電子證據(jù)鑒定技術(shù)和規(guī)范研究

何 月 ，韓索華 ，劉樹金 ，趙 磊

（1.中國石油大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系 北京 102200；2.北京市昌平區(qū)人民檢察院 北京 102200）

1 引言

進(jìn)入21世紀(jì)，人類進(jìn)入了信息化、網(wǎng)絡(luò)化的時(shí)代，互聯(lián)網(wǎng)的誕生和發(fā)展是現(xiàn)代社會(huì)的一場(chǎng)深刻革命，借助互聯(lián)網(wǎng)這一平臺(tái)，信息一體化給全球帶來了前所未有的變化，各種各樣的電子產(chǎn)品已經(jīng)進(jìn)入千家萬戶，成為人們參與社會(huì)活動(dòng)時(shí)不可缺少的生活、工作、學(xué)習(xí)工具。電子產(chǎn)品在使大家深受裨益的同時(shí)，也伴隨產(chǎn)生了利用各種電子設(shè)備和工具進(jìn)行的各種違法犯罪活動(dòng)。各類智能型犯罪，以計(jì)算機(jī)犯罪為代表，其中大多證據(jù)信息都以數(shù)字形式通過電子與通信產(chǎn)品、計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行存儲(chǔ)、傳輸和傳播，從而出現(xiàn)了“數(shù)字證據(jù)”的概念。近年來，電子證據(jù)這一以高科技電子介質(zhì)為載體的證據(jù)形式逐步進(jìn)入了司法領(lǐng)域，司法實(shí)踐中涉及電子證據(jù)（計(jì)算機(jī)證據(jù)、電子物證）的案件層出不窮，數(shù)量呈現(xiàn)大幅上升趨勢(shì)，因此，面對(duì)種類繁多的電子數(shù)據(jù)載體，能為案件提供偵察方向和證據(jù)的情況將越來越多，作為為辦案部門提供技術(shù)支持的技術(shù)部門，面臨新的任務(wù)和挑戰(zhàn)。筆者主要結(jié)合電子證據(jù)的載體種類繁多及其自身的顯著特征，針對(duì)電子證據(jù)的檢驗(yàn)鑒定的發(fā)展?fàn)顩r，從開展電子證據(jù)檢驗(yàn)及專業(yè)建設(shè)及電子證據(jù)檢驗(yàn)材料的提取與保存、電子證據(jù)檢驗(yàn)的要求和作用、電子證據(jù)檢驗(yàn)技術(shù)方法等方面入手，對(duì)電子證據(jù)的取證及檢驗(yàn)方法進(jìn)行深入探討。

2 電子證據(jù)鑒定技術(shù)的發(fā)展?fàn)顩r

證據(jù)制度作為國家司法制度的組成部分，同國家和法律制度的整體一樣，是隨著社會(huì)經(jīng)濟(jì)基礎(chǔ)的變化而變化的，同時(shí)也是與人類認(rèn)識(shí)客觀世界的能力的提高密切相關(guān)。

2.1 電子證據(jù)檢驗(yàn)鑒定的國外研究現(xiàn)狀

英美法系學(xué)者對(duì)電子證據(jù)的研究已有相當(dāng)長的歷史，其對(duì)電子證據(jù)的可采性與證明力以及收集、保全、出示、質(zhì)疑與認(rèn)定電子證據(jù)的規(guī)則已經(jīng)形成了較為成熟的看法。在大陸法系國家，基于證據(jù)法不具有獨(dú)立的地位等緣故，電子證據(jù)的研究尚未受到應(yīng)有的重視。

2.2 電子證據(jù)檢驗(yàn)鑒定的國內(nèi)研究現(xiàn)狀

我國情況與大陸法系國家相似，對(duì)電子證據(jù)的研究仍然相當(dāng)膚淺，并且存在大量誤區(qū)和混亂。然而，電子證據(jù)走進(jìn)司法領(lǐng)域是不以人的意志為轉(zhuǎn)移的必然趨勢(shì)。因而，我們對(duì)電子證據(jù)進(jìn)行研究，不僅為立法機(jī)關(guān)、司法機(jī)關(guān)提供了理論支持，而且拓展了我國證據(jù)法學(xué)研究領(lǐng)域，具有重大的理論意義和實(shí)踐價(jià)值。

