电子犯罪取证浅谈——技术的发展及国外的相关法律摘要:本文介绍了新技术下电子犯罪取证的新特点和电子犯罪取证的过程,同时讨论外国三部主流法律的异同点,然后提出了我国如何建立自己犯罪取证法律法规,总结了电子犯罪取证的法律和技术结合。关键字:电子犯罪取证;法律法规;取证技术;现代电子犯罪取证技术简介随着科技的发展和电子产品的普及,越来越多的电子产品出现在我们日常生活和工作中,其中一些产品和技术已经成工作,学习和生活中不可替代的重要组成部分;同时,人们对计算机和网络的依赖程度越来越高。无论是传统的各类刑事案件,经济案件或政治案件等,还是现在的高科技,高智商犯罪案件;许多案件的重要证据都不可避免的留在电子产品中或介质中。随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证,从而电子犯罪取证(digitalforensics)就应运而生。电子犯罪取证的基本要求是完整性,可信性和准备性的基本要求,它们是相辅相成的缺一不可的关系[3]。在上世纪80年代,随着计算机的普遍应用,许多罪案的发生所留下的证据都完整的保存在计算机上(相当一部分是经济犯罪,比如经济诈骗中的信用卡诈骗)。所以计算机犯罪取证(computerforensics)理论也就应运而生了,当时仅仅使用一些常规的软硬件工具把计算机的数据进行提取或还原,从而作为法庭上的重要证据而使用。比如银行电脑里边的交易数据记录了嫌疑人的信用卡使用记录,其中包括时间,地点,终端机器和金额等重要信息数据。网络犯罪取证技术随着互联网的发展,网络已经成为人们工作和生活的一部分。因此有很多新形势的犯罪数量都依托的网络的发展而急速上升。其中,个人信息的盗用成为当下最紧急的问题,犯罪嫌疑人通过盗用个人信息,从而盗取个人财产,败坏个人信誉,或冒充受害人进行其他违法犯罪活动。因此,网络犯罪取证(networkforensics)技术也有飞速的提高,从而来应对各种突发的网络问题。其中,网络犯罪取证与之前的计算机犯罪取证既有相似相通的地方,也有它在的当前环境下的新特点[4]。首先,网络犯罪取证技术既有对网络终端设备上的数据的读取和还原,也有对网络的线路的上实时数据的截取和嗅探。根据现行的网络基本结构,协议和规则,数据被层层封装和加密,并且每层的封装都添加不同的信息进去。所以,在取证时候,技术人员不但要获取数据包,而且还要对数据包进行拆包分析。在遇到大量数据时候,还要考虑数据的还原的一致性和完整性。其次,网络犯罪取证的技术也引领了取证设备和技术的软硬件的提升。网络取证设备不但需要传统的取证设备作为证据提取的工具,而且还需要新的设备能还原或模拟当时案件发生时候的网络环境。现在网络攻击是个频发的案件,它具有即时性,突发性和变化性;一旦它发动就会给网络和受攻击设备以致命的破坏,甚至还能攻破网络防御体系进而获得有价值的数据和信息。当我们取证时候不能只是提出网络攻击的结果;同时还需要把攻击持续的过程中的破坏给举证出来。这就需要我们去模拟受害设备及网络环境所受到的攻击及所承受的破坏,以及造成的结果。这样才能符合犯罪取证的完整性的要求。从而,新的犯罪取证技术----虚拟环境模拟平台就应运而生了。再次,网络取证还应做到即时性的要求。在网络攻击和入侵发生时,需要一个完整的,准确的防御体系去客观记录这个网络攻击和入侵发生的整个过程。这样的记录在传统取证里边包括:日志文件,登陆记录,出错记录等一些系统自身生成的记录。但在新形势下,我们还需要举证一些以前不常见的证据去证明罪案的发生和严重程度。电子犯罪取证的相关法律电子犯罪取证技术的发展是为现在的法律服务的,它是一个工具来获取嫌疑人的犯罪证据的手段。所有,电子犯罪取证技术所获得内容是否有效,还是需要国家相应的法律来进行支撑和约束的。在我国也有一下相关法律和法规,比如1994年2月18号国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,以及《刑法》的相关规定。但是,我国一部关于电子犯罪和取证技术的基本法出台。所以,本文会对国外的电子犯罪取证技术的法律进行解读和分析,希望能为我国相关法律的建设起启示作用。世界上,在犯罪取证技术走线前言的有美国,英国和澳大利亚等国家,他们不但拥有先进的技术和完善的设备支持,而且最重要的是有着完善的标准的法律和法规的支持,这里指的是专门为电子犯罪取证所出台的法律和法规。它具有专门性,专业型,完整性,和时效性。通过不断的修改,现在已经成为国外司法界里边的重要的组成部分。