电子数据证据

现代通信技术
电子计算机技术
3
互联网 技术
4
手机录音证据、手机录像证据、手机 短消息证据（第五媒体证据）、通讯 记录；信令数据、上网痕迹、通讯痕 迹
雷达记录证据、录音证据、录像证据、摄像证 据、GPS痕迹（即所谓的“视听资料”）
网络 技术
手机技术
5
其他信息技术
从有关国际文献来看，迄今为止具有代表性的相关 思想是计算机证据国际组织于2000年12月4日在八国 集团的会议上提出的“六原则论”。
说，事实认定者可以对正式提交法庭的有关证据进行评价了。
于是在为法院审判提供事实认定结论方面，常识和传统的证明方法 就遭遇了科学数据的竞争。这些数据往往概念复杂，数量非常丰富，而
且有时甚至是违反直觉的。

进而法院频频遭遇复杂的科学技术证据，只有那些拥有 高度专业化知识或杰出技艺的人才能毫无困难的领会。
情境二：对一个系统进行检查并保持可辩护的证据的最理 想方法是把系统冻结并分析所有数据的拷贝。
很多情况下我们并不能这样做，尤其是网络运行的管理层 拒绝这样长时间的关掉系统（有可能会带来其他方面巨大 的损失），而且当一个系统内还有恶意代码在运行时，相 关联的信息也极有可能在关掉电源时消失，通常我们还难 以判别机器上是否运行有这样的恶意代码。

对科学证据的依赖加重了事实认定者的负担，无论是对
英美法系的陪审员还是大陆法系的检察官和法官。
他们所共同的对技术本身的理解力局限和不善于应用技
术的过程和结论，展示出有说服力的事实都成为我们面临的
难题。

如何使事实认定者适应这一变化和要求？
概念
计算机取证OR电子取证OR数据取证
科学地运用提取和证明方法，对于从电子数据源提取的电子证 据进行行保护（preservation）、收集(collection)、验证 （validation）、鉴定（identification）、分析（analysis）、解 释（interpetation）、存档（documentation）和出示 （presentation），以有助于进一步的犯罪事件重构或者帮助 识别某些与计划操作无关的非授权性活动。
（六）当事人的陈述；
（七）鉴定意见； （八）勘验笔录、现场笔录。
电子证据的主要法律条款
刑诉法第48条第2款： 证据包括： （一）物证； （二）书证； （三）证人证言： （四）被害人陈述； （五）犯罪嫌疑人、被告人供述 和辩解； （六）鉴定意见； （七）勘验、检查、辨认、侦查 实验等笔录； （八）视听资料、电子数据。
数字取证在中国的启动
我国网络安全界曾经从战略高度上提出了如何建立使入侵 者感到有威慑的主动防御策略。 基于主动防御的网络安全技术改变了以往仅仅依靠防火墙、 扫描、检测这些传统的网络安全工具，推动了我国的信息监控、 数字取证等技术的发展以及相应产品的面市。 2000年5月,公安部确立了以办理计算机犯罪案件为主线,以 电子数据证据为核心，以计算机犯罪侦查为主要内容开展专门 技术研究 计算机取证研究列入课题项目，出现一批早期的研究论文和 文章。（2003-2005）
理论完善时期


时间：九十年代末期至现在 计算机取证的概念及过程模型被充分研讨 较为典型的五类模型： 基本过程模型 事件响应过程模型 法律执行过程模型 过程抽象模型 其他模型 学科体系建设

研究数字取证的强国
美国：最早开展研究，有很多科研机构、大学和司法部门在积 极从事这方面的研究 英国：比较早开展取证研究，特别是在和恐怖分子的斗争中很 有经验
澳大利亚：近年来的研究很有成效，2008年年初开始组织eforensics国际会议
韩国：早在1995年，韩国就组建了“黑客”侦查队，积极开 展工作，此后分别于1997年和1999年建立了计算机犯罪侦查队 和网络犯罪侦查队，并于2000年成立了网络恐怖监控中心， 由此韩国成为了“网络侦查强国”。 各国纷纷派人前去学习 或请韩国人协助取证
电子证据取证的基本的思想方法:
取证的基本思想方法是相对固定（fixed）的，一定时期内 不会随着计算机技术的量变而改变，除非计算机技术产生 了根本性的质变。 基本的方法（AAA法，取证的框架）： 1，在不对原有的证物进行任何损坏或改动的前提之下获取 证据；（Acquire） 2，证明所获取的证据和原有的数据是相同的；（ Authenticate） 3，在不改动数据的前提之下对其进行分析。 （Analyze）

