·劉 政/文

檢察辦案中的電子數據及其取證實務*

·劉 政**/文

劉 政，北京市東城區(qū)人民檢察院檢察技術部干警。北京市先進工作者，北京市檢察機關偵查人才庫人才，2014年參加高檢院全國電子數據取證大練兵活動，獲得“取證能手”稱號。2014年12月受邀在國家檢察官學院授課。2015年8月被國家檢察官學院聘為檢察教官。

2010年以來，參與辦理涉及電子證據檢驗和鑒定的案件近300件。曾經協(xié)助紀委、反貪、反瀆、監(jiān)所、軍隊等部門和條線，在鐵道部、國家審計署、華潤集團、北大方正、部隊系列案件等大要案中開展電子數據取證，積累了一定得實踐經驗和教訓。

信息技術的飛速發(fā)展及計算機網絡技術的應用,豐富了我們的生活,也影響了社會的政治、經濟和文化的發(fā)展。伴隨著這些便利,電子數據也越來越多的出現在了當今的檢察工作中、出現在法律監(jiān)督工作中。與傳統(tǒng)證據不同,信息技術與網絡技術的普遍應用,使得電子數據變得隱蔽與智能化。檢察機關在辦案過程中，遇到電子數據取證以及檢驗鑒定的案件越來越多。筆者2009年開始從事電子數據取證及檢驗鑒定工作，歷案數百余，對電子數據現場勘驗、介質扣押以及實驗室檢驗有些心得。下面將就電子數據的定義、種類、屬性以及檢察機關辦案中電子取證實務等方面做以介紹。

一、電子數據與電子數據取證的定義

（一）電子數據的定義

2013年之前，在我國電子數據不論從學理上還是法律上都沒有統(tǒng)一的定義。其中檢察機關對電子證據的定義見于2009年4月3日最高人民檢察院下發(fā)的《人民檢察院電子證據鑒定程序規(guī)則（試行）》。其中給出了如下定義：“電子證據是指由電子信息技術應用而出現的各種能夠證明案件真實情況的材料及其派生物。”一段時間之內，檢察機關辦案過程中遇到由信息技術應用而產生的證據被定義為電子證據。

2013年正式實施的《刑事訴訟法》第48條將“電子數據”首次納入法定證據，與視聽資料同列為第八種刑事訴訟證據。從此之后電子數據作為證據種類之一具備了它的法律地位。2016年10月1日最高人民法院、最高人民檢察院、公安部（以下簡稱“兩高一部”）共同頒布施行的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規(guī)定》（以下簡稱《規(guī)定》）第1條中對電子數據進行了明確的定義，即電子數據是案件發(fā)生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據。

（二）電子數據的種類

電子數據的種類非常多，分類標準也非常多，如果從辦案取證工作角度來分，我們感興趣的是用戶個人行為生成的各類數據?！皟筛咭徊俊钡摹兑?guī)定》第1條中對電子數據進行了以下的分類：

一是網絡平臺發(fā)布的信息：包括網頁、博客、微博客、朋友圈、貼吧、網盤等；二是網絡應用服務的通信信息：包括手機短信、電子郵件、即時通信、通訊群組等；三是用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息；四是電子文件：包括文檔、圖片、音視頻、數字證書、計算機程序等。其中第三類《規(guī)定》中并沒有給予概括性描述，個人認為可以歸為用戶行為痕跡信息。當然，《規(guī)定》中也明確提到了電子數據包括但不限于這些信息、電子文件，在實際取證中，我們還經常要提取USB設備痕跡、信息設備IP地址、上網記錄、數據庫系統(tǒng)中數據、手機APP數據等。

電子數據有其特點，筆者在這里對電子數據的特點進行了以下的歸納和概括：1.底層單一，即所產生的數據從底層來看，就是0和1的序列；2.表現多樣，如文字、圖像、聲音等等；3.精確復制；4.重建再現；5.客觀真實；6.極易修改；7.量大低密，即海量數據中有價值的密度低；8.設備依賴，即電子數據必須依賴載體而存在。

