針對(duì)電子證據(jù)的關(guān)聯(lián)獲取研究

趙志巖

(中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院， 北京　102623)

針對(duì)電子證據(jù)的關(guān)聯(lián)獲取研究

趙志巖

(中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院， 北京102623)

摘要在虛擬犯罪現(xiàn)場(chǎng)搜索案件相關(guān)的電子證據(jù)是偵查取證的重要需求，在證據(jù)量日益增大的今天，這個(gè)需求已顯得尤為重要。在法學(xué)領(lǐng)域，為了證明案件事實(shí)，關(guān)聯(lián)證據(jù)具有特定的法學(xué)涵義，因此在搜索相關(guān)證據(jù)時(shí)應(yīng)遵循這些法學(xué)規(guī)則。然而在偵查取證的過(guò)程中，技術(shù)專家經(jīng)常會(huì)忽略這些法學(xué)需求。結(jié)合法學(xué)和技術(shù)兩個(gè)角度，對(duì)電子證據(jù)的關(guān)聯(lián)獲取問(wèn)題進(jìn)行分析，并對(duì)現(xiàn)有的獲取方法進(jìn)行比較和評(píng)價(jià)，總結(jié)了各種方法的應(yīng)用范圍和領(lǐng)域。

關(guān)鍵詞電子證據(jù)； 關(guān)聯(lián)獲??； 法學(xué)涵義； 技術(shù)分析

0引言

計(jì)算機(jī)犯罪的現(xiàn)場(chǎng)除了物理現(xiàn)場(chǎng)外，還包括更重要的虛擬現(xiàn)場(chǎng)，即電子證據(jù)存在的現(xiàn)場(chǎng)，虛擬現(xiàn)場(chǎng)存在的環(huán)境有計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備和其他電子設(shè)備，在這個(gè)虛擬現(xiàn)場(chǎng)中可能包含大量的數(shù)據(jù)信息，如文檔、圖片、日志、流量等。

這些電子信息中可能包含大量的證據(jù)信息，如揭示入侵者行為的日志，表明嫌疑人犯罪準(zhǔn)備的策劃文檔，犯罪動(dòng)機(jī)的上網(wǎng)瀏覽記錄、團(tuán)伙之間的通訊交流等，這些證據(jù)都為案件的偵破提供了大量的線索，為法庭審判提供證明。但是，隨著信息量的增大，如何從海量的電子數(shù)據(jù)中合法有效地獲取與案件相關(guān)的信息成為了極為耗時(shí)的工作，而如何保證獲取的數(shù)據(jù)是與案情相關(guān)的證據(jù)也成為應(yīng)首要解決的問(wèn)題。

電子證據(jù)以電子形式存在，需要專業(yè)的解析和識(shí)別方法，一般人很難完全掌握。同時(shí)，電子證據(jù)作為證據(jù)的一種，也必須具有證據(jù)的一般屬性和法學(xué)含義，因此，電子證據(jù)具有法學(xué)和技術(shù)性兩層特征。但目前的情況是律師和法官等對(duì)電子證據(jù)進(jìn)行審查的人，不了解電子證據(jù)的形成規(guī)律、技術(shù)特點(diǎn)和解析方法，可能導(dǎo)致夸大或貶低電子證據(jù)的價(jià)值，不能正確地發(fā)揮電子證據(jù)的證明作用，而負(fù)責(zé)獲取和分析電子證據(jù)的技術(shù)專家由于不精通法學(xué)相關(guān)知識(shí)，導(dǎo)致獲取到的電子證據(jù)可能在法庭上遭到質(zhì)疑甚至遺棄，不具有證明效力。

因此，如何把技術(shù)和法學(xué)有機(jī)地結(jié)合起來(lái)，成為相互促進(jìn)的手段，是法學(xué)專家和技術(shù)專家都應(yīng)該考慮的問(wèn)題。電子證據(jù)的關(guān)聯(lián)獲取就是如此，本文主要對(duì)這一問(wèn)題進(jìn)行深入的探討。

