数据用时方恨少

要时刻铭记做好数据保管工作，以免他日在法庭上“数据用时方恨少” 。

数据用时方恨少

——教你如何避免电子发现问题带来的祸患

■ 周健 编译

大部分人都有过一种不愉快的经历，那就是事到临头才发现忘了一些重要的东西，但已经无法补救了。如果企业在遭遇法律问题时，在电子发现（e-discovery）过程中忽视了下文中的一些问题，那么很可能再次陷入这种不愉快的感觉。

不过，这次的不愉快可能有所不同，因为忽略电子发现问题带来的往往是一种毁灭性的打击，法官对丢失和损坏的数据是不会手下留情的。在美国，根据美国的法律如果企业在法庭的预审阶段无法提供完整的电子文档，就要支付不少的罚款。于是，企业不仅会受到数百万美元的罚款，甚至可能会因此输掉一场本来可以赢的官司。下面就让我们一起来看看怎样做才能最大程度地避免这样的局面吧。

备份与销毁

同样重要

在法庭上，能够证明你的企业一直是按照标准操作流程来处理电子文件是非常重要的。

举个例子来说，在备份系统需要磁带的时候，如果你随手抓起了最后的几盘旧磁带放了进去，这就是反常的操作，虽然这些磁带可能已经过期，而且上面还沾着“可覆盖”的字条。请相信我，将来你绝对不希望面对不得不解释为什么偏偏选择了这些磁带来覆盖的窘境，法官不会听你的任何解释。

同样，反过来，确保企业的每个人都能够按照企业制定好的信息管理策略，将需要销毁的数据销毁掉。销毁与备份都十分重要，都是保证信息处理工作规律性和一贯性的重要步骤。

监管链管理

备份记录、系统和事件记录、发货收据、服务台票据、工作请求、电子邮件、会议记录、流水分录甚至便签记录都可能成为你的呈堂证供。保持对这些记录的跟踪，它们会证明你在某天做了或者没做一些事情。

一旦电子发现项目开始启动，那么你对“监管链（chain of custody）”这个词就不会再陌生了。实际上，这是一个你必须知道的名词，也就是说你必须能够提供并证实何时何地何人拥有哪些数据。关键的问题在于，法律规定对这条链的追溯必须在电子发现问题出现之前的很长一段时间就开始，这就意味着从现在开始你就需要逐步地开始跟踪和记录监管链了。

比如说，某员工在网络上创建了一个文件夹，而你对其进行了备份，这时你要知道这个文件夹最初的创建者。大部分备份软件都有这个功能，或者你能够在目录结构中看出这个文件夹是否在某人的主目录中。

监管链中还应包含这样的信息，那就是文件何时成为哪些用户的共享资源的，以及何时成为特定人的独有资源的。比如说，一个名为“StatusReport2.doc”的文件是由史密斯创建的，但是由于她将文件保存在用户组的共享文件夹中，因此包括她在内的7个组成员都可以经常地打开并添加他们的评论信息。

在这种情况下，作为监管人，你必须将有权浏览并修改“StatusReport2.doc”文件的所有权，把包括史密斯在内的7个组成员记录下来。通常，任何备份文件并卸下磁带的人都是监管人。

理解文件损毁

虽然企业的法律部门有相关的规定，但是在法律调查和诉讼时，人们通常还是认为文件损毁就是有意无意地破坏或藏匿了证据。这是最不应该出现的情况。

你对某些数据是否重要的看法是无所谓的，因为一旦电子发现过程开始，你的观点不会起任何的作用。冒着数据损坏的危险，删除某些潜在的证据，这种行为是不值得尝试的。在Arista Records Inc和Sakfield Holding Co.的官司中，证据的损坏使法官们认为消失了的资料是当事人对本案不利的负面资料。

通常人们会考虑删除了的信息是否真的对你的企业不利，但由于你将这些信息删除了，法律会自动认为这些信息对你的企业是不利的。更加不利的是，企业在打官司的过程中会多多少少地参与调查和诉讼，这就使法官们更加确信你在证据中做了手脚。因此，对于有些官司，越少参与调查和诉讼，对企业就越有利。

立即保存所有数据

企业不仅要了解信息损毁的严重性，更要知道的是企业需要时刻准备好保存数据，以防电子发现的突然启动或者被要求立即保持所有数据。通常这一请求来自法院的诉讼，要求企业立即禁止对某些数据的更改或删除，也就是“保持现场”。如果你正在进行自动数据清理工作，那么应该马上停下。通常如果你不清楚有多少数据需要立即“冻结”的话，则为了预防万一应该立即停止所有的清理和删除工作。

在这种时候，你往往会非常渴望与你的法律部门密切地沟通。实际上，作为IT部门，最好事先与法律部门准备一个应付类似突发事件的计划，并进行实际演习。

对数据了如指掌

不知道你是否确信自己了解数据存放的地点，并认为自己对数据管理得很好。如果你的回答是肯定的，那么还请自己检查一下，因为我不得不告诉你，我经常听到某些人惊讶地说; “他们又发现了一个服务器/磁盘驱动器/磁带/闪盘。”

通常IT员工对当前数据管理得很好，但是当数据进入了可移动存储介质，就变得不那么可控了。移动存储介质中有很多缺少管理的内容，这些内容都可能会成为诉讼案件中潜在的证据。

想想你对应用服务器做的最后一次硬件升级吧，你是如何处理旧硬件的呢？已经收藏起来了呢？还是放在机架上作为备份硬件以防万一了呢？升级虽然是很久以前的事了，但是我打赌旧的硬件上还有服务器的数据。虽然数据已经“过期了”，但是对于电子发现来说这绝对是个隐患。

做好对备份和档案的管理是至关重要的。你要了解目前正在使用的磁带都在什么位置，并制订磁带的再利用策略。很多企业都有过在电子发现的过程中找到丢失的硬盘的经历，这个时候即使是个“爷爷辈儿”的硬盘，在法律面前都可能成为重要的证据。

定期

与法律部门沟通

虽然这比较难，但还是让我们面对这个事实吧——法律部门虽然不是IT经理们通常愿意光顾的地方，但是当制订信息管理策略和处理电子发现问题时，法律部门和IT部门能够并肩战斗是非常重要的。定期与法律顾问会谈的好处在于能够与法律部门的同事建立起顺畅的沟通渠道，这样在企业陷入官司困扰时就可以迅速开展工作，而且能够大大减少在法律纠纷的后续工作中不愿意看到的某些意外情况。

总之，虽然上述的六个方面不能减少企业进行电子发现的次数，但可以帮助你提高电子发现的效率。如此这般，当电子发现来临之时，你就能够安然应对。

链 接

拒绝鼠标的诱惑

鼠标经常会带来操作失误，比如将上个星期个人野营的图片错误地放进企业销售记录文件夹里，就是鼠标带来的常见问题。但是如果反过来，将企业销售记录放进野营图片文件夹中，不仅会在电子发现过程中有损于你的监管链，还会导致企业的敏感信息遭到泄漏。

简而言之，这是个大问题。在法庭上，这样的错误不仅会使人们对你的信息处理规范流程表示怀疑，也会让法庭上的另一方对流程的严密性提出质疑。

使用浏览器和鼠标拷贝和移动文件在大多数情况下都不存在什么问题，唯独在电子发现问题上是一个禁忌，因为这个时候企业需要的是可信的、可审计的数据。微软的Robocopy、Access Data Corp的Forensic Toolkit和Guidance Software Inc.的EnCase是几款替代鼠标的工具软件。