刑侦工作中智能手机调查取证模型研究

孙 毅，李文娟，朱志鸣

（中国人民武装警察部队学院 研究生队，河北廊坊065000）

刑侦工作中智能手机调查取证模型研究

孙 毅，李文娟，朱志鸣

（中国人民武装警察部队学院 研究生队，河北廊坊065000）

近年来，刑事侦查中涉及到智能手机取证的工作越来越多。随着智能手机及其服务技术的迅猛发展，智能手机的种类愈发繁多，功能愈发复杂，也对手机取证工作提出了新的挑战。智能手机调查取证的流程为：取证准备—提取证据—检验证据—分析证据—提交证据。当前智能手机取证存在着法律程序规定不明、手机实名滞后、手机取证硬件不协调等问题。

智能手机；手机取证；取证模型

自1973年第一部手机问世，手机已经历四十多个年头。随着移动通信技术和数字通讯设备的不断发展，从第一代模拟手机到现在的智能手机，手机的功能越来越强大，已逐渐成为现代人生活中必不可少的一个部分。从最先的即时通话功能扩展到现在的无线上网、高像素照相、实时定位等功能，手机所承载的信息量越来越大，可以说是个人的手持数据终端设备。智能手机中所储存的大量信息对于刑事案件的侦查十分重要，我们可以从智能手机中获得大量的线索以及证据。进行手机调查取证技术的相关研究，对于打击与手机相关的各类犯罪，维护社会稳定、保障人民生命财产安全具有重大现实意义。智能手机调查取证模型能够帮助刑侦人员更加有效而且规范地从手机中提取有关案件的各种信息，对刑侦工作实践具有一定的指导作用。

一、手机犯罪的种类

目前实践工作中，手机与犯罪相关的情况主要可以分为以下五大类：一是把手机作为传统犯罪行为中的联络工具。二是手机诈骗。如短信诈骗、电话诈骗。三是利用手机网络进行犯罪。如散布谣言、淫秽色情信息。两高司法解释规定，利用信息网络诽谤他人，同一诽谤信息实际被点击、浏览次数达到5000次以上，或者被转发次数达到500次以上的，应当认定为刑法第246条第1款规定的“情节严重”，可构成诽谤罪。四是利用智能手机新功能进行犯罪。如偷拍、秘密录音、手机定位，侵犯他人隐私。五是手机作为犯罪证据的存储媒介。

二、手机调查取证模型

刑侦工作中智能手机的调查取证流程如下：

（一）取证准备

对案件进行初步的分析，了解案件的基本情况，包括犯罪目的和犯罪动机；成立手机调查取证小组，明确分工任务；针对手机的型号品牌选择合适的手机取证工具，为接下来的调查取证工作做好充分的准备。

（二）提取证据

对现场进行调查访问；保护与记录现场；提取手机检材；向移动运营商提取相关信息。同时，对智能手机进行详细研究，利用技术手段恢复智能手机被删除的信息，找到隐藏文件、目录、密码，以及利用手机上网留下的痕迹与留下的各种cookies。

（三）检验证据

对收集到的检材样本进行编号；对样本进行拍照记录；确定所检测手机的型号；屏蔽手机信号，防止手机数据变换影响检测结果；根据检材样本型号选择提取相应方式；连接检材样本并提取数据；对检出的检材样本数据进行记录。

（四）分析证据

主要包括对移动运营商网络数据库取证分析、手机内存及其外接扩展存储器取证分析、SIM（UIM）卡信息取证分析和手机软件取证分析。

1.移动运营商网络数据库取证分析

移动通信运营商网络数据库包括用户数据库和通话数据库。

（1）用户数据库取证分析

用户数据库包括帐户信息、客户信息、用户信息三个方面的内容。帐户信息具体由帐户性质、等级、名称、类型等四方面组成。通过这些信息了解侦查对象的基本情况。客户信息主要由客户的姓名、性别、种类、地址、证件种类及编码、入网方式、黑名单情况等组成。用户信息主要由品牌编号、套餐编号、用户种类、县市识别码、用户使用状态、停开机状态、用户创建时间、扩展业务等八方面组成。对这些信息的分析，有助于刑侦调查取证工作。