民诉法第63条第1款： 证据包括： （一）当事人的陈述； （二）书证； （三）物证； （四）视听资料； （五）电子数据； （六）证人证言； （七）鉴定意见； （八）勘验笔录。
电子证据的主要规则
最高人民法院、最高人民检察院和公安部于2016年 9月联合下发《关于办理刑事案件收集提取和审查 判断电子数据若干问题的规定》（以下简称《电子 数据规定》），对于刑事诉讼中电子数据的收集、 提取、审查、认定等行为予以规范。
电子证据取证原则
及时取证（易失性） 全面取证 （全面分析---侵权边界） 合法取证 （合法性） 不损害取证 （避免证据二次破坏） 避免使用原始证据原则（复制，避免证据污染） 记录所作操作原则（录像）
《互联网信息服务管理办法》 第十四条 从事新闻、出版以及电子公告等服务项目 的互联网信息服务提供者，应当记录提供的信息内 容及其发布时间、互联网地址或者域名；互联网接 入服务提供者应当记录上网用户的上网时间、用户 帐号、互联网地址或者域名、主叫电话号码等信息。 互联网信息服务提供者和互联网接入服务提供者的 记录备份应当保存60日，并在国家有关机关依法查 询时，予以提供。
电子证据从哪里来？
1 2 电话证据、传真证据、电报证据等等 计算机证据（电子文件、计算机日志 等）、计算机输出物、计算机打印物 等
电子邮件、电子数据交换、电子聊天记录、电子公 告牌记录、博客记录、微博记录、电子报关单、电 子签名、域名、网页、IP地址以及电子痕迹（系统 文件、休眠文件、日志记录、上网痕迹）等
真正重要的事物，肉眼是看不到的
鉴定机构鉴定工作
内容 电子证据内容一致性的认定 电子数据内容的认定 已删除电子数据内容的认定 机密文件数据内容的认定 计算机程序功能或系统状况的认定 电子证据的真伪及形成过程的认定
取证的方法和步骤
电子证据的取证涉及到对电子证据的保存、识别、提取、 归档和解释，以作为证据或作为动机分析的依据。电子证 据取证工作需要遵循一种明确的、严格定义的方法和程序 ，对于非同一般的事件又需要灵活机动的处理不可墨守成 规。 电子证据取证的事前态度：电子证据取证和其他类型传统 证据的调查取证工作有所不同。传统的暴力案件现场需要 在拍照，搜寻证据和供比对的样本并且需要控制样本以便 和证物对照。电子证据的调查工作当中也存在有类似的工 作。但许多时候，调查人员向需要对整个系统（无论是单 机还是大容量的磁盘阵列服务器甚至是整个网络）进行重 建，这是不同于传统证据取证但在电子证据取证中常见的 工作。
通信信息： 通讯录（联系人） 通话记录 短信 彩信 关联关系 …… 多媒体信息： 录音 录像 照片 …… 其他信息：
上网信息：
上网时间 浏览记录 聊天记录 习惯 背景 圈子 ……
导航、定位信息：
如使用信息 游戏信息 广播、电视 ……
GPS导航信息 网络定位与导航信息 手机移动与漫游信息 新增、异常出现与消失 ……
（1）在处理电子证据时，各种普遍性的法科学原则和程序原则 必须得到遵守； （2）扣押电子证据时必须保证其不发生改变； （3）任何需要接触原始电子证据的人员必须经过专业的培训； （4）对电子证据进行扣押、接触、存储或转移的一切行为， 都必须完整记录，并加以归档备查； （5）有关人员在保管电子证据时，对其上所实施的一切操作 负责； （6）任何负责扣押、接触、存储或转移电子证据的机构，均 有责任落实上述原则。
获取证物环节的大体步骤：
处理证据 记录调查工作 一、处理证据 1，证据监督链（chain of Custody） 做好监督链的目的为了保护证物的完整性而且能够证明 在这一过程中证物并没有被改动。监督链是一个简单有 效的过程，记录了证物在案件周期内的完整经历。 谁收集的证物？ 在何处收集，怎样收集的？ 谁拥有该证物？ 证物如何存储，受到了怎样的保护？
