Kegunaan Data yang Dikumpul Melalui Perkhidmatan IoT dan Isu-isu Perundangan yang Berkaitan
Dalam beberapa tahun kebelakangan ini, peranti IoT seperti peralatan rumah pintar semakin banyak digunakan dalam kalangan isi rumah. Walaupun sangat berguna, peranti yang bersambung ke internet ini terdedah kepada risiko kebocoran maklumat. Bagi mereka yang ingin memulakan perniagaan IoT, penting untuk tidak hanya memastikan keselamatan peralatan rumah tangga, tetapi juga pengurusan keselamatan dalam rangkaian yang tahan terhadap serangan siber.
Apabila kita melihat ke dalam negara, masalah kebocoran maklumat peribadi sudah menjadi semakin serius. Tokyo Shoko Research melaporkan bahawa pada tahun 2021 (Reiwa 3), terdapat jumlah insiden kebocoran dan kehilangan maklumat peribadi syarikat tersenarai yang tertinggi dengan 137 kes, melibatkan data sebanyak 5.74 juta orang.
Artikel ini akan menjelaskan tentang peraturan yang perlu diketahui untuk penggunaan data yang dikumpul melalui perkhidmatan IoT dengan selamat.
Peraturan Undang-Undang Berkaitan Bisnes IoT
IoT, singkatan bagi ‘Internet of Things’, jika diterjemahkan secara langsung bermaksud ‘Internet bagi Perkara’. Ini merujuk kepada sistem dan perkhidmatan yang menjadikan kehidupan kita lebih mudah dengan menghubungkan barang-barang yang kita gunakan setiap hari ke internet, membolehkan pengendalian dari jauh, pengesanan automatik, dan fungsi kawalan automatik.
Dari segi perkakasan sebagai peralatan rumah, terdapat peraturan ketat kerana ia berpotensi memberi kesan langsung kepada badan pengguna.
Di sisi perisian pula, undang-undang seperti ‘Japanese Radio Act’ dan ‘Japanese Telecommunications Business Act’ mengatur rangkaian komunikasi dan memerlukan pendaftaran atau pemberitahuan untuk menjalankan perniagaan.
Untuk maklumat lanjut mengenai peraturan undang-undang yang berkaitan dengan aspek perkakasan dan perisian IoT, sila rujuk artikel ini.
Artikel Berkaitan: Penjelasan mengenai peraturan undang-undang yang perlu diberi perhatian dalam bisnes IoT dari segi perkakasan dan perisian[ja]
Dalam bisnes IoT, terdapat ciri-ciri yang menghubungkan peranti tradisional ke internet dan menggunakan maklumat yang dikumpul. Oleh itu, selain dari peraturan undang-undang perkakasan dan perisian, bagaimana maklumat yang dikumpul itu diproses juga merupakan isu penting yang timbul.
Isu-isu Perundangan Berkaitan Penggunaan Data yang Diperoleh Melalui IoT
Peranti IoT berpotensi mengumpul dan menggunakan data kehidupan pengguna secara tidak sengaja.
Walaupun pengguna telah bersetuju dengan penggunaan maklumat peribadi mereka semasa pendaftaran pengguna, sifat IoT yang mengumpul maklumat tingkah laku setiap kali digunakan boleh menyebabkan masalah seperti berikut:
- Perlindungan maklumat peribadi
- Perlindungan privasi
- Pengendalian serangan siber
Di sini, kami akan menjelaskan isu-isu perundangan yang terkandung dalam peranti IoT ini.
IoT dan Perlindungan Data Peribadi
Tidak semua data yang dikumpulkan oleh peranti IoT dilindungi sebagai maklumat peribadi secara individu. Apabila data pendaftaran pengguna dan maklumat kehidupan dihubungkan sehingga dapat mengenal pasti individu, ia akan menjadi subjek di bawah Undang-Undang Perlindungan Maklumat Peribadi Jepun.
