淺談現(xiàn)場取證中收集電子數(shù)據(jù)的規(guī)范和方法

肖勁華

?

淺談現(xiàn)場取證中收集電子數(shù)據(jù)的規(guī)范和方法

肖勁華

廣西北海市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊，廣西 北海 536000

各類刑事案件幾乎都涉及電子數(shù)據(jù)，電子數(shù)據(jù)廣泛應(yīng)用于刑事訴訟活動。例如，網(wǎng)民在互聯(lián)網(wǎng)上發(fā)布危害國家安全的有害信息、虛假中獎信息、網(wǎng)絡(luò)詐騙信息以及開設(shè)色情賭博網(wǎng)站、散發(fā)電子郵件垃圾信息和開啟網(wǎng)絡(luò)攻擊等行為都涉嫌刑事犯罪。在公安機關(guān)偵查案件過程中，各種相關(guān)的電子數(shù)據(jù)信息會作為刑事證據(jù)被大量使用。辦案民警必須掌握規(guī)范收集、提取電子數(shù)據(jù)證據(jù)的取證方法。從電子數(shù)據(jù)的概念及法律地位切入，介紹了現(xiàn)場收集提取電子數(shù)據(jù)的規(guī)范和方法。

電子數(shù)據(jù)；現(xiàn)場取證；規(guī)范

引言

在互聯(lián)網(wǎng)時代，以計算機和網(wǎng)絡(luò)為依托的電子數(shù)據(jù)，在證明案件事實中發(fā)揮著越來越重要的作用。由于傳統(tǒng)犯罪快速向互聯(lián)網(wǎng)遷移，犯罪手段不斷翻新，各類刑事案件幾乎都涉及電子數(shù)據(jù)，因此電子數(shù)據(jù)廣泛應(yīng)用于刑事訴訟活動。例如，網(wǎng)民在互聯(lián)網(wǎng)上發(fā)布危害國家安全的有害信息、虛假中獎信息、網(wǎng)絡(luò)詐騙信息以及開設(shè)色情賭博網(wǎng)站、散發(fā)電子郵件垃圾信息和開啟網(wǎng)絡(luò)攻擊等行為都涉嫌刑事犯罪。在公安機關(guān)偵查案件過程中，各種相關(guān)的電子數(shù)據(jù)信息會作為刑事證據(jù)被大量使用。辦案民警必須掌握規(guī)范收集、提取電子數(shù)據(jù)證據(jù)的取證方法。本文主要以電子數(shù)據(jù)作為刑事訴訟中的重要證據(jù)為切入點，談?wù)劰矙C關(guān)在現(xiàn)場取證中收集電子數(shù)據(jù)的規(guī)范和方法。

1 電子數(shù)據(jù)的概念及法律地位

1.1 什么是電子數(shù)據(jù)

在我國，對電子數(shù)據(jù)[1]證據(jù)的界定有廣義說和狹義說兩種。廣義上的電子數(shù)據(jù)證據(jù)指“借助現(xiàn)代信息技術(shù)形成的一切證據(jù)”。狹義上的電子數(shù)據(jù)證據(jù)是指“計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物”或者“以數(shù)字形式保存在計算機存儲器或外部存儲介質(zhì)中，能夠證明案件事實情況的數(shù)據(jù)或信息”。在實際生活中，不只計算機，包括手機、數(shù)碼相機、電子錄音設(shè)備等使用過程中都會產(chǎn)生相應(yīng)的電子數(shù)據(jù)。

最高人民法院、最高人民檢察院、公安部發(fā)布的《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（法發(fā)〔2016〕22號，以下簡稱《規(guī)定》）文件規(guī)定，電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實的數(shù)據(jù)。

電子數(shù)據(jù)包括但不限于下列信息、電子文件：（1）網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的信息；（2）手機短信、電子郵件、即時通信、通信群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息。（3）用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息；（4）文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。

1.2 電子數(shù)據(jù)的法律地位

近年來，我國司法機關(guān)也逐漸把電子數(shù)據(jù)增列為證據(jù)使用。2006年《公安機關(guān)辦理行政案件程序規(guī)定》第二十三條第一款規(guī)定公安機關(guān)辦理行政案件的證據(jù)種類中就有“電子證據(jù)”。這里已經(jīng)把電子證據(jù)列入證據(jù)種類，雖然這只是個部門規(guī)章，不屬于法律法規(guī)，但隨著電子物證檢驗技術(shù)的發(fā)展，電子證據(jù)發(fā)展為一種獨立的證據(jù)類型勢在必行。