（2）通话数据库取证分析

目前，主要利用的通话信息有以下几种：机主的各项资料、主被叫号码、通话时间、通话基站区域、主被叫归属地、主被叫到访地、手机串号等。

每个人的通话数据库中都包含了海量的数据信息，在侦查工作中对了解涉案当事人起着非常重要的作用。通话数据库记录了手机在一定时间内每次通话的情况，包括通话方电话号码、通话时间以及话费信息。

2.SIM（UIM）卡取证分析

SIM（UIM）卡是手机必须具有的，没有它就不能接入网络进行通信服务。SIM（UIM）卡可以说是网络运营商给予用户证明自己身份的证件。SIM（UIM）卡实际上是装有微处理器的芯片卡，其中储存了许多有价值的电话客户信息、加密的密钥以及用户的电话簿等内容，能用来对网络客户身份进行鉴别。

SIM（UIM）卡中保存的数据主要有四大类：(1)由SIM（UIM）卡生产厂商在生产时存入的SIM（UIM）的原始数据，其中包含各项入网参数等。（2）由网络运营商或其它部门在发卡时存入的用户数据和网络参数，其中用户数据拥有较高的证据价值。（3）用户自己存入的数据。其中具有较高证据价值的是用户自己存入的短信息、电话号码、通话记录等数据。（4）使用过程中自动记录的用户信息类和网络接续数据，其中包括临时移动用户号（TMSI），最近一次位置区识别号码（LAI）等。

在不同的案件之中，SIM（UIM）卡中保存的数据都有各自的侦查和证据价值，其中比较重要的就是SIM（UIM）中保存的电话号码薄、通话记录、短信息、手机所在的位置信息以及SIM中的用户信息。

3.手机内存及其外接扩展存储器取证分析

近年来，手机市场发展迅猛，各种类型的智能手机层出不穷。面对系统愈发多样、功能愈发复杂的智能手机，传统手机调查取证工作将面临巨大的挑战。随着科技的发展，手机除了通话、短信等基本功能之外，还增加了拍照摄像以及PDA所具备的大部分功能，特别是基于无线数据通信的网络浏览器以及个人信息管理、GPS和电子邮件功能。如音乐图片下载、实时新闻、股票查询、天气查询、网购、交通导航、各种应用程序下载等等。在3G网络的支持下，智能手机势必会成为集通话、短信、影视娱乐、网络接入为一体的个人的手持数据终端设备。

智能手机的所有数据都储存在手机内存以及外接扩张存储器之中，所以对于智能手机来说，手机内存及其外接扩展存储器中的数据是极其重要的。传统手机内存及其外接扩展存储器中比较有证据价值的是：手机电话簿、通话记录、收发的短信内容。智能手机的功能更加强大，其中有证据价值的数据种类也更加多样化。智能手机的内存相对于传统手机来说有着巨大的优势，目前市场上的手机中，高端手机诸如Iphone5s，三星GALAXYS4等手机最高内存可以达到64G容量，普通手机内存一般也可以达到2G以上，再加上诸如SD卡、T-Flash卡等外接扩展存储器，数据的存储量将上升一个新的台阶。从这一角度讲，智能手机是个人随身携带的大容量U盘，其中储存着通讯录、短消息、视频、照片、上网记录等大量信息，许多信息对刑事侦查工作是有帮助的。

4.手机软件取证分析

智能手机取证相对于传统手机取证而言，最大的不同点就在于手机软件的取证分析。传统手机只能使用手机自带的功能进行各项操作，而智能手机则可以通过各种各样的手机应用扩展自己的功能：音乐图片下载、实时新闻、股票查询、天气查询、网购、交通导航等等。