（三）電子數據取證的定義

本次討論的是檢察辦案中的電子數據取證，可以對電子數據取證做如下定義：電子數據取證是指根據案件偵查、調查的需要，通過搜查、查封、扣押、現場勘驗、遠程勘驗、實驗室檢驗，發(fā)現、提取與犯罪有關的電子數據，記錄計算機信息系統(tǒng)狀態(tài)，判斷案件性質，分析犯罪過程，確定偵查方向和范圍，為偵查破案、刑事訴訟提供線索和證據的偵查活動。對電子數據的收集和提取我們往往可以采用電子數據載體的扣押、現場及遠程勘驗、實驗室檢驗等手段來實現。以下分別做介紹。

二、電子數據載體扣押及勘驗

（一）電子數據的載體扣押及勘驗原則

《規(guī)定》第8條要求“收集、提取電子數據，能夠扣押電子數據原始存儲介質的，應當扣押、封存原始存儲介質，并制作筆錄，記錄原始存儲介質的封存狀態(tài)?！??？梢娒鎸﹄娮訑祿氖占吞崛∈紫瓤紤]的是載體的扣押。當載體不具備扣押條件時，《規(guī)定》第9條對電子數據的現場及勘驗做了明確規(guī)定。我們在進行電子數據載體扣押及勘驗時應當嚴格遵守遵循以下原則：1.及時性原則。由于電子數據極易篡改等特性，電子數據被損壞的可能性非常大，因此對于電子數據的收集和提取一定要做到及時性；2.針對性原則。包括三方面：一是歸屬的針對性，是否涉案嫌疑人或者其關系人的載體。二是時間的針對性。三是范圍的針對性，主要是劃定取證的范圍；3.全面性原則。電子數據取證其實是還原基于虛擬環(huán)境的多維度犯罪場，因此，一定要做到全面；4．規(guī)范性原則。收集、提取電子數據，應當制作筆錄，記錄案由、對象、內容、收集、提取電子數據的時間、地點、方法、過程，并附電子數據清單，注明類別、文件格式、完整性校驗值等，由偵查人員、電子數據持有人（提供人）簽名或者蓋章；電子數據持有人（提供人）無法簽名或者拒絕簽名的，應當在筆錄中注明，由見證人簽名或者蓋章。有條件的，應當對相關活動進行錄像。

此外應當根據《刑事訴訟法》的規(guī)定，由符合條件的人員擔任見證人。由于客觀原因無法由符合條件的人員擔任見證人的，應當在筆錄中注明情況，并對相關活動進行錄像。針對同一現場多個計算機信息系統(tǒng)收集、提取電子數據的，可以由一名見證人見證。

（二）計算機及服務器的扣押與勘驗

電子數據的現場調取，主要包括以下三種設備的調取，分別是個人電腦、存儲介質、通信設備。

在針對計算機及服務器的時候我們往往要根據不同條件來分別對待。

1.取證對象具備扣押條件且現場電腦處于開機狀態(tài)。此時，如果必須現場查看電腦中正在運行的程序或者正在編輯的文檔，建議此時交由取證技術人員進行查看，偵查人員負責指揮；如果沒有技術人員在場，偵查人員需要查看電腦，此時要遵循一個原則，不要發(fā)生寫的操作。可以參考以下步驟：第一步查看電腦中正在運行的程序和正在編輯的文件（文檔、表格、圖片等），如發(fā)現有價值的數據，建議采取相機拍攝屏幕的方式固定，不建議截圖、打印等操作；第二步在屏幕右下角查看電腦系統(tǒng)時間，建議采取相機拍攝屏幕的方式固定，不建議截圖等操作。第三步可以使用在線取證工具，對開機狀態(tài)下的電腦中關鍵數據進行提取，這樣的工具有很多，可以定制不同提取策略對計算機中的數據進行收集提取。第四步做關機，關機建議直接拔掉電源，而不是正常關機，這樣可以在內存中保留電腦正在運行的一些進程。然后扣押進行后續(xù)實驗室檢驗。

