移動終端取證原則(Mobile terminal forensics principle)是指在訴訟過程中,有法定取證資格的取證主體運用符合取證規範的取證工具和技術方法,發現、提取和檢驗手機及其相關設備並從中獲得訴訟證據和案件線索時需要遵循的原則。
基本介紹
- 中文名:移動終端取證原則
- 外文名:Mobile terminal forensics principle
簡介,手機取證原則,取證合法原則,取證及時原則,取證備份原則,環境安全原則,證據保管流轉鏈原則,
簡介
手機取證原則是取證工作的標準要求,指導取證工作各環節,使取證工作達到一定的程度,符合一定的標準。由於手機證據屬於證據的範疇,因此手機證據也必須具備證據的客觀性、合法性、關聯性這三個基本屬性。在取證的過程中,取證人員必須要解決的是手機證據的客觀性和合法性。由於手機取證和計算機取證具有天然的相似性,有著很近的血緣關係,因此計算機取證中保持證據客觀性、合法性的原則可供在此借鑑[1]。
《針對數字證據的建議標準》提出了一組適用於計算機數字取證的原則:
- 在獲取電子證據時,所有的操作都不能改變原有數據。
- 當一個人需要獲取原始電子證據時,這個人必須在取證方面經過合適的培訓。
- 所有與扣押、獲取、存儲和轉移電子證據有關的活動都必須完全一記錄,並予以保存以備複查。
- 一個人必須對他在占有電子證據時對電子證據採取的所有行動負責。
- 任何代理人在負責獲取、訪問、存儲、轉移電子證據時也必須依從這些原則。
我國學者許榕生針對計算機取證提出了如下原則:
- 儘早收集證據,並保證其沒有受到任何破壞。
- 必須保證“證據連續性”,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。
- 整個檢查、取證過程必須是受到監督的,也就是說,由原告委派的專家所做的所有調查取證工作都應該受到由其他方委派的專家的監督。
上述兩組原則的目的都是為了保證發現、固定和提取計算機中電子證據的正確性和適當性,進而保證電子證據在其整個生存周期中的合法性和客觀性。對證據的適當操作一直是司法程式採信證據中至關重要的一環,不同類型的調查可能套用不同的標準。基於對以上計算機取證原則的吸收和借鑑,筆者認為,為了確保手機取證的科學可靠性和合法性,針對手機取證應當遵循如下五個貫穿於整個取證過程的原則。
手機取證原則
取證合法原則
取證合法原則本是傳統證據學理論中調查取證堅持的基本原則,也是證據合法性的前提條件,在手機取證中同樣需要強調取證合法原則。首先,取證主體必須具有法定的許可權和資格。取證人員必須是經過有關部門認可的,並且經過技術培訓,只有這樣的工作人員才能懂得如何進行取證以及取證過程中應當注意的問題等,保證取證工作合法、順利進行。其次,取證程式必須合法。在取證過程中必須按照法定的程式開展工作並簽署必要的法律文書,不允許在法定程式之外活動,否則取證的結果將不被法律認可,最終也不會被法庭採信。最後,取證的工具必須合法。取證過程中所使用的技術手段和軟硬體工具必須符合法律規定的標準,只有這樣才能保證手機證據從收集到分析的合法性。某些不符合法定標準的取證軟體在取證的過程中可能會改變甚至損壞手機載體中的數據,有的取證軟體還可能含有竊取信息的病毒,有可能造成信息的失竊。
取證及時原則
