《对“电子数据”证据如何专业化审查12618.pdf》由会员分享,可在线阅读,更多相关《对“电子数据”证据如何专业化审查12618.pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、对“电子数据”证据如何专业化审查电子数据在刑事诉讼中具有极强证明力,它能够有效证实传统证据无法证实的事实,或揭示出与犯罪活动有关的行为、位置、来源、关联、活动以及顺序等情况。但是刑事实务人员基本上是技术“小白”。本文对电子数据相关证据规则进行梳理,共同提高对此类证据的审查能力。2013 年最高人民法院关于适用的解释(以下简称解释)、2005 年公安部计算机犯罪现场勘验与电子证据检查规则(以下简称规则)、2014 年最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见(以下简称意见)等司法解释和规范性文件,对电子数据的取证与审查作出了原则性规定。电子数据从生成到
2、呈现在法庭上的整个过程,都依赖于特定的现代电子技术。由于知识上的缺陷,司法人员对电子数据的审查往往具有盲目性和随意性。本文对上述规则梳理、扩展、解读,以期共同提高。1、电子数据的其他分类方法 解释第 93 条规定,电子数据包括:电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从有效审查电子数据真实性的角度,下面分类方式更具可操作性。分类真实性特点一、孤立数据1.可编辑数据易被篡改、删除、伪造2.只读数据篡改难度有所增加3.不可读数据难以篡改二、系统数据1.二维数据存在于当事人双方之间,易发生原始性争议2.多维数据一般不需要进行复杂的原始性判断,具有最高的稳定性和
3、安全性,有较大的证明价值真实性比较:可编辑数据只读数据不可读数据二维数据多维数据2、对电子数据的检查人员有什么要求 规则第 8、9 条:计算机犯罪现场勘验与电子证据检查,应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。电子证据检查,应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施。比如“快播案”辩护人提出,涉案服务器被行政机关扣押,随后转移到公安机关,但是没有证据来证明是谁转移的、程序是否合法、是否有人监督这一过程。3、获取电子数据的正确流程 根据规则第 14 条,固定存储媒介和电子数据包括以下方式:(1)完整性校验方式;(2)备份方式;(
4、3)封存方式。同时电子数据的获取应符合数字化设备证据数据发现提取固定方法(GAT7562008)中关于发现提取固定步骤的要求。对具备复制条件的,应使用电子数据存储介质复制工具复制原始电子数据存储介质,将复制生成的克隆或镜像文件作为检验对象;对于具备写保护条件的,应使用写保护设备,将电子数据存储介质通过写保护设备接入检验设备上;对于不启动被检验数字化设备的操作系统就能发现提取固定的电子数据的,应优先选择不启动被检验数字化设备的操作系统的条件下发现提取固定电子数据。网络电子证据收集过程中,在对收集到的数据从目标机器安全地转移到取证设备上时,需要采用安全的传输技术,如 IP 加密、VPN 隧道加密、
5、SSL 加密等保证电子证据的安全传输。电子数据的取证流程为:记录现场计算机的连接现状固定当前对象计算机的易失性数据关闭计算机系统拆卸、取出存储介质对存储介质进行写保护处理使用专用设备对存储介质复制(或使用只读锁+软件)进行数据提取、固定计算原始存储介质 Hash 值封存。4、如何正确封存原始存储介质 封存电子证据的目的是保护电子证据的完整性、真实性和原始性。意见 第 14 条:收集、提取电子数据,能够获取原始存储介质的,应当封存原始存储介质。根据 规则 第 13 条,封存的原则是:封存前后应当拍摄被封存电子设备和存储媒介的照片并制作封存电子证据清单,照片应当从各个角度反映设备封存前后的状况,清
6、晰反映封口或张贴封条处的状况;保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。5、电子数据的克隆与复制有什么区别 由于电子数据具有可复制性,为了在提取、检验过程中不破坏和修改原有数据的完整性,通过硬盘复制机将电子数据进行克隆。克隆不同于我们日常使用的“Ctrl+C”和“Crtl+V”。克隆是对整个磁盘,逐磁道、逐扇区、物理级的数据“位对位”精确复制,因此可以获得所有文件,且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等,这些存储区域的数据可以通过后期各种处理方法提取成为有效的电子数据或线索。6、为什么要对电子数据进行完整性校验(计算哈希 Hash 值)意
7、见第 14 条:收集、提取电子数据应当制作笔录,记录完整性校验值。完整性校验值即哈希函数,也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串,映射成一个较短的定长的输出数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函数有下特点:输入数字串与输出数字串具有唯一的对应关系;输入数字串中任何变化会导致输出数字串也发生变化;从输出数字串不能够反求出输入数字串。Hash 值主要有 MD5 和SHA 两种算法。它们可以对任意类型的文件、硬盘分区或整个硬盘进行校验,分别输出 128位和 160 位的定长散列值。哪怕是一个标点符号的更改,都会导致 Hash 值变化。只要 Hash值不变,就能
