浅论电子证据的提取与检验

苏敏杰

摘要:随着电子技术特别是网络技术、通信技术的飞速发展,电子证据将越来越多地应用到案件的侦破、诉讼实践中,而电子证据的提取与检验过程也需要严谨的专业手段和具体的操作规程。本文针对电子证据的特点对电子证据的提取原则、分析、鉴定等方面加以论述。

关键词:电子证据取证检验

中图分类号:TP3 文献标识码:A 文章编号:1674-098X(2012)06(c)-0023-02

2012年3月14日十一届全国人大五次会议14日表决通过《刑诉法修正案》已将“电子数据”作为独立的证据种类纳入修改内容,修改后的《中华人民共和国刑事诉讼法》并将于2013年1月1日起正式实施。届时,电子数据证据将会在各类诉讼中普遍应用,而电子数据的提取和检验。需要有足够的掌握高级计算机网络技术又具有丰富实战经验的网侦人才。笔者通过多年计算机安全监察管理实践,总结出一些对电子物证现场检查的经验和心得,供大家商榷。

1 当前司法界对电子证据的界定及与相关表述方式的关系

“电子证据”是指由电子设备存储或传输的有侦查作用或证据价值的电子信息及派生物。“电子信息”是指以程序、文本、声音、图像、影像等电子形式存在的数据,“派生物”是指由电子信息转化而来的附属材料。通过对电子证据的固定、提取、封存,可以发现、揭露、证实犯罪行为,从而确定侦查方向和范围,为破案提供线索和证据。

从目前各国研究状况来看,电子证据同数字证据、计算机证据是比较容易混用的概念,其关系如下(图1)。

2 电子证据的特点

作为一种新的证据种类,电子证据除必须具备所有证据的共同属性客观性、关联性、合法性,同时与传统的证据相比较,电子证据还具有以下显著特点:

(1)高科技性:电子证据的高科技性不仅指在证据的产生、传输、储存等离不开高科技含量的设备,而且表现在犯罪实施主体的高技术性和案件侦破主体的专业性。

(2)内在实质上的无形性:一切交由计算机处理的信息都必须经过数字化的过程,因此电子证据实质上只是一堆按编码规则处理成的二进制信息,具有无形性,

(3)外在表现形式的多样性:电子信息不仅可以表现为文字、图像、声音多种媒体,还可以是交互式的、可编绎的,并随着科技成果不断增加,因此电子证据依附于何种载体以及以何种表现形式来表达其传递的信息也具有多样性。如可以以电子文件的形式提供,或以传统物证、书证或视听资料的形式提供,也可以由第三方公证或技术鉴定机构鉴定作为证据提供。

(4)客观真实性:电子物证一经生成必然会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志(系统日志、安全日志等)或第三方软件形成的日志中,即使遭到人为篡改或系统故障等外在因素的破坏,仍可以使用SDII服务器恢复系统等专业电子物证勘验设备,过数据恢复手段进行电子物证的恢复、固定和提取。

(5)实时有效性:如一些人为设定的“逻辑炸弹”,过了某一时限就会删除某些电子数据。

(6)易破坏性:当有人为因素的或技术的障碍介入时,容易被截取、监听、剪接、篡改、伪造、删除,同时还可能由于计算机系统、网络系统、物理系统以及非故意的行为如误操作、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃、突然断电等原因,造成电子物证的变化且不易发现其改变的痕迹。

(7)存在的广域性:电子物证因行为人使用网络的种类不同或目的不同而存在于局域网或互联网中,由于网络犯罪行为和网络数据传输的连续性,所以分散于网络各台计算机中的电子证据往往具有时间空间上的连续性,并能相互印证,形成证明犯罪事实的直接证据。而在遍布全球的互联网中的各地网络服务商提供的服务器就会留有电子物证。基于电子物证的这一特性,取证活动将常常不局限于一地区、一国界,且由于各地区、各国分属不同的法域,对电子物证的法律规定自然存在差异,必然带来取证的障碍和冲突。

3 电子证据的分类

(1)按计算机在证据形成过程中所起的作用分为使用计算机活动记录的证据和使用计算机生成的结果证据。前者通常由计算机中的软件自动记录,后者如我们通过计算机拟就的合同、协议,并通过网络发送给交易对方并得以确认的信息。