1法學(xué)意義的關(guān)聯(lián)證據(jù)獲取

所有的證據(jù)在獲取之前都應(yīng)該考慮授權(quán)的問(wèn)題，各國(guó)對(duì)此制定了不同的法律規(guī)定，如公民的隱私信息受到保護(hù)[1]，只有申請(qǐng)授權(quán)，才有可能獲取某些特定的證據(jù)；另外，為了使證據(jù)在法庭上具有效力，還要求證據(jù)的獲取過(guò)程是合法的，獲取手段沒(méi)有破壞證據(jù)本身的完整性，同時(shí)法庭所出示的證據(jù)必須具有相關(guān)性，這是證據(jù)的基本法學(xué)屬性之一。

1.1　授權(quán)

數(shù)字證據(jù)未經(jīng)授權(quán)的獲取是影響其被法庭所接受的最普遍原因。有關(guān)數(shù)據(jù)存儲(chǔ)和傳輸?shù)碾[私法是很復(fù)雜的，必須認(rèn)真考慮這些事情，以避免案件節(jié)外生枝。也就是說(shuō)，需要具有搜查權(quán)，才能搜索和獲取證據(jù)，包括電子證據(jù)。

美國(guó)的電子通信隱私權(quán)法禁止任何人，包括政府，非法獲取或截獲電子通信信息，第四修正案要求執(zhí)法警官在搜查嫌疑人所有物之前，必須取得搜查令。在法律條款中，隱私權(quán)是公民生活的某些領(lǐng)域不受政府侵?jǐn)_的權(quán)利，及公民的生活不受其他人侵?jǐn)_的權(quán)利。盡管各國(guó)的具體法律法規(guī)不同，但基本含義是一致的，即保護(hù)個(gè)人的所有物，包括保存在個(gè)人電腦中的電子文檔，傳輸在網(wǎng)絡(luò)中的電子郵件、聊天通訊信息等都不能被不合理地搜索和查封。我國(guó)最高人民法院通過(guò)的《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第68條規(guī)定：以侵害他人合法權(quán)益或者違反法律禁止性規(guī)定的方法取得的證據(jù)，不能作為認(rèn)定案件事實(shí)的依據(jù)。

在實(shí)施證據(jù)獲取之前，即使是政府和執(zhí)法警察，也應(yīng)當(dāng)獲得批準(zhǔn)才能進(jìn)行，獲得電子郵件、網(wǎng)絡(luò)通信以及其他電子數(shù)據(jù)授權(quán)的困難度由于具體情況、不同國(guó)家、數(shù)據(jù)類型以及搜查者本身的不同而受到影響。如果要搜集的電子證據(jù)存在于多個(gè)范圍，那么在申請(qǐng)授權(quán)的時(shí)候，最好為每一個(gè)范圍都申請(qǐng)搜查令。

1.2　合法性

電子證據(jù)獲取的合法性包括主體合法和獲取方法的合法。主體合法，即電子證據(jù)應(yīng)當(dāng)由特殊人員依法獲取，我國(guó)刑事訴訟法規(guī)定，可以從事刑事電子證據(jù)取證的主體主要有公安司法人員、辯護(hù)律師和自訴人。

獲取過(guò)程和方法合法是指電子證據(jù)應(yīng)當(dāng)依照法定程序和方法獲取，如獲取證據(jù)的過(guò)程是否遵守有關(guān)法律的規(guī)定，是否符合法律標(biāo)準(zhǔn)。不合理的電子證據(jù)獲取方式，是妨礙其被法庭認(rèn)可的常見因素，即保證獲取行為不會(huì)破壞證據(jù)的完整性，同時(shí)保證證據(jù)在獲取過(guò)程中內(nèi)容和屬性沒(méi)有發(fā)生任何變化。

電子證據(jù)在法庭出示時(shí)，需要審查其獲取方法是否科學(xué)可靠，獲取過(guò)程是否客觀、合法，還要審查上述過(guò)程中處理電子證據(jù)的操作人員是否具有資格。保證在獲取電子數(shù)據(jù)的同時(shí)不破壞原始存儲(chǔ)介質(zhì)，滿足數(shù)據(jù)的無(wú)損獲取。

