李玲俐

(廣東司法警官職業(yè)學(xué)院， 廣州 510520)

0 引 言

大數(shù)據(jù)、云計算等現(xiàn)代科技發(fā)展迅猛，電子取證結(jié)合現(xiàn)代偵查技術(shù)成為網(wǎng)絡(luò)犯罪涉案中非常關(guān)鍵的取證方式，大量從事計算機技術(shù)和法律范疇的學(xué)者們對電子取證進行了深入的研究。文獻[1]分別對基于Windows、基于智能手機、基于網(wǎng)絡(luò)的電子取證方法和技術(shù)進行了綜述；文獻[2]通過分析網(wǎng)絡(luò)犯罪中電子證據(jù)的特殊性、電子取證技術(shù)的意義，提出電子取證的收集和保全方法；文獻[3]提出一種網(wǎng)絡(luò)犯罪案件中能提高電子取證分析效率的溯源策略。由于網(wǎng)絡(luò)犯罪分子的犯案手段日漸靈活，電子取證在技術(shù)和法律層面都有其優(yōu)缺點，本文分析網(wǎng)絡(luò)犯罪的特點，詳細探討了網(wǎng)絡(luò)犯罪中電子取證的關(guān)鍵技術(shù)，繼而闡述了中國電子取證的技術(shù)和法律兩個方面都有待完善，最后提出未來的研究方向。

1 網(wǎng)絡(luò)犯罪的特點

在全球信息化的今天，計算機網(wǎng)絡(luò)的普及和飛速發(fā)展，云計算、大數(shù)據(jù)、人工智能等廣泛應(yīng)用，為人們的工作和生活帶來很大的便利，數(shù)據(jù)共享、即時聊天、語音視頻、網(wǎng)絡(luò)會議、電子商務(wù)、電子政務(wù)等都成為不可或缺的一部分。這樣的社會背景下，網(wǎng)絡(luò)安全事件已然引起各界的關(guān)注與重視，網(wǎng)絡(luò)釣魚、病毒、木馬、黑客攻擊、網(wǎng)絡(luò)詐騙、新APT(高級持續(xù)性威脅，Advanced Persistent Threat)組織、數(shù)據(jù)隱私、勒索軟件等凡是能獲取經(jīng)濟利益的行為，時刻威脅著電子商務(wù)的安全運行，犯罪分子的目標是網(wǎng)銀中的錢、虛擬貨幣和有價值的資料信息等，逐步形成一條環(huán)環(huán)緊扣的灰色產(chǎn)業(yè)鏈[4]。

網(wǎng)絡(luò)犯罪利用互聯(lián)網(wǎng)的便捷實施犯罪行為[5]，從事網(wǎng)絡(luò)犯罪活動的大部分是高智能的專業(yè)犯罪人員，有其特殊的犯罪手段。個人做案，反偵察能力不強，但隱匿性高；團體做案，分工明確，有較高的反偵察能力和流竄性。部分犯罪分子具備一定的網(wǎng)絡(luò)技術(shù)和信息安全知識，能通過一些手段將證據(jù)隱藏或者瞬間銷毀，使取證調(diào)查難以發(fā)現(xiàn)其犯罪行為，這就使得取證技術(shù)在不斷進步的同時，反取證技術(shù)也在悄然地發(fā)展著。反取證技術(shù)一般有數(shù)據(jù)加密、數(shù)據(jù)隱藏和數(shù)據(jù)清除三種[3]，給取證工作增加了很大難度。網(wǎng)絡(luò)犯罪的危害不容忽視，電子取證的研究顯得重要和緊迫。

