電子取證流程與基本原則 如何電子取證
電子取證流程與基本原則
電子證據(jù),是指在計算機(jī)或計算機(jī)系統(tǒng)運行過程中產(chǎn)生的,以其記錄內(nèi)容來證明案件事實的電磁記錄物。隨著科學(xué)技術(shù)的不斷發(fā)展,社會信息化的程度不斷加深,檢察機(jī)關(guān)在業(yè)務(wù)開展過程中涉及電子證據(jù)的案件越來越多,以計算機(jī)及信息網(wǎng)絡(luò)為依托的電子數(shù)據(jù)在證明案件事實過程中的作用也日益凸顯。
由于電子證據(jù)本身具有的無形性、多態(tài)性、脆弱性、系統(tǒng)依賴性和易被篡改等特性,任何人為因素或外力造成的對電子數(shù)據(jù)的修改、刪除、覆蓋都難以分辨,因此,與傳統(tǒng)證據(jù)的取證規(guī)則、取證方式相比,電子證據(jù)需要通過特定的技術(shù)手段進(jìn)行分析和獲取,在電子證據(jù)的取證過程中應(yīng)當(dāng)特別注意規(guī)范取證流程,遵循基本的取證原則和方法。
一、電子取證的操作流程
(1)受理案件
調(diào)查機(jī)關(guān)在受理案件時,要詳細(xì)記錄案情,全面地了解潛在的與案件事實相關(guān)的電子證據(jù)材料,如涉案的計算機(jī)系統(tǒng)、打印機(jī)等電子設(shè)備的情況,包括系統(tǒng)日志、IP地址、網(wǎng)絡(luò)運行狀態(tài)、日常設(shè)備軟件使用情況、受害方和犯罪嫌疑人的信息技術(shù)水平等。
(2)保護(hù)涉案現(xiàn)場
取證人員進(jìn)入現(xiàn)場后,應(yīng)迅速封鎖整個計算機(jī)區(qū)域,將人、機(jī)、物品之間進(jìn)行物理隔離;保護(hù)目標(biāo)計算機(jī)系統(tǒng),及時維持計算機(jī)網(wǎng)絡(luò)運行狀態(tài),保護(hù)諸如移動硬盤、U盤、光盤、打印機(jī)、錄音機(jī)、數(shù)碼相機(jī)等相關(guān)電子設(shè)備,查看各類設(shè)備連接及使用情況,在操作過程中要避免任何更改系統(tǒng)設(shè)置、硬件損壞、數(shù)據(jù)破壞或病毒感染等情況的.發(fā)生,以免破壞電子證據(jù)的客觀性或造成證據(jù)的丟失。
(3)收集電子證據(jù)
由于電子證據(jù)的脆弱性,在證據(jù)收集過程中,應(yīng)當(dāng)由調(diào)查人員或是聘請的司法鑒定專家檢查硬件設(shè)備,切斷可能存在的其他輸入、輸出設(shè)備,保證計算機(jī)儲存的信息在取證過程中不被修改或損毀。之后對原始存儲介質(zhì)進(jìn)行備份,在備份過程中,應(yīng)當(dāng)使用安全只讀接口,使用寫保護(hù)技術(shù)進(jìn)行操作,備份結(jié)束后檢查備份文件是否與原文件一致,注意在此過程中需要進(jìn)行全程錄像并要求有第三方現(xiàn)場見證,以保證電子證據(jù)的客觀真實性。
(4)固定和保管電子證據(jù)
在對計算機(jī)中的資料和數(shù)據(jù)進(jìn)行備份過程后,應(yīng)當(dāng)及時記錄各設(shè)備的基本信息、備份的時間、地點、數(shù)據(jù)來源、提取過程、使用方法、備份人及見證人名單并簽名。在存儲電子證據(jù)時,必須按照科學(xué)方法保全,要遠(yuǎn)離磁場、高溫、灰塵、潮濕、靜電環(huán)境,避免造成電磁介質(zhì)數(shù)據(jù)丟失,防止破壞重要的線索和證據(jù)。還要注意防磁,特別是使用安裝了無線電通訊設(shè)備的交通工具運送電子證據(jù)時,要關(guān)掉車上的無線設(shè)備,以免其工作時產(chǎn)生的電磁場破壞計算機(jī)及軟盤、磁帶等存儲的數(shù)據(jù)。
(5)分析電子證據(jù)
在電子證據(jù)分析階段,應(yīng)當(dāng)使用相應(yīng)的備份數(shù)據(jù)進(jìn)行非破壞性分析,即通過一定的數(shù)據(jù)恢復(fù)方法將嫌疑人所刪除、修改、隱藏和加密的證據(jù)進(jìn)行盡可能的恢復(fù),在恢復(fù)出來的文件資料中分析查找相關(guān)線索和證據(jù)。同時,詳細(xì)記錄數(shù)據(jù)恢復(fù)方法、操作步驟、操作時間、地點、人員信息等內(nèi)容,以使證據(jù)經(jīng)得起法庭的質(zhì)證。