1.3　關(guān)聯(lián)性

所謂證據(jù)的關(guān)聯(lián)性，是指證據(jù)與待證事實(shí)之間具有某種關(guān)聯(lián)，而且這種關(guān)聯(lián)可以作為證明案件事實(shí)存在的依據(jù)[2]。從某種意義上講，證據(jù)的關(guān)聯(lián)性就是證據(jù)對(duì)于案件待證事實(shí)加以解釋、說(shuō)明的程度。

關(guān)聯(lián)性同樣是電子證據(jù)最重要的司法屬性之一，如果電子證據(jù)與所證實(shí)的事實(shí)無(wú)關(guān)，那么該電子證據(jù)則是無(wú)意義的。關(guān)聯(lián)性包括與案件事實(shí)的直接聯(lián)系和間接聯(lián)系、必然聯(lián)系和偶然聯(lián)系、肯定聯(lián)系和否定聯(lián)系，以及時(shí)間先后聯(lián)系等。這些與案件事實(shí)相關(guān)聯(lián)的電子證據(jù)的集合構(gòu)成了所有的相關(guān)證據(jù)，也正是我們需要獲取的目標(biāo)。從犯罪學(xué)角度看，相關(guān)證據(jù)一般包含表明犯罪準(zhǔn)備、動(dòng)機(jī)、行為、結(jié)果的一系列證據(jù)集合。

判斷證據(jù)關(guān)聯(lián)性的依據(jù)構(gòu)成了獲取相關(guān)證據(jù)的指導(dǎo)思想，美國(guó)證據(jù)法學(xué)家賽耶曾說(shuō)過(guò)：“在絕大多數(shù)情況下法律并沒(méi)有規(guī)定具體的關(guān)聯(lián)性標(biāo)準(zhǔn)，而是將該問(wèn)題交給邏輯和一般經(jīng)驗(yàn)?！币虼丝偨Y(jié)這些邏輯關(guān)系和經(jīng)驗(yàn)對(duì)于獲取相關(guān)證據(jù)非常重要。

2關(guān)聯(lián)證據(jù)獲取的技術(shù)方法

電子證據(jù)的表現(xiàn)形式多樣，相互之間的關(guān)系錯(cuò)綜復(fù)雜，因此獲取相關(guān)的電子證據(jù)難度很大。目前，技術(shù)上主要采用統(tǒng)計(jì)方法[4]、專家系統(tǒng)[5]、縮量過(guò)濾[6]和特征過(guò)濾[7]等方法實(shí)現(xiàn)對(duì)關(guān)聯(lián)證據(jù)的獲取，這些方法很多已經(jīng)在取證工具上得到了廣泛的應(yīng)用。

2.1　基于統(tǒng)計(jì)的獲取方法

統(tǒng)計(jì)方法是一種基于案例的方法。首先形成大量的案例集，統(tǒng)計(jì)相關(guān)案例中包含的相同或相似的電子證據(jù)來(lái)源，依據(jù)這些統(tǒng)計(jì)信息，對(duì)新案例中的相關(guān)證據(jù)進(jìn)行獲取，證據(jù)相關(guān)的級(jí)別從絕對(duì)不相關(guān)到可能相關(guān)。

案例中相關(guān)證據(jù)的定義是，所有表明案件事實(shí)的數(shù)據(jù)，例如能回答是誰(shuí)、在何時(shí)何地、做了何事，以及為何做和怎么做問(wèn)題的所有數(shù)據(jù)，都稱為是案件相關(guān)的證據(jù)。相似案例的相關(guān)證據(jù)具有共同特征，比如網(wǎng)絡(luò)詐騙案，詐騙的手段可能是使用通訊軟件尋找受害者，通過(guò)交流取得受害者的信任，使用電子銀行等手段進(jìn)行轉(zhuǎn)賬詐騙，因此所有相關(guān)位置都可能存在相關(guān)的電子證據(jù)。