2 網(wǎng)絡(luò)犯罪中的電子取證研究

2.1 電子取證概述

2.1.1 電子取證的定義

1991年, 美國舉行第一屆計算機調(diào)查專家國際會議IACIS(International Association of Computer Investigative Specialists), 首次提出計算機取證(Computer Forensics)(也稱為電子取證)的概念。2012年，中國修改的《刑事訴訟法》中，“電子數(shù)據(jù)”被正式歸為法定證據(jù)的種類之一。電子數(shù)據(jù)是指能證明案件事實的電子信息和數(shù)據(jù)資料，即電子證據(jù)(Digital Evidence)。電子取證是指對計算機系統(tǒng)以及網(wǎng)絡(luò)中相關(guān)的電子證據(jù)進行獲取、保存、辨析和提交的過程。隨后，電子取證技術(shù)快速發(fā)展, 逐漸成為一門融合計算機科學(xué)、法學(xué)、心理學(xué)、偵查學(xué)等在內(nèi)綜合性、交叉性的學(xué)科。

2.1.2 電子證據(jù)的特點

網(wǎng)絡(luò)犯罪案件偵查過程中，通常要用到的電子證據(jù)，其目的是為了調(diào)查、分析和恢復(fù)從各種電子設(shè)備中采集到的數(shù)據(jù)信息[6-7]。電子證據(jù)易于存儲、傳送方便快捷、便于操作[8]、可以多次被復(fù)制，有以下特點。

(1)無形性。調(diào)查取證過程中，通常要用到的電子證據(jù)是以數(shù)字化形式存在的載體，用硬盤、磁盤、U盤和智能卡等磁性物理介質(zhì)保存。

(2)多樣性。電子證據(jù)的內(nèi)容有文本、圖像、音頻、視頻和計算機編碼等多種數(shù)據(jù)信息。

(3)消失性。計算機故障、病毒、誤操作、惡意刪除等都有可能使電子證據(jù)消失。

(4)動態(tài)性。網(wǎng)絡(luò)犯罪案件中，除了用靜態(tài)存儲設(shè)備儲存的數(shù)據(jù)，更多的電子數(shù)據(jù)是網(wǎng)絡(luò)數(shù)據(jù)，動態(tài)電子證據(jù)涉及到對象、時間、地點、技術(shù)等方面，對電子取證的技術(shù)設(shè)備和取證人員的專業(yè)素質(zhì)都提出了更高要求。

(5)實時性。電子數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時會自動生成日志記錄，包括數(shù)據(jù)生成的時間、大小、屬性等。日志是偵查取證過程中非常重要的電子證據(jù)來源，在某種程度上，電子數(shù)據(jù)的實時性為取證人員偵查取證提供了很大的幫助，但是由于大部分網(wǎng)絡(luò)數(shù)據(jù)存儲在云端服務(wù)器，有時間和空間的限制，不同的服務(wù)器提供商支持的數(shù)據(jù)格式可能不一樣，為取證工作增加了準確、及時的客觀要求[5]。

(6)分散性。電子數(shù)據(jù)在生成、傳輸、存儲等過程中，分散在網(wǎng)絡(luò)的各個部分，有些犯罪分子會清除犯罪痕跡，加大了各項數(shù)據(jù)的取證工作的難度。

網(wǎng)絡(luò)犯罪下的電子取證技術(shù)和過程是傳統(tǒng)取證的發(fā)展和延伸，電子證據(jù)的生成、傳輸、接收、存儲、收集等每一個步驟都要求電子取證必須全面、及時、真實、合法，才能保證電子取證工作的順利進行[8]。

2.2 網(wǎng)絡(luò)犯罪下電子取證的關(guān)鍵技術(shù)

網(wǎng)絡(luò)犯罪的技術(shù)和手段越來越高級，電子取證所需要的技術(shù)也越全面，涉及到法律、網(wǎng)絡(luò)信息安全、數(shù)據(jù)挖掘、人工智能等各個領(lǐng)域，目前主要有下面幾種常用的關(guān)鍵技術(shù)。

