電子取證流程與基本原則

　　電子證據(jù)，是指在計算機(jī)或計算機(jī)系統(tǒng)運行過程中產(chǎn)生的，以其記錄內(nèi)容來證明案件事實的電磁記錄物。隨著科學(xué)技術(shù)的不斷發(fā)展，社會信息化的程度不斷加深，檢察機(jī)關(guān)在業(yè)務(wù)開展過程中涉及電子證據(jù)的案件越來越多，以計算機(jī)及信息網(wǎng)絡(luò)為依托的電子數(shù)據(jù)在證明案件事實過程中的作用也日益凸顯。

　　由于電子證據(jù)本身具有的無形性、多態(tài)性、脆弱性、系統(tǒng)依賴性和易被篡改等特性，任何人為因素或外力造成的對電子數(shù)據(jù)的修改、刪除、覆蓋都難以分辨，因此，與傳統(tǒng)證據(jù)的取證規(guī)則、取證方式相比，電子證據(jù)需要通過特定的技術(shù)手段進(jìn)行分析和獲取，在電子證據(jù)的取證過程中應(yīng)當(dāng)特別注意規(guī)范取證流程，遵循基本的取證原則和方法。

　　一、電子取證的操作流程

　　(1)受理案件

　　調(diào)查機(jī)關(guān)在受理案件時，要詳細(xì)記錄案情，全面地了解潛在的與案件事實相關(guān)的電子證據(jù)材料，如涉案的計算機(jī)系統(tǒng)、打印機(jī)等電子設(shè)備的情況，包括系統(tǒng)日志、IP地址、網(wǎng)絡(luò)運行狀態(tài)、日常設(shè)備軟件使用情況、受害方和犯罪嫌疑人的信息技術(shù)水平等。

　　(2)保護(hù)涉案現(xiàn)場

　　取證人員進(jìn)入現(xiàn)場后，應(yīng)迅速封鎖整個計算機(jī)區(qū)域，將人、機(jī)、物品之間進(jìn)行物理隔離;保護(hù)目標(biāo)計算機(jī)系統(tǒng)，及時維持計算機(jī)網(wǎng)絡(luò)運行狀態(tài)，保護(hù)諸如移動硬盤、U盤、光盤、打印機(jī)、錄音機(jī)、數(shù)碼相機(jī)等相關(guān)電子設(shè)備，查看各類設(shè)備連接及使用情況，在操作過程中要避免任何更改系統(tǒng)設(shè)置、硬件損壞、數(shù)據(jù)破壞或病毒感染等情況的.發(fā)生，以免破壞電子證據(jù)的客觀性或造成證據(jù)的丟失。

　　(3)收集電子證據(jù)

　　由于電子證據(jù)的脆弱性，在證據(jù)收集過程中，應(yīng)當(dāng)由調(diào)查人員或是聘請的司法鑒定專家檢查硬件設(shè)備，切斷可能存在的其他輸入、輸出設(shè)備，保證計算機(jī)儲存的信息在取證過程中不被修改或損毀。之后對原始存儲介質(zhì)進(jìn)行備份，在備份過程中，應(yīng)當(dāng)使用安全只讀接口，使用寫保護(hù)技術(shù)進(jìn)行操作，備份結(jié)束后檢查備份文件是否與原文件一致，注意在此過程中需要進(jìn)行全程錄像并要求有第三方現(xiàn)場見證，以保證電子證據(jù)的客觀真實性。

　　(4)固定和保管電子證據(jù)

　　在對計算機(jī)中的資料和數(shù)據(jù)進(jìn)行備份過程后，應(yīng)當(dāng)及時記錄各設(shè)備的基本信息、備份的時間、地點、數(shù)據(jù)來源、提取過程、使用方法、備份人及見證人名單并簽名。在存儲電子證據(jù)時，必須按照科學(xué)方法保全，要遠(yuǎn)離磁場、高溫、灰塵、潮濕、靜電環(huán)境，避免造成電磁介質(zhì)數(shù)據(jù)丟失，防止破壞重要的線索和證據(jù)。還要注意防磁，特別是使用安裝了無線電通訊設(shè)備的交通工具運送電子證據(jù)時，要關(guān)掉車上的無線設(shè)備，以免其工作時產(chǎn)生的電磁場破壞計算機(jī)及軟盤、磁帶等存儲的數(shù)據(jù)。

　　(5)分析電子證據(jù)

