數位鑑識的工作很多,不過由於新版的個資法要求企業自負舉證責任,從因應個資法的觀點來看,數位鑑識的事前準備工作會有一些事項變得重要。
首先從個資檔案安全維護計畫的標準草案內容來看,該條文訂定了11項適當安全維護措施,分別是:
(1) 成立管理組織,配置相當資源。
(2) 界定個人資料之範圍。
(3) 個人資料之風險評估及管理機制。
(4) 事故之預防、通報及應變機制。
(5) 個人資料蒐集、處理及利用之內部管理程序。
(6) 資料安全管理及人員管理。
(7) 認知宣導及教育訓練。
(8) 設備安全管理。
(9) 資料安全稽核機制。
(10) 必要之使用記錄、軌跡資料及證據之保存。
(11) 個人資料安全維護之整體持續改善。
除了針對前述11點內容做比較詳細的規範,還納入母法中有關個資的蒐集/處理/利用的規定,以及委外管理的要求,提供給業者做為法規遵循及個資保護的參考。(詳細可參考本刊<11項適當安全維護措施>)其中,第8、9、10項的做法,像是對使用記錄、證據保存等,最與數位鑑識的處理息息相關。
因應個資法 企業該留哪些記錄?
根據新版個資法29條,個資事件發生時,企業若能舉證證明自身無故意或過失,就不必擔負損害賠償責任,但,企業該如何提出證據?日常作業中,哪些資訊必須被保留,才能在日後證明自身已善盡善良管理人義務、個資事件實乃非戰之罪?這是現今企業最關注的課題之一。
我們可以從目前的「無店面零售業個人資料檔案安全維護計畫」標準草案來看,企業必須留存的記錄共有3種:個資管理程序、委外管理、及安全維護措施。
一、執行個資管理程序所需留下的記錄:
1. 個資當事人行使權利:新版個資法賦予個資當事人以下5種權利:查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集/處理或利用、請求刪除,企業提供當事人行使權利的方式,以及當事人行使權利的狀況,都應有相關記錄留存。
2. 資料更正:企業必須定期檢查個人資料的正確性,倘若發現有誤應適時更正或補充,並保留相關記錄。
3. 資料刪除:企業蒐集個資的特定目的消失或已屆滿保存期限時,應主動或依當事人請求刪除、停止處理或利用該個人資料,並保留刪除的記錄。
二、執行委外管理所需留下的記錄
企業委託他人蒐集、處理或利用個人資料時,必須制定適當地監督管理程序,如:確認委外的個資範圍/類別/特定目的、確認委外期間、確認受託人是否將業務再委外(若有,則需進一步確認廠商名稱)、要求受託人採取必要安全措施、委外契約終止時的資料銷毀…等,企業應定期檢查或稽核委外業者落實狀況並留下記錄。
三、導入個資安全維護措施所需留下的記錄
1. 個資事件發生時,也就是個資被竊取、竄改、毀損、滅失、或洩漏時,企業所採取的應變措施,及通知當事人的情形。
2. 針對有權接觸個人資料的員工,所設定的權限控管及身份認證機制。
3. 儲存個人資料的載具,在報廢或移轉給他人前,所做的刪除或銷毀的動作。
4. 針對個人資料相關的系統,所做的權限設定及控管機制。
5. 為降低惡意程式與系統漏洞風險,所採取的適當安全措施。
6. 企業透過電腦、相關設備或系統來蒐集、處理或利用個人資料,必須定期檢查其安全性、使用狀況及個資存取情形。
7. 企業針對相關員工所提供的認知宣導與教育訓練。
8. 定期檢查與稽核個資保護管理計畫的落實狀況。
9. 個資保護計畫持續改善或變更的情形。
不過,草案雖然指出哪些資訊應該要留存記錄,卻沒有說明這些記錄應該要保存多久?3年、5年、或是更久?年限愈長,資料量就愈多,企業對儲存容量的需求也將隨之成長,勢必得重新規劃與投資儲存設備,目前無論新版個資法或施行細則草案,都沒有提到記錄的保存期限,只是未來母法或施行細則若有相關規範,就會重新修正遵循母法規範。
對此,法務部科長黃荷婷認為,記錄保存年限與產業特性及企業資源豐富度有關,很難於母法或施行細則中制定統一規範。現已於新版個資法施行草案第六條規定,若為事後查核、比對或證明之需要而留存軌跡者,得不予刪除,避免企業因當事人要求刪除導致證據無法保全的風險,至於留存年限,若目的事業主管機關沒有強制規範,企業只能盡力而為,視自身能力所及來保全證據。
友善連結 : https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6753
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
