方 婷
(西安交通大学 信息安全法律研究中心,陕西 西安 710049)
近年来,随着网络与信息技术的迅速发展,无线射频识别技术逐渐深入人们的日常生活。但是,随着该技术的不断应用与创新发展,在憧憬第三次信息革命的同时,RFID技术对使用者隐私权的侵犯与保护问题日益引发了国内外的重视。然而,纵观国内现行制度,鲜有法律、法规对该技术发展和应用带来的隐私问题予以规范和限制。
传统的“隐私权”作为一个明确的法律概念是在1890年确立的,这一概念由美国学者沃伦和布兰代斯在《哈佛法律评论》上发表的题为《论隐私权》一文中正式提出。其中主张的隐私是一种 “独处的权利”(right to be let alone),[1]是指使自己和社会隔离开,使私人的事务和公共事务隔离开的私权利,其核心为独处。[2]随着网络与信息技术的不断发展,传统隐私权的内涵和外延都发生了很大的变化,尤其在RFID的应用背景下,隐私权呈现出许多新的特点,具体体现在:1)隐私权的主体更加具体明确,同时呈现出有限性和特殊性。2)隐私权的客体呈现出多样化、数据化的特点。[3]RFID阅读器无需接触物体,就可直接读取信息至数据库内,且同时可以处理多个标签,RFID还具有微型化、多样化、非接触性、数据存储量大等特点,因此它会不经意地泄露个人相关信息,而这些信息往往涉及个人生活的方方面面;此外,由于RFID传输信息的数字化,使得隐私权的客体主要以“个人数据”①1995年通过的《欧盟数据保护指令》对“个人数据”的定义是:“有关一个被识别或可识别的自然人的任何信息。”的形式出现,因此具有数据化的特点;3)隐私权的内容不断扩充,积极权能不断增强。传统的隐私权以排斥他人干涉的消极权能为主,然而,由于RFID读取数据的非接触性和隐蔽性,储存在标签中的个人隐私信息可能处于随时被侵犯的危险境地,在这种情况下,继续沿用传统隐私权的消极保护模式既不必要也不可行,因此,隐私权保护转变为控制权模式更为妥当。[4]
1.RFID应用中隐私权的主体
与传统隐私权的主体一样,RFID应用中隐私权的主体也只限定于自然人。在RFID应用中,隐私始终是与个人的精神利益联系在一起的概念,涉及的是个人的私生活的安宁、独处等。[5]下面介绍RFID应用中三类主要的隐私权主体:
1)消费者。RFID技术被广泛应用于商业领域时,由于商品中嵌入了RFID标签,则消费者的个人信息可能会通过RFID阅读器的扫描而不经意地被泄露,并且在消费者离开销售点后,未停用的RFID标签发出的无线信号可以对商品和消费者进行准确定位。
2)患者。RFID技术被应用于医疗领域时,病人手腕上佩戴的唯一识别码或者植入其人体皮下组织的RFID标签,可能会通过RFID阅读器将病人的相关信息进行扫描并传输至远程数据库,从而在患者毫无察觉的情况下侵犯其隐私权。
3)学生。RFID技术现已广泛用于学生卡,在我国各大高校也有普遍的应用,如果对RFID标签中的信息收集不加以规范和限制,就会引发侵犯学生隐私权的问题。
2.RFID应用中隐私权的客体
“法律关系客体是一定利益的法律形式”①参见舒国滢.法理学阶梯[M].北京:清华大学出版社,2006:112.,传统的隐私权作为精神人格权的一种,其客体应该是隐私利益,但由于隐私利益是一种精神性利益,涉及权利人主观的感受,无法用外界的尺度和标准进行准确地衡量,所以在司法实践中借助承载隐私的客观对象来加以判断,即个人领域的事务,具体包括私人信息、私人活动和私人领域。②也有的学者把身体部位的隐私划分为私人领域的一部分,除此之外,个人行李、书包、信件等均被视为个人领域。参见杨立新.人身权法论[M].北京:中国检察出版社,1996:616.具体到RFID应用中来说,承载隐私权客体的私人事务包括:
