RFID管制規範之國際趨勢及其對於物流服務貿易之影響國立清華大學科技法律研究所副教授 彭心儀、研究所研究生李萬明
壹、技術與貿易:RFID在倉儲物流之應用 根據IBM 的研究指出,「射頻識別系統」(Radio Frequency Identification,簡稱RFID) 應用於物流服務業的助益主要可由三個面向進行了解:節省人事成本、確保物流的準確性以及縮短物流處理流程。在節省人事成本方面,在物流作業中,人力資源扮演非常重要的角色。舉例而言,將貨品包裝出貨前必須完整的檢驗、確認訂單,以求貨物的正確送達、滿足客戶要求。 顧客至上的服務模式之下,過去繁複的檢查程序相對提高人事成本,使用RFID 便可以有效降低此等檢驗成本。在確保物流的準確性方面,RFID可以省略傳統繁瑣的檢查、會計帳務處理作業。有別於過去費時費力的存貨盤點、帳務處理程序,RFID的運用可以精確掌握存貨的數量,提升物流管理的效率,於進貨、揀貨和出貨充分掌握物流的資訊。在縮短物流處理流程方面,RFID 可加速物流作業的處理速度,可更快地滿足進貨以及出貨,且即時回應客戶、供應商兩端的不同需求。然而,儘管RFID相關技術運用於物流服務業可以有效降低營運成本,在WTO經貿架構或其他國際經貿組織的規範下,RFID技術相關管制所可能違反的國際義務卻不容忽視。 貳、RFID多元應用及其引發之爭議 一、 無限寬廣的應用及其衍生之爭議 RFID被列為本世紀十大重要影響全球產業發展技術項目之一,此技術本身是利用IC及無線電來存放與傳遞辨識資料。根據美國市場顧問公司Allied Business intelligence, Inc..的市調,2002年RFID市場總值合計約為11.54億美元,且預估每年以22%速度快速成長。美國零售業Wal-Mart公司已於2005年1月起要求旗下前100大供應商開始採用RFID系統,2006年所有供應商全面適用。 然而RFID的運用以及發展,並不僅限於私部門。911事件後,美國國防部要求四萬餘軍備商於2005年導入RFID;海關/運輸部亦以RFID技術推動貨櫃安全計畫。RFID技術推展已為國際發展重要趨勢, RFID應用除已扮演國防安全、物流運輸、犯罪偵防之重要角色外,未來更將影響產業供應鏈、醫療生技等領域,影響層面日漸廣泛。 RFID係利用無線電的識別系統,在附著於人或物的IC晶片標籤和讀取機和控制器間進行通訊,實施必要的資料交換;前述資料可能包括位址資訊、產品特性、價格、購買日期等。業者可透過資料蒐集或比對得知消費者使用習慣;更甚者,業者可利用附有RFID標籤之產品追蹤使用者行徑。幾年前所發生的班尼頓事件(United Colors of Benetton,義大利服裝品牌,因行銷所需在衣服上運用RFID技術紀錄試穿次數引起消費者強烈抵制),至今仍為隱私議題的討論事例。 RFID 所引起的隱私權爭議,實務上的討論眾多。首先,透過RFID特殊的編碼來蒐集消費者的消費資訊,可能產生個人隱私權的侵害。再者,經由RFID蒐集的醫療資訊(如:病患的就醫記錄等),對資訊擁有者的隱私權亦產生嚴重侵害。然而,RFID在私部門運用可能產生的疑慮之外,於政府單位亦有類似的爭議。倘若執法人員透過RFID 等科技以非接觸式感應進行無法院命令之搜索,更是侵害個人隱私權。是以,無論私部門或政府單位運用RFID的技術之餘,應有一套依循的標準,方能避免前述可能衍生的爭議。各國也在確保人權的聲浪中,大多採取立法行動正面回應;是故,物流業者採用RFID技術時,為準確掌握瞬息萬變的商機,應知悉國際貿易相關辯論,進一步瞭解各國爭議問題及發展趨勢,以利國際營運的佈局。 