當個資法從今年10月1日正式實施後,不分何種產業別,包括公務與非公務機關,只要有蒐集、處理和利用各種電子和紙本個資,就必須承擔起更多的個資保護責任。但是,根據「iThome 個資法大調查」,其中企業因應個資法最困難的前三名分別是:缺乏可遵循的標準作法(68.6%);數位證據記錄、保存與舉證不易(45.8%)和法令動向不明(43.9%)。從第二困難的「數位證據記錄、保存與舉證不易」來看,企業接下來將開始關注「個資法的數位鑑識」的作法。

由於企業本身已經擁有當事人個資,依法也必須採行必要的安全措施,負起保護個資安全的責任。臺灣勤業眾信執行副總經理萬幼筠表示,首先,因應個資法第27條規定「防止個人資料遭受侵害」,以及施行細則第12條11款安全維護措施中規定的「使用紀錄、軌跡資料及證據保存」等,在在都證明,企業也必須有效保存數位證據,才能夠證明自身已經落實個資的保護。

其次,個資法採用「舉證責任倒置」的原理,也就是說,企業一旦遇到當事人提起相關的個資訴訟時,根據個資法第29條的規定,企業必須要能夠證明本身沒有故意或過失責任,否則,就要負起賠償的責任;加上第12條也規定,「若企業因違反個資法而導致個人資料被侵害,應查明後以適當方式通知當事人。」,企業依法,將難以隱匿個資外洩事件。

所以,萬幼筠說,企業除了要配合個資法保留「使用紀錄、軌跡資料及證據保存」作為證明外,為了讓這些數位證據可以做為未來企業面對法庭訴訟之用,在蒐證之初,就必須合乎數位鑑識的流程。

企業提供數位證據,仍應符合比例原則

萬幼筠表示,數位證據涵蓋範圍很廣,不只是各種網路、伺服器、資安設備、資料庫、作業系統或應用程式的Log(日誌檔),其他包括各種電子郵件、紙本或電子文件,或者是資料庫內容等,也都包含在數位證據的範圍內。

臺灣勤業眾信企業風險管理副理陳威棋進一步解釋,關鍵在於企業所舉證的證據與犯罪事實之間的關連性。就實務面來說,單一層面的Log檔案並無法清楚描述其一連串的個資外洩或其他犯罪行為,往往必須要將一系列的Log檔案以軌跡資料(Audit Trail)的角度來進行分析。

所以,他說,企業所提供的數位證據要包含行為面的軌跡紀錄(Log Files),或者是案件中數位資料本身(如電子郵件、紙本和數位文件及資料庫資料等檔)或紙本資料本身(如各業務流程中,相關簽核及核准之存取及授權紀錄)等。而這些紙本或數位檔案,都是企業因應個資法時,可以提供的證據內容之一。

前警政署資訊室主任李相臣表示,個資法規範的本意還是要促進個資的合理利用,依照個資法的規定,各種數位證據的提供,若能夠提供「足茲證明」的Log檔或許就足夠,但是,他說:「而這些Log檔除了要做到集中保管,並證明沒有被竄改外,還必須要具有來源IP、使用者在什麼時間,針對什麼檔案進行讀、寫、刪的行為,都必須完整記載清楚。」

除了足茲證明的Log檔外,李相臣表示:「根據個資法的精神,企業提供相關的數位證據時,還是必須要符合比例原則。」也就是說,企業依照公司規模大小不同,作法將有所不同。

他以個資法施行細則第12條規定的11項安全維護措施中,要保留的「使用紀錄、軌跡資料及證據保存」為例,十人的微型企業不見得有錢可以投資上百萬的專業日誌檔管理設備(Log Management),但大型的金控公司,不僅必須投資專業的日誌管理設備,連其餘細則規定的安全維護措施,都必須全部落實外,甚至還必須評估同業水準針對個資保護的程度才行。

數位證據必須符合「證據能力」和「證據力」

數位鑑識範疇較廣,因應個資法而提供的數位鑑識只是其中一環。但是,許多企業以往從來沒有聽過或了解數位鑑識,也分不清楚這和一般的資安事件調查(Incident Response,簡稱IR)有何不同?企業需要的究竟是一般的資安事件調查,還是必須因應個資法規範,提出數位鑑識做成呈堂證供。這其間的差異,則是企業在個資法施行之際,必須要進一步了解的內容資訊。

