秦宾

（泰州市公安局，江苏泰州225300）

试论涉网案件现场勘查与电子物证的提取鉴定

秦宾

（泰州市公安局，江苏泰州225300）

随着信息网络的普遍运用，涉网犯罪也从最初的仅针对钱财物的犯罪，发展为针对政治、经济、军事和知识产权等多领域的犯罪，而各类电子产品和网络中提取的电子物证成为诸多涉网案件认定事实过程、完善证据链进而突破全案的关键，同样在案件诉讼过程中，电子物证所起到的作用也日益突显。文章对公安机关在涉网案件现场勘查中的相关重点、难点问题进行了初步的研究分析并就如何做好电子物证的固定、提取和鉴定提出了相应的对策思路。

现场勘查；电子物证；鉴定

近年来，中国随着社会政治、经济和生活各个方面的高速发展，各类资源、人力和资金配置的不断变化，整个社会人财物流动加剧，作为社会矛盾集中反映的刑事案件发案率居高不下，犯罪多元、智能和暴力化程度不断加剧。而同时，随着计算机信息网络的普遍运用，涉网犯罪发展为针对政治、经济、军事和知识产权等多领域的犯罪，网上斗争形势日趋严峻，尤其是各类移动智能设备深入到人民群众生活的各个角落，违法犯罪过程中遗留的电子物证日益增多，公安机关在各类涉网案件的立案、侦查、取证的程序中，如何做好电子物证的固定、提取和鉴定工作就成为的重要环节。

电子物证的固定与提取就是在涉网犯罪现场，对各类存储介质中保存、恢复的数据进行科学的检查和分析，这项技术经过十余年的发展，已经成为公安部门发现线索、获取证据的重要技术手段之一，被广泛地用来解决大量的涉网犯罪案件，包括网络入侵、盗用知识产权、网络诈骗、网络洗钱、网络色情、网络赌博等刑事案件。笔者拟结合公安工作实际，对涉网案件现场勘查和电子物证的固定提取相关的重点难点问题，作出初步的研究分析并提出相应的解决方案和对策思路。

1　涉网案件现场勘查

1.1“电子物证”的概念和特点

所谓“电子物证”是指能在案件办理过程中用以分析研究数据的、能够证明案件相关事实的电子文件。主要是借助于电子技术或者电子设备而形成的，并且能够作为证据使用，以电子数据形式存在的材料或其他派生物。电子物证已经衍生出纷繁复杂的形式，除了通常所能看到的电子邮件、电子聊天记录（QQ聊天记录、微信聊天记录）外，还包括网络聊天室记录（BBS聊天记录）、电子数据交换、电子资金划拨和电子签章等各种形式。

电子物证在保存方式、传播形式、感知性及安全性上与传统物证都存在很大的不同，与其他证据相比，电子物证的特点有：一是电子物证形式多种多样。电子物证不仅可以为单一媒体形式，更多地表现为文本、影像、图片、声音、程序等多种形式的复合媒体。网络的发展与应用，产生了虚拟身份、BBS发帖、跟帖记录等等网络电子证据。二是电子物证极易遭受破坏。电子物证是保存在可擦写的数据记录介质上的，如磁盘、U盘、可擦写光盘等，在其存储、传输和使用过程中，极易遭受到外来的破坏，产生它的人或其他接触它的人都有可能随时、随地、随意地对其进行编辑、修改，使其面目全非，甚至不留任何痕迹地予以删除，使其消失［1］。三是电子物证的审查、认定难度大。电子物证无形无质又脆弱，又极易被破坏或修改，以至于有时其所反映的事实并不是本质的真实，而仅仅是表象的真实，如果没有第三方证据来进行印证，极有可能出现误断。

1.2国内电子取证相关标准

电子物证的固定、提取和鉴定工作是一项非常严密的系统工程，国家为此出台了一系列相应的国家标准以利于取证鉴定工作，在电子物证的固定、提取和鉴定工作中，如果不能严格遵循国家标准，将有可能造成重要证据的流失和缪误。目前国内电子取证应遵循相关3个国家标准，分别：《电子物证数据恢复检验规程》（GB/T 29360-2012）、《电子物证文件一致性检验规程》（GB/T 29361-2012）、《电子物证数据搜索检验规程》（GB/T 29362-2012）［2］。另外司法部、公安部也先后制定了一系列相关标准，此外还有22个公共安全行业标准需要遵循。

1.3涉网案件现场勘查取证规范流程

《计算机犯罪现场勘验与电子证据检查规则》是现阶段公安机关对现场电子证据取证的执行依据，虽然从整体上对电子证据的取证流程进行了一系列规范，但不够细致，目前亟需加快制定和推广执行更详实的操作程序规则。总体来说，可以从现场保护、证物搜查、证据提取、证物固定、取证记录这五个方面着手。一是现场保护，进入现场后就要为发现、提取电子证据做足准备，应立即切断网络、封锁现场、停止运行涉案计算机及其外围设备。同时保证电力通畅，防止断电导致数据丢失、损毁，并防止取证人员无意识破坏证据的行为。二是证物搜查，检查现场内网络设备互联情况，确定网络和电缆的联接走向，查看有无无线网络。注意发现计算机存储设备以及互联网中的电子数据。查找所有可能存储电子信息的对象，如硬盘、U盘、光盘等介质。如果现场有管理人员，应询问案发前后的软硬件、现场变动等情况。三是证据提取，收集现场易丢失的电子证据，不仅包括显示器显示信息、系统时间、程序运行数据，还需要收集账号密码、各种配套软件、参数等信息。如果现场需要查看设备内部数据情况，应通过“只读”接口设备连接到其他设备进行检查。四是证物固定，电子物证收集完成后方可将电源关闭，并对电子设备、网线、电缆等进行拍照、编号和记录。提取到的电子证物应避免受到强磁、水火等自然因素的破坏，应当使用专业的封装袋进行保存，标明收集证据的时间、收集人姓名以及设备型号等信息。五是取证记录，现场应有专人记录电子证据提取收集的全过程，记录内容包括案由、参加人姓名及职务、证据提取时间、地点、方法、工具、顺序等具体过程、电子证据的类型及其固定保存的方法、提取中出现的问题和解决方式、证人情况等，权责到人，确保证据信息的准确性和可靠性，以保证电子证据的证明力。

