电子证据取证程序研究
2017-03-08李娜
李 娜
(河北公安警察职业学院,河北 石家庄 050091)
电子证据取证程序研究
李 娜
(河北公安警察职业学院,河北 石家庄 050091)
随着电子信息技术的不断发展,数字信息传播速度快、范围广,被运用于众多行业的核心领域。犯罪行为也是一种社会性行为,现在利用电子信息技术进行犯罪的案件呈上升趋势,甚至有些命案要案的核心证据的提取就需运用电子数据技术。如何获得准确的电子数据证据信息,成为破案的关键。因此,电子证据的取证技术和程序,是信息化条件下侦查员必须掌握的技能。
电子证据 ;取证技术;取证方式;取证程序
电子技术的发展提高了人们生活和工作的效率,同时也催生了复杂多样的技术型违法犯罪。信息时代,人际交流与沟通越来越依赖现代信息网络,各类电子设备和互联网不仅可能成为犯罪分子沟通联络的工具,也常常是犯罪分子实施犯罪的场所,这便产生了大量证明案件事实的数据信息。2012年通过的新《刑事诉讼法》,正式将“电子数据”规定为法定证据形式。无论是作为高技术犯罪的主要证据,还是作为普通涉网案件的辅助证据,电子证据在诉讼实践中的使用越来越频繁,必须利用电子数据证据才能破获的案件也越来越多。电子证据具有客观性、非直接性、易于修改性的特点,一般侦查员如果没有一定的计算机取证意识,很难掌握其中的规律,电子证据取证和保管是有别于传统证据的。在侦查取证中,对计算机进行搜查取证和电子证据的提取、固定方式十分重要。侦查员只有按照操作规范获取的电子证据才能被检察院、法院认可采纳作为定案根据。电子证据已成为全国刑事技术不可或缺的重要板块。因此,掌握电子证据取证程序,是信息化条件下侦查员必须掌握的技能。
一、电子证据的概念及特征
电子证据,是经由电子计算机软硬件、计算机网络连接软硬件,通过存储、复制、传播等手段而产生的各种数字格式存在的,并能够证明案件事实的一切材料。电子证据是证据的一种具体形式。电子证据的载体既包括软件也包括硬件。电子证据不同于传统的物证、书证、视听资料等证据种类,它包括了人类现代生活可产生信息痕迹的众多载体,例如电子邮件、电子数据、网上聊天记录、图片、音频、视频、手机短信、程序、代码等各种形式。大体上,电子证据主要有以下五个特征:
(一)易被篡改性
电子证据以数字信号的方式存在,而数字信号是非连续性的,在信息存储、传输或程序的运行过程中,人为故意或者操作差错可对计算机证据进行截取、监听、窃听、删改、剪接,都很容易造成原始数据的改变、丢失和破坏。可从根本上改变电子证据的真伪。
(二)客观真实性
正是因为以计算机这种高技术为依托,使它很少受主观因素的影响,其精确性决定了电子证据具有较强的证明力。电子证据能准确地储存并反映有关案件的情况,电子证据不会像物证一样会因周围环境的改变而改变自身的某种属性,不会像书证一样容易损毁和出现笔误,也不像证人证言一样容易被误导或带有主观性。电子证据一经形成便始终保持最初的原始状态,能够客观真实地反映事物的本来面貌。
(三)非直观性
电子证据存于特定的电子设备存储环境之中,人类是不能直接进入到电子数据存在的载体里,必须借助专用设备才能对电子数据进行存储、复制、转移、读取等等。不同设备中的电子证据,格式也往往不一样。因此电子证据往往无法直观地理解,必须依赖于一些专业的取证设备来读取,如果没有一定的硬件设备,人们则无法获知其中的内容,因此电子证据和传统证据相比,是非直观的。
(四)表现形式多样性
电子证据在计算机内部以电磁形式存在,借助不同载体表现输出形式却是多种多样的,它可以是图片、文档、视频资料,也可以是非直观的计算机程序、指令、代码等。这种以多媒体形式存在的电子证据几乎涵盖了所有传统证据类型,使得证据外在形式复杂多样。
(五)高技术性
电子证据的特征决定了它较强的技术性。不管是电子证据的复制、存储还是读取,都需要相关操作人员具备一定的专业技巧和专业工具,并且存储提取还涉及到真实性验证用来保真,以防原始数据的更改或丢失。同时随着科技水平的不断发展,新技术新载体的产生都将会产生新的种类和呈现方式的电子证据。
二、电子证据取证原则
