第24卷第1期 佛山科学技术学院学报(社会科学版) No.1Vol.24

2006年1月JournalofFoshanUniversity(SocialScienceEdition)Jan.2006

浅论电子取证彭文华,徐继超(佛山科学技术学院法律系,广东佛山528000)摘　要:电子取证是指在刑事诉讼中针对网络犯罪进行调查、收集、提取证据的过程。电子取证的要求是:不要对原始数据进行直接分析;分析数据的信息网络系统及其辅助的设备必须安全、可靠;分析前对数据进行数字签名;对数据获取过程进行详细、具体的描述,并归档、保存。电子取证的方法包括:数字鉴定法;数据检查法;数据对比法;数据保护法;数据分析法;证据抽取法。以动态取证为主、以静态取证为辅、动静结合的取证方法将是未来电子取证的发展方向。关键词:网络;网络犯罪;电子证据;电子取证中图分类号:D915.13 文献标识码:A 文章编号:10082018X

(2006)

0120070205

收稿日期:2005205209

作者简介:彭文华(19722),男,江西新建人,佛山科学技术学院副教授。

信息时代刑事法学领域最热门的话题莫过于网络犯罪,无论是在实体法上还是在程序法上,它与普通犯罪都有着截然不同的特征。一、信息时代的网络犯罪的危害及其特征网络犯罪,是指利用信息网络技术针对信息网络或者借助于信息网络实施的,严重危害社会的行为。网络犯罪作为信息时代出现的、人们所熟知的一种新型犯罪,并非信息时代特有。直到计算机网络技术和互联网产生后,才使网络犯罪发生了质的飞跃。互联网的广泛使用以及在互联网上实施犯罪的简捷、便利和隐秘,促成了网络犯罪的急速增长,使其在各种犯罪中所占的比例大幅度攀升,成为影响国家安全和社会稳定的一大隐患。根据美国“计算机紧急事件反映小组”(CERT󰃗CC)的统计资料显示,2001年全球发生的重大计算机安全事件为52658起,比2000年的21756起翻了一倍多,是1999年的五倍多。[1]23另据有关资料显示,每年因信息网络违法犯罪所造成的损失成倍增长,由最初的几亿、几十亿美元增加到现在的数百、上千亿美元。据有关资料介绍,仅西方八国集团每年因网络犯罪所造成的损失就高达420亿美元。[2]2实践中,

