電子取證涉及計算機科學和法學中的行為證據分析以及法律領域,這是一個新興領域,交叉領域和前沿領域.研究的內容是電子數字證據各方面內容的技術細節,分析任何形式電子數字證據的通用方法,對犯罪行為和動機提供一個綜合特定技術知識和常用科學方法的系統化分析方法
基本介紹
- 中文名:電子取證法研究
- 涉及學科:計算機科學和法學
- 技術手段:證據分析手段
- 涉及領域:法律另據和通信領域
電子取證法學研究
目前,在國外取證部門中,包括我國取證的技術套用,主要集中在磁碟分析上,如磁碟映像複製,被刪除數據恢復和查找等工具軟體開發研製和套用,其他工作依賴於取證專家人工完成,當然也造成了電子取證等同於磁碟分析軟體的錯覺.但隨著取證領域的不斷擴大,取證工具將向著專業化和自動化的方向發展,在未來的幾年裡取證技術發展和取證工具的開發將會結合人工智慧,機器學習,神經網路和數據挖掘技術等,具有更多的信息分析和自動證據發現的功能,以代替目前大部分的人工操作.同時取證技術也將充分套用實時系統,反向工程技術,軟體水印技術,使用更加安全的作業系統等技術.
1.1.5 計算機取證與司法鑑定的證據效力和法律地位
1.電子數據的證據效力
電子數據的證據效力是指保證證據的客觀性.在目前實際受理案件的過程中,電子數據一般需要通過司法鑑定才能成為訴訟的直接證據,在辦理涉及電子數據的案件時,需要對提取的電子數據進行檢驗分析,找出電子數據與案件事實的客觀聯繫,從而確定電子數據的真實性和可信性.電子數據能否作為證據 目前各個國家都持肯定態度.鑒於我國有關法律規定:"證明案件真實情況的一切事實,都是證據",我國法律也賦予電子數據證據地位.
電子數據的認定和採信:電子數據的採信涉及何種證據能夠進入訴訟程式或者其他證明活動的問題.我國學界的主流意見是,電子數據必須經過關聯性,合法性與真實性的 檢驗,才能作為定案的根據.電子數據的採信要求遵循非歧視原則和"先歸類,後認定"原則.
為保證電子證據的證據能力,首先要將電子證據轉換為法定證據形式.中國現行的刑事訴訟法法定的證據方法分成七類,即物證與書證,證人證言,被告人供述,被害人陳述與辯解,鑑定結論,勘驗報告和視聽材料.在實際套用中,通常可以將電子證據轉換為書證,鑑定結論,勘驗報告和視聽材料四種證據方法,建議在進行轉換時可以依循以下原則進行轉換.
(1)需要認定信息的存在性時應當以勘驗報告的形式提供數位化證據.比如在存儲媒介中存放淫穢電影,可以通過現場勘驗,檢查生成勘驗報告,在勘驗報告中指明通過勘驗證實在存儲媒介中存儲有多少數量的電影.簡單地說,勘驗報告在電子數據取證過程中發揮的作用主要是證實嫌疑人的主機上存儲有什麼內容.
(2)需要通過分析才能形成結論時應當以鑑定結論的形式提供數位化證據.比如需要通過證據分析證明系統入侵案的攻擊者是誰,或者需要通過證據分析證明嫌疑人編輯過某個文檔,或者需要通過跟蹤分析證實某個木馬的功能或來源,這些都是需要通過分析才能夠得到結論,因此一般都需要以鑑定結論的形式提供數位化證據.這時候,電子數據本身可以作為鑑定結論的附屬檔案形式提交.
(3)需要展示電子數據表達的內容時應當將這些內容轉換為書證和視聽材料.比如需要展示電子文檔中的內容時可以將這些內容列印出來,由證人或者嫌疑人在這些內容上籤字形成書證材料,以電子檔案形式存儲的視聽材料也應當直接以視聽材料的形式提供作為證據,用戶在網站上的登錄日誌也可以轉換為書證.
2.電子數據的證據力
證據力是指證據的合法性.這就要求證據提取,形成過程依循規定程式.取證人員在實際工作中應依照規則實施調查取證,以保證數位化證據的證據力.為了保證電子數據的證據力,應當從以下幾個方面加以保證:
(1)電子證據的原始性.原始性的證明可通過自認方式,證人具結方式,推定方式和鑑定方式.
(2)電子數據的完整性.完整性是考察電子數據證明力的一個特殊指標,完整性有兩層含義:一是電子數據本身的完整性;二是電子數據所依賴的計算機系統的完整性.電子數據完整性是指在現場採集獲得的數據沒有被篡改,這可通過對數據計算完整性校驗碼或者對原始證物封存加以保證.
(3)技術手段的科學性.也就是要求在實施電子數據勘驗,檢查時使用的軟硬體以及相應的勘驗,檢查流程符合科學原理.要求使用正版軟體,要求取證時使用的軟硬體經過科學方法的檢測,也要求勘驗,檢查流程能夠經得起現實的考驗.
