证据视角下的计算机取证过程分析

王骄

（华东政法大学，上海 200042）

证据视角下的计算机取证过程分析

王骄

（华东政法大学，上海 200042）

计算机犯罪在对人们生活产生影响的同时，也改变着司法实践案件调查取证的方法。由于目前我国对计算机取证的法律法规尚未健全，侦查人员不规范的取证行为直接影响计算机证据的法庭认可。通过指出现存问题，从证据视角分析计算机取证的特点及法律要求，为今后法律法规的进一步健全、计算机取证工作的规范化提供参考。

计算机取证；证据；合法性；过程分析

计算机技术的迅速发展改变了人们的生活方式，但也为违法犯罪分子提供了新的犯罪空间和手段。以计算机信息系统为犯罪对象和工具的各类新型犯罪活动，如电子商务纠纷、网络著作权纠纷、网络恐怖主义等问题层出不穷，造成的社会危害也越来越大。计算机取证作为一门新兴的且具有重要实践意义的学科，得到专家学者们的广泛重视。

1 计算机取证概述

1.1 计算机取证定义

关于计算机取证的定义可从两种角度理解：从技术视角看，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程[1]。从法律视角看，计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外围设备中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程[2]。尽管没有统一、准确的定义，但可以达成共识的是，计算机取证是一个利用信息技术对计算机证据进行获取、保护、分析，为法庭提供可接受的、足够可靠和有说服力的证据的过程。

1.2 计算机取证发展现状

计算机证据在信息技术发达的欧美国家已有30多年的历史，美国早在1984年就建立了计算机取证实验室，而现在覆盖了全美近70%的法律部门。近些年来，以计算机取证为主题的会议雨后春笋般出现，1991年首届IACIS（International Association Computer Specialist）国际会议奠定了计算机取证的基石；1993年、1995年、1996年、1997年分别在美国、澳大利亚、新西兰召开了以计算机取证为主题的国际会议，并成立了计算机证据国际组织和电子证据科学工作组[3]；FIRST（Forum of Incident response and Security Teams）技术论坛和SANS公司主持的系统取证、调查、响应年会等学术活动也在不断推进计算机取证的发展。

相比而言，我国的计算机取证起步较晚，但发展势头良好。2004年在人民警察学院召开了第一届全国计算机取证技术研讨会，至今已成功召开三届并取得了很大进展；2005年中国计算机取证技术峰会召开，至今已成功举办四次；863项目子课题——电子物证保护与分析技术和公安部重点项目——打击计算机犯罪侦查技术研究也已取得相当不错的进展。司法实践中，近五年来我国计算机司法鉴定案件呈逐年上升趋势：2010年全国共接收计算机司法鉴定案件897件，电子数据鉴定777件[4]，相比2007年分别增加了120.39%和188.59%，可见计算机取证的需求很大。计算机取证作为计算机和法学领域的交叉学科，已得到广泛的关注和大量的实践应用，并成为计算机安全领域、证据法学领域的研究热点之一。国内外计算机取证公司和有关科研机构已研发出针对不同操作系统、满足不同需求的计算机取证软硬件产品，比较著名的如美国Guidance公司研制的Encase、还有国内厦门公安局安监科和美亚柏科资讯研发的计算机犯罪取证勘察箱等。

法律制度的规范相比技术发展而言，步伐就慢了许多。在计算机取证过程中缺乏相应的制度、法律规范做指导和保证，得到的结论就难以在法庭上发挥证据效力。随着计算机网络的日渐普及、计算机犯罪手段的不断变化、反取证手段的深入发展，我们不仅要关注技术发展，还要从法律层面深化对计算机取证过程的分析研究，促进相关法律法规的制定、完善。

1.3 计算机取证的应用范围

1.3.1 刑事案件

随着计算机成为人们日常生活中不可或缺的工具，利用计算机进行犯罪活动的现象也屡见不鲜。侦查机关、检察机关、国家安全机关需要运用计算机取证手段来发现并提取涉及计算机的凶杀案、经济诈骗、毒品交易、网络色情、互联网盗窃、行贿受贿、网络恐怖主义[5]等犯罪活动。

1.3.2 民事、行政案件

在民事活动中，有时也会涉及到利用计算机系统进行的电子商务诈骗、商业秘密窃取、保险诈骗、信用卡诈骗、侵犯个人隐私、侵犯知识产权等案件；电子政务纠纷、滥用职权等行政案件中也越来越广泛地运用到计算机取证手段。个人或者组织也可通过自行收集证据向法庭举证，这就需要求助于专业的司法鉴定机构对证据的真实性、完整性做出鉴别。

