CC BY
85Е.А. Афанасьева
ВЕЩИ УМНЕЕ СВОИХ ХОЗЯЕВ?
ПРАВОВЫЕ АСПЕКТЫ ИНТЕРНЕТА ВЕЩЕЙ (Обзор)
Ключевые слова: интеллектуальная собственность; авторское право; неприкосновенность частной жизни; конфиденциальная информация; персональные данные; умные вещи; Интернет вещей; интернет-право; сообщение о правонарушении; права потребителей; жестокое обращение с детьми; право США.
E.A. Afanaseva Things are smarter than their masters?
Legal aspects of the internet of things (Review)
Keywords: intellectual property; copyright; privacy; confidential information; smart things; Internet of things; Internet law; consumer rights.
Мы живем в мире, наводненном устройствами, которые контролируют каждое наше движение, незаметно собирая при помощи датчиков информацию о нас. Эти устройства могут подключаться к Интернету и таким образом взаимодействовать друг с другом, создавая Интернет вещей (Internet of things - «IoT»). В настоящее время Интернет вещей растет с огромной скоростью, как и многообразие самих «умных» вещей. Помимо привычных нам смартфонов или фитнес-трекеров появляются поистине инновационные и неожиданные разработки. Например, в конце 2017 г. в США Управлением по надзору за качеством пищевых продуктов и медикаментов (FDA) была одобрена для приема первая в мире
цифровая таблетка, сообщающая врачам, принял ли ее пациент1. Препарат применяется при лечении шизофрении, биполярного расстройства и депрессии. Таблетка оснащена сенсором, который активизируется под действием желудочного сока. Данные о том, что пациент принял таблетку, передаются на специальный цифровой пластырь на теле пациента, а с него - в мобильное приложение, в котором врач может отслеживать прием лекарств.
По прогнозам одних экспертов, рынок Интернета вещей вырастет c 25 млрд подключенных устройств в 2015 г. до 50 млрд уже к 2020 г. Другие же считают, что сегодня на рынке находятся 3,5 млрд датчиков, и ожидают, что их число увеличится до триллионов в течение следующего десятилетия [3, с. 265]. Производителям этих устройств выгодно собирать как можно больше данных о пользователях и для себя, и для того, чтобы продавать их в наиболее узнаваемой форме.
Тем не менее, как отмечает Лидия Мищенко [1], правила конфиденциальности в настоящее время не обеспечивают никаких реальных проверок того, как данные собираются и используются этими компаниями. Даже Закон США об авторском праве в цифровую эпоху (The Digital millennium copyright act - DMCA) фактически запрещает пользователям и государству выяснять, какие данные собираются и что с ними происходит потом.
Л. Мищенко начинает свою статью с такой зарисовки. Представьте себе: вы просыпаетесь. Ваш фитнес-браслет говорит вам, что спали вы не очень хорошо. Вы видите, что ваша первая встреча была перенесена на сорок пять минут, поэтому ваш будильник позволил вам поспать подольше. Вы идете на кухню, где кофе-машина по сигналу вашего будильника уже сварила кофе. Холодильник сообщает вам, что у вас заканчивается молоко и что он уже заказал его по Интернету. После завтрака вы направляетесь к машине. Когда вы выходите, свет в вашей квартире отключается автоматически, а температура понижается. Ваш автомобиль уже разогрет, чтобы растопить лед на лобовом стекле. Автомобиль рассказывает вам, как избежать аварии на вашем маршруте, и напоминает, что следует позвонить маме. Но этот идиллический мир рушится, когда вы приходите на работу и узнаете, читая интер-нет-блог, что все действия, которые вы вручную вводили в свой
1 См.: Рождественская Я. Первая в мире цифровая таблетка получила одобрение. Она будет сообщать врачам, принял ли ее пациент // КоммерсантЪ. -М., 2017. - 14 нояб. - Режим доступа: https://www.kommersant.ru/doc/3467301
фитнес-трекер, теперь доступны онлайн для всеобщего обозрения, потому что производитель интернет-вещи по умолчанию сделал такие данные общедоступными. Некоторые данные, которые вы вводили, имели интимный характер. Это стало бы кошмаром наяву! И, к сожалению, такое положение вещей - не научная фантастика.