二、國際立法例:美國為例 在美國「州」的層級,相關的立法例(含草案)計有California – Radio Frequency Identification Systems及Utah – Right to Know Act等案;在「聯邦」的層次更有 CASPIAN –RFID Right to Know Act of 2003及H.R. 4673 – Opt out of ID Chips Act 等探討。其中,Opt out of ID Chips Act立法要求自公布施行後六個月內,聯邦貿易委員會應制定行政規則,非有下列情況而販售附有RFID標籤產品者,該業者之販售行為視為不公平或欺罔行為。包括:(1) 告知該產品附有RFID標籤,且該標籤可用以追蹤產品並發送訊號;(2) 於消費者購買附有RFID標籤之產品時,告知其有權移除或使不能發送訊號;(3)於產品明顯處以明顯字體標示前述權利。 另外,RFID Right to Know Act of 2003主要的規範內容:(1)在產品上以明顯方式告知消費者該產品附有RFID標籤(尤其是藥品、酒類、香菸等);(2)政府應致力於制訂規則以確保個人資料的隱密性與完整性;(3)RFID的紀錄不得與個人資料相連結,或藉由該記錄間接得知個人資料。 三、RFID管制規範之國際趨勢-以歐盟為例 個人資料的傳輸,於現今的商業社會扮演相當重要的角色。一向注重基本人權的歐洲社會,為確立個人資料傳輸的過程中,完善妥切的保護措施,歐盟各會員國間多有嚴密程度不一的保護措施。自95/46/EC(1995)「隱私指令」發佈後,各國紛紛進行國內立法工作,確立個人資料保護的基本人權,調合會員國間不同管制密度,避免因為隱私保護標準的差異造成資料傳輸的困難或障礙,進而影響國際商業活動的進行。2001年新隱私指令持續帶動另一波國內法制變動。 2007年3月歐盟委員會宣布RFID工作小組的成立,該小組的成員包括消費者團體以及相關產業團體的代表,預期RFID小組將對電子隱私權議題的修正產生相當的影響。基於RFID無線傳輸的特性,外界預估供應鏈管理將有開創性的發展。歐盟資訊社會與媒體委員Viviane Reding指出,RFID的潛在市場驚人,預期歐洲RFID市場將從2006年的5億歐元產值,在10年內翻漲至70億歐元(14倍)。呼應前述RFID可能引起的爭議,Viviane Reding亦進一步表示RFID產業必須加倍注意隱私保護等法律議題。除了成立RFID工作小組之外,歐盟更積極地與日本、美國以及中國合作,企圖推動RFID的國際標準、創造隱私的技術標準。 再者,隱私指令第25.1條明文禁止跨境傳輸資料至未有「適當」保護個人資料的國家;然而,是否「適當」(Adequacy)係以歐盟的判斷為依據,在該指令的第25.6、26.1、26.2及26.4條,對於「適當」與否均有進一步之規定。然而,對於此等抽象的概念(是否「適當」),於現今的跨國界的服務貿易產生相當程度的影響,美國更多次公開針對歐盟的指令表達強烈意見,且聲稱不排除於WTO的架構之下進行協商,甚至提請爭端解決機構進行爭端解決。 然而,判斷是否適當的方法之一,便是經由特定國家的內國法制或該國所參與、簽署的國際條約作為判準(第25.6條參照)。是故,針對RFID等可能引發個人資料保護或隱私權保障的疑慮,未有妥切的加以處理之前,歐盟隱私指令的後續效應,對於國際貿易可能形成的障礙不容輕忽。顯見隱私相關爭議,不僅為基本人權的議題,更是從事國際商務活動的重要課題之一。 參、當「隱私保護」成為「服務貿易障礙」 一、歐盟與美國的不同立場 歐盟隱私指令所稱的「適當」,對於美國慣用的資料處理方式造成相當的衝擊;為了避免被拒於歐盟的貿易大門之外,美國政府在國內業者的壓力之下,不得不重新檢視其內國相關之規範。