姜寒秋

（中國人民公安大學(xué)，北京 100038）

網(wǎng)絡(luò)犯罪中電子證據(jù)的偵查取證路徑探析

姜寒秋

（中國人民公安大學(xué)，北京 100038）

雖然互聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn)，但網(wǎng)絡(luò)空間的秩序還有待進(jìn)一步完善。電子設(shè)備給人們生活帶來方便的同時(shí)，也留下很多安全隱患，如信息泄漏、電子詐騙、網(wǎng)絡(luò)犯罪等。電子證據(jù)對(duì)于警方偵查破案至關(guān)重要，但其易失等特點(diǎn)也較為明顯。雖然如此，倘能對(duì)網(wǎng)絡(luò)犯罪的攻擊路線圖進(jìn)行全程把控，全面掌控“網(wǎng)絡(luò)現(xiàn)場(chǎng)”并現(xiàn)場(chǎng)鎖控電子證據(jù)，利用偵查技術(shù)手段形成立體的證據(jù)體系，就能實(shí)現(xiàn)查羈犯罪嫌疑人的目的。

網(wǎng)絡(luò)犯罪；偵查取證；電子證據(jù)

電子科技的發(fā)展拓寬了人們的活動(dòng)范圍，并使得社會(huì)的發(fā)展朝向虛擬公共空間拓展，“電子科技”風(fēng)暴席卷全球。計(jì)算機(jī)網(wǎng)絡(luò)科技為全球帶來互聯(lián)便利的同時(shí)，也為其“衍生物”提供了滋生的溫床，如網(wǎng)絡(luò)犯罪?！白?986年出現(xiàn)首例計(jì)算機(jī)網(wǎng)絡(luò)犯罪以來，計(jì)算機(jī)網(wǎng)絡(luò)犯罪的數(shù)量和活躍程度有增無減，網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)欺詐、網(wǎng)上黃賭毒、網(wǎng)絡(luò)誹謗等肆意橫行。[1]相對(duì)于傳統(tǒng)犯罪而言，當(dāng)前網(wǎng)絡(luò)犯罪呈現(xiàn)出技術(shù)性強(qiáng)、復(fù)雜性變化不一等特點(diǎn)。犯罪嫌疑人往往具有高超的計(jì)算機(jī)技能水平，經(jīng)常玩弄高科技手段隱藏電子證據(jù)，使得偵查取證變得異常艱難。在證據(jù)信息化的大背景下，以計(jì)算機(jī)及其網(wǎng)絡(luò)為依托的電子證據(jù)在偵查破案、收集證據(jù)、緝查犯罪嫌疑人等方面起到了不可替代的作用。此外，電子數(shù)據(jù)在證明案件事實(shí)的過程中也變得日益重要。網(wǎng)絡(luò)警察的職責(zé)是依法維護(hù)網(wǎng)絡(luò)安全，保護(hù)網(wǎng)民的利益，打擊網(wǎng)絡(luò)犯罪。如何對(duì)信息化網(wǎng)絡(luò)犯罪定罪處罰，找準(zhǔn)網(wǎng)絡(luò)犯罪偵查路徑，搜集電子證據(jù)并對(duì)網(wǎng)絡(luò)破壞者進(jìn)行定罪處罰，成為當(dāng)前公安機(jī)關(guān)網(wǎng)警偵查取證面對(duì)的主要挑戰(zhàn)。

一、電子證據(jù)的內(nèi)涵

電子證據(jù)在網(wǎng)絡(luò)犯罪中被譽(yù)為“證據(jù)之王”，在網(wǎng)絡(luò)案件偵查中通過對(duì)電子證據(jù)的固定提取，從而使其轉(zhuǎn)化為法定證據(jù)，以此鎖定網(wǎng)絡(luò)攻擊犯罪嫌疑人，達(dá)到勝訴定罪的目的。

