电子取证技术体系研究
2013-08-20刘建军陈光宣
刘建军 陈光宣
1中国人民公安大学 北京 100038
2深圳市公安局 广东 518001
0 引言
随着新的《中华人民共和国刑事诉讼法》修改颁布,电子数据作为新的证据种类以法律的形式固定下来,但这一分类并没有解决电子证据的内涵和外延。本文对电子证据的含义进行了界定。电子证据包括电子数据和电子物证两种形式,一是作为证据研究的、能够证明案件相关事实的电子数据;二是电子数据储存、传输、利用所依赖的载体—电子物证。
电子取证正是在此基础上发展而来的一门新兴学科。电子数据和电子物证的司法取证简称为电子取证(Electronic Forensics)。实际上是从属于物证技术学(Forensic Science)的一门分支学科,它主要研究了电子证据从发现、固定、保全、抽取、鉴定以及最后呈堂等一系列流程中所要涉及的技术、程序以及相关法律问题,其目的是通过计算机分析技术从计算机犯罪案件中提取可能作为法庭证据的相关电子证据。
图1 取证技术体系结构图
严格来讲,电子取证是一门融合了法律、信息网络技术、侦查学、犯罪学等多门专业技术的交叉学科。当前的电子取证工作要满足高速度、便携性、易用性、机动性的要求,必须以法律法规、信息技术以及实践需求三个要素为基础,对现有的工作模式进行优化完善。电子取证技术体系与法律法规、信息技术以及实践需求的关系如图1所示,此后文章的技术体系都据此进行顶层设计。
1 电子取证技术体系框架结构
“无论是从国外还是国内的现状来看,电子取证都面临着技术提升和法律规制的双重任务。一方面,电子取证必须朝着取证技术综合化、取证范围扩大化、取证工具专业化以及取证工作标准化的努力,以更好的技术能力回应日益增加的司法实践要求;另一方面,电子取证制度的重要组成部分,必须接受法律的规制,迈上法治的轨道,特别是达到法律有关证据采用标准的基本要求”。在上述双重作用的影响下,电子数据取证技术体系需要有一定的扩展空间,以便能够融汇越来越多的新技术与新理论,促使计算机取证日趋专业化。同时,要建立完善相关的工作机制,通过合法、严格、专业的电子数据取证程序,来保证操作过程、技术规范和证据呈现等环节的规范化,最终保证电子数据取证结果的完整、可靠。这不仅对现有取证技术、取证方法以及取证人员素质提出了许多新的挑战,也对电子数据取证研究涵盖的侦查取证体系本身提出了更高的要求,亟需梳理、确立现有的技术框架。在收集国内外资料和实践调研的基础上,本文认为电子数据取证技术框架可以概括描述为以犯罪现场取证或实验室数据鉴定为起点,采取工作流程和质量管理双过程控制,以电子证据的载体为对象,针对不同的犯罪类型以及取证对象的不同状态进行研究、证明犯罪事实的一种技术机制,由取证对象、工作过程、质量管理三个维度构建,可以从取证对象、操作过程、证据状态、犯罪类型、环境要素、质量管理六个要素进行研究,其内在的结构关系如图2所示。
图2 电子取证技术体系的框架结构图
取证对象、操作过程、质量管理三个维度的含义如下。
1.1 取证对象
电子取证对象的研究是该学科的开端,在整个技术体系中处于基础地位,因为取证成功与否的关键就在于在对象中发现、提取到与犯罪行为关联的内容。从司法实践来看,电子取证对象的种类很复杂,一般从两个视角分类:
一是依据电子设备是否联网进行分类,从电子证据划分出一种特殊的证据种类—网络证据,电子证据与网络证据是包含与被包含的关系。因为电子设备在联网之后,会产生丰富的动态数据和网络交互数据,复杂程度大大提高。比如计算机、手机、数码设备、U盘和光盘等作为单机使用,取证人员一般只关心存储的文件和程序,一旦联网,就必须关注下载、浏览、远程登录、扫描入侵等行为产生的数据证据和辅助证明的网络配置、日志数据。
