Internet rzeczy wyprzedza prawo

Technologia nie jest już tylko sektorem gospodarki, ale jej kręgosłupem. Technologie teleinformatyczne stanowią bowiem dynamiczną dziedzinę, która odgrywa istotną rolę w życiu oraz napędzaniu gospodarki. Jednym z najszybciej rozwijających się trendów technologicznych jest Internet rzeczy. (ang. Internet of Things,dalej również jako: „IoT”). Status prawny IoT wciąż jednak stoi pod znakiem zapytania. Obecnie ani w Polsce, ani na świecie nie ma aktu prawnego kompleksowo regulującego wszystkie kwestie i problemy prawne związane z IoT. Zauważalny brak szczegółowych regulacji tworzy potrzebę odniesienia do licznych aktów prawnych, takich jak m.in. RODO, prawo telekomunikacyjne, akt o cyberbezpieczeństwie (Dz.Urz. UE L Nr 151 z 7.06.2019 r., s. 15) czy też zagadnień z prawa własności intelektualnej. Obowiązujące przepisy prawa nie są jednak wystarczające dla nowoczesnych rozwiązań technologicznych. Rozwój Internetu rzeczy znacznie bowiem wyprzedza normy prawne dotyczące bezpieczeństwa, prywatności oraz odpowiedzialności za produkt, a tym samym stanowi wyzwanie dla ustawodawcy, jak również dla środowisk prawniczych odpowiedzialnych za adaptację prawa do zmieniających się warunków.

Co to jest Internet rzeczy?

Internet rzeczy opisuje sieć „rzeczy”, tj. obiektów fizycznych, które są osadzone w czujnikach, oprogramowaniu i innych technologiach w celu łączenia i wymiany danych z innymi urządzeniami i systemami przez Internet. Urządzenia te służą przede wszystkim do poprawy jakości życia codziennego, jak inteligentne oświetlenie pokojowe obsługiwane z poziomu aplikacji mobilnej, głośniki Google Home czy Amazon Echo wyposażone w asystenta głosowego, urządzenia przenośne noszone na ciele użytkownika celem monitorowania stanu zdrowia (ang. wearables), ale również stanowią istotny element przemysłu. Wówczas mówimy o Industrial Internet of Things (w skrócie: IIoT), który w głównej mierze obejmuje roboty, czujniki i sztuczną inteligencję. Celem rozwoju IIoT jest większa elastyczność, automatyzacja zadań i optymalizacja procesów przemysłowych. A przez to zwiększenie produktywności i zmniejszenie kosztów. Na szerszą skalę IoT można zastosować do sieci transportowych w ramach tzw. „inteligentnych miast”, które mogą pomóc nam zmniejszyć ilość odpadów i poprawić zużycie energii.

Jak wynika z raportu ABI Research „Connected & protected: The vulnerabilities and opportunities of IoT security” – Internet rzeczy na świecie to obecnie 8,6 miliarda połączeń, jednakże do 2026 r. ich liczba ma wzrosnąć na świecie prawie trzykrotnie – do 23,6 miliarda.

Zgodnie z raportem GUS na temat społeczeństwa informacyjnego w Polsce w 2020 r., w odniesieniu do sektorowego zastosowania, IoT najczęściej występowało w przedsiębiorstwach zajmujących się dostawą wody, gospodarowaniem ściekami i odpadami (45,2%), a najrzadziej w sektorze gastronomii i zakwaterowania (6,6%). Ponadto jako najczęściej wykorzystywany sposób korzystania z IoT w ubiegłym roku wskazano na łączność za pośrednictwem czujników monitorujących stan techniczny maszyn urządzeń i pojazdów (12,7%)[1].

Nowa forma przetwarzania danych

Z samej istoty IoT wynikają procesy związane z przekazywaniem, udostępnianiem oraz przetwarzaniem danych oraz konieczność interakcji z innymi urządzeniami jako ich funkcja integralna, na zasadzie interoperacyjności[2]. Przedmioty podłączane do sieci są personalizowane, dopasowywane do potrzeb ich użytkowników, nie tylko na poziomie smartfonów, ale nawet w postaci np. szczoteczek do zębów. Tym sposobem powstaje globalna infrastruktura, w ramach której przedmioty są połączone i mogą przekazywać dane innym systemom, z którymi są zintegrowane przy minimalnej interwencji człowieka. W efekcie połączone urządzenia wytwarzają ogromne ilości danych, które są następnie gromadzone przez producenta lub inny podmiot. Dane te mogą przybierać różne formy, ale często zawierają prywatne informacje o konsumencie (użytkowniku). Do najważniejszych problemów związanych z ochroną danych osobowych IoT należy zatem zaliczyć niekontrolowane rozpowszechnianie danych, które są wykrywane lub śledzone na urządzeniu IoT i przekazywane automatycznie między urządzeniami bez wiedzy danej osoby.