(4)勘驗,檢查人員操作的可再現特性.為了保證數位化證據的真實性和完整性,這就要求勘驗,檢查人員對數位化證據實施的操作應當是可再現的,也就是應當對勘驗,檢查人員對數位化證據的提取,處理,存儲,運輸過程有詳細的審計記錄.
3.電子數據的證明力
保證證明力就是要保證證據與待證事實之間的關聯性,也就是證據與結論之間是否符合邏輯.
(1)證據分析原理的科學性和邏輯性.也就是對電子證據事實分析所依賴的軟硬體,技術原理符合科學原理,並且能夠經受事實的考驗.要求從證據到結論這一過程符合邏輯,這是推斷證據運用是否科學的重要依據.
(2)分析過程的可再現特性.也就是指根據相同的分析原理,在相同的數位化證據集合上進行分析,任何人只要依循相同的分析規則都能夠得到相同的結論.在實際操作中,這一方面要求數位化證據鑑定人員應當對直接的分析過程提供詳細的審計記錄,另一方面要求任何其他人根據其提供的審計記錄實施相同的操作能夠得到相同的分析結論.檢驗的結果是否具有穩定不變的特性,是證據科學的首要原則.
1.1.6 計算機取證與司法鑑定的特點
計算機取證與司法鑑定是一門法學與計算機科學緊密結合的邊緣科學,交叉科學和新興科學.從2001年數位化證據研究工作組(DigitalforensicResearch Workshop,DFRWS)提出:"數位化法證科學是基於科學原理以及經過科學實踐檢驗的方法,保存,收集,證實,發現,分析,解釋,記錄和顯示數位化設備中存儲的數位化證據,以幫助或進一步重構犯罪事件,預先發現惡意的或者有計畫的非授權行為"開始,人們便對計算機司法鑑定的法學和科學原理開展了初步的研究,這是電子證據學研究的一個真正的開端.
(1)計算機取證與司法鑑定必須依託於科學原理以及經過科學實踐檢驗的方法.這就要求我們使用的工具,分析原理是科學的,經過實踐檢驗的.具體到分析工具而言,就要求使用的電子數據固定,分析工具本身經過實踐檢驗,使用的技術原理符合科學原理和法律要求.
(2)計算機取證與司法鑑定包含發現,收集,固定,提取,分析,解釋,證實,記錄和描述電子設備中存儲的電子數據等多個步驟.計算機取證與司法鑑定過程是多個環節構成的技術體系.
(3)計算機取證與司法鑑定的目的是發現案件線索,認定案件事實的科學.發現案件線索是指通過分析電子數據,發現有助於確定和拓展調查方向的數據.認定案件事實指通過電子數據分析,出具認定案件主體,客體,主觀方面和客觀方面的分析結論.從本質上講鑑定的目的是認定案件事實和重構犯罪,但是在具體實踐中,計算機司法鑑定技術也經常被用於發現案件線索,因此將發現案件線索也納入到這一定義中.
目前,在國外取證部門中,包括我國取證的技術套用,主要集中在磁碟分析上,如磁碟映像複製,被刪除數據恢復和查找等工具軟體開發研製和套用,其他工作依賴於取證專家人工完成,當然也造成了電子取證等同於磁碟分析軟體的錯覺.但隨著取證領域的不斷擴大,取證工具將向著專業化和自動化的方向發展,在未來的幾年裡取證技術發展和取證工具的開發將會結合人工智慧,機器學習,神經網路和數據挖掘技術等,具有更多的信息分析和自動證據發現的功能,以代替目前大部分的人工操作.同時取證技術也將充分套用實時系統,反向工程技術,軟體水印技術,使用更加安全的作業系統等技術.
1.1.5 計算機取證與司法鑑定的證據效力和法律地位
1.電子數據的證據效力
電子數據的證據效力是指保證證據的客觀性.在目前實際受理案件的過程中,電子數據一般需要通過司法鑑定才能成為訴訟的直接證據,在辦理涉及電子數據的案件時,需要對提取的電子數據進行檢驗分析,找出電子數據與案件事實的客觀聯繫,從而確定電子數據的真實性和可信性.電子數據能否作為證據 目前各個國家都持肯定態度.鑒於我國有關法律規定:"證明案件真實情況的一切事實,都是證據",我國法律也賦予電子數據證據地位.
電子數據的認定和採信:電子數據的採信涉及何種證據能夠進入訴訟程式或者其他證明活動的問題.我國學界的主流意見是,電子數據必須經過關聯性,合法性與真實性的 檢驗,才能作為定案的根據.電子數據的採信要求遵循非歧視原則和"先歸類,後認定"原則.
為保證電子證據的證據能力,首先要將電子證據轉換為法定證據形式.中國現行的刑事訴訟法法定的證據方法分成七類,即物證與書證,證人證言,被告人供述,被害人陳述與辯解,鑑定結論,勘驗報告和視聽材料.在實際套用中,通常可以將電子證據轉換為書證,鑑定結論,勘驗報告和視聽材料四種證據方法,建議在進行轉換時可以依循以下原則進行轉換.
