肖劲华
浅谈现场取证中收集电子数据的规范和方法
肖劲华
广西北海市公安局网络安全保卫支队,广西 北海 536000
各类刑事案件几乎都涉及电子数据,电子数据广泛应用于刑事诉讼活动。例如,网民在互联网上发布危害国家安全的有害信息、虚假中奖信息、网络诈骗信息以及开设色情赌博网站、散发电子邮件垃圾信息和开启网络攻击等行为都涉嫌刑事犯罪。在公安机关侦查案件过程中,各种相关的电子数据信息会作为刑事证据被大量使用。办案民警必须掌握规范收集、提取电子数据证据的取证方法。从电子数据的概念及法律地位切入,介绍了现场收集提取电子数据的规范和方法。
电子数据;现场取证;规范
在互联网时代,以计算机和网络为依托的电子数据,在证明案件事实中发挥着越来越重要的作用。由于传统犯罪快速向互联网迁移,犯罪手段不断翻新,各类刑事案件几乎都涉及电子数据,因此电子数据广泛应用于刑事诉讼活动。例如,网民在互联网上发布危害国家安全的有害信息、虚假中奖信息、网络诈骗信息以及开设色情赌博网站、散发电子邮件垃圾信息和开启网络攻击等行为都涉嫌刑事犯罪。在公安机关侦查案件过程中,各种相关的电子数据信息会作为刑事证据被大量使用。办案民警必须掌握规范收集、提取电子数据证据的取证方法。本文主要以电子数据作为刑事诉讼中的重要证据为切入点,谈谈公安机关在现场取证中收集电子数据的规范和方法。
在我国,对电子数据[1]证据的界定有广义说和狭义说两种。广义上的电子数据证据指“借助现代信息技术形成的一切证据”。狭义上的电子数据证据是指“计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物”或者“以数字形式保存在计算机存储器或外部存储介质中,能够证明案件事实情况的数据或信息”。在实际生活中,不只计算机,包括手机、数码相机、电子录音设备等使用过程中都会产生相应的电子数据。
最高人民法院、最高人民检察院、公安部发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号,以下简称《规定》)文件规定,电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
电子数据包括但不限于下列信息、电子文件:(1)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;(2)手机短信、电子邮件、即时通信、通信群组等网络应用服务的通信信息。(3)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;(4)文档、图片、音视频、数字证书、计算机程序等电子文件。
近年来,我国司法机关也逐渐把电子数据增列为证据使用。2006年《公安机关办理行政案件程序规定》第二十三条第一款规定公安机关办理行政案件的证据种类中就有“电子证据”。这里已经把电子证据列入证据种类,虽然这只是个部门规章,不属于法律法规,但随着电子物证检验技术的发展,电子证据发展为一种独立的证据类型势在必行。
2012年3月14日,修订的《中华人民共和国刑事诉讼法》,将原第四十二条改为第四十八条,在原有的物证、书证、证人证言等传统证据基础上,增加了“电子数据”这一新的证据形式,电子数据证据的法律地位首次得到明确。将原第四十五条改为第五十二条,增加一款,作为第二款:行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料,在刑事诉讼中可以作为证据使用。
通过学习电子数据现场勘验[2]取证的标准,按照法律法规的要求,结合工作的不断积累,总结梳理出以下基本方法。
(1)计算机设备:台式、塔式、笔记本电脑和小型、大型计算机。
(2)存储设备:普通电脑硬盘、移动硬盘、U盘、存储卡等。
(3)移动式设备:移动电话、智能手机、PAD、数字多媒体设备(MP3、MP4)、数字录音笔、数字摄像机、数码相机、GPS等。
(4)计算机外围设备和网络设备:传真机、复印机、打印机、扫描仪、集线器、交换机、路由器、防火墙等。
在以上系统或设备上保存的电子数据有:软件、文件、照片、图片文件、电子邮件和附件、数据库、财务信息、互联网浏览记录、聊天记录、好友名单、系统日志、通讯录、通话记录、短信息等。
2.2.1 人员
在计算机犯罪现场需由两名以上侦查人员开展电子数据现场勘验,并负责收集和提取电子数据。收集提取电子数据的方法要符合技术标准和规范。在案件现场勘验过程中,侦查人员要邀请一至两名非司法人员且与本案件无关的公民作为现场见证人。