通過(guò)分析所有案例，并將案例按犯罪類型歸類，就能夠總結(jié)出同類案件的相關(guān)證據(jù)存在的地方和形式，利用這些統(tǒng)計(jì)信息，可以對(duì)以后案件的證據(jù)相關(guān)獲取提供指導(dǎo)性意見，調(diào)查者能夠迅速定位到所有數(shù)據(jù)中的核心部分，忽略那些不相關(guān)的數(shù)據(jù)。

2.2　基于專家系統(tǒng)的獲取方法

專家系統(tǒng)是一種基于專家經(jīng)驗(yàn)的自動(dòng)化方法。目前，計(jì)算機(jī)犯罪案件的調(diào)查主要依靠調(diào)查者根據(jù)經(jīng)驗(yàn)判斷，在哪些地方可以獲取到相關(guān)證據(jù)，取證調(diào)查的效率問(wèn)題很大程度依賴于調(diào)查者的經(jīng)驗(yàn)，因此有一種相關(guān)證據(jù)獲取的思路就是把專家經(jīng)驗(yàn)形成知識(shí)庫(kù)或決策支持庫(kù)，以規(guī)則的方式指導(dǎo)相關(guān)電子證據(jù)的獲取。

基于假設(shè)的調(diào)查方法有很多都是采用這種思想對(duì)相關(guān)證據(jù)進(jìn)行獲取，如貝葉斯網(wǎng)絡(luò)推理方法，依據(jù)專家經(jīng)驗(yàn)總結(jié)出某一案件假設(shè)的支撐證據(jù)，這些證據(jù)之間就默認(rèn)具有相關(guān)性，調(diào)查的過(guò)程就是尋找相關(guān)證據(jù)的過(guò)程，通過(guò)對(duì)這些支撐證據(jù)的存在性證明，得出案件假設(shè)是否成立的結(jié)論。

2.3　縮量過(guò)濾方法

通過(guò)分析大量電子證據(jù)，根據(jù)規(guī)則去除不相關(guān)證據(jù)的操作就是縮量過(guò)濾方法，即應(yīng)用一定的算法過(guò)濾掉代表系統(tǒng)正常運(yùn)行的文件，或明顯與案件不相關(guān)的證據(jù)，以及重復(fù)的副本文件等都屬于縮量過(guò)濾方法。

方法基于的原理是過(guò)濾掉不相關(guān)證據(jù)，余下的認(rèn)為都具有相關(guān)性，這種方法的精度不高，盡管可以過(guò)濾掉一部分與案件無(wú)關(guān)的電子證據(jù)，但通常仍然會(huì)留下大量的數(shù)據(jù)文件，而且這些數(shù)據(jù)文件之間并不一定具有很強(qiáng)的案件相關(guān)性。

2.4　特征過(guò)濾方法

基于證據(jù)文件的某些特殊特征進(jìn)行過(guò)濾，過(guò)濾出與案件相關(guān)的一部分文件。目前的取證工具設(shè)計(jì)絕大多數(shù)都是依據(jù)這樣的方法，如通過(guò)輸入關(guān)鍵詞，過(guò)濾出所有包含關(guān)鍵詞內(nèi)容的相關(guān)文檔，或通過(guò)輸入擴(kuò)展名，過(guò)濾出相同擴(kuò)展名的所有文件，又或者通過(guò)輸入時(shí)間范圍值獲取所有時(shí)間屬性包含在范圍內(nèi)的文檔。

特征過(guò)濾方法的使用最為廣泛，主要是由于其方法實(shí)現(xiàn)簡(jiǎn)單，獲取目的明確。如Encase取證工具、FTK取證工具等，都是根據(jù)調(diào)查者輸入的過(guò)濾條件，對(duì)電子證據(jù)的某一特征進(jìn)行比較，然后過(guò)濾出符合條件的電子證據(jù)。但是這種方法同樣有一個(gè)明顯的缺陷，就是不能一次獲取到所有與案件相關(guān)的證據(jù)，可能需要調(diào)查者輸入多次過(guò)濾條件，最后得到相對(duì)完整的相關(guān)證據(jù)集合。

3技術(shù)方法的比較分析與評(píng)價(jià)

