RFID安全議題 建國科技大學 資管系 饒瑞佶.

Presentation on theme: "RFID安全議題 建國科技大學 資管系 饒瑞佶."— Presentation transcript:

1 RFID安全議題 建國科技大學 資管系 饒瑞佶

2 從行動電話談起 I 台灣GSM 900 MHz, 1800 MHz 對於行動電話的安全顧慮，包括潛在的健康風險或整個運作環境的使用安全性。
目前沒有相關直接證據能證明這些低功率設備，可能會對使用者或一般大眾造成任何健康風險。

3 從行動電話談起 II 電磁波強度比較表 PHS GSM GPRS 基地台發射功率 500毫瓦 20,000毫瓦 >=GSM
基地台涵蓋半徑 2公里以下 數十公里 手機發射功率 < 10 毫瓦 毫瓦 PHS的手機發射功率相當低(只有10毫瓦)，是GSM的1/60至1/100 對人體電磁波的傷害相對降低許多 基地台發射功率也不大(只有500毫瓦)，是GSM基地台的1/40，意味著它要設置的基地台要比GSM更密集 基於成本及使用率的考量，PHS基地台的架設會集中在人口密集地區，所以若你想在山區或人口稀少的地區收訊，可能還是得搭配GSM系統使用

4 從行動電話談起 III 僅有極少數研究直接提及WLAN 設備的影響
WLAN 與RFID 標籤的發射功率，低於一般行動電話的RF 發射功率。因此，任何關於行動電話設備安全性的研究結果，都可套用於WLAN 或RFID 設備。 一般WLAN 的RF 發射功率，都在世界衛生組織（World Health Organization；WHO）所規定的安全發射功率標準值之內。 目前台灣對於電磁波的標準建議值最高是1毫瓦／平方公分；國際對電磁場（波）管制標準多依國際非游離輻射防護委員會（ICNIRP），無線網路發射台電磁波環境建議值是「每平方公尺十瓦」(每平方公分0.0002毫瓦 )

5 部份研究顯示 低功率無線設備迄今並未造成任何健康風險
低功率無線設備如WLAN 網卡、存取點(AP)或RFID 標籤，是否會造成任何健康威脅？ 根據現有證據顯示，低功率無線應用與健康議題之間，並無明確關聯。

6 研究行動電話設備的使用不會造成健康風險 服務於美國的國際流行病學研究所（International Epidemiology Institute）的John D. Boice,Jr 博士與Joseph K. McLaughlin 博士，在2002 年9 月為瑞典輻射防護局（Swedish Radiation Protection Authority）所撰寫的報告 由毒害與環境科學委員會（Scientific Committee on Toxicity, Ecotosicity, and the Environment）呈交給歐盟執委會（European Commission）的報告，名為「電磁、無線射頻與微波射頻對人體健康潛在影響之論（Opioion on Possible Effects of Electromagnetic Fields, Radio Frequency Fields, and Microwave Radiation on Human Health）」

7 但是 也有研究顯示電磁波會對人體造成的影響

8 電磁波對人體的危害I 電磁波的危害會讓人感到身體疲勞、眼睛疲倦、肩痛、頭痛、想睡、不安，這些都是受了電磁波的影響。電磁波還會使人的免疫機能下降、人體中的鈣質減少，並引致異常生產、流產、視覺障礙、阻礙細胞分裂如癌、白血病、腦腫瘤...等。 電磁波會散發出一種擾亂人體狀態的正離子。 摘錄自科技圖書出版 環境科學基本叢書 之 環境物理 環境醫學

9 電磁波對人體的危害II 對中樞神經系統的危害 對機體免疫功能的危害 對心血管系統的影響 對血液系統的影響 對生殖系統和遺傳的影響
對視覺系統的影響 電磁輻射的致癌和致癌作用 摘錄自科技圖書出版 環境科學基本叢書 之 環境物理 環境醫學

