对“电子数据”证据如何专业化审查

1、对“电子数据”证据如何专业化审查电子数据在刑事诉讼中具有极强证明力，它能够有效证实传统证据无法证实的事实，或揭 示出与犯罪活动有关的行为、位置、来源、关联、活动以及顺序等情况。但是刑事实务人 员基本上是技术“小白”。本文对电子数据相关证据规则进行梳理，共同提高对此类证据 的审查能力。2013年最高人民法院关于适用 的解释（以下简称解释）、2005年公 安部计算机犯罪现场勘验与电子证据检查规则（以下简称规则）、2014年最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的 意见（以下简称意见）等司法解释和规范性文件，对电子数据的取证与审查作出了 原则性规定。电子数据

2、从生成到呈现在法庭上的整个过程，都依赖于特定的现代电子技术。 由于知识上的缺陷，司法人员对电子数据的审查往往具有盲目性和随意性。本文对上述规 则梳理、扩展、解读，以期共同提高。1、电子数据的其他分类方法？解释第93条规定，电子数据包括：电子邮件、电子数据交换、网上聊天记录、博客、 微博客、手机短信、电子签名、域名等。从有效审查电子数据真实性的角度，下面分类方 式更具可操作性。分类真实性特点一、孤立数据1 可编辑数据易被篡改、删除？、？伪造2.只读数据篡改难度有所增加3.不可读数据难以篡改二、系统数据1二维数据存在于当事人双方之间，易发生原始性争议2多维数据一般不需要进行复杂的原始性判断，具有最

3、高的稳定性和安全性，有较大的证明价值真实性比较：可编辑数据 只读数据不可读数据二维数据多维数据2、对电子数据的检查人员有什么要求？规则第8 9条:计算机犯罪现场勘验与电子证据检查，应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。电子证据检查，应当遵循办案人员与检查人员分离的 原则。检查工作应当由具备电子证据检查技能的专业技术人员实施。比如“快播案”辩护 人提出，涉案服务器被行政机关扣押，随后转移到公安机关，但是没有证据来证明是谁转 移的、程序是否合法、是否有人监督这一过程。3、获取电子数据的正确流程？根据规则第14条，固定存储媒介和电子数据包括以下方式：(1)完整性校验方式； 备份

4、方式；(3)封存方式。同时电子数据的获取应符合数字化设备证据数据发现提取固定 方法(GA/T756 2008)中关于发现提取固定步骤的要求。对具备复制条件的，应使用电子数据存储介质复制工具复制原始电子数据存储介质，将复制生成的克隆或镜像文件作Ctrl+C ”和“ Crtl+V为检验对象；对于具备写保护条件的，应使用写保护设备，将电子数据存储介质通过写保 护设备接入检验设备上；对于不启动被检验数字化设备的操作系统就能发现提取固定的电 子数据的，应优先选择不启动被检验数字化设备的操作系统的条件下发现提取固定电子数 据。网络电子证据收集过程中，在对收集到的数据从目标机器安全地转移到取证设备上时， 需

5、要采用安全的传输技术，如IP加密、VPN隧道加密、SSL加密等保证电子证据的安全 传输。电子数据的取证流程为：记录现场计算机的连接现状 -固定当前对象计算机的易失性数据 f关闭计算机系统拆卸、取出存储介质对存储介质进行写保护处理使用专用设备对 存储介质复制（或使用只读锁+软件）进行数据提取、固定 计算原始存储介质Hash值 封存。4、如何正确封存原始存储介质?封存电子证据的目的是保护电子证据的完整性、真实性和原始性。意见第14条：收集、提取电子数据，能够获取原始存储介质的，应当封存原始存储介质。根据规则第13条, 封存的原则是：封存前后应当拍摄被封存电子设备和存储媒介的照片并制作封存电子证 据

6、清单，照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的 状况；保证在不解除封存状态的情况下，无法使用被封存的存储媒介和启动被封存电子设5、电子数据的克隆与复制有什么区别?由于电子数据具有可复制性，为了在提取、检验过程中不破坏和修改原有数据的完整性, 通过硬盘复制机将电子数据进行克隆。克隆不同于我们日常使用的 克隆是对整个磁盘，逐磁道、逐扇区、物理级的数据“位对位”精确复制，因此可以获得 所有文件，且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等，这些存 储区域的数据可以通过后期各种处理方法提取成为有效的电子数据或线索。6为什么要对电子数据进行完整性校验（计算哈希

7、Hash值）意见第14条：收集、提取电子数据应当制作笔录，记录完整性校验值。完整性校验值 即哈希函数，也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串，映射 成一个较短的定长的输出数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函 数有下特点：输入数字串与输出数字串具有唯一的对应关系；输入数字串中任何变化会导 致输出数字串也发生变化；从输出数字串不能够反求出输入数字串。Hash值主要有MD5和SHA两种算法。它们可以对任意类型的文件、硬盘分区或整个硬盘进行校验，分别输出 128位和160位的定长散列值。哪怕是一个标点符号的更改，都会导致Hash值变化。只要Hash值不变，就能

