司法鉴定中电子物证检材管理的编码问题研究
2019-01-04张斐
张 斐
(陕西警官职业学院信息技术系, 陕西西安 710021)
0 引言
近年来,我国针对网络安全环境的日趋复杂,采取了一系列措施来加强网络安全建设,如2017年6月“网络安全法”正式开始实施,电子法庭科学在以审判为中心的司法实践中作用愈加重要。近年来涉电子信息类犯罪案件急剧增多,涉及鉴定的案件量也急速增加,几乎案案不离手机,大案要案都有电子取证的影子。而在案件的侦破和定性中司法鉴定是必不可少的一环。
截至2017年底,全国经司法行政机关登记管理的鉴定机构共4 338家,从事法医、物证、声像资料和环境损害鉴定业务的机构为2 606家,其中电子数据司法鉴定的机构占3.38%[1],约为88家。
按司法鉴定委托主体区分,公安机关委托的业务最多,占总业务量的41.08%,公检法机关委托的共占61.34%。此外按涉及种类分类,民事诉讼中委托的最多,占40.10%,刑事诉讼案件也占到了13.57%[1]。
目前,陕西省具备电子物证司法鉴定资质的机构全部依托公安系统成立,其法定代表人为各级公安机关,只有少数几家属于外省社会法人鉴定机构派驻到我省的办事处,通常接收检材后寄送回鉴定机构本部处理。大多数鉴定服务的主体还是政府部门。通常情况下,省内一家电子物证鉴定机构的年均登记鉴定业务量约为40~50件,公安系统鉴定机构较社会机构处理的电子物证检材种类和数量更多。
根据《中华人民共和国计量法》的规定,鉴定/检测机构需要由省级以上人民政府计量行政部门对其检测能力及可靠性进行CMA认证[2],该项认证具有强制性,因此要求鉴定机构必须通过此认证,遵循规范化、制度化、标准化管理。通过对案件相关电子物证的获取得到电子数据载体即检材,运用电子取证技术对检材进行提取、分析、鉴定的过程就是电子物证司法鉴定的主要过程,这期间以保证检材的原始性为首要原则,禁止任何不当操作对检材原始状态的更改,因而大量检材的管理就必须做到科学化和精细化。目前对于电子物证检材的编号,主要依靠手工进行管理,在编号时根据编码人员的习惯,采用各自的编码方法,没有统一的标准。
1 电子物证检材的管理问题
1.1 检材(Material for Examination)与样本
刑事诉讼司法鉴定中需要鉴定的材料一般由侦查人员在现场勘查中发现提取获得,或者由侦查人员负责收取;民事诉讼中鉴定材料一般由当事人提供,通常也是争议所在。拿笔迹鉴定来举例子,需要鉴定的笔迹就是犯罪现场发现的笔迹,或当事人双方争议的笔迹比如借条上的字,而电子物证鉴定案件中的检材是指电子物证鉴定中的检验对象[3],包括电脑、手机、硬盘等电子信息载体。样本是指电子物证鉴定中用于同检材进行比对检验的电子数据[3],可分实验样本和自由样本,传统试验样本是叫被鉴定的人现场书写材料供鉴定,电子实验样本有别于此,是鉴定人对检材提取的数据以用于侦查实验(如病毒、木马),模拟检材本身得到计算机程序的运行结果;自由样本由办案人员收集,或通过法院委托被鉴定人所在单位协助收集。
1.2 检材来源的合法性
司法鉴定中检材的合法性是否会影响由此而得出鉴定证据的证据能力,在不同国家的法律法规中表现不同。例如:美国的联邦证据规则第703条规定:如果鉴定专家对取证问题形成意见或推理所依据的是在特定领域中可合理作为根据的事实或数据,这些事实或资料不必要作为证据采纳。但此项规定并不意味着鉴定专家提供的证据就可建立在非法的证据基础上。根据美国学者的解释,尽管该条规定允许专家将鉴定结论建立在法理上不被采纳,事实上却可靠的传闻或其他证据之上,但控方的专家证言仍然不得以违反“米兰达规则”所获得的证据为基础,这里所谓的“米兰达规则”就是犯罪嫌疑人在接收问询时有保持沉默和拒绝回答的权利。在这里,“毒树之果”的理论仍然适用。当出于政策性考虑使某些检材不能被采纳时,该检材也不可作为专家意见的基础[3]。由此产生的专家证言也就丧失了证据能力。
大陆法系国家在证据可采性问题上限制较少,但都在不同程度上适用非法证据排除规则。对于某些以非法手段得到的证据,法律禁止其作为证据使用,以此为基础作出的鉴定结论不具有证据能力。鉴定不能成为某些非法性因素的过滤器[4]。法律虽然不要求作为鉴定结论的基础的所有事实或材料都具有可采性,但当某些基础性的事实或材料是以非法手段获得或违反政策考虑时,其非法性将危及以此为基础的鉴定结论的证据能力。
1.3 电子物证检材管理的原则[5]
(1)原始性原则
电子数据鉴定应以保证检材/样本的原始性为首要原则,禁止任何不当操作对检材/样本原始状态的更改。不得将生成、提取的数据存储在原始存储媒介中。不得在目标系统中安装新的应用程序。
