個資法下的 Log 紀錄與系統操作軌跡管理

個資法下的 Log 紀錄與系統操作軌跡管理

更新於 發佈於 閱讀時間約 3 分鐘

來聊聊 Log 紀錄這件事

個人資料保護法規定處理個人資料的軌跡要保留一定年限,因此最近有朋友在問什麼是系統操作軌跡、什麼是 Log 紀錄,想知道到底該保留什麼、保存5年會不會很貴。更進一步的問題是,有些系統 IT 說沒留 Log,那如果真的要存,到底該存哪些內容?

Log簡單來說就是一種紀錄,在討論個資保護的脈絡下,我們可以理解成,Log 就是系統的運作、操作歷程紀錄,能幫助我們掌握誰、什麼時候、對系統做了什麼。這不只是法規要求,還能在問題發生時快速溯源。今天我們來聊聊,Log 應該怎麼存、怎麼管。

先搞懂你的需求

不同的系統、不同的場景,Log 的處理方式也不一樣。這裡列幾個常見情境:

  1. 不必看到完整個資
    • 可以用遮罩處理,例如只顯示部分身分證字號(例如前五碼),後五碼用星號代替。
    • 這樣可以降低風險,也減少不必要的資料存取。
  2. 真的需要看到完整個資
    • 應設計額外的安全機制,比如要輸入指定密碼才能查詢完整資訊。
    • 不該讓所有人都能直接看,權限該怎麼給,要仔細規劃。
  3. 誰可以查?誰能申請?
    • 即使有需要,也不是所以人都能直接看到個資,需先行定義什麼角色的帳號需要看到完整個資。
    • 即使是同一角色,也不是所有帳號都該有「看完整個資」的權限,應該採用申請制。
    • 申請紀錄必須完整保存,不能讓某個帳號一開始就擁有預設開放的權限。
  4. 查過的紀錄要不要留?
    • 任何對個資的操作行為都應該留紀錄,例如:誰查了?什麼時候查的?查了誰的資料?有沒有修改或下載?
    • 這些 Log 必須完整保存,未來如果發生問題才有跡可循。
  5. Log 該存哪些內容?
    • Log 基本上就是操作歷程,你可以想像它是一份詳細的「誰做了什麼」的筆記,至少應該包含:
      • 操作人員 ID
      • 操作時間
      • 操作類型(查詢、修改、刪除)
      • 變更內容(如果有)
    • 可以思考一個問題,如果個資不幸發生外洩,你該透過哪些紀錄,來找到讓個資外洩的王八蛋?這些 Log 可能就是破案的關鍵。

下載紀錄 vs. 系統效能

有時候會有人問:「這些調閱紀錄可不可以匯出?」

  1. 可以,但要小心
    • 如果真的有需要,可以請工程師開發下載功能,但要設計適當的篩選條件,不然幾年累積下來,資料量會超大。
    • 不一定要匯出整批數據,提供查詢介面讓管理者即時查看也可以,同時也需要設計適當的篩選條件。
  2. 效能影響要考慮
    • Log 會隨時間變多,系統查詢時要優化索引,避免拖慢正常交易。
    • 可以用批次存取來減少系統負擔。

存這些 Log 會不會很貴?

以前可能會有這個問題,但現在儲存設備便宜了,再加上個資法的關係,這筆錢省不下來,還是乖乖存好比較保險。當然,還是有些方式可以降低儲存成本:

  • 壓縮存儲:把舊資料壓縮,減少空間占用。
  • 定期監控:資訊人員應該定期檢查硬碟空間,確保不會爆掉。
  • 異地備份(額外提醒):雖然和存 Log 貴不貴沒有直接關聯,但異地備份能避免單一設備掛掉導致資料完全遺失,仍然是重要的資安措施之一。

總結

系統操作軌跡 Log 紀錄這件事,不只是法規要求,更是確保個人資料安全的重要機制。你需要存哪些 Log、如何管理,取決於單位需求和法規要求。做好這些紀錄,不只是為了合規,也是為了在發生問題時能夠迅速定位、查明真相,確保系統的安全性與可追溯性。

avatar-img
光淺JY的沙龍
11會員
43內容數
所有人都有生而為人的致命缺陷,每一個人都可以被分類,而我歌頌每一個人,因為我選擇善良。讓我偷偷跟你說,100種他們的故事。
留言
avatar-img
留言分享你的想法!
光淺JY的沙龍 的其他內容
許多ChatGPT付費用戶誤以為已確保資料安全,卻忽略關閉「為所有人改善模型」設定,導致輸入資料仍可能被OpenAI用於訓練模型。本文提醒用戶務必檢查並關閉此設定,並建議去識別化敏感資料及避免上傳機密資訊,以確保資料安全。
本文比較了三個AI繪圖工具:GPT-4o、Gemini和Copilot在生成食譜圖片方面的表現,發現GPT-4o最能理解指令,生成圖片最符合要求,但運行時間較長且使用次數受限;Gemini和Copilot雖然運行速度快,但生成的圖片經常出現錯誤或與指令不符的情況,例如將冬瓜與哈密瓜混淆。
選擇適合的付費AI繪圖工具,關鍵不在於比較模型性能,而在於滿足實際需求、順手的UI介面以及有效的溝通。文章提供三步驟方法論:釐清特定需求(如私密生成、版權考量、文字排版、局部重繪、向量圖輸出),免費試用,找到順手的UI,最後選擇能理解你prompt的模型。
許多ChatGPT付費用戶誤以為已確保資料安全,卻忽略關閉「為所有人改善模型」設定,導致輸入資料仍可能被OpenAI用於訓練模型。本文提醒用戶務必檢查並關閉此設定,並建議去識別化敏感資料及避免上傳機密資訊,以確保資料安全。
本文比較了三個AI繪圖工具:GPT-4o、Gemini和Copilot在生成食譜圖片方面的表現,發現GPT-4o最能理解指令,生成圖片最符合要求,但運行時間較長且使用次數受限;Gemini和Copilot雖然運行速度快,但生成的圖片經常出現錯誤或與指令不符的情況,例如將冬瓜與哈密瓜混淆。
選擇適合的付費AI繪圖工具,關鍵不在於比較模型性能,而在於滿足實際需求、順手的UI介面以及有效的溝通。文章提供三步驟方法論:釐清特定需求(如私密生成、版權考量、文字排版、局部重繪、向量圖輸出),免費試用,找到順手的UI,最後選擇能理解你prompt的模型。