2.3 相關(guān)法律的制定情況

許多國家和地區(qū)對(duì)電子證據(jù)已制定出了一些相關(guān)的法律、法規(guī)和條例，提供了運(yùn)用電子證據(jù)來證明客觀事實(shí)的法律依據(jù)，如聯(lián)合國貿(mào)法會(huì)于1996年通過的《電子商務(wù)示范法》，菲律賓《電子證據(jù)規(guī)則》，加拿大《1998年統(tǒng)一電子證據(jù)法》，印度《1999年信息技術(shù)法》，新加波《1998年電子交易法》，英國《1968年證據(jù)法》之電子證據(jù)部分，《1984年警察與刑事證據(jù)法》之電子證據(jù)部分，美國《1999年統(tǒng)一證據(jù)規(guī)則》之電子證據(jù)部分，美國《統(tǒng)一電子交易法》之電子證據(jù)部分，美國《統(tǒng)一計(jì)算機(jī)信息交易法》之電子證據(jù)部分，南非《1983年計(jì)算機(jī)證據(jù)法》等。

在我國司法實(shí)踐中，許多法律法規(guī)增加了關(guān)于電子證據(jù)的條款：

· 《中華人民共和國合同法》的電子證據(jù)部分；

· 最高人民法院 《關(guān)于民事訴訟證據(jù)的若干規(guī)定》的電子證據(jù)部分；

· 最高人民檢察院《人民檢察院刑事訴訟規(guī)則》的電子證據(jù)部分；

· 最高人民檢察院《關(guān)于檢察機(jī)關(guān)偵查工作貫徹刑訴法若干問題的意見》的電子證據(jù)部分；

· 公安部《公安機(jī)關(guān)辦理刑事案件程序規(guī)定》的電子證據(jù)部分；

· 上海市《國際貿(mào)易電子數(shù)據(jù)交換管理規(guī)定》；

· 上海市《電子商務(wù)價(jià)格管理暫行辦法》（數(shù)字證書部分）；

· 香港地區(qū)《電子交易條例》的電子證據(jù)部分等。

這些法規(guī)和條例為當(dāng)前的各類案件的辦理和訴訟工作提供了運(yùn)用電子證據(jù)來證明客觀事實(shí)的法律依據(jù)。

3 電子證據(jù)檢驗(yàn)鑒定的概念、特點(diǎn)及檢驗(yàn)對(duì)象

司法鑒定是指在訴訟活動(dòng)中，鑒定人運(yùn)用科學(xué)技術(shù)或者專門知識(shí)對(duì)訴訟涉及的專門性問題進(jìn)行鑒別和判斷，并提供鑒定意見的活動(dòng)。

電子證據(jù)檢驗(yàn)鑒定是指鑒定人運(yùn)用計(jì)算機(jī)技術(shù)、物理學(xué)以及電子技術(shù)的原理和技術(shù)手段，對(duì)訴訟涉及到的電子數(shù)據(jù)進(jìn)行恢復(fù)、鑒別和判斷，并提供鑒定意見，以取得最具證明力的電子數(shù)據(jù)證據(jù)作為認(rèn)定事實(shí)的依據(jù)。

電子證據(jù)檢驗(yàn)鑒定的特點(diǎn)有：（1）需要檢驗(yàn)鑒定的客體發(fā)展變化快，電子證據(jù)是以存儲(chǔ)介質(zhì)記錄的內(nèi)容來為案件提供相關(guān)的證據(jù)，但從物理性質(zhì)上講，隨著科技的發(fā)展，涉及的存儲(chǔ)介質(zhì)也越來越多，這樣，為圍繞該類證據(jù)的提取，檢驗(yàn)鑒定也在不斷提出新的要求。（2）電子證據(jù)所涉及的物證與傳統(tǒng)物證相比，具有形式多樣、介質(zhì)依賴、易破壞、時(shí)限性強(qiáng)的特點(diǎn)，鑒于電子證據(jù)的特點(diǎn)，電子證據(jù)檢驗(yàn)鑒定不僅僅要重視結(jié)果的準(zhǔn)確性和正確性，更加重要的因素是檢驗(yàn)鑒定的程序必須符合相關(guān)的程序。（3）電子證據(jù)的檢驗(yàn)鑒定必須由具有鑒定資格的專門技術(shù)人員進(jìn)行，電子證據(jù)檢驗(yàn)鑒定是司法鑒定的技術(shù)種類中一種，因此，圍繞司法鑒定開展的全部活動(dòng)應(yīng)該遵循國家關(guān)于司法鑒定的相關(guān)規(guī)定。（4）電子證據(jù)的檢驗(yàn)鑒定必須使用具有科學(xué)依據(jù)的專門儀器和技術(shù)手段進(jìn)行。根據(jù)電子證據(jù)的特點(diǎn)，檢驗(yàn)鑒定工作離不開專門的技術(shù)設(shè)備，而且，這樣的設(shè)備必須具備相關(guān)資質(zhì)和資證，否則，所開展的檢驗(yàn)鑒定工作也是沒有根據(jù)的。

