王新 南俊松
[摘要]互联网技术的发展给人类生活带来便利的同时也引发了一些安全隐患利用网络进行犯罪呈高发态势。本文主要分析了当前对于开放网络的取证现状与难点,并重点探讨了开放网络的电子证据的取证方式与法律审查。
[关键词]开放网络 电子证据取证 法律审查
随着互联网技术的快速发展和普遍应用, 网络犯罪呈现高发趋势,客观来说,计算机网络犯罪的犯罪特点为智能化程度高、且犯罪手段复杂多样、犯罪证据的收集与审查与普通刑事案件有很大的差异。对于查办该类刑事案件,迅速准确获取电子证据是整个案件查办的关键。因此,认真研究开放网络的电子证据取证取证, 是十分必要的。
一、开放网络的电子证据取证现状以及难点
所谓开放网络的电子证据取证, 是指在符合法律规定的情形下,综合利用网络软硬件技术对网络犯罪行为进行证据获取、保全、以及分析出示的过程。一般认为,对于网络电子证据的取证可以分为动态取证和静态取证两种, 所谓动态取证是指利用网络技术对犯罪行为进行证据上的诱捕、保存、分析、追踪和提交的过程。所谓静态取证,则是指通过对计算机网络终端进行犯罪证据提取、保存、分析的过程。
与普通犯罪不同的是,网络犯罪智能化技术含量高、手段复杂多样,传统的取证、侦查手段并不能很好地适用,因而,这要求我们必须采取更为特殊的侦查技术手段来取证。当前在检察实务中主要应用的取证技术方法有:1.查找服务器。主要是通过远程网络访问技术来查找犯罪嫌疑人进行网络犯罪所使用的服务器IP地址,然后在定位找到服务器。2.扣押并查处犯罪嫌疑人使用的服务器。通过网络软件技术对服务器进行证据分析、提取,寻找犯罪行为遗留的犯罪痕迹。3.查扣犯罪嫌疑人进行网络犯罪的计算机等媒介工具,如电脑、优盘以及可移动硬盘等,可以采用恢复技术对该媒介中可能存在的痕迹进行恢复、提取等操作,用以证明案件事实。
然而,由于上述方法的局限性会导致以下困难:首先是网络犯罪发现难、确定难问题,由于网络犯罪没有时间以及地点等空间限制, 且受害人往往过一段时间后才发现, 相应的证据可能因为时间或者被犯罪份子采用技术手段所销毁,因而即便是认定了犯罪嫌疑人,但由于定罪证据的丢失,也很难对其定罪处罚。其次是网络犯罪证据保全技术上的缺失,当前检察机关侦查人员对计算机技术的掌握程度普遍较低,部分办案人员在实际的办案过程中甚至因为不熟悉操作,而导致误修改、误删除等操作频发,影响网络电子证据的收集,从而放纵网络犯罪的发生。最后从证据的角度来说,网络电子证据通常是以二进制等计算机语言存储与计算机媒介中,如果要作为诉讼证据使用,则应当进行格式的转换,在这么一个复杂的转换过程中如何来保证以有形形式表现出来的内容就是存储于媒介中的证据呢?
二、基于开放网络的电子证据取证方法与法律审查
1. 基于开放网络的电子证据取证方法
笔者认为,根据网络犯罪电子证据的特点,应当从静态取证和动态取证两个方面来分析:
(1)静态取证方法。首先,我们可以对计算机日志文件进行查询。日志作为计算机运行的记录文档,会记录一些简单的犯罪痕迹,在日志中获得非法入侵行为痕迹的可能性极大。如犯罪嫌疑人利用IP访问目标系统,,就会在目标系统内留下访问者的用户名以及密码、访问时间等就会,同样用FTP探测也会在FTP日志中留下探测者的IP地址、用户名密码和探测时间。因此对于日志的取证能够有效地获取网络电子证据。其次,我们可以查询入侵者访问网站以及入侵文件。在网络犯罪中,我们可以通过查询非法入侵者所访问的网址、文件以及下载痕迹等探寻犯罪嫌疑人非法入侵的目的以及非法入侵的证据。例如在开始菜单中运行regedit , 从注册表中搜索recent, 将得到许多recent 记录。再次,可采用数据恢复技术调查取证。对于被犯罪嫌疑人销毁的硬盘数据以及其他媒介中存储的数据,我们可以采取恢复技术重新提取原始数据。最后,也查看网络日志。防火墙日志、IDS日志、网络工具所产生的记录和日志均可查看。
(2)动态取证方法。首先可以采用数据抓包方法。所谓数据抓包方法主要是利用网络端口技术在网络上截取数据的一种技术,该种方法是在网络的最底层进行,在截取数据的过程中不容易被察觉,并且能够获得账号密码等相关信息,还可以用来查询高等级的访问权限以及根据网络实际情况进行分析进入等。有效地利用嗅探能实时地捕获入侵者破坏目标系统的证据,这样的现行证据具有极强的说服力。其次我们可以进行诱惑取证技术。现在通常的做法是蜜罐诱捕,该技术主要采取的是设置一种能够“诱惑”入侵者的网络技术,从而根据一开始设定好的程序来获取不法侵入者的侵入情况。比方说探取不法者的账号以及密码情况或者其上网所使用的IP地址等关键信息。最后可以采用网络监控方式。这种方法是一种监控技术,主要是对网络一切数据进行监控,从而检测外来入侵者侵入痕迹。我们可以通过IDS,对每一个网络数据包进行截取和分析,这对于动态取证具有重大的作用。
2. 基于开放网络的电子证据取证的法律审查
对开放网络电子证据的法律审查,是对网络电子证据的合法性进行审查,主要是电子证据的收集应当符合法律的规定,并具有关联性和客观性等证据特点。西方发达国家对于电子证据的审查均有一系列的证据审查规则,主要是围绕电子证据的合法性问题,而我国诉讼法律制度也有相关条款涉及电子证据的这些方面。分析国内外证据制度对于电子证据的规定,对网络电子证据的法律审查主要是从电子证据收集主体以及证据客观形式以及提取方式等三个方面来判定,笔者认为,网络电子证据只有满足了这三个方面的硬性法律规定,才具有合法性,才能作为诉讼证据使用。具体而言,对于网络犯罪电子证据的合法性审查, 笔者认为也应从以下几方面进行:(1)应当审查网络电子证据取证主体是否合法。(2)应当对网络电子证据的证据形式以及内容进行审查。(3)审查网络电子证据收集程序是否合法。
作者简介:王新,法学硕士,江西省吉安市青原区人民检察院;南俊松,江西省南昌市青山湖区人民检察院检察技术科。