Zastosowanie danych zebranych w usługach IoT i problemy prawne
W ostatnich latach urządzenia IoT, takie jak inteligentne sprzęty domowe, coraz częściej pojawiają się w naszych domach. Chociaż są one niezwykle wygodne, to fakt, że są podłączone do internetu, naraża je na ryzyko wycieku informacji. Rozpoczynając biznes IoT, ważne jest, aby zwrócić uwagę nie tylko na bezpieczeństwo urządzeń jako sprzętu gospodarstwa domowego, ale także na zarządzanie bezpieczeństwem w sieci, które musi być odporne na ataki cybernetyczne.
Patrząc na sytuację w kraju, problem wycieku danych osobowych staje się coraz poważniejszy. Tokyo Shoko Research donosi, że w 2021 roku (Rok Reiwa 3) odnotowano rekordową liczbę incydentów związanych z wyciekiem danych osobowych w spółkach giełdowych, które wyniosły 137 przypadków, dotyczących 5,74 miliona osób.
W tym artykule wyjaśniamy przepisy prawne, które warto znać w celu bezpiecznego wykorzystania danych zebranych przez usługi IoT.
Regulacje prawne dotyczące biznesu IoT
IoT, czyli skrót od “Internet of Things”, w dosłownym tłumaczeniu oznacza “Internet Rzeczy”. Chodzi o to, że przedmioty, z których korzystamy na co dzień, są podłączone do internetu, co umożliwia ich zdalne sterowanie, automatyczne rozpoznawanie i kontrolowanie. Dzięki temu systemy i usługi mogą uczynić nasze życie wygodniejszym.
Jeśli chodzi o aspekt sprzętowy urządzeń domowych, mogą one bezpośrednio wpływać na ciało użytkownika, dlatego podlegają surowym regulacjom.
Z kolei w aspekcie oprogramowania, istnieją regulacje takie jak japońska Ustawa o Radiokomunikacji (電波法) oraz japońska Ustawa o Usługach Telekomunikacyjnych (電気通信事業法), które wymagają rejestracji i zgłoszeń w celu prowadzenia działalności.
Szczegółowe informacje na temat regulacji prawnych dotyczących aspektów sprzętowych i oprogramowania w IoT znajdą Państwo w poniższym artykule, do którego serdecznie zapraszamy.
Powiązany artykuł: Wyjaśnienie regulacji prawnych dotyczących aspektów sprzętowych i oprogramowania w biznesie IoT[ja]
W biznesie IoT, ze względu na charakterystykę polegającą na łączeniu tradycyjnych urządzeń z internetem i wykorzystywaniu zebranych informacji, nie tylko regulacje sprzętowe i oprogramowania są istotne. Ważnym zagadnieniem staje się również sposób przetwarzania zgromadzonych danych.
Prawne aspekty wykorzystania danych pozyskanych przez IoT
Urządzenia IoT mogą niezamierzenie gromadzić i wykorzystywać dane dotyczące życia użytkowników, co niesie ze sobą ryzyko.
Nawet jeśli użytkownicy wyrazili zgodę na wykorzystanie swoich danych osobowych podczas rejestracji, ze względu na naturę IoT, które z każdym użyciem zbiera informacje o działaniach użytkownika, mogą pojawić się następujące problemy:
- Ochrona danych osobowych
- Ochrona prywatności
- Zarządzanie ryzykiem cyberataków
W tym miejscu wyjaśnimy prawne zagadnienia związane z wykorzystaniem urządzeń IoT.
IoT a ochrona danych osobowych
Nie wszystkie dane zgromadzone przez urządzenia IoT są chronione jako dane osobowe. Dopiero kiedy dane związane z rejestracją użytkownika i informacje o jego życiu codziennym zostaną połączone w sposób umożliwiający identyfikację osoby, stają się one przedmiotem ochrony zgodnie z japońską Ustawą o Ochronie Danych Osobowych (japoński Personal Information Protection Act) artykuł 2, punkt 5[ja].
W związku z tym, przedsiębiorcy oferujący usługi smart home, które łączą dane życiowe z informacjami o użytkownikach, jako podmioty określone w artykule 2, punkt 5 japońskiej Ustawy o Ochronie Danych Osobowych, mają następujące obowiązki:
<Obowiązki wynikające z artykułów 19-26 japońskiej Ustawy o Ochronie Danych Osobowych>
- Zapewnienie dokładności danych i obowiązek ich usunięcia
- Obowiązek wdrożenia środków bezpieczeństwa
- Obowiązek nadzoru nad pracownikami
- Obowiązek nadzoru nad podmiotami zewnętrznymi
- Ograniczenia w udostępnianiu danych osobom trzecim i obowiązek przechowywania dokumentacji
Przy przetwarzaniu danych osobowych należy jak najbardziej precyzyjnie określić cel ich użycia i poinformować o nim lub go opublikować. Gdy przestaną być potrzebne, dane osobowe powinny być szybko przetworzone. Ponadto, należy podjąć szczególne środki ostrożności, aby zapobiec wyciekom informacji i zapewnić ich przestrzeganie zarówno przez pracowników, jak i podmioty zewnętrzne.
