Využití dat shromážděných prostřednictvím IoT služeb a právní problémy
V posledních letech se IoT zařízení, jako jsou chytré domácí spotřebiče, stále více dostávají do našich domovů. Ačkoliv jsou velmi pohodlná, kvůli připojení k internetu jsou také vystavena riziku úniku informací. Při zahájení IoT podnikání je důležité se nezaměřovat pouze na bezpečnost spotřebičů jako takových, ale také na správu bezpečnosti v síti, která je odolná proti kybernetickým útokům.
Když se podíváme na situaci v Japonsku, zjistíme, že problém s únikem osobních údajů se stává stále vážnějším. Tokyo Shoko Research oznámila, že v roce 2021 došlo k rekordnímu počtu incidentů s únikem nebo ztrátou osobních údajů u veřejně obchodovaných společností, a to 137 případů, které se týkaly údajů 5,74 milionu lidí.
V tomto článku vysvětlíme právní předpisy, které byste měli znát pro bezpečné využívání dat shromážděných prostřednictvím IoT služeb.
Právní regulace v oblasti IoT byznysu
IoT, což je zkratka pro “Internet of Things”, lze doslova přeložit jako “Internet věcí”. Jedná se o systémy a služby, které propojují běžně používané předměty s internetem a umožňují jejich dálkové ovládání, automatickou identifikaci a kontrolu, čímž usnadňují a zpříjemňují náš každodenní život.
V oblasti hardware, tedy u domácích spotřebičů, existují přísné regulace, protože tyto předměty mohou mít přímý vliv na tělo uživatele.
Co se týče softwaru, jsou zde regulace spojené s komunikačními sítěmi, jako je zákon o rádiových vlnách nebo zákon o telekomunikačních službách, které vyžadují registraci a oznámení pro provozování podnikání.
Podrobnější informace o právních regulacích týkajících se hardware a software v IoT najdete v tomto článku, proto vás zveme k jeho prostudování.
Související článek: Vysvětlení právních regulací hardwaru a softwaru, na které byste měli dát pozor v IoT byznysu[ja]
V IoT byznysu dochází k propojení tradičních zařízení s internetem a k využívání shromážděných informací. Proto je důležité nejen dodržování právních regulací hardwaru a softwaru, ale také způsob, jakým se zpracovávají nahromaděné informace, což představuje další významný problém.
Právní problémy spojené s využíváním dat získaných prostřednictvím IoT
Zařízení IoT mohou představovat riziko neúmyslného shromažďování a využívání dat o životě uživatelů.
I když uživatelé souhlasí s využíváním svých osobních údajů při registraci, kvůli povaze IoT dochází při každém použití k shromažďování informací o chování, což vede k následujícím problémům:
- Ochrana osobních údajů
- Ochrana soukromí
- Čelit kybernetickým útokům
Zde vysvětlíme právní problémy spojené s používáním zařízení IoT.
IoT a ochrana osobních údajů
Ne všechna data shromážděná IoT zařízeními jsou sama o sobě chráněna jako osobní údaje. Stávají se předmětem ochrany podle zákona o ochraně osobních údajů, pokud jsou data o uživatelské registraci a životních informacích propojena tak, že umožňují identifikaci jednotlivce.
Proto poskytovatelé služeb chytré domácnosti, kteří propojují data o životním stylu s informacemi o uživatelích, nesou povinnosti jakožto podnikatelé podle článku 2 odstavce 5 Japonského zákona o ochraně osobních údajů[ja], které zahrnují následující:
<Povinnosti podle článků 19 až 26 Japonského zákona o ochraně osobních údajů>
- Zajištění přesnosti dat a povinnost jejich vymazání
- Povinnost zabezpečení bezpečnostních opatření
- Povinnost dohledu nad zaměstnanci
- Povinnost dohledu nad subdodavateli
- Omezení poskytování dat třetím stranám a povinnost uchovávání záznamů
Při zpracování osobních údajů je nutné co nejvíce specifikovat účel jejich použití a tento účel oznámit nebo zveřejnit dotčené osobě. Jakmile již není potřeba osobní údaje používat, měly by být rychle zpracovány. Je také nezbytné věnovat maximální pozornost prevenci úniku informací a zajistit, aby byla tato opatření důsledně dodržována zaměstnanci a subdodavateli.
Základním pravidlem je, že poskytování získaných osobních údajů třetím stranám je omezeno. Nicméně, pro zlepšení služeb je někdy nutné poskytnout údaje třetím stranám. V takovém případě je nutné provést anonymizaci údajů do takové míry, aby nebylo možné obnovit původní osobní informace.
Dále, v dubnu 2022 (Reiwa 4) byl zaveden revidovaný Japonský zákon o ochraně osobních údajů, který nově stanovuje ochranu práv subjektů údajů, zvýšení odpovědnosti podnikatelů a pravidla pro poskytování údajů třetím stranám ze strany zahraničních podnikatelů.
Tato revize klade důraz na následujících pět hledisek, které jsou pro Osobní informační ochrannou komisi důležité:
- Ochrana práv a zájmů jednotlivců
- Rovnováha mezi ochranou a využíváním
- Soulad s mezinárodními trendy
- Reakce na změny rizik ze strany zahraničních podnikatelů
- Adaptace na éru AI a velkých dat
Reference: Kontrolní seznam pro revidovaný Japonský zákon o ochraně osobních údajů[ja]
IoT a právo na soukromí
I když shromažďovaná data o životním stylu nemusí odpovídat osobním údajům, je třeba je pečlivě zpracovávat, protože mohou vést k pochopení chování jednotlivce. Například informace o časech používání elektřiny nebo plynu mohou být zneužity pro trestnou činnost, jako jsou vloupání, pokud dojde k jejich úniku.
