RFID安全議題.

Presentation on theme: "RFID安全議題."— Presentation transcript:

1 RFID安全議題

2 從行動電話談起 I 台灣GSM 900 MHz, 1800 MHz 對於行動電話的安全顧慮，包括潛在的健康風險或整個運作環境的使用安全性。
目前沒有相關證據能證明這些低功率設備，可能會對使用者或一般大眾造成任何健康風險。

3 從行動電話談起 II 僅有極少數研究直接提及WLAN 設備的影響
WLAN 與RFID 標籤的發射級數，低於一般行動電話的RF 發射級數。因此，任何關於行動電話設備安全性的研究結果，都可套用於WLAN 或RFID 設備。 一般WLAN 的RF 發射級數，都在世界衛生組織（World Health Organization；WHO）所規定的安全發射級數標準值之內。

4 低功率無線設備迄今並未造成任何健康風險 低功率無線設備如WLAN 用戶卡、存取點或RFID 標籤，是否會造成任何健康威脅？根據現有證據顯示，低功率無線應用與健康議題之間，並無明確關聯。

5 最新的研究行動電話設備的使用不會造成健康風險
服務於美國的國際流行病學研究所（International Epidemiology Institute）的John D. Boice,Jr 博士與Joseph K. McLaughlin 博士，在2002 年9 月為瑞典輻射防護局（Swedish Radiation Protection Authority）所撰寫的報告 由毒害與環境科學委員會（Scientific Committee on Toxicity, Ecotosicity, and the Environment）呈交給歐盟執委會（European Commission）的報告，名為「電磁、無線射頻與微波射頻對人體健康潛在影響之論（Opioion on Possible Effects of Electromagnetic Fields, Radio Frequency Fields, and Microwave Radiation on Human Health）」。

6 RFID被用於傳播病毒？ 一篇論文引發業界震動
阿姆斯特丹Vrije大學的一位博士生Melanie Rieback所撰寫，被提交給於義大利Pisa舉行的IEEE大會，在RFID產業造成了震動。 論文題為「Is Your Cat Infected with a Computer Virus?」 論文表示，電腦病毒能夠從RFID標籤透過讀卡器傳播到編寫不嚴格的中介軟體應用和後端系統及資料庫。

7 RFID被用於傳播病毒？ 一篇論文引發業界震動
AIM Global總裁Dan Mullen對此表示：「該論文中的許多基本假設忽視了許多自動資料收集系統和良好資料庫設計所必備的根本設計特色，」。 Mullen提出，研究人員建構了有弱點的系統，然後繼續研究如何探究這一弱點。「毫不奇怪，糟糕的系統設計，不管是擷取RFID標籤資訊、條碼資訊或鍵盤登錄的資料，將產生弱點而易受攻擊。」

8 RFID被用於傳播病毒？ 一篇論文引發業界震動
RFID的專家和國際標準化組織的科學家們在日本Kyoto舉行的會議上探討RFID標準時對該論文作出了回應，強調固定資料RFID標籤，如用於識別寵物的標籤，無法被改變，因此對病毒感染免疫。 但他們迴避了其它類型標籤是否易於受到攻擊的問題，如那些資料可以改變的標籤。

9 RFID被用於傳播病毒？ 一篇論文引發業界震動
ThingMagic公司副總裁、兼MIT Auto-ID聯合創辦人Kevin Ashton表示，「論文中所稱的‘真正的’病毒不是病毒，而是自我複製的一串SQL程式碼。」 業界許多人士也同意這確實敲響了警鐘。 TI副總裁Julie England建議，「公司需要提供多等級安全，並在將應用投入到市場之前對測試負責。」

10 RFID隱私權議題

11 什麼是隱私權？ 民法中人格權所保障的一種 1965年，美國聯邦最高法院才第一次將隱私權納入憲法之保障中
隱私權的概念實在非常廣泛，於不同的情況下會有不同之意義。

12 隱私權 個人資訊之取得及揭露 人身遷徙及隱居之自由 人對於自身財產事務之控制
指個人之自我決定權利，如婦女墮胎之自我決定權被歸類為憲法上所保障之隱私權。 隱私權包括個人資訊、身體、財產或是自我決定等部分，簡單的說，就是個人資訊的自我決定權。

13 個人資訊隱私權 個人資訊隱私權之保護，係指政府、私人機構或是個人，取得或是散布該自然人個人資訊之管理與限制。
個人資訊係指依據某特定資訊，可得辨識出該個人或是該個人之私人活動。 個人資訊被認為係隱私權之一部分，係因將個人資料蒐集之後，可以知悉該個人之活動及該個人之喜好。

14 RFID侵害隱私權？ RFID相關讀取技術在讀取價格的同時：

15 RFID侵害隱私權？ 目前發展之RFID技術，對於個人的私密物品與採購等一般消費情形的隱私權，已足以讓大眾產生疑慮。
未來更可能使用在證照或身分證件等方面，資料曝光的危險性相形更高。 隨之而來如駭客或是政府的監視，也都影響到每一個人民的權益。

16 RFID vs. 隱私權 RFID記載之資料是否足使特定人的個人資料有揭露的危險？ 根據RFID蒐集而得之資訊是否需當事人同意？

17 RFID記載之資料是否足使特定人的個人資料有揭露的危險？

18 下列資訊是否屬於個人資料 就診紀錄、病史及使用藥物資訊 地點追蹤 使用紀錄
產品離開消費場所或進入私人場域時，RFID是否可以持續追蹤並定位，應持否定見解。 使用紀錄 關於消費者購買產品時之購物品牌、種類、金額、購買地點及日期是否屬於特定人之個人資料? 該資訊通常無法足資識別該個人之資料，但經蒐集整理分析後，可能歸納出個人購物特性及習慣，此類尚有爭議