В 2011 г. пользователи фитнес-трекеров Fitbit выяснили, что в результатах поиска Google появляются записи о сексуальной активности примерно 200 клиентов. Fitbit быстро устранил проблему, но полностью загладить конфуз, который могли ощутить пользователи, едва ли возможно.
Интернет-вещи обеспечивают огромные преимущества, но они также полностью меняют нашу концепцию конфиденциальности. По словам американского сенатора Чака Шумера, носимые устройства, такие как Fitbit, являются кошмаром, разрушающим конфиденциальность, поскольку они собирают личную информацию о пользователе (в частности, о его местоположении, о продолжительности сна), которая затем может быть передана третьим лицам. Fitbit реагировал на скандалы своевременно: компания обновила свою политику конфиденциальности, подчеркнув, что не продает данные, позволяющие идентифицировать пользователей устройств. Сенатора Шумера такое обновление более чем удовлетворило, однако Fitbit и подобные устройства могут по-прежнему представлять собой серьезную угрозу для неприкосновенности частной жизни потребителей. Хотя компания и пересмотрела свою политику конфиденциальности, объяснив, что она только «предоставляет или продает агрегированные, деперсонифицированные данные, которые не идентифицируют пользователей», повод для беспокойства остается. Fitbit собирает всевозможные сведения, некоторые из которых пользователи вводят сами, а другие устройство фиксирует самостоятельно, например, с помощью акселерометров. Фитнес-трекеры Fitbit собирают информацию о местоположении пользователя, количестве шагов, которые он проходит, фиксируют вес, рост, пол и то, как и сколько пользователь спит. С помощью собранных данных можно, например, определить походку потребителя, которая является его уникальной особенностью, узнать, когда он ездит на метро или катается на велосипеде, какое у него настроение и даже получить информацию о наступлении беременности (иногда раньше, чем сама хозяйка устройства).
Подобные данные могут представлять значительную ценность не только для производителей «умных вещей», но и для третьих лиц, готовых их покупать. Для Fitbit есть веский стимул
максимально персонифицировать информацию такого рода, ведь ее ценность обратно пропорциональна ее анонимности. Представим, предлагает Л. Мищенко, что Fitbit продает данные акселерометра третьей стороне. Даже если Fitbit удалит перед этим всю идентифицирующую информацию, такую как имя и адрес пользователя, компания будет по-прежнему иметь возможность связывать эти данные с другими общедоступными данными, такими как профили пользователя в социальных сетях, и провести идентификацию с их помощью. Заинтересованность в повторной идентификации могут обнаружить страховые, рекламные компании и потенциальные работодатели пользователей. Даже при агрегации данных повторная идентификация не исключена.
Что произойдет, если пользователь попытается выяснить, какие данные о нем собираются или насколько они точны? В этом смысле, отмечает Л. Мищенко, Fitbit хотя бы лучше, чем большинство компаний, поскольку позволяет пользователю экспортировать собственные фитнес-данные, утверждая: «Вы владеете своими данными». Но что касается данных акселерометра Fitbit, которые, например, дают возможность идентифицировать уникальную походку, то Fitbit не позволяет пользователю получать к ним доступ. В некотором смысле Fitbit и другие носимые устройства - это черные ящики. Пользователь не знает, какая в точности информация о нем собирается, как она анализируется, агрегируется или продается. И кошмар на этом не заканчивается: мало того, что существуют опасения, что носимые устройства, такие как Fitbit, могут отклоняться от действующих правил конфиденциальности, но еще и авторское право создает дополнительные препятствия для прозрачности. Данные и программное обеспечение носимых устройств защищены технологическими мерами защиты, и эти меры в первую очередь объясняются заботой о конфиденциальности потребителей и о защите интеллектуальной собственности производителей, но они могут быть использованы и для ограничения потребителя в выборе на вторичном рынке, и для преследования правонарушителей (не только посягающих на интеллектуальную собственность и персональные данные).
Закон об авторском праве в цифровую эпоху объявляет незаконным обход технологических мер защиты. Таким образом, Fitbit теоретически может привлечь к суду пользователя за взлом своего же собственного устройства, даже если тот только пытается выяснить, что измерило устройство и какие данные в нем хранились. Учитывая, сколь огромен для Fitbit и других компаний по произ-
водству 1оТ-устройств финансовый стимул собирать, использовать и продавать персональные данные владельцев умных вещей, необходимо каким-то образом убедиться, что эти компании исходят из приоритета конфиденциальности пользователей. Л. Мищенко предлагает решить данную проблему внесением в DMCA поправок, наделяющих Федеральную торговую комиссию (FTC) полно -мочиями по созданию обязательных отраслевых стандартов сбора и распространения данных, а также по расследованию ненадлежащей практики.
