新版個資法通過,有沒有可能為雲端產業帶來另一波商機?
新版個資法將舉證責任轉嫁至企業身上,企業必須證明自身已善盡「善良管理人」責任,但什麼樣的文件或資料才能呈上法庭作為證物?數聯資安副總經理張裕敏認為,法官想知道的是企業如何做防護,因此,舉凡員工參加相關研討會的記錄、ISMS驗證、資安政策、使用哪些資安設備等,都是證據的一種。
還有,資安設備所產出的Log也可以當作呈堂證物,但必須注意證據力的問題。由於台灣對電子證據沒有法令規範,法官在處理電子證據時,通常會視證據提供者的身份來做判斷,如果有公正第三者做仲裁/舉證,多半會採信,換句話說,企業內部資安設備所產出的Log,與使用雲端服務、要求雲端廠商提供的Log,兩者相比,後者比較容易取信於法官。
張裕敏進一步解釋,雲端服務供應商同時服務很多個客戶,Log產出多集中在同一台機器,造假可能性比較低,但企業若是自行採購設備、Log產出在內部,法官比較不容易採信,另一方面,企業主夥同內部員工竄改記錄是件很容易的事,但要命令其他公司的工程師並不容易,所以在多數情況下,法官通常會採信雲端廠商所提供的Log,就好像中華電信提供的通聯記錄,法官多半不會懷疑其真實性的道理一樣。
由此看來,為了滿足新版個資法的舉證要求,為了讓舉證具備效力,很可能促使企業採用雲端服務,當然這不是絕對的答案,因為在雲端環境下採證,還有很多技術性問題要克服,例如:虛擬機器的採證方式、如何界定處理範圍等,此外,政府也應該建立電子證據的規範與標準,讓企業有遵循依據,才是最好的解決方式。