·刘 政/文
检察办案中的电子数据及其取证实务*
·刘 政**/文
刘 政,北京市东城区人民检察院检察技术部干警。北京市先进工作者,北京市检察机关侦查人才库人才,2014年参加高检院全国电子数据取证大练兵活动,获得“取证能手”称号。2014年12月受邀在国家检察官学院授课。2015年8月被国家检察官学院聘为检察教官。
2010年以来,参与办理涉及电子证据检验和鉴定的案件近300件。曾经协助纪委、反贪、反渎、监所、军队等部门和条线,在铁道部、国家审计署、华润集团、北大方正、部队系列案件等大要案中开展电子数据取证,积累了一定得实践经验和教训。
信息技术的飞速发展及计算机网络技术的应用,丰富了我们的生活,也影响了社会的政治、经济和文化的发展。伴随着这些便利,电子数据也越来越多的出现在了当今的检察工作中、出现在法律监督工作中。与传统证据不同,信息技术与网络技术的普遍应用,使得电子数据变得隐蔽与智能化。检察机关在办案过程中,遇到电子数据取证以及检验鉴定的案件越来越多。笔者2009年开始从事电子数据取证及检验鉴定工作,历案数百余,对电子数据现场勘验、介质扣押以及实验室检验有些心得。下面将就电子数据的定义、种类、属性以及检察机关办案中电子取证实务等方面做以介绍。
(一)电子数据的定义
2013年之前,在我国电子数据不论从学理上还是法律上都没有统一的定义。其中检察机关对电子证据的定义见于2009年4月3日最高人民检察院下发的《人民检察院电子证据鉴定程序规则(试行)》。其中给出了如下定义:“电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。”一段时间之内,检察机关办案过程中遇到由信息技术应用而产生的证据被定义为电子证据。
2013年正式实施的《刑事诉讼法》第48条将“电子数据”首次纳入法定证据,与视听资料同列为第八种刑事诉讼证据。从此之后电子数据作为证据种类之一具备了它的法律地位。2016年10月1日最高人民法院、最高人民检察院、公安部(以下简称“两高一部”)共同颁布施行的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《规定》)第1条中对电子数据进行了明确的定义,即电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
(二)电子数据的种类
电子数据的种类非常多,分类标准也非常多,如果从办案取证工作角度来分,我们感兴趣的是用户个人行为生成的各类数据。“两高一部”的《规定》第1条中对电子数据进行了以下的分类:
一是网络平台发布的信息:包括网页、博客、微博客、朋友圈、贴吧、网盘等;二是网络应用服务的通信信息:包括手机短信、电子邮件、即时通信、通讯群组等;三是用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;四是电子文件:包括文档、图片、音视频、数字证书、计算机程序等。其中第三类《规定》中并没有给予概括性描述,个人认为可以归为用户行为痕迹信息。当然,《规定》中也明确提到了电子数据包括但不限于这些信息、电子文件,在实际取证中,我们还经常要提取USB设备痕迹、信息设备IP地址、上网记录、数据库系统中数据、手机APP数据等。
电子数据有其特点,笔者在这里对电子数据的特点进行了以下的归纳和概括:1.底层单一,即所产生的数据从底层来看,就是0和1的序列;2.表现多样,如文字、图像、声音等等;3.精确复制;4.重建再现;5.客观真实;6.极易修改;7.量大低密,即海量数据中有价值的密度低;8.设备依赖,即电子数据必须依赖载体而存在。
(三)电子数据取证的定义
本次讨论的是检察办案中的电子数据取证,可以对电子数据取证做如下定义:电子数据取证是指根据案件侦查、调查的需要,通过搜查、查封、扣押、现场勘验、远程勘验、实验室检验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。对电子数据的收集和提取我们往往可以采用电子数据载体的扣押、现场及远程勘验、实验室检验等手段来实现。以下分别做介绍。
(一)电子数据的载体扣押及勘验原则