根据相关法律规定和电子证据的证据属性要求,公安机关在侦查办案过程中,对电子证据的收集必须遵循以下原则:
(一)规范取证原则
电子证据勘验作为电子证据取证的主要途径,其工作的规范性,直接影响到电子证据的真实性、合法性。实践中,部分办案人员不掌握电子取证的基本技能,没有按照规范的程序操作,使得证据的真实性和完整性难以得到保证。因此,规范取证是保证证据合法性的前提。
1.收集和审查电子证据的主体合法。提取、复制和存储电子数据的电子物证由二人以上进行,并需经过专业培训并通过考核,具备电子数据勘验专业知识和技能,确保收集程序、方式符合法律及有关技术规范。
2.收集和审查电子证据的程序合法。首先,采取摄影、摄像等方式对犯罪现场收集固定电子数据和电子物证的过程予以记录。这种方式可以证明提取、复制的电子数据未经删除、修改、增加,同时对我们采集电子证据程序的合法性起到证明作用。其次,在犯罪现场收集、固定和存储电子证据时,应制作《现场勘查笔录》和《扣押物品清单》。在《现场勘查笔录》中详细记录原始存储介质存放地点,提取、复制过程。制作《扣押物品清单》注明电子数据的规格、类别、文件格式等,并由相关人员签字确认;没有人签名的,需要注明原因。
(二)原始取证原则
在犯罪现场提取、复制的电子数据应当是客观存在并保持原始状态。电子证据使用电磁介质,储存的数据具有易修改的特点,特别是一些网络信息,数据篡改破坏更为方便和迅捷。还有一些电子数据,像手机的基站类信息在保留一定期限后,也会因数据更新而被覆盖丢失,若不及时获取,事后难以收集。所以,对于手机上数据的提取,要在屏蔽的状态下进行,防止重要的电子证据被删除破坏。
(三)全面取证原则
在犯罪现场,应注意发现与案件事实有关联的电子数据,并予以收集。要做到既要考虑计算机系统,又不能忽略其他电子设备;既要注意硬件环境的固定,又要对系统软件环境予以保全;既要提取普通文件,又要注意对隐藏文件、加密文件和已删除文件的提取;既要收集文本,又要收集图形、图像、动画、音频、视频等媒体信息;既要保证案件发生后因犯罪行为可能造成的数据变动或系统变化而对目标系统进行的静态取证,又要注意利用入侵检测等网络安全工具的配合予以数据跟踪动态取证,争取二者同步进行;既收集控诉证据,又要收集辩护证据。
三、电子证据取证方式
现代生活中,记录了反映人行为、内心犯罪动机等一些关键证据多存在于电子载体中。尤其一些命案要案中犯罪行为的认定、犯罪行为人内心的解读,就取决于是否会用电子取证技术解读电子证据。因此,侦查员会对电子数据进行取证,是其业务能力的重要部分。电子证据与传统证据,衡量其“原始性”的标准不同。因此,电子证据的取证方式不同于传统证据,有其独有的取证方式、取证原则、取证程序。在此,按照取证程序的方式和简易程度,把电子证据取证程序大致分为两类。
(一)电子证据的现场直接取证方式,大多为静态取证
这种取证方式的能力点在于保持证据的原始性,第一时间在电子证据未经伪饰、修改、破坏等情形下进行取证。对于网络赌博、电信诈骗等网络犯罪案件,在抓获犯罪嫌疑人的现场,应该第一时间把有关人员(不仅包括犯罪嫌疑人员,还包括在场的除工作人员以外的所有涉案人员)与现场的电子设备进行分离,防止电子证据被修改、毁坏。然后由掌握电子取证技能的侦查员进行取证操作。
1.打印。有些电子数据由于其存储媒介和存储状态的特殊性,很容易丢失。这些电子数据包括浏览器打开的网页、登陆的邮箱和信件、QQ号码好友列表和聊天记录、Word编辑的文档、计算机内存数据、当前登录的用户列表、当前运行的进程列表等。 为了及时将文字内容上有证明意义的电子数据进行固定,可以直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法予以保管、固定,并制作相关法律文书。
2.拍照、摄像。如果该证据具有视听资料的证据意义,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像,证明电子证据符合法定要求。
