Internet Rzeczy
W prawie krajowym brakuje definicji legalnej pojęcia Internetu rzeczy. Próby jego zdefiniowania podjęto w wersji roboczej raportu z prac podgrupy ds. legislacji. Jej członkowie za „Internet Rzeczy” uznają zespół urządzeń wyposażonych w oprogramowanie, podłączonych do sieci telekomunikacyjnej, z wykorzystaniem której przesyłane są dane, polecenia oraz aktualizacje do i z urządzeń.
Transfer w ramach sieci IoT dotyczy komunikacji pomiędzy urządzeniami, jak i do centrów ich przetwarzania. Należy więc rozważać IoT w powiązaniu z Big Data, czyli właśnie bazami danych i mechanizmami ich gromadzenia oraz przetwarzania. Należy również wyraźnie podkreślić, że urządzenia bez oprogramowania, nie należą do grupy IoT.
Komunikacja M2M
Jednym z problemów, z którym zmierzyli sią eksperci stało się wprowadzenie definicji komunikacji M2M (maszyna – maszyna). Proponowana definicja oparta jest o brzmienie motywu 249 EKŁE (Europejski Kodeks Łączności Elektronicznej). Brzmi: „usługa łączności maszyna – maszyna, to usługa obejmująca automatyczne przesyłanie danych i informacji między urządzeniami lub aplikacjami opartymi na oprogramowaniu z ograniczonym udziałem człowieka lub bez jego udziału”.
Kolejne zmiany dotyczyłyby prawa telekomunikacyjnego. Eksperci pracujący w grupie rekomendują ograniczenia stosowania art. 56 ust. 4a ustawy PrTelekom dotyczącego okresu obowiązywania umowy poprzez nadanie mu nowego brzmienia. Chodzi o ewentualne wyłączenie usługi transmisyjnej – łączności maszyna-maszyna spod reżimu wspomnianego artykułu.
Proponowane zmiany to także zniesienie obowiązku umieszczania numerów urządzeń M2M w usłudze biuro numerów i spisie abonentów oraz wyłączenie możliwości wykonywania połączeń na numery alarmowe we wspomnianej komunikacji M2M, za wyjątkiem urządzeń IoT, które wykorzystywane są w celach ratunkowych. Za istotne uznano wyłączenie komunikacji M2M z obowiązku cyklicznego udostępniania szczegółowych wykazów połączeń.
Podczas prac podgrupy do spraw legislacji podniesiono dodatkowy postulat obniżenia wymagań stawianych podmiotom świadczącym usługi transmisji na rzecz komunikacji M2M w zakresie likwidacji obowiązku zapewniania możliwości prezentacji identyfikacji zakończenia sieci oraz wysyłania komunikatów dotyczących wydarzeń kryzysowych.
Kolejną barierą, nad która pochylili się eksperci jest ograniczenie regulacyjne w zakresie analityki opartej na dużych zbiorach danych. Internet Rzeczy, bazujący na koncepcji Big Data wskazywany jest jako jeden z kluczowych aspektów rozwoju potencjału ekonomicznego w różnych branżach. Istotne stałoby się usunięcie niepewności prawnej, która powoduje wątpliwości, czy przedsiębiorcy telekomunikacyjni mogą dokonać anonimizacji posiadanych danych i przetwarzać je na potrzeby analityczno-statystyczne. Brak jest jednoznacznej podstawy do dokonywania pseudoanonimizacji czy anonimizacji danych i traktowania danych zanonimizowanych jako nieobjętych tajemnicą telekomunikacyjną.
Kolejną barierą, którą należałoby usunąć jest brak uwzględnienia zjawiska IoT w przepisach prawa dotyczących bezpieczeństwa, w szczególności w zakresie wspomnianego Prawa Telekomunikacyjnego
Propozycją jest zmiana art. 175c, poprzez nadanie mu brzmienia:
„1. Przedsiębiorca telekomunikacyjny, z uwzględnieniem art. 160 ust. 2, podejmuje proporcjonalne i uzasadnione środki mające na celu zapewnienie bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów związanych ze świadczonymi usługami, w tym:
1) eliminację przekazu komunikatu, który zagraża bezpieczeństwu sieci lub usług;
2) przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie lub odbiór komunikatów zagrażających bezpieczeństwu sieci lub usług;.
3) ograniczenie funkcjonalności lub zablokowanie urządzenia końcowego, które zagraża bezpieczeństwu sieci lub usług.”
Zidentyfikowano brak prawnych regulacji, które umożliwiałyby strukturalne wykorzystanie systemów i urządzeń IoT dla prowadzenia programów badań przesiewowych, badań epidemiologicznych, czy wykorzystywania Big Data w działalności medycznej.
