觀點

因應個資法系列(2) 數位鑑識 成功搜證從日常作業開始

2011 / 09 / 27
廖珮君
因應個資法系列(2) 數位鑑識  成功搜證從日常作業開始

新版個資法通過,對企業最大的衝擊,不只是擴大保護客體、加重民事與刑事責任,更苦惱的是必須擔負起舉證責任。根據新版個資法第29條,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限。中央警察大學資訊管理學系教授吳國清表示,這條法規是企業舉證要點,一旦未來遇到個資外洩相關訴訟,企業必須搜集各種數位或非數位證據,如:個資安全維護計劃與定期稽核報告、重要系統Log、資料庫存取記錄、網路封包側錄等,藉此證明自身沒有故意或過失,且已確實盡到「善良管理人」的責任。

 

至於何謂無故意、無過失?先就無故意來看,正常企業不會故意洩漏個人資料,除非其本身就有問題,至於法律上可能的故意,請見本期《個資法合理商業標準  企業責任不能無限上綱》文中有詳細探討,在此不多做贅述。而從法律觀點來看,調查局資通安全處錢世傑指出,所謂的過失有3個構成要件:,企業若主張自身無過失,就要舉證證明事件的發生不符合此三個要件:

 

第一、應注意:新版個資法適用範圍涵蓋各行各業,且設有維護資料安全之相關規範,在法規明確要求企業負起個資保護責任的情況下,企業當然「應注意」,沒有「不應注意」的空間。

 

第二、能注意:企業在善盡現行善良管理人責任、盡可能維護個資安全的情況下,仍無法防範駭客入侵或資料外洩事件之發生,即為「不能注意」,此時多半得透過數位鑑識過程去調查事件發生的原因,及防止事件發生的可能性。舉例來說,如果事件發生的原因是駭客運用SQL-Injection入侵系統並取得資料,這是屬於可以防止的安全漏洞,企業能注意卻沒有注意,顯然有過失;但若駭客採取零時差攻擊手法(Zero-day Attack),針對尚未被公開的系統弱點進行攻擊,連資安廠商可能都沒有修補方法,這就算是不可防止的安全漏洞,企業實因「不能注意」才會造成資料外洩,自然也就無過失。

 

第三、不注意:企業必須證明已經努力過,而不是有不注意的情況,簡單來說,指企業是否確實執行個資管理計畫,就是評判有沒有「不注意」的依據。在舊版電腦處理個人資料保護法中,制定了所謂安全維護計畫的標準,在新法27中亦要求各個中央目的事業主管機關應明定「個人資料檔案安全維護計畫」,這就是所謂善良管理人注意義務之標準,企業只要依循辦理,就能主張沒有「不注意」的情況。

 

由此看來,企業未來若面臨個資訴訟案件、法官要求舉證證明自身已善盡善良管理人責任時,首先要拿出的證物就是,主管機關訂定的「個人資料安全維護計畫」,並證實自身已逐條去執行,且透過定期稽核確保落實狀況。

 

吳國清則進一步指出,企業營運流程複雜,中央目的事業主管機關所訂的計畫,不一定每一項都符合實際需求,企業應該根據個資法母法、施行細則、與中央目的事業主管機關訂定的個人資料檔案安全維護計畫,規劃符合自身營運流程的個資保護作業計劃,日常除了按此計劃執行,還要產出實體報表且呈報予總經理簽核,以示負責,千萬不能只用電子檔而沒有紙本報表,因為電子資料容易被竄改或假造,證據力較為薄弱,而紙本資料有文書鑑定方法可辨真偽,企業難以造假。

 

當然,不是每一次的個資訴訟案件,只要準備這些書面資料就可以,如同上述所云,有些時候企業為了瞭解發生個資外洩的原因,或證明事件發生實乃不能注意,就得請數位鑑識人員來採集數位證據並進行分析。錢世傑強調,數位鑑識的目的在於還原真相,數位證據則是用來證明自身無法防範駭客攻擊,再由法官來判斷是否有能力防止損害發生,倘若沒有能力防止,代表企業沒有過失,也就不必擔負損害賠償責任。

 

此外,企業也要小心切莫陷入「資料是被駭客竊走、與我無關」的迷思中,部份企業以為只要透過數位鑑識過程,證明資料是被駭客竊走非故意外洩,就不必擔負損害賠償責任,這其實是錯誤的想法,即便因為駭客入侵而導致資料外洩,也不代表企業可以免責,免責關鍵在於企業沒有故意或過失,這與有沒有找到入侵、竊取資料的駭客無關。