Η αξιοποίηση δεδομένων που συλλέγονται από υπηρεσίες IoT και τα νομικά ζητήματα

Στα τελευταία χρόνια, η εισαγωγή συσκευών IoT, όπως τα έξυπνα οικιακά συσκευές, προχωράει μέσα στα σπίτια. Αν και είναι πολύ βολικές, επειδή συνδέονται με το διαδίκτυο, είναι εκτεθειμένες στον κίνδυνο διαρροής πληροφοριών. Κατά την έναρξη μιας επιχείρησης IoT, είναι σημαντικό να διασφαλίσετε όχι μόνο την ασφάλεια των οικιακών συσκευών αλλά και τη διαχείριση της ασφάλειας στο δίκτυο απέναντι σε κυβερνοεπιθέσεις.

Αν κοιτάξουμε στο εσωτερικό της χώρας, το πρόβλημα της διαρροής προσωπικών δεδομένων έχει ήδη γίνει σοβαρό. Η Τόκιο Εμπορική και Βιομηχανική Έρευνα αναφέρει ότι το 2021 (Reiwa 3) σημειώθηκαν 137 περιστατικά διαρροής ή απώλειας προσωπικών δεδομένων από εισηγμένες εταιρείες, επηρεάζοντας 5,74 εκατομμύρια ανθρώπους, το υψηλότερο αριθμό που έχει καταγραφεί ποτέ.

Σε αυτό το άρθρο, θα εξηγήσουμε τους νόμους που πρέπει να γνωρίζετε για την ασφαλή χρήση των δεδομένων που συλλέγονται από τις υπηρεσίες IoT.

Νομοθεσία που αφορά τον τομέα του IoT

Το IoT, συντομογραφία για “Internet of Things”, μεταφράζεται κυριολεκτικά ως “Διαδίκτυο των Πραγμάτων”. Αναφέρεται στη σύνδεση καθημερινών αντικειμένων με το διαδίκτυο, παρέχοντας τη δυνατότητα απομακρυσμένου ελέγχου, αυτόματης αναγνώρισης και αυτοματοποιημένου ελέγχου, με σκοπό να καταστήσει τη ζωή μας πιο εύκολη μέσω διαφόρων συστημάτων και υπηρεσιών.

Στον τομέα των οικιακών συσκευών, υπάρχουν αυστηροί κανονισμοί, καθώς αυτές έχουν τη δυνατότητα να επηρεάσουν άμεσα τη φυσική κατάσταση του χρήστη.

Όσον αφορά το λογισμικό, η νομοθεσία που ρυθμίζει τα δίκτυα επικοινωνίας, όπως ο Νόμος για τις Ραδιοεπικοινωνίες και ο Νόμος για τις Τηλεπικοινωνίες, απαιτεί εγγραφή και καταχώρηση για την εκτέλεση των επιχειρήσεων.

Για μια λεπτομερή εξήγηση των νομικών κανονισμών που αφορούν τόσο το υλικό όσο και το λογισμικό του IoT, παρακαλούμε ανατρέξτε στο παρακάτω άρθρο.

Σχετικό άρθρο: Εξηγώντας τους νομικούς κανονισμούς που πρέπει να προσέξουν οι επιχειρήσεις IoT στο υλικό και λογισμικό[ja]

Στον τομέα του IoT, υπάρχει η ιδιαιτερότητα της σύνδεσης των παραδοσιακών συσκευών με το διαδίκτυο και της χρήσης των συλλεγόμενων πληροφοριών. Επομένως, πέρα από τους κανονισμούς που αφορούν το υλικό και το λογισμικό, η επεξεργασία των συγκεντρωμένων πληροφοριών αποτελεί επίσης ένα σημαντικό ζήτημα.

Νομικά Ζητήματα στην Εκμετάλλευση Δεδομένων που Αποκτήθηκαν μέσω IoT

Οι συσκευές IoT κρύβουν τον κίνδυνο να συλλέγουν και να χρησιμοποιούν δεδομένα της καθημερινής ζωής των χρηστών με τρόπο που δεν έχει προβλεφθεί.

Ακόμη και αν οι χρήστες έχουν συμφωνήσει στην εκμετάλλευση των προσωπικών τους δεδομένων κατά την εγγραφή τους, η φύση του IoT συλλέγει συνεχώς πληροφορίες συμπεριφοράς κάθε φορά που γίνεται χρήση του, προκαλώντας τα ακόλουθα προβλήματα:

• Προστασία Προσωπικών Δεδομένων
• Προστασία της Ιδιωτικότητας
• Αντιμετώπιση Κυβερνοεπιθέσεων

Εδώ θα αναλύσουμε τα νομικά ζητήματα που συνεπάγονται οι συσκευές IoT.

