論刑事訴訟中電子數據取證模式

裴兆斌

內容摘要：在信息全球化和科學技術突飛猛進的今天，出現了一大批以電子計算機、互聯網、系統軟件、通信工程技術為犯罪手段的犯罪活動，而且發展速度逐年加快。偵破此類案件的過程中，大量的相關電子信息被廣泛使用。因此，非常必要找出一種能夠涵蓋整個電子數據現場的取證方法。我國應當借鑒和推廣“獨立于特定技術和計算機犯罪的抽象取證模式”，加大計算機證據的識別力度。在面對海量的數據，識別是最重要的一個環節，能夠將計算機犯罪證據與普通合法的數據區別開來，還要注重數據分析方法的創新，優化原有的數據分析方法，尋找出適合計算機數據分析的新方法。

關鍵詞：刑事訴訟電子數據取證模式取證方法抽象取證模式

信息化時代特征可以描述為改造傳統方法的計算機技術、電子技術、通信技術的應用。將計算機系統作為一種工具納入私人的、商業的、教育的、政府的及現代生活的其他層面已經提高了這些實體的生產力和效率，讓人們步入了一種新的信息化的生活方式。同時，也引發了許多新的社會問題和法律問題，如網絡詐騙、網絡上發布虛假信息、色情賭博網站、電子郵件炸彈、散發電子垃圾郵件及網絡知識產權等問題。同樣以計算機網絡技術為手段的計算機犯罪活動也迅速地在發展，信息化生活受到來自計算機犯罪活動的巨大威脅。由于網絡工具犯罪和網絡對象犯罪在客觀方面表現為極強的隱蔽性，勢必增加了對此類犯罪案件的偵破難度。這些“與計算機等有關的犯罪”不一定是新型犯罪，但它確具有嚴重的危害性。這些案件是犯罪分子過度利用和精通計算機網絡技術、電子技術、通信技術的結果。為了有效打擊此類犯罪及時獲取電子數據證據，司法人員必須采用科學的取證方法和手段。本文探討了電子數據取證的發展進程，對比分析了20世紀90年代后期業內專家提出的幾種電子數據取證方法，最后提出了我國應當借鑒和推廣“獨立于特定技術和計算機犯罪的抽象取證模式”。

一、我國電子數據取證的發展進程

我國1996年《刑事訴訟法》第42條規定的刑事訴訟的證據有七種形式，分別為：物證、書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定結論；勘驗、檢查筆錄；視聽資料。隨著偵查技術的發展與犯罪手段的日益復雜化，我國1996年《刑事訴訟法》規定的法定證據種類已經無法涵蓋司法實踐中出現的證據形式，實踐中出現的證據形式不只這七種，而這些證據對定案來講有時起著關鍵性作用。在證據種類中將物證與書證并列為第一類證據形式，在司法實踐中容易產生誤解。另外，由于計算機通訊技術、網絡技術和網絡商業化的進一步發展，引發了許多新的社會問題和法律問題，如網絡詐騙、網絡上發布虛假信息、色情賭博網站、電子郵件炸彈、散發電子垃圾郵件及網絡知識產權等問題。偵破此類案件的過程中，大量的相關電子信息被廣泛使用，而這些證據形式在我國1996年《刑事訴訟法》證據制度中卻找不到合法性依據，駐足于原有的法定證據范疇不利于對當前實踐中出現的證據形式進行定位，全國人民代表大會第五次會議于2012年3月14日通過修改的《中華人民共和國刑事訴訟法》均采用了“電子數據”的概念。

