i fynediad i systemau cyfrifiadurol a data gael ei awdurdodi gan y rhai sydd â chyfrifoldeb amdanynt. Gan fod y Llywodraeth yn annog perchnogion systemau i wneud mwy i amddiffyn eu systemau, gan gynnwys trwy gyflogi cwmnïau seiberddiogelwch cyfreithlon i brofi eu diogelwch, mae’n iawn ein bod yn parhau i amddiffyn perchnogion y system rhag y rhai sy’n cyrchu, neu’n ceisio cyrchu, eu systemau heb eu cytundeb. Ochr yn ochr â hynny, mae’n rhaid i ni allu gweithredu yn erbyn troseddwyr ac actorion gwladol sy’n bygwth y DU mewn seiberofod, a pheidio â gwneud newidiadau a fyddai’n darparu gorchudd ar gyfer gweithgarwch troseddol. Yn olaf, mae angen i ni wneud yn siŵr nad yw unrhyw amddiffyniad yn darparu gorchudd ar gyfer gweithgarwch seibr ymosodol, a elwir weithiau yn “hacio’n ôl”.
Rhaid i ni hefyd ystyried y manteision y gallai cyflwyno amddiffyniadau eu darparu. Mae ecosystem seiber gref yn ganolog i’r DU gan ddod yn genedl fwy seibr ddiogel a gwydn, wedi’i pharatoi’n well ar gyfer bygythiadau a risgiau sy’n esblygu, gan fabwysiadu ymarferion seiberddiogelwch da. Felly, mae angen i ni sicrhau nad yw’r diwydiant seiberddiogelwch wedi’i wahardd yn ddiangen rhag cynnal gweithgareddau a fyddai’n amddiffyn endidau ac unigolion rhag actorion seiber gelyniaethus – gweithgareddau a fyddai’n datblygu ein hymagwedd cymdeithas gyfan at ymdrin â seiberddiogelwch – tra’n parchu’r egwyddor bod yn rhaid awdurdodi mynediad at systemau cyfrifiadurol a data gan y rhai sydd â chyfrifoldeb amdanynt.
Yn y Strategaeth Seiber Genedlaethol, mae’r Llywodraeth wedi cyflwyno ei nod o wella seiberddiogelwch y DU, ac mae’r Llywodraeth yn credu bod angen i ni ystyried a ddylid cyflwyno a ddylid cyflwyno amddiffyniadau, a pha amddiffyniadau y dylid eu cyflwyno, gan gynnwys atebion deddfwriaethol ac anneddfwriaethol, yng nghyd-destun sut y gellir cefnogi a datblygu’r diwydiant seiberddiogelwch i helpu i ddiogelu’r DU mewn seiberofod. Fel rhan o’r gwaith hwnnw, mae angen i ni ystyried pa weithgarwch a allai wrthdaro â’r CMA sy’n gyfreithlon i gwmnïau seiberddiogelwch ymgymryd ag ef, a pha safonau a hyfforddiant mae’n rhaid i weithwyr proffesiynol seiberddiogelwch eu cael er mwyn bod yn gymwys i ymgymryd â gweithgarwch o’r fath. Byddwn ni’n bwrw ymlaen â’r gwaith hwn fel rhan o’r gwaith ehangach i wella ein seibrddiogelwch cenedlaethol.
Dedfrydu
Codwyd nifer o gwestiynau fel rhan o’r adolygiad yn ymwneud â dedfrydu, ac yn arbennig a yw lefelau’r ddedfryd yn briodol ar gyfer y niwed a achosir gan y troseddau yn yr CMA. Mae trosedd CMA adran 1 o fynediad heb awdurdod i ddeunydd cyfrifiadurol yn cario uchafswm cosb o hyd at 12 mis yn y carchar ar euogfarn gryno, neu ddwy flynedd ar dditiad, neu ddirwy neu’r ddau. Mae rhai rhanddeiliaid yn awgrymu nad yw hyn yn atal troseddwyr ac nad yw’n adlewyrchu difrifoldeb y troseddu, fodd bynnag mae data dedfrydu (Rhagfyr 2021)[footnote 4] yn dangos nad yw llysoedd yn rhoi dedfrydau yn agos at yr uchafswm o dan y Ddeddf ar hyn o bryd.Felly, mae angen i ni ystyried a fyddai cynyddu hyd dedfrydau yn effeithio ar ddifrifoldeb y cosbau a gyhoeddir ar gyfer troseddau CMA.
Mae rhanddeiliaid hefyd wedi cynnig y byddai canllawiau dedfrydu yn ffordd briodol ymlaen i fynd i’r afael â’r materion canlynol:
- Torri ar draws y sbectrwm eang o droseddau a gynhwysir yn yr CMA, o blant yn arbrofi ar y we drwodd i actorion gwladol gelyniaethus.