2012年3月14日，修訂的《中華人民共和國刑事訴訟法》，將原第四十二條改為第四十八條，在原有的物證、書證、證人證言等傳統(tǒng)證據(jù)基礎(chǔ)上，增加了“電子數(shù)據(jù)”這一新的證據(jù)形式，電子數(shù)據(jù)證據(jù)的法律地位首次得到明確。將原第四十五條改為第五十二條，增加一款，作為第二款：行政機關(guān)在行政執(zhí)法和查辦案件過程中收集的物證、書證、視聽資料、電子數(shù)據(jù)等證據(jù)材料，在刑事訴訟中可以作為證據(jù)使用。

2 現(xiàn)場收集提取電子數(shù)據(jù)的規(guī)范和方法

通過學(xué)習電子數(shù)據(jù)現(xiàn)場勘驗[2]取證的標準，按照法律法規(guī)的要求，結(jié)合工作的不斷積累，總結(jié)梳理出以下基本方法。

2.1 電子數(shù)據(jù)的存儲載體

（1）計算機設(shè)備：臺式、塔式、筆記本電腦和小型、大型計算機。

（2）存儲設(shè)備：普通電腦硬盤、移動硬盤、U盤、存儲卡等。

（3）移動式設(shè)備：移動電話、智能手機、PAD、數(shù)字多媒體設(shè)備（MP3、MP4）、數(shù)字錄音筆、數(shù)字攝像機、數(shù)碼相機、GPS等。

（4）計算機外圍設(shè)備和網(wǎng)絡(luò)設(shè)備：傳真機、復(fù)印機、打印機、掃描儀、集線器、交換機、路由器、防火墻等。

在以上系統(tǒng)或設(shè)備上保存的電子數(shù)據(jù)有：軟件、文件、照片、圖片文件、電子郵件和附件、數(shù)據(jù)庫、財務(wù)信息、互聯(lián)網(wǎng)瀏覽記錄、聊天記錄、好友名單、系統(tǒng)日志、通訊錄、通話記錄、短信息等。

2.2 現(xiàn)場勘查取證準備工作

2.2.1 人員

在計算機犯罪現(xiàn)場需由兩名以上偵查人員開展電子數(shù)據(jù)現(xiàn)場勘驗，并負責收集和提取電子數(shù)據(jù)。收集提取電子數(shù)據(jù)的方法要符合技術(shù)標準和規(guī)范。在案件現(xiàn)場勘驗過程中，偵查人員要邀請一至兩名非司法人員且與本案件無關(guān)的公民作為現(xiàn)場見證人。

2.2.2 裝備

偵查人員在開展現(xiàn)場勘驗前，可根據(jù)相關(guān)案件的需求，選擇帶上必要的裝備。

（1）基礎(chǔ)勘驗設(shè)備：筆記本電腦、硬盤復(fù)制機、手機取證設(shè)備、只讀鎖（SATA、IDE、USB）、閃存卡讀卡器、取證軟件（綜合取證軟件、數(shù)據(jù)恢復(fù)軟件、屏幕錄像軟件、截圖工具等）。

（2）存儲設(shè)備：大容量空白硬盤、移動硬盤、U盤、空白光盤等。

（3）物證保管箱：防靜電物證袋、手機屏蔽袋或箱。

（4）其他：防靜電手套、拆機工具、封條、法律手續(xù)、標簽、記號筆、警戒帶等。

2.2.3 現(xiàn)場環(huán)境預(yù)案

現(xiàn)場取證前，要充分了解取證對象現(xiàn)場的環(huán)境情況。

（1）現(xiàn)場環(huán)境：普通住宅、寫字樓、出租屋、別墅。

（2）樓層：平房、低層、高層。

（3）安防措施：是否有防盜門、電子報警系統(tǒng)。

（4）網(wǎng)絡(luò)：網(wǎng)絡(luò)線路情況、是否有無線上網(wǎng)（Wi-Fi）、是否有托管主機。

（5）嫌疑人基本情況：數(shù)量、背景、對計算機熟悉程度。

2.2.4 法律文書

現(xiàn)場勘驗必須受到法律的授權(quán)和保護，除了勘驗筆錄，取證人員應(yīng)當要求辦案單位人員攜帶或者自行攜帶符合規(guī)定的必要的法律文書，如搜查證和扣押清單等。

