我国物联网法律问题研究
一、物联网行业概览
物联网,Internet of Things(IOT) 是将感知节点设备通过互联网等网络连接起来构成的一个应用系统: 普通对象设备化、自治终端互联化、普适服务智能化。
二、物联网行业重点法律问题
三、物联网重点领域-云计算服务
云计算服务概念
云计算指通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。云计算服务指使用定义的借口,借助和云计算提供一种或多种资源的能力。 ——《信息安全技术 云计算服务安全指南》
Cloud computing is a model for enabling ubiquitous, convenient,on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. ——NIST (National institute of Standard and Technology, 美国国家标准与技术研究院)
云计算服务类别(IaaS, PaaS, SaaS)
云计算服务重点法律问题
平台责任:提供云计算服务,尤其是提供IaaS服务和PaaS服务的服务商与传统网络运营者在数据安全、知识产权保护等方面承担责任的区别;技术中立与版权责任的平衡。
电信牌照和外资准入:在我国提供云服务需要获得的IDC资质(互联网资源协作服务业务)和CDN资质(内容分发网络业务)均禁止外资进入,目前某些境外IT服务提供商均采用和境内持牌企业合作的方式在境内开展云计算服务,这一合作模式尚处于灰色地带,有合规隐患。
四、物联网重点领域-车联网
车联网信息服务和测绘资质
服务
牌照
呼叫中心业务
增值电信业务经营许可证-呼叫中心业务(B24)
取消对外资比例的限制,外资比例可达100%
存储转发类业务
增值电信业务经营许可证—存储转发业务(B23 )
取消对外资比例的限制,外资比例可达100%
互联网信息服务
增值电信业务经营许可证-信息服务业务(B25 ICP许可证)
应用商店类信息服务业务在上海自贸区内外资比例可达100%,合格的港澳资本股权比例同样不设限制;其他服务外资比例不可超过50%
在线数据处理与交易处理业务
增值电信业务许可证-在线数据处理与交易处理业务(B21 EDI许可证)
外资比例不超过50%(电子商务类已开放至100%)
车联网云计算服务
增值电信业务经营许可证—互联网数据中心业务-互联网资源协作业务( B11 IDC许可证)
不向外资开放(合格的港澳资本除外,向港澳资股权比例不超过50%的合资企业开放)
互联网地图服务
测绘资质证书(互联网地图服务)
外资比例不超过50%
导航电子地图制作服务
测绘资质证书(导航电子地图制作)
不向外资开放
车联网网络安全重点问题
信息系统等级保护(等级保护2.0)、关键信息基础设施、个人信息和重要数据保护及出境、隐私政策合规
自动驾驶对责任划分带来的挑战与思考
自动化程度越来越高,越来越难以认定人类司机应当对事故承担全部责任;自动驾驶系统制造商承担责任的程度;刑事责任的思考;——操作指南和交通事故责任认定机制
不同事故场景:自动驾驶汽车之间的交通事故;自动驾驶汽车与普通机动车之间的交通事故;自动驾驶汽车与非机动车、行人之间的交通事故;无人驾驶汽车对车内乘客造成损害
监管机构、标准化制定机构的作用——自动驾驶事故处理专有流程和专项机构
其他救济方式的弥补——自动驾驶保险产品
技术追溯与监管——黑匣子:系统安全、数据加密、数据安全存储
五、国内物联网主要法律体系介绍
重点法律规范摘要
序号
名称
发文机关
生效
主要内容
1
《网络安全法》
全国人民代表大会常务委员会
2017.06
网络产品、服务应当符合相关国家标准的强制性要求;网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。
2
《云计算服务安全评估办法》
网信办、发改委、工信部、财政部
2019.09