《规定》第8条要求“收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。”。可见面对电子数据的收集和提取首先考虑的是载体的扣押。当载体不具备扣押条件时,《规定》第9条对电子数据的现场及勘验做了明确规定。我们在进行电子数据载体扣押及勘验时应当严格遵守遵循以下原则:1.及时性原则。由于电子数据极易篡改等特性,电子数据被损坏的可能性非常大,因此对于电子数据的收集和提取一定要做到及时性;2.针对性原则。包括三方面:一是归属的针对性,是否涉案嫌疑人或者其关系人的载体。二是时间的针对性。三是范围的针对性,主要是划定取证的范围;3.全面性原则。电子数据取证其实是还原基于虚拟环境的多维度犯罪场,因此,一定要做到全面;4.规范性原则。收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。
此外应当根据《刑事诉讼法》的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。
(二)计算机及服务器的扣押与勘验
电子数据的现场调取,主要包括以下三种设备的调取,分别是个人电脑、存储介质、通信设备。
在针对计算机及服务器的时候我们往往要根据不同条件来分别对待。
1.取证对象具备扣押条件且现场电脑处于开机状态。此时,如果必须现场查看电脑中正在运行的程序或者正在编辑的文档,建议此时交由取证技术人员进行查看,侦查人员负责指挥;如果没有技术人员在场,侦查人员需要查看电脑,此时要遵循一个原则,不要发生写的操作。可以参考以下步骤:第一步查看电脑中正在运行的程序和正在编辑的文件(文档、表格、图片等),如发现有价值的数据,建议采取相机拍摄屏幕的方式固定,不建议截图、打印等操作;第二步在屏幕右下角查看电脑系统时间,建议采取相机拍摄屏幕的方式固定,不建议截图等操作。第三步可以使用在线取证工具,对开机状态下的电脑中关键数据进行提取,这样的工具有很多,可以定制不同提取策略对计算机中的数据进行收集提取。第四步做关机,关机建议直接拔掉电源,而不是正常关机,这样可以在内存中保留电脑正在运行的一些进程。然后扣押进行后续实验室检验。
这里有几种操作是绝对不能够出现的:一是使用取证对象上网,登陆网页邮箱;二是登陆、执行电脑中的应用程序(qq、邮箱工具、office、专有程序等等。);三是删除、修改文件;四是创建、复制、本地拷贝文件夹、文件。
2.取证对象具备扣押条件且现场电脑处于关机状态。此种情形现场处理相对简单,建议直接对取证对象进行扣押并进行后续实验室检验。
3.个人电脑不具备扣押条件且现场电脑处于开机状态。此种情形相对复杂,可采用以下方式和步骤进行处理:此时,如果必须现场查看电脑中正在运行的程序或者正在编辑的文档,可以考虑按照上述第一种情况的步骤查看固定证据。之后,做关机处理。接下来需要做一项工作就是现场复制硬盘。并计算硬盘完整性校验值进行固定。
4.个人电脑不具备扣押条件且现场电脑处于关机状态。此时直接进行硬盘复制并计算硬盘完整性校验值进行固定。除此之外,在对计算机及服务器的扣押与勘验时还应当注意以下细节:一是关注个人电脑周边的一些纸条、记录、便笺纸等,这上面很有可能记录了一些密码、口令等重要信息;二是关注周边的小型存储设备,U盘、移动硬盘、存储卡等;三是关注周边的其他设备,扫描仪、打印机等等,最好记录下其品牌、型号,这在后续的实验室检验中可能会有用。
(三)移动存储介质的扣押与勘验
移动存储介质与硬盘相比是纯粹的存储设备,它不包含太多的无用数据,而更多存储的是个人数据,因此其取证价值更大。移动存储介质主要包括移动硬盘、U盘、存储卡等种类,因其体积较小,易于隐藏,因此在现场可以按照搜索银行卡、小件贵重物品的方法,仔细查找,建议移动存储介质的处理建议采用直接扣押的方式。
如果现场必须查看移动存储介质中的数据,需要将移动存储介质与电脑通过只读设备连接,然后再查看其中的内容。
(四)手机的扣押与勘验
