第八章RFID安全与隐私.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 数据源:图解RFID 5.3.2 * * * 数据源:/read.asp?Username=RFIDdata=1931373A-5E51-419B-AAEF-C3A2CBEF53FF * * * * 参考资料:.tw/content.php?sn=137RFID应用推动办公室 * * * * * 可规范RFID使用的现行法律 计算机处理个人资料保护法 个人资料保护法草案 商品标示法 消费者保护法 * 计算机处理个人资料保护法 在民国84年所制定的「计算机处理个人资料保护法」；第一条即说明为规范计算机处理个人资料，以避免人格权受侵害，并促进个人资料之合理利用，特制定本法 个人资料是指自然人之姓名、出生年月日、身分证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他足资识别该个人之资料；而个人资料档案是指基于特定目的储存于电磁纪录物或其化类似媒体之个人资料之集合 * 计算机处理个人资料保护法（续） 在法令第六条中即明定个人资料之搜集或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围；第七、八、十八及二十三条亦规定公务或非公务机关对个人资料之利用或处理必须经当事人书面同意，不得侵害当事人权益；因此可考虑使用计算机处理个人资料保护法来规范企业透過RFID收集个人信息 * 计算机处理个人资料保护法（续） 由于时代科技的进步，利用计算机搜集、处理与利用个人资料的情形与法令制定当年，已变得日益频繁且复杂；再者各类型商务行为广泛大量的搜集个人资料，也已经不再限于个资法中所规范的征信等八大类，例如医院使用从病患取得、分析的信息，就不受此法令的规范 * 个人资料保护法草案 在行政院94年通过的个人资料保护法草案（为计算机处理个人资料保护法之修正）中，参照各国立法案例，将受保护的客体与规范的主体在修正草案中予以扩大，保护的个体不再局限于「经计算机处理之个人资料」，而修正成不论为自动化机器或其他非自动化方式检索、整理之个人资料，均受「个资法」之保护 修正草案第二条第二款规定：个人资料档案系指系统建立而得以自动化机器或其他非自动化方式检索、整理之个人资料之集合；同条第四款规定：处理是指为建立或利用个人资料档案所为数据之纪录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。」 * 个人资料保护法（续） 而在法规适用的主体上，亦删除非公务机关行业别的限制，使任何自然人、法人、其他团体等均受到「个资法」的规范；修正草案第二条第八款规定：非公务机关是指前款以外之自然人、法人或其他团体；及第五十条第一项规定：自然人为单纯个人或家庭活动之目的，而搜集、处理或利用个人资料者，不适用本法 * 商品标示法 「个资法」是以保护个人隐私为出发，虽然在个资法中清楚规范对于搜集、处理与应用个人资料的原则，但是由于科技的进步，对于个人资料的搜集往往是在消费者无法察觉的方式下进行，RFID的远距读取也使得这项忧虑更加深 「个资法」的规定固然可以让消费者了解自己应该具有的权利，只是如果能够透过其他的强制作为预先的阻止侵害的可能发生，那么对于个人隐私的保护可能可以更完善；因此，应可考虑透过「商品标示」的强制，作为要求医院或营业者在应用RFID技术时，就预先于消费者或病患使用的RFID手环上告知 * 商品标示法（续） 商品标示法第一条规定：本法目的即是为「保障消费者权益，建立良好商业规范」；由于RFID技术本就具有安全与隐私上的问题，因此将商品使用RFID技术的情况事先揭露予消费者得知，可以认为是一种有效的保护消费者的方式 根据「商品标示法」第九条第一项第五款的规定，商品应标示事项包括了「其他依中央主管机关规定应行标示事项。」；因此当主管机关在允许RFID技术应用于病患识别时，应可要求厂商相关标示措施，以保障消费者隐私权 * 消费者保护法 「个资法」的修正草案可有效的规范大部分对于个人资料的搜集、处理与利用等行为，但是由于商业行为的复杂，对于个人隐私的侵犯往往并非只限于上述方式，而可能是透过衍生的附加行为，又或者由于消费者处于交易地位上的弱势，厂商可能透过特定服务的提供或者是对于原本即应提供的服务提出附带要求，以让消费者同意或者承诺配合RFID技术的使用 * 消费者保护法（续） 由于商业行为的复杂，同时RFID技术本身为中立，应可考虑采用消费者保护法来补充消费者在地位上原处的弱势 消费者保护法第十二条规定：定型化契约中之条款违反诚信原则，对消费者显失公平时无效 * 其他RFID相关的规范与草案 EPIC的RFID使用指导纲领 电子权利法草案(E