3.1　比較分析

統(tǒng)計(jì)和專家系統(tǒng)的方法都是從人工智能的角度實(shí)現(xiàn)對(duì)相關(guān)電子證據(jù)的獲取，需要對(duì)現(xiàn)有案例或經(jīng)驗(yàn)進(jìn)行總結(jié)分析，一般適用于有相關(guān)積累的團(tuán)體，因?yàn)橄嚓P(guān)證據(jù)獲取的準(zhǔn)確率極大地依賴案例集或?qū)＜业慕?jīng)驗(yàn)。

統(tǒng)計(jì)方法中相關(guān)證據(jù)的獲取規(guī)則來(lái)源于對(duì)實(shí)際案例的總結(jié)與分析，因此該方法具有實(shí)踐意義。但是，計(jì)算機(jī)犯罪案件種類多，相互之間劃分并不明確，如何從大量的案例中挖掘出相似案例的過(guò)程是該方法的難點(diǎn)之一，雖然同種案件的嫌疑人可能存在慣用手法，導(dǎo)致相關(guān)證據(jù)的存在位置和方式具有一定的相似性，但由于具體案件和嫌疑人的不同，同類個(gè)體之間可能存在較大的差異，如何分析并挖掘出相關(guān)證據(jù)的關(guān)系規(guī)則也是該方法的難點(diǎn)之一。統(tǒng)計(jì)方法適用于具有普遍規(guī)律的案件相關(guān)證據(jù)獲取，而對(duì)于新類型的案例則需要進(jìn)一步擴(kuò)充案例集，重新挖掘相關(guān)規(guī)則。

專家系統(tǒng)的方法是將調(diào)查人員或?qū)I(yè)技術(shù)人員的經(jīng)驗(yàn)操作自動(dòng)化，同樣形成規(guī)則知識(shí)庫(kù)或決策支持系統(tǒng)，指導(dǎo)相關(guān)電子證據(jù)的獲取，因此經(jīng)驗(yàn)的準(zhǔn)確性決定了方法的有效性，從偵查學(xué)角度看，經(jīng)驗(yàn)雖然能夠提高搜索證據(jù)線索的效率，但很容易降低結(jié)論的客觀性。專家系統(tǒng)的方法一般都是提出案件假設(shè)，然后依據(jù)經(jīng)驗(yàn)尋找可以支持結(jié)論的相關(guān)證據(jù)，這樣就會(huì)導(dǎo)致獲取的證據(jù)都具有支持假設(shè)的偏向性，容易使獲取行為不由自主去關(guān)注某些特定方面，忽略可能存在的相反的電子證據(jù)。因此，這種方法應(yīng)該避免過(guò)多地依賴于主觀推測(cè)。

統(tǒng)計(jì)方法和專家系統(tǒng)的方法區(qū)分得并不十分嚴(yán)格，很多工具都是綜合二者的思想進(jìn)行實(shí)現(xiàn)，形成知識(shí)庫(kù)[8]，既分析現(xiàn)有案例，同時(shí)挖掘?qū)＜医?jīng)驗(yàn)形成相關(guān)電子證據(jù)的獲取規(guī)則，這些工具可能利用挖掘算法實(shí)現(xiàn)，或利用智能代理實(shí)現(xiàn)，或利用概率方法實(shí)現(xiàn)，也有可能多種方法同時(shí)使用，以提高相關(guān)獲取的準(zhǔn)確率。

縮量過(guò)濾和特征過(guò)濾法都是基于過(guò)濾的思想，前者是過(guò)濾掉無(wú)關(guān)證據(jù)，后者是過(guò)濾出相關(guān)證據(jù)，相對(duì)于人工智能角度實(shí)現(xiàn)的方法來(lái)說(shuō)，這兩種方法的實(shí)現(xiàn)比較簡(jiǎn)單，但獲取到的電子證據(jù)相關(guān)度不夠，或結(jié)果可能不完整。

