为推动《电子商务法》等法律法规应用,进一步提高执法办案队伍能力,首届全国市场监管系统执法办案电子数据取证大比武活动将于年12月10日至11日上午正式开幕。为了让大家更好地掌握电子数据取证的相关知识,了解比赛动态,市场监管半月沙龙将组织专题报道,推出系列文章。今天为大家推出首篇文章,欢迎阅读。
电子数据是《行政诉讼法》法定的一种证据类型。原工商总局于年专门下发了《关于工商行政管理机关电子数据证据取证工作的指导意见》,对电子证据的定义、取证原则、取证方式、取证程序,以及询问笔录和检查封存的要求作了框架性规定,但目前仍未制定具有可操作性的电子数据取证细则规范,加上基层缺乏专业人员、缺少专业设备和鉴证辅助,严重影响了涉及电子数据取证案件的查办。根据现行相关法律法规、标准规范和《司法鉴定程序通则》等,可以归纳出贴切于市场监管行政执法实际的电子数据取证四个要点:取证准备、证据识别、证据收集固定、证据分析。简要分析如下:
1.
取证准备
取证人员在前往现场进行检查取证前,必须做好充分的准备工作,包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的计算机有几台等。根据所了解的案情,确认前往现场检查的执法人员并准备好取证设备。取证人员应做好以下预案。
1.1进入现场预案
根据计划查明计算机的类型、数量和涉及的介质,准备需要的软件、硬件;确保预先拥有工具箱的所有工具,如刻录机和开机工具;拥有备份和复制所必需的介质,如空白光盘或硬盘。
1.2人员分配预案
充分考虑什么样的人员适合什么样的工作,也是准备工作的一部分。检查过程中执法人员需要根据自身知识特长进行分工协作,所需掌握的知识主要包括现场检查的基本流程及注意事项、主要电子文件类型的识别、电子证据的固定流程和方法、正确扣押计算机的手段、现场检查笔录和取证笔录的制作。
1.3现场检查预案
为确保整个检查过程能顺利进行,主要注意以下几个问题:
正确对待现场涉案人员。随着计算机科学技术的广泛应用,当事人往往会雇佣具有较高计算机编程能力的职工进行网站管理和后台运作,同时由于手机等可携带设备的高度智能化,现场任何人员均可通过联网电脑或联网手机远程关闭网站服务器或远程删除涉案电子数据,所以应正确对待现场任何一名涉案人员,而非简单地只针对负责人或财务人员。
正确对待现场所有设备。电子证据具有易失、易被修改的特点,其中易被修改包含两个层面的意思:一方面是数据在被作为证据固定前可能被修改,例如我们在现场取证时经常发现涉案电脑有现场被删改或重启、关闭的痕迹;另一方面是调查取证人员自身在收集电子证据的过程中,由于取证方法或取证流程不当等原因,造成原始证据被修改。因此,现场检查人员在调查每一个电子介质的时候,都要求所取证设备在取证过程中未受第三人不当操作并完整记录检查的每一个步骤。
正确考虑现场以外的涉案因素。检查人员在现场应充分考虑在现场检查过程中,待检查计算机是否处于联网状态,是否需要处理联网状态。从原则性讲,在调查的过程中应将网络断开,防止违法经营人员或同伙通过远程方式进行数据删除等破坏工作。但是,由于部分案件的特殊性,如网络传销案件或网络刷单案件,其大部分会员数据和网站相关数据均存放在远程代理服务器中,服务器所在地和经营场所所在地不在一起,而两边同时进行检查的难度又极高。这时候对涉案经营场所的联网电脑进行细致检查,寻找远程服务器访问记录或数据备份就显得至关重要。
1.4准备好相关现场检查手续
在对当事人经营场所进行电子数据的取证工作时,除了像常规行政执法案件一样需要制作《现场检查笔录》《询问通知书》等文书外,还需要准备相应的取证笔录文书。取证笔录是指将取证证据种类、方式、过程、内容等取证情况通过制作笔录方式进行固定。电子取证所做的现场笔录,相比一般案件实施现场检查时制作的现场笔录,专业性要求更高,内容也更详细,一般包括以下内容:检查时间;检查地点;当事人身份信息;检查人员身份信息;检查目标及证明对象;电子数据原始载体保存情况;取证使用的方法和工具;取证步骤;证据形成数量及保存方式;执法人员和证据提供人签名或盖章。当事人拒绝签名或盖章的,应当在笔录中注明,并邀请适格见证人在笔录签名或盖章予以见证。同时,有扣押当事人电子介质的,还要制作相应的《实施强制措施决定书》《证据清单》与取证笔录相互印证,形成现场检查完整证据链。
2.
