电子证据勘查工作初探

【出处】《犯罪研究》2011年第3期
【关键词】电子证据勘查
【写作年份】2011年


【正文】

　　计算机和网络通讯技术的普遍应用，对人类社会生活的各个领域产生了广泛而深刻的影响。在司法领域，电子证据的运用日益增多，特别是在利用或针对计算机系统和网络进行犯罪的案件中，电子证据往往起到举足轻重的作用。由于电子证据具有虚拟性、隐蔽性、分散性、自动性、多样性和易篡改等特性，需通过相关设备或软件，按照一定的程序规范进行技术分析和处理，才能发现、提取和固定，并转化为常人所能感知的表现形式。电子证据勘查作为电子证据取证的主要途径，其工作的规范性、及时性和全面性直接影响到电子证据的真实性、合法性和完整性。本文将就电子证据勘查的相关问题作一研究探索。

　　一、电子证据勘查的定义

　　电子证据是指能够证明案件真实情况的电子数据以及存储、处理、传输这些数据的各类载体或设备。电子证据勘查的主要内容包括电子数据以及各类载体或设备的功能、外观特征、网络架构、位置方位和周边环境等情况。电子证据勘查的目的是及时记录、发现、提取、固定与案件事实相关的证据内容，为办案提供线索或证据。因此，笔者将电子证据勘查定义为：侦查技术人员根据相关理论和方法，利用科学的技术手段，对电子证据及其涉及的现实或虚拟空间场所进行勘验，从而及时发现、提取、固定与案件相关的物品或电子数据，为判断案件性质、确定办案方向提供线索和证据。

　　二、电子证据勘查应当遵循的原则

　　电子证据的诸多特性使电子证据勘查所面临的情况和程序要求更为复杂和特殊。因此，我们在电子证据勘查工作过程中应当遵循以下原则，以确保证据的真实性、合法性和完整性。

　　1.及时原则。由于电子数据极易被篡改和破坏，因此，侦查机关应当迅速及时地提取、固定电子数据及其载体或设备，以防止犯罪分子改变或删除相关数据。例如本院公诉一科在审查起诉张某某等人开设赌场一案，由于公安人员对8名疑犯所使用的13台电脑取证不及时，导致电脑内部数据被彻底删除，虽然检察技术人员通过数据恢复，在其中一台电脑的硬盘中找到部分涉案信息的数据碎片，但大量证明涉案金额的数据无法采集，对此案的案值认定和最终量刑产生了重大的影响。

　　2.全面完整原则。对于电子证据的各类载体或设备应当直接提取实物或全盘复制内部数据，无法直接提取或制作复制件的，应当全面收集与案件相关的电子数据。电子数据主要包括三类信息：第一类是以文字、图像、声音、录像等为内容的数据文件或实现特定功能的程序性数据文件，第二类是关于这些数据文件的来源、创建日期、修改日期、作者等附属信息，第三类是这些数据文件逻辑存储地址、物理存储地址等虚拟环境信息。例如一个数码照片文件，除内含的图像信息外，还包括拍摄这张照片的相机品牌、型号、拍摄日期、光圈值、曝光时间、目标距离、甚至拍摄地点的经纬度等附属信息，以及数码照片的存储地址或网络地址等相关信息。通过审查这些信息，不但能进一步了解客观事实，而且能够辨别证据的真伪，从而提高证据效力。因此笔者认为，除尽可能全面收集与案件相关的电子数据信息外，还应当以电子数据的形式固定、保存和移送电子证据，以便于检察、审判机关全面客观的审查证据，避免被转化成书面形式的电子证据所误。

　　3.由外至内、由实至虚、由易至难的勘查程序原则。电子证据勘查主要涉及两个空间领域，即由各类载体或设备构成的现实空间和以电子数据为内容的虚拟空间。鉴于传统现实空间现场勘验的客观次序及虚拟空间电子数据勘查面临情况复杂、技术要求高等特点，笔者认为应当首先勘验电子证据所处的场所空间，其次是各类载体或设备的外观特征、网络架构等情况，最后是电子数据及其所处的虚拟空间信息，即由外围到内部、由现实到虚拟、由简单到复杂的程序原则，并便于分步实施的审慎原则。