2 计算机证据的特点

计算机证据不同于传统证据类型当中的任意一种，除了具有证据关联性、真实性、合法性的特点之外，还有其独有的特点。

2.1 高科技性

计算机证据以抽象的二进制形式存储于电子元件和磁性材料中，是存储在高科技产物——计算机中的一种证据形式。利用计算机进行违法犯罪活动，行为人往往具有很高的专业技术知识，为逃避追查，嫌疑人往往会将罪证隐藏、擦除或者加密，因此，要获取这些证据需要借助计算机科学中诸如存储技术、网络通信、信息安全等高科技手段。

2.2 隐蔽性

计算机证据不像指纹、脚印、笔迹、枪弹痕迹那样通过肉眼或者显微镜就可以观察到。从物理上讲，其只是靠集成电路的电子矩阵正负电平或磁性材料磁体发生变化来记录、表示的二进制数据组合而成的信息，肉眼不可能直接观察到。要获取计算机及其外围设备中存储的证据，需要运用特殊的与传统获取方法完全不同的手段。

2.3 脆弱性

脆弱性表现在三个方面：（1）计算机证据本身是由人的操作形成的，对它的篡改可以轻而易举，从而使得计算机信息具有了脆弱而不可靠的一面；（2）计算机证据存储在电磁设备上，如遇高温、高酸碱、强辐射环境或遭受暴力性破坏，会对记录的信息造成不可恢复的破坏；（3）计算机对数据的处理都是实时完成的，遭受入侵的计算机系统中使用痕迹保存时间有限，如果在短时间内未及时发现、备份，那么记录很可能会被覆盖或人为删除，导致涉案证据的丢失。

2.4 复合性

计算机证据的复合性表现为计算机证据的形式多样，几乎涵盖所有传统证据类型，可以表现为打印纸上的文字代码；可以是显示器上输出的视频、图像、文字、动画；也可以是音频设备输出的声音。它综合了各种多媒体信息的特点。由于其显示形式的复合性，计算机证据兼具书证、物证、视听资料的特点[6]。

3 当前计算机取证存在的问题及建议

计算机取证不仅仅是一项技术工作，其最终目的是为法庭提交可供采信的证据，因此，在取证的准备、收集、保全、检验分析、提交的过程中，都需要从证据采信的标准来规范取证行为。制定计算机取证法律法规，在实现计算机证据从收集到出庭作证整个过程规范化的同时，一定程度上也保障了计算机证据的证明力，可以有效解决计算机证据采信难问题。

3.1 计算机取证准备阶段

3.1.1 计算机取证人员的专业要求

国外的取证人员多由计算机系统安全维护人员、私人侦探或者专业取证公司担任，当然也有国家侦查人员。他们大都经过培训，可以做到准确完整地提取有用信息。而国内目前计算机取证的主体是侦查人员，计算机取证对他们来讲往往是做其他工作时兼而任之，由于缺乏系统、专业的训练，在开展取证活动时难以保证收集计算取证据的准确完整。

笔者建议法律应当规定计算机取证人员的从业标准、培训制度。通过对计算机取证人员的专业培训保证其取证行为的合法性和科学性。国外有许多针对计算机取证的相关课程，目的是培养针对计算机犯罪的调查人员。著名的有美国New Technologies Inc.开展的一个培训课程，其内容主要包括：（1）计算机证据的保存以及保护扣押计算机的安全；（2）如何从Windows交换文件及计算机硬盘中遗留的Internet浏览数据中提取证据；（3）对相关文件使用MD5算法计算散列值，以及法庭作证问题；（4）有关安全删除数据的核查和验证过程使用数据的不存在；（5）使用文件头信息和附近数据恢复图像文件；（6）文件存储结构，对回收站中数据的追踪。我们可以借鉴其培训内容，使从事计算机取证的人员掌握计算机保护与急救；计算机证据的保存；计算机的常规取证；对不同操作系统的取证；计算机取证文档的整理；使用计算机取证工具对计算机证据分析等技术知识[7]。