手機取證若干問題研究及時收集證據原則是訴訟中一條基本原則,訴訟對證明標準的要求較高,所以在訴訟中為了防止證據的毀損和滅失特彆強調證據收集的及時性。'手機取證必須要迅速、及時,具有很高的時效性要求。這一原則主要基於以下考慮首先,由於手機中保存的數據天然地具有脆弱性,極容易受外界環境的干擾而改變其次,手機記憶體容量相對於計算機來講要小得多,其記憶體數據動態更新很快,尤其是當手機處於沒有任何禁止措施的網路空間中時,新進入的呼叫或信息會覆蓋掉手機中現存或已刪除的呼叫或信息記錄再次,手機被發現時的電量情況一般情況下是不易查明的,其續航能力不易估計,同時由於手機型號的多樣性和接口的不統一,對手機電池及時充電也有一定的難度,一旦電池電量耗盡導致手機自動關機會給取證工作增加很大的麻煩。最後,網路供應商處保存的某些手機用戶數據是周期性更新的,如果不能及時在網路數據更新之前獲得數據,那么該數據將會被系統自動覆蓋。以上因素決定了手機證據從形成到獲取之間間隔的時間越長,被更改、覆蓋或毀壞的可能性就越大。因此,應當儘早、及時地採取適當的取證措施,如不對手機中的證據及時進行固定和提取,則可能直接導致取證的失敗。
取證備份原則
對含有電子證據的手機及其配套存儲載體必須在見證人的見證下運用符合法律規定的工具和方法進行逐比特備份,至少應製成兩個副本',其中的一個副本予以封存供將來可能的復檢,另一個副本可以用於手機取證人員進行電子證據的提取和檢驗。這樣做是為了保證電子證據的原始完整性和客觀性,如果以後對取證結果有疑問需要進行司法鑑定,可以取出封存的副本進行相關的鑑定活動。對於不具備備份條件的數據載體,必須慎重處理。
環境安全原則
手機證據中有一大部分屬於電子證據,是存儲在電磁介質上的,在電磁介質受到高磁場、高溫、灰塵、積壓、潮濕、腐蝕性化學試劑等的影響時容易發生改變或丟失。因此手機數據載體應妥善保存,在提取、運輸、保存、分析和檢驗的過程中必須避免上述因素對手機數據載體的影響。在包裝手機數據載體時要注意不能用包裝普通物證的塑膠袋,而應該儘量用紙袋等不易產生靜電的材料,以防止靜電消磁。。與計算機相比,手機的一個特殊之處在於其存在著無線通信網路收發裝置,在無線通信網路服務區內,只要處於正常開機狀態,它就會不斷地與無線通信網路進行信息互動,這會導致手機記憶體數據的變更。因此在手機取證環境安全原則中,最重要的一點就是從對手機的提取開始到對其記憶體做完整備份之前,必須斷絕手機與無線通信網路的信息互動,以保持其存儲內容的原始完整性,避免因為數據交換而破壞手機內的重要線索和證據。
證據保管流轉鏈原則
即從手機被確定為取證對象起,就必須建立證據保管流轉鏈的記錄,該一記錄應當連續記下從發現或獲得手機數據載體到取證結束的整個過程中,所有與該手機數據載體取證相關的活動。包括取證活動中數據載體收集、運輸和保存的方法,取證操作的步驟,數據採集和檢驗的方法,使用的工具以及生成證據報告的方式。`應當採取適當的方法,例如筆錄、拍照、錄像等,必須保證該記錄的準確性和連續性,不允許有任何環節的缺失。在計算機取證中有學者提出為了避免證據被人為篡改,設定一名專門的證據保管人,負責保管證據,取證人員現場獲取證據之後,交給保管人保管,取證人員需要對證據進行檢驗時再向保管人進行出庫和入庫登記,目的是為了加強相互之間的監督和制約。筆者認為這一做法值得商榷。為了保證證據在取證過程中不被人為篡改和毀滅,筆者認為完全可以採用更簡便的做法,只要使取證人員之間能夠進行相互制約即可,例如在證據保管箱上用兩把鎖,只有兩名取證人員同時到場並共同在保管記錄上籤名後方能開啟取出,並在檢驗的時候進行全程錄像就可以起到制約作用。也就是說只要證據保管流轉鏈能夠客觀連續地記下證據在不同人之間流轉的過程以及相關人員對手機所做的操作,相關人員能夠在保管流轉鏈上籤名並對其行為負責,那就足以保證證據的客觀原始性。而另外設定專門的證據保管人員,不僅使取證過程中接觸證據的人員變得複雜化,增加了證據外泄的可能性,不利於過程的控制,而且會造成人力物力的浪費。
以上五個原則的貫徹執行可以使手機證據從發現到取證完成出具報告的整個過程中都能夠保持其合法性和客觀性,手機證據能夠經得起法庭質證的嚴格考驗。