电子数据取证

[TOC]

电子数据

何谓电子数据?

只要是在案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据都可以称为电子数据。

电子数据的分类

包括但不限于:

  1. 文本文件,包括纯文本文件或普通文本文件。

  2. 图形和图像,包括bmp、gif、jpeg等格式文件。

  3. 音频,指存储声音的计算机文件,包括flac、wav、mp3、wma等格式文件。

  4. 视频,指通过特定的电子设备对特定的场景进行动态记录、存储并能够借助特定应用程序进行完整动态重现的计算机文件,包括avi、mpeg、wmv、rm格式文件。

  5. 电子邮件。

  6. 电子资金划拨记录(EFT),指客户通过电子货币支付手段向金融机构提供的特定网络系统发出支付命令从而实现资金的划拨。

  7. 电子数据交换记录(EDI),指按照通信协议,依据各行业特定事务处理模式,形成公认信息标准,经数据通信网络在计算机应用系统之间以电子形式来交换相应数据文件的电子应用系统,该系统在交换相应数据文件中形成的记录就是电子数据交换记录。如操作系统的登录日志等……

  8. 网页(web page),指计算机连接网络时浏览器窗口中显示的页面,可在互联网上传输并被浏览器识别和翻译成页面显示的文件。

  9. 电子聊天(E-chat)记录,指用户通过专门的网络聊天工具在互联网和移动通信网络上实时发送文本、图像、声音、视频等的信息通信记录。

  10. 电子公告板(BBS)记录。

  11. 网络日志(weblog),亦称博客。(微信网络日志,即微博,也算网络日志)

  12. 电子签名(E-signature),指在电子通信过程中,可以用来证明特定当事人身份信息,以及当事人对特定文件的内容予以认可的电子数据签字。

  13. 嵌入式计算机系统(embedded computer system)证据,指在各类电子设备中,在集成电路板或其他类似构件内嵌的计算机系统在运行中所产生的计算机证据。如数字电视、移动电话、汽车、微波炉、数字照相机、空调、自动售货机、工业自动化仪表、医疗仪器等电气设备中嵌入式系统的电子数据。

  14. 电报(telegraph)记录。

  15. 传真(fax)记录。

  16. 通话记录,包括固定或移动电话中存储的通话历史记录、通过专业录音设备录下的固定或移动电话通话内容等。

  1. 短信(short message)记录。

  2. 用户注册信息、身份认证信息等的通信信息。

  3. ……

另外的,还包括计算机网络中传输的动态电子数据、电子物证、电子书证、传输层和网络层电子数据(IP地址)、数据链路层和物理层中的电子数据(MAC地址)等……

电子数据的特点

  1. 无形性:肉眼看不见摸不着

  2. 脆弱性:电子数据具有“挥发性”和不稳定性,容易遭受删改和损坏,如保存在内存中的数据。

  3. 潜在性:与电子数据有关的一些信息隐藏在它的元数据或本身之外,而且这些信息的影响又会留下新的痕迹。在借助专用设备和科学方法才能留下新的痕迹,而行外人想去除这些痕迹较难,因而潜在性是使脆弱的电子数据具有证据能力的重要原因。

  1. 依赖性:电子数据的生成、保存、传输和表现等依赖于必要的硬件、软件系统支持。

  2. 发散性:电子数据可以在虚拟空间里无限地快速传播。

  3. 可恢复性:被删除、被覆盖、遭破坏的电子数据可以通过技术手段得以恢复。这一点传统证据很难做到。

  4. 复制的精确性:只要按照一定的技术规则与适当的软硬件操作,即可对电子数据信息复制和再现,做到复制件与原件的无差别,表现出较高的精确性。

  5. 形式的多样性。

  6. 分离性:电子数据的信息和其所在的载体之间具有可分离性。

对侦查中电子数据取证人员的素质要求

侦查中电子数据取证人员应该是一种复合型人才,这种人才应具备的知识、能力结构应有:

  1. 知识储备:
  • 侦查学知识:要像侦查人员那样具备侦查学知识,明确侦查基本原理,熟悉侦查程序、步骤,掌握现场勘查、施用侦查措施、案件侦查方法;

  • 信息技术知识:熟悉信息技术知识,必须掌握与电子数据取证有关的信息技术知识,明确电子数据的法律地位、电子数据的类别、具体形式,明确电子数据取证工具、技术、具体方法、流程与程序等;

  • 刑事法律知识:掌握法律知识,特别是要掌握刑事法律知识,必须熟悉《刑法》《刑事诉讼法》《公安机关办理刑事案件程序规定》等的有关规定,特别要吃透《收集提取和审查判断电子数据问题规定》。


2. 能力结构:

  • 正确处置涉及电子数据的犯罪现场:侦查人员应根据电子数据的特性采取相应的措施才能避免对电子数据造成变动、删除、修改、破坏。关闭电源、关闭存储电子数据的载体、采取具体保护措施时都需考虑能否使电子数据现场及电子数据处于不会被变动的状态;
  • 掌握应用电子数据取证技术;
  • 正确使用电子数据取证工具;
  • 明确勘验电子数据的程序、步骤;
  • 勘验常见的电子数据:侦查中电子数据取证人员必须能够正确收集提取并进行审查判断;
  • 明确电子数据证据的证据能力和证明力;
  • 正确使用电子数据证据:侦查中电子数据取证人员能够正确地对电子数据的真实性、合法性、关联性作出审查判断,并利用该电子数据作为侦查的依据。