電子數據（electronic data），是指基于計算機應用、通信和現代管理技術等電子化技術手段形成包括文字、圖形符號、數字、字母等的客觀資料。刑事訴訟電子數據證據是指以計算機或計算機系統為媒介載體產生，以數字電子符號為表現形式，收集、審查和判斷時必須借助電子計算機和電子計算機相關專業知識的，能夠證明刑事案件真實情況的所有數據。也就是說，一切由信息技術形成的、用以證明刑事案件事實的數據信息都屬于刑事訴訟電子數據證據。從目前的司法實踐來看，在刑事訴訟中常見的電子數據類證據主要是開放型計算機系統中的刑事訴訟電子證據，主要有局域網、互聯網中的電子證據，如電子郵件、電子公告板（BBS）、開放性電子數據交換、聊天室等，還包括封閉型計算機系統中的刑事訴訟電子證據，主要指單個電子文件、數據庫生傳統電子數據交換（EDI）等。由于電子數據是由現代信息技術衍生的一種新型證據，因此世界各國司法界對電子數據取證存在各種各樣的表述，英文相關術語有“Electronic Forensics”、“Computer Forensics”、“Digital Forensics”、“Network ForensiCS”數種，我國目前引用較多的術語有“電子取證”、“計算機取證”、“數字取證”、“網絡取證”等。大學科研教育中多采用“計算機取證”說法，能夠體現出取證與計算機科學與技術的關聯性，方便推廣；科研院所和檢察系統多采用“數字取證”，源于這一術語在國外司法界較高的使用率。刑事訴訟中的電子取證是一種相對新型的科學，它是由計算機取證衍生而成，現在已擴大到包含了所有電子化技術手段的取證。取證專家Reith Clint Mark把計算機取證定義為“從計算機中收集和發現證據的技術和工具” 〔1 〕。筆者認為刑事訴訟中電子數據取證可以定義為：“在刑事訴訟活動中，審判人員、檢察人員、偵查人員，依照法定程序，依托于科學原理以及經過科學實驗檢驗的方法，發現、收集、固定、提取、分析、解釋、證實、記錄和描述電子設備中存儲的電子數據，以發現案件線索、認定案件事實的行為。”電子取證與計算機取證是有所區別的：計算機取證的主體對象是計算機系統內與案件有關的數據信息；而電子取證的主體對象是指電子化存儲的、能反映有關案件真實情況的數據信息。隨著社會的進步，科學技術的發展，電子證據的重要性已經越來越凸顯，越來越多的刑事案件涉及以電子數據記錄的信息為載體的證據資料。遺憾的是，現在還沒有一個標準化或一致的電子取證方法，只有一套由執法部門、系統管理員和黑客的經驗組成的程序和設備。電子取證是從特定工具和技術進化而成，而不同于其他許多傳統的取證科學起源于科學研究機構。〔2 〕這是有問題的，因為證據必須通過可靠方法獲得，這種方法被證明能毫無偏見地獲取和分析證據。

二、國外幾種電子數據取證模式的分析

20世紀90年代后期，業內許多專家針對計算機取證基本理論和基本方法滯后所帶來的種種問題，開始對取證程序及取證標準等基本問題進行研究，并提出了幾種典型的取證過程模式，即基本過程模式（Basic Process Model）、事件響應過程模式（Incident Response Process Model）、法律執行過程模式（Law Enforcement Process Model）、過程抽象模式（An Abstract Process Model）和其他過程模式：

（一）基本過程模式

這一時期最早開始對電子數據取證基本理論進行研究的專家Farmer和Venema，在1999年提出了電子取證的基本過程模式。具體步驟包括：“保證安全并進行隔離，對現場信息進行記錄，全面查找證據，對證據進行提取和打包，維護監督鏈。” 〔3 〕基本過程模式是國外電子取證的最常見的模式之一，也是實踐中比較成熟模式，其優點在于應用廣泛，操作簡單便捷，但是這種模式也存在明顯的缺陷。例如整個取證中缺少了取證準備階段，取證準備階段是基本過程模式設計的6個階段的基礎和前提，缺少該階段會一定程度上影響取證的完整性；再有取證工具運行平臺單一也是該模式的另一大弊端。基本過程模式的取證工具只能在UNIX平臺上運行，而不能在其他平臺上運行，這就使得該模式的實踐操作性大打折扣，所以該模式要想在實踐中得到廣泛的應用還需要克服很多關鍵性問題。

（二）事件響應過程模式

2001年，Chris Prosise和Kevin Mandia在Incident Response： Investigating Computer Crime一書中提出了事件響應過程模式的概念，這一模式分為以下各個階段：攻擊預防階段、事件偵測階段、初始響應階段、響應策略匹配、備份、調查、安全方案實施、網絡監控、恢復、報告、補充。〔4 〕事件響應過程模式在基本過程模式的基礎上作了很大的改進，也解決了一些基本過程模式在實踐中出現的問題，例如突破了基本過程模式取證工具運行平臺單一的瓶頸，在其原有的UNIX平臺基礎上，拓展了Windows 2000/NT和Cisco路由器等平臺，而且特別是設計了攻擊預防階段，使整個模式更加具體、全面，而且操作性強，越來越多的人將攻擊預防階段作為一個取證模式專業與否的主要標志。這一模式的缺點是：所設計的模式中，注意力重點只在計算機犯罪方面，因而沒從數字設備角度解決電子數據取證程序問題，如個人數字助理、外圍設備、移動電話甚至未來的數字技術、電腦等。本應在整個取證過程中占比重最大的系統分析僅占了1/11，而且雖然設計了“攻擊預防階段”，但是很多地方還存在很多不足，僅僅是作了一些探索，如“事先準備取證工具及設備，熟練取證技能，不斷學習新的技術以便應對突發事件”。

（三）法律執行過程模式

2001年美國司法部（The U.S. Department of Justice，DOJ）在《電子犯罪現場調查指南》中提出了一個計算機取證程序調查模式，即法律執行過程模式。此模式分為準備階段、收集階段、檢驗、分析、報告五個階段。〔5 〕這一模式的優點是：能更有效地辨別取證過程的核心部分并采取措施對其支撐，而不是糾纏于特定技術和方法的細節，使傳統的物理取證知識應用到了電子數據取證，這是一種值得推薦的方法。此外，美國司法部沒有對運用到計算機的取證或適用于其他電子設備的取證加以區別。相反，它試圖建立一個適用于大部分電子設備的推廣程序。美國司法部還列出了電子設備可能找到的證據類型，獲得證據的可能位置以及與證據可能有聯系的犯罪類別。例如，它能列出隱藏的證據位置，如已刪除的文件、隱蔽的隔區和被疏忽的空間。還能列出何種類型的信息可能藏匿于此，例如安全號碼、源代碼和一些圖像。這些信息會分別對照可疑罪行如身份盜取、電腦入侵或壓榨兒童反復查對。確定潛在的證據類型和不同電子設備搜索出的證據可能藏匿的地點，對取證實踐來說是發展推廣程序的積極步驟，由此程序才能通過特定技術實例化，對偵查破案產生有意義的結果。這一模式的缺點是：由于它的面向對象是一直從事物理犯罪取證（非數字取證）的司法人員，重點在于滿足他們的需要，對于系統的分析涉及較少。

（四）過程抽象模式

在過程抽象模式中比較具有代表意義的有兩種：一種是美國空軍研究院設計的AIRFORCE過程抽象模式；另一種是美國司法部設計的DOJ過程抽象模式。過程抽象模式的出現對在數字取證基本理論和基本方法研究意義重大。

1.AIRFORCE過程抽象模式

抽象即意味著在具體基礎上的求同，前幾種模式雖然在特定即技術和方法上有所改進和創新，但是并沒有將其總結到抽象意義上的規律。美國空軍研究院在以往模式的基礎上，進行批判的總結，尋求不同模式的共同之處，總結規律，尋求共性，在經過對大量具體模式的比對和分析的基礎上尋求規律性，并將這些共性上升為抽象意義上的通用模式。這種模式汲取了大量的物理取證知識和有益之處，并將其應用和擴展到電子數據取證中來，發展和創新了原有的電子數據取證技術基本方法和基本原理。這一模式分為識別、準備、策略制定、保存、收集、檢驗、分析、提交等8個階段。但這個模式提出的“檢驗”和“分析”名稱的相似使得這兩個階段常被混淆。

2.DOJ過程抽象模式

該模式包含收集、檢驗、分析、報告等過程。DOJ過程抽象模式的創新之處在于“分類整理”，增加了對電子設備中證據的識別功能，能夠準確地定位到潛在證據的存在位置。準確無誤的識別和定位功能是該模式對證據“分類整理”的基礎，也使得證據類型、潛在的存儲位置和犯罪類型能得到區分，DOJ過程抽象模式豐富了抽象模式，使得該模式得到了進一步的發展，對于電子證據取證程序具有重大的理論和現實意義。我們還應該看到DOJ才剛剛起步，也面臨著諸多潛在不確定的因素，但是令人欣喜的是，該模式已經對電子數據取證研究的核心問題進行了探索。但這個模式與AIRFORCE過程抽象模式存在同樣的問題，模式提出的“檢驗”和“分析”名稱的相似使得這兩個階段常被混淆。

（五）其他過程模式

其他過程模式是由數字取證研究組設計的，這個組織的宗旨是致力于數字取證基本理論及方法研究，數字取證研究是美國學術界牽頭并領導的第一個大規模組織，其背后具有的強大資金支持，資金來源主體分別是美國信息戰督導、美國空軍研究院、防御局。目前學術界在數字取證領域研究過程中存在的最突出的問題是沒有形成數字取證標準化的術語，也就更談不上標準的數字取證分析過程及協議，因為標準的術語是學術界在這一領域進行研究的前提，沒有標準的術語研究將難以進行。〔6 〕數字取證研究組提出了一個初步的計算機取證科學的基本框架，框架包括“證據識別、證據保存、證據收集、證據檢驗、證據分析、證據保存和提交” 〔7 〕。這個框架的科學性與否我們暫時不談，而該框架的真正意義在于確定了學術界在電子數據取證中的重要地位，也能夠進一步激發學術界對電子數據取證過程的熱情，推動電子數據取證的進一步發展。

三、過程抽象取證模式的借鑒

（一）借鑒過程抽象取證模式的重要意義

1.取證主體的需要

我國現行《刑事訴訟法》第50條規定：“審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節輕重的各種證據。”從該法律條文可以看出，在我國只有審判機關、檢察機關和偵查機關有刑事取證權，而且取證的范圍囊括了全部證據種類，但是隨著互聯網的出現，利用網絡為手段進行犯罪的案件大量發生，由于網絡載體與其它證據載體存在著很大的不同，這就給司法工作人員的取證帶來了巨大的困難，利用傳統收集證據的方式很難獲得電子證據，而司法工作人員也缺乏相應的專業性技術。就我國目前來講，在中央和省級公安機關成立了公共信息網絡安全監察機構，但仍然缺乏經過法律授權的、具有豐富電子證據知識的調查人員及機構。沒有專業的知識和技術成為困擾司法工作人員取證的難題，這樣專家介入也就不可避免，但電子專家雖在電子領域游刃有余，但是取證并不是簡單的取得證據。因為在刑事訴訟領域，取證需要按照嚴格的程序來進行，不懂得法律的電子專家很多時候的取證并不一定符合法律要求。可能取得到的證據也會成為“非法證據”。換個角度來看，在很多時候電子技術專家在收集電子證據時起到的作用超過司法工作人員，雖然名義上說的是電子技術專家起協助作用，但是此時取證權已經從司法工作人員轉移到了電子專家手中，這也是不符合法律規定。主體身份不對，但是實踐中為了案件的順利偵破，這種不合法也就習以為常了。此外，電子證據易丟失，難保存，如果保存得不及時，可能就會造成該電子證據的永久性滅失，且難以恢復。

為了使犯罪嫌疑人能夠得到法律的制裁，被害人及其近親屬利用自己手中掌握的網絡技術進行取證，也會雇傭電子專家，甚至電腦黑客進行取證，他們的取證手段和方式并沒有合法的法律依據，我國法律也并沒有賦予上述主體刑事取證權，即便是律師也必須經過《刑事訴訟法》規定的程序進行取證。在目前電子取證技術面臨困境的情況下，司法機關對于一些依靠社會力量和中間組織來調查收集的證據也成為了司法機關取證的一個重要手段，但是面臨的同樣一個問題就是主體取證的合法性還是沒有解決，取證的程序也很不規范，要解決這一問題就必須設立專門的計算機取證實驗室。現在美國至少70%的法律部門擁有自己的計算機取證實驗室，而且美國成立了FBI紐約計算機犯罪專業防治隊，專門從事網絡犯罪偵查工作，針對不同類型的犯罪案件，有不同分組，專門進行某一項犯罪活動的偵查。

就目前我國的現實狀況而言，可以從一些科研院所、高等院校和專業性機構選拔一批熟悉計算機知識、操作手段嫻熟的專家和學者組成取證實驗室，而且最重要的是進行法律的授權，形成電子證據取證制度。從法律上賦予他們專門從事電子取證的權利，同時也對他們取證過程進行合法性監督。這些可以參照我國的司法鑒定機構有關方面的做法和經驗，同時要加強對實驗室取證人員的后期培訓。國外在這方面已經走在前面，如美國的聯邦執法培訓中心已經成為培訓警察的基地，學員們可以學習怎樣從電子公告上發現證據，如何偵破計算機詐騙等偵查技術。這樣，只要是電子證據的取證就可以由計算機取證實驗室進行取證，自訴案件的自訴人也可以提出申請，由計算機取證實驗室代為取證，從而不斷規范電子證據的取證。

2.破解目前我國電子取證領域面臨的問題的需要

（1）科學、規范的電子取證程序缺乏。程序是實體的基礎，取證也必須在法定的程序內進行，如果取證不按照法定的程序，那么取證權也會被濫用。我國出臺的《計算機犯罪現場勘驗與電子證據檢查規則》沒有具體的程序性規范，只是對電子計算機犯罪的證據作出了原則性，甚至模糊的規定，實踐中也難以操作。沒有程序的引導，取證的科學性和合法性就難以得到保證，而未經過合法程序取得的證據也是沒有價值的。在這一方面亟需進行立法，確定電子取證的程序，從而也便于對司法人員的取證進行監督。