2.2.2 装备
侦查人员在开展现场勘验前,可根据相关案件的需求,选择带上必要的装备。
(1)基础勘验设备:笔记本电脑、硬盘复制机、手机取证设备、只读锁(SATA、IDE、USB)、闪存卡读卡器、取证软件(综合取证软件、数据恢复软件、屏幕录像软件、截图工具等)。
(2)存储设备:大容量空白硬盘、移动硬盘、U盘、空白光盘等。
(3)物证保管箱:防静电物证袋、手机屏蔽袋或箱。
(4)其他:防静电手套、拆机工具、封条、法律手续、标签、记号笔、警戒带等。
2.2.3 现场环境预案
现场取证前,要充分了解取证对象现场的环境情况。
(1)现场环境:普通住宅、写字楼、出租屋、别墅。
(2)楼层:平房、低层、高层。
(3)安防措施:是否有防盗门、电子报警系统。
(4)网络:网络线路情况、是否有无线上网(Wi-Fi)、是否有托管主机。
(5)嫌疑人基本情况:数量、背景、对计算机熟悉程度。
2.2.4 法律文书
现场勘验必须受到法律的授权和保护,除了勘验笔录,取证人员应当要求办案单位人员携带或者自行携带符合规定的必要的法律文书,如搜查证和扣押清单等。
在现场勘验取证过程中,要利用照相机拍摄记录现场情况,有条件的应当利用录像机记录整个取证过程。
2.3.1 对计算机系统设备电子数据证据材料的收集规范
现场取证对象为计算机时,首先要查看电脑是否开机。若电脑开机,则需要对电脑进行检查;若电脑关机,则需要求嫌疑人开启电脑接受检查;若无法找到嫌疑人,则直接封存计算机,但应当在笔录中说明情况。具体操作流程如下。
(1)查看电脑前,要嫌疑人指证电脑,拍照固定。
(2)查看电脑系统运行时间并拍照固定;查看“我的电脑”属性,打开“系统属性”计算机名,截取计算机名称图片;有条件的应查询并记录计算机硬盘序列号。
(3)查看电脑硬盘的数据,提取涉案电子数据。将提取的涉案电子数据打包压缩,计算出相应的完整性校验值(哈希值)后,拷贝到移动硬盘或者U盘中。
(4)询问、记录嫌疑人电脑的开机密码;各种网站和电子邮箱登录账号密码;QQ、阿里旺旺、PC版微信等即时通信工具账号和密码;云盘、Apple iCloud、Apple ID等账号和密码。
(5)封存电脑。封存电脑前要拍摄被封存电脑原始的照片,封存后要拍摄封口和者张贴封条处的状况。对电脑封存原则是保证在不解除封条的情况下,不能增加、删除、修改任何电子数据。
(6)制作《现场勘验检查工作记录》,由《现场勘验检查笔录》《固定电子证据清单》《封存电子证据清单》和《勘验检查照片记录表》等内容组成。制作《现场勘验检查工作记录》时,要记录案由、对象、内容以及提取、复制、固定的时间、地点、方法,电子数据的规格、类别、文件格式等,并由提取、复制、固定电子数据的制作人、电子数据的持有人签名或者盖章。
(7)制作完成《现场勘验检查工作记录》后,需要嫌疑人和现场的见证人签字。
(8)现场打印取证过程中拍摄的相关照片、截图,并要求嫌疑人签字确认。
2.3.2 对移动设备(以手机为例)电子数据证据材料的收集规范
(1)要求嫌疑人指证手机,拍照固定。
(2)询问嫌疑人手机的手机号码和开机密码,记录好后贴在手机背面。
(3)打开手机拨号界面,按“*#06#”查看手机的设备号,记录下来后,把手机设置为“飞行模式”。
(4)询问嫌疑人手机上登录的即时通信软件、电子邮件或者其他网站登录的账号和密码,特别要注意询问微信和QQ有无保护密码,如果有要记录下来;若是苹果手机,还要问清楚嫌疑人手机的Apple ID、 iCloud账号密码。
(5)询问嫌疑人其他已加密的或者受保护的软件保护密码。
(6)对与嫌疑人正在开启的涉案相关数据,通过相机翻拍或者利用软件现场提取的方式固定提取下来。提取完相关证据后,将手机关机装入信号屏蔽袋中封存。
(7)制作《现场勘验检查工作记录》,制作要求与对计算机系统设备取证的一致。
(8)要求嫌疑人和现场见证人在制作完成的《现场勘验检查工作记录》上签字。
(9)现场打印取证过程中拍摄的相关照片、截图,并要求嫌疑人签字确认。
2.3.3 对其他计算机外围设备和存储设备的电子数据证据材料的收集规范
(1)对于在现场发现的打印机、扫描仪和传真机等计算机外围设备,如果涉案的,要拍照固定这些设备连接的电脑情况,然后封存。
(2)对于在现场发现的硬盘、U盘、移动硬盘,存储卡等存储设备,登记型号、容量、颜色等设备特征,拍照后直接封存。
