RFID技术中的隐私问题

RFID技术已经在人们的工作生活中发挥了重要作用，是物联网技术中非常有特色的一项。但是关于RFID安全与隐私的讨论一直在持续，本文介绍了NIST SP 800-98报告中关于RFID隐私保护的部分内容，供大家参考。

2007年4月，美国标准化研究院发布了编号为SP 800-98的报告^[1]，该报告名为《射频识别系统安全指南》。报告认为，在企业的安全网络防护体系中，隐私和安全问题常常相关联，他们不可以单独讨论，但报告更加关注RFID的隐私问题。例如，保护隐私通常需要一些和数据保密性相关的安全控制技术。本文首先介绍个人隐私的类型，然后介绍隐私问题对RFID系统的适应性。

1、个人信息的类型

图1是个人信息的分类。如图所示，这些个人信息分为可以区分个人的信息，以及没有区分性的信息。可以区分的个人信息是联邦隐私法明确指出的，不可区分的个人信息是联邦隐私法没有指出的。

图1 个人信息的分类

从隐私保护的角度看，当前处理的信息是否可以识别个人身份信息对隐私保护是极其关键的。个人身份信息（PII，personally identifiable information）是指那些可以唯一的标识、定位或联系个人的信息。例如，姓名、社会保险号、护照号、金融账号、信用卡号、指纹等生物特征被认为是PII的数据元素。而年龄、性别、居住城市、宗教信仰等可以被多个人共享的特征不是个人身份信息。

此外，有的时候多个无法唯一标识个人的非个人身份信息组合在一起时，也可以唯一的标识一个人。例如，一个家庭要雇佣一名居住在弗吉尼亚州罗阿诺克的39岁女性。在这种情况下，雇主、年龄、性别和居住城市本身并不是PII元素，但组合在一起时就成为PII。这种组合式PII形态称为间接推理（Indirect Inference）得到的PII。反之，不需要组合，一个数据元素就是PII的形态称为直接推理（Direct Inference）PII，驾照号码就是直接推理PII。

一般来说，联邦隐私法管理的对象是直接推理PII与间接推理PII。但是，隐私考虑的范围并不限于法律要求的范围。例如，如果有人带着RFID读写器通过远程扫描包、钱包或身上的各种带标签的物品，就能确定他们正在阅读的书或正在服用的药物。虽然这种方式无法确定书籍或药物携带者的身份，但人们仍然会感觉到隐私的丧失。人们可以匿名，但无法控制随身携带的RFID标签向他人泄露自己的个人信息。为了解决这类问题，RFID系统在设计时就应该考虑到这些场景将引发的相关风险。

2、隐私问题对RFID系统的适用性

RFID系统可以支持多种业务，但并非所有的业务都涉及个人隐私问题。如物流供应链管理、动物跟踪、资产管理系统等，其中的资产在整个生命周期中从未与个人相关联。只有当系统使用、收集、存储或公开个人信息时，才需要考虑隐私方面的问题。RFID系统可能通过以下几种方式泄露个人信息，对个人隐私安全造成威胁：

• 姓名或帐号等的个人信息存储在RFID标签中或存储在企业低级系统的数据库中。

• RFID标签可能与个人物品相关联，如血样、处方药或未妥善处理、失控的过期法律文件、文件夹等。

• RFID标签可能与随人一起移动的物品相关联，例如贴过RFID标签的盒子或个人经常驾驶的汽车或卡车上的车辆部件。

不在RFID系统中存储个人信息可以在一定程度上保护隐私。例如，处方药瓶子上的RFID标签仅用于识别瓶子里的药物，但不能识别服药人的身份。但是，服用该药的人如果在携带药瓶的过程中被他人用RFID扫描，“此人拥有该药”仍然是个人信息，因为它可能揭示出此人隐私的医疗状况信息。

此外，个人不需要拥有RFID系统的标签也可以产生隐私问题。例如，如果一名员工携带带有雇主RFID标签的计算机或工具，那么RFID技术可能被用来跟踪该员工的行踪，如定位员工下班后的位置，从而获取员工的个人信息。

虽然隐私和PII的概念并不新鲜，但RFID为隐私问题带来了新的复杂性。例如，RFID技术增加了通过间接方式创建PII的可能性。RFID技术为一些物品、人员的管理带来了前所未有的便利，在日常生活中的应用将日益增加。加上RFID系统强大的存储能力，使得信息越来越详细，为组合数据元素生成PII创造了新的机会。互联网搜索和数据挖掘软件的进步也将有助于从大量以前可能被认为不相关的数据中获取PII。即使标签本身没有记录和存储PII，也能通过日益强大的技术间接获取到PII。

RFID标签的几个固有特性使得隐私控制的实施比传统的信息技术系统更加困难。当组织无法同时进行有效的安全控制时，可能会面临强制执行隐私策略的挑战。与大多数传统IT系统所依赖的有线系统相比，无线通信更容易受到窃听和其他攻击。在许多应用中，RFID标签会经常出现在公共区域，这就意味着它们无法从通常提供给大多数传统IT系统的物理安全措施中获益。一般来说，RFID计算资源有限，无法实现复杂的技术控制。虽然已有许多技术可以减轻这些安全和隐私风险，但RFID标签往往因为经济原因限制了这类功能。传统的IT系统有完善的策略和程序来保存和销毁数据，但RFID标签更具有流动性，一旦不在所属系统的控制范围内，销毁和禁用他们会非常困难。

随着物联网事业的飞速发展，RFID技术作为物联网最底层的感知技术也得到了飞速发展。但是由于RFID系统开放式的应用环境以及标签的流动性，使得RFID系统较传统的IT系统面临更多的隐私问题。

参考文献

[1] NIST SP800-98 Guidelines for Securing Radio Frequency Identification (RFID) Systems [S].2007.

作者：冯越

声明：本文来自中国保密协会科学技术分会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。