數(shù)字證據(jù)概念與特點分析

摘要：數(shù)字證據(jù)是首次以二進制代碼或其它抽象代碼存在的，并以這些代碼符號序列所蘊含的信息證明案件事實的證據(jù)。具有抽象性和無形性、感知手段的多樣性和依賴性、證據(jù)載體的依附性與相對獨立性、數(shù)據(jù)的脆弱性和數(shù)據(jù)內(nèi)容的精確性等特點。

關(guān)鍵詞：數(shù)字證據(jù)；二進制代碼；抽象性；易失性；可恢復性

中圖分類號；D915.13

文獻標志碼：A

文章編號：1001－B62X(2010)03－0136－04

一、數(shù)字證據(jù)內(nèi)涵界定

數(shù)字證據(jù)，英文名稱為Digital Evidenee，對其認識存在不同的觀點。美國FBI刑事犯罪實驗室(federal crime laboratory)對數(shù)字證據(jù)的定義界定為：“任何以數(shù)字形式存儲和傳輸?shù)?，可以提供證據(jù)的信息”。法國學者Freyssinet進一步對二進制代碼特征進行了強調(diào)，他認為：“數(shù)字證據(jù)是包含二進制格式信息的任何材料，二進制格式指的是計算機或微處理器使用的語言。”Harley Kozushko認為“數(shù)字證據(jù)是包含能夠構(gòu)建犯罪已經(jīng)發(fā)生，或者能構(gòu)建犯罪人與被害人、犯罪人之間聯(lián)系的任何或全部數(shù)字數(shù)據(jù)?！泵绹斩纱髮WBrian D.Carder和Eugene H.Spafford將數(shù)字證據(jù)定義為：“支持或反駁調(diào)查案件假設的、包含可靠信息的數(shù)字數(shù)據(jù)?！彼麄儗?shù)字證據(jù)界定時特別強調(diào)數(shù)據(jù)的數(shù)字化形式。

我國學者在界定數(shù)字證據(jù)時也十分重視數(shù)字證據(jù)的數(shù)字化形式。如有學者認為：“數(shù)字證據(jù)，指的是在計算機或計算機網(wǎng)絡工作的過程中形成的，以數(shù)字技術(shù)為基礎的，能夠反映計算機工作狀態(tài)、網(wǎng)絡活動以及具體思想內(nèi)容等事實的各類電子數(shù)據(jù)或電子信息，如電磁或光電轉(zhuǎn)換程序、數(shù)據(jù)編碼與數(shù)據(jù)交換方式、命令或者編程、被命名為病毒的破壞性程序、文字與圖像處理結(jié)果、數(shù)字音響與影像等等?！边€有學者認為：“數(shù)字證據(jù)是以數(shù)字形式所存儲的信息和表達的思想來證明案件事實的證據(jù)?！?/p>

除了強調(diào)數(shù)字證據(jù)構(gòu)成的二進制符號抽象形式外，也有的學者突出數(shù)字證據(jù)依賴于計算機系統(tǒng)的這一特征。Eoghan Casey在其《數(shù)字證據(jù)與計算機犯罪》一書中將數(shù)字證據(jù)定義為：“任何使用計算機傳輸?shù)臄?shù)據(jù)，用于支持或反駁犯罪發(fā)生方式的推測，或者用于表述諸如動機、犯罪現(xiàn)場等的犯罪關(guān)鍵要素。”Johann Hershensohn在《信息技術(shù)取證：數(shù)字證據(jù)收集和展示》一文中將數(shù)字證據(jù)定義為：“任何使用計算機傳輸?shù)臄?shù)據(jù)。用于支持或反駁關(guān)于犯罪是怎樣發(fā)生的或表述犯罪關(guān)鍵要素的推測，或者用來證明有爭議事實的某方面。”

另外，也有從存儲介質(zhì)形式界定數(shù)字證據(jù)的觀點，如國際組織計算機犯罪研究中心將數(shù)字證據(jù)定義為：“以電或磁的形式存儲、傳輸?shù)男畔ⅰ！?/p>

