閒聊個資法與數位證據

轉自 http://tw.myblog.yahoo.com/roamer-tw/article?mid=7193

自從新版個資法通過後,就一直被前公司老闆問到企業導入電腦鑑識工具的可行性,當時評估後是覺得沒有太大的必要性,最近陸陸續續又被一些朋友問到類似問題,乾脆就在這邊整理一下個人的一些想法吧。

首先是舉證責任的定義,相對於刑法的無罪推定原則, 新版個資法採用的是非無罪推定,不是由受害者舉證受害事實,而是要求企業需舉證自己已經採行適當安全措施防止個人資料被竊取、竄改、毀損、滅失或洩漏。這 樣會將整個舉證的範圍拉得太大,所有可能被要求舉證的點,都得要準備好,否則只要一個關鍵點無法提出反證,都可能對企業造成嚴重影響,甚至是受到處分。我 猜大概也是因為需要提出反證的範圍太過廣泛,才會間接導致這幾年一堆產品都可以扯上個資法跟資安議題,然後大推特推的一個重要原因吧!

再 回過頭來看數位證據部分,根據維基百科的定義,電腦鑑識的概念源自電腦 / 網絡保安與及刑事偵查,主要是用作調查電腦犯罪時,尋找相關證據或是用來證明損害的證據。過去我們在做數位證據蒐證的時候,多是以蒐集與保存完整電腦犯罪 相關的實體或邏輯證據為主,但現行個資法卻變成了必須提出反證來證明企業已經盡了妥善保管的責任。而市面上的數位鑑識工具,目前還是用來證明我出事了,並 據以提供攻擊者的攻擊軌跡與證據,對企業而言這簡直是買很貴的石頭來砸自己的腳,即便透過電腦鑑識找不到被攻擊的證據,也很難藉此證明本身已經確實採行適 當安全措施。

由於在新版個資法中,企業的工作重點將放在提供證明自己清白的反證,而非過去我們所認知的數位證據,這也讓我們過去學習的電腦鑑識流程陷於無用武之地(當然在電腦犯罪偵查上還是有很大用處的),同時也造成許多新的問題:

1.    反證的定義:要證明企業有被入侵或有資料外洩可能還容易些,但要證明企業是否沒有被入侵就困難多了。個資法規定「需採行適當安全措施防止個人資料被竊 取、竄改、毀損、滅失或洩漏」實在是太攏統了,何謂適當的安全措施?是否有可以量化的標準?是否有一致的參考基準?通過ISO27001驗證算不算是已採 行採行適當安全措施?通過個人資料保護管理制度驗證算不算已盡妥善保管責任?這些都是值得思考的問題。

未來若無法訂出一套可遵循的標準,恐怕又會一樣淪於自由心證,即使制定出來一套可遵循的標準,是否能跟上網路安全的發展趨勢則又是另一回事了,至於是否會演變成為認證而認證的狀況,我想這點就毋須懷疑了(轉頭看看ISO27001),我想肯定是會的。

2.    反證的盲點:常碰資安設備的人應該都很清楚,要驗證False Positive(誤判)並不困難, 難的是如何找出False Negative(漏判)。今天假設駭客成功bypass了我的資安設備入侵得逞,那這樣的False Negative在資安設備的log上會顯示被攻擊得逞嗎?還是會顯示已偵測到攻擊行為?答案可能都是否定的,這樣會讓資安設備交付出去的記錄看起來很乾 淨,誤認為該擋的攻擊都被成功阻擋掉了,但實際情形呢?

3.    球員兼裁判:將舉證的責任丟給被告這檔事,難免也會有點球員兼裁判的嫌疑,被告企業若有本身確有疏失時,是否可能刻意略過對自己不利的證據,僅提供讓自己看起來清清白白的佐證?

4.    殃及無辜:還有一種情形,假設今天遭受攻擊的標的其實並非企業呢?以近幾年常看到的網路釣魚,如果攻擊者刻意打造一個偽造成某個網站的phishing site而釣到大量的該網站用戶,在這整個攻擊的流程中,可能都與受影響網站無關,但站在受害者角度,可能只會看到大量該網站的用戶被盜帳號而提起訴訟, 在這種情況下,企業要對一種不曾發生在自己身上的攻擊提出反證,也是一件十分弔詭的事;運氣差一點,還可能僅因為無法提供適當的反證資訊而受到懲罰,這顯 然與法律強調的「勿枉勿縱」精神大相逕庭。

新版個資法前半段對於個人資料的定義與保護部分,應該是比較沒有爭議的地方,但在舉證責任的部份則顯得滯礙難行,讓人感到茫然,我想這大概也是施行細則遲遲無法順利擬定的一個重要原因吧!(茶~)

0 意見: