證據視角下的計算機取證過程分析

王驕

（華東政法大學，上海 200042）

證據視角下的計算機取證過程分析

王驕

（華東政法大學，上海 200042）

計算機犯罪在對人們生活產生影響的同時，也改變著司法實踐案件調查取證的方法。由于目前我國對計算機取證的法律法規尚未健全，偵查人員不規范的取證行為直接影響計算機證據的法庭認可。通過指出現存問題，從證據視角分析計算機取證的特點及法律要求，為今后法律法規的進一步健全、計算機取證工作的規范化提供參考。

計算機取證；證據；合法性；過程分析

計算機技術的迅速發展改變了人們的生活方式，但也為違法犯罪分子提供了新的犯罪空間和手段。以計算機信息系統為犯罪對象和工具的各類新型犯罪活動，如電子商務糾紛、網絡著作權糾紛、網絡恐怖主義等問題層出不窮，造成的社會危害也越來越大。計算機取證作為一門新興的且具有重要實踐意義的學科，得到專家學者們的廣泛重視。

1 計算機取證概述

1.1 計算機取證定義

關于計算機取證的定義可從兩種角度理解：從技術視角看，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程[1]。從法律視角看，計算機取證是指對能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關外圍設備中的電子證據的確定、收集、保護、分析、歸檔以及法庭出示的過程[2]。盡管沒有統一、準確的定義，但可以達成共識的是，計算機取證是一個利用信息技術對計算機證據進行獲取、保護、分析，為法庭提供可接受的、足夠可靠和有說服力的證據的過程。

1.2 計算機取證發展現狀

計算機證據在信息技術發達的歐美國家已有30多年的歷史，美國早在1984年就建立了計算機取證實驗室，而現在覆蓋了全美近70%的法律部門。近些年來，以計算機取證為主題的會議雨后春筍般出現，1991年首屆IACIS（International Association Computer Specialist）國際會議奠定了計算機取證的基石；1993年、1995年、1996年、1997年分別在美國、澳大利亞、新西蘭召開了以計算機取證為主題的國際會議，并成立了計算機證據國際組織和電子證據科學工作組[3]；FIRST（Forum of Incident response and Security Teams）技術論壇和SANS公司主持的系統取證、調查、響應年會等學術活動也在不斷推進計算機取證的發展。

相比而言，我國的計算機取證起步較晚，但發展勢頭良好。2004年在人民警察學院召開了第一屆全國計算機取證技術研討會，至今已成功召開三屆并取得了很大進展；2005年中國計算機取證技術峰會召開，至今已成功舉辦四次；863項目子課題——電子物證保護與分析技術和公安部重點項目——打擊計算機犯罪偵查技術研究也已取得相當不錯的進展。司法實踐中，近五年來我國計算機司法鑒定案件呈逐年上升趨勢：2010年全國共接收計算機司法鑒定案件897件，電子數據鑒定777件[4]，相比2007年分別增加了120.39%和188.59%，可見計算機取證的需求很大。計算機取證作為計算機和法學領域的交叉學科，已得到廣泛的關注和大量的實踐應用，并成為計算機安全領域、證據法學領域的研究熱點之一。國內外計算機取證公司和有關科研機構已研發出針對不同操作系統、滿足不同需求的計算機取證軟硬件產品，比較著名的如美國Guidance公司研制的Encase、還有國內廈門公安局安監科和美亞柏科資訊研發的計算機犯罪取證勘察箱等。

法律制度的規范相比技術發展而言，步伐就慢了許多。在計算機取證過程中缺乏相應的制度、法律規范做指導和保證，得到的結論就難以在法庭上發揮證據效力。隨著計算機網絡的日漸普及、計算機犯罪手段的不斷變化、反取證手段的深入發展，我們不僅要關注技術發展，還要從法律層面深化對計算機取證過程的分析研究，促進相關法律法規的制定、完善。

1.3 計算機取證的應用范圍

1.3.1 刑事案件

隨著計算機成為人們日常生活中不可或缺的工具，利用計算機進行犯罪活動的現象也屢見不鮮。偵查機關、檢察機關、國家安全機關需要運用計算機取證手段來發現并提取涉及計算機的兇殺案、經濟詐騙、毒品交易、網絡色情、互聯網盜竊、行賄受賄、網絡恐怖主義[5]等犯罪活動。