雖然對數(shù)字證據(jù)認識不完全一致，但在證據(jù)具有數(shù)字化特征以及與計算機緊密聯(lián)系方面基本達成共識。

筆者認為，數(shù)字證據(jù)是首次以二進制代碼符號或其它抽象代碼存在的，以這些代碼符號序列所蘊含的信息證明案件事實的證據(jù)。通過存儲介質(zhì)形式界定數(shù)字證據(jù)并不科學，因為以電和磁的形式存儲的信號也有模擬信號形式，這與數(shù)字證據(jù)字面意義并不相符。而在數(shù)字證據(jù)定義中突出計算機系統(tǒng)處理也不夠確切，因為照相機、傳真機中數(shù)據(jù)也以數(shù)字化形式存在的。雖然它們也可勉強看成是一種計算機系統(tǒng)，但將其內(nèi)文件看成計算機系統(tǒng)傳輸?shù)臄?shù)據(jù)過于牽強。而且把計算機傳輸或處理的對象看成是數(shù)字證據(jù)，容易將傳統(tǒng)證據(jù)也納入數(shù)字證據(jù)中，例如，掃描前后的照片。

具體來說，可以從以下兩方面進行理解：

(一)數(shù)字證據(jù)是以抽象的二進制代碼表示的字符序列所蘊含的信息證明案件事實

數(shù)字證據(jù)是以二進制代碼所表示的字符序列所蘊含的信息來證明案件事實的。這種抽象代碼與書證中的數(shù)字、符號、文字、圖形不同；也與視聽資料中的模擬信號不一樣。

1.二進制代碼與書證中“符號”的區(qū)別

書證中的“文字”、“符號”代表的信息是常人可以理解和識別的，而二進制代碼代表的信息常人難以識別和理解。從信息真實性看，書證是否真實可以考察書證載體是否經(jīng)過偽造或者變造，記載的內(nèi)容是否屬實。而數(shù)字證據(jù)真實性需要從二進制代碼的形成是否“真實”，蘊含的信息與表現(xiàn)出的文字、語音、圖像或功能是否一致，信息本身的真實性等三個方面來分析。

二進制形成是否真實，指的是二進制代碼本身是否經(jīng)過偽造或者變造。這一點與書證的載體是否經(jīng)過變造與偽造類似。信息本身的真實性指的是二進制代碼所蘊含的信息內(nèi)容所表達的事實是否是真實的。這一點與書證中記載的文字內(nèi)容是否是事實是類似的。

數(shù)字證據(jù)真實性還與二進制代碼的解釋密切相關(guān)。與書證不同的是，直接理解二進制符號對于常人來說幾乎是無法完成的。更重要的是對二進制的理解方式也沒有固定的程式。不同計算機系統(tǒng)、不同文件格式、二進制代碼的理解方式都可能會存在一定的差異，必須借助不同的外部工具進行解釋和理解。

2.二進制代碼與視聽資料中“模擬信號”的區(qū)別

模擬信號是以連續(xù)信號的形式存在的，而數(shù)字信號是以離散信號形式存在的。從存在形式看，視聽資料中模擬信號必須是電子形式存在。二進制代碼存在形式則無嚴格要求。只要能找出有易于區(qū)分的兩種狀態(tài)，能表示這些狀態(tài)序列的介質(zhì)，以及能夠被計算機設備識別，則這種存在形式都是可接受的。例如，穿孔紙張的有孔與無孔，黑白顏色的圖形，平面的坑洼等。

從運行機制看，模擬信號經(jīng)過復制后，無法復制出與原始信號完全一樣的模擬信號。二進制代碼則采用數(shù)字信號表示，由于復制過程中只有高低、開關(guān)等兩種完全不同的狀態(tài)，即使處理存在誤差，兩種狀態(tài)相對大小還是可以保持不變的。而且，計算機處理數(shù)據(jù)采用可靠的校驗手段，能夠保證二進制代碼的準確性。

