论如何收集电子证据步骤及保存的方法

1论电子证据的收集措施、方法及注意事项(刘惠杰)2012 年 11 月 2 日2目 录一、 电子证据概述 .3二、 电子数据的特性及特征 4三、 电子证据鉴定相关内容 7四、 电子证据检验的相关要求 .7五、 电子证据收集方法及步骤 .9六、 鉴定机构对电子证据分析的通用做法 .14七、 电子证据无法收集时可采取的相关措施 .16参考文献 .213、 电子 证据概述证据是一个案件的核心和灵魂，证据的确凿充分程度将决定一个案件的胜负命运随着社会信息化、网络化大潮的推进，社会生活中的计算机犯罪由最初的小荷才露尖尖角到目前的层出不穷，举不胜举，尤其是电子商务的迅猛发展和网络侵权事件的频频发生，使得电子数据的采集与认定成为审理案件的关键。电子数据是英文Electronic Data的译文，因为电子数据是随着计算机的发展而产生的，也有学者称之为“计算机数据” 。电子数据包括计算机程序和程序运行过程中所处理的各类信息资料，如各种系统软件、应用软件，文本资料、运算数据、图形表格等。 电子数据有两个特点：一是载体的特殊性即它是以磁盘、光盘、U盘等磁性材料、半导体材料为载体，以电磁或光信号等方式存储；二是无法直接感知性，电子数据的产生和传输以二进制代码方式来表示，仅仅通过电子设备转换才被人们直接感知。当案件发生后，警务人员需要将扣押或调取的电子证据4提交有权鉴定部门进行鉴定。电子证据司法鉴定机构依照法律规定的条件和程序，运用专门知识或经验，对案件中涉及电子证据的专门性事实进行检验、鉴别和判断，经鉴定形成的鉴定结论是法律明确规定的证据种类。通过电子证据司法鉴定机构鉴定并得出的鉴定结论才能够被法官采信，因此，对电子数据的证据能力进行分析与判定是非常必要的。因为在对与案件有关的证据材料进行分析考量时，司法机关重视的是对证据材料的证据能力的认定。、 电子数据的特性及特征判定电子数据的证据能力，首先要了解电子数据的特性，目前，电子数据可归纳为以下四个特性：(一)多媒体性：电子数据以计算机为主要载体，综合了文本、图形、图像等多种表现形式。(二) 不可见性：电子数据通过二进制编码方式进行存储、传输、处理。(三)易复制性：电子数据可以无限制复制，复制前后电子数据无任何区别(四)易破坏性：因为电子数据通过二进制编码的方式存在，数据可以被人为进行篡改，其真实性受到质疑。5因电子数据具有以上四个特性，能否将电子数据在诉讼中作为证据使用呢？这就涉及到电子数据的证据能力和证据规则，证据规则是指那些在庭审中或审理中对证据的可采性问题起支配作用的规则。 目前在许多国家立法确定电子数据具有证据资格，我国在民事诉讼法第68条第1款规定：“书证应当提交原件，物证应当提交原物，提交原件或者原物确有困难的，可以提交复制品、照片、副本、节录本。 要将电子数据采用为证据，电子数据不仅要具有法定证据的形式特征，还要符合证据的三个基本特征，即客观性、关联性和合法性。(一) 客观性客观性指证据反映案件事实的内容应当是客观存在，是真实的。电子数据通过物理方式存储于计算机系统内部及存储器当中，是客观存在，同时电子数据是网络犯罪过程中所遗留的痕迹和线索，是对客观案件的反映，内容是客观的。所以电子数据完全符合证据客观性的要求。(二) 关联性关联性指证据必须与需要证明的案件事实或其它有争议事实具有一定的联系。如果证据材料与案件不存在客观联系，就无法作为定案依据。判断证据与待证事实之间是否存在关联性，可从两个方面进行推论：一是从形式上，证据应当6与待证事实之间存在逻辑联系，通过形式推理推论出证据与待证事实的关系；二是从内容上，证据所反映内容直接或者间接证明案件情况。任何证据与待证事实之间的关联性都必须是可以认知的，否则就是没有关联性。由于证据与待证事实之间的关系可能存在千差万别，证据的关联性并不要求被所有人员认知。只要该关系已经被科学所确认，即使只有少数专业人员才能认知，也是具有关联性的。(三) 合法性证据的合法性指证据必须是按照法律的要求和法定程序取得的事实材料。我国的民事诉讼法和刑事诉讼法尽管没有明文规定合法性原则，但也有一些条款涉及此问题。证据的合法性，要从证据的主体、证据的形式要件、证据的收集程序或收集、提取方法这三个方面来衡量。因此，电子数据是否具有合法性，要看电子数据的提取是否是严格按照法律规定的程序或方法进行的。（1）在计算机犯罪案件侦查过程中，侦查人员提取电子数据时是否出示搜查证，扣押涉案的电子设备是否办理扣押手续并有证人在场。（2）电子商务纠纷当事人提交的电子数据是否以合法方式收集。（3）固定存储于计算机系统内的电子数据所用方法是否合法，是否有证人在场，证人是否在有关固定过程或方法的7记录上签字，履行相关手续等。只有提取的电子数据具备了证据的基本特征，即客观性、关联性和合法性时，电子数据才能真正作为诉讼证据在诉讼过程中得以采纳，进而成为定案的依据。、 电子 证据鉴定相关内容(一)检验过程的基本要求1999年英国警察局长协会和电子数据证据国际组织联合制定计算机司法检验的四项原则：(1)任何处理行为均不更改被检验介质上的数据；(2) 访问者接触原始介质，要具备相应的处理能力，要考虑其行为的是否必要，并在处理过程中可能造成的后果；(3)对证据处理的整个过程要完整记录，第三方可根据记录重复检验处理过程并产生相同结果；(4)介质处理人及相关负责人要严格遵守相关法律和以上原则，电子证据司法鉴定过程，是检验的过程。、 电子 证据检验的相关要求为确保证据的有效性，在检验过程中，要遵循以下基本要求：1不对原始数据直接分析。电子证据容易被损坏或者被修改，一个字节的改变都将失去证据的有效性，检验的关键是不破坏原始介质，检验前，必须对原始数据进行镜像拷贝，8然后对拷贝资料进行分析，保证原始介质的数据完整性。对于镜像拷贝使用的介质，应在复制电子证据前进行格式化，并标注说明，确保是空白干净的。2通过数学手段保障被检验介质完整性。对原始数据分析前必须进行数字签名，每一个分析步骤要进行完整性校验，如果每次的校验值一致，就证明在取证过程中没有修改电子数据，这样就保证了获取证据的可信度。3使用合法软件分析检验。分析数据的软硬件要合法、安全、可信，因此要使用合法软件进行分析检验，并记录检验的全过程。有条件的使用摄像机记录检验分析的全过程，对解除封存状态、检查过程的关键操作、重新封存等主要步骤必须多角度录像，以增加证据的硬度；无条件的要同时有两人以上人员进行详细记录，并有第三方人员进行全程监督。4保存检验环境。随着技术不断更新，分析软件不断的升级、淘汰，可能导致庭审质证时不能重现与先前完全一致检验结果，造成对先前检验结果形成怀疑，因此要保存检验中使用的软件工具，确保检验结果的可重复性。9、 电子 证据收集方法及步骤电子证据鉴定是对搜集的电子证据进行分析，鉴别其类型特点，确定其设备来源、地址来源及软件或操作来源，找出它们与案件事实之间的客观联系，使电子证据成为侦破犯罪，打击犯罪的有力证据。对电子数据进行检验，是发现和锁定与案件有关的电子数据的过程。由于电子数据具有易传播、易复制、易破坏等特点，对电子数据搜集时要具有确保证据安全的风险意识，保证电子数据的原始性和完整性。搜集的实体对象分为存储介质、电子设备、文档及其他资料。电子证据的种类包括：a.存 储 介质 包括存贮电 子数据的U 盘、存 储卡、移动硬盘、光盘、硬盘、磁带等。b.电子设备包括笔记本、台式机、服务器、mp3、手机、打印机、数码摄像机、数码相机、交换机、网卡、路由器、磁带机、数据线等。c.文档及其它资料包括需求 说明、方案、代码、软件设计10说明书、设计图、流程图、用户手册等各种文档资料。1.手机的数据搜集手机的数据存储介质一般有卡片、机身内存、可替换的存储卡，这些存储介质保存了与案件相关的数据如电话号码本、通讯记录、短信息、视频资料、记事本等，这些信息都是电子物证搜集的重点，必须予以保留。搜集手机数据时要做到三个禁止，一是禁止开启手机进行数据搜集；二是禁止在没有任何屏蔽保护措施的环境下，浏览或查看手机内容；三是禁止对拨入电话或短信息实施跟踪。三个禁止的主要目的：a.手机处于全开放的在线工作状态，随时发送至本机的外来短信息可能会覆盖原有的短信内容，被覆盖的短信内容或删除的数据，很可能就是案件需要的证据。b.查看和浏览手机内容时，任何不当的操作都有可能会删除重要的数据，因此，对于涉案手机，最好直接送到专业实验室进行检验。手机的电子数据的搜集步骤如下：a. 不要 对处 于关机状 态下的手机实施开机； b. 手机的连接的方式主要通过数据线，红外、蓝牙等搜集手机与计算机或其他专用的检验设备进行连接的外接设备及数据连接线；11c.搜集相应 的手机驱动软 件、应用软件等；d. 搜集手机的电源充电器及操作说明书等。2.对于处于关机状态的计算机设备电子数据的搜集通用的开机查看、浏览系统中的文件，会导致电子数据的属性改变，如果案件涉及开机时间搜集，通常的操作将导致搜集条件的缺失，所以对处于关机状态的计算机电子数据的搜集步骤如下：a.不要对处 于关机状 态下的计算机实施开机；b.切断被检查设备中硬盘的电源;c.拔下硬盘 数据线，阻断被搜集的硬 盘启动系统;d.送交鉴定机构3.对于处于运行状态的计算机设备电子数据的搜集对处于开机状态的设备，不能采取简单的处理方式，直接关闭电源收缴封存设备，这种做法带来的后果不仅可能会导致重要的证据数据丢失或破坏，而且会对后续的数据分析与检验增加更大的技术难度。例如对正在运行的应用系统，关闭电源后，一是造成内存中处于动态运行的程序和文件因此丢失，屏幕显示的全部信息不能重现；二是即使能够对各种存储介质中的数据进行完整的克隆备份，但对于需要在实际运行中分析检验的专用12系统，重新搭建系统运行环境，则有可能会遇到系统启动密码，文件加密、应用系统运行需要支持的各种工具软件的安装等。对处于正在运行状态的设备的搜集步骤如下：a.对 内存中运行的数据、显示器显示的信息进行获取,录像，拍照或者屏幕拷贝;b.搜集系统涉及的密码或者系统中对系统涉及的密码进行记录；c.搜集支持系统运行的各种 软件，涉及依托网络运行的专用系统，要将服务器、客户端、中间件、交换机或路由器一并搜集封存；d.取消操作系统、应用系统、防火墙中的清理痕迹、清理垃圾、清理插件、清理注册表等功能；如与黑客、病毒、木马有关，须暂停杀毒软件中的自动清除病毒、木马功能；e.将剪贴板内容拷 贝 到WORD或画图软件中；f.将以上的操作详细记录，备份，存档；g.送交鉴定机构。4.确定电子数据存储位置和表现形式用户要尽量明确与案件相关的电子数据所在的逻辑位置，尽可能阐述电子数据存储的逻辑分区名，分区的格式、相关文件类型等，便于鉴定机构尽快获取信息：13a.缩 短案件的检验周期。因 为现有的存储介质容量越来越大，进行数据恢复时间太长，易造成时间浪费，可能会延误案情，不利于案件的及时举证，如果造成犯罪嫌疑人出逃，将会给案件造成无法挽回的损失.b.提高检验结果的准确性。将数据恢复操作确定在已知分区内恢复，文件数量、文件类型的大量减少，可提高检验结果的准确性，降低案件分析的复杂度。14、 鉴定机构 对电子证据分析的通用做法a.电 子 证据硬件 设备 来源分析 研究CPU、软盘、硬盘、磁盘阵列等计算机设备，研究网络接口卡、中继器、交换机、路由器等网络设备处理或存储数据的特征与规则，以此为内容建立标准设备特征数据库与规则库，利用模式识别等方法分析电子数据证据中所包含的设备特征，从而确定其硬件设备来源b.电子证据IP地址来源分析 研究建立路由信息数据库及关于IP算法的知识库，分析产生该电子数据证据的真实IP地址，对 抗IP 地址欺骗行为等c.电 子 证据 软件与操作来源分析 研究办公系列软件、电子邮件收发程序等常用软件及远程操作、黑客、插件等有害软件或操作的特征及系统中可能发生的危险动作的共同特点，识别电子数据证据中包含的危险信息，对怀疑为有害的代码，利用虚拟运行技术，通过描述仿真与环境仿真令代码在受控状态下运行，记录运行过程与结果，并将其与实际的电子数据证据进行比较，从而认定电子数据证据是否来自有害软件或操作15d.