高虎 孙伟焜
近年来,电子计算机和互联网技术得到迅猛地发展,渗透到了社会生活的方方面面,极大地改变了人们的生活方式。电子计算机和互联网技术在为人们提供便利的同时,也成为了实施犯罪行为的工具。网络诈骗、网络淫秽、网络赌博等新型涉网案件层出不穷;分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈;木马病毒、钓鱼网站等网络安全威胁有增无减。网络犯罪手段和危害后果远超一般概念上的传统犯罪。因此,电子数据取证作为网络安全的重要组成部分,在获取犯罪证据、打击网络犯罪方面起到了不可替代的作用,成为形式诉讼中不可缺少的证据。
电子证据,是以电子数据的方式保存,伴随着电子信息的普及而出现,并且能够在审判中证明案件真实情况的所有电子数据材料,也就是信息数字化过程中形成的以数字形式存在的能够证明案件事实情况的数据。所有通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者储存在电子介质中的信息均为电子数据。1991年,在美国召开的第一届国际计算机调查专家会议上,首次提出“计算机证据”(computer evidence)的概念,我国在2012年3月修订的《刑事诉讼法》第四十八条第八项,将“电子数据”与“视听资料”并列为一类证据类型。2012年8月修订的《民事诉讼法》第六十三条第五项规定证据包括“电子证据”。2014年12月修订的《行政诉讼法》第三十四条第四项规定证据包括“电子数据”。从立法上,将“电子数据”明确为证据种类之一。
一、电子数据取证的原则
2000年,计算机证据国际组织颁布了计算机取证的基本原则:取证过程必须符合规定和标准;获取电子证据时,不得改变证据的原始性;接触原始证据的人员应该得到培训;任何对电子证据进行获取、访问、存储或转移的活动必须有完整记录;任何人接触电子证据时,必须对其在该证据上的任何操作活动负责;任何负责获取、访问、存储或转移电子证据的机构须遵从上述原则。
时至今日,电子存储介质已发生很大变化,不仅仅局限在计算机设备,且与我国法律实践相结合,提取电子数据取证的基本原则如下:
(1)取证流程须符合中国的法律、法规;
(2)采取完全可靠的取证方法来保证电子数据的完整性、连续性。即在作为证据使用的电子数据被正式提交给法庭时,必须能够说明在数据从最初获取状态到在法庭上出现状态之间的任何变化;
(3)从事取证的执法人员需得到法律授權,从事取证的执法人员必须经过专业取证培训;
(4)针对数据的获取、存储、运输、分析检查的活动都必须记录在案,存档待查;
(5)取证人员应该配备符合要求的取证工作。
二、电子数据鉴定的合法性
电子证据的合法性,是指证据的形式、来源、收集的程序要合乎法律的明文规定,并且应当经过法定的查证程序,鉴定和检验的法律要求主要体现在主体合法;送检材料合法;提取过程合法等方面,电子数据鉴定和检验活动必须严格遵守国家法律、法规的规定。法律性是评判鉴定和检验过程合法和鉴定结论具备证据效力的前提。
(一)鉴定主体合法
电子数据鉴定人必须获得鉴定人执业许可证。根据《中华人民共和国刑事诉讼法》第八十七条,也可以指派、聘请有专门知识的人进行检验。电子数据鉴定和检验是一种高度专业化的鉴定活动,鉴定主体必须取得法律授权、且有专业知识,从接受委托、分析论证到出具鉴定意见,都要遵循相关的方法标准,出具的鉴定材料才具有科学性、专业性、法律权威。
(二)送检材料合法
电子数据一般保存在固态硬盘、虚拟硬盘中,以文字、图标、照片、视频、数字的形式存在,送检材料的真实性和完整性是鉴定和检验客观真实的基础,送检材料的提取和委托必须符合法律程序规定,确保原始电子介质没有被篡改和污染过。
(三)提取过程合法
在数据提取过程中,必须使用专业设备(比如厦门美亚柏科的FL-800取证塔)在只读区读取和分析,避免数据在提取过程中发生改变,对原始数据要进行哈希值计算,保证电子物证的原始性。在使用数据复原技术、数据复制技术、密码破译技术、日志分析技术、攻击源追踪技术、数字摘要技术等分析提取数据时,必须按照操作程序规定,保证电子物证没有删除、修改、增加等情形出现。
只有遵从上述取证原则和坚持鉴定的合法性要求,才能维护法制权威,体现司法公正,最大限度的保证当事人的利益,也能够有效约束取证人员。
作者简介:
高虎(1983.3-)男,陕西省延安市人,毕业于中国人民公安大学,本科,研究方向:电子物证检验。
孙伟焜(1984.11-)男,江苏省淮安市人,毕业于江苏省警官学院,本科,研究方向:电子物证检验。
(作者单位:苏州市公安局吴中分局网警大队)