(1)需要認定信息的存在性時應當以勘驗報告的形式提供數位化證據.比如在存儲媒介中存放淫穢電影,可以通過現場勘驗,檢查生成勘驗報告,在勘驗報告中指明通過勘驗證實在存儲媒介中存儲有多少數量的電影.簡單地說,勘驗報告在電子數據取證過程中發揮的作用主要是證實嫌疑人的主機上存儲有什麼內容.
(2)需要通過分析才能形成結論時應當以鑑定結論的形式提供數位化證據.比如需要通過證據分析證明系統入侵案的攻擊者是誰,或者需要通過證據分析證明嫌疑人編輯過某個文檔,或者需要通過跟蹤分析證實某個木馬的功能或來源,這些都是需要通過分析才能夠得到結論,因此一般都需要以鑑定結論的形式提供數位化證據.這時候,電子數據本身可以作為鑑定結論的附屬檔案形式提交.
(3)需要展示電子數據表達的內容時應當將這些內容轉換為書證和視聽材料.比如需要展示電子文檔中的內容時可以將這些內容列印出來,由證人或者嫌疑人在這些內容上籤字形成書證材料,以電子檔案形式存儲的視聽材料也應當直接以視聽材料的形式提供作為證據,用戶在網站上的登錄日誌也可以轉換為書證.
2.電子數據的證據力
證據力是指證據的合法性.這就要求證據提取,形成過程依循規定程式.取證人員在實際工作中應依照規則實施調查取證,以保證數位化證據的證據力.為了保證電子數據的證據力,應當從以下幾個方面加以保證:
(1)電子證據的原始性.原始性的證明可通過自認方式,證人具結方式,推定方式和鑑定方式.
(2)電子數據的完整性.完整性是考察電子數據證明力的一個特殊指標,完整性有兩層含義:一是電子數據本身的完整性;二是電子數據所依賴的計算機系統的完整性.電子數據完整性是指在現場採集獲得的數據沒有被篡改,這可通過對數據計算完整性校驗碼或者對原始證物封存加以保證.
(3)技術手段的科學性.也就是要求在實施電子數據勘驗,檢查時使用的軟硬體以及相應的勘驗,檢查流程符合科學原理.要求使用正版軟體,要求取證時使用的軟硬體經過科學方法的檢測,也要求勘驗,檢查流程能夠經得起現實的考驗.
(4)勘驗,檢查人員操作的可再現特性.為了保證數位化證據的真實性和完整性,這就要求勘驗,檢查人員對數位化證據實施的操作應當是可再現的,也就是應當對勘驗,檢查人員對數位化證據的提取,處理,存儲,運輸過程有詳細的審計記錄.
3.電子數據的證明力
保證證明力就是要保證證據與待證事實之間的關聯性,也就是證據與結論之間是否符合邏輯.
(1)證據分析原理的科學性和邏輯性.也就是對電子證據事實分析所依賴的軟硬體,技術原理符合科學原理,並且能夠經受事實的考驗.要求從證據到結論這一過程符合邏輯,這是推斷證據運用是否科學的重要依據.
(2)分析過程的可再現特性.也就是指根據相同的分析原理,在相同的數位化證據集合上進行分析,任何人只要依循相同的分析規則都能夠得到相同的結論.在實際操作中,這一方面要求數位化證據鑑定人員應當對直接的分析過程提供詳細的審計記錄,另一方面要求任何其他人根據其提供的審計記錄實施相同的操作能夠得到相同的分析結論.檢驗的結果是否具有穩定不變的特性,是證據科學的首要原則.
1.1.6 計算機取證與司法鑑定的特點
計算機取證與司法鑑定是一門法學與計算機科學緊密結合的邊緣科學,交叉科學和新興科學.從2001年數位化證據研究工作組(DigitalforensicResearch Workshop,DFRWS)提出:"數位化法證科學是基於科學原理以及經過科學實踐檢驗的方法,保存,收集,證實,發現,分析,解釋,記錄和顯示數位化設備中存儲的數位化證據,以幫助或進一步重構犯罪事件,預先發現惡意的或者有計畫的非授權行為"開始,人們便對計算機司法鑑定的法學和科學原理開展了初步的研究,這是電子證據學研究的一個真正的開端.
(1)計算機取證與司法鑑定必須依託於科學原理以及經過科學實踐檢驗的方法.這就要求我們使用的工具,分析原理是科學的,經過實踐檢驗的.具體到分析工具而言,就要求使用的電子數據固定,分析工具本身經過實踐檢驗,使用的技術原理符合科學原理和法律要求.
(2)計算機取證與司法鑑定包含發現,收集,固定,提取,分析,解釋,證實,記錄和描述電子設備中存儲的電子數據等多個步驟.計算機取證與司法鑑定過程是多個環節構成的技術體系.
(3)計算機取證與司法鑑定的目的是發現案件線索,認定案件事實的科學.發現案件線索是指通過分析電子數據,發現有助於確定和拓展調查方向的數據.認定案件事實指通過電子數據分析,出具認定案件主體,客體,主觀方面和客觀方面的分析結論.從本質上講鑑定的目的是認定案件事實和重構犯罪,但是在具體實踐中,計算機司法鑑定技術也經常被用於發現案件線索,因此將發現案件線索也納入到這一定義中.
