方 婷

(西安交通大學(xué) 信息安全法律研究中心，陜西 西安 710049)

近年來，隨著網(wǎng)絡(luò)與信息技術(shù)的迅速發(fā)展，無線射頻識別技術(shù)逐漸深入人們的日常生活。但是，隨著該技術(shù)的不斷應(yīng)用與創(chuàng)新發(fā)展，在憧憬第三次信息革命的同時，RFID技術(shù)對使用者隱私權(quán)的侵犯與保護(hù)問題日益引發(fā)了國內(nèi)外的重視。然而，縱觀國內(nèi)現(xiàn)行制度，鮮有法律、法規(guī)對該技術(shù)發(fā)展和應(yīng)用帶來的隱私問題予以規(guī)范和限制。

一、RFID應(yīng)用中隱私權(quán)的特殊性分析

傳統(tǒng)的“隱私權(quán)”作為一個明確的法律概念是在1890年確立的，這一概念由美國學(xué)者沃倫和布蘭代斯在《哈佛法律評論》上發(fā)表的題為《論隱私權(quán)》一文中正式提出。其中主張的隱私是一種 “獨(dú)處的權(quán)利”(right to be let alone)，［1］是指使自己和社會隔離開，使私人的事務(wù)和公共事務(wù)隔離開的私權(quán)利，其核心為獨(dú)處。［2］隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，傳統(tǒng)隱私權(quán)的內(nèi)涵和外延都發(fā)生了很大的變化，尤其在RFID的應(yīng)用背景下，隱私權(quán)呈現(xiàn)出許多新的特點(diǎn)，具體體現(xiàn)在:1)隱私權(quán)的主體更加具體明確，同時呈現(xiàn)出有限性和特殊性。2)隱私權(quán)的客體呈現(xiàn)出多樣化、數(shù)據(jù)化的特點(diǎn)。［3］RFID閱讀器無需接觸物體，就可直接讀取信息至數(shù)據(jù)庫內(nèi)，且同時可以處理多個標(biāo)簽，RFID還具有微型化、多樣化、非接觸性、數(shù)據(jù)存儲量大等特點(diǎn)，因此它會不經(jīng)意地泄露個人相關(guān)信息，而這些信息往往涉及個人生活的方方面面;此外，由于RFID傳輸信息的數(shù)字化，使得隱私權(quán)的客體主要以“個人數(shù)據(jù)”①1995年通過的《歐盟數(shù)據(jù)保護(hù)指令》對“個人數(shù)據(jù)”的定義是:“有關(guān)一個被識別或可識別的自然人的任何信息?！钡男问匠霈F(xiàn)，因此具有數(shù)據(jù)化的特點(diǎn);3)隱私權(quán)的內(nèi)容不斷擴(kuò)充，積極權(quán)能不斷增強(qiáng)。傳統(tǒng)的隱私權(quán)以排斥他人干涉的消極權(quán)能為主，然而，由于RFID讀取數(shù)據(jù)的非接觸性和隱蔽性，儲存在標(biāo)簽中的個人隱私信息可能處于隨時被侵犯的危險境地，在這種情況下，繼續(xù)沿用傳統(tǒng)隱私權(quán)的消極保護(hù)模式既不必要也不可行，因此，隱私權(quán)保護(hù)轉(zhuǎn)變?yōu)榭刂茩?quán)模式更為妥當(dāng)。［4］

1．RFID應(yīng)用中隱私權(quán)的主體

與傳統(tǒng)隱私權(quán)的主體一樣，RFID應(yīng)用中隱私權(quán)的主體也只限定于自然人。在RFID應(yīng)用中，隱私始終是與個人的精神利益聯(lián)系在一起的概念，涉及的是個人的私生活的安寧、獨(dú)處等。［5］下面介紹RFID應(yīng)用中三類主要的隱私權(quán)主體:

1)消費(fèi)者。RFID技術(shù)被廣泛應(yīng)用于商業(yè)領(lǐng)域時，由于商品中嵌入了RFID標(biāo)簽，則消費(fèi)者的個人信息可能會通過RFID閱讀器的掃描而不經(jīng)意地被泄露，并且在消費(fèi)者離開銷售點(diǎn)后，未停用的RFID標(biāo)簽發(fā)出的無線信號可以對商品和消費(fèi)者進(jìn)行準(zhǔn)確定位。

2)患者。RFID技術(shù)被應(yīng)用于醫(yī)療領(lǐng)域時，病人手腕上佩戴的唯一識別碼或者植入其人體皮下組織的RFID標(biāo)簽，可能會通過RFID閱讀器將病人的相關(guān)信息進(jìn)行掃描并傳輸至遠(yuǎn)程數(shù)據(jù)庫，從而在患者毫無察覺的情況下侵犯其隱私權(quán)。