2.3 對電子數(shù)據(jù)證據(jù)的收集規(guī)范

在現(xiàn)場勘驗取證過程中，要利用照相機拍攝記錄現(xiàn)場情況，有條件的應(yīng)當利用錄像機記錄整個取證過程。

2.3.1 對計算機系統(tǒng)設(shè)備電子數(shù)據(jù)證據(jù)材料的收集規(guī)范

現(xiàn)場取證對象為計算機時，首先要查看電腦是否開機。若電腦開機，則需要對電腦進行檢查；若電腦關(guān)機，則需要求嫌疑人開啟電腦接受檢查；若無法找到嫌疑人，則直接封存計算機，但應(yīng)當在筆錄中說明情況。具體操作流程如下。

（1）查看電腦前，要嫌疑人指證電腦，拍照固定。

（2）查看電腦系統(tǒng)運行時間并拍照固定；查看“我的電腦”屬性，打開“系統(tǒng)屬性”計算機名，截取計算機名稱圖片；有條件的應(yīng)查詢并記錄計算機硬盤序列號。

（3）查看電腦硬盤的數(shù)據(jù)，提取涉案電子數(shù)據(jù)。將提取的涉案電子數(shù)據(jù)打包壓縮，計算出相應(yīng)的完整性校驗值（哈希值）后，拷貝到移動硬盤或者U盤中。

（4）詢問、記錄嫌疑人電腦的開機密碼；各種網(wǎng)站和電子郵箱登錄賬號密碼；QQ、阿里旺旺、PC版微信等即時通信工具賬號和密碼；云盤、Apple iCloud、Apple ID等賬號和密碼。

（5）封存電腦。封存電腦前要拍攝被封存電腦原始的照片，封存后要拍攝封口和者張貼封條處的狀況。對電腦封存原則是保證在不解除封條的情況下，不能增加、刪除、修改任何電子數(shù)據(jù)。

（6）制作《現(xiàn)場勘驗檢查工作記錄》，由《現(xiàn)場勘驗檢查筆錄》《固定電子證據(jù)清單》《封存電子證據(jù)清單》和《勘驗檢查照片記錄表》等內(nèi)容組成。制作《現(xiàn)場勘驗檢查工作記錄》時，要記錄案由、對象、內(nèi)容以及提取、復(fù)制、固定的時間、地點、方法，電子數(shù)據(jù)的規(guī)格、類別、文件格式等，并由提取、復(fù)制、固定電子數(shù)據(jù)的制作人、電子數(shù)據(jù)的持有人簽名或者蓋章。

（7）制作完成《現(xiàn)場勘驗檢查工作記錄》后，需要嫌疑人和現(xiàn)場的見證人簽字。

（8）現(xiàn)場打印取證過程中拍攝的相關(guān)照片、截圖，并要求嫌疑人簽字確認。

2.3.2 對移動設(shè)備（以手機為例）電子數(shù)據(jù)證據(jù)材料的收集規(guī)范

（1）要求嫌疑人指證手機，拍照固定。

（2）詢問嫌疑人手機的手機號碼和開機密碼，記錄好后貼在手機背面。

（3）打開手機撥號界面，按“*#06#”查看手機的設(shè)備號，記錄下來后，把手機設(shè)置為“飛行模式”。

（4）詢問嫌疑人手機上登錄的即時通信軟件、電子郵件或者其他網(wǎng)站登錄的賬號和密碼，特別要注意詢問微信和QQ有無保護密碼，如果有要記錄下來；若是蘋果手機，還要問清楚嫌疑人手機的Apple ID、 iCloud賬號密碼。

（5）詢問嫌疑人其他已加密的或者受保護的軟件保護密碼。

（6）對與嫌疑人正在開啟的涉案相關(guān)數(shù)據(jù)，通過相機翻拍或者利用軟件現(xiàn)場提取的方式固定提取下來。提取完相關(guān)證據(jù)后，將手機關(guān)機裝入信號屏蔽袋中封存。

（7）制作《現(xiàn)場勘驗檢查工作記錄》，制作要求與對計算機系統(tǒng)設(shè)備取證的一致。

（8）要求嫌疑人和現(xiàn)場見證人在制作完成的《現(xiàn)場勘驗檢查工作記錄》上簽字。

（9）現(xiàn)場打印取證過程中拍攝的相關(guān)照片、截圖，并要求嫌疑人簽字確認。

2.3.3 對其他計算機外圍設(shè)備和存儲設(shè)備的電子數(shù)據(jù)證據(jù)材料的收集規(guī)范

（1）對于在現(xiàn)場發(fā)現(xiàn)的打印機、掃描儀和傳真機等計算機外圍設(shè)備，如果涉案的，要拍照固定這些設(shè)備連接的電腦情況，然后封存。