1.3.2 民事、行政案件

在民事活動中，有時也會涉及到利用計算機系統進行的電子商務詐騙、商業秘密竊取、保險詐騙、信用卡詐騙、侵犯個人隱私、侵犯知識產權等案件；電子政務糾紛、濫用職權等行政案件中也越來越廣泛地運用到計算機取證手段。個人或者組織也可通過自行收集證據向法庭舉證，這就需要求助于專業的司法鑒定機構對證據的真實性、完整性做出鑒別。

2 計算機證據的特點

計算機證據不同于傳統證據類型當中的任意一種，除了具有證據關聯性、真實性、合法性的特點之外，還有其獨有的特點。

2.1 高科技性

計算機證據以抽象的二進制形式存儲于電子元件和磁性材料中，是存儲在高科技產物——計算機中的一種證據形式。利用計算機進行違法犯罪活動，行為人往往具有很高的專業技術知識，為逃避追查，嫌疑人往往會將罪證隱藏、擦除或者加密，因此，要獲取這些證據需要借助計算機科學中諸如存儲技術、網絡通信、信息安全等高科技手段。

2.2 隱蔽性

計算機證據不像指紋、腳印、筆跡、槍彈痕跡那樣通過肉眼或者顯微鏡就可以觀察到。從物理上講，其只是靠集成電路的電子矩陣正負電平或磁性材料磁體發生變化來記錄、表示的二進制數據組合而成的信息，肉眼不可能直接觀察到。要獲取計算機及其外圍設備中存儲的證據，需要運用特殊的與傳統獲取方法完全不同的手段。

2.3 脆弱性

脆弱性表現在三個方面：（1）計算機證據本身是由人的操作形成的，對它的篡改可以輕而易舉，從而使得計算機信息具有了脆弱而不可靠的一面；（2）計算機證據存儲在電磁設備上，如遇高溫、高酸堿、強輻射環境或遭受暴力性破壞，會對記錄的信息造成不可恢復的破壞；（3）計算機對數據的處理都是實時完成的，遭受入侵的計算機系統中使用痕跡保存時間有限，如果在短時間內未及時發現、備份，那么記錄很可能會被覆蓋或人為刪除，導致涉案證據的丟失。

2.4 復合性

計算機證據的復合性表現為計算機證據的形式多樣，幾乎涵蓋所有傳統證據類型，可以表現為打印紙上的文字代碼；可以是顯示器上輸出的視頻、圖像、文字、動畫；也可以是音頻設備輸出的聲音。它綜合了各種多媒體信息的特點。由于其顯示形式的復合性，計算機證據兼具書證、物證、視聽資料的特點[6]。

3 當前計算機取證存在的問題及建議

計算機取證不僅僅是一項技術工作，其最終目的是為法庭提交可供采信的證據，因此，在取證的準備、收集、保全、檢驗分析、提交的過程中，都需要從證據采信的標準來規范取證行為。制定計算機取證法律法規，在實現計算機證據從收集到出庭作證整個過程規范化的同時，一定程度上也保障了計算機證據的證明力，可以有效解決計算機證據采信難問題。

3.1 計算機取證準備階段

3.1.1 計算機取證人員的專業要求

國外的取證人員多由計算機系統安全維護人員、私人偵探或者專業取證公司擔任，當然也有國家偵查人員。他們大都經過培訓，可以做到準確完整地提取有用信息。而國內目前計算機取證的主體是偵查人員，計算機取證對他們來講往往是做其他工作時兼而任之，由于缺乏系統、專業的訓練，在開展取證活動時難以保證收集計算取證據的準確完整。

筆者建議法律應當規定計算機取證人員的從業標準、培訓制度。通過對計算機取證人員的專業培訓保證其取證行為的合法性和科學性。國外有許多針對計算機取證的相關課程，目的是培養針對計算機犯罪的調查人員。著名的有美國New Technologies Inc.開展的一個培訓課程，其內容主要包括：（1）計算機證據的保存以及保護扣押計算機的安全；（2）如何從Windows交換文件及計算機硬盤中遺留的Internet瀏覽數據中提取證據；（3）對相關文件使用MD5算法計算散列值，以及法庭作證問題；（4）有關安全刪除數據的核查和驗證過程使用數據的不存在；（5）使用文件頭信息和附近數據恢復圖像文件；（6）文件存儲結構，對回收站中數據的追蹤。我們可以借鑒其培訓內容，使從事計算機取證的人員掌握計算機保護與急救；計算機證據的保存；計算機的常規取證；對不同操作系統的取證；計算機取證文檔的整理；使用計算機取證工具對計算機證據分析等技術知識[7]。

