LOGO

  • 登录
  • 注册
  • 二维码
资讯>阅读详情

取证|电子数据取证工作研究
2017-07-20 16:21:58

随着科技的进步,信息系统的普及,数据的电子化已成为一种趋势。电子数据看不到、摸不着、易修改、易破坏,导致电子数据发现难、固定难、取证难,给行政执法取证工作带来了较大的困难。新修订的《中华人民共和国行政诉讼法》已将电子数据列为新的证据种类,但目前既无司法解释和证据规则,行政执法部门也未制定具有可操作性的电子数据取证规范,加上缺乏专业人员、缺少专业设备、缺少取证规范、缺少鉴定途径,严重影响了涉及电子数据取证案件的办理。本次研究将重点探讨电子数据概念、取证程序、取证方法等,以提高电子数据取证的合法性、有效性、规范性。为执法人员开展电子数据取证工作提供技术支持,提升办案成效。

一、电子数据概念

电子数据有别于书证、物证、证人证言等证据,它以电子形式存储在电子介质中,不可直观,需要借助一定的设备才可以查看。最高人民法院《关于适用<中华人民共和国民事诉讼法>的解释》(法释【2015】5号)第一百一十六条第二款对电子数据做了具体的规定,电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料,适用电子数据的规定。该规定对电子数据的内涵和外延进行了明确界定,对统一司法实践中的认识意义重大,也使执法人员对电子数据有了更加直观的认识。总的来说,行政执法中的电子数据是指可以用于证明案件事实的电子数据。

二、电子数据取证

电子数据取证是指执法人员依法收集、固定与违法行为有关的电子数据,并进行检查、分析、调查的行政执法行为。电子数据取证程序应当遵守国家法律、法规、规章的一般规定。在行政案件的办理过程中,常涉及文档、台账、邮件、聊天记录等电子数据的取证工作。如何及时、合法、全面、有效的取得电子数据,是电子数据取证面临的难题。根据实践,电子数据取证大概可以分为以下四个方面:电子数据检查前准备,电子数据的现场检查,电子数据的固定,电子数据的鉴定。

(一)电子数据检查前准备

开展执法检查前,执法人员应提前对被检查单位的情况进行摸排,熟悉电子设备分布情况,找准电子数据取证的重点,做好检查前的准备工作。电子数据检查前准备一般包括以下内容:

1、人员。进行电子数据取证时,每组执法人员不得少于两人,其中至少有一名执法人员掌握相应的计算机操作知识。必要时,执法人员可以邀请第三方作为见证人。涉及到专业问题时,也可以邀请法定检验、鉴定机构的人员或者有关技术人员参加。

2、取证工具。执法人员应提前准备取证工具,包括硬件设备和软件。硬件设备一般有硬盘复制设备、数据备份设备、数据打印设备等;软件一般有数据分析软件、提取软件、解密软件等。其中应注意准备足够数量的复制件存储介质。同时复制件存储介质应当完好,无数据、无病毒。建议使用硬盘、优盘、光盘等存储介质,优先选择使用CD-R、DVD-R、DVD+R等一次性写入光盘,并采用封盘方式刻录,以保证数据的不可更改。硬盘、优盘等可重复使用的存储介质应当提前进行数据擦除①、病毒扫描工作,并进行封存。数据擦除、病毒扫描、封存、启用过程,应当进行记录。

3、执法文书。执法人员应准备现场检查笔录,查封扣押决定书、涉案物品清单、封条等执法文书。

4、 应与邀请参与电子数据取证的人员和机构签订保密协议,明确保密责任,预防信息泄露。

5、制定详细检查方案,对检查人员进行分组,明确各组工作任务。

(二)电子数据现场检查

执法人员到达现场后,根据工作任务安排,迅速展开行动,进行现场检查工作。电子数据现场检查一般按以下顺序开展:现场保护;场所检查;电子设备、存储介质检查;电子数据内容检查。

1、现场保护。鉴于电子数据的特征,现场保护非常重要,执法人员应及时完成现场的控制,条件具备时可邀请公安部门参与,以便加强对现场的控制。重点需要控制的场所一般有:计算机房、配电房、控制中心、检测中心等,电子设备一般有:计算机及其它电子设备等。现场保护主要是有效实行人机分离,保护系统电源,切断可能存在的其他输入、输出设备(如遥控装置、重启装置等)。防止发生人为修改、删除;因断电产生电子数据丢失(如未保存的信息如文档、运行的程序信息、内存信息)、系统还原(网吧计算机系统或带有作弊功能的电子设备,常见产品为加油机、电子秤、检验设备)等情况,导致电子数据被破坏或丢失,影响电子数据取证工作或出现取证失败的情况。

2、场所检查。对涉及电子数据的现场环境进行检查,查找电子设备、存储介质、有关硬件与软件的使用说明书、特定应用的安装盘等材料。如计算机、iPad、手机、硬盘、优盘以及检测软件、账务软件、检测软件的安装盘、使用说明书等,便于开展电子数据的过程再现和数据还原、数据验证等工作。

