王驕

（華東政法大學(xué)，上海 200042）

證據(jù)視角下的計算機取證過程分析

王驕

（華東政法大學(xué)，上海 200042）

計算機犯罪在對人們生活產(chǎn)生影響的同時，也改變著司法實踐案件調(diào)查取證的方法。由于目前我國對計算機取證的法律法規(guī)尚未健全，偵查人員不規(guī)范的取證行為直接影響計算機證據(jù)的法庭認可。通過指出現(xiàn)存問題，從證據(jù)視角分析計算機取證的特點及法律要求，為今后法律法規(guī)的進一步健全、計算機取證工作的規(guī)范化提供參考。

計算機取證；證據(jù)；合法性；過程分析

計算機技術(shù)的迅速發(fā)展改變了人們的生活方式，但也為違法犯罪分子提供了新的犯罪空間和手段。以計算機信息系統(tǒng)為犯罪對象和工具的各類新型犯罪活動，如電子商務(wù)糾紛、網(wǎng)絡(luò)著作權(quán)糾紛、網(wǎng)絡(luò)恐怖主義等問題層出不窮，造成的社會危害也越來越大。計算機取證作為一門新興的且具有重要實踐意義的學(xué)科，得到專家學(xué)者們的廣泛重視。

1 計算機取證概述

1.1 計算機取證定義

關(guān)于計算機取證的定義可從兩種角度理解：從技術(shù)視角看，計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解，以對入侵事件進行重建的過程[1]。從法律視角看，計算機取證是指對能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關(guān)外圍設(shè)備中的電子證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示的過程[2]。盡管沒有統(tǒng)一、準確的定義，但可以達成共識的是，計算機取證是一個利用信息技術(shù)對計算機證據(jù)進行獲取、保護、分析，為法庭提供可接受的、足夠可靠和有說服力的證據(jù)的過程。

1.2 計算機取證發(fā)展現(xiàn)狀

計算機證據(jù)在信息技術(shù)發(fā)達的歐美國家已有30多年的歷史，美國早在1984年就建立了計算機取證實驗室，而現(xiàn)在覆蓋了全美近70%的法律部門。近些年來，以計算機取證為主題的會議雨后春筍般出現(xiàn)，1991年首屆IACIS（International Association Computer Specialist）國際會議奠定了計算機取證的基石；1993年、1995年、1996年、1997年分別在美國、澳大利亞、新西蘭召開了以計算機取證為主題的國際會議，并成立了計算機證據(jù)國際組織和電子證據(jù)科學(xué)工作組[3]；FIRST（Forum of Incident response and Security Teams）技術(shù)論壇和SANS公司主持的系統(tǒng)取證、調(diào)查、響應(yīng)年會等學(xué)術(shù)活動也在不斷推進計算機取證的發(fā)展。

相比而言，我國的計算機取證起步較晚，但發(fā)展勢頭良好。2004年在人民警察學(xué)院召開了第一屆全國計算機取證技術(shù)研討會，至今已成功召開三屆并取得了很大進展；2005年中國計算機取證技術(shù)峰會召開，至今已成功舉辦四次；863項目子課題——電子物證保護與分析技術(shù)和公安部重點項目——打擊計算機犯罪偵查技術(shù)研究也已取得相當不錯的進展。司法實踐中，近五年來我國計算機司法鑒定案件呈逐年上升趨勢：2010年全國共接收計算機司法鑒定案件897件，電子數(shù)據(jù)鑒定777件[4]，相比2007年分別增加了120.39%和188.59%，可見計算機取證的需求很大。計算機取證作為計算機和法學(xué)領(lǐng)域的交叉學(xué)科，已得到廣泛的關(guān)注和大量的實踐應(yīng)用，并成為計算機安全領(lǐng)域、證據(jù)法學(xué)領(lǐng)域的研究熱點之一。國內(nèi)外計算機取證公司和有關(guān)科研機構(gòu)已研發(fā)出針對不同操作系統(tǒng)、滿足不同需求的計算機取證軟硬件產(chǎn)品，比較著名的如美國Guidance公司研制的Encase、還有國內(nèi)廈門公安局安監(jiān)科和美亞柏科資訊研發(fā)的計算機犯罪取證勘察箱等。

