物联网服务收集的数据的利用及其法律问题
近年,智能家电等IoT设备已经开始广泛应用于家庭之中。虽然它们极为便利,但由于连接互联网,也面临着信息泄露的风险。在开展IoT业务时,除了要确保作为生活家电的安全性之外,还必须重视网络安全管理,以抵御网络攻击。
国内情况来看,个人信息泄露问题已经日益严重。东京商工调查公司报告称,2021年(令和3年)上市公司发生的个人信息泄露和丢失事件达到了历史最高的137起,影响了约574万人。
本文将解释在利用IoT服务收集的数据时,您需要了解的相关法律法规,以确保数据的安全使用。
物联网业务相关法规
物联网(IoT)是“Internet of Things”的缩写,直译为“物的互联网”。它指的是将我们日常使用的物品连接到互联网上,并通过远程操作、自动识别和自动控制功能,使生活更加便捷的系统和服务。
在家电硬件方面,由于直接影响到用户的身体健康,因此受到严格的规制。
在软件方面,根据规范通信网络的《日本电波法》和《日本电信业务法》,进行业务需要进行注册和报备。
关于物联网硬件和软件方面的法规制,我们在这篇文章中进行了详细解释,请一并参考。
物联网业务涉及将传统设备连接到互联网,并使用收集的信息。因此,除了硬件和软件的法规制外,如何处理积累的信息也是一个重要问题。
关于物联网获取数据的法律问题点
物联网(IoT)设备可能会在不经意间积累和使用用户的生活数据,这潜藏着风险。
即使用户在注册时已同意个人信息的使用,但由于物联网的特性,每次使用都会收集行为信息,因此会产生以下问题:
- 个人信息保护
- 隐私保护
- 应对网络攻击
本文将解释物联网设备所涵盖的这些法律问题。
物联网与个人信息
并非所有物联网设备收集的数据都单独成为个人信息保护的对象。当用户注册信息与生活数据关联起来,能够识别个人身份时,就会成为《日本个人信息保护法》的保护对象。
因此,提供将生活数据与用户信息关联的智能家居服务的业者,按照《日本个人信息保护法》第2条第5款[ja]的规定,将承担以下义务:
<《日本个人信息保护法》第19条至第26条的义务>
- 确保数据准确性和删除义务
- 安全管理措施义务
- 对员工的监督义务
- 对委托方的监督义务
- 限制向第三方提供和记录保持义务
在处理个人信息时,应尽可能明确使用目的,并通知或公布给本人。当不再需要使用个人信息时,应迅速进行处理。同时,必须对信息泄露采取极度谨慎的措施,并确保员工和委托方的严格遵守。
基本上,提供给第三方的个人信息是受到限制的。然而,为了提升服务质量,有时也需要向第三方提供。在这种情况下,必须对原始个人信息进行匿名化处理,以至于无法恢复。
此外,在2022年4月(令和4年)实施的《日本个人信息保护法》修正案中,新增了对本人权利的加强保护、对业者责任的加重以及对外国业者的第三方提供规定。
这次修正重点关注了以下五个方面:
- 保护个人权利利益
- 保护与使用的平衡
- 与国际潮流的协调
- 应对外国业者风险变化
- 适应AI与大数据时代
物联网与隐私权
即使收集的生活数据不属于个人信息,由于这些生活信息能够揭示个人行为,因此需要谨慎处理。例如,电力和燃气的使用时间等信息一旦泄露,可能会被用于空窃等犯罪活动。
另一方面,为了提高智能家居服务的质量,必须掌握并利用个人的行为信息。为了在保护隐私的同时利用个人数据提升服务质量,即使数据不属于个人信息,也应当考虑隐私保护,按照《日本个人信息保护法》的相关规定进行处理。
物联网与网络安全
物联网(IoT)业务的成立和进步,依赖于收集、管理和使用可能触及个人信息和隐私权的数据。由于这些信息通过互联网进行汇集和管理,因此对联网设备进行网络安全防护措施是不可或缺的。
下文将解释应提前采取的网络安全措施,以及在实际遭受网络攻击时应承担的责任。
设备制造商的责任:《日本产品责任法》
当IoT设备遭受网络攻击时,设备制造商可能会面临基于《日本产品责任法》的损害赔偿要求。
《日本产品责任法》规定的责任发生标准如下:
- 产品存在缺陷
- 由此侵害了他人的生命、身体或财产
- 造成了损害
上述第1点中所说的“缺陷”,是指产品缺乏“通常应有的安全性”,可分为制造上的缺陷、设计上的缺陷以及说明书和警告上的缺陷。
实际遭受网络攻击时,制造商是否承担责任,将根据以下情况判断:
- 交付时是否满足了当时预期的技术水平
- 是否符合公开的最新指南或自主标准
如果设备制造商能够证明存在缺陷的事实是无法被察觉的,那么他们可以避免责任。然而,必须证明即使按照交付当时的最高技术水平也无法识别出缺陷,因此实际被认可的可能性是很低的。
网络管理员的责任:民法
当网络遭受到网络攻击并导致信息泄露等情况时,根据民法而非产品责任法,网络管理员可能会因以下原因而面临损害赔偿的要求:
- 网络管理员与用户之间的合同违约
- 网络管理员违反安全措施义务导致的债务不履行
- 网络管理员因疏忽导致的非法行为责任(民法第709条)
无论是哪种原因,关键争议点都在于网络管理员是否“疏忽未采取应有的安全措施”。
而所谓的“应有的安全措施”不仅是指合同时期的标准措施,还包括在网络攻击发生时应遵循的公开指南,已有判例表明这一点(东京地方裁判所平成26年(2014年)1月23日判决)。
因此,网络管理员需要在交付后持续关注重要指南的更新信息,并根据需要更新软件。
<当前的信息安全指南>
- IoT安全指南ver1.0[ja] | 经济产业省
- 安全的IoT系统的一般性框架[ja] | NISC
- IoT开发中的安全设计指南 | IPA
相关文章:网络攻击造成损害。系统供应商的损害赔偿责任是什么?合同书中的例子解析[ja]
总结:IoT业务需要专业的法律理解
IoT业务的特点在于通过互联网收集和利用用户的个人信息及隐私信息来推动发展。
因此,企业不仅要承担家电产品责任,还必须关注个人信息保护法和信息安全指南的更新,作为处理个人信息的业务者。
如果产品发生事故,不仅可能影响用户的身体健康,信息泄露还可能导致无法预测的广泛损害。
在启动IoT业务时,咨询具有广泛专业知识的律师至关重要,这包括从产品责任法到个人信息保护法,以及最新的信息安全指南。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,IoT业务备受瞩目,对法律审查的需求也日益增加。我们事务所提供针对IoT业务的解决方案服务。
Monolith法律事务所的业务领域:IT与初创企业的公司法务[ja]
