資料保存

完成前面幾項作業，對機關而言，個人資料管理與保護程度已臻極限，但對這些個資當事人以及政府而言，還不足。原因在於前面作業是站在機關的角度在看個人資料保護，但一旦發生個資事件（不一定是個資外洩），個資當事人要的是如何保證個資的後續安全，而法律要的是機關必須舉證已善盡保管個人資料之責任（這就是舉證責任倒置最嚴重的部分，因為舉證之所在，即敗訴之所在），所以，機關所有管理與保護個人資料之過程，都必須盡可能留下記錄、軌跡資料以及證據，以便能證明機關確實把個人資料當作一回事，所以，這一部分談的不僅是個人資料妥善保管，還囊括所有與個人資料有關之記錄、軌跡資料以及證據。

記錄與證據之內容類型

一般機關內會產生以及必要留存之記錄與證據之類型包括：

8  書面

8  電話語音

8  錄影檔案

8  電子形式（符合電子簽章規範）（電子表單、電子郵件、…）

必要記錄、軌跡資料及證據之範圍

一般機關內必要記錄、軌跡資料及證據之範圍包括：

8  告知或通知當事人之記錄

8  個資當事人同意之各種回覆記錄

8  提供當事人行使個資權利之記錄

8  發生個資事件時之所有處理、通報與通知記錄

8  確保個資正確之記錄

8  個資委外或受委託處理外部機關個資之記錄

8  實體環境（儲存個人資料檔案區域之環境）：進出簽名記錄、門禁記錄、影像攝影

8  實體儲存媒體（位數與非數位）：紙本接觸記錄（紙本個資之收發文機制）、資訊媒體存取記錄

8  網路：存取網路環境與相關設備之記錄，例如網路流量監控記錄、網路安全攻擊事件封包記錄或相關網路設備之操作監控記錄

8  作業系統：系統管理人員至系統主機上進行相關個人資料檔案操作之使用記錄，或於個人電腦中使用者相關檔案存取之記錄，例如USB複製內容記錄

8  資料庫：資料庫管理人員直接至資料庫進行資料操作及存取行為之使用記錄、程式存取記錄、無法識別個體存取記錄（例如：惡意程式）

8  電子檔案：人員存取記錄

8  電子郵件：收送記錄、審核記錄

8  應用伺服器之作業系統：登錄記錄、存取記錄

8  應用程式伺服器：登錄記錄、資料庫存取記錄、使用記錄

8  應用系統：使用者透過應用系統介面之登錄記錄、與個人資料檔案相關功能執行記錄、個人資料檔案存取記錄

8  營運流程：於各業務流程中，針對個人資料檔案申請、簽核及核准之資料存取及授權行為記錄

8  存取個人資料檔案之存取行為記錄：備份媒體存取記錄、紙本存取記錄

8  具備特殊權限帳號之存取行為記錄：系統管理員帳號

8  …

必要記錄、軌跡資料及證據之種類

一般機關內必要記錄、軌跡資料及證據之種類包括：

8  記錄與證據：

Ø   個資當事人個資權利記錄：

§   回應個資當事人行使個資權利之記錄

§   個資當事人行使個資權利之記錄或切結書

Ø   保存個資作業記錄：

§   個人資訊蒐集（直接/間接）時之告知記錄

§   個資當事人同意個資被蒐集、處理或利用之書面同意記錄

§   個資事件發生之告知記錄

§   資料更正記錄

Ø   內部處理記錄：

§   授權軌跡

§   個資存取權限異動之記錄

§   個資事件發生時之處理與通報、通知記錄

§   個人資料檔案之列印、影印記錄

§   刪除、銷毀個人資料檔案內容

§   具備特殊權限帳號之存取行為

§   備份個人資料檔案記錄

§   還原個人資料檔案記錄（從備份媒體）

§   安控措施執行與運作紀錄

Ø   教育與宣導記錄（對機關內部以及外部）

Ø   委外監督記錄

Ø   稽核報告

8  軌跡資料：

Ø   新增個人資料檔案記錄

Ø   存取個人資料檔案記錄

Ø   更新個人資料檔案內容

Ø   刪除個人資料檔案內容

Ø   國際傳輸活動之記錄

8  所提之所有記錄、軌跡資料及證據必須建立在可歸責至某一特定帳號或人員之基礎上

必要記錄、軌跡資料及證據之保存

與個人資料有關之記錄、軌跡資料以及證據應儘可能保留，除了因應個人資料保護法之訴訟問題，同時，組織也需要定期檢視這些資料，作為個人資料保護持續改善之依據。例如：若發現有不知名之程式不斷在對某些特定資訊設備進行大量存取，即需要檢視組織在資訊安全是否出現漏洞。