（2）難以準確有效地定位、查找和獲取計算機犯罪證據。計算機中保存著大量的數據，一個計算機能夠容納多少數據，這個問題是很難回答的。隨著存儲技術的提高，計算機的存儲信息量也越來越大，但是計算機取證技術仍然十分落后，而且兩者之間的矛盾越來越明顯。而且計算機的每個系統之間都是緊密相聯系的，可以說是牽一發而動全身，一個計算機犯罪行為會與多個數據系統，多個程序混雜在一起，如果要查找該犯罪行為的證據就要在多個系統程序中進行查找、定位和搜尋。實踐中計算機證據都是呈片段式，散見在各個數據系統中，常常與正常的數據混雜在一起，這也加大了區分和篩選的難度。如果篩選不當，有可能對合法的數據造成損害。再有計算機存儲系統的不穩定性也增加的計算機取證的難度。一個數據程序的變化會導致與之相對應的多個數據程序變化，人為操作不當，與黑客、木馬病毒的攻擊都會改變原有的數據系統。所以面對這些問題，如何在復雜的計算機系統中查找到，定位出犯罪信息的難度可想而知。

（3）證據不夠充分。面對反取證技術的發展，實際的計算機取證案件可能會面臨證據不足的問題。現有的取證技術在面對復雜的計算機程序時已經顯得捉襟見肘，力不從心，在這樣的情況下面對反取證就更加辦法不多。實踐中反取證技術多種多樣，常見的反取證方式有數據隱藏、數據刪除和數據加密，而且這些反取證技術既可以單獨使用，也可以結合起來使用，這也就無形中又增加了取證的難度。我們在取證中開發了利用日志分析工具的方法，利用該方法可以獲得查找犯罪信息的線索，但是針對日志分析系統的反取證方法則隨之出現了，通過系統后門、木馬程序等避開日志系統，這樣就使得日志分析系統的作用蕩然無存，入侵者可以輕易刪除和修改，甚至破壞數據源。

（4）計算機證據的出示困難。證據的出示是刑事訴訟活動中的重要環節，計算機證據也不例外，但是與傳統的證據出示相比，計算機證據出示難度較大且程序較為復雜，計算機證據的出示需要依賴一定的工具，而且有些證據只有利用特殊工具，在這特殊的條件下才能夠出現，受制于多方面因素。此外，由于計算機證據的散見在其他數據系統中，不能像傳統證據那樣采取證據保全措施。

（5）計算機取證專業人員及具備一定取證知識的計算機系統、網絡等方面的安全管理人員比較缺乏。應當建立計算機專業取證人員的職業準入制度。因為計算機取證要求必須具有嫻熟的計算機應用技術，能夠在復雜的網絡環境下，定位、查找計算機證據。此外，由于計算機系統是相關聯的，一旦操作不當就會對公民的合法信息造成侵害，必須加強對計算機取證人員的職業道德規范的培養，最后還要對已經通過職業準入人員進行定期考核。

（6）現有計算機取證的局限性。雖然計算機取證近年來得到了很大的發展，成績也是有目共睹的，但是我們不得不承認的一個現實就是：我國計算機取證的起點非常低，這也就導致雖然快速發展但是水平依然很低，在理論上和計算機軟件工具上都有很大的局限性。從理論來說，我們現在還停留在：計算機證據如保留完好的狀態，沒有被大規模破壞，而且證據沒有被其他數據系統覆蓋，取證人員能夠判斷出這些證據與犯罪相關。軟件取證局限在兩個方面：第一，我國現有的原件取證過分依賴磁盤，利用磁盤進行數據存儲、復制、刪除和丟失數據的恢復。而隨著計算機的發展，磁盤的應用和作用正在逐步地下降，也就導致現有的軟件工具跟不上軟件工具的發展更新。第二，計算機軟件的取證是一個新的市場，很多商家也都看好這個市場的發展潛力，但是由于在計算機取證領域缺乏相關的法律依據和統一的規范，每個商家都在標新立異，系統之間的兼容性差，這也就給使用者應用起來造成了麻煩，需要對其有效性和可靠性進行判斷和比較。