电子数据获得证据能力的要求与规则

从世界各国现有关于证据能力规则的内容来看,一般从三个方面或层次对证据能力予以限制:

  1. 证据方法本身必须具备合法的形式;
  2. 证据方法的来源合法;
  3. 证据方法必须经法定人员依法定程序收集、提取和使用。

因而,应重点把握电子数据证据是否满足合法性、相关性和可靠性的要求:

  1. 合法性:电子数据应满足主体合法和程序合法的要求。对于合法性方面不足或有欠缺的证据一般衡量其生成、取得等环节,若有不合法的程度足以影响证据的真实性,或足以影响某一种更大的权益时,可以考虑对其加以排除。如没有履行法律手续而窃取的电子数据、通过非法搜查、扣押等方式获取的电子数据、通过种植“木马”而获取的电子数据等一般不予采纳。
  2. 相关性:具有相关性的数据即可采,不相关的数据则不可采。一般考虑电子数据的具体内容、有无实质性意义、与其他证据的关联、与案件事实的关系、法律上的具体要求。对于一时不易判明的电子数据,宁多勿缺,先加以提取收集。
  3. 可靠性:必须经得起在科学方法原理和人类解读方面的一致检验。其验证方式包括案件双方当事人自认、适格证人的具结、有效技术或程序手段推定、适格专家取证和鉴定。只要通过以上四种的一种即可认为电子数据经过了鉴证,是可靠的。

完善电子数据的证据能力的规则:

  1. 在场非接触原则:涉及电子数据的犯罪现场,必须严禁犯罪嫌疑人接触电子设备和关键部位。
  2. 同时性原则:面对易失数据、网络数据,运行相关程序时就需对数据当场进行采集,同时进行完整性校验。否则时过境迁,电子数据将失去其证据能力。
  3. 完整镜像规则:大多数电子设备中的数据,不能在原始数据上操作,需要设立镜像并进行哈希值验证完整性之后才能进行具体操作。
  4. 鉴示规则:侦查与鉴定检验要明确分离,要体现出整个收集过程和证据来源的技术规范性与程序合法性。鉴定检验要由专业权威的鉴定机构进行,通过专业的、权威的鉴定检验人员的工作,展示出真实的、关联的、合法的鉴定检验效果。
  5. 有证搜查限制规则:电子数据的获取也需要搜查证,但在特殊情况下可以进行无证搜查。
  6. 适度取证规则:若过度强调收集全部数据,一是降低司法效率,二是可能为追求标准造成惩罚过度,三是可能为凑次数形成潜在的钓鱼执法。例如涉及网络谣言或网络散播恐怖信息等的取证。
  7. 例外规则。

电子数据证明力审查标准

审查电子数据的标准主要有三个:可靠性、关联性和完整性。

  1. 可靠性审查:
  • 电子数据形成来源和生成机制是否有效。
  • 电子数据的存储方式是否合法、合理。
  • 电子数据的提取过程是否科学。
  • 电子数据的传送过程是否可靠。
  • 电子数据的最终核实是否由专业人士做全面评估。
  • 通过其他因素审查。包括通过认定电子数据所依托的电脑及系统程序来核定其承载的电子数据的可靠性、由电子数据是由其中一方不利的当事人提交来推断电子数据的可靠性、由电子数据是在某一活动中正常产生的来推断电子数据的可靠性等。
  1. 关联性审查:
  • 电子数据到底能证明什么样的案件事实。
  • 电子数据是否有某些数据能够反映案件的内在实质。
  • 电子数据是否有效解决案件中的异议,帮助解决案件的疑难问题。
  1. 完整性审查:

    电子数据的完整性主要体现在电子数据在生成过程中和生成之后未受到人为蓄意的破坏,其内容具有真实本原性,没有被篡改、删减。

    电子数据所依附的电子系统完整性可以从这几个方面来审查:

  • 电子数据系统在案件发生过程中是否处于正常运转状态,如果处于正常运转状态,则可推断该电子数据具有完整性。
  • 如果电子数据需要经过后期处理制作才能成形,这样的电子记录完整性就值得怀疑。
  • 如果电子数据是由对其中一方不利的当事人提交的,可以推断出电子数据具有完整性。

电子数据证明力高低判断

关于电子数据证明力的判断存在以下几点共识:

  1. 经过公证的电子数据证明力大于未经过公证的电子数据的证明力。基于公证机构的特殊性与中立地位,我国法律对公证取得的证据承认其预决的真实性,除有相反证据外不得推翻。
  2. 在正常业务活动中制作的电子数据证明力大于为诉讼目的而制作的电子数据证明力。
  3. 由不利方保存的电子数据的证明力最大,由中立和第三方保存的电子数据证明力次之,由有利方保存的电子数据的证明力最小。
  4. 由核证程序产生的电子数据具有较高的证明力。