商品里嵌入的RFID電子標(biāo)簽可能會隨時被任意的讀取器讀取數(shù)據(jù)，甚至可能達(dá)到監(jiān)視個人的目的。所以，對于RFID的普及來說，隱私權(quán)保護是一個最大的課題。今年年初開始，美國各個州相繼推出了RFID隱私權(quán)保護法案。然而，無論是誰，都希望準(zhǔn)確、客觀的判斷RFID使用帶來的風(fēng)險與好處。從美國各州法案的爭議情況來看，制定合理的RFID法案并非一件輕而易舉的事情。

一、州與州之間，截然不同的RFID隱私權(quán)保護方針
    眾所周知，美國各個州都有獨立的立法和不同的法案。RFID法案也不例外，今年年初，華盛頓州、內(nèi)華達(dá)州、紐約州、新罕布什爾州等州都開始審議RFID隱私權(quán)保護法案，并在RFID業(yè)界雜志上有所刊登。下面就是各州法案的一些概要。

華盛頓州
    在華盛頓州，HB 1011法案經(jīng)過州長簽署，于4月13日生效。該法案中，明確規(guī)定“除RFID標(biāo)簽發(fā)行方之外的任何第三方禁止讀取RFID標(biāo)簽”。生效后的法案又追加了部分訂正。例如，刪除了原法案中規(guī)定的“收受包含RFID標(biāo)簽的商品(會員卡等)時需要簽署同意書”。同時，禁止第三方讀取的事項中增加規(guī)定“讀取標(biāo)簽數(shù)據(jù)后，不可公開，查看后要立即刪除(此外，急診、警察等得到授權(quán)的情況，以及正當(dāng)?shù)膶W(xué)術(shù)研究視為例外)”。

內(nèi)華達(dá)州
    在內(nèi)華達(dá)州，SB 125法案已經(jīng)提交州上議院，目前還在審理之中。該法案規(guī)定“RFID標(biāo)簽的ID等信息，在沒有得到持有者允許的情況下，擅自讀取的行為屬于犯罪(正常的商業(yè)讀取除外)”。另外，該法案并不將學(xué)術(shù)上的驗證研究(檢驗安全漏洞存在與否的公開試驗）區(qū)別對待，這受到了反對者的質(zhì)疑。

紐約州
    在紐約州，州議會的消費者保護委員會正在研討A00276法案，有望于2011年1月生效。該法案不僅涉及標(biāo)簽的讀取，在讀取數(shù)據(jù)的使用上也作了規(guī)定：

商店要在收銀機顯著位置標(biāo)注“RFID標(biāo)簽使用”；

結(jié)賬后，可根據(jù)顧客的要求，摘除標(biāo)簽；

禁止RFID標(biāo)簽中記錄顧客信息。

新罕布什爾州
新罕布什爾州正在審理HB 478法案。該法案包含如下條款：

帶有RFID標(biāo)簽的商品，要有“帶有RFID標(biāo)簽”的字樣；

除非得到當(dāng)事人書面同意，否則禁止向人體內(nèi)植入RFID ；

州內(nèi)各機關(guān)禁止發(fā)行RFID式的ID卡(包括駕駛證) ；

禁止利用RFID技術(shù)，進(jìn)行跟蹤。

    該法案中并未規(guī)定特例。例如，不經(jīng)意讀取標(biāo)簽的行為，也視為違反法案。反對者在這一方面頗有意見。

二、RFID隱私權(quán)問題
    美國RFID推進(jìn)派中有人主張“RFID本身不存在特有的隱私權(quán)與風(fēng)險等問題”。他們對上述法規(guī)持有反對意見。那么這種想法對不對呢？

隱私權(quán)與風(fēng)險主要包括兩種：
    1、被授權(quán)讀取RFID標(biāo)簽的組織(發(fā)行方等)，非正當(dāng)使用讀取的數(shù)據(jù)。具體包括：泄漏RFID標(biāo)簽中的交易數(shù)據(jù)，或者讀取的數(shù)據(jù)超過授權(quán)范圍。

