4.电子证据勘验过程应当遵循以下技术要求:
(1)实施勘验应当尽可能采取必要的技术防护措施,使用安全的设备和软件,严格按照相应的技术操作规范进行。
(2)勘验过程应当详细记录,对原件的操作包括启封、封存、制作复制件、检验分析等重要步骤及远程勘验过程应当全程录像。
(3)检验分析应当避免在目标设备或系统上安装程序。特殊情况需要安装程序的,应当详细记录安装程序的名称、目的、安装目标位置以及程序运行可能造成的影响。
(4)原件应当立即封存提取,原件无法提取的应当封存复制件,检验分析结果应当存储于安全的存储介质中并封存。
五、电子证据勘验面临的挑战及展望
随着信息通讯技术的飞速发展,计算机和网络技术日益广泛的应用到军事指挥、交通控制、电力供应、金融服务等各个领域,计算机及网络犯罪数量和手段也随之渗入,特别是数据存储、加密等技术的发展以及相关法律法规的缺位,使通过电子证据勘验打击上述犯罪面临诸多困难和挑战。
1.侦查机关尚未出台统一的电子证据勘验规则,致使当前电子证据取证不规范、不及时和不科学,虽然公安部网络安全保卫局于2005年颁布施行了《计算机犯罪现场勘验与电子证据检查规则》,但仅限于网络安全保卫部门,且各地施行的状况也不一致,势必影响到证据真实性和完整性,导致证据的采信度降低甚至被排除。
2.相对于信息通讯技术,大容量存储技术和网络存储技术的迅速发展,电子证据取证技术的发展明显滞后,使得在现场或远程进行电子数据检验分析逐渐成为常态。首先,电信、证券等大型企业服务器必须24小时运行,直接提取或关机制作复制件的可行性几乎为零。其次,随着第三代网络存储技术即分散存储技术的应用,直接提取分散于世界各地的数据载体几无可能,只能通过电子数据勘验获取固定。第三,大容量存储技术的迅速发展及相关取证技术的滞后,致使现场制作复制件过程更为漫长,如硬盘复制机的速度在近两年由每分钟4.3G提高至6G(提高了近40%),而近两年的硬盘一般存储容量由80G扩展至1T(扩展了近10倍),因此复制件制作时间也倍增,在当前的侦查实务工作中,侦查技术人员往往跳过制作复制件的步骤直接进行现场数据检验分析,而对电子证据原件进行数据检验分析将可能改变电子证据的数据内容,且无法复原再现。3.数据加密等技术的发展,使犯罪行为更隐蔽,给侦查追踪和取证带来极大的困难。当前各种加密、解密软件可以轻易的从国际互联网上下载,且操作使用方便。如果犯罪分子使用可设置56位密码的加密软件进行文件加密,那么使用当前每秒处理100万次的计算机进行暴力破解需要2285年,极大的阻碍的侦查取证工作。此外,犯罪分子利用数据加密技术隐蔽自己的身份信息,进行匿名通信或匿名接入网络实施犯罪,使侦查人员难以追踪。
