摘 要：本文從電子證據(jù)的取證和特點(diǎn)、電子證據(jù)的取證方法和電子證據(jù)的取正程序三方面入手，對(duì)電子證據(jù)進(jìn)行了簡(jiǎn)單的梳理，電子證據(jù)獨(dú)特的證據(jù)特點(diǎn)和設(shè)備的依賴性、高科技性都促使了電子證據(jù)科學(xué)的發(fā)展，同時(shí)，也對(duì)現(xiàn)存的電子數(shù)據(jù)相關(guān)規(guī)定提出了新的挑戰(zhàn)。

關(guān)鍵詞：電子數(shù)據(jù)；技術(shù)手段；程序

信息技術(shù)的發(fā)展，帶動(dòng)了網(wǎng)絡(luò)和數(shù)碼產(chǎn)業(yè)的迅速進(jìn)步。電子產(chǎn)品在現(xiàn)實(shí)生活中的應(yīng)用也越來越廣泛，多種電子存儲(chǔ)介質(zhì)隨之成為人們生活、工作不可或缺的重要工具。生活模式的改變帶動(dòng)了證據(jù)形式的變化，電子證據(jù)隨之成了司法實(shí)務(wù)工作中新興的證據(jù)形式，社會(huì)中得到了大力認(rèn)可。違法犯罪活動(dòng)和人們生活的交叉性，決定了違法犯罪活動(dòng)無法避免的和電子信息、電子設(shè)備聯(lián)系在一起，大量的涉案數(shù)據(jù)存儲(chǔ)在電子證據(jù)中。作為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和法律相結(jié)合的新證據(jù)類型，法院訴訟涉及到電子物證的實(shí)例越來越多，電子證據(jù)的取證規(guī)則、取證方式都不同于傳統(tǒng)證據(jù)，需要使用特定的技術(shù)方法進(jìn)行獲取和分析，因此在電子證據(jù)的取證過程規(guī)范取證流程迫在眉睫。

一、電子證據(jù)的取證和特點(diǎn)

中華人民共和國最高人民檢察院《人民檢察院電子證據(jù)鑒定規(guī)程規(guī)則》中對(duì)電子證據(jù)的定義是，由電子信息技術(shù)應(yīng)用而出現(xiàn)的各種能夠證明案件真實(shí)情況的材料及其派生物。電子證據(jù)取證不僅需要提取保存在計(jì)算機(jī)硬件上的數(shù)據(jù)，還需要從計(jì)算機(jī)網(wǎng)絡(luò)上提取相關(guān)數(shù)據(jù)，已經(jīng)計(jì)算機(jī)和網(wǎng)絡(luò)中刪除、加密或破壞的文件的提取和恢復(fù)，這些問題使得電子證據(jù)和傳統(tǒng)的物證提取有很大的差異。

電子證據(jù)的檢驗(yàn)對(duì)象是各種電子設(shè)備中存儲(chǔ)或傳輸?shù)臄?shù)據(jù)信息。常見的電子證據(jù)案件材料，包括計(jì)算機(jī)和手機(jī)等有存儲(chǔ)功能的電子設(shè)備，例如：桌式和筆記本式電腦、計(jì)算機(jī)服務(wù)器、手機(jī)、平板電腦、移動(dòng)硬盤、光盤、u盤等介質(zhì)。電子證據(jù)的取證原則和傳統(tǒng)的物證檢驗(yàn)都要遵循相同的規(guī)則，保證證據(jù)的真實(shí)性、合法性和關(guān)聯(lián)性，由此要采用被業(yè)界認(rèn)可的科學(xué)技術(shù)方法，通過合乎技術(shù)規(guī)則和法律規(guī)定的、行業(yè)標(biāo)準(zhǔn)的操作規(guī)定來獲取真實(shí)的檢驗(yàn)結(jié)果。電子證據(jù)的表現(xiàn)形式多樣，多媒體技術(shù)的出現(xiàn)更使電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計(jì)算機(jī)證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。