3)學(xué)生。RFID技術(shù)現(xiàn)已廣泛用于學(xué)生卡，在我國各大高校也有普遍的應(yīng)用，如果對RFID標(biāo)簽中的信息收集不加以規(guī)范和限制，就會引發(fā)侵犯學(xué)生隱私權(quán)的問題。

2．RFID應(yīng)用中隱私權(quán)的客體

“法律關(guān)系客體是一定利益的法律形式”①參見舒國瀅．法理學(xué)階梯［M］．北京:清華大學(xué)出版社，2006:112．，傳統(tǒng)的隱私權(quán)作為精神人格權(quán)的一種，其客體應(yīng)該是隱私利益，但由于隱私利益是一種精神性利益，涉及權(quán)利人主觀的感受，無法用外界的尺度和標(biāo)準(zhǔn)進(jìn)行準(zhǔn)確地衡量，所以在司法實踐中借助承載隱私的客觀對象來加以判斷，即個人領(lǐng)域的事務(wù)，具體包括私人信息、私人活動和私人領(lǐng)域。②也有的學(xué)者把身體部位的隱私劃分為私人領(lǐng)域的一部分，除此之外，個人行李、書包、信件等均被視為個人領(lǐng)域。參見楊立新．人身權(quán)法論［M］．北京:中國檢察出版社，1996:616．具體到RFID應(yīng)用中來說，承載隱私權(quán)客體的私人事務(wù)包括:

1)當(dāng)RFID應(yīng)用于商業(yè)領(lǐng)域時，對于消費(fèi)者來說，隱私權(quán)的客體包括消費(fèi)者的身份隱私、購物隱私和行為隱私。消費(fèi)者的身份隱私包括消費(fèi)者的姓名、出生日期、身份證號、信用卡賬號和額度等，這些個人信息會與特定的消費(fèi)者產(chǎn)生關(guān)聯(lián)，從而通過一個或多個儲存?zhèn)€人信息的RFID標(biāo)簽泄漏消費(fèi)者的真實身份，甚至當(dāng)持有者的RFID標(biāo)簽遭竊或丟棄時，可能會被有心人士利用來假冒原先持有者的身份，進(jìn)行不法行為;消費(fèi)者的購物隱私包括消費(fèi)者在商場內(nèi)進(jìn)行的活動、對某類商品的偏好、消費(fèi)交易記錄等，商品上的RFID標(biāo)簽可以被安裝在購物車上的RFID閱讀器識別，進(jìn)而根據(jù)不同的商品屬性或分類記錄，可以推測出消費(fèi)者的購物偏好;行為隱私包括消費(fèi)者和商品的位置，由于商品中始終嵌入RFID標(biāo)簽，則無線信號可以持續(xù)地向數(shù)據(jù)庫傳輸信息，進(jìn)而跟蹤商品和消費(fèi)者，并對其進(jìn)行準(zhǔn)確定位。

2)當(dāng)RFID應(yīng)用于醫(yī)療領(lǐng)域時，對于患者來說，隱私權(quán)的客體包括患者的個人信息，即既往病史、健康狀況、用藥記錄和醫(yī)療信息等;患者的個人活動，主要指患者的就診記錄、具體所處的位置等;患者的個人領(lǐng)域，主要指其生理信息、身體隱私、健康隱私等。由于RFID讀取和傳輸數(shù)據(jù)具有開放性和非接觸性，因此若是在病人的手腕上佩戴嵌入唯一識別碼的腕環(huán)或者在其人體皮下組織植入可唯一識別的RFID標(biāo)簽，則病人的相關(guān)信息有可能被掃描并傳輸至遠(yuǎn)程數(shù)據(jù)庫，從而在患者毫無察覺的情況下侵犯其隱私權(quán)。

3)當(dāng)RFID應(yīng)用于學(xué)生卡時，對于學(xué)生來說，隱私權(quán)的客體包括學(xué)生的個人信息，即其姓名、性別、家庭情況、學(xué)習(xí)經(jīng)歷等;學(xué)生的個人活動，包括學(xué)生在教室或操場上進(jìn)行的活動、學(xué)生在學(xué)校所處的位置、學(xué)生的出勤信息等;學(xué)生的個人領(lǐng)域，包括學(xué)生的日記、博客空間 (blog)、電子郵箱、個人主頁等。嵌入RFID標(biāo)簽的學(xué)生卡可通過無線電波遠(yuǎn)程傳輸在校學(xué)生的出勤信息，并對學(xué)生進(jìn)校進(jìn)行身份識別，這樣會在不經(jīng)意間泄露學(xué)生的其他個人信息，侵犯學(xué)生的個人隱私。