（一）電子證據(jù)的概念

電子證據(jù)是指網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)運(yùn)行過程中基于電子技術(shù)生成并以數(shù)字化形式 （01 01 01代碼）存在，所產(chǎn)生的用以記錄的內(nèi)容來證明案件真實(shí)情況，并存儲(chǔ)于磁盤、光盤、存儲(chǔ)卡、手機(jī)等物理介質(zhì)當(dāng)中的數(shù)據(jù)信息。必須明確的是，公安機(jī)關(guān)通過技術(shù)偵查獲取的電子證據(jù)必須具備可信、準(zhǔn)確和完整屬性，而不能簡(jiǎn)單將電子證據(jù)等同于計(jì)算機(jī)證據(jù)、數(shù)字證據(jù)。其主要形式包括：（1）電子計(jì)算機(jī)技術(shù)中的電子證據(jù)，例如計(jì)算機(jī)數(shù)據(jù)文件、電子數(shù)據(jù)庫、外設(shè)驅(qū)動(dòng)器、瀏覽痕跡等，這是從專業(yè)技術(shù)視角對(duì)電子證據(jù)進(jìn)行分類，往往需要具有專業(yè)網(wǎng)絡(luò)偵查背景的民警方能勝任；（2）通訊技術(shù)應(yīng)用中的電子證據(jù)，例如往來電報(bào)電文，傳真資料、實(shí)時(shí)電話錄音、好友名單等即時(shí)通訊工具，這是從社會(huì)生活視角對(duì)電子證據(jù)進(jìn)行分類，這些證據(jù)種類往往在網(wǎng)絡(luò)詐騙中多有體現(xiàn)；（3）網(wǎng)絡(luò)技術(shù)中的電子證據(jù)，例如電郵、電子公告牌記錄、電子聊天記錄、電子數(shù)據(jù)交換、電子報(bào)關(guān)單、智能交通信息卡資料、光盤資料等大量存儲(chǔ)數(shù)據(jù)信息的物理介質(zhì)存盤。

（二）電子證據(jù)的獨(dú)有特性

同傳統(tǒng)偵查取證相比，由于電子證據(jù)具有一定的獨(dú)有屬性，其高超的隱蔽性決定了偵查取證的困難程度，攻擊目標(biāo)的集中性決定了深層次的社會(huì)危害性，高信息科技特點(diǎn)又使其有較高的精密性和脆弱性。[2]

1.隱蔽性強(qiáng)。網(wǎng)絡(luò)犯罪屬于高科技屬性的犯罪行為，具有“無形性”、“瞬時(shí)性”、“不易識(shí)別性”的特征，網(wǎng)絡(luò)上實(shí)施的數(shù)據(jù)入侵行為不易被受害人察覺，具有內(nèi)在實(shí)質(zhì)上的無形性特點(diǎn)?，F(xiàn)實(shí)犯罪是“有行”行為，而網(wǎng)絡(luò)犯罪行為只是一堆按編碼規(guī)則處理成的特定的二進(jìn)制編碼的數(shù)據(jù)命令，一切都由這些不可見的無形編碼來傳遞，侵害無形的數(shù)據(jù)和信息，是一種“無形犯罪”模式。

2.目標(biāo)集中。網(wǎng)絡(luò)犯罪的目的是獲取一定的利益，例如獲取他人信息用以銷售牟利等。網(wǎng)絡(luò)命令的標(biāo)準(zhǔn)編碼程序同一性使得受害目標(biāo)范圍的無限擴(kuò)大，給網(wǎng)安偵查部門提取電子證據(jù)帶來了挑戰(zhàn)。

3.危害性大。衡量網(wǎng)絡(luò)犯罪的危害性的尺度主要有兩個(gè)：經(jīng)濟(jì)尺度和社會(huì)尺度。計(jì)算機(jī)網(wǎng)絡(luò)犯罪通常會(huì)引起網(wǎng)絡(luò)系統(tǒng)大面積的癱瘓與資料泄露，控制程度越高，其危害性、波及面就越廣，尤其是在利用計(jì)算機(jī)系統(tǒng)向社會(huì)提供公共服務(wù)的政府部門、公共服務(wù)部門，因其掌管著廣大民眾的個(gè)人基本信息，一旦系統(tǒng)受到攻擊，造成的社會(huì)危害會(huì)非常巨大。

4.取證困難。電子證據(jù)以數(shù)字形式呈現(xiàn)其價(jià)值信息，不像現(xiàn)實(shí)案件的取證那樣對(duì)犯罪嫌疑人的遺留物、指紋，腳印進(jìn)行證據(jù)提取。我們知道數(shù)字存儲(chǔ)是脆弱的，容易遭到破壞，因此保全電子證據(jù)變得十分困難。另外網(wǎng)絡(luò)犯罪的高科技性使得網(wǎng)絡(luò)犯罪超越時(shí)空的局限，犯罪證據(jù)可能隱藏在“網(wǎng)絡(luò)現(xiàn)場(chǎng)”的細(xì)小角落里，網(wǎng)監(jiān)民警除了要按照一般刑事案件收集證據(jù)的方式收集物理證據(jù)外，更多的需要通過搜索事發(fā)后的計(jì)算機(jī)和網(wǎng)絡(luò)數(shù)據(jù)，從計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器以及現(xiàn)場(chǎng)系統(tǒng)的日志文件中、ARP（地址解析協(xié)議）緩存中獲得證據(jù)。