(1)數(shù)據(jù)備份。也叫數(shù)據(jù)復(fù)制，是指將全部或部分數(shù)據(jù)集合、數(shù)據(jù)庫從原主機的硬盤或陣列復(fù)制到其它存儲介質(zhì)的過程。包括拷貝、拍照、攝像、鏡像等方法，保證備份數(shù)據(jù)和原數(shù)據(jù)的一致性和完整性。

(2)數(shù)據(jù)恢復(fù)。網(wǎng)絡(luò)犯罪分子通常將與犯罪事實有關(guān)的電子證據(jù)篡改、刪除或破壞，為取得有效證據(jù)，專業(yè)人員需要在存儲介質(zhì)的存儲區(qū)域沒有嚴重受損的情況下，通過各種數(shù)據(jù)恢復(fù)工具把修改、遭到破壞、甚至丟失的數(shù)據(jù)還原為原始數(shù)據(jù)。

(3)數(shù)據(jù)加解密。數(shù)據(jù)加密是信息保護的主要方法之一，將密鑰和加密算法加密后的密文在公網(wǎng)中傳遞，以保證數(shù)據(jù)的機密性、完整性和可用性。如果犯罪嫌疑人不愿意提供密碼，偵查人員必須通過各種手段獲得，除了嫌疑人的計算機、智能卡等存儲設(shè)備，也可能利用暴力破解等方式獲得其口令或密鑰，再采用解密技術(shù)將密文恢復(fù)為明文。

(4)數(shù)字簽名和時間戳。數(shù)字簽名用于鑒別數(shù)字信息，證明消息發(fā)布者的身份；時間戳提供一份電子證據(jù)，證明數(shù)據(jù)生成時間[9]。數(shù)字簽名和時間戳的抗抵賴性能證明數(shù)據(jù)的完整性和有效性。偵查人員通常要對有時間的信息內(nèi)容進行標記。

(5)入侵檢測系統(tǒng)(Intrusion Detection System, IDS)取證。IDS是一種能夠通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測入侵活動的系統(tǒng)，依照一定的安全策略，對系統(tǒng)和網(wǎng)絡(luò)的運行狀況進行監(jiān)控，盡可能識別各種非法攻擊[10]，同時收集相關(guān)的電子證據(jù)，包括日志記錄、攻擊的行為結(jié)果、網(wǎng)絡(luò)流量的變化，并進行分析[11]。

(6)數(shù)據(jù)挖掘。數(shù)據(jù)挖掘是從海量數(shù)據(jù)中獲得有價值信息，在大數(shù)據(jù)時代，這是不可或缺的取證技術(shù)。在動態(tài)地址取證階段，數(shù)據(jù)挖掘技術(shù)中的基于關(guān)聯(lián)規(guī)則的分類方法可以對犯罪嫌疑人的非法行為進行對比判斷，挖掘出對破案有利的證據(jù)。

除了以上關(guān)鍵技術(shù)，還有數(shù)據(jù)抓取、安全掃描、日志分析、蜜罐技術(shù)、惡意代碼、網(wǎng)絡(luò)監(jiān)聽等電子取證技術(shù)，取證人員通過對數(shù)據(jù)的分析和比對，將有效的數(shù)據(jù)串聯(lián)起來，作為判案所需的電子證據(jù)。

2.3 中國電子取證的挑戰(zhàn)

電子取證對犯罪案件的調(diào)查和偵破起著非常重要的作用, 是傳統(tǒng)取證技術(shù)的重要補充。當(dāng)前形勢下，網(wǎng)絡(luò)犯罪下的電子取證工作面臨的挑戰(zhàn)主要體現(xiàn)在如下3個方面。

(1)電子取證相關(guān)法律程序不完善。目前，中國現(xiàn)有法律制度對電子取證的程序的規(guī)定還在完善之中，實踐應(yīng)用中電子證據(jù)的合法性、有效性有待明確。例如，偵查員具有很強的法律意識、隱私權(quán)和人權(quán)保護意識，但很多時候隱私數(shù)據(jù)和非隱私數(shù)據(jù)沒有嚴格的界定，導(dǎo)致在取證過程中往往無法確定哪些是法律范疇內(nèi)能獲得的電子證據(jù)。

