Evropský hospodářský a sociální výbor

INT/846

Důvěra, soukromí a bezpečnost – internet věcí

STANOVISKO
specializované sekce Jednotný trh, výroba a spotřeba
Důvěra, respektování soukromí a bezpečnost spotřebitelů a podniků na internetu věcí [stanovisko z vlastní iniciativy]

Zpravodaj: Carlos TRIAS PINTÓ

Spoluzpravodaj: Dimitris DIMITRIADIS

1.Závěry a doporučení

1.1Internet věcí představuje díky své propojenosti osob a předmětů pro občany a podniky obrovskou škálu příležitostí, které musí doprovázet řada záruk a kontrol, aby bylo zajištěno jeho uspokojivé zavedení.

1.2Vzhledem k tomu, že jedna ze zásad, na nichž je internet věcí založen, spočívá v automatickém přijímání rozhodnutí bez lidského zásahu, je potřeba zajistit, aby rozhodnutí neoslabila práva spotřebitelů či s sebou nenesla rizika etické povahy nebo rizika, která by byly v rozporu se základními zásadami a základními lidskými právy.

1.3EHSV žádá evropské orgány a členské státy, aby:

1.3.1zajistily ochranu bezpečnosti a soukromí prostřednictvím vypracování vhodných regulačních rámců, které stanoví přísná opatření v oblasti sledování a kontroly;

1.3.2jasně definovaly odpovědnost všech subjektů v dodavatelském řetězci a souvisejících informačních tocích, aby se zamezilo hledání mezer v právu, k němuž dochází v případech, kdy je zároveň zapojeno několik výrobců a distributorů;

1.3.3stanovily vhodné zdroje a vytvořily účinné mechanismy koordinace mezi Evropskou komisí a členskými státy s cílem zajistit soudržné a harmonizované uplatňování jak právních předpisů, které jsou předmětem přezkumu, tak nových právních předpisů, a zabývaly se současně i mezinárodním prostředím;

1.3.4sledovaly vývoj nových technologií souvisejících s internetem věcí, a zaručily tak vysokou úroveň jeho bezpečnosti, úplnou transparentnost a spravedlivý přístup k němu;

1.3.5podpořily evropské a mezinárodní iniciativy týkající se normalizace s cílem zaručit spolehlivost, dostupnost, odolnost a zachování produktů;

1.3.6dohlížely na trhy a chránily rovné podmínky při provádění internetu věcí a zabránily při tom koncentraci nadnárodní hospodářské moci v rukou nových hráčů na poli technologií;

1.3.7se zavázaly k podpoře opatření sloužících ke zvyšování informovanosti a k budování kapacit v oblasti digitálních dovedností, která půjdou ruku v ruce se základním výzkumem a inovacemi v této oblasti;

1.3.8zaručily plné zavedení a skutečné využívání režimů alternativního řešení sporů off-line a on-line (ADR a ODR);

1.3.9stimulovaly existenci, zavedení a skutečné fungování evropského systému kolektivních žalob, který umožní ukončení a získání odškodnění, když použití internetu věcí způsobí škody nebo újmy kolektivní povahy, jak musí vyplynout z nové politiky pro spotřebitele.

1.4Důvěra spotřebitelů bude spojena s přísným dodržováním příslušných právních předpisů a se sdílením osvědčených postupů podniků v oblasti soukromí a bezpečnosti, přičemž je povinností institucí zapojit je do strategií týkajících se sociální odpovědnosti podniků a do sociálně odpovědných investic.

1.5Sociální a hospodářský dopad internetu věcí se bude jasně zvyšovat s tím, jak bude adekvátně propojován s rozvojem sociálních a environmentálních politik v rámci ekonomiky sdílení, oběhového hospodářství a funkční ekonomiky.

2.Východiska a souvislosti

2.1Během posledních patnácti let způsobil nástup internetu změny ve všech oblastech každodenního života a měl dopad na různé spotřebitelské návyky. Odhaduje se, že v příštích deseti letech zasáhne revoluce internetu věcí energetiku, zemědělství či dopravu, stejně jako tradičnější odvětví hospodářství a segmenty společnosti, což znamená, že je třeba vypracovat komplexní politiky, které se budou inteligentním způsobem zabývat tímto technologickým převratem.