相較於美國業者傾向「產業自律」的個人資料保護手法,「安全港原則」存在的本身,除了彰顯歐盟與美國兩大貿易主體的妥協結果,更凸顯歐盟與美國於個人資料或隱私權保護的諸多歧見或文化差異。 「安全港原則」是歐美在此議題下談判、妥協後的產物,更是美國業者於接收、傳輸個人資料的遵行準則;在美國境內選擇加入「安全港原則」的業者,係為隱私指令中所宣稱的「適當」,歐盟便不得以「不適當」為由禁止相關資料跨界的傳輸。歐美協商後同意的「安全港原則」與歐盟內採行的隱私指令,兩者的保護層級存在相當之落差;相對地,歐盟對於其他WTO會員國堅持內國規範主權的同時,學者質疑歐盟給予美國的『優惠』措施恐有違反「最惠國待遇」原則;諷刺的是,美國國內亦有學者質疑安全港原則簡直構成「『超』國民待遇」。 2006年11月震撼金融界的SWIFT(Society for Worldwide Interbank Financial Telecommunication)案例,再次挑動歐盟與美國的敏感神經。SWIFT為跨國的銀行,總行設於歐盟境內,於傳輸個人資料受到歐盟隱私指令的規範;美國官方為偵防恐怖攻擊、避免不明資金的流動,以傳票要求SWIFT於美國的分行提供相關金融交易的訊息。此舉引起歐盟官方的強烈不滿,更進一步要求透過SWIFTNet FIN傳輸金融訊息的銀行組織與SWIFT負擔共同責任。然而,SWIFT案例撕毀歐美於「安全港原則」的太平假象,再次引爆兩個貿易主體的認知差異。類似歐盟、美國之間因管制密度所衍生的爭議層出不窮,究竟WTO的定位或角色扮演為何?抑或WTO協定是否針對相關爭議進行規範? 二、服務貿易之「技術標準」與「隱私例外條款」 在瞭解RFID可能引發隱私、個人資料保護的爭議之後,前述內容亦包含歐盟與美國兩大貿易主體在隱私、個人資料保護議題上的歧見與衝突;然而,RFID後續可能衍生的爭議問題,在WTO內括協定之中是否存在任何可能的解釋與解決方法? 服務貿易總協定(GATS)第六條第四項規定:「為確保有關資格要件、程序、技術標準及核照條件等措施,不致成為服務貿易不必要之障礙,服務貿易理事會應經由其設立之適當機構制訂必要規範。該規範尤其應確保上述措施係:(a)基於客觀及透明之標準,例如提供服務之資格及能力;(b)不得比確保服務品質所必要之要求更苛刻;(c)就核照程序本身而言,不得成為服務供給之限制」。是以,倘若以美國「產業自律」的觀點出發,美國針對歐盟隱私指令所要求的嚴苛標準,美國得否質疑歐盟的「技術標準」逾越「確保服務品質所必要之要求」?是否此等苛刻的「技術標準」,已成為服務貿易不必要之障礙?GATS第六條第五項規定:「(a)在會員已提出特定承諾之行業部門,於依照第4項所制訂之規範未生效前,該會員之核照、資格條件及技術標準之適用,不得以下列方式使該特定承諾失效或減損:(i)不符合第4項第(a)款、第(b)款或第(c)款規定之標準;且(ii)於該會員為該等行業提出特定承諾時,所無法合理預期者。(b)評估會員是否履行第5項第(a)款義務者,應考量該會員所適用相關國際組織之國際標準」。故WTO會員國不得以「確保服務品質所必要之要求更苛刻」的「技術標準」,進而使該特定承諾失效或減損。 然而倘若以歐盟的立場觀之,細查前述歐盟等隱私指令的立法,此內國措施於WTO架構之下可能正當化的基礎為GATS一般例外條款所規定之「本協定不得禁止會員為下列目的之所需,而採取或執行之措施;惟此等措施之適用方式,不得對一般條件類似的國家間形成武斷或不合理的歧視,或對服務貿易構成隱藏性之限制:…(c) 為確保與下列事項有關且不違反本協定規定之法律或命令之遵行所需者…(ii) 為保護與個人資料之處理及散佈有關之個人隱私及保護個人紀錄或帳目之隱密性」 (GATS第十四條(c)款(ii)目參照)。