因應個資法 為數位鑑識帶來的挑戰

數位鑑識的工作很多，不過由於新版的個資法要求企業自負舉證責任，從因應個資法的觀點來看，數位鑑識的事前準備工作會有一些事項變得重要。

首先從個資檔案安全維護計畫的標準草案內容來看，該條文訂定了11項適當安全維護措施，分別是：(1) 成立管理組織，配置相當資源。(2) 界定個人資料之範圍。(3) 個人資料之風險評估及管理機制。(4) 事故之預防、通報及應變機制。(5) 個人資料蒐集、處理及利用之內部管理程序。(6) 資料安全管理及人員管理。(7) 認知宣導及教育訓練。(8) 設備安全管理。(9) 資料安全稽核機制。(10) 必要之使用記錄、軌跡資料及證據之保存。(11) 個人資料安全維護之整體持續改善。除了針對前述11點內容做比較詳細的規範，還納入母法中有關個資的蒐集／處理／利用的規定，以及委外管理的要求，提供給業者做為法規遵循及個資保護的參考。（詳細可參考本刊<11項適當安全維護措施>）其中，第8、9、10項的做法，像是對使用記錄、證據保存等，最與數位鑑識的處理息息相關。

因應個資法　企業該留哪些記錄？

根據新版個資法29條，個資事件發生時，企業若能舉證證明自身無故意或過失，就不必擔負損害賠償責任，但，企業該如何提出證據？日常作業中，哪些資訊必須被保留，才能在日後證明自身已善盡善良管理人義務、個資事件實乃非戰之罪？這是現今企業最關注的課題之一。我們可以從目前的「無店面零售業個人資料檔案安全維護計畫」標準草案來看，企業必須留存的記錄共有3種：個資管理程序、委外管理、及安全維護措施。

一、 執行個資管理程序所需留下的記錄：
1. 個資當事人行使權利：新版個資法賦予個資當事人以下5種權利：查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集／處理或利用、請求刪除，企業提供當事人行使權利的方式，以及當事人行使權利的狀況，都應有相關記錄留存。
2. 資料更正：企業必須定期檢查個人資料的正確性，倘若發現有誤應適時更正或補充，並保留相關記錄。
3. 資料刪除：企業蒐集個資的特定目的消失或已屆滿保存期限時，應主動或依當事人請求刪除、停止處理或利用該個人資料，並保留刪除的記錄。

二、 執行委外管理所需留下的記錄
企業委託他人蒐集、處理或利用個人資料時，必須制定適當地監督管理程序，如：確認委外的個資範圍／類別／特定目的、確認委外期間、確認受託人是否將業務再委外（若有，則需進一步確認廠商名稱）、要求受託人採取必要安全措施、委外契約終止時的資料銷毀…等，企業應定期檢查或稽核委外業者落實狀況並留下記錄。

三、 導入個資安全維護措施所需留下的記錄
1. 個資事件發生時，也就是個資被竊取、竄改、毀損、滅失、或洩漏時，企業所採取的應變措施，及通知當事人的情形。
2. 針對有權接觸個人資料的員工，所設定的權限控管及身份認證機制。
3. 儲存個人資料的載具，在報廢或移轉給他人前，所做的刪除或銷毀的動作。
4. 針對個人資料相關的系統，所做的權限設定及控管機制。
5. 為降低惡意程式與系統漏洞風險，所採取的適當安全措施。
6. 企業透過電腦、相關設備或系統來蒐集、處理或利用個人資料，必須定期檢查其安全性、使用狀況及個資存取情形。
7. 企業針對相關員工所提供的認知宣導與教育訓練。
8. 定期檢查與稽核個資保護管理計畫的落實狀況。
9. 個資保護計畫持續改善或變更的情形。