2.2Pojem internet věcí se objevil na institutu Massachusetts Institute of Technology (MIT) a jeho myšlenka spočívá v podstatě ve světě plném zařízení, která jsou zcela propojena tak, aby bylo možné společně automatizovat různé interoperabilní procesy. Evropská unie se připravuje na řešení digitální konvergence a nových výzev spojených s internetem věcí počínaje plánem i2010 – evropská informační společnost pro růst a zaměstnanost 1 až po nedávný akční plán pro internet věcí – viz dokument Rozvoj internetu věcí v Evropě, který doprovází sdělení z roku 2016 s názvem Digitalizace evropského průmyslu – Dosažení maximálních přínosů jednotného digitálního trhu 2 .

2.3EHSV se při mnoha příležitostech vyjádřil ke čtvrté průmyslové revoluci, která se vyznačuje konvergencí digitálních, fyzikálních a biologických technologií, především ve svém stanovisku z roku 2017 3 . Internet věcí je oblastí, kde se volí nejpokročilejší formy umělé inteligence a kde jsou podrobeny zkoušce zásady definované EHSV, zejména zásada lidské kontroly.

2.4Zařízení internetu věcí často postrádají pravidla pro ověření, která jsou nezbytná k zachování bezpečnosti uživatelských údajů. To vede ke vzniku problémů, neboť zařízení, údaje a části dodavatelského řetězce jsou vystaveny narušením bezpečnosti.

2.5Problémy týkající se bezpečnosti a důvěry mohou vyřešit nově se objevující technologie, jako je blockchain: je možné ji využít k vysledování měření údajů ze senzorů a zabránit nejen zdvojování s jakýmikoli jinými škodlivými údaji, ale také zachovat integritu a sledovatelnost změn; distribuovaná účetní kniha může umožnit identifikaci zařízení na internetu věcí, ověření a bezpečný přenos údajů bez závad; senzory na internetu věcí lze využít k výměně údajů prostřednictvím blockchainu namísto třetího subjektu; využití chytrých smluv umožňuje nezávislost zařízení a individuální totožnost a integritu údajů; snižují se náklady na tvorbu a fungování, neboť neexistují zprostředkovatelé, a zařízení na internetu věcí v rámci blockchainu poskytují záznamy o připojených zařízeních, což je velmi užitečné pro odstraňování případných problémů 4 .

2.6Za účelem výměny informací a hodnot mezi zařízeními na internetu věcí se vyvíjí distribuované účetní technologie s otevřeným zdrojovým kódem. Neumožňují vytěžování dat (data mining), ale využívají architekturu inspirovanou matematickou koncepcí nazvanou řízený necyklický graf (DAG), která zabraňuje provizím a umožňuje, aby síť zvyšovala svou kapacitu podle toho, jak roste počet jejích uživatelů.

2.7Stojíme před počinem s velkým hospodářským 5 a společenským potenciálem, který představuje významné příležitosti, ale také značné výzvy spojené se skrytými riziky, a jež má multidisciplinární a průřezovou povahu, která má stejný dopad na podniky a spotřebitele i na správu a občany. Proto je třeba při řešení této otázky zaujmout společný přístup, který však bude současně specifický ve všem, co je jedinečné pro určitý stav. V tomto ohledu stačí uvést, že Organizace spojených národů odhaduje, že do roku 2020 bude existovat 50 miliard propojených zařízení poskytujících aplikace pro spotřebitele prostřednictvím televizorů, ledniček, bezpečnostních kamer, vozidel atd.

2.8Aplikace v oblasti internetu věcí již mají hospodářské a společenské přínosy v rámci globalizovaného světa, což mimo jiné znamená více služeb přizpůsobených socioekonomické situaci, kratší cykly zpětných vazeb, opravy na dálku, podporu při rozhodování, lepší přidělování zdrojů nebo dálkové ovládání služeb. Toto téma je nicméně spojeno s velmi citlivými faktory, jako je soukromí a bezpečnost, informační asymetrie a transparentnost transakcí, složitá odpovědnost, blokování produktů a systémů nebo také nárůst hybridních produktů, který může mít dopad na vlastnictví a vystavit spotřebitele využívání smluv na dálku, což je spojeno se snížením záruk.