Problemem staje się brak dostępu przedsiębiorców z tego rynku do danych nieosobowych. Jak wskazano już w założeniach do strategii AI w Polsce opracowanej w listopadzie 2018 roku przez Ministerstwo Cyfryzacji, otwarty dostęp do danych generowanych maszynowo i możliwość ich ponownego wykorzystywania, jest niezwykle istotny dla rozwoju badań nad sztuczną inteligencją i jej wdrażania w biznesie oraz w sektorze publicznym.
Jednostki publiczne przetwarzają ogromne ilości danych osobowych o stanie zdrowia. Dane te są udostępniane zgodnie z przepisami RODO i ustawodawstwem krajowym. Przedsiębiorcy z rynku IOMT ( Internet przedmiotów medycznych) rzadko uczestniczą w procesach diagnostyki i leczenia, a w konsekwencji nie mają dostępu do wrażliwych danych osobowych.
Zmiana dotyczyłaby ustawy o ponownym wykorzystywaniu informacji sektora publicznego tj. art. 6 poprzez dodanie zapisu, iż udostępnieniu podlegają części dokumentu niezawierające danych osobowych oraz art. 10 tej ustawy poprzez dodanie zapisu, iż anonimizacja danych osobowych zawartych w dokumentach nie stanowi nieproporcjalnego działania przekraczającego proste czynności. W ustawie o systemie informacji w ochronie zdrowia zmianie uległby choćby art. 19 ust. 7, poprzez nadanie mu nowego brzmienia:
„Dane zawarte w rejestrach medycznych, o których mowa w ust. 1, mogą być udostępniane w celu prowadzenia:
a) badań naukowych,
b) badań klinicznych wyrobów medycznych i innych urządzeń do diagnostyki medycznej,
c) zaprojektowanych i zaplanowanych systematyczne badań, podjętych w celu weryfikacji bezpieczeństwa lub wprowadzenia (sporządzenia) odpowiedniego oprogramowania umożliwiającego określone działanie wyrobu medycznego, wyposażenia wyrobu medycznego,
d) do celów statystycznych w formie uniemożliwiającej ich powiązanie z konkretną osobą fizyczną.”
Oczywiście to tylko propozycje i nadal trwają dyskusje, choćby w zakresie zgodności z RODO.
Leczenie zwierząt
Jako dokument do wprowadzenia zmian wskazano także Rozporządzenie Ministra Rolnictwa i Rozwoju Wsi z 29.9.2011 r. w sprawie zakresu i sposobu prowadzenia dokumentacji lekarsko-weterynaryjnej i ewidencji leczenia zwierząt oraz wzorów tej dokumentacji i ewidencji.
Jako barierę zidentyfikowano niski poziom cyfryzacji dokumentacji związanej z leczeniem zwierząt. Obecnie nie prowadzi się książki leczenia zwierząt w formie elektronicznej, co powoduje dodatkowe koszty oraz uniemożliwia szybkie zbieranie danych (łącznie z danymi epidemiologicznymi) oraz ich sprawną analizę.
Vehicle-to-vehicle
Autorzy projektowanych zmian określili jako niewystarczające regulacje prawne dla pojazdów komunikujących się między sobą V2V (vehicle-to-vehicle) i z infrastrukturą (V2I), a także pojazdów autonomicznych, pomimo zaawansowanych prac technicznych nad tymi rozwiązaniami.
Ustawa prawo o ruchu drogowym
Zmiany dotyczyłyby ustawy prawo o ruchu drogowym. Celem zmian byłoby usunięcie podwójnego obowiązkowego ubezpieczenia odpowiedzialności cywilnej oraz oparcie ubezpieczenia odpowiedzialności cywilnej w związku z ruchem pojazdów autonomicznych wyłącznie na obowiązkowym ubezpieczeniu posiadaczy pojazdów mechanicznych, które tyczy posiadacza każdego pojazdu, bez względu na to, czy jest on autonomiczny (tu zmiana art. 65l ust. 4 pkt 1 oraz 2 wraz z art. 65m ust. 1 pkt 1) b)). Kolejna proponowana zmiana to usunięcie możliwości zgłoszenia sprzeciwu wobec testowania pojazdów autonomicznych przez właściciela nieruchomości sąsiadującej z drogą, po której pojazdy autonomiczne mają być testowane (tu zmiana art. 65l ust. 5 i 6 pkt 1) oraz 65m ust. 1 pkt 1) c) oraz pkt 3)). Istotne stałoby się także wprowadzenie możliwości testowania pojazdów bez fizycznej obecności kierującego w aucie (ew. kontrolującego jego jazdę zdalnie). Dotyczy to zmian art. 65k i art. 65n ust. 1 pkt 2).
