RFID 應用愈來愈生活化，從捷運悠遊卡、大樓門禁進出管理、連鎖商店會員卡、飯店房卡等，都可看到 RFID 晶片的身影，其體積雖小，所記載的個人資訊卻不少，企業在享受 RFID 應用便利性的同時，該如何兼顧消費者隱私安全？歐盟在 2011 年初提出 PIA 架構草案，明確指出 RFID 應用兼顧隱私保護的作法。

日前，經濟部技術處主辦的《非誠勿擾》法制研討會上，資策會科法所研究員廖淑君表示，歐盟在 2011 年初提出 PIA 架構草案，此乃針對 RFID 應用而設計的隱私與資料保護衝擊評估架構，並於同年 4 月，促成歐盟執委會、產業社會團體、隱私保護團體等皆簽署協議，由於 RFID 應用客製化程度相當高，很難透過法律強制規範，所以 PIA 不是法規而是參考指引，一份引導企業保護個人資料的作業方針。

廖淑君進一步指出， PIA 分成兩階段，第一階段初始分析（請見下表），評估 RFID 應用是否會涉及個資隱私，及需要做到哪一個程度。 PIA 從 Level 0~3 共有 4 個階段， Level 0 代表 RFID 應用與個人資料無關，不需進行 PIA 評估分析， Level 1 則需做小規模的 PIA 分析， Level 2~3 則要做完整的 PIA 分析。

第二階段則是風險評估分析，分析 RFID 應用可能有的個資風險，並將結果製成 PIA 報告，報告中必須涵蓋以下 4 點內容：

1、 RFID 應用內容與特性說明：確認 RFID 應用範圍及未來可能的擴充性；

2、 風險確認與評：，評估 RFID 應用的隱私衝擊風險；

3、 控制措施研擬與確認：即透過技術性或管理性的控制措施（如：晶片加密），降低風險；

4、 決議做成與殘餘風險確認及說明。

類似 RFID 的新興科技愈來愈盛行，企業在應用的同時，也必須負起社會責任，為民眾個資隱私把關，在科技便利性與隱私保護間取得平衡。

圖片來源: 科法所，《資安人》整理，2011/10。

資料來源: 資安人/作者廖珮君 2011/10/11