作者:常 青 李 毅
【提要】 本文中笔者针对从办案中在提取电子证据的载体时需要注意的事项,常见的软件应用可以得到的数据等检察办案电子证据检验鉴定工作进行了探讨,并结合我院电子证据检验工作现状就如何进一步强化我院电子证据工作进行了展望。
【关键词】 电子证据 检察办案 检验与应用
二十世纪电脑的发明及应用,标志着人类进入了以数字化为主体的数字信息时代。随着信息技术的迅猛发展,特别是电子产品在现实生活中的普及应用,电子存储介质(硬盘、U盘、存储卡、内存、手机内存等)随之成为这个时代人们生活工作不可或缺的一个重要工具。电子技术的飞速发展,电子产品的应用推广,使违法犯罪活动也不可避免的涉及到电子信息和有关电子设备,在各种类型的犯罪中,大量地存在涉案电子数据,正是由于这种需求,开辟了电子证据检验这一新的技术检验专业。
一、电子证据的涵义和法律地位
电子证据是指“由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。”[3]电子文件在诉讼中要想成为证据,还存在这一定的法律问题,我国法律尚未明确规定电子证据的地位。我国刑诉法第42条规定了7种证据形式[4],电子证据是近年来随着互联网技术飞速发展才出现的一种证据。由于电子证据有着自身的特殊性,并不能被以上7种证据形式中的任何一种所涵盖。目前法律对电子证据的合法性要求、形式均未有规定,而关于电子证据取证,除在《公安机关办理刑事案件程序规定》中有所涉及外,基本上“无法可依”。因此,在现状下电子证据的证据形式,不应该简单的阐述为电子文章、电子邮件、光盘、网页、域名等;在当前的形式下而应该尽量向当前已有分类中归类,如电子文章、电子邮件、手机短信记录等,往往是通过文字形式内容表现的,在出庭时这些证据也多是由其文字表述内容做为证据的,因此书证是电子证据的证据形式之一;还有数码照片、视频资料等,往往在出庭时是以音像资料出现的。另外相关法律与法规的尽快出台,单独将其列为一类新的证据形式,将为电子证据检验鉴定工作的开展,为检察工作提供重要支持。
二、电子证据的对象
电子证据检验的对象是各种电子设备中存储或传输的电子信息。这些设备和信息成为证据检材有四种可能的原因:1、用作犯罪活动的工具;2、是犯罪活动侵害的目标;3、是犯罪活动的赃物;4、保存记录了与犯罪活动相关的信息。通过检验这些电子信息,有可能得到能够证明他们与犯罪活动相关联的证据,找到能够说明犯罪活动事实的证据,或者为得到掩盖了的犯罪事实、追捕在逃犯罪嫌疑人提供线索。
在日常中最常见的电子证据检材,主要是计算机及其附属设备和手机等有存储功能的电子设备。包括:台式电脑、笔记本电脑、服务器、移动硬盘、软盘、光盘、U盘、打印机、扫描仪、PDA、电话机、复印机、照相机、摄像机、录像机等各类存储介质。
电子物证检材可以存在于各种不同类型的犯罪案件中,既可以存在于高科技的犯罪,也可以存在于各种传统型犯罪。例如各种经济犯罪中的电子记账记录,恐吓骚扰中打印的恐吓信原件,涉黄案件、侵犯版权案件中的证据资料都可能通过搜寻提取电子证据来取得,甚至通过分析犯罪嫌疑人在电脑中、网络上关注的事情、地点,提前进行预防或为追捕提供线索。
三、电子证据载体(物理证据)的提取
电子证据检验工作的第一阶段是识别、提取和保存电子证据检材和样本。在提取电子证据检材的过程中,最重要的一个原则就是要以能够保持被检验物证检材的证据价值的方式处置物证检材,保持物证证据价值不仅仅是指检材物品的物理完整性,更重要的是包括其所包含的电子信息的完整性。
办案侦查人员在工作中,如果发现某电子设备可能被用作犯罪工具、作为犯罪目标或赃物,或者该电子设备中可能包含有与案件相关的信息时,就需要对该电子证据载体进行提取,作为物证检材。