Wobec tego, zastosowanie znajdzie w szczególności tzw. „miękkie prawo unijne”, w tym akty prawne wyrażające stanowisko organów Unii Europejskiej wobec IoT oraz obszarów pokrewnych. Jest to przede wszystkim opinia Europejskiej Rady Ochrony Danych nr 1/2020 dotycząca przetwarzania danych osobowych w kontekście pojazdów połączonych i aplikacji związanych z mobilnością oraz opinia Grupy Roboczej art. 29 nr 8/2014 w sprawie najnowszych osiągnięć w zakresie Internetu przedmiotów, przyjęta w dniu 16 września 2014 r. (WP 223).

IoT jako sposób na zintegrowanie technologii

Jedną z cech definiujących IoT jest przede wszystkim przesyłanie komunikatów w trybie M2M (ang. machine to machine), czyli maszyna-maszyna, a więc nadawcą i odbiorcą poszczególnych komunikatów nie będzie zawsze człowiek, tak jak przewiduje to przykładowo reżim prawa telekomunikacyjnego[3]. Powyższy proces w zasadzie nie wymaga dodatkowego zaangażowania osób fizycznych.

Oczekuje się, że Internet rzeczy zintegruje technologie związane z automatycznym wykrywaniem sieci i ustalaniem połączeń (automatic networking), eksploracją danych (data mining), podejmowaniem decyzji, ochroną bezpieczeństwa i prywatności oraz chmurami obliczeniowymi (cloud computing)[4]. Warto więc zwrócić uwagę na zagadnienie certyfikacji produktów oraz cyfrowych usług – IoT niewątpliwie wymaga uwzględnienia aspektów cyberbezpieczeństwa. Co do zasady, w zgodzie z aktem o cyberbezpieczeństwie, certyfikacja pozostaje dobrowolna. Wskazuje się jednak na możliwość wprowadzenia certyfikacji obligatoryjnej, koniecznej dla oferowania wybranych produktów lub usług.

Odpowiedzialność za szkodę

W polskim prawie nie występują obecnie przepisy, które ściśle określają odpowiedzialność producenta urządzenia czy dostawcy rozwiązań IoT. W odniesieniu do ochrony danych, odpowiedzialność wynika przede wszystkim z reżimu RODO, zasadne jest także odwołanie do ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Istotnym zagadnieniem jest odpowiedzialność dostawców rozwiązań IoT za potencjalne szkody wynikające z używania przedmiotów. Odwołanie do przepisów dotyczących odpowiedzialności za szkodę wywołaną przez produkt niebezpieczny, uregulowane ustawą z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 z późn. zm.) (dalej jako: „KC”) okazuje się kwestią problematyczną.

Zgodnie z brzmieniem art. 449¹ § 2 KC, przez produkt niebezpieczny należy rozumieć rzecz ruchomą. Z uwagi na nieodłączne powiązanie przedmiotów z łącznością elektroniczną i wyposażeniem ich w oprogramowanie, powyższe implikuje wyłączenie dostawców aplikacji IoT spod wskazanego reżimu odpowiedzialności. Ograniczenie odpowiedzialności do szkody na mieniu występuje tylko wówczas, gdy rzecz zniszczona lub uszkodzona należy do rzeczy zwykle przeznaczanych do osobistego użytku i w taki przede wszystkim sposób korzystał z niej poszkodowany (art. 449² KC). Powyższe nie znajdzie zatem zastosowania do naruszeń związanych z bezpieczeństwem informacyjnym czy prywatnością użytkowników narzędzi IoT.