因此调查初始，就要认真对待每一个案件。不要随意的开 始检查某一台计算机，判定它是否有问题然后再将其作为 一个证物来对待；而应该一开始就把计算机作为证物来对 待，即便以后发现它并不能成为证物。 如果在开始时主观的认为某一台计算机没有取证价值而后 来发现了有不法行为的痕迹，就需要确认已经完整的记录 下来所采取的某一个步骤及采取该步骤的原因。记录的工 作对于任何证据调查工作都很重要，尤其对电子证据调查 更是这样。
电子证据的审查与判断
中国政法大学电子证据研究中心主任 中国电子学会计算机Fra Baidu bibliotek证专家委员会委员
limeiw@cupl.edu.cn 王立梅
背景
大背景：人类已经进入了电子证据的时代。
就司法证明的历史而言，人类曾经从“神证”时代走入“人证时代”
，又从“人证”时代走入“物证”时代，也许，我们即将走入另一个 司法证明时代，即电子证据时代。
谁将证物从存储设备中取出以及取出的原因？ 任何接触过证物的人员取走和归还的时间，使用证物的目的 都应该有完整的记录。而且接触的人员应该尽可能的少，“ 每个有能力接触到证物的人都有能力篡改证物。” 2，收集 证物收集的复杂性反映出事件本身的复杂性。收集证物时应 尽可能收集一切通过合法手段所获得的东西。包括一些看上 去没有证据价值的东西，甚至是废纸。现场的呈现仅有一次 。 对于和ISP有关的证物必须尽快行动。因为日志文件的保存都 是受时间限制的。对于准备作为证据使用的日志应要求服务 商合适的保存。
第一步：获取证物 情境一：面对现场一正在运行的计算机，让其继续运行，还是 立即拔掉电源抑或进行正常的关机过程 立即拔掉电源时许多人的做法，被认为能使计算机停留于当前 状态。但有先例表明这有可能毁掉攻击过程相关的数据，甚至 可能损坏硬盘上的数据。而如果系统内有软件炸弹，管理员登 录时会自动销毁所有数据，这时拔电源就成为唯一可能的选择 ，而且能帮助我们有更多的时间拟定调查计划，备份原有数据 灵活性在处理问题是非常重要，没有任何两次调查的情况是一 样的，也没有完全适用于各种场景的普遍方法。
电子“现场”
现场电子化 电子化、网络化现场 现场再现：技术+ 科学证据（技术侦查）
√
法律中的电子证据 √
√
电子证据的主要法律条款
行政诉讼法修正案 第35条第一款，证据包括：
（一）书证；
（二）物证； （三）视听资料； （四）电子数据； （五）证人证言；
1999年，中国人民大学法学院的何家弘教授就曾经撰文指出人类司法
证明历史中司法证明的方法和手段所发生的两次重大转变。第一次是 从以“神证”为主的证明向以“人证”为主的证明的转变；第二次是
从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的
转变。在这一进程中，科学技术的进步发挥着决定性的作用。
信息安全解决事前防护，取证解决事后究责。 新诉讼法的提法是“电子数据”（刑诉法P37 民诉法P22）
几者之间的关系如图所示。
初步发展时期
旪间：九十年代中期至九十年代末期。 典型的计算机取证产品： Encase：美国Guidance软件公司开发，用亍证据 数据的收集和分析。 DIBS：由美国计算机取证公司开发，对数据进行 镜像的备份系统。 Flight Server：由英国Vogon公司开发。用于证据 数据的收集和分析。 其他工具：密码破解工具、列出磁盘上所有分区 的LISTDRV、软盘镜像工具DISKIMAG、在特定的逻 辑分区上搜索未分配的或者空闲的空间的工具 FREESECS等等。
与应用技术手段密切联系的是，对技术性专家意见的依赖也在增加：必 须对结构复杂的机器得出的结论进行解释，还要评估该证据的证明价值 。不过，即使撇开专家作为仪器这一“哑巴证人”之翻译者的需要，人 们为了在诉讼中揭示案件事实而正在寻找的科学性或经验性信息的事项 范围也已经大为拓展了： 许多不久前还被视为背景信息的问题，现在都需要证明了，这就是