　　在電子證據(jù)分析階段，應(yīng)當(dāng)使用相應(yīng)的備份數(shù)據(jù)進(jìn)行非破壞性分析，即通過一定的數(shù)據(jù)恢復(fù)方法將嫌疑人所刪除、修改、隱藏和加密的證據(jù)進(jìn)行盡可能的恢復(fù)，在恢復(fù)出來的文件資料中分析查找相關(guān)線索和證據(jù)。同時，詳細(xì)記錄數(shù)據(jù)恢復(fù)方法、操作步驟、操作時間、地點、人員信息等內(nèi)容，以使證據(jù)經(jīng)得起法庭的質(zhì)證。

　　(6)歸檔電子證據(jù)

　　應(yīng)及時整理取證與分析鑒定的結(jié)果并進(jìn)行分類歸檔保存，主要包括證據(jù)收集時，對涉案電子設(shè)備的檢查結(jié)果，即調(diào)查時間、地點、硬盤分區(qū)情況、操作系統(tǒng)版本、設(shè)備運行狀態(tài)等;取證分析階段，設(shè)備備份完整性、用戶系統(tǒng)信息、日常軟件操作情況以及對電子證據(jù)的分析結(jié)果和評估報告等相關(guān)信息。讓偵查人員、鑒定人員、檢察官在需要查看證據(jù)時，可以迅速的找到并了解相關(guān)證據(jù)資料。

　　二、電子取證的基本原則

　　(1)依法取證原則

　　1、主體合法，電子證據(jù)的取證與司法鑒定主體必須具備法定的取證與司法鑒定資格，只有具備合法的調(diào)查取證與司法鑒定身份，才能執(zhí)行相應(yīng)的取證與司法鑒定活動。2、對象合法，在調(diào)查取證過程中，對于與案件事實無關(guān)的數(shù)據(jù)，不能進(jìn)行任意地取證，以免侵犯了所有人的隱私權(quán)等合法權(quán)益。3、手段合法，要求取證人員符合技術(shù)操作規(guī)范，取證所使用的工具和程序必須通過國家有關(guān)主管部門的評測。4、過程合法，要保證備份數(shù)據(jù)與源文件一致;在不改變數(shù)據(jù)的前提下對其進(jìn)行分析;要利用傳統(tǒng)的音視頻采集工具，對取證過程進(jìn)行全程記錄，保證證據(jù)連續(xù)性;要有兩個合法的取證人員同時在場取證;整個取證和鑒定過程必須主動接受監(jiān)督。

　　(2)無損取證原則

　　1、為了防止由于對涉案設(shè)備、系統(tǒng)的操作而損毀某些電子證據(jù)，造成證據(jù)收集不充分，在電子取證的過程中，不能對涉案設(shè)備、系統(tǒng)進(jìn)行任何修改操作，以維護(hù)涉案設(shè)備、運行環(huán)境等全部信息的完整狀態(tài)。在數(shù)據(jù)分析階段，必須先通過只讀鎖對原始數(shù)據(jù)進(jìn)行鏡像拷貝，然后再對拷貝數(shù)據(jù)進(jìn)行分析，以保證電子證據(jù)的客觀性。2、電子證據(jù)的實質(zhì)是存儲在電磁介質(zhì)中的電磁信息，如果受到外界磁場影響，有可能被消磁而損壞原始數(shù)據(jù)，因此，對于收集到的電子證據(jù)應(yīng)妥善保管，采取遠(yuǎn)離高磁場、高溫環(huán)境、避免靜電、潮濕、灰塵和擠壓等措施，以保證電子證據(jù)的完整性。

　　(3)全面取證原則

　　在電子取證與鑒定過程中，應(yīng)該盡可能地全面調(diào)查取證，認(rèn)真分析電子證據(jù)的來源并進(jìn)行全方位、多角度的取證和分析，在確保證據(jù)與案件事實關(guān)聯(lián)的基礎(chǔ)上，將獲得的所有電子證據(jù)結(jié)合案件的其他證據(jù)，相互印證，排除矛盾的電子證據(jù)，最終形成完整的證據(jù)鏈條。

　　(4)及時取證原則

　　電子證據(jù)一般是在操作系統(tǒng)運行過程中自動、實時生成，系統(tǒng)經(jīng)過一段時間的運行，很可能會造成信息系統(tǒng)的變化，如網(wǎng)絡(luò)的審核記錄、系統(tǒng)日志、進(jìn)程通信信息都會或多或少產(chǎn)生變化，這些數(shù)據(jù)信息則不再能夠如實反映案件事實。因而電子證據(jù)具有一定的時效性，在確定取證對象之后，應(yīng)該盡早收集證據(jù)，保證相關(guān)電子數(shù)據(jù)沒有受到任何破壞或損失，維持其與案件事實的關(guān)聯(lián)性。