基本人權係為文明國家肯認的普世價值,且歐盟於人權的深耕有目共睹。透過GATS第十四條的主張,隱私指令的立法係為追求基本人權的保障、保護個人資料所必需,歐盟也許可以防禦隱私指令的正當性。 三、隱私保護與國際貿易 早在1980年9月經濟合作暨發展組織 (Organization for Economic Co-operation and Development, OECD)已認知跨境資料傳輸對於經濟的重大影響,在會員國要求的聲浪之中,就個人資料跨境傳輸提供相關的行為準則(註一) ,用以調和各國隱私法制的可能衝突。1981年歐盟的隱私指令(95/46/EC)以及2004年的亞太經合會(Asia Pacific Economic Cooperation, APEC)亦完成隱私的保護的架構(APEC Privacy Framework),以相關罪責防止個人資料誤用所產生的損害。 然而,隱私議題蔓延並沒有停歇,相關議題進一步延燒國際標準組織(International Standard Organization, ISO)。ISO曾指出「國際標準」的重要性,並強調倘若國際間對於新技術採用相同的國際標準,一方面消弭因為認知差異所形成的貿易障礙,對於服務貿易的發展實有正面之助益;另一方面因為國際標準的認可,更可以有效率促使該技術的廣泛使用。在這樣的邏輯之下,ISO於2006年2月開始著手討論研擬隱私的可能標準架構,除了正面回應隱私議題因疆界而產生的認知差異外,亦彰顯「隱私爭議」可能形成的貿易障礙,確立隱私問題於國際商務的重要地位(註二) 。隱私不再只是學術研究或憲法課題,它是國際貿易的議題且真實地影響著跨國界的商務活動。 肆、RFID管制對於物流服務貿易之影響 RFID於物流服務業的廣泛運用,有效降低業者的人力成本且確保物流的精確性與縮短處理速度,因而強化業者參與國際競爭的基礎。然而,一如本文前述的議題,RFID的應用可能涉及「隱私」的法律爭議,於跨國的商業活動中實在不容忽視。以美國為例,其國內於「聯邦」或「州」的層級,均有針對RFID的應用進行規範,大致規範內容為:(1) 「告知」該產品附有RFID標籤,且該標籤可用以追蹤產品並發送訊號;(2) 於消費者購買附有RFID標籤之產品時,「告知」其有權移除或使不能發送訊號;(3)於產品明顯處以明顯字體「標示」前述權利等;業者運用RFID時,理應履踐其「告知」、「標示」義務。 歐盟「隱私指令」所帶動之各國隱私法制、美國「安全港原則」的實施、我國「個人資料保護法」的修正等等,其主要目的均在於平衡商務與隱私二者之對立價值。在WTO規範架構下,隱私指令第25.1條是否逾越GATS第六條所提及之「確保服務品質所必要」?ISO所研擬之「隱私標準化」是否有助於建立「服務貿易技術標準」進而調和各國不同隱私保護標準所造成之貿易爭端?相關趨勢的發展有待後續觀察。 我國物流服務業者於運用RFID技術時應正視相關國際規範可能產生的衝擊。綜觀美國國內的立法例、歐盟隱私指令、OECD及APEC等重要貿易國或經貿組織,不難發現「隱私」議題逐漸成為服務貿易的一環。本文建議物流服務業者於國際商務的佈局與全球策略的構思中,充分掌握相關國際法制的發展趨勢,在追求物流營運效率之際,亦能留意各會員內國管制的精神。 註一,OECD Website, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, available at:http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html, final visited on 19 March 2007. |