個資法下的 Log 紀錄與系統操作軌跡管理

更新於 發佈於 閱讀時間約 3 分鐘

來聊聊 Log 紀錄這件事

個人資料保護法規定處理個人資料的軌跡要保留一定年限,因此最近有朋友在問什麼是系統操作軌跡、什麼是 Log 紀錄,想知道到底該保留什麼、保存5年會不會很貴。更進一步的問題是,有些系統 IT 說沒留 Log,那如果真的要存,到底該存哪些內容?

Log簡單來說就是一種紀錄,在討論個資保護的脈絡下,我們可以理解成,Log 就是系統的運作、操作歷程紀錄,能幫助我們掌握誰、什麼時候、對系統做了什麼。這不只是法規要求,還能在問題發生時快速溯源。今天我們來聊聊,Log 應該怎麼存、怎麼管。

先搞懂你的需求

不同的系統、不同的場景,Log 的處理方式也不一樣。這裡列幾個常見情境:

  1. 不必看到完整個資
    • 可以用遮罩處理,例如只顯示部分身分證字號(例如前五碼),後五碼用星號代替。
    • 這樣可以降低風險,也減少不必要的資料存取。
  2. 真的需要看到完整個資
    • 應設計額外的安全機制,比如要輸入指定密碼才能查詢完整資訊。
    • 不該讓所有人都能直接看,權限該怎麼給,要仔細規劃。
  3. 誰可以查?誰能申請?
    • 即使有需要,也不是所以人都能直接看到個資,需先行定義什麼角色的帳號需要看到完整個資。
    • 即使是同一角色,也不是所有帳號都該有「看完整個資」的權限,應該採用申請制。
    • 申請紀錄必須完整保存,不能讓某個帳號一開始就擁有預設開放的權限。
  4. 查過的紀錄要不要留?
    • 任何對個資的操作行為都應該留紀錄,例如:誰查了?什麼時候查的?查了誰的資料?有沒有修改或下載?
    • 這些 Log 必須完整保存,未來如果發生問題才有跡可循。
  5. Log 該存哪些內容?
    • Log 基本上就是操作歷程,你可以想像它是一份詳細的「誰做了什麼」的筆記,至少應該包含:
      • 操作人員 ID
      • 操作時間
      • 操作類型(查詢、修改、刪除)
      • 變更內容(如果有)
    • 可以思考一個問題,如果個資不幸發生外洩,你該透過哪些紀錄,來找到讓個資外洩的王八蛋?這些 Log 可能就是破案的關鍵。

下載紀錄 vs. 系統效能

有時候會有人問:「這些調閱紀錄可不可以匯出?」

  1. 可以,但要小心
    • 如果真的有需要,可以請工程師開發下載功能,但要設計適當的篩選條件,不然幾年累積下來,資料量會超大。
    • 不一定要匯出整批數據,提供查詢介面讓管理者即時查看也可以,同時也需要設計適當的篩選條件。
  2. 效能影響要考慮
    • Log 會隨時間變多,系統查詢時要優化索引,避免拖慢正常交易。
    • 可以用批次存取來減少系統負擔。

存這些 Log 會不會很貴?

以前可能會有這個問題,但現在儲存設備便宜了,再加上個資法的關係,這筆錢省不下來,還是乖乖存好比較保險。當然,還是有些方式可以降低儲存成本:

  • 壓縮存儲:把舊資料壓縮,減少空間占用。
  • 定期監控:資訊人員應該定期檢查硬碟空間,確保不會爆掉。
  • 異地備份(額外提醒):雖然和存 Log 貴不貴沒有直接關聯,但異地備份能避免單一設備掛掉導致資料完全遺失,仍然是重要的資安措施之一。

總結

系統操作軌跡 Log 紀錄這件事,不只是法規要求,更是確保個人資料安全的重要機制。你需要存哪些 Log、如何管理,取決於單位需求和法規要求。做好這些紀錄,不只是為了合規,也是為了在發生問題時能夠迅速定位、查明真相,確保系統的安全性與可追溯性。