二、電子證據(jù)的“網(wǎng)絡(luò)現(xiàn)場(chǎng)”痕跡遺留

案件現(xiàn)場(chǎng)是犯罪“痕跡”的集中體現(xiàn)，也是留有痕跡、電子證據(jù)最多的地方，是犯罪嫌疑人最容易暴露的場(chǎng)所，也是搜集證據(jù)的首要場(chǎng)所。這對(duì)網(wǎng)絡(luò)犯罪案件同樣適用，計(jì)算機(jī)網(wǎng)絡(luò)將地理位置上分散的物理計(jì)算機(jī)連接在一起，利用網(wǎng)絡(luò)環(huán)境實(shí)施攻擊、入侵，犯罪證據(jù)通常遺留在網(wǎng)絡(luò)中，網(wǎng)絡(luò)犯罪的案件現(xiàn)場(chǎng)較之傳統(tǒng)案件現(xiàn)場(chǎng)更為復(fù)雜。

（一）網(wǎng)絡(luò)犯罪的攻擊路線圖

犯罪分子對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊，首先是要對(duì)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)通行數(shù)據(jù)進(jìn)行掃描、搜集信息，以獲取受害人的IP地址，為發(fā)動(dòng)網(wǎng)絡(luò)攻擊奠定基礎(chǔ)；隨后就是網(wǎng)絡(luò)攻擊行為，鉆取網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)在分辨用戶時(shí)認(rèn)“碼”不認(rèn)“人”的漏洞，通過破解計(jì)算機(jī)用戶識(shí)別口令，利用系統(tǒng)的溢出缺陷進(jìn)行攻擊；緊接著深挖受害人的身份信息和網(wǎng)絡(luò)資料，獲得受害人的網(wǎng)絡(luò)賬號(hào)，提升自身網(wǎng)絡(luò)訪問的權(quán)限；最后，向攻擊對(duì)象的計(jì)算機(jī)中植入木馬病毒，為以后順利潛入受害人計(jì)算機(jī)網(wǎng)絡(luò)鋪路。不少網(wǎng)絡(luò)攻擊者具備相當(dāng)高的反偵查意識(shí)，為逃避法律懲處，使得網(wǎng)絡(luò)警察不能偵查跟蹤到攻擊者的腳步，刻意進(jìn)行日志刪除達(dá)到擦除犯罪痕跡的目的，甚至人為注入欺騙性數(shù)據(jù)，實(shí)施證據(jù)偽裝，以迷惑偵查人員的視線。

（二）“網(wǎng)絡(luò)現(xiàn)場(chǎng)”的全面掌控

為了提取、固定電子證據(jù)，偵查人員需要綜觀全局，從宏觀層面掌握攻擊者在什么時(shí)間進(jìn)入系統(tǒng)，并停留了多長時(shí)間，用什么方式進(jìn)入系統(tǒng)，是冒用別人賬號(hào)還是以用戶的形態(tài)進(jìn)入到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，攻入系統(tǒng)做什么，是拷貝東西、植入邏輯炸彈、還是木馬程序，攻擊者得到什么信息，如何找到并證明攻擊者是現(xiàn)實(shí)中的某個(gè)人，被攻擊者的損失情況如何，攻擊者的行為和動(dòng)機(jī)是什么，所有這些都需要偵查員按照法律規(guī)范進(jìn)行證據(jù)識(shí)別、保存、分析、提交電子證據(jù)。

電子證據(jù)的偵查取證是網(wǎng)絡(luò)案件偵查的重要環(huán)節(jié)，是技術(shù)偵查部門不可或缺的基礎(chǔ)性工作，是維護(hù)司法公正和社會(huì)穩(wěn)定的重要手段。當(dāng)前利用互聯(lián)網(wǎng)、計(jì)算機(jī)、手機(jī)等實(shí)施的科技犯罪行為，因其隱蔽性強(qiáng)、破壞性大、取證困難等特點(diǎn)，對(duì)偵查部門的電子證據(jù)提取、保全提出了新的要求和挑戰(zhàn)。

