產業動態

數位鑑識產業趨勢

由於電腦與網路發展迅速、普及，電腦網路使人們工作以及生活產生了許多變化，現今各行業幾乎都以數位方式來輸入、蒐集、處理、儲存、保管及利用數位資料，不只是各種網路、伺服器、資安設備、資料庫、作業系統或應用程式的日誌檔，其他包括各種電子郵件、紙本或電子文件，或者是資料庫內容等，也都包含在數位證據的範圍內，使得數位證據無所不在。

而資訊科技日趨重要，高科技導向的資訊電腦犯罪儼然成為新興的犯罪態樣，因數位證據有其特殊性，不僅不易辨別資料製作者，且數位證據容易複製且易遭竄改，若提出的數位證據其真實性及同一性遭受質疑時，透過數位鑑識辨別數位證據則屬重要的議題，透過數位鑑識可還原案件經過，識別案件發生的原因，並釐清責任的歸屬，所保全的證據亦可作為事後的司法行動的證據資料。本文將向各位讀者簡要說明數位證據的重要性，介紹數位鑑識公認的執行作法，以及透過這些步驟說明台灣產業現況及未來發展趨勢。

『關鍵要素』

■因應各式法令規範的要求使數位鑑識議題逐受重視

一般來說，企業對於數位鑑識的需求，無外乎面臨事件發生可能面臨訴訟，為因應各式法令要求，因此需要透過專業的鑑識人員進行數位鑑識程序，以釐清事實並提供證據作為事後司法審判的依據，近年來由於企業數位化的發展，各種訴訟在於數位證據的爭議顯得愈加重要，以下將較常被用於討論數位鑑識議題的法令規範，整理如下：

(一)刑法第36章妨害電腦使用罪章

由於全球電子交易與數位匯流日益增加，電腦犯罪的比率不斷提升，而針對電腦犯罪，我國刑法有專章立法(刑法第36章)，也就是刑法第358條至第363條的刑法妨害電腦使用罪章，主要針對常見的電腦犯罪類型予以規範，如無故破解他人電腦密碼入侵或變更他人電腦內的電磁紀錄等，而有此類犯罪情事發生時，透過數位鑑識則可提供保全連線登入紀錄等相關證據及分析釐清案情事實，作為司法審判的證據資料。

(二)個人資料保護法(下稱個資法)

個資法於民國(下同)99年5月修正公布，主要是規範個人資料的蒐集、處理、利用，原則上必須合於特定目的且充分踐行告知義務，以保障被蒐集人之權益，而保有個人資料之公務機關或非公務機關若產生個資外洩事件，就同一事件的最高賠償額可達2億元，因此為因應新版個資法之施行，公家機關或私人企業皆建置個資保護機制，避免資料外洩。然近幾年來，個人資料外洩事件仍持續發生，此時，可透過數位鑑識得以檢視資料外洩異常紀錄，釐清案件事實。

而個資法第12條規定，公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應「查明」後以適當方式通知當事人，也就是針對個資外洩事件，公務機關或企業主有查明案情、調查並將調查結果通知當事人之義務，因多數個人資料屬於數位資料，而數位鑑識則可協助調查此類資訊。

又，個資法施行細則第12條個人資料安全維護的適當管理措施，其中關於第10款「使用紀錄、軌跡資料及證據保存」是可以數位鑑識手段進行證據保全，因此數位鑑識亦可協助處理保存此類證據。

(三)營業秘密法

企業內營業秘密及機密資料外洩事件層出不窮，如高階主管跳槽競爭對手公司，而將其於原公司所研發的產品資訊一併攜出等，這種機密資料外洩的事件往往會造成企業重大的損害，雖有營業秘密法等相關法律規範評價此類不當的行為，但要如何證明確實有洩密的情形，證據往往蒐集不易，又此類證據多為數位證據類型，因此，可透過數位鑑識，針對相關資料的存取紀錄加以保全分析，判斷是否有洩密情形，並提供法院作為審判的依據。

(四)網路銀行定型化契約

金融監督管理委員會於101年10月8日以金管銀合字第10130002491號公告的「個人網路銀行業務服務定型化契約範本」是主管機關針對網路銀行業務提供定型化契約服務範本，而契約中第15條約定，針對網路銀行帳戶遭受冒用、盜用事實調查所生之鑑識費用由銀行負擔，此為主管機關首次針對「鑑識」所為的明文規範，而網路銀行出現帳戶遭受冒用、盜用事件時，透過數位鑑識自可協助此類事件的調查。

■數位鑑識基本流程

當發生需要進行數位鑑識的事件時，通常都會由專業的鑑識人員協助進行，透過標準的採證程序將電腦設備中的證據加以留存，並就所蒐集到的數位證據進行分析，以還原事件發生的原貌。