3．RFID應(yīng)用中隱私權(quán)的內(nèi)容

隱私權(quán)的內(nèi)容主要是指隱私權(quán)所具有的權(quán)能，分為兩大部分，即消極權(quán)能和積極權(quán)能。傳統(tǒng)隱私權(quán)主要表現(xiàn)為消極權(quán)能，但在RFID應(yīng)用中，隱私權(quán)的積極權(quán)能更加突出，并隨著RFID技術(shù)的發(fā)展而不斷增強(qiáng)。

消極權(quán)能包括隱私保留和隱私維護(hù)兩大權(quán)能。

隱私保留，有的學(xué)者稱之為隱私隱瞞權(quán)，即權(quán)利人有權(quán)隱瞞自己的隱私不向他人公開，保證自己的隱私不受到他人的非法刺探、知悉、披露。沃倫和布蘭代斯在《論隱私權(quán)》一文中就將隱私權(quán)界定為“一種個人信息免受刺探的權(quán)利” (the right free from prying)，表明了隱私權(quán)享有的重要性。［6］隱私的保留或享有是隱私權(quán)的最基本權(quán)能，在RFID應(yīng)用中，數(shù)據(jù)主體享有的隱私保留權(quán)能主要是通過RFID標(biāo)簽的制作者和持有者應(yīng)當(dāng)履行的義務(wù)來實現(xiàn)的，對RFID標(biāo)簽的制作者而言，其履行的義務(wù)應(yīng)當(dāng)包括:不得在非經(jīng)數(shù)據(jù)主體同意的情況下將其個人信息嵌入RFID標(biāo)簽;不得要求數(shù)據(jù)主體提供不必要的個人信息;僅應(yīng)當(dāng)保存必須使用的數(shù)據(jù)主體的個人信息。對RFID標(biāo)簽的持有者而言，其履行的義務(wù)應(yīng)當(dāng)包括:將系統(tǒng)的預(yù)設(shè)值設(shè)置為主動關(guān)閉，標(biāo)簽關(guān)閉后，非經(jīng)數(shù)據(jù)主體同意，不得主動開啟;不得記錄或儲存RFID標(biāo)簽上不屬于個人的信息，或是通過已完成消費(fèi)或服務(wù)的RFID標(biāo)簽來獲取個人信息;不得將RFID標(biāo)簽識別出的信息與原保存的個人信息結(jié)合用以識別特定的個人，并且不得將個人的特定信息泄露給任何第三人。

隱私維護(hù)，主要指權(quán)利人對自己的隱私所享有的維護(hù)其不受侵犯的權(quán)能。［5］在RFID應(yīng)用中，針對未遵守或違反RFID使用責(zé)任與義務(wù)的標(biāo)簽制作者和標(biāo)簽持有者，數(shù)據(jù)主體均有權(quán)提起仲裁或訴訟，從而達(dá)到維護(hù)個人隱私的目的。

積極權(quán)能包括隱私支配、隱私知悉、隱私控制、安全請求和隱私利用五大權(quán)能。

隱私支配權(quán)能是指權(quán)利人對于自己的隱私有權(quán)按照自己的意愿進(jìn)行支配，包括在一定范圍內(nèi)以一定方式公開、準(zhǔn)許他人公開或察知等。即隱私權(quán)人有義務(wù)容忍公開范圍內(nèi)他人對原有隱私的知悉、使用，同時隱私權(quán)人也獲得了要求在公開范圍內(nèi)知悉、使用其隱私的主體承擔(dān)相對性義務(wù)的權(quán)利。在RFID應(yīng)用中，數(shù)據(jù)主體有權(quán)允許RFID標(biāo)簽的制作者將其部分個人信息嵌入RFID標(biāo)簽并傳輸至特定的數(shù)據(jù)庫內(nèi)加以保存。同時，數(shù)據(jù)主體有權(quán)在一定范圍內(nèi)允許RFID標(biāo)簽的持有者知悉或使用嵌入RFID標(biāo)簽中的個人信息。

隱私知悉權(quán)能僅限于對個人資料所享有的權(quán)能，在RFID應(yīng)用中是指數(shù)據(jù)主體有權(quán)要求RFID標(biāo)簽的持有者在讀取其個人數(shù)據(jù)前，向數(shù)據(jù)主體進(jìn)行及時準(zhǔn)確的告知，包括購買或使用的產(chǎn)品以及接受的服務(wù)中是否包含RFID標(biāo)簽，哪些數(shù)據(jù)及其何時何地會被讀取、讀取后的用途，數(shù)據(jù)主體享有的相關(guān)權(quán)利以及RFID的隱私保護(hù)政策等［7］，此外，在資料搜集完成之后數(shù)據(jù)主體有權(quán)隨時請求查詢、閱覽或復(fù)制。［8］135－136