2.9Obrovské výzvy v právní oblasti, kterým čelí EU a její členské státy, lze vysvětlit tím, že internet věcí sdílí mnohé ze svých zvláštních charakteristik (velká složitost a velká vzájemná závislost, prvek nezávislosti, složky týkající se tvorby a/nebo zpracování údajů a otevřený rozměr) s dalšími vznikajícími digitálními technologiemi, jako je blockchain, 3D tisk a cloud computing. EHSV se domnívá, že pracovní dokument Evropské komise 6 o odpovědnosti za vznikající digitální technologie je dalším krokem správným směrem.

2.10K maximalizaci přínosů internetu věcí a minimalizaci jeho rizik je potřeba poskytnout dostupné, jasné, stručné a přesné informace a podporovat zejména začlenění a digitální připojení nejzranitelnějších spotřebitelů prostřednictvím vytváření produktů a služeb, které budou plně sledovatelné a které budou respektovat integrované normy týkající se důvěry, soukromí a bezpečnosti.

3.Důvěra spotřebitelů a podnikatelů v internet věcí

3.1Internet věcí je složitým ekosystémem, který umožňuje propojit zařízení pocházející od různých výrobců, distributorů nebo vývojářů softwaru, což může vést k obtížím při stanovení odpovědnosti v případě neplnění právních předpisů nebo když třetím osobám či systémům vzniknou materiální nebo jiné škody v důsledku vadných produktů nebo produktů použitých po síti třetími osobami (mimo konečných uživatelů) k nesprávnému účelu. Je dokonce možné, že mnozí z pracovníků, kteří se účastní globálního hodnotového řetězce daného produktu, nemají dostatečné znalosti a zkušenosti ohledně bezpečnosti či ochrany údajů u zařízení v síti.

3.2Proto je třeba nový přístup z hlediska odpovědnosti, který bude zaměřen na zajištění toho, aby spotřebitelé i podniky využívající aplikace internetu věcí byli chráněni v prostředí, v němž se u produktů s řádnou konfigurací může v důsledku incidentů v oblasti digitální bezpečnosti nebo nedovoleného používání (např. hackeři) objevit závada nebo riziko. Toto prostředí musí umožnit předvídat automatizovaná rozhodnutí, která by mohla poškodit všeobecně uznávané etické základy a lidská práva, předcházet těmto rozhodnutím a ochránit se před nimi.

3.3EHSV vítá jak přezkum uplatňování směrnice z roku 1985 o odpovědnosti za vadné výrobky 7 , tak nedávné zřízení skupiny odborníků pro odpovědnost a nové technologie složené z vícero zúčastněných stran s cílem zajistit spravedlivou rovnováhu mezi zájmy výrobců a spotřebitelů. Nový rámec odpovědnosti by měl jasně stanovit sledovatelnost odpovědnosti a bezpečnosti jak v celém hodnotovém řetězci daného produktu, tak během jeho životního cyklu, přičemž by měl začlenit udržitelnost coby nový faktor, který zajistí, aby byla povinná aktualizace, zlepšení, přenosnost, kompatibilita, opětovné použití, oprava nebo modernizace produktu.

3.4Rovněž je třeba v případě internetu věcí věnovat zvláštní pozornost stanovení odpovědnosti všech subjektů v dodavatelském řetězci daného produktu, a zabránit tak právnímu vakuu v případě, kdy je zapojeno několik výrobců a distributorů. EHSV se domnívá, že je nezbytné jasně upřesnit postupy, kterými se mají v jednotlivých případech řídit spotřebitelé, a podpořit mechanismy alternativního řešení sporů (ADR).

3.5EHSV zdůrazňuje význam předsmluvních informací, transparentních smluvních ustanovení a jasných pokynů pro používání zařízení. Měla by se explicitně zdůraznit související rizika a bezpečnostní opatření.

3.6Musí se zaručit interoperabilita a kompatibilita zařízení a příslušného softwaru, aby se předešlo problémům a spotřebitelé měli možnost porovnat mezi sebou poskytovatele. EHSV zdůrazňuje, že tento faktor je rovněž klíčový pro nastolení rovných podmínek pro malé a střední podniky a velké společnosti.