一般來說，數位鑑識的基本流程如下：

(一)保全蒐集

鑑識人員於事件發生現場找尋可能成為證據的資訊設備，包含硬碟、光碟片、USB隨身碟等，而透過符合標準的採證程序進行保全證據的程序，以避免數位證據於採證時遭受汙染。

(二)檢驗分析

鑑識人員將所蒐集到的數位證據進行分析，而此時鑑識人員亦須與承辦人員充分溝通，了解案件的重點，才能有助於釐清案情，還原案件的真相。

(三)出具鑑識報告

鑑識人員就分析的結論出具一份專業的鑑識報告，詳細記載所蒐集到的數位證據所呈現的意義。

(四)法庭呈現

透過數位鑑識分析案情，釐清責任歸屬，亦可作為司法手段的證據資料，因此，鑑識人員所出具的鑑識報告，可呈現於法庭中，作為審判的依據，而法院若認為有必要，案件的鑑識人員亦可出庭就鑑識程序以及鑑識結果出庭作證，以協助法院釐清案情。

■數位鑑識產業發展面向

在我國的現行法制下，尚未見數位鑑識的專門立法，如此不但使得一般民眾不了解數位鑑識意涵及功能，且也無法知悉如何進行數位鑑識程序以及依循如何的規範所取得數位證據可以真正進入法庭使用，因此本文以下嘗試就數位鑑識產業結構及基本需求，並參考林宜隆教授所提出資安鑑識能量三大構面，即資安鑑識能量=實驗室(含工具)SOP專業人才，提出以下簡單地說明：

(一)數位鑑識工具

數位鑑識主要是事件發生時透過正當的程序保全數位證據並提供分析，以還原事件的真相，而所使用的鑑識工具要如何挑選、如何針對工具進行檢測、審核與認可亦為重要課題。

(二) 數位鑑識人員資格

從事數位鑑識的專業人員應具備何種條件資格，我國法尚無具體規定，而參考美國數位證物實驗品質保證手冊記載，認為專業的鑑識人員除了須依循ISO17025的要求外，也需要是理學院的背景，又相較於中國大陸的檢測和校準實驗室能力認可準則在電子物證檢驗領域的應用說明記載，從事電子物證檢驗技術人員應具有電腦科學專業、電子技術專業或者相關專業大學本科以上（包括大學本科）學歷，或者具有同等學歷，且經過電子物證檢驗技術方面的技術培訓，並至少具備在電子物證檢驗領域的3年工作經驗。因此，關於專業的鑑識人員的條件資格如何審核，條件應如何認列等，才有助於其所從事的數位鑑識工作，也是重要的事情。

(三) 數位鑑識標準程序

數位鑑識強調取證的正當性，避免在取證過程中數位證據受到任何的汙染，但我國法中對於鑑識所應履行的程序標準目前一樣還沒有規範，因此，主管機關應建立一套符合標準程序的規範流程提供數位鑑識人員所遵循，更足以確保鑑識程序的正當性。

(四) 數位鑑識實驗室

關於數位證據蒐集後要開始進行分析，此時，數位鑑識實驗室即扮演很重要的地位，實驗室控管證據程序愈嚴謹，所蒐集到的數位證據愈不易出錯，而國際ISO 17025認證標準所要求實驗室應遵循的程序，如下所述：

所有方法都須有完整的書面敘述。

鑑識科學實驗室使用之技術程序，在應用於案件前都須經過確認有效。

當實驗室使用新的（或已確認）方法時，須針對該程序所有書面記載的效能特性，在實驗室內證明其可靠性。

效能查驗的紀錄應予維持以供未來參考。

當顧客未指明採用方法時，實驗室應選擇國際的、區域的或國家標準，或著名的技術組織、相關科學書籍或期刊所發行的適當方法，或設備製造商所指定的適當方法。

我國目前的數位鑑識實驗室通過ISO 17025認證僅有「法務部調查局資安鑑識實驗室」以及「勤業眾信聯合會計師事務所企業風險服務部門之資安科技暨鑑識分析中心」，而通過認證的實驗室所出具之報告將更具有公信力。

(五) 建置國家級審核認證機制

由於數位鑑識相對於其他學科是較為新穎及在國內無法律具體規範的領域，且數位鑑識檢驗分析之品質結果將影響司法訴訟之判決與大眾之安全與公平體認，因此應建立國家級審核認證機制，以提供客觀明確的鑑識標準以供遵循。

『後續觀察』

數位鑑識在我國產業日漸受到關注，起因於無論是刑事或民事方面的舉證需求都有可能涉及到數位證據的處理，而數位證據仰賴的數位鑑識領域的技術、環境與人力等各方面的品質要求；唯有標準性規範存在才能有對品質的一致性基準，甚至由政府公信態度支持領導發佈的國家標準，才能給予民眾安心與信任的司法觀感。