這里有幾種操作是絕對不能夠出現的：一是使用取證對象上網，登陸網頁郵箱；二是登陸、執(zhí)行電腦中的應用程序（qq、郵箱工具、office、專有程序等等。）；三是刪除、修改文件；四是創(chuàng)建、復制、本地拷貝文件夾、文件。

2.取證對象具備扣押條件且現場電腦處于關機狀態(tài)。此種情形現場處理相對簡單，建議直接對取證對象進行扣押并進行后續(xù)實驗室檢驗。

3.個人電腦不具備扣押條件且現場電腦處于開機狀態(tài)。此種情形相對復雜，可采用以下方式和步驟進行處理：此時，如果必須現場查看電腦中正在運行的程序或者正在編輯的文檔，可以考慮按照上述第一種情況的步驟查看固定證據。之后，做關機處理。接下來需要做一項工作就是現場復制硬盤。并計算硬盤完整性校驗值進行固定。

4.個人電腦不具備扣押條件且現場電腦處于關機狀態(tài)。此時直接進行硬盤復制并計算硬盤完整性校驗值進行固定。除此之外，在對計算機及服務器的扣押與勘驗時還應當注意以下細節(jié)：一是關注個人電腦周邊的一些紙條、記錄、便箋紙等，這上面很有可能記錄了一些密碼、口令等重要信息；二是關注周邊的小型存儲設備，U盤、移動硬盤、存儲卡等；三是關注周邊的其他設備，掃描儀、打印機等等，最好記錄下其品牌、型號，這在后續(xù)的實驗室檢驗中可能會有用。

（三）移動存儲介質的扣押與勘驗

移動存儲介質與硬盤相比是純粹的存儲設備，它不包含太多的無用數據，而更多存儲的是個人數據，因此其取證價值更大。移動存儲介質主要包括移動硬盤、U盤、存儲卡等種類，因其體積較小，易于隱藏，因此在現場可以按照搜索銀行卡、小件貴重物品的方法，仔細查找，建議移動存儲介質的處理建議采用直接扣押的方式。

如果現場必須查看移動存儲介質中的數據，需要將移動存儲介質與電腦通過只讀設備連接，然后再查看其中的內容。

（四）手機的扣押與勘驗

涉及手機數據的收集和提取，主要包括SIM卡、手機機身、存儲卡三部分?！兑?guī)定》第8條對手機的處理也做了明確規(guī)定，“封存手機等具有無線通信功能的存儲介質，應當采取信號屏蔽、信號阻斷或者切斷電源等措施?！?。之所以要采取信號屏蔽和阻斷的措施，主要是為了防止手機在扣押或者勘驗時由于信號的影響，給手機的數據狀態(tài)造成改變，影響電子數據的收集和提取工作。

對手機的現場處理主要分為兩種情況，如果手機處于關機狀態(tài)，建議不要現場開機，而是帶回實驗室進行后續(xù)取證工作。

如果手機處于開機狀態(tài)可以考慮以下的處理步驟：第一步如果手機具備飛行模式狀態(tài)，先將手機調制飛行模式再進行查看，避免外界信號的干擾，如果手機不具備飛行模式，要將手機置入屏蔽箱或屏蔽袋中阻斷信號；第二步扣押手機；第三步盡可能從嫌疑人或者嫌疑人家屬處獲得鎖屏密碼，因為在后續(xù)檢驗中需要破解繞過鎖屏密碼，而不是所有手機都能夠進行鎖屏密碼破解或繞過。

三、電子數據實驗室檢驗

（一）電子數據實驗室檢驗原則

1．無損性原則。《規(guī)定》第16條第2項有如下規(guī)定：“電子數據檢查，應當對電子數據存儲介質拆封過程進行錄像，并將電子數據存儲介質通過寫保護設備接入到檢查設備進行檢查；有條件的，應當制作電子數據備份，對備份進行檢查；無法使用寫保護設備且無法制作備份的，應當注明原因，并對相關活動進行錄像。”，該項規(guī)定保證在取證過程中對檢材的原始性、無損性的保護，在實際取證過程中，取證人員嚴格按照上述規(guī)定進行取證。

