在安全產業裡,法規遵循是推動產業成長的力量,2010年新版個資法的通過,為資安與數位鑑識產業注入一道活水,業者預期市場上將因此興起一波需求,在新版個資法第12、18、19、27、29條規範,要求企業必須善盡保護個資與舉證責任,換句話說,企業因應個資法所衍生的資安工作有兩個:適當的資安防護措施、證據保存及數位鑑識,由此可見,數位鑑識產業,因應新版個資法通過,有了新的發展契機。
然而,台灣以前的數位鑑識需求極低,根本沒有產業可言,只能說是服務,因此,行政院科顧組正積極規劃推動數位鑑識產業,在2011年5月舉辦的「個資法、政府資安、隱私標章、數位鑑識 聯合座談會」上,行政院科技顧問組主任柴惠珍曾經表示,政府推動數位鑑識產業的重點方向有:製作保存記錄與證據的範例、發展專業技術及人才培育、增進執法人員對數位證據的認知與採信度等。
政府策略如此,業者看法又是如何?綜合學界與業界人士的意見後可發現,推動數位鑑識產業的關鍵不外乎以下四點:
或許可作為日後政府規劃數位鑑識產業發展策略的參考。
第一、建立標準
法律的立法與執行面,對數位鑑識產業的發展影響最大。目前,法庭上對數位證據的定位、蒐集保存及法庭呈現的程序等等,還沒有一致的見解,這會增加數位鑑識人員在採集證據上的難度。法務部調查局資通安全處處長蘇台生認為,政府的責任是律定規範,如:制定鑑定程序,避免同樣證據/事證,不同法官有不同的認定方式,因此,台灣要先建立數位鑑識產業的規範或標準,且應包含:鑑識人員資格、鑑識環境、鑑識方法、鑑識作業流程、鑑識報告格式(說明鑑識報告應該要有哪些內容)等面向。
在制定規範時,蘇台生建議可以參考歐美等國的作法,再配合台灣環境做調整,有了共通標準才能推動產業發展,對於未來在人才培訓上也比較有幫助。而就司法上來說,數位鑑識非法官的專業領域,很難判斷數位證據的可信度,共通標準是比較客觀公正的判斷依據,只要根據標準而採集的證據,原則上就具備可信度,也能避免相同證物在司法程序上有不同解讀的現象。
法務部調查局資通安全處電腦犯罪防制科錢世傑進一步解釋,數位鑑識需要標準才能推動的原因。他以測謊報告為例,初期呈上法庭的報告只有2頁,上面羅列了進行測謊試驗的10個問題,再註記哪幾個問題的答案可能是謊話,但是這樣的報告內容太過簡單粗糙,無法讓法官採信,所以現在的測謊報告長達20頁,裡面說明了進行測謊的方式、執行人員的背景與經驗、測試環境等,不單單只是說明結果,還詳細闡述測試過程,才能讓法官相信這份測謊報告的結果。由此推衍到數位鑑識來看,倘若企業為了打官司而必須透過數位鑑識採集證據,在執行過程中就要按照標準來進行,才能讓法官相信數位證據的效力,否則任何一項電磁資料都可以作為數位證據,又何必非得透過數位鑑識工具或人員才能搜證?!
第二、落實個資法
中央警察大學資訊管理學系教授吳國清認為,台灣市場胃納量小,若要推動數位鑑識產業,個資法推動狀況及人才培育是關鍵。先就個資法推動狀況來說,目前正式公告的只有母法,法務部預計2011年11月25日公告施行細則,至於各目的事業主管機關的個人資料檔案安全維護計畫或業務終止後個人資料處理方法,多數也在制定中,倘若在施行細則或安全維護計劃裡,能夠明定相關處理程序,舉例來說:個資刪除/抺除的程序,就能創造市場需求,自然就會有廠商去研發相關工具滿足市場需求,當然,政府若能提供研發經費補助,效果會更明顯。
國巨管理顧問公司數位鑑識技術長鍾文魁也有相同看法,他指出,一旦政府創造了需求,業者就會設法滿足、推出相對應產品,形成市場發展的正向循環,倘若沒有需求,數位鑑識廠商即便用盡各種方式推銷產品也不會有效果。
.JPG)
| 認為,台灣市場胃納量小,若要推動數位鑑識產業,個資法推動狀況及人才培育是關鍵。 |
第三、培養人才
數位鑑識人才分為三種:研發、鑑定及綜合類人才。綜合類人才指的是具備研發與鑑定技能的人,負責政策制定等工作。目前台灣數位鑑識人才相當缺乏,除了在現有資安學程中納入鑑識相關課程、培養人才外,增設公務職缺也是個不錯的做法。
依據個資法第22條,中央目的事業主管機關或各縣市政府,有權對非公務機關執行檢查作業,因此,吳國清認為,考選部應該增設數位鑑識相關的公務職缺,負責個資安全維護計畫的抽查工作,當公職人力市場上出現職缺需求時,自然就有人著手準備,這些進修者即便考不上公職,也可以進入企業去上班,強化民間數位鑑識的人才能量。
至於企業端,雖然不一定要買數位鑑識工具,但最好能培育自身的鑑識人才,無論是對外招聘新員工,或是培訓既有資安或IT從業人員,使其具備數位鑑識的專業認知與技能,而在人力資源市場上形成就業需求後,人才供給端也就是學校,自然會跟進開設相關課程,形成正向的人才培育循環。
第四、教育市場
最後一個推動數位鑑識產業的關鍵,在於強化民間企業對數位鑑識的認知。鑒真數位資深鑑識顧問黃敬博表示,數位鑑識應用不只個資法,任何與科技法律相關的訴訟,都可能使用數位鑑識服務,但是現今台灣企業對數位鑑識的瞭解仍然偏低,這樣的不瞭解使得企業無法做好事前的搜證工作,以致於在打國際訴訟時常居於劣勢,政府應該積極舉辦相關研討會,協助民間建立正確觀念,才能推動數位鑑識產業發展。
從經濟學的角度來看,透過法律創造一種市場上的誘因,如同開渠道引水一般,水自然會流到所想要到達的目的地。新版個人資料保護法的通過,創造一個資訊安全、數位鑑識快速發展的環境,未來若能提升法院對於數位證據之證據能力(民事訴訟稱之為「形式證據力」)嚴謹度的要求,相信數位鑑識產業必然能夠蓬勃發展。