電子文件證據(jù)取證研究

徐振杰

摘要：本文主要闡述了電子文件證據(jù)取證的涵義，探討了電子文件證據(jù)取證的原則、步驟、取證技術(shù)，并對(duì)已取得的電子文件證據(jù)如何進(jìn)行保護(hù)、審查、檢驗(yàn)作了論述。

關(guān)鍵詞：電子文件證據(jù)取證審查檢驗(yàn)

由于電子文件證據(jù)自身具有不同于傳統(tǒng)證據(jù)的許多特點(diǎn)，所以保證電子文件證據(jù)的真實(shí)性就成為確認(rèn)其證據(jù)價(jià)值的關(guān)鍵，為此對(duì)電子文件的制作過(guò)程，存儲(chǔ)、傳遞的可靠性，信息完整性的保護(hù)，數(shù)據(jù)是否有偽造和被篡改，應(yīng)結(jié)合計(jì)算機(jī)數(shù)據(jù)分析報(bào)告和專家的鑒定結(jié)論進(jìn)行審查，并結(jié)合其他證據(jù)相互印證。如果電子文件證據(jù)與其他證據(jù)相一致且并無(wú)相反的其他證據(jù)，共同指向同一事實(shí)，就可以認(rèn)定其效力。電子文件證據(jù)本身和取證過(guò)程的許多有別于傳統(tǒng)證據(jù)和取證方法的特點(diǎn)，使電子文件證據(jù)取證問(wèn)題倍受人們關(guān)注。綜合各方面，電子文件證據(jù)取證涵義可概括為：將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確認(rèn)與獲取，取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的電子文件證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。

一、電子文件證據(jù)的取證原則及步驟

為便于電子文件證據(jù)的搜集，我國(guó)從2000年9月25日起施行的互聯(lián)網(wǎng)信息服務(wù)管理辦法已經(jīng)規(guī)定：“從事新聞、出版以及電子公告等服務(wù)項(xiàng)目的互聯(lián)網(wǎng)信息服務(wù)提供者，應(yīng)當(dāng)記錄提供的信息內(nèi)容及其發(fā)布時(shí)間、互聯(lián)網(wǎng)地址或者域名；互聯(lián)網(wǎng)接人服務(wù)提供者應(yīng)當(dāng)記錄上網(wǎng)用戶的上網(wǎng)時(shí)間、用戶帳號(hào)、互聯(lián)網(wǎng)地址或者域名、主叫電話號(hào)碼等信息?！庇涗泜浞莸谋４鏁r(shí)間為60日，并在國(guó)家有關(guān)機(jī)關(guān)依法查詢時(shí)，予以提供，違者將受行政處罰。這為警方偵查辦案提供了很好的線索和證據(jù)。關(guān)于電子文件證據(jù)的收集方法，并沒(méi)有固定模式，根據(jù)電子文件證據(jù)的不同，可以采取不同的方式。如需要收集當(dāng)事人的電子郵件，僅僅對(duì)對(duì)方提供的自己計(jì)算機(jī)留存和下載的電子郵件進(jìn)行收集是不夠的，通常還應(yīng)該向電子郵件服務(wù)器提供商收集證據(jù)，電子郵件服務(wù)器如實(shí)記錄了電子郵件的內(nèi)容以及收發(fā)和提取時(shí)間。

電子文件證據(jù)取證的主要原則可概括為以下幾點(diǎn)：首先，盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞；其次，必須保證證據(jù)連續(xù)性，即在證據(jù)被正式提交給法庭時(shí)，必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當(dāng)然最好是沒(méi)有任何變化；最后，整個(gè)檢查、取證過(guò)程必須是受到監(jiān)督的，也就是說(shuō)，由原告委派的專家所作的所有調(diào)查取證工作，都應(yīng)該受到由其他方委派的專家的監(jiān)督。

