电子证据的取证规则、取证方式都有别于传统证据,传统的证据收集手段、认证都不能完全照搬使用,因此,网络犯罪中证据的提取、固定有一定难度。尽管如此,针对案件的具体情况,利用电子证据自身的特点,可以进行取证,为案件的侦破提供帮助。
(一)电子证据的一般取证方式一般取证,是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有:1、打印。对网络犯罪案件在文字内容上有证明意义的情况下,可以直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法予以保管、固定,并注明打印的时间、数据信息在计算机中的位置(如存放于那个文件夹中等),取证人员 等。如果是普通操作人员进行的打印,应当采取措施监督打印过程,防止操作人员实施修改、删除等行为。
2、拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先,取证人员应当检验所准备的软盘、活动硬盘或光盘,确认没有病毒感染。拷贝之后,应当及时检查拷贝的质量,防止因保存方式不当等原因而导致的拷贝不成功或感染有病毒等。取证后,注明提取的时间并封闭取回。
3、拍照、摄像。如果该证据具有视听资料的证据意义,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像,还具有增加证明力、防止翻供的作用。
4、制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。使用司法文书的方式可以通过权威部门对特定事实的认定作为证据,具有专门性、特定性的特点,具有较高的证明力。主要适用于对具有网络特色的证据的提取,如数字签名、电子商务等,目前在我国专门从事这种网络业务认证的中介机构尚不完善,处在建立阶段。如1998年,经广东省人民政府批准成立了以提供电子认证服务为主营业务的广东省电子商务认证中心,到目前为止,该中心已签发各类数字证书超过6万张,为用户在Internet网络的电子商务活动提供了安全保障。
5、查封、扣押。对于涉及案件的证据材料、物件,为了防止有关当事人进行损毁、破坏,可以采取查封、扣押的方式,将有关材料置于司法机关保管之下。可以对通过上述几种方式导出的证据进行查封、扣押,也可以对于一些已经加密的证据进行。如在侵犯商业秘密的案件查办中,公安机关依法查封、扣押了办公用具及商业资料,将硬盘从机箱里拆出,在笔录上注明“扣押X品牌X型号硬盘一块”。由于措施得当,证据提取及时,既有效地证据犯罪,也防止了商业秘密的泄露。对于已经加密的数据文件进行查封、扣押,往往需要将整个存储器从机器中拆卸出来并聘请专门人员对数据进行还原处理,这种情况下进行的查封、扣押措施必须相当审慎,以免对原用户、或其他合法客户的正常工作造成侵害,一旦硬件损坏或误操作导致数据不能读取或数据毁坏,其带来的损失将是不可估量的。
6、公证。由于电子证据极易被破坏、一旦被破还又难以恢复原状,所以,通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。2001年3月的新浪网《育儿论坛》被控刊载有损害他人名誉权的文章,南京市第三公证处接受申请,对新浪网页上的《育儿论坛》内容进行了保全证据公证:对操作电脑的步骤,包括电脑型号、打开电脑和进入网页的程序以及对电脑中出现的内容进行复制等全过程进行了现场监督,在现场监督和记录的同时,对现场情况进行拍照。之后,公证人员出具保全证据公证书。但是,由于公证具有高成本、低效率的特点,也不能在电子证据的获取上片面迷信公证的方式,应当根据案件的具体情况,具体决定采取上述哪种方式进行取证。
(二)电子证据的复杂取证方式复杂取证,是指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取,如被加密或是被人为的删改、破坏的情况下,如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括:1、解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。如:用Word软件制作的密码文件,选用Word软件解译;解密后,将对案件有价值的文件,即可进行一般取证;在解密的过程中,必要的话,可以采取录象的方式。同时应当将被解密文件备份,以防止因解密中的操作使文件丢失或因病毒损坏。如:在办理一起某国际投资公司的职务犯罪案件中,侦查人员在搜查办公室时发现,其使用办公桌的抽屉和文件橱内有11 张微机软盘,怀疑盘内存有其犯罪的重要证据,取回后立即送技术科进行检验,我技术人员按要求,进行了详细检验,无病毒,并查清了这些软盘中用Word软件所制作的文件,并加入了密码,即针对所用软件采用了Advanced Word 97 Password Recovery 1.23软件成功的破译了其中的密码,解出了108份文件,从而掌握了其犯罪的重要书证,又扩大了办案线索,使案件深入发展。
2、恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,一般是较难篡改的。因此,当发生网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。如1997年7月底,重庆市某农业大学学生处计算机办公网遭到破坏,直接影响到8月份即将开始的招生工作。侦查人员在接到报案后,及时进行了现场保护,从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程,这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的,侦查人员通过这个线索找到了源程序,破获了全案。 如果数据连同备份都被改变或删除,可以在系统所有者的协助下,通过计算机系统组织数据的链指针进入小块磁盘空间,从中发现数据备份或修改后的剩余数据,进行比较分析,恢复部分或全部的数据。另外,也可以使用一些专门的恢复性软件,如Recover98、RecoverNT EXPD等。
3、测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。 |