手机取证技术在检察机关中的适用

陈凯

在通讯技术迅猛发展的今天，手机作为现代社会最主要的通信工具之一。其使用越来越广泛，在手机功能日益增强的同时，也成为了犯罪嫌疑人的一种新型作案工具。在司法实践中，手机取证作为电子数据取证技术的一类，在检察机关侦查职务犯罪中的作用日渐重要。

一、手机取证的概念和特点

所谓手机取证是指在健全的取证环境中，使用恰当的方法从手机及相关设备中恢复数字证据的科学技术。也就是从手机SIM卡、内存、外置TF卡中提取有关数字犯罪的证据，并从中分析提取具备法律效力并能作为证据被法庭采纳的一种取证方法

手机取证区别于计算机取证，由于手机设备的复杂性，给手机的完整性和精准性带来了很大的难度。所以有着其自身的取证特点，主要表现在：1、手机的品牌和型号很多，一种取证方法和工具只适用某些品牌和系统的手机，很难开发出适合所有型号手机的取证工具。2、取证时必须保持手机中的证据完整性，保持手机的原始状态。所以要把手机放在信号屏蔽袋中进行检查检验。3由于现有的关于手机取证的规范并不十分明确，而且可操作性较低，致使提取的证据可能证据效力较低，而不被法庭采纳。

二、手机取证内容及对象

手机的种类繁多，总体上趋于智能化，存储内容越来越多，目前主要采集的信息包括以下内容：

1.应用程序信息。⑴获取社交信息。通过社交信息可以比手机通讯录、短信、等更快、更全面的掌握犯罪嫌疑人社交爱好及朋友圈等信息。⑵获取上网信息。通过对上网痕迹进行检测，能最快掌握犯罪嫌疑人网页浏览习惯。⑶获取出行信息。通过这些信息，可以掌握犯罪嫌疑人在某段时间内的行为轨迹，找到与某案件密切相关的线索，给案件带来突破性进展。⑷获取消费信息。办案人员掌握犯罪嫌疑人与消费有关的信息，进而掌控更多与案件分析有关的有用线索。⑸获取娱乐信息。可以迅速掌握犯罪嫌疑人的爱好兴趣，为审讯提供参考，给案件侦破提供辅助。通过对以上数据的分析，办案人员可以更全面掌握犯罪嫌疑人的兴趣爱好、社交圈子、交通出行、消费情况等等，为案件提供更多的线索。

2.手机短信内容。短信内容是很关键的一项证据，同时也是比较直观的一项内容，有些犯罪嫌疑人利用短信联系同伙，通过短信内容的提取可以查找经常联系人，活动时间、地点、账号等具体内容。

3.通话清单。职务犯罪分子通常利用手机与对方联系，特别是一些隐形的职务犯罪中经常遇到。将犯罪嫌疑人拘留后，应立即将其手机的扣押，通过专用的话单分析软件进一步分析通话清单，通话基站信息等，确定嫌疑人的行动轨迹，经常联系人等各方面的线索，为一下步工作提供侦查思路，确定侦查方向。

4.内存数据。手机使用人通常会使用手机进行拍照、录像、对数据进行存储等。

在手机取证中，手机的SIM卡、内存、外置存储卡和移动网络运营商业的业务数据库是重要的取证来源。

三、手机证据获取方法

不同的证据源有不同的取证方法，针对以上4种证据源分别阐述手机证据的获取方法。

1.外置存储器

外置存储器证据的获取可以使用诸如Encase、FTK Imager等取证软件工具来获取存储卡上的数据镜像，来对证据进行分析。

2.SIM卡的证据获取

SIM卡是一种标准的智能卡，现在对于SIM卡进行取证的常用方法一般有两种：一种是通过智能读卡器读取SIM卡中的数据，另外一种方法是直接通过指令操作来获得SIM卡中的数据。

3.网络运营商的证据获取

移动网络运营商的数据库中包含了大量的潜在价值的证据信息 ， 通过用户注册信息数据库中可获取包括用户姓名、性别、身份证号码、住址、手机号码、SIM卡号等。这些信息记录着主/被叫用户的手机号码、主叫和被叫手机的IMEI号、通话时长、服务类型和基站等信息。利用话单分析系统，可以筛选有用信息，对嫌疑人一段时期的通话进行分析，查找活动轨迹，经常联系人等有效信息。

4.手机内存的证据获取

目前有两种物理途径手机内存中数据的方法，一是将手机拆解得到手机的内在芯片，然后用专门的芯片读取设备来获得其数据镜像。二是使用专门数据线与手机主板连接，然后从中读取内存芯片的数据信息。目前智能机用的最多的是第二种方法。

四、手机取证建议及挑战

电子数据的提取和固定是一项专业性很强的工作，在目前的侦查实践中相关取证程序还需规范、细化。

1.手机电子数据应当由专业人员提取。手机电子数据具有自动生成性、易变性等特征，很容易被修改、删除，非专业人士无法进行识别和恢复，而且即使提取到也易被犯罪嫌疑人或辩护人提出质疑。侦查人员扣押手机后，应当送交技术部门提取电子数据，以保证手机电子数据得到全面、客观收集，被损毁、修改的数据信息能够被正确识别和恢复。

2.手机电子数据提取应当分阶段进行。作为通讯工具的手机，本身是重要的物证，其品牌、型号、规格等物理属性对于案件事实具有一定的证明作用。而手机内的短信、通话记录等电子信息是电子数据，能够对案件的事实起到证明作用。因此，对于手机及手机内的电子数据应当分阶段提取，即首先依照物证收集程序对手机进行提取，然后依照电子数据的收集程序对手机电子数据进行提取，二者不能混同和互相替代。

3、证据的采用问题。电子数据作为一项独立的证据类型列入刑诉法尚属首次，在司法实践中，探索运用的脚步在加快，但在庭审质证的实践较少。应当加强手机取证的操作规范，使之本身符合证据使用的客观真实性要求。另外，要加强其他物证、口供的关联，加强其证明力。再次，转化为间接证据甚至是侦查方向、线索，成为引导侦查的一项技术措施，也是信息化应用给检察机关办案带来的有益探索。

检察机关的手机取证工作尚处于起步探索阶段，还面临着法律法规体系不健全，缺乏实战经验、分析数据的能力不足、流程不规范等许多问题。同时由于犯罪嫌疑人反侦查能力越来越强，在利用手机进行一些犯罪活动后，往往会将程序相关信息进行删除、破坏或加密处理，此时就需要更先进的手机取证技术与手段。显而易见，在信息技术飞速发展的今天和未来，针对应用程序信息进行取证的重要性越来越突出，而手機取证的地位也会越来越重要。