物联网(Internet of Things, IoT)作为互联网的延伸,被称为世界信息产业发展的第三次浪潮,也正成为推动世界经济增长的重要新兴产业。而随着物联网井喷式的发展,各种法律问题也将涌现。
一、什么是物联网?
物联网的理念最早在比尔·盖茨的《未来之路》(1995年出版)一书中提及。2005年11月17日,国际电信联盟(ITU)在突尼斯举行的信息社会世界峰会(WSIS)上发布了《ITU互联网报告2005:物联网》,正式提出了“物联网”的概念。不过目前对于物联网还没有一个明确、统一的定义,但普遍认为,物联网是指通过信息传感等设备与技术,把各种物体通过网络连接,进行信息交换和通信,从而实现智能化识别、定位、跟踪、监控和管理。物联网的应用范围可涵盖各行各业,如智能家居、智能安防、智能医疗、智能物流、智能交通、智能零售(如自动售货机、无人便利店)、智慧农业等等。
二、物联网涉及的主要法律主体及法律关系有哪些?
要分析物联网主要涉及的法律主体及法律关系,首先需要了解物联网体系的基本构架。物联网体系架构可划分为感知层、网络层和应用层三层。感知层完成对物体信息获取的工作;网络层则是通过互联网、通信网络等将物体的信息实时传输;应用层则通过分析处理的数据为物联网终端用户提供丰富的特定产品及服务。此外,在网络层和应用层之间还有处理层,通过利于云计算、大数据等对收集的信息进行处理,实现智能化管理、应用和服务。
在感知层和应用层,主要面向物体/终端产品,涉及到物体信息的采集和产品的使用或服务的提供。通常由物联网终端产品生产者/销售者与终端产品使用者签订产品买卖合同或服务协议。对于信息采集,除了物体/终端产品本身,常常还会涉及物联网终端产品使用者的各类信息。根据终端产品使用者的不同,这些信息可能是个人的位置信息、身份信息,企业的商业秘密,甚至国家秘密等。产品销售者需对产品使用者履行信息采集的告知义务,主要涉及生产者/销售者、消费者之间的买卖合同法律关系,当发生如隐私权侵权行为时,也可能发生违约责任和侵权责任的竞合。涉及国家秘密时,还可能触犯刑法,如构成“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。
在网络层,由物联网基础服务提供商为终端产品的使用提供数据信息传输服务。通常由物联网基础服务提供商与基础服务使用者签订电信服务协议,形成民事合同法律关系。电信服务提供商需履行对信息的保密义务和防止信息被非法获取、盗用等义务。
在感知层、网络层和应用层中,还存在感知层的窃取节点秘钥,非法干扰、攻击、控制网关节点,网络层DOS攻击、DDoS攻击、跨异构网络攻击,应用层的非法访问数据库等,对信息的非法获取、盗用,甚至对系统的攻击、非法控制造成的网络/系统瘫痪、信息泄露、隐私权甚至生命健康权的侵犯,从而形成的侵权人和被侵权人之间的侵权法律关系。涉及计算机、网络或无线电犯罪时,还可能构成“破坏计算机信息系统罪”、“网络服务渎职罪”、“拒不履行信息网络安全管理义务罪”、“帮助信息网络犯罪活动罪”、“非法利用信息网络罪”和“扰乱无线电管理秩序罪”等,形成刑事法律关系。
此外,因国家行政机关对物联网产业的监管和行业监管,还会涉及行政主体和行政相对人之间的行政法律关系和行业协会与协会会员之间的民事合同法律关系或因协会被法律授权时而与会员形成的管理与被管理的准行政法律关系。
三、物联网可能存在的法律问题
通过上述对物联网中主要的法律主体和法律关系的分析,不难看出物联网在当前发展阶段下主要存在和急需解决的一个核心问题是信息安全问题。当然,一方面这是个技术问题,可通过可能的技术(如秘钥管理、信息路由安全、节点认证和防范入侵检测技术等)对信息安全问题进行一定程度上的解决;另一方面,对于物联网信息安全,由于存在一系列法律问题,还需要通过法律手段以对信息安全提供必要保障。如上文所述,信息安全会涉及个人层面的隐私权和生命健康权侵犯的问题。值得一提的是,因信息的所有权问题,还可能会涉及国家主权、信息管理不受他国干涉以及国家安全的问题。
除信息安全问题外,物联网还存在知识产权保护问题(及侵犯商业秘密的不正当竞争行为)、物联网行业标准化和规范化问题、物联网市场垄断等问题。
物联网中的知识产权保护问题不难理解,在物联网基础网络技术、应用终端产品中都可能会涉及大量的专利技术、商标权及软件著作权等知识产权,如何在有效保护知识产权人的合法权益的同时促进物联网技术的快速发展,可能是知识产权法在物联网时代面临的一个新挑战。关于物联网行业标准化和规范化问题,因为国内标准和国际标准层出不穷,制定物联网标准的组织数量众多且侧重领域也不尽相同(如美国电气、电子工程师协会、国际电信联盟通信标准化组织等等),物联网行业的标准化和规范化问题的解决可能将会是个漫长的过程。而在物联网行业市场具有支配地位、拥有更多核心技术和标准制定权的经营者,还可能存在滥用市场支配地位或是进行横向联合限制竞争的行为。
四、我国对物联网信息安全的现行立法
随着物联网时代的来临,新的法律问题也会涌现。2018年 9 月28 日,美国加州州长杰里·布朗(Jerry Brown)签署此前由州议会通过的第327号参议院法案《IoT 设备网络安全法》(SB-327),该法案被视为美国首个物联网安全法案,于2020年 1月 1日正式生效。当前,对于物联网信息安全的立法,我国尚处于起步阶段,尚没有一部针对信息安全问题的基本法,体系亦不完善和健全,相关规定较为分散,如《宪法》、《国家安全法》、《保护国家秘密法》、《网络安全法》和《计算机系统安全保护条例》等。但在国家标准层面,为顺应当前加强网络安全的国家要求,结合云计算、移动互联、物联网、工业控制和大数据等新技术新应用开展综合治理、系统监管、主动防控,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)和《信息安全技术 个人信息安全规范》(GB/T 35273-2020)相继发布。
五、启示
在物联网即将迎来井喷式发展的情况下,要运用多种手段解决物联网时代的信息安全问题,除了技术上的突破之外,还要注意运用好法律手段,为物联网时代营造一个良好的法治环境,以促使其更加健康和快速地发展。此外,尽管目前我国的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)和网络安全等级保护相关标准均为国家推荐标准,但其作为监管和执法的重要参考依据,物联网相关企业应引起高度重视,结合当前法律法规及各标准逐步完善自身管理、技术、产品和服务,为日后迅速发展保驾护航。
————————
【参考资料】:
1. 潘立武,刘志龙,罗从波. 物联网技术与应用[M],航空工业出版社,2018;
2. 国家互联网信息办公室:“习近平:没有网络安全就没有国家安全”,http://www.cac.gov.cn/2018-12/27/c_1123907720.htm,2020年4月30日访问。
3. 冯宪芬. 做好物联网时代的信息安全法律保护[J],人民论坛,2019(35);
4. 李书峰. 美国加州通过首个物联网安全法律,将于2020年1月1日生效[J]. 信息安全与通信保密, 2018, 000(010):10;
5. 陈际红,韩璐,薛泽涵. 2019年《网络安全法》年度观察, http://www.zhonglun.com/content/2020/01-06/1540302734.html,2020年4月30日访问。