Взгляд на проблему конфиденциальности пользователей интернет-вещей, с другой стороны, представляет в своей статье Александр Трен [4]. Нормы общего права об ответственности за нарушение неприкосновенности частной жизни он считает пригодными для регулирования передачи конфиденциальных данных IoT, не предназначенных для публичного распространения. В частности, такие деликты, как «раскрытие личных данных» и «вторжение в частную жизнь», являются подходящими средствами для регулирования такой сферы, как Интернет вещей. Просто составы этих правонарушений должны быть расширены и проработаны. Судам следует признать личный характер данных датчиков интернет-вещей отдельным кругом информации, заслуживающей судебной защиты, за счет более широкого использования имеющихся составов деликтов.
Если в контексте гражданского права значение конфиденциальности невозможно переоценить, то в уголовном праве и процессе не всё так очевидно. Вопрос, будут ли использоваться данные, собранные интернет-вещами, в качестве доказательств при раскрытии уголовных дел, на данный момент является открытым. Еще в конце 2015 г. полиция обратилась к компании Amazon за помощью в расследовании убийства, предположив, что «умная» домашняя колонка Amazon Echo могла стать «свидетелем» и записать разговоры, звучавшие в доме во время преступления. Полиция направила в Amazon запрос с требованием предоставить аудиозаписи. В ответ на это Amazon предоставила информацию об ак-каунте и покупках подозреваемого, но отказалась раскрывать данные с его колонки Echo, хранящиеся на серверах компании, без надлежащего юридического обоснования1.
1 См.: Carman A. Police want an Echo's data to prove a murder case, but how much does it really know? - Мode of access: https://www.theverge.com/2016/12/27/ 14089836/amazon-echo-privacy-criminal-investigation-data
На первый взгляд, интернет-вещи предназначены исключительно для взрослых людей, однако это не так. Статья Коринн Моини [2] посвящена «умным» игрушкам, в частности Hello Barbie. Hello Barbie - не просто говорящая кукла, которая повторяет заученные фразы. У Hello Barbie есть кнопка, при нажатии которой всё, что скажет ребенок, записывается и передается в облачное он-лайн-хранилище, где будет рассмотрено и использовано для генерации соответствующего ответа. Несмотря на примитивную внешность и небольшой размер, внутри эта кукла содержит сложную и современную аппаратную систему, включая модуль Wi-Fi, флэш-память, систему распознавания речи - словом, всё, чтобы обеспечить действительно интерактивную игру с ребенком. Эти функции позволяют Барби участвовать в диалоге, играть в игры и даже рассказывать анекдоты. Чтобы сделать это возможным, компания ToyTalk разработала технологии распознания речи и прогрессивного обучения для Hello Barbie. ToyTalk также обеспечивает хранение «мозга» Hello Barbie на защищенных облачных серверах, что помогает кукле «помнить» предыдущие разговоры с ребенком.
Нельзя недооценивать тесную связь между ToyTalk и Hello Barbie. Ведь компания отслеживает разговоры между Барби и ребенком, чтобы сделать куклу более реалистичной и, в конечном счете, превратить в лучшего друга ребенка. Здесь и возникает критическая проблема конфиденциальности, связанная с растущим внедрением интеллектуальных игрушек в жизнь детей, стремящихся делиться с ними самым сокровенным. Но что если ребенок рассказывает кукле о насилии или домогательствах? Должна ли Барби «сообщить» кому-либо слова ребенка, чтобы защитить его?
На сегодняшний момент ToyTalk создал автоматические ответы для серьезных разговоров, включая такие темы, как издевательства, религия и дружба. В особых случаях Барби говорит: «Кажется, тебе стоит поговорить об этом со взрослыми». Но что если ребенок так никогда и не расскажет свой секрет родителям и продолжит терпеть насилие? И что если насилие как раз и исходит от родителей? Это означает, что запись речи ребенка скорее всего не будет никому передана и останется в базах данных ToyTalk. Закон о защите прав детей в Интернете (Children's online privacy protection act - COPPA) является эффективным законодательным актом, который защищает права на неприкосновенность частной жизни несовершеннолетних в возрасте до 13 лет. Он требует от компаний получения согласия родителей для раскрытия информации о несовершеннолетнем, но не устанавливает правила сообщать
правоохранительным органам о случаях предположительно жестокого или небрежного обращения с детьми.