IoT και Προσωπικά Δεδομένα

Όχι όλα τα δεδομένα που συλλέγονται από συσκευές IoT θεωρούνται αυτόματα ως προστατευόμενα προσωπικά δεδομένα. Όταν τα δεδομένα εγγραφής χρήστη συνδέονται με πληροφορίες καθημερινής ζωής και γίνεται δυνατή η ταυτοποίηση ατόμων, τότε αυτά υπόκεινται στην Ιαπωνική Νομοθεσία για την Προστασία Προσωπικών Δεδομένων.

Επομένως, οι πάροχοι υπηρεσιών smart home που συνδέουν δεδομένα καθημερινής ζωής με πληροφορίες χρηστών, φέρουν τις εξής υποχρεώσεις ως επιχειρήσεις σύμφωνα με το άρθρο 2, παράγραφος 5 της Ιαπωνικής Νομοθεσίας για την Προστασία Προσωπικών Δεδομένων (Άρθρο 2, Παράγραφος 5[ja]):

＜Υποχρεώσεις σύμφωνα με τα άρθρα 19 έως 26 της Ιαπωνικής Νομοθεσίας για την Προστασία Προσωπικών Δεδομένων＞

• Διασφάλιση της ακρίβειας των δεδομένων και υποχρέωση διαγραφής
• Υποχρέωση λήψης μέτρων ασφαλείας
• Υποχρέωση εποπτείας των υπαλλήλων
• Υποχρέωση εποπτείας των αναθέτων
• Περιορισμοί στην παροχή σε τρίτους και υποχρέωση διατήρησης αρχείων

Κατά τη διαχείριση προσωπικών δεδομένων, είναι απαραίτητο να καθορίζεται σαφώς ο σκοπός χρήσης και να ενημερώνεται ή να ανακοινώνεται αυτός στον ενδιαφερόμενο. Επιπλέον, όταν δεν υπάρχει πλέον ανάγκη χρήσης των προσωπικών δεδομένων, πρέπει να διαγράφονται άμεσα. Επίσης, πρέπει να λαμβάνονται μέτρα με μέγιστη προσοχή για την αποφυγή διαρροής πληροφοριών και να εξασφαλίζεται η αυστηρή εφαρμογή από τους υπαλλήλους και τους αναθέτες.

Καταρχήν, η παροχή των συλλεγμένων προσωπικών δεδομένων σε τρίτους περιορίζεται. Ωστόσο, για τη βελτίωση των υπηρεσιών, μπορεί να απαιτηθεί κάποια στιγμή η παροχή σε τρίτους. Σε αυτή την περίπτωση, πρέπει να εφαρμόζεται ανωνυμοποίηση στα δεδομένα σε βαθμό που να μην είναι δυνατή η ανάκτηση των αρχικών προσωπικών δεδομένων.

Επιπρόσθετα, με την τροποποίηση της Ιαπωνικής Νομοθεσίας για την Προστασία Προσωπικών Δεδομένων που εφαρμόστηκε τον Απρίλιο του 2022 (2022), καθορίστηκαν νέες διατάξεις για την παροχή δεδομένων σε ξένες επιχειρήσεις, ενισχύοντας την προστασία των δικαιωμάτων των ατόμων και τις ευθύνες των επιχειρήσεων.

Με αυτή την τροποποίηση, η Ιαπωνική Επιτροπή Προστασίας Προσωπικών Δεδομένων επικεντρώθηκε στις ακόλουθες πέντε προοπτικές:

1. Προστασία των δικαιωμάτων και των συμφερόντων των ατόμων
2. Ισορροπία μεταξύ προστασίας και χρήσης
3. Συμφωνία με τις διεθνείς τάσεις
4. Ανταπόκριση στις αλλαγές των κινδύνων από ξένες επιχειρήσεις
5. Ανταπόκριση στην εποχή της Τεχνητής Νοημοσύνης και των Big Data

Πηγή: Σημεία Ελέγχου για την Τροποποιημένη Ιαπωνική Νομοθεσία Προστασίας Προσωπικών Δεδομένων[ja]

Το Διαδίκτυο των Πραγμάτων (IoT) και το Δικαίωμα στην Ιδιωτικότητα

Ακόμη και όταν τα συλλεγόμενα δεδομένα της καθημερινής ζωής δεν αντιστοιχούν σε προσωπικά δεδομένα, οι πληροφορίες αυτές μπορούν να οδηγήσουν στην κατανόηση των συνηθειών ενός ατόμου, επομένως πρέπει να τις χειριζόμαστε με προσοχή. Για παράδειγμα, πληροφορίες όπως οι ώρες χρήσης του ηλεκτρικού ρεύματος ή του φυσικού αερίου μπορεί να καταλήξουν να εκμεταλλευτούν από εγκληματίες, όπως διαρρήκτες.