3.7EHSV rovněž hájí respektování neutrality sítě a naléhá na Komisi, aby provedla přísné monitorování tržního chování.

4.Soukromí spotřebitelů na internetu věcí

4.1Možnost spotřebitelů regulovat své osobní údaje a preference týkající se soukromí zlepšilo nové obecné nařízení o ochraně osobních údajů 8 . Uživatel určitého zařízení musí mít kontrolu nad tím, jak se využívají údaje, které vytváří, a kdo k nim může získat přístup, přičemž je třeba vzít v úvahu, že rozmanitost údajů a jejich seskupení a propojení s jinými údaji představují v ekosystému internetu věcí vážné riziko z hlediska soukromí.

4.2Je třeba mít na paměti důsledky, které může mít mnohočetnost produktů, služeb nebo subjektů pro soukromí a ochranu údajů, pokud se tyto údaje samostatně přenášejí na základě své propojenosti. Stejně tak v případech, kdy se zpracovávají nebo přepracovávají informace na základě údajů, jež byly původně neškodné, by se mohlo dospět k přesným znalostem o zvycích, poloze, zájmech a preferencích jednotlivců, což zvyšuje přístupnost a sledovatelnost profilu uživatele.

4.3Právní záruky musí zajistit, aby byli uživatelé zcela schopni uplatňovat svá práva na soukromí a ochranu osobních údajů bez jakýchkoli omezení, čímž se zabrání případným škodám, jako jsou diskriminační postupy, invazivní komercializace, ztráta soukromí nebo porušení bezpečnosti. Spotřebitelé musí mít informace o ekonomické hodnotě, kterou mají jejich údaje, a musí si vyhradit právo moci tyto údaje sdílet.

4.4Jak stanoví obecné nařízení o ochraně osobních údajů, musí podniky a regulační orgány pravidelně přezkoumávat záběr shromažďování osobních údajů a posuzovat, do jaké míry jsou zpracovávané údaje přiměřené a nezbytné pro poskytování dané služby. Aspekty soukromí a dopady na něj musí být posuzovány během celé koncepce, cyklu navrhování a tvorby připojeného produktu a ekosystému na síti, v níž působí (ochrana soukromí již od návrhu). Zásady ochrany soukromí již od návrhu a standardního nastavení ochrany soukromí tedy musí být na internetu věcí důsledně uplatňovány.

4.5Stejně tak musí být výchozí konfigurace jakéhokoli připojeného produktu nastavena na co nejvyšší úroveň ochrany soukromí (ochrana již od návrhu a standardní ochrana), aby se zabránilo nežádoucímu sledování chování uživatelů a jejich činnosti.

4.6V každém případě musí spotřebitelé s jistotou vědět, které údaje se shromažďují, kdo k nim má přístup a jaký užitek mají přinést, pokud bude vztah k produktu nebo službě aktivní, a jaká politika v oblasti ochrany soukromí se uplatňuje a zda mají využívané algoritmy dopad na kvalitu a cenu služby nebo přístup k ní.

5.Bezpečnost spotřebitelů a podnikatelů na internetu věcí

5.1Propojenost zařízení, která je typická pro ekosystém internetu věcí, může podpořit rozvoj nezákonných a nežádoucích technologických postupů a stát se příhodným prostorem pro rizika a jejich virální šíření. Proto je potřeba se bezpečností zabývat komplexním způsobem – ve všech jednotlivých složkách systému.

5.2Nabídka produktů a aktualizací spojených s kybernetickou bezpečností musí být odůvodněná a musí zajišťovat pokrytí nejen jednotlivých zařízení, ale také rizik v oblasti bezpečnosti, které s sebou nese propojenost s ostatními zařízeními na internetu věcí, přičemž se kvůli jejich počtu nesmí omezit kvalitativní normy této bezpečnosti.