电子证据内容分析电子数据证据包括两种类型，一种是文件系统中所存在的本地数据或搜集来的网络数据，另一种是周边数据(如未分配的磁盘空间、临时文件或交换文件其中可能含有与系统中曾发生过的软件的运行，特定操作的执行、曾经进行过的Internet浏览、Email交流等相关的信息)，而电子数据证据内容分析技术就是通过在这两种数据流或信息流中寻找、匹配关键词或关键短语，以及对数据中所记录的系统曾进行的Internet访问的URL、Email交流的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系。16、 电子 证据无法收集时可采取的相关措施除了手机、计算机等电子设备外，目前还出现了越来越多的互联网数据，互联网数据主要通过数据传输实现信息交流，由于在互联网上传输的数据信息本身的流动性、不稳定性及目前对数据信息的储存均以磁性介质为载体，因此互联网电子数据搜集的存在以下难点：1.互联网电子数据信息内容很容易被删改，极易遭到破坏且不留任何痕迹等特性，使其一旦作为电子证据被出示时，其内容的真实性和储存手段的安全性就难以保证。2.互联网电子数据具有极强的技术性和精密性，权利人搜集存在难度。3. 互联网电子数据高度加密技术妨碍了权利人对证据的调取和保存。为切实保障权利人利益，权利人可根据现实情况通过以下三种手段进行互联网电子数据保全：1.权利人申请法院对涉讼的电子证据进行保全;2.通过公证机关对涉讼的电子证据进行保全；3.权利人通过网络服务提供者提供信息自行保全证据。17a.申请法院对涉讼的电子证据进行保全我国民事诉讼法第74条规定“在证据可能灭失或者难以取得的情况下，诉讼参加人可以向法院申请证据保全。人民法院也可以主动采取保全措施。”在民事诉讼中只要符合这两个条件就可以申请证据保全。权利人申请诉前证据保全的步骤：(1)提供权利证明并说明其基本情况，以证明自己是权利人。(2)提交初步的证据或材料。证据或材料包括：(a)申请人授 权用户或者比较大的授权用户中不包括被申请人；(b)已经收集到的关于被申请人实施侵权行为的详细线索；(c)被申请 人实施侵权行为的具体地点和使用设备；(d)申请保全证据的具体内容、主要特征以及证据鉴别的基本方法;(e)提交 证据表明，在向法院提出申请以前，为获取相应证据，已经采取了其他措施并付出了努力;(f)按法庭要求的方式和数额，提供相应担保； (g)权利人的姓名、联系方式和地址；(h)要求删除或者断开链接的侵权数据的名称和网络地18址。 b.通 过 公证 机关对电 子证据进行保全公证是指公证机关或公证人根据当事人的申请并依据法律的规定，对法律行为或有法律意义的事实或文书的真实性、合法性进行证明的活动。最高人民法院关于民事诉讼证据的若干规定第九条规定除非有相反证证据足以推翻，已经为有效公证文书证明的事实无须证明，这从立法上肯定了公证文书的效力。我国实行的是实质性公证审查，不但要对事实的真实性做出证明，还包含对行为合法性的审核，通常由我国公证机构做出的公证证明，法院都直接作为有效证据采信。网络公证是指与公证相关的对象、方法、过程、管理等诸要素中至少有一项涉及到计算机网络的公证。网络公证的特点：(a)运用先 进的网络技术手段实现对网络世界中证明的需求(b)运用的软件流程局部或全部实现某些网络世界中的证明。网络公证在法律事实、法律行为上的证明权的性质没有改变，是公证证明权在网络领域的延伸运用，是公证机构主动适应变化了的公证对象。对当事人提出的证据法院是否作为有效证据加以采信，19是在双方当事人的相互质证之后。因此，网络公证的法律效力也不是无可质疑的。双方当事人质证后的意见，法庭才能采信。如果有相反证据推翻公证书，同样会得到法庭的支持。因此，网络公证并非证据固定的必经之路，网络公证是否具有证明力，能否达到真正对已有利的诉讼效果，是当事人在采取网络公证这种证据保全方式时必须首先考虑的问题。c.权 利人通过网络服 务提供者提供信息自行保全证据。在计算机网络世界里，权利人无疑是取证的弱势群体但也是最清楚案件事实，最知道证据的情况及线索的人，但对信息网络的飞速运行仍会力不从心：(a). 权利人需要随 时保全证据, 因为网络24小时不间断的运转，网络著作权侵权随时可能发生，国家机关的8小时工作制度不能随时满足网络取证的需要；(b). 网络信息随时可能被删改、破坏，