赵志岩

(中国人民公安大学网络安全保卫学院， 北京　102623)

针对电子证据的关联获取研究

赵志岩

(中国人民公安大学网络安全保卫学院， 北京102623)

摘要在虚拟犯罪现场搜索案件相关的电子证据是侦查取证的重要需求，在证据量日益增大的今天，这个需求已显得尤为重要。在法学领域，为了证明案件事实，关联证据具有特定的法学涵义，因此在搜索相关证据时应遵循这些法学规则。然而在侦查取证的过程中，技术专家经常会忽略这些法学需求。结合法学和技术两个角度，对电子证据的关联获取问题进行分析，并对现有的获取方法进行比较和评价，总结了各种方法的应用范围和领域。

关键词电子证据； 关联获取； 法学涵义； 技术分析

0引言

计算机犯罪的现场除了物理现场外，还包括更重要的虚拟现场，即电子证据存在的现场，虚拟现场存在的环境有计算机、移动存储设备、网络设备和其他电子设备，在这个虚拟现场中可能包含大量的数据信息，如文档、图片、日志、流量等。

这些电子信息中可能包含大量的证据信息，如揭示入侵者行为的日志，表明嫌疑人犯罪准备的策划文档，犯罪动机的上网浏览记录、团伙之间的通讯交流等，这些证据都为案件的侦破提供了大量的线索，为法庭审判提供证明。但是，随着信息量的增大，如何从海量的电子数据中合法有效地获取与案件相关的信息成为了极为耗时的工作，而如何保证获取的数据是与案情相关的证据也成为应首要解决的问题。

电子证据以电子形式存在，需要专业的解析和识别方法，一般人很难完全掌握。同时，电子证据作为证据的一种，也必须具有证据的一般属性和法学含义，因此，电子证据具有法学和技术性两层特征。但目前的情况是律师和法官等对电子证据进行审查的人，不了解电子证据的形成规律、技术特点和解析方法，可能导致夸大或贬低电子证据的价值，不能正确地发挥电子证据的证明作用，而负责获取和分析电子证据的技术专家由于不精通法学相关知识，导致获取到的电子证据可能在法庭上遭到质疑甚至遗弃，不具有证明效力。

因此，如何把技术和法学有机地结合起来，成为相互促进的手段，是法学专家和技术专家都应该考虑的问题。电子证据的关联获取就是如此，本文主要对这一问题进行深入的探讨。

1法学意义的关联证据获取

所有的证据在获取之前都应该考虑授权的问题，各国对此制定了不同的法律规定，如公民的隐私信息受到保护[1]，只有申请授权，才有可能获取某些特定的证据；另外，为了使证据在法庭上具有效力，还要求证据的获取过程是合法的，获取手段没有破坏证据本身的完整性，同时法庭所出示的证据必须具有相关性，这是证据的基本法学属性之一。

1.1　授权

数字证据未经授权的获取是影响其被法庭所接受的最普遍原因。有关数据存储和传输的隐私法是很复杂的，必须认真考虑这些事情，以避免案件节外生枝。也就是说，需要具有搜查权，才能搜索和获取证据，包括电子证据。

美国的电子通信隐私权法禁止任何人，包括政府，非法获取或截获电子通信信息，第四修正案要求执法警官在搜查嫌疑人所有物之前，必须取得搜查令。在法律条款中，隐私权是公民生活的某些领域不受政府侵扰的权利，及公民的生活不受其他人侵扰的权利。尽管各国的具体法律法规不同，但基本含义是一致的，即保护个人的所有物，包括保存在个人电脑中的电子文档，传输在网络中的电子邮件、聊天通讯信息等都不能被不合理地搜索和查封。我国最高人民法院通过的《关于民事诉讼证据的若干规定》第68条规定：以侵害他人合法权益或者违反法律禁止性规定的方法取得的证据，不能作为认定案件事实的依据。

在实施证据获取之前，即使是政府和执法警察，也应当获得批准才能进行，获得电子邮件、网络通信以及其他电子数据授权的困难度由于具体情况、不同国家、数据类型以及搜查者本身的不同而受到影响。如果要搜集的电子证据存在于多个范围，那么在申请授权的时候，最好为每一个范围都申请搜查令。

