蘇敏杰

摘要:隨著電子技術(shù)特別是網(wǎng)絡(luò)技術(shù)、通信技術(shù)的飛速發(fā)展,電子證據(jù)將越來越多地應(yīng)用到案件的偵破、訴訟實(shí)踐中,而電子證據(jù)的提取與檢驗(yàn)過程也需要嚴(yán)謹(jǐn)?shù)膶I(yè)手段和具體的操作規(guī)程。本文針對(duì)電子證據(jù)的特點(diǎn)對(duì)電子證據(jù)的提取原則、分析、鑒定等方面加以論述。

關(guān)鍵詞:電子證據(jù)取證檢驗(yàn)

中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2012)06(c)-0023-02

2012年3月14日十一屆全國(guó)人大五次會(huì)議14日表決通過《刑訴法修正案》已將“電子數(shù)據(jù)”作為獨(dú)立的證據(jù)種類納入修改內(nèi)容,修改后的《中華人民共和國(guó)刑事訴訟法》并將于2013年1月1日起正式實(shí)施。屆時(shí),電子數(shù)據(jù)證據(jù)將會(huì)在各類訴訟中普遍應(yīng)用,而電子數(shù)據(jù)的提取和檢驗(yàn)。需要有足夠的掌握高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)又具有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的網(wǎng)偵人才。筆者通過多年計(jì)算機(jī)安全監(jiān)察管理實(shí)踐,總結(jié)出一些對(duì)電子物證現(xiàn)場(chǎng)檢查的經(jīng)驗(yàn)和心得,供大家商榷。

1 當(dāng)前司法界對(duì)電子證據(jù)的界定及與相關(guān)表述方式的關(guān)系

“電子證據(jù)”是指由電子設(shè)備存儲(chǔ)或傳輸?shù)挠袀刹樽饔没蜃C據(jù)價(jià)值的電子信息及派生物?！半娮有畔ⅰ笔侵敢猿绦颉⑽谋?、聲音、圖像、影像等電子形式存在的數(shù)據(jù),“派生物”是指由電子信息轉(zhuǎn)化而來的附屬材料。通過對(duì)電子證據(jù)的固定、提取、封存,可以發(fā)現(xiàn)、揭露、證實(shí)犯罪行為,從而確定偵查方向和范圍,為破案提供線索和證據(jù)。

從目前各國(guó)研究狀況來看,電子證據(jù)同數(shù)字證據(jù)、計(jì)算機(jī)證據(jù)是比較容易混用的概念,其關(guān)系如下(圖1)。

2 電子證據(jù)的特點(diǎn)

作為一種新的證據(jù)種類,電子證據(jù)除必須具備所有證據(jù)的共同屬性客觀性、關(guān)聯(lián)性、合法性,同時(shí)與傳統(tǒng)的證據(jù)相比較,電子證據(jù)還具有以下顯著特點(diǎn):

(1)高科技性:電子證據(jù)的高科技性不僅指在證據(jù)的產(chǎn)生、傳輸、儲(chǔ)存等離不開高科技含量的設(shè)備,而且表現(xiàn)在犯罪實(shí)施主體的高技術(shù)性和案件偵破主體的專業(yè)性。

(2)內(nèi)在實(shí)質(zhì)上的無形性:一切交由計(jì)算機(jī)處理的信息都必須經(jīng)過數(shù)字化的過程,因此電子證據(jù)實(shí)質(zhì)上只是一堆按編碼規(guī)則處理成的二進(jìn)制信息,具有無形性,

(3)外在表現(xiàn)形式的多樣性:電子信息不僅可以表現(xiàn)為文字、圖像、聲音多種媒體,還可以是交互式的、可編繹的,并隨著科技成果不斷增加,因此電子證據(jù)依附于何種載體以及以何種表現(xiàn)形式來表達(dá)其傳遞的信息也具有多樣性。如可以以電子文件的形式提供,或以傳統(tǒng)物證、書證或視聽資料的形式提供,也可以由第三方公證或技術(shù)鑒定機(jī)構(gòu)鑒定作為證據(jù)提供。

