個資法下的 Log 紀錄與系統操作軌跡管理

來聊聊 Log 紀錄這件事

個人資料保護法規定處理個人資料的軌跡要保留一定年限，因此最近有朋友在問什麼是系統操作軌跡、什麼是 Log 紀錄，想知道到底該保留什麼、保存5年會不會很貴。更進一步的問題是，有些系統 IT 說沒留 Log，那如果真的要存，到底該存哪些內容？

Log簡單來說就是一種紀錄，在討論個資保護的脈絡下，我們可以理解成，Log 就是系統的運作、操作歷程紀錄，能幫助我們掌握誰、什麼時候、對系統做了什麼。這不只是法規要求，還能在問題發生時快速溯源。今天我們來聊聊，Log 應該怎麼存、怎麼管。

先搞懂你的需求

不同的系統、不同的場景，Log 的處理方式也不一樣。這裡列幾個常見情境：

1. 不必看到完整個資：
2. • 可以用遮罩處理，例如只顯示部分身分證字號（例如前五碼），後五碼用星號代替。
   • 這樣可以降低風險，也減少不必要的資料存取。
2. 真的需要看到完整個資：
3. • 應設計額外的安全機制，比如要輸入指定密碼才能查詢完整資訊。
   • 不該讓所有人都能直接看，權限該怎麼給，要仔細規劃。
3. 誰可以查？誰能申請？
4. • 即使有需要，也不是所以人都能直接看到個資，需先行定義什麼角色的帳號需要看到完整個資。
   • 即使是同一角色，也不是所有帳號都該有「看完整個資」的權限，應該採用申請制。
   • 申請紀錄必須完整保存，不能讓某個帳號一開始就擁有預設開放的權限。
4. 查過的紀錄要不要留？
5. • 任何對個資的操作行為都應該留紀錄，例如：誰查了？什麼時候查的？查了誰的資料？有沒有修改或下載？
   • 這些 Log 必須完整保存，未來如果發生問題才有跡可循。
5. Log 該存哪些內容？
6. • Log 基本上就是操作歷程，你可以想像它是一份詳細的「誰做了什麼」的筆記，至少應該包含：
   • • 操作人員 ID
     • 操作時間
     • 操作類型（查詢、修改、刪除）
     • 變更內容（如果有）
   • 可以思考一個問題，如果個資不幸發生外洩，你該透過哪些紀錄，來找到讓個資外洩的王八蛋？這些 Log 可能就是破案的關鍵。

下載紀錄 vs. 系統效能

有時候會有人問：「這些調閱紀錄可不可以匯出？」

1. 可以，但要小心：
2. • 如果真的有需要，可以請工程師開發下載功能，但要設計適當的篩選條件，不然幾年累積下來，資料量會超大。
   • 不一定要匯出整批數據，提供查詢介面讓管理者即時查看也可以，同時也需要設計適當的篩選條件。
2. 效能影響要考慮：
3. • Log 會隨時間變多，系統查詢時要優化索引，避免拖慢正常交易。
   • 可以用批次存取來減少系統負擔。

存這些 Log 會不會很貴？

以前可能會有這個問題，但現在儲存設備便宜了，再加上個資法的關係，這筆錢省不下來，還是乖乖存好比較保險。當然，還是有些方式可以降低儲存成本：

• 壓縮存儲：把舊資料壓縮，減少空間占用。
• 定期監控：資訊人員應該定期檢查硬碟空間，確保不會爆掉。
• 異地備份（額外提醒）：雖然和存 Log 貴不貴沒有直接關聯，但異地備份能避免單一設備掛掉導致資料完全遺失，仍然是重要的資安措施之一。

總結

系統操作軌跡 Log 紀錄這件事，不只是法規要求，更是確保個人資料安全的重要機制。你需要存哪些 Log、如何管理，取決於單位需求和法規要求。做好這些紀錄，不只是為了合規，也是為了在發生問題時能夠迅速定位、查明真相，確保系統的安全性與可追溯性。