留言
avatar-img
留言分享你的想法!
avatar-img
光淺JY的沙龍
11會員
46內容數
所有人都有生而為人的致命缺陷,每一個人都可以被分類,而我歌頌每一個人,因為我選擇善良。讓我偷偷跟你說,100種他們的故事。
光淺JY的沙龍的其他內容
2025/04/21
許多ChatGPT付費用戶誤以為已確保資料安全,卻忽略關閉「為所有人改善模型」設定,導致輸入資料仍可能被OpenAI用於訓練模型。本文提醒用戶務必檢查並關閉此設定,並建議去識別化敏感資料及避免上傳機密資訊,以確保資料安全。
Thumbnail
2025/04/21
許多ChatGPT付費用戶誤以為已確保資料安全,卻忽略關閉「為所有人改善模型」設定,導致輸入資料仍可能被OpenAI用於訓練模型。本文提醒用戶務必檢查並關閉此設定,並建議去識別化敏感資料及避免上傳機密資訊,以確保資料安全。
Thumbnail
2025/04/16
本文比較了三個AI繪圖工具:GPT-4o、Gemini和Copilot在生成食譜圖片方面的表現,發現GPT-4o最能理解指令,生成圖片最符合要求,但運行時間較長且使用次數受限;Gemini和Copilot雖然運行速度快,但生成的圖片經常出現錯誤或與指令不符的情況,例如將冬瓜與哈密瓜混淆。
Thumbnail
2025/04/16
本文比較了三個AI繪圖工具:GPT-4o、Gemini和Copilot在生成食譜圖片方面的表現,發現GPT-4o最能理解指令,生成圖片最符合要求,但運行時間較長且使用次數受限;Gemini和Copilot雖然運行速度快,但生成的圖片經常出現錯誤或與指令不符的情況,例如將冬瓜與哈密瓜混淆。
Thumbnail
2025/04/01
選擇適合的付費AI繪圖工具,關鍵不在於比較模型性能,而在於滿足實際需求、順手的UI介面以及有效的溝通。文章提供三步驟方法論:釐清特定需求(如私密生成、版權考量、文字排版、局部重繪、向量圖輸出),免費試用,找到順手的UI,最後選擇能理解你prompt的模型。
2025/04/01
選擇適合的付費AI繪圖工具,關鍵不在於比較模型性能,而在於滿足實際需求、順手的UI介面以及有效的溝通。文章提供三步驟方法論:釐清特定需求(如私密生成、版權考量、文字排版、局部重繪、向量圖輸出),免費試用,找到順手的UI,最後選擇能理解你prompt的模型。
看更多
你可能也想看
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
在行動裝置安全日益嚴峻的環境下,保護手機資料至關重要。使用者除了養成良好的使用習慣之外,也需要定期更新手機OS系統來提升資料安全防護力,而企業端也可以透過APP加殼加密的方式,讓APP達到更高水平的防護。
Thumbnail
在行動裝置安全日益嚴峻的環境下,保護手機資料至關重要。使用者除了養成良好的使用習慣之外,也需要定期更新手機OS系統來提升資料安全防護力,而企業端也可以透過APP加殼加密的方式,讓APP達到更高水平的防護。
Thumbnail
為什麼要登出使用者? 安全性:防止未經授權的人,在使用者暫離時使用系統,這在公用或共享電腦的環境中尤其重要。 資料保護:只要使用者處於登入狀態,就會暴露在個人資料被他人操縱或利用的風險中,因此登出閒置使用者對資安也很重要。 如何在 Vue 3 專案中實作此功能?
Thumbnail
為什麼要登出使用者? 安全性:防止未經授權的人,在使用者暫離時使用系統,這在公用或共享電腦的環境中尤其重要。 資料保護:只要使用者處於登入狀態,就會暴露在個人資料被他人操縱或利用的風險中,因此登出閒置使用者對資安也很重要。 如何在 Vue 3 專案中實作此功能?
Thumbnail
本法旨在保護個人身心安全、行動自由、生活私密領域及資訊隱私,免於受到跟蹤騷擾行為侵擾,維護個人人格尊嚴,特制定本法。透過警方的保護令程序,可以保護身心受到侵害的被害人,限制犯罪行為人的行動及幹擾
Thumbnail
本法旨在保護個人身心安全、行動自由、生活私密領域及資訊隱私,免於受到跟蹤騷擾行為侵擾,維護個人人格尊嚴,特制定本法。透過警方的保護令程序,可以保護身心受到侵害的被害人,限制犯罪行為人的行動及幹擾
Thumbnail
《個人資料保護法》專家孔德澔律師,從「定位功能」帶我們瞭解個資及隱私授權的存在意義以及對生活產生的影響,並分享如何降低風險或是可以善用的地方。
Thumbnail
《個人資料保護法》專家孔德澔律師,從「定位功能」帶我們瞭解個資及隱私授權的存在意義以及對生活產生的影響,並分享如何降低風險或是可以善用的地方。
Thumbnail
每日自動檢查資料庫運作所產生的訊息,若發現有錯誤,自動寄出警告信給擔當人員
Thumbnail
每日自動檢查資料庫運作所產生的訊息,若發現有錯誤,自動寄出警告信給擔當人員
Thumbnail
利用總機每日外線通話紀錄所產出之紀錄檔案,一筆一筆抓出,並加以判斷是否異常,若有意常發生,將擷取該筆異常資料明細出力之,並email給相關管理者
Thumbnail
利用總機每日外線通話紀錄所產出之紀錄檔案,一筆一筆抓出,並加以判斷是否異常,若有意常發生,將擷取該筆異常資料明細出力之,並email給相關管理者
Thumbnail
對時限的保密則應全程為之。 在第一階段單獨準備時,就必須對利害關係人做大量的調研、溝通、聽證,才能確立我方的談判目標、議題、方案、策略、底線、破局後的最佳替代安案等。 各國非但不會以「保密」為理由,來拒絕和利害關係人做溝通,還會運用各種手段來鼓勵他們表達立場、意見、提出疑慮,以求策略之周延。
Thumbnail
對時限的保密則應全程為之。 在第一階段單獨準備時,就必須對利害關係人做大量的調研、溝通、聽證,才能確立我方的談判目標、議題、方案、策略、底線、破局後的最佳替代安案等。 各國非但不會以「保密」為理由,來拒絕和利害關係人做溝通,還會運用各種手段來鼓勵他們表達立場、意見、提出疑慮,以求策略之周延。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News