网络犯罪证据的提取与固定

网络犯罪证据的提取与固定

「摘要」

：电子证据所具有的无形性、多重性和易破坏性，使得络犯罪在取证上具有相当的困难，本文提出络犯罪的取证中，可以分别案件的具体情形采取一般取证或复杂取证的方式进行证据的提取和固定。

「关键词」络犯罪

电子证据

提取

固定

随着络在生活中的普及，由络而滋生的犯罪也应时而生，20XX年7月，北京发生一起通过发电子邮件冒充新浪进行诈骗的犯罪，犯罪嫌疑人向各个公司发送e－mail邮件，声称新浪引擎将实行有偿服务，并提供了汇款账户。公安干警利用这封e－mail中所提供的开户银行及账号，找到这家公司的办公地点。由于资料随发随消，电脑主机里并没有发现有关证据，案件的侦办主要通过对犯罪嫌疑人战某的审查，他承认了犯罪事实。

在这个案件的侦查中，案件本身的证据收集、提取、固定不是很理想，因为犯罪人将有关证据随发随消，这就提醒我们一个问题，对于络犯罪如何进行证据的提取和固定。

一、电子证据概述

络犯罪主要是指利用络实施的犯罪，包括传统的犯罪使用络这种形式、手段予以实施，也包括直接针对络实施的犯罪。证实络犯罪的证据统称为电子证据，电子数据证据是以数字的形式保存在计算机存储器或外部存储介质中、能够证明案件真实情况的数据或信息。包括电子合同、电子信件、电子签名等。电子证据常常和计算机证据发生混淆，实际上二者是有区别的。

计算机证据可以在两种意义上使用，一种它只不过作为生成书面证据的工具，通过计算机拟就的合同、协议最终是以书面的形式交予对方签字认可，那些书面的合同文本才是证据，这些证据根据其表现形式可以是书证、视听资料等；一种是有关的合同、协议、文件通过络发送给交易对方并得以确认，那么此时计算机作为载体保存的合同文本信息及对方的确认信息是电子证据。所以，电子证据并不等于计算机证据，计算机中保存的证据可能是电子证据，也可能不是：通过计算机的形式呈现出来的证据都可以称之为计算机证据，电子证据是互联化的证据，由于互联是以计算机为载体的，其证据则大多是通过计算机的形式输出，因此常与计算机证据在一起。

二、络犯罪取证难

电子证据除具备一般证据的客观性和合法性外，还有以下几个特点：第一，内在实质上的无形性。一切交由计算机处理的信息都必须转换为二进制的机器语言才能被计算机读懂，即无论使用何种高级语言或输入法向计算机输入信息，都必须经过数字化的过程，因此我们所谓的电子证据其实质上只是一堆按编码规则处理成的“0”和“1”，看不见摸不着，具有无形性。

第二，性质的多重性。电子证据在性质上具有多重属性，其是以内容起证明作用的，这符合书证的特点。从表现形式上，该“痕迹”是以数据的形式被存储在电脑硬盘中，似乎又是物证。电子证据又常常表现为文字、图像、声音或它们的组合，所以又具有视听资料的特点。

由此，电子证据具有了各种证据所具有的优点，它存储方便，表现丰富，可长期无损保存及随时反复重现，它不像物证一样会因周围环境的改变而改变自身的某种属性，不会像书证一样容易损毁和出现笔误，也不像证人证言一样容易被误传、误导、误记或带有主观性，电子证据一经形成便始终保持最初、最原始的状态，能够客观真实地反映事物的本来面貌。

第三，易破坏性。与其他证据相比，电子证据又是最为脆弱的，最容易受到破坏的一类证据。当有人为因素的或技术的障碍介入时，电子证据极容易被篡改、伪造、破坏或毁灭，电子数据或信息是以“比特”的形式存在的，是非连续的，数据或信息被人为地篡改后，如果没有可资对照的副本、映像文件则难以查清、难以判断。非故意的行为主要有误操作、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃、突然断电等等，这些都是危害数据安全、影响数据真实性的原因。

所以，电子证据的内容具有更大的不稳定性，稍纵即逝，有时就是一个简单的键盘操作，甚至将电源一拔，证据就灭失了。

鉴于以上特点，对于络犯罪的取证有如下问题：

1、技术上难以证明其唯一性。从证据的角度来说，所有的证据都要证明它的唯一性。比如指纹，DNA，作为唯一的证据有定罪的作用。但络世界中，电子数据证据的数据和信息是电讯号代码（如0-1的组合）形式，存储在计算机各级存储介质（如RAM、磁带、磁盘、光盘）中，这些数据和信息，均为一二进制电磁代码，不可直接读取，是无形物质。要保存下来，必须进行一系列的能量转换，使之固定在各级计算机存储介质等电子化的物质载体里。但是，目前从数字技术来说，所有的数字记录都很难说明它的唯一性，比如这打印出来的文件，但是是否是存储在介质中的资料，是否进行了修改，在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链，认定犯罪事实。

2、法律上难以取得合法地位。我国《刑事诉讼法》第五章第42条明确规定：“证明案件真实情况的一切事实，都是证据”。同时规定证据有七种形式，即物证、书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定采取录象的方式。同时应当将被解密文件备份，以防止因解密中的操作使文件丢失或因病毒损坏。如：在办理一起某国际投资公司的职务犯罪案件中，侦查人员在搜查办公室时发现，其使用办公桌的抽屉和文件橱内有11

张微机软盘，怀疑盘内存有其犯罪的重要证据，取回后立即送技术科进行检验，我技术人员按要求，进行了详细检验，无病毒，并查清了这些软盘中用Word软件所制作的文件，并加入了密码，即针对所用软件采用了Advanced

Word

97

Password

Recovery

软件成功的破译了其中的密码，解出了108份文件，从而掌握了其犯罪的重要书证，又扩大了办案线索，使案件深入发展。

2、恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，一般是较难篡改的。因此，当发生络犯罪，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。如1997年7月底，重庆市某农业大学学生处计算机办公遭到破坏，直接影响到8月份即将开始的招生工作。侦查人员在接到报案后，及时进行了现场保护，从络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程，这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的，侦查人员通过这个线索找到了源程序，破获了全案。

如果数据连同备份都被改变或删除，可以在系统所有者的协助下，通过计算机系统组织数据的链指针进入小块磁盘空间，从中发现数据备份或修改后的剩余数据，进行比较分析，恢复部分或全部的数据。另外，也可以使用一些专门的恢复性软件，如Recover98、RecoverNT

EXPD等。

3、测试