- Mae gan lawer o achosion CMA elfen niwro-amrywiaeth ynghlwm â’r troseddwr, gan wneud yr unigolyn(ion) dan sylw yn fwy agored i niwed ac felly’n anoddach eu herlyn gyda dedfrydau cymesur.
- Tynnodd y CPS sylw at y ffaith eu bod (yn cymhwyso’r Cod ar gyfer Erlynwyr y Goron) yn cyhuddo troseddwyr gan ddefnyddio’r troseddau mwyaf priodol i adlewyrchu natur y troseddu, maint y troseddu a’r troseddau hynny y gellir eu cyflwyno orau i’r llysoedd a’r rheithgorau. Mae canllawiau dedfrydu eisoes mewn perthynas â thwyll a gwyngalchu arian ac o ganlyniad, mae creu darlun yn y llys yn fwy syml i gynorthwyo’r Llys yn y drefn ddedfrydu. Gall diffyg canllawiau o’r fath mewn achosion CMA arwain at anghysondebau yn yr ymagwedd at niwed troseddu o’r fath.
Geirfa’r Prif Dermau
Amddiffyn
Mae ‘amddiffyn’ yn dechneg ar gyfer trin llif data mewn rhwydwaith. Mae’n cynnwys ailgyfeirio traffig o’i gyrchfan arfaethedig (yn y cyd-destun hwn – un wedi’i osod gan y troseddwr) i weinydd arall o’ch dewis. Gall y gweinydd hwn fod wedi’i ffurfweddu i gofnodi cyfeiriadau IP y cyfathrebiad sy’n dod i mewn, stampiau dyddiad/amser a gwybodaeth arall a allai nodi’r ddyfais heintiedig unigol yn fwy manwl ond nad yw’n cofnodi unrhyw ddata sydd wedi’i hall-hidlo’n droseddol. Mae gweithwyr proffesiynol diogelwch yn aml yn defnyddio ‘amddiffyn’ fel offeryn ar gyfer ymchwil ac ymateb i ymosodiadau.
Gall ‘amddiffyn’ gyfeirio at amddiffyn sampl ac ‘amddiffyn’ llawn. Mae ‘amddiffyn’ sampl yn cofrestru un parth y gwyddys ei fod yn cael ei wirio gan faleiswed ac yn cofnodio cyfeiriadau IP dyfeisiau dioddefwyr sy’n ceisio cysylltu ag ef. Mae ‘amddiffyn’ llawn yn caniatáu i’r holl barthau mae maleiswedd yn ceisio cysylltu â nhw bob dydd i gael eu ‘hamddiffyn’. Mae hyn yn cael effaith ddeublyg - cynhyrchu rhestrau IP dioddefwyr y gellir eu defnyddio i hysbysu dioddefwyr drwy sianeli presennol, a diogelu’r dioddefwyr rhag cael eu hecsbloetio.
Enw parth
Enw parth yw enw gwefan ac fel arfer mae’n cynnwys parth lefel uchaf ac ail lefel. Parth lefel uchaf (TLD) yw’r rhan o’r enw parth a leolir i’r dde o’r dot olaf, gyda’r TLDs mwyaf cyffredin yn .com, .org neu enw gwlad megis .uk. Parth ail lefel (SLD) yw’r rhan o’r enw parth a leolir i’r chwith o’r dot olaf, megis gov.uk.
Mae’n bosibl i barth ddatrys i nifer o gyfeiriadau IP, ac mae hefyd yn bosibl i sawl parth arwain at yr un cyfeiriad IP. Defnyddir yr olaf yn aml gan ddarparwyr cynnal mawr. Gellir olrhain cyfeiriadau IP trwy’r prosesau presennol i nodi pwy sy’n eu darparu a lle yn y byd maent wedi’u lleoli a chynnig cam cyntaf wrth nodi pwy sy’n rheoli’r cyfeiriad IP yn gyfreithlon, ac a allai fod yn ei reoli’n droseddol.
Mae enwau parth yn cael eu creu a’u prydlesu gan gofrestrwyr awdurdodedig (e.e. GoDaddy (UDA)) a’u cyhoeddi gan gofrestrfeydd e.e. Nominet ar gyfer parthau .uk. Gan weithio gyda’i gilydd, mae Cofrestrfeydd a Chofrestryddion yn sicrhau nad yw’r enw eisoes wedi’i gofrestru. Pan fydd enw parth newydd .uk yn cael ei greu, ynghyd â’i gyfeiriad IP, bydd y manylion yn cael eu hanfon gan y Cofrestrydd i’r Gofrestrfa berthnasol (Nominet), a chynhelir y manylion hynny ar gronfa ddata WHOIS fyd-eang.
Pan fydd cofrestrai yn prynu’r hawl i brydlesu enw parth fel arfer maent yn ymdrin â Chofrestryddion yn unig, y mae llawer ohonynt yn fyd-eang, pob un yn darparu amrywiaeth o TLD’s posibl ac yn ymdrin ag un neu fwy o Gofrestrfeydd.