网络犯罪的例子也比比皆是。如1991年1月,我国某银行微机操作员盗取密押软件,利用计算机联行的有利条件,将186万美元转出境外据为己有。[3]8作为高技术、高智能犯罪,网络犯罪往往风险小、成本低,但犯罪的成功率、回报率却很高,社会危害巨大。据国外专家统计,犯罪分子通过银行信息系统进行盗窃的犯罪,平均每次可得赃款25万美元,被破获得可能性只有2%。[4]73针对网络侵犯财产犯罪的简便、快捷及数额巨大,有人将之形象地比喻为“用电子束搬走金山”,双手一敲,黄金万两。据报道,全球每年仅金融领域的网络犯罪所造成的损失就高达数百亿美元,美国《未来学家》杂志的一篇文章预言,到21世纪,将有数万亿美元被电脑空间里的罪犯窃为己有,且大部分是在无人觉察的情况下被偷走的。[5]108由于网络犯罪属于技术型,对信息网络技术的依赖性较强,没有相当网络专业技术水平的人,即使想从事网络犯罪,也是不可能的。这就决定了网络犯罪的行为人都是掌握有一定程度的信息网络技术的专业人士,如程序设计师、信息网络操作人员、维修人员、系统管理员、大学信息网络技术专业的学生或毕业生等。他们利用其丰富的个人信息网络技术,根据信息网络系统只认符号、口令不认人的特点,借助四通八达、无所不在的信息网络体系,对信息网络系统及各种无线电频率、电磁场、电子数据、资料等信息发动攻击,进行破坏,从而对社会造成严重的危害。与一般的犯罪相比,网络犯罪有着两个显著的特点:1.犯罪的隐蔽性强,极难发现我们知道,一般的犯罪都会在犯罪现场多少留下一些蛛丝马迹,而利用信息通讯技术针对或者借助于信息网络实施的网络犯罪则不同。由于网络的“电子化”和“虚拟化”的特点,我们在日常生活中所能看见和听见的图像、色彩、声音等,在网上全部变成数字0和1的终端显现或者电磁、声波等,甚至人也是以某一符号或代码在活动,从而变的符号化和电子化。网络犯罪的行为人正是通过对声波、电磁波、程序、数据等信息的操作来实现犯罪目的,其作案的目标也往往是无形的频率、磁场、电子数据和程序等,而对无线电发射装置、硬件、信息载体等有形物体并不造成任何损害。而且,由于电脑等信息工具处理的资料数量非常庞大,难以人工进行检查,犯罪证据又多存于信息记录器如程序、数据等无形信息中,不仅便于行为人携带,也容易更改或销毁,几乎不留下任何痕迹。因此,网络犯罪具有很强的隐蔽性,往往难以发现。2.犯罪的超时空性网络犯罪的超时空性表现在犯罪场所的随意性和时间的瞬间性上。在空间上,只要有一台无线电发射器或联网电脑,就可以被犯罪分子携带到自己想去的任何地点扰乱、攻击、侵入无线广播网络、计算机网络等信息网络,不受什么约束。在时间上,网络犯罪行为的实施,可以通过按几下按钮、敲打几下键盘、点击几下鼠标而瞬间完成,至于通过向计算机系统输入病毒、设置“逻辑炸弹”或者篡改计算机程序等实施的犯罪,连作案时间也难以判断。如此变幻莫测的作案场所和速战速决、琢磨不定的作案时间,即使是侦察人员能够获知准确情报,难以确定地点乃至无反应时间。

二、电子取证的困惑习惯上,人们将证实网络犯罪的所有证据统称为电子证据,把在刑事诉讼中针对网络犯罪进行调查、收集、提取电子证据的过程称为电子取证。由于对计算机等信息网络犯罪进行取证本身和取证过程的许多要求都有别于传统物证和取证方法,这对司法和信息网络科学领域提出了新的研究课题,也引起了国际社会的关注。2001年6月18222日,在法国图鲁兹城召开的为期五天的第十三届全球FIRST(ForumofIncidentResponseandSecurityTeams)年会上,入侵后的系统恢复和分析取证成

为此次大会的主要议题,这是国际社会第一次就电子取证领域中的问题进行集中研究和深入探讨。此后,作为信息网络领域和法学领域的一门交叉科学——电子取证(ComputerForensics)

逐渐成为人们

研究与关注的焦点。受网络犯罪的影响,电子取证本身也引发了一系列的问题,主要表现在三个方面:

1.电子取证对象难由于取证的对象是网络犯罪。如前所述,网络犯罪具有超时空性、隐蔽性强等特点,而且,使得电子证据变得无影无形,极难发现。电子证据兼具多重特性(文字、图象、声音、打印成为书面形式等),

极容易被篡改、伪造、破坏、毁灭,不宜保存,从而决定了电子取证比普通取证要难的多。2.电子取证的技术难由于网络犯罪本身属于技术性很强的犯罪,对技术的要求非常高,这无疑对司法人员提出了巨大挑战。司法实践中要求每个司法人员都掌握网络技术本来就是不可能的,实际上,真正掌握网络技术的司法人员是极少数的。隔行如隔山,没有专业技术,要想顺利进行电子取证其难度可想而知。3.电子取证程序难例如,在通过电信线路调查连在一起的不确定

