淺論電子證據的提取與檢驗

蘇敏杰

摘要:隨著電子技術特別是網絡技術、通信技術的飛速發展,電子證據將越來越多地應用到案件的偵破、訴訟實踐中,而電子證據的提取與檢驗過程也需要嚴謹的專業手段和具體的操作規程。本文針對電子證據的特點對電子證據的提取原則、分析、鑒定等方面加以論述。

關鍵詞:電子證據取證檢驗

中圖分類號:TP3 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0023-02

2012年3月14日十一屆全國人大五次會議14日表決通過《刑訴法修正案》已將“電子數據”作為獨立的證據種類納入修改內容,修改后的《中華人民共和國刑事訴訟法》并將于2013年1月1日起正式實施。屆時,電子數據證據將會在各類訴訟中普遍應用,而電子數據的提取和檢驗。需要有足夠的掌握高級計算機網絡技術又具有豐富實戰經驗的網偵人才。筆者通過多年計算機安全監察管理實踐,總結出一些對電子物證現場檢查的經驗和心得,供大家商榷。

1 當前司法界對電子證據的界定及與相關表述方式的關系

“電子證據”是指由電子設備存儲或傳輸的有偵查作用或證據價值的電子信息及派生物。“電子信息”是指以程序、文本、聲音、圖像、影像等電子形式存在的數據,“派生物”是指由電子信息轉化而來的附屬材料。通過對電子證據的固定、提取、封存,可以發現、揭露、證實犯罪行為,從而確定偵查方向和范圍,為破案提供線索和證據。

從目前各國研究狀況來看,電子證據同數字證據、計算機證據是比較容易混用的概念,其關系如下(圖1)。

2 電子證據的特點

作為一種新的證據種類,電子證據除必須具備所有證據的共同屬性客觀性、關聯性、合法性,同時與傳統的證據相比較,電子證據還具有以下顯著特點:

(1)高科技性:電子證據的高科技性不僅指在證據的產生、傳輸、儲存等離不開高科技含量的設備,而且表現在犯罪實施主體的高技術性和案件偵破主體的專業性。

(2)內在實質上的無形性:一切交由計算機處理的信息都必須經過數字化的過程,因此電子證據實質上只是一堆按編碼規則處理成的二進制信息,具有無形性,

(3)外在表現形式的多樣性:電子信息不僅可以表現為文字、圖像、聲音多種媒體,還可以是交互式的、可編繹的,并隨著科技成果不斷增加,因此電子證據依附于何種載體以及以何種表現形式來表達其傳遞的信息也具有多樣性。如可以以電子文件的形式提供,或以傳統物證、書證或視聽資料的形式提供,也可以由第三方公證或技術鑒定機構鑒定作為證據提供。

(4)客觀真實性:電子物證一經生成必然會在計算機系統、網絡系統中留下相關的痕跡或記錄并被保存于系統自帶日志(系統日志、安全日志等)或第三方軟件形成的日志中,即使遭到人為篡改或系統故障等外在因素的破壞,仍可以使用SDII服務器恢復系統等專業電子物證勘驗設備,過數據恢復手段進行電子物證的恢復、固定和提取。

(5)實時有效性:如一些人為設定的“邏輯炸彈”,過了某一時限就會刪除某些電子數據。

(6)易破壞性:當有人為因素的或技術的障礙介入時,容易被截取、監聽、剪接、篡改、偽造、刪除,同時還可能由于計算機系統、網絡系統、物理系統以及非故意的行為如誤操作、病毒、硬件故障或沖突、軟件兼容性引起的數據丟失、系統崩潰、突然斷電等原因,造成電子物證的變化且不易發現其改變的痕跡。

(7)存在的廣域性:電子物證因行為人使用網絡的種類不同或目的不同而存在于局域網或互聯網中,由于網絡犯罪行為和網絡數據傳輸的連續性,所以分散于網絡各臺計算機中的電子證據往往具有時間空間上的連續性,并能相互印證,形成證明犯罪事實的直接證據。而在遍布全球的互聯網中的各地網絡服務商提供的服務器就會留有電子物證。基于電子物證的這一特性,取證活動將常常不局限于一地區、一國界,且由于各地區、各國分屬不同的法域,對電子物證的法律規定自然存在差異,必然帶來取證的障礙和沖突。

3 電子證據的分類

(1)按計算機在證據形成過程中所起的作用分為使用計算機活動記錄的證據和使用計算機生成的結果證據。前者通常由計算機中的軟件自動記錄,后者如我們通過計算機擬就的合同、協議,并通過網絡發送給交易對方并得以確認的信息。

