论电子证据材料的收集方法谭光辉

..论电子证据材料的收集方法准考证号010413662004谭光辉【摘要】电子证据即是电子数据证据，通常是指借助电子技术或在使用电子设备过程中而形成的一切证据。作为一种新型的诉讼证据它还具有高技术性、无形性、精确性和易破坏性的特征。本文主要介绍了电子证据材料的一般和特殊两类主要的收集方法以及收集过程中应遵守的原则问题并提出了电子证据取证过程中可能面临的困难。【关键词】电子证据特征收集方法引言随着信息时代的来临，高速发展的电子技术已经应用到社会的各个领域并带来了巨大的变革，日新月异的各类诸如手机、互联网、计算机等电子产品再为人们生活带来诸多便利时，也不可避免的滋生了以特别以计算机、网络为基础的网络犯罪问题。一方面，网络犯罪愈演愈烈，给人们的生活和社会的稳定带来巨大伤害，同时，由于对网络犯罪本省的认识不足，又由于网络犯罪本身的高科技性、虚拟性等特点，往往会因为电子证据的缺乏而对网络犯罪行为的追诉不了了之。现阶段无论是国家机构、私营企业还是个人都会借助于各类电子设备处理大小事务，其中电子证据就是其在法律领域中出现的新事物。针对电子证据这一新事物,国外理论研究和立法都走在前沿,我国还处于初级探究阶段。而在对网络犯罪行为的立案、审查和追诉过程中，对于电子证据材料的手机都显得尤为重要。一、电子证据的形成和发展（一）电子证据的概念电子证据是现代信息、技术下的产物,其作为一种新的证据形式,世界各国对此存在着各种各样的表述。例如英语表述中就有：“ComputerEvidence”(计算机证据）、“DigitalEvidence”(数字证据)、、“Computer一basedEvidence”(以计算机为基础的证据)、“Computer一relatedEvidence”(与计算机有关的证据)等；而中文表述中也有不同的称谓：除了常见的“电子证据”之外,还有“计算机证据”、“网络证据”、“电子数据证据”、“网上证据”等等。对电子证据的概念表述，也有多种不同的表述形式，如西南政法大学的刘江春先生在《电子证据研究》一文中，将电子证据的概念表述为：“电子证据也称计算机证据，是指在计算机或计算机运行过程中产生的以其记录的内容来证明案件事实的电磁记录。”1湖南师范大学的成凤明先生将电子证据的概念表述为：“所谓电子证据，就是指储存在计算机或因为计算机系统运行而产生的，以数据电文的形式表现出来的用以证明案件事实的一切材料。”2上述学者对网络证据的认识有一定的共通之处，即电子证据的产生、储存盒传输都离不开信息技术、计算机技术和网络技术的支撑和电子设备的使用。因此，电子证据可以被界定为：电子证据是以电子形式存在的、用作证据使用的一切材料及其派生物；或者说，借助电子技术或电子设备而形成的一切证据。3根据电子证据的发展历程，可以把它大致分为三个阶段：一是电子通讯设备中的电子证据材料，如传统的电报、电话和传真等；二是封闭计算机系统中的电子证据，如单位内部局域网中的数据库和电子文件的交换储存以及传统电子数据交换等；三是开放计算机系统中的电子数据，主要是因特网中的电子数据交换、电子邮件往来和电子聊天记录等。（二）电子证据的特征从证据学角度出发，电子证据也是证据，和物证、书证等传统证据一样具有证据的一般特点，即客观性、关联性、合法性。同时，电子证据也具有不同于传统证据的特点。主要有:高技术性、无形性、精确性、易破坏性。1.高技术性。电子证据的产生、传输和储存必须依托于高科技的电子设备，正是由于高科技，不仅电子证据的正确储存和传输需要借助于这些现代高科技发展的产物，而且有些时候在对电子证据进行收集整理和审查判断时，也有时需要借助于高科技或者尖端手段2.无形性。电子证据的无形性首先表现在内容的内在实质上的无形性，本质上来说：电子证据是一堆计算机按编码规则处理成“0”和“1”的代码序列。其产生、储存和重现都得依赖于计算机硬盘、光盘等特定的电子介质，也不能像文字符号那样让人直接识别,这些代码或符号必须经过数字化的过程，转换成传统的文字符号以后才能对案件事实发挥证明作用。它不仅可体现为文本形式，还可以图形、图像、动画、音频及视频等多媒体形式出现。与传统证据相比，这些特征虽然使得电子证据不能直接以肉眼观察，但却丰富了其表现形式。