1)当RFID应用于商业领域时,对于消费者来说,隐私权的客体包括消费者的身份隐私、购物隐私和行为隐私。消费者的身份隐私包括消费者的姓名、出生日期、身份证号、信用卡账号和额度等,这些个人信息会与特定的消费者产生关联,从而通过一个或多个储存个人信息的RFID标签泄漏消费者的真实身份,甚至当持有者的RFID标签遭窃或丢弃时,可能会被有心人士利用来假冒原先持有者的身份,进行不法行为;消费者的购物隐私包括消费者在商场内进行的活动、对某类商品的偏好、消费交易记录等,商品上的RFID标签可以被安装在购物车上的RFID阅读器识别,进而根据不同的商品属性或分类记录,可以推测出消费者的购物偏好;行为隐私包括消费者和商品的位置,由于商品中始终嵌入RFID标签,则无线信号可以持续地向数据库传输信息,进而跟踪商品和消费者,并对其进行准确定位。
2)当RFID应用于医疗领域时,对于患者来说,隐私权的客体包括患者的个人信息,即既往病史、健康状况、用药记录和医疗信息等;患者的个人活动,主要指患者的就诊记录、具体所处的位置等;患者的个人领域,主要指其生理信息、身体隐私、健康隐私等。由于RFID读取和传输数据具有开放性和非接触性,因此若是在病人的手腕上佩戴嵌入唯一识别码的腕环或者在其人体皮下组织植入可唯一识别的RFID标签,则病人的相关信息有可能被扫描并传输至远程数据库,从而在患者毫无察觉的情况下侵犯其隐私权。
3)当RFID应用于学生卡时,对于学生来说,隐私权的客体包括学生的个人信息,即其姓名、性别、家庭情况、学习经历等;学生的个人活动,包括学生在教室或操场上进行的活动、学生在学校所处的位置、学生的出勤信息等;学生的个人领域,包括学生的日记、博客空间 (blog)、电子邮箱、个人主页等。嵌入RFID标签的学生卡可通过无线电波远程传输在校学生的出勤信息,并对学生进校进行身份识别,这样会在不经意间泄露学生的其他个人信息,侵犯学生的个人隐私。
3.RFID应用中隐私权的内容
隐私权的内容主要是指隐私权所具有的权能,分为两大部分,即消极权能和积极权能。传统隐私权主要表现为消极权能,但在RFID应用中,隐私权的积极权能更加突出,并随着RFID技术的发展而不断增强。
消极权能包括隐私保留和隐私维护两大权能。
隐私保留,有的学者称之为隐私隐瞒权,即权利人有权隐瞒自己的隐私不向他人公开,保证自己的隐私不受到他人的非法刺探、知悉、披露。沃伦和布兰代斯在《论隐私权》一文中就将隐私权界定为“一种个人信息免受刺探的权利” (the right free from prying),表明了隐私权享有的重要性。[6]隐私的保留或享有是隐私权的最基本权能,在RFID应用中,数据主体享有的隐私保留权能主要是通过RFID标签的制作者和持有者应当履行的义务来实现的,对RFID标签的制作者而言,其履行的义务应当包括:不得在非经数据主体同意的情况下将其个人信息嵌入RFID标签;不得要求数据主体提供不必要的个人信息;仅应当保存必须使用的数据主体的个人信息。对RFID标签的持有者而言,其履行的义务应当包括:将系统的预设值设置为主动关闭,标签关闭后,非经数据主体同意,不得主动开启;不得记录或储存RFID标签上不属于个人的信息,或是通过已完成消费或服务的RFID标签来获取个人信息;不得将RFID标签识别出的信息与原保存的个人信息结合用以识别特定的个人,并且不得将个人的特定信息泄露给任何第三人。
隐私维护,主要指权利人对自己的隐私所享有的维护其不受侵犯的权能。[5]在RFID应用中,针对未遵守或违反RFID使用责任与义务的标签制作者和标签持有者,数据主体均有权提起仲裁或诉讼,从而达到维护个人隐私的目的。