(2)完整性原则
条件允许情况下,电子数据鉴定应首先对原始电子数据制作电子数据副本,并进行完整性校验,确保电子数据副本与原始电子数据的一致性。
(3)安全性原则
电子数据鉴定原则上以电子数据副本为操作对象,检材/样本应封存妥善保管以确保安全。整个检验鉴定过程应在安全可控的环境中进行。例如:手机检材的保管就需要在具有防辐射、防定位、防泄密功能的手机信号屏蔽袋内保存。
(4)可靠性原则
电子数据鉴定所使用的技术方法、检验环境、软硬件设备应经过检测和验证,确保鉴定过程、鉴定结果的准确可靠。
(5)可重现原则
电子数据鉴定应通过及时记录、数据备份等方式,保证鉴定结果的可重现性。
(6)可追溯原则
电子数据鉴定过程应受到监督和控制,通过责任划分、记录标识和过程监督等方式,满足追溯性要求。
(7)及时性原则
对委托鉴定的动态、时效性电子数据,应及时进行数据固定与保存,防止数据改变和丢失。
以上是2014年3月17日由司法部司法鉴定管理局颁布的《司法鉴定技术规范》提出的针对电子数据鉴定的7项原则,明确了对电子数据检材的提取和管理,也对电子数据鉴定作出了一个规范性的指导原则。
1.4 电子物证检材管理中存在的问题
在现场首先应该校验计算机系统时间与标准时间的差别,并予记录。通常不能开启处于关闭状态的计算机设备进行检查。如遇到紧急情况需要开启设备,应先将源计算机硬盘采用接入只读锁进行全盘复制,获得镜像后,再由取证分析设备查看其信息内容。如需要在现场制作磁盘镜像或拷贝文件时,侦查人员应计算镜像或逻辑拷贝文件的哈希值[6]。对于移动终端类检材如手机,管理中还应该采用屏蔽设备隔离外界电磁篡改和毁坏。此外还应注意提取电子设备上的手印、微量物证等传统的证据。
鉴定机构以往在受理检材时,由于缺乏严格的交接制度,受案过程随意,甚至有些案件不是由了解案情的侦查员或技术员送检,而是由无关人员转送,送检人不规范的保管检材,为鉴定人员后续开展工作直接造成困难甚至致使其陷入困境[7]。由于电子物证与传统的取证技术相比具有一定的隐蔽性、易逝性、易改性与形式多样性,鉴定人员在接收电子物证检材后,如果缺乏精细化的管理,也会造成检材数据的丢失或者检材本身的严重损坏。
在电子物证司法鉴定中,电子物证检材的交接、提取、分析和保管是整个鉴定过程的关键环节,任何一个环节出现失误都会直接给侦查和鉴定工作带来灾难性的后果。而电子物证检材被提交给鉴定机构开始,就需要给它指定一个符合唯一性原则的编码并进行拍照,如同给电子物证检材设定一个身份证号,贯穿于侦查、检控、审判和裁定全过程。对于具备保全条件的检材和样本还要进行保全备份。
2 电子物证鉴定检材的编码原则
(1)江苏省某警院电子司法鉴定中心在2017年通过了CMA认证,该机构采用基本编码规则如下。
编码序列为单位- 年份- 案件号- 编号,例如某客户2018年9月1日送检了一台主机(若内置2个硬盘)、一台笔记本(若内置1个硬盘)、3部手机、2个硬盘、2个优盘,假设这是该中心在2018年第11个案子,那么检材编号为:
①1台主机编号为XXSFJD- 2018- 011- 001,内置硬盘未作编号;
②1台笔记本电脑编号为XXSFJD- 2018- 011- 002,内置硬盘未作编号;
③2个硬盘的编号为XXSFJD- 2018- 011- 003、XXSFJD- 2018- 011- 004;
④2个优盘的编号为XXSFJD- 2018- 011- 005、XXSFJD- 2018- 011- 006;
⑤3部手机的编号为XXSFJD- 2018- 011- 007、XXSFJD- 2018- 011- 008、XXSFJD- 2018- 011- 009。
通过调研,广西某警院电子司法鉴定中心电子物证检材编码规则大致与之相同,还有国内很多鉴定机构都采用的类似的编码方式。
(2)云南省某公安机关电子司法鉴定中心已通过CMA认证和CNAS认证[8],该机构采用基本编码规则如下。
电子物证检材根据类型分为存储介质(Storage Medium)、移动终端(Mobile Terminal)、其他检材(Other Sample)[5],其中电脑硬盘、优盘及各种存储卡属于存储介质,手机及具备通信功能的电子设备属于移动终端,不在此两类的检材属于其他。该中心的基本的编码规则为单位- 年份- 鉴定号- 类型- 编号。例如:XXSFJD- 2018- XXX- SM- 001代表XX司法鉴定中心2018年第XXX号案件中第1件存储介质;XXSFJD- 2018- XXX- MT- 001代表2018年第XXX号案件中第1件移动终端;XXSFJD- 2018- XXX- OS- 001代表2018年第XXX号案件中第1件其他检材。如按将此规则应用于上一个案例,假设案件编号为011,则检材编号为:
①1台主机编号为XXSFJD- 2018- 011- SM- 001,内置硬盘(若内置2个硬盘)编号为XXSFJD- 2018- 011- SM- 001- 001和XXSFJD- 2018- 011- SM- 001- 002;
②1台笔记本电脑编号为XXSFJD- 2018- 011- SM- 002,内置硬盘编号为XXSFJD- 2018- 011- SM- 002- 001;
③2个硬盘的编号为XXSFJD- 2018- 011- SM- 003、XXSFJD- 2018- 011- SM- 004;
④2个优盘的编号为XXSFJD- 2018- 011- SM- 005、XXSFJD- 2018- 011- SM- 006;
⑤3部手机的编号为XXSFJD- 2018- 011- MT- 001、XXSFJD- 2018- 011- MT- 002、XXSFJD- 2018- 011- MT- 003。
此规则未界定源盘和目标盘,因此需要对送检材料划定区域存放,与保存有源盘镜像文件的目标盘存储介质隔离开。
(3)福建省某司法鉴定中心已通过CMA认证和CNAS认证,该机构采用基本编码规则如下。
电脑主机、笔记本编码是:Y代表源盘;20180X0X代表受理日期;00N代表当天受理的第N个案件;00Z代表受理当天第N个案件内第Z个机箱或者电脑,如Y20180901001- 001代表2018年9月1日第一个案件的第一个机箱。移动硬盘和优盘编码规则是:Y代表源盘;20180X0X代表受理日期;00N代表当天中证受理的第N个案件;000代表无机箱外壳,只有检材没有检样 ;00H代表第H个检材,如Y20180901001- 000- 001代表2018年9月1日第一个案件的第一个电脑硬盘。如按将此规则应用于第一个案例,假设这是该中心在2018年9月1日的第4个案子,那么检材编号为:
①1台主机编号为Y2018091004- 001,内置硬盘(若内置2个硬盘)编号为Y2018091004- 001- 001和Y2018091004- 001- 002;
②1台笔记本电脑编号为Y2018091004- 002,内置硬盘编号为Y2018091004- 002- 001;
③3部手机的编号为Y2018091004- 000- 001、Y2018091004- 000- 002、Y2018091004- 000- 003;
④2个硬盘的编号为Y2018091004- 000- 004、Y2018091004- 000- 005;
⑤2个优盘的编号为Y2018091004- 000- 006、Y2018091004- 000- 007。
这里需要指出的是,该中心是将整部未拆开的电脑主机界定为检材,而将拆开的电脑内的硬盘作为检样。通常由于检材中手机是没有源盘和目标盘之分,所以手机类也可不需要标示源盘标识。
(4)参考以上多家司法鉴定中心电子物证检材编码规则,我们提出了编码规则建议,如下所示。
编码序列为单位编码(XAGASFJD)- 年份(20XX)- 案件编号(XXX)- 类型- 序号- 子序号;检材类型包含电脑主机(PC)、存储介质(SM)、移动终端(MT)、其他检材(OS);将此规则应用于以上案例电子物证检材,那么编号为:
①1台主机编号为XAGASFJD- 2018- 004- PC- 001,内置硬盘(若内置2个硬盘)编号为XAGASFJD- 2018- 004- PC- 001- 001和XAGASFJD- 2018- 004- PC- 001- 002;
②1台笔记本电脑编号为XAGASFJD- 2018- 004- PC- 002,内置硬盘编号为XAGASFJD- 2018- 004- PC- 002- 001;
③3部手机的编号为XAGASFJD- 2018- 004- MT- 001、XAGASFJD- 2018- 004- MT- 002、XAGASFJD- 2018- 004- MT- 003;
④2个硬盘的编号为XAGASFJD- 2018- 004- SM- 001、XAGASFJD- 2018- 004- SM- 002;
⑤2个优盘的编号为XAGASFJD- 2018- 004- OS- 001、XAGASFJD- 2018- 004- OS- 002。