С другой стороны, в соответствии с общим правом необходимо сообщать об известных или предполагаемых случаях жестокого обращения с детьми. Однако круг лиц, несущих обязанность сообщения об этих фактах и предположениях, ограничен и варьируются от штата к штату. Отсутствие в COPPA единообразных требований - пробел в правовом регулировании. К. Моини предлагает установить в этом законе обязательные требования для таких компаний, как ToyTalk, которые просматривают и сортируют записанную речь, передавать записи правоохранительным органам в целях борьбы с дурным обращением с детьми.
Мир IoT диктует необходимость рассмотрения концепции продукта, чтобы выявить связь аппаратного обеспечения, программного обеспечения, хранения данных и обслуживания. Сложности в защите интересов потребителей возникают чаще всего в тех случаях, когда устройство характеризует целая цепочка поставщиков услуг. Авторы статьи Дж. Ното Ла Диега и И. Уолден [3] приводят в качестве примера «умный» термостат от Google - Nest, поддерживающий голосовые команды через Google Home и службу Alexa от Amazon.
С первого дня использования Nest рассчитывает, за какое время прогревается и охлаждается жилище, а также тщательно анализирует привычки владельца и начинает самостоятельно вносить коррективы в работу климатического оборудования. Через Wi-Fi термостат Nest работает с большим количеством домашних устройств, среди которых, например, трекеры активности Jawbone, а также камера Nest Cam, которая может автоматически уведомлять хозяина, если в его отсутствие термостат засекает движение в доме.
В условиях обслуживания (ToS) Nest сообщает, что «прибегает к сторонним поставщикам услуг для использования некоторых сервисов», но предоставляет только ориентировочный список, включающий Amazon Web Services для хранения данных, синхронизации и связи, а также уведомления мобильных устройств через поставщиков мобильных операционных систем и мобильных операторов.
Необходимость прозрачности информации о субподрядчиках поднимает вопросы, связанные и с законодательством, и с безопасностью. С точки зрения договорного права, клиент должен иметь возможность идентифицировать стороны, предоставляющие
услуги и, следовательно, способные потенциально нести ответственность в случае нарушения его интересов. В случае Nest в ToS содержится предупреждение разработчика о том, что «Nest API» и другие материалы разработчика Nest позволят ему контролировать устройства и программное обеспечение Nest или получать доступ к определенной информации, которая способна повлиять на безопасность клиентов Nest и конечных пользователей продуктов и услуг Nest» [3, с. 4]. Клиенты могут не ожидать, что подключение их продуктов Nest к сторонним приложениям и устройствам даст возможность третьим сторонам контролировать собственный продукт и влиять на их безопасность. Следовательно, крайне важно, чтобы эта информация о сторонних поставщиках и о политике конфиденциальности четко указывалась.
Список литературы
1. Mishchenko L. The Internet of things: Where privacy and copyright collide // Santa Clara high technology law journal. - Santa Clara, 2016. - Vol. 33, N 1. - P. 90-115. Мищенко Л. Интернет вещей: Столкновение права на неприкосновенность личной сферы и авторского права.
2. Moini С. Protecting privacy in the era of smart toys: Does Hello Barbie have a duty to report // Catholic university journal of law and technology. - Wash., 2017. -Vol. 25, N 2. - P. 280-318.
Моини К. Защита конфиденциальности в эпоху «умных» игрушек: Обязана ли Hello Barbie доносить?
3. Noto La Diega G., Walden I. Contracting for the 'Internet of Things': Looking into the «Nest» // European journal of law and technology. - Oxford, 2016. - Vol. 7, N 2. - P. 1-38.
Ното Ла Диега Дж., Уолден И. Заключение договоров по поводу Интернета вещей: Взгляд из «Гнезда».
4. Tran A.H. The Internet of things and potential remedies in privacy tort law // Columbia journal of law and social problems. - N.Y., 2017. - Vol. 50, N 2. - P. 263-298. Трен А.Х. Интернет вещей и возможные средства защиты в рамках деликта «нарушение права на приватность».
