物聯網(IOT)相關法律風險與管控初探—由企業法務角度觀察(下)

dan carlson on Unsplash

參、與IOT設備製造商有關的幾個法律風險

若可以克服認證、產品相容性、與溝通標準協定等等的技術障礙，IOT設備在理論上將可以不斷擴充延伸。因此也產生了新的法律風險。

首先，法規遵循或管轄法律決定的難度提高。因為跨境的資訊串流，個人資訊保護義務的廠 商必須遵循不同管轄法域裡的法規，特別是在敏感的個人資料收集上。例如，透過IOT，在 歐盟境內取得的資料，可能傳送到台灣或韓國進行資料的儲存、分析、重組、再利用。這些 動作，在不同法域裡或多或少有適法性的問題需要處理。倘若每個法域的限制寬緊不一，則 廠商在法律遵循的難度上，或者協商相關採購協議的管轄地、準據法條款詞所需考慮的因素，勢必增加。事實上，國際間針對這個問題，已經有不少組織正在進行法規間的整合，希 望可以降低法規間的差異並減低遵循上的障礙。例如，經濟合作發展組織(OECD)、亞太經濟合作會議(APEC)、歐盟理事會 等等。然而，目前的努力，大多仍屬於指導(guideline)性質，尚未建立一套具有強制效力的法律體系可以引用為準據法。因此，歐盟雖然建立了具有高度保護個人資料的限制性規範（GDPR)，但在歐盟蒐集的資料匯流到台灣的資料中心加以儲存之後，是否仍適用歐盟的規範來保護而限制廠商在台灣市場的利用? 不無疑問。

其次是侵權責任因果關係認定的問題。網路上不當傳輸個人資料的侵權行為因果關係，特別是影音上傳與下載，或資料庫加密的破解並不當利用的相關侵權案件中早已觸及。但在 IOT的環境裡卻有新的挑戰。如前所述，與Internet使用者不同， IOT使用者不須透過一個自行上網的主動動作，就可能由於射頻辨識與感應裝置，直接或間接地與其他設備被動互聯。若IOT設備使用者不知道他的設備已成為違法的資訊利用的一環，如何令其承擔法律責任? 若否，則侵權 行為的因果關係鍊結會不會因而中斷，致使可能的被害求償益發困難?

再者，如同AI的使用，IOT環境透過個人資料的收集或重組，會不會產生「資訊歧視」(Data Discrimination)? 以美國的健康保險業為例。業者透過手機或穿戴設備上有關個人運動健身紀錄或量測的 APP，將長期收集的個人運動或生理資料(包括運動時間、類型、消耗熱量、每日動、站、 坐、臥所占姿勢比例、身高體重變化、心跳速率等等)傳送給保險公司，以便決定增加 (或降低)具有擁有某種運動或生理紀錄的被保險人的次年保險費。在此情況下，保險公司， 甚至出售資料給保險公司的APP設計者或IOT設備廠商，均可能因為法律所不許的消費者差別待遇而違反公平交易法或構成侵權責任。簡言之，IOT設備可以藉由資料內容的設定 (例如所在位置，在某場域出現的時間)或感應接收器功能的異化，來收集或過濾出廣告商或資料買主所指定的IOT參與者資訊，進一步描繪出設備使用者的圖像。這樣的功能，固然帶給大眾便利，例如遠端醫療監測，但同時也可能輕易地分辨出具有(或欠缺)商業利潤的使用群體，而給予差別待遇，進而構成所謂的「資訊歧視」。廠商在透過IOT尋找利基 產品或市場的同時，亦應審慎看待IOT可能帶來的資訊歧視問題而加以防範。

另外，海量資料的收集與分析方法的設定，往往是個別廠商的核心營業秘密。在無法對外公開的情況下，政府的IOT發展策略、廠商的利益、與包括公平交易、資訊透明、個人隱私保 護在內的公眾利益之間，要如何取得平衡? 在政策修訂或法律執行層面上，可以至少考慮下面兩點：