(2)按证明事实的不同可分为证明犯罪过程的证据或证明损害结果的证据,如数据的被篡改、破坏情况,以及证明之间因果关系的电子证据(如计算机病毒和软件中逻辑炸弹本身即有证明其破坏性的证明效力)。

(3)按存储的位置分为在网络(服务机)上的证据和存放在网络终端(客户机)上甚至移动存储设备上的证据。

(4)电子证据按其技术含量可分为普通数据、隐藏数据、加密数据。具有加密技术的数据信息无疑有极强的证明力。

4 电子证据取证的对象

4.1 数据电文证据

存在于计算机中的:与案件有关的程序、数据资料文档;系统日志文件;备份介质;入侵者残留物:如程序、脚本、进程、内存映像;交换区文件;临时文件;硬盘未分配的空间(一些刚刚被删除的文件可以在这里找到);系统缓冲区。

4.2 存在于网络中的

防火墙日志;IDS日志;其它网络工具所产生的记录和日志等。

附属信息证据:是指在对电子证据进行审查判断时,除电子证据本身所包含的证据信息之外的,能够影响电子证据本身可采性和证明力的信息。是收集证据的过程记录(地点、时间、人员和流程)、方法等信息。

4.3 系统环境证据

电子物证的取证活动应针对每一案件事实,分别明确取证的数据电文证据、附属信息证据和系统环境证据的内容和范围,由上述三个相关联的证据构成的完整的证明体系,才能确保电子物证具有真实性和可靠性。

5 电子证据取证时的原则

5.1 电子证据的收集要注意合法化

(1)取证的人员的身份合法:只有我们依据相关法律规定具有取证资格的人提取的证据才具有合法性。

(2)取证的程序合法:电子证据的取得,必须遵守法律规定的范围、程序和方法,不得侵害公民的合法权益。当事人不得以非法侵入他人计算机信息系统的方法获取证据;特别是向isp或专业网络公司、数据公司要求取得某项证据时,要严格遵守与客户签订的保密协议和服务条款,不得随意泄露用户个人信息,更不得以诉讼需要为名肆意窃取他人隐私材料和保密信息。如果证据是由第三人提供,则该第三人应出具保证证据自生成或收到后始终保持原始状态及本人自愿提供该证据的文件或数字签名;鉴于事实上在纠纷中当事人很难获得对方的证据,对于因侵权所引起的纠纷应当由侵权行为人承担举证责任。在对网络犯罪电子证据的采集过程中对非司法机关、司法工作人员主体收集的电子证据不应采信。

(3)在取证时使用的工具、软件合法。

5.2 电子证据的来源要真实可靠

(1)证据的来源必须是客观存在的,排除臆造出来的可能性;尽早地搜集整理证据,能够得到第一手的信息,并尽可能地做到取证的过程公正和公开。

(2)确定证据来源的真实可靠性,根据电子证据形成的时间、地点、对象、制作人、制作过程及设备情况,明确电子证据所反映的是否真实可靠,有无伪造和删改的可能。在提取电子证据时要必须保证“证据连续性”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。

(3)要确保所获取的证据和原有的数据是相同的。在电子物证的提取和检验过程中,如果不按程序进行提取和检验,很容易使检材中的电子信息改变,甚至造成电子物证永久性的破坏,即电子物证的“污染”。常见的造成电子物证“污染”情况有:

1)使用带有系统的硬盘检材启动

2)恢复删除的数据后,将恢复出的数据存回原盘

3)检验时将硬盘检材直接挂在系统中

4)笔记本中的硬盘数据检验时,直接开机进行检验,这样很容易改变其中的数据。

5)直接开启手机检材进行检验

(4)整个检查、取证过程必须是受到监督的。最好所有调查取证工作,都有其他方委派的专家的监督。侦查人员应当对提取、复制、固定电子数据的过程制作相关文字说明,记录案由、对象、内容以及提取、复制、固定的时间、地点、方法,电子数据的规格、类别、文件格式等,并由提取、复制、固定电子数据的制作人、电子数据的持有人签名或者盖章,附所提取、复制、固定的电子数据一并随案移送。对于电子数据存储在境外的计算机上的,或者侦查机关从网站提取电子数据时犯罪嫌疑人未到案的,或者电子数据的持有人无法签字或者拒绝签字的,应当由能够证明提取、复制、固定过程的见证人签名或者盖章,记明有关情况。必要时,可对提取、复制、固定有关电子数据的过程拍照或者录像。