1.2　合法性

电子证据获取的合法性包括主体合法和获取方法的合法。主体合法，即电子证据应当由特殊人员依法获取，我国刑事诉讼法规定，可以从事刑事电子证据取证的主体主要有公安司法人员、辩护律师和自诉人。

获取过程和方法合法是指电子证据应当依照法定程序和方法获取，如获取证据的过程是否遵守有关法律的规定，是否符合法律标准。不合理的电子证据获取方式，是妨碍其被法庭认可的常见因素，即保证获取行为不会破坏证据的完整性，同时保证证据在获取过程中内容和属性没有发生任何变化。

电子证据在法庭出示时，需要审查其获取方法是否科学可靠，获取过程是否客观、合法，还要审查上述过程中处理电子证据的操作人员是否具有资格。保证在获取电子数据的同时不破坏原始存储介质，满足数据的无损获取。

1.3　关联性

所谓证据的关联性，是指证据与待证事实之间具有某种关联，而且这种关联可以作为证明案件事实存在的依据[2]。从某种意义上讲，证据的关联性就是证据对于案件待证事实加以解释、说明的程度。

关联性同样是电子证据最重要的司法属性之一，如果电子证据与所证实的事实无关，那么该电子证据则是无意义的。关联性包括与案件事实的直接联系和间接联系、必然联系和偶然联系、肯定联系和否定联系，以及时间先后联系等。这些与案件事实相关联的电子证据的集合构成了所有的相关证据，也正是我们需要获取的目标。从犯罪学角度看，相关证据一般包含表明犯罪准备、动机、行为、结果的一系列证据集合。

判断证据关联性的依据构成了获取相关证据的指导思想，美国证据法学家赛耶曾说过：“在绝大多数情况下法律并没有规定具体的关联性标准，而是将该问题交给逻辑和一般经验。”因此总结这些逻辑关系和经验对于获取相关证据非常重要。

2关联证据获取的技术方法

电子证据的表现形式多样，相互之间的关系错综复杂，因此获取相关的电子证据难度很大。目前，技术上主要采用统计方法[4]、专家系统[5]、缩量过滤[6]和特征过滤[7]等方法实现对关联证据的获取，这些方法很多已经在取证工具上得到了广泛的应用。

2.1　基于统计的获取方法

统计方法是一种基于案例的方法。首先形成大量的案例集，统计相关案例中包含的相同或相似的电子证据来源，依据这些统计信息，对新案例中的相关证据进行获取，证据相关的级别从绝对不相关到可能相关。

案例中相关证据的定义是，所有表明案件事实的数据，例如能回答是谁、在何时何地、做了何事，以及为何做和怎么做问题的所有数据，都称为是案件相关的证据。相似案例的相关证据具有共同特征，比如网络诈骗案，诈骗的手段可能是使用通讯软件寻找受害者，通过交流取得受害者的信任，使用电子银行等手段进行转账诈骗，因此所有相关位置都可能存在相关的电子证据。

通过分析所有案例，并将案例按犯罪类型归类，就能够总结出同类案件的相关证据存在的地方和形式，利用这些统计信息，可以对以后案件的证据相关获取提供指导性意见，调查者能够迅速定位到所有数据中的核心部分，忽略那些不相关的数据。

2.2　基于专家系统的获取方法

专家系统是一种基于专家经验的自动化方法。目前，计算机犯罪案件的调查主要依靠调查者根据经验判断，在哪些地方可以获取到相关证据，取证调查的效率问题很大程度依赖于调查者的经验，因此有一种相关证据获取的思路就是把专家经验形成知识库或决策支持库，以规则的方式指导相关电子证据的获取。

基于假设的调查方法有很多都是采用这种思想对相关证据进行获取，如贝叶斯网络推理方法，依据专家经验总结出某一案件假设的支撑证据，这些证据之间就默认具有相关性，调查的过程就是寻找相关证据的过程，通过对这些支撑证据的存在性证明，得出案件假设是否成立的结论。

2.3　缩量过滤方法

通过分析大量电子证据，根据规则去除不相关证据的操作就是缩量过滤方法，即应用一定的算法过滤掉代表系统正常运行的文件，或明显与案件不相关的证据，以及重复的副本文件等都属于缩量过滤方法。