法律制度的規(guī)范相比技術(shù)發(fā)展而言，步伐就慢了許多。在計算機取證過程中缺乏相應(yīng)的制度、法律規(guī)范做指導(dǎo)和保證，得到的結(jié)論就難以在法庭上發(fā)揮證據(jù)效力。隨著計算機網(wǎng)絡(luò)的日漸普及、計算機犯罪手段的不斷變化、反取證手段的深入發(fā)展，我們不僅要關(guān)注技術(shù)發(fā)展，還要從法律層面深化對計算機取證過程的分析研究，促進相關(guān)法律法規(guī)的制定、完善。

1.3 計算機取證的應(yīng)用范圍

1.3.1 刑事案件

隨著計算機成為人們?nèi)粘Ｉ钪胁豢苫蛉钡墓ぞ?，利用計算機進行犯罪活動的現(xiàn)象也屢見不鮮。偵查機關(guān)、檢察機關(guān)、國家安全機關(guān)需要運用計算機取證手段來發(fā)現(xiàn)并提取涉及計算機的兇殺案、經(jīng)濟詐騙、毒品交易、網(wǎng)絡(luò)色情、互聯(lián)網(wǎng)盜竊、行賄受賄、網(wǎng)絡(luò)恐怖主義[5]等犯罪活動。

1.3.2 民事、行政案件

在民事活動中，有時也會涉及到利用計算機系統(tǒng)進行的電子商務(wù)詐騙、商業(yè)秘密竊取、保險詐騙、信用卡詐騙、侵犯個人隱私、侵犯知識產(chǎn)權(quán)等案件；電子政務(wù)糾紛、濫用職權(quán)等行政案件中也越來越廣泛地運用到計算機取證手段。個人或者組織也可通過自行收集證據(jù)向法庭舉證，這就需要求助于專業(yè)的司法鑒定機構(gòu)對證據(jù)的真實性、完整性做出鑒別。

2 計算機證據(jù)的特點

計算機證據(jù)不同于傳統(tǒng)證據(jù)類型當中的任意一種，除了具有證據(jù)關(guān)聯(lián)性、真實性、合法性的特點之外，還有其獨有的特點。

2.1 高科技性

計算機證據(jù)以抽象的二進制形式存儲于電子元件和磁性材料中，是存儲在高科技產(chǎn)物——計算機中的一種證據(jù)形式。利用計算機進行違法犯罪活動，行為人往往具有很高的專業(yè)技術(shù)知識，為逃避追查，嫌疑人往往會將罪證隱藏、擦除或者加密，因此，要獲取這些證據(jù)需要借助計算機科學(xué)中諸如存儲技術(shù)、網(wǎng)絡(luò)通信、信息安全等高科技手段。

2.2 隱蔽性

計算機證據(jù)不像指紋、腳印、筆跡、槍彈痕跡那樣通過肉眼或者顯微鏡就可以觀察到。從物理上講，其只是靠集成電路的電子矩陣正負電平或磁性材料磁體發(fā)生變化來記錄、表示的二進制數(shù)據(jù)組合而成的信息，肉眼不可能直接觀察到。要獲取計算機及其外圍設(shè)備中存儲的證據(jù)，需要運用特殊的與傳統(tǒng)獲取方法完全不同的手段。