臺灣勤業眾信企業風險管理副理宋子莉表示,只要牽扯到「鑑識」這個名詞,就跟法律訴訟息息相關;而「數位鑑識」就是,透過嚴謹的科學技術和資訊科技,來調查和處理各種資訊系統設備相關的數位資料,並以數位型態的數位證據,作為未來進行法庭訴訟的呈堂證供之用。

因為牽涉到法律訴訟,所以數位證據蒐集過程必須非常嚴謹。臺灣勤業眾信企業風險管理協理曾韵表示,一般而言,民事訴訟上對於證據的要求,只需要兩造雙方,在形式上同意該證據的效力即可;但在刑事訴訟上,因為要判斷證據的真偽,整個蒐證的過程必須非常嚴謹。

調查局資通安全處電腦犯罪防制科調查官錢世傑指出,檢警調單位的數位鑑識往往因應刑事訴訟的案件,對於數位證據的「證據能力」以及「證據力」要求十分嚴謹,唯有先符合「證據能力」的數位證據,才能進一步到法庭檢視其「證據力」。

證據能力和證據力兩者的區別,錢世傑套句廣告用語來解釋,「用藥先講求不傷身體,再講究療效。」所謂的不傷身體就是,數位證據是否是在非脅迫、出於自由意志,並按照一定鑑識蒐集流程中所蒐集的數位證據;當蒐證程序合法後,就可以進一步細究其證據內容,對於該個資外洩或犯罪事實的佐證程度有多深。

他表示,由於蒐證的程序是否符合數位鑑識的原則,攸關該項數位證據是否可以作為法庭證據之用。這也是法律訴訟時,兩造雙方首先會提出質疑的環節。因此,如何讓數位證據的提出過程都具有證據能力,將會是企業因應個資法提出數位證據佐證時,其首要考慮的關鍵因素。

確保數位鑑識流程,符合法律規範

從今年個資法施行後,警政署資訊室巡官叢培侃發現,有不少企業,包括電信、銀行、網通和資安業者等,都開始派員參加數位鑑識的訓練課程,而這些人員上課的目的,就是希望能證明企業在落實個資保護的過程中,沒有故意或過失責任;而企業所保留的「使用紀錄、軌跡資料及證據保存」,也都合乎數位鑑識程序,未來都可以作為法庭證據之用。

叢培侃表示,不論是因為個資法或者是其他民刑事訴訟法,由檢警調提供的數位鑑識,都必須符合四大原則。首先,整個數位證據的蒐證過程,都必須符合可驗證性,也就是說,其他人員若按照蒐證人員宣稱的驗證程序,都可以得出相同的結果。

其次,數位證據蒐證時必須對所蒐集到的資料做完整性驗證,他說,最常見的方式就是,將蒐證時的數位證據,先記錄其雜湊值(Hash Value)於表單中,若法庭對於蒐證的數位證據有疑慮時,只要驗算出的雜湊值和原始記錄的值一致,就可以證明該數位證據並未被竄改。

第三點就是落實證物鏈監管。叢培侃指出,從蒐證現場到法庭的過程中,每一個蒐證和保管的過程環節,都必須清楚被記載在相關的表單中,確保蒐證的證物沒有被污染。

第四點則是最小更動原則。他表示,根據路卡交換原理(Locard's exchange principle),任何人、物只要進入了犯罪現場,必會帶走現場某些東西,也必然會留下某些東西,就是所謂的微物跡証之相互移轉。進行數位蒐證的過程中,鑑識人員必須遵守鑑識流程,非不得已,絕不任意變更電腦狀態,並讓電腦系統維持最小程度的變更。

他認為,企業可以參考警方執行數位鑑識的流程,內化成企業本身專門鑑識團隊的流程,或者是用來檢視委外數位鑑識團隊專業與否。而企業也必須意識到,假若整個數位鑑識流程無法滿足上述四大原則時,所採證的數位證據被法院採信的機會就比較低,可能變成白做工了。

相關報導請參考「IT 證據力」


Advertisement

更多 iThome相關內容