Zdaniem ekspertów barierę stanowi brak zarówno makroskopowego, holistycznego planowania i zarządzania transportem jak i planowania w skali mikro (niezależne dla różnych środków transportu, różnych jednostek przestrzennych i różnych zarządców transportu). Zamykanie się podsystemów transportowych i logistycznych we własnych ramach, bez udostępniania danych na zewnątrz.
Ustawa z 9.3.2017 r. o związku metropolitalnym w województwie śląskim (dalej jako „ustawa metropolitalna”) zawiera propozycje rozwiązań opisanego problemu, zmierza we właściwym kierunku, ale jest niewystarczająca (obejmuje obszar Górnośląsko-Zagłębiowskiej Metropolii). Brakuje efektywnych narzędzi prawnych do kompleksowego planowania i zarządzania transportem.
W związku z powyższym autorzy raportu rekomendują stworzenie ram prawnych do makroskopowego zarządzania transportem, szczególnie w obszarach metropolitalnych i aglomeracjach miast, celem eliminacji narastających problemów, w ramach następujących dokumentów, aktów prawnych:
- Projekt Strategii Zrównoważonego Rozwoju Transportu 2030,
- Ustawa „metropolitalna” (aglomeracyjna)
- Ustawy „samorządowe”
- Ustawa o drogach publicznych
- Ustawa o transporcie kolejowym
- Ustawa o publicznym transporcie zbiorowym
- Ustawa o planowaniu i zagospodarowaniu przestrzennym
Ustawa o elektromobilności i paliwach alternatywnych daje możliwość tworzenia stref czystego transportu miastom z co najmniej 100 000 mieszkańców. Proponuje się wprowadzenie możliwości ustanawiania stref czystego transportu także przez mniejsze miasta (poniżej 100 000 mieszkańców), oraz możliwości pobierania opłat za wjazd do strefy czystego transportu także poza godzinami 9˗17.
Pojęciem IoT
W mojej ocenie jednym z najważniejszych problemów, przed którymi stoi podgrupa ds. legislacji Grupy Roboczej ds. Internetu Rzeczy, jest uregulowanie kwestii odpowiedzialności producentów i dystrybutorów za wady w zakresie IoT. Pod pojęciem IoT kryją się zarówno urządzenia (hardware), jak i oprogramowanie (software). Dodatkowo, istotnym elementem rozwiązań IoT, są centralne systemy przetwarzania danych zebranych z urządzeń IoT. Wszystkie razem i każdy z osobna mogą stać się przedmiotem ataku hakerskiego, zawierać błędy lub luki w oprogramowaniu. W polskiej przestrzeni prawnej odpowiedzialność producentów oraz dystrybutorów rozwiązań IoT za szkody powstałe w wyniku działania ich urządzeń oraz oprogramowania jest istotnie ograniczona. Eksperci opracowujący raport wskazują ˗ „IoT bez cyberbezpieczeństwa stanowi większe zagrożenie dla państwa niż rezygnacja z użycia IoT”. Wszelkie urządzenia podłączone do sieci rozpatrywane muszą być zdaniem członków grupy również w kontekście cyberbezpieczeństwa (nie tylko fizycznego bezpieczeństwa), a więc:
- ich odporności lub podatności na dostęp osób nieuprawnionych tj. istnienia skutecznych zapór sieciowych (ang. firewall), bezpiecznych protokołów komunikacji, braku sztywno zdefiniowanych kont administracyjnych i serwisowych, dla których nie można zmienić hasła,
- świadomie umieszczonych w oprogramowaniu urządzenia podatności i ukrytych kont umożliwiających dostęp do urządzenia i jego wykorzystanie przez osoby trzecie ( i/lub producenta),
- możliwości i warunków uruchomienia dodatkowego kodu lub funkcjonalności,
- nadzorowania bezpieczeństwa aktualizacji oprogramowania i mechanizmów ich udostępniania.
Włamanie przez termometr do kasyna to obecnie jeden z najbardziej spektakularnych przykładów włamań z uwagi na cel sprawców (kasyno), jak i charakter urządzenia wykorzystanego jako brama – urządzenie IoT. Reasumując nawet bardzo proste i intuicyjnie „niegroźne” urządzenia IoT jak termometr, mogą stać się furtką umożliwiającą nieuprawnione wejście do sieci docelowej. To niezwykle ważne, bo te najprostsze urządzenia IoT często nie posiadają żadnych zabezpieczeń nieautoryzowanego dostępu oraz pozwalają na uruchomienie na nich dodatkowego oprogramowania. Wiele z tych urządzeń nie przechodzi szczegółowych procedur badania ich bezpieczeństwa, bo nie ma takiej konieczności, a to ułatwia umieszczenie w nich np. ukrytych funkcjonalności.