(二)數(shù)字證據(jù)的首次形成必須是二進制代碼序列形式

在我國證據(jù)的分類主要以證明方法不同進行分類的。例如，言詞證據(jù)是以人的語言陳述來證明案件事實的。書證指的是以文字、符號、圖畫等記載的內(nèi)容和表達的思想來證明案件事實的書面文件或其它物品。這種分類方法與按照載體進行分類的方法是有區(qū)別的。即言詞證據(jù)可以存在書面形式。如果言詞證據(jù)直接記錄在計算機中，按照現(xiàn)有分類方法仍然屬于言詞證據(jù)。為了與現(xiàn)有證據(jù)分類盡量保持一致，數(shù)字證據(jù)概念有必要限定為首次形成時是以二進制代碼序列形式存在的。

1.傳統(tǒng)證據(jù)的數(shù)字化形式不屬于數(shù)字證據(jù)

傳統(tǒng)證據(jù)的數(shù)字化形式證據(jù)不屬于數(shù)字證據(jù)，例如，照片經(jīng)過掃描轉(zhuǎn)化成二進制形式存儲在計算機內(nèi)時，不宜將照片看成是數(shù)字證據(jù)。而應看成傳統(tǒng)視聽資料的復制形式。同理，證人通過錄音筆將自己的供述錄制下來的數(shù)字化內(nèi)容也不宜看成是數(shù)字證據(jù)，而應屬于證人證言的數(shù)字化形式。

當然以首次形成來限定數(shù)字證據(jù)的主要目的是為了減少與現(xiàn)有證據(jù)種類的沖突，但這種二進制代碼形式的證據(jù)與數(shù)字證據(jù)在性質(zhì)上存在共同處。

2.傳統(tǒng)證據(jù)的數(shù)字化形式經(jīng)過計算機處理、加工、傳輸改變其所蘊含信息的屬于數(shù)字證據(jù)

上述數(shù)字化傳統(tǒng)證據(jù)經(jīng)過計算機處理、加工、傳輸后如果改變了其所蘊含信息時，應屬于數(shù)字證據(jù)。例如，聊天記錄由于經(jīng)過了計算機信息系統(tǒng)的傳輸處理，且將兩人或多人的陳述交叉在一起形成數(shù)字化證據(jù)，屬于數(shù)字證據(jù)。傳統(tǒng)打印稿經(jīng)過計算機編輯處理后是數(shù)字證據(jù)，因為其內(nèi)容已經(jīng)發(fā)生了改變，無法與傳統(tǒng)的證據(jù)內(nèi)容完全一致。

3.數(shù)字證據(jù)也存在非數(shù)字化形式

由于將首次形成形式作為證據(jù)概念的限定條件，因此數(shù)字證據(jù)也同樣存在非數(shù)字化形式。例如，數(shù)字證據(jù)經(jīng)過打印進行固定的文字材料。因為數(shù)字證據(jù)打印件的真實性主要依賴其原始的數(shù)字化形式內(nèi)容是否真實，因此，看成數(shù)字證據(jù)的復制件更加合理。

二、數(shù)字證據(jù)特點分析

(一)抽象性和無形性

數(shù)字證據(jù)的抽象性和無形性表現(xiàn)在證據(jù)信息的表示上具有抽象性、信息解釋上具有多樣性、信息理解機制上具有協(xié)定性的特點。

1.信息表示的抽象性

數(shù)字證據(jù)所表示的信息內(nèi)容，實質(zhì)上是按照一定編碼規(guī)則由二進制代碼“0”或“1”(或其它進制代碼，如7進制)排列表示的某種信息。二進制所能代表的信息內(nèi)容十分抽象，可以表達任何信息?？梢允强刂朴嬎銠C的控制信息；可以是描述解釋二進制代碼的命令信息；也可以是信息內(nèi)容本身。數(shù)字證據(jù)對存儲的介質(zhì)和采用的技術(shù)也并沒有特殊的要求。只要這種材料或物質(zhì)能夠通過某種技術(shù)手段準確表示二進制代碼，均可作為存儲介質(zhì)。例如，生物計算機可以通過細胞分子的開關(guān)功能表示“0”和“1”。