3.1.2 计算机取证软件工具的标准化

司法机关迫切需要保证计算机取证工具的可靠性，要求取证工具可以稳定地产生准确和客观的测试结果。然而，目前有大约150个数字取证工具很少是根据取证标准和规范进行研制的，其中不乏某些明星产品[8]，这样，工具间很难进行有效性和可靠性的比较，因而使用这些工具提取的证据科学性和权威性很容易遭到质疑。所以对计算机取证的人员和工具应当制定相关标准，以保障计算机取证的合法性。

3.2 计算机取证搜集阶段

在计算机取证的证据搜集阶段，存在着行为人是否有权采取侦查活动的争议。计算机取证要查验的对象往往不是某个嫌疑人，而是嫌疑人使用的计算机设备，与传统证据存在于实体的、特定的案发现场不同，计算机犯罪的案发现场可能分布在地球上任意一台接入互联网的计算机设备上。侦查人员有时可以在设备所有人毫不知情的情况下使用技术手段对网络实时跟踪、搜索和系统监视、对网络中传输通信的往来数据内容进行实时搜集和实时截获，以寻找网络违法犯罪案件可能留下的证据痕迹，在这个过程中有可能会侵犯当事人的隐私权。因此法律应当就计算机犯罪的侦查主体、侦查范围和侦查手段进行规制。

笔者认为计算机案件的侦查应由拥有庞大技术力量的侦查机关侦查人员进行，不宜交由取证公司或个人。侦查范围和侦查手段的确定，笔者认为应当贯彻“任意侦查原则”。相较于强制侦查，即只要刑事诉讼法上没有具体的规定就不得实施侦查行为。任意侦查是指，即使法律没有明文规定，原则上也可以采取适当的方式进行[9]；侦查人员的计算机取证行为往往针对特定的对象，在小范围内动用侦查手段，对相对人的生活权益没有强制性的造成损害，且计算机证据的高科技性、易破坏性、实时性等特征决定了其侦查取证的难度，因此应当允许侦查人员不经嫌疑人同意对其计算机系统在必要范围内使用，如网络跟踪、监视、嗅探等技术侦查手段实时截获网络通信中的往来数据内容，以保证及时、有效地搜集到与犯罪有关的电子数据。

需要指出的是，任意侦查并不代表着可以毫无顾忌、不择手段地侦查，应当完善司法审查制度，并对一些可能严重侵犯公民人格权和财产权的取证作明文限制规定[10]。民事计算机证据的获取，如果是公司内部的计算机取证活动，则由本公司内部的计算机调查员根据其职责在企业内部网络中进行，对涉及外部的计算机取证活动，则要尽可能优先使用公开信息，在对其他外部客体进行取证时，要确保采取合法手段，不得侵犯其他外部客体的人身权利和财产权利。

3.3 计算机证据的保全、分析阶段

3.3.1 收集、保全阶段

取证人员在对计算机可能存在犯罪证据的位置进行证据收集时，要有两名以上侦查人员在场，最好对取证过程进行全程录像，并在证据文书化后的材料上签字，如有证人或犯罪嫌疑人在场，也应签名[11]。要切记保证信息的原始性和完整性。收集过程中要首先提取易失性证据，还要避免人为的破坏。计算机证据保全可以采用两种方法，即常规保全和公证保全。以纸制或声像资料形式固定是主要的常规保全方法，要注意对证据的查验，当场列清单并签字确认。民事案件常用到公证保全方法，由公证机构派公证人员对证据进行公证。保全时要注意对获取的计算机证据制作备份，详细记录证据的移交、保管、开封、拆卸等操作，保证证据链的完整性，同时需要确保计算机证据保存环境的安全。

3.3.2 分析阶段

在对提取到的计算机证据进行分析时，首先要进行备份，这里的备份是对原始数据每一比特的精确克隆，分析切记在数字拷贝上进行，避免对原始证据的修改与破坏。处理证据前要为被分析的数据生成数字指纹，然后再开始，步骤要尽可能少，因为采取的步骤越少，发生错误的可能性就越小[12]。可以将搜集到的计算机证据与计算机的所有者、电子签名、IP地址、E-mail等计算机特有信息识别体结合起来，并与案件中获取的其他证据进行综合审查，证据间相互印证、相互联系，综合分析得出结论。