Zasadniczo udostępnianie zebranych danych osobowych osobom trzecim jest ograniczone. Jednakże, czasami udostępnienie danych osobom trzecim jest konieczne dla poprawy jakości usług. W takim przypadku należy zastosować anonimizację danych do stopnia uniemożliwiającego odtworzenie oryginalnych informacji osobowych.
Ponadto, w kwietniu 2022 roku (Reiwa 4) weszła w życie nowelizacja japońskiej Ustawy o Ochronie Danych Osobowych, która wprowadza nowe regulacje dotyczące udostępniania danych osobom trzecim przez zagraniczne podmioty gospodarcze, a także wzmacnia ochronę praw osób fizycznych i zwiększa odpowiedzialność przedsiębiorców.
W wyniku tej nowelizacji, Japońska Komisja Ochrony Danych Osobowych skupiła się na pięciu kluczowych aspektach:
- Ochrona praw i interesów osób fizycznych
- Zrównoważenie ochrony i wykorzystania danych
- Harmonizacja z międzynarodowymi trendami
- Reagowanie na zmieniające się ryzyko ze strony zagranicznych przedsiębiorców
- Adaptacja do ery AI i Big Data
Źródło: Punkty kontrolne dotyczące nowelizacji japońskiej Ustawy o Ochronie Danych Osobowych[ja]
IoT a prawo do prywatności
Nawet jeśli zebrane dane dotyczące życia codziennego nie są uznawane za informacje osobiste, to informacje o życiu codziennym mogą prowadzić do zrozumienia zachowań danej osoby, dlatego należy je traktować z ostrożnością. Na przykład, informacje o godzinach korzystania z elektryczności czy gazu mogą zostać wykorzystane przez przestępców, takich jak włamywacze, jeśli zostaną ujawnione.
Z drugiej strony, aby poprawić jakość usług inteligentnego domu, konieczne jest zrozumienie i wykorzystanie informacji o zachowaniach użytkownika. Aby korzystać z danych osobowych w celu poprawy usług, jednocześnie chroniąc prywatność, wymagane jest podejście z uwzględnieniem prywatności i stosowanie się do ustawy o ochronie danych osobowych, nawet jeśli dane nie są uznawane za informacje osobiste.
IoT i cyberbezpieczeństwo
Biznes IoT opiera się na zbieraniu, zarządzaniu i wykorzystywaniu informacji, które mogą naruszać prywatność lub prawa do ochrony danych osobowych. Z tego względu, postęp w tej dziedzinie jest ściśle związany z tymi działaniami. Ponieważ informacje są gromadzone i zarządzane za pośrednictwem Internetu, niezbędne jest wdrożenie środków cyberbezpieczeństwa dla urządzeń podłączonych do sieci.
Poniżej wyjaśniamy, jakie środki bezpieczeństwa cybernetycznego należy podjąć z wyprzedzeniem oraz jakie obowiązki należy spełnić w przypadku, gdy dojdzie do cyberataku.
Odpowiedzialność producentów urządzeń: Japońska Ustawa o Odpowiedzialności za Produkt
Jeśli urządzenie IoT padnie ofiarą cyberataku, producent tego urządzenia może zostać pociągnięty do odpowiedzialności na podstawie Japońskiej Ustawy o Odpowiedzialności za Produkt.
Kryteria odpowiedzialności na mocy Japońskiej Ustawy o Odpowiedzialności za Produkt są następujące:
- Wystąpienie wady w produkcie
- W wyniku tej wady doszło do naruszenia życia, ciała lub mienia innej osoby
- Powstanie szkody
W punkcie 1 termin “wada” odnosi się do stanu, w którym produkt nie posiada “bezpieczeństwa, które normalnie powinien zapewniać”, i może być podzielony na wady produkcyjne, wady projektowe oraz wady w instrukcjach lub ostrzeżeniach.
Decyzja o tym, czy producent ponosi odpowiedzialność za cyberatak, zależy od następujących okoliczności:
- Czy w momencie dostarczenia produkt spełniał oczekiwany poziom techniczny
- Czy był zgodny z opublikowanymi najnowszymi wytycznymi lub dobrowolnymi standardami
Producent urządzenia może uniknąć odpowiedzialności, jeśli udowodni, że nie był w stanie rozpoznać wady. Jednakże, musi on udowodnić, że nawet najwyższy poziom techniczny dostępny w momencie dostarczenia produktu nie pozwalał na wykrycie wady, co w praktyce czyni uznanie takiego dowodu za mało prawdopodobne.
