Az IoT-szolgáltatások által gyűjtött adatok felhasználása és a jogi problémák

Az utóbbi években, mint a smart háztartási eszközök esetében, az IoT-eszközök bevezetése a háztartásokban is előrehaladott. Bár ezek az eszközök rendkívül kényelmesek, az internethez való csatlakozás miatt ki vannak téve az információszivárgás veszélyének. Az IoT-üzlet elindításakor nemcsak a háztartási eszközök biztonságosságát kell szem előtt tartani, hanem a hálózati biztonság kezelését is, amelynek ellenállnia kell a kibertámadásoknak.

Ha a hazai helyzetre tekintünk, a személyes adatok szivárgásának problémája már súlyosbodott, és a Tokyo Shoko Research (東京商工リサーチ) jelentése szerint 2021-ben a tőzsdei cégeknél előforduló személyes adatok szivárgásának és elvesztésének esetei elértek egy rekordmagas számot, 137 esetet, ami 5,74 millió ember adatait érintette.

Ebben a cikkben az IoT-szolgáltatások által gyűjtött adatok biztonságos felhasználásához szükséges ismernivaló jogszabályokat fogjuk ismertetni.

Az IoT üzletágat érintő jogszabályi szabályozás

Az IoT a „Internet of Things”, azaz a „Dolgok Internete” rövidítése, ami lényegében azokat a rendszereket és szolgáltatásokat jelenti, amelyek az internetre kapcsolják a mindennapi használati tárgyainkat, lehetővé téve távoli irányításukat, automatikus felismerésüket és vezérlésüket, ezzel megkönnyítve életünket.

A háztartási eszközök hardveres aspektusát illetően szigorú szabályozások vannak érvényben, mivel közvetlenül befolyásolhatják a felhasználók testi épségét.

A szoftveres oldalon pedig a kommunikációs hálózatokat szabályozó japán „Denpahō” (Rádiótörvény) és a japán „Denki Tsūshin Jigyōhō” (Elektronikus Kommunikációs Üzleti Törvény) értelmében regisztrációra és bejelentésre van szükség az üzleti tevékenység végzéséhez.

Az IoT hardveres és szoftveres szabályozásáról részletesen ebben a cikkben tájékozódhat, kérjük, olvassa el azt is.

Kapcsolódó cikk: Az IoT üzletágban figyelembe veendő hardveres és szoftveres jogszabályi szabályozások magyarázata[ja]

Az IoT üzletágban a hagyományos eszközök internetre kapcsolása és a gyűjtött információk felhasználása jellemző. Emiatt nem csak a hardveres és szoftveres szabályozások fontosak, hanem az is, hogy hogyan kezeljük az összegyűjtött információkat, ami szintén lényeges kérdésként merül fel.

Az IoT által gyűjtött adatok felhasználásával kapcsolatos jogi kérdések

Az IoT-eszközök veszélyt rejtenek magukban, hogy a felhasználók életével kapcsolatos adatokat akaratlanul is gyűjtenek és használnak fel.

Még ha a felhasználók a regisztrációkor hozzájárulnak személyes adataik felhasználásához, az IoT jellegéből adódóan minden egyes használatkor gyűjti a viselkedési információkat, ami a következő problémákat eredményezheti:

• Személyes adatok védelme
• Magánélet védelme
• Cybertámadások kezelése

Ebben a részben az IoT-eszközök jogi szempontból rejtett kérdéseit tárgyaljuk.

IoT és a személyes adatok

Az IoT-eszközök által gyűjtött adatok nem minősülnek automatikusan személyes adatoknak, amelyek védelem alá esnek. Amikor a felhasználói regisztráció és az életviteli adatok összekapcsolásra kerülnek, és lehetővé teszik a személy azonosítását, akkor válnak a Japán Személyes Adatok Védelméről szóló Törvény[ja] 2. cikk 5. pontja szerinti védelem tárgyává.