3.精确性。电子证据伴随着电子设备的使用而产生，如果排除外界人为因素的恶意干扰和差错影响，它很少受主观因素的影响，能够实时可靠的反映事实真相,具有较高的精确性。正是以计算机这种高技术为依托，电子证据是所有证据中最具证明力的一种，一般情况下，其一经形成就会始终保持最初的原始状态，并能长期保存，随时复制，随时重现并能反复使用。4.易破坏性。电子证据需要借助特殊的存储介质来承载,如芯片、软盘、硬盘、光盘等，同时电子证据是计算机信息用二进制数据表示并以数字信号的方式存在的。一般来说，电子证据遭到破坏主要是由于两个方面的原因：一方面是人为因素，由于计算机信息数据是非连续的，人为地故意对数据进行删减、修改或者间接处理，都无法从技术方面查清；另一方面就是计算机操作人员的差错或供电系统、通信网络的故障、网络感染病毒等，以及其他技术方面的原因都会使电子证据遭到一定程度的变更或损坏。二、电子证据的收集同其他传统证据种类一样,电子证据同样是查清案件事实的前提和基础。但由于电子证据具有不同于传统证据的特性，故电子证据的收集也不同于传统证据的收集。主要体现在收集主体和收集方法有所不同。（一）电子证据的收集主体一般认为民事诉讼中的证据收集主体有三类:案件当事人、专业技术人员和人民法院;4。也有学者将电子证据收集主体分为三类:电子技术专家、网络警察和一般人员,其中一般人员又包括当事人、网络管理员等;5笔者以为，电子证据的收集主体应该有以下几种：一是诉讼各方当事人。由于诉讼各方当事人详细知晓案件的相关事实，直接接触和处理相关证据，由当事人收集相关的电子证据在内容上更直接、全面，在时间上更为及时。根据《民事诉讼法》第50条和第61条的规定,当事人及其代理律师和其他诉讼代理人有权收集证据;《刑事诉讼法》第37条,《行政诉讼法》第30条,《律师法》第30条更进一步明确了律师作为收集证据的主体。二是电子技术专家。电子技术专家指的是对电子技术尤其是对计算机、网络等知识有专攻的人员。由于电子证据自身的固有特点，一般当事人很难专业的提取、固定电子证据，特别是在对于某些已有部分损坏的电脑或其他电子设备上提取数据信息，往往某些非专业性的操作可能影响电子证据的收集或者削弱电子证据的证明力，甚至会使电子证据丧失证据资格。因而，在电子证据的收集取证工作中，电子技术专家是必不可少的。三是侦查人员或专门调查人员。根据《刑事诉讼法》第43条和第45条规定,公安机关、人民检察院及其工作人员都有权收集证据,是收集证据的主体。根据《行政诉讼法》第33条规定,在有限制条件的情况下,行政机关有权收集证据;并且对行政案件的查处,政府有关执法部门及其工作人员也有权收集证据。包括刑事案件侦查人员、人民法院指派的调查人员及行政诉讼案件中的行政管理人员。他们共同的特点是依托国家赋予的职权开展证据收集工作，目的在于有效打击违法犯罪行为和查处当事人的纠纷事实，如“网络警察”也应属于此类。四是网络服务商（InternetServiceProvider，ISP）。网络服务商是指提供通路以使使用者与因特网连线的中介服务的提供者。之所以将网络服务商也列入收集电子证据的一类主体，这是因为从我国现行关于电子证据调查取证的法律法规以及司法解释中，已有强制网络服务提供者提供记录和保存信息的规定。如我国《刑事诉讼法》第45条规定：“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”国务院颁布的《互联网信息服务管理办法》第14条也规定：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存６０日，并在国家有关机关依法查询时，予以提供。”（二）电子证据的收集方法开展电子证据的收集取证工作，有赖于收集方式和方法的合理选择。1.电子证据的一般收集方法。一般取证，是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有：（1）打印。对网络犯罪案件在文字内容上有证明意义的情况下，可以直接将有关内容打印在纸张上的方式进行取证。打印后，可以按照提取书证的方法予以保管、固定，并注明打印的时间、数据信息在计算机中的位置（如存放于那个文件夹中等），取证人员