不過，草案雖然指出哪些資訊應該要留存記錄，卻沒有說明這些記錄應該要保存多久？3年、5年、或是更久？年限愈長，資料量就愈多，企業對儲存容量的需求也將隨之成長，勢必得重新規劃與投資儲存設備，目前無論新版個資法或施行細則草案，都沒有提到記錄的保存期限，只是未來母法或施行細則若有相關規範，就會重新修正遵循母法規範。對此，法務部科長黃荷婷認為，記錄保存年限與產業特性及企業資源豐富度有關，很難於母法或施行細則中制定統一規範。現已於新版個資法施行草案第六條規定，若為事後查核、比對或證明之需要而留存軌跡者，得不予刪除，避免企業因當事人要求刪除導致證據無法保全的風險，至於留存年限，若目的事業主管機關沒有強制規範，企業只能盡力而為，視自身能力所及來保全證據。

因應個資法重點：Log的留存處理

這也使得Log留存也變成在數位鑑識的前置準備重要課題，即使Log有可能因為不可否認性無法成為呈堂證物，但至少企業可以透過Log抽絲剝繭、還原事發真相。因此企業最好能建置記錄伺服器，將Log集中管控，不要存放在與原始AP/系統相同的主機裡，資策會專案支援處技術總監侯猷珉建議，這樣一來可以避免駭客竊取資料時一併取走Log，二來則是有效管控個資接觸者的身份。有些Log會夾帶個人資訊，如果放在原始主機裡，反而會讓一些沒有權限接觸個資的人（如：系統管理員…），藉著職務之便檢視客戶個資，所以要將Log集中控管，並刪除原始主機裡的Log資訊，從而限縮個資接觸者的範圍，避免讓沒有權限的人接觸個資。另外一種Log的處理做法則是在設計AP時，直接將Log依種類區分，舉例來說，與系統有關的Log（如：系統當機、硬碟故障…等），除了傳送到Log Server之外，在原始主機也可以保留一份，以便系統管理人員日後進行維護作業，至於與個資相關的Log（如：個資更正記錄…等），則要傳送到Log Server統一控管，並避免保留在原始主機裡。

以及，企業對於記錄伺服器的建置，有一些工具可以用，所以直接採購LM設備或是自建都可以。只是要注意Log Server模式，各有不同優缺點，茲分述如下：

一、 資料庫模式：倘若企業希望Log能做加值應用，可選擇此模式。好處是有良好的Log管控，依照不同記錄來源主機，設定不同角色，可以設定某些角色只能新增資料。不過壞處是，如果權限管控不佳，或是被有人心士知道資料庫管理者密碼，就會有資料遭到竄改或遺失的風險。

二、Syslog模式：單純地保存Log，雖然加值應用空間不大，但安全性較高。好處是可以透過網路把Log送到Syslog通訊埠，安全等級也較高，幾乎不存在修改既有記錄的可能性。不過由於Log管控功能差，所有能夠連到Syslog服務通訊埠的系統/AP都可以傳送資料。因此，企業需配合SSL通道與憑證做權限管控，也就是說只有擁有憑證的主機方，才可以進入通道傳送Log。

最後，侯猷珉強調，記錄伺服器的功能在於接收各個系統/AP的Log，屬於資產的一種，相關的保護措施自然不能少（見下表），惟有確保Log的機密性、完整性與可用性，才能在發生資安事件時發揮功效。

在企業因應新版個資法的重點有二，其一是強化個資保護能力，其二則是做好舉證準備，前者可以說是原本資安防護會涵蓋到的一塊，也需要長時間來執行、評估、教育訓練等，才能看得到成效。但對於記錄的留存來說，只要思考上述所提到關於留存記錄的一些做法，審視有哪些做法已經存在於現行作業環境裡，像是開啟原本關閉的系統Log功能，之後再逐步的強化、擴充記錄留存的廣度與深度。

