职务犯罪侦查中电子数据的收集、固定和使用

职务犯罪侦查中电子数据的收集、固定和使用

【本期主讲】

匡凌，现任湖南省长沙市人民检察院检察员、法律政策研究室副主任、长沙市检察学会副秘书长。1994年至2007年在湖北省石首市人民法院工作，历任审判员、副庭长、研究室主任；2007年选调至湖南省长沙市人民检察院工作。主要研究方向为证据法、网络法。著作：《证据失权制度质疑》、《非法证据排除规则在公诉环节的准确适用》等;与人合著、编著有《中华人民共和国婚姻法释义与适用》、《道路交通维权妙计》、《企业电子商务中的法律风险及防范》等书。

核心提示：电子数据作为一种新的证据类型，在刑事诉讼中日益显现出其作为证据打击犯罪的重要作用。职务犯罪侦查中如何收集、固定和使用电子数据，是每一个检察机关侦查人员值得关注的问题。本文从职务犯罪侦查实战出发，探讨电子数据的定义、类型、适用的法律以及如何收集、固定和使用电子数据，以期对检察机关侦查人员办理涉及电子数据类型的案件有所裨益。

20 12年修改的《中华人民共和国刑事诉讼法》第48条将电子数据列为一种新的证据种类。如何在职务犯罪侦查环节获取和运用好电子数据，准确、有效地查办职务犯罪，是当前检察机关职务犯罪侦查部门和侦查人员面临的新任务和亟待解决的新问题。

一、电子数据的概念及分类

何为电子数据？《人民检察院电子证据鉴定程序规则》所称的电子证据是指电子信息技术应用而出现的各种能够证明案件真实情况的材料及派生物。《公安机关电子数据鉴定规则》所称的电子数据是指以数字化形式存储、处理、传输的数据。《计算机犯罪现场勘验与电子证据检查规则》所称的电子证据包括电子数据、存储媒介和电子设备。《电子数据司法鉴定操作规范》所称的电子数据指基于计算机应用和通信等电子技术手段形成的客观资料，用以表示文字、图形符号、数字、字母等信息，包括以电子形式存储或传输的静态数据和动态数据。

电子数据表现为电子形式的各种数据，它无法被人直接感知，必须要通过固定转化才能具体运用。当它转化为文字和视听性的资料的时候，就容易与书证、视听资料混淆。电子数据只能存储在相关媒介和电子设备之中，电子数据是否包括存储的媒介和电子设备呢？笔者认为，从电子数据转化的书证，只能作为电子数据证据使用。而与视听资料相比，电子数据的范围更大，视听资料只是电子数据的一部分，即电子数据包含视听资料。由于修改后的刑事诉讼法将视听资料与电子数据一起列为一个证据种类，因此，法律规定的电子数据，应该是指除视听资料外的其他电子数据。电子数据虽然只能存储在相关媒介和电子设备之中，但不应包括存储的媒介和电子设备，存储的媒介和电子设备如果符合物证的特征，在刑事诉讼中应作为物证使用。

综上，电子数据应专指电子化技术手段形成的客观数据资料。

通过梳理近年来涉及电子数据方面的形态，大概有如下几种表现形式：一是文档数据和程序类；二是图片类；三是聊天语音视频类；四是网上交易、支付类；五是网站、电子邮箱类；六是手机信息类。随着网络、手机上各类软件功能越来越强大，电子数据的分类逐步有交叉、融合之势。

二、电子数据在侦查中的收集、固定和使用

随着信息化的发展和智能手机的普及，收集、固定和使用电子数据成为职务犯罪侦查人员必须掌握的办案手段。电子数据作为证据的一种类型，应该遵循证据收集、审查、判断中的一般规则，要符合证据的合法性、真实性、关联性。但由于电子数据必须存在于一定的载体中，具有数据的海量性、高速流转性、自动生成性和脆弱性，侦查人员在收集、固定和使用电子数据时应特别注意电子证据取证的程序规范化、过程的标准化和工具专业化等因素。从某些方面来说，电子数据取证程序是否合法往往比电子数据的内容真实性显得更为重要。

（一）根据案情确定取证方案

1．了解犯罪嫌疑人的作案手段。在办案中要根据案情了解犯罪嫌疑人的犯罪手段，初步判断电子数据的存放方式、地点，然后准备相应的人员和软硬件，全面获取相关电子数据证据。

