电子取证的法律规制
来源:岁月联盟
时间:2014-06-25
同样,在电子取证过程中通过技术比对的方式来验证和保证电子证据真实性的做法,虽然已经在一些司法实践中进行了成功的探索,但这远未转化为调查人员的自觉行为,更谈不上形成一条法律层面的刚性要求。因此,今后我国关于电子取证的立法应当明确在电子证据复制或提取过程中实施技术比对的必要性,并为此建立一些具体的规则。
此外,需要特别指出的是,即便我国立法有效地落实了前述两条规则,也不可能化解关于电子取证保真的全部问题。司法实践复杂,个案中电子取证工作如何保证电子证据的真实性依然会遇到一些难以克服的困难。例如,远程取证是由调查人员通过技术下载等方式获取证据的,这种取证既难以通过比对方式判断真伪,也难以构成严密的证据保管链,因而其证据的真实性问题就需要在个案中具体判断。又如,为保证电子证据不失真,一般开展电子证据鉴定是在复制盘上进行的,但在特殊情况下电子证据无法复制,这时能否在电子证据的原始载体上进行类似化学物证鉴定中的“有损检验”就存在一个如何确保其真实性的问题。换言之,在遵循“无损取证”原则前提下,在特殊情况下能否实施不得已的“有损取证”,诸如此类的问题都需要人们从司法实践中去寻觅答案。
再次,我国关于电子取证的法律制度缺失,如何保障所获取电子证据的合法性值得深思。当前我国关于电子取证的法律法规不多,主要是公安部、最高人民检察院所颁行的一些内部规章或工作规定,如《公安机关电子数据鉴定规则》、《计算机犯罪现场勘验与电子证据检查规则》和《人民检察院电子证据鉴定程序规则(试行)》等。它们针对的只是部分电子取证措施,并不能涵盖全部。即便是那些针对部分电子取证措施的法律规定也非常原则,难以直接用作判断电子证据合法性的依据,例如,在什么情况下通过网络监控、网络过滤、网络搜索、网络公证得来的电子证据可以采纳?网络人肉搜索和网络通缉如何用作有效的取证手段?计算机搜查是否需要办理搜查令?搜查或勘查电子证据时,能否停止整个网络服务器的运行?电子证据鉴定的规范化流程是什么?……诸如此类的问题都需要法律的规制。特别值得一提的是,在我国当前开展电子取证的实践中,调查人员经常面临能否使用未经核准的计算机软件(如自行开发的软件或未经合法授权的盗版软件)进行取证的情况,它们与所获取电子证据的合法性的关系也值得关注。
要解决上述问题,一方面有赖于我国有关部门的专门性规定进一步充实,另一方面也寄希望于我国三大诉讼法修正时针对电子取证做出必要的规定。其中,前一任务涉及到《计算机搜查规则/工作规定》、《电子数据扣押规则/工作规定》、《电子档案管理规则/工作规定》、《网络公证规则/工作规定》、《网络监控规则/工作规定》、《网络过滤规则/工作规定》、《网络通缉规则/工作规定》以及《网络搜索规则/工作规定》等的出台,它们不仅是公安部、最高人民检察院的职能所在,同司法部、国家安全部、工业和信息化部等主管部委也存在密切的关系;后一任务正好与我国十一届全国人大常委会立法规划相吻合,按照该规划修改刑事诉讼法、民事诉讼法和行政诉讼法的任务将在近五年内完成。总之,为电子取证这一重要而高效的取证手段立法正名是具备“天时”条件的,能否取得重大突破关键在于“人和”,即学术界与立法界应当对电子取证立法的重要性形成清晰的认识,并协力做出关键性的推动。
五、结 语
在信息技术飞速发展的21世纪,传统取证的电子化是一个不以人的意志为转移的规律,各种新型电子取证技术的出现也是一个必然的趋势。如今这一变革已然发生,并将继续下去!在这个大背景下,计算机技术、网络技术、现代通信技术等信息技术给人类司法带来了翻天覆地的变化,同时也向各国证据调查实践提出了重大挑战。本文尝试着对电子取证这一新事物从概念、程序、原则与规则等方面做了梳理,特别提出了将电子取证的技术规制转化为法律规制的基本思路、以及基于该思路的主要应对措施。当然,本文所论及的只是一种初步的理论构想,期待各位方家的批评指正,更有待于国家有关立法实践的检验与具体化。
注释:
[1]参见关非:《小荷才露尖尖角——国内计算机取证技术市场面面观》,载《信息网络安全》2005年第9期。
[2]Hon.Shira A.Scheindlin&Jeffrey Rabkin,“Electronic Discovery in Federal Civil Litigation:Is Rule 34 Up to theTask?”,41Boston College LawReview(2000),p.333.