积极权能包括隐私支配、隐私知悉、隐私控制、安全请求和隐私利用五大权能。
隐私支配权能是指权利人对于自己的隐私有权按照自己的意愿进行支配,包括在一定范围内以一定方式公开、准许他人公开或察知等。即隐私权人有义务容忍公开范围内他人对原有隐私的知悉、使用,同时隐私权人也获得了要求在公开范围内知悉、使用其隐私的主体承担相对性义务的权利。在RFID应用中,数据主体有权允许RFID标签的制作者将其部分个人信息嵌入RFID标签并传输至特定的数据库内加以保存。同时,数据主体有权在一定范围内允许RFID标签的持有者知悉或使用嵌入RFID标签中的个人信息。
隐私知悉权能仅限于对个人资料所享有的权能,在RFID应用中是指数据主体有权要求RFID标签的持有者在读取其个人数据前,向数据主体进行及时准确的告知,包括购买或使用的产品以及接受的服务中是否包含RFID标签,哪些数据及其何时何地会被读取、读取后的用途,数据主体享有的相关权利以及RFID的隐私保护政策等[7],此外,在资料搜集完成之后数据主体有权随时请求查询、阅览或复制。[8]135-136
隐私控制,是指权利人有权通过正当的途径访问其个人资料,并对个人信息进行修改、补充、删除等,以保证个人信息的准确、完整。在RFID应用中,RFID标签的制作者应当确保获取的个人信息准确、完整并进行定期更新,必要时,应帮助数据主体修改、补充、删除其部分个人信息。[7]对RFID标签的持有者而言,数据主体有权在购买商品时移除、失效或摧毁嵌入的RFID标签;有权对RFID做最好的选择,如果数据主体决定不选择RFID或启用RFID的Kill功能,也不应丧失其他相关的权利;有权要求RFID标签的持有者确保RFID标签易于移除。
安全请求,在RFID应用中是指数据主体有权要求RFID标签的制作者或持有者采取必要的、合理的措施,保护数据主体个人数据资料的安全性和完整性。此外,当RFID标签的制作者或持有者拒绝采取必要的措施或技术手段以保证数据主体个人数据资料的安全时,数据主体有权提起诉讼或申请仲裁。
隐私利用,指个人有权根据自身的需要依法使用自己的隐私信息。在RFID应用中,随着传统型隐私权向新型个人资料隐私的转化,隐私利用权能可能因隐私支配权能所覆盖而已无必要。[5]591
1.欧盟RFID隐私和数据保护立法现状
2009年5月12日,欧盟委员会制定并通过《射频识别技术应用中隐私和数据保护原则的建议》。这项不具约束力的建议为世界各国提供了RFID应用中的数据保护框架。该建议主要包括以下内容[9]:
1)隐私和数据保护的影响评估。企业应当与相关的民间团体合作,制定相应的隐私和数据保护的影响评估框架,并将其提交数据保护工作小组审查。同时,RFID技术的管理者应当履行95/46/EC指令规定的义务,在应用该技术时进行风险评估;采取适当的技术和组织措施来确保对于个人数据和隐私的保护;委任相应的人员负责监督审查该影响评估过程以及技术和组织措施的连续适用性;并至少提前六个星期向主管机关作出评估。
2)信息和透明度要求。根据95/46/EC指令和2002/58/EC指令,成员国应确保制定和公布简明、准确、便于理解的信息政策:包括管理者的身份和地址;应用的目的;哪些数据将会被处理,以及标签位置是否将被监测;隐私和个人数据保护的影响评估摘要;可能的隐私风险,标签的应用方式,个人可以采取的减轻这种风险的措施。同时,管理者还应当采取措施告知个人阅读器的存在,并建立一个欧洲统一的标志来标明某种商品使用了RFID标签。
3)零售商使用RFID应当满足的要求。除了应当满足前两项要求外,零售商还应当在销售点立即免费停用或删除RFID标签,除非消费者明确同意标签继续工作,同时,消费者有权核实该停用或删除的有效性。