2．注重现场保护。到达现场后，首先，应立即阻止嫌疑人使用计算机，需切断计算机网络连接（拔除网线或者关闭无线网卡），防止计算机被远程控制导致检材损坏。其次，要观察电脑状态，察看是否有破坏性程序在运行，如删除操作、磁盘整理、运行杀毒程序等，如有则立即切断电源；笔记本可通过移除电池达到切断电源目的。再次，对现场拍照并描绘现场草图，需要对计算机接线状态、连接外设进行拍照和记录，有条件的应全程摄像。

3．做好人员和器材上的准备。根据最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第5条规定，收集、提取电子数据，应当由两名以上具备相关专业知识的侦查人员进行。同时，还应当邀请与案件无关的公民作为见证人。提取器材和工具一般应包括硬件和软件。常用的硬件：现场勘查箱、笔记本电脑、移动硬盘、硬盘克隆机、取证U盘（或光盘）、空白刻录光盘；软件：OFFICE系统，图片查看软件，手机信息备份、查看、提取软件等。

如，某检察院侦查的中国电信李某等人受贿系列案。该案涉案人员内外勾结，通过网络和信息联系，利用相关技术占用电信部门的资源，以低于公司定价的价格私揽短信群发业务，收取回扣。破案后为中国电信集团挽回直接经济损失3000余万元，追缴犯罪所得200余万元。该案电子数据方面主要涉及两大系统：一是超级信使系统，通过这个系统发送短信；二是支付宝系统，通过支付宝收、付款。他们还利用腾讯QQ，作案分工、共同分赃。该检察院在当地公安部门的配合下，施行三地布控，统一指挥，同时抓捕，将李某等四名主要犯罪嫌疑人抓获，并同时对四人的办公场所、住所依法进行搜查，扣押了电脑等涉案物品，有效提取了电子数据，确保证据不遭到人为的破坏、灭失。

（二）电子数据的勘验检查

电子数据的勘验检查主要包括现场勘验检查、远程勘验检查。

现场勘验检查中对存储有电子数据的原始存储介质和电子设备进行扣押的，应当开具扣押清单，制作扣押笔录。扣押笔录一般应包括扣押的时间、地点、扣押人的姓名和单位、扣押物品持有人身份、扣押对象、扣押的目的、扣押原始存储介质和电子设备的数量和特征等，对扣押的原始存在介质和电子设备的来源，存储的电子数据有无修改、删除、增加以及备份情况都应予以注明。

在远程勘验检查时，要向操作人员详细了解数据产生的过程，查看产生数据的应用软件，了解数据格式，根据不同情况，向操作人员提出要求，从应用系统中检索出符合要求的数据，并制作远程勘验笔录和提取电子数据笔录。需要注意的是：一是对简单的数据可以直接拍照或打印到纸上固定；二是对复杂的数据必须用一次性写入光盘的形式保存，方便统计、汇总和展示，光盘数据应计算其完整性校验值（MD5），在笔录中予以体现。三是有些通过软件查询精准获取的电子证据可以转换为方便查看的方式。

对无法扣押的原始存储介质和电子设备应当交由有关部门保管，侦查人员应采用足以反映电子数据内容的视频、照片以及其他转化方式对电子数据予以固定。

（三）电子数据提取的规则

要用科学的、符合刑事诉讼规则的方法提取，才能在诉讼中作为证据使用。提取的时候一般要达到“三化”的要求。

1．程序规范化。提取任何电子数据要以庭审证据的标准和要求来慎重对待，要符合相关的操作规范。以常用的电子数据载体电脑和手机为例：在现场搜查时，如果电脑处于开机状态，应使用取证工具进行现场保存数据。如果无法现场取证的，应当直接拔掉电源，这样可以防止丢失易失性数据，确保电脑中临时文件和内存中数据的完整性。对手机的电子数据取证，如果是开机状态，应将手机放入屏蔽袋（箱）或屏蔽室中，以摄像方式记录调阅手机中的短信、彩信、联系人记录、电话簿、录音、录像、照片、即时聊天信息、电子邮件等内容；或者将其接入取证工具，获取手机中的信息，恢复手机中删除的信息。对处于关机状态的手机进行的取证：首先，是对手机身份卡（目前有SIM卡、USIM卡和RUIM卡三种类型）和存储卡的取证，还要查看机身上的标识获得机身码（IMEI或ESN）；随后，在屏蔽室中按照开机取证的程序获取手机中的电子数据。