3、电子设备、存储介质检查。重点对涉及电子数据的计算机系统、网络系统及其他电子设备或移动硬盘、优盘、光盘等存储介质的外在状况进行检查,了解电子设备、存储介质的品牌、型号、序列号、所有人、使用人等信息。根据需要,了解电子设备网络连接状况、连接方式、连接设置等信息(如连接设备,是否在线,IP地址,MAC地址等)。

4、电子数据内容检查。对电子设备或存储介质内的电子数据内容进行检查分析,查找未保存的电子数据(如文档、运行程序信息)及其他与案件相关联的电子数据,对涉案电子数据予以确认。

电子数据内容的检查时,执法人员一般不对原始载体进行,应当及时制作复制件,以加装了只读设备②后对复制件进行,但考虑到执法检查的需求,在不会损害原始载体中电子数据的完整性、真实性的:不允许关闭电子设备或关闭电源会导致电子数据丢失或改变的;必须通过特定系统或特定环境才能访问的;不立即检查,可能导致电子数据损毁或者以后难以取得的等特定情况下,可以对原始载体直接进行电子数据内容检查。

执法人员对原始载体直接进行电子数据检查时,应尽量使用专业取证硬件、软件,且按照相应的技术操作规范进行。一般情况下取证软件都是免费安装的,不会对电子数据产生影响,特殊情况下需要安装程序的,应当详细记录安装程序的名称、目的、安装目标位置。务必做到不得将生成、提取的电子数据存储在原始载体中,防止原有电子数据被覆盖。

(三)电子数据的固定

电子数据取得后,执法人员应采取可靠、有效的方式对电子数据予以固定,以作为执法的证据使用。结合《最高人民法院关于行政诉讼证据若干问题的规定》的要求,执法人员在数据固定时,可以参照以下顺序优先选择电子数据的固定方式:取得电子设备、存储介质等电子数据原始载体;制作电子设备、存储介质的镜像复制件③;制作电子设备,存储介质的涉案电子数据复制件;打印、记录、拍照、摄像、公证等措施。执法人员应根据电子数据的类型、现场条件、办案需求等,采取合法、有效、便捷的固定方式。

1、取得电子设备、存储介质等电子数据原始载体。在日常执法工作中,如果有实施查封、扣押、封存等行政强制措施法律依据的,执法人员可以先依法查封、扣押、封存电子设备或存储介质,再对涉案电子数据内容进行固定。如:根据《中华人民共和国计量法实施细则》第四十七条,执法人员对未取得《制造计量器具许可证》或者《修理计量器具许可证》制造、修理的计量器具,可以采取封存措施。在证据可能灭失或者以后难以取得的情况下,可以依法对与涉嫌违法行为有关的电子设备或存储介质采取先行登记保存措施,在7日内采取相应措施固定证据。当然经调查,不需要继续采取行政强制措施的,应当及时解除行政强制措施。在违法事实不成立,或者违法事实成立但依法不应当予以查封、扣押、封存的,应当及时解除先行登记保存措施。

为了保证电子数据的安全,执法人员在实施行政强制或先行登记保存电子设备、存储介质时,应当加贴封条,同时保证在不解除封条的情况下,存储介质无法被使用和电子设备无法被启动。执法人员应当拍摄电子设备、存储介质封存前和封存后的照片,反映封存前后的状况、封口或张贴封条处等情况。同时要求注意电子设备或存储介质的保存条件,应当做到远离磁场、高温、灰尘、潮湿、静电环境,避免造成数据的丢失、破坏。必要时,可以使用信号屏蔽袋、防静电袋等设施。在执法检查中,对小型物品(硬盘、U盘、光盘等),可使用透明塑料包装后,张贴封条。大型物品(计算机主机、数据塔等),可在电源接口、数据接口处张封条。同时在操作时佩戴防静电手套、手环等装备,以保证设备和数据的安全。

如需对已采取行政强制措施或先行登记保存电子设备、存储介质做进一步数据检查、证据固定措施时,执法人员应当通知当事人到场,当事人不能按时到场的,可邀请第三方作为见证人。启封前,执法人员应当对封条的完好性进行核实,检查完成后及时重新封存。其中启封、检查、证据固定、重新封存的重要步骤,应当进行摄像。

2、制作电子设备、存储介质的镜像复制件或涉案电子数据复制件。如受条件、权限等限制,执法人员不能取得电子设备、存储介质等电子数据原始载体时,可根据办案需要,制作电子设备、存储介质的镜像复制件或制作涉案电子数据的复制件。当存在当事人拒绝配合、现场难以完成取证工作,或因案件办理需要的,需对原始载体的电子数据进行分析的等情况时,执法人员应当制作镜像复制件。

常用电子数据复制件的制作方式包括2种:第一种为软件复制法,即利用系统命令、取证软件复制涉案电子数据,或者通过取证软件制作电子数据的镜像复制件。第二种为硬件复制法,即通过专业的硬盘复制工具(如硬盘复制机、取证魔方等)制作电子数据原始载体的镜像复制件。