4)其他防范措施。成员国应当对各行业RFID的应用实行认证制度或运营商自我评估制度,从而证明已经确立适当的信息安全和隐私保护的风险评估。同时,成员国应采取适当的措施提高公共部门和公司对于使用RFID技术的潜在利益和风险的认识;此外,可以采取适当的措施比如大型试点项目,来提高公众对RFID技术的认识。
除此之外,该项建议还规定成员国应当鼓励和支持“安全和隐私预设”原则在RFID应用的早期阶段的引进。
2.美国RFID隐私和数据保护立法现状
(1)联邦立法现状
1) 电子权利法案[10]132-145
该法案由美国华盛顿州议员Jeff Morris提出,其中主张:(1)禁止在未告知消费者的情况下收集、储存和公开通过RFID技术获得的信息;(2)使用主动或被动RFID设备的所有公司关闭这些设备,或者事先征得消费者的同意;(3)禁止厂商在提供服务和退款时要求设置RFID标签;(4)禁止厂商或个人在事先未征求消费者同意的情况下扫描或读取RFID标签中的信息;(5)使用RFID设备获取信息的厂商,必须使用产业标准来确保信息安全。对违反规定者可判处10000美元的民事赔偿,严重者罚金总额可高达30000美元。
2)RFID 权利法草案[11]
该项法案于2002年由Garfinkel先生提出,是关于RFID系统创建和部署的五大指导原则。
RFID标签产品的用户享有以下权利:有权知道产品是否包含RFID标签;有权在购买商品时移除、失效或摧毁嵌入的RFID标签;有权对RFID做最好的选择,如果消费者决定不选择RFID或启用RFID的Kill功能,消费者不应丧失其他相关的权利;有权知道他们的RFID标签内储存着什么信息,如果信息不正确,则有方法进行更正或修改;有权知道RFID标签何时、何地以及为何被读取。
(2)各州立法现状
规制RFID技术的州一级立法通常有以下五个方面的要求:披露RFID的使用;移除、失效或摧毁嵌入的RFID标签;禁止将RFID标签链接到个人信息;在通常情况下禁止使用;追究不当使用者的法律责任。[12]132-145
1)加利福尼亚州
2007年通过的第28号参议院法案规定:如果驾驶执照使用无线电波远程传输个人信息或从执照中远程读取个人信息,则应禁止机动车主管部门发行、更新、复制、或更换驾驶执照。第29号参议院法案规定:禁止公立学校、学区和教育部发给学生任何使用无线电波来远程传输个人信息的装置用来记录在校学生,确定和追踪学生在操场上的位置。第30号参议院法案规定:颁布2007年《身份信息保护法》,要求创建、授权、购买、发行身份证明文件的各个公共机构在使用无线电波远程传输数据时,应当满足特定的需要。要求公共机构和得到授权的第三方保护这些远程传输的系统和数据。第31号参议院法案规定:如果个人或实体在他人不知情或未经他人事先同意的情况下故意使用无线电波远程读取或尝试远程读取个人的身份证明文件,应当被判处监禁、罚款、或二者同时执行。如果个人泄露或导致信息泄露,操作系统的密钥使用者应当被判处监禁、罚款或二者同时执行。第362号参议院法案明确规定:禁止个人要求、强制或迫使他人接受皮下植入一个识别装置,并规定了民事处罚评估标准。允许受害者提出损害赔偿和禁令救济,但应符合特定法规的限制。①2006 Privacy Legislation Related to Radio Frequency Identification(National Conference of State Legislatures),Oct,2006.http://www.ncsl.org/programs/lis/privacy/rfid06.htm.