5.3V tomto ohledu zahrnuje návrh nařízení týkajícího se Agentury EU pro kybernetickou bezpečnost 9 rámec pro certifikaci informačních a komunikačních technologií, který umožní definovat systémy dobrovolné certifikace bezpečnosti a dobrovolného označování pro různé typy produktů, k nimž patří produkty na internetu věcí. EHSV toto opatření vítá, je však znepokojen tím, že není povinné.

5.4Opatření v oblasti kybernetické bezpečnosti by měla obsáhnout rizika související s veškerými typy slabých stránek a zejména s hackingem, nedovoleným přístupem nebo nesprávným použitím a také co se týče způsobů plateb a finančních podvodů. V tomto ohledu podporuje EHSV pravomoci přiznané skupině odborníků pro odpovědnost a nové technologie složené z vícero zúčastněných stran.

5.5Stejně tak je třeba zvážit osobní bezpečnost spotřebitelů ve vztahu k rizikům, jako jsou využívání proximity, sdílená frekvenční pásma, vystavení elektromagnetickým polím nebo možné interference s životně důležitými připojenými zařízeními. Vzhledem k rizikům, která mají dopad na zdraví a bezpečnost spotřebitelů nebo na jejich osobní a ekonomické zájmy, podporuje EHSV uplatnění opatření dohledu a preventivní stažení.

5.6Podniky musí přijmout normy v oblasti osvědčených postupů, jako je bezpečnost již od návrhu a standardní bezpečnost, a musí se podrobit nezávislým externím posouzením. V případě incidentů týkajících se bezpečnosti nebo narušení bezpečnosti údajů jsou podniky povinny tyto incidenty ohlásit, včetně informací o odpovědnosti za škody a nedodržení předpisů.

5.7Podniky musí spotřebitelům poskytnout jednoduché a dostupné informace, které jim umožní přijmout náležitá rozhodnutí a bezpečné postupy, a poskytovat jim nezbytné aktualizace v oblasti bezpečnosti během celého životního cyklu produktu.

5.8Je třeba vyřešit absenci koherentních norem pro sítě internetu věcí. Je nezbytné vytvořit pokročilé technologie širokopásmového připojení a technologie nové generace, které zlepší současné infrastruktury.

6.Návrhy kroků ve veřejné politice 10  

6.1Veřejné orgány se při výkonu svých pravomocí v různých územních celcích Evropské unie musí aktivně zapojit do tvorby politik a akčních plánů v oblasti internetu věcí s cílem dosáhnout rovnováhy mezi zájmy různých zúčastněných stran a předvídat při tom problémy a přiměřeně zmírňovat možné nežádoucí účinky. EHSV navrhuje:

6.1.1vytvořit testovací prostředí (sand box), tj. fyzické prostory, klastry atd., pro pilotní projekty a testování koncepcí. Jejich cílem by mělo být nejen testovat technologie, ale také regulační modely 11 ;

6.1.2financovat technologické infrastruktury, jež umožní rozvoj inovativních projektů internetu věcí v rámci nového programu Horizont Evropa;

6.1.3stanovit nezávislé instituty a agentury coby zprostředkovatele a orgány dohledu nad projekty internetu věcí. EHSV vítá opatření, která v tomto ohledu zvažuje nařízení o kybernetické bezpečnosti z roku 2017, a žádá Komisi, aby s využitím náležitých rozpočtových prostředků efektivně prosazovala normalizační procesy v digitálním odvětví 12 ;

6.1.4podpořit vznik sdružení a platforem pro spolupráci veřejných a soukromých subjektů se zapojením vědecké obce, průmyslu a spotřebitelů;

6.1.5povzbudit investice do rozvoje místních podnikových modelů, které využijí přínosů internetu věcí a umožní zabývat se tak složitými aspekty, jako jsou ochrana a vlastnictví údajů;

6.1.6zavést opatření týkající se budování kapacit ve světě podnikání z hlediska spoluzodpovědnosti. Mělo by se zajistit, aby byly bezpečnost a soukromí již od návrhu a standardní bezpečnost a soukromí součástí produktů a služeb v oblasti IKT, což je v souladu se zásadou povinné řádné péče, již prosazuje nové nařízení o kybernetické bezpečnosti. EHSV v této souvislosti vítá plánované sestavení kodexů chování, jež doplní toto nařízení;