8、够证明提交给法庭的电子数据未经改变。7、 电子数据与原始存储介质的关系？刑事诉讼中，不存在“原始电子数据”的概念，而只有“原始存储介质”的概念。一般可 以将电子数据分为随原始存储介质移送的电子数据和无法移送原始存储介质的情况下通过 其他存储介质予以收集的电子数据。司法人员对于随原始存储介质移送的电子数据，应当 重点审查原始存储介质是否通过只读处理以确保数据不被修改。对于通过其他存储介质予 以收集的电子数据，应当重点审查是否记录完整性校验值。8、 电子数据的取证工具是否需要验证？需要。电子数据的取证工具与传统证据的取证工具完全不同。取证工具的可靠与否，对于 能否收集到准确、全面的电子数据至关重要

9、。在司法实践中，采用非专用取证工具的情况 大量存在。有些案件只需通过简单的复制操作便可以将存储设备中的电子数据证据进行固 定；有些案件只需通过简单的打印操作便可将这些电子数据证据进行固定，有些案件需要 专用的取证工具。一般认为，性能、质量、稳定性经过国家有关权威部门认证的取证工具， 取证可靠性最高。常用的专用取证工具有专用硬盘复制机、专用取证工具箱、UTK软件、En Case软件、Win Hex软件、Sleut?hkit NTI系列软件等。对于安全性、稳定性、可靠性在取证前、取证后都无法验证，功能不完备的未知取证工具，取得的电子数据的可靠性得不 到保证，证明力较低。9、 如何确定计算机用户身份

10、？在网络犯罪案件中，确定计算机用户身份至关重要。用户身份分为用户本地身份和用户网 络身份。用户本地身份即操作系统用户，包括普通用户身份、管理员身份，间接代表用户 有计算机所有权、某个时间段的控制权或使用权。而用户网络身份直接的有各种环节的注 册用户ID、口令及资料，间接的有计算机IP地址、MAC地址（也称网卡物理地址，是由 厂商写在网卡？BIOS里的一段特征信息）。10、什么是身份认证信息？从两高关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第 1条的 规定来看，非法获取计算机信息系统数据罪中的数据，主要包括支付结算、证券交易、期 货交易等网络金融服务的身份认证信息或者其他身份认

11、证信息。即并非所有的电子数据都 可以成为刑法第285条的犯罪对象。“身份认证信息”是指用于确认用户在计算机信息系 统上操作权限的数据，包括账号、口令、密码、数字证书等。该罪中的身份认证信息以“组”作为认定其为数据的标准，？即账号、口令、密码、数字证书共同构成一组数据，只有账号 没有密码等不构成本罪中的数据。11、电子数据的司法鉴定种类有哪些？电子数据的司法鉴定，主要包括用户行为鉴定、恶意程序鉴定、电子文档和数据电文鉴定、 数据库鉴定、电子数据相似性鉴定、手机数据鉴定、网络数据鉴定。比如“复旦林森浩投 毒案”，侦查机关在林森浩笔记本电脑硬盘中提取了电子数据，后经检验鉴定，认定林森 浩于2013年

12、3月31日18时许通过百度查询过“二甲基亚硝胺有味道吗”等内容；4月1日18时许至23时许，又查询过“二甲基亚硝胺中毒怎么办”、“二甲基亚硝胺怎么确诊”等内容。行为人在某时间段内浏览了某个网页， 计算机、浏览器中就会存储浏览活动信息， 这就是“用户行为”鉴定。12、关于电子数据的行业规范与行业标准国家1. GB/T?2936 7201726子物证数据恢复检验规程？2. GB/T7293672012电子物证文件一致性检验规程标准3个3. GB/T729362-72012电子物证数据搜索检验规程公共安全行业1. GA /T7754- 72008电子数据存储介质复制工具要求及检测方法?2. GA /

13、T?755- ?2008电子数据存储介质写保护设备检测方法 ？3. GA /T?756- ?2008数字化设备证据数据发现提取固定方法4. GA/T?757-?2008程序功能检验方法？5. GA/T?825-?2009电子物证数据搜索检验技术规范 ?6. GA/T?826 ?2009电子物证数据恢复检验技术规范？7. GA /T?827 ?2009电子物证文件一致性检验技术规范 ？8. GA/T?828-?2009电子物证软件功能检验技术规范？9.?GA/ T?829 ?2009电子物证软件一致性检验技术规范 ？10. GA/T?976-?2012电子数据法庭科学鉴定通用方法 ？I1.?GA

14、/T?977-2012取证与鉴定文书电子签名 ？标准22个12. GA/T?978-?2012网络游戏私服检验技术方法司法鉴定技术13. GA/T?1069?2013法庭科学电子物证手机检验技术规范 ？?14. GA/T?1070- ?2o13法庭科学计算机开关机时间检验技术规范 ？15. GA/T?1?07?2013法庭科学电子物证？Windows操作系统日志检验技术 规范?16. GA/T?1770- ?2014移动终端取证检验方法?17. GA/T?177?201?4芯片相似性比对检验方法 ？?18. GA/T?1772?2014电子邮件检验技术方法 ？?19. GA/T?17732014即时通讯记录检验技术方法 ？?20. GA/T?17742?014电子证据数据现场获取通用方法 ？?21. GA / T?1775?2014软