　　4.分步实施原则。勘验电子数据技术性强、复杂程度较高，而现场无法达到实验室的设备条件、环境条件及技术能力。因此，电子证据的现场勘验应当以直接提取电子证据实物或全面复制固定实物所载的全部数据为主要目的。针对电子数据内容的勘验分析应当在实验室的环境条件下进行。所以在勘验过程中，电子设备或存储介质原件应当及时扣押或调取，无法直接提取的应当通过制作复制件的方式固定提取。只有在直接提取或全面复制固定提取确有困难、情况紧急或有其他原因必须现场进行数据勘验的，才能采取相应技术手段和方法，分析、查找、收集、固定与案件有关的重要数据，以避免事后因环境或设备条件的变化或制约而无法获取数据的风险。

　　5.规范原则。电子证据勘验应当按照科学设定的程序和方法进行，以确保取证质量和证据的可靠性。特别是电子数据内容的勘查，如未按科学安全的步骤和方法进行，将可能改变重要数据内容且无法逆返。公安部网络安全保卫局（原公共信息网络安全监察局）于2005年制定并颁布了《计算机犯罪现场勘验与电子证据检查规则》，最高人民检察院检察技术信息部门也即将颁布《电子证据勘验程序规则》，上述规则的制定和施行，将有利于指导侦查人员运用科学方法和手段，按照严格的程序和要求实施勘查，从而提高取证的质量，避免或降低因勘查造成的电子证据被破坏或污染的风险。

　　6.记录监督原则。除刑诉法要求勘验工作应当有见证人在场的要求外，针对电子证据勘验所具有的虚拟性、高科技等特点，所有操作步骤、过程和结果都应当详细记录，重要步骤应当全程录像，以证明证据的来源和产生过程，防止非法证据的产生，确保证据的真实有效，进一步提升证据的证明效力。2010年颁布的《关于办理死刑案件审查判断证据若干问题的规定》第二十九条对此也有明确的审查要求。此外，建议选取具有一定的相关知识背景的见证人，以避免见证过程失去应有的监督作用。

　　7.保密原则。侦查人员在勘验过程中，利用相应的技术手段，可以无限制的浏览所有数据信息。因此，为保护国家秘密、商业秘密和个人隐私，侦查人员应当严格恪守相关保密规定，严禁浏览、查找、复制、下载、传输与案件无关的电子数据。

　　三、电子证据勘验的分类

　　公安部门颁布的《计算机犯罪现场勘验与电子证据检查规则》将电子证据勘验分为现场勘验检查和远程勘验，并将电子证据检查单列。其定义分别为：现场勘验检查是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。远程勘验是指通过网络对远程目标系统实施勘验，以提取、固定远程目标系统的状态和存留的电子数据。电子证据检查是指检查已扣押、封存、固定的电子证据，以发现和提取与案件相关的线索和证据。

　　笔者认为，上述分类虽然基本涵盖了实际办案中可能面临的三种工作模式，但由于未基于统一的划分标准，而是基于传统工作模式加以划分，因此在实际操作中会存在重叠适用的现象。例如遇到案件情况紧急或者不允许关闭电子设备、扣押电子设备等特殊情况，需在现场进行“在线分析”，而“在线分析”适用的规范和要求与在实验室环境下进行电子证据检查的规范和要求基本一致，此时的勘查就兼具了现场勘验检查和电子证据检查的双重性。此外，随着计算机和网络通讯技术的发展，电子设备通过各种方式接入互联网或其他网络实现信息传输、资源共享等应用已成为趋势，对电子设备的勘验将势必包括与其相关的网络信息勘验，如单一适用现场勘验检查或远程勘验将难以获取全面信息。

　　笔者建议从电子证据特性和勘验基本原则出发，按电子证据勘验工作的一般程序，以勘验对象划分，将电子证据勘验工作划分为场所勘验、物品勘验及电子数据勘验三个工作阶段或类别。场所勘验即对涉及电子证据的场所进行勘验，主要记录设备存放的地点、方位和位置等情况；物品勘验，即存储介质或者设备勘验，是对涉及电子证据的计算机、网络系统等设备或者存储介质的外在状况进行勘验，主要记录设备的名称、品牌、型号、序列号以及物理链路、设备状态等情况；电子数据勘验即对涉及电子证据的计算机、网络系统等设备或者存储介质内含的数据内容进行勘验。这样划分具有如下优点：