3.1.2 計算機取證軟件工具的標準化

司法機關迫切需要保證計算機取證工具的可靠性，要求取證工具可以穩定地產生準確和客觀的測試結果。然而，目前有大約150個數字取證工具很少是根據取證標準和規范進行研制的，其中不乏某些明星產品[8]，這樣，工具間很難進行有效性和可靠性的比較，因而使用這些工具提取的證據科學性和權威性很容易遭到質疑。所以對計算機取證的人員和工具應當制定相關標準，以保障計算機取證的合法性。

3.2 計算機取證搜集階段

在計算機取證的證據搜集階段，存在著行為人是否有權采取偵查活動的爭議。計算機取證要查驗的對象往往不是某個嫌疑人，而是嫌疑人使用的計算機設備，與傳統證據存在于實體的、特定的案發現場不同，計算機犯罪的案發現場可能分布在地球上任意一臺接入互聯網的計算機設備上。偵查人員有時可以在設備所有人毫不知情的情況下使用技術手段對網絡實時跟蹤、搜索和系統監視、對網絡中傳輸通信的往來數據內容進行實時搜集和實時截獲，以尋找網絡違法犯罪案件可能留下的證據痕跡，在這個過程中有可能會侵犯當事人的隱私權。因此法律應當就計算機犯罪的偵查主體、偵查范圍和偵查手段進行規制。

筆者認為計算機案件的偵查應由擁有龐大技術力量的偵查機關偵查人員進行，不宜交由取證公司或個人。偵查范圍和偵查手段的確定，筆者認為應當貫徹“任意偵查原則”。相較于強制偵查，即只要刑事訴訟法上沒有具體的規定就不得實施偵查行為。任意偵查是指，即使法律沒有明文規定，原則上也可以采取適當的方式進行[9]；偵查人員的計算機取證行為往往針對特定的對象，在小范圍內動用偵查手段，對相對人的生活權益沒有強制性的造成損害，且計算機證據的高科技性、易破壞性、實時性等特征決定了其偵查取證的難度，因此應當允許偵查人員不經嫌疑人同意對其計算機系統在必要范圍內使用，如網絡跟蹤、監視、嗅探等技術偵查手段實時截獲網絡通信中的往來數據內容，以保證及時、有效地搜集到與犯罪有關的電子數據。

需要指出的是，任意偵查并不代表著可以毫無顧忌、不擇手段地偵查，應當完善司法審查制度，并對一些可能嚴重侵犯公民人格權和財產權的取證作明文限制規定[10]。民事計算機證據的獲取，如果是公司內部的計算機取證活動，則由本公司內部的計算機調查員根據其職責在企業內部網絡中進行，對涉及外部的計算機取證活動，則要盡可能優先使用公開信息，在對其他外部客體進行取證時，要確保采取合法手段，不得侵犯其他外部客體的人身權利和財產權利。

3.3 計算機證據的保全、分析階段

3.3.1 收集、保全階段

取證人員在對計算機可能存在犯罪證據的位置進行證據收集時，要有兩名以上偵查人員在場，最好對取證過程進行全程錄像，并在證據文書化后的材料上簽字，如有證人或犯罪嫌疑人在場，也應簽名[11]。要切記保證信息的原始性和完整性。收集過程中要首先提取易失性證據，還要避免人為的破壞。計算機證據保全可以采用兩種方法，即常規保全和公證保全。以紙制或聲像資料形式固定是主要的常規保全方法，要注意對證據的查驗，當場列清單并簽字確認。民事案件常用到公證保全方法，由公證機構派公證人員對證據進行公證。保全時要注意對獲取的計算機證據制作備份，詳細記錄證據的移交、保管、開封、拆卸等操作，保證證據鏈的完整性，同時需要確保計算機證據保存環境的安全。

3.3.2 分析階段

在對提取到的計算機證據進行分析時，首先要進行備份，這里的備份是對原始數據每一比特的精確克隆，分析切記在數字拷貝上進行，避免對原始證據的修改與破壞。處理證據前要為被分析的數據生成數字指紋，然后再開始，步驟要盡可能少，因為采取的步驟越少，發生錯誤的可能性就越小[12]。可以將搜集到的計算機證據與計算機的所有者、電子簽名、IP地址、E-mail等計算機特有信息識別體結合起來，并與案件中獲取的其他證據進行綜合審查，證據間相互印證、相互聯系，綜合分析得出結論。

