对“电子数据”证据如何专业化审查

对“电子数据”证据如何专业化审查

电子数据在刑事诉讼中具有极强证明力，它能够有效证实传统证据无法证实的事实，或揭示出与犯罪活动有关的行为、位置、来源、关联、活动以及顺序等情况。但是刑事实务人员基本上是技术“小白”。本文对电子数据相关证据规则进行梳理，共同提高对此类证据的审查能力。

2013年《最高人民法院关于适用<刑事诉讼法>的解释》（以下简称《解释》）、2005年公安部《计算机犯罪现场勘验与电子证据检查规则》（以下简称《规则》）、2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（以下简称《意见》）等司法解释和规范性文件，对电子数据的取证与审查作出了原则性规定。电子数据从生成到呈现在法庭上的整个过程，都依赖于特定的现代电子技术。由于知识上的缺陷，司法人员对电子数据的审查往往具有盲目性和随意性。本文对上述规则梳理、扩展、解读，以期共同提高。

1、电子数据的其他分类方法

《解释》第93条规定，电子数据包括：电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从有效审查电子数据真实性

真实性比较：可编辑数据<只读数据<不可读数据<二维数据<多维数据

2、对电子数据的检查人员有什么要求

《规则》第8、9条:计算机犯罪现场勘验与电子证据检查，应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。电子证据检查，应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施。比如“快播案”辩护人提出，涉案服务器被行政机关扣押，随后转移到公安机关，但是没有证据来证明是谁转移的、程序是否合法、是否有人监督这一过程。

3、获取电子数据的正确流程

根据《规则》第14条，固定存储媒介和电子数据包括以下方式：(1)完整性校验方式；(2)备份方式；(3)封存方式。同时电子数据的获取应符合《数字化设备证据数据发现提取固定方法》（GA／T756—2008）中关于发现提取固定步骤的要求。对具备复制条件的，应使用电子数据存储介质复制工具复制原始电子数据存储介质，将复制生成的克隆或镜像文件作为检验对象；对于具备写保护条件的，应使用写保护设备，将电子数据存储介质通过写保护设备接入检验设备上；对于不启动被检验数字化设备的操作系统就能发现提取固定的电子数据的，应优先选择不启动被检验数字化设备的操作系统的条件下发现提取固定电子数据。网络电子证据收集过程中，在对收集到的数据从目标机器安全地转移到取证设备上时，需要采用安全的传输技术，如IP加密、VPN 隧道加密、SSL加密等保证电子证据的安全传输。

电子数据的取证流程为：记录现场计算机的连接现状→固定当前对象计算机的易失性数据→关闭计算机系统→拆卸、取出存储介质→对存储介质进行写保护处理→使用专用设备对存储介质复制（或使用只读锁+软件）进行数据提取、固定→计算原始存储介质Hash值→封存。

4、如何正确封存原始存储介质

封存电子证据的目的是保护电子证据的完整性、真实性和原始性。《意见》第14条：收集、提取电子数据，能够获取原始存储介质的，应当封存原始存储介质。根据《规则》第13条，封存的原则是：封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》，照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况；保证在不解除封存状态的情况下，无法使用被封存的存储媒介和启动被封存电子设备。

5、电子数据的克隆与复制有什么区别

由于电子数据具有可复制性，为了在提取、检验过程中不破坏和修改原有数据的完整性，通过硬盘复制机将电子数据进行克隆。克隆不同于我们日常使用的“Ctrl+C”和“Crtl+V”。克隆是对整个磁盘，逐磁道、逐扇区、物理级的数据“位对位”精确复制，因此可以获得所有文件，且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等，这些存储区域的数据可以通过后期各种处理方法提取成为有效的电子数据或线索。

6、为什么要对电子数据进行完整性校验(计算哈希Hash值)

《意见》第14条：收集、提取电子数据应当制作笔录，记录完整性校验值。完整性校验值即哈希函数，也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串，映射成一个较短的定长的输出数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函数有下特点：输入数字串与输出数字串具有唯一的对应关系；输入数字串中任何变化会导致输出数字串也发生变化；从输出数字串不能够反求出输入数字串。Hash值主要有MD5和SHA两种算法。它们可以对任意类型的文件、硬盘分区或整个硬盘进行校验，分别输出128位和160位的定长散列值。哪怕是一个标点符号的更改，都会导致Hash值变化。只要Hash值不变，就能够证明提交给法庭的电子数据未经改变。

7、电子数据与原始存储介质的关系

刑事诉讼中，不存在“原始电子数据”的概念，而只有“原始存储介质”的概念。一般可以将电子数据分为随原始存储介质移送的电子数据和无法移送原始存储介质的情况下通过其他存储介质予以收集的电子数据。司法人员对于随原始存储介质移送的电子数据，应当重点审查原始存储介质是否通过只读处理以确保数据不被修改。对于通过其他存储介质予以收集的电子数据，应当重点审查是否记录完整性校验值。

8、电子数据的取证工具是否需要验证

需要。电子数据的取证工具与传统证据的取证工具完全不同。取证工具的可靠与否，对于能否收集到准确、全面的电子数据至关重要。在司法实践中，采用非专用取证工具的情况大量存在。有些案件只需通过简单的复制操作便可以将存储设备中的电子数据证据进行固定；有些案件只需通过简单的打印操作便可将这些电子数据证据进行固定，有些案件需要专用的取证工具。一般认为，性能、质量、稳定性经过国家有关权威部门认证的取证工具，取证可靠性最高。常用的专用取证工具有专用硬盘复制机、专用取证工具箱、UTK软件、EnCase软件、WinHex 软件、Sleut?hkit、NTI系列软件等。对于安全性、稳定性、可靠性在取证前、取证后都无法验证，功能不完备的未知取证工具，取得的电子数据的可靠性得不到保证，证明力较低。

9、如何确定计算机用户身份

在网络犯罪案件中，确定计算机用户身份至关重要。用户身份分为用户本地身份和用户网络身份。用户本地身份即操作系统用户，包括普通用户身份、管理员身份，间接代表用户有计算机所有权、某个时间段的控制权或使用权。而用户网络身份直接的有各种环节的注册用户ID、口令及资料，间接的有计算机IP地址、MAC地址（也称网卡物理地址，是由厂商写在网卡?BIOS里的一段特征信息）。

10、什么是身份认证信息

从两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条的规定来看，非法获取计算机信息系统数据罪中的数据，主要包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息或者其他身份认证信息。即并非所有的电子数据都可以成为刑法第285条的犯罪对象。“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。该罪中的身份认证信息以“组”作为认定其为数据的标准，?即账号、口令、密码、数字证书共同构成一组数据，只有账号没有密码等不构成本罪中的数据。

11、电子数据的司法鉴定种类有哪些？

电子数据的司法鉴定，主要包括用户行为鉴定、恶意程序鉴定、电子文档和数据电文鉴定、数据库鉴定、电子数据相似性鉴定、手机数据鉴定、网络数据鉴定。