二是依据外在形态进行分类:电子数据与电子设备,二者是内容与载体的关系。虽然它们都可以独立成为电子证据,但取证研究的终极目的还是提取电子数据。无论针对什么样的电子设备取证,包括个人和服务器计算机,手机通信设备,路由器、交换机、调制解调器等网络通信设备,或照相机、MP3等数码设备,U盘、硬盘(包括磁盘、SSD)、光盘等,工作的重点是研究如何发现、获取这些设备内部数据的,比如在硬盘中保存的office文档,照相机中保存的数码照片。
针对取证对象的研究重点在于计算机网络与信息安全技术,根据技术上的原理和方法呈现系统的状态、固定的易失证据、发现和获取涉案的数据文档,早期的计算机易失数据的提取和手机内存储短信息的提取都属于这一范围。在此研究范围内强调就技术谈技术的,比如数据加解密技术、密码暴力破解技术、信息隐藏技术、闪存芯片中数据提取技术、磁盘删除数据恢复技术等,这些技术点一直是热点问题。
1.2 操作过程
电子取证的操作过程是必须遵守的基本流程,是技术管理问题。随着电子取证领域的扩大,涉及的犯罪类型不断增多,取证操作不再是对某个技术问题的简单处理,而是要应对复杂的现场环境和海量的电子数据。另外,根据法律效力和技术上普遍适用的原则,对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤详细记录是必须的。《最高人民法院关于民事诉讼证据的若干规定》22条规定,“调查人员调查收集计算机数据或者录音、录像等资料的,应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的,可以提供复制件。提供复制件的,调查人员应当在调查笔录中说明来源和制作经过”。另外,《刑事诉讼法》和《行政诉讼法》也要求电子物证取证记录整个操作过程,能够追溯到技术人员所使用的方法。
比如深圳警方办理的“酒托”案件中,邱某、孟某、蔡某等多名嫌疑人在工商部门注册了合法的公司,先后开设了华强北的“本垒吧”、罗湖的“蝴蝶吧”、蛇口的“行乐坊”酒吧。之后买来大量的电脑,安装于某居民住宅楼内,并组织100多名年轻男“键盘手”冒充美女网上聊天。“键盘手”利用 QQ、微信等即时通讯工具,以交友、约会为名诱骗男事主到酒吧见面,当约好上当的男子后,再由40多名女“酒托”出面带领对方到酒吧,以欺骗、强迫手段其进行高额消费。案件侦破后,在犯罪窝点内发现 80余台计算机、服务器、移动硬盘等,这些电子设备的磁盘上保留了大量的聊天数据、犯罪所得的财务数据,以及相关的业务指标和利润分配数据。在处置案件的过程中,技术人员在证据识别、证据获取、证据分析和证据呈现四个阶段分别对当时现场状况以及提取到的数据、封存物品文件的过程、在线分析的关键步骤都予以拍照或录像,现场的照片和录像资料都编号存档,注重电子证据的完整性保证和过程的完整记录,完成复杂的取证任务。
过程研究的重点在于分析和确定取证程序、数据获取和分析过程中的“通用”、“稳定”的关键要素,保证数字化证据的真实性和完整性,要求实施的操作可再现,提取、处理、存储、运输的过程有详细的记录。虽然计算机技术正在飞速发展,但是其基本的证据识别、证据获取、证据分析和证据呈现四个阶段却是相对稳定的,因此取证过程中的取证程序、数据获取和分析的过程也同样保持相当的稳定。另外,一项重要的数据文件完整性校验技术—哈希校验被引入过程控制,提供了电子证据在传递过程中的完整性保证。哈希校验,也称“数字指纹技术”,简单的说就是一段数据或一个文件的唯一且极其紧凑的数值表示形式,即使内容稍有改变产生的哈希值都不同,比较著名的哈希算法有 CRC32、MD4、MD5、SHA1、SHA2等算法。
1.3 质量管理和标准化
