鑑定內容
同一性鑑定
每台計算機都有區別於其他計算機的特徵,生成的證據也可能會留有計算機的特徵,比如上網用戶有其唯一的IP位址和網卡地址,WORD文檔中保存有計算機的用戶名、檔案的存放位置、最後一次列印時間以及編輯所持續的時間等,列印件所用的印表機、列印頭、墨盒、粉盒和紙張也可能呈現某種特徵。計算機使用者也有其區別於他人的不同習慣,比如漢字打字所用的輸入法、錯別字的規律.編寫程式的風格等。
事實有無的鑑定
軟體、數據的性質決定了某種違法事實是否存在,如“有害數據”和“有害信息”的認定.著作權保護和軟體保護中侵權行為的認定,電腦程式是否危害計算機信息系統運行和功能發揮的認定等。就我國刑法規定而言,非法入侵的認定,需要鑑定有無網路入侵行為,主要是通過入侵工具的認定、IP位址和電話號碼,伺服器日誌的分析等在時間上形成完整的證據鏈。我國刑法對破壞計算機信息系統行為處罰標準是“後果嚴重”或“後果特別嚴重”,有些國家的法律,對未遂的破壞行為也要處罰.對可能產生破壞的工具的鑑定就顯得重要。
對於軟體性質的鑑定,可能會產生爭議,有時需要區分“菜刀與匕首”,1999年重慶杜某編制了YAl程式,通過軟碟和Internet傳播,主要以郵件附屬檔案的形式傳遞.在沒有特殊現象、毫無徵兆的情況下.能夠快速侵入系統。作者將YAl比作菜刀,菜刀的主要功能是切菜.使用不當,偶爾也會傷到手指,但用它去殺人,就不是造刀人的初衷了。我們誠然相信,作者的初衷並非是製造肆意傳播的病毒,也不是為黑客提供入侵他人系統的工具,而是軟體開發中的疏漏。但必須明確的一點是:如同真理跨過一步就是謬誤一樣,帶有缺陷的軟體也會造成如病毒般的危害,作者理應承擔責任。對於破壞性的認定,從信息安全的角度看,是要保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露保障計算機系統能連續正常運行。在司法實踐中.一些人故意在程式中加入邏輯控制,設定時間鎖,在一定條件下停止軟體的某些功能,破壞了系統的正常運行,應當認定是破壞性程式。危害信息系統數據可靠性、完整性和保密性的程式都應當認定為破壞性程式。
事實程度的鑑定
對於利用計算機實施金融詐欺、盜竊、貪污、挪用公款的案件.損失認定比較直接,容易量化,但我國刑法對破壞計算機信息系統行為處罰標準是“後果嚴重”和“後果特別嚴重”,對這類案件的認定,尤其是`’後果嚴重”和“後果特別嚴重”的認定,是目前司法實踐中最為困惑的問題,能否量化和如何量化要得到公、檢、法各方認可有一定難度,導致許多案件難以處罰,需要有關部門制定出可操作性的相應標準或司法解釋。比如法醫鑑定中的傷害有衛生部制定的標準,盜竊罪數額認定有最高人民法院、最高人民檢察院`公安部關於盜竊罪數額認定標準問題的規定。有一種情況是.作為信息安全的技術措施,重要的信息系統往往有數據備份,在遭受破壞後,可能比較容易恢復,損失該如何認定,有人認為數據恢復後就沒有損失.使得作案者逃避了打擊,筆者認為,從保護信息系統安全和打擊犯罪行為的角度考慮,應以不恢復狀態所造成的損失來認定。
電子證據的鑑定是一個分析和提取過程.通過物理分析和邏輯分析,查找相關數據,提取、分析和認定。在網路入侵和網路破壞案件中.常常需要對路由信息進行分析,從受害機器反查,尋找攻擊者主要依據網路伺服器上的日誌檔案:系統登錄檔案、套用登錄檔案、防火牆登錄;檔案備份、電話記錄等等,從而分析整個網路活動記錄給予認定。由於通信數據量非常大,必須藉助專用分析工具進行。
基本程式
