摘 要:本文从电子证据的取证和特点、电子证据的取证方法和电子证据的取正程序三方面入手,对电子证据进行了简单的梳理,电子证据独特的证据特点和设备的依赖性、高科技性都促使了电子证据科学的发展,同时,也对现存的电子数据相关规定提出了新的挑战。 关键词:电子数据;技术手段;程序 信息技术的发展,带动了网络和数码产业的迅速进步。电子产品在现实生活中的应用也越来越广泛,多种电子存储介质随之成为人们生活、工作不可或缺的重要工具。生活模式的改变带动了证据形式的变化,电子证据随之成了司法实务工作中新兴的证据形式,社会中得到了大力认可。违法犯罪活动和人们生活的交叉性,决定了违法犯罪活动无法避免的和电子信息、电子设备联系在一起,大量的涉案数据存储在电子证据中。作为计算机网络技术和法律相结合的新证据类型,法院诉讼涉及到电子物证的实例越来越多,电子证据的取证规则、取证方式都不同于传统证据,需要使用特定的技术方法进行获取和分析,因此在电子证据的取证过程规范取证流程迫在眉睫。 一、电子证据的取证和特点 中华人民共和国最高人民检察院《人民检察院电子证据鉴定规程规则》中对电子证据的定义是,由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。电子证据取证不仅需要提取保存在计算机硬件上的数据,还需要从计算机网络上提取相关数据,已经计算机和网络中删除、加密或破坏的文件的提取和恢复,这些问题使得电子证据和传统的物证提取有很大的差异。 电子证据的检验对象是各种电子设备中存储或传输的数据信息。常见的电子证据案件材料,包括计算机和手机等有存储功能的电子设备,例如:桌式和笔记本式电脑、计算机服务器、手机、平板电脑、移动硬盘、光盘、u盘等介质。电子证据的取证原则和传统的物证检验都要遵循相同的规则,保证证据的真实性、合法性和关联性,由此要采用被业界认可的科学技术方法,通过合乎技术规则和法律规定的、行业标准的操作规定来获取真实的检验结果。电子证据的表现形式多样,多媒体技术的出现更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。 电子证据取证还需要面对很多独特的问题。首先,磁介质的脆弱性导致了电子数据容易被修改,不留痕迹。其次,电子证据的不可见性,数据必须借助其他输出设备才能看到结果。其次,电子证据对高科技的依赖性,数据的产生、保存、传输、提取都要借助专业技术和设备。其次,电子证据的人机交互性,数据从的形成到提取,每一个的环节都要有不同的计算机操作人员的参与,这些因素可能影响计算机系统的运转。最后,电子证据是由计算机和电信技术引起的,其它技术的不断发展,导致电子证据的取证步骤和程序必须不断完善适应科学技术和社会交往的进步。 二、电子证据的取证方法 电子证据取证方法和传统证据的取证方法不同。首先,电子证据的提取方法是对电子数据的复制和运行,收到送检的电子设备后,首先要按照科学的处理规则进行对物证的保全工作。然后要将检材数据进行复制,这里所说的复制并非仅仅对文件,而是对整个存储空间进行镜像复制。并且在进行复制的整个过程中,都不得对检材内容进行丝毫更改,也就是不得用检材内容的系统进行启动或者对文件进行更改,而应该用另一套独立的检测系统对检材进行备份。检验过程针对复制件进行,因此不会改变,当事人如果对检验结果提出异议,可再次进行数据提取,仍然会得出同样的数据。 其次,电子证据的保存方法的依赖性。一方面电子证据本身从司法鉴定的角度看,需要以科学技术的手段予以确认的电子证据的证据特征包括电子证据的真实性、完整性和合法性。另一方面电子证据具有虚拟性和易删改性。电子证据所记载的内容必须借助一定的设备或软件才能转化为人们可以认知的信息。当电子证据由于生成、阅读、存储、删改或传输造成哈希值变化,我们无法来证明其是合法的取证检验还是非法的证据破坏,从而使电子证据失去其完整性和真实性。这就要求电子证据检验部门需配备有电子证据勘察、收集、移交与鉴定的一整套专业设备来确保证据的效力。 最后,电子数据的数据分析。电子取证数据分析是指运用计算机技术和信息网络技术,对提取到的电子数据进行分析,发现能够体现案件事实相关的数据,以确定电子证据应该采纳的内容和方向。电子取证数据分析是电子取证的核心和关键,所有的分析工作应该在克隆硬盘或备份文件上进行,以保证原始证据的可靠性和合法性。 常见的电子证据取证方法有:数据复制技术、数据恢复技术、数据挖掘技术、密码破解技术。上述的取证方法,决定了电子数据的设备依赖性和易篡改性。因此,无论在任何情况下,调查者都应牢记。①不要改变原始记录;②不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记录所有的取证活动;⑤妥善保存得到的物证。 三、规范电子证据的取证程序 电子取证是一项极其细致的工作,电子证据可能由于操作者的失误、硬件故障、突然断电、感染病毒等各种因素而丢失,因此与传统证据相比较,对电子证据的提取和审查就有更大的困难。因此,规范电子证据的取证程序势在必行。 首先,对原始数据要进行冗余备份。提取的电子证据应该有两个或两个以上完整的拷贝。冗余备份既可以避免由于电子证据不稳定性造成的备份数据丢失,还可以在数据分析过程中同时对拷贝文件进行调查和分析,以提高分析取证的工作效率。 其次,在备份复制过程中,以及对备份的硬盘或镜像文件进行数据分析检验时,应当使用写保护技术进行操作,并采取加密技术和数字签名等技术,以确保提取到的电子证据的真实性、准确性和合法性。 其次,通过照相、录像等形式将电子证据从提取之后到提交法庭作为审判依据的过程中产生的所有变化都进行记录和说明。在移动涉案硬件之前,把需提取的设备在现场中的位置、外观及连接状态用照相、录像等形式记录下来,并采用录像的方式记录检验分析的全过程,尤其对改变封存状态、分析过程的关键操作等重要步骤时应当进行多角度录像,以提高证据的合法性。 最后,保障电子取证的工作环境安全可靠。存储电子证据的介质必须远离磁场、避免高温、避免灰尘、避免潮湿的环境中科学存放,避免电子设备损坏,防止重要的线索和证据被破坏。还要注意阻止无线信号干扰,在对手机等无线通讯设备进行取证时,一定要在防屏蔽環境中进行,如手机屏蔽袋或者屏蔽室内,以免无线通讯时产生的数据污染待提取数据。 电子证据取证程序的规范,有助于电子数据的安全保存、二次复检、提取风险,有助于电子数据客观性、法律性的保证,有助于电子证据公信力的保证。长远来讲,电子数据取证程序的规范,有助于电子证据的学科发展,有助于适应数据时代的证据新形势,有助于法庭科学的全面进步。 作者简介: 张瀛,女,工作单位:安阳市公安局,学历:本科,专业:电子证据,研究方向:电子证据。