隱私控制，是指權(quán)利人有權(quán)通過正當(dāng)?shù)耐緩皆L問其個人資料，并對個人信息進(jìn)行修改、補(bǔ)充、刪除等，以保證個人信息的準(zhǔn)確、完整。在RFID應(yīng)用中，RFID標(biāo)簽的制作者應(yīng)當(dāng)確保獲取的個人信息準(zhǔn)確、完整并進(jìn)行定期更新，必要時，應(yīng)幫助數(shù)據(jù)主體修改、補(bǔ)充、刪除其部分個人信息。［7］對RFID標(biāo)簽的持有者而言，數(shù)據(jù)主體有權(quán)在購買商品時移除、失效或摧毀嵌入的RFID標(biāo)簽;有權(quán)對RFID做最好的選擇，如果數(shù)據(jù)主體決定不選擇RFID或啟用RFID的Kill功能，也不應(yīng)喪失其他相關(guān)的權(quán)利;有權(quán)要求RFID標(biāo)簽的持有者確保RFID標(biāo)簽易于移除。

安全請求，在RFID應(yīng)用中是指數(shù)據(jù)主體有權(quán)要求RFID標(biāo)簽的制作者或持有者采取必要的、合理的措施，保護(hù)數(shù)據(jù)主體個人數(shù)據(jù)資料的安全性和完整性。此外，當(dāng)RFID標(biāo)簽的制作者或持有者拒絕采取必要的措施或技術(shù)手段以保證數(shù)據(jù)主體個人數(shù)據(jù)資料的安全時，數(shù)據(jù)主體有權(quán)提起訴訟或申請仲裁。

隱私利用，指個人有權(quán)根據(jù)自身的需要依法使用自己的隱私信息。在RFID應(yīng)用中，隨著傳統(tǒng)型隱私權(quán)向新型個人資料隱私的轉(zhuǎn)化，隱私利用權(quán)能可能因隱私支配權(quán)能所覆蓋而已無必要。［5］591

二、歐美RFID隱私和數(shù)據(jù)保護(hù)法制評鑒

1．歐盟RFID隱私和數(shù)據(jù)保護(hù)立法現(xiàn)狀

2009年5月12日，歐盟委員會制定并通過《射頻識別技術(shù)應(yīng)用中隱私和數(shù)據(jù)保護(hù)原則的建議》。這項不具約束力的建議為世界各國提供了RFID應(yīng)用中的數(shù)據(jù)保護(hù)框架。該建議主要包括以下內(nèi)容［9］:

1)隱私和數(shù)據(jù)保護(hù)的影響評估。企業(yè)應(yīng)當(dāng)與相關(guān)的民間團(tuán)體合作，制定相應(yīng)的隱私和數(shù)據(jù)保護(hù)的影響評估框架，并將其提交數(shù)據(jù)保護(hù)工作小組審查。同時，RFID技術(shù)的管理者應(yīng)當(dāng)履行95/46/EC指令規(guī)定的義務(wù)，在應(yīng)用該技術(shù)時進(jìn)行風(fēng)險評估;采取適當(dāng)?shù)募夹g(shù)和組織措施來確保對于個人數(shù)據(jù)和隱私的保護(hù);委任相應(yīng)的人員負(fù)責(zé)監(jiān)督審查該影響評估過程以及技術(shù)和組織措施的連續(xù)適用性;并至少提前六個星期向主管機(jī)關(guān)作出評估。

2)信息和透明度要求。根據(jù)95/46/EC指令和2002/58/EC指令，成員國應(yīng)確保制定和公布簡明、準(zhǔn)確、便于理解的信息政策:包括管理者的身份和地址;應(yīng)用的目的;哪些數(shù)據(jù)將會被處理，以及標(biāo)簽位置是否將被監(jiān)測;隱私和個人數(shù)據(jù)保護(hù)的影響評估摘要;可能的隱私風(fēng)險，標(biāo)簽的應(yīng)用方式，個人可以采取的減輕這種風(fēng)險的措施。同時，管理者還應(yīng)當(dāng)采取措施告知個人閱讀器的存在，并建立一個歐洲統(tǒng)一的標(biāo)志來標(biāo)明某種商品使用了RFID標(biāo)簽。

3)零售商使用RFID應(yīng)當(dāng)滿足的要求。除了應(yīng)當(dāng)滿足前兩項要求外，零售商還應(yīng)當(dāng)在銷售點(diǎn)立即免費(fèi)停用或刪除RFID標(biāo)簽，除非消費(fèi)者明確同意標(biāo)簽繼續(xù)工作，同時，消費(fèi)者有權(quán)核實該停用或刪除的有效性。

4)其他防范措施。成員國應(yīng)當(dāng)對各行業(yè)RFID的應(yīng)用實行認(rèn)證制度或運(yùn)營商自我評估制度，從而證明已經(jīng)確立適當(dāng)?shù)男畔踩碗[私保護(hù)的風(fēng)險評估。同時，成員國應(yīng)采取適當(dāng)?shù)拇胧┨岣吖膊块T和公司對于使用RFID技術(shù)的潛在利益和風(fēng)險的認(rèn)識;此外，可以采取適當(dāng)?shù)拇胧┍热绱笮驮圏c(diǎn)項目，來提高公眾對RFID技術(shù)的認(rèn)識。