在提取物证时候应该注意:1、切勿对电子信息进行修改。有些时候,这种修改并非是侦查人员有意为之,可能在侦查人员不经意间对物证进行了更改。例如:侦查人员在提取电脑物证时,对关机状态的电脑进行开机操作,这样会使开机的最后时间,和部分文件的修改时间产生变化,有可能对物证的提取造成不利影响。2、保证电子信息的完整性。如果在提取物证电脑时,嫌疑人正在使用电脑或者电脑处于开机状态,这时侦查人员也不要对电脑进行操作。为了保证电子信息的完整和全面,最好是使用专门的工具进行现场保存数据。但在日常工作中可能很难配置众多移动设备,这时最好是对电脑直接关闭电源。这里指的关闭电源并非我们日常使用电脑的关机,而是对电源插头直接拔出。这样做的好处是:(1)最好的保证了数据的完整性。因为任何操作都会对部分数据进行更改。(2)防止挥发性数据丢失。当嫌疑人进行操作时,可能有些加密文件正处于打开状态,这时按日常的操作关闭程序会使加密文件重新变回加密状态,另外任何操作都会使内存中可能存在的一些电子证据被破坏。而直接关机则可保证临时文件和内存中的数据都被较为完整的保留,便于下一步工作的展开。3、注意提取周边设备。在提取电脑的过程中,应考虑到同时提取该计算机的外围硬件,如打印机、扫描仪、软盘、U盘、移动硬盘等。4、保证运输过程中安全。电子设备和存储介质很容易受到损坏,所以必须小心保存和运输。因为电子信息相对于物理证据更容易被丢失和损坏。除了同物理证据一样需要防火、防水和防盗之外,在存放和运输过程中,还必须避开强电磁场,高温和高湿环境也会对电子证据检材产生很大危害。同时还应当注意采取防震措施,当电子设备特别是硬盘,受到超过一定强度的冲击力后,即使外观没有可见损伤,但设备内部也受到损坏。5、注意提取周边物证。在提取电子设备时,在周边可能还会存在一些相关的非电子信息物证,例如记录在纸上的口令,打印出来的文字、图表和照片等,这些相关的物证检材可能对后期的电子证据检验起到重要帮助,因此也应该一起提取。
四、电子证据检验鉴定
由于电子检验软件有很多种类,而每个软件在使用过程中又有一些不同,为了方便介绍,之后所涉及的软件为FTK系列。
1、对电子信息的提取。当收到送检的电子设备后,首先要做的是要将检材数据进行复制,这里所说的复制并非仅仅对文件,而是对整个存储空间进行镜像复制。并且在进行复制的整个过程中,都不得对检材内容进行丝毫更改,也就是不得用检材内的系统进行启动或者对文件进行更改,而应该用另一套独立的检测系统对检材进行备份。这样做的好处是,第一是进行完整的数据备份后,复制出的数据与原存储空间内的数据一致(包括各种文件碎片)。另外检验过程针对复制件进行,因此不会改变,当事人如果对检验结果提出异议,可再次进行数据提取,仍然会得出同样的数据。
2、部分常见应用。通过对电子证据进行分析,我们可以得出很多信息:
(1)在现今的社会里,网络应用已经越来越普及。一旦嫌疑人用该电脑上网操作,我们都可以得到一些信息。通过这些蛛丝马迹,我们就可以分析出一些案件线索。例如:1、我们可以通过分析得出嫌疑人的邮箱和邮箱密码,通过登录嫌疑人邮箱,可能在邮箱里得到与案情有关的信件。2、通过嫌疑人曾关注的事情进行推理,有时可以得到相关的线索,但是如何知道嫌疑人关注什么却是一大难题。通过对计算机曾经打印过的文件内容、历史上网记录和搜索过的字段,我们就可以得知嫌疑人对那些事物感兴趣,这个感兴趣的事物可能就是嫌疑人的犯罪活动侵害的目标。例如在某案中嫌疑人已经潜逃,如果没有线索,嫌疑人逃到哪里很难得知,通过分析嫌疑人搜索过某地的交通和基本情况,大致知道嫌疑人可能潜逃的方向和目的地,就可最终顺利将其抓获。3、通过分析近期存储数据路径,可以找到近期该电脑使用人存储的文件,而文件中的内容很有可能就为案件提供线索和证据。
(2)当得到硬盘或U盘等可移动存储介质后,嫌疑人可能会不承认该设备归其所有,狡辩称该设备为捡到的。而在嫌疑人家中或单位的电脑等设备则比较容易确定为嫌疑人所有。那么通过分析曾经加载过的硬件设备和曾经加载过的USB设备,就可以得知该硬盘或U盘等可移动存储设备在电脑中是否使用过,并且可以知道首次与最末次的使用时间,也可通过这些信息判断该设备是否为嫌疑人所拥有与使用。
(3)嫌疑人很可能不承认自己在某个时间使用过这个电脑。当这种情况发生时,可以通过分析该电脑系统中最后登录用户和最后的登录时间。