[3]Erin Kenneally,“Computer Forensics”,27 Magazine of Usenix&Sage(2002),p.8.
[4]王彩玲、陈贺明:《浅析计算机犯罪取证与反取证》,载《吉林公安高等专科学校学报》2007年第2期。
[5]张斌、李辉:《计算机取证有效打击计算机犯罪》,载《网络安全技术与应用》2004年第7期。
[6]苏成:《计算机取证与反取证的较量》,载《计算机安全》2006年第1期。
[7]参见王玲、钱华林:《计算机取证技术及其发展趋势》,载《软件学报》2003年第9期。
[8]参见赵小敏、陈庆章:《计算机取证的研究现状及趋势》,载《网络安全技术与应用》2003年第9期。
[9]静态取证所收集的是存储在未运行的计算机系统、未使用的存储器或独立的磁盘、光盘等媒介上的静态数据,这些数据不会随着计算机电源的切断而消失;动态取证所收集的是切断计算机电源后就会消失的各类易失性数据,如计算机当时运行的进程信息、内存数据、网络状态信息、网络数据包、屏幕截图和交换文件拷贝等等。参见张新刚、刘妍:《计算机取证技术研究》,载《计算机安全》2007年第1期。
[10]远程取证是指通过远程连接的方式,从正在运行的计算机系统中获取电子证据的方式。See Erin Kenneally,“Confluence o fDigital Evidence and the Law:On the Forensic Soundness of Live-Remote Digital Evidence Collection”,5UCLA Journal ofLaw and Technology(2005),p.1.
[11]Farmer D.& Venema W.,“Computer Forensics Analysis Class Handouts”(1999),available at http://www.fish2.com/forensics/class.html.
[12]Chris Prosise&Kevin Mandia,Incident Response:Investigating Computer Crime,Osborne/McGraw-Hill,2001,pp.87-130.
[13]Technical Working Group for Electronic Crime Scene Investigation,“Electronic Crime Scene Investigation:A Guide for First Responders”2001,available at http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
[14]Mark Reith,Clint Carr&GreggGunsch,“An Examination of Digital ForensicModels”,3 International Journal of Digital Evidence(2002),p.8.
[15]Brian Carrier&Eugene H.Spafford,“Getting Physical with the Digital Investigation Process”,2 International Journal of Digital Evidence(2003),pp.5-12.