除此之外，該項建議還規(guī)定成員國應(yīng)當(dāng)鼓勵和支持“安全和隱私預(yù)設(shè)”原則在RFID應(yīng)用的早期階段的引進(jìn)。

2．美國RFID隱私和數(shù)據(jù)保護(hù)立法現(xiàn)狀

(1)聯(lián)邦立法現(xiàn)狀

1) 電子權(quán)利法案［10］132－145

該法案由美國華盛頓州議員Jeff Morris提出，其中主張:(1)禁止在未告知消費(fèi)者的情況下收集、儲存和公開通過RFID技術(shù)獲得的信息;(2)使用主動或被動RFID設(shè)備的所有公司關(guān)閉這些設(shè)備，或者事先征得消費(fèi)者的同意;(3)禁止廠商在提供服務(wù)和退款時要求設(shè)置RFID標(biāo)簽;(4)禁止廠商或個人在事先未征求消費(fèi)者同意的情況下掃描或讀取RFID標(biāo)簽中的信息;(5)使用RFID設(shè)備獲取信息的廠商，必須使用產(chǎn)業(yè)標(biāo)準(zhǔn)來確保信息安全。對違反規(guī)定者可判處10000美元的民事賠償，嚴(yán)重者罰金總額可高達(dá)30000美元。

2)RFID 權(quán)利法草案［11］

該項法案于2002年由Garfinkel先生提出，是關(guān)于RFID系統(tǒng)創(chuàng)建和部署的五大指導(dǎo)原則。

RFID標(biāo)簽產(chǎn)品的用戶享有以下權(quán)利:有權(quán)知道產(chǎn)品是否包含RFID標(biāo)簽;有權(quán)在購買商品時移除、失效或摧毀嵌入的RFID標(biāo)簽;有權(quán)對RFID做最好的選擇，如果消費(fèi)者決定不選擇RFID或啟用RFID的Kill功能，消費(fèi)者不應(yīng)喪失其他相關(guān)的權(quán)利;有權(quán)知道他們的RFID標(biāo)簽內(nèi)儲存著什么信息，如果信息不正確，則有方法進(jìn)行更正或修改;有權(quán)知道RFID標(biāo)簽何時、何地以及為何被讀取。

(2)各州立法現(xiàn)狀

規(guī)制RFID技術(shù)的州一級立法通常有以下五個方面的要求:披露RFID的使用;移除、失效或摧毀嵌入的RFID標(biāo)簽;禁止將RFID標(biāo)簽鏈接到個人信息;在通常情況下禁止使用;追究不當(dāng)使用者的法律責(zé)任。［12］132－145

1)加利福尼亞州

2007年通過的第28號參議院法案規(guī)定:如果駕駛執(zhí)照使用無線電波遠(yuǎn)程傳輸個人信息或從執(zhí)照中遠(yuǎn)程讀取個人信息，則應(yīng)禁止機(jī)動車主管部門發(fā)行、更新、復(fù)制、或更換駕駛執(zhí)照。第29號參議院法案規(guī)定:禁止公立學(xué)校、學(xué)區(qū)和教育部發(fā)給學(xué)生任何使用無線電波來遠(yuǎn)程傳輸個人信息的裝置用來記錄在校學(xué)生，確定和追蹤學(xué)生在操場上的位置。第30號參議院法案規(guī)定:頒布2007年《身份信息保護(hù)法》，要求創(chuàng)建、授權(quán)、購買、發(fā)行身份證明文件的各個公共機(jī)構(gòu)在使用無線電波遠(yuǎn)程傳輸數(shù)據(jù)時，應(yīng)當(dāng)滿足特定的需要。要求公共機(jī)構(gòu)和得到授權(quán)的第三方保護(hù)這些遠(yuǎn)程傳輸?shù)南到y(tǒng)和數(shù)據(jù)。第31號參議院法案規(guī)定:如果個人或?qū)嶓w在他人不知情或未經(jīng)他人事先同意的情況下故意使用無線電波遠(yuǎn)程讀取或嘗試遠(yuǎn)程讀取個人的身份證明文件，應(yīng)當(dāng)被判處監(jiān)禁、罰款、或二者同時執(zhí)行。如果個人泄露或?qū)е滦畔⑿孤?，操作系統(tǒng)的密鑰使用者應(yīng)當(dāng)被判處監(jiān)禁、罰款或二者同時執(zhí)行。第362號參議院法案明確規(guī)定:禁止個人要求、強(qiáng)制或迫使他人接受皮下植入一個識別裝置，并規(guī)定了民事處罰評估標(biāo)準(zhǔn)。允許受害者提出損害賠償和禁令救濟(jì)，但應(yīng)符合特定法規(guī)的限制。①2006 Privacy Legislation Related to Radio Frequency Identification(National Conference of State Legislatures)，Oct，2006．http://www．ncsl．org/programs/lis/privacy/rfid06．htm．