Odpowiedzialność administratora sieci: Kodeks cywilny
W przypadku ataku cybernetycznego na sieć i wystąpienia wycieku informacji, możliwe jest żądanie odszkodowania na podstawie Kodeksu cywilnego, a nie na podstawie japońskiej Ustawy o odpowiedzialności za produkt (jap. 製造物責任法), z następujących przyczyn:
- Naruszenie umowy między administratorem sieci a użytkownikiem
- Niewykonanie obowiązku zabezpieczenia sieci przez administratora, co prowadzi do niewykonania zobowiązań
- Odpowiedzialność za czyn niedozwolony z powodu niedbalstwa administratora sieci (art. 709 Kodeksu cywilnego)
W każdym z tych przypadków sporny jest fakt, czy administrator sieci zaniedbał “odpowiednie środki bezpieczeństwa”.
Ponadto istnieją precedensy sądowe wskazujące, że “odpowiednie środki bezpieczeństwa” to nie tylko te, które były zgodne ze standardami w momencie zawarcia umowy, ale również te, które są zgodne z wytycznymi opublikowanymi w momencie wystąpienia ataku cybernetycznego (wyrok Sądu Okręgowego w Tokio z dnia 23 stycznia 2014 roku (Heisei 26)).
Dlatego administrator sieci musi być na bieżąco z ważnymi aktualizacjami wytycznych i w razie potrzeby aktualizować oprogramowanie.
Aktualne wytyczne dotyczące bezpieczeństwa informacji:
- Wytyczne bezpieczeństwa IoT ver1.0[ja] | Ministerstwo Gospodarki, Handlu i Przemysłu
- Ogólna struktura bezpieczeństwa dla bezpiecznych systemów IoT[ja] | NISC
- Przewodnik po projektowaniu bezpieczeństwa w rozwoju IoT[ja] | IPA
Powiązany artykuł: Odszkodowanie za atak cybernetyczny. Jaka jest odpowiedzialność dostawcy systemu? Wyjaśnienie przykładów zapisów w umowie[ja]
Podsumowanie: Biznes IoT wymaga specjalistycznej wiedzy prawnej
Biznes IoT charakteryzuje się gromadzeniem i wykorzystywaniem informacji o użytkownikach, w tym danych osobowych i prywatności, za pośrednictwem Internetu, co przyczynia się do jego rozwoju.
W związku z tym przedsiębiorcy nie tylko ponoszą odpowiedzialność za produkt jako urządzenie gospodarstwa domowego, ale jako podmioty przetwarzające dane osobowe, muszą również zwracać uwagę na aktualizacje ustawy o ochronie danych osobowych oraz wytycznych dotyczących bezpieczeństwa informacji.
W przypadku wypadku związanego z produktem, nie tylko zdrowie użytkowników może być zagrożone, ale również wyciek informacji może spowodować szkody dla nieokreślonej liczby osób.
Przy rozpoczynaniu biznesu IoT ważne jest, aby skonsultować się z prawnikiem posiadającym szeroką wiedzę specjalistyczną, od ustawy o odpowiedzialności za produkt, przez ustawę o ochronie danych osobowych, aż po najnowsze wytyczne dotyczące bezpieczeństwa informacji.
Informacje o środkach zaradczych w naszej kancelarii
Kancelaria Prawna Monolith posiada bogate doświadczenie w dziedzinie IT, a w szczególności w zakresie prawa internetowego. W ostatnich latach biznes IoT zyskuje na znaczeniu, a potrzeba przeprowadzenia legalnej weryfikacji stale rośnie. Nasza kancelaria oferuje rozwiązania związane z biznesem IoT.
Zakres usług Kancelarii Prawnej Monolith: Prawo korporacyjne dla IT i startupów[ja]
Related Articles
Gry i prawo (część druga): Japońska Ustawa o Umowach Konsumenckich, Japońska Ustawa o Specyficzn.
General Corporate
Uwagi dotyczące korzystania z usług agentów aplikujących o dotacje i wyjaśnienie niezbędnych ele.
General Corporate
Czy wysyłanie czyichś danych osobowych przez e-mail stanowi naruszenie prywatności?
General Corporate
Punkty do sprawdzenia przy zawieraniu umowy doradczej dotyczącej zarządzania i innych aspektów
General Corporate
Czy używanie nazwy produktu innej firmy jako hashtag może naruszać prawa do znaku towarowego? Wy.
General Corporate
Czym jest 'Japońskie Prawo do Nowego Wzoru Użytkowego'? Proste wyjaśnienie różnic między nim a P.
General Corporate
Czym jest 'Japońskie Prawo Autorskie w Zakresie Wykonywania Obowiązków Służbowych'? Wyjaśniamy 4.
General Corporate