W połowie sierpnia 2019 r. media podały, że w wyniku „bardzo poważnej awarii, uszkodzeniu uległo około 80 procent urządzeń sterujących, czyli tak naprawdę oświetlenie nie działało prawidłowo na obszarze całego miasta” (Wrocławia). Rozproszone sterowniki są urządzeniami z grupy IoT komunikującymi się ze sobą i centralą nadzoru. Duże koszty nie wyłączanego oświetlenia obciążą budżet miasta. Awaria mogła być efektem wykorzystania omawianych w niniejszym opracowaniu luk w cyberbezpieczeństwie sterowników IoT lub systemu nadzoru. W ocenie ekspertów producent powinien ponieść pełną odpowiedzialność finansową za szkodę, a w przypadku wykrycia sprawcy (w określonych przypadkach) – solidarnie ze sprawcą.
Także Internet Rzeczy w pojazdach niesie za sobą liczne zagrożenia. Pojawiają się informacje o testach udowadniających m.in. możliwość zdalnego uruchomienia hamulców, wyłączenia silnika, czy uruchomienia w czasie jazdy poduszki powietrznej. Bez jasno zdefiniowanej w przepisach prawa odpowiedzialności producentów za oprogramowanie, nie można mówić o bezpieczeństwie urządzeń IoT powszechnie już produkowanych i instalowanych. Odbywa się to często bez elementarnych procedur kontroli bezpieczeństwa oprogramowania.
Jak już wspominano wyżej IoT to urządzenia, wyposażone w oprogramowanie, podłączone do sieci telekomunikacyjnej. Podstawę odpowiedzialności w przypadku oprogramowania w prawie polskim stanowi art. 55 PrAut. Przepis ten stworzony został przede wszystkim w celu ochrony praw autora, dając nabywcy niewielkie możliwości. Regulacja zakresu odpowiedzialności za szkodę wynikłą z wady fizycznej oprogramowania, zgodnie z art. 55 pkt. 1 PrAut (ograniczenie do części otrzymanego wynagrodzenia) jest zdecydowanie nieadekwatna w stosunku do ewentualnej szkody. Zdaniem ekspertów w przypadku oprogramowania – odpowiedzialność za wady fizyczne powinna być co najmniej zrównana z odpowiedzialnością za wady prawne przewidzianą w art. 55 pkt. 2 PrAut.
To prawda, iż przepisy prawa autorskiego mają na celu przede wszystkich ochronę twórcy programu. Tym samym stają się one być nieadekwatne do urządzeń IoT produkowanych i sprzedawanych często masowo urządzeń. Nie ma tu możliwości negocjowania zapisów umowy między nabywcą i twórcą lub sprzedawcą oprogramowania. Równocześnie praktyka obrotu gospodarczego pokazuje, że samo oprogramowanie najczęściej nie jest sprzedawane, a licencjonowane nabywcy.
Powyższe rozważania skłoniły opracowujących propozycje zmian do oparcia odpowiedzialności w zakresie IoT na przepisach dotyczących produktów niebezpiecznych. Art. 449² KC stanowi, że producent odpowiada za szkodę na mieniu tylko wówczas, gdy rzecz zniszczona lub uszkodzona należy do rzeczy zwykle przeznaczanych do osobistego użytku i w taki sposób korzystał z niej poszkodowany. Z przepisu tego wywodzi się przede wszystkim ochronę konsumenta.
Konstrukcja art. 449 KC ma wobec konsumentów charakter zawężający i niezgodny z intencją artykułu 9 dyrektywy 85/374/EWG. Wspomniana dyrektywa nie ogranicza odpowiedzialności za szkodę związaną z wadą samego urządzenia IoT, a jedynie wysokość szkody polegającej na uszkodzeniu lub zniszczeniu każdej rzeczy innej niż produkt wadliwy o wartości powyżej 500 ECU warunkując ją dodatkowo prywatnym użytkiem uszkodzonych tego typu rzeczy.
W świetle powyższych rozważań należy znowelizować art. 449 KC co najmniej w zakresie wymaganym brzmieniem artykułu 9 dyrektywy 85/374/EWG.
Kodeks karny w rozdziale XXXIII definiuje szereg przestępstw przeciwko ochronie informacji. Żaden z tych przepisów nie obejmuje jednak odpowiedzialności karnej za wprowadzenie na rynek wadliwego oprogramowania wyposażonego m.in. w backdoor, tj. nieusuwalne konta administracyjne, czy wręcz nieposiadającego jakichkolwiek zabezpieczeń przed dostępem osób nieupoważnionych. Autorzy poprawek proponują dodanie takiego artykułu w kodeksie karnym.
To oczywiście nie wszystkie propozycje zmian, ale starałam się pokazać Państwu przekrój obecnych prac podgrupy ds. legislacji działającej w ramach rupy Roboczej ds. IoT. Trudno też przesądzić, czy wszystkie znajdą się w ostatecznej wersji zmian w zakresie IoT i przejdą pełną ścieżkę legislacyjną.