縮量過(guò)濾方法只能去除系統(tǒng)正常文件和重復(fù)文件等，過(guò)濾后的數(shù)據(jù)仍然包含大量與案件不相關(guān)的證據(jù)，因此縮量過(guò)濾方法的目標(biāo)是海量證據(jù)的初步處理，其結(jié)果還需要進(jìn)一步的分析，從中獲取具有相關(guān)度的電子證據(jù)。特征過(guò)濾的方法則相反，它的目標(biāo)明確，就是根據(jù)過(guò)濾條件得到與案件某一部分極為相關(guān)的結(jié)果，但過(guò)濾后的數(shù)據(jù)中仍包含大量與案件相關(guān)的證據(jù)，需要設(shè)置過(guò)濾條件進(jìn)一步篩選和獲取。

過(guò)濾方法的有效性極大地依賴過(guò)濾條件的設(shè)置，而過(guò)濾條件是調(diào)查者依據(jù)案情設(shè)置的，如時(shí)間、類型等，無(wú)法實(shí)現(xiàn)獲取過(guò)程的自動(dòng)化，目前絕大多數(shù)取證工具都是采用這樣的相關(guān)證據(jù)獲取方法。

以上這些相關(guān)證據(jù)的獲取方法并不是相互獨(dú)立的，而是相互補(bǔ)充的，各自具有不同的應(yīng)用范圍和優(yōu)缺點(diǎn)，能夠結(jié)合在一起共同完成獲取任務(wù)。這樣的合并能很大提高分析的準(zhǔn)確度和任務(wù)的自動(dòng)化，但需要考慮運(yùn)行時(shí)間的效率問(wèn)題和各種方法之間的擴(kuò)充和兼容問(wèn)題。

3.2　法學(xué)評(píng)價(jià)

從實(shí)踐角度講，技術(shù)專家有很多途徑獲取目標(biāo)系統(tǒng)的電子信息，如秘密遠(yuǎn)程獲取數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包截取等，在嫌疑人沒(méi)有覺(jué)察的情況下獲取到的數(shù)據(jù)信息通常是更能反映犯罪事實(shí)的。但是，技術(shù)專家應(yīng)該了解，在這種沒(méi)有授權(quán)的情況下獲取的電子證據(jù)不僅不具有法律效力，甚至可能構(gòu)成違法行為。如通過(guò)保存自己機(jī)器上的聊天記錄，只能作為詐騙案的立案和偵查線索，卻不能作為詐騙定罪的證據(jù)。

以上4種電子證據(jù)的獲取方法都沒(méi)有考慮到證據(jù)的授權(quán)屬性，對(duì)哪些數(shù)據(jù)實(shí)施獲取策略完全由調(diào)查人員決定，而且方法的重點(diǎn)都是獲取策略的制定，忽略了獲取行為和過(guò)程的合法性判斷，導(dǎo)致由此產(chǎn)生的結(jié)論有可能在法庭審查時(shí)出現(xiàn)問(wèn)題。

如果是對(duì)通過(guò)合法手段獲取的證據(jù)鏡像進(jìn)行分析，提取其中與案件相關(guān)的電子證據(jù)，這樣的情況不需要考慮授權(quán)和獲取的合法性。但由于虛擬現(xiàn)場(chǎng)范圍巨大，事先獲取到所有的電子證據(jù)并不現(xiàn)實(shí)，一般只是對(duì)主要的虛擬現(xiàn)場(chǎng)進(jìn)行全面獲取，這樣就有可能會(huì)遺漏一些關(guān)鍵證據(jù)。

相關(guān)電子證據(jù)的獲取方法，無(wú)論是基于人工智能的實(shí)現(xiàn)，還是基于過(guò)濾的實(shí)現(xiàn)，都考慮了證據(jù)的關(guān)聯(lián)性屬性，如挖掘?qū)嶋H案例中的相關(guān)規(guī)則，或依據(jù)專家和調(diào)查者的經(jīng)驗(yàn)設(shè)置關(guān)聯(lián)規(guī)則和過(guò)濾條件等。但是由于電子證據(jù)自身的隱藏性、不穩(wěn)定性等特性，導(dǎo)致其關(guān)聯(lián)屬性與其他證據(jù)有所不同，顯得更為復(fù)雜和難以分析。關(guān)聯(lián)性包括直接聯(lián)系和間接聯(lián)系，直接聯(lián)系是證據(jù)對(duì)案件的直接證明關(guān)系，而間接聯(lián)系是電子證據(jù)之間的證明關(guān)系，如果不了解電子證據(jù)的形成和運(yùn)行規(guī)律，就會(huì)忽略很多看起來(lái)并不明顯的間接聯(lián)系。上述4種方法對(duì)直接聯(lián)系的關(guān)聯(lián)性考慮得較多，但對(duì)間接聯(lián)系考慮較少，導(dǎo)致獲取的結(jié)果不夠完整。

