电子文件证据取证研究

    徐振杰

    摘要:本文主要阐述了电子文件证据取证的涵义,探讨了电子文件证据取证的原则、步骤、取证技术,并对已取得的电子文件证据如何进行保护、审查、检验作了论述。

    关键词:电子文件证据取证审查检验

    由于电子文件证据自身具有不同于传统证据的许多特点,所以保证电子文件证据的真实性就成为确认其证据价值的关键,为此对电子文件的制作过程,存储、传递的可靠性,信息完整性的保护,数据是否有伪造和被篡改,应结合计算机数据分析报告和专家的鉴定结论进行审查,并结合其他证据相互印证。如果电子文件证据与其他证据相一致且并无相反的其他证据,共同指向同一事实,就可以认定其效力。电子文件证据本身和取证过程的许多有别于传统证据和取证方法的特点,使电子文件证据取证问题倍受人们关注。综合各方面,电子文件证据取证涵义可概括为:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确认与获取,取证包括了对以磁介质编码信息方式存储的电子文件证据的保护、确认、提取和归档。

    一、电子文件证据的取证原则及步骤

    为便于电子文件证据的搜集,我国从2000年9月25日起施行的互联网信息服务管理办法已经规定:“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接人服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。”记录备份的保存时间为60日,并在国家有关机关依法查询时,予以提供,违者将受行政处罚。这为警方侦查办案提供了很好的线索和证据。关于电子文件证据的收集方法,并没有固定模式,根据电子文件证据的不同,可以采取不同的方式。如需要收集当事人的电子邮件,仅仅对对方提供的自己计算机留存和下载的电子邮件进行收集是不够的,通常还应该向电子邮件服务器提供商收集证据,电子邮件服务器如实记录了电子邮件的内容以及收发和提取时间。

    电子文件证据取证的主要原则可概括为以下几点:首先,尽早搜集证据,并保证其没有受到任何破坏;其次,必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其他方委派的专家的监督。

    在保证以上基本原则的情况下,电子文件证据的取证工作一般按照下面步骤进行:

    第一,在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;第二,搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;第三,全部(或尽可能)恢复发现的已删除文件;第四,最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;第五,如果可能并且如果法律允许,访问被保护或加密文件的内容;第六,分析在磁盤的特殊区域中发现的所有相关数据。特殊区域至少包括两类:一类是所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留;另一类是文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息;第八,给出必需的专家证明。

    上面提到的电子文件证据取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将电子文件证据取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。

    二、电子文件证据取证的主要技术

    常用的电子文件证据获取技术主要包括:对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰;对数据和软件的安全搜集技术;对磁盘或其他存储介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对磁盘空间、未分配空间和自由空间中所含信息的发掘技术;对交换文件、缓存文件、临时文件中包含信息的复原技术;计算机在某一特定时刻活动内存中数据的搜集技术;网络流动数据的获取技术等等。数据复原技术是其中非常关键的取证技术之一。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,较难篡改。因此,当发生计算机犯罪,其中有关证据已经被修改、破坏时,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。

    三、保护已得到电子文件证据的主要措施

    1.对所有的介质进行写保护和病毒检查。得到了所需要的影像拷贝、备份磁带、光盘和其他介质的证据,必须保证得到的每一个介质的完整性。这需要两个关键性的步骤,即写保护和病毒检查。写保护可以防止介质被添加数据。这种措施可以保证你在利用收集证据工作时,证据不会被删改。因此在你使用证据之前一定要对它们进行写保护。同样,病毒检查也可以防止证据被改写并且也是你必须对所拥有证据进行的处理。而使用最新的查毒软件是尤其必要的。如果发现病毒,就应该全部记录信息然后立即通知该介质的制造者。不要擅自对该介质进行清理,否则会改变原有的证据。

    2.保留监视链。监视链能从最初的证据追踪到当庭提供的证据。对电子文件证据而言,监视链是至关重要的,因为以电子方式存储的证据修改起来相对容易,证明这条锁链是电子文件证据鉴别过程中的重要工具。保留电子文件证据链至少需要证实以下内容:任何信息未被添加或更改;已制作了完整的拷贝;复制过程可靠;所有的介质都是安全的。

    四、电子文件证据的审查

    与其他所有证据一样,电子文件证据必须经过查证属实,才能作为认定事实的依据。怎样判断一项电子文件证据的效力?联合国《电子商务示范法》第9条第2款规定“对于数据电文为形式的信息,应给予应有的证据力。在评估一项数据电文的证据力时,应考虑到生成、存储或传递该数据电文的办法的可靠性,用以鉴别发端人的办法,以及任何其他相关因素。”就是说当某项电子文件证据自形成后直到取证止,如果它在储存、传输等各阶段均保持了数据和信息的原始状态,没有任何人为的或自然的因素影响、破坏,则该电子文件证据是合法有效的。基