由于固态硬盘(SSD)、优盘等半导体存储和机械硬盘等磁性存储有着存储原理上的不同,所以归为其他检材范畴。
3 西安市某公安机关电子物证司法鉴定检材编码规则
考虑到编码最终要打印到标签纸上贴在检材表面,如遇到类似于SD卡、TF卡等表面积较小的检材,就需要考虑到标签实际长度,因此对编码规则进行了精简。
(1)通过讨论最终确定了西安市某公安机关电子物证司法鉴定中心的编码规则:
编码序列为单位编码(XADFC)- 年份(20XX)- 鉴定编号(XXX)- 类型- 编号
XADFC- 2018- 004- SM- 001- [001]-[B01]
XADFC- 2018- 004- MT- 001- [001]
XADFC- 2018- 004- OD- 001- [001]
①PC、HD、移动硬盘、硬盘、U盘、存储卡等;
XADFC- 2018- 004- SM- 001
对于这些设备包含的硬盘或者存储卡,增加子序号;
XADFC- 2018- 004- SM- 001- 001;
如果在鉴定案件中制作的备份介质,则可按下列编码:
XADFC- 2018- 004- SM- 001- 001- B,如果备份为多个可增加两位数字编号,如下所示:
XADFC- 2018- 004- SM- 001- 001- B01。
②手机等移动终端;
XADFC- 2018- 004- MT- 001
如果手机包含TF卡等存储卡,则增加子序号
XADFC- 2018- 004- MT- 001- 001。
③其他检材;
XADFC- 2018- 004- OD- 001
如果检材包含存储卡,增加子序号
XADFC- 2018- 004- OD- 001- 001。
(2)将此规则应用于以上案例电子物证检材,那么编号如下。
①1台主机编号为XADFC- 2018- 004- SM- 001,内置硬盘(若内置2个硬盘)编号为XADFC- 2018- 004- SM- 001- 001和XADFC- 2018- 004- SM- 001- 002;
②1台笔记本电脑编号为XADFC- 2018- 004- SM- 002,内置硬盘编号为XADFC- 2018- 004- SM- 002- 001;
③3部手机的编号为XADFC- 2018- 004- MT- 001、XADFC- 2018- 004- MT- 002、XADFC- 2018- 004- MT- 003;
④2个硬盘的编号为XADFC- 2018- 004- SM- 003、XADFC- 2018- 004- SM- 004;
⑤2个优盘的编号为XADFC- 2018- 004- SM- 005、XADFC- 2018- 004- SM- 006。
这套编码规则是在鉴定中心实验室迎接CMA认证的背景下,参考了多家司法鉴定中心的检材编码规则的基础上,广泛征求了该电子物证司法鉴定中心多名资深鉴定人员的意见后经多次修改制定的,由于鉴定案件号本身是具有唯一性的,因此未将具体日期反映在编码之中,用鉴定编号唯一标示该起案件。自2018年10月中旬开始实行,目前已开始应用于鉴定案例的电子物证检材管理工作之中。
4 结语
依据2017年司法部司法鉴定执业监督情况通报,各省级司法行政机关接到对司法鉴定机构和司法鉴定人投诉举报共计1 624件,其中投诉发生率最高的北京市为万分之30.3,陕西省次之为万分之30[1]。对于鉴定本身来说,投诉可能意味着送检人对鉴定意见的不认可,有争议的鉴定也许会直接导致侦查工作的偏向,严重干扰案件的定性。
电子物证司法鉴定工作具有自身的独特性,从国家层面上2015年开始对鉴定机构强制推行CMA计量认证,从而保证鉴定机构为社会提供服务的公正性、科学性和权威性。随着中国司法鉴定事业的高速发展,更多的鉴定机构正在积极快速推进中国合格评定国家认可委员会(CNAS)实验室认证[8],通过这两项认证积极促进了电子物证鉴定的发展。从鉴定机构层面,需要加强电子物证现场勘验人员及送检人员对检材的重视程度教育,完善案卷内记录文件管理,树立“检材、证据是案件唯一生命”的理念,形成保护电子物证检材的意识,对于重要物证更要责任到人,对于鉴定机构而言电子物证检材的管理需要得到加强。
由于电子物证司法鉴定是一项系统工作,包括电子物证检材的管理都必须遵循司法部相关标准,同时也结合地域和机构特色指导符合自身特点的管理章程,本文聚焦于电子物证检材管理中的编码问题,参考并依据相关标准制定了一套检材编码规则,希望相关部门出台更具规范化的科学管理规则。