　　1.标准统一，能够涵盖各种情况下电子证据勘验工作的所有过程，避免出现工作类别和相互重叠或遗漏状况，并为规范电子证据勘验工作、制定相应的程序规定奠定了基础。

　　2.既遵循当前法律规定，又针对电子证据的特性，更贴合工作实际。电子证据场所勘验、电子证据存储介质和设备勘验分别与《刑事诉讼法》第101条所规定的场所勘验和物品勘验相对应，而针对新生的虚拟环境勘验，提出电子数据勘验的概念以应对。

　　3.界定清晰，任务明确，操作性强，既保证了规范性，又兼顾灵活性，有利于实现前文所述的各项电子证据勘验原则。以勘验对象为标准进行划分，与勘验程序相符，界定清晰且各工作类别的任务、要求和职责明确，便于侦查人员实际操作。

　　四、电子证据勘验的程序要求

　　电子证据勘验特别是现场进行电子数据的勘验，涉及信息技术、通信技术，检验分析难度大、风险高：一是现场检验分析的设备简单、取证环境易受干扰。例如手机等具有无线通讯功能的设备需要在屏蔽的环境下检验，以防数据改变，现场往往无法实现。二是电子数据所具有的易灭失和易篡改的特性，需要及时查获并固定，否则将面临数据遭到破坏的风险。三是检验分析往往针对证据原件或原始数据，分析过程将可能影响目标的主要数据内容，且不可逆和无法再现，因此工作要求更为审慎。四是电子数据检验分析所面临的情况复杂，需要根据实际情况灵活采用各种分析方法或手段，需要具有较高技术能力和丰富经验的侦查技术人员实施。因此，规范电子证据的勘验程序尤为重要。笔者认为，电子证据勘验应当遵循以下程序要求。

　　1.电子证据勘验作首先应当遵循《公安机关刑事案件现场勘验检查规则》等一般勘验规定，包括现场保护、现场访问等工作内容和要求。

　　2.电子证据勘验应当按照场所勘验、物品勘验和电子数据勘验的顺序，并根据实际情况选择并依次实施。如在现场勘验发现的设备处于关机状态，或关闭电源不会改变内部重要数据的，侦查人员应当直接提取，送实验室进行进一步检验。只有在直接提取电子证据存储介质或设备确有困难的或因保密要求不能提取的，情况特殊不允许关闭电子证据存储介质或设备的电源或关闭电源会导致重要数据丢失或改变的，情况紧急或其他原因必须在现场进行勘验等情况下，才进行现场电子数据勘验。

　　3.电子数据勘验一般包括制作复制件、检验分析和电子证据固定三个步骤。侦查技术人员应当根据实际情况选择并依次实施。电子数据勘验应当首先制作复制件，并对复制件进行检验分析。只有在无法制作复制件的情况下才能进行现场检验分析步骤，分析结果应当以电子数据形式保存，以确保证据的全面性和完整性。无法保存电子数据的，应当通过拍照、录音、录像等方式加以转化固定。采用远程勘验方式的可以参照现场检验分析的步骤要求进行，并详细记录目标网络地址、网络域名、网络运营商、网络路径、服务器名称、系统环境、系统设置等相关信息。

　　4.电子证据勘验过程应当遵循以下技术要求：

　　（1）实施勘验应当尽可能采取必要的技术防护措施，使用安全的设备和软件，严格按照相应的技术操作规范进行。

　　（2）勘验过程应当详细记录，对原件的操作包括启封、封存、制作复制件、检验分析等重要步骤及远程勘验过程应当全程录像。

　　（3）检验分析应当避免在目标设备或系统上安装程序。特殊情况需要安装程序的，应当详细记录安装程序的名称、目的、安装目标位置以及程序运行可能造成的影响。

　　（4）原件应当立即封存提取，原件无法提取的应当封存复制件，检验分析结果应当存储于安全的存储介质中并封存。

　　五、电子证据勘验面临的挑战及展望

　　随着信息通讯技术的飞速发展，计算机和网络技术日益广泛的应用到军事指挥、交通控制、电力供应、金融服务等各个领域，计算机及网络犯罪数量和手段也随之渗入，特别是数据存储、加密等技术的发展以及相关法律法规的缺位，使通过电子证据勘验打击上述犯罪面临诸多困难和挑战。