2．过程的标准化。要符合相关技术规范要求，收集、提取电子数据应当制作笔录，记录案由、对象、内容，收集、提取电子数据的时间、地点、方法、过程，电子数据的清单、规格、类别、文件格式、完整性校验值等，并由收集、提取电子数据的侦查人员以及电子数据持有人、见证人签名。在远程提取电子数据时，特别要注意操作人员的级别和权限问题。操作人员的级别和权限不同，提取的数据就不相同。如提取银行账号信息、手机通讯信息等，要特别予以注意，并在提取笔录中注明操作人的权限。

3．工具专业化。当今电脑、手机技术一日千里，对检察技术的要求日益提高，必须要加强与检察技术部门的配合力度，只有技术力量和工具软件保持先进性，才能确保提取电子数据的真实、有效。当前，一般的工具对该系统电子数据提取还无法做到100%完整，因此，对此类手机数据的提取应保持慎重，不断更新相关软件，力求做到无损提取的电子数据。

如某检察院在查处陈某某涉嫌行贿犯罪一案时，该行贿人是娱乐城的负责人，其负责财务工作的笔记本电脑使用量很大，且对检察机关侦查行为有所察觉，已经采取了相应的防范措施。为防止涉及行贿的电子数据被完全破坏，检察机关依照技术规范程序，及时查封该笔记本电脑，之后，技术人员按照技术规范，无损备份笔记本电脑上的数据，对备份的数据采用数据恢复工具软件WinHex对已删除资料进行了数据恢复。共恢复出各类文档、表格、幻灯片共计282个；其中可以直接打开利用的文件260个，加密文件22个（通过解密软件Passware Kit enterprise软件对22个文件全部进行了解密）。技术人员对以上恢复出的所有282个文件以及解密的22个文件已刻录成光盘进行保存。通过分析搜索这些恢复的电子数据，发现了犯罪嫌疑人行贿的证据。

（四）电子数据的转化和使用

对于传统的书证与物证来说，电子数据证据表现为电子形式的各种数据，它无法被人直接感知。要作为证据使用，电子数据必须要转化、固定为可以被认知的东西。侦查人员在提取电子证据后，应及时将存有电子证据的存储设备以及扣押、提取的数据文件交由专门的技术部门进行固定转化。以几种常用电子数据的转化为例：

1.文档、图片和手机信息类的固定转化。在控制了涉案对象的电脑、手机等电子设备后，通过技术手段登录电脑和手机后，导出相关的文字及图案记录，经过侦查人员的分析，挑选出与案件有关的内容截屏打印，随后交对象确认无误后签字，证明系对象电脑或手机中的内容。如某检察院在侦查马某某涉嫌受贿一案中，侦查部门在提取其手机后，采取技术手段并运用专业软件从马某某手机中恢复了删除的受贿短信，并到移动通信部门调取行贿方与其的短信记录，通过转化固定，确保了电子数据内容的真实性。

2．网上交易、银行类的固定转化。对网上交易信息，除了登陆网上交易系统对有关内容截屏打印，还应到提供网上交易的服务商或银行取证，确认所打印的内容与其服务器上的内容一致。

3．电子邮件的固定转化。在选定与案件相关的电子邮件后，交由技术部门统一复制备份，随后对备份的电子邮件进行截屏打印，经对象确认为其所提供文件后可作为电子数据证据使用。有必要的，也需要找电子邮件的服务商出具相关的证明。

如郭某某受贿一案。郭某某系湖南某上市公司财务总监、董事会秘书、副总裁，其利用职务便利，共收受两笔贿赂。一是为某证券公司获得其所在的上市公司相关信息提供帮助，事后收受某证券公司副总黄某某贿赂共计人民币11万元。二是郭某某利用负责增资扩股工作的职务便利，为温州某公司在股权认购中获得2000万股份额提供帮助，收受温州某公司贿赂共计人民币369万元。据郭某某交代，两笔受贿行为在其与行贿人的电子邮件中有所反映。为提取、固定该证据，检察机关依法调取了郭某某电子邮箱中的相关邮件作为证据使用。该案电子数据调取过程如下：

调取人的主体身份：按照取证规范，由二名以上的的具备相关专业知识的侦查和技术人员实施调取，并邀请了一名与案件无关的公民作见证人。

调取数据的环境：在互联网的环境下。

数据存在形式：电子邮箱类。

调取证据的程序：犯罪嫌疑人郭某某在联网的电脑上当场输入其邮箱地址及密码后，由技术人员在邮箱中将相关邮件打印，并由侦查员、技术人员、见证人及犯罪嫌疑人本人签字确认。