2)内华达州
第264号法案规定:要求制造商、零售商和其他机构确保在商品出售前标注关于商品上RFID的存在,以保证消费者的知情权;RFID标签的ID等信息,在没有得到持有者允许的情况下,擅自读取的行为属于犯罪;此外,该法案并不将学术上的验证研究予以区别对待。
3)纽约州
第222号法案颁布《无线射频识别知情权法案》,要求:零售商披露RFID装置的使用和收集的个人信息;在零售商品或包装上标明含有无线射频识别标签;为标明和告知制定标准;购买后移除RFID标签;限制收集和披露个人信息以及执行规定。第225号法案规定:建立一个关于无线射频识别技术的隐私问题的特别工作组。第261号法案增加了禁令和民事处罚的规定。
4)华盛顿州
第1011号众议院法案中明确规定:除RFID标签发行方之外的任何第三方禁止读取RFID标签;生效后的法案又追加了部分修正。例如,删除了原法案中规定的“收受包含RFID标签的商品时需要签署同意书”;禁止第三方读取的事项中增加规定“读取标签数据后,不可公开,查看后要立即删除”;但急诊、警察等得到授权的情况,以及正当的学术研究视为例外。
(3)欧美RFID立法评鉴
欧盟对于RFID应用中的隐私权保护采取的是统一立法模式,即通过制定一部综合性的法律规范,并设立一个独立的执法机构,从而实现对RFID应用中隐私权的保护。其采用这种立法模式主要基于以下三个原因:首先,欧盟这一国际组织制定的指令可为各成员国制定相关国内法提供参考和借鉴,因此制定一部普遍适用的法律是行之有效的;其次,欧盟成员国大多是大陆法系的国家,在对隐私权的法律保护问题上,基于立法传统和资源,其趋向于制定综合性的法律进行规制;最后,统一的立法有利于实现欧盟各成员国执行欧盟指令时标准的统一,并可以减少与非欧盟成员国的贸易往来中存在的障碍。尽管统一立法模式有其广泛性特点,是保护个人信息最有力的方式,但同时也可能过于严苛而束缚了企业自由,对于企业和行业的数据使用需求可能无法考虑周全。此外,这种立法模式对于技术的敏感性不如行业自律模式,这是法律政策的稳定性所必然带来的问题。
美国规制RFID采用的是分散立法模式,即不是制定一部普遍适用的法律来规范RFID应用中的隐私权保护,而是根据不同的需要,针对不同的行业制定不同的规范。美国针对不同的对象采取有区别的行业立法与立法规制外的行业自律相结合,认为对隐私权的保护首先应采取行业自律模式,鼓励商业界自行采取自律性的隐私保护政策,并加以指导监督,政府只对那些高度敏感的个人信息领域才制定相关的行业立法。这种立法模式对某些特定的资料信息和特殊的技术领域可以提供更为严格的保护,能在一定程度上弥补一般立法滞后于社会生活的不足。但是由于其最重要的特征是条块分割状态,这不可避免地导致了法律保护状态的不一致,保护程度的不平衡,以及救济途径的差异。此外,由于分散立法是针对不同领域分别立法,与综合保护相比,分散立法可能留有真空地带,从而导致对隐私权的保护欠缺充分性。[13]
近年来,RFID已逐渐深入人们的日常生产和生活当中,同时也给我们带来了诸多的隐私问题,如信息泄露和利用标签恶意跟踪等。因此,为了有效地保护数据安全和个人隐私,引导RFID的合理应用和健康发展,应当从我国的基本国情出发,不断积累和借鉴欧美发达国家的RFID隐私立法经验,建立和制定完善的RFID隐私保护法律法规,从而实现防患于未然的目标。
1.建立RFID的隐私保护立法
第一,对RFID应用中隐私权保护的基本原则做出明确规定。主要原则应包括公告、选择、教育、数据的记录、保存和安全①参见美国隐私通讯中心 (Electronic Privacy Information Center,EPIC)制定的EPC准则.http://www.epcglobalinc.org/public/ppsc_guide/
第二,对RFID应用中隐私权保护的基本内容、保护标准、适用范围、数据主体以及RFID标签的制作者和持有者的权利义务、侵权损害赔偿标准等做出明确的、易操作的规定,并授权特定的行政机构监督并保障法律的有效执行。
第三,规定RFID的隐私和数据保护的影响评估机制,并且对自律规范进行原则性规定。
第四,规定社会反馈和后续评估制度,以便随时了解该法规的执行情况及其效果,并根据具体情况作出必要的调整。
2.强化以政府为主导的行业自律建设[5,14]
我国应当借鉴发达国家的成功经验,倡导在业内由政府监督进行自律保护,要求行业制定出有关保护个人隐私的行业守则或规章,使得各种使用RFID的行为有章可循,从而保证数据主体的利益不受侵犯。第一,政府应当以行政指导和行政监管为手段,对使用RFID的行业保护个人隐私进行干预和控制。第二,完善规制行业自律的立法。完善相关立法,明确行业自律保护个人隐私的法律地位及保护方式,并通过增加有关违反行业自律侵犯个人隐私的责任,来反向促进相关行业对个人隐私的保护,同时还可以防止政府监管部门滥用职权给使用RFID的行业发展带来的不利影响。第三,强调完善行业自身监督、加强相关行业从业道德建设、建立行业自律激励机制和认证机制。应用RFID的商业组织应主动重视和采取有效措施保护信息安全和消费者的个人隐私。比如零售商在出售商品时自动将RFID标签移除,以履行其社会责任。此外还可考虑在行业中设立一个认证机构,对那些在消费者隐私保护方面达到一定标准的企业给予某种必要的认证,以此引导更多的企业重视对个人隐私和信息安全的保护。最后,运营商与国家主管当局、民间相关利益团体可共同制定新的有关RFID的信息安全保护条例,规定例如运营商自我评估制度,以确保对信息安全和隐私保护风险评估的确立。