三、電子證據(jù)的偵查取證

由于網(wǎng)絡(luò)犯罪的發(fā)案特點(diǎn)、偵查模式有別于傳統(tǒng)的案件偵查，對(duì)電子證據(jù)的偵查取證需要采取區(qū)別于傳統(tǒng)案件偵查取證的特殊手段和偵查取證模式來進(jìn)行，這需要網(wǎng)安部門掌握新型網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)核心技術(shù)，包括電子證據(jù)的現(xiàn)場(chǎng)保護(hù)技術(shù)，電子證據(jù)的專用偵查技術(shù)，電子證據(jù)的現(xiàn)場(chǎng)偵查、取證、檢驗(yàn)技術(shù)，電子證據(jù)的固定與保全技術(shù)，以及電子證據(jù)數(shù)據(jù)鑒定技術(shù)。此外，還要結(jié)合電子取證的工作特點(diǎn)、辦理方式、應(yīng)用技戰(zhàn)法則，才能在電子偵查的路徑拓展中事倍功半，提升偵查辦案效率。

（一）電子證據(jù)的現(xiàn)場(chǎng)鎖控

電子證據(jù)偵查取證戰(zhàn)果的實(shí)現(xiàn)和擴(kuò)大，首先取決于犯罪現(xiàn)場(chǎng)原貌的保持程度，使各種影響現(xiàn)場(chǎng)狀態(tài)的可變因素減至最低，為后續(xù)有序開展偵查取證提供良好的條件。同時(shí)偵查人員還需做一些取證的整理準(zhǔn)備工作，如拆卸工具、包裝盒運(yùn)輸用品、存儲(chǔ)設(shè)備等，比如偵查電子證據(jù)必要的不會(huì)發(fā)出靜電或磁場(chǎng)的設(shè)備、工具以及射頻屏蔽材料。

1.鎖定“網(wǎng)絡(luò)現(xiàn)場(chǎng)”。現(xiàn)場(chǎng)偵查員需進(jìn)行證據(jù)識(shí)別，找出哪些是可以提取的證據(jù)，確保涉案設(shè)備和存儲(chǔ)數(shù)據(jù)的完整性，不允許物理暴力和電子靜電、磁鐵、無線電的破壞或改變。網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)分為物理現(xiàn)場(chǎng)和數(shù)字現(xiàn)場(chǎng)，對(duì)物理現(xiàn)場(chǎng)中電子證據(jù)的鎖定，主要是控制硬盤、光盤、磁盤陣列、移動(dòng)存儲(chǔ)器、錄音機(jī)、數(shù)碼相機(jī)、計(jì)算機(jī)設(shè)備（路由器、交換機(jī)）、打印機(jī)、掃描儀、監(jiān)視器等作案工具以及這些硬件實(shí)物所在的空間，例如機(jī)房、存放網(wǎng)絡(luò)犯罪工具的場(chǎng)所。對(duì)數(shù)字現(xiàn)場(chǎng)中電子證據(jù)的鎖定，主要是控制電磁輻射區(qū)、線路輸送信號(hào)、篡改的數(shù)據(jù)、癱瘓的系統(tǒng)等。凍結(jié)網(wǎng)絡(luò)犯罪作案現(xiàn)場(chǎng)，有利于確定偵查方向，縮小偵查范圍，捕捉戰(zhàn)機(jī)，減少偵查代價(jià)。

2.隔離網(wǎng)絡(luò)系統(tǒng)。偵查人員進(jìn)入犯罪現(xiàn)場(chǎng)后，要迅速掌握網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，切斷遠(yuǎn)程控制，將人、機(jī)、物進(jìn)行隔離。首先，防止犯罪嫌疑人故意破壞電子證據(jù)。犯罪嫌疑人可能通過網(wǎng)絡(luò)、撥入設(shè)備遠(yuǎn)程控制計(jì)算機(jī)或網(wǎng)絡(luò)，也可能在網(wǎng)絡(luò)系統(tǒng)中預(yù)留自動(dòng)清除程序，在系統(tǒng)遭受外來介入時(shí)自動(dòng)清除相關(guān)電子證據(jù)。只要有物理連接，網(wǎng)絡(luò)入侵者總會(huì)想辦法找到漏洞侵入公安機(jī)關(guān)掌握的網(wǎng)絡(luò)系統(tǒng)中，對(duì)不利于自己的電子證據(jù)進(jìn)行篡改和擦除。因此，要實(shí)施物理隔離，創(chuàng)造內(nèi)外網(wǎng)兩個(gè)網(wǎng)絡(luò)環(huán)境，保護(hù)系統(tǒng)，維持網(wǎng)絡(luò)環(huán)境的狀態(tài)。其次，保護(hù)電子數(shù)據(jù)的線索痕跡。在電子證據(jù)的控制操作過程中，偵查人員要避免無意中對(duì)正在運(yùn)行的電子證據(jù)的破壞，盡量避免發(fā)生任何硬件損毀、數(shù)據(jù)破壞、病毒感染或者更改系統(tǒng)的設(shè)置，否則會(huì)破壞電子證據(jù)的客觀性或造成證據(jù)的丟失從而使電子證據(jù)的定罪效果減弱。