8、够证明提交给法庭的电子数据未经改变。7、电子数据与原始存储介质的关系 刑事诉讼中,不存在“原始电子数据”的概念,而只有“原始存储介质”的概念。一般可以将电子数据分为随原始存储介质移送的电子数据和无法移送原始存储介质的情况下通过其他存储介质予以收集的电子数据。司法人员对于随原始存储介质移送的电子数据,应当重点审查原始存储介质是否通过只读处理以确保数据不被修改。对于通过其他存储介质予以收集的电子数据,应当重点审查是否记录完整性校验值。8、电子数据的取证工具是否需要验证 需要。电子数据的取证工具与传统证据的取证工具完全不同。取证工具的可靠与否,对于能否收集到准确、全面的电子数据至关重要。在司法实践中
9、,采用非专用取证工具的情况大量存在。有些案件只需通过简单的复制操作便可以将存储设备中的电子数据证据进行固定;有些案件只需通过简单的打印操作便可将这些电子数据证据进行固定,有些案件需要专用的取证工具。一般认为,性能、质量、稳定性经过国家有关权威部门认证的取证工具,取证可靠性最高。常用的专用取证工具有专用硬盘复制机、专用取证工具箱、UTK 软件、EnCase 软件、WinHex 软件、Sleuthkit、NTI 系列软件等。对于安全性、稳定性、可靠性在取证前、取证后都无法验证,功能不完备的未知取证工具,取得的电子数据的可靠性得不到保证,证明力较低。9、如何确定计算机用户身份 在网络犯罪案件中,确定
10、计算机用户身份至关重要。用户身份分为用户本地身份和用户网络身份。用户本地身份即操作系统用户,包括普通用户身份、管理员身份,间接代表用户有计算机所有权、某个时间段的控制权或使用权。而用户网络身份直接的有各种环节的注册用户 ID、口令及资料,间接的有计算机 IP 地址、MAC 地址(也称网卡物理地址,是由厂商写在网卡 BIOS 里的一段特征信息)。10、什么是身份认证信息 从两高关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第 1 条的规定来看,非法获取计算机信息系统数据罪中的数据,主要包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息或者其他身份认证信息。即并非所有的电子
11、数据都可以成为刑法第 285 条的犯罪对象。“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。该罪中的身份认证信息以“组”作为认定其为数据的标准,即账号、口令、密码、数字证书共同构成一组数据,只有账号没有密码等不构成本罪中的数据。11、电子数据的司法鉴定种类有哪些?电子数据的司法鉴定,主要包括用户行为鉴定、恶意程序鉴定、电子文档和数据电文鉴定、数据库鉴定、电子数据相似性鉴定、手机数据鉴定、网络数据鉴定。比如“复旦林森浩投毒案”,侦查机关在林森浩笔记本电脑硬盘中提取了电子数据,后经检验鉴定,认定林森浩于 2013 年 3 月 31 日 18 时许
12、通过百度查询过“二甲基亚硝胺有味道吗”等内容;4 月 1日 18 时许至 23 时许,又查询过“二甲基亚硝胺中毒怎么办”、“二甲基亚硝胺怎么确诊”等内容。行为人在某时间段内浏览了某个网页,计算机、浏览器中就会存储浏览活动信息,这就是“用户行为”鉴定。12、关于电子数据的行业规范与行业标准 国家标准3 个1GBT293602012 电子物证数据恢复检验规程2GBT293612012 电子物证文件一致性检验规程3GBT293622012 电子物证数据搜索检验规程公共安全行业1GAT7542008 电子数据存储介质复制工具要求及检测方法标准 22 个2GAT7552008 电子数据存储介质写保护设备
13、检测方法3GAT7562008 数字化设备证据数据发现提取固定方法4GAT7572008 程序功能检验方法5GAT8252009 电子物证数据搜索检验技术规范6GAT8262009 电子物证数据恢复检验技术规范7GAT8272009 电子物证文件一致性检验技术规范8GAT8282009 电子物证软件功能检验技术规范9.GAT8292009 电子物证软件一致性检验技术规范10GAT9762012 电子数据法庭科学鉴定通用方法l1.GAT9772012 取证与鉴定文书电子签名12GAT9782012 网络游戏私服检验技术方法13GAT10692013 法庭科学电子物证手机检验技术规范14GAT10
14、702o13 法庭科学计算机开关机时间检验技术规范 15GAT10712013 法庭科学电子物证 Windows 操作系统日志检验技术规范16GAT17702014移动终端取证检验方法17GAT17712014芯片相似性比对检验方法18GAT17722014电子邮件检验技术方法19GAT17732014即时通讯记录检验技术方法20GAT17742014电子证据数据现场获取通用方法21GAT17752014软件相似性检验技术方法22GAT17762014网页浏览器历史数据检验技术方法司法鉴定技术规范4 个1.SFZJD04000012014电子数据司法鉴定通用实施规范2.SFZJD0401001 一 2014电子数据复制设备鉴定实施规范3.SFZJD04020012014电子邮件鉴定实施规范4.SFZJD0403001 一 2014软件相似性检验实施规范公安部计算机犯罪现场勘验与电子证据检查规则公安机关电子数据鉴定规则最高检察院人民检察院电子证据鉴定程序规则(试行)