在保證以上基本原則的情況下，電子文件證據(jù)的取證工作一般按照下面步驟進(jìn)行：

第一，在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染；第二，搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上(即還沒(méi)有被新文件覆蓋)的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件；第三，全部(或盡可能)恢復(fù)發(fā)現(xiàn)的已刪除文件；第四，最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時(shí)文件和交換文件的內(nèi)容；第五，如果可能并且如果法律允許，訪問(wèn)被保護(hù)或加密文件的內(nèi)容；第六，分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。特殊區(qū)域至少包括兩類：一類是所謂的未分配磁盤空間——雖然目前沒(méi)有被使用，但可能包含有先前的數(shù)據(jù)殘留；另一類是文件中的“slack”空間——如果文件的長(zhǎng)度不是簇長(zhǎng)度的整數(shù)倍，那么分配給文件的最后一簇中，會(huì)有未被當(dāng)前文件使用的剩余空間，其中可能包含了先前文件遺留下來(lái)的信息，可能是有用的證據(jù)；第七，打印對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析結(jié)果，然后給出分析結(jié)論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)和作者的信息，對(duì)信息的任何隱藏、刪除、保護(hù)、加密企圖，以及在調(diào)查中發(fā)現(xiàn)的其他的相關(guān)信息；第八，給出必需的專家證明。

上面提到的電子文件證據(jù)取證原則及步驟都是基于一種靜態(tài)的視點(diǎn)，即事件發(fā)生后對(duì)目標(biāo)系統(tǒng)的靜態(tài)分析。隨著計(jì)算機(jī)犯罪技術(shù)手段的提高，這種靜態(tài)的視點(diǎn)已經(jīng)無(wú)法滿足要求，發(fā)展趨勢(shì)是將電子文件證據(jù)取證結(jié)合到入侵檢測(cè)等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中，進(jìn)行動(dòng)態(tài)取證。整個(gè)取證過(guò)程將更加系統(tǒng)并具有智能性，也將更加靈活多樣。

二、電子文件證據(jù)取證的主要技術(shù)

常用的電子文件證據(jù)獲取技術(shù)主要包括：對(duì)計(jì)算機(jī)系統(tǒng)和文件的安全獲取技術(shù)，避免對(duì)原始介質(zhì)進(jìn)行任何破壞和干擾；對(duì)數(shù)據(jù)和軟件的安全搜集技術(shù)；對(duì)磁盤或其他存儲(chǔ)介質(zhì)的安全無(wú)損傷備份技術(shù)；對(duì)已刪除文件的恢復(fù)、重建技術(shù)；對(duì)磁盤空間、未分配空間和自由空間中所含信息的發(fā)掘技術(shù)；對(duì)交換文件、緩存文件、臨時(shí)文件中包含信息的復(fù)原技術(shù)；計(jì)算機(jī)在某一特定時(shí)刻活動(dòng)內(nèi)存中數(shù)據(jù)的搜集技術(shù)；網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)的獲取技術(shù)等等。數(shù)據(jù)復(fù)原技術(shù)是其中非常關(guān)鍵的取證技術(shù)之一。大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫(kù)安全系統(tǒng)還會(huì)為數(shù)據(jù)庫(kù)準(zhǔn)備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成，較難篡改。因此，當(dāng)發(fā)生計(jì)算機(jī)犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞時(shí)，可以通過(guò)對(duì)自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過(guò)的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。

三、保護(hù)已得到電子文件證據(jù)的主要措施

1.對(duì)所有的介質(zhì)進(jìn)行寫保護(hù)和病毒檢查。得到了所需要的影像拷貝、備份磁帶、光盤和其他介質(zhì)的證據(jù)，必須保證得到的每一個(gè)介質(zhì)的完整性。這需要兩個(gè)關(guān)鍵性的步驟，即寫保護(hù)和病毒檢查。寫保護(hù)可以防止介質(zhì)被添加數(shù)據(jù)。這種措施可以保證你在利用收集證據(jù)工作時(shí)，證據(jù)不會(huì)被刪改。因此在你使用證據(jù)之前一定要對(duì)它們進(jìn)行寫保護(hù)。同樣，病毒檢查也可以防止證據(jù)被改寫并且也是你必須對(duì)所擁有證據(jù)進(jìn)行的處理。而使用最新的查毒軟件是尤其必要的。如果發(fā)現(xiàn)病毒，就應(yīng)該全部記錄信息然后立即通知該介質(zhì)的制造者。不要擅自對(duì)該介質(zhì)進(jìn)行清理，否則會(huì)改變?cè)械淖C據(jù)。