3.計算機取證發展趨勢的需要

經過多年的發展和探索，計算機取證學作為一個新興的學科，無論是在理論研究上還是在實踐應用中都取得了不俗的成績，在司法工作人員計算機取證中起到重要的作用。但是網絡計算機發展變化是日新月異的，落后一天就可能落后一個時代，計算機取證面臨著新困境、新問題和新局面。如何應對網絡上的挑戰也是計算機取證學亟需面對和應對的問題，而且時不我待。從理論和實踐兩方面來看，計算機取證領域將向以下幾個方向發展：（l）取證方式從治標走向治本，由事后被動的收集走向事前主動的準備。具體說來，就是計算機取證逐步向研發領域拓展，以往計算機研發領域在設計之初并沒有為取證留有足夠的空間，這就使得事后取證往往與該計算機系統不兼容，甚至產生排異反應。在未來的計算機系統的研究和設計之初，就應該考慮到為計算機取證留有空間，把計算機取證作為必要的環節，事先做好準備，變被動為主動，這樣不但減少取證成本，也使取證方便快捷，幫助司法工作人員能夠準確。方便快捷地獲取所需證據。將來可能有信息資產、業務依賴于計算機與網絡的單位設置網絡與信息安全管理部門、安排安全管理職位、采取主動取證措施等將和現在每個單位設置安全保衛部門一樣普遍。（2）取證工具自動化、智能化與集成化。隨著計算機發展速度的加快，信息全球化要求電子計算機的存儲功能必須與日益加快的信息存儲需求相適應，所以計算機的存儲功能也相當驚人，就連我們現在用的硬盤存儲量也要上百G。存儲能力增長本是好事，我們面對的關鍵的、本質的問題是數據量的爆炸增長。面對這大量的信息，利用什么樣的工具對數據進行篩選和識別，利用人工已經是不可能了，利用一般的工具也是杯水車薪。我們需要自動化、智能化和集成化的工具對數據進行處理，這樣才能應對海量的數據系統。自動化使得數據的處理速度大大加快，智能化能夠識別和篩選信息是否有用，也能融入人的智慧，避免計算機系統的固有弊端。（3）計算機取證領域需要繼續拓展。隨著電子設備的發展變化，電子計算機已經不局限于原來的臺式計算機和筆記本計算機，目前絕大多數的移動電話已經具備了上網功能，也具有電子驅動和數據處理器。比如，最新出品的蘋果和三星手機已經具有8核處理器，而且無線網絡也是鋪天蓋地地擴展，信息交流的方式也出現了多樣化，微信、微博等新的信息交流方式逐步擴大。所以計算機取證的領域也就被無形地擴大了，要找到合適的證據就需要針對不同的場合設計專門化產品（包括硬件和信息格式方面），做出相應的取證工具。（4）完善電子計算機取證方面的立法。《刑事訴訟法》對于取證作出了明確的規定，當然也適用于電子計算機取證，但是計算機領域的取證與傳統的取證既有共性，又有諸多的不同。所以針對特殊性和新領域，應該制定相關的單行法規或者由司法機關作出司法解釋，彌補法律上的空白，為電子計算機取證標準化工作提供法律依據。（5）計算機取證、計算機司法鑒定等的規范管理。目前我國計算機取證領域處于比較混亂的局面，由于缺少職業準入制度，對進入計算機取證領域的機構和人員沒有過多的限制，也使得魚龍混雜。缺乏資質的取證機構和工作人員取得的計算機證據難以獲得普遍的認可。而且沒有職業準入制度，也不利于對取證機構和人員進行管理，所以當務之急是建立計算機領域的職業準入制度，認真審核機構和人員的資質。通過檢查和考核，對不符合條件的予以清除，這樣才能使得結果具有可信性，計算機司法鑒定活動等將得到規范管理。

4.國內外研究現狀的需要

2005年11月，我國在北京成立了電子取證專家委員會并舉辦了首屆計算機取證技術研討會，2007年8月，在烏魯木齊舉辦了第二屆計算機取證技術研討會。2005年l月以來，CCFC計算機取證技術峰會和高峰論壇也非常活躍，舉辦了三次大型活動。2007年和2008年，在北京舉行的國際反恐警用裝備展中，電子取證的軟硬件等設備開始成為亮點。目前，國內的一些科研院所也在加大這一領域的研究力度，中科院在網絡入侵取證、武漢大學和復旦大學在密碼技術、吉林大學在網絡逆向追蹤、電子科技大學在網絡誘騙、北京航空航天大學在入侵誘騙模型等方面都展開了研究工作。湖北警官學院在計算機取證和司法鑒定方面的研究工作走在公安院校的前列。2004年8月，湖北警官學院建立電子取證重點實驗室，承擔了國家、公安部和湖北省的一系列項目。2006年8月，依托湖北警官學院電子取證重點實驗室，成立了具有司法鑒定資質的湖北丹平司法鑒定所（后改名為湖北三真司法鑒定所），擁有12位國家計算機司法鑒定人，承辦了大量的計算機取證和司法鑒定案件。但是，在國內，有關計算機取證方面的研究和實踐才剛起步，司法機關對計算機取證工具的應用，大多是利用國外一些常用取證工具或者自身技術經驗開發的工具，在程序上計算機取證的流程缺乏比較深入的研究，證據收集、文檔保存很不完善，而且數字證據分析和解釋也存在不足，造成電子數字證據的可靠性、有效性、可信度不強。到目前為止，專門的權威機構對計算機取證機構或工作人員的資質認定還沒有形成規范，計算機取證工具的評價標準尚未建立，計算機取證操作規范的執行也有所欠缺。