调取数据的存储方式及存储介质种类：打印电子邮箱中电子邮件的内容，并将电子数据提取后存储于保密硬盘中。

电子数据的完整性和真实性：该证据系犯罪嫌疑人郭某某主动交代，且其邮箱系vip实名邮箱，邮件的内容经过其本人辨认后准确完整并签字确认。

该案还制作了现场勘验、检查笔录，提取、固定电子证据清单，并履行了相关签字、证明手续。

4．对需要鉴定的电子数据的转化。应当在鉴定前将原始电子数据备份后委托有鉴定资质的机构进行鉴定，并由鉴定机构中具有鉴定资格的鉴定人以鉴定机构名义出具鉴定报告。

三、需要注意的问题

第一，要合法合规。要严格依照相关法律的规定和技术操作流程，以程序的合法性保障电子数据作为证据的合法性。当前，对电子数据的提取、固定和鉴定，除了要遵循刑事诉讼法和相关司法解释的规定，还要参照和依据《人民检察院电子证据鉴定程序规则》、《计算机犯罪现场勘验与电子证据检查规则》、《公安机关电子数据鉴定规则》、《电子数据司法鉴定操作规范》、GA/ T976-2012《电子数据法庭科学鉴定通用方法》等规定的程序和要求。

第二，要全面及时。注意提取该电子数据周边的设备和相关物证。收集证据必须抓紧进行，力求及时主动，不要错过任何有利时机，防止情况发生变化。如网络邮箱具有自动删除邮件的功能，超过一定的时间、容量之后，早期收件箱、发件箱里的电子邮件就会被自动删除。而网络服务提供者保存数据亦有一定保留期，超过保留期的数据就无法提取到了。在现场搜查时，应当同时提取该计算机、手机的外围硬件。如打印机、扫描仪、U盘、光盘、移动硬盘、存储卡等。同时也要提取周边的非电子数据物证，如打印的文字、记录在纸上的用户名、密码等，这些物证都可能对电子数据检验起到重要的辅助作用。

第三，要无损提取。保管好电子数据的原始存储介质和电子设备。由于电子数据的脆弱性，对搜查到的电子数据存储介质和电子设备，要注意防火、防水、防湿、防震、防高温、防高磁场和防盗，确保电子数据的安全。

链接一：

克隆（Ghost）方面的小知识

在电子数据的提取和鉴定中，要遵循对存储有电子数据的介质进行无损提取，即不能对存储介质进行任何改变，因此一定要对存储有电子数据的介质进行“克隆”，即复制一个与原来一模一样的电子数据以被检验和鉴定。

Q:克隆和拷贝的区别

A:克隆指位对位的物理镜像，拷贝指操作系统能够管理的数据的复制。通俗的说克隆就是看的见的和看不见的数据一起复制，而拷贝只是复制看的见的数据。

Q:硬盘有哪几种

A：按照接口种类：IDE、SATA、SAS、SCSI（50针，68针，80针）。按照尺寸：台式机硬盘（3.5英寸）和笔记本计算机的硬盘（2.5英寸）。按照内部结构分：机械硬盘和固态硬盘（SSD）

Q:智能手机常用的系统有哪几种

A:iOS（苹果）、Android（谷歌安卓）、Blackberry（黑莓）、Windowsmobile（微软）等

Q：哪些介质可以克隆

A：主要是对硬盘进行克隆检验（手机SIM卡也可以）。其他的存储介质如U盘、存储卡等，主要通过只读接口结合镜像制作工具进行证据固定，后期对获取的检材镜像进行检验分析。

Q：什么数据需要校验，一定要进行校验吗？

A1:对所有电子数据都应校验，校验是指电子数据所有数据位按照特定的算法（非常复杂的散列函数，有MD5，SHA，CRC等算法）进行计算，得到特定的结果，该结果即为校验值（哈希值）。如果该数据区内的任何一位数据发生了变化，那么经过同样的算法得到的校验值一定是和原始数据的校验值不一样的，从而表明数据发生了变化。

A2:数据校验的作用：数据校验就是比较两块数据是否是完全一致的。两块数据只要有一位不同，两块数据就是有差别的。

A3:校验的意义：只有被克隆的复制件和原始证据的数据是完全一致的，检验和鉴定才是具有证据价值。如果数据在克隆的过程中发生了变化，那检验的结果自然也就是有差别的的。

