徐振杰

摘要：本文主要闡述了電子文件證據(jù)取證的涵義，探討了電子文件證據(jù)取證的原則、步驟、取證技術，并對已取得的電子文件證據(jù)如何進行保護、審查、檢驗作了論述。

關鍵詞：電子文件證據(jù)取證審查檢驗

由于電子文件證據(jù)自身具有不同于傳統(tǒng)證據(jù)的許多特點，所以保證電子文件證據(jù)的真實性就成為確認其證據(jù)價值的關鍵，為此對電子文件的制作過程，存儲、傳遞的可靠性，信息完整性的保護，數(shù)據(jù)是否有偽造和被篡改，應結合計算機數(shù)據(jù)分析報告和專家的鑒定結論進行審查，并結合其他證據(jù)相互印證。如果電子文件證據(jù)與其他證據(jù)相一致且并無相反的其他證據(jù)，共同指向同一事實，就可以認定其效力。電子文件證據(jù)本身和取證過程的許多有別于傳統(tǒng)證據(jù)和取證方法的特點，使電子文件證據(jù)取證問題倍受人們關注。綜合各方面，電子文件證據(jù)取證涵義可概括為：將計算機調查和分析技術應用于對潛在的、有法律效力的證據(jù)的確認與獲取，取證包括了對以磁介質編碼信息方式存儲的電子文件證據(jù)的保護、確認、提取和歸檔。

一、電子文件證據(jù)的取證原則及步驟

為便于電子文件證據(jù)的搜集，我國從2000年9月25日起施行的互聯(lián)網信息服務管理辦法已經規(guī)定：“從事新聞、出版以及電子公告等服務項目的互聯(lián)網信息服務提供者，應當記錄提供的信息內容及其發(fā)布時間、互聯(lián)網地址或者域名；互聯(lián)網接人服務提供者應當記錄上網用戶的上網時間、用戶帳號、互聯(lián)網地址或者域名、主叫電話號碼等信息?！庇涗泜浞莸谋４鏁r間為60日，并在國家有關機關依法查詢時，予以提供，違者將受行政處罰。這為警方偵查辦案提供了很好的線索和證據(jù)。關于電子文件證據(jù)的收集方法，并沒有固定模式，根據(jù)電子文件證據(jù)的不同，可以采取不同的方式。如需要收集當事人的電子郵件，僅僅對對方提供的自己計算機留存和下載的電子郵件進行收集是不夠的，通常還應該向電子郵件服務器提供商收集證據(jù)，電子郵件服務器如實記錄了電子郵件的內容以及收發(fā)和提取時間。

電子文件證據(jù)取證的主要原則可概括為以下幾點：首先，盡早搜集證據(jù)，并保證其沒有受到任何破壞；其次，必須保證證據(jù)連續(xù)性，即在證據(jù)被正式提交給法庭時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當然最好是沒有任何變化；最后，整個檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其他方委派的專家的監(jiān)督。

在保證以上基本原則的情況下，電子文件證據(jù)的取證工作一般按照下面步驟進行：

第一，在取證檢查中，保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染；第二，搜索目標系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經被刪除但仍存在于磁盤上(即還沒有被新文件覆蓋)的文件，隱藏文件，受到密碼保護的文件和加密文件；第三，全部(或盡可能)恢復發(fā)現(xiàn)的已刪除文件；第四，最大程度地顯示操作系統(tǒng)或應用程序使用的隱藏文件、臨時文件和交換文件的內容；第五，如果可能并且如果法律允許，訪問被保護或加密文件的內容；第六，分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關數(shù)據(jù)。特殊區(qū)域至少包括兩類：一類是所謂的未分配磁盤空間——雖然目前沒有被使用，但可能包含有先前的數(shù)據(jù)殘留；另一類是文件中的“slack”空間——如果文件的長度不是簇長度的整數(shù)倍，那么分配給文件的最后一簇中，會有未被當前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據(jù)；第七，打印對目標計算機系統(tǒng)的全面分析結果，然后給出分析結論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結構、數(shù)據(jù)和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發(fā)現(xiàn)的其他的相關信息；第八，給出必需的專家證明。