Na druhé straně, pro zvýšení kvality služeb chytré domácnosti je nezbytné pochopit a využít informace o chování uživatele. Aby bylo možné využít osobní data pro zlepšení služeb a zároveň chránit soukromí, je vyžadováno, aby se i v případě, že data neodpovídají osobním údajům, zacházelo s nimi v souladu s Japonským zákonem o ochraně osobních údajů.
IoT a kybernetická bezpečnost
Podnikání v oblasti IoT (Internet věcí) stojí na shromažďování, správě a využívání informací, které mohou zasahovat do osobních údajů a práv na ochranu soukromí. Tyto informace jsou akumulovány a spravovány prostřednictvím internetu, což znamená, že opatření pro kybernetickou bezpečnost zařízení připojených k síti jsou nezbytná.
V následujícím textu vysvětlíme, jaká preventivní opatření pro kybernetickou bezpečnost byste měli přijmout a jakou odpovědnost nesete v případě, že se stanete terčem kybernetického útoku.
Odpovědnost výrobců zařízení: Zákon o odpovědnosti za výrobky
Pokud bylo zařízení IoT napadeno kybernetickým útokem, výrobce zařízení může čelit nároku na odškodnění podle Zákona o odpovědnosti za výrobky (Japanese Product Liability Law).
Kritéria pro vznik odpovědnosti podle Zákona o odpovědnosti za výrobky jsou následující:
- Existence vady na výrobku
- Způsobení újmy na životě, těle nebo majetku jiné osoby
- Vznik škody
Pod bodem 1 se rozumí “vada”, kdy výrobek postrádá “běžně očekávanou bezpečnost”, a může být rozdělena na vady výrobní, konstrukční a vady v instrukcích nebo varováních.
Zda výrobce zařízení ponese odpovědnost za kybernetický útok, bude posuzováno na základě následujících okolností:
- Zda výrobek v době předání splňoval očekávanou úroveň technologie
- Zda byl v souladu s veřejně dostupnými nejnovějšími směrnicemi nebo vlastními standardy
Výrobce zařízení může uniknout odpovědnosti, pokud dokáže, že si nebyl vědom existence vady. Nicméně, musí prokázat, že ani nejvyšší úroveň technologie v době předání vady neodhalila, což znamená, že pravděpodobnost uznání takového důkazu je nízká.
Odpovědnost správce sítě: Občanský zákoník
Při kybernetickém útoku na síť a následném úniku informací může dojít k požadavku na odškodnění na základě občanského zákoníku, nikoli na základě zákona o odpovědnosti za výrobky, a to z následujících důvodů:
- Porušení smlouvy mezi správcem sítě a uživatelem
- Porušení povinnosti správce sítě zabezpečit adekvátní bezpečnostní opatření, což vede k nesplnění závazků
- Odpovědnost za protiprávní jednání správce sítě způsobené nedbalostí (článek 709 Občanského zákoníku)
V každém z těchto případů bude klíčovou otázkou, zda správce sítě zanedbal “adekvátní bezpečnostní opatření” z nedbalosti.
Navíc existují soudní případy, které ukazují, že “adekvátní bezpečnostní opatření” zahrnují nejen opatření odpovídající standardům dohodnutým v době uzavření smlouvy, ale také opatření v souladu s pokyny zveřejněnými v době kybernetického útoku (Tokyo District Court, 23. ledna 2014 (Heisei 26)).
Proto je nezbytné, aby správci sítě byli neustále informováni o aktualizacích důležitých pokynů a podle potřeby aktualizovali software.
<Aktuální pokyny pro informační bezpečnost>
- Pokyny pro IoT bezpečnost verze 1.0[ja] | Ministerstvo hospodářství, obchodu a průmyslu
- Obecný rámec pro zabezpečení bezpečných IoT systémů[ja] | NISC
- Průvodce návrhem bezpečnosti pro vývoj IoT | IPA
Související článek: Poškození způsobené kybernetickým útokem. Jaká je odpovědnost systémového dodavatele za odškodnění? Vysvětlení s příklady z kontraktů[ja]
Shrnutí: IoT podnikání vyžaduje specializované právní porozumění
IoT podnikání se vyvíjí shromažďováním a využíváním informací o osobních údajích a soukromí uživatelů prostřednictvím internetu.
Z tohoto důvodu musí podnikatelé nést odpovědnost nejen jako výrobci spotřební elektroniky, ale také jako správci osobních údajů, a musí věnovat pozornost aktualizacím zákonů o ochraně osobních údajů a bezpečnostních směrnic.
V případě nehody výrobku může dojít nejen k ohrožení zdraví uživatele, ale také k šíření škod na neurčitý počet osob v důsledku úniku informací.
Při zahájení IoT podnikání je důležité konzultovat s právníkem, který má široké znalosti od zákonů o odpovědnosti za výrobky až po zákony o ochraně osobních údajů a nejnovější bezpečnostní směrnice.
Představení opatření naší kanceláře
Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se obchodní činnost v oblasti IoT (Internet věcí) těší rostoucí pozornosti a potřeba právního posouzení neustále narůstá. Naše kancelář poskytuje řešení související s IoT podnikáním.
Oblasti působnosti advokátní kanceláře Monolith: Právní služby pro IT a startupové společnosti[ja]