(2)電子證據(jù)取證難、認證難[12]。其一，偵查員很難將嫌疑人或者其設(shè)備扣押而進行取證，即使可以，由于嫌疑人經(jīng)常更換設(shè)備，比如計算機網(wǎng)卡、手機等，或者直接破壞硬件、覆蓋原始數(shù)據(jù)。其二，取證時間越長，犯罪痕跡可能被海量數(shù)據(jù)淹沒，例如有些嫌疑人在網(wǎng)上租用的云儲存服務(wù)器，租約到期云服務(wù)器中的數(shù)據(jù)被釋放，或者云服務(wù)器失效導(dǎo)致數(shù)據(jù)不可恢復(fù)；又例如嫌疑人在取證前刪改、偽造原始數(shù)據(jù)，偵查員無法判斷其完整性和真實性，更不能作為判案的依據(jù)。

(3)電子取證人員需要具備行業(yè)領(lǐng)先的高素質(zhì)。互聯(lián)網(wǎng)時代的犯罪分子通常具備高科技設(shè)備和技術(shù)，電子證據(jù)易篡改、易受破壞性、易實時變更, 搜集和司法鑒定變得復(fù)雜，取證人員必須擁有專業(yè)過硬的取證技術(shù)[1], 進行全面的分析，提取有價值的證據(jù)。目前，中國的電子取證高素質(zhì)專業(yè)人員的相對匱乏，使得很多取證工作不夠全面、不夠合理、不夠及時，達不到預(yù)期的效果。

3 結(jié)束語

本文闡述了網(wǎng)絡(luò)犯罪的特點，對電子取證現(xiàn)狀和關(guān)鍵技術(shù)進行分析，提出目前中國電子取證所面臨的挑戰(zhàn)。隨著新時代電子技術(shù)、信息安全、智能手機的高速發(fā)展，網(wǎng)絡(luò)犯罪下電子取證的難點是如何在虛擬網(wǎng)絡(luò)世界中拿捏好偵查權(quán)，如何獲得并確保取證人員獲得的電子數(shù)據(jù)能夠作為對判案有效的電子證據(jù)，如何在整個取證過程中保障人權(quán)和隱私權(quán)[13]。未來研究方向除了將上述關(guān)鍵技術(shù)繼續(xù)發(fā)展和提升外，還有2點可做闡釋分述如下。

(1)基于區(qū)塊鏈的電子取證技術(shù)。區(qū)塊鏈是中心化、去信任化的數(shù)據(jù)庫，涉及密碼學(xué)、數(shù)字簽名、時間戳、分布式數(shù)據(jù)存儲、共識機制等計算機及網(wǎng)絡(luò)安全技術(shù)，能夠安全存儲比特幣及其交易，也可以存儲其它數(shù)字資產(chǎn)，網(wǎng)絡(luò)犯罪分子將無法篡改和偽造區(qū)塊鏈中的電子證據(jù)[14]。

(2)云取證技術(shù)。云時代，各種云服務(wù)為人們帶來便利，大量與人們工作生活相關(guān)的數(shù)據(jù)信息儲存在云端，這些電子資料成為犯罪分子的主要目標。云取證是云計算和電子取證相結(jié)合的產(chǎn)物，傳統(tǒng)的電子取證工具、技術(shù)和框架得到變更[15]，取證人員在云取證過程中涉及到的調(diào)查范圍更大、技術(shù)性更強、用法更全面。到目前為止，云取證發(fā)展時間比較短，面臨數(shù)據(jù)分散、技術(shù)和法律問題，但也會帶來新的機遇，云取證勢必會在將來云計算犯罪調(diào)查方面有著重要的應(yīng)用前景。