（二）電子證據(jù)的偵查原則

偵查原則指導(dǎo)著電子證據(jù)的搜集活動(dòng)，是電子證據(jù)搜集的標(biāo)準(zhǔn)。偵查員必須在掌握電子證據(jù)的收集規(guī)律基礎(chǔ)上遵循一定的網(wǎng)絡(luò)證據(jù)搜集原則進(jìn)行偵查取證。首先是及時(shí)原則。所謂及時(shí)，就是趕赴現(xiàn)場(chǎng)要快，深入調(diào)查要快，否則就會(huì)影響電子取證的最佳時(shí)間，延誤戰(zhàn)機(jī)，影響對(duì)網(wǎng)絡(luò)犯罪的案情推進(jìn)。其次是全面原則。偵查員在取證態(tài)度上要做到深入細(xì)致，不放過任何可疑角落全面收集電子證據(jù)，為網(wǎng)絡(luò)犯罪案情的偵查定罪提供充分、確實(shí)的數(shù)字資料。最后是保密原則。網(wǎng)絡(luò)犯罪的高科技性使數(shù)字證據(jù)暴露于數(shù)字編碼空間，這對(duì)電子證據(jù)的保密封鎖提出了挑戰(zhàn)，偵查人員必須確保在偵查取證時(shí)，電子證據(jù)不會(huì)被犯罪分子攻擊、篡改或竊取。

（三）電子證據(jù)的偵查元素分類

對(duì)電子證據(jù)進(jìn)行挖掘的目的在于分析犯罪、重構(gòu)犯罪。對(duì)電子證據(jù)的偵查主要從三方面結(jié)構(gòu)屬性進(jìn)行分類，首先，物理證據(jù)。物理證據(jù)的搜查指?jìng)刹閱T對(duì)網(wǎng)絡(luò)犯罪攻擊者的人身、物品、住處和素質(zhì)載體進(jìn)行偵查的活動(dòng)?，F(xiàn)場(chǎng)中的物理證據(jù)主要有指紋、NDA信息、打印機(jī)及文件、硬盤、光盤、數(shù)碼相機(jī)、攝像機(jī)、監(jiān)視器、手寫便條、有書寫壓痕的空白記事薄紙、掛歷臺(tái)歷、手機(jī)、PAD等。其次，數(shù)字證據(jù)。數(shù)字證據(jù)的偵查指收集設(shè)備中的數(shù)據(jù)，主要包括日志信息系統(tǒng)、加密數(shù)據(jù)、計(jì)算機(jī)審核記錄，使用者賬號(hào)、IP地址、起止時(shí)間、使用時(shí)間和修改時(shí)間，登錄資料、申請(qǐng)賬號(hào)時(shí)填寫的姓名、電話來電顯示記錄、地址等基本資料。此外，還包括犯罪事實(shí)資料，即證明該犯罪事實(shí)存在的數(shù)據(jù)資料，包括文本、屏幕界面、原始程序，網(wǎng)絡(luò)傳輸?shù)慕粨Q機(jī)、路由、防火墻等。[3]因電子證據(jù)屬于易失證據(jù)，是持續(xù)發(fā)生變化的證據(jù)，因此要采取動(dòng)態(tài)提取的策略。

（四）電子證據(jù)的偵查技術(shù)手段

技術(shù)性是整個(gè)電子證據(jù)偵查取證的本質(zhì)和核心。偵查人員應(yīng)用電子證據(jù)的偵查技術(shù)手段是對(duì)計(jì)算機(jī)和相關(guān)設(shè)備中可能涉案的電子數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、保全、收集、檢驗(yàn)等應(yīng)用中所采用的一切技術(shù)手段。[4]

1.數(shù)據(jù)截取技術(shù)。電子證據(jù)的截取主要針對(duì)數(shù)據(jù)的網(wǎng)絡(luò)傳輸過程，在犯罪嫌疑人進(jìn)行網(wǎng)絡(luò)犯罪的同時(shí)，偵查人員利用某些技術(shù)把對(duì)方的犯罪證據(jù)進(jìn)行截獲，并對(duì)截取的電子證據(jù)采用分析、出示的手段，比如網(wǎng)絡(luò)嗅探,或者在傳輸介質(zhì)上進(jìn)行搭線竊聽或者電磁波截獲。