等。如果是普通操作人员进行的打印，应当采取措施监督打印过程，防止操作人员实施修改、删除等行为。（2）拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘等取证人员所提供的存储介质中的一种方法。拷贝的目的就是防止相关信息被删改。首先，取证人员应当检验所准备的软盘、活动硬盘或光盘，确认没有病毒感染。拷贝之后，应当及时检查拷贝的质量，防止因保存方式不当等原因而导致的拷贝不成功或感染有病毒等。取证后，注明提取的时间并封闭取回。（3）拍照、摄像。如果该证据具有视听资料的证据意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像，还具有增加证明力、防止翻供的作用。（4）制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定，也是一种固定证据的方式。使用司法文书的方式可以通过权威部门对特定事实的认定作为证据，具有专门性、特定性的特点，具有较高的证明力。主要适用于对具有网络特色的证据的提取，如数字签名、电子商务等，目前在我国专门从事这种网络业务认证的中介机构尚不完善，处在建立阶段。如1998年，经\o"广东"广东省人民政府批准成立了以提供电子认证服务为主营业务的广东省电子商务认证中心，到目前为止，该中心已签发各类数字证书超过6万张，为用户在Internet网络的电子商务活动提供了安全保障。（5）查封、扣押。对于涉及案件的证据材料、物件，为了防止有关当事人进行损毁、破坏，可以采取查封、扣押的方式，将有关材料置于司法机关保管之下。可以对通过上述几种方式导出的证据进行查封、扣押，也可以对于一些已经加密的证据进行。如在侵犯商业秘密的案件查办中，公安机关依法查封、扣押了办公用具及商业资料，将硬盘从机箱里拆出，在笔录上注明“扣押X品牌X型号硬盘一块”。由于措施得当，证据提取及时，既有效地证据犯罪，也防止了商业秘密的泄露。对于已经加密的数据文件进行查封、扣押，往往需要将整个存储器从机器中拆卸出来并聘请专门人员对数据进行还原处理，这种情况下进行的查封、扣押措施必须相当审慎，以免对原用户、或其他合法客户的正常工作造成侵害，一旦硬件损坏或误操作导致数据不能读取或数据毁坏，其带来的损失将是不可估量的。（6）公证。由于电子证据极易被破坏、一旦被破还又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。2001年3月的新浪网《育儿论坛》被控刊载有损害他人名誉权的文章，\o"南京"南京市第三公证处接受申请，对新浪网页上的《育儿论坛》内容进行了保全证据公证：对操作电脑的步骤，包括电脑型号、打开电脑和进入网页的程序以及对电脑中出现的内容进行复制等全过程进行了现场监督，在现场监督和记录的同时，对现场情况进行拍照。之后，公证人员出具保全证据公证书。但是，由于公证具有高成本、低效率的特点，也不能在电子证据的获取上片面迷信公证的方式，应当根据案件的具体情况，具体决定采取上述哪种方式进行取证。2.电子证据的特殊收集方法电子证据的特殊收集方法也被称为复杂取证，就是指需要专业技术人员协助使用相关电子技术进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取，如被加密或是被人为的删改、破坏的情况下，如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括：（1）解密。所需要的证据已经被行为人设置了密码，隐藏在文件中时，就需要对密码进行解译。在找到相应的密码文件后，请专业人员选用相应的解除密码口令软件。如：用Word软件制作的密码文件，选用Word软件解译；解密后，将对案件有价值的文件，即可进行一般取证；在解密的过程中，必要的话，可以采取录象的方式。同时应当将被解密文件备份，以防止因解密中的操作使文件丢失或因病毒损坏。如：在办理一起某国际投资公司的职务犯罪案件中，侦查人员在搜查办公室时发现，其使用办公桌的抽屉和文件橱内有11