做好事前準備工作  才有成功數位鑑識搜證 

最後要談的是如何成功舉證、蒐證。目前很多資安設備都有提供Log與稽核的功能，如：電子郵件稽核、資料庫安全稽核(DAM)、日誌管理(LM)、網站應用程式防火牆(WAF)、資安事件管理平台(SIEM)…等，可幫助企業滿足上述部份的舉證需求， 中央警察大學資訊管理學系教授吳國清也提醒企業，企業日常執行個資保護計畫時，最好能產出實體報表並呈報總經理簽核，千萬不能只有電子檔，因為電子資料容易被假造或竄改，證據力較為薄弱，企業呈上的證物倘若不具證據效力，形同變項地在浪費資源。

國外的專業電腦鑑識公司林立，從英美等國的經驗來看，企業會先尋求律師的協助，透過律師代為尋找專業的電腦鑑識公司進行證據保全與資料還原。國巨管理顧問公司數位鑑識技術長鍾文魁也建議，企業要設法確保證據統一性，也就是原始證物和呈上法庭的證物要一致，如此才具備不可否認性，否則就會成為無效證據。

而數位鑑識和傳統鑑識最大的不同點在於，數位證據容易被破壞與污染，不易證實其來源及完整性。在傳統鑑識中，刑案現場會在第一時間拉起封鎖線，確保現場不會被破壞，直到鑑識人員搜證結束為止，然而，數位鑑識卻經常面臨不完整的犯罪現場，因為資安事件的發生往往於無形之中，企業很難在第一時間就發現。台灣微軟資安專案經理林宏嘉便曾指出，遇過一名客戶連續5年處於個資外洩的狀態下，自身卻渾然不知，直到微軟介入調查後才發現，換句話說，當企業發覺系統異常時，資安事件往往已經發生一段時間了，證物不是被破壞就是被刪除，增加鑑識作業的難度。協科資訊協理張英傑表示，之前曾遇過企業，在資料外洩事件發生3個月到半年後，才開始想找數位鑑識人員搜證、準備打官司，然而，此時的行為軌跡都是事發後所留下，不是事發當時的狀況，鑑識人員又怎麼能拚湊出事件原貌？

別白費功夫  保存證據當完整

企業日常作業中除了留存數位證據外，還要避免被破壞或污染，確保數位證物的不可否認性。刑法第155條明確規範證據的效力，企業要設法確保證據統一性，也就是原始證物和呈上法庭的證物要一致，如此才具備不可否認性，否則就會成為無效證據，其做法有：

第一，加密保存。證物保存的前提是不要讓它被破壞，最常見的作法是利用MD5、電子簽章等加密技術，將證物封存起來。

再來就是，可以選擇通過認證的工具。在美國，只要使用通過法院認證的數位鑑識工具，其所取得的數位證據具備效力，法官通常都會採信，然而台灣目前並沒有類似的認證機制，中央警察大學資訊管理學系教授吳國清認為，政府應該推動此類認證或標準，明確賦予取得認證資安設備的證據力，換言之，惟有通過認證的資安設備所產出的Log檔才具備效力，足以做為未來上法院的呈堂證供，另一方面，也可做為法官是否要採信證據的標準。目前，許多LM/SIEM廠商宣稱其產品可滿足企業未來舉證要求，鍾文魁提醒企業，若是為了舉證來採購此類資安設備，必須向廠商確認是否能證明統一性，也就是說，廠商要能證明其所保存的Log具備統一性，才可做為未來訴訟的證物。

最後是確保儲存媒體的乾淨。企業在留存數位證據時，還要注意儲存媒體是否夠乾淨，不可殘留其他內容，以免日後被質疑證物遭污染。吳國清指出，企業在儲存數位證物時沒有標準的做法，可能燒錄成光碟，也可能將硬碟清空後再將資料存放進去，但Windows作業系統在設計時考量到效能問題，即便按下了螢幕上的「刪除鍵」、或是清空資源回收桶，也不代表資料就不在硬碟裡，只是螢幕上不會顯示罷了，除非使用徹底清除軟體，才能確保這顆硬碟的資料已經被清空。