Ezért azok a vállalkozások, amelyek a smart home szolgáltatások keretében összekapcsolják az életviteli adatokat a felhasználói információkkal, a következő kötelezettségeket vállalják a Japán Személyes Adatok Védelméről szóló Törvény 19. és 26. cikkei alapján:

＜A Japán Személyes Adatok Védelméről szóló Törvény 19. és 26. cikkei szerinti kötelezettségek＞

• Adatok pontosságának biztosítása és törlési kötelezettség
• Biztonsági intézkedések kötelezettsége
• Alkalmazottak felügyeletének kötelezettsége
• Megbízottak felügyeletének kötelezettsége
• Harmadik feleknek történő adattovábbítás korlátozása és nyilvántartási kötelezettség

A személyes adatok kezelése során a lehető legpontosabban meg kell határozni a felhasználás célját, és ezt a célt be kell jelenteni vagy nyilvánosságra kell hozni az érintett személy számára. Ha nincs további szükség a személyes adatok felhasználására, azokat haladéktalanul feldolgozni kell. Emellett az információszivárgás megelőzése érdekében a legnagyobb gondossággal kell eljárni, és ezt az alaposságot az alkalmazottak és a megbízottak körében is következetesen érvényesíteni kell.

Alapvetően a megszerzett személyes adatok harmadik felek részére történő továbbítása korlátozott. Azonban a szolgáltatások fejlesztése érdekében néha szükségessé válhat harmadik feleknek történő adattovábbítás is. Ilyenkor az eredeti személyes adatokat olyan mértékben kell anonimizálni, hogy azok ne legyenek visszaállíthatók.

Továbbá, a 2022 áprilisában (2022) hatályba lépett módosított Japán Személyes Adatok Védelméről szóló Törvény az érintettek jogainak erősítése mellett a vállalkozások felelősségét is növelte, és új szabályokat vezetett be a külföldi vállalkozások általi adattovábbításra vonatkozóan.

E módosítás során a Japán Személyes Adatok Védelméről szóló Törvény kiemelt figyelmet fordított az alábbi öt szempontra:

1. Személyek jogainak és érdekeinek védelme
2. A védelem és a felhasználás egyensúlya
3. A nemzetközi trendekkel való összhang
4. A külföldi vállalkozások által jelentett kockázatok kezelése
5. Az AI és a big data korának megfelelő válaszok

Forrás: A módosított Japán Személyes Adatok Védelméről szóló Törvény ellenőrzési pontjai[ja]

Az IoT és a személyiségi jogok

Az életvitellel kapcsolatos adatok gyűjtése még akkor is óvatosságot igényel, ha azok nem minősülnek személyes adatnak, mivel az életinformációk hozzájárulhatnak az érintett személy viselkedésének megértéséhez. Például az elektromos áram vagy a gáz használatának időszakára vonatkozó információk kiszivároghatnak, és ezeket bűnözők használhatják fel például betörésekhez.

Másrészről, a smart home szolgáltatások minőségének javítása érdekében szükséges az érintett személy viselkedési információinak megismerése és felhasználása. A személyes adatok védelme mellett a szolgáltatások fejlesztése érdekében szükséges az adatok felhasználása úgy, hogy közben tiszteletben tartjuk a magánélet védelmét, és még a személyes adatoknak nem minősülő esetekben is a személyes adatok védelméről szóló japán törvénynek megfelelően járjunk el.

IoT és kiberbiztonság

Az IoT-üzletág azáltal jön létre és fejlődik, hogy személyes adatokat és a magánélethez fűződő jogokat érintő információkat gyűjt, kezel és hasznosít. Mivel az információk az interneten keresztül halmozódnak fel és kerülnek kezelésre, az összekapcsolt hálózati eszközök kiberbiztonsági védelme nélkülözhetetlen.

A következőkben ismertetjük azokat a kiberbiztonsági intézkedéseket, amelyeket előzetesen meg kell hozni, valamint a kiber támadások bekövetkezése esetén felmerülő felelősségeket.

A készülékgyártók felelőssége: A termékfelelősségi törvény

Amennyiben egy IoT-eszköz válik kibertámadás célpontjává, a készülék gyártója szembesülhet a termékfelelősségi törvény (Japanese 製造物責任法) alapján érvényesített kártérítési igénnyel.

A termékfelelősségi törvény (Japanese 製造物責任法) szerinti felelősség alapjai a következők:

1. A termék hibás volt.
2. Ennek következtében más személy életét, testi épségét vagy vagyonát sértette meg.
3. Kár keletkezett.

Az 1. pontban említett “hiba” alatt a “szokásosan elvárható biztonság” hiányát értjük, amely gyártási, tervezési, utasítási vagy figyelmeztetési hibákra osztható.