(4)客觀真實(shí)性:電子物證一經(jīng)生成必然會(huì)在計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中留下相關(guān)的痕跡或記錄并被保存于系統(tǒng)自帶日志(系統(tǒng)日志、安全日志等)或第三方軟件形成的日志中,即使遭到人為篡改或系統(tǒng)故障等外在因素的破壞,仍可以使用SDII服務(wù)器恢復(fù)系統(tǒng)等專業(yè)電子物證勘驗(yàn)設(shè)備,過數(shù)據(jù)恢復(fù)手段進(jìn)行電子物證的恢復(fù)、固定和提取。

(5)實(shí)時(shí)有效性:如一些人為設(shè)定的“邏輯炸彈”,過了某一時(shí)限就會(huì)刪除某些電子數(shù)據(jù)。

(6)易破壞性:當(dāng)有人為因素的或技術(shù)的障礙介入時(shí),容易被截取、監(jiān)聽、剪接、篡改、偽造、刪除,同時(shí)還可能由于計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、物理系統(tǒng)以及非故意的行為如誤操作、病毒、硬件故障或沖突、軟件兼容性引起的數(shù)據(jù)丟失、系統(tǒng)崩潰、突然斷電等原因,造成電子物證的變化且不易發(fā)現(xiàn)其改變的痕跡。

(7)存在的廣域性:電子物證因行為人使用網(wǎng)絡(luò)的種類不同或目的不同而存在于局域網(wǎng)或互聯(lián)網(wǎng)中,由于網(wǎng)絡(luò)犯罪行為和網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性,所以分散于網(wǎng)絡(luò)各臺(tái)計(jì)算機(jī)中的電子證據(jù)往往具有時(shí)間空間上的連續(xù)性,并能相互印證,形成證明犯罪事實(shí)的直接證據(jù)。而在遍布全球的互聯(lián)網(wǎng)中的各地網(wǎng)絡(luò)服務(wù)商提供的服務(wù)器就會(huì)留有電子物證。基于電子物證的這一特性,取證活動(dòng)將常常不局限于一地區(qū)、一國(guó)界,且由于各地區(qū)、各國(guó)分屬不同的法域,對(duì)電子物證的法律規(guī)定自然存在差異,必然帶來取證的障礙和沖突。

3 電子證據(jù)的分類

(1)按計(jì)算機(jī)在證據(jù)形成過程中所起的作用分為使用計(jì)算機(jī)活動(dòng)記錄的證據(jù)和使用計(jì)算機(jī)生成的結(jié)果證據(jù)。前者通常由計(jì)算機(jī)中的軟件自動(dòng)記錄,后者如我們通過計(jì)算機(jī)擬就的合同、協(xié)議,并通過網(wǎng)絡(luò)發(fā)送給交易對(duì)方并得以確認(rèn)的信息。

(2)按證明事實(shí)的不同可分為證明犯罪過程的證據(jù)或證明損害結(jié)果的證據(jù),如數(shù)據(jù)的被篡改、破壞情況,以及證明之間因果關(guān)系的電子證據(jù)(如計(jì)算機(jī)病毒和軟件中邏輯炸彈本身即有證明其破壞性的證明效力)。

(3)按存儲(chǔ)的位置分為在網(wǎng)絡(luò)(服務(wù)機(jī))上的證據(jù)和存放在網(wǎng)絡(luò)終端(客戶機(jī))上甚至移動(dòng)存儲(chǔ)設(shè)備上的證據(jù)。

(4)電子證據(jù)按其技術(shù)含量可分為普通數(shù)據(jù)、隱藏?cái)?shù)據(jù)、加密數(shù)據(jù)。具有加密技術(shù)的數(shù)據(jù)信息無疑有極強(qiáng)的證明力。

4 電子證據(jù)取證的對(duì)象

4.1 數(shù)據(jù)電文證據(jù)

存在于計(jì)算機(jī)中的:與案件有關(guān)的程序、數(shù)據(jù)資料文檔;系統(tǒng)日志文件;備份介質(zhì);入侵者殘留物:如程序、腳本、進(jìn)程、內(nèi)存映像;交換區(qū)文件;臨時(shí)文件;硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到);系統(tǒng)緩沖區(qū)。

4.2 存在于網(wǎng)絡(luò)中的

防火墻日志;IDS日志;其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。

附屬信息證據(jù):是指在對(duì)電子證據(jù)進(jìn)行審查判斷時(shí),除電子證據(jù)本身所包含的證據(jù)信息之外的,能夠影響電子證據(jù)本身可采性和證明力的信息。是收集證據(jù)的過程記錄(地點(diǎn)、時(shí)間、人員和流程)、方法等信息。