（2）對于在現(xiàn)場發(fā)現(xiàn)的硬盤、U盤、移動硬盤，存儲卡等存儲設(shè)備，登記型號、容量、顏色等設(shè)備特征，拍照后直接封存。

2.4 電子證物的運輸和移交

偵察人員在現(xiàn)場提取完相關(guān)涉案電子數(shù)據(jù)后，在對電子物證的運輸和移交過程中，要務(wù)必保障物證的完整性。對于存儲介質(zhì)，必須保證溫度降低到室溫之后，再使用防水、防靜電的物證袋包裝封存。在包裝上貼上標簽并注明提取該存儲介質(zhì)人員的姓名、時間以及設(shè)備的有關(guān)參數(shù)。對于光盤、磁帶、軟盤等易彎曲折斷存儲介質(zhì)，必須封裝在堅固的存儲箱或者盒子中。對于手機等具有通信功能的設(shè)備，應(yīng)當放置在屏蔽箱內(nèi)，避免新的信息傳輸覆蓋之前的信息[3]。

3 結(jié)束語

《中華人民共和國刑事訴訟法》明確規(guī)定“電子數(shù)據(jù)”可以作為證據(jù)在法庭上使用，而《規(guī)定》實施以后，人民法院、人民檢察院在對電子數(shù)據(jù)的審查與判斷方面將有嚴格的法律指導(dǎo)意見，主要體現(xiàn)在對電子數(shù)據(jù)真實性、完整性、合法性的審查。為此，公安機關(guān)案件偵辦人員，在對電子數(shù)據(jù)現(xiàn)場取證時，必須嚴格按照法律法規(guī)要求和有關(guān)標準實施。對于從事電子數(shù)據(jù)取證的公安機關(guān)民警，第一，要熟悉最新法律法規(guī)要求，與時俱進，掌握網(wǎng)絡(luò)違法犯罪發(fā)展的方向，懂得最新電子數(shù)據(jù)取證技術(shù)；第二，要加強經(jīng)驗總結(jié)，及時總結(jié)在案件偵辦過程中遇到的問題和解決方案，多與同行溝通，強化取證技術(shù)在案件中發(fā)揮的作用；第三，要有證據(jù)意識，及時依法收集案件中的電子數(shù)據(jù)證據(jù)。

總之，隨著科技的進步發(fā)展，相信電子數(shù)據(jù)在今后的司法實踐中將越來越起到舉足輕重的作用。我們要不斷完善，建立一套科學(xué)嚴密、程序公正、效率高效的電子數(shù)據(jù)規(guī)范準則，確保公正、高效的司法能夠滿足社會不斷發(fā)展和法治進程的需要。

[1]劉浩陽，李錦，劉曉宇. 電子數(shù)據(jù)取證[M]. 北京：清華大學(xué)出版社，2015.

[2]數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法：GA/T 756—2008[S]. 北京：中國標準出版社，2008.

[3]劉曉宇，李錦，劉浩陽，等. 電子數(shù)據(jù)檢驗技術(shù)與應(yīng)用[M]. 北京：公安大學(xué)出版社，2015.

The Specification and Method of Collecting Electronic Data in On-Site Forensics

Xiao Jinhua

Guangxi Beihai Public Security Bureau Network Security Detachment, Guangxi Beihai 536000

Almost all types of criminal cases involve electronic data, and electronic data is widely used in criminal litigation activities. For example, internet users posting harmful information that threatens national security, false winning information, scam information, and opening pornographic gambling websites, distributing e-mail spam and launching cyber attacks on the internet are all suspected of criminal offences. In the process of investigating cases by public security organs, various relevant electronic data information will be used as criminal evidence. Police officers handling cases must master the methods of collecting and extracting evidence of electronic data. From the concept and legal status of electronic data, the specification and method of collecting and extracting electronic data on-site forensics are introduced.

electronic data; on-site forensics; specification

D918.2；D915.13

A

肖勁華（1985—），男，本科學(xué)歷，助理工程師，現(xiàn)為廣西北海市公安局民警，主要研究方向為電子物證檢驗。