第一，若IOT帶來的商機將無可避免地在參與者間造成差別待遇， 則受到不公平待遇的消費大眾應該受到某種程度的政策補償，例如在差別價格上進行補貼等等。

第二、將可能的侵權法律責任，限縮於資訊的濫用者，而非善意的設備製造商，以鼓勵 IOT發展，同時避免使用者受到過大侵害。

附帶一提，在談到公眾利益時，我們不可忽視IOT監視設備及其收集到的資訊，透過有效分析後，在犯罪偵防或公共安全防護上的價值。透過監視鏡頭的資訊串聯，以及特殊商品的消費紀錄、進出貨、購買紀錄的即時匯集，可以協助警方在短時間內分析罪犯行蹤，或藉由行為模式的確認而監控特定對象。在公共安全防護上，車用物聯網的車用裝置，甚至可以協助警方定位失竊車輛，甚至停止其運行。然而，這些功能同時會造成某些法律風險，例如無所不在的監視系統可能 已過度侵入私領域、資料保存與銷毀、官方資料的非特定目的利用、甚至駭客入侵等等問題，仍然值得重視。

最後提到產品責任的問題。本文在此無意深究傳統⺠法上的物之瑕疵擔保理論。由企業法務的觀點，個人認為應該首先釐清的是，誰應該為IOT產品所造成的損害負責? 以下探討幾個 因素:

一、由於IOT的特色是物物相連，甚至容許使用者自行設定聯結網絡(network)，設備製造或 供應商無法完全預測產品的最終用途或使用環境。因此，製造商難以針對設備的一切使用方式做到質量保證測試 (Assurance test)，亦難以完全預測因使用而可能出現的損害。

二、IOT設備的使用週期可能大於產品維護周期。維修支援(maintenance)困難，甚至在設計初始即屬於無法升級之狀態，導致了日後惡意程式的植入可能性大增。製造商針對無維修或 升級義務的產品，是否仍應負產品責任?實有疑問。

三、在人工智慧的環境裡，例如無人車，AIOT設備透過資料的不斷輸入(input)、分析、校正，而單獨或與其他設備(例如感應器)共同處於一個機器自我學習(machine learning)並進化 的系統中。此時，原製造商對於日後可能產生的功能或其可能的產品危害，將無法完全事先 預知並加以測試。

由上觀之，不論是直接或相當因果關係理論，在巨量設備串連的IOT環境裡，似乎尚難用來 確定那些設備製造商或使用者才是侵害的主因;目前的產品責任相關法制，亦無法規範具有 人工智慧的IOT設備因環境而產生自我學習或修正，進而造成使用者或第三人損害的情況。 將損害責任完全歸咎於製造商，令其負近乎無過失的產品責任，亦有不公。面對這些問題， 廠商固然有責研發更新的技術與軟硬體設備，例如更新的加密技術，來保護個人隱私免於特 定/預期目的以外不當的利用，或損害防護機制令使用者可以較容易的實施人工操作或截斷 與其他設備的連結，然而，在政策面與法令上，亟待政策制定者與立法者盡速思索，及早因應，以降低IOT廠商可能的風險，並提升整體IOT發展環境。

總結:

台灣企業在這個趨勢中的強項，應該是結合當今政府政策的明確鼓勵，積極從事硬體的創新與製造，加強軟體的開發，並以歐美相關法制為標準，作為風險管控之設計，以促進外銷導向的AIOT設備輸出，並避免未來在該些區域遭受高額的產品責任或個人隱私訴訟成本。

總結

本文從IOT 設備製造商的企業法務角度，觀察這個技術的發展、應用、以及探討其中可能產生的商務法律風險， 針對問題並提出可能的應對與呼籲，企盼這些法律建議，有助台灣IOT設備製作廠商，搶先把握其中的機遇，再創高峰。