電子證據(jù)是由電子信息技術(shù)應(yīng)用而出現(xiàn)的各種能夠證明案件真實(shí)情況的材料及其派生物。這里所述的“材料及其派生物”就是勘驗(yàn)和檢查的對(duì)象，常見表現(xiàn)形式有：電子郵件、電子數(shù)據(jù)交換、網(wǎng)上聊天記錄、網(wǎng)絡(luò)博客、手機(jī)短信、電子簽名、域名等。有學(xué)者根據(jù)電子證據(jù)在證明案件事實(shí)上作用的大小將其分為電子數(shù)據(jù)本身、附屬信息證據(jù)和系統(tǒng)環(huán)境證據(jù)，從這個(gè)角度能夠?qū)z驗(yàn)對(duì)象有更清晰的把握。

目前，在社會(huì)上應(yīng)用的計(jì)算機(jī)的存儲(chǔ)介質(zhì)多達(dá)40種（如圖 1所示），主要包括：軟盤、硬盤、光盤、磁帶、流式帶、不同類型和容量的活動(dòng)硬盤、活動(dòng)軟盤等。主要為：3.5寸、2.5 寸、1.8 寸、IDE、SATA、SCSI等 7 種 不同規(guī)格硬盤；2種規(guī)格軟盤；CD-ROM/CD-R/CD-RW/DVD/DVD-R/DVD-RW 6種類型光盤；128/230/640/1300 MB 4種規(guī)格MO光盤；ZIP 100/250/750 MB 3種規(guī)格大容量軟盤；JAZ 1000/2000 MB 2種規(guī)格可擴(kuò)充硬盤；CF/SM/MMC/SD等10種類型閃存卡；USB接口移動(dòng)硬盤、FIREWARE 400/800接口移動(dòng)硬盤、SCSI接口移動(dòng)硬盤等。

其他類型的設(shè)備，包括手機(jī)機(jī)身、SIM卡、掌上電腦（PDA）、打印機(jī)、復(fù)印機(jī)、數(shù)碼照相機(jī)、數(shù)字?jǐn)z像機(jī)、傳真機(jī)等。

4 電子證據(jù)檢驗(yàn)材料的提取與保存

4.1 電子證據(jù)取證的基本過程

圖1 存儲(chǔ)介質(zhì)種類

電子取證的基本過程是：到達(dá)現(xiàn)場(chǎng)后，檢查機(jī)器當(dāng)時(shí)的狀態(tài)是否安全，是否有需要獲取的實(shí)時(shí)證據(jù)，如正在運(yùn)行的進(jìn)程等。檢查和獲取實(shí)時(shí)證據(jù)之后關(guān)掉機(jī)器，然后，判斷可否制作磁盤鏡像。可以則制作鏡像并回實(shí)驗(yàn)室繼續(xù)取證直至提交證據(jù)為止；否則，檢查不能制作鏡像的原因（例如磁盤故障）。

（1）保護(hù)現(xiàn)場(chǎng)和現(xiàn)場(chǎng)勘查

封存目標(biāo)計(jì)算機(jī)系統(tǒng)并避免發(fā)生任何的數(shù)據(jù)破壞或病毒感染，繪制計(jì)算機(jī)犯罪現(xiàn)場(chǎng)圖、網(wǎng)絡(luò)拓?fù)鋱D等。在移動(dòng)或拆卸任何設(shè)備之前都要拍照存檔，為今后模擬和還原犯罪現(xiàn)場(chǎng)提供直接證據(jù)。