電子證據(jù)取證還需要面對(duì)很多獨(dú)特的問題。首先，磁介質(zhì)的脆弱性導(dǎo)致了電子數(shù)據(jù)容易被修改，不留痕跡。其次，電子證據(jù)的不可見性，數(shù)據(jù)必須借助其他輸出設(shè)備才能看到結(jié)果。其次，電子證據(jù)對(duì)高科技的依賴性，數(shù)據(jù)的產(chǎn)生、保存、傳輸、提取都要借助專業(yè)技術(shù)和設(shè)備。其次，電子證據(jù)的人機(jī)交互性，數(shù)據(jù)從的形成到提取，每一個(gè)的環(huán)節(jié)都要有不同的計(jì)算機(jī)操作人員的參與，這些因素可能影響計(jì)算機(jī)系統(tǒng)的運(yùn)轉(zhuǎn)。最后，電子證據(jù)是由計(jì)算機(jī)和電信技術(shù)引起的，其它技術(shù)的不斷發(fā)展，導(dǎo)致電子證據(jù)的取證步驟和程序必須不斷完善適應(yīng)科學(xué)技術(shù)和社會(huì)交往的進(jìn)步。

二、電子證據(jù)的取證方法

電子證據(jù)取證方法和傳統(tǒng)證據(jù)的取證方法不同。首先，電子證據(jù)的提取方法是對(duì)電子數(shù)據(jù)的復(fù)制和運(yùn)行，收到送檢的電子設(shè)備后，首先要按照科學(xué)的處理規(guī)則進(jìn)行對(duì)物證的保全工作。然后要將檢材數(shù)據(jù)進(jìn)行復(fù)制，這里所說的復(fù)制并非僅僅對(duì)文件，而是對(duì)整個(gè)存儲(chǔ)空間進(jìn)行鏡像復(fù)制。并且在進(jìn)行復(fù)制的整個(gè)過程中，都不得對(duì)檢材內(nèi)容進(jìn)行絲毫更改，也就是不得用檢材內(nèi)容的系統(tǒng)進(jìn)行啟動(dòng)或者對(duì)文件進(jìn)行更改，而應(yīng)該用另一套獨(dú)立的檢測(cè)系統(tǒng)對(duì)檢材進(jìn)行備份。檢驗(yàn)過程針對(duì)復(fù)制件進(jìn)行，因此不會(huì)改變，當(dāng)事人如果對(duì)檢驗(yàn)結(jié)果提出異議，可再次進(jìn)行數(shù)據(jù)提取，仍然會(huì)得出同樣的數(shù)據(jù)。

其次，電子證據(jù)的保存方法的依賴性。一方面電子證據(jù)本身從司法鑒定的角度看，需要以科學(xué)技術(shù)的手段予以確認(rèn)的電子證據(jù)的證據(jù)特征包括電子證據(jù)的真實(shí)性、完整性和合法性。另一方面電子證據(jù)具有虛擬性和易刪改性。電子證據(jù)所記載的內(nèi)容必須借助一定的設(shè)備或軟件才能轉(zhuǎn)化為人們可以認(rèn)知的信息。當(dāng)電子證據(jù)由于生成、閱讀、存儲(chǔ)、刪改或傳輸造成哈希值變化，我們無法來證明其是合法的取證檢驗(yàn)還是非法的證據(jù)破壞，從而使電子證據(jù)失去其完整性和真實(shí)性。這就要求電子證據(jù)檢驗(yàn)部門需配備有電子證據(jù)勘察、收集、移交與鑒定的一整套專業(yè)設(shè)備來確保證據(jù)的效力。

最后，電子數(shù)據(jù)的數(shù)據(jù)分析。電子取證數(shù)據(jù)分析是指運(yùn)用計(jì)算機(jī)技術(shù)和信息網(wǎng)絡(luò)技術(shù)，對(duì)提取到的電子數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)能夠體現(xiàn)案件事實(shí)相關(guān)的數(shù)據(jù)，以確定電子證據(jù)應(yīng)該采納的內(nèi)容和方向。電子取證數(shù)據(jù)分析是電子取證的核心和關(guān)鍵，所有的分析工作應(yīng)該在克隆硬盤或備份文件上進(jìn)行，以保證原始證據(jù)的可靠性和合法性。

