2大個資外洩案例看企業該如何舉證

2013 / 05 / 06

廖珮君

個資法要求企業必須負起舉證責任，連帶使數位鑑識需求跟著水漲船高，不過，在「2013亞太資安論壇」上，勤業眾信副總經理萬幼筠表示，企業在舉證前必須先問清楚訴訟的目的，訴訟目的不同所要蒐集的證據就不同，以下分別舉出2個案例說明企業該如何舉證。

案例1：民眾在資源回收廠拾獲紙類垃圾，打開來卻發現是滿滿一整箱信用卡個資。

就這個案例來看，原先該行認為是民眾惡意竊取個資，後來發現該民眾是回收廠員工，因此又去檢討是否為委外廠商疏失，而銀行訴訟的目的究竟是什麼？是想證明因為(1)民眾惡意或(2)委外廠商疏失，才會造成個資法外洩，如果是後者，銀行就要去檢查委外合約有沒有相關條款？委外廠商有沒有違反合約？萬幼筠認為，對企業來說，委外管理是相當重要的事情，也是釀成個資外洩的主因，因為個資法從通過至今，至少有9個案例是因為「委外業者」而外洩個資，尤此可見委外管理的重要性。

案例2：某銀行為避免員工監守自盜，裝有端點行為監測工具，監測員工使用行為，惟該行襄理卻設法規避此機制，並濫用自身權限去信用卡系統下載20萬筆客戶個資，存放於私自加裝在公司電腦的250G硬碟中，再將附檔名更改為mp3，避免被發現，事發後，該行控告該襄理妨害電腦使用罪。

在一審階段，被告不承認有竊取個資行為，僅說至系統中取得個資，是為了進行系統壓力測試，並不是「非法取得」，而且也沒有規避端點行為監控工具，也沒有將附檔名更改為mp3（而是從公司資料下載時就已經是mp3檔），僅承認因為電腦空間不敷使用而自行安裝硬碟。

而該行經過數位鑑識後，在二審階段提出了以下幾點證據反駁被告說法：(1)被告加裝SP2並關閉防火牆以規避端點行為監控工具，而且在通訊軟體分析後，發現被告還將此方式教導給其他員工知曉；(2)還原250G硬碟資料，發現內含信用卡個資的MDB檔，且mp3檔案建立時間與MDB檔只差1分鐘；(3)違反公司規範：測試資料不得使用正式資料、公用資料夾不得做私人用途…等。

萬幼筠指出，由這個案例可以看出，Log的存在具有二種意義，一是用來發現異常，一是證明安控機制的確有在運作，以此例來說，銀行可提出端點行為監控工具正常運作的Log，加強證明被告以特殊方式規避其監控。

除了Log還有週遭環境的設定也很重要，例如：保留過往系統壓力測試的記錄，留存重點不是測試有沒有成功，而是負責測試的人與測試方式，同樣以此例來說，過去幾年是否都是由被告在負責，倘若不是，代表其已逾越權限，如果都是由被告執行，則可檢視其執行方式是否符合公司規範。

此外，萬幼筠也建議，企業可以由此事件去省思在管理與技術二個層面的安控機制是否夠完善（表1）。

表1、管理與技術面安控機制檢核表

	重點	說明
管理面	1. 相關規定夠週全嗎？	- 應用系統開發、測試及上線管理 - 公用資料夾的使用管理？ - USB與外寄郵件的管理？ - 筆記型電腦、手機、平板電腦的控管？
	2. 相關制度的有效性足夠嗎？規範是宣示性質，還是有實質效力？	- 特殊權限的授權、監控機制？ - 定期稽核確保人員依規範進行？ - 透過工具有效控管USB或外寄郵件的使用？
技術面	1. 有沒有能力查出是誰存取過客戶的什麼資料？	- 系統有留存查詢記錄嗎？ - 留存的查詢記錄，內容是否足夠？
	2. 事件發生的當下，怎麼依事件情況縮小並鎖定調查範圍？
	3. 怎麼做才不會損害證據能力？