17第1期 彭文华等:浅论电子取证的计算机系统的数目时,极易因调查而阅览网络系统中公民储存的信息,从而构成对公民隐私权的侵犯,这在公民隐私权越来越受到重视的今天,是无论如何也难以被人们所接受的。又如在证据收取方面,由于现代信息网络技术的复杂性,在进入数据处理系统的通道上还面临着许多特殊问题,虽说有时可以通过信息网络技术培训得到部分解决,但毕竟在很多时候会遇到麻烦。特别是对某些人来说,因个人的需要与爱好而特意安装特殊的安全软件,这些安全软件通常能阻止那些未经许可的收集信息行为的进行,在这种情况下若没有安装安全软件人的协助,一般是难以完成证据收集的。此时,公民的配合就显得非常重要了,这就引发了另一个重要的诉讼程序问题,即证明责任归属的冲突。众所周知,刑事诉讼的一个基本原则是公民有沉默权,收集证据证明犯罪的证明责任是由控诉方承担的,由公民配合收集证据则必然引发证明责任转由公民承担,从而引发证明责任归属上的矛盾。有鉴于此,很多西方国家法律特别规定法律系统包括两个法律工具,这两个工具被用来达到必要的合作以便收集和提取计算机环境中的证据:交出合法占有的财物作为证据和证明的责任。[6]210目前,我国刑法第285条、第286条、第287条对有关计算机犯罪的定罪量刑作出了规定,而刑事诉讼法对计算机证据的相关要求并没有专门规定,致使针对普通犯罪所规定取证程序根本不能适应网络犯罪的需要。而司法实践中对网络犯罪的证据采用方法通常都比较简单,这种简单的证据获取方法已经难以对付日益复杂的网络犯罪。因此,制定并完善电子取证的法律、法规,规范电子取证的要求和方法,是信息时代网络犯罪产生和发展的必然结果。三、电子取证的程序特点电子证据具有自身特殊的技术要求。由于计算机数据容易被篡改、伪造、删除,并且往往不留下任何痕迹,故人们对计算机数据的证明力有很大的怀疑,这给采用计算机数据作为证据造成了很大的障碍。为了使收集到的电子数据能成为证据,我们必须根据电子技术本身的特点,运用技术手段保证其在生成、储存、及传递的过程中保持原始性、完整性、合法性和关联性,这就是电子证据的技术性主要要求。通常来说,在进行电子取证时要遵循下列技术要求:

1.不直接对数据进行技术分析,保证数据的原始性由于犯罪证据的采用及证明效力一般都要求具有原始性,若是传闻证据,不但在采用时颇费周折,其证明效力也会大打折扣,加之考虑到电子证据的特殊性及对高技术的要求。因此,在进行电子证据时,应当尽量保证在不破坏原始介质的前提下,对所获取的数据进行分析,进而提取有效的证据。为了做到这一点,最好在进行电子证据分析之前,对原始数据进行拷贝,然后再对其加以分析。2.在对电子证据进行分析时,必须确保用以分析证据的信息网络系统及其辅助设备的绝对安全、可靠由于对电子证据进行分析时带有极强的技术特点,故在证据分析过程中,在手段和方法上对网络技术的依赖性必不可少,而且被用于进行数字分析的信息网络系统及其辅助设备也必须绝对安全、可信,才能保证技术上的完美、无瑕疵,确保数字分析结果的真实性。从这一点来看,保证用以分析证据的信息网络系统及其辅助设备的绝对安全、可靠是证据,如果不能保证分析数据的信息网络系统及其辅助设备安全、可靠,那么由此收集的证据分也就难以作为认定犯罪事实的根据了。3.分析前对数据进行数字签名鉴于网络数据很容易被更改、破坏,为了保证获取的数据的原始性和真实性,对原始的数据进行数据签名是有必要的,这样可以对分析前和分析后的数字进行对比,避免人为的改动所获取的数据,

确保证据的真实性。4.对数据获取过程进行详细、具体的归档,并妥善保存为了保证数据收集、获取及采证的连续性,就应该对受破坏的计算机系统的原始状态、周围环境、分析时采用的方法、具体操作、产生的结果、分析的结果进行详细描述并归档,注明有关人员的姓名、操作时间、地点等,保证数据在收集直至采证的整个过程中不被删除、篡改,使证据保持合理性和合法性。[7]P42243