整個(gè)檢查、取證過程必須是受到監(jiān)督的，公安部《計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn)與電子證據(jù)檢查規(guī)則》第9條規(guī)定：“對(duì)計(jì)算機(jī)犯罪現(xiàn)場(chǎng)進(jìn)行勘驗(yàn)和對(duì)電子證據(jù)進(jìn)行檢查不得少于二人?，F(xiàn)場(chǎng)勘驗(yàn)檢查，應(yīng)當(dāng)邀請(qǐng)一至兩名與案件無關(guān)的公民作見證人。公安司法人員不能充當(dāng)見證人?！痹撘?guī)則第16條、第23條分別對(duì)現(xiàn)場(chǎng)勘驗(yàn)時(shí)提取數(shù)據(jù)、封存物品文件的過程、在線分析的關(guān)鍵步驟以及遠(yuǎn)程勘驗(yàn)過程中提取、生成電子證據(jù)等關(guān)鍵步驟規(guī)定了錄像的要求。《人民檢察院檢察技術(shù)部門電子證據(jù)勘驗(yàn)程序規(guī)則 （試行）》（征求意見稿）第16條也規(guī)定：“數(shù)據(jù)內(nèi)容勘驗(yàn)重要步驟應(yīng)當(dāng)全程錄像，錄像資料應(yīng)當(dāng)編號(hào)保存?！?/p>

要特別注意保證“證據(jù)的連續(xù)性”，即在證據(jù)被正式提交法庭時(shí)，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)的狀態(tài)之間的任何變化。

（2）獲取證據(jù)

證據(jù)的獲取很難有固定的、一成不變的方法和模式。在理想狀態(tài)下，任何一臺(tái)需要分析的計(jì)算機(jī)都可以關(guān)掉電源，重新啟動(dòng)，做一個(gè)完整的鏡像。這時(shí)，取證人員只需取下硬盤，進(jìn)行各種操作即可。但是，這僅僅是個(gè)理想狀態(tài)而已。電子取證領(lǐng)域最具爭(zhēng)議的話題之一就是：在取證時(shí)究竟是讓一臺(tái)計(jì)算機(jī)繼續(xù)運(yùn)行還是立即拔掉電源，或者進(jìn)行正常的管理關(guān)機(jī)過程。大多數(shù)取證人員為了使計(jì)算機(jī)停留在當(dāng)前狀態(tài)，采取立即拔掉電源的做法，但是這一做法會(huì)毀掉處于入侵過程中的相關(guān)數(shù)據(jù)，并且可能毀壞硬盤上的數(shù)據(jù)。這也正是事后取證難以解決的問題。最好的方法應(yīng)該是針對(duì)現(xiàn)場(chǎng)的具體情況迅速做出判斷，采取合適的方法獲取數(shù)據(jù)。

4.2 取證工作面臨的難題

第一，多數(shù)情況下，系統(tǒng)管理員發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊和破壞后，由于急于確認(rèn)攻擊怎樣出現(xiàn)并重建系統(tǒng)，往往破壞了證據(jù)。另外，用戶也要克服對(duì)犯罪行為進(jìn)行報(bào)告時(shí)的猶豫心態(tài)，不要因?yàn)閾?dān)心損害企業(yè)聲譽(yù)而對(duì)受到的網(wǎng)絡(luò)攻擊隱瞞不報(bào)。

第二，面對(duì)復(fù)雜、海量的數(shù)據(jù)，如何審查判斷出與案件關(guān)聯(lián)的、反映案件客觀事實(shí)的電子證據(jù)。任何對(duì)應(yīng)用系統(tǒng)或數(shù)據(jù)庫的增刪、收發(fā)電子郵件等行為所產(chǎn)生的數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫、緩存區(qū)或臨時(shí)文件中，并和海量的其他數(shù)據(jù)混雜在一起。而且，計(jì)算機(jī)應(yīng)用系統(tǒng)繁多，電子證據(jù)存儲(chǔ)狀態(tài)復(fù)雜、表現(xiàn)形式多樣，所以，從海量的計(jì)算機(jī)數(shù)據(jù)中甄別出與案件有關(guān)聯(lián)的、反映案件客觀事實(shí)的證據(jù)是很有難度的。

第三，如何依照科學(xué)、規(guī)范的程序進(jìn)行收集取證。很多組織和機(jī)構(gòu)投入了大量的人力開發(fā)取證工具，例如FTK、EnCase等，但是這些取證工具沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，因而軟件的使用者很難對(duì)工具的有效性和可靠性進(jìn)行比較。要證明一種工具是精確可靠的并不是件簡(jiǎn)單的事。只有當(dāng)有資質(zhì)的機(jī)構(gòu)認(rèn)定這些工具是準(zhǔn)確和可靠的，它們才能用來進(jìn)行取證。