3.整体克隆和逻辑复制。利用专门的复制设备将原始存储介质(主要是硬盘)中的电子数据完全复制下来,后续取证分析过程都是基于复制产生的副本进行。对电子数据的复制分为整体克隆和逻辑复制两种。两者的区别在于,是否需要备份所有数据(包括已被删除的文件、文件未分配的空间和闲散空间),是否需要立刻分析拷贝数据。源盘镜像是最好的能够完整保存证据的方法。
4.实物获取。对于可用于证明犯罪嫌疑人有罪或者无罪的电子设备、存储介质和电子数据可进行强制性的扣押。对于实物提取之扣押,实践中的做法有:整机扣押、只扣押硬盘、源盘不扣而只在线制作源盘镜像和扣押电子数据。这四种方法没有优劣之分,根据案件的具体情况来灵活运用。例如,整机扣押虽然看起来带走了所有的涉案物品和资料,但会产生工作量太大、需要较大的工作场所、解除扣押后还原等一系列问题;而对于硬盘的扣押,要看硬盘可不可以扣,如果服务器不是很重要,并且经过当事人同意可以扣押的,可扣押;对于在线制作镜像文件,这种方法的采取在于证据效力能否固定,需要制作现场勘查笔录,记下校验值等使证据的效力得以固定;对于一些跨国案件不方便异地取证时,可以进行网络电子取证,电子数据如需扣押,要按照法定程序制作笔录,必要时需录像保证取证程序的合法性。
(二)电子证据的复杂取证方式,是指需要专业技术人员协助进行的电子证据的收集、固定和分析鉴定活动
多适用于不能现场直接顺利提取电子证据(比如数据被删除、被加密,计算机被病毒或黑客袭扰等)的情况下,由专业侦查员现场勘查取证结束后,带到专业的司法勘验鉴定机构,来进行鉴定分析。这种情况下常用的取证方式包括:
1.解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。
2.恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,一般是较难篡改的。因此,当发生网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。
3.测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试 (侦查实验)。主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。
四、电子证据取证程序
随着科学技术在生活、工作中的应用和普及,电子证据已经成为证实犯罪行为的一类强有力证据。大到命案要案中犯罪嫌疑人的确定,小到盗窃、诈骗案件中犯罪数额的认定,都需要电子证据作为定罪量刑证据的有力支撑。掌握法定规范的电子证据取证程序,既是专业取证人员开展电子证据取证工作的前提,也是普通侦查员顺应新形势侦查工作发展的要求。实战中,电子证据取证程序大致分为取证前的准备、现场勘查取证、实物的提取和扣押以及鉴定分析四大环节。
(一)取证前的准备
接报案后,侦查员根据指示到现场勘查取证之前,需要根据案件的类型做好准备工作,大致分为两方面的准备工作即人员的准备和设备的准备。首先,人员的准备。根据按照到达现场工作职责的不同,把工作人员大致分为安保人员、现场勘查人员和协助人员三类。需要注意的是,安保中的人身保障指防止现场勘查过程中现场人员不配合产生冲突,或其他可能造成人身伤害的情形出现。而设备安全保障指是防止现场勘查过程中直接或间接地破坏证物或设备。电子证据极易被破坏,所以到达现场后安保人员要第一时间使涉案人员与电子设备分离。其次,设备的准备。在了解案件基本请况之后,根据案件的类型准备现场勘查的设备时,要将现场可能需要的操作尽可能考虑齐全,并携带相应的设备前往,如摄像机、勘查箱、取证软件、笔记本电脑、硬盘复制机、只读锁、便携式打印机、存储介质、物证标签、封条、证据袋、现场勘查笔录、电子证物清单等。
(二)现场勘查取证
电子数据现场勘查,是指对电子数据存在的虚拟现场进行的勘查,通过勘查提取、固定现场存留的一切与犯罪有关的电子数据、电子设备和存储介质等证物的过程。按照勘查环境不同,现场勘查分为单机勘查和网络勘查。在实践工作中,主要勘查对象包括:电脑设备、手机、摄像头、网吧、手机基站、民航数据库进行勘查。
