Technologia nie jest już tylko
sektorem gospodarki, ale jej kręgosłupem. Technologie teleinformatyczne
stanowią bowiem dynamiczną dziedzinę, która odgrywa istotną rolę w życiu oraz napędzaniu
gospodarki. Jednym z najszybciej rozwijających się trendów technologicznych
jest Internet rzeczy. (ang. Internet of Things,dalej również jako:
„IoT”). Status prawny IoT wciąż jednak stoi pod znakiem zapytania. Obecnie
ani w Polsce, ani na świecie nie ma aktu prawnego kompleksowo regulującego wszystkie
kwestie i problemy prawne związane z IoT. Zauważalny brak szczegółowych
regulacji tworzy potrzebę odniesienia do licznych aktów prawnych, takich jak
m.in. RODO, prawo telekomunikacyjne, akt o cyberbezpieczeństwie (Dz.Urz. UE L
Nr 151 z 7.06.2019 r., s. 15) czy też zagadnień z prawa własności
intelektualnej. Obowiązujące przepisy prawa nie są jednak wystarczające dla nowoczesnych
rozwiązań technologicznych. Rozwój Internetu rzeczy znacznie bowiem wyprzedza
normy prawne dotyczące bezpieczeństwa, prywatności oraz odpowiedzialności za
produkt, a tym samym stanowi wyzwanie dla ustawodawcy, jak również dla środowisk
prawniczych odpowiedzialnych za adaptację prawa do zmieniających się warunków.
Co to jest Internet rzeczy?
Internet rzeczy opisuje sieć „rzeczy”,
tj. obiektów fizycznych, które są osadzone w czujnikach, oprogramowaniu i
innych technologiach w celu łączenia i wymiany danych z innymi urządzeniami i
systemami przez Internet. Urządzenia te służą przede wszystkim do poprawy
jakości życia codziennego, jak inteligentne oświetlenie pokojowe obsługiwane z
poziomu aplikacji mobilnej, głośniki Google Home czy Amazon Echo wyposażone w
asystenta głosowego, urządzenia przenośne noszone na ciele użytkownika celem
monitorowania stanu zdrowia (ang. wearables), ale również stanowią
istotny element przemysłu. Wówczas mówimy o Industrial Internet of Things (w
skrócie: IIoT), który w głównej mierze obejmuje roboty, czujniki i
sztuczną inteligencję. Celem rozwoju IIoT jest większa elastyczność,
automatyzacja zadań i optymalizacja procesów przemysłowych. A przez to zwiększenie
produktywności i zmniejszenie kosztów. Na szerszą skalę IoT można zastosować do
sieci transportowych w ramach tzw. „inteligentnych miast”, które mogą pomóc nam
zmniejszyć ilość odpadów i poprawić zużycie energii.
Jak wynika z raportu ABI Research
„Connected & protected: The vulnerabilities and opportunities of IoT
security” – Internet rzeczy na świecie to obecnie 8,6 miliarda połączeń,
jednakże do 2026 r. ich liczba ma wzrosnąć na świecie prawie trzykrotnie – do
23,6 miliarda.
Zgodnie z raportem GUS na temat
społeczeństwa informacyjnego w Polsce w 2020 r., w odniesieniu do sektorowego
zastosowania, IoT najczęściej występowało w przedsiębiorstwach zajmujących się
dostawą wody, gospodarowaniem ściekami i odpadami (45,2%), a najrzadziej w
sektorze gastronomii i zakwaterowania (6,6%). Ponadto jako najczęściej wykorzystywany
sposób korzystania z IoT w ubiegłym roku wskazano na łączność za pośrednictwem
czujników monitorujących stan techniczny maszyn urządzeń i pojazdów (12,7%)[1].
Nowa forma przetwarzania danych
Z samej istoty IoT wynikają procesy
związane z przekazywaniem, udostępnianiem oraz przetwarzaniem danych oraz
konieczność interakcji z innymi urządzeniami jako ich funkcja integralna, na zasadzie
interoperacyjności[2].
Przedmioty podłączane do sieci są personalizowane, dopasowywane do potrzeb ich
użytkowników, nie tylko na poziomie smartfonów, ale nawet w postaci np.
szczoteczek do zębów. Tym sposobem powstaje globalna infrastruktura, w ramach
której przedmioty są połączone i mogą przekazywać dane innym systemom, z
którymi są zintegrowane przy minimalnej interwencji człowieka. W efekcie połączone
urządzenia wytwarzają ogromne ilości danych, które są następnie gromadzone
przez producenta lub inny podmiot. Dane te mogą przybierać różne formy, ale
często zawierają prywatne informacje o konsumencie (użytkowniku). Do
najważniejszych problemów związanych z ochroną danych osobowych IoT należy
zatem zaliczyć niekontrolowane rozpowszechnianie danych, które są wykrywane lub
śledzone na urządzeniu IoT i przekazywane automatycznie między urządzeniami bez
wiedzy danej osoby.