4.3 系統(tǒng)環(huán)境證據(jù)

電子物證的取證活動(dòng)應(yīng)針對(duì)每一案件事實(shí),分別明確取證的數(shù)據(jù)電文證據(jù)、附屬信息證據(jù)和系統(tǒng)環(huán)境證據(jù)的內(nèi)容和范圍,由上述三個(gè)相關(guān)聯(lián)的證據(jù)構(gòu)成的完整的證明體系,才能確保電子物證具有真實(shí)性和可靠性。

5 電子證據(jù)取證時(shí)的原則

5.1 電子證據(jù)的收集要注意合法化

(1)取證的人員的身份合法:只有我們依據(jù)相關(guān)法律規(guī)定具有取證資格的人提取的證據(jù)才具有合法性。

(2)取證的程序合法:電子證據(jù)的取得,必須遵守法律規(guī)定的范圍、程序和方法,不得侵害公民的合法權(quán)益。當(dāng)事人不得以非法侵入他人計(jì)算機(jī)信息系統(tǒng)的方法獲取證據(jù);特別是向isp或?qū)I(yè)網(wǎng)絡(luò)公司、數(shù)據(jù)公司要求取得某項(xiàng)證據(jù)時(shí),要嚴(yán)格遵守與客戶簽訂的保密協(xié)議和服務(wù)條款,不得隨意泄露用戶個(gè)人信息,更不得以訴訟需要為名肆意竊取他人隱私材料和保密信息。如果證據(jù)是由第三人提供,則該第三人應(yīng)出具保證證據(jù)自生成或收到后始終保持原始狀態(tài)及本人自愿提供該證據(jù)的文件或數(shù)字簽名;鑒于事實(shí)上在糾紛中當(dāng)事人很難獲得對(duì)方的證據(jù),對(duì)于因侵權(quán)所引起的糾紛應(yīng)當(dāng)由侵權(quán)行為人承擔(dān)舉證責(zé)任。在對(duì)網(wǎng)絡(luò)犯罪電子證據(jù)的采集過程中對(duì)非司法機(jī)關(guān)、司法工作人員主體收集的電子證據(jù)不應(yīng)采信。

(3)在取證時(shí)使用的工具、軟件合法。

5.2 電子證據(jù)的來源要真實(shí)可靠

(1)證據(jù)的來源必須是客觀存在的,排除臆造出來的可能性;盡早地搜集整理證據(jù),能夠得到第一手的信息,并盡可能地做到取證的過程公正和公開。

(2)確定證據(jù)來源的真實(shí)可靠性,根據(jù)電子證據(jù)形成的時(shí)間、地點(diǎn)、對(duì)象、制作人、制作過程及設(shè)備情況,明確電子證據(jù)所反映的是否真實(shí)可靠,有無偽造和刪改的可能。在提取電子證據(jù)時(shí)要必須保證“證據(jù)連續(xù)性”,即在證據(jù)被正式提交給法庭時(shí),必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當(dāng)然最好是沒有任何變化。

(3)要確保所獲取的證據(jù)和原有的數(shù)據(jù)是相同的。在電子物證的提取和檢驗(yàn)過程中,如果不按程序進(jìn)行提取和檢驗(yàn),很容易使檢材中的電子信息改變,甚至造成電子物證永久性的破壞,即電子物證的“污染”。常見的造成電子物證“污染”情況有:

1)使用帶有系統(tǒng)的硬盤檢材啟動(dòng)

2)恢復(fù)刪除的數(shù)據(jù)后,將恢復(fù)出的數(shù)據(jù)存回原盤

3)檢驗(yàn)時(shí)將硬盤檢材直接掛在系統(tǒng)中

4)筆記本中的硬盤數(shù)據(jù)檢驗(yàn)時(shí),直接開機(jī)進(jìn)行檢驗(yàn),這樣很容易改變其中的數(shù)據(jù)。

5)直接開啟手機(jī)檢材進(jìn)行檢驗(yàn)