上面提到的電子文件證據(jù)取證原則及步驟都是基于一種靜態(tài)的視點，即事件發(fā)生后對目標系統(tǒng)的靜態(tài)分析。隨著計算機犯罪技術手段的提高，這種靜態(tài)的視點已經無法滿足要求，發(fā)展趨勢是將電子文件證據(jù)取證結合到入侵檢測等網絡安全工具和網絡體系結構中，進行動態(tài)取證。整個取證過程將更加系統(tǒng)并具有智能性，也將更加靈活多樣。

二、電子文件證據(jù)取證的主要技術

常用的電子文件證據(jù)獲取技術主要包括：對計算機系統(tǒng)和文件的安全獲取技術，避免對原始介質進行任何破壞和干擾；對數(shù)據(jù)和軟件的安全搜集技術；對磁盤或其他存儲介質的安全無損傷備份技術；對已刪除文件的恢復、重建技術；對磁盤空間、未分配空間和自由空間中所含信息的發(fā)掘技術；對交換文件、緩存文件、臨時文件中包含信息的復原技術；計算機在某一特定時刻活動內存中數(shù)據(jù)的搜集技術；網絡流動數(shù)據(jù)的獲取技術等等。數(shù)據(jù)復原技術是其中非常關鍵的取證技術之一。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準備專門的備份。這些系統(tǒng)一般是由專門的設備、專門的操作管理組成，較難篡改。因此，當發(fā)生計算機犯罪，其中有關證據(jù)已經被修改、破壞時，可以通過對自動備份數(shù)據(jù)和已經被處理過的數(shù)據(jù)證據(jù)進行比較、恢復，獲取定案所需證據(jù)。

三、保護已得到電子文件證據(jù)的主要措施

1.對所有的介質進行寫保護和病毒檢查。得到了所需要的影像拷貝、備份磁帶、光盤和其他介質的證據(jù)，必須保證得到的每一個介質的完整性。這需要兩個關鍵性的步驟，即寫保護和病毒檢查。寫保護可以防止介質被添加數(shù)據(jù)。這種措施可以保證你在利用收集證據(jù)工作時，證據(jù)不會被刪改。因此在你使用證據(jù)之前一定要對它們進行寫保護。同樣，病毒檢查也可以防止證據(jù)被改寫并且也是你必須對所擁有證據(jù)進行的處理。而使用最新的查毒軟件是尤其必要的。如果發(fā)現(xiàn)病毒，就應該全部記錄信息然后立即通知該介質的制造者。不要擅自對該介質進行清理，否則會改變原有的證據(jù)。

2.保留監(jiān)視鏈。監(jiān)視鏈能從最初的證據(jù)追蹤到當庭提供的證據(jù)。對電子文件證據(jù)而言，監(jiān)視鏈是至關重要的，因為以電子方式存儲的證據(jù)修改起來相對容易，證明這條鎖鏈是電子文件證據(jù)鑒別過程中的重要工具。保留電子文件證據(jù)鏈至少需要證實以下內容：任何信息未被添加或更改；已制作了完整的拷貝；復制過程可靠；所有的介質都是安全的。

四、電子文件證據(jù)的審查

與其他所有證據(jù)一樣，電子文件證據(jù)必須經過查證屬實，才能作為認定事實的依據(jù)。怎樣判斷一項電子文件證據(jù)的效力?聯(lián)合國《電子商務示范法》第9條第2款規(guī)定“對于數(shù)據(jù)電文為形式的信息，應給予應有的證據(jù)力。在評估一項數(shù)據(jù)電文的證據(jù)力時，應考慮到生成、存儲或傳遞該數(shù)據(jù)電文的辦法的可靠性，用以鑒別發(fā)端人的辦法，以及任何其他相關因素?！本褪钦f當某項電子文件證據(jù)自形成后直到取證止，如果它在儲存、傳輸?shù)雀麟A段均保持了數(shù)據(jù)和信息的原始狀態(tài)，沒有任何人為的或自然的因素影響、破壞，則該電子文件證據(jù)是合法有效的?；?/p>

于這一原則，對電子文件證據(jù)的審查必須體現(xiàn)以下基本原則：

1.審查電子文件證據(jù)的收集、提取是否合乎電子形式要求。提取電子文件證據(jù)的主體須具備電子專業(yè)素質要求，應借助于電子設備，提取要及時且能夠證明電子文件證據(jù)未被刪除或更改，所提取的電子文件證據(jù)能夠借助一定的設備被讀取。

