如何防止RFID侵犯隱私權

| | | | | | 留下回應

    

政府、消費者團體及業者間關於如何解決RFID侵害隱私的疑慮，主要分為科技面及法律面二種方式：

(一) 科技面的解決方式

有部分使用RFID的廠商認為，廠商唯一有興趣的資訊就只有RFID標籤上所儲存的產品序號，若無法進入廠商的商品資料庫提取所有相關資料，只取得序號並沒有任何意義，因為只有某些特定員工才可以存取資料庫。但隱私權保護團體仍質疑RFID技術上的問題。為消除各界對於RFID可能侵害隱私權之疑慮，Wal-Mart已宣稱未來應用RFID時，在消費者步出消費場所後即「失去效用」，此外在科技方面的解決方式，業者已大致發展出「選擇取消」（Opt-out）模式、「銷毀」（kill）模式、「休眠」（sleep）模式或「干擾」模式（註一），但各有利弊，且無法完全防堵隱私權受侵害之疑慮。

(二) 法律面的解決方式

美國電子隱私資訊中心（Electronic Privacy Information Center, EPIC）於2004年6月提出一份關於消費者與私人企業使用RFID的綱領，建議使用RFID技術的私人企業應告知RFID的存在，包括在倉庫、展示架或結帳處透過標籤或商標展示等，並合理揭露使消費者了解RFID系統及資訊處理的本質。再者，在產品銷售完成前即應關閉RFID，除非因個人需要，否則使之永久失去效用；假如消費者不知有此選擇，即應主動關閉。一旦標籤關閉後，非經消費者同意不得主動重新開啟，否則，消費者可對違反前述RFID使用責任與義務的私人企業提出訴訟。此外，RFID應使用最簡單的可移除方式裝置。

私人企業利用RFID技術蒐集資訊時，尤應特別注意以下事項：

1.企業在藉由RFID儲存、記錄或其他蒐集方式取得個人資料前，應告知個人蒐集資訊的目的，並取得個人之同意。

2.企業不得將RFID標籤辨別資訊結合或連結個人資訊，亦不得將個人資訊藉由RFID標籤辨別資訊揭露給第三人知悉，或直接透過第三人使用RFID標籤來辨別資訊加以辨別該個人。

3.業者不應要求個人提供非必要的個人資訊。

4.採取合理措施以確保透過RFID蒐集的個人資訊均安全傳送與儲存，並限操作與維護RFID系統的人員取得。

5.確保蒐集的資訊精確、完整並定期更新。

6.僅將需使用的個人資訊保存。

7.公告其RFID隱私權政策。

有鑑於RFID侵害隱私權的疑慮，部分美國隱私權保護相關團體及消費者團體已發起抵制行動，部分團體如CASPIAN（Consumers Against Supermarket Privacy Invasion and Numbering）等，甚至於2003年推動「2003年RFID受告知權法案」（RFID Right to Know Act of 2003），主張多項聯邦法令的修正案，以規範RFID之應用。

結論：對政府的建議

RFID科技不僅提升物流效率，且應用範圍普遍，因此RFID大規模應用指日可待。政府方面與其消極抵制，不如逐步引導管制。然而立法規範緩不濟急，且管制手段經常無法跟上科技變化的腳步，徒然阻礙科技進步，反而有害提升社會整體福利。

我們認為，或可參照國外先進規範體例，在RFID技術應用及發展成熟前，政府應秉持「技術中立」原則，輔導業者自制自律，並喚醒消費者自我保護意識，宜有下列做法可供參酌：

1.消費者應有受告知的權利，包括提醒消費者產品包含RFID，且正在運作或可被偵測，並公告RFID隱私權政策。

2.當產品已結帳或已離開消費場所時，商家應主動移除或關閉RFID。

3.RFID應置於產品包裝處而非產品本身。

4.RFID應置於明顯處且具移除性。

在兼顧科技進步與保障個人權利間，如何權衡，實有待業者、消費者及政府三方儘早共同面對關於RFID之隱私權保護課題，以兼顧消費大眾之權益及基本權保障。

註一:關於以科技防止消費者隱私權被侵犯的技術，可參酌http://theory.lcs.mit.edu/~cis/theses/weis-masters.pdf。

（本文由太穎國際法律事務所謝穎青律師及葉志良顧問共同撰寫）