Wobec tego, zastosowanie znajdzie w
szczególności tzw. „miękkie prawo unijne”, w tym akty prawne wyrażające
stanowisko organów Unii Europejskiej wobec IoT oraz obszarów pokrewnych. Jest
to przede wszystkim opinia Europejskiej Rady Ochrony Danych nr 1/2020 dotycząca
przetwarzania danych osobowych w kontekście pojazdów połączonych i aplikacji
związanych z mobilnością oraz opinia Grupy Roboczej art. 29 nr 8/2014 w sprawie
najnowszych osiągnięć w zakresie Internetu przedmiotów, przyjęta w dniu 16
września 2014 r. (WP 223).
IoT jako sposób na zintegrowanie technologii
Jedną z cech definiujących IoT jest
przede wszystkim przesyłanie komunikatów w trybie M2M (ang. machine to
machine), czyli maszyna-maszyna, a więc nadawcą i odbiorcą poszczególnych
komunikatów nie będzie zawsze człowiek, tak jak przewiduje to przykładowo reżim
prawa telekomunikacyjnego[3]. Powyższy proces w
zasadzie nie wymaga dodatkowego zaangażowania osób fizycznych.
Oczekuje się, że Internet rzeczy zintegruje
technologie związane z automatycznym wykrywaniem sieci i ustalaniem połączeń (automatic networking), eksploracją
danych (data mining), podejmowaniem
decyzji, ochroną bezpieczeństwa i prywatności oraz chmurami obliczeniowymi (cloud computing)[4]. Warto więc zwrócić uwagę
na zagadnienie certyfikacji produktów oraz cyfrowych usług – IoT niewątpliwie
wymaga uwzględnienia aspektów cyberbezpieczeństwa. Co do zasady, w zgodzie z
aktem o cyberbezpieczeństwie, certyfikacja pozostaje dobrowolna. Wskazuje się
jednak na możliwość wprowadzenia certyfikacji obligatoryjnej, koniecznej dla
oferowania wybranych produktów lub usług.
Odpowiedzialność za szkodę
W polskim prawie nie występują
obecnie przepisy, które ściśle określają odpowiedzialność producenta urządzenia
czy dostawcy rozwiązań IoT. W odniesieniu do ochrony danych, odpowiedzialność wynika
przede wszystkim z reżimu RODO, zasadne jest także odwołanie do ustawy z dnia
18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz.
344). Istotnym zagadnieniem jest odpowiedzialność dostawców rozwiązań IoT za
potencjalne szkody wynikające z używania przedmiotów. Odwołanie do przepisów
dotyczących odpowiedzialności za szkodę wywołaną przez produkt niebezpieczny,
uregulowane ustawą z dnia 23 kwietnia 1964 r. –
Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 z późn. zm.) (dalej jako: „KC”) okazuje się kwestią problematyczną.
Zgodnie z brzmieniem art. 4491
§ 2 KC, przez produkt niebezpieczny należy rozumieć rzecz ruchomą. Z uwagi na
nieodłączne powiązanie przedmiotów z łącznością elektroniczną i wyposażeniem
ich w oprogramowanie, powyższe implikuje wyłączenie dostawców aplikacji IoT
spod wskazanego reżimu odpowiedzialności. Ograniczenie odpowiedzialności do szkody
na mieniu występuje tylko wówczas, gdy rzecz zniszczona lub uszkodzona należy
do rzeczy zwykle przeznaczanych do osobistego użytku i w taki przede wszystkim
sposób korzystał z niej poszkodowany (art. 4492 KC). Powyższe nie
znajdzie zatem zastosowania do naruszeń związanych z bezpieczeństwem informacyjnym
czy prywatnością użytkowników narzędzi IoT.