電子證據鑑定作為司法鑑定的一種類型,應當遵循一定的流程。法務部2007年公布實施的《司法鑑定程式通則》中分別專章規定了“司法鑑定的委託與受理”、“司法鑑定的實施”和“司法鑑定文書的出具”,從巨觀上指導司法鑑定工作的開展。《公安機關電子數據鑑定規則》中也對“鑑定的委託”、“鑑定的受理”、“鑑定程式”、“鑑定文書”等內容設專章予以規定。從我國目前電子證據鑑定的實踐來看,我國的電子證據鑑定也遵循了上述基本程式。
委託受理
電子證據鑑定從鑑定的委託開始。電子證據鑑定委託由電子證據鑑定機構統一受理,委託人(泛指委託主體,包括單位和個人,下同)需要進行電子證據鑑定的,應當先填寫《電子證據委託鑑定書》並提交鑑定所需資料,如證明委託人身份的有效證件、委託鑑定的檢材以及其他相關資料。《電子證據委託鑑定書》中的記載事項主要包括委託人、送檢人及其聯繫方式、委託時間等;案件或者事件的簡要說明;委託鑑定檢材清單;鑑定目的和鑑定要求等。上述事項要儘量明確詳細的填寫,尤其是委託鑑定檢材清單,應當詳細描述送檢材料的來源、名稱、類型、數量、品牌、型號、序列號、固定封存狀態、特徵等信息,以便鑑定機構進行審查。如果委託鑑定的檢材是電子證據原件,委託人應當提供相關接受、收集、調取或扣押電子證據原件的工作記錄及其封存記錄;如果委託人使用過委託鑑定的電子證據原件,還應提供相應的電子證據使用記錄;如果委託鑑定的檢材是電子證據原件的複製件,委託人還應當提供有關複製件製作的工作記錄。如果委託單位提交的檢材未採取封存措施或相關記錄文檔不全,也應當在檢材清單中註明。
鑑定機構接到電子證據鑑定委託後,首先應當進行審查。審查的內容包括以下幾個方面:
委託主體和有關手續是否符合相關要求。公安機關電子數據鑑定機構可以受理公安機關、人民法院、人民檢察院、司法行政機關、國家安全機關、其他行政執法機關、軍隊保衛部門、紀檢監察部門,以及仲裁機構委託的電子數據鑑定。必要時,經公安機關電子數據鑑定機構主要負責人批准,可以受理律師事務所委託的電子數據鑑定。但是一般不受理當事人委託的電子證據鑑定。法務部門批准成立的電子證據鑑定機構一般面向社會接受電子證據鑑定委託。
審查鑑定目的和鑑定要求是否明確、是否符合鑑定範圍。電子證據鑑定必須有明確的鑑定要求,而且委託人提出的鑑定要求應當在鑑定機構承擔的電子證據鑑定範圍內,如果不屬於該電子證據鑑定機構的鑑定範圍,或者是該機構的技術、設備、人員條件不能滿足鑑定要求的,鑑定機構不應受理該鑑定。
核對送檢材料的情況是否與委託鑑定檢材清單記載的情況相符。對於委託鑑定檢材清單中描述的送檢材料的來源、名稱、類型、數量、品牌、型號、序列號、固定封存狀態、特徵等信息要逐一認真核對,確保委託鑑定檢材清單的記載事項和受理的檢材的實際情況一致。如果是已經封存的送檢材料,應當核對電子證據封存清單記載的內容與檢材封存狀況是否一致。必要時,可以要求委託方啟封核實;對送檢的電子證據原件的複製件,如果鑑定機構認為有必要驗證的,可以要求委託人提供電子證據的原件。
審查送檢電子證據的相關記錄是否齊全、內容是否完整一致。例如檢材是電子證據原件,鑑定機構應當對委託人提供的相關接受、收集、調取或扣押電子證據原件的工作記錄及其封存和使用記錄進行審查。如果檢材存在未採取封存措施等情況,或相關記錄文檔不全,應當在檢材清單中註明。
初步審查送檢材料是否具備鑑定條件。對於檢材不具備電子證據鑑定條件的,不應受理。最後,如有必要,可以聽取送檢人介紹有關案情。
對於符合受理條件的,應當受理。電子證據鑑定機構受理電子證據鑑定委託後應當填寫委託受理登記表,並向委託單位或者委託人提供該表的複印件。對於不符合受理條件的,可以不予受理。結合《公安機關電子數據鑑定規則》中對不予受理幾種情形的規定和電子證據司法實踐,筆者認為,面向社會的電子證據鑑定機構對於電子證據鑑定委託不予受理的情形主要有以下幾種:
違反國家法律、法規的;
違反鑑定委託程式要求的;
超出鑑定範圍的;
檢材與案件或者事件無關的;
檢材來源虛假或者不可靠的;
檢材不具備鑑定條件的;
已經委託其他電子證據鑑定機構正在進行鑑定的;
技術、人員等條件不能滿足鑑定要求的;
其他不應受理或者無法受理的情形。
對於不符合受理條件,決定不予受理的,應當退回鑑定材料並以書面形式向委託人說明理由。鑑定機構收到檢材後應噹噹場密封,由送檢人、接受人在密封材料上籤名或者蓋章,並製作封存和使用記錄。
實施鑑定
電子證據鑑定應該遵循相關的程式規範和操作規則。電子證據鑑定應當由兩名以上鑑定人員參加。必要時,可以指派或者聘請具有專門知識的其他人員在鑑定人員的主持下協助鑑定。電子證據鑑定應該在規定的時間內完成並出具鑑定文書。具體的電子證據鑑定實施過程可能因不同的鑑定業務和鑑定要求而有很大差別,但是對於其中一些共性的要求和做法應當抽象出來通過法律予以規範。比如鑑定人受理鑑定後,可以在熟悉案情的基礎上進一步明確鑑定要求,並進行初步鑑定,根據初步鑑定擬定詳細的鑑定方案,確定具體的鑑定方法和步驟。鑑定人員應當採取技術措施,在鑑定的各環節都應當對檢材嚴格、安全保管,防止檢材在保管、使用、移送等環節出現損毀、丟失、數據改變等影響訴訟活動進行的問題。如果檢材是存儲介質或含有存儲介質的設備,鑑定人員應當按操作規範製作兩個或者兩個以上的檢材複製件,對複製件必須進行校驗保證複製件與原始數據的一致性,同時製作複製工作記錄。複製件製作完畢後應當立即密封檢材,由指定的兩名以上鑑定人員在密封材料上籤名或者蓋章並製作或填寫封存和使用記錄。製作複製件時應當要求委託人或者送檢人到場作為見證人,並在密封材料上籤名或者蓋章,委託人或者送檢人因故缺席的,應當說明理由並在封存和使用記錄上註明。必要時,可對復件製作過程進行全程錄像。如果檢材具有無線通訊功能,鑑定人員應當在禁止環境下進行操作,防止檢材受外界影響造成內部數據的改變。電子證據鑑定機構應當採取技術措施,保證分析過程中對原始存儲媒介和電子設備中的數據不作修改。電子證據鑑定的檢驗分析過程一般在檢材複製件上進行,對於無法進行複製的檢材,或者因特殊原因,檢驗分析過程需要使用原始存儲媒介和電子設備的,檢驗分析應當在唯讀狀態下進行,並製作《原始證據封存和使用記錄》。如果檢驗分析可能對原始存儲媒介和電子設備中的數據進行修改的,電子數據鑑定機構應當在《原始證據使用、封存記錄》上註明。鑑定機構在鑑定過程中製作的封存和使用記錄複印件應交委託人存檔備查。
出具鑑定文書
鑑定結束後,鑑定人員應當針對鑑定要求,得出鑑定結論或者鑑定意見並製作《電子證據鑑定書》,《電子證據鑑定書》應符合鑑定書製作的相應規範和要求。鑑定結論是我國訴訟法中明確規定的證據形式之一,在訴訟中起著十分重要的作用。但是鑑定機構出具的鑑定文書中只寫明鑑定結論是不夠的。《最高人民法院關於民事訴訟證據的若干規定》第29條規定:“審判人員對鑑定人出具的鑑定書,應當審查是否具有下列內容:
委託人姓名或者名稱、委託鑑定的內容;
委託鑑定的材料;
鑑定的依據及使用的科學技術手段;
對鑑定過程的說明
明確的鑑定結論;
對鑑定人鑑定資格的說明;
鑑定人員及鑑定機構簽名蓋章。
為了便於質證和認證,電子證據鑑定書的內容應該客觀全面,對證據提取、證據分析、綜合評判等每個程式都要詳細地記錄。筆者認為,《電子證據鑑定書》應該包括以下內容:
鑑定要求。包括委託單位、送檢人、送檢時間、案由、鑑定要求等基本信息。