3.4 計算機證據采納階段

與傳統的物證、書證等證據形式不同，計算機證據有著易篡改性、高科技性、抽象性等特點，這就決定了計算機證據的采納需要滿足更高的標準和要求。證據必須要滿足客觀性、關聯性、合法性的標準。計算機證據具有客觀性，其是以二進制形式存儲在計算機中的信息，就猶如人腦中留存的與案件有關的信息一樣，并沒有以人們可以感知的形式表現出來。人腦中的信息要想轉化為可供法庭采納的證據，就要轉化為當事人陳述、書證、證人證言等形式，類似的計算機證據也可以通過各種輸出設備以聲像資料或打印文稿的形式為人所認知。能否保證計算機證據如實反映、記錄案件信息是個現實存在的難題，事實上，正是由于計算機中信息的極易被偽造、篡改，給認定計算機證據客觀性帶來了困難。要保證計算機證據的真實性，法庭采信過程中需要從取證全過程各方面來考量。

計算機證據常常表現為系統日志文件、入侵者殘留程序、腳本、代碼等形式，訴訟活動的參與人由于缺乏計算機專業知識，在證據關聯性的認知上可能會有困難，這也是計算機證據采信率低的原因之一。筆者認為在法庭采信計算機相關證據時，取證、鑒定人員必要時應當出庭接受訴訟當事人和法官質證，也可以聘請計算機領域專家作為專家輔助人，協助控辯雙方和法官對專業問題進行認定。

證據的合法性標準表現在四個方面，即取證主體合法、證據形式合法、證據收集程序合法和證據收集方法或提取手段合法[15]。在采納計算機證據時，應當分別從這幾個方面進行審查判斷。隨著越來越多的犯罪案件和訴訟糾紛涉及到計算機取證，現有的取證規范大都是取證機構的內部規范，內容各執己見，法律效力難以保障，也影響到證據的證明力，造成了計算機證據的采信難、認證難的局面。目前已有很多專家學者呼吁制定《計算機取證法》，筆者認為對計算機取證過程給予法律規范是非常必要的。

4 結語

本文概要地介紹了計算機取證的概念和特點，闡明了計算機取證法律規范滯后于技術發展的現實情況，由于人們對于計算機犯罪的認識程度還不夠，應對突如其來的犯罪事件，往往缺乏專業的取證證據意識，無法及時有效地提交法庭可采信的計算機證據。為此，從證據視角分析了計算機取證流程各階段的證據要求，提出實踐操作中的種種問題并提出改進建議，并就取證原則、流程、方法、工具加以規制，希望能為法律法規的進一步健全、計算機取證工作的規范化提供幫助。

[1]周學廣，張煥國，張少武.信息安全學[M].北京：機械工業出版社，2007：161.

[2]王永全，齊曼.信息犯罪與計算機取證[M].北京：北京大學出版社，2010：113.

[3]劉志軍，王寧，麥永浩.計算機取證的應用及發展[C].第十九次全國計算機安全學術交流會論文集，2004：300.

[4]李禹，陳璐.2010年度全國法醫類、物證類、聲像資料類司法鑒定情況統計分析[J].中國司法鑒定，2011，（4）：91-94.

[5]Neteis T.Gibert.Computer Crime And The Legal Process：An Evidentiary Perspective[D].Touro College School of Health Science.

[6]趙秉志.計算機與網絡犯罪專題整理[M].北京：中國人民大學出版社，2007：66-67.

[7]陳龍，麥永浩，黃傳河.計算機取證技術[M].武漢：武漢大學出版社，2006：75.

[8]李炳龍，王魯，陳性元.數字取證技術及其發展趨勢[J].信息網絡安全，2011，（1）：54.

[9]宋英輝，昊宏姐.刑事審前程序研究[M].北京：中國政法大學出版社，2002：32.

[10]喬洪翔，宗淼.論刑事電子證據的取證程序——以計算機及網絡為主要視角[J].國家檢察官學院學報，2005，13（6）：49-57.

[11]李德杰.利用計算機證據突破零口供案件的探索[J].科技信息，2006，（7）：325.

[12]丁麗萍，王永吉.計算機取證的相關法律技術問題研究[J]，軟件學報，2005，16（2）：265.

[13]賈治輝，王俊.規范我國計算機取證活動的法律思考[J].四川警察學院學報，2008，20（2）：18-24.

[14]蔣平，楊莉莉.電子證據[M].北京：中國人民公安大學出版社，2007：26-27.

[15]何家弘.證據法學研究[M].北京：中國人民大學出版社，2007：92.

（本文編輯：包建明）

DF713

B

10.3969/j.issn.1671-2072.2012.03.027

1671-2072-（2012）03-0113-04

2011-12-02

王驕（1987—），女，碩士研究生，主要從事計算機與聲像資料鑒定研究。E-mail：hhx-wj@163.com。