(4)整個(gè)檢查、取證過程必須是受到監(jiān)督的。最好所有調(diào)查取證工作,都有其他方委派的專家的監(jiān)督。偵查人員應(yīng)當(dāng)對(duì)提取、復(fù)制、固定電子數(shù)據(jù)的過程制作相關(guān)文字說明,記錄案由、對(duì)象、內(nèi)容以及提取、復(fù)制、固定的時(shí)間、地點(diǎn)、方法,電子數(shù)據(jù)的規(guī)格、類別、文件格式等,并由提取、復(fù)制、固定電子數(shù)據(jù)的制作人、電子數(shù)據(jù)的持有人簽名或者蓋章,附所提取、復(fù)制、固定的電子數(shù)據(jù)一并隨案移送。對(duì)于電子數(shù)據(jù)存儲(chǔ)在境外的計(jì)算機(jī)上的,或者偵查機(jī)關(guān)從網(wǎng)站提取電子數(shù)據(jù)時(shí)犯罪嫌疑人未到案的,或者電子數(shù)據(jù)的持有人無法簽字或者拒絕簽字的,應(yīng)當(dāng)由能夠證明提取、復(fù)制、固定過程的見證人簽名或者蓋章,記明有關(guān)情況。必要時(shí),可對(duì)提取、復(fù)制、固定有關(guān)電子數(shù)據(jù)的過程拍照或者錄像。

5.3 電子證據(jù)要與案件事實(shí)有關(guān)聯(lián)

提取的電子證據(jù)所反映的事件和行為要與案件事實(shí)有關(guān)聯(lián),只有與案件相關(guān)的事實(shí)或邏輯上是相關(guān)的事實(shí)才能被認(rèn)為是證據(jù)。

6 現(xiàn)場(chǎng)勘察取證實(shí)踐中的需注意的問題

(1)保護(hù)現(xiàn)場(chǎng)環(huán)境對(duì)現(xiàn)場(chǎng)進(jìn)行勘查,凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng),避免發(fā)生任何的改變、數(shù)據(jù)破壞或病毒感染。

(2)繪制犯罪現(xiàn)場(chǎng)圖、網(wǎng)絡(luò)拓?fù)鋱D,在移動(dòng)或拆卸任何設(shè)備之前都要拍照存檔,為今后模擬和犯罪現(xiàn)場(chǎng)還原提供直接依據(jù)。

(3)積極要求證人、犯罪嫌疑人配合協(xié)作,從他們那里了解操作系統(tǒng)、用戶名口令、儲(chǔ)存數(shù)據(jù)的硬盤位置、文件目錄等信息。

(4)如果發(fā)現(xiàn)犯罪嫌疑人處所的電腦處于關(guān)機(jī)狀態(tài),在未掌握其是否在電腦中安裝還原軟件的情況下或者沒有確實(shí)把握,不要輕易自行開機(jī)查看電腦中留存的信息或進(jìn)行其他操作;如果發(fā)現(xiàn)犯罪嫌疑人處所的電腦處于開機(jī)狀態(tài),辦案民警可對(duì)其場(chǎng)所進(jìn)行控制。因案情需要,需對(duì)電腦進(jìn)行扣押或需要對(duì)電腦中的信息進(jìn)行分析的,應(yīng)直接切斷主機(jī)電源(拔插頭),不得進(jìn)行正常關(guān)機(jī)操作。

(5)取證工作中,如果發(fā)現(xiàn)犯罪嫌疑人正在電腦前上網(wǎng)或進(jìn)行機(jī)前操作,應(yīng)立即對(duì)其進(jìn)行控制,使其暫停任何機(jī)前動(dòng)作,做到人機(jī)分離,保持電腦中的原始狀態(tài),并視案情及時(shí)通知網(wǎng)監(jiān)部門進(jìn)行現(xiàn)場(chǎng)處理。

(6)網(wǎng)吧或其他公共場(chǎng)所發(fā)現(xiàn)犯罪嫌疑人使用過的電腦或其他可疑電腦,要對(duì)該場(chǎng)所或小范圍進(jìn)行控制,避免任何人關(guān)機(jī)或重新啟動(dòng)。同時(shí),要迅速通知網(wǎng)管人員或其他相關(guān)技術(shù)人員進(jìn)行配合,防止電腦被遠(yuǎn)程操作。對(duì)事后發(fā)現(xiàn)的可疑電腦,也應(yīng)盡早通知相應(yīng)人員對(duì)該電腦進(jìn)行控制,避免更多的無關(guān)人員進(jìn)行操作。