鑑定工作環境。包括使用的設備、工作環境與系統、使用的軟體等。
對於待鑑定材料的確認。包括待檢材料的來源、名稱、數量、類型、品牌、型號、序列號、固定封存狀態等信息,待鑑定材料的確認信息應該與《受理鑑定檢材清單》中記錄的信息相印證。
鑑定實施過程及分析、論證。包括電子證據鑑定的具體實施過程、分析電子數據、描述分析過程、分析方法、分析生成數據的含義、論證等諸多內容。
鑑定結論或者鑑定意見。根據電子數據分析結果,結合委託鑑定要求,如果能夠做出明確的鑑定結論,那么《電子證據鑑定書》中應該寫明鑑定結論;如果因鑑定條件不足或者其他原因無法做出明確結論的,《電子證據鑑定書》也應載明,不能在條件不足的情況下主觀臆斷做出結論。
附屬檔案。附屬檔案主要有兩種形式,一是文本附屬檔案,二是以電子證據形式提交的附屬檔案。對於能夠轉換為書面檔案並可直觀理解的數據必須儘量轉換為書面檔案,作為鑑定書的文本附屬檔案,不宜轉換為書面檔案或者無法直觀理解的數據可以以電子證據的形式,使用安全可靠的存儲介質保存並作為鑑定書的附屬檔案之一提交。
《電子證據鑑定書》中應包含以下附屬檔案:
鑑定機構資質和鑑定人資質證明;
《電子證據委託鑑定登記表》複印件及相關材料;
《電子證據鑑定受理登記表》;
鑑定過程中形成的工作記錄;
封存和使用記錄;
電子證據鑑定中檢材複製全程錄像;
鑑定過程中生成的圖片、文檔、圖表等書面及其他材料;
獨立的監管系統生產的審計報告;
電子證據鑑定結果清單;
電子證據鑑定結果及鑑定書中引用的電子證據文檔的存儲介質;
電子證據鑑定結果轉換清單;
其他應當附加的材料等。
《電子證據鑑定書》除了在內容上需要滿足上述基本要求外,其形式也需要滿足特定的要求。《電子證據鑑定書》必須由鑑定人員製作,電子證據鑑定書應當按鑑定文書格式的要求製作並列印成正式文書。至少由兩名以上電子證據鑑定人在末頁上籤名,有專業技術職稱的應當註明技術職稱,並在檢驗鑑定書的首頁文號處加蓋“鑑定專用章”。
返還送檢物品
鑑定結束後,電子證據鑑定機構應當將委託人提供的檢材及其相關資料退還委託人,並將《電子證據鑑定書》與鑑定過程中製作的各種封存、使用和工作記錄的複印件一併交給委託人存檔備查。對原已封存的原始存儲媒介和電子設備,在退還時應當重新封存,並填寫《封存電子證據清單》鑑定結束後,電子證據鑑定機構認為檢材有研究價值,需要留做資料的,應當徵得委託人同意並商定留用的時限和應當承擔的保管、銷毀責任。
任何電子證據鑑定業務都應該遵循這一基本流程。而在實際的電子證據鑑定業務中,往往需要更加具體的鑑定流程模型來指導和規範相應的鑑定工作。
特點
電子證據鑑定的特點有:
需要檢驗鑑定的客體發展變化快,電子證據是以存儲介質記錄的內容來為案件提供相關的證據,但從物理性質上講,隨著科技的發展,涉及的存儲介質也越來越多,這樣,為圍繞該類證據的提取,檢驗鑑定也在不斷提出新的要求。
電子證據所涉及的物證與傳統物證相比,具有形式多樣、介質依賴、易破壞、時限性強的特點,鑒於電子證據的特點,電子證據檢驗鑑定不僅僅要重視結果的準確性和正確性,更加重要的因素是檢驗鑑定的程式必須符合相關的程式。
電子證據的檢驗鑑定必須由具有鑑定資格的專門技術人員進行,電子證據檢驗鑑定是司法鑑定的技術種類中一種,因此,圍繞司法鑑定開展的全部活動應該遵循國家關於司法鑑定的相關規定。
電子證據的檢驗鑑定必須使用具有科學依據的專門儀器和技術手段進行。根據電子證據的特點,檢驗鑑定工作離不開專門的技術設備,而且,這樣的設備必須具備相關資質和資證,否則,所開展的檢驗鑑定工作也是沒有根據的。