Oleh itu, penyedia perkhidmatan rumah pintar yang menghubungkan data kehidupan dengan maklumat pengguna perlu memikul tanggungjawab berikut sebagai pengusaha di bawah Perenggan 5, Artikel 2 Undang-Undang Perlindungan Maklumat Peribadi Jepun[ja]:
<Tanggungjawab di bawah Artikel 19 hingga Artikel 26 Undang-Undang Perlindungan Maklumat Peribadi>
- Memastikan ketepatan data dan kewajipan pemadaman
- Kewajipan langkah pengurusan keselamatan
- Kewajipan pengawasan pekerja
- Kewajipan pengawasan pihak yang diberi kuasa
- Pembatasan pemberian data kepada pihak ketiga dan kewajipan penyimpanan rekod
Dalam pengurusan maklumat peribadi, adalah penting untuk menentukan tujuan penggunaan secara spesifik dan memaklumkan atau mengumumkan tujuan tersebut kepada subjek data. Apabila tidak lagi perlu menggunakan maklumat peribadi, ia harus segera diproses. Selain itu, langkah berhati-hati harus diambil untuk mengelakkan kebocoran maklumat, dan ini harus ditekankan kepada pekerja serta pihak yang diberi kuasa.
Secara asasnya, pemberian maklumat peribadi yang diperoleh kepada pihak ketiga adalah terhad. Namun, kadangkala pemberian kepada pihak ketiga diperlukan untuk peningkatan perkhidmatan. Dalam hal ini, perlu dilakukan pemprosesan anonimisasi sehingga maklumat peribadi asal tidak dapat dipulihkan.
Di samping itu, dalam pindaan Undang-Undang Perlindungan Maklumat Peribadi yang dikuatkuasakan pada April 2022, hak perlindungan subjek data diperkuat dan tanggungjawab pengusaha diperberat, serta peruntukan baru mengenai pemberian data kepada pengusaha asing diperkenalkan.
Pindaan ini menekankan lima perspektif berikut yang dianggap penting oleh Komisi Perlindungan Maklumat Peribadi Jepun:
- Pelindungan hak dan kepentingan peribadi
- Keseimbangan antara perlindungan dan penggunaan
- Keselarasan dengan aliran global
- Penyesuaian terhadap perubahan risiko oleh pengusaha asing
- Penyesuaian terhadap era AI dan Big Data
Rujukan: Checklist Pematuhan Pindaan Undang-Undang Perlindungan Maklumat Peribadi[ja]
IoT dan Hak Privasi
Walaupun data kehidupan yang dikumpul tidak termasuk dalam maklumat peribadi, informasi tentang kehidupan harian perlu ditangani dengan berhati-hati kerana ia boleh membawa kepada pemahaman tentang tingkah laku individu. Sebagai contoh, maklumat seperti waktu penggunaan elektrik dan gas, jika bocor, boleh disalahgunakan untuk jenayah seperti pecah rumah.
Di sisi lain, untuk meningkatkan kualiti perkhidmatan rumah pintar, adalah penting untuk memahami dan menggunakan maklumat tingkah laku individu. Untuk menggunakan data peribadi sambil melindungi privasi demi peningkatan perkhidmatan, adalah wajar untuk mengambil tindakan yang sesuai dengan Undang-Undang Perlindungan Maklumat Peribadi Jepun, walaupun maklumat tersebut tidak dianggap sebagai maklumat peribadi.
IoT dan Keselamatan Siber
Bisnes IoT bergantung pada pengumpulan, pengurusan, dan penggunaan maklumat yang mungkin melanggar hak peribadi dan privasi. Oleh kerana maklumat ini dikumpul dan diuruskan melalui internet, langkah-langkah keselamatan siber untuk peranti yang disambungkan ke rangkaian adalah sangat penting.
Di bawah ini, kami akan menerangkan langkah-langkah keselamatan siber yang sepatutnya diambil sebelumnya dan tanggungjawab yang harus dipikul sekiranya terjadi serangan siber.
Tanggungjawab Pengilang Peranti: Akta Tanggungjawab Produk
Jika peranti IoT terkena serangan siber, pengilang peranti mungkin akan menghadapi tuntutan ganti rugi di bawah Akta Tanggungjawab Produk Jepun.
Kriteria untuk timbulnya tanggungjawab di bawah Akta Tanggungjawab Produk adalah seperti berikut:
- Adanya kecacatan pada produk yang dihasilkan
- Kecacatan tersebut telah menyebabkan pelanggaran terhadap nyawa, badan, atau harta benda orang lain
- Kerugian telah berlaku
Dalam poin 1, ‘kecacatan’ merujuk kepada keadaan di mana produk tersebut tidak memiliki ‘keselamatan yang seharusnya ada’, dan boleh dibahagikan kepada kecacatan pembuatan, kecacatan reka bentuk, dan kecacatan arahan atau amaran.