为证明电子数据的一致性,执法人员在制作复制件时,应首先计算电子数据的完整性校验值(如哈希值)④。复制件制作完成后,应当当场计算电子数据复制件的完整性校验值,两次完整性校验值应一致,则认为复制件为完整、精确的无损复制。为了工作需要,复制件应当制作不少于2份,现场至少对一份复制件予以封存。

3、采用打印、记录、拍照、摄像、公证等方式转化电子数据。执法人员可结合具体案情,将电子数据转化为书证、视听资料等证据形式。如文档、图片、电子邮件、聊天记录等电子数据可以通过打印、记录方式转化成书证。当在打印文件时,执法人员应当现场监督打印、记录方式转化为成书证。当在打印文件时,执法人员应当现场监督打印过程,防止操作人员在打印过程中修改电子数据。对形成的材料按照书证的要求予以固定,并根据办案需要注明其在电子设备中的位置、建立者、创建时间、修改时间等信息。软件功能、数据生成过程、动画、视频等电子数据,可以采用拍照(截屏)、摄像等方法进行固定。

另外,执法人员可以邀请公证机构参与执法检查工作,对电子数据取证过程、结果进行公证,形成公证文书,对相关证据予以固定。

(四)其他电子数据的取得

执法人员的行政执法过程中,受权限、技术、能力等限制,可能会出现取证难的问题,针对不同情况,可以采取如下方式取得电子数据:如涉及网络电子数据,可以向互联网信息服务提供者、互联网接入服务提供者以及提供网络交易平台服务的经营者等第三方调取。遇到较为复杂的电子数据或电子数据被删除、篡改、需要解密等执法人员难以解决情况的,可以委托有资质的电子数据检验、鉴定机构进行提取、固定、检验、鉴定。涉及芯片类电子数据取证时,可以委托芯片生产单位进行鉴别,或委托有资质的检验、鉴定机构进行检验、鉴定。

三、电子数据取证注意事项

1、电子数据载体与传统数据载体相比较,所能存储的信息量巨大,便于存储,便于携带,便于隐蔽。一般情况下,载体内会同时存有私人资料。执法人员在取证过程中,要正确把握尺度,不得随意复制涉及个人隐私和商业秘密的电子数据,并做好保密工作。为了明确责任、便于管理,应与参与电子数据取证的人员和机构签订保密协议。

2、在检查时,执法人员对处于开机状态的计算机系统,不应立即关闭,应当首先对未保存的电子数据予以固定,同时根据需要,使用数据提取工具对内存信息、桌面信息、进程信息、网络连接信息、IE表单、加载模块信息、路由表信息等易丢失的电子数据进行提取。对处于关机状态的计算机系统,执法人员可直接取得其原始载体,或直接制作镜像复制件。也可在确保电子数据安全情况下,采用适当的工具和方法启动计算机系统后进行电子数据取证。

3、除电子数据取证外,执法人员还应当注意收集与案件有关的产品、生产记录、销售记录、检验记录、合同、发票、账册等其他证据,以做到与电子数据相互验证,提升证据的证明力。

4、电子数据取证过程应当制作《现场检查笔录》,除《现场检查笔录》的一般内容外,还应当根据需要记录以下内容:(1)电子设备或存储介质的名称、型号、品牌、序列号及其存放位置等信息;(2)电子设备或存储介质设备运行状况、操作系统名称版本、相关应用系统名称版本、系统时间及误差、线路连接情况等信息;(3)远程进行电子数据检查时,应当记录网络地址、网络域名、网站ICP号、网络运行商、网络路径、服务器名称、系统设置等信息;(4)电子数据检查工具,检查的方法,提取电子数据名称、存储位置等信息;(5)固定电子数据的方法、时间、制作人、存储介质等信息;(6)提取电子数据、复制件的完整性校验值(如哈希值)。

5、委托检验、鉴定机构进行检验、鉴定时,执法人员需核实其检验资格(如:CNAS、司法鉴定许可证),同时当制作委托书,明确委托事项。提交被鉴定物品时,应要求受委托的检验、鉴定机构对电子设备或存储介质的状态进行核实,确认封条的完整性。

6、执法人员在调查阶段,应当向当事人及相关人员调查电子数据的内容及其真实性,并制作调查笔录,进一步增强电子数据的证明力。

7、为保证电子数据的可信度,电子数据内容检查中的数据检索过程、涉案电子数据打开过程、程序使用和数据生成过程、完整性校验值计算过程等重要步骤应当进行摄像。

本文侧重于电子数据取证的操作性,希望能为行政执法人员今后的电子数据取证工作提供借鉴。随着信息技术的发展,计算机系统会更加完善、更加安全,电子数据的安全和电子数据的取证是既矛盾又统一,在电子数据取证工作中肯定会不断遇到新问题,我们应当及时跟踪最新技术,不断完善取证方法,不断提升工作成效,有力打击违法行为。

创意宝丨电子证据取证