[16]转引自丁丽萍、王永吉:《多维计算机取证模型研究》,载《计算机安全》2005年第11期。
[17]同注[16]。
[18]参见李炳龙、王清贤、罗军勇、刘镔:《可信计算环境中的数字取证》,载《武汉大学学报》2006年第5期。
[19]参见郝桂英、刘凤、李世忠:《网络实时取证模型的研究与设计》,载《计算机时代》2007年第4期。
[20] 参见刘品新:《论计算机搜查的法律规制》,载《法学家》2008年第4期。
[21]这里所谓的“抽象”,是指该模型适用于各种电子取证方法;所谓的“司法程序”,是指该模型立足于我国现行的司法程序制度。
[22]当时使用的是" Computer Forensics" ,即狭义的电子证。
[23] 参见许榕生:《国际计算机取证的操作规程标准化动态》,载《金融电子化》2003年第9期。这20项标准或规则如下:(1)取证分析与检查规程和协议的研究和评估一样,应当由持有资格证书的人员操作。他应当胜任取证工作,具有技术和科学方法,其道德品质也应当是无可置疑的;(2)无论何时设计出一种新的取证检查规程,使用前都应先对它进行鉴定和测试;(3)取证的最低要求应当提前制定并作准确说明;(4)技术标准应当保证获得最低要求的证据;(5)取证的操作规程应当与所制定的标准相符;(6)取证的操作规程和标准应当得到相关科学团体的认可,并应进行定期的复查;(7)取证工具应当获得许可证或授权才能使用,这些工具应当得到业界的认可或能通过科学评测;(8)应当确立对私人数据的访问权限(如在取证过程中,允许取证专家访问所有的私人数据),检查规程应当保障这些相关的权限;(9)取证检查应当根据某种标准模型得出结论;(10)取证专家应当对其检查结果和获得的证据负法律责任;(11)当某位取证专家在法律上不允许执行取证检查时(如当该取证专家与犯罪者有血缘关系时),应当提前通知;(12)为减少个人因素对结果的影响,取证检查人员应当不少于二人;(13)为确保取证专家准确而高效地工作,应当保证有一个良好的取证环境,特别是取证检查所需的设备和材料;(14)取证专家必须以科学的态度得出结论,即结论不能存在其他可能性;(15)无论何时对证据进行分析,取证检查都应当作为调查工作中必不可少的一部分;(16)应当保存取证证据,以进行第二次分析;(17)在取证专家到来之前,应当对现场进行保护。任何发生的变动都应当作出报告;(18)可以使用照片、图纸、图表等,以使检查结果尽可能地详尽;(19)应当事先获得对计算机的搜查证;(20)要确立在没有计算机搜查证的情况下取证的规章制度。
[24]IOCE ,“G8 Proposed Principles For The Procedures RelatingTo Digital Evidence”,available at http://www.ioce.org/core.php?ID=5.
[25]同注[13]。
[26] 参见乔洪翔、宗森:《论刑事电子证据的取证程序——以计算机及网络为主要视角》,载《国家检察官学院学报》2005年第6期。
[27]参见丁丽萍、王永吉:《计算机取证的相关法律技术问题研究》,载《软件学报》2005年第2期。
[28]参见何家弘主编:《证据调查》(第二版),中国人民大学出版社2005年版,第162页。
[29]关于我国应当建立的电子证据原件规则,参见刘品新:《论电子证据的原件理论》,载《法律科学》2009年第5期。
[30] See supra note[10],p.10.这九个方面具体包括:(1)严禁在收集、存储和分析过程中改变原始的电子证据(包括只在电子证据复制件上分析、对电子证据原件进行防篡改加密等);(2)在收集、存储和分析电子证据的过程中严格作书面记录,记录的内容要特别包括收集到了何种电子证据,在何处收集到的电子证据,在收集之前、存储之际和检验之后何人接触过电子证据,电子证据是如何收集和存储的(包括所使用的工具和方法),电子证据是在何时收集的,等等;(3)对电子证据的任何改变作书面记录和解释,必要时建立稽核程序;(4)保持电子证据的连续性;(5)对有争议的电子证据进行完全复制;(6)复制电子证据的方法必须足够可靠(如可借助独立的哈希函数进行验证);(7)尽可能采取安全措施(如采取防干扰存储措施、写保护措施等);(8)正确标注各个环节的时间、日期和来源;(9)限制接触电子证据的人员,并进行记录。
【主要参考文献】
1.Hon.Shira A.Scheindlin&Jeffrey Rabkin,“Electronic Discovery in Federal Civil Litigation:Is Rule 34 Up to the Task?”,41 Boston College LawReview(2000).
2.Erin Kenneally,“Computer Forensics”,27 Magazine of Usenix&Sage(2002).
3.Brian Carrier&Eugene H.Spafford,“Getting Physical with the Digital Investigation Process”,2 International Journal of Digital Evidence(2003).
4.李炳龙、王清贤、罗军勇、刘镔:《可信计算环境中的数字取证》,载《武汉大学学报》2006年第5期。
5.刘品新:《论计算机搜查的法律规制》,载《法学家》2008年第4期。
6.许榕生:《国际计算机取证的操作规程标准化动态》,载《金融电子化》2003年第9期。