2.3 脆弱性

脆弱性表現(xiàn)在三個方面：（1）計算機證據(jù)本身是由人的操作形成的，對它的篡改可以輕而易舉，從而使得計算機信息具有了脆弱而不可靠的一面；（2）計算機證據(jù)存儲在電磁設(shè)備上，如遇高溫、高酸堿、強輻射環(huán)境或遭受暴力性破壞，會對記錄的信息造成不可恢復(fù)的破壞；（3）計算機對數(shù)據(jù)的處理都是實時完成的，遭受入侵的計算機系統(tǒng)中使用痕跡保存時間有限，如果在短時間內(nèi)未及時發(fā)現(xiàn)、備份，那么記錄很可能會被覆蓋或人為刪除，導(dǎo)致涉案證據(jù)的丟失。

2.4 復(fù)合性

計算機證據(jù)的復(fù)合性表現(xiàn)為計算機證據(jù)的形式多樣，幾乎涵蓋所有傳統(tǒng)證據(jù)類型，可以表現(xiàn)為打印紙上的文字代碼；可以是顯示器上輸出的視頻、圖像、文字、動畫；也可以是音頻設(shè)備輸出的聲音。它綜合了各種多媒體信息的特點。由于其顯示形式的復(fù)合性，計算機證據(jù)兼具書證、物證、視聽資料的特點[6]。

3 當前計算機取證存在的問題及建議

計算機取證不僅僅是一項技術(shù)工作，其最終目的是為法庭提交可供采信的證據(jù)，因此，在取證的準備、收集、保全、檢驗分析、提交的過程中，都需要從證據(jù)采信的標準來規(guī)范取證行為。制定計算機取證法律法規(guī)，在實現(xiàn)計算機證據(jù)從收集到出庭作證整個過程規(guī)范化的同時，一定程度上也保障了計算機證據(jù)的證明力，可以有效解決計算機證據(jù)采信難問題。

3.1 計算機取證準備階段

3.1.1 計算機取證人員的專業(yè)要求

國外的取證人員多由計算機系統(tǒng)安全維護人員、私人偵探或者專業(yè)取證公司擔任，當然也有國家偵查人員。他們大都經(jīng)過培訓(xùn)，可以做到準確完整地提取有用信息。而國內(nèi)目前計算機取證的主體是偵查人員，計算機取證對他們來講往往是做其他工作時兼而任之，由于缺乏系統(tǒng)、專業(yè)的訓(xùn)練，在開展取證活動時難以保證收集計算取證據(jù)的準確完整。

筆者建議法律應(yīng)當規(guī)定計算機取證人員的從業(yè)標準、培訓(xùn)制度。通過對計算機取證人員的專業(yè)培訓(xùn)保證其取證行為的合法性和科學(xué)性。國外有許多針對計算機取證的相關(guān)課程，目的是培養(yǎng)針對計算機犯罪的調(diào)查人員。著名的有美國New Technologies Inc.開展的一個培訓(xùn)課程，其內(nèi)容主要包括：（1）計算機證據(jù)的保存以及保護扣押計算機的安全；（2）如何從Windows交換文件及計算機硬盤中遺留的Internet瀏覽數(shù)據(jù)中提取證據(jù)；（3）對相關(guān)文件使用MD5算法計算散列值，以及法庭作證問題；（4）有關(guān)安全刪除數(shù)據(jù)的核查和驗證過程使用數(shù)據(jù)的不存在；（5）使用文件頭信息和附近數(shù)據(jù)恢復(fù)圖像文件；（6）文件存儲結(jié)構(gòu)，對回收站中數(shù)據(jù)的追蹤。我們可以借鑒其培訓(xùn)內(nèi)容，使從事計算機取證的人員掌握計算機保護與急救；計算機證據(jù)的保存；計算機的常規(guī)取證；對不同操作系統(tǒng)的取證；計算機取證文檔的整理；使用計算機取證工具對計算機證據(jù)分析等技術(shù)知識[7]。