证据识别
在现场,能否有效地识别并收集电子数据证据,对后期证据分析与展示至关重要。
2.1确定重点检查区域
重点区域根据不同案件类型进行具体划分,常见如下:网络传销案件重点区域为网站管理员办公电脑和服务器;网络售假案件重点区域为发货人员办公电脑和仓管系统管理员电脑;网络广告案件重点区域为网站运营、美工设计人员办公电脑;网络刷单案件重点区域为“刷手”办公电脑和刷单系统服务器……
2.2快速进行证据识别
利用电子设备进行违法经营的活动越来越多,案件现场可能出现各种各样的电子证据,覆盖范围从台式计算机到智能手机到便携U盘。这些介质上的图形文件、音频文件、文本文件以及其他数据很容易被删改或被忽略。这就要求现场检查人员依据相关法规,有方法、有技巧地对这些设备进行识别和检查。
2.3现场拍照/录像
现场检查人员在接触设备之前,应该通过拍照、执法记录仪录像等方式对现场进行记录,只有该区域已经被记录,才可以展开检查取证工作。整个现场检查过程也应被详细记录。
拍摄的照片必须能够清晰显示重要的证据信息,特别是反映当前系统中应用程序的运行状态。例如,用户正在浏览的网页及该网页上显示的登陆账号信息、用户正在使用的聊天软件上显示的账号、用户正在使用的财务软件和货物调配软件显示的内容等。
对于需要保持联网进行实时取证的设备,应该通过实时录像进行记录,录像应记录下检查人员实时取证的整个操作过程。这里需要注意的是,在录像时应保持对整个操作界面的录像,而不是只拍摄检查人员在操作设备却未拍到操作设备的屏幕内容。
3.
证据收集、固定
3.1静态电子数据的现场复制取证
电子数据的提取有多种方式。在存储介质没有通电的情况下,存储在该介质中的电子数据会处于相对稳定的状态,也可以称之为静态。对于静态电子数据,一般的处理方法相对比较简单,需要借助专门的设备或工具来读取,同时要保证不会篡改介质中存储的数据。通过存储介质进行位对位复制及磁盘镜像制作是最为通用的静态提取方法。在进行电子取证的案件中,通常采用硬盘复制机设备对原始计算机硬盘进行位对位复制,这样可以有效保证原始硬盘处于写保护状态下,将其中的数据完整、精确地复制到另一个硬盘副本。复制完后,硬盘复制机会生成完整性校验值(通常为哈希值),检查人员应当记下该值以备使用,必要情况下还应将该值记录在相应的取证笔录和证据清单上,不仅可以用来检验生成的复制数据与源硬盘数据的一致性,还可以确保复制数据的完整性。除了复制取证外,还可以使用镜像制作的方法对静态电子数据进行取证。通常使用专业的镜像制作软件将源硬盘数据制作成E01镜像文件,后续可以基于镜像文件进行分析,不对封存的源硬盘进行任何读写。
3.2动态电子数据的现场复制取证
动态电子数据是指正在运行的电子数据,通常指现场正在运行的软件、文档、加密容器、在线网页或服务器等。动态电子数据特别是在线电子数据的提取,相较于静态电子数据的提取,难度更大且证明力更低。电子证据的原始性是认定其真实性的重要依据。由于动态电子数据(大部分为在线数据)是实时更新的,无法保持证据的原始状态,甚至在质证过程中,当事人完全可将在线数据进行删改从而无法进行“查证”,更谈不上确认“属实”。所以在现场针对动态电子数据进行取证时,除了可以提前邀请鉴定人或公证员进行鉴定公证外,还可以在当事人或见证人在场的情况下,使用当事人实时联网的计算机进行取证。现场检查所取得的证据比询问调查所取得证据更具有可信度,且所取得互联网电子证据可与《现场检查笔录》相互印证。以取证网页数据为例,动态电子数据的具体取证操作程序如下:
一是在电脑上运行屏幕录像软件开始录屏,同时使用外置摄像机设备(推荐使用执法记录仪)对整个操作过程进行录像。
二是到国家授时中心(或百度搜索北京时间)查看标准时间,将电脑时间和录像机时间调整准确。
三是对电脑安全性及操作环境进行清洁性检查:使用杀毒软件进行全盘查杀(以保证取证电脑未受病毒和木马感染入侵);打开任务管理器,查看程序与进程(以保证取证电脑未装后门程序);在IE浏览器的Internet选项下的“常规”选项中选择删除“浏览历史记录”并删除默认网址,输入“about:blank”,在“连接”选项中点击“局域网”设置(以保证取证电脑没有连接网络代理);用记事本程序打开检查取证电脑hosts文件(以保证取证电脑未经人为篡改系统、未被连接到虚拟网站);在cmd命令窗口输入“ipconfig/all”查看本地电脑IP地址(以保证取证电脑接入互联网的真实性);在命令窗口输入“ping
转载请注明:http://www.0431gb208.com/sjszlff/4829.html
