法律執行過程模型研究

摘要：計算機取證必須遵循嚴格的過程和程序，否則，所獲取的證據缺乏可靠性和真實性。建立一個實用的計算機取證模型很重要，因為它能不依賴任何一種特殊的技術或組織環境，為研究支撐調查工作的技術提供一種抽象的參考構架。文章針對法律執行過程模型這一數字取證模型進行了簡單的分析。

關鍵詞：電子證據；計算機取證：數字取證：法律執行過程模型

0 引言

隨著網絡技術的發展、互聯網普及程度的逐漸提高以及電子政務、電子商務的不斷拓展，計算機與網絡已成為社會經濟生活中的組成部分。與此同時，針對計算機系統或網絡的犯罪活動以及利用計算機和網絡從事各種犯罪活動的人越來越多，由此造成的經濟損失令人觸目驚心，引發的社會問題也越來越突出。因此，一種涉及到法學、刑事偵查學和計算機科學等學科的新興學科——數字取證(Digital Forensics)受到了越來越多的關注。它作為網絡安全和網絡犯罪發展的產物，是法律救濟的必要手段，對于起訴計算機犯罪行為至關重要。

數字取證，從研究范圍來講，既包括計算機取證又包括網絡取證；從其內涵來說，是對數字資源的提取、存儲、分析和利用，它與網絡取證和計算機取證的本質是一致的。因而，數字取證是指為了揭示與數字產品相關的犯罪或過失行為，以及由其他原因導致的使系統發生故障的現象，利用一切科學且合法的方法和工具、對以O／I二進制表示的數據電文進行識別、保存、收集、檢查、分析和呈堂等活動的過程。利用計算機和其他數字產品進行犯罪的諸多證據都以數字形式通過計算機或網絡進行存儲和傳輸，從而出現了電子證據，數字取證就是對電子證據的各種處理。為了獲取合法有效的電子證據作為呈堂證供，法律執行部門就不可避免會接觸到各種各樣的電子設備并從中收集證據。但由于電子證據的特殊性，其獲取、存儲、傳輸和分析都需要特殊的技術手段和嚴格的程序并受相關法律法規的約束，否則，就會導致所獲取的證據缺乏可靠性和合法性，從而不被采用。自上個世紀90年代以來，人們相繼提出了很多數字取證的過程模型，其中早期提出的較為典型幾個模型包括：基本過程模型(Basic Process Model)、事件響應過程模型(Incident Response Process Model)、法律執行過程模型(Law Enforcement Process Model)、過程抽象模型(Abstract Process Model)。

1 法律執行過程模型

法律執行過程模型是2001年美國司法部(DOJ)在“電子犯罪現場調查指南”中提出的模型。該指南對不同類型的電子證據以及對安全處理的不同的方法都進行了說明。同時也指出了在處理電子證據進行取證時須遵守的原則：

(1)收集、保護和轉移電子證據的過程不應該改變證據；

(2)電子證據只能由那些訓練有素的專門取證人員審查：

(3)在封存、轉移、儲存電子證據期間的一切行為都要記錄歸檔以供審查。

該過程模型的內容是：

(1)準備(Preparation)

在調查前，準備好調查期間所需要的設備和工具，對計算機犯罪的計算機調查人員進行培訓。由于電子證據易丟失，在對電子證據進行收集、封存、儲存和運輸的過程中，對所用到的設備和工具要特別注意，那些會產生靜電、磁場的工具非常容易破壞電子證據。

(2)收集(Collection)

①保護與評估現場(Secure and Evaluate the Scene)：為了確定后面的具體行動，對計算機取證的現場范圍進行徹底的評估。通過回顧搜查令或其他授權，根據案件的細節，硬件和軟件的性質，識別潛在的證據并通過獲取證據現場的環境來確定哪些證據要進行重點檢查，同時要確保電子證據與傳統證據的完整性以及保護現場人員的安全。

②對現場記錄歸檔(Document the Scene)：及時記錄和歸檔現場有關情況，如現場取證位置、電源狀態、計算機設備、存儲介質、網絡設備等等。

③證據提取(Evidence Collection)：計算機證據的提取是在收集到大量數據中找到犯罪證據，所以根據計算機活動狀態的記錄和犯罪現場的環境，需選擇合法有效的程序來收集系統的數據副本。在證據的提取中主要會遇到兩個問題：一是犯罪嫌疑人會對重要文件進行加密，二是犯罪嫌疑人作案后會刪除、銷毀證據，這就需要使用到相應的密碼破解技術和數據恢復技術。

(3)檢驗(Examination)

對可能存在于系統中的證據進行校驗，特別是對那些隱藏的證據進行檢查，要構建一份詳細的文檔以便查找證據。

(4)分析(Analysis)

該階段是對對檢驗分析的結果進行復審和再分析，提取對案件偵破有價值的信息，從原始數字證據中找出計算機犯罪活動遺存的痕跡，還原計算機犯罪過程，鎖定計算機犯罪嫌疑人，并證明計算機犯罪嫌疑人和計算機犯罪活動之間的關聯。

(5)報告(Reporting)

匯總對案件的分析檢驗結果，提交和陳述證據。在法庭上最困難的問題是將計算機證據獲取過程向沒有技術背景的人陳述。證據的價值最終依賴于如何將它呈現在法庭上。因為，即使是對證據微小的質疑都將使證據失去證實任何犯罪的可能。所以取證結果的報告必須可以使沒有技術的或沒有計算機背景知識的人(包括法官、律師等)能夠理解。計算機證據必須以很簡單并且很精確的方式呈現，這樣才能使法庭上的所有人理解證據。

該模型是美國司法部(DOJ)從具體技術角度抽象出的模型，用來描述計算機取證的過程。由于該模型參考了標準的物理現場調查模型，使數字取證更貼近司法實踐，因此對電子證據的收集有時也可以利用傳統的物理取證手段。但在這個指南中并沒有對計算機或其他電子設備的取證區別對待，而是對大多數電子設備建立了一個通用的取證過程。該指南詳細地列舉了從電子設備以及犯罪現場環境中可以取到哪些類型的證據和一些潛在的證據，并列舉了與這些證據相關聯的犯罪類型。該模型也有優缺點。

優點：

①對不同類型的電子證據以及對安全處理的各種方法都進行了說明；

②取證過程滿足法律約束，保證了取證的合法性，以及證據的有效性；

③能指導司法人員對計算機犯罪進行現場調查。

缺點：

①過分依賴于物理過程；

②對系統的分析涉及較少，沒有考慮到計算機的特性；

③缺乏詳細的檢查與分析過程的說明，通用性不強。

2 結束語

面對日益增多的計算機犯罪，數字取證變得非常重要，而數字取證程序又是數字取證工作中的重要環節，因此它的制定應確保具有法律效力和普遍適合原則。取證程序的正確制定是取證工作的關鍵，一個合理、正確且合法的數字取證程序對取證工作起著指導作用，它能確保取證工作各個環節的正確進行。只有保證取證工作各個環節的程序化，才能使得取證結果具有可信性，在法庭上才具有說服力。