2　电子物证的提取与鉴定

2.1现场电子物证提取方法和步骤

涉网案件现场勘查电子物证的取证方法主要分为两种：一是简单取证，即办案现场不需要特定的电子物证专业技术人员就可以完成电子数据和证据的收集、固定、测试等的取证活动。对不涉及计算机使用或维护人员的犯罪案件，可以采取简单取证程序收集和固定电子证据。二是复杂取证，即办案现场需要有专业技术人员协助来开展电子证据的收集、固定、测试等的取证活动。

提取电子证据有以下步骤：一是现场检查与现场访问，首先由计算机专家检查硬件设备，从而切断可能存在的其他输入、输出设备，保证计算机储存的电子信息在之后的取证过程中不被修改或损毁。与此同时，侦查人员应当主动询问现场计算机使用或维护人员相关情况，如计算机设置密码及密码的组成、软硬件使用情况、案件所涉及的资料存放位置等情况，对被询问人员拒绝提供密码的，可考虑解密。二是提取证据，按照前述方法打印和拷贝计算机文件，固定电子证据。三是电子证据内容涉及相关专业知识的，应由相关专家对提取的资料进行现场验证。四是制作检查笔录，除前述检查笔录的内容外，对计算机解密、提出、固定和数据测试等过程也应当作出逐条详细的记录。五是对复杂取证过程中可能会遇到的问题，在检查前应当有所预测，并制定相应的处置方案。

2.2现场电子物证鉴定的注意点

对于需要进一步对电子证据及载体进行检验和鉴定的，应对上述载体及证据材料进行封存，并依照相关手续进行鉴定。对于要求鉴定的电子数据，我们应当注意以下几点：一是电子数据不得存在剪裁、拼凑、篡改、添加等伪造、变造情形。二是送检的电子数据应当附有相关笔录或者清单，并随电子数据一并随案移送。笔录或者清单应当注明案由、参加检查的人员姓名及职务、主要包括取证时间、取证地点及顺序、取证对象、内容以及收集的时间、地点、方法、取证的简要过程、电子数据的规格、类别、文件格式、完整性校验值等情况，并经取证人员、电子数据持有人、见证人签名。

2.3完善勘查工作思路

完善涉网案件现场电子物证勘查取证工作的解决思路：一是提高取证人员的能力素质，加强专业化人力资源建设。对于现场勘查人员，必须要进行电子证据的相关培训、定期考核和进行资质认定，提高现场保护和完整收集电子证据的意识，掌握保护和安全提取电子证据的科学方法，逐渐提升取证能力，向专业化靠拢。另外，公安机关也可以聘请一定数量的计算机专家组成电子证据专业小组，协助公安机关开展电子证据取证工作。

二是规范取证流程。目前普遍的现状是侦查取证人员在收集电子证据时不细致，缺少专业设备，技术手段不规范，操作过程大意，例如使用从互联网上下载的不知名软件、对涉案的计算机等设备进行违规操作，修改注册表等信息等，这些都有可能改变电子证据原有的状态，导致证明力下降或者完全消失，影响案件检验鉴定的质量。因此必须按照规范工作流程和注意点进行操作。

三是完善电子物证勘查取证的立法思路，加强立法工作。电子物证的立法思路应包含两个方面，一是要健全电子物证立法，学习国外的先进经验，运用技术手段支持司法实践。截至目前我国已制定一批详实、具有操作性、级别更高的电子证据收集规范。但这方面，仍需学习借鉴国际上一些发达国家在电子证据立法方面的成熟经验，例如美国的《1999年统一证据规则》、加拿大的《统一电子证据法》、澳大利亚的《计算机和证据法》等［3］。二是电子物证立法应当兼顾与其他证据的协调性，保证电子物证的证明力和公信力。

［1］钟晓东.论在线仲裁的证据规则［J］.仲裁研究，2008（2）：16-22.

［2］金波，黄道丽，夏荣.电子数据鉴定标准体系研究［J］.中国司法鉴定，2011（1）：49-52，61.

［3］刘品新.中国电子证据立法研究［M］.北京：中国人民大学出版社，2005.

（责任编辑杨荔晴）

On the Extraction and Identification of Electronic Physical Evidence and Onsite Investigation on the Internet Involved Case

QIN Bin
（Taizhou Public Security Bureau，Taizhou Jiangsu 225300，China）

With the extensive application of information network，internet involved crime developed from the crime exclusively targeted at money and property to the crime aiming at multiple sectors of politics，economy，military and intellectual property.Online conflict is becoming increasingly serious.Various electronic products and electronic physical evidences extracted from the internet become the key to ascertain the procedure of the fact，optimize the evidence chain and settle the overall case.Such is the same for the procedure of the case litigation procedure where the electronic physical evidences are playing greater role day by day.This paper studies how the public security institutions should fix，extract and identify electronic physical evidences and make preliminary research on key and difficult points in the onsite investigation of internet involved cases.Corresponding countermeasures are also proposed in this paper.

onsite investigation；electronic physical evidence；identification

D6925.113

B

1671-0142（2016）04-0041-03

秦宾（1976-），男，江苏高邮人，工程师.