5 電子證據(jù)取證的發(fā)展與規(guī)范

5.1 電子證據(jù)取證的發(fā)展趨勢(shì)

電子取證技術(shù)一方面會(huì)隨著司法實(shí)踐中的應(yīng)用而不斷完善；另一方面會(huì)隨著黑客技術(shù)等計(jì)算機(jī)技術(shù)的發(fā)展而相應(yīng)地出現(xiàn)新的對(duì)策。電子取證主要有以下幾個(gè)發(fā)展趨勢(shì)。

第一，取證工具和程序向標(biāo)準(zhǔn)化方向發(fā)展。由于電子取證本身的特點(diǎn)，如何根據(jù)中國的實(shí)際情況，采取科學(xué)規(guī)范的手段和方法，有效保證檢驗(yàn)結(jié)果的科學(xué)性和規(guī)范性，是致關(guān)重要的事情。從目前國際國內(nèi)開展電子取證的情況看，國外產(chǎn)品在電子取證規(guī)范化的檢驗(yàn)程序方面，還沒有適合中國國情的產(chǎn)品。

由于國外開展研發(fā)比較早，具有專門的研發(fā)隊(duì)伍，所以在電子取證檢驗(yàn)工具方面成果卓越，包括主流的大型分析工具 EnCase、FTK和X-WAYS，專業(yè)的數(shù)據(jù)恢復(fù)工具EasyRecovery、R-Studio、PhotoRecovery，容易失數(shù)據(jù)獲取工具 F-Response、X-WAYS Capture，密碼破解工具 PassWare等，這些軟件工具功能強(qiáng)大。

第二，取證領(lǐng)域不斷擴(kuò)大。電子取證涉及磁盤分析、加密、圖形和音頻文件的研究、日志信息發(fā)覺、數(shù)據(jù)庫技術(shù)、媒介的物理性質(zhì)等多方面的知識(shí)?，F(xiàn)在，很多工作依賴于人工實(shí)現(xiàn)，大大降低了取證速度和取證結(jié)果的可靠性。未來的取證軟件會(huì)加入更多的自動(dòng)發(fā)現(xiàn)和分析的功能，以更多的代替人工操作。

第三，由事后取證向?qū)崟r(shí)取證發(fā)展。將電子取證結(jié)合到入侵監(jiān)測(cè)等網(wǎng)絡(luò)安全工具中，就像安裝了監(jiān)視器，能識(shí)別可疑活動(dòng)，保存現(xiàn)場(chǎng)記錄，迅速生成電子證據(jù)，減少調(diào)查的時(shí)間，降低對(duì)偵查人員的要求。

5.2 電子證據(jù)取證工作標(biāo)準(zhǔn)和規(guī)范

由加拿大、法國、德國、英國、意大利、日本、俄國和美國的相關(guān)研究人員組成的G8小組已制定了一系列有關(guān)數(shù)字取證的標(biāo)準(zhǔn)，并提出了數(shù)字取證操作過程的6條原則：

·必須應(yīng)用標(biāo)準(zhǔn)的取證過程；

·捕獲電子證據(jù)后，任何舉措都不得改變證據(jù)；

·接觸原始證據(jù)的人員應(yīng)該得到相關(guān)培訓(xùn)；

·任何對(duì)電子證據(jù)進(jìn)行捕獲、訪問、存儲(chǔ)或轉(zhuǎn)移的活動(dòng)必須有完整記錄；

·任何個(gè)人若擁有電子證據(jù)，那么他必須對(duì)其在該證據(jù)上的任何操作活動(dòng)負(fù)責(zé)；

·任何負(fù)責(zé)捕獲、訪問、存儲(chǔ)或轉(zhuǎn)移電子證據(jù)的機(jī)構(gòu)必須遵從上述原則。

5.3 電子證據(jù)取證工具標(biāo)準(zhǔn)和規(guī)范

美國國家標(biāo)準(zhǔn)和技術(shù)研究所 （national institute of standards and technology，NIST）的計(jì)算機(jī)取證工具測(cè)試計(jì)劃（computer forensic tooLTEsting，CFTT）的目標(biāo)就是通過開發(fā)通用的工具規(guī)范（Specification）、測(cè)試過程、測(cè)試標(biāo)準(zhǔn)、測(cè)試硬件和測(cè)試軟件，建立用于測(cè)試數(shù)字取證軟件的方法。該測(cè)試方法是基于一致性測(cè)試盒質(zhì)量測(cè)試的國際方法，符合ISO/IEC 17025:1999（能力測(cè)試盒校準(zhǔn)實(shí)驗(yàn)室）的一般要求。