2.數(shù)據(jù)復(fù)原技術(shù)。偵查員將人為或偶然原因受到不同程度破壞的數(shù)據(jù)采取一定技術(shù)手段予以恢復(fù)和重現(xiàn)，如還原“網(wǎng)絡(luò)現(xiàn)場(chǎng)”，包括系統(tǒng)軟、硬件和文件的恢復(fù)兩大類。再如目錄表、FAT表、系統(tǒng)引導(dǎo)扇區(qū)，對(duì)刪除文件的恢復(fù)技術(shù)，信息按軸鏈進(jìn)行分區(qū)。我們刪除文件往往只是刪除了索引文件，計(jì)算機(jī)找不到索引就找不到內(nèi)容，但是數(shù)據(jù)仍在。因此，我們可以對(duì)磁盤空間進(jìn)行發(fā)掘，對(duì)緩存文件進(jìn)行復(fù)原，恢復(fù)硬盤的殘留信息；對(duì)系統(tǒng)硬件的恢復(fù)，如修理替換硬件、讀盤、修復(fù)伺服軟件、重新讀取數(shù)據(jù)等；對(duì)文件的恢復(fù)，如文件目錄、文件數(shù)據(jù)特征、殘缺文件。

3.數(shù)據(jù)復(fù)制技術(shù)。偵查員將涉案設(shè)備上的數(shù)據(jù)進(jìn)行精準(zhǔn)、完整的復(fù)制，并保存于存儲(chǔ)介質(zhì)中，以便偵查人員對(duì)與源目標(biāo)數(shù)據(jù)一致情況下再深入挖掘電子證據(jù)時(shí)不對(duì)原始證據(jù)造成本質(zhì)破壞，從而最大程度地保證電子證據(jù)的效力，例如數(shù)據(jù)備份技術(shù)、數(shù)據(jù)鏡像技術(shù)、數(shù)據(jù)快照技術(shù)等。

4.數(shù)據(jù)解密技術(shù)。這是指通過解密算法和解密密鑰將犯罪人員加密的數(shù)據(jù)恢復(fù)為明文，是數(shù)據(jù)加密的逆向操作。偵查員可采取多種解密技術(shù)對(duì)電子證據(jù)進(jìn)行偵查深挖，例如窮舉攻擊、數(shù)學(xué)分析攻擊、統(tǒng)計(jì)分析攻擊、分布式網(wǎng)絡(luò)密碼破解系統(tǒng)等。

5.數(shù)據(jù)挖掘技術(shù)。從大量數(shù)據(jù)信息中自動(dòng)搜索有特殊關(guān)系性的偵查過程，這些數(shù)據(jù)可以是結(jié)構(gòu)化的，也可以是半結(jié)構(gòu)化的，可以是數(shù)字的，也可以是非數(shù)字的。采取的方法包括關(guān)聯(lián)規(guī)則分析法、聚類分析法和分類分析法。

（五）電子證據(jù)的保全與舉證效能

在偵查實(shí)踐中，有些證據(jù)隨著時(shí)間的推移可能因喪失或者失真而難以取得，因此需要對(duì)證據(jù)加以保全。電子證據(jù)的保全是為防止電子證據(jù)的自然泯滅、人為毀壞或以后難以取得所采取的保全措施。

1.電子證據(jù)的保全原則。首先是安全原則,惡劣環(huán)境，人為破壞或者計(jì)算機(jī)的不當(dāng)使用都可能破壞、改變電子證據(jù)，使得電子證據(jù)的完整性得不到保障，因此在偵查取證時(shí)，偵查員務(wù)必確保取證環(huán)境的安全。針對(duì)不穩(wěn)定的電子證據(jù)應(yīng)當(dāng)制作復(fù)制件和副本，且應(yīng)當(dāng)進(jìn)行備份，分開保管以備審查判斷證據(jù)是否失真。其次是規(guī)范程序原則,電子證據(jù)的移交、保管、存儲(chǔ)、運(yùn)輸、開封、拆卸必須由偵查人員和取證專家共同完成，必須保證每一個(gè)環(huán)節(jié)上原始數(shù)據(jù)的真實(shí)性和完整性，并制作詳細(xì)筆錄，以保證電子證據(jù)在移交、保管、開封、拆卸過程中不會(huì)產(chǎn)生信息失真。最后是法治原則,電子證據(jù)的最大作用就是舉證效能，而電子證據(jù)法律效能的大小與電子證據(jù)的完整性密切相關(guān)。要使電子證據(jù)在偵查取證中不會(huì)產(chǎn)生遺漏就需要嚴(yán)格按照法律程序進(jìn)行取證操作，提升電子證據(jù)的抗否認(rèn)性，增強(qiáng)其法律效力。