3.1.2 計算機取證軟件工具的標準化

司法機關(guān)迫切需要保證計算機取證工具的可靠性，要求取證工具可以穩(wěn)定地產(chǎn)生準確和客觀的測試結(jié)果。然而，目前有大約150個數(shù)字取證工具很少是根據(jù)取證標準和規(guī)范進行研制的，其中不乏某些明星產(chǎn)品[8]，這樣，工具間很難進行有效性和可靠性的比較，因而使用這些工具提取的證據(jù)科學(xué)性和權(quán)威性很容易遭到質(zhì)疑。所以對計算機取證的人員和工具應(yīng)當制定相關(guān)標準，以保障計算機取證的合法性。

3.2 計算機取證搜集階段

在計算機取證的證據(jù)搜集階段，存在著行為人是否有權(quán)采取偵查活動的爭議。計算機取證要查驗的對象往往不是某個嫌疑人，而是嫌疑人使用的計算機設(shè)備，與傳統(tǒng)證據(jù)存在于實體的、特定的案發(fā)現(xiàn)場不同，計算機犯罪的案發(fā)現(xiàn)場可能分布在地球上任意一臺接入互聯(lián)網(wǎng)的計算機設(shè)備上。偵查人員有時可以在設(shè)備所有人毫不知情的情況下使用技術(shù)手段對網(wǎng)絡(luò)實時跟蹤、搜索和系統(tǒng)監(jiān)視、對網(wǎng)絡(luò)中傳輸通信的往來數(shù)據(jù)內(nèi)容進行實時搜集和實時截獲，以尋找網(wǎng)絡(luò)違法犯罪案件可能留下的證據(jù)痕跡，在這個過程中有可能會侵犯當事人的隱私權(quán)。因此法律應(yīng)當就計算機犯罪的偵查主體、偵查范圍和偵查手段進行規(guī)制。

筆者認為計算機案件的偵查應(yīng)由擁有龐大技術(shù)力量的偵查機關(guān)偵查人員進行，不宜交由取證公司或個人。偵查范圍和偵查手段的確定，筆者認為應(yīng)當貫徹“任意偵查原則”。相較于強制偵查，即只要刑事訴訟法上沒有具體的規(guī)定就不得實施偵查行為。任意偵查是指，即使法律沒有明文規(guī)定，原則上也可以采取適當?shù)姆绞竭M行[9]；偵查人員的計算機取證行為往往針對特定的對象，在小范圍內(nèi)動用偵查手段，對相對人的生活權(quán)益沒有強制性的造成損害，且計算機證據(jù)的高科技性、易破壞性、實時性等特征決定了其偵查取證的難度，因此應(yīng)當允許偵查人員不經(jīng)嫌疑人同意對其計算機系統(tǒng)在必要范圍內(nèi)使用，如網(wǎng)絡(luò)跟蹤、監(jiān)視、嗅探等技術(shù)偵查手段實時截獲網(wǎng)絡(luò)通信中的往來數(shù)據(jù)內(nèi)容，以保證及時、有效地搜集到與犯罪有關(guān)的電子數(shù)據(jù)。

需要指出的是，任意偵查并不代表著可以毫無顧忌、不擇手段地偵查，應(yīng)當完善司法審查制度，并對一些可能嚴重侵犯公民人格權(quán)和財產(chǎn)權(quán)的取證作明文限制規(guī)定[10]。民事計算機證據(jù)的獲取，如果是公司內(nèi)部的計算機取證活動，則由本公司內(nèi)部的計算機調(diào)查員根據(jù)其職責在企業(yè)內(nèi)部網(wǎng)絡(luò)中進行，對涉及外部的計算機取證活動，則要盡可能優(yōu)先使用公開信息，在對其他外部客體進行取證時，要確保采取合法手段，不得侵犯其他外部客體的人身權(quán)利和財產(chǎn)權(quán)利。