    2、第三方未經(jīng)授權(quán)，非法讀取RFID標(biāo)簽的特殊ID與信息，利用其他方法結(jié)合讀取的信息進(jìn)行跟蹤。

    ☆ 其中，單獨看第一條?？梢哉f第一條并非RFID特有的隱私權(quán)與風(fēng)險。比如說在日本，利用非接觸式電子貨幣的交易信息屬于隱私權(quán)信息，但是不能說它比接觸式信用卡泄漏信息的風(fēng)險大(圖-1)。

圖-1 利用RFID收集的數(shù)據(jù)雖有泄漏的風(fēng)險，但現(xiàn)行個人信息保護法中已有相關(guān)規(guī)定[nextpage]

    商店有時候會記錄“顧客拿手里看卻沒購買的商品、購買之前試過的商品等”。但是，如果是不通過RFID標(biāo)簽讀取，而是通過售貨員記錄、或者監(jiān)控錄像記錄不也是一樣的嗎？那么，有沒有使用RFID技術(shù)，并不是問題的實質(zhì)。

    也就是說，從日本來看，已經(jīng)有個人隱私保護法與[P標(biāo)識]制度，這一條就沒有必要在RFID方面作單獨的規(guī)定。

    ☆ 另一方面，單獨看第二條。第二條的隱私權(quán)與風(fēng)險也許稍難理解。在日本被稱為“固有ID問題”的事物很多，所以，即便不知道ID的具體內(nèi)容，通過對“讀取該ID的時間、場所、同時讀取的其他ID”的收集與分析，就能夠關(guān)聯(lián)到其他人、物，一旦取得關(guān)聯(lián)，跟蹤的范圍將像藤蔓一樣蔓延(圖-2)。

    圖-2 基于RFID數(shù)據(jù)可以跟蹤持有者的行動。同樣的風(fēng)險在局域網(wǎng)或者藍(lán)牙中也存在，并非RFID特有問題。

    第二條的隱私權(quán)與風(fēng)險方面應(yīng)該注意的是，第三方能夠遠(yuǎn)程、私自讀取ID的不僅僅限于RFID標(biāo)簽。例如，無線局域網(wǎng)或者藍(lán)牙的MAC地址。這些是數(shù)據(jù)層的東西，不會在業(yè)務(wù)系統(tǒng)中使用。但是，MAC地址是世界唯一的，也可以用來跟蹤。從可讀取的距離與普及的程度來看，與其喚起對第二條的風(fēng)險意識，不如更關(guān)注無線局域網(wǎng)或者藍(lán)牙。所以，第二條的相關(guān)規(guī)定也就不應(yīng)該單獨針對RFID，而應(yīng)該是所有相關(guān)的技術(shù)。

三、“風(fēng)險組合”產(chǎn)生新的風(fēng)險
    那么，第一條與第二條組合會有什么風(fēng)險呢？我認(rèn)為這才是RFID標(biāo)簽獨有的風(fēng)險問題，有必要特別管制。例如，以遠(yuǎn)程讀取會員卡(美國的加油站等)的特殊ID，管理購買記錄為例。如果第一條的信息以任何形式泄漏，而得到購買記錄的第三方就能私下里讀取并關(guān)聯(lián)上會員卡的ID(圖-3)

圖-3 第一條與第二條組合，那么第三方就會知道“誰，在哪里，在做什么”。

四、隱私權(quán)問題的復(fù)雜性
    隱私權(quán)原本就是一個復(fù)雜的問題。當(dāng)事人不在意的話，也就不是問題。例如，新罕布什爾州正在審議的禁止使用嵌入RFID標(biāo)簽的駕駛證法案的同時，在華盛頓州，加拿大出入境管理部門受理“簡化RFID駕駛證(使用Gen2標(biāo)簽，任何人都可以遠(yuǎn)程讀取ID!)”的申請正忙得不可開交。

    無論是誰，都希望準(zhǔn)確、客觀的判斷RFID使用帶來的風(fēng)險與好處。所以，從美國各州法案的爭議情況來看，制定合理的RFID法案并非一件輕而易舉的事情。