CFTT采用的工具測(cè)試流程包括2個(gè)主要步驟。

（1）制定規(guī)范過程

·信息技術(shù)實(shí)驗(yàn)室（information technology laboratory，ITL）和有關(guān)法律部門制定工具類別規(guī)范，即對(duì)所選取證工具類型制定相關(guān)的要求、申明和案例測(cè)試文檔。

· 將工具類別規(guī)范在網(wǎng)上公布，征求同行意見和社會(huì)評(píng)論。

·將相關(guān)的評(píng)論和反饋意見融入該規(guī)范。

·為該類型工具設(shè)計(jì)一個(gè)測(cè)試環(huán)境。

（2）工具測(cè)試過程

·ITL獲得該測(cè)試工具。

·ITL審核工具文檔。

·根據(jù)工具提供的特性，ITL選擇相關(guān)的測(cè)試案例。

·ITL制定測(cè)試策略。

·ITL執(zhí)行測(cè)試。

·ITL產(chǎn)生測(cè)試報(bào)告。

·同行審核該報(bào)告。

·其他人員審核該測(cè)試報(bào)告。

·ITL將結(jié)果發(fā)布到網(wǎng)上。

5.4 我國的標(biāo)準(zhǔn)化情況

目前，我國關(guān)于電子證據(jù)檢驗(yàn)鑒定的行業(yè)標(biāo)準(zhǔn)有：全國刑事技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織完成的 《電子物證數(shù)據(jù)搜索檢驗(yàn)技術(shù)規(guī)范》（GA/T825-2009）、《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)技術(shù)規(guī)范》(GA/T826-2009)、《電子物證文件一致性檢驗(yàn)技術(shù)規(guī)范》（GA/T827-2009）、《電子物證軟件功能檢驗(yàn)技術(shù)規(guī)范》（GA/T828-2009）、《電子物證軟件一致性檢驗(yàn)技術(shù)規(guī)范》（GA/T829-2009）等，其公布實(shí)施可以說是我國電子證據(jù)鑒定標(biāo)準(zhǔn)化研究的階段性成果，其中對(duì)送檢的檢材和樣本進(jìn)行惟一性編號(hào)，對(duì)送檢的檢材和樣本進(jìn)行拍照，啟動(dòng)殺毒軟件對(duì)電子物證檢驗(yàn)工作站系統(tǒng)進(jìn)行殺毒等操作步驟都是保證檢材原始性、真實(shí)性、完整性的重要操作標(biāo)準(zhǔn)。

6 電子證據(jù)檢驗(yàn)的要求

6.1 電子證據(jù)檢驗(yàn)應(yīng)遵循的原則

電子證據(jù)具有隱蔽性、數(shù)量巨大的特點(diǎn)，可能與其他涉及個(gè)人隱私的數(shù)據(jù)呈交叉組合狀態(tài)，特別是當(dāng)計(jì)算機(jī)被多人使用或者處在網(wǎng)絡(luò)系統(tǒng)中時(shí)。如果按照《刑事訴訟法》第114條“扣押物證、書證的范圍”的規(guī)定對(duì)計(jì)算機(jī)進(jìn)行扣押，難免侵犯他人的合法權(quán)益，甚至可能觸犯刑法中關(guān)于計(jì)算機(jī)犯罪的相關(guān)規(guī)定。

一方面，為了更有效地收集證據(jù)，偵查人員應(yīng)盡可能地?cái)U(kuò)大檢查范圍；另一方面，漠視公眾的合法權(quán)益與現(xiàn)代法治精神相違背。為了兼顧打擊犯罪與保護(hù)公眾合法權(quán)益的平衡，在搜查、扣押、勘驗(yàn)、檢查時(shí)應(yīng)考慮以下原則。

（1）有限原則

與傳統(tǒng)勘驗(yàn)、檢查的物理限制不同，應(yīng)從技術(shù)的角度限制檢驗(yàn)范圍，如計(jì)算機(jī)用戶、制作者、登陸時(shí)段、電子郵箱、關(guān)鍵字等。