Από την άλλη πλευρά, για να αυξηθεί η ποιότητα των υπηρεσιών έξυπνου σπιτιού, είναι απαραίτητο να κατανοούμε και να εκμεταλλευόμαστε τις πληροφορίες σχετικά με τις συνήθειες του χρήστη. Για να χρησιμοποιήσουμε τα δεδομένα του ατόμου για τη βελτίωση των υπηρεσιών, προστατεύοντας ταυτόχρονα την ιδιωτικότητα, απαιτείται να δείχνουμε ευαισθησία στο θέμα της ιδιωτικότητας και να εφαρμόζουμε πρακτικές σύμφωνες με τον Νόμο Προστασίας Προσωπικών Δεδομένων, ακόμη και όταν τα δεδομένα δεν αντιστοιχούν ακριβώς σε προσωπικά δεδομένα.

IoT και Κυβερνοασφάλεια

Οι επιχειρήσεις IoT βασίζονται και προοδεύουν μέσω της συλλογής, διαχείρισης και χρήσης πληροφοριών που μπορεί να επηρεάσουν τα προσωπικά δεδομένα και τα δικαιώματα ιδιωτικότητας. Οι πληροφορίες συγκεντρώνονται και διαχειρίζονται μέσω του διαδικτύου, επομένως τα μέτρα κυβερνοασφάλειας για τις συσκευές που συνδέονται στο δίκτυο είναι απαραίτητα.

Παρακάτω, θα αναλύσουμε τα μέτρα κυβερνοασφάλειας που πρέπει να ληφθούν εκ των προτέρων, καθώς και τις ευθύνες που πρέπει να αναληφθούν σε περίπτωση που πραγματοποιηθεί κυβερνοεπίθεση.

Ευθύνη των κατασκευαστών συσκευών: Ιαπωνικός Νόμος περί Ευθύνης Προϊόντων (Product Liability Law)

Σε περίπτωση που μια συσκευή IoT υποστεί κυβερνοεπίθεση, ο κατασκευαστής της συσκευής μπορεί να αντιμετωπίσει αξιώσεις αποζημίωσης βάσει του Ιαπωνικού Νόμου περί Ευθύνης Προϊόντων.

Τα κριτήρια για την επέλευση ευθύνης βάσει του Ιαπωνικού Νόμου περί Ευθύνης Προϊόντων είναι τα εξής:

1. Το προϊόν να είχε ελαττώματα.
2. Τα ελαττώματα αυτά να προκάλεσαν παραβίαση της ζωής, της σωματικής ακεραιότητας ή της περιουσίας κάποιου τρίτου.
3. Να προκλήθηκε ζημία.

Στο σημείο 1, το “ελάττωμα” αναφέρεται σε μια κατάσταση όπου λείπει η “κανονική ασφάλεια” που θα έπρεπε να έχει το προϊόν, και μπορεί να διακριθεί σε ελαττώματα κατασκευής, σχεδιασμού ή οδηγιών/προειδοποιήσεων.

Εάν ένας κατασκευαστής θα φέρει ευθύνη μετά από μια κυβερνοεπίθεση εξαρτάται από τις παρακάτω συνθήκες:

• Εάν το προϊόν ικανοποιούσε το τεχνολογικό επίπεδο που αναμενόταν κατά την παράδοση.
• Εάν ήταν σύμφωνο με τις δημοσιευμένες τελευταίες οδηγίες ή τα αυτορρυθμιζόμενα πρότυπα.

Οι κατασκευαστές συσκευών μπορούν να αποφύγουν την ευθύνη αν αποδείξουν ότι δεν ήταν δυνατόν να γνωρίζουν τα ελαττώματα. Ωστόσο, πρέπει να αποδείξουν ότι τα ελαττώματα δεν ήταν αναγνωρίσιμα ακόμα και με τη χρήση της υψηλότερης τεχνολογικής προόδου που υπήρχε κατά την παράδοση, γεγονός που καθιστά την πιθανότητα αποδοχής της απόδειξης αυτής χαμηλή.