张微机软盘，怀疑盘内存有其犯罪的重要证据，取回后立即送技术科进行检验，我技术人员按要求，进行了详细检验，无病毒，并查清了这些软盘中用Word软件所制作的文件，并加入了密码，即针对所用软件采用了Advanced

Word

97

Password

Recovery

1.23软件成功的破译了其中的密码，解出了108份文件，从而掌握了其犯罪的重要书证，又扩大了办案线索，使案件深入发展。（2）恢复。数据恢复就是把遭受破坏或由硬件缺陷导致不可访问或不可获得或由于误操作等各种原因导致丢失的数据还原成正常数据,即恢复到它本来的“面目”。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，一般是较难篡改的。因此，当发生网络犯罪，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。如1997年7月底，\o"重庆"重庆市某农业大学学生处计算机办公网遭到破坏，直接影响到8月份即将开始的招生工作。侦查人员在接到报案后，及时进行了现场保护，从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程，这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的，侦查人员通过这个线索找到了源程序，破获了全案。

如果数据连同备份都被改变或删除，可以在系统所有者的协助下，通过计算机系统组织数据的链指针进入小块磁盘空间，从中发现数据备份或修改后的剩余数据，进行比较分析，恢复部分或全部的数据。另外，也可以使用一些专门的恢复性软件，如Recover98、RecoverNT

EXPD等。（3）测试。电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试（侦查实验）。主要是使用事先制作的测试文件，经测试确认软件有问题时，则由计算机专家对软件进行检查或提取固定。当然,随着科学技术的发展与对电子取证技术的深入研究,电子证据收集的方法将不断增多。三、电子证据收集的原则为了使收集到的网络证据具有可采性，尤其要注意网络证据收集的合法性，这需要对收集的程序进行相应的规制。（一）及时性原则作为能够反应案件的真实情况的证据材料都是犯罪分子作案后留下的痕迹,但随着时间的推移,这种痕迹会越来越浅,还可能因为人为因素的破坏或自然原因而消失,无法恢复,从而严重阻碍案件的侦破。所以当获取网络犯罪的相关情报时，侦查部门应尽快赶赴相关地点，及时采取保护措施，并立即着手对现场进行处置。一旦错过时机，证据可能就不复存在。（二）合法性原则主要是指在搜查、扣押过程中的程序合法，具体内容有：一是开展搜查工作前必须申请有效的搜查证件以及搜查工作开展必须先行出示搜查证件；三是搜查、扣押工作必须在法律授权的范围内进行；四是妥善处理搜查过程中收集调取的电子证据；五是对档案材料、计算机储存的个人材料，不得非法公开或扩大知晓范围；六是要对搜查、扣押工作的全过程进行详细记录。（三）全面性原则在搜查、扣押有关电子证据时必须保证证据的连续性和对电子证据的收集要特别注意扩大收集的范围,从各种细枝末节中寻找犯罪踪迹。对电子证据的收集必须突破一般证据的收集模式,特别注重无形证据的取证,如保存系统软件环境等。有时并不能立即发现所有的证据信息,因此有必要把相关的设备都固定起来,再行通过技术手段分析、寻找线索。（四）专业性原则即专业人士取证原则和利用专门技术工具取证原则。要求收集电子证据的人员必须熟悉和掌握相应的计算机、网络专业知识和专门技能。并且为了保证电子证据的证明力，在收集电子证据时应使用专门的技术和工具，而这种技术与工具，往往是与最新的科技发展紧密联系的。四、收集网络证据面临的困难网络证据与传统证据相比有很大的差异。因此在这类新证据的收集过程中便出现了传统证据收集所没有遇到的困难。（一）数据甄选困难在涉及网络证据的案件中，其犯罪事实主要表现为电子数据形式的各类计算机和网络的信息，无论是以计算机信息系统为犯罪对象,还是以计算机信息系统为犯罪工具，。比如说私自变动用户授权、私自对应用系统或数据库数据的增删改、利用电子邮件散播病毒等犯罪行为所产生、变动的包含案件事实信息的数据,都存储在计算机应用系