(7)公司或其他部門里局域網(wǎng)中的可疑電腦,無論其是否處于關(guān)機(jī)狀態(tài),均須將網(wǎng)線拔除,以避免犯罪嫌疑人或其他關(guān)系人進(jìn)行遠(yuǎn)程登錄關(guān)機(jī)或喚醒進(jìn)行其他操作。

(8)對(duì)工作中發(fā)現(xiàn)的各類可疑筆記本電腦,可參照上述對(duì)臺(tái)式電腦處置的方法和要求進(jìn)行處置。但對(duì)筆記本電腦進(jìn)行切斷電源操作時(shí),要注意在切斷外接電源的同時(shí),還要切斷筆記本電腦的內(nèi)置電源。

(9)對(duì)工作中發(fā)現(xiàn)的可疑PDA(俗稱掌上電腦),因其內(nèi)置中無硬盤,所有輸入數(shù)據(jù)均存儲(chǔ)在內(nèi)存中,其信息資料會(huì)因電源耗盡而丟失。因此,要注意及時(shí)對(duì)此類電腦中的資料進(jìn)行備份。

(10)對(duì)處于開機(jī)狀態(tài)的各類電腦進(jìn)行處置前,須對(duì)電腦中的系統(tǒng)時(shí)間與實(shí)際時(shí)間進(jìn)行比對(duì),并記錄備查。對(duì)已查獲并進(jìn)行勘驗(yàn)、檢查過的各類電腦,要杜絕進(jìn)行使用,以避免因再次使用電腦而造成電子證據(jù)在訴訟程序上的無效。

7 電子物證的分析、檢驗(yàn)鑒定

(1)要在不改變?cè)紨?shù)據(jù)的前提下對(duì)電子證據(jù)進(jìn)行分析檢驗(yàn)。為避免在檢驗(yàn)過程中破壞源數(shù)據(jù),需要在檢驗(yàn)前對(duì)源數(shù)據(jù)磁盤做逐位精確的備份,對(duì)硬盤克隆方法分為軟件克隆和專用硬盤克隆機(jī)。

(2)對(duì)電子證據(jù)進(jìn)行檢驗(yàn)鑒定,目前常見的鑒定類型有:基本數(shù)據(jù)的檢驗(yàn)、數(shù)據(jù)的恢復(fù)檢驗(yàn)、與網(wǎng)絡(luò)有關(guān)的電子物證檢驗(yàn)、軟件功能檢驗(yàn)、軟件一致性檢驗(yàn)、文件一致性檢驗(yàn)、文件解檢驗(yàn)、數(shù)碼照片屬性檢驗(yàn)、關(guān)健字檢驗(yàn)、手機(jī)電子證據(jù)的檢驗(yàn)以及其它電子設(shè)備中電子物證的檢驗(yàn)鑒定。

8 結(jié)語

電子證據(jù)的產(chǎn)生是隨著高科技的發(fā)展而不斷變化的,在網(wǎng)絡(luò)技術(shù)發(fā)達(dá)的國(guó)家,有許多專門的計(jì)算機(jī)取證部門、實(shí)驗(yàn)室和咨詢公司,國(guó)外公司開發(fā)的取證工具也覆蓋了計(jì)算機(jī)取證的四個(gè)階段,進(jìn)一步提高了取證工具的自動(dòng)化和智能化程度,利用取證工具提高電子證據(jù)搜集、保全、分析和鑒別的可靠性。我國(guó)的電子證據(jù)研究與實(shí)踐尚在起步階段,目前的網(wǎng)絡(luò)安全研究多著眼于入侵防范,而對(duì)于入侵后的取證問題研究甚少,可利用的工具就更少了,取證技術(shù)的研究和相當(dāng)操作的標(biāo)準(zhǔn)化建設(shè),能從從技術(shù)的角度解決電子證據(jù)的法律舉證問題,對(duì)于追究相關(guān)責(zé)任、威懾犯罪等方面有著非常積極的意義。

參考文獻(xiàn)

[1] 羅潔,張國(guó)臣.謹(jǐn)防電子物證提取和檢驗(yàn)中的“污染”.刑事技術(shù),2007,2.

[2] 黃步根.電子證據(jù)的收集技術(shù).微計(jì)算機(jī)應(yīng)用,2005-26-5.

[3] 吳珊,蘭義華.計(jì)算機(jī)取證技術(shù)研究.湖北工業(yè)大學(xué)學(xué)報(bào).