探討資訊系統符合個人資料保護法數位證據之完整性與證據能力

緣起

林宜隆 教授

為因應台灣個人資料保護法(簡稱個資法)於101年10月1日正式施行與其中舉證規定，檢視現行各業務資訊系統(Information System, IS)之使用紀錄、軌跡資料(LogFiles)等數位證據保存是否完備，並引用數位證據鑑識標準作業程序(DEFSOP)來保護數位證據是否完整性，以及確保有足夠證據能力可作為未來在法庭上舉證幫助進行評估分析。本文探討目的為提供符合管理面、技術面與法律面評估分析現行企業資訊系統(IS)之使用紀錄、軌跡資料等數位證據之保存是否具備個資法施行細則第12條之適當之安全維護措施來符合個資法訴訟需求的法律規定與證據能力，以及未來如何進行資訊系統蒐證之數位鑑識程序及技術之改善方案。

探索：數位證據及鑑識作業

一、數位證據及其型態

由於數位證據內容不能由肉眼直接看見，必須透過電子設備加以讀取、分析顯示，轉換成人類能讀、了解的內容如：文字、聲音及影像，數位證據不像傳統證據般有可觸摸實體，它本身可能屬於電磁紀錄，以電波或電磁方式儲存在電子媒體上，是一種抽象的存在[1]。國外學者Casey在其著述「Digital Evidence and Computer Crime」中談論到數位證據的定義，認為電子儲存媒介中所存放的資料若足以構成犯罪要件或者具有相關的之電子資料，例如：聲音、文字、影像及圖片等型態，即可稱之為電腦證據或電子證據。通常具備容易複製、竄改及刪除、不易證實其來源及製作人難以確定、人類無法直接感知、理解其內容且對環境具有依賴性等特性[2]，其型態如表1所示：

二、數位鑑識

數位鑑識所涵蓋的範圍為：電腦、網路設備、個人數位助理、行動電話、數位相機、記憶卡等數位設備，凡是以數位方式儲存的相關設備都包含在數位鑑識的領域裡。為保留數位證據的完整性和正確性，以周延的方法及程序保存、識別、抽取、記載、解讀及分析儲存於數位媒體裡的證據，建構資安事件、個資違法或網路犯罪發生的過程，作為資訊安全事件及司法單位調查判決個資訴訟與電腦網路犯罪之依據[1]。

深入：數位證據鑑識程序（DEFSOP）及其相關規範與技術

資通訊科技（ICT）蓬勃發展帶給人類便捷智慧生活，但與電腦網路有關之犯罪也接連不斷地出現，當發生電腦網路、資訊安全事件等網路犯罪問題(Cybercrimes)，就得依靠數位鑑識能力分析、識別或還原事件原始面貎，找出具客觀性、公正性旳法律證據，做為法庭上供司法官參考，更凸顯出數位證據鑑識（Digital Evidence Forensics）的重要性[10]。
培育數位證據鑑識專業人才以及建置「數位鑑識實驗室」，並建構數位證據鑑識標準作業程序（Digital Evidence Forensic Standard Operation Procedure，DEFSOP）乃是現今刻不容緩的如何有效偵防網路犯罪問題，為增強其證據能力及證明力，應透過標準作業流程（SOP）及規範、工具的標準化及認證，強化鑑識單位之數位鑑識能力及法庭上公信力(如通過ISO17025、 ISO17024及ISO27037認證)，再者也應瞭解數位證據的特性及其在證據法上的規範，讓其標準作業流程及規範能更契合證據法(或刑事訴訟法)的需要，才能增強其證據能力及證據證明力。

一、數位鑑識標準與法律的規範

數位鑑識目的是為了要還原案情的原始面貌，使數位證據具有法律效力，做為法庭上司法官審理案情之參考，美國波特蘭的國際電腦調查專家協會(IACIS)於1991年提出「Guide for Forensic Examinations」作為網路犯罪證據蒐證與鑑識的原則，英國警察協會(Association of Chief Police Officers of England, Wales and N. Ireland, ACPO)也於1999年提出「The Good Practices Guide for Computer-Based Evidence」的處理電腦證據指導原則，可說是數位鑑識發展開端，而台灣則於1999年於警察偵查犯罪規範中增訂「電腦犯罪案件之處理」[11]，這些指導原則多為處理電腦鑑識過程中的注意事項或參考方針[12]，例如：Canada’s Uniform Electronic Evidence Act (1998)、USA’s Uniform Rules of Evidence (1999)、California Electronic Discovery Act (2009)等相關法律規範。