(2)按證明事實的不同可分為證明犯罪過程的證據或證明損害結果的證據,如數據的被篡改、破壞情況,以及證明之間因果關系的電子證據(如計算機病毒和軟件中邏輯炸彈本身即有證明其破壞性的證明效力)。

(3)按存儲的位置分為在網絡(服務機)上的證據和存放在網絡終端(客戶機)上甚至移動存儲設備上的證據。

(4)電子證據按其技術含量可分為普通數據、隱藏數據、加密數據。具有加密技術的數據信息無疑有極強的證明力。

4 電子證據取證的對象

4.1 數據電文證據

存在于計算機中的:與案件有關的程序、數據資料文檔;系統日志文件;備份介質;入侵者殘留物:如程序、腳本、進程、內存映像;交換區文件;臨時文件;硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到);系統緩沖區。

4.2 存在于網絡中的

防火墻日志;IDS日志;其它網絡工具所產生的記錄和日志等。

附屬信息證據:是指在對電子證據進行審查判斷時,除電子證據本身所包含的證據信息之外的,能夠影響電子證據本身可采性和證明力的信息。是收集證據的過程記錄(地點、時間、人員和流程)、方法等信息。

4.3 系統環境證據

電子物證的取證活動應針對每一案件事實,分別明確取證的數據電文證據、附屬信息證據和系統環境證據的內容和范圍,由上述三個相關聯的證據構成的完整的證明體系,才能確保電子物證具有真實性和可靠性。

5 電子證據取證時的原則

5.1 電子證據的收集要注意合法化

(1)取證的人員的身份合法:只有我們依據相關法律規定具有取證資格的人提取的證據才具有合法性。

(2)取證的程序合法:電子證據的取得,必須遵守法律規定的范圍、程序和方法,不得侵害公民的合法權益。當事人不得以非法侵入他人計算機信息系統的方法獲取證據;特別是向isp或專業網絡公司、數據公司要求取得某項證據時,要嚴格遵守與客戶簽訂的保密協議和服務條款,不得隨意泄露用戶個人信息,更不得以訴訟需要為名肆意竊取他人隱私材料和保密信息。如果證據是由第三人提供,則該第三人應出具保證證據自生成或收到后始終保持原始狀態及本人自愿提供該證據的文件或數字簽名;鑒于事實上在糾紛中當事人很難獲得對方的證據,對于因侵權所引起的糾紛應當由侵權行為人承擔舉證責任。在對網絡犯罪電子證據的采集過程中對非司法機關、司法工作人員主體收集的電子證據不應采信。

(3)在取證時使用的工具、軟件合法。

5.2 電子證據的來源要真實可靠

(1)證據的來源必須是客觀存在的,排除臆造出來的可能性;盡早地搜集整理證據,能夠得到第一手的信息,并盡可能地做到取證的過程公正和公開。

(2)確定證據來源的真實可靠性,根據電子證據形成的時間、地點、對象、制作人、制作過程及設備情況,明確電子證據所反映的是否真實可靠,有無偽造和刪改的可能。在提取電子證據時要必須保證“證據連續性”,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。

(3)要確保所獲取的證據和原有的數據是相同的。在電子物證的提取和檢驗過程中,如果不按程序進行提取和檢驗,很容易使檢材中的電子信息改變,甚至造成電子物證永久性的破壞,即電子物證的“污染”。常見的造成電子物證“污染”情況有:

1)使用帶有系統的硬盤檢材啟動

2)恢復刪除的數據后,將恢復出的數據存回原盤

3)檢驗時將硬盤檢材直接掛在系統中

4)筆記本中的硬盤數據檢驗時,直接開機進行檢驗,這樣很容易改變其中的數據。

5)直接開啟手機檢材進行檢驗

(4)整個檢查、取證過程必須是受到監督的。最好所有調查取證工作,都有其他方委派的專家的監督。偵查人員應當對提取、復制、固定電子數據的過程制作相關文字說明,記錄案由、對象、內容以及提取、復制、固定的時間、地點、方法,電子數據的規格、類別、文件格式等,并由提取、復制、固定電子數據的制作人、電子數據的持有人簽名或者蓋章,附所提取、復制、固定的電子數據一并隨案移送。對于電子數據存儲在境外的計算機上的,或者偵查機關從網站提取電子數據時犯罪嫌疑人未到案的,或者電子數據的持有人無法簽字或者拒絕簽字的,應當由能夠證明提取、復制、固定過程的見證人簽名或者蓋章,記明有關情況。必要時,可對提取、復制、固定有關電子數據的過程拍照或者錄像。