10 RFID隱私權議題

11 什麼是隱私權？ 民法中人格權所保障的一種 1965年，美國聯邦最高法院才第一次將隱私權納入憲法之保障中
隱私權的概念實在非常廣泛，於不同的情況下會有不同之意義。

12 隱私權 個人資訊之取得及揭露 人身遷徙及居住之自由 人對於自身財產事務之控制
指個人之自我決定權利，如婦女墮胎之自我決定權被歸類為憲法上所保障之隱私權。 隱私權包括個人資訊、身體、財產或是自我決定等部分，簡單的說，就是個人資訊的自我決定權。

13 個人資訊隱私權 個人資訊隱私權之保護，係指政府、私人機構或是個人，取得或是散布該自然人個人資訊之管理與限制。
個人資訊係指依據某特定資訊，可辨識出該個人或是該個人之私人活動。 個人資訊被認為係隱私權之一部分，係因將個人資料蒐集之後，可以知悉該個人之活動及該個人之喜好。

14 RFID侵害隱私權？ RFID相關讀取技術在讀取資料的同時：
暴露消費者的資訊，甚至侵犯消費者其他私領域行為，諸如行程、地點等。 未妥善處理物品上的RFID，舉凡衣服、食品、汽車甚至垃圾等，都會不經意透露出個人相關資訊。

15 RFID侵害隱私權？ 目前發展之RFID技術，對於個人的私密物品與採購等一般消費情形的隱私權，已足以讓大眾產生疑慮。
未來更可能使用在證照或身分證件等方面，資料曝光的危險性相形更高。 隨之而來如駭客或是政府的監視，也都影響到每一個人民的權益。

16 RFID vs. 隱私權 RFID記載之資料是否足使特定人的個人資料有揭露的危險？ 根據RFID蒐集而得之資訊是否需當事人同意？

17 RFID記載之資料是否足使特定人的個人資料有揭露的危險？

18 幾個問題 下列資訊是否屬於個人資料? 就診紀錄、病史及使用藥物資訊 消費記錄與消費地點 使用紀錄
產品離開消費場所或進入私人場域時，RFID是否可以持續追蹤並定位? 使用紀錄 關於消費者購買產品時之購物品牌、種類、金額、購買地點及日期是否屬於特定人之個人資料? 該資訊通常無法足資識別該個人之資料，但經蒐集整理分析後，可能歸納出個人購物特性及習慣，此類尚有爭議

19 新式(RFID)信用卡會洩密個人資訊 麻州大學（University of Massachusetts）、RSA 信息安全公司以及Innealta公司的研究結果 研究人員收集了美國三大付費協會和幾家大的信用卡公司發行的20多種信用卡，使用一個經過修改的商業用RFID掃瞄器進行測試，他們發現大多數的信用卡會洩露名字、卡號和有效期限的資料。 Visa公司的發言人表示，該公司的非觸碰式信用卡網路採用加密技術核對每項交易，可以防範一些詐欺案件的發生。但是，這不能保護信用卡的用戶名和卡號被盜。 <文章轉自>

20 怎樣識別你的信用卡是否使用了RFID？ 使用RFID的信用卡中，有的可以看到存儲信用卡資料的微晶片，但有的看不到。Visa公司的「非觸碰式」信用卡有個標識：在卡的正面或反面有四條垂直的波狀條紋。 最好是給你的信用卡公司打電話，你可以要求一張沒有RFID的信用卡。 你也可採用「法拉第屏蔽筒（Faraday cage，由金屬線或金屬套製作）」來阻隔RFID信號，網絡上有銷售法拉第屏蔽筒。 麻州大學的一位研究人員表示，目前看來，利用RFID竊密信用卡資料的風險還不太高。因為研究人員利用了他們的專業技能修改了 商業用RFID掃瞄器，才能讀取「非觸碰式」信用卡上的信息，身份證竊賊還沒有這樣的技術。 RFID掃瞄器必須離信用卡很近，一般都短於六英吋，這也增加了盜竊資料的難度。 <文章轉自>

