Правовое регулирование интернета вещей: защита прав потребителей и требования законодательства

Интернет вещей (Internet of Things, IoT) представляет собой сеть взаимосвязанных устройств, способных обмениваться данными без участия человека. В условиях стремительного развития цифровых технологий вопросы правового регулирования IoT приобретают особую актуальность для граждан и предпринимателей.

Законодательная база регулирования интернета вещей в Российской Федерации

Правовое регулирование интернета вещей в России осуществляется комплексом нормативных правовых актов. Основополагающими документами выступают Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» и Федеральный закон от 02.12.2019 № 425-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».

Согласно положениям действующего законодательства, IoT-устройства подлежат обязательной сертификации в случае их включения в Единый реестр российской радиоэлектронной продукции. Производители и поставщики несут ответственность за соответствие устройств требованиям технических регламентов Таможенного союза.

Защита персональных данных в системах интернета вещей

Обработка персональных данных посредством IoT-устройств требует строгого соблюдения требований Федерального закона «О персональных данных». Операторы персональных данных обязаны получить согласие субъектов на обработку их персональной информации, за исключением случаев, прямо предусмотренных законом.

Обязательные требования к операторам IoT-систем

Операторы, использующие интернет вещей для сбора и обработки персональных данных, должны соблюдать следующие требования:

• Уведомление Роскомнадзора о начале обработки персональных данных
• Назначение ответственного за организацию обработки персональных данных
• Разработка и утверждение политики обработки персональных данных
• Обеспечение технических и организационных мер защиты информации
• Проведение оценки воздействия на защиту персональных данных при высоком риске

Трансграничная передача данных через IoT-устройства

Передача персональных данных российских граждан в зарубежные юрисдикции через IoT-системы допускается исключительно в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии согласия субъекта на такую передачу.

Ответственность производителей и поставщиков IoT-устройств

Производители интернет вещей несут гражданско-правовую ответственность за качество и безопасность выпускаемой продукции в соответствии с Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» и Гражданским кодексом Российской Федерации.

Требования к информированию потребителей

Производители IoT-устройств обязаны предоставлять потребителям достоверную информацию о:

• Способах и объемах сбора персональных данных
• Целях обработки собираемой информации
• Сроках хранения персональных данных
• Третьих лицах, которым могут передаваться данные
• Мерах обеспечения безопасности информации

Гарантийные обязательства и сервисное обслуживание

На IoT-устройства распространяются общие требования законодательства о защите прав потребителей относительно гарантийного обслуживания, возврата и обмена товаров. Срок гарантии на сложные технические устройства составляет не менее двух лет с момента передачи товара потребителю.

Кибербезопасность и защита критической информационной инфраструктуры

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает особые требования к обеспечению безопасности IoT-систем, используемых в критически важных объектах.

Категорирование объектов критической информационной инфраструктуры

Субъекты критической информационной инфраструктуры, использующие IoT-технологии, обязаны:

• Провести категорирование объектов критической информационной инфраструктуры
• Создать систему безопасности значимых объектов
• Обнаруживать, предупреждать и ликвидировать последствия компьютерных атак
• Осуществлять информационное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак

Практические рекомендации по соблюдению требований законодательства

Для обеспечения соответствия IoT-проектов требованиям российского законодательства рекомендуется:

Для производителей и поставщиков IoT-устройств

• Проведение правовой экспертизы проекта на этапе разработки
• Получение необходимых разрешений и сертификатов соответствия
• Разработка пользовательских соглашений и политик конфиденциальности
• Внедрение технических средств защиты информации, сертифицированных ФСБ России
• Организация процедур уведомления пользователей об инцидентах информационной безопасности

Для потребителей IoT-устройств

• Изучение пользовательских соглашений и политик обработки персональных данных
• Регулярное обновление программного обеспечения устройств
• Использование дополнительных средств защиты сетевого подключения
• Контроль настроек конфиденциальности и доступа к персональным данным
• Документирование случаев нарушения прав для последующего обращения в контролирующие органы

Судебная практика по спорам, связанным с интернетом вещей

Анализ судебной практики показывает рост количества споров, связанных с нарушением прав потребителей при использовании IoT-устройств. Основными категориями дел являются споры о возмещении ущерба от неправомерного использования персональных данных, требования о компенсации морального вреда и иски о признании недействительными условий пользовательских соглашений.

Ключевые правовые позиции судов

Судебная практика формирует следующие правовые позиции:

• Согласие на обработку персональных данных должно быть конкретным и осознанным
• Производители несут ответственность за ущерб, причиненный уязвимостями IoT-устройств
• Условия пользовательских соглашений не должны ущемлять права потребителей
• Потребители имеют право на получение полной информации о функционировании IoT-устройств

Административная и уголовная ответственность в сфере IoT

Нарушение требований законодательства при использовании интернета вещей может повлечь административную ответственность по статьям 13.11, 13.14 Кодекса Российской Федерации об административных правонарушениях, а в случае причинения значительного ущерба — уголовную ответственность по статьям 137, 272, 273, 274 Уголовного кодекса Российской Федерации.

Размеры административных штрафов

За нарушение требований законодательства о персональных данных предусмотрены следующие размеры штрафов:

• Для граждан — от 3 000 до 20 000 рублей
• Для должностных лиц — от 10 000 до 200 000 рублей
• Для юридических лиц — от 60 000 до 18 000 000 рублей

Перспективы развития правового регулирования IoT

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации разрабатывает специализированные нормативные правовые акты, направленные на комплексное регулирование интернета вещей. Планируется создание единых стандартов безопасности IoT-устройств и упрощение процедур их сертификации.

Планируемые изменения в законодательстве

В ближайшей перспективе ожидается принятие следующих нормативных актов:

• Стратегия развития интернета вещей в Российской Федерации
• Технический регламент «О безопасности IoT-устройств»
• Методические рекомендации по обеспечению информационной безопасности в IoT-системах
• Типовые требования к защите персональных данных в интернете вещей

Соблюдение требований действующего законодательства в сфере интернета вещей является обязательным условием законной деятельности всех участников рынка IoT-технологий. Нарушение установленных требований может повлечь серьезные правовые последствия, включая административную и уголовную ответственность.