https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

認識數位證據的蒐集 一「紙」電子郵件怎麼當證據!

2010 / 05 / 10
錢世傑
認識數位證據的蒐集  一「紙」電子郵件怎麼當證據!

案例情境描述

曉明剛當上外商甲銀行台灣分行的總經理,正感覺到意氣風發之際,突然電腦傳來叮咚一聲,曉明心想一定又是客戶寄訂單過來了,欣喜若狂地打開電子郵件,居然是謾罵自己的一封信件,內容如下:

親愛的甲銀行同事:

這裡要告訴各位一個事實,曉明是靠著女人的關係,才順利空降成為本分行的經理。他坐領高薪,卻對本分行沒有半點貢獻。而且,對外接受媒體採訪時,居然還大肆批評銀行的其他員工。現在又準備解雇那些反對他的員工,而你可能就是下一位!請大家用力轉寄這封信,別讓他太過分……

 

查證過程

曉明看完信的內容實在是非常氣憤,心想自己是靠多年的努力才被挖角到這間公司,信件內容充滿詆毀之意。曉明看了一下信件的寄件者,發現居然是投資部經理錦輝,一氣之下,就把email印了出來,然後拿去質問錦輝。錦輝看完信件後,也是一頭霧水,趕緊向總經理解釋並非他所寄的信件,可能是有人冒用他的名義寄送電子郵件。經過曉明與錦輝兩人的研究後,覺得很可能是因工作表現不佳而被革職的志玲所為。經兩人向檢察官檢舉,並經多日偵查後發現,寄件者的信箱申請時的IP來自於政治大學,而志玲正在政治大學攻讀EMBA,經向政治大學了解該IP的使用者時,果然是志玲所申請的電子信箱,遂將志玲以誹謗罪起訴。

 

法庭攻防

曉明等提出告訴的一方,本來認為事證明確而勝券在握,正義終於能夠彰顯。可是在法庭的審判中,質疑曉明僅提出一紙email,要求他應該要提出原始的檔案,否則很有可能是為了誣陷入罪而製作的假email,曉明沒料到對方會來個回馬槍,趕緊回公司找檔案,才發現事發後公司內的系統重灌,原始檔案早就已經被刪除,無法再提出原始檔案加以證明。志玲於是主張email是曉明所偽造的,不能作為證據。曉明則再提出證明說,該封email的申請人就是志玲,志玲則反駁表示該email雖然是他所申請,但並沒有寄送email給曉明。由於ISP業者也沒辦法證明這封信是否由該email帳號所寄出,所以,志玲最後即因證據不足而獲判決無罪。

 

不止國內曾發生多起類似事件,國外也曾因為電子郵件而引發喧然大波,如近來日本所發生的「堀江電郵事件」。

 

本起事件起源自日本網路公司「活力門」(Livedoor)涉嫌與執政黨金權掛鉤,民主黨眾議員永田壽康提出一封記者轉寄給他的電子郵件,信中指出:Livedoor前社長堀江貴文曾在去年出馬競選眾議員之前,電郵指示部下,匯3,000萬日圓的「選舉顧問費」給自民黨幹事長武部勤的二男。

 

永田壽康認為該信件可信度很高,遂在國會上提出質詢,並要求國會進行調查。但是當事人強烈否認有此一事實,日本首相小泉也認為證據不足,拒絕進行調查,並反擊表示電子郵件誰都可以偽造,請先證明這一封電子郵件的真實性。

 

有關這封信件的內容已經成為日本全國民眾分析的焦點,如有人指出該紙電郵使用Eudora舊版,堀江都使用最新版的,也有人指出堀江從不署名,信中卻有署名,甚至於有人還將X-Sender的字體大小是51pix,與X-Mailer的字體大小是47pix…等來質疑信件的真實性,而永田壽康也承認「寄件者」與「收件者」是同一人。在全民都是「柯南」的情況下,民主黨經過內部調查後,無法證實該信件之真實性,永田壽康只好黯然地公開道歉並接受處分。

 

脆弱的數位證據

數位證據是近幾年來才受人關注的議題,由於電腦、網路系統容易遭受攻擊,安全性仍待產業界不斷努力中,數位資料的可靠性與真實性,在各種案例中都容易受到普遍質疑,例如email的寄件者可以假冒,只需要在寄件者設定處輸入他人的姓名(如God),收件者所收到的email中,就會看到名為「God」所寄來的email;此外,現在很多免費的網路email,任何人都可以使用假資料申請帳號,如「小豬」、「小貓」等稱號,這也造成無法直接由email的外觀來判斷來源,這正是網路「匿名」的特性。

 

在實務上較常發生的情況是「寄件者」與「收件者」相同,因而遭到他造質疑的情況,雖然這種情況的原因有許多種,也是可以解釋的,例如筆者寄信給很多人的時候,為了保障友人的隱私權,會以「密件副本」的方式來隱藏收件者的電子郵件,以避免他人得知其他此信的收件者,另外再寄一封信給自己,例如A以自己的電子郵件帳號「aaa@god.com.tw」寄給朋友B的電子郵件信箱「bbb@hell.com.tw」及朋友C的電子郵件信箱「ccc@hell.com.tw」時,「收件者」輸入aaa@god.com.tw,「密件副本」才寄給bbb@hell.com.tw、ccc@hell.com.tw,當B、C收到信件時,會發現寄件者與收件者都是

chinalaw@seed.net.tw,並不會看到其他人的帳號。

 