Działalność Grupy Roboczej ds. Internetu rzeczy
Wraz z postępującą cyfryzacją życia
codziennego oraz rozwojem nowych technologii potrzeba regulacji IoT przybiera
na znaczeniu. W Polsce powołano w 2018 r. Grupę Roboczą ds. Internetu Rzeczy
przy Ministerstwie Cyfryzacji na potrzeby tworzenia rekomendacji tych działań,
które przyczynią się do stworzenia odpowiednich warunków dla upowszechnienia
technologii IoT tak,
aby mogła ona mieć realny wpływ na wzrost gospodarczy naszego kraju. Warto przy
tym wskazać na opublikowany przez Ministerstwo Cyfryzacji raport z kwietnia
2019 r. pt. „IoT w Polskiej gospodarce. Raport Grupy Roboczej do spraw
Internetu Rzeczy przy Ministerstwie Cyfryzacji”. Od stycznia 2020 r. Grupa
zajęła się natomiast pracą przy realizacji projektów z zastosowaniem IoT,
między innymi w obszarze ochrony zdrowia czy w inteligentnym transporcie.
Jak wskazywano we wstępie, obecnie
nie ma jednego aktu prawnego uszczegóławiającego problematykę IoT, zatem regulacja
tego obszaru jest fragmentaryczna. Cyfrowa rewolucja wymaga odpowiednich dostosowań
w sferze prawnej, a zgodnie z postulowanymi przez Grupę Roboczą zmianami prawnymi,
wymagane są nowelizacje m.in. w prawie telekomunikacyjnym, prawie zamówień
publicznych, prawie podatkowym, administracyjnym czy w regulacji ochrony danych
osobowych.
W świetle prawa kontraktowego,
Grupa Robocza zidentyfikowała przy tym kilka dalszych problemów prawnych. Jest
to między innymi niejednoznaczność występująca w toku łączeniu usług oraz
przekazywania danych w przypadku wielu ich możliwych odbiorców. Poza tym, w
obrębie prawa własności intelektualnej i z uwagi na specyfikę IoT, powstaje
pytanie o możliwość rozporządzania takimi urządzeniami. Korzystanie przez
nabywcę urządzenia IoT z oprogramowania zainstalowanego w zbywanym przedmiocie
należy powiązać z tzw. zasadą wyczerpania prawa.
Obiecujące perspektywy mimo wyzwań dla prawa
Internet Rzeczy jest niewątpliwie technologią przyszłości. Oddziałuje na produkcję, logistykę, usługi, wymuszając na przedsiębiorcach nieustanną gotowość do obserwowania rynku i sięgania po innowacyjne rozwiązania. IoT może stać się perspektywicznym rynkiem szczególnie dla dostawców usług telekomunikacyjnych i ubezpieczeniowych. Rozsądnym krokiem będzie ujednolicanie terminologii powiązanej z tym obszarem, co staje się nie lada wyzwaniem z uwagi na dynamiczny rozwój nowych technologii. Wymagane jest przy tym stałe udostępnianie danych pomiędzy urządzeniami celem ich płynnego współdziałania, a wobec tego wiąże się z przetwarzaniem danych na szeroką skalę i zwiększonym ryzykiem naruszenia prywatności. Niemniej, obecne środowisko prawne jest niezupełne, krępujące dla potencjału IoT, którego narzędzia niewątpliwie będą odgrywały coraz większą rolę w poprawie jakości życia codziennego. Bez odpowiedniego uregulowania obszarów należących do kompetencji ustawodawcy dotrzymanie kroku największym technologicznym potentatom będzie niemożliwe. Aktywność Grupy Roboczej ds. Internetu Rzeczy z pewnością pozwoli przyspieszyć rozwój IoT i zapewnić jego ciągłość przez dziesięciolecia.
Autorki wpisu: Maria Czaińska i Kinga Sasimowska
[1] Główny Urząd Statystyczny, Społeczeństwo informacyjne w Polsce w 2020
r., grudzień 2020 r.: https://stat.gov.pl/download/gfx/portalinformacyjny/pl/defaultaktualnosci/5497/1/14/1/spoleczenstwo_informacyjne_w_polsce_w_2020_r..pdf
(dostęp: 08.07.2021 r.).
[2] Ministerstwo Cyfryzacji, IoT w
polskiej gospodarce. Raport Grupy Roboczej do spraw Internetu Rzeczy przy
Ministerstwie Cyfryzacji, kwiecień 2019 r.: https://www.gov.pl/web/cyfryzacja/grupa-robocza-ds-internetu-rzeczy-internet-of-things-iot (dostęp: 15.06.2021 r.).
[3] X. Konarski, Rozporządzenie o
e-Prywatności jako regulacja sektorowa względem ogólnego rozporządzenia o
ochronie danych osobowych (RODO) [w:] Dodatek do MoP nr 20/2017, Legalis.
[4] E. Kwiatkowska, Rozwój Internetu rzeczy – szanse i
zagrożenia (w:) Internetowy Kwartalnik Antymonopolowy i Regulacyjny nr
8(3)/2014, s. 62.
