董敖翔

重慶市榮昌區(qū)公安局刑偵支隊，重慶 404100

?

電子物證提取和檢驗中的污染問題研究

董敖翔

重慶市榮昌區(qū)公安局刑偵支隊，重慶 404100

在電子物證提取和檢驗中，由于工作人員操作不規(guī)范、工作粗心等原因，容易導致物證信息受到“污染”，影響物證的證據(jù)效力。本文在分析電子物證概念和特征基礎之上，具體針對電子物證受“污染”的原因和解決對策進行分析。

電子物證；提??；檢驗；污染

一、電子物證的概述

(一)電子物證的概念

作為物證的一種，電子物證是指存在于各種介質(zhì)當中的電子數(shù)據(jù)，用以證明犯罪事實的證據(jù)。電子物證可以分為電子信息，比如視頻、圖片、電腦程序等，也可以是電子信息的附屬品，比如電子文本的打印文件等。

(二)電子物證的特征

電子物證與其它的物證相比較，有以下幾種特征：(1)電子物證的提取和保存依靠高科技的技術手段，因此在提取的過程比較簡單迅速、數(shù)據(jù)保存所占據(jù)的空間面積極?。?2)電子物證的保存介質(zhì)主要是U盤、磁帶等，因此電子物證保存離不開計算機。電子物證在提交的時候多是通過文書、光盤等展示。

二、電子物證易受污染的原因分析

(一)直接使用帶有系統(tǒng)的硬盤檢材

有的硬盤是帶有系統(tǒng)軟件的，部分工作人員為了節(jié)省時間，會直接使用帶有系統(tǒng)軟件的硬盤啟動系統(tǒng)，此時會導致硬盤當中文件的時間被改變。對于市面上常見到的幾個Windows系統(tǒng)，都會造成上百個文件信息被改變。移動硬盤使用不當。

如果將帶有檢材信息的移動硬盤直接連接到非取證的計算機設備中，計算機中的殺毒軟件會反復分析、掃描硬盤當中的內(nèi)容，不斷地讀取硬盤中的數(shù)據(jù)信息，如此反復容易導致硬盤當中的信息數(shù)據(jù)出現(xiàn)篡改的問題，嚴重情況下還容易導致數(shù)據(jù)被刪除。

如果將硬盤介入到帶有系統(tǒng)的檢材計算機當中，計算機中的系統(tǒng)會自動對硬盤當中的數(shù)據(jù)信息進行掃描和記錄，亦或是打印，這樣容易造成信息數(shù)據(jù)的泄露。

(二)設備檢材操作不規(guī)范

因為工作人員對錄音、視頻設備的操作不當，在常規(guī)性的檢查或者運輸?shù)倪^程中，由于誤按了某些操作按鈕，導致機器自動錄音、錄像，或者刪除與案件相關的重要物證資源，導致物證資料的丟失。

如果在物證鑒定的時候直接打開了手機或者其它移動通訊設備，比如調(diào)查當事人手機當中的短信、通話記錄、視頻資料等信息，如果未打開屏蔽網(wǎng)絡的設備，很容易會再次接受到新的信息，或者接聽到新電話，導致原本檢材的內(nèi)容發(fā)生改變。特別是手機信息內(nèi)存已滿，此時如果再來新短信，則會導致原來短信自動刪除。

在沒有準確把握計算機性能的時候，如果該計算機安裝了系統(tǒng)還原的軟件，此時重新啟動計算機，或者關閉計算機，則會導致原本記錄在計算機當中的數(shù)據(jù)完全丟失。

對設備的保護不當同樣會引起有效證據(jù)的丟失，將設備置放在潮濕、高溫、高磁場的環(huán)境當中，或者在設備搬運的過程中保護措施不到位，導致設備的嚴重碰撞，直接導致設備性能的發(fā)揮。

三、電子物證提取的正確途徑探索

(一)現(xiàn)場的保護工作

針對案件的具體情況，來判斷網(wǎng)絡是否需要斷開。保持網(wǎng)絡的暢通主要是在持續(xù)性的網(wǎng)絡犯罪案件當中，需要通過網(wǎng)絡獲取更多犯罪信息，通過搜集數(shù)據(jù)獲取更多有力的證據(jù)；而斷開網(wǎng)絡更多的是為了保證網(wǎng)絡系統(tǒng)的穩(wěn)定性，以免外來入侵者進入到網(wǎng)絡中篡改數(shù)據(jù)。其次對現(xiàn)場工作人員加強管理，防止有人惡意破壞數(shù)據(jù)信息，或者刪除有力的電子數(shù)據(jù)；再者及時查看正在運行中的計算機設備，避免數(shù)據(jù)受到正在運行的程序破壞；最后，在現(xiàn)場發(fā)現(xiàn)電子設備之后要做好備用電源的穩(wěn)定供應，避免突發(fā)性斷電導致已經(jīng)緩存在計算機或者正在緩存的數(shù)據(jù)丟失。仔細檢查犯罪現(xiàn)場，避免周邊存在較強的磁場影響到硬件設備的運行。

(二)物證的搜查

注重證物的搜查，在犯罪現(xiàn)場要關注部分非電子數(shù)據(jù)的證據(jù)信息，比如日記本中的內(nèi)容、賬號、密碼等；在現(xiàn)場搜查的時候，需要注意小零件、設備的擺放位置，及時做好拍照記錄工作，對設備數(shù)量、種類、名稱都記錄在案；在搜查計算機設備的時候，要關注計算機是否存在藍牙、無線網(wǎng)等外部連接情況。

(三)電子物證的初步提取

針對在犯罪過程中被抓獲的案件，比如淫穢網(wǎng)站運行、網(wǎng)絡賭博等行為，工作人員可以直接對現(xiàn)場網(wǎng)頁進行截屏保存，打印出網(wǎng)頁信息，成為有力的證據(jù)；如果該計算機處于關機的狀態(tài)，盡量不要開機。如果必須要開啟計算機設備，應將源計算機當中的硬盤直接插入到只讀計算機當中，將硬盤當中的全部數(shù)據(jù)復制下來，在打開設備調(diào)查取證，保證信息不會丟失；在打開計算機系統(tǒng)之后，需要校準核對計算機時間與標準時間之間是否存在差別，及時做好記錄工作。

四、結語

隨著犯罪分子作案手法越來越多，很多案件都涉及到電子設備，需要依靠工作人員提取電子物證來輔助案件的偵破。電子物證在提取、檢驗中涉及到多個環(huán)節(jié)，每個環(huán)節(jié)都可能導致物證被“污染”

[1]戴士劍.電子物證之證據(jù)考量[J].人民檢察，2011(18)：26-28.

[2]羅潔，張國臣.謹防電子物證提取和檢驗中的“污染”[J].刑事技術，2013(02)：43.

D

A

2095-4379-(2016)36-0133-01

董敖翔(1986-)，重慶人，重慶市榮昌區(qū)公安局刑偵支隊，研究方向：電子物證。