浅谈网络远程勘验流程及其在案件侦办中的重要性
2018-03-04王啸虎
◆王啸虎
浅谈网络远程勘验流程及其在案件侦办中的重要性
◆王啸虎
(内蒙古包头市公安局昆都仑区分局网安大队 内蒙古 014010 )
网络远程勘验在当前的案件侦查工作中占据着重要地位,可以为案件侦破提供重要线索和方向,为后期刑事诉讼提供重要的电子数据证据。
远程勘验,流程,重要性
0 前言
随着网络社会的飞速发展,各类违法犯罪活动已由现实社会转向网络社会,犯罪分子充分利用各类网络技术手段更新犯罪手法,网络证据易丢失、保存时间短、难恢复的特点严重影响了案件的侦查方向和证据的固定,因此,要想让违法犯罪分子得到法律的制裁,必须注重证据的提取和固定,网络远程勘验工作的重要性不言而喻。
1 网络远程勘验
1.1 网络远程勘验的概念
网络远程勘验是指通过网络对远程目标系统进行勘验检查,以提取、固定远程目标系统的状态和留存的电子数据,为案件情况和案件发生过程的分析判断提供依据,确定案件侦破方向和调查范围,为破案和刑事诉讼提供重要支撑。
1.2 网络远程勘验的适用对象
网络远程勘验对象是各类远程的信息系统。
进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。【1】
网络远程勘验的人员要求:
(1)网络远程勘验必须由两名以上侦查人员进行。
(2)邀请一名以上符合条件的见证人。因特殊情况无法找到见证人的,要在笔录中写明情况,采取录像的方式对现场活动进行固定。
(3)指挥人员应当由具有专业的电子数据勘验知识和现场组织指挥能力的人民警察担任。
1.3 网络远程勘验的方法和流程
(1)远程勘验方法。根据《GA/T 756-2008 数字化设备证据数据发现提取固定方法》【2】,要对远程勘验过程中提取的目标信息系统状态数据、目标网站内容数据以及勘验过程中生成的其他电子数据,计算其完整性校验值并制作《固定电子数据清单》。
(2)记录关键步骤。对远程勘验过程中提取和生成电子数据的关键步骤,应当采取录像、照相、截获计算机屏幕内容等方式进行记录。
(3)制作《远程勘验工作记录》。远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子数据清单》、《勘验检查照片记录表》、《远程勘验记录签名》以及截获的屏幕截图等内容组成。
《远程勘验笔录》注意事项:
(1)记录现场情形时应同时记录远程勘验工作用机和远程勘验目标主机的设备环境、网络结构、运行状态等。运行状态描述时需要说明远程勘验目标主机当前运行的程序、系统的日期和时间;联网设备应记录设备的IP地址分配情况,包含IP地址分配方式、地址、DNS、网关、掩码等。现场网络结构复杂的,或者需要记录网络拓扑结构的,还需要附加相应的网络拓扑结构图。
(2)记录远程勘验中用到的技术侦查措施。根据需要,在远程勘验时有时需要用到技术侦查措施,对用到的技术侦查措施的,要在笔录中做记录,要记录具体用到了什么样的技术侦查措施。
(3)记录远程勘验主机的时间。远程勘验笔录的勘验起止时间应为实施勘验所在地的时间。勘验目标在异地、跨时区的,勘验远程目标所在的时区和时间应在勘验笔录中做相应的记录。【3】
2 网络远程勘验的重要性
2.1 网络证据的特点
通常把开放计算机系统中的电子数据称为网络数据或网络证据。所谓网络数据是指计算机终端之间通过网络获得的电子数据。[3]开放计算机系统中的电子数据种类繁多,常见的有:电子邮件、电子资金划拨记录、电子数据交换记录、网页、电子聊天记录、电子公告牌记录、网络日志、电子签名等。网络证据与传统证据相比,证据有以下特色:
(1)网络证据具有无形性。即网络数据用肉眼看不见,也摸不着。它与传统的物证、书证以及记录在纸张上的证人证言等不同。网络数据需要依托特定的软硬件设备,借助特定的技术才能得以生成、展示。[3]
(2)网络证据容易丢失。网络证据不同于普通的电子数据证据,可以通过扣押涉案的设备后进行提取、固定,网络证据主要存在于互联网上,由于客观原因无法直接扣押或保存证据,具有易丢失性,一旦在特定的时间内没有进行证据提取和固定变再也无法找回。
(3)网络证据很难恢复。互联网是一个不停在变化的虚拟世界,所有的数据每天都在不停的变化,随时随地的进行更新。此外,人为因素和技术壁垒会导致网络证据容易受到篡改和破坏,而且网络证据在目前的技术条件下很难恢复,一旦证据消失便无法再获取。
2.2 网络远程勘验在案件侦办中的重要性
随着网络社会的高速发展,越来越多的犯罪分子开始利用各类网络技术、金融手段、通信技术从事违法犯罪活动,而且为了逃避公安机关打击,将用于从事犯罪活动的服务器置于境外或者租用境外服务器进行违法犯罪活动。这就导致公安机关在侦查破案过程中困难重重,无从下手,无法通过直接调查这些服务器来侦查案件。因此,对涉案的目标主机进行网络远程勘验在案件侦办中的重要性越来越凸显。
(1)网络远程勘验可以为判断案件性质提供依据。当前各类涉网案件五花八门,侦查人员对案件性质很难判断,尤其是涉及到涉案目标主机无法接触的案件,由于涉案地域跨度大,涉案人员较多,无法进行现场勘验,无法获取到最直观的案件情况,所以很难对案件进行定性,因此对涉案目标主机进行网络远程勘验就尤为重要,通过网络远程勘验获取到目标主机内与案件相关联的数据可以为案件定性提供重要依据。
(2)网络远程勘验可以协助分析犯罪过程。由于一些案件中使用的网络工具服务器处于境外,或者不便于现场勘验的地方,要想了解整个犯罪过程,就必须对这些目标主机进行网络远程勘验,只有将这些计算机信息系统中与案件相关的数据全部提取才能有效分析犯罪过程。
(3)网络远程勘验可以帮助明确侦查范围和方向。案件侦查前期最重要的工作就是确定侦查思路和范围,只有首先明确了案件侦查方向和涉案范围,才能顺利的破获案件,而要想找到正确方向和范围,对嫌疑人在犯罪活动中所利用的各类无法进行现场勘验的信息系统进行网络远程勘验就成了重要的一步。
(4)网络远程勘验可以为案件侦查提供线索、为刑事诉讼提供有效的证据支撑。打击各类犯罪活动最终的目的便是将犯罪嫌疑人绳之以法,而我们要想让犯罪分子伏法就必须有充足的证据。由最高人民法院、最高人民检察院、公安部颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中对网络远程勘验手段做出了明确的要求,网络远程勘验所提取、固定的数据可以为侦查破案、刑事诉讼提供线索和证据。
[1]最高人民法院、最高人民检察院、公安部.《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》[Z].2016-9-20
[2]公安部.《GA/T 756-2008 数字化设备证据数据发现提取固定方法》[Z].2008-03-24
[3]李双其,林伟.侦查中电子数据取证[M].北京:知识产权出版社,2018:05-16,106