方法基于的原理是过滤掉不相关证据，余下的认为都具有相关性，这种方法的精度不高，尽管可以过滤掉一部分与案件无关的电子证据，但通常仍然会留下大量的数据文件，而且这些数据文件之间并不一定具有很强的案件相关性。

2.4　特征过滤方法

基于证据文件的某些特殊特征进行过滤，过滤出与案件相关的一部分文件。目前的取证工具设计绝大多数都是依据这样的方法，如通过输入关键词，过滤出所有包含关键词内容的相关文档，或通过输入扩展名，过滤出相同扩展名的所有文件，又或者通过输入时间范围值获取所有时间属性包含在范围内的文档。

特征过滤方法的使用最为广泛，主要是由于其方法实现简单，获取目的明确。如Encase取证工具、FTK取证工具等，都是根据调查者输入的过滤条件，对电子证据的某一特征进行比较，然后过滤出符合条件的电子证据。但是这种方法同样有一个明显的缺陷，就是不能一次获取到所有与案件相关的证据，可能需要调查者输入多次过滤条件，最后得到相对完整的相关证据集合。

3技术方法的比较分析与评价

3.1　比较分析

统计和专家系统的方法都是从人工智能的角度实现对相关电子证据的获取，需要对现有案例或经验进行总结分析，一般适用于有相关积累的团体，因为相关证据获取的准确率极大地依赖案例集或专家的经验。

统计方法中相关证据的获取规则来源于对实际案例的总结与分析，因此该方法具有实践意义。但是，计算机犯罪案件种类多，相互之间划分并不明确，如何从大量的案例中挖掘出相似案例的过程是该方法的难点之一，虽然同种案件的嫌疑人可能存在惯用手法，导致相关证据的存在位置和方式具有一定的相似性，但由于具体案件和嫌疑人的不同，同类个体之间可能存在较大的差异，如何分析并挖掘出相关证据的关系规则也是该方法的难点之一。统计方法适用于具有普遍规律的案件相关证据获取，而对于新类型的案例则需要进一步扩充案例集，重新挖掘相关规则。

专家系统的方法是将调查人员或专业技术人员的经验操作自动化，同样形成规则知识库或决策支持系统，指导相关电子证据的获取，因此经验的准确性决定了方法的有效性，从侦查学角度看，经验虽然能够提高搜索证据线索的效率，但很容易降低结论的客观性。专家系统的方法一般都是提出案件假设，然后依据经验寻找可以支持结论的相关证据，这样就会导致获取的证据都具有支持假设的偏向性，容易使获取行为不由自主去关注某些特定方面，忽略可能存在的相反的电子证据。因此，这种方法应该避免过多地依赖于主观推测。

统计方法和专家系统的方法区分得并不十分严格，很多工具都是综合二者的思想进行实现，形成知识库[8]，既分析现有案例，同时挖掘专家经验形成相关电子证据的获取规则，这些工具可能利用挖掘算法实现，或利用智能代理实现，或利用概率方法实现，也有可能多种方法同时使用，以提高相关获取的准确率。

缩量过滤和特征过滤法都是基于过滤的思想，前者是过滤掉无关证据，后者是过滤出相关证据，相对于人工智能角度实现的方法来说，这两种方法的实现比较简单，但获取到的电子证据相关度不够，或结果可能不完整。

缩量过滤方法只能去除系统正常文件和重复文件等，过滤后的数据仍然包含大量与案件不相关的证据，因此缩量过滤方法的目标是海量证据的初步处理，其结果还需要进一步的分析，从中获取具有相关度的电子证据。特征过滤的方法则相反，它的目标明确，就是根据过滤条件得到与案件某一部分极为相关的结果，但过滤后的数据中仍包含大量与案件相关的证据，需要设置过滤条件进一步筛选和获取。

过滤方法的有效性极大地依赖过滤条件的设置，而过滤条件是调查者依据案情设置的，如时间、类型等，无法实现获取过程的自动化，目前绝大多数取证工具都是采用这样的相关证据获取方法。

以上这些相关证据的获取方法并不是相互独立的，而是相互补充的，各自具有不同的应用范围和优缺点，能够结合在一起共同完成获取任务。这样的合并能很大提高分析的准确度和任务的自动化，但需要考虑运行时间的效率问题和各种方法之间的扩充和兼容问题。