2.信息解釋的多樣性

雖然數(shù)字證據(jù)本質(zhì)上是一串二進制代碼，但是觀察到的并非原始代碼信息。因為數(shù)字證據(jù)其包含的關(guān)鍵信息內(nèi)容是需要通過一定軟硬件設施才能顯現(xiàn)的，且采用不同解釋工具和方法解釋結(jié)果是不同的。例如，二進制代碼“100111001000010”如果理解成UNICODE編碼表示字符，則表示漢字的“乒”、如果理解成ASCII碼表示字符，則表示兩個英文字符“EB”。

3.信息理解機制的協(xié)定性

二進制代碼實際上一種邏輯語言，它不同于自然語言。自然語言具有較強的穩(wěn)定性和區(qū)域性，人們可以直接通過自然語言符號理解自然語言的內(nèi)容。二進制表示的邏輯語言是需要機器處理的語言。機器怎么處理、怎么解釋又是人事先設計和制造的。正是由于二進制代碼語言的非自然性，使得對特定數(shù)據(jù)理解沒有固定程式。除非解釋工具或軟件符合某種共同規(guī)范，否則二進制代碼難以翻譯成可理解的正確內(nèi)容。如果信息內(nèi)容無法被人們理解，則證據(jù)本身沒有任何實際證據(jù)價值。

(二)感知手段多樣性和依賴性

二進制代碼序列只有經(jīng)過正確解釋后才能夠被人們理解。在計算機系統(tǒng)中，信息常以文件形式存在。當打開這些文件時，實際上依賴操作系統(tǒng)中已經(jīng)安裝的應用軟件。

1.特定格式的數(shù)據(jù)依賴特定軟件來查看

計算機中文件可以包含各種復雜的信息，不同文件的結(jié)構(gòu)是不同的。例如，圖片文件需要圖片瀏覽器來查看其內(nèi)容。在Windows操作系統(tǒng)中，如果將圖片的后綴名改寫成音頻格式的后綴名，則雙擊文件時，系統(tǒng)使用播放音頻軟件來打開此文件，結(jié)果會出現(xiàn)錯誤。因此，不同格式文件依賴不同軟件打開或運行。只有使用正確的工具軟件才能正確理解二進制序列的結(jié)構(gòu)、格式、信息內(nèi)容。

2.同一格式的數(shù)據(jù)可以被不同的軟件處理

解釋工具與特定文件格式無一一對應關(guān)系。任何一種格式的文件，只要某軟件能夠理解該文件的結(jié)構(gòu)，并能對其進行正確處理，就能準確“感知”該文件。例如，BMP圖像幾乎可以由所有圖像軟件正確“感知”。

在計算機網(wǎng)絡中，存在海量數(shù)據(jù)，與案件相關(guān)的數(shù)字證據(jù)通常很少，要正確搜索和識別數(shù)字證據(jù)必須借助專業(yè)設備和軟件來感知。這些感知工具的可靠性一定程度上影響數(shù)字證據(jù)內(nèi)容的可靠性。