2.客觀性原則。電子數據實驗室檢驗取得的證據都是是客觀真實的，絕對不能對取得的結果有任何主觀的修改和推斷。例如，辦案部門扣押一臺電腦委托進行電子取證，電子取證人員經過檢驗，發(fā)現此臺電腦曾經連接過U盤、移動硬盤、手機等設備，可以根據usb記錄向辦案人員呈現這樣的結果：該臺電腦曾經接入過什么品牌、多大容量的usb設備；但是不能給出這樣的結論：此臺電腦的所有者還有什么usb設備的結論。

3.規(guī)范性原則。電子數據的實驗室檢驗整個取證過程必須按照嚴格的規(guī)范進行操作，技術人員的取證工作都應嚴格遵守《規(guī)定》以及《人民檢察院電子證據鑒定程序規(guī)則（試行）》來開展。

（二）電子數據實驗室檢驗方法

2009年，最高人民檢察院司法鑒定中心頒布的技術文件，對電子取證實驗室檢驗定義了八種方法。分別是數據擦除、復制件制作（以上兩種方法稱為技術方法，主要是為實驗室檢驗用到的復制件做日常維護）、數據恢復、條件搜索、一致性認定、文件解密、手機SIM卡檢驗、手機機身檢驗。但這八種方法出臺時間較早，且針對的是可扣押復制的檢材進行常規(guī)檢驗的方法。但隨著信息技術的告訴發(fā)展以及各種技術在各行業(yè)中的深度應用，相應的電子數據取證的實驗室檢驗工作也不僅僅限于以上八種方法了。更為專業(yè)性強的檢驗方法隨之出現，例如針對監(jiān)控錄像的取證、代碼分析、數據庫取證、偽基站取證、互聯(lián)網取證以及服務器遠程勘驗等。具體方法描述在這里就不做贅述了。在實際取證過程中，往往不是單一使用一種方法，而是要將多種方法進行結合，才能完成取證工作。

例如在辦理犯罪嫌疑人宋某利用職務便利泄露國家研究生考試試題案件中，檢察機關立案后扣押了相關的辦公用電腦。委托技術部門對電腦進行取證。技術人員通過分析和模擬犯罪嫌疑人作案的過程，對試卷內容進行了文本拆分，設計組成了100余個搜索關鍵字在檢材中進行搜索，在搜索結果中，并未發(fā)現目標試卷的相關內容，更沒有發(fā)現整理制作好的試卷文檔，這里就用到了條件搜索檢驗方法。這也表明，目標試卷以文檔形式（WORD、WPS、PDF等）存在的可能性基本排除。但在搜索結果中，還是找到了與案件相關的殘留文本數據。結果從內容上看，殘留文本描述了QQ用戶之間通過互聯(lián)網傳輸文件的過程，并夾雜著關于研究生考試試題、以及相互鼓勵和調侃的語句。此外，在虛擬內存區(qū)域更是發(fā)現了大段的政治試卷答案片段，這一發(fā)現更為偵查工作帶來了新的思路和方向。取證人員在所有檢材硬盤中搜索和恢復圖片文件，在獲取到所有圖片文件后，根據文件的屬性（時間、大小、文件格式類型等）進行過濾，最終得到31個圖片文件。經確認，系2010年研究生考試政治、英語1、數學1全部試卷的電子掃描文件。這里就用到了數據恢復、條件搜索、文件解密等分析方法。

隨著《規(guī)定》的實施，隨著大數據、人工智能、區(qū)塊鏈等新興信息技術在各個行業(yè)中的深入應用，電子數據取證、檢驗鑒定以及審查判斷工作都將面臨新的挑戰(zhàn)，如何有條不紊面對出現的新情況，掌握不同的取證方法，都是需要我們技術人員共同努力的。

*本文系國家檢察官學院2015年度檢察實務類精品課程精簡版。

**北京市東城區(qū)人民檢察院［100007］