《會計師看時事》歐盟個資新規 做大數位鑑識商機

世界最嚴格的歐盟隱私權法規-個人資料保護規則(以下簡稱 GDPR)以驚人之姿，預計從2018年5月25日起正式生效。不同於國內現行的個人資料保護法及其他區域性的個資法規，GDPR引起全球高度關注，就算公司設在台灣，只要會接觸到歐盟公民的個資，就受GDPR約束。

例如，若某公司的網站信箱會蒐集到歐盟公民的個人資料，原則上這家公司就必須遵循GDPR。

GDPR目的在於提升個人資料的隱私保護，並要求個資持有組織強化個資保護的安控，不論是在個資的類別廣度或是控管深度都被嚴格要求，加上民眾已習慣透過行動裝置使用企業提供的各種數位服務，包含雲端資料存取及其他e化便利措施，以資料敏感性來說，放眼全球化的金融、電商、觀光及運輸產業首當其衝。

對歐盟提供產品或服務的企業都開始擔心相關衝擊，尤其是違反GDPR時可能會遭受依全球營業額比例計算鉅額罰款；若個資當事人提出訴訟，企業內部是否有足夠數位軌跡證據協助釐清問題點並充分舉證自保，以因應可能的跨國訴訟，是這類企業極力想克服的問題。

特別是在雲端或虛擬環境的數位資料舉證方面，過往讓沒有受過專業鑑識訓練的人員直接對數位證據進行「處理」，到法庭上的證據反而可能遭受質疑不被採信，企業因而開始考量如何引入數位鑑識機制，以降低法令法規的衝擊。

而數位鑑識就是證明數位資料沒有被動過手腳，並透過證據保全與技術分析在法庭上還原事情真相的一門科學。如何利用科學的方式及嚴謹的程序，還原分析數位資料調查有用的線索資訊，釐清事實真相，就是數位鑑識存在的主要目的。

許多企業在遭遇資料侵害事件時，通常不會立即尋求外部協助，都希望在事件曝光前自行調查完成，甚至直接要求自家資訊人員處理，他們將這些「證據」全部摸過一次後，心滿意足的把「證據」儲存到USB隨身碟或燒成光碟想作為呈堂證供。然而這種「證據」在法庭上都是質疑抗辯的重點，因「證據能力」已經受到破壞，而證據處理方式無法證明這些「證據」沒有被篡改。

但這不意味著不能讓資訊人員擔任蒐證調查的角色，重點在於是否具備對整個數位證據的蒐證和分析過程有一定的訓練基礎，且在保全過程中合乎嚴謹的數位鑑識程序，方能協助還原事件原貌並兼顧證據能力。在國外，企業多半傾向尋求與專業可信賴數位鑑識團隊的合作，又或是具備豐富資源可建立自家數位鑑識團隊，相對於商譽損失或鉅額的裁罰與賠償，這些投資仍然有其必要性。

隨著GDPR的施行，以及行動裝置、雲端服務、物聯網、大數據等新興科技的快速發展，除帶來更便利的生活外，也對個人資料保護及數位鑑識帶來新的挑戰。企業除了因應法規而需有效保存使用紀錄、軌跡資料及證據，以確保數位證據環境的完備性外，在發生資料侵害事件時，能否對於雲端或虛擬主機進行證據保全，甚至物聯網設備的跡證分析，這些都可能成為評斷企業個資保護良善管理的指標。

未來企業如何確認數位證據環境完備有效，並善用數位鑑識內外部資源，依循嚴謹鑑識原則舉證具有法律效益的數位證據，將會是每個企業無法避免的重要課題。

（本文已刊登於 2018-01-05 經濟日報 A15 經營管理版）