LUP Student Papers

Can things be defective products? - An analysis of the Product Liability Directive applied to IoT

• Mark

Abstract

The number of products equipped with sensor and network capabilities has risen in recent years and continues to increase. These products, part of the Internet of Things (IoT), bring about new ways for products intended for private use to malfunction and cause personal injury and property damage. In the EU, the Product Liability Directive (PLD) regulates producers’ strict liability for damage to other products than the one causing the damage and for harm to persons. The damage must be ascribable to a “product” that is “defective” in the meaning of the PLD. For some types of defect, the producer can invoke liability exemptions. However, the PLD was adopted prior the widespread use of the internet and long before digital technologies become... (More)

The number of products equipped with sensor and network capabilities has risen in recent years and continues to increase. These products, part of the Internet of Things (IoT), bring about new ways for products intended for private use to malfunction and cause personal injury and property damage. In the EU, the Product Liability Directive (PLD) regulates producers’ strict liability for damage to other products than the one causing the damage and for harm to persons. The damage must be ascribable to a “product” that is “defective” in the meaning of the PLD. For some types of defect, the producer can invoke liability exemptions. However, the PLD was adopted prior the widespread use of the internet and long before digital technologies become incorporated into billions of consumer products. The concepts of product and defect and the available liability exemptions, therefore, do not explicitly regulate the unique characteristics of IoT.

The purpose of this thesis is to critically examine if the concepts of product and defect, as they are understood within the PLD, are flexible enough to encompass damages caused by IoT products. This involves addressing the characteristics of IoT products, analysing case law, evaluating the Europe-an Commission’s soft law instruments on emerging digital technologies and comparing the PLD to similar consumer protection regulation.

The thesis finds that not all digital elements of IoT fall within the scope of the Directive. The deciding factor for IoT products to be regarded as prod-ucts in the meaning of the PLD is that they are not intangible services. While software that comes pre-installed in IoT products are components covered by the PLD, the same cannot with certainty be said about, e.g., software updates or interconnected cloud systems. Both the distinction be-tween services and products and principles such as functional equivalence are examined to reach this conclusion.

Moreover, the thesis addresses that the static concept of defect makes the PLD ill-equipped to regulate liability for IoT products. The possibility to change products through updates – and, when technology advances, self-learning software – after the product reaches the consumer, renders the provisions of the PLD archaic. The issue mainly lies in that the assessment of defect is firmly anchored in the moment when the product was “put into circulation”.

The thesis presents that these shortcomings, which leave liability for IoT products regulated partially differently than other products, could be solved through drastic alterations to the PLD. Changes to the current regime would require careful consideration of the variety of products on the market today and in the future, as well as to the interests of all parties, to fulfil the aim set out in the PLD of complete harmonisation of strict liability for all products. (Less)

Abstract (Swedish)

På senare år har mängden produkter utrustade med sensorer och nätverks-funktioner ökat och fortsätter att öka. Dessa produkter, del av Sakernas Internet (IoT), möjliggör nya sätt för produkter avsedda för privat bruk att gå sönder och orsaka person- och sakskada. På EU nivå reglerar produktansvarsdirektivet (PLD) tillverkarens strikta ansvar för skador på andra produkter än den felande produkten samt personskador. Skadan måste kunna tillskrivas en ”produkt” som har en ”säkerhetsbrist”. För vissa typer av fel kan tillverkaren åberopa undantag från ansvar. PLD antogs före det att internetanvändning blev utbrett och långt före digital teknik inkorporerades i miljarder konsumentprodukter. Begreppen produkt och säkerhetsbrist, samt de... (More)

På senare år har mängden produkter utrustade med sensorer och nätverks-funktioner ökat och fortsätter att öka. Dessa produkter, del av Sakernas Internet (IoT), möjliggör nya sätt för produkter avsedda för privat bruk att gå sönder och orsaka person- och sakskada. På EU nivå reglerar produktansvarsdirektivet (PLD) tillverkarens strikta ansvar för skador på andra produkter än den felande produkten samt personskador. Skadan måste kunna tillskrivas en ”produkt” som har en ”säkerhetsbrist”. För vissa typer av fel kan tillverkaren åberopa undantag från ansvar. PLD antogs före det att internetanvändning blev utbrett och långt före digital teknik inkorporerades i miljarder konsumentprodukter. Begreppen produkt och säkerhetsbrist, samt de tillgängliga grunderna för ansvarsfrihet, reglerar därför inte uttryckligen de unika egenskaperna i IoT.

Syftet med denna uppsats är att kritisk undersöka om begreppen produkt och säkerhetsbrist, så som de tolkas i PLD, är tillräckligt flexibla för att reglera skador orsakade av IoT-produkter. De unika egenskaperna hos IoT-produkter, relevant rättspraxis, EU-kommissionens icke-bindande rättsakter om ny digital teknik samt närliggande konsumentskyddslagstiftning analyseras för att uppfylla syftet.

Uppsatsen finner att inte samtliga digitala aspekter av IoT faller inom direktivets tillämpningsområde. Den avgörande faktorn i detta avseende är om delar av IoT-produkter ska betraktas som produkter eller som immateriella tjänster. Medan förinstallerad mjukvara i IoT-produkter utgör en komponent som täcks av PLD, kan inte detsamma med säkerhet sägas om exempelvis mjukvaruuppdateringar eller molnsystem som är sammankopplade med produkten. Både skillnaden mellan tjänster och produkter samt principer så som funktionell ekvivalens undersöks för att nå denna slutsats.

Därutöver behandlar uppsatsen att det statiska begreppet defekt medför att PLD är dåligt utrustad för att regla produktansvar för IoT-produkter. Möjligheten att kontinuerligt förändra produkter genom uppdateringar – samt, till följd av tekniska framsteg, självlärande programvara – efter att produkten har nått konsumenten innebär att PLD kan uppfattas som ålderdomlig. Problemet är huvudsakligen en följd av att bedömningen av om en säkerhetsbrist föreligger eller inte är förankrat i den tidpunkt då produkten ”satts i omlopp”.

Uppsatsen presenterar även att dessa brister, som orsakar att ansvar för IoT-produkter delvis regleras annorlunda än andra produkter, skulle kunna lösas genom drastiska förändringar i PLD. Ändringar av det gällande produktansvarssystemet skulle kräva noggranna överväganden angående den breda variationen av produkter som finns på marknaden, liksom parternas intressen, för att uppfylla det i PLD uppsatta målet om fullständig harmonisering av strikt ansvar för samtliga produkter. (Less)