Apakah pengilang akan bertanggungjawab atas serangan siber yang sebenarnya terjadi, akan dinilai berdasarkan situasi berikut:
- Apakah produk tersebut memenuhi standard teknologi yang diharapkan pada masa penyerahan
- Apakah produk tersebut sesuai dengan garis panduan terkini yang diterbitkan atau standard sukarela
Pengilang peranti boleh mengelakkan tanggungjawab jika dapat membuktikan bahawa kecacatan tersebut tidak dapat dikenal pasti pada masa penyerahan. Namun, mereka harus membuktikan bahawa kecacatan tersebut tidak dapat dikenal pasti walaupun dengan menggunakan teknologi tercanggih pada masa penyerahan, yang mana kemungkinan untuk diakui adalah rendah.
Tanggungjawab Pengurus Rangkaian: Undang-Undang Sivil Jepun
Apabila rangkaian mengalami serangan siber dan berlakunya kebocoran maklumat, bukan berdasarkan Undang-Undang Tanggungjawab Produk Jepun tetapi berdasarkan Undang-Undang Sivil Jepun, pengurus rangkaian mungkin menghadapi tuntutan ganti rugi atas sebab-sebab berikut:
- Pelanggaran kontrak antara pengurus rangkaian dan pengguna
- Pengabaian kewajipan pengurus rangkaian dalam mengambil langkah keselamatan, yang menyebabkan kegagalan dalam melaksanakan tanggungjawab
- Tanggungjawab atas perbuatan salah yang disebabkan oleh kecuaian pengurus rangkaian (Pasal 709 Undang-Undang Sivil Jepun)
Untuk setiap sebab, isu utama yang dipertikaikan adalah sama ada pengurus rangkaian telah cuai dalam melaksanakan langkah keselamatan yang sepatutnya.
Juga, terdapat kes mahkamah yang menunjukkan bahawa “langkah keselamatan yang sepatutnya” bukan sahaja merujuk kepada langkah yang sesuai dengan standard pada masa kontrak, tetapi juga langkah yang selaras dengan garis panduan yang diterbitkan pada masa serangan siber berlaku (Keputusan Mahkamah Daerah Tokyo, 23 Januari 2014 (Heisei 26)).
Oleh itu, pengurus rangkaian perlu sentiasa mengetahui maklumat terkini mengenai garis panduan penting dan mengemas kini perisian mengikut keperluan, walaupun setelah penyerahan produk.
Garis Panduan Keselamatan Maklumat Terkini:
- Garis Panduan Keselamatan IoT versi 1.0[ja] | Kementerian Perdagangan, Perindustrian dan Ekonomi Jepun
- Kerangka Umum untuk Keselamatan Sistem IoT yang Selamat[ja] | NISC Jepun
- Panduan Reka Bentuk Keselamatan untuk Pembangunan IoT | IPA Jepun
Artikel Berkaitan: Kerosakan akibat serangan siber. Apakah tanggungjawab ganti rugi vendor sistem? Penjelasan contoh dalam kontrak[ja]
Kesimpulan: Kepakaran Undang-Undang Khusus Diperlukan dalam Bisnes IoT
Bisnes IoT mempunyai sifat yang berkembang melalui pengumpulan dan pemanfaatan maklumat peribadi pengguna serta maklumat privasi melalui internet.
Oleh itu, para pengusaha tidak hanya bertanggungjawab atas kewajipan produk sebagai peralatan rumah tangga, tetapi juga harus peka terhadap kemas kini Undang-Undang Perlindungan Data Peribadi Jepun dan garis panduan keselamatan maklumat.
Jika terjadi kecelakaan produk, bukan sahaja boleh memberi kesan kepada kesihatan pengguna, tetapi juga kebocoran maklumat boleh menyebabkan kerugian kepada orang ramai yang tidak terbatas.
Ketika memulakan bisnes IoT, adalah penting untuk berunding dengan peguam yang memiliki pengetahuan luas, mulai dari Undang-Undang Tanggungjawab Produk hingga Undang-Undang Perlindungan Data Peribadi dan garis panduan keselamatan maklumat terkini.
Panduan Langkah-langkah oleh Pejabat Kami
Pejabat Guaman Monolith adalah sebuah firma guaman yang memiliki pengalaman luas dalam IT, khususnya undang-undang internet. Dalam beberapa tahun kebelakangan ini, perniagaan IoT telah mendapat perhatian yang meningkat, dan keperluan untuk pemeriksaan legal semakin bertambah. Pejabat kami menyediakan solusi bagi perniagaan IoT.
Bidang yang ditangani oleh Pejabat Guaman Monolith: Undang-undang Korporat untuk IT & Syarikat Permulaan[ja]