電子取證技術體系研究

劉建軍 陳光宣

1中國人民公安大學 北京 100038

2深圳市公安局 廣東 518001

0 引言

隨著新的《中華人民共和國刑事訴訟法》修改頒布，電子數據作為新的證據種類以法律的形式固定下來，但這一分類并沒有解決電子證據的內涵和外延。本文對電子證據的含義進行了界定。電子證據包括電子數據和電子物證兩種形式，一是作為證據研究的、能夠證明案件相關事實的電子數據；二是電子數據儲存、傳輸、利用所依賴的載體—電子物證。

電子取證正是在此基礎上發展而來的一門新興學科。電子數據和電子物證的司法取證簡稱為電子取證(Electronic Forensics)。實際上是從屬于物證技術學(Forensic Science)的一門分支學科，它主要研究了電子證據從發現、固定、保全、抽取、鑒定以及最后呈堂等一系列流程中所要涉及的技術、程序以及相關法律問題，其目的是通過計算機分析技術從計算機犯罪案件中提取可能作為法庭證據的相關電子證據。

圖1 取證技術體系結構圖

嚴格來講，電子取證是一門融合了法律、信息網絡技術、偵查學、犯罪學等多門專業技術的交叉學科。當前的電子取證工作要滿足高速度、便攜性、易用性、機動性的要求，必須以法律法規、信息技術以及實踐需求三個要素為基礎，對現有的工作模式進行優化完善。電子取證技術體系與法律法規、信息技術以及實踐需求的關系如圖1所示，此后文章的技術體系都據此進行頂層設計。

1 電子取證技術體系框架結構

“無論是從國外還是國內的現狀來看，電子取證都面臨著技術提升和法律規制的雙重任務。一方面，電子取證必須朝著取證技術綜合化、取證范圍擴大化、取證工具專業化以及取證工作標準化的努力，以更好的技術能力回應日益增加的司法實踐要求；另一方面，電子取證制度的重要組成部分，必須接受法律的規制，邁上法治的軌道，特別是達到法律有關證據采用標準的基本要求”。在上述雙重作用的影響下，電子數據取證技術體系需要有一定的擴展空間，以便能夠融匯越來越多的新技術與新理論，促使計算機取證日趨專業化。同時，要建立完善相關的工作機制，通過合法、嚴格、專業的電子數據取證程序，來保證操作過程、技術規范和證據呈現等環節的規范化，最終保證電子數據取證結果的完整、可靠。這不僅對現有取證技術、取證方法以及取證人員素質提出了許多新的挑戰，也對電子數據取證研究涵蓋的偵查取證體系本身提出了更高的要求，亟需梳理、確立現有的技術框架。在收集國內外資料和實踐調研的基礎上，本文認為電子數據取證技術框架可以概括描述為以犯罪現場取證或實驗室數據鑒定為起點，采取工作流程和質量管理雙過程控制，以電子證據的載體為對象，針對不同的犯罪類型以及取證對象的不同狀態進行研究、證明犯罪事實的一種技術機制，由取證對象、工作過程、質量管理三個維度構建，可以從取證對象、操作過程、證據狀態、犯罪類型、環境要素、質量管理六個要素進行研究，其內在的結構關系如圖2所示。

圖2 電子取證技術體系的框架結構圖

取證對象、操作過程、質量管理三個維度的含義如下。

1.1 取證對象

電子取證對象的研究是該學科的開端，在整個技術體系中處于基礎地位，因為取證成功與否的關鍵就在于在對象中發現、提取到與犯罪行為關聯的內容。從司法實踐來看，電子取證對象的種類很復雜，一般從兩個視角分類：

一是依據電子設備是否聯網進行分類，從電子證據劃分出一種特殊的證據種類—網絡證據，電子證據與網絡證據是包含與被包含的關系。因為電子設備在聯網之后，會產生豐富的動態數據和網絡交互數據，復雜程度大大提高。比如計算機、手機、數碼設備、U盤和光盤等作為單機使用，取證人員一般只關心存儲的文件和程序，一旦聯網，就必須關注下載、瀏覽、遠程登錄、掃描入侵等行為產生的數據證據和輔助證明的網絡配置、日志數據。

二是依據外在形態進行分類：電子數據與電子設備，二者是內容與載體的關系。雖然它們都可以獨立成為電子證據，但取證研究的終極目的還是提取電子數據。無論針對什么樣的電子設備取證，包括個人和服務器計算機，手機通信設備，路由器、交換機、調制解調器等網絡通信設備，或照相機、MP3等數碼設備，U盤、硬盤(包括磁盤、SSD)、光盤等，工作的重點是研究如何發現、獲取這些設備內部數據的，比如在硬盤中保存的office文檔，照相機中保存的數碼照片。

針對取證對象的研究重點在于計算機網絡與信息安全技術，根據技術上的原理和方法呈現系統的狀態、固定的易失證據、發現和獲取涉案的數據文檔，早期的計算機易失數據的提取和手機內存儲短信息的提取都屬于這一范圍。在此研究范圍內強調就技術談技術的，比如數據加解密技術、密碼暴力破解技術、信息隱藏技術、閃存芯片中數據提取技術、磁盤刪除數據恢復技術等，這些技術點一直是熱點問題。

1.2 操作過程

電子取證的操作過程是必須遵守的基本流程，是技術管理問題。隨著電子取證領域的擴大，涉及的犯罪類型不斷增多，取證操作不再是對某個技術問題的簡單處理，而是要應對復雜的現場環境和海量的電子數據。另外，根據法律效力和技術上普遍適用的原則，對現場狀況以及提取數據、封存物品文件的過程、在線分析的關鍵步驟詳細記錄是必須的。《最高人民法院關于民事訴訟證據的若干規定》22條規定，“調查人員調查收集計算機數據或者錄音、錄像等資料的，應當要求被調查人提供有關資料的原始載體。提供原始載體確有困難的，可以提供復制件。提供復制件的，調查人員應當在調查筆錄中說明來源和制作經過”。另外，《刑事訴訟法》和《行政訴訟法》也要求電子物證取證記錄整個操作過程，能夠追溯到技術人員所使用的方法。

比如深圳警方辦理的“酒托”案件中，邱某、孟某、蔡某等多名嫌疑人在工商部門注冊了合法的公司，先后開設了華強北的“本壘吧”、羅湖的“蝴蝶吧”、蛇口的“行樂坊”酒吧。之后買來大量的電腦，安裝于某居民住宅樓內，并組織100多名年輕男“鍵盤手”冒充美女網上聊天。“鍵盤手”利用 QQ、微信等即時通訊工具，以交友、約會為名誘騙男事主到酒吧見面，當約好上當的男子后，再由40多名女“酒托”出面帶領對方到酒吧，以欺騙、強迫手段其進行高額消費。案件偵破后，在犯罪窩點內發現 80余臺計算機、服務器、移動硬盤等，這些電子設備的磁盤上保留了大量的聊天數據、犯罪所得的財務數據，以及相關的業務指標和利潤分配數據。在處置案件的過程中，技術人員在證據識別、證據獲取、證據分析和證據呈現四個階段分別對當時現場狀況以及提取到的數據、封存物品文件的過程、在線分析的關鍵步驟都予以拍照或錄像，現場的照片和錄像資料都編號存檔，注重電子證據的完整性保證和過程的完整記錄，完成復雜的取證任務。

過程研究的重點在于分析和確定取證程序、數據獲取和分析過程中的“通用”、“穩定”的關鍵要素，保證數字化證據的真實性和完整性，要求實施的操作可再現，提取、處理、存儲、運輸的過程有詳細的記錄。雖然計算機技術正在飛速發展，但是其基本的證據識別、證據獲取、證據分析和證據呈現四個階段卻是相對穩定的，因此取證過程中的取證程序、數據獲取和分析的過程也同樣保持相當的穩定。另外，一項重要的數據文件完整性校驗技術—哈希校驗被引入過程控制，提供了電子證據在傳遞過程中的完整性保證。哈希校驗，也稱“數字指紋技術”，簡單的說就是一段數據或一個文件的唯一且極其緊湊的數值表示形式，即使內容稍有改變產生的哈希值都不同，比較著名的哈希算法有 CRC32、MD4、MD5、SHA1、SHA2等算法。

1.3 質量管理和標準化

質量管理和標準化都是現代的科學管理技術，都要按嚴格的客觀規律和充分的科學依據辦事。隨著電子證據取證的規模越來越大，技術應用越來越復雜，完全依賴人的知識和經驗取證中難免出現偏差。電子取證的管理應該把過去的以事后審核和把關為主轉變為以預防和改進為主，把過去的以案件為導向、分散管理轉變為以系統的觀點進行全方位、全過程的質量管理。此外，由于電子證據容易篡改的特性，為增強其可信性，取證的全過程都進行標準化的質量管理(Quality Management,QM)，依靠科學的管理理論、程序和方法，使過程都處于受控制狀態，以使取證結果的科學和穩定。

眾所周知，標準是質量管理的基礎和依據，質量管理是貫徹執行標準的保證。加強標準化工作，對于加強質量管理，提高取證質量具有重要意義。一項新技術、新應用或工作方法，一旦納入相應標準體系，通過質量管理保證標準的執行和貫徹，就能迅速得到推廣和應用。當前，電子取證的標準化成為最近一個時期的研究重點，它包括取證主體標準、取證工具標準、取證實驗室質量管理標準、現場勘查質量標準等多方面的質量管理標準。

(1) 取證主體標準

在我國的司法實踐中，具有取證資格的專業機構和專業人員都可以成為取證主體。根據司法部、公安部頒布的相關規定，取證主體分為面向社會服務的和公檢法內部設置的兩類，但無論專業機構或專業人員都必須進行統一的資質認可與管理。《計算機犯罪現場勘驗與電子證據檢查規則》第六條的規定“執行計算機犯罪現場勘驗與電子證據檢查任務的人員，應當具備計算機現場勘驗與電子證據檢查的專業知識和技能”。

(2) 取證工具標準

取證與鑒定軟硬件設備包括現場取證鑒定設備、本地取證鑒定設備、遠程取證鑒定設備，這些設備針對不同的鑒定對象，用于對象的不同狀態功能特色各異，缺乏統一的評估標準、手段、體系。當前應用的取證工具必須滿足一定的技術要求，規范設備檢測與校準方法，建立了相應的評估標準，包括對工具的基本使用范圍和條件、工具的誤差評估和基本操作的驗證評估、使用記錄可溯源等。

(3) 現場勘查質量標準

由于電子證據的特殊性，現場勘查的成功與否的關鍵取證結果的完整性與客觀性，只有嚴謹的工作程序與完善的技術手段才是有效地保障。因此，如何發現、固定、提取與犯罪相關的電子證據及其他證據，都需要操作方法。對于如何進行現場調查訪問，如何制作和存儲現場信息資料，使用什么樣的方法、手段判斷案件性質，確定偵查方向和范圍，為偵查破案提供線索和證據，也是現場勘查亟待解決的問題。

(4) 取證實驗室質量管理標準

為了保證鑒定結論的科學性與客觀性，電子物證檢驗鑒定需要有嚴格的程序與技術手段。根據《全國人民代表大會常務委員會關于司法鑒定管理問題的決定》，電子數據鑒定機構必需要有在電子數據鑒定領域必需的儀器、設備與通過實驗室或檢查機構認證認可。根據國際標準化組織(即國際標準化組織/合格評定委員會，ISO/CASCO)制定的ISO/IEC17025《檢測和校準實驗室能力的通用要求》，中國合格評定國家認可委員會(CNAS)專門制定了CNAS-CL27: 2010準則，即《檢測和校準實驗室能力認可準則在電子物證檢驗領域的應用說明》，并對電子取證實驗室質量標準作了相應的闡述。

總之，電子取證必須朝著適應取證技術綜合化、取證范圍擴大化、標準化的方向發展，以更好的技術能力回應日益增加的司法實踐要求。

2 結論

本文根據電子證據的特殊性，闡述了電子取證技術體系的基本框架，并對組成框架的各維度、要素，即取證對象、操作過程、質量管理標準等進行了詳細分析和探索。本文的研究成果能給司法實踐帶來理論參考和實際借鑒作用。

[1]劉品新.電子取證的法律規則[M].北京:中國法制出版社.2010.

[2]劉建軍,陳光宣.淺析當前網絡犯罪特點及取證對策[J].網絡安全技術與應用.2012.

[3]楊永川,蔣平,黃淑華.計算機犯罪偵查[M].北京:清華大學出版社.2007.

[4]蔣平,黃淑華,楊莉莉.數字取證[M].北京:清華大學出版社.2007.

[5]蔣平,楊莉莉.電子證據[M].北京:清華大學出版社.2007.