(三)證據(jù)存在的依附性與相對獨立性

數(shù)字證據(jù)本身不能獨立存在，需依附于一定的物理介質(zhì)。另一方面。數(shù)字證據(jù)一旦固定在一個介質(zhì)上，不會像其它證據(jù)一樣，與該介質(zhì)不可分離。書證、物證一旦固定在物質(zhì)載體上，除非采用復制、臨摹、抄寫等手段進行復制，否則證據(jù)的信息是不可以轉(zhuǎn)移到其它載體上。而且原始信息仍然固定在原始載體上，不可分離。但數(shù)字信號可以脫離其“原始”的載體。輕松地轉(zhuǎn)移到其它載體上。這種轉(zhuǎn)移雖然也類似一種“復制”的行為。但與傳統(tǒng)的“復制”存在一定的區(qū)別。數(shù)字證據(jù)的“復制”類似于信息的轉(zhuǎn)移，在復制前后，內(nèi)容可以保持相當精確的一致。因此，數(shù)字證據(jù)具有相對的獨立性，信息可以通過一個物理介質(zhì)準確無誤地轉(zhuǎn)移到另一個物理介質(zhì)。

(四)易失性的和可恢復性并存

數(shù)字證據(jù)的另一個特征是具有易失性特征。與物證、書證不同，數(shù)字信號容易受到各種外部和內(nèi)部的條件的影響。例如，如果發(fā)生了意外斷電，計算機內(nèi)存中所有的數(shù)據(jù)將會丟失。計算機受到強電磁干擾，數(shù)據(jù)內(nèi)容可能發(fā)生錯亂等。

數(shù)字證據(jù)具有易失性的同時，也具有可恢復性的一面。對于存儲在硬盤、軟盤、U盤等外存儲器中的數(shù)字數(shù)據(jù)，當它們在刪除后，常可通過一定技術(shù)手段將原來的內(nèi)容恢復出來。從邏輯層次看，計算機系統(tǒng)在處理數(shù)據(jù)時，效率是至關(guān)重要的。當系統(tǒng)在刪除存儲設備中數(shù)據(jù)時，為了提高處理效率，不可能對所有數(shù)據(jù)一一刪除，系統(tǒng)只是在這些作廢的數(shù)據(jù)上做上特殊的標記，數(shù)據(jù)真正內(nèi)容并沒有刪除。因而可以進行恢復。從物理層次，磁頭在對硬盤某個位置讀寫時，前后兩次定位不可能完全準確，總會出現(xiàn)一定的偏差。如果存在偏差，則可以通過激光技術(shù)等特殊定位和測量手段，找出同一位置幾種磁性狀態(tài)的淺影，確定前一次該位置的磁性狀態(tài)，進行物理的恢復。

因此，數(shù)字證據(jù)不僅僅具有易失性的一面，還具有可恢復性的一面。前一特點一定程度上削弱了數(shù)字證據(jù)的可靠性。后一特點又增加了數(shù)字證據(jù)的可靠性。

(五)數(shù)據(jù)內(nèi)容的精確性和數(shù)據(jù)的“脆弱性”

數(shù)字證據(jù)從一個位置轉(zhuǎn)移到另一個位置的過程中，如果不發(fā)生差錯，其內(nèi)容與原始內(nèi)容是完全一致的。即使出現(xiàn)差錯，也存在一定的糾錯機制進行控制或恢復。只要系統(tǒng)運行的環(huán)境正常，數(shù)字證據(jù)在轉(zhuǎn)移過程中能保證精確性和可靠性。

數(shù)字證據(jù)具有精確性一面，同時存在“脆弱性”一面。復制過程中，雖然數(shù)據(jù)內(nèi)容能保證相當?shù)木_性，但是數(shù)據(jù)的屬性(即數(shù)字文件的屬性)可能會發(fā)生變化，失去數(shù)字文件原來的信息。例如，在WINDOWS操作系統(tǒng)中，如果采用復制、粘貼操作將數(shù)字文件從一個設備轉(zhuǎn)移到另一個設備時，文件的創(chuàng)建時間會發(fā)生變化。如果打開文件，文件的最近訪問時間也會發(fā)生變化。如果時間屬性對于案件事實證明十分重要，則證據(jù)證明價值將削弱。數(shù)字證據(jù)的“脆弱性”表明在證據(jù)的收集過程中，應該遵守數(shù)字證據(jù)的技術(shù)特性，不能盲目取證，否則證據(jù)的價值將大打折扣。