《论电子证据现场的取证》.docVIP

试论涉及电子证据刑事案件现场的取证 ? 郭　威 (公安大学刑事科学技术系,北京,100038) 随着信息化社会的到来,越来越多的刑事案件中涉及到电子证据。电子证据相对于传统的痕迹物证而言,其表现形式、取证方法都有其特殊性。本文主要就刑事案件现场对电子证据取证规则和取证方法进行浅议,以抛砖引玉。 1.　研究案件现场电子证据采证方法的必要性电子证据的提取与保全,应当包括两个层面:一是在原始现场对载有计算机数据的电子设备进行提取与保全;二是利用专业的电子取证系统对计算机数据(包括正常数据、被修改或隐藏的以及被删除后的残留数据等)进行提取和保全。 理论上讲,在涉及电子证据的刑事案件现场,最理想的是有计算机专业人员参与现场勘查。根据公安部办理刑事案件规程的有关规定,在涉及信息安全的案件现场,应当有当地计算机安全监察部门的人员进行现场勘查。但随着社会信息化程度的不断提高,越来越多的非涉及信息安全的犯罪,如杀人、盗窃、走私、诈骗,特别是经济领域的金融犯罪、涉税犯罪等所谓的“白领犯罪”中,计算机数据都有可能成为侦查线索和证据。目前所有刑事案件现场勘查都配备计算机专业取证人员不太现实,而专业的电子取证是一项专业性极强的技术措施。有鉴于此,根据电子证据的特性和现场取证的基本规律,为普通侦查人员探索一套在刑事案件现场对可能涉案的计算机系统等电子设备的一般处理规程就尤为重要了。 2.　涉及电子证据现场的初步处置 2. 1　初步判断现场可能包含电子证据的电子设备 现场勘查人员特别是指挥人员在进入刑事案件现场后,在确认现场安全的前提下,应当根据现场情况作出初步判断,即现场有哪些可能的传统痕迹物证,有哪些可能含有电子证据的设备。对任何可能包含电子证据的设备,如计算机系统、通讯设备及其他电子设备均应记录、提取。 2 .2　正确处置在场人员现场勘查人员在进入现场时,首先应令所有在场人员停止任何操作。因为对计算机数据,只要轻敲几下键盘或点击几下鼠标,就可能造成数据的灭失。对网吧、计算机房等人员较多的地方,应令所有人立即停止操作后,将每个人的具体上机位置记录,再请其离开现场。因为电子证据不像笔迹或声纹那样易于判断个人特征,所以一开始就确认每台机器的操作者至关重要。 涉及电子证据的案件在现场访问时,应详细了解有关电子设备的功能及其是否有特别的安全措施等,并将这些内容进行记录。如果网络管理员、计算机或其他设备的所有人不在现场,应设法尽快找到,并要求其提供所有的用户名、密码等资料。在计算机系统中,一个人常常拥有很多的密码,如开机密码、系统登陆密码、加密文件的密码、上网的密码、电子信箱的密码等。并可要求其提供相关的不在现场的有关数据的存储介质,有关软、硬件的使用说明书,驱动程序等。 3.　全面做好现场记录现场记录可将现场情况永久性保存下来。 确切记载计算机及各种存储介质、其他电子设备和传统痕迹物证的位置、状态和使用条件等,可以为日后电子证据的检验和分析提供重要信息。因此,现场记录应当贯穿于现场勘查的始终。 现场记录应当尽可能地详尽,包括各种设备的位置。例如鼠标放在计算机左侧,则操作者可能惯用左手操作。对计算机的工作状态也必须记录,如计算机系统是处于工作状态、关闭状态,还是处于休眠状态。大多数计算机有指示灯可以说明计算机的工作状态。如果计算机的指示灯未亮,应当仔细听一下是否有风扇运转的声音,来判断其是否是在工作。假如计算机确实是关闭的,感受一下主机箱及显示器的温度,可以确定计算机是否刚刚关闭。 除文字记录外,还应当对计算机系统进行拍照,特别是对计算机显示器的内容进行拍照。可能的话还应进行360°连续回转拍照。如果显示器的画面是活动的,例如某项程序正在执行,则应迅速用摄像机将其记录下来。 4.　电子证据的提取与保全 对电子证据的提取必须格外谨慎。因为对这种证据的提取不仅是对电子设备这种实物形态的证据进行提取和保全,更重要的是对计算机数据这种潜态的证据进行提取和保全。计算机数据的实质决定了这种证据具有脆弱性和不稳定性。静电、磁场、振动等都会造成数据的损毁和改变。 4. 1　对非计算机数据类证据的提取和保全 非计算机数据类证据涉及两个问题。首先,在承载计算机数据的电子设备上,可能有潜在的手印、微量物证、生物物证等传统的证据,应当在现场勘查时综合考虑。既不能忽略电子设备上的这些痕迹物证,也不要在显现、提取这些痕迹物证时对计算机数据造成损毁。例如,显现手印的一些方法通常可能对电子证据造成损害,因此应当先提取或保全计算机数据后,再进行手印显现的操作。其次,有些证据对计算机数据的提取、检验和分析至关重要,但其不表现为计算机数据。如记载了密码、操作方法或计算公式的纸张,计算机硬件和软件的说明书,相关的专业书籍,计算机打印的文档或图片等。在现场勘查时应注意提取和保全这些资料。 4. 2