2)內(nèi)華達(dá)州

第264號法案規(guī)定:要求制造商、零售商和其他機(jī)構(gòu)確保在商品出售前標(biāo)注關(guān)于商品上RFID的存在，以保證消費(fèi)者的知情權(quán);RFID標(biāo)簽的ID等信息，在沒有得到持有者允許的情況下，擅自讀取的行為屬于犯罪;此外，該法案并不將學(xué)術(shù)上的驗證研究予以區(qū)別對待。

3)紐約州

第222號法案頒布《無線射頻識別知情權(quán)法案》，要求:零售商披露RFID裝置的使用和收集的個人信息;在零售商品或包裝上標(biāo)明含有無線射頻識別標(biāo)簽;為標(biāo)明和告知制定標(biāo)準(zhǔn);購買后移除RFID標(biāo)簽;限制收集和披露個人信息以及執(zhí)行規(guī)定。第225號法案規(guī)定:建立一個關(guān)于無線射頻識別技術(shù)的隱私問題的特別工作組。第261號法案增加了禁令和民事處罰的規(guī)定。

4)華盛頓州

第1011號眾議院法案中明確規(guī)定:除RFID標(biāo)簽發(fā)行方之外的任何第三方禁止讀取RFID標(biāo)簽;生效后的法案又追加了部分修正。例如，刪除了原法案中規(guī)定的“收受包含RFID標(biāo)簽的商品時需要簽署同意書”;禁止第三方讀取的事項中增加規(guī)定“讀取標(biāo)簽數(shù)據(jù)后，不可公開，查看后要立即刪除”;但急診、警察等得到授權(quán)的情況，以及正當(dāng)?shù)膶W(xué)術(shù)研究視為例外。

(3)歐美RFID立法評鑒

歐盟對于RFID應(yīng)用中的隱私權(quán)保護(hù)采取的是統(tǒng)一立法模式，即通過制定一部綜合性的法律規(guī)范，并設(shè)立一個獨(dú)立的執(zhí)法機(jī)構(gòu)，從而實現(xiàn)對RFID應(yīng)用中隱私權(quán)的保護(hù)。其采用這種立法模式主要基于以下三個原因:首先，歐盟這一國際組織制定的指令可為各成員國制定相關(guān)國內(nèi)法提供參考和借鑒，因此制定一部普遍適用的法律是行之有效的;其次，歐盟成員國大多是大陸法系的國家，在對隱私權(quán)的法律保護(hù)問題上，基于立法傳統(tǒng)和資源，其趨向于制定綜合性的法律進(jìn)行規(guī)制;最后，統(tǒng)一的立法有利于實現(xiàn)歐盟各成員國執(zhí)行歐盟指令時標(biāo)準(zhǔn)的統(tǒng)一，并可以減少與非歐盟成員國的貿(mào)易往來中存在的障礙。盡管統(tǒng)一立法模式有其廣泛性特點(diǎn)，是保護(hù)個人信息最有力的方式，但同時也可能過于嚴(yán)苛而束縛了企業(yè)自由，對于企業(yè)和行業(yè)的數(shù)據(jù)使用需求可能無法考慮周全。此外，這種立法模式對于技術(shù)的敏感性不如行業(yè)自律模式，這是法律政策的穩(wěn)定性所必然帶來的問題。

美國規(guī)制RFID采用的是分散立法模式，即不是制定一部普遍適用的法律來規(guī)范RFID應(yīng)用中的隱私權(quán)保護(hù)，而是根據(jù)不同的需要，針對不同的行業(yè)制定不同的規(guī)范。美國針對不同的對象采取有區(qū)別的行業(yè)立法與立法規(guī)制外的行業(yè)自律相結(jié)合，認(rèn)為對隱私權(quán)的保護(hù)首先應(yīng)采取行業(yè)自律模式，鼓勵商業(yè)界自行采取自律性的隱私保護(hù)政策，并加以指導(dǎo)監(jiān)督，政府只對那些高度敏感的個人信息領(lǐng)域才制定相關(guān)的行業(yè)立法。這種立法模式對某些特定的資料信息和特殊的技術(shù)領(lǐng)域可以提供更為嚴(yán)格的保護(hù)，能在一定程度上彌補(bǔ)一般立法滯后于社會生活的不足。但是由于其最重要的特征是條塊分割狀態(tài)，這不可避免地導(dǎo)致了法律保護(hù)狀態(tài)的不一致，保護(hù)程度的不平衡，以及救濟(jì)途徑的差異。此外，由于分散立法是針對不同領(lǐng)域分別立法，與綜合保護(hù)相比，分散立法可能留有真空地帶，從而導(dǎo)致對隱私權(quán)的保護(hù)欠缺充分性。［13］