在形形色色的手机软件中，有些软件在使用过程中在用户无意识的情况下会自动记录一些个人信息。这些信息包含了用户的手机号、通讯录以及在手机上使用过的邮件、文件、银行账号、转账汇款记录、实时位置、运动轨迹等。通过对这些信息的分析，可以帮助侦查人员进行调查取证工作。

（五）提交证据

分析证据之后，需要编写必要的分析报告。同时，对收集分析得到的手机数据信息，必须经过审查转换之后才能作为证据提交。我国刑诉法第48条规定了证据的八个种类：物证；书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定意见；勘验、检查、辨认、侦查实验等笔录；视听资料、电子证据。手机数据信息要应用于诉讼活动之中，实现其证据价值，就需要将其转化成刑事诉讼法中规定的证据类型，否则只能作为侦查线索而无法作为证据进入最后的刑事诉讼活动。

三、智能手机取证存在的问题

（一）法律程序规定问题

虽然在新版《刑事诉讼法》中增加了“电子证据”这一新的证据种类，但是在立法上仍然缺少提取或保全手机电子数据的法律依据和相关程序规定，使得手机取证在法律程序方面仍然存在一些需要继续研究的问题。

（二）手机实名滞后问题

根据工信部统计数据，截至2013年3月底，我国共有11.46亿移动通信服务用户，比去年同期增长12.46%。早在2010年9月1日，工信部就要求运营商执行手机实名制的规定，不过当时并没有正式的成文规定，也没有将上网卡纳入实名监管的范围。2013年7月，工信部对外正式公布了《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》，规定从当年9月1日起，用户办理固定电话、移动电话等入网时，必须进行实名登记。如未进行实名登记，则新办的电话将无法使用。不过，目前这一实名制登记的范围还只限于新增用户，未进行实名制登记的老用户的业务不受影响。有统计称，全国仍有2.8亿手机用户没有实名登记，占总用户的20%左右。有些地方的统计显示，未实名登记的用户比例远比这高得多。侦查工作中，可以通过技术手段锁定犯罪嫌疑人使用的手机，但如果该手机用户没有实名登记或使用别人身份信息登记，则难以迅速确定犯罪嫌疑人的身份。

（三）办案思维固化问题

有些侦查人员观念落后，思想僵化，重破案、轻办案的思想根深蒂固，在工作过程中大多将手机的通话清单作为办案线索，而疏于对智能手机上其他电子数据的发掘利用，不能充分发挥智能手机中数据的应有作用。

（四）手机硬件协调问题

手机市场的激烈竞争，加快了手机更新换代速度。手机品牌种类繁多，不同手机的数据处理方式和存储方式不同且没有统一的规范。数据线接口也各式各样，使得现有的取证工具无法适用于所有的手机取证。

四、结束语

随着3G手机的不断发展以及即将到来的4G网络，智能手机成为综合性的个人手持移动数据终端的趋势愈发明显，手机取证的范围将进一步扩大，这对手机取证提出了新的挑战。本文提出的取证模型要在实践中进行检验，只有通过不断地审查，吸取执法人员以及取证专家、法律专家的意见，才能不断进行完善，成为通用的手机调查取证模型。同时，要努力解决智能手机取证中存在的问题，完善相关的法律法规体系，更新观念，科学合理地进行手机调查取证，更有力地打击犯罪。

[1]殷启新,李云龙.刑侦工作中手机电子证据取证的作用[J].云南警官学院学报,2010(5).

[2]陈德俊,丁红军.手机取证研究概述[J].中国公共安全,2012(3).

[3]张明旺.基于手机的电子证据获取技术研究[J].电脑知识与技术, 2012(8).

[4]丁红军.手机规范取证研究[J].信息网络安全,2012(5).

D631.2

A

1673―2391(2014)05―0029―03

2014-01-09 责任编校：边 草