（2）必要性原則

結(jié)合以下幾個(gè)要素判斷有無扣押他人數(shù)據(jù)的必要性：犯罪嫌疑人涉嫌犯罪的內(nèi)容，該電子數(shù)據(jù)作為證據(jù)的證明價(jià)值，電子數(shù)據(jù)受到篡改、刪除的可能性以及該電子數(shù)據(jù)所有人的商業(yè)秘密和隱私的保護(hù)等。

（3）保密原則

因辦案而知悉的電子數(shù)據(jù)要嚴(yán)格保密、防止外泄或者毀損等。尤其是對(duì)他人的或提供協(xié)助的網(wǎng)絡(luò)服務(wù)商的信息，更要嚴(yán)格遵守保密原則。

另外，有必要對(duì)檢驗(yàn)范圍提出全新的規(guī)則，將檢驗(yàn)電子證據(jù)的決定權(quán)限、實(shí)施方法、適用范圍等內(nèi)容納入司法程序中。《人民檢察院檢察技術(shù)部門電子證據(jù)勘驗(yàn)程序規(guī)則（試行）》（征求意見稿）已經(jīng)有了做出了有益的嘗試：“勘驗(yàn)應(yīng)當(dāng)持有檢察長簽發(fā)的勘查證”，這里的“勘驗(yàn)”包括“場(chǎng)所勘驗(yàn)”、“存儲(chǔ)介質(zhì)或設(shè)備勘驗(yàn)”和“數(shù)據(jù)內(nèi)容勘驗(yàn)”。關(guān)于檢驗(yàn)活動(dòng)的適用范圍，案情的巨大差異造成檢驗(yàn)對(duì)象的千差萬別，因此還有待在長期的實(shí)踐中積累出具有共性的標(biāo)準(zhǔn)。

6.2 非法證據(jù)排除規(guī)則在電子證據(jù)檢驗(yàn)過程中的體現(xiàn)

非法證據(jù)排除規(guī)則用于調(diào)整電子證據(jù)是實(shí)現(xiàn)非法證據(jù)排除規(guī)則本身對(duì)“E”空間的保護(hù)而不是讓非法偵查行為這一病區(qū)向無形的虛擬空間擴(kuò)散的重要機(jī)制。

7 電子證據(jù)檢驗(yàn)技術(shù)方法

以電子證據(jù)的來源為標(biāo)準(zhǔn)，電子取證技術(shù)可分為：?jiǎn)螜C(jī)取證技術(shù)、網(wǎng)絡(luò)取證技術(shù)和相關(guān)設(shè)備取證技術(shù)。而以電子取證的過程為標(biāo)準(zhǔn)，電子取證技術(shù)可分為：電子證據(jù)的發(fā)現(xiàn)技術(shù)、固定技術(shù)、提取技術(shù)、分析技術(shù)和表達(dá)技術(shù)等。

（1）發(fā)現(xiàn)技術(shù)

分析當(dāng)前計(jì)算機(jī)的類型、采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有隱藏的分區(qū)；有無可疑外設(shè)；有無遠(yuǎn)程控制、木馬程序及當(dāng)前計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)環(huán)境。注意開機(jī)、關(guān)機(jī)，避免正在運(yùn)行的進(jìn)程數(shù)據(jù)丟失或存在不可逆轉(zhuǎn)的刪除程序。

（2）提取技術(shù)

計(jì)算機(jī)證據(jù)的收集、提取工作對(duì)取證人員的業(yè)務(wù)素質(zhì)有較高的要求，在提取過程中，要深入細(xì)致地對(duì)計(jì)算機(jī)中尚未清空的內(nèi)存、殘留的打印文檔、硬盤的臨時(shí)文件的可疑痕跡等進(jìn)行查找分析。

·將主要犯罪事實(shí)連同顯示器進(jìn)行攝像、拍照。查找到相應(yīng)證據(jù)后，應(yīng)首先確定其在計(jì)算機(jī)中存放的位置并攝像、拍照，此后將證據(jù)顯示在計(jì)算機(jī)顯示器上，再進(jìn)行攝像、拍照。

