數位鑑識在企業調查中的應用

企業在經營過程中，難免遇到需要深入調查的事件。從營業秘密被竊取的商業間諜活動、公司之間的專利侵權爭議，到員工違反內部規定所犯下各種不當行為。

概要

• 數位證據是以電腦或類似裝備儲存、傳輸，並能被用來認定或否定犯罪是否存在的資料。
• 數位鑑識專家的首要工作是引導企業找出潛在的證據位置，再使用專業的工具和方法來蒐集必要的證據。
• 數位鑑識專家可選用支援機器學習及自然語言處理技術之工具去協助資料的審閱，然而，目前人工智慧仍主要應用在案情初步時篩選與案情相關的資訊及分群資訊。

話說，凡走過必留下痕跡，許多足以證實不當行為的蹤跡可能以資料形式儲存或暫存於終端設備、移動設備、電腦或其他相似裝置，這些資料係透過二元方式儲存，並透過電腦設備轉換成人類可以理解的內容，常見的類型如：
文字檔、圖像檔、音檔或影像檔等格式。數位證據廣義而言就是以電腦或類似裝備儲存、傳輸，並能被用來認定或否定犯罪是否存在的資料。在企業調查中，數位證據對釐清案情的重要性，往往不亞於帳冊與金流，因此合法及有效的透過數位鑑識技術來分辨、保存及分析數位證據，對企業調查的成功與否相當重要。

1. 辨識與分析數位證據來源

在調查進行的初始階段，企業極有可能對於證據資料處於知之甚少的狀態，此時，有經驗的數位鑑識專家的首要工作是引導企業找出潛在的證據位置，再使用專業的工具和方法來蒐集必要的證據。然而，大型企業可能在系統轉換和工作流程數位化等過程中面臨限制，這些限制可能來自老舊的系統、資料儲存方式、系統權限或其他因素，因此數位鑑識專家需要視情況採取不同的作法。

然而儲存在各處的數位資料通常相當龐大，若沒有一個方向，如同大海撈針，因此在檢視證據資料時，數位鑑識專家應依案情及律師的訴訟策略去思考如何有效執行數位鑑識分析，除了可能存有的資料、資料來源的結構以及檔案本身的內容，亦應該運用不同鑑識科技去篩選並選擇最有利的證據。

另外與時間相關的資訊在企業調查中至關重要，它闡明了事件的整個時間線，包括事件的開始、發展和結束時間，除了可以協助企業釐清或追究當事人責任，亦有助組織制定或設計監測機制，以在未來即時監測或降低類似事件再次發生。因此，時間戳記的紀錄、保存與應用是數位證據中關鍵之一。

2. 數位證據的封存

電子證據開示在企業調查中最常聽到的字詞 Discovery; 或稱證據揭示，這是一在美國盛行已久的訴訟調查流程。在美國聯邦民事訴訟規則（Federal Rules of Civil Procedure, FRCP）中，規範了證據在訴訟過程中可能會產生的要求，從起始階段的資料當事人的規定、證據的準備與保存、關聯證據的判定、訴訟條件資料的產製、甚至分析科技的使用規定等，給予了訴訟雙方在證據資料準備的彈性。FRCP為因應科技快速的發展及資料量逐年增長的狀況，在2006年新增了針對數位資料的規範，並陸續微調針對證據的要求，演變成至今的electronic Discovery，或稱eDiscovery。

eDiscovery規範持續在美國及相同法律體系盛行，在筆者服務機構協助的調查中也觀察到，多數跨國企業雖然在不同法系國家設置企業調查部門，但皆使用前述規範作為內部調查的標準流程。與其進入訴訟後才開始考量法律規範的要求，建議企業在一開始就將證據資料以適用訴訟的格式準備妥善。

3. 數位證據的處理與文件審閱

聯邦民事訴訟規則（FRCP）的第一條規定建議調查應以「公正、快速和經濟的方式」方式進行，在證據資料處理的過程中也會持續地回顧此條的重點。在證據蒐集完成後，採用四種方式去滿足規範要求的原則，包含資料正規化（Normalizing）、資料萃取（Extraction）、資料索引化（Indexing）及資料探勘（Data Mining），這個階段的結果將使調查更有效率地檢視證據中的數位資料，包括剔除常見系統檔案、關鍵字搜尋、時間線篩選及嫌疑人關聯分析等。

當數位資料經過處理後，可能需要進行分析的文件仍相當龐大，舉例而言，一個高科技公司的研發數據可能原始資料量總計都是以1TB起跳，等同於200萬筆資料，在去除重複性資料、不相干的檔案類型後，可能還剩下20萬筆資料。此時應該與公司及其法律顧問討論如何建立有效的關鍵字，透過這些關鍵字搜尋剩餘的文件與檔案中與案件攸關的部分後，再開始文件審閱（Document review）。

除此之外，數位鑑識專家可選用支援機器學習及自然語言處理技術之工具，如：結合ChatGPT引擎及機器輔助審閱程式去協助資料的審閱，然而，目前人工智慧仍主要應用在案情初步時篩選與案情相關的資訊及分群資訊。我們認為未來幾年，科技的進步將顯著改善訴訟時的文件審閱（Document review）方式，但目前人工智慧的判斷結果還無法完全取代人工的文件審閱。

4. 案例與經驗

我們曾協助多起公司機密檔案外流事件的調查，此類案件，嫌疑犯通常係透過公司電子郵件或上傳資料至雲端儲存空間，因此數位鑑識專家會檢視公司各種日誌檔案（log），例如伺服器紀錄檔或瀏覽器日誌來找出資訊外洩的途徑，一旦辨識出途徑，再對經此管道傳輸之檔案進行分析。分析時，有時搭配檔案萃取及圖片轉文字技術（OCR）便會發現外流檔案係由圖片組成，當這些圖片中含有商業機密的數值及文字截圖，在確定了接收對象後，我們便能將蒐證的結果交由負責調查單位進行後續的究責與訴訟。

而分析不應限制於單一對象，常常會意外發現檔案有不同版本，有時這類檔案並非透過公司郵件或雲端儲存系統傳輸，因此應同時檢視嫌疑犯使用的通訊軟體，包含該通訊軟體的暫存資料夾中，我們能透過檢視時間戳記及內容後得知外洩檔案的原始版本以找出原始作者。藉由多個時間戳記的比對，我們得以整理出大致的外洩時間軸，檔案是由哪一位員工製作，再藉由哪一種通訊軟體傳輸後，最後由哪一個員工更新內容再寄出，藉此找出所有共犯。我們從過去經驗了解到，若受限制而未完善檢視所有可能的證據，恐遺漏關鍵嫌疑人。

民間鑑識調查機構如同警方的調查單位一樣，進行一次完整的企業調查不僅僅需要具備鑑識知識的專業人士，還需要包括會計、法律或資料取證等不同專業領域的成員。我們曾經參與一件由國外母公司發起的調查案件，對臺灣子公司發生的舞弊事件提供協助，該公司監察人依公司法218條委任會計師進行調查。儘管這個案件不是由數位鑑識團隊主導，但執行過程中，我們的鑑識會計團隊在第一時間發現員工可能在電腦桌機刻意藏匿第二套的帳冊，因此連絡團隊中的數位鑑識專家對該電腦進行封存與分析，進而讓會計專業人員得以運用資料去計算出舞弊對公司所造成的損失金額。