五、结 语
在信息技术飞速发展的21世纪,传统取证的电子化是一个不以人的意志为转移的规律,各种新型电子取证技术的出现也是一个必然的趋势。如今这一变革已然发生,并将继续下去!在这个大背景下,计算机技术、网络技术、现代通信技术等信息技术给人类司法带来了翻天覆地的变化,同时也向各国证据调查实践提出了重大挑战。本文尝试着对电子取证这一新事物从概念、程序、原则与规则等方面做了梳理,特别提出了将电子取证的技术规制转化为法律规制的基本思路、以及基于该思路的主要应对措施。当然,本文所论及的只是一种初步的理论构想,期待各位方家的批评指正,更有待于国家有关立法实践的检验与具体化。
【作者简介】
刘品新,中国人民大学法学院副教授。
【注释】本文系2008年度最高人民检察院检察理论研究课题“电子证据收集和运用问题研究”(GJ2008C07)的研究成果。本文的写作承蒙最高人民检察院信息技术研究中心戴士剑高级工程师的技术支持,特此致谢。
参见关非:《小荷才露尖尖角——国内计算机取证技术市场面面观》,载《信息网络安全》2005年第9期。
Hon.Shira A.Scheindlin&Jeffrey Rabkin,“Electronic Discovery in Federal Civil Litigation:Is Rule 34 Up to theTask?”,41Boston College LawReview(2000),p.333.
Erin Kenneally,“Computer Forensics”,27 Magazine of Usenix&Sage(2002),p.8.
王彩玲、陈贺明:《浅析计算机犯罪取证与反取证》,载《吉林公安高等专科学校学报》2007年第2期。
张斌、李辉:《计算机取证有效打击计算机犯罪》,载《网络安全技术与应用》2004年第7期。
苏成:《计算机取证与反取证的较量》,载《计算机安全》2006年第1期。
参见王玲、钱华林:《计算机取证技术及其发展趋势》,载《软件学报》2003年第9期。
参见赵小敏、陈庆章:《计算机取证的研究现状及趋势》,载《网络安全技术与应用》2003年第9期。
静态取证所收集的是存储在未运行的计算机系统、未使用的存储器或独立的磁盘、光盘等媒介上的静态数据,这些数据不会随着计算机电源的切断而消失;动态取证所收集的是切断计算机电源后就会消失的各类易失性数据,如计算机当时运行的进程信息、内存数据、网络状态信息、网络数据包、屏幕截图和交换文件拷贝等等。参见张新刚、刘妍:《计算机取证技术研究》,载《计算机安全》2007年第1期。
远程取证是指通过远程连接的方式,从正在运行的计算机系统中获取电子证据的方式。See Erin Kenneally,“Confluence o fDigital Evidence and the Law:On the Forensic Soundness of Live-Remote Digital Evidence Collection”,5UCLA Journal ofLaw and Technology(2005),p.1.
Farmer D.& Venema W.,“Computer Forensics Analysis Class Handouts”(1999),available at http://www.fish2.com/forensics/class.html.
Chris Prosise&Kevin Mandia,Incident Response:Investigating Computer Crime,Osborne/McGraw-Hill,2001,pp.87-130.
Technical Working Group for Electronic Crime Scene Investigation,“Electronic Crime Scene Investigation:A Guide for First Responders”2001,available at
http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Mark Reith,Clint Carr&GreggGunsch,“An Examination of Digital ForensicModels”,3 International Journal of Digital Evidence(2002),p.8.
Brian Carrier&Eugene H.Spafford,“Getting Physical with the Digital Investigation Process”,2 International Journal of Digital Evidence(2003),pp.5-12.