·將計(jì)算機(jī)證據(jù)進(jìn)行文書化，用相應(yīng)的應(yīng)用程序打開文件，打印輸出（可只打印有代表性的內(nèi)容）。打印后標(biāo)明提取時(shí)間、地點(diǎn)、機(jī)器、提取人及見證人。

·備份計(jì)算機(jī)證據(jù)，利用同規(guī)格的軟盤、硬盤、光盤、MO盤等介質(zhì)對(duì)提取的計(jì)算機(jī)證據(jù)進(jìn)行復(fù)制備份，備份數(shù)目原則上應(yīng)為兩套。另外須加以注意的是備份時(shí)所使用的各類介質(zhì)都必須經(jīng)過系統(tǒng)格式化，以保證所使用的備份介質(zhì)是空白的。

（3）固定技術(shù)

封存物證，如非必要，需斷開網(wǎng)絡(luò)連接?？梢苿?dòng)存儲(chǔ)介質(zhì)的取證步驟可參照上述進(jìn)行，但操作前注意應(yīng)先進(jìn)行寫保護(hù)，并打封簽字，避免可能的介質(zhì)損壞或被修改，取證后封存。

（4）分析技術(shù)

采用專業(yè)搜索、動(dòng)態(tài)過濾、信息排查等綜合分析手段，充分挖掘檢材中的內(nèi)容證據(jù)和活動(dòng)線索。對(duì)相關(guān)案件的關(guān)鍵信息進(jìn)行關(guān)聯(lián)性、身份角色、活動(dòng)規(guī)律等綜合分析，包括EnCase、FTK、X-WAYS等軟件是目前電子取證綜合檢驗(yàn)廣泛使用的產(chǎn)品。

8 如何開展電子證據(jù)檢驗(yàn)及專業(yè)建設(shè)

第一，基于網(wǎng)絡(luò)的虛擬性、隱蔽性以及電子證據(jù)的易改性等特點(diǎn)，證據(jù)不易收集、固定。第二，嫌疑人也極易變更，甚至毀滅證據(jù)。第三，專業(yè)偵查人員較少，一般的電子證據(jù)都是由普通偵查人員取證，也極大影響了電子證據(jù)的檢驗(yàn)工作。這3個(gè)方面都是后續(xù)發(fā)展的方向。

檢察機(jī)關(guān)應(yīng)加快自有的計(jì)算機(jī)人才培養(yǎng)的力度。其中分兩個(gè)層次：一個(gè)是應(yīng)用層次的，加強(qiáng)偵查人員的網(wǎng)絡(luò)專業(yè)技術(shù)培訓(xùn)，增強(qiáng)偵查取證能力。同時(shí)，加強(qiáng)檢察機(jī)關(guān)、審判機(jī)關(guān)承辦人員的網(wǎng)絡(luò)專業(yè)技術(shù)培訓(xùn)，提高其起訴、審理網(wǎng)絡(luò)犯罪的能力。第二是分析層次的，要求計(jì)算機(jī)專業(yè)人員能進(jìn)行有效的電子證據(jù)的取證工作，能進(jìn)行相關(guān)的破譯、數(shù)據(jù)查找和數(shù)據(jù)恢復(fù)工作。

電子證據(jù)鑒定問題是由技術(shù)發(fā)展而引起的，隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的迅猛發(fā)展，必須不斷地調(diào)整鑒定的方法、手段與程序才能適應(yīng)技術(shù)的進(jìn)步。

1 余彥峰.數(shù)字證據(jù)及其取證技術(shù).網(wǎng)絡(luò)安全技術(shù)及應(yīng)用，2002（2）

2 陳俊.對(duì)電子商務(wù)征稅的幾點(diǎn)立法思考.法制日?qǐng)?bào)，2001-09-30

3 吳曉玲.論電子商務(wù)中的電子證據(jù).科技與法律，1999（2）

4 韓鷹.對(duì)電子證據(jù)的法律研究.中國律師2000年大會(huì)論文集，2000

5 董杜驕.論電子證據(jù)的法律地位.北京：中國經(jīng)濟(jì)出版社，2002

6 張嘉林.電子數(shù)據(jù)證據(jù)淺析.司法前沿，2003（2）

7 何家弘主編.電子證據(jù)法研究.北京：法律出版社，2002

8 張西安.論計(jì)算機(jī)證據(jù)的幾個(gè)問題.人民法院報(bào)，2000-11-07

9 劉品新主編.電子取證的法律規(guī)制.北京：中國法制出版社，2010