二、數位鑑識標準作業程序(DEFSOP)

(一) 專家學者對數位鑑識程序的觀點
先進資訊化國家，數位鑑識標準作業程序及歩驟越受到重視，在政府機關、學術界及資訊業者均有人探討。在此介紹國内外學者對於數位鑑識原則的觀點及看法，綜合專家學者對數位鑑識程序的觀點，並歸納出數位鑑識流程不外乎有下列幾點：準備工作、搜尋、保存、復原、分析、檢查、鑑定及呈現結果，詳見如表2所示。對於執行數位鑑識的偵辦人員而言，必須了解數位鑑識執行流程，作為人員實際真正執行的指導方針，才能將數位證據有效、完整地呈現讓其證據在法庭上更具公信力[1]。

(二) NIST數位鑑識標準作業程序比較分析

歸納美國國家標準與技術研究院所NIST SP800-101手機鑑識提出的作業程序分成四個階段，分別為保存階段(Preservation)、萃取階段(Acquisition)、檢驗與分析階段(Examination and Analysis)及報告階段(Reporting) [1]，詳見如圖1所示：

圖1：NIST SP800-101手機數位鑑識標準作業程序

比對國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP)，其分成四大階段為原理概念階段、準備階段、操作階段與報告階段，及NIST SP800-101手機鑑識異動之處後發現NIST SP800-101手機鑑識之保存階段、萃取階段和檢驗與分析三階段，都偏屬較技術實務面，應在一個階段完成，另外DEFSOP與 NIST SP800-101手機鑑識不同架構的標準作業程序，應將各階段明確地分類，才能幫助於各類不同專業領域的鑑識人員有效分工進行鑑識。NIST SP800-101手機鑑識與DEFSOP 的操作階段、報告階段互相對映遵循說明如圖2所示。

圖2：DEFSOP與NIST SP800-101手機鑑識作業程序

(三) ISO 27037 數位鑑識標準作業程序比較分析
ISO27037數位證據處理程序國際標準，提出的數位證據處理程序分成四個階段，分別為識別階段(Identification)、蒐集階段(Collection) 、萃取階段(Acquisition)及保存階段(Preservation)[13]如圖3所示，這些處理程序都需要在調查程序之中，旨在保持完整的數位證據和蒐集數位證據可接受的方法，有助於在法庭上的證據能力。ISO27037各階段內容分述如下：

1.識別階段(Identification)

識別階段牽涉到搜索犯罪現場時必須辨識任何可能含有潛在數位證據的任何儲存裝置、文件、紙張、電腦、網路設備等等。此階段同時也必須在同一個準則之中，在對證據最小程度破壞且能取得最好證據的方式進行蒐集、萃取。任何形態的數位裝置都可能包含了潛在的數位證據。
經過識別可能存在潛在數位證據的數位裝置，處理人員應該決定是否在下一個處理程序蒐集或萃取。

2.蒐集階段(Collection)

蒐集是一個裝置在數位證據處理程序的流程，也許從被刪除的資料之中包含了潛在的數位證據。包含潛在數位證據的裝置可能有多個狀態，它可能是正在運作或是關閉的，不同的方法和科技工具必須依賴該裝置的狀態。

3.萃取階段(Acquisition)

萃取流程牽涉到數位證據的重建和記錄使用的方法和動作執行。處理人員必須依據不同的情況、損失、時間、文件以判斷採取合適的萃取方式。
一種潛在數位證據的萃取方式必須明確地記錄所有細節，且應該在最少侵入的方式獲得的潛在數位證據，以避免任何會破壞的行為的情況下進行萃取的程序。

4.保存階段(Preservation)

必須保證潛在的數位證據在整個調查期間是可以使用的，這一點相當重要，保存程序必須保護也許會被破壞或竄改的潛在的數位證據和數位裝置。保存程序應該開始和維持遍及整個數位證據處理程序，並開始於數位裝置、潛在數位證據的識別。

比對國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP)與ISO 27037 數位證據處理程序進行比較分析， ISO 27037數位證據處理程序所提出的作業程序主要偏重於數位證據的處理過程，而林宜隆教授所提出的DEFSOP 中，則已將ISO 27037 的四個階段分別包含於其原理概念階段與操作階段之中，其差異對照比較關係，詳見圖4所示，故學者林宜隆教授提出的DEFSOP 流程合乎ISO 27037標準，且更為周全。