转引自丁丽萍、王永吉:《多维计算机取证模型研究》,载《计算机安全》2005年第11期。
同注。
参见李炳龙、王清贤、罗军勇、刘镔:《可信计算环境中的数字取证》,载《武汉大学学报》2006年第5期。
参见郝桂英、刘凤、李世忠:《网络实时取证模型的研究与设计》,载《计算机时代》2007年第4期。
参见刘品新:《论计算机搜查的法律规制》,载《法学家》2008年第4期。
这里所谓的“抽象”,是指该模型适用于各种电子取证方法;所谓的“司法程序”,是指该模型立足于我国现行的司法程序制度。
当时使用的是" Computer Forensics" ,即狭义的电子证。
参见许榕生:《国际计算机取证的操作规程标准化动态》,载《金融电子化》2003年第9期。这20项标准或规则如下:(1)取证分析与检查规程和协议的研究和评估一样,应当由持有资格证书的人员操作。他应当胜任取证工作,具有技术和科学方法,其道德品质也应当是无可置疑的;(2)无论何时设计出一种新的取证检查规程,使用前都应先对它进行鉴定和测试;(3)取证的最低要求应当提前制定并作准确说明;(4)技术标准应当保证获得最低要求的证据;(5)取证的操作规程应当与所制定的标准相符;(6)取证的操作规程和标准应当得到相关科学团体的认可,并应进行定期的复查;(7)取证工具应当获得许可证或授权才能使用,这些工具应当得到业界的认可或能通过科学评测;(8)应当确立对私人数据的访问权限(如在取证过程中,允许取证专家访问所有的私人数据),检查规程应当保障这些相关的权限;(9)取证检查应当根据某种标准模型得出结论;(10)取证专家应当对其检查结果和获得的证据负法律责任;(11)当某位取证专家在法律上不允许执行取证检查时(如当该取证专家与犯罪者有血缘关系时),应当提前通知;(12)为减少个人因素对结果的影响,取证检查人员应当不少于二人;(13)为确保取证专家准确而高效地工作,应当保证有一个良好的取证环境,特别是取证检查所需的设备和材料;(14)取证专家必须以科学的态度得出结论,即结论不能存在其他可能性;(15)无论何时对证据进行分析,取证检查都应当作为调查工作中必不可少的一部分;(16)应当保存取证证据,以进行第二次分析;(17)在取证专家到来之前,应当对现场进行保护。任何发生的变动都应当作出报告;(18)可以使用照片、图纸、图表等,以使检查结果尽可能地详尽;(19)应当事先获得对计算机的搜查证;(20)要确立在没有计算机搜查证的情况下取证的规章制度。
IOCE ,“G8 Proposed Principles For The Procedures RelatingTo Digital Evidence”,available at
http://www.ioce.org/core.php>?ID=5.
同注。
参见乔洪翔、宗森:《论刑事电子证据的取证程序——以计算机及网络为主要视角》,载《国家检察官学院学报》2005年第6期。
参见丁丽萍、王永吉:《计算机取证的相关法律技术问题研究》,载《软件学报》2005年第2期。
参见何家弘主编:《证据调查》(第二版),中国人民大学出版社2005年版,第162页。
关于我国应当建立的电子证据原件规则,参见刘品新:《论电子证据的原件理论》,载《法律科学》2009年第5期。
See supra note,p.10.这九个方面具体包括:(1)严禁在收集、存储和分析过程中改变原始的电子证据(包括只在电子证据复制件上分析、对电子证据原件进行防篡改加密等);(2)在收集、存储和分析电子证据的过程中严格作书面记录,记录的内容要特别包括收集到了何种电子证据,在何处收集到的电子证据,在收集之前、存储之际和检验之后何人接触过电子证据,电子证据是如何收集和存储的(包括所使用的工具和方法),电子证据是在何时收集的,等等;(3)对电子证据的任何改变作书面记录和解释,必要时建立稽核程序;(4)保持电子证据的连续性;(5)对有争议的电子证据进行完全复制;(6)复制电子证据的方法必须足够可靠(如可借助独立的哈希函数进行验证);(7)尽可能采取安全措施(如采取防干扰存储措施、写保护措施等);(8)正确标注各个环节的时间、日期和来源;(9)限制接触电子证据的人员,并进行记录。