3.增强公民对RFID隐私权的自我保护意识[15]
对RFID的基础理论及相关应用现状进行宣传、教育,增强公民对隐私的自我保护意识。促使公民了解RFID使用者的隐私政策、信息使用范围以及用途,国家应与企业、其他利益相关者合作确定和提供实施RFID应用程序的良好实践范例,[21]从而在公众中确定和提高认识,使其自觉关注RFID的发展与应用,从而主动了解相关的信息安全和隐私保护法律法规。此外,还可以采取适当措施,比如大型试点项目,②Comission of the European Communities:Recommendation of 12.5.2009 on the Implementation of Privacy and Data Protection Principles in Applications Supported by Radio-Frequency Identification.来提高公众对RFID技术的认识,不仅包括它所带来的利益,还包括其风险和使用的影响。
总之,我国在制定RFID隐私保护法律对策时,应当以现有的相关法律为基础,不断借鉴欧美发达国家的先进立法经验,并针对我国RFID的发展与应用现状进行具体规制。因此,我们应当建立RFID隐私保护的立法;并逐渐强化以政府为主导的行业自律建设;此外,还应不断增强公民对RFID隐私权的自我保护意识,只有这些方面协同努力,才能有效地解决RFID应用中的隐私问题。
[1]S Warren,L Brandeis.The Right to Privacy [J].Havard Law Review,1890:193-220.
[2]王利明.美国隐私权制度的发展及其对我国立法的启示[J].北京:中国人民大学,2004.http://www.civlllaw.corn cn/weizhang,default.asp?id=20227.
[3]傅之捷.论信息领域个人隐私权的法律保护 [D].上海:复旦大学硕士学位论文,2008.
[4]蓝蓝.关于网络隐私权制度的几点思考 [J].河北法学,2006,(3):88.
[5]王丽萍,步雷等.信息时代隐私权保护研究 [M].济南:山东人民出版社,2008.
[6]王利明.人格权法研究 [M].北京:中国人民大学出版社,2005.
[7]徐波.论信息时代隐私权的法律保护 [D].山东:山东大学硕士学位论文,2007.
[8]王泽鉴.侵权行为法 [M].北京:中国政法大学出版社,2001.
[9]Comission of the European Communities:Recommendation on the Implementation of Privacy and Data Protection Principles in Applications Supported by Radio-Frequency I-dentification. [S/OL]. [2009-05-12].http://www.google.com.hk/url?sa=t&source=web&cd=1&ved=0CBgQFjAA&url=http%3A%2F%2Fec.europa.eu%2Finformation_society%2Fpolicy%2Frfid%2Fdocuments%2Frecommendationonrfid2009.pdf&ei=wjIWTPCHDo7CccX7qIwM&usg=AFQjCNH9eHWxam_DmuLjo3vZq
[10]许建隆,林仲志,钟乾癸,等.RFID概论 [M].台湾:华泰文化,2009.
[11]彭志威,杜江,张建等.RFID的安全与隐私 [J].中兴通讯技术,2007:32.
[12]SG.Stein.Where Will Consumers Find Privacy Protection From RFIDs?:A Case for Federal Legislation [J].Duke Law & Technology Review,2007:13-14.
[13]蒋坡.个人数据信息的法律保护[M].北京:中国政法大学出版社,2008.
[14]孙元欣.RFID技术、保护隐私权与公共政策 [J].商业经济与管理,2005,(7):14.
[15]周廉洁.射频识别技术与个人隐私的保护[J].经济与法,2009,(8):59.