常見的電子證據(jù)取證方法有：數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)挖掘技術(shù)、密碼破解技術(shù)。上述的取證方法，決定了電子數(shù)據(jù)的設(shè)備依賴性和易篡改性。因此，無論在任何情況下，調(diào)查者都應(yīng)牢記。①不要改變?cè)加涗洠虎诓灰谧鳛樽C據(jù)的計(jì)算機(jī)上執(zhí)行無關(guān)的操作；③不要給犯罪者銷毀證據(jù)的機(jī)會(huì)；④詳細(xì)記錄所有的取證活動(dòng)；⑤妥善保存得到的物證。

三、規(guī)范電子證據(jù)的取證程序

電子取證是一項(xiàng)極其細(xì)致的工作，電子證據(jù)可能由于操作者的失誤、硬件故障、突然斷電、感染病毒等各種因素而丟失，因此與傳統(tǒng)證據(jù)相比較，對(duì)電子證據(jù)的提取和審查就有更大的困難。因此，規(guī)范電子證據(jù)的取證程序勢(shì)在必行。

首先，對(duì)原始數(shù)據(jù)要進(jìn)行冗余備份。提取的電子證據(jù)應(yīng)該有兩個(gè)或兩個(gè)以上完整的拷貝。冗余備份既可以避免由于電子證據(jù)不穩(wěn)定性造成的備份數(shù)據(jù)丟失，還可以在數(shù)據(jù)分析過程中同時(shí)對(duì)拷貝文件進(jìn)行調(diào)查和分析，以提高分析取證的工作效率。

其次，在備份復(fù)制過程中，以及對(duì)備份的硬盤或鏡像文件進(jìn)行數(shù)據(jù)分析檢驗(yàn)時(shí)，應(yīng)當(dāng)使用寫保護(hù)技術(shù)進(jìn)行操作，并采取加密技術(shù)和數(shù)字簽名等技術(shù)，以確保提取到的電子證據(jù)的真實(shí)性、準(zhǔn)確性和合法性。

其次，通過照相、錄像等形式將電子證據(jù)從提取之后到提交法庭作為審判依據(jù)的過程中產(chǎn)生的所有變化都進(jìn)行記錄和說明。在移動(dòng)涉案硬件之前，把需提取的設(shè)備在現(xiàn)場(chǎng)中的位置、外觀及連接狀態(tài)用照相、錄像等形式記錄下來，并采用錄像的方式記錄檢驗(yàn)分析的全過程，尤其對(duì)改變封存狀態(tài)、分析過程的關(guān)鍵操作等重要步驟時(shí)應(yīng)當(dāng)進(jìn)行多角度錄像，以提高證據(jù)的合法性。

最后，保障電子取證的工作環(huán)境安全可靠。存儲(chǔ)電子證據(jù)的介質(zhì)必須遠(yuǎn)離磁場(chǎng)、避免高溫、避免灰塵、避免潮濕的環(huán)境中科學(xué)存放，避免電子設(shè)備損壞，防止重要的線索和證據(jù)被破壞。還要注意阻止無線信號(hào)干擾，在對(duì)手機(jī)等無線通訊設(shè)備進(jìn)行取證時(shí)，一定要在防屏蔽環(huán)境中進(jìn)行，如手機(jī)屏蔽袋或者屏蔽室內(nèi)，以免無線通訊時(shí)產(chǎn)生的數(shù)據(jù)污染待提取數(shù)據(jù)。

電子證據(jù)取證程序的規(guī)范，有助于電子數(shù)據(jù)的安全保存、二次復(fù)檢、提取風(fēng)險(xiǎn)，有助于電子數(shù)據(jù)客觀性、法律性的保證，有助于電子證據(jù)公信力的保證。長遠(yuǎn)來講，電子數(shù)據(jù)取證程序的規(guī)范，有助于電子證據(jù)的學(xué)科發(fā)展，有助于適應(yīng)數(shù)據(jù)時(shí)代的證據(jù)新形勢(shì)，有助于法庭科學(xué)的全面進(jìn)步。

作者簡(jiǎn)介：

張瀛，女，工作單位：安陽市公安局，學(xué)歷：本科，專業(yè)：電子證據(jù)，研究方向：電子證據(jù)。