A gyártó tényleges felelősségét egy kibertámadás esetén az alábbi körülmények alapján ítélik meg:

• Az átadáskor elvárt technológiai színvonalnak megfelelt-e a termék.
• Az aktuális nyilvános irányelveknek vagy önkéntes szabványoknak megfelelt-e.

Amennyiben a gyártó bizonyítani tudja, hogy a hiba a termék átadásakor nem volt felismerhető, elkerülheti a felelősséget. Azonban bizonyítania kell, hogy még a legmagasabb technológiai színvonal mellett sem volt észlelhető a hiba, ami valóságban alacsony valószínűséggel fogadható el.

A hálózatkezelők felelőssége: Polgári Törvénykönyv

Amennyiben a hálózatot érintő kibertámadás következtében információ szivárog ki, a termékfelelősségi törvény helyett a Polgári Törvénykönyv alapján a következő okok miatt kártérítési igényeknek lehetnek kitéve:

1. A hálózatkezelő és a felhasználó közötti szerződésszegés
2. A hálózatkezelő biztonsági intézkedésekre vonatkozó kötelezettségszegése miatti szerződésszegés
3. A hálózatkezelő gondatlanságából eredő jogellenes cselekmény felelőssége (Polgári Törvénykönyv 709. cikk)

Minden esetben vita tárgyát képezi, hogy a hálózatkezelő elmulasztotta-e a szükséges biztonsági intézkedéseket, és ebben van-e mulasztása.

Továbbá, a “szükséges biztonsági intézkedések” nem csak a szerződéskötéskor érvényes szabványoknak megfelelő intézkedéseket jelentik, hanem a kibertámadás bekövetkeztekor nyilvánosságra hozott irányelveknek megfelelő intézkedéseket is, amint azt egy bírósági ítélet is kimutatta (Tokiói Kerületi Bíróság, 2014. január 23.)

Ezért a hálózatkezelőnek folyamatosan tájékozódnia kell a fontos irányelvek frissítéseiről, és szükség esetén frissítenie kell a szoftvert.

＜Jelenlegi információbiztonsági irányelvek＞

• IoT Biztonsági Irányelvek ver1.0[ja]｜Gazdasági, Kereskedelmi és Ipari Minisztérium
• Általános keretrendszer a biztonságos IoT rendszerekhez[ja]｜NISC
• Útmutató a biztonsági tervezéshez IoT fejlesztés során｜IPA

Kapcsolódó cikkek: Károk kibertámadás következtében. Milyen a rendszerszolgáltató kártérítési felelőssége? Szerződéses példák magyarázata[ja]

Összefoglalás: Az IoT-üzletágban szükség van speciális jogi ismeretekre

Az IoT-üzletág jellegéből adódóan az interneten keresztül gyűjti és hasznosítja a felhasználók személyes és magánéleti információit, ezáltal ér el fejlődést.

Emiatt a vállalkozásoknak nem csak a háztartási eszközök gyártóiként viselt termékfelelősséggel kell számolniuk, hanem mint személyes adatokat kezelő üzleti szereplőknek, oda kell figyelniük a személyes adatok védelméről szóló törvényre és az információbiztonsági irányelvek frissítéseire is.

Ha a termék hibás, nem csak a felhasználók testi épségét veszélyezteti, hanem az információszivárgás révén széles körben okozhat károkat a meghatározatlan számú érintetteknek.

Az IoT-üzletágba való belépéskor fontos, hogy olyan ügyvédekkel konzultáljunk, akik széleskörű szakértelmet nyújtanak a termékfelelősségi törvénytől kezdve a személyes adatok védelméről szóló törvényen át a legfrissebb információbiztonsági irányelvekig.

Intézkedéseink bemutatása a Monolith Ügyvédi Irodánál

A Monolith Ügyvédi Iroda az IT területén, különösen az internet és a jogi szolgáltatások terén rendelkezik jelentős tapasztalattal. Az utóbbi években az IoT üzletág egyre nagyobb figyelmet kap, és a jogi ellenőrzés szükségessége folyamatosan növekszik. Irodánk IoT üzleti megoldásokat kínáló szolgáltatásokat nyújt.

A Monolith Ügyvédi Iroda szakterületei: IT és startup vállalkozások vállalati jogi ügyei[ja]