Działalność Grupy Roboczej ds. Internetu rzeczy

Wraz z postępującą cyfryzacją życia codziennego oraz rozwojem nowych technologii potrzeba regulacji IoT przybiera na znaczeniu. W Polsce powołano w 2018 r. Grupę Roboczą ds. Internetu Rzeczy przy Ministerstwie Cyfryzacji na potrzeby tworzenia rekomendacji tych działań, które przyczynią się do stworzenia odpowiednich warunków dla upowszechnienia technologii IoT tak, aby mogła ona mieć realny wpływ na wzrost gospodarczy naszego kraju. Warto przy tym wskazać na opublikowany przez Ministerstwo Cyfryzacji raport z kwietnia 2019 r. pt. „IoT w Polskiej gospodarce. Raport Grupy Roboczej do spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji”. Od stycznia 2020 r. Grupa zajęła się natomiast pracą przy realizacji projektów z zastosowaniem IoT, między innymi w obszarze ochrony zdrowia czy w inteligentnym transporcie.

Jak wskazywano we wstępie, obecnie nie ma jednego aktu prawnego uszczegóławiającego problematykę IoT, zatem regulacja tego obszaru jest fragmentaryczna. Cyfrowa rewolucja wymaga odpowiednich dostosowań w sferze prawnej, a zgodnie z postulowanymi przez Grupę Roboczą zmianami prawnymi, wymagane są nowelizacje m.in. w prawie telekomunikacyjnym, prawie zamówień publicznych, prawie podatkowym, administracyjnym czy w regulacji ochrony danych osobowych.

W świetle prawa kontraktowego, Grupa Robocza zidentyfikowała przy tym kilka dalszych problemów prawnych. Jest to między innymi niejednoznaczność występująca w toku łączeniu usług oraz przekazywania danych w przypadku wielu ich możliwych odbiorców. Poza tym, w obrębie prawa własności intelektualnej i z uwagi na specyfikę IoT, powstaje pytanie o możliwość rozporządzania takimi urządzeniami. Korzystanie przez nabywcę urządzenia IoT z oprogramowania zainstalowanego w zbywanym przedmiocie należy powiązać z tzw. zasadą wyczerpania prawa.

Obiecujące perspektywy mimo wyzwań dla prawa

Internet Rzeczy jest niewątpliwie technologią przyszłości. Oddziałuje na produkcję, logistykę, usługi, wymuszając na przedsiębiorcach nieustanną gotowość do obserwowania rynku i sięgania po innowacyjne rozwiązania. IoT może stać się perspektywicznym rynkiem szczególnie dla dostawców usług telekomunikacyjnych i ubezpieczeniowych. Rozsądnym krokiem będzie ujednolicanie terminologii powiązanej z tym obszarem, co staje się nie lada wyzwaniem z uwagi na dynamiczny rozwój nowych technologii. Wymagane jest przy tym stałe udostępnianie danych pomiędzy urządzeniami celem ich płynnego współdziałania, a wobec tego wiąże się z przetwarzaniem danych na szeroką skalę i zwiększonym ryzykiem naruszenia prywatności. Niemniej, obecne środowisko prawne jest niezupełne, krępujące dla potencjału IoT, którego narzędzia niewątpliwie będą odgrywały coraz większą rolę w poprawie jakości życia codziennego. Bez odpowiedniego uregulowania obszarów należących do kompetencji ustawodawcy dotrzymanie kroku największym technologicznym potentatom będzie niemożliwe. Aktywność Grupy Roboczej ds. Internetu Rzeczy z pewnością pozwoli przyspieszyć rozwój IoT i zapewnić jego ciągłość przez dziesięciolecia.

Autorki wpisu: Maria Czainska i Kinga Wójcikowska

[1] Główny Urząd Statystyczny, Społeczeństwo informacyjne w Polsce w 2020 r., grudzień 2020 r.: https://stat.gov.pl/download/gfx/portalinformacyjny/pl/defaultaktualnosci/5497/1/14/1/spoleczenstwo_informacyjne_w_polsce_w_2020_r..pdf (dostęp: 08.07.2021 r.).

[2] Ministerstwo Cyfryzacji, IoT w polskiej gospodarce. Raport Grupy Roboczej do spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji, kwiecień 2019 r.: https://www.gov.pl/web/cyfryzacja/grupa-robocza-ds-internetu-rzeczy-internet-of-things-iot (dostęp: 15.06.2021 r.).

[3] X. Konarski, Rozporządzenie o e-Prywatności jako regulacja sektorowa względem ogólnego rozporządzenia o ochronie danych osobowych (RODO) [w:] Dodatek do MoP nr 20/2017, Legalis.

[4] E. Kwiatkowska, Rozwój Internetu rzeczy – szanse i zagrożenia (w:) Internetowy Kwartalnik Antymonopolowy i Regulacyjny nr 8(3)/2014, s. 62.