手機取證技術在檢察機關中的適用

陳凱

在通訊技術迅猛發展的今天，手機作為現代社會最主要的通信工具之一。其使用越來越廣泛，在手機功能日益增強的同時，也成為了犯罪嫌疑人的一種新型作案工具。在司法實踐中，手機取證作為電子數據取證技術的一類，在檢察機關偵查職務犯罪中的作用日漸重要。

一、手機取證的概念和特點

所謂手機取證是指在健全的取證環境中，使用恰當的方法從手機及相關設備中恢復數字證據的科學技術。也就是從手機SIM卡、內存、外置TF卡中提取有關數字犯罪的證據，并從中分析提取具備法律效力并能作為證據被法庭采納的一種取證方法

手機取證區別于計算機取證，由于手機設備的復雜性，給手機的完整性和精準性帶來了很大的難度。所以有著其自身的取證特點，主要表現在：1、手機的品牌和型號很多，一種取證方法和工具只適用某些品牌和系統的手機，很難開發出適合所有型號手機的取證工具。2、取證時必須保持手機中的證據完整性，保持手機的原始狀態。所以要把手機放在信號屏蔽袋中進行檢查檢驗。3由于現有的關于手機取證的規范并不十分明確，而且可操作性較低，致使提取的證據可能證據效力較低，而不被法庭采納。

二、手機取證內容及對象

手機的種類繁多，總體上趨于智能化，存儲內容越來越多，目前主要采集的信息包括以下內容：

1.應用程序信息。⑴獲取社交信息。通過社交信息可以比手機通訊錄、短信、等更快、更全面的掌握犯罪嫌疑人社交愛好及朋友圈等信息。⑵獲取上網信息。通過對上網痕跡進行檢測，能最快掌握犯罪嫌疑人網頁瀏覽習慣。⑶獲取出行信息。通過這些信息，可以掌握犯罪嫌疑人在某段時間內的行為軌跡，找到與某案件密切相關的線索，給案件帶來突破性進展。⑷獲取消費信息。辦案人員掌握犯罪嫌疑人與消費有關的信息，進而掌控更多與案件分析有關的有用線索。⑸獲取娛樂信息。可以迅速掌握犯罪嫌疑人的愛好興趣，為審訊提供參考，給案件偵破提供輔助。通過對以上數據的分析，辦案人員可以更全面掌握犯罪嫌疑人的興趣愛好、社交圈子、交通出行、消費情況等等，為案件提供更多的線索。

2.手機短信內容。短信內容是很關鍵的一項證據，同時也是比較直觀的一項內容，有些犯罪嫌疑人利用短信聯系同伙，通過短信內容的提取可以查找經常聯系人，活動時間、地點、賬號等具體內容。

3.通話清單。職務犯罪分子通常利用手機與對方聯系，特別是一些隱形的職務犯罪中經常遇到。將犯罪嫌疑人拘留后，應立即將其手機的扣押，通過專用的話單分析軟件進一步分析通話清單，通話基站信息等，確定嫌疑人的行動軌跡，經常聯系人等各方面的線索，為一下步工作提供偵查思路，確定偵查方向。

4.內存數據。手機使用人通常會使用手機進行拍照、錄像、對數據進行存儲等。

在手機取證中，手機的SIM卡、內存、外置存儲卡和移動網絡運營商業的業務數據庫是重要的取證來源。

三、手機證據獲取方法

不同的證據源有不同的取證方法，針對以上4種證據源分別闡述手機證據的獲取方法。

1.外置存儲器

外置存儲器證據的獲取可以使用諸如Encase、FTK Imager等取證軟件工具來獲取存儲卡上的數據鏡像，來對證據進行分析。

2.SIM卡的證據獲取

SIM卡是一種標準的智能卡，現在對于SIM卡進行取證的常用方法一般有兩種：一種是通過智能讀卡器讀取SIM卡中的數據，另外一種方法是直接通過指令操作來獲得SIM卡中的數據。

3.網絡運營商的證據獲取

移動網絡運營商的數據庫中包含了大量的潛在價值的證據信息 ， 通過用戶注冊信息數據庫中可獲取包括用戶姓名、性別、身份證號碼、住址、手機號碼、SIM卡號等。這些信息記錄著主/被叫用戶的手機號碼、主叫和被叫手機的IMEI號、通話時長、服務類型和基站等信息。利用話單分析系統，可以篩選有用信息，對嫌疑人一段時期的通話進行分析，查找活動軌跡，經常聯系人等有效信息。

4.手機內存的證據獲取

目前有兩種物理途徑手機內存中數據的方法，一是將手機拆解得到手機的內在芯片，然后用專門的芯片讀取設備來獲得其數據鏡像。二是使用專門數據線與手機主板連接，然后從中讀取內存芯片的數據信息。目前智能機用的最多的是第二種方法。

四、手機取證建議及挑戰

電子數據的提取和固定是一項專業性很強的工作，在目前的偵查實踐中相關取證程序還需規范、細化。

1.手機電子數據應當由專業人員提取。手機電子數據具有自動生成性、易變性等特征，很容易被修改、刪除，非專業人士無法進行識別和恢復，而且即使提取到也易被犯罪嫌疑人或辯護人提出質疑。偵查人員扣押手機后，應當送交技術部門提取電子數據，以保證手機電子數據得到全面、客觀收集，被損毀、修改的數據信息能夠被正確識別和恢復。

2.手機電子數據提取應當分階段進行。作為通訊工具的手機，本身是重要的物證，其品牌、型號、規格等物理屬性對于案件事實具有一定的證明作用。而手機內的短信、通話記錄等電子信息是電子數據，能夠對案件的事實起到證明作用。因此，對于手機及手機內的電子數據應當分階段提取，即首先依照物證收集程序對手機進行提取，然后依照電子數據的收集程序對手機電子數據進行提取，二者不能混同和互相替代。

3、證據的采用問題。電子數據作為一項獨立的證據類型列入刑訴法尚屬首次，在司法實踐中，探索運用的腳步在加快，但在庭審質證的實踐較少。應當加強手機取證的操作規范，使之本身符合證據使用的客觀真實性要求。另外，要加強其他物證、口供的關聯，加強其證明力。再次，轉化為間接證據甚至是偵查方向、線索，成為引導偵查的一項技術措施，也是信息化應用給檢察機關辦案帶來的有益探索。

檢察機關的手機取證工作尚處于起步探索階段，還面臨著法律法規體系不健全，缺乏實戰經驗、分析數據的能力不足、流程不規范等許多問題。同時由于犯罪嫌疑人反偵查能力越來越強，在利用手機進行一些犯罪活動后，往往會將程序相關信息進行刪除、破壞或加密處理，此時就需要更先進的手機取證技術與手段。顯而易見，在信息技術飛速發展的今天和未來，針對應用程序信息進行取證的重要性越來越突出，而手機取證的地位也會越來越重要。