19 根據RFID蒐集而得之資訊是否需當事人同意？
目前產品上之RFID均可為使用人蒐集，毋需當事人同意，如超市結帳台得藉由RFID蒐集消費者購買產品時之購物品牌、種類、金額、購買地點及日期等資料；惟如門禁資料、追蹤管理等用途，此等紀錄之保存及使用政策，應公告使用人周知為當。

20 第三人有無利用或攔截RFID下載資料之權利？
RFID使用人使用RFID時，應已考慮RFID記載資料公開傳輸之特性，並有期待他人使用之可能性；又此等資料是否需取得當事人同意？應視是否屬於個人資料而定。

21 RFID記載之資料屬於何人所有？ RFID記載資料之所有權在RFID使用人使用區域，應屬於RFID使用人所有，但產品移轉所有權時，RFID記載資料應屬於消費者所有，並有自行刪除RFID記載資料之權利；如Wal-Mart就準備廣發手冊告訴消費者，只要結完帳，就可以撕下標籤。除前述情形以外，需視RFID之用途及特別約定。

22 如何解決RFID侵害隱私的疑慮？ 科技面的解決方式 法律面的解決方式

23 科技面的解決方式 為消除各界對於RFID可能侵害隱私權之疑慮，Wal-Mart已宣稱未來應用RFID時，在消費者步出消費場所後即「失去效用」，此外在科技方面的解決方式，業者已大致發展出「選擇取消」（Opt-out）模式、「銷毀」（kill）模式、「休眠」（sleep）模式或「干擾」模式，但各有利弊，且無法完全防堵隱私權受侵害之疑慮。

24 法律面的解決方式 部分美國隱私權保護相關團體及消費者團體已發起抵制行動
CASPIAN(Consumers Against Supermarket Privacy Invasion and Numbering)等，甚至於2003年推動「2003年RFID受告知權法案」（RFID Right to Know Act of 2003） 美國電子隱私資訊中心（Electronic Privacy Information Center, EPIC）於2004年6月提出一份關於消費者與私人企業使用RFID的綱領

25 使用RFID時 應告知RFID的存在 在產品銷售完成前即應關閉RFID，除非因個人需要，否則使之永久失去效用
指定專人遵守這些綱領

26 消費者權利 有權獲取透過RFID蒐集包含個人資訊的所有資訊，並有權更正 有權移除RFID標籤

27 歐洲的規範 歐洲國家對於RFID應用一向比較消極，在2005年初針對二千多名，包括英國、法國、德國與荷蘭的網友所作一意見調查，被調查者皆認為RFID可以提升“反盜竊”能力 不過，對於購買標有RFID標籤的產品，59%的歐洲人擔心這項技術是不是會持續跟蹤他們。另外，52%歐洲人則擔心自己可能會成為直銷活動的目標。 未來打算應用RFID廠商必須提出其個別的隱私權及安全性上的考量，因為民眾無法看到或感受到RFID，而多數的RFID標籤也不記載著資料是何時、被何人所讀取入的。

28 美國的規範 2003年由隱私權保護團體所推動「2003年RFID受告知權法案」（RFID Right to Know Act of 2003），主張修正多項聯邦法令以規範RFID之應用 2004年由美國電子隱私資訊中心（Electronic Privacy Information Center, EPIC）提出一份關於消費者與私人企業使用RFID的綱領，建議使用RFID技術的私人企業應告知RFID的存在，並合理揭露使消費者了解RFID系統及資訊處理的本質。 2005年五月，由United States Government Accountability Office, GAO提出的『INFORMATON SECURITY: Radio Frequency Identification Technology in the Federal Government』，則要求美國聯邦政府正在或準備應用RFID單位，為確保其應用符合原訂目標，並提供資訊保全與隱私權上的保護

29 美國的規範 2006年二月七日，由IEEE-USA Board of Directors批准通過的『National Policies on the Deployment of Radio Frequency Identification (RFID) Technology』，則強調兩點： 開放性及穿透性：RFID系統當建立在開放性與穿透性的觀念下，私人企業或政府機關在使用或說明使用RFID技術時，須明確告知哪些資料會被蒐集、如何使用，而在RFID系統的每個階段，資料該是保留給所有權者。個人資料的隱私權是不變的且不應該被損及。然而，為了系統的開放性，RFID這項科技當結合安全性及隱私權下執行。 不同層級的保護：隨著RFID系統及於系統中所取得的資料不同，當有不同層級上的保護及安全性要求，整個系統中的硬體、軟體、附屬系統，應用標籤與RFID系統的環境及所在都必須符合安全性上的要求。

30 日本的規範 2004年六月八日，由日本MIC (前身為MPHPT)與Ministry of Economy, Trade and Industry (METI) 共同發展的『Guidelines for Privacy Protection with Regard to RFID Tags』已實行 文中有限定應用RFID標籤的範圍，包括應用RFID標籤的活動與產品，不過，截至目前，沒有強制約束力。

31 義大利的規範 2005年的三月九日由Italian Garante 提出『Safeguards Applying to the use of RFID devices』，針對RFID的Devices，義大利通過一項條款，不管是政府與私人企業必須符合資料保護原則，包括應用資訊的揭露、消費者的同意、特定應用的目的。 義大利同時也暫緩了某些具爭議的RFID應用，包括對員工或皮下植入RFID晶片等。

32 韓國的規範 由Ministry of Information & Communication (MIC)在2005年七月七所提的『RFID Privacy Protection Guideline』提案，已經完成，但，截至目前，還沒有實行。

33 台灣呢?