比如:美国的司法部发布的”ElectronicCrimeSceneInvestigation”[2],英国高级警察协会(ACPO--CrimeSceneInvestigation)发布的”CrimeSceneInvestigation”,以及澳大利亚发布的HB171-2003”GuidelinesforthemanagementofITevidence”[1]。这些法律和法规都是对现实的电子犯罪取证技术具有规范和指导意义的。由于英国和澳大利亚的法律制度的同根性,所以两个国家的电子犯罪取证的法律法规也是相似的。所以本文将以美国和澳大利亚的犯罪取证法律的不同和相同点的比较的形式来介绍国外的电子犯罪取证法律法规[2]。一方面,介绍一下两个国家法律法规的相似性。首先,它们都是指导性的法律法规,即没有比较强性规定。比如:取证过程都分为,证据的设计规划,恢复收集,保存存放,分析定性。它可能因为一点误操作或系统环境的改变而改变,从而使证据的完整性受到破坏。然后,这些法律规范都对电子犯罪取证所获得的证据的完整性,可信性,和准确性有这个严格规定。这个法规规定的宽松的取证方式不同,它要求证据的取得的整个过程必须是完整的准确的,记录每一步都必须是详细的。这里有个重要概念,即犯罪证据时间轴(timinglinkofevidences)[1]。这个时间轴必须是完整的,即从取证人员接触证据那刻起开始记录,到最后证据的取得和存放都必须有详细准确的记录。其中,纸质的登记和记录是必须的,还需要影响资料的记录和对操作员的行为的认证。操作员行为的认证方法有比较多的方式可以实现,其中,必须保证至少有两名操作员同时在场的情况下来处理所获得的证据,这种方式是有效和可信的。最后,国外的法律法规都有比较偏重于证据的可信性上,及最后出现在法官面前的证据是否能起到有效的作用。在这里,他们都把定义犯罪取证的过程有着详细的说明,具体到在一定的时间和条件下才能做特定的事件[4]。比如,对于数据存储介质的还原,它需要一个干净的物理环境,而且介质上的数据部能被“污染”。要做到这点,就需要一个特殊的实验室,及电子犯罪取证实验室。它的建立是电子犯罪取证技术的职业化的必然趋势。实验室不但需要先进的设备,而且还需要具有开发和创新能力的专业人才进行取证工作。这样的数据才能是准确的,不是偏薄的,公正的。同时,法律上有了具体和详细的规定,他们的工作才能得到法庭的采信。另一方面,电子犯罪取证法律又根据各国法律制度的不同而不同。以美国和英国,澳大利亚的电子犯罪取证法律为例。由于英国和澳大利亚的电子犯罪取证法律有着大陆法系的“影子”,它们都对电子犯罪取证过程有个详细的完整的概念性的定义。有着相同的取证过程和步骤,基本是有取证前的规划,证据恢复,证据获取,证据收集,证据分析,证据保存及最后证据定位(后文有详细解释)。但是,在这个反面美国法律有其特殊的一面,它不但有过程的规定,而且有针对每种电子设备如何进行取证有着法规性的文件[2]。比如,硬盘需要取证就分为:坏道的恢复取证,隐藏文件的取证,配置文件的取证等许多种。这个法律就是典型的判例法表现形式。在美国的取证法里边,定义取证目标的基本属性很重要,也就是指该电子设备属于哪一类电子产品。比如,硬盘的取证就属于计算机的取证范围,SD卡的取证也属于计算机取证范围。以为他们都是文件存储介质,然后定义目标的特性和取证技术。而网络设备如:路由器,手机等,则是网络取证范围,他们有着网络犯罪取证的相同技术和设备条件。总结本文概况性的介绍了电子犯罪取证的发展历程,和其中的技术演变的原因和过程。电子犯罪取证技术一定会随着科技的不断发展而发展,但是每次电子犯罪取证技术的发展都是“被动式”的。总是受到新型犯罪威胁后才能做出相应的反应。由于现在科技进步速度飞快,电子犯罪取证数据需要有其主动式的发展,比如,DMZ区域的建立和Honeypot技术的联合应用,从而形成“主动式”防御区域。它既可以阻止入侵,又可以对入侵进行分析和取证。因此,“主动式”的电子犯罪取证技术必然是发展趋势。总之,电子犯罪取证技术和法律法规会随着社会进步,而走进人们的日常生活中来。参考文献[1].Handbook:GuidelinesforthemanagementofITevidence(HB171),SydneyNSW,Australia,2001[2].ElectronicCrimeSceneInvestigation:AGuideforFirstResponders(ECSI),WashingtonDC,US,July2001[3].JohnR.Vacca,ComputerForensics-ComputerCrimeSceneInvestigation(M),2005,P217-301[4].许秀中,网络与网络犯罪(M),北京:中信出版社,2003,P94-147