(6)歸檔電子證據(jù)
應(yīng)及時整理取證與分析鑒定的結(jié)果并進(jìn)行分類歸檔保存,主要包括證據(jù)收集時,對涉案電子設(shè)備的檢查結(jié)果,即調(diào)查時間、地點、硬盤分區(qū)情況、操作系統(tǒng)版本、設(shè)備運行狀態(tài)等;取證分析階段,設(shè)備備份完整性、用戶系統(tǒng)信息、日常軟件操作情況以及對電子證據(jù)的分析結(jié)果和評估報告等相關(guān)信息。讓偵查人員、鑒定人員、檢察官在需要查看證據(jù)時,可以迅速的找到并了解相關(guān)證據(jù)資料。
二、電子取證的基本原則
(1)依法取證原則
1、主體合法,電子證據(jù)的取證與司法鑒定主體必須具備法定的取證與司法鑒定資格,只有具備合法的調(diào)查取證與司法鑒定身份,才能執(zhí)行相應(yīng)的取證與司法鑒定活動。2、對象合法,在調(diào)查取證過程中,對于與案件事實無關(guān)的數(shù)據(jù),不能進(jìn)行任意地取證,以免侵犯了所有人的隱私權(quán)等合法權(quán)益。3、手段合法,要求取證人員符合技術(shù)操作規(guī)范,取證所使用的工具和程序必須通過國家有關(guān)主管部門的評測。4、過程合法,要保證備份數(shù)據(jù)與源文件一致;在不改變數(shù)據(jù)的前提下對其進(jìn)行分析;要利用傳統(tǒng)的音視頻采集工具,對取證過程進(jìn)行全程記錄,保證證據(jù)連續(xù)性;要有兩個合法的取證人員同時在場取證;整個取證和鑒定過程必須主動接受監(jiān)督。
(2)無損取證原則
1、為了防止由于對涉案設(shè)備、系統(tǒng)的操作而損毀某些電子證據(jù),造成證據(jù)收集不充分,在電子取證的過程中,不能對涉案設(shè)備、系統(tǒng)進(jìn)行任何修改操作,以維護(hù)涉案設(shè)備、運行環(huán)境等全部信息的完整狀態(tài)。在數(shù)據(jù)分析階段,必須先通過只讀鎖對原始數(shù)據(jù)進(jìn)行鏡像拷貝,然后再對拷貝數(shù)據(jù)進(jìn)行分析,以保證電子證據(jù)的客觀性。2、電子證據(jù)的實質(zhì)是存儲在電磁介質(zhì)中的電磁信息,如果受到外界磁場影響,有可能被消磁而損壞原始數(shù)據(jù),因此,對于收集到的電子證據(jù)應(yīng)妥善保管,采取遠(yuǎn)離高磁場、高溫環(huán)境、避免靜電、潮濕、灰塵和擠壓等措施,以保證電子證據(jù)的完整性。
(3)全面取證原則
在電子取證與鑒定過程中,應(yīng)該盡可能地全面調(diào)查取證,認(rèn)真分析電子證據(jù)的來源并進(jìn)行全方位、多角度的取證和分析,在確保證據(jù)與案件事實關(guān)聯(lián)的基礎(chǔ)上,將獲得的所有電子證據(jù)結(jié)合案件的其他證據(jù),相互印證,排除矛盾的電子證據(jù),最終形成完整的證據(jù)鏈條。
(4)及時取證原則
電子證據(jù)一般是在操作系統(tǒng)運行過程中自動、實時生成,系統(tǒng)經(jīng)過一段時間的運行,很可能會造成信息系統(tǒng)的變化,如網(wǎng)絡(luò)的審核記錄、系統(tǒng)日志、進(jìn)程通信信息都會或多或少產(chǎn)生變化,這些數(shù)據(jù)信息則不再能夠如實反映案件事實。因而電子證據(jù)具有一定的時效性,在確定取證對象之后,應(yīng)該盡早收集證據(jù),保證相關(guān)電子數(shù)據(jù)沒有受到任何破壞或損失,維持其與案件事實的關(guān)聯(lián)性。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 yyfangchan@163.com (舉報時請帶上具體的網(wǎng)址) 舉報,一經(jīng)查實,本站將立刻刪除