电子数据作为一种新的证据形式,在司法实践中已被广泛应用,电子数据取证作为一门对技术性、专业性要求极高的工作,对法律工作者无疑提出了更高的要求,传统的调查工作在遇到电子数据时,往往陷入无从下手的困境。在我们的实践中,大量有价值的线索或证据材料便隐匿在看不见的0和1之中。今天,我们就从基础开始,对电子数据做一个简要的概述。
一、什么是电子数据
(一)电子数据
电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。概括起来,主要包含了以下几种类型:
1、计算机文件,如:文档、图片、音视频、数字证书、计算机程序等电子文件。
2、用户日志和记录,如:用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息。
3、通信信息,如:手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息。
4、互联网信息,如:网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息。
(二)电子数据取证
电子数据取证是一门借助计算机技术对电子数据进行获取、分析及鉴定的学科。主要包含了以下几块的内容:
1、数据恢复:对存储介质上被删除的文档、数据碎片进行恢复
2、数据获取:从存储介质上提取文档、图片、日志等各类数据
3、密码恢复:对开机密码、加密文件、用户登录密码等进行破解恢复
4、数据分析:紧密结合案情,对用户行为轨迹、关键信息进行综合分析,追查涉案线索,固定重要证据
二、身边的线索宝库
(一)电子数据适用于“触物留痕”的刑事科学技术原则
奠定刑事科学技术的三大基本原理是:物质交换和信息转移原理、同一认定原理、种类认定原理。三大原理中的第一条“物质交换和信息转移原理”指的是:物质经过交换和转移,但物质成分和结构等特征一般不会发生变化,仍能客观真实的反映其原所在客体的本质,因而为刑事技术的检验认定不同时间、地点出现过的客体是否同一类客体或同一客体。
用通俗的话讲就是四个字——“触物留痕”。
触物留痕这一事实,能否在所有的场合都能被证实,这是与显示这种痕迹的手段和方法紧密相关的。因为留下疲迹的力有轻有重,其形成物质有多有少,遗留的时间有长有短,承受客体的条件有所不同,以及科技手段有齐有缺,操作水平有高有低,即使有了痕迹亦未必均能被发现,有些痕迹,极其轻徽,以目前的科技水平尚无办法把它且示出来。可见,触物留痕是事实,能否把它发现出来又是另一回事。
手一经接触物体即留下了痕迹,这是唯物的、客观的,电子数据取证作为新兴的刑事科学技术,可以说同样也遵循“触物留痕”的原则,也就是说,一旦电子数据被访问,必然会留下相应的痕迹,而能否发现这些痕迹,则技术手段的齐缺和操作水平的高低来决定的。
(二)常见的电子痕迹
1、各类文件最常见的有office文档、图片(相机、手机拍摄,各类程序生成)、音视频、PDF(合同、证照多以此种格式保存)、压缩文件等。
2、浏览器历史记录主流浏览器有IE、Chrome、火狐,360等,这些浏览器会记录用户访问的网站、时间、用户名等信息,通过这些记录可以还原用户行为,刻画行为动机,佐证案情或直接证明。
3、电子邮件常见的有网页版、客户端两种访问方式,企业用户多偏向客户端方式,比如outlook、foxmail等。邮件服务搭建常见有:自建服务器、租用腾讯、网易的企业邮箱。
4、即时通信常见的是QQ、微信和阿里旺旺等聊天记录。
【案例分享】中介飞单案件通过微信图片解密恢复,结合案情圈定特定时间范围内特定图片,筛选出部分资金流水清单的截图,以此为基础进行扩展侦查和谈话,固定了案件关键证据。
(三)易被忽略的电子痕迹
1、系统日志例如:通过计算机开关机日志记录,可以得知当事人是否有在非工作时间开关机的行为,结合具体案情可以推断用户行为动机。
2、应用程序日志系统中安装的应用程序,启动、操作、关闭,都可能产生对应的日志文件,我们经常可以用到的就是word软件中的撤销恢复功能,这个功能就是通过记录用户每一步的操作来实现的。
3、系统临时文件临时文件包含相当多的重要信息,包含了文档、数据库等,该类文件常以“$”开头,或以一串无规律的字符作为文件名,且没有后缀名,在正常情况下,系统不会自动识别,需要通过数据底层分析的方法实现。
4、网盘历史记录通过对下载工具软件或网盘的日志分析,可以在存储介质上直接找到涉案证据,比如知识产权案件中的涉案文档、图片等,更重要的是,当原始数据被删除后,只要日志信息能够保留,就可以作为用户曾经操作过涉案文档的明确证据。
5、快捷方式在特定条件下,快捷方式就是用户行为习惯的一个指针,结合案情可以从侧面反映用户的使用习惯。
6、网络链接网络连接记录可以侧面反映使用人的上网地点,配合对网络交换设备的取证,可以推导用户的行为轨迹。
【案例分享】某案件中,用户使用百度网盘将涉案文件从公司转移至其个人电脑,通过对相关计算机和网络设备的取证分析,从底层代码中搜索到相关文件的片段信息,从而结合谈话突破案件。
三、电子取证与案情分析相结合的重要性
(一)电子数据分析必须结合案情
电子取证从技术角度讲,就是从相关介质中回复、提取数据,所有的数字、文字、图片等信息,从技术角度上讲,仅仅是0和1,但当这些数据与具体案情结合,就成为了有针对性、指向性的线索或证据。一般来讲,数据分析可以结合以下几个方面的关键信息来进行:
1、当事人和关联人的基本情况,相互关系;
2、合同、票据等实物物证;
3、人物关系图、时间时间线等。
(二)电子数据取证必须多次往复,逐层深入
电子数据取证是分步逐层深入的,其流程是:
1、电子数据固定接洽案件初期,为客户定制相应的数据采集方案,防止在办案过程中出现数据损毁、丢失,对原始介质和数据进行保存,为侦查起诉阶段提供原始证据保障。
2、数据分析和恢复采取“对位复制”方式对原始介质中的数据无损复制后做全盘数据扫描和分析,并利用文件特征恢复被删除清理的文件、字节碎片。
3、外围排查+案情分析数据分析结果与具体案情想结合,同步重点人、物和时间的外围调查,从而梳理出人物关系、案件轨迹和时间线,进一步从中发现涉案线索。
4、数据深挖通过时间、关键字信息,往复深入地挖掘数据,最终确定关键性涉案证据信息。
作者:星瀚内控与反舞弊法律中心 周晓鸣