2.審查電子文件證據(jù)是否能夠歸入七種傳統(tǒng)證據(jù)類型。不能歸人傳統(tǒng)證據(jù)類型，則不能作為法定證據(jù)。

3.審查電子證據(jù)是否具有相關性、客觀性、合法性。電子文件證據(jù)相關性要求其須與案件的某一事實有著某種聯(lián)系、能夠證明案件的真實情況，起到證據(jù)作用，否則就沒有證據(jù)價值，也不能稱為證據(jù)。審查電子文件證據(jù)的相關性應考慮以下兩個方面，首先要審查電子文件證據(jù)與案件事實有無客觀聯(lián)系，其次審查電子文件證據(jù)與案件事實聯(lián)系的方式、性質、聯(lián)系的緊密程度和確定程度。對電子文件證據(jù)客觀性審查的主要目的是對證據(jù)的真實性，即是否符合案件的實際情況進行審查，以確定該證據(jù)是否被篡改過，是否具有證據(jù)的能力。首先審查電子文件證據(jù)的來源，其次審查電子文件證據(jù)的收集、傳送和保存的方法，最后是審查電子證據(jù)的內容?？纯醋C據(jù)是否真實可靠，有無剪裁、拼湊偽造、篡改等。對電子證據(jù)合法性的審查，系指可采用的證據(jù)必須是符合法律規(guī)定的根據(jù)或材料。應從兩個方面審查證據(jù)是否合法，首先審查取得電子文件證據(jù)的主體是否合法，其次審查電子文件證據(jù)的收集、提取、保存是否符合法定程序和方式。

五、電子文件證據(jù)的檢驗

由于電子文件證據(jù)自身的性質和特點，在案件的偵查和訴訟活動中作為證據(jù)使用時，必須首先通過檢驗查明其內容形式是否具有真實性。一般說來電子文件證據(jù)檢驗的目的在于：認定作為證據(jù)使用的電子文件是否自生成后直到偵查取證時止，在儲存、傳輸?shù)雀鱾€階段均保持了數(shù)據(jù)和信息的原始狀態(tài)，沒有遭到破壞。目前，電子文件證據(jù)檢驗的主要方法有：

1.利用專門的電子儀器、設備通過運行特定的程序對電子文件證據(jù)的形成過程進行檢查及驗證。首先要對電子文件證據(jù)形成和存儲的技術設備的質量和性能進行檢查，看其質量是否合乎證據(jù)的客觀要求，其性能是否方便證據(jù)的封存、提??；然后對電子文件證據(jù)的技術形成過程進行技術檢驗，看其作為電子文件證據(jù)的數(shù)據(jù)和信息儲存于各種介質中時所運用的技術是否過關。通常應該聘請精通計算機技術和網絡技術的專家進行指導。

2.利用技術設備對電子文件證據(jù)所反映的內容真?zhèn)芜M行鑒別。作為電子文件的證據(jù)的數(shù)據(jù)以電信號代碼形式儲存于計算機各級存儲介質中，在輸出的文件資料中數(shù)據(jù)和信息多以不可直接讀取的形式出現(xiàn)，必須用相應的電子設備和技術方法方可被反映、被感知，所以，必須經過專門電子技術人員的檢驗鑒定，才能成為證據(jù)。

3.利用證據(jù)間的邏輯關系來判明電子文件證據(jù)的原始性與真實性。結合整個案情進行綜合分析，運用多種或多個證據(jù)之間存在的邏輯關系，進行推理判斷：作為電子文件證據(jù)的信息和數(shù)據(jù)，與其他證據(jù)之間是否一致，與案件發(fā)生的時間、地點、原因、結果等有無聯(lián)系與矛盾，從而認定電子文件證據(jù)的原始性和內容形式的真實性。

因此，電子文件取證是指對能夠為法庭接受的、足夠可靠和有說服力的、存在與計算機和相關外設中的電子文件證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示的整個過程。在這個數(shù)字化時代里，電子文件證據(jù)的取證在查明案件事實的過程中作用日益顯著，因此對電子文件證據(jù)的取證進行多方面的研究意義更為深遠。我們有理由相信，經過各界不懈努力，電子文件證據(jù)在將來的司法實踐中會得到充分體現(xiàn)。