三、建立和完善我國RFID隱私保護(hù)的法律建議

近年來，RFID已逐漸深入人們的日常生產(chǎn)和生活當(dāng)中，同時也給我們帶來了諸多的隱私問題，如信息泄露和利用標(biāo)簽惡意跟蹤等。因此，為了有效地保護(hù)數(shù)據(jù)安全和個人隱私，引導(dǎo)RFID的合理應(yīng)用和健康發(fā)展，應(yīng)當(dāng)從我國的基本國情出發(fā)，不斷積累和借鑒歐美發(fā)達(dá)國家的RFID隱私立法經(jīng)驗，建立和制定完善的RFID隱私保護(hù)法律法規(guī)，從而實現(xiàn)防患于未然的目標(biāo)。

1．建立RFID的隱私保護(hù)立法

第一，對RFID應(yīng)用中隱私權(quán)保護(hù)的基本原則做出明確規(guī)定。主要原則應(yīng)包括公告、選擇、教育、數(shù)據(jù)的記錄、保存和安全①參見美國隱私通訊中心 (Electronic Privacy Information Center，EPIC)制定的EPC準(zhǔn)則．http://www．epcglobalinc．org/public/ppsc_guide/

第二，對RFID應(yīng)用中隱私權(quán)保護(hù)的基本內(nèi)容、保護(hù)標(biāo)準(zhǔn)、適用范圍、數(shù)據(jù)主體以及RFID標(biāo)簽的制作者和持有者的權(quán)利義務(wù)、侵權(quán)損害賠償標(biāo)準(zhǔn)等做出明確的、易操作的規(guī)定，并授權(quán)特定的行政機(jī)構(gòu)監(jiān)督并保障法律的有效執(zhí)行。

第三，規(guī)定RFID的隱私和數(shù)據(jù)保護(hù)的影響評估機(jī)制，并且對自律規(guī)范進(jìn)行原則性規(guī)定。

第四，規(guī)定社會反饋和后續(xù)評估制度，以便隨時了解該法規(guī)的執(zhí)行情況及其效果，并根據(jù)具體情況作出必要的調(diào)整。

2．強(qiáng)化以政府為主導(dǎo)的行業(yè)自律建設(shè)［5，14］

我國應(yīng)當(dāng)借鑒發(fā)達(dá)國家的成功經(jīng)驗，倡導(dǎo)在業(yè)內(nèi)由政府監(jiān)督進(jìn)行自律保護(hù)，要求行業(yè)制定出有關(guān)保護(hù)個人隱私的行業(yè)守則或規(guī)章，使得各種使用RFID的行為有章可循，從而保證數(shù)據(jù)主體的利益不受侵犯。第一，政府應(yīng)當(dāng)以行政指導(dǎo)和行政監(jiān)管為手段，對使用RFID的行業(yè)保護(hù)個人隱私進(jìn)行干預(yù)和控制。第二，完善規(guī)制行業(yè)自律的立法。完善相關(guān)立法，明確行業(yè)自律保護(hù)個人隱私的法律地位及保護(hù)方式，并通過增加有關(guān)違反行業(yè)自律侵犯個人隱私的責(zé)任，來反向促進(jìn)相關(guān)行業(yè)對個人隱私的保護(hù)，同時還可以防止政府監(jiān)管部門濫用職權(quán)給使用RFID的行業(yè)發(fā)展帶來的不利影響。第三，強(qiáng)調(diào)完善行業(yè)自身監(jiān)督、加強(qiáng)相關(guān)行業(yè)從業(yè)道德建設(shè)、建立行業(yè)自律激勵機(jī)制和認(rèn)證機(jī)制。應(yīng)用RFID的商業(yè)組織應(yīng)主動重視和采取有效措施保護(hù)信息安全和消費(fèi)者的個人隱私。比如零售商在出售商品時自動將RFID標(biāo)簽移除，以履行其社會責(zé)任。此外還可考慮在行業(yè)中設(shè)立一個認(rèn)證機(jī)構(gòu)，對那些在消費(fèi)者隱私保護(hù)方面達(dá)到一定標(biāo)準(zhǔn)的企業(yè)給予某種必要的認(rèn)證，以此引導(dǎo)更多的企業(yè)重視對個人隱私和信息安全的保護(hù)。最后，運(yùn)營商與國家主管當(dāng)局、民間相關(guān)利益團(tuán)體可共同制定新的有關(guān)RFID的信息安全保護(hù)條例，規(guī)定例如運(yùn)營商自我評估制度，以確保對信息安全和隱私保護(hù)風(fēng)險評估的確立。