5.3 電子證據要與案件事實有關聯

提取的電子證據所反映的事件和行為要與案件事實有關聯,只有與案件相關的事實或邏輯上是相關的事實才能被認為是證據。

6 現場勘察取證實踐中的需注意的問題

(1)保護現場環境對現場進行勘查,凍結目標計算機系統,避免發生任何的改變、數據破壞或病毒感染。

(2)繪制犯罪現場圖、網絡拓撲圖,在移動或拆卸任何設備之前都要拍照存檔,為今后模擬和犯罪現場還原提供直接依據。

(3)積極要求證人、犯罪嫌疑人配合協作,從他們那里了解操作系統、用戶名口令、儲存數據的硬盤位置、文件目錄等信息。

(4)如果發現犯罪嫌疑人處所的電腦處于關機狀態,在未掌握其是否在電腦中安裝還原軟件的情況下或者沒有確實把握,不要輕易自行開機查看電腦中留存的信息或進行其他操作;如果發現犯罪嫌疑人處所的電腦處于開機狀態,辦案民警可對其場所進行控制。因案情需要,需對電腦進行扣押或需要對電腦中的信息進行分析的,應直接切斷主機電源(拔插頭),不得進行正常關機操作。

(5)取證工作中,如果發現犯罪嫌疑人正在電腦前上網或進行機前操作,應立即對其進行控制,使其暫停任何機前動作,做到人機分離,保持電腦中的原始狀態,并視案情及時通知網監部門進行現場處理。

(6)網吧或其他公共場所發現犯罪嫌疑人使用過的電腦或其他可疑電腦,要對該場所或小范圍進行控制,避免任何人關機或重新啟動。同時,要迅速通知網管人員或其他相關技術人員進行配合,防止電腦被遠程操作。對事后發現的可疑電腦,也應盡早通知相應人員對該電腦進行控制,避免更多的無關人員進行操作。

(7)公司或其他部門里局域網中的可疑電腦,無論其是否處于關機狀態,均須將網線拔除,以避免犯罪嫌疑人或其他關系人進行遠程登錄關機或喚醒進行其他操作。

(8)對工作中發現的各類可疑筆記本電腦,可參照上述對臺式電腦處置的方法和要求進行處置。但對筆記本電腦進行切斷電源操作時,要注意在切斷外接電源的同時,還要切斷筆記本電腦的內置電源。

(9)對工作中發現的可疑PDA(俗稱掌上電腦),因其內置中無硬盤,所有輸入數據均存儲在內存中,其信息資料會因電源耗盡而丟失。因此,要注意及時對此類電腦中的資料進行備份。

(10)對處于開機狀態的各類電腦進行處置前,須對電腦中的系統時間與實際時間進行比對,并記錄備查。對已查獲并進行勘驗、檢查過的各類電腦,要杜絕進行使用,以避免因再次使用電腦而造成電子證據在訴訟程序上的無效。

7 電子物證的分析、檢驗鑒定

(1)要在不改變原始數據的前提下對電子證據進行分析檢驗。為避免在檢驗過程中破壞源數據,需要在檢驗前對源數據磁盤做逐位精確的備份,對硬盤克隆方法分為軟件克隆和專用硬盤克隆機。

(2)對電子證據進行檢驗鑒定,目前常見的鑒定類型有:基本數據的檢驗、數據的恢復檢驗、與網絡有關的電子物證檢驗、軟件功能檢驗、軟件一致性檢驗、文件一致性檢驗、文件解檢驗、數碼照片屬性檢驗、關健字檢驗、手機電子證據的檢驗以及其它電子設備中電子物證的檢驗鑒定。

8 結語

電子證據的產生是隨著高科技的發展而不斷變化的,在網絡技術發達的國家,有許多專門的計算機取證部門、實驗室和咨詢公司,國外公司開發的取證工具也覆蓋了計算機取證的四個階段,進一步提高了取證工具的自動化和智能化程度,利用取證工具提高電子證據搜集、保全、分析和鑒別的可靠性。我國的電子證據研究與實踐尚在起步階段,目前的網絡安全研究多著眼于入侵防范,而對于入侵后的取證問題研究甚少,可利用的工具就更少了,取證技術的研究和相當操作的標準化建設,能從從技術的角度解決電子證據的法律舉證問題,對于追究相關責任、威懾犯罪等方面有著非常積極的意義。

參考文獻

[1] 羅潔,張國臣.謹防電子物證提取和檢驗中的“污染”.刑事技術,2007,2.

[2] 黃步根.電子證據的收集技術.微計算機應用,2005-26-5.

[3] 吳珊,蘭義華.計算機取證技術研究.湖北工業大學學報.