3.2　法学评价

从实践角度讲，技术专家有很多途径获取目标系统的电子信息，如秘密远程获取数据、网络数据包截取等，在嫌疑人没有觉察的情况下获取到的数据信息通常是更能反映犯罪事实的。但是，技术专家应该了解，在这种没有授权的情况下获取的电子证据不仅不具有法律效力，甚至可能构成违法行为。如通过保存自己机器上的聊天记录，只能作为诈骗案的立案和侦查线索，却不能作为诈骗定罪的证据。

以上4种电子证据的获取方法都没有考虑到证据的授权属性，对哪些数据实施获取策略完全由调查人员决定，而且方法的重点都是获取策略的制定，忽略了获取行为和过程的合法性判断，导致由此产生的结论有可能在法庭审查时出现问题。

如果是对通过合法手段获取的证据镜像进行分析，提取其中与案件相关的电子证据，这样的情况不需要考虑授权和获取的合法性。但由于虚拟现场范围巨大，事先获取到所有的电子证据并不现实，一般只是对主要的虚拟现场进行全面获取，这样就有可能会遗漏一些关键证据。

相关电子证据的获取方法，无论是基于人工智能的实现，还是基于过滤的实现，都考虑了证据的关联性属性，如挖掘实际案例中的相关规则，或依据专家和调查者的经验设置关联规则和过滤条件等。但是由于电子证据自身的隐藏性、不稳定性等特性，导致其关联属性与其他证据有所不同，显得更为复杂和难以分析。关联性包括直接联系和间接联系，直接联系是证据对案件的直接证明关系，而间接联系是电子证据之间的证明关系，如果不了解电子证据的形成和运行规律，就会忽略很多看起来并不明显的间接联系。上述4种方法对直接联系的关联性考虑得较多，但对间接联系考虑较少，导致获取的结果不够完整。

4未来的发展趋势

对于相关电子证据的获取问题，将多领域的观点进行结合是一个必然的趋势，这些领域包含法学、侦查学、犯罪学和计算机技术，将多种方法结合，提高关联获取的准确率是未来发展的另一个趋势，同时，实现相关电子证据获取行为的自动化、智能化、合法化也是今后的发展目标和迫切需求。

5结语

本文主要对电子证据的关联获取问题进行了探讨，并从法学和技术两个角度分别阐述了这一问题，电子证据作为证据的一种，自然具有证据的一般法学属性和涵义，但同时由于电子证据的特殊属性，使其在技术实现上具有一定的复杂性。如何有效地结合二者的观点，提高电子证据相关获取的有效性和合法性是本文的分析问题之一，同时也是该问题未来发展的方向。

参考文献

[1]张鹏，童云海. 一种有效的隐私保护关联规则挖掘方法[J]. 软件学报，2006，17(8).

[2]李德恩，石浩旭. 证据关联性：一个利益衡量的命题[J]. 山西师范大学学报：社会科学版，2012，39(1).

[3]Casey Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0- 12- 163104- 4.

[4]HORSMAN G, LAING C, VICKERS P. A case based reasoning framework for improving the trustworthiness of digital forensic investigations[C]∥Trust, Security and Privacy in Computing and Communications(Trust Com), 2012 IEEE 11th International Conference on. IEEE, 2012:682-689.

[5]STALLARD T, LEVITT K.Automated Analysis for Digital Forensic Science: Semantic Integrity Checking[C]∥Computer Security Applications Conference,2003. Proceedings. 19th Annual. IEEE, 2003:160-167.

[6]ROUSSEV V. Hashing and Data Fingerprinting in Digital Forensics[J]. Computing in Science and Engineering, 2009,7(2):49-55.

[7]CHOI Y K, PARK J H, KIM S K, et al. An efficient forensic evidence collection scheme of host infringement at the occurrence time[M]∥Information Security and Cryptology-ICSIC 2006. Springer Berlin Heidelberg, 2006:206-221.

[8]BRUSCHI D, MONGA M, MARTIGNON I L. How to reuse knowledge about forensic investigations[C]∥Digital Forensics Research Workshop, Linthicum, Maryland. 2004.

(责任编辑陈小明)

作者简介赵志岩(1980—)， 女， 吉林长春人， 讲师， 在读博士。研究方向为网络犯罪与取证。

基金项目公安大学基本科研业务费支持青年教师项目(2014JKF01145)。

中图分类号D918.2