2.電子證據(jù)的保全手段。首先是數(shù)據(jù)隱藏手段,它是一種密寫手段，將電子證據(jù)可靠地嵌入宿主媒體中的方式，例如我們運(yùn)用數(shù)字隱藏手段把數(shù)字證據(jù)隱藏在偶同的音樂或圖片文件中，其目的是保護(hù)已經(jīng)獲取的電子證據(jù)，以免其在儲(chǔ)存、處理過程中遭受非授權(quán)用戶的訪問、篡改。其次是數(shù)據(jù)簽名和數(shù)字時(shí)間戳手段,數(shù)字簽名能夠用來檢驗(yàn)數(shù)據(jù)傳送的完整性和表明偵查員的身份信息。數(shù)字時(shí)間戳給電子證據(jù)烙上特定的時(shí)間和日期，給電子證據(jù)帶來了無可爭(zhēng)辯的公正性。數(shù)字簽名手段和數(shù)字時(shí)間戳手段是相互支撐存在的，兩者為電子證據(jù)的保全加了雙保險(xiǎn)，缺一不可。最后是數(shù)字摘要手段，又稱安全HASH編碼法。其工作原理是運(yùn)用單向Hash函數(shù)對(duì)電子證據(jù)中的某些元素變換運(yùn)算后得到帶有固定編碼痕跡的摘要碼，是為了確保電子證據(jù)沒有被修改過，以保證電子證據(jù)的完整性不被破壞。

四、電子證據(jù)在偵破網(wǎng)絡(luò)犯罪中的價(jià)值

（一）拓寬偵查手段，發(fā)掘偵查深度，增強(qiáng)打擊能力

在數(shù)字化領(lǐng)域，偵查人員的偵查意識(shí)過于局限，偵查經(jīng)驗(yàn)缺乏，偵查技術(shù)略顯滯后。偵查技能在現(xiàn)實(shí)領(lǐng)域的強(qiáng)大與在數(shù)字領(lǐng)域的困境形成強(qiáng)烈對(duì)比，偵查人員對(duì)電子世界的證據(jù)法律意識(shí)不強(qiáng)，還沒有從意識(shí)上、觀念上轉(zhuǎn)變對(duì)電子證據(jù)的舉證懷疑，導(dǎo)致在數(shù)字領(lǐng)域的偵查取證中，沒能找準(zhǔn)正確的方向，偵查效率降低。對(duì)電子證據(jù)的深入研究探討，能加深偵查人員對(duì)電子證據(jù)在偵查取證中重要性的認(rèn)識(shí)，增強(qiáng)打擊網(wǎng)絡(luò)犯罪的戰(zhàn)斗力。通過對(duì)電子證據(jù)內(nèi)涵的解讀，“網(wǎng)絡(luò)現(xiàn)場(chǎng)”痕跡的闡釋，具體的偵查取證措施的運(yùn)用，以及對(duì)電子證據(jù)的價(jià)值分析，將進(jìn)一步提升偵查人員對(duì)電子證據(jù)的認(rèn)識(shí)，強(qiáng)化偵查人員尋找電子證據(jù)打擊網(wǎng)絡(luò)犯罪的意識(shí)，轉(zhuǎn)變偵查人員的觀念，使其以一個(gè)全新的態(tài)度對(duì)待虛擬社會(huì)，更新偵查觀念，從收集現(xiàn)實(shí)證據(jù)轉(zhuǎn)變?yōu)樘摂M證據(jù)，如電子證據(jù)，提升偵查人員自身的電子證據(jù)收集能力，通過電子證據(jù)的有效收集預(yù)防犯罪、打擊犯罪，維護(hù)網(wǎng)絡(luò)的安寧。