上述寄件者與收件者相同的情況,從資訊的角度來看,雖然是很容易解釋,但是從證據法的角度上觀察,卻可能造成訴訟案件審理上的困擾,假設A寄給BC的信件涉及毀謗D的內容,D不能只以這封信來提出告訴,因為A可以反駁說這封信是寄給我自己,BC二人並沒有收到這封信。因此,從偵查者的角度來觀察,除了email的外觀外,還必須透過許多環境資料加以佐證,不能光憑一紙電子郵件。例如透過ISP調閱帳號的申請人的連線紀錄,再循線追查真實的申登人。可是在資訊時代中,還是有許多斷點的存在,往往追查下去卻難以發現真正的侵害者,除了因為匿名性的因素外,有些則是因為網路「無國界」的特性,尤其是台灣國際地位受到打壓,向國外調閱犯罪資料時,未必能獲得合理的對待,當然也就調不到資料,造成偵查工作無法順利完成。因此,從企業的角度來看,平時就應該建構好一套完整的鑑識機制,當發生資安事件時,就可以蒐集到完整的證據資料,不會因證據不足而讓歹徒逍遙法外。

  

最佳證據原則

要能證明志玲的誹謗行為,至少要有email的存在,其次,則要有證據證明該email是由志玲所寄送。本案中,檢察官已經查出email帳號是由志玲所申請,接下來就要由email的內容或收件者公司的郵件伺服器紀錄,來證明這封信件確實來自於志玲所申請的這個帳號。

 

本案在查證過程中,曉明犯了一個全天下網路使用者都可能會犯的錯誤,就是誤以為直接將email印出來就可以當作證據。一般而言,原則上應該將證據的原始形態呈現在法院上,這就是最佳證據法則的意義。但是數位資料必須透過特定的設備才能顯示出其內容,因此為了審理過程的方便,法院確實會使用電腦印出來的文件當作證據,惟前提是雙方當事人對於資料的「真實性」都沒有質疑。若當事人間質疑證據的「真實性」,則必須將原始證據攤在雙方的面前,檢視是否有造假的可能,而不能只有紙本。

 

另外,email的數位型態中還能顯示出許多紙本外觀上無法知悉的內容,例如email的「內容」,可以知道寄件來源為何、寄件的路徑,以及其他細部的資料,對於證據的判斷極為重要。正因為大多數的企業缺乏專業蒐證的觀念,常常在法庭上就因為一時的疏忽而敗訴。曉明正是因為提不出原始的email檔案,公司內部也無法提出相關的備份郵件,在相關事證不足以支持法院達到一定心證的時候,對於證據要求相當嚴格的刑事程序中,當然就會導致不利的後果。

 

或許有人會質疑這些證據不是已經很充分了嗎?為什麼還會被判決無罪?理由很簡單,刑事與民事的審判並不一樣,有時攸關個人的生死,法院自然要審慎為之,對於證據的要求一定要達到非常高的確信程度,法院曾能為認罪科刑的判決。還記得美國足球明星辛浦森殺妻案,民事判決賠到破產,但是刑事判決卻無罪,從法律人的觀點來看,兩個判決結果並沒有矛盾,只是因為刑事案件與民事案件的證據要求不同罷了。

 

不會蒐集數位證據=高比例的敗訴結果

既然數位資料的蒐證過程相當複雜且專業,牽涉資訊與法律的不同領域,因此,企業對於發生資安事件或發生本文中的郵件誹謗事件時,都應該制定一些「資訊安全政策」加以遵循。首先在稽核紀錄方面,必須要保存一定期限,例如當他人寄送email時,至少公司須有收到email的紀錄,若能進一步利用內部監控機制,將所有email內容留存下來,當然更有利於未來的舉證。否則,平時不燒香,臨時很難抱佛腳,最後蒐集不到該有的證據,根本很難打贏官司。

 

其次,若須進行採證工作時,則應由公正第三人進行採證,從國外電腦鑑識所採取的流程,通常會先透過律師,尋求電腦鑑識專家的協助,由專業人士進行採證,並提供專業的鑑識報告,並在法庭上擔任專家證人,證明這些數位證據的可靠性與可信賴性。惟目前國內欠缺專業的電腦鑑識公司,因此通常必須透過執法機關進行採證的工作,以調查局為例,已設立電腦鑑識實驗室,可提供一定水準的電腦鑑識服務。

 

但是未來許多民事的案件,執法機關並不便介入,恐怕仍須由民間電腦鑑識機構著手,否則發生類似案件時,當事人只能以高額費用,跨國聘請國外專家來進行鑑識工作,在號稱資訊水準名列前茅的台灣,恐怕是一大諷刺;況且國外的法制與我國並不相同,對於證據法的要求也不盡一致,國外的採證模式未必適用國內。故未來還期待有志之士能建立國內的民間電腦鑑識機制,從資訊、法律等層面建構一套符合國內法令要求的鑑識機制,進而滿足企業間的需求。

 

本文作者任職於調查局電腦犯罪偵辦科