3.3 計算機證據(jù)的保全、分析階段

3.3.1 收集、保全階段

取證人員在對計算機可能存在犯罪證據(jù)的位置進行證據(jù)收集時，要有兩名以上偵查人員在場，最好對取證過程進行全程錄像，并在證據(jù)文書化后的材料上簽字，如有證人或犯罪嫌疑人在場，也應(yīng)簽名[11]。要切記保證信息的原始性和完整性。收集過程中要首先提取易失性證據(jù)，還要避免人為的破壞。計算機證據(jù)保全可以采用兩種方法，即常規(guī)保全和公證保全。以紙制或聲像資料形式固定是主要的常規(guī)保全方法，要注意對證據(jù)的查驗，當場列清單并簽字確認。民事案件常用到公證保全方法，由公證機構(gòu)派公證人員對證據(jù)進行公證。保全時要注意對獲取的計算機證據(jù)制作備份，詳細記錄證據(jù)的移交、保管、開封、拆卸等操作，保證證據(jù)鏈的完整性，同時需要確保計算機證據(jù)保存環(huán)境的安全。

3.3.2 分析階段

在對提取到的計算機證據(jù)進行分析時，首先要進行備份，這里的備份是對原始數(shù)據(jù)每一比特的精確克隆，分析切記在數(shù)字拷貝上進行，避免對原始證據(jù)的修改與破壞。處理證據(jù)前要為被分析的數(shù)據(jù)生成數(shù)字指紋，然后再開始，步驟要盡可能少，因為采取的步驟越少，發(fā)生錯誤的可能性就越小[12]。可以將搜集到的計算機證據(jù)與計算機的所有者、電子簽名、IP地址、E-mail等計算機特有信息識別體結(jié)合起來，并與案件中獲取的其他證據(jù)進行綜合審查，證據(jù)間相互印證、相互聯(lián)系，綜合分析得出結(jié)論。

3.4 計算機證據(jù)采納階段

與傳統(tǒng)的物證、書證等證據(jù)形式不同，計算機證據(jù)有著易篡改性、高科技性、抽象性等特點，這就決定了計算機證據(jù)的采納需要滿足更高的標準和要求。證據(jù)必須要滿足客觀性、關(guān)聯(lián)性、合法性的標準。計算機證據(jù)具有客觀性，其是以二進制形式存儲在計算機中的信息，就猶如人腦中留存的與案件有關(guān)的信息一樣，并沒有以人們可以感知的形式表現(xiàn)出來。人腦中的信息要想轉(zhuǎn)化為可供法庭采納的證據(jù)，就要轉(zhuǎn)化為當事人陳述、書證、證人證言等形式，類似的計算機證據(jù)也可以通過各種輸出設(shè)備以聲像資料或打印文稿的形式為人所認知。能否保證計算機證據(jù)如實反映、記錄案件信息是個現(xiàn)實存在的難題，事實上，正是由于計算機中信息的極易被偽造、篡改，給認定計算機證據(jù)客觀性帶來了困難。要保證計算機證據(jù)的真實性，法庭采信過程中需要從取證全過程各方面來考量。

計算機證據(jù)常常表現(xiàn)為系統(tǒng)日志文件、入侵者殘留程序、腳本、代碼等形式，訴訟活動的參與人由于缺乏計算機專業(yè)知識，在證據(jù)關(guān)聯(lián)性的認知上可能會有困難，這也是計算機證據(jù)采信率低的原因之一。筆者認為在法庭采信計算機相關(guān)證據(jù)時，取證、鑒定人員必要時應(yīng)當出庭接受訴訟當事人和法官質(zhì)證，也可以聘請計算機領(lǐng)域?qū)＜易鳛閷＜逸o助人，協(xié)助控辯雙方和法官對專業(yè)問題進行認定。