3.4 计算机证据采纳阶段

与传统的物证、书证等证据形式不同，计算机证据有着易篡改性、高科技性、抽象性等特点，这就决定了计算机证据的采纳需要满足更高的标准和要求。证据必须要满足客观性、关联性、合法性的标准。计算机证据具有客观性，其是以二进制形式存储在计算机中的信息，就犹如人脑中留存的与案件有关的信息一样，并没有以人们可以感知的形式表现出来。人脑中的信息要想转化为可供法庭采纳的证据，就要转化为当事人陈述、书证、证人证言等形式，类似的计算机证据也可以通过各种输出设备以声像资料或打印文稿的形式为人所认知。能否保证计算机证据如实反映、记录案件信息是个现实存在的难题，事实上，正是由于计算机中信息的极易被伪造、篡改，给认定计算机证据客观性带来了困难。要保证计算机证据的真实性，法庭采信过程中需要从取证全过程各方面来考量。

计算机证据常常表现为系统日志文件、入侵者残留程序、脚本、代码等形式，诉讼活动的参与人由于缺乏计算机专业知识，在证据关联性的认知上可能会有困难，这也是计算机证据采信率低的原因之一。笔者认为在法庭采信计算机相关证据时，取证、鉴定人员必要时应当出庭接受诉讼当事人和法官质证，也可以聘请计算机领域专家作为专家辅助人，协助控辩双方和法官对专业问题进行认定。

证据的合法性标准表现在四个方面，即取证主体合法、证据形式合法、证据收集程序合法和证据收集方法或提取手段合法[15]。在采纳计算机证据时，应当分别从这几个方面进行审查判断。随着越来越多的犯罪案件和诉讼纠纷涉及到计算机取证，现有的取证规范大都是取证机构的内部规范，内容各执己见，法律效力难以保障，也影响到证据的证明力，造成了计算机证据的采信难、认证难的局面。目前已有很多专家学者呼吁制定《计算机取证法》，笔者认为对计算机取证过程给予法律规范是非常必要的。

4 结语

本文概要地介绍了计算机取证的概念和特点，阐明了计算机取证法律规范滞后于技术发展的现实情况，由于人们对于计算机犯罪的认识程度还不够，应对突如其来的犯罪事件，往往缺乏专业的取证证据意识，无法及时有效地提交法庭可采信的计算机证据。为此，从证据视角分析了计算机取证流程各阶段的证据要求，提出实践操作中的种种问题并提出改进建议，并就取证原则、流程、方法、工具加以规制，希望能为法律法规的进一步健全、计算机取证工作的规范化提供帮助。

[1]周学广，张焕国，张少武.信息安全学[M].北京：机械工业出版社，2007：161.

[2]王永全，齐曼.信息犯罪与计算机取证[M].北京：北京大学出版社，2010：113.

[3]刘志军，王宁，麦永浩.计算机取证的应用及发展[C].第十九次全国计算机安全学术交流会论文集，2004：300.

[4]李禹，陈璐.2010年度全国法医类、物证类、声像资料类司法鉴定情况统计分析[J].中国司法鉴定，2011，（4）：91-94.

[5]Neteis T.Gibert.Computer Crime And The Legal Process：An Evidentiary Perspective[D].Touro College School of Health Science.

[6]赵秉志.计算机与网络犯罪专题整理[M].北京：中国人民大学出版社，2007：66-67.

[7]陈龙，麦永浩，黄传河.计算机取证技术[M].武汉：武汉大学出版社，2006：75.

[8]李炳龙，王鲁，陈性元.数字取证技术及其发展趋势[J].信息网络安全，2011，（1）：54.

[9]宋英辉，昊宏姐.刑事审前程序研究[M].北京：中国政法大学出版社，2002：32.

[10]乔洪翔，宗淼.论刑事电子证据的取证程序——以计算机及网络为主要视角[J].国家检察官学院学报，2005，13（6）：49-57.

[11]李德杰.利用计算机证据突破零口供案件的探索[J].科技信息，2006，（7）：325.

[12]丁丽萍，王永吉.计算机取证的相关法律技术问题研究[J]，软件学报，2005，16（2）：265.

[13]贾治辉，王俊.规范我国计算机取证活动的法律思考[J].四川警察学院学报，2008，20（2）：18-24.

[14]蒋平，杨莉莉.电子证据[M].北京：中国人民公安大学出版社，2007：26-27.

[15]何家弘.证据法学研究[M].北京：中国人民大学出版社，2007：92.

（本文编辑：包建明）

DF713

B

10.3969/j.issn.1671-2072.2012.03.027

1671-2072-（2012）03-0113-04

2011-12-02

王骄（1987—），女，硕士研究生，主要从事计算机与声像资料鉴定研究。E-mail：hhx-wj@163.com。