Ευθύνες Διαχειριστή Δικτύου: Ελληνικός Αστικός Κώδικας

Σε περίπτωση που ένα δίκτυο υποστεί κυβερνοεπίθεση και προκύψει διαρροή πληροφοριών, ο διαχειριστής μπορεί να αντιμετωπίσει αξιώσεις αποζημίωσης βάσει του Ελληνικού Αστικού Κώδικα και όχι του νόμου περί ευθύνης από προϊόντα, για τους ακόλουθους λόγους:

1. Παραβίαση της συμβατικής σχέσης μεταξύ διαχειριστή δικτύου και χρήστη
2. Παράβαση της υποχρέωσης του διαχειριστή δικτύου για μέτρα ασφαλείας, η οποία οδηγεί σε αθέτηση των υποχρεώσεων
3. Ευθύνη για παράνομη πράξη λόγω αμέλειας του διαχειριστή δικτύου (Ελληνικός Αστικός Κώδικας άρθρο 709)

Σε κάθε περίπτωση, το κρίσιμο ζήτημα είναι αν ο διαχειριστής δικτύου έχει παραλείψει τα απαραίτητα μέτρα ασφαλείας λόγω αμέλειας.

Επιπλέον, υπάρχουν περιπτώσεις όπου τα δικαστήρια έχουν δείξει ότι τα “απαραίτητα μέτρα ασφαλείας” δεν περιλαμβάνουν μόνο τα μέτρα που συμφωνήθηκαν κατά τη σύναψη της συμβάσεως, αλλά και εκείνα που προβλέπονται από τις κατευθυντήριες γραμμές που δημοσιεύονται κατά την ώρα της επίθεσης (Απόφαση Τοκίου, 26ης Ιανουαρίου 2014 (Heisei 26.1.23)).

Ως εκ τούτου, οι διαχειριστές δικτύων πρέπει να παρακολουθούν συνεχώς τις ενημερώσεις των σημαντικών κατευθυντήριων γραμμών και να ενημερώνουν το λογισμικό τους όποτε χρειάζεται.

＜Τρέχουσες Κατευθυντήριες Γραμμές Πληροφοριακής Ασφάλειας＞

• Κατευθυντήριες Γραμμές Ασφάλειας IoT ver1.0｜Ιαπωνικό Υπουργείο Οικονομίας, Εμπορίου και Βιομηχανίας
• Γενικό Πλαίσιο για την Ασφάλεια Συστημάτων IoT｜NISC
• Οδηγός Σχεδιασμού Ασφάλειας για την Ανάπτυξη IoT｜IPA

Σχετικό Άρθρο：Ζημιές από κυβερνοεπίθεση. Ποια είναι η ευθύνη αποζημίωσης του προμηθευτή συστημάτων; Ανάλυση παραδείγματος συμβατικής διάταξης[ja]

Συνοπτικά: Η IoT επιχείρηση απαιτεί εξειδικευμένη νομική κατανόηση

Η επιχείρηση IoT χαρακτηρίζεται από τη συλλογή και την αξιοποίηση πληροφοριών που αφορούν τα προσωπικά δεδομένα και την ιδιωτικότητα των χρηστών μέσω του διαδικτύου, προάγοντας έτσι την πρόοδο της.

Για αυτόν τον λόγο, οι επιχειρηματίες πρέπει να φέρουν ευθύνη όχι μόνο ως κατασκευαστές συσκευών αλλά και ως διαχειριστές προσωπικών δεδομένων, προσέχοντας τις ενημερώσεις του Νόμου Προστασίας Προσωπικών Δεδομένων και των οδηγιών ασφάλειας πληροφοριών.

Σε περίπτωση προϊοντικού ατυχήματος, οι συνέπειες μπορεί να επηρεάσουν όχι μόνο τη σωματική υγεία των χρηστών αλλά και να επεκταθούν σε απροσδιόριστο αριθμό ατόμων λόγω διαρροής πληροφοριών.

Όταν ξεκινάτε μια επιχείρηση IoT, είναι σημαντικό να συμβουλευτείτε δικηγόρους με ευρεία εξειδίκευση, από τον Νόμο Ευθύνης Προϊόντων μέχρι τον Νόμο Προστασίας Προσωπικών Δεδομένων και τις πιο πρόσφατες οδηγίες ασφάλειας πληροφοριών.

Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με πλούσια εμπειρία στον τομέα της πληροφορικής, και ειδικότερα στο διαδίκτυο και το δίκαιο. Στις μέρες μας, οι επιχειρήσεις IoT κερδίζουν ολοένα και περισσότερη προσοχή, και η ανάγκη για νομικό έλεγχο αυξάνεται συνεχώς. Το γραφείο μας προσφέρει λύσεις που αφορούν τις επιχειρήσεις IoT.

Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Εταιρικά Νομικά Θέματα IT & Επιχειρήσεων Καινοτομίας[ja]