4未來(lái)的發(fā)展趨勢(shì)

對(duì)于相關(guān)電子證據(jù)的獲取問(wèn)題，將多領(lǐng)域的觀點(diǎn)進(jìn)行結(jié)合是一個(gè)必然的趨勢(shì)，這些領(lǐng)域包含法學(xué)、偵查學(xué)、犯罪學(xué)和計(jì)算機(jī)技術(shù)，將多種方法結(jié)合，提高關(guān)聯(lián)獲取的準(zhǔn)確率是未來(lái)發(fā)展的另一個(gè)趨勢(shì)，同時(shí)，實(shí)現(xiàn)相關(guān)電子證據(jù)獲取行為的自動(dòng)化、智能化、合法化也是今后的發(fā)展目標(biāo)和迫切需求。

5結(jié)語(yǔ)

本文主要對(duì)電子證據(jù)的關(guān)聯(lián)獲取問(wèn)題進(jìn)行了探討，并從法學(xué)和技術(shù)兩個(gè)角度分別闡述了這一問(wèn)題，電子證據(jù)作為證據(jù)的一種，自然具有證據(jù)的一般法學(xué)屬性和涵義，但同時(shí)由于電子證據(jù)的特殊屬性，使其在技術(shù)實(shí)現(xiàn)上具有一定的復(fù)雜性。如何有效地結(jié)合二者的觀點(diǎn)，提高電子證據(jù)相關(guān)獲取的有效性和合法性是本文的分析問(wèn)題之一，同時(shí)也是該問(wèn)題未來(lái)發(fā)展的方向。

參考文獻(xiàn)

[1]張鵬，童云海. 一種有效的隱私保護(hù)關(guān)聯(lián)規(guī)則挖掘方法[J]. 軟件學(xué)報(bào)，2006，17(8).

[2]李德恩，石浩旭. 證據(jù)關(guān)聯(lián)性：一個(gè)利益衡量的命題[J]. 山西師范大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2012，39(1).

[3]Casey Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0- 12- 163104- 4.

[4]HORSMAN G, LAING C, VICKERS P. A case based reasoning framework for improving the trustworthiness of digital forensic investigations[C]∥Trust, Security and Privacy in Computing and Communications(Trust Com), 2012 IEEE 11th International Conference on. IEEE, 2012:682-689.

[5]STALLARD T, LEVITT K.Automated Analysis for Digital Forensic Science: Semantic Integrity Checking[C]∥Computer Security Applications Conference,2003. Proceedings. 19th Annual. IEEE, 2003:160-167.

[6]ROUSSEV V. Hashing and Data Fingerprinting in Digital Forensics[J]. Computing in Science and Engineering, 2009,7(2):49-55.

[7]CHOI Y K, PARK J H, KIM S K, et al. An efficient forensic evidence collection scheme of host infringement at the occurrence time[M]∥Information Security and Cryptology-ICSIC 2006. Springer Berlin Heidelberg, 2006:206-221.

[8]BRUSCHI D, MONGA M, MARTIGNON I L. How to reuse knowledge about forensic investigations[C]∥Digital Forensics Research Workshop, Linthicum, Maryland. 2004.

(責(zé)任編輯陳小明)

作者簡(jiǎn)介趙志巖(1980—)， 女， 吉林長(zhǎng)春人， 講師， 在讀博士。研究方向?yàn)榫W(wǎng)絡(luò)犯罪與取證。

基金項(xiàng)目公安大學(xué)基本科研業(yè)務(wù)費(fèi)支持青年教師項(xiàng)目(2014JKF01145)。

中圖分類號(hào)D918.2