中央网信办会同有关部门负责建立云计算服务安全审查机制,组织第三方机构进行网络安全审查。云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。
3
《生产无线电发射设备的管理规定》
国家无线电管理委员会,国家质量技术监督局
1999.01
所有在中国境内销售及使用的无线电组件产品,必须取得无线电型号的核准认证。
4
《国家无线电管理规划(2016-2020年)》
工信部
2016.08
加强工业互联网、车联网、物联网的频谱需求研究及支撑能力,做好《中华人民共和国无线电频率划分规定》修订。
5
《关于全面推进移动物联网(NB-IoT)建设发展的通知》
工信部
2017.06
建设广覆盖、大连接、低能耗移动物联网(NB-IOT)基础设备。
重要国家标准
《信息安全技术物联网感知层接入通信网的安全要求》
《信息安全技术物联网感知终端应用安全技术要求》
《信息安全技术物联网感知层网关安全技术要求》
《信息安全技术物联网数据传输安全技术要求》
《信息安全技术物联网安全参考模型及通用要求》
《信息安全技术 云计算服务安全指南》
《信息安全技术 云计算服务安全能力要求》
《信息安全技术 云计算服务安全能力评估办法》
《公安物联网感知设备数据传输安全性评测技术要求》
《公安物联网基础平台与应用系统软件测试规范》
六、国内主要法律体系思考
现状
有约束力和可操作性的监管法律主要依靠基本的民商事+互联网+各细分领域行业法律规范组成
针对物联网领域的特定规范尚处于起步阶段,战略性、政策性规范较多
技术性标准陆续出台完善
物联网立法和监管思考
物联网的发展一方面是靠尚处于起步阶段的物联技术,如射频识别、蓝牙网状网路等,另一方面物联网的本质是各领域的互联智能化,因此现有的各领域核心技术、以及互联网技术等依然起着重要作用,因此,完善物联网领域的适用法律规范可以从相关领域现有法律框架的拓展适用以及针对物联网领域产生的新问题填补法律规范缺失两个方面思考:
技术合规:健全物联网技术规范,如关于RFID(射频识别技术)、wifi或5G标准的应用规范;推行分层管理体系(采集端、网络层、应用端),促进产业标准化;
信息安全:在现有行业规范基础上,细化各细分领域信息安全保护标准,尤其是个人信息和重要数据在物联网领域的安全保护,并制定相应的罚则和救济方式;
责任分配:明确基于物联网而发生法律关系各方(应用终端产品的使用者、应用终端产品的生产者和物联网基础服务的提供者)的权利义务并探索责任认定的合理方式,对传统责任分配方式作出细化或革新;
知识产权保护:把握好物联网全产业链知识产权保护的平衡,物联网商业模式保护;
复合性问题:结合新技术和方式,如智能合约、区块链技术、新型保险等拓展适用现有法律框架(侵权法、产品责任法、消费者保护法)的基础;
监管多元:法律监管;行业监管;自我监管
七、物联网企业的合规和风控建议
在政策利好,法律规范尚未体系化、明晰化的背景下,物联网企业有必要通过企业内部的合规和风险控制制度,保护自身知识产权和商业秘密,预防在物联网市场中可能出现的各种诉讼、索赔及合规风险,相关的自我监管与合规审查应贯穿产品设计-上市-退出等全过程。
明确所适用的隐私和安全法规以及国家标准的全部范围,严格遵守现有法律规范,如网络安全法律规范、交通驾驶法律规范、知识产权保护法律规范等;
重点关注与物联网领域相关的国家政策、司法实践案例以及待出台法律规范、国家标准,把握行业发展政策和监管趋势;
建立企业内部完善的风险控制和监管制度,确保全流程的安全防护,防止黑客威胁,信息安全保护问题要从产品/服务设计延伸至产品报废/服务停止阶段;
审查公司的隐私和安全实践,符合或采用适当的隐私保护和安全保障框架,根据现有法律规范完善隐私政策和个人信息保护内控制度,在用户数据的收集和使用过程中坚持数据最小化与用户同意原则;
为产品和产品功能实施隐私和安全风险评估,并审核第三方处理器、数据存储商和软件应用提供商提供服务的适格、合规性;
创新与保险公司等企业的合作模式,在产品上市前探索约定合理的风险分担模式;在产品与服务提供过程中,与上下游企业、终端用户合理约定责任分担模式。