5.3 电子证据要与案件事实有关联

提取的电子证据所反映的事件和行为要与案件事实有关联,只有与案件相关的事实或逻辑上是相关的事实才能被认为是证据。

6 现场勘察取证实践中的需注意的问题

(1)保护现场环境对现场进行勘查,冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。

(2)绘制犯罪现场图、网络拓扑图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。

(3)积极要求证人、犯罪嫌疑人配合协作,从他们那里了解操作系统、用户名口令、储存数据的硬盘位置、文件目录等信息。

(4)如果发现犯罪嫌疑人处所的电脑处于关机状态,在未掌握其是否在电脑中安装还原软件的情况下或者没有确实把握,不要轻易自行开机查看电脑中留存的信息或进行其他操作;如果发现犯罪嫌疑人处所的电脑处于开机状态,办案民警可对其场所进行控制。因案情需要,需对电脑进行扣押或需要对电脑中的信息进行分析的,应直接切断主机电源(拔插头),不得进行正常关机操作。

(5)取证工作中,如果发现犯罪嫌疑人正在电脑前上网或进行机前操作,应立即对其进行控制,使其暂停任何机前动作,做到人机分离,保持电脑中的原始状态,并视案情及时通知网监部门进行现场处理。

(6)网吧或其他公共场所发现犯罪嫌疑人使用过的电脑或其他可疑电脑,要对该场所或小范围进行控制,避免任何人关机或重新启动。同时,要迅速通知网管人员或其他相关技术人员进行配合,防止电脑被远程操作。对事后发现的可疑电脑,也应尽早通知相应人员对该电脑进行控制,避免更多的无关人员进行操作。

(7)公司或其他部门里局域网中的可疑电脑,无论其是否处于关机状态,均须将网线拔除,以避免犯罪嫌疑人或其他关系人进行远程登录关机或唤醒进行其他操作。

(8)对工作中发现的各类可疑笔记本电脑,可参照上述对台式电脑处置的方法和要求进行处置。但对笔记本电脑进行切断电源操作时,要注意在切断外接电源的同时,还要切断笔记本电脑的内置电源。

(9)对工作中发现的可疑PDA(俗称掌上电脑),因其内置中无硬盘,所有输入数据均存储在内存中,其信息资料会因电源耗尽而丢失。因此,要注意及时对此类电脑中的资料进行备份。

(10)对处于开机状态的各类电脑进行处置前,须对电脑中的系统时间与实际时间进行比对,并记录备查。对已查获并进行勘验、检查过的各类电脑,要杜绝进行使用,以避免因再次使用电脑而造成电子证据在诉讼程序上的无效。

7 电子物证的分析、检验鉴定

(1)要在不改变原始数据的前提下对电子证据进行分析检验。为避免在检验过程中破坏源数据,需要在检验前对源数据磁盘做逐位精确的备份,对硬盘克隆方法分为软件克隆和专用硬盘克隆机。

(2)对电子证据进行检验鉴定,目前常见的鉴定类型有:基本数据的检验、数据的恢复检验、与网络有关的电子物证检验、软件功能检验、软件一致性检验、文件一致性检验、文件解检验、数码照片属性检验、关健字检验、手机电子证据的检验以及其它电子设备中电子物证的检验鉴定。

8 结语

电子证据的产生是随着高科技的发展而不断变化的,在网络技术发达的国家,有许多专门的计算机取证部门、实验室和咨询公司,国外公司开发的取证工具也覆盖了计算机取证的四个阶段,进一步提高了取证工具的自动化和智能化程度,利用取证工具提高电子证据搜集、保全、分析和鉴别的可靠性。我国的电子证据研究与实践尚在起步阶段,目前的网络安全研究多着眼于入侵防范,而对于入侵后的取证问题研究甚少,可利用的工具就更少了,取证技术的研究和相当操作的标准化建设,能从从技术的角度解决电子证据的法律举证问题,对于追究相关责任、威慑犯罪等方面有着非常积极的意义。

参考文献

[1] 罗洁,张国臣.谨防电子物证提取和检验中的“污染”.刑事技术,2007,2.

[2] 黄步根.电子证据的收集技术.微计算机应用,2005-26-5.

[3] 吴珊,兰义华.计算机取证技术研究.湖北工业大学学报.