(4)嫌疑人可能为了防止电脑中的信息成为证据,而对这些证据进行删除或破坏,通过一般的恢复软件我们可能无法还原已经被破坏的文件,因为还原出来的文件碎片并非人为可以识别的。但是通过软件对文件碎片内容进行整理分析,就可以得到部分原始的信息,而这些被嫌疑人刻意破坏的信息可能也正是案情的关键信息或证据。
(5)每个电子文件都会有自己独有的哈希值,就如每个人的DNA。通过对部分敏感文件制作哈希集后,可以对整个物证进行哈希比对,通过比对可以发现该存储空间中有哪些相似的信息。特别是在一些版权案件中,即使对文章或图片进行了部分修改,仍然可以通过模糊哈希把相似的文件一一搜索出来,为案件提供证据。
(6)数据的手工挖掘。由于绝大多数文件分析软件都是以文件头等做为文件搜索的信息,数据的手工挖掘就是借助关键字的搜索功能,从文件内容中查找目标。这样做的好处是我们搜索的范围不只是恢复被删除的文件中的内容,即使是未分配空间、被破坏的文件碎片中的重要信息一样能够搜索到。
(7)打印机数据分析。Windows的打印程序在打印完成后会自动删除打印文件,但是我们通过专业的软件,就能够将部分的打印内容挖掘出来,进行分析。
(8)对上网记录和聊天记录进行分析。通过查看嫌疑人电脑所登录过的所有网址、进行过的搜索操作特别是嫌疑人的上网聊天记录,能够很直观的发现嫌疑人的活动内容,对案件的侦破和取证提供重要线索。
五、我院电子证据检验工作现状及展望
(一)基本情况
近年来,按照高检院的统一部署和要求,北京市丰台区人民检察院在院领导的高度重视和关怀下,认真落实全国人大《关于司法鉴定管理问题的决定》。在2009年12月派员参加了第五届计算机法证技术峰会(2009年会),在2010年初又派员参加了e-DEC电子证据检验技术(FTK)高级认证培训,并取得了合格证书。为了更好的落实检验鉴定工作,我院成立了以蔡柏林检察长为组长、其他班子成员为副组长、各业务处室负责人为成员的的检验鉴定领导小组,于2010年3月17日颁布了《丰台区人民检察院受理司法鉴定程序规定(试行)》,该规定的颁布进一步规范了丰台区人民检察院司法鉴定的委托与受理工作,推进了我院司法鉴定工作的科学发展。为了得到广大干警的积极配合,又与全院各业务处室负责人签订了《司法鉴定协作协议书》。总体而言,在领导的大力支持下,提取和检验电子证据的工作机制和正在我院逐步形成,基础性条件正在逐步配齐。
(二)进一步强化电子证据检验工作的展望
1、进一步强化干警调取电子物证的意识和能力
在当今以及未来的时代,电子证据必将能够在各种类型的犯罪案件中提供线索和证明犯罪,成为新时代检察机关侦破案件的又一护航者。对此,应通过在检察工作中强化电子证据观念,使大家进一步认识到电子证据检验的重要性和必要性,应逐步普及电子证据的意识和电子证据检验技术及作用的基础知识,以及基本的电子证据提取、包装和保存知识,使办案人员具有提取电子物证的基本素养和能力。
2、加强实践全面铺开电子物证工作
当前检察机关电子物证工作尚处于探索阶段,我院需要依托刑检一线部门实际办案工作,深入贯彻我院制定的《丰台区人民检察院受理司法鉴定程序规定(试行)》,在实际业务中积极开展调取电子物证工作,真正做到电子物证工作的普遍化和制度化。
3、总结工作经验,深入研讨上升法律高度
由于电子证据在性质、效力等方面不同于传统的证据类型,因而,电子证据的法律规则必然具有特殊性,这就给立法、司法提出了更高的要求。由于目前法律尚未细致规制电子物证法律地位,这就需要我们检察机关通过大量具体工作,总结相关工作经验,深入研讨工作成效,为电子物证在立法上的理论完善提供实践基础和论证。
[1] 常青,男,丰台区人民检察院副检察长。
[2] 李毅,男,丰台区人民检察院技术处干部。
[3] 中华人民共和国最高人民检察院《人民检察院电子证据鉴定规程规则(试行)》
[4] 《中华人民共和国刑事诉讼法》第四十二条规定:“证明案件真实情况的一切事实,都是证据。证据有下列七种:(一)物证、书证;(二)证人证言;(三)被害人陈述;(四)犯罪嫌疑人、被告人供述和辩解;(五)鉴定结论;(六)勘验、检查笔录;(七)视听资料。以上证据必须经过查证属实,才能作为定案的根据。