涉及手机数据的收集和提取,主要包括SIM卡、手机机身、存储卡三部分。《规定》第8条对手机的处理也做了明确规定,“封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。”。之所以要采取信号屏蔽和阻断的措施,主要是为了防止手机在扣押或者勘验时由于信号的影响,给手机的数据状态造成改变,影响电子数据的收集和提取工作。
对手机的现场处理主要分为两种情况,如果手机处于关机状态,建议不要现场开机,而是带回实验室进行后续取证工作。
如果手机处于开机状态可以考虑以下的处理步骤:第一步如果手机具备飞行模式状态,先将手机调制飞行模式再进行查看,避免外界信号的干扰,如果手机不具备飞行模式,要将手机置入屏蔽箱或屏蔽袋中阻断信号;第二步扣押手机;第三步尽可能从嫌疑人或者嫌疑人家属处获得锁屏密码,因为在后续检验中需要破解绕过锁屏密码,而不是所有手机都能够进行锁屏密码破解或绕过。
(一)电子数据实验室检验原则
1.无损性原则。《规定》第16条第2项有如下规定:“电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。”,该项规定保证在取证过程中对检材的原始性、无损性的保护,在实际取证过程中,取证人员严格按照上述规定进行取证。
2.客观性原则。电子数据实验室检验取得的证据都是是客观真实的,绝对不能对取得的结果有任何主观的修改和推断。例如,办案部门扣押一台电脑委托进行电子取证,电子取证人员经过检验,发现此台电脑曾经连接过U盘、移动硬盘、手机等设备,可以根据usb记录向办案人员呈现这样的结果:该台电脑曾经接入过什么品牌、多大容量的usb设备;但是不能给出这样的结论:此台电脑的所有者还有什么usb设备的结论。
3.规范性原则。电子数据的实验室检验整个取证过程必须按照严格的规范进行操作,技术人员的取证工作都应严格遵守《规定》以及《人民检察院电子证据鉴定程序规则(试行)》来开展。
(二)电子数据实验室检验方法
2009年,最高人民检察院司法鉴定中心颁布的技术文件,对电子取证实验室检验定义了八种方法。分别是数据擦除、复制件制作(以上两种方法称为技术方法,主要是为实验室检验用到的复制件做日常维护)、数据恢复、条件搜索、一致性认定、文件解密、手机SIM卡检验、手机机身检验。但这八种方法出台时间较早,且针对的是可扣押复制的检材进行常规检验的方法。但随着信息技术的告诉发展以及各种技术在各行业中的深度应用,相应的电子数据取证的实验室检验工作也不仅仅限于以上八种方法了。更为专业性强的检验方法随之出现,例如针对监控录像的取证、代码分析、数据库取证、伪基站取证、互联网取证以及服务器远程勘验等。具体方法描述在这里就不做赘述了。在实际取证过程中,往往不是单一使用一种方法,而是要将多种方法进行结合,才能完成取证工作。
例如在办理犯罪嫌疑人宋某利用职务便利泄露国家研究生考试试题案件中,检察机关立案后扣押了相关的办公用电脑。委托技术部门对电脑进行取证。技术人员通过分析和模拟犯罪嫌疑人作案的过程,对试卷内容进行了文本拆分,设计组成了100余个搜索关键字在检材中进行搜索,在搜索结果中,并未发现目标试卷的相关内容,更没有发现整理制作好的试卷文档,这里就用到了条件搜索检验方法。这也表明,目标试卷以文档形式(WORD、WPS、PDF等)存在的可能性基本排除。但在搜索结果中,还是找到了与案件相关的残留文本数据。结果从内容上看,残留文本描述了QQ用户之间通过互联网传输文件的过程,并夹杂着关于研究生考试试题、以及相互鼓励和调侃的语句。此外,在虚拟内存区域更是发现了大段的政治试卷答案片段,这一发现更为侦查工作带来了新的思路和方向。取证人员在所有检材硬盘中搜索和恢复图片文件,在获取到所有图片文件后,根据文件的属性(时间、大小、文件格式类型等)进行过滤,最终得到31个图片文件。经确认,系2010年研究生考试政治、英语1、数学1全部试卷的电子扫描文件。这里就用到了数据恢复、条件搜索、文件解密等分析方法。
随着《规定》的实施,随着大数据、人工智能、区块链等新兴信息技术在各个行业中的深入应用,电子数据取证、检验鉴定以及审查判断工作都将面临新的挑战,如何有条不紊面对出现的新情况,掌握不同的取证方法,都是需要我们技术人员共同努力的。
*本文系国家检察官学院2015年度检察实务类精品课程精简版。
**北京市东城区人民检察院[100007]