侦察人员在现场提取完相关涉案电子数据后,在对电子物证的运输和移交过程中,要务必保障物证的完整性。对于存储介质,必须保证温度降低到室温之后,再使用防水、防静电的物证袋包装封存。在包装上贴上标签并注明提取该存储介质人员的姓名、时间以及设备的有关参数。对于光盘、磁带、软盘等易弯曲折断存储介质,必须封装在坚固的存储箱或者盒子中。对于手机等具有通信功能的设备,应当放置在屏蔽箱内,避免新的信息传输覆盖之前的信息[3]。
《中华人民共和国刑事诉讼法》明确规定“电子数据”可以作为证据在法庭上使用,而《规定》实施以后,人民法院、人民检察院在对电子数据的审查与判断方面将有严格的法律指导意见,主要体现在对电子数据真实性、完整性、合法性的审查。为此,公安机关案件侦办人员,在对电子数据现场取证时,必须严格按照法律法规要求和有关标准实施。对于从事电子数据取证的公安机关民警,第一,要熟悉最新法律法规要求,与时俱进,掌握网络违法犯罪发展的方向,懂得最新电子数据取证技术;第二,要加强经验总结,及时总结在案件侦办过程中遇到的问题和解决方案,多与同行沟通,强化取证技术在案件中发挥的作用;第三,要有证据意识,及时依法收集案件中的电子数据证据。
总之,随着科技的进步发展,相信电子数据在今后的司法实践中将越来越起到举足轻重的作用。我们要不断完善,建立一套科学严密、程序公正、效率高效的电子数据规范准则,确保公正、高效的司法能够满足社会不断发展和法治进程的需要。
[1]刘浩阳,李锦,刘晓宇. 电子数据取证[M]. 北京:清华大学出版社,2015.
[2]数字化设备证据数据发现提取固定方法:GA/T 756—2008[S]. 北京:中国标准出版社,2008.
[3]刘晓宇,李锦,刘浩阳,等. 电子数据检验技术与应用[M]. 北京:公安大学出版社,2015.
The Specification and Method of Collecting Electronic Data in On-Site Forensics
Xiao Jinhua
Guangxi Beihai Public Security Bureau Network Security Detachment, Guangxi Beihai 536000
Almost all types of criminal cases involve electronic data, and electronic data is widely used in criminal litigation activities. For example, internet users posting harmful information that threatens national security, false winning information, scam information, and opening pornographic gambling websites, distributing e-mail spam and launching cyber attacks on the internet are all suspected of criminal offences. In the process of investigating cases by public security organs, various relevant electronic data information will be used as criminal evidence. Police officers handling cases must master the methods of collecting and extracting evidence of electronic data. From the concept and legal status of electronic data, the specification and method of collecting and extracting electronic data on-site forensics are introduced.
electronic data; on-site forensics; specification
D918.2;D915.13
A
肖劲华(1985—),男,本科学历,助理工程师,现为广西北海市公安局民警,主要研究方向为电子物证检验。