數位鑑識在企業調查中的應用

3. 數位證據的處理與文件審閱

聯邦民事訴訟規則（FRCP）的第一條規定建議調查應以「公正、快速和經濟的方式」方式進行，在證據資料處理的過程中也會持續地回顧此條的重點。在證據蒐集完成後，採用四種方式去滿足規範要求的原則，包含資料正規化（Normalizing）、資料萃取（Extraction）、資料索引化（Indexing）及資料探勘（Data Mining），這個階段的結果將使調查更有效率地檢視證據中的數位資料，包括剔除常見系統檔案、關鍵字搜尋、時間線篩選及嫌疑人關聯分析等。

當數位資料經過處理後，可能需要進行分析的文件仍相當龐大，舉例而言，一個高科技公司的研發數據可能原始資料量總計都是以1TB起跳，等同於200萬筆資料，在去除重複性資料、不相干的檔案類型後，可能還剩下20萬筆資料。此時應該與公司及其法律顧問討論如何建立有效的關鍵字，透過這些關鍵字搜尋剩餘的文件與檔案中與案件攸關的部分後，再開始文件審閱（Document review）。

除此之外，數位鑑識專家可選用支援機器學習及自然語言處理技術之工具，如：結合ChatGPT引擎及機器輔助審閱程式去協助資料的審閱，然而，目前人工智慧仍主要應用在案情初步時篩選與案情相關的資訊及分群資訊。我們認為未來幾年，科技的進步將顯著改善訴訟時的文件審閱（Document review）方式，但目前人工智慧的判斷結果還無法完全取代人工的文件審閱。

4. 案例與經驗

我們曾協助多起公司機密檔案外流事件的調查，此類案件，嫌疑犯通常係透過公司電子郵件或上傳資料至雲端儲存空間，因此數位鑑識專家會檢視公司各種日誌檔案（log），例如伺服器紀錄檔或瀏覽器日誌來找出資訊外洩的途徑，一旦辨識出途徑，再對經此管道傳輸之檔案進行分析。分析時，有時搭配檔案萃取及圖片轉文字技術（OCR）便會發現外流檔案係由圖片組成，當這些圖片中含有商業機密的數值及文字截圖，在確定了接收對象後，我們便能將蒐證的結果交由負責調查單位進行後續的究責與訴訟。
而分析不應限制於單一對象，常常會意外發現檔案有不同版本，有時這類檔案並非透過公司郵件或雲端儲存系統傳輸，因此應同時檢視嫌疑犯使用的通訊軟體，包含該通訊軟體的暫存資料夾中，我們能透過檢視時間戳記及內容後得知外洩檔案的原始版本以找出原始作者。藉由多個時間戳記的比對，我們得以整理出大致的外洩時間軸，檔案是由哪一位員工製作，再藉由哪一種通訊軟體傳輸後，最後由哪一個員工更新內容再寄出，藉此找出所有共犯。我們從過去經驗了解到，若受限制而未完善檢視所有可能的證據，恐遺漏關鍵嫌疑人。

民間鑑識調查機構如同警方的調查單位一樣，進行一次完整的企業調查不僅僅需要具備鑑識知識的專業人士，還需要包括會計、法律或資料取證等不同專業領域的成員。我們曾經參與一件由國外母公司發起的調查案件，對臺灣子公司發生的舞弊事件提供協助，該公司監察人依公司法218條委任會計師進行調查。儘管這個案件不是由數位鑑識團隊主導，但執行過程中，我們的鑑識會計團隊在第一時間發現員工可能在電腦桌機刻意藏匿第二套的帳冊，因此連絡團隊中的數位鑑識專家對該電腦進行封存與分析，進而讓會計專業人員得以運用資料去計算出舞弊對公司所造成的損失金額。