RFID應用愈來愈生活化,從捷運悠遊卡、大樓門禁進出管理、連鎖商店會員卡、飯店房卡等,都可看到RFID晶片的身影,其體積雖小,所記載的個人資訊卻不少,企業在享受RFID應用便利性的同時,該如何兼顧消費者隱私安全?歐盟在2011年初提出PIA架構草案,明確指出RFID應用兼顧隱私保護的作法。
日前,經濟部技術處主辦的《非誠勿擾》法制研討會上,資策會科法所研究員廖淑君表示,歐盟在2011年初提出PIA架構草案,此乃針對RFID應用而設計的隱私與資料保護衝擊評估架構,並於同年4月,促成歐盟執委會、產業社會團體、隱私保護團體等皆簽署協議,由於RFID應用客製化程度相當高,很難透過法律強制規範,所以PIA不是法規而是參考指引,一份引導企業保護個人資料的作業方針。
廖淑君進一步指出,PIA分成兩階段,第一階段初始分析(請見下表),評估RFID應用是否會涉及個資隱私,及需要做到哪一個程度。PIA從Level 0~3共有4個階段,Level 0代表RFID應用與個人資料無關,不需進行PIA評估分析,Level 1則需做小規模的PIA分析,Level 2~3則要做完整的PIA分析。
資料來源:科法所,《資安人》整理,2011/10。
第二階段則是風險評估分析,分析RFID應用可能有的個資風險,並將結果製成PIA報告,報告中必須涵蓋以下4點內容:
1、RFID應用內容與特性說明:確認RFID應用範圍及未來可能的擴充性;
2、風險確認與評:,評估RFID應用的隱私衝擊風險;
3、控制措施研擬與確認:即透過技術性或管理性的控制措施(如:晶片加密),降低風險;
4、決議做成與殘餘風險確認及說明。
類似RFID的新興科技愈來愈盛行,企業在應用的同時,也必須負起社會責任,為民眾個資隱私把關,在科技便利性與隱私保護間取得平衡。