3．增強(qiáng)公民對RFID隱私權(quán)的自我保護(hù)意識［15］

對RFID的基礎(chǔ)理論及相關(guān)應(yīng)用現(xiàn)狀進(jìn)行宣傳、教育，增強(qiáng)公民對隱私的自我保護(hù)意識。促使公民了解RFID使用者的隱私政策、信息使用范圍以及用途，國家應(yīng)與企業(yè)、其他利益相關(guān)者合作確定和提供實施RFID應(yīng)用程序的良好實踐范例，［21］從而在公眾中確定和提高認(rèn)識，使其自覺關(guān)注RFID的發(fā)展與應(yīng)用，從而主動了解相關(guān)的信息安全和隱私保護(hù)法律法規(guī)。此外，還可以采取適當(dāng)措施，比如大型試點(diǎn)項目，②Comission of the European Communities:Recommendation of 12．5．2009 on the Implementation of Privacy and Data Protection Principles in Applications Supported by Radio－Frequency Identification．來提高公眾對RFID技術(shù)的認(rèn)識，不僅包括它所帶來的利益，還包括其風(fēng)險和使用的影響。

總之，我國在制定RFID隱私保護(hù)法律對策時，應(yīng)當(dāng)以現(xiàn)有的相關(guān)法律為基礎(chǔ)，不斷借鑒歐美發(fā)達(dá)國家的先進(jìn)立法經(jīng)驗，并針對我國RFID的發(fā)展與應(yīng)用現(xiàn)狀進(jìn)行具體規(guī)制。因此，我們應(yīng)當(dāng)建立RFID隱私保護(hù)的立法;并逐漸強(qiáng)化以政府為主導(dǎo)的行業(yè)自律建設(shè);此外，還應(yīng)不斷增強(qiáng)公民對RFID隱私權(quán)的自我保護(hù)意識，只有這些方面協(xié)同努力，才能有效地解決RFID應(yīng)用中的隱私問題。

［1］S Warren，L Brandeis．The Right to Privacy ［J］．Havard Law Review，1890:193－220．

［2］王利明．美國隱私權(quán)制度的發(fā)展及其對我國立法的啟示［J］．北京:中國人民大學(xué)，2004．http://www．civlllaw．corn cn/weizhang，default．a(chǎn)sp?id=20227．

［3］傅之捷．論信息領(lǐng)域個人隱私權(quán)的法律保護(hù) ［D］．上海:復(fù)旦大學(xué)碩士學(xué)位論文，2008．

［4］藍(lán)藍(lán)．關(guān)于網(wǎng)絡(luò)隱私權(quán)制度的幾點(diǎn)思考 ［J］．河北法學(xué)，2006，(3):88．

［5］王麗萍，步雷等．信息時代隱私權(quán)保護(hù)研究 ［M］．濟(jì)南:山東人民出版社，2008．

［6］王利明．人格權(quán)法研究 ［M］．北京:中國人民大學(xué)出版社，2005．

［7］徐波．論信息時代隱私權(quán)的法律保護(hù) ［D］．山東:山東大學(xué)碩士學(xué)位論文，2007．

［8］王澤鑒．侵權(quán)行為法 ［M］．北京:中國政法大學(xué)出版社，2001．

［9］Comission of the European Communities:Recommendation on the Implementation of Privacy and Data Protection Principles in Applications Supported by Radio－Frequency I-dentification． ［S/OL］． ［2009－05－12］．http://www．google．com．hk/url?sa=t＆source=web＆cd=1＆ved=0CBgQFjAA＆url=http%3A%2F%2Fec．europa．eu%2Finformation_society%2Fpolicy%2Frfid%2Fdocuments%2Frecommendationonrfid2009．pdf＆ei=wjIWTPCHDo7CccX7qIwM＆usg=AFQjCNH9eHWxam_DmuLjo3vZq

［10］許建隆，林仲志，鐘乾癸，等．RFID概論 ［M］．臺灣:華泰文化，2009．

［11］彭志威，杜江，張建等．RFID的安全與隱私 ［J］．中興通訊技術(shù)，2007:32．

［12］SG．Stein．Where Will Consumers Find Privacy Protection From RFIDs?:A Case for Federal Legislation ［J］．Duke Law ＆ Technology Review，2007:13－14．

［13］蔣坡．個人數(shù)據(jù)信息的法律保護(hù)［M］．北京:中國政法大學(xué)出版社，2008．

［14］孫元欣．RFID技術(shù)、保護(hù)隱私權(quán)與公共政策 ［J］．商業(yè)經(jīng)濟(jì)與管理，2005，(7):14．

［15］周廉潔．射頻識別技術(shù)與個人隱私的保護(hù)［J］．經(jīng)濟(jì)與法，2009，(8):59．