劉靜怡/臺灣大學國發所法律組專任副教授、芝加哥大學法學博士
最近歐盟在Hanover的CeBit上發布新聞,決定針對RFID(無線射頻身分識別)此一科技,在未來半年裡密集召開一連串的諮詢和聽證工作,徵詢產業和公民團體各方的意見,並進行調查研究,以便釐清RFID的使用所衍生的種種爭議,做為決定是否應該介入RFID相關設備共通技術標準的制訂,以及在法制層面─尤其是隱私保護相關法制─規範RFID的使用。看到這則新聞,恐怕不得不問問:RFID真的這麼重要嗎?
RFID具有非接觸式讀取、資料可以更新、儲存資料容量大、可以重複使用、同時間可讀取多個辨識標籤、資料安全性較佳等等優點;近年來因突破核心關鍵技術,使得無線射頻元件微型化,乃化身成為這個數位時代裡的科技效率遇上隱私權的典型故事:當具有RFID標籤的商品或物品通過系統時產生的收集、儲存與分析資料現象,在RFID標籤資訊和個人身分機制(如健保卡、信用卡、消費卡或貴賓卡)整合起來的架構下,帶來了無限的行銷機會,卻也極可能造成最大的隱私權夢魘:無論是對消費者而言,或是對商業經營者來說,都是如此。試想:當消費者憂心忡忡時,使用RFID的商業經營者,應該制訂和遵行怎樣的隱私權保護政策,才能說服顧客安心呢?在這波RFID潮流下,我們恐怕不得不思考應該如何因應這股以隱私權價值為依歸的「反浪潮」了。
不難想像的是,有人會主張RFID記載的資訊是否均可歸類於個人資訊,還有爭執的餘地。但法律既將個人資訊定義為「依據某特定資訊可辨識出該個人或是該個人之私人活動」的資訊,RFID即使功能及種類繁多,實在難脫嫌疑:姓名、電話、地址、身分證字號及出生年月日等個人資料,「非經當事人同意」不得記載於RFID上,應無疑問;就診紀錄、病史及藥物使用資訊,更是如此。至於涉及地點追蹤的資訊,雖然產品位置還不見得屬於足以識別該個人的資料,但產品離開消費場所進入私人可控制的領域時,RFID若是可以持續追蹤並定位,應屬違背資訊自主權。
那麼,若是使用紀錄呢?門禁管制進出紀錄或圖書館進出或借閱書籍紀錄,是否屬足資識別該個人的資料呢?消費紀錄呢?消費者所購買產品的品牌、種類、金額、購買地點及日期,是否屬特定人的個人資料呢?倘若當事人知悉或同意,是否便可以用諸如「已無隱私權期待可言」之類的理由,改變其個人資料的法律屬性呢?尤其值得關切的是,在這個資料庫大量整合和連結的時代裡,我們該如何看待這些資料呢?由此可見,「消費場所」和「私人可控制的領域」兩者之間的區別,以及「私人可控制的領域」在「資料庫互連互通」的世界裡,所面臨的被「追蹤」困境,將是當前RFID在技術層面和規範層面兩個互相交錯的領域裡,必須積極對話和合力解決的爭議。
更多爭議還等著我們:被蒐集資料的當事人有無自行刪除或要求RFID記載資料的權利?第三人有無利用或攔截RFID下載資料的權利等等,是否能完全解決這些爭議呢?美國知名隱私權保護智庫(簡稱EPIC)曾經提出一份RFID使用綱領,該綱領內容包括:建議使用RFID的私人企業應充分告知RFID存在的事實,並合理揭露使消費者了解RFID系統及資訊處理的本質;在產品銷售完成前即應關閉RFID,除非因個人需要,否則應使之永久失去效用,假如消費者不知有此選擇,便應主動關閉;一旦標籤關閉後,非經消費者同意不得主動重新開啟;RFID應使用最簡單的可移除方式裝置;更重要的是,消費者可以對違反RFID使用義務者提出訴訟。我們是否該完全同意這樣的RFID使用準則呢?當歐盟積極採取行動,美國也早已嘗試在聯邦立法中規範RFID的此時,消費者,你在哪裡?政府,你又在哪裡?
熱門新聞
2025-01-15
2025-01-13
2025-01-14
2025-01-14
2025-01-13