圖3：ISO27037數位鑑識作業程序

圖4：ISO27037數位證據處理程序對應DEFSOP數位證據標準作業程序

實作與成果：個人資料保護法與數位證據適法性

國際組織間如經濟合作暨發展組織(OECD)、歐盟(EU)及亞太經濟合作組織(APEC)等，均通過相關法令等措施，來處理國際間電子商務行為涉及個人隱私資料保護及網路傳輸等問題。歐盟執委會(European Commission)發布「個人資料保護指令」，並於1998年12月25日生效。亞太經濟合作組織(APEC)於2004年制訂亞太經濟合作組織(APEC)隱私保護框架(APEC Privacy Framework)，做為提升資訊個人隱私保護的重要工具，確保亞太地區各會員國間資訊的自由流動，與經濟合作暨發展組織(OECD)的個人資料保護指導方針相符[4][9]。

一、國內個人資料保護法

我國行政院鑑於政府機關與民間企業大量使用電腦儲存與處理所蒐集之個資指示法務部研擬法律，於民國82年1月7日通過「電腦處理個人資料保護法」草案，始為個資保護隱私基本規範，但僅適用於徵信業等八大行業。96年2月27日參酌各國個人資料保護之立法例，將「電腦處理個人資料保護法」，擬具修正草案，並將名稱修正為「個人資料保護法」於101 年9月26 日公布新版「個資法施行細則」，於同(101)年10月1日施行，藉以保障人民權益規範個人資料的蒐集、處理及利用(IPO model)，以避免人格權受侵害，並促進個人資料之合理利用[8]。

二、個人資料之生命循環週期

個人資料之生命循環週期，為個人資料保護資料生成至銷毀之過程，此過程應先定訂各階段的作業內容，以資料生命週期加以詳細定義，對於個資提供者與接收者之間，從資料之生成開始，依資料之型態與重要性分類分級，並在此週期下，給予合適之防護並探究安全威脅問題，透過相關的安全政策，進而提出保護的安全機制與作法，來達到保護個人資料安全的目的[6][7]。

本文依據新版個人資料保護法第1條：「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。」建議將個資項目生命週期簡化為3個階段，詳見如圖5所示，並將個資法施行細則12條所規定非公務機關的善良管理人注意義務，以及明訂安全維護事項納入管理範圍（即所謂數位證據適法性），總計11項內容如下：1. 配置管理之人員及相當資源；2.界定個人資料範圍；3. 個人資料之風險評估及管理機制；4. 事故之預防、通報及應變機制；5. 個人資料蒐集、處理及利用之內部管理程序；6. 資料安全管理及人員管理；7. 認知宣導及教育訓練；8. 設備安全管理；9. 資料安全稽核機制；10. 使用紀錄、軌跡資料及證據保存；11. 個人資料安全維護之整體持續改善[9]。此11個項目，在法務部公告施行細則總說明文件中有說明，目的是為了與國際管理規範接軌並要求以P-D-C-A此程導向之方法論所建立，考量組織規模與保有個人資料之數量或內容，依比例原則，且符合數位證據適法性，並建立技術上與組織上之措施說明這11個項目，分別是P-D-C-A的哪一部份， 如P(Plan)包含第1到第4項，D(Do)包含第5到第8項，C(Check)包含第9及第10項，A(Action)包含第11項。對於個資管理相關活動分為蒐集(相當於Input功能)、處理(相當於Process功能)及利用(相當於Output功能)（即所謂IPO　Model）等措施如圖5所示：

圖5：本文建議之個資項目生命週期PDCA Cycle及IPO Model

數位證據對應新版個資條文標準作業程序

1.數位證據鑑識(DEFSOP)標準作業程序

圖6：數位證據鑑識(DEFSOP)標準作業程序

2.數位證據鑑識之有效性

本文參考建構數位證據鑑識標準作業程序（Digital Evidence Forensic Standard Operation Procedure，DEFSOP）並藉由美國聯邦機構指南對電子化過程在各階段應思考的法律議題，對應數位鑑識之有效性，進一步提出每階段都包含有效性，但每個階段各有強調的功能，詳見如表3所示。

3.個人資料保護數位證據鑑識標準作業程序

圖7：個人資料保護數位證據鑑識標準作業流程（DEFSOP for PIPM）

4.建構個人資料保護數位證據鑑識標準作業程序與個資相關法規對應

建構個人資料保護數位證據鑑識標準作業程序雛型架構，包括原理概念、準備、操作及報告等4階段，並依有效性原則及個人資料保護IPO Model 與新版個人資料法及個資法施行細則條文對應說明[3][5]，詳見如表4所示：