    于这一原则,对电子文件证据的审查必须体现以下基本原则:

    1.审查电子文件证据的收集、提取是否合乎电子形式要求。提取电子文件证据的主体须具备电子专业素质要求,应借助于电子设备,提取要及时且能够证明电子文件证据未被删除或更改,所提取的电子文件证据能够借助一定的设备被读取。

    2.审查电子文件证据是否能够归入七种传统证据类型。不能归人传统证据类型,则不能作为法定证据。

    3.审查电子证据是否具有相关性、客观性、合法性。电子文件证据相关性要求其须与案件的某一事实有着某种联系、能够证明案件的真实情况,起到证据作用,否则就没有证据价值,也不能称为证据。审查电子文件证据的相关性应考虑以下两个方面,首先要审查电子文件证据与案件事实有无客观联系,其次审查电子文件证据与案件事实联系的方式、性质、联系的紧密程度和確定程度。对电子文件证据客观性审查的主要目的是对证据的真实性,即是否符合案件的实际情况进行审查,以确定该证据是否被篡改过,是否具有证据的能力。首先审查电子文件证据的来源,其次审查电子文件证据的收集、传送和保存的方法,最后是审查电子证据的内容。看看证据是否真实可靠,有无剪裁、拼凑伪造、篡改等。对电子证据合法性的审查,系指可采用的证据必须是符合法律规定的根据或材料。应从两个方面审查证据是否合法,首先审查取得电子文件证据的主体是否合法,其次审查电子文件证据的收集、提取、保存是否符合法定程序和方式。

    五、电子文件证据的检验

    由于电子文件证据自身的性质和特点,在案件的侦查和诉讼活动中作为证据使用时,必须首先通过检验查明其内容形式是否具有真实性。一般说来电子文件证据检验的目的在于:认定作为证据使用的电子文件是否自生成后直到侦查取证时止,在储存、传输等各个阶段均保持了数据和信息的原始状态,没有遭到破坏。目前,电子文件证据检验的主要方法有:

    1.利用专门的电子仪器、设备通过运行特定的程序对电子文件证据的形成过程进行检查及验证。首先要对电子文件证据形成和存储的技术设备的质量和性能进行检查,看其质量是否合乎证据的客观要求,其性能是否方便证据的封存、提取;然后对电子文件证据的技术形成过程进行技术检验,看其作为电子文件证据的数据和信息储存于各种介质中时所运用的技术是否过关。通常应该聘请精通计算机技术和网络技术的专家进行指导。

    2.利用技术设备对电子文件证据所反映的内容真伪进行鉴别。作为电子文件的证据的数据以电信号代码形式储存于计算机各级存储介质中,在输出的文件资料中数据和信息多以不可直接读取的形式出现,必须用相应的电子设备和技术方法方可被反映、被感知,所以,必须经过专门电子技术人员的检验鉴定,才能成为证据。

    3.利用证据间的逻辑关系来判明电子文件证据的原始性与真实性。结合整个案情进行综合分析,运用多种或多个证据之间存在的逻辑关系,进行推理判断:作为电子文件证据的信息和数据,与其他证据之间是否一致,与案件发生的时间、地点、原因、结果等有无联系与矛盾,从而认定电子文件证据的原始性和内容形式的真实性。

    因此,电子文件取证是指对能够为法庭接受的、足够可靠和有说服力的、存在与计算机和相关外设中的电子文件证据的确定、收集、保护、分析、归档以及法庭出示的整个过程。在这个数字化时代里,电子文件证据的取证在查明案件事实的过程中作用日益显著,因此对电子文件证据的取证进行多方面的研究意义更为深远。我们有理由相信,经过各界不懈努力,电子文件证据在将来的司法实践中会得到充分体现。

相关文章!
  • 基于企业文化的国企思想政治工

    陈广梅中图分类号:D641 文献标识:A 文章编号:1674-1145(2019)4-081-02摘 要 新形势下,党对国有企业思想政治工作提出更高的要求,需要

  • 一次为中国革命延续火种的伟大

    朱强今年11月12日是我国伟大的革命先行者孙中山先生诞辰150周年。在孙中山先生早期的革命生涯中,有一段流亡海外的经历,这段经历见证了

  • 周强:在县域治理中发挥好司法

    大数据时代,司法案件运行情况成为县域经济社会发展的晴雨表。法院将海量案件信息进行大数据分析,从刑事案件判断治安状况,从民商事案件