20世紀90年代中期，隨著Internet等網絡技術的發展，以計算機犯罪為主的電子犯罪呈現更加猖獗的勢頭，司法機關對取證技術及取證工具的需求更加強烈。由于看好取證產品的廣闊市場，許多商家相繼推出了許多關于取證的專用產品，如美國GUIDANCE軟件公司開發的Encase等產品。由于主要受商家和應用技術的驅動，理論發展比較滯后，標準不統一。這種趨勢導致在調查取證時既沒有一致性也沒有可依靠的標準，因此急切需要對計算機取證技術的理論和方法進行更深入的研究。

（二）刑事訴訟中電子數據取證模式的借鑒

借鑒之前的取證協議，我們能抽象定義出一些常見步驟來建立一個獨立于特定技術和電子犯罪的模式。這一模式的基礎是確定上述協議的關鍵部分以及傳統取證的思想，特別是聯邦調查局的物理犯罪現場調查。〔8 〕所提議的模式可以被看作是DFRW模式的提升版，因為靈感來自于DFRW。這一模式的關鍵組成部分包括：（1）鑒定。識別出指示器反映的事件并確定其類型。在取證領域內這一步并不突顯，但是它能影響其他步驟，所以非常重要。（2）準備。預備好工具、技術、搜查證并監控授權與管理支撐系統。（3）方法策略。根據對旁觀者可能產生的影響以及討論采用的具體技術制定一個動態方案。策略的目標應該是將收集未被破壞的證據最大化和將對受害者產生的影響最小化。（4）保存。隔離、保護和保存好物理和數字證據。這包括防止人們使用數字設備以及在受影響范圍內使用其他電磁設備。（5）收集。通過標準化的被認可的規程記錄案件物理場景，復制數字化證據。（6）檢查。深入系統地搜尋與可疑罪行相關的證據，重點要放在識別與定位可能藏匿在非常規地點的證據，并且建立詳細的分析文件。（7）分析。確定重點，重建數據碎片，并根據所得證據得出結論。這可能要經過幾個迭次的檢查與分析來支撐犯罪理論。分析的不同之處在于它不需要高超技術就能完成，這樣，更多人能參與到調查中來。（8）陳述。總結并解釋結論。這些應該用抽象術語標明給外行看。所有抽象術語都應該參照具體細節。（9）歸還證據。保證物質財產和數字化財產歸還原主，并且確定為何要遷移某些犯罪證據以及何種犯罪證據須移走。這也不是取證明確規定的步驟，許多掌控證據的模式很少處理這一方面。

需要注意的是，這些步驟和傳統用于收集物理證據的方法不是不一樣，而實際上不同在于它們是當前應用于涉及數字化證據犯罪慣例的抽象概念。〔9 〕“許多經標定的調查技術與方法存在于更為傳統的取證規范中。其中的大部分適用于網絡，但人們對此還未深思熟慮過。” 〔10 〕這些步驟涉及的數字技術類型至此能被抽象定義出來，這點很重要。因為它使得一個標準化程序能被定義而無需說明其采用的具體技術，這就確立了一種以簡單易懂和能被廣泛接受的方式處理過去、現在和未來的數字設備的方法。比如，這種方法能適用于多種數字設備，從計算器到桌面電腦，甚至是還未實現的未來數字設備。通過這種模式，未來的技術和取證中需分析的技術細節能被實例化來為獲取電子證據提供一個一致的標準化方法。取證科學由此能得到發展，因為它為分析數字或電子技術打下了基礎，與此同時為執法部分和司法機構在法律可行范圍內構建了共同框架。