2.保留監(jiān)視鏈。監(jiān)視鏈能從最初的證據(jù)追蹤到當(dāng)庭提供的證據(jù)。對(duì)電子文件證據(jù)而言，監(jiān)視鏈?zhǔn)侵陵P(guān)重要的，因?yàn)橐噪娮臃绞酱鎯?chǔ)的證據(jù)修改起來(lái)相對(duì)容易，證明這條鎖鏈?zhǔn)请娮游募C據(jù)鑒別過(guò)程中的重要工具。保留電子文件證據(jù)鏈至少需要證實(shí)以下內(nèi)容：任何信息未被添加或更改；已制作了完整的拷貝；復(fù)制過(guò)程可靠；所有的介質(zhì)都是安全的。

四、電子文件證據(jù)的審查

與其他所有證據(jù)一樣，電子文件證據(jù)必須經(jīng)過(guò)查證屬實(shí)，才能作為認(rèn)定事實(shí)的依據(jù)。怎樣判斷一項(xiàng)電子文件證據(jù)的效力?聯(lián)合國(guó)《電子商務(wù)示范法》第9條第2款規(guī)定“對(duì)于數(shù)據(jù)電文為形式的信息，應(yīng)給予應(yīng)有的證據(jù)力。在評(píng)估一項(xiàng)數(shù)據(jù)電文的證據(jù)力時(shí)，應(yīng)考慮到生成、存儲(chǔ)或傳遞該數(shù)據(jù)電文的辦法的可靠性，用以鑒別發(fā)端人的辦法，以及任何其他相關(guān)因素?！本褪钦f(shuō)當(dāng)某項(xiàng)電子文件證據(jù)自形成后直到取證止，如果它在儲(chǔ)存、傳輸?shù)雀麟A段均保持了數(shù)據(jù)和信息的原始狀態(tài)，沒(méi)有任何人為的或自然的因素影響、破壞，則該電子文件證據(jù)是合法有效的?；?/p>

于這一原則，對(duì)電子文件證據(jù)的審查必須體現(xiàn)以下基本原則：

1.審查電子文件證據(jù)的收集、提取是否合乎電子形式要求。提取電子文件證據(jù)的主體須具備電子專業(yè)素質(zhì)要求，應(yīng)借助于電子設(shè)備，提取要及時(shí)且能夠證明電子文件證據(jù)未被刪除或更改，所提取的電子文件證據(jù)能夠借助一定的設(shè)備被讀取。

2.審查電子文件證據(jù)是否能夠歸入七種傳統(tǒng)證據(jù)類型。不能歸人傳統(tǒng)證據(jù)類型，則不能作為法定證據(jù)。

3.審查電子證據(jù)是否具有相關(guān)性、客觀性、合法性。電子文件證據(jù)相關(guān)性要求其須與案件的某一事實(shí)有著某種聯(lián)系、能夠證明案件的真實(shí)情況，起到證據(jù)作用，否則就沒(méi)有證據(jù)價(jià)值，也不能稱為證據(jù)。審查電子文件證據(jù)的相關(guān)性應(yīng)考慮以下兩個(gè)方面，首先要審查電子文件證據(jù)與案件事實(shí)有無(wú)客觀聯(lián)系，其次審查電子文件證據(jù)與案件事實(shí)聯(lián)系的方式、性質(zhì)、聯(lián)系的緊密程度和確定程度。對(duì)電子文件證據(jù)客觀性審查的主要目的是對(duì)證據(jù)的真實(shí)性，即是否符合案件的實(shí)際情況進(jìn)行審查，以確定該證據(jù)是否被篡改過(guò)，是否具有證據(jù)的能力。首先審查電子文件證據(jù)的來(lái)源，其次審查電子文件證據(jù)的收集、傳送和保存的方法，最后是審查電子證據(jù)的內(nèi)容。看看證據(jù)是否真實(shí)可靠，有無(wú)剪裁、拼湊偽造、篡改等。對(duì)電子證據(jù)合法性的審查，系指可采用的證據(jù)必須是符合法律規(guī)定的根據(jù)或材料。應(yīng)從兩個(gè)方面審查證據(jù)是否合法，首先審查取得電子文件證據(jù)的主體是否合法，其次審查電子文件證據(jù)的收集、提取、保存是否符合法定程序和方式。