（二）完善證據(jù)結(jié)構(gòu)，給偵查取證提供多種路徑選擇

刑事訴訟證據(jù)，是指以法律規(guī)定的形式表現(xiàn)出來的能夠證明案件真實(shí)情況的一切事實(shí)，主要有物證、書證、證人證言、被害人陳述，犯罪嫌疑人、被告人供述和辯解，鑒定意見、勘驗(yàn)、檢查、辨認(rèn)、偵查實(shí)驗(yàn)等筆錄、視聽資料。首先是“兩高一部”最新出臺(tái)對(duì)電子證據(jù)可以采取查封、扣押、凍結(jié)等偵查手段。對(duì)于被扣押的原始存儲(chǔ)介質(zhì)或提取的電子證據(jù)，可以通過恢復(fù)、破解、關(guān)聯(lián)、比對(duì)、破解等方式檢查。對(duì)其中的相關(guān)性問題可以由鑒定部門出具相應(yīng)的鑒定意見。其次是對(duì)于原始存儲(chǔ)介質(zhì)無法扣押的情況下，可以提取其中的電子證據(jù)，并注明原始介質(zhì)的存放地點(diǎn)和電子數(shù)據(jù)的來源等情況。最后，提高電子證據(jù)提取電子化能力，通過電子證據(jù)等間接證據(jù)的提取倒逼犯罪嫌疑人對(duì)事實(shí)供述，實(shí)現(xiàn)電子證據(jù)等間接證據(jù)與嫌疑人的供述等直接供述相互印證。

(三）強(qiáng)化舉證效能，增強(qiáng)電子證據(jù)的定罪證明能力

數(shù)字化社會(huì)的發(fā)展，使得電子證據(jù)在定罪量刑當(dāng)中顯得愈發(fā)重要。由于當(dāng)下電子時(shí)代的到來，網(wǎng)絡(luò)犯罪的手段電子化，方式電子化，留存的往往也是電子痕跡，因而固定犯罪證據(jù)也必須從犯罪分子所留存的電子痕跡入手。電子證據(jù)在強(qiáng)大的社會(huì)物質(zhì)訴訟下顯得有些羸弱，但是伴隨著電子時(shí)代的來臨，人們?cè)诮煌^程中所用到的數(shù)字證據(jù)越來越多，電子證據(jù)在定分止?fàn)幹杏鷣碛匾娮由鐣?huì)的到來將會(huì)倒逼電子證據(jù)的證據(jù)能力得到提升。對(duì)偵查中的電子證據(jù)能力，在審查其證據(jù)形式的同時(shí)更要加強(qiáng)對(duì)其證據(jù)收集行為進(jìn)行審查。偵查行為合法性是電子證據(jù)證明能力的基礎(chǔ)，故在電子證據(jù)收集中不能使用強(qiáng)制性調(diào)查措施，而更多地的應(yīng)用任意性調(diào)查措施。如《刑事訴訟規(guī)則》規(guī)定在初查中在不限制初查對(duì)象人身、財(cái)產(chǎn)權(quán)利的條件下可以采取詢問、查詢、勘驗(yàn)、檢查、鑒定、調(diào)取證據(jù)材料的方式，初查中也不得利用技術(shù)偵查措施。在立案之前的電子取證只能使用任意性調(diào)查措施才具有證據(jù)能力。

[1]賀電.偵查技術(shù)創(chuàng)新論[M].北京：中國人民公安大學(xué)出版社，2014：36-39.

[2]蔣平.數(shù)字取證[M].北京：中國人民公安大學(xué)出版社，2007: 169-170.

[3]陳欣.基于Windows平臺(tái)的計(jì)算機(jī)隱秘取證系統(tǒng)的研究與實(shí)現(xiàn)[D].上海交通大學(xué)碩士論文，2009.

[4]趙國輝.網(wǎng)絡(luò)案件偵查[M].北京：中國人民公安大學(xué)出版社，2014:85.

Investigation and Evidence Collection of Electronic Evidence in Cybercrime

Jiang Hanqiu
(Chinese People's Public Security University,Beijing 100038)

While the Internet is developing at an unprecedented speed,the online order leaves much room for improvement.Electronic devices have brought enormous convenience to people,however,we cannot deny the fact that they also make people become susceptible to security risks such as data leakage,online fraud and cybercrime.Electronic evidence becomes indispensable for solving such crimes,but its volatile nature renders it difficult to collect.In spite of this,Criminal suspects can be brought to justice if investigators are able to reconstruct the crime scene by tracking the perpetrator’s “roadmap”,securing the electronic evidence on site, and developing multi-dimensional evidence on the strength of police investigatory expertise.

cybercrime,investigation and evidence collection,electronic evidence

G202，D631.2

A

1671-5101(2016)06-0039-05

（責(zé)任編輯：王泓）

2016-09-22

姜寒秋（1987-），男，江蘇徐州人，中國人民公安大學(xué)2014級(jí)公安學(xué)專業(yè)碩士研究生。研究方向：公安思政與文化。