定義此模式下的數字技術各種不同類別還需附加的子程序。在此考慮檢查步驟下一個名叫檢查非易失性存儲（Examine Non-Volatile Storage）的子程序。它包括對所有維持自己穩定狀態的數字技術的檢查。這些技術類似于紙質文件、錄像和錄音，它們都接受作為證據性物件。借助這種類別的定義，司法人員使用抽象概念能比易失存儲類別中的技術更可靠。當然，還有特定技術的許多具體細節需加以處理，但這種模式允許引入那些細節。通過這種模式，收集證據的方法可以從技術的各個子程序得出，并在子程序內受審查以及改進。從理想上說來，一個發展成熟的方法能影響其他技術方法的發展。模式內加入特定證據搜集方法使得模式具備可信度，且能擔保非技術觀察員能將搜尋相似證據的經驗運用到同一類別的某個案例中去。

繼續舉永久性儲存的例子，我們來考慮固定硬盤（通常用于傳統的計算機系統）和嵌入的非易失性閃速存儲器（用于個人數字助理、數碼相機和MP3）之間的關系。這個教學法例子中，兩種技術都可以存儲對司法人員有用的證據，通過把它看成一種永久的數字儲存，使之能對所發現內容維持信用度。當然實際的數據抽象依賴于技術，但內容的檢查還需遵照標準化的程序，因為它通常以二元形式存在。抽象的優點在于大部分數字設備，無論是計算機系統、個人數字助理、數碼相機或其它設備，都包含某種能用于分析得到潛在證據的非易失性存儲類型。若實現這種通用性，配套程序和工具能得以改進，之前定義的方法可作為發展新技術的起點。

未被討論優點及其缺點的模式是不完整的。之前已討論了優點，現在來談談其缺點。首先，這一模式還未受檢驗或證明它是否為數字取證的良方。它試圖通過確定數字技術的通用性并反向建立一種適用于多種而不是少數幾種數字技術的固定取證程序，以此來促進數字取證實踐的發展。但必須考慮阻止添加一些對程序無用的抽象步驟，因為它們沒有實際運用價值。其次，這種模式是為了應用于數字技術領域。本文雖未考慮非數字技術，但它也可能需要取證分析。以下這種模式的優缺點：首先，模式優點。為數字取證發展構建了一致和標準化的框架，提供了將此框架運用到未來數字技術的機制。司法人員能利用這個推廣的方法把技術轉述給非技術觀察員。確定具體技術依賴型工具的需要并從之前同類中已確定的工具獲取靈感，使將非數字的、電子的技術納入抽象概念成為可能。其次，模式缺點。類別定義得太寬泛，不夠實用。沒有檢測此模式的簡易明確方法。附加于模式的子類別使得模式的使用更為不便。這一模式一個明顯未觸及的部分就是監管鏈。當然這是任何取證或調查工作當中的一個重要部分。此模式假定一個牢固的監管鏈會維持在整個調查過程中。但上述模式缺乏這一監管鏈也并不是說監管鏈不重要，而關鍵是它得運用到取證研討中去。

四、結論

每年世界范圍內的計算機犯罪量都有增長。隨著技術的加入、軟件的改進以及使用者對數字化方面的精通，他們所犯的案件變得越來越復雜。執法部門和這些罪犯們不斷較量以保證較量水平。開發一種能系統利用數字設備獲取相關證據的工具就是較量的一部分。隨著更多設備數字化，開發的工具也應該包含這一特征。這場較量的另一個部分，且可能是更為關鍵的部分，是發展一種能夠涵蓋數字犯罪現場調查所有類別的取證分析方法論。這種方法須適用于當前所有數字犯罪，也包括未來的現在還未出現的罪行。當前的許多方法太針對某個特定技術。而提議的模式試圖通過整合常用技巧并改正方法缺點來改進現存模式。筆者認為，計算機系統處于一種動態之中，那么我們就應該建立計算機取證的動態模式，加大計算機證據的識別力度。在面對海量的數據，識別是最重要的一個環節，能夠將計算機犯罪證據與普通合法的數據區別開來，還要注重數據分析方法的創新，優化原有的數據分析方法，尋找出適合計算機數據分析的新方法。具體而言，需要高效率的搜索算法、完整性檢測算法優化、數據挖掘算法以及優化等方面的研究。事前準備、準確定位、事后收集三個環節貫穿于整個計算機取證的過程。此外，完善加密措施對計算機取證也有所裨益。此外，有的專家學者提出了基于聚類的流量壓縮算法和模型的評價機制。這些都是值得研究的。