　　1.侦查机关尚未出台统一的电子证据勘验规则，致使当前电子证据取证不规范、不及时和不科学，虽然公安部网络安全保卫局于2005年颁布施行了《计算机犯罪现场勘验与电子证据检查规则》，但仅限于网络安全保卫部门，且各地施行的状况也不一致，势必影响到证据真实性和完整性，导致证据的采信度降低甚至被排除。

　　2.相对于信息通讯技术，大容量存储技术和网络存储技术的迅速发展，电子证据取证技术的发展明显滞后，使得在现场或远程进行电子数据检验分析逐渐成为常态。首先，电信、证券等大型企业服务器必须24小时运行，直接提取或关机制作复制件的可行性几乎为零。其次，随着第三代网络存储技术即分散存储技术的应用，直接提取分散于世界各地的数据载体几无可能，只能通过电子数据勘验获取固定。第三，大容量存储技术的迅速发展及相关取证技术的滞后，致使现场制作复制件过程更为漫长，如硬盘复制机的速度在近两年由每分钟4.3G提高至6G（提高了近40％），而近两年的硬盘一般存储容量由80G扩展至1T（扩展了近10倍），因此复制件制作时间也倍增，在当前的侦查实务工作中，侦查技术人员往往跳过制作复制件的步骤直接进行现场数据检验分析，而对电子证据原件进行数据检验分析将可能改变电子证据的数据内容，且无法复原再现。3.数据加密等技术的发展，使犯罪行为更隐蔽，给侦查追踪和取证带来极大的困难。当前各种加密、解密软件可以轻易的从国际互联网上下载，且操作使用方便。如果犯罪分子使用可设置56位密码的加密软件进行文件加密，那么使用当前每秒处理100万次的计算机进行暴力破解需要2285年，极大的阻碍的侦查取证工作。此外，犯罪分子利用数据加密技术隐蔽自己的身份信息，进行匿名通信或匿名接入网络实施犯罪，使侦查人员难以追踪。

　　4.目前的侦查技术队伍尚难应对日益猖獗计算机和网络犯罪。电子证据勘验要求响应及时、操作规范和取证全面，但一些网络犯罪案件如开设赌博、色情网站等，犯罪分子为躲避侦查追踪，一是将服务器等设置于境外，特别是一些法律比较宽松或执法力度不严的国家，二是频繁的更换IP地址或托管服务器，目前发现的最短更换时间间隔仅为15分钟。而当前侦查机关的具有电子证据勘查能力的人员数量较少，且技术能力参差不齐，勘查的及时性、规范性和全面性难以保证。

　　5.电子证据勘查的国际合作效率低下。计算机和网络犯罪往往涉及多个国家或地区，目前跨国取证的司法协助流程手续繁琐且周期长，难以满足电子证据勘查的及时性要求。此外，对一种行为罪与非罪各国法律规定的不同，给电子证据勘查取证工作带来了阻碍，如在一些国家或地区，赌博、色情等行为是合法的，因此涉及上述案件的取证无法得到相关司法协助。

　　鉴于电子证据勘查工作面临上述挑战，笔者建议：一，司法机关尽快完善有关计算机和网络犯罪的立法，制定统一或互为认可的电子证据勘验的程序规范；二，加强国际和地区间的司法合作，以提高电子证据取证的及时性和响应度；三，通过立法明确计算机或网络服务提供商的责任，如淘宝、腾讯等网络服务提供商，必须向司法机关提供查案帮助，甚至提供解除密码等技术“后门”；四，加强交流，针对不断涌现的网络犯罪，探索发展电子证据取证的新技术和新方法；五，建议国家相关部门形成电子证据取证设备和取证软件的认证备案制度，使电子证据取证工作更为规范：六，加强侦查技术人员的培训，从而提高电子证据勘查能力，从而保证电子证据勘查的质量。

　　虽然当前我国电子证据勘查工作发展尚不完善，面临诸多挑战，但笔者相信通过完备法律规章、加强司法合作等一系列措施手段，电子证据勘验工作力度必将加强，对相关犯罪也能更加及时地发现并予以有效打击。




【作者简介】
高峰，单位为上海市黄浦区人民检察院。