以下為必要記錄、軌跡資料及證據保存需要注意之事項：

8  因應法規規訂，依法需保留年限之個人資料檔案者，其軌跡資料為能用以日後責任釐清，需與個人資料檔案一併保存至法定期限為止（法定期限為五年），但若有新法律規範者，則不在此限。

8  依據個人資料檔案儲存媒體不同，若有不同之保管單位，組織必須明確指定一至多位專責人員負責保管這些個人資料檔案以及存取之記錄、軌跡資料及證據。

8  前述提及之保管人員需受過專業訓練，至少需具備證據鑑識力相關之技術，確保所保存之記錄、軌跡資料及證據符合訴訟攻防對於證據力之要求。

8  若組織之個人資料有委外蒐集、處理或利用，必須在合約中載明對個人資料檔案以及必要之記錄、軌跡資料以及證據之保存採取不低於委託機關之等級。

8  以電子型式儲存之記錄、軌跡資料及證據必須注意其發生之時間，也就是組織內所有資訊服務之時間必須一致，否則如果駭客通過防火牆的時間與ERP系統被盜取資料之時間無法吻合，這些記錄、軌跡資料及證據就不具備法律上之證據力。故組織必須隨時讓內部所有資訊系統之時間進行同步。如果有委外或以雲端方式儲存在外部，亦需要解決此一時間同步之問題。

8  個人資料保管人必須確保這些記錄、軌跡資料及證據在前後串連後可以歸責到某一特定人員或物件，也就是可歸責性(Accountability)，否則，這些資料在責任歸屬上就不太具有意義。

8  這些記錄、軌跡資料及證據需記錄之項目：

Ø   執行之人員、帳號或物件

Ø   如果屬資訊物件，需記錄IP

Ø   記錄時間

Ø   來源物件

Ø   目標物件

Ø   地點或環境設定（例如：作業環境、設定、語系、...）

Ø   詳細內容說明

Ø   成功或失敗訊息（物）

Ø   ...

必要記錄、軌跡資料及證據之存取

組織保留與個人資料有關之記錄、軌跡資料以及證據是為了因應未來訴訟以及找出個人資料保護機制之防護弱點，所以除了善加保管這些資料外，亦需對存取這些資料之行為有嚴謹之規範，避免花大錢保留這些資料，卻因可能被人為竄改，而失去法律鑑識之有效性。以下為幾個需要注意之事項：

8  所有記錄、軌跡資料及證據皆嚴禁以任何方式新增、更新或刪除。

8  調閱記錄、軌跡資料及證據需由業務承辦人或個資保管者提出申請，經部門主管（如與資訊系統相關，亦需經資訊單位主管核可）核可，方可調閱或存取。每一次之存取，需留下下列資料：

Ø   存取人員或帳號/IP（人）

Ø   存取標的物、存取數量、存取詳細資料、存取目的（事）

Ø   登入時間、存取時間（時）

Ø   目標設備、地點（地）

Ø   資料存取成功或失敗訊息（物）

8  依據風險評鑑以及保護個人資料檔案所需，下列環境與資訊系統必須具備稽核之特定事件：

Ø   存放個人資料檔案之管制區域：誰在何時進出進行何事以及接觸哪些資料

Ø   防火牆設備：誰在何時從何處進出防火牆設備

Ø   電子郵件：誰在何時寄送哪些與個人資料相關之電子郵件

Ø   AD：誰在何時用哪個IP在哪一部設備上登錄組織資訊環境

Ø   檔案伺服器或文件管理平台：誰在何時以何種設備在哪一個IP上對哪些個人資料檔案進行哪些行為

Ø   資料庫：誰在何時透過哪一個帳號、網路IP、設備對哪些個人資料進行哪些行為

Ø   應用系統：

§   誰在何時透過哪一個帳號、網路IP、設備執行哪些個人資料相關之功能

§   誰在何時透過哪一個帳號、網路IP、設備對哪些個人資料檔案進行哪些行為