6.1.7podpořit evropské a mezinárodní normalizační iniciativy s cílem zajistit, aby měly systémy internetu věcí nezbytné charakteristiky, tj. spolehlivost, bezpečnost, dostupnost, odolnost, udržovatelnost a upotřebení. Normalizace je zásadní zejména pro rychlé provedení vysoce digitalizovaných procesů průmyslové výroby;

6.1.8zaručit, aby uživatelé internetu věcí, a zejména ti nejzranitelnější nebo ti, kteří žijí v řídce zalidněných oblastech, k němu měli vysoce kvalitní a cenově dostupný přístup;

6.1.9podnítit kampaně pro zvyšování informovanosti a vzdělávací programy s cílem usnadnit přijetí internetu věcí ze strany podniků a spotřebitelů a umožnit osvojení si nezbytných dovedností a kompetencí 13 , přičemž je potřeba věnovat zvláštní pozornost zranitelným skupinám a rozmanitosti;

6.1.10spustit iniciativy v oblasti vzdělávání za účelem vhodné prevence, jelikož se děti do digitálních prostředí zapojují brzy;

6.1.11zahájit diagnostické analýzy a studie dopadu internetu věcí na oblasti, jako jsou nové vzorce udržitelné výroby a spotřeby;

6.1.12zaručit plné zavedení a skutečné využívání režimů alternativního řešení sporů off-line a on-line (ADR a ODR);

6.1.13stimulovat existenci, zavedení a skutečné fungování evropského systému kolektivních žalob, který umožní ukončení a získání odškodnění, když použití internetu věcí způsobí škody nebo újmy kolektivní povahy, jak musí vyplynout z nové politiky pro spotřebitele.

6.2EHSV rovněž žádá Komisi, aby zhodnotila pravidla, která jsou přímo či nepřímo spojena s internetem věcí, a v případě potřeby zlepšila stávající právní předpisy. V této souvislosti by se měla nová politika pro spotřebitele rovněž zaměřit na propojená zařízení, sítě a jejich bezpečnost, jakož i na údaje spojené s danými zařízeními.

6.3EHSV závěrem zdůrazňuje, že je důležité zavést mechanismy spolupráce a koordinace mezi členskými státy za účelem účinného a jednotného uplatňování plánovaných předpisů a pro dohody, které by Evropská unie měla uzavřít mimo své území s ohledem na umístění sídel podniků a poskytovatelů, se zvláštním důrazem na výměnu osvědčených postupů. Je třeba koordinovat mezinárodní politiku v oblasti přeshraničních toků údajů, aby mohly zapojené země ve svém hmotném i procesním vnitrostátním právu stanovit stejně přísné normy ochrany.

V Bruselu dne 4. září 2018

Ariane RODERT

předsedkyně specializované sekce Jednotný trh, výroba a spotřeba

_____________

(1)      COM(2005) 229 final.

(2)      COM(2016) 180 final.

(3)      Umělá inteligence – dopady umělé inteligence na jednotný (digitální) trh, výrobu, spotřebu, zaměstnanost a společnost – Úř. věst. C 288, 31.8.2017, s. 1 .

(4)      Viz Khwaja Shaik. Why blockchain and IoT are best friends, https://www.ibm.com , pokud jde o inovace v evropském finančním sektoru, viz Úř. věst. C 246, 28.7.2017, s.8 .

(5)      Digital McKinsey odhaduje, že internet věcí bude mít do roku 2025 potenciální hospodářský dopad pohybující se mezi 3,9 miliardy a 11,1 miliardy USD ročně.

(6)      SWD(2018) 137.

(7)      COM(2018) 246 final.

(8)      V platnosti od 25. května 2018.

(9)      Viz COM(2017) 477 final.

(10)      Viz Skupina Světové banky, Internet of Things: The New Government-to-Business Platform (Internet věcí: nová platforma vlád a podniků).

(11)      Viz https://ec.europa.eu/digital-single-market/en/news/eu-and-eea-member-states-sign-cross-border-experiments-cooperative-connected-and-automated .

(12)       Úř. věst. C 197, 8.6.2018, s. 17 .

(13)       Úř. věst. C 434, 15.12.2017, s. 36 .