五、電子文件證據(jù)的檢驗(yàn)

由于電子文件證據(jù)自身的性質(zhì)和特點(diǎn)，在案件的偵查和訴訟活動(dòng)中作為證據(jù)使用時(shí)，必須首先通過(guò)檢驗(yàn)查明其內(nèi)容形式是否具有真實(shí)性。一般說(shuō)來(lái)電子文件證據(jù)檢驗(yàn)的目的在于：認(rèn)定作為證據(jù)使用的電子文件是否自生成后直到偵查取證時(shí)止，在儲(chǔ)存、傳輸?shù)雀鱾€(gè)階段均保持了數(shù)據(jù)和信息的原始狀態(tài)，沒(méi)有遭到破壞。目前，電子文件證據(jù)檢驗(yàn)的主要方法有：

1.利用專門的電子儀器、設(shè)備通過(guò)運(yùn)行特定的程序?qū)﹄娮游募C據(jù)的形成過(guò)程進(jìn)行檢查及驗(yàn)證。首先要對(duì)電子文件證據(jù)形成和存儲(chǔ)的技術(shù)設(shè)備的質(zhì)量和性能進(jìn)行檢查，看其質(zhì)量是否合乎證據(jù)的客觀要求，其性能是否方便證據(jù)的封存、提??；然后對(duì)電子文件證據(jù)的技術(shù)形成過(guò)程進(jìn)行技術(shù)檢驗(yàn)，看其作為電子文件證據(jù)的數(shù)據(jù)和信息儲(chǔ)存于各種介質(zhì)中時(shí)所運(yùn)用的技術(shù)是否過(guò)關(guān)。通常應(yīng)該聘請(qǐng)精通計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的專家進(jìn)行指導(dǎo)。

2.利用技術(shù)設(shè)備對(duì)電子文件證據(jù)所反映的內(nèi)容真?zhèn)芜M(jìn)行鑒別。作為電子文件的證據(jù)的數(shù)據(jù)以電信號(hào)代碼形式儲(chǔ)存于計(jì)算機(jī)各級(jí)存儲(chǔ)介質(zhì)中，在輸出的文件資料中數(shù)據(jù)和信息多以不可直接讀取的形式出現(xiàn)，必須用相應(yīng)的電子設(shè)備和技術(shù)方法方可被反映、被感知，所以，必須經(jīng)過(guò)專門電子技術(shù)人員的檢驗(yàn)鑒定，才能成為證據(jù)。

3.利用證據(jù)間的邏輯關(guān)系來(lái)判明電子文件證據(jù)的原始性與真實(shí)性。結(jié)合整個(gè)案情進(jìn)行綜合分析，運(yùn)用多種或多個(gè)證據(jù)之間存在的邏輯關(guān)系，進(jìn)行推理判斷：作為電子文件證據(jù)的信息和數(shù)據(jù)，與其他證據(jù)之間是否一致，與案件發(fā)生的時(shí)間、地點(diǎn)、原因、結(jié)果等有無(wú)聯(lián)系與矛盾，從而認(rèn)定電子文件證據(jù)的原始性和內(nèi)容形式的真實(shí)性。

因此，電子文件取證是指對(duì)能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f(shuō)服力的、存在與計(jì)算機(jī)和相關(guān)外設(shè)中的電子文件證據(jù)的確定、收集、保護(hù)、分析、歸檔以及法庭出示的整個(gè)過(guò)程。在這個(gè)數(shù)字化時(shí)代里，電子文件證據(jù)的取證在查明案件事實(shí)的過(guò)程中作用日益顯著，因此對(duì)電子文件證據(jù)的取證進(jìn)行多方面的研究意義更為深遠(yuǎn)。我們有理由相信，經(jīng)過(guò)各界不懈努力，電子文件證據(jù)在將來(lái)的司法實(shí)踐中會(huì)得到充分體現(xiàn)。