21 根據RFID蒐集資訊是否需當事人同意？ 目前產品上之RFID均可為蒐集資訊使用，毋需當事人同意，如超市結帳台得藉由RFID蒐集消費者購買產品時之購物品牌、種類、金額、購買地點及日期等資料 但，如門禁資料、追蹤管理等用途時，此等紀錄之保存及使用政策，應公告使用人周知為當。

22 第三人有無利用或攔截RFID資料之權利？
應以肯定為主，蓋RFID使用人使用RFID時，應已考慮RFID記載資料公開傳輸之特性，並有期待他人使用之可能性 但此等資料是否需取得當事人同意？ 應視是否屬於個人資料而定。

23 RFID記載之資料屬於何人所有？ RFID記載資料之所有權在RFID使用人使用區域，應屬於RFID使用人所有
但產品移轉所有權時，RFID記載資料應屬於消費者所有，並有自行刪除RFID記載資料之權利如Wal-Mart就準備廣發手冊告訴消費者，只要結完帳，就可以撕下標籤 除前述情形以外，需視RFID之用途及特別約定。

24 如何解決RFID侵害隱私的疑慮？ 科技面的解決方式 法律面的解決方式

25 科技面的解決方式 為消除各界對於RFID可能侵害隱私權之疑慮，Wal-Mart已宣稱未來應用RFID時，在消費者步出消費場所後即「失去效用」
業者已大致發展出「選擇取消」（Opt-out）模式、「銷毀」（kill）模式、「休眠」（sleep）模式或「干擾」模式，但各有利弊，且無法完全防堵隱私權受侵害之疑慮。

26 法律面的解決方式 部分美國隱私權保護相關團體及消費者團體已發起抵制使用RFID行動
CASPIAN(Consumers Against Supermarket Privacy Invasion and Numbering，美國消費者反超市侵犯隱私組織 )等，甚至於2003年推動「2003年RFID受告知權法案」（RFID Right to Know Act of 2003） 美國電子隱私資訊中心（Electronic Privacy Information Center, EPIC）於2004年6月提出一份關於消費者與私人企業使用RFID的綱領

27 台灣的相關法案I 憲法中，雖無保障隱私權之具體明文，但憲法第十條：「人民有居住及遷徒之自由。」、第十二條：「人民有秘密通訊之自由。」、第十三條：「人民有信仰宗教之自由。」、第十四條：「人民有集會及結社之自由。」、第十五條：「人民之生存權、工作權及財產權，應予保障。」等結合自由及生存權，均與隱私有關 第二二條：「凡人民之其他自由及權利，不妨害社會秩序公共利益者，均受憲法之保障。」 第二三條：「以上各條列舉之自由權利，除為防止防礙他人自由、避免緊急危難、維持社會秩序或增進公共利益所必要者外，不得以法律限制之。」

28 台灣的相關法案II 民法第一九五條規定：「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額。其名譽被侵害者，並得請求回復名譽之適當處分。 刑法第二編分則中，第二六章妨害自由罪及第二八章妨害秘密罪兩章，有隱私權相關之規範。

29 台灣的相關法案III 通訊保障及監察法 電腦處理個人資料保護法
所謂個人資料於第三條第一款規定係指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。 電信法 第六條乃關於通信秘密之保護規定：「電信事業及專用電信處理之通信，他人不得盜接、盜錄或以其他非法之方法侵犯其秘密。

30 台灣的相關法案IV 醫療法 第四九條規定：「醫療機構及其人員因業務而知悉或持有他人之秘密，不得無故洩露。」乃保障病人隱私權益。 郵政法
第十條規定：「中華郵政公司或其服務人員，不得開拆他人之郵件。

31 目前共識是使用RFID時 應告知RFID的存在 在產品銷售完成後即應關閉RFID，除非因個人需要，否則應使之永久失去效用
應指定專人遵守這些綱領

32 消費者權利 有權獲取透過RFID蒐集包含個人資訊的所有資訊，並有權更正 有權移除RFID標籤