质量管理和标准化都是现代的科学管理技术,都要按严格的客观规律和充分的科学依据办事。随着电子证据取证的规模越来越大,技术应用越来越复杂,完全依赖人的知识和经验取证中难免出现偏差。电子取证的管理应该把过去的以事后审核和把关为主转变为以预防和改进为主,把过去的以案件为导向、分散管理转变为以系统的观点进行全方位、全过程的质量管理。此外,由于电子证据容易篡改的特性,为增强其可信性,取证的全过程都进行标准化的质量管理(Quality Management,QM),依靠科学的管理理论、程序和方法,使过程都处于受控制状态,以使取证结果的科学和稳定。
众所周知,标准是质量管理的基础和依据,质量管理是贯彻执行标准的保证。加强标准化工作,对于加强质量管理,提高取证质量具有重要意义。一项新技术、新应用或工作方法,一旦纳入相应标准体系,通过质量管理保证标准的执行和贯彻,就能迅速得到推广和应用。当前,电子取证的标准化成为最近一个时期的研究重点,它包括取证主体标准、取证工具标准、取证实验室质量管理标准、现场勘查质量标准等多方面的质量管理标准。
(1) 取证主体标准
在我国的司法实践中,具有取证资格的专业机构和专业人员都可以成为取证主体。根据司法部、公安部颁布的相关规定,取证主体分为面向社会服务的和公检法内部设置的两类,但无论专业机构或专业人员都必须进行统一的资质认可与管理。《计算机犯罪现场勘验与电子证据检查规则》第六条的规定“执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能”。
(2) 取证工具标准
取证与鉴定软硬件设备包括现场取证鉴定设备、本地取证鉴定设备、远程取证鉴定设备,这些设备针对不同的鉴定对象,用于对象的不同状态功能特色各异,缺乏统一的评估标准、手段、体系。当前应用的取证工具必须满足一定的技术要求,规范设备检测与校准方法,建立了相应的评估标准,包括对工具的基本使用范围和条件、工具的误差评估和基本操作的验证评估、使用记录可溯源等。
(3) 现场勘查质量标准
由于电子证据的特殊性,现场勘查的成功与否的关键取证结果的完整性与客观性,只有严谨的工作程序与完善的技术手段才是有效地保障。因此,如何发现、固定、提取与犯罪相关的电子证据及其他证据,都需要操作方法。对于如何进行现场调查访问,如何制作和存储现场信息资料,使用什么样的方法、手段判断案件性质,确定侦查方向和范围,为侦查破案提供线索和证据,也是现场勘查亟待解决的问题。
(4) 取证实验室质量管理标准
为了保证鉴定结论的科学性与客观性,电子物证检验鉴定需要有严格的程序与技术手段。根据《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》,电子数据鉴定机构必需要有在电子数据鉴定领域必需的仪器、设备与通过实验室或检查机构认证认可。根据国际标准化组织(即国际标准化组织/合格评定委员会,ISO/CASCO)制定的ISO/IEC17025《检测和校准实验室能力的通用要求》,中国合格评定国家认可委员会(CNAS)专门制定了CNAS-CL27: 2010准则,即《检测和校准实验室能力认可准则在电子物证检验领域的应用说明》,并对电子取证实验室质量标准作了相应的阐述。
总之,电子取证必须朝着适应取证技术综合化、取证范围扩大化、标准化的方向发展,以更好的技术能力回应日益增加的司法实践要求。
2 结论
本文根据电子证据的特殊性,阐述了电子取证技术体系的基本框架,并对组成框架的各维度、要素,即取证对象、操作过程、质量管理标准等进行了详细分析和探索。本文的研究成果能给司法实践带来理论参考和实际借鉴作用。
[1]刘品新.电子取证的法律规则[M].北京:中国法制出版社.2010.
[2]刘建军,陈光宣.浅析当前网络犯罪特点及取证对策[J].网络安全技术与应用.2012.
[3]杨永川,蒋平,黄淑华.计算机犯罪侦查[M].北京:清华大学出版社.2007.
[4]蒋平,黄淑华,杨莉莉.数字取证[M].北京:清华大学出版社.2007.
[5]蒋平,杨莉莉.电子证据[M].北京:清华大学出版社.2007.