电子证据取证的原则包括:第一时间原则,即为了使证据没有受到任何破坏,要尽早取证;“连续性原则”,即采用拍照、摄像、MD5校验值等多种方法,说明证据从最初获取到提交到法庭过程中的任何变化;完整性原则,要保证提取的电子证据完整真实,整个提取的过程是受监督的。
现场勘查工作大致分为以下四个环节:
1.到达现场后,安保组第一时间进行好人员和涉案物品两方面的安保工作。要注意第一时间使涉案人员与电子设备分离;案件现场还有哪些人员可能是案件的证人和涉案人员,不要有所遗漏等等。
2.在对现场展开勘查前,侦查员应通过拍照、录像等方式记录下当时的状态,如设备的位置、连接状态、显示器屏幕信息等等。现场的拍照工作分为四方面:第一,现场概貌拍照,用于反映系统运行环境,拍照时不得将人员和器材拍入画面;第二,系统状态拍照,要反映系统运行的情况,包括屏幕显示状态、设备之间各电缆的连接情况等;第三,保存有重要证据的设备拍照,要注意从不同角度对重要设备上的信息如序列号、主要技术指标拍摄清楚;第四,绘制现场图、网络拓扑结构图,要把现场图中包含的重要设备型号、技术指标、连接状态要做出明确的标识,反应证据存储的原始状态。
3.开展现场勘查,搜集相关证据。现场勘查时要注意对犯罪嫌疑人所使用的计算机、硬盘和其他存储介质的搜索,要细致观察、全面搜索。注意实践中存储介质的形式多样,有些存储介质很小可以隐藏于头发之中,有的存储介质和首饰、手表样式相同,而忽略了这些存储介质可能会造成关键证据的丢失,影响对犯罪嫌疑人的定罪量刑。只有全面搜集,才能完整地收集相关证物。要注意识别哪些设备是与案件相关的证物。
4.制作相关法律文书。 《现场勘验笔录》的内容,一般包括基本情况、现场情形、勘验过程和勘验结果四大方面。制作时要注意,现场情形要填写包括现场的设备情况、网络结构、运行状态等;而填写勘验过程,要详细填写开、关机时间、实施的操作、对数据可能产生的影响、提取的数据封存物品的有关情况。
(三)实物的提取和扣押
通过详细的现场勘查,对于可用于证明犯罪嫌疑人有罪或者无罪的电子设备、存储介质和电子数据可进行强制性的扣押。按照电子证据存储的载体是否可提取,将提取扣押工作分为两类。一类是原始载体可以提取的。这种情况下,侦查员对相关设备按照连接状态进行编号,贴上标签,分组进行提取。另一类是原始载体不可提取的。这时侦查员可采用书面固定(将有关内容直接进行打印,按书面证据进行固定)、拍照摄像(即对电子证据中以动态文字、图像、声音、视频或者需要专门软件才能显示的内容,可以采用拍照、录音或摄像方法,将其转化为视听资料证据)、拷贝复制(将涉案的计算机文件拷贝到存储设备)等形式将电子证据予以提取。最后,规范制作相关法律文书。
(四)鉴定分析
电子证据鉴定分析,是指在电子证据现场勘验和取证工作中,在案件现场发现的涉案存储媒介、电子设备和电子数据,委托鉴定机构进一步检验鉴定分析的工作。合法的鉴定机构、合格的鉴定人作出的鉴定结论是电子证据鉴定结论具有合法性的前提条件。我国相关的法律法规对于可以接受委托鉴定的机构、不予受理鉴定的情形等都有明确的规定。
进行电子证据鉴定分析要注意,避免使用原始证据进行鉴定,如果需直接访问存储在原始存储介质或原始计算机中的数据,操作人员必须有能力进行该项操作,并说明访问原始数据的理由;不损害原始数据,操作人员不得改变嫌疑人计算机或存储介质中数据;记录所有操作的过程。
总之,犯罪是一种社会现象,它体现着时代的特点。在如今数字化信息时代,人们是与数字为伍、与信息共生的生存方式。而侦查员要想有效地打击和制止犯罪,就必须顺应时代的发展,掌握好破解包含有犯罪信息电子证据的技能。
[1]公安部法制局.公安机关执法细则释义[M].北京:中国人民公安大学出版社,2012.
[2]常艳.侦查与电子证据取证[M].北京:中国人民公安大学出版社,2010.
[3]汤艳君.电子物证检验与分析[M].北京:清华大学出版社,2014.
D918
A
1672-6405(2017)04-0023-04
李娜(1980-),女,河北宁晋人,硕士,河北公安警察职业学院侦查教学训练部副教授,主要从事信息化侦查、电子物证、视频侦查、刑事侦查等教学研究工作。
2017-09-28
张钦]