證據(jù)的合法性標準表現(xiàn)在四個方面，即取證主體合法、證據(jù)形式合法、證據(jù)收集程序合法和證據(jù)收集方法或提取手段合法[15]。在采納計算機證據(jù)時，應(yīng)當分別從這幾個方面進行審查判斷。隨著越來越多的犯罪案件和訴訟糾紛涉及到計算機取證，現(xiàn)有的取證規(guī)范大都是取證機構(gòu)的內(nèi)部規(guī)范，內(nèi)容各執(zhí)己見，法律效力難以保障，也影響到證據(jù)的證明力，造成了計算機證據(jù)的采信難、認證難的局面。目前已有很多專家學(xué)者呼吁制定《計算機取證法》，筆者認為對計算機取證過程給予法律規(guī)范是非常必要的。

4 結(jié)語

本文概要地介紹了計算機取證的概念和特點，闡明了計算機取證法律規(guī)范滯后于技術(shù)發(fā)展的現(xiàn)實情況，由于人們對于計算機犯罪的認識程度還不夠，應(yīng)對突如其來的犯罪事件，往往缺乏專業(yè)的取證證據(jù)意識，無法及時有效地提交法庭可采信的計算機證據(jù)。為此，從證據(jù)視角分析了計算機取證流程各階段的證據(jù)要求，提出實踐操作中的種種問題并提出改進建議，并就取證原則、流程、方法、工具加以規(guī)制，希望能為法律法規(guī)的進一步健全、計算機取證工作的規(guī)范化提供幫助。

[1]周學(xué)廣，張煥國，張少武.信息安全學(xué)[M].北京：機械工業(yè)出版社，2007：161.

[2]王永全，齊曼.信息犯罪與計算機取證[M].北京：北京大學(xué)出版社，2010：113.

[3]劉志軍，王寧，麥永浩.計算機取證的應(yīng)用及發(fā)展[C].第十九次全國計算機安全學(xué)術(shù)交流會論文集，2004：300.

[4]李禹，陳璐.2010年度全國法醫(yī)類、物證類、聲像資料類司法鑒定情況統(tǒng)計分析[J].中國司法鑒定，2011，（4）：91-94.

[5]Neteis T.Gibert.Computer Crime And The Legal Process：An Evidentiary Perspective[D].Touro College School of Health Science.

[6]趙秉志.計算機與網(wǎng)絡(luò)犯罪專題整理[M].北京：中國人民大學(xué)出版社，2007：66-67.

[7]陳龍，麥永浩，黃傳河.計算機取證技術(shù)[M].武漢：武漢大學(xué)出版社，2006：75.

[8]李炳龍，王魯，陳性元.數(shù)字取證技術(shù)及其發(fā)展趨勢[J].信息網(wǎng)絡(luò)安全，2011，（1）：54.

[9]宋英輝，昊宏姐.刑事審前程序研究[M].北京：中國政法大學(xué)出版社，2002：32.

[10]喬洪翔，宗淼.論刑事電子證據(jù)的取證程序——以計算機及網(wǎng)絡(luò)為主要視角[J].國家檢察官學(xué)院學(xué)報，2005，13（6）：49-57.

[11]李德杰.利用計算機證據(jù)突破零口供案件的探索[J].科技信息，2006，（7）：325.

[12]丁麗萍，王永吉.計算機取證的相關(guān)法律技術(shù)問題研究[J]，軟件學(xué)報，2005，16（2）：265.

[13]賈治輝，王俊.規(guī)范我國計算機取證活動的法律思考[J].四川警察學(xué)院學(xué)報，2008，20（2）：18-24.

[14]蔣平，楊莉莉.電子證據(jù)[M].北京：中國人民公安大學(xué)出版社，2007：26-27.

[15]何家弘.證據(jù)法學(xué)研究[M].北京：中國人民大學(xué)出版社，2007：92.

（本文編輯：包建明）

DF713

B

10.3969/j.issn.1671-2072.2012.03.027

1671-2072-（2012）03-0113-04

2011-12-02

王驕（1987—），女，碩士研究生，主要從事計算機與聲像資料鑒定研究。E-mail：hhx-wj@163.com。