Q:这么多校验算法该如何选择？

A:常见的校验算法有CRC、MD5和SHA。它们之间的区别从本质上讲是采用了完全不同的算法，同时校验值的位数也不相同，CRC是32位，MD5是128位，SHA是256位。可靠性、安全性的级别CRC最低，MD5居中，SHA最高。但是，校验级别的提高是要以耗时增加为代价的，越高级别的校验，运算量越大，耗时就越长。

链接二：

电脑中电子数据的现场勘查操作细则

（一）关机状态下的电子证据固定

方法一，通过使用免拆机克隆工具，进行目标计算机硬盘的整个物理磁盘或逻辑磁盘的克隆镜像制作，要求采用E01、DD等符合司法取证规范的镜像格式，同时需要对镜像计算哈希（hash）值。记录信息包括操作人、操作时间、操作地点、检材电脑状况描述（品牌、型号、序列号、硬盘大小、硬盘序列号）。

方法二，将目标计算机硬盘拆下后使用符合司法取证要求的硬盘克隆机进行目标硬盘的克隆，要求保存为E01、DD等符合司法取证规范的镜像，计算检材镜像的哈希值，同时克隆机应保存检材克隆的日志信息：包括操作人、操作时间、操作地点、目标硬盘型号和序列号。

方法三，通过使用取证U盘或光盘启动目标计算机，并对进行指定数据文件获取，主要用于现场检材无法提取或证据固定时间较短的情况。

（二）开机状态下的电子证据固定

方法一，将取证光盘插入光驱，在开机状态下进行目标计算机硬盘的克隆镜像制作，要求采用E01、DD等符合司法取证规范的镜像格式，同时计算镜像哈希值、记录操作人、操作时间、操作地点等信息。取证光盘要求含有能实现上述功能的取证工具

方法二，将取证U盘插入目标计算机USB接口，取证方法同方法一，但需要额外记录取证优盘序列号信息。

方法三，通过使用光盘或U盘上的取证工具在开机下进行指定数据获取，根据案情不同，获取文件类型要注意侧重点，如文档文件、图片文件、注册表文件等。

注意事项：在开机状态下进行电子证据固定，需注意内存数据的获取以及检验前的屏幕截屏。

链接三：

手机中电子数据的现场勘查操作细则

1.进行手机类检材扣押或提取时，建议先将手机切换到飞行模式，如不能切换飞行模式则需要使用屏蔽设备。

2.进行手机相关状态的记录和拍照，主要包括如下几部分：

【常规信息】：手机品牌、型号、IMEI号码、电池电量、手机正反外观。

【关于密码】是否有锁屏密码，如知道密码建议取消密码，并做相关记录；如不知道密码则不建议轻易尝试解锁，尤其是智能手机。如尝试输入密码出现密码错误的提示，需记录尝试的次数（避免输错次数过多导致手机锁定，苹果手机最多尝试不能超过9次）。

3.尽量避免在手机上直接翻看短信、通话记录和电话簿等信息数据，避免误操作删除相关数据。

4.如案情需要在现场查看手机中信息的，或需要进行相关数据查看的，需使用符合手机取证规范的检验工具设备对其进行数据提取，提取时首先对手机机身进行数据提取，提取顺序遵循先逻辑再物理的方式，其次在对手机SIM卡进行提取，提取过程需保留相关日志信息。

5.如现场进行检材固定并移交检验鉴定部门进行检验分析的，在移交过程中需使用屏蔽袋进行封存，在送检时需要一同提交相关记录信息，包括但不限于：

【案件相关信息】：检材提取人（单位）、提取时间、提取地点、送检人员。

【检材相关信息】：检材品牌、型号、手机提取时状态（是否有密码）、正反面照片、手机号码（如有）。

【检材封存及使用记录】：检材从扣押之时起到送检过程中，如对检材手机进行的启封和查验，都需要进行记录，如使用XX方法对检材进行了XX操作得到了XX结果。

【案情简述】：由于不同的案情对于手机检验的关注点会有所不同，所以送检人员尽量详细描述案情以及检验要求。

6.如需对检材手机进行传统证据固定的，如手印、DNA检材等，在手机确保屏蔽的状态下先进行提取固定后在进行电子证据的提取和检验分析。