搜索
电子证据的概念、特征及种类1.电子证据的概念为了进行电子证据的研究,避免发生认识上的混乱,只有精确地理解其概念的内涵和外延。从逻辑学的角度来讲,电子证据概念的内涵应当是电子证据所反映的客观事物本质属性的总和;电子证据概念的外延是指具有电子证据内涵的客观事物的总和。逻辑学没有必要明确回答电子证据的内涵和外延到底是什么,但是电子证据学的首要任务就是明确电子证据的概念。如果不能掌握电子证据概念的内涵和外延,我们就不能正确制定电子证据的规则、原则,电子证据的可采纳性、证明力、归类及其审查判断等方面的研究也难以做到有的放矢。因此对电子证据的研究首先从概念开始。对电子证据概念的定义目前主要有以下几种:概念1:网上证据即电子证据,也被称为计算机证据,是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。概念2:电子证据是指订立合同的交易主体通过网络传输确定各方权利义务以及实施合同款项支付、结算和货物交换等的数码信息。概念3:电子证据是以通过计算机存储的材料和证据证明案件事实的一种手段,它最大的功能是存储数据,能综合、连续地反映与案件有关的资料数据,是一种介于物证与书证之间的独立证据。概念4:电子证据是存储于磁性介质之中,以电子数据形式存在的诉讼证据。概念5:电子证据是以数字的形式保存在计算机存储器或外部存储介质中、能够证明案件真实情况的数据或信息。5、尽管从概念的内涵和外延等角度考量,这几种关于电子证据的本质属性和对象范围的描述仍有认知上的差异,我们还是能够在一定范围内达成共识:首先电子证据的产生、存储和运输离不开计算机技术、存储技术、网络技术的支持;其次,经过现代化的计算工具和信息处理设备的加工,信息经历了数字化的过程,转换为二进制的机器语言,实现了证据电子化。“电磁记录物”、“数码信息”、“计算机存储的材料”、“电子数据”等用语实际上正说明了电子证据的独特存在形式。再次,电子证据是能够证明一定案件事实的证据,这是其作为诉讼证据的必要条件,因此,不能把保存在计算机及其外围设备中的数据都看成是电子证据。笔者认为,由于电子证据的研究在司法和计算机科学等领域还是一个新课题,因此对电子证据的概念一时难有定论。令人欣慰的是,目前的研究者虽然对电子证据的理解程度和角度有所不同,但是对电子证据的本质属性却达成了一定的共识,这就为进一步的合作研究与交流打下了基础。2.电子证据的特征特征是作为人或事物特点的征象、标志等。特点是人或事物所具有的独特之处,因此它排除了与他人或他事物共性的东西。既然电子证据是一种新的证据形式,我们就要分析它的“独特之处”。对电子证据特点的归纳主要有以下两种观点可供参考:观点1:电子证据具有无形性、多样性、客观真实性、易破坏性等特征电子证据首先具有内在实质上的无形性,也就是说电子证据实质上只是一堆按编码规则处理成的“0”和“1”,看不见,摸不着。其次,电子证据外在表现形式的多样性,它不仅可体现为文本形式,还可以图形、图像、动画、音频及视频等多媒体形式出现,由于其借助具有集成性、交互性、实时性的计算机及其网络系统,极大地改变了证据的运作方式。再次,电子证据具有客观真实性。排除人为篡改、差错和故障等因素,电子证据是所有证据中最具证明力的一种,它存储方便,表现丰富,可长期无损保存及随时反复重现。另外,电子证据具有易破坏性,由于电子数据是以“比特”的形式存在的,是非连续的,数据被人为篡改后,如果没有可资对照的副本、映像文件就难以查清、难以判断。至于误操作、病毒、软硬件故障、系统崩溃、突然断电等意志以外的因素也可导致数据失真。观点2:电子证据除具有高科技性、无形性、复合性、易破坏性等特征外,还具有收集迅速,易于保存,占用空间少,传送和运输方便,可以反复重现,作为证据易于使用、审查、核对,便于操作等特点。观点3:电子证据具有双重性、多媒体性、隐蔽性、易保管、传输方便、可反复重现、便于使用等特征。双重性是指电子证据具有较高的精密性和脆弱性,既有高科技为依托,又存在易错和易毁损的不利情形;多媒体性与前述的“多样性”、“复合性”说法不同,实际上并无多大出入;隐蔽性是指电子证据必须用特定的二进制编码表示,数据存储于磁性介质中,一切都由这些不可见的无形编码来传递。观点4:电子证据是现代高科技发展的重要产物和先进成果,是现代科学技术的发展在诉讼证据上的体现,它与其他证据相比主要有技术含量高、易被伪造和篡改、复合性、间接性,此外,电子证据由其本身的特性决定了它具有无形性、易收集性、易保存性、可以反复重现等特性。值得注意的是观点4认为由于电子证据容易被伪造、篡改,再加上电子证据由于人为的原因或环境和技术条件的影响容易出错,以及我国现阶段执法人员和专业技术人员的实际水平还很难做到电子证据遭破坏后还原,所以,在很多情况下,电子证据常常作为间接证据使用。因此,间接性亦是电子证据的特点之一。不过亦有学术观点认为,电子证据的法律属性不应是间接性的,不论是因为其本身的特点,还是依据社会发展,国际通行做法;传统法律的框架,装不下包罗万象的社会问题,而电子证据的发展一定会冲破传统证据法律的束缚。3.电子证据的种从广义上来讲,任何类型的电子证据都是一群由0和1以二进制形式组成的电子数据。但对于检察机关来讲,主要接触到的电子证据有如下几类:1.电子账目。由于贪污和渎职类犯罪大多会涉及到单位的账目,而现在的单位又大多都采用电子记账,因此电子账目是检察机关侦查部门最常接触到的电子证据类型之一,主要包括包含账目内容的电子表格和由账目管理软件生成的电子账簿。2.Office文档。单位内部或单位之间的往来公文多以word文档的形式进行,以取代过去的纸质文件,而简单的数据录入和统计则多以excel表格的形式进行反应。这类office文档自然成为检察机关侦查案件的重点关注对象。3.数码相片。随着数码相机的普及,一些数码相片可能包含与案件相关的信息。但数码相片不同于传统的胶卷底片,对其修改和编辑相对简单,且隐蔽性强,其甄别工作则需更加谨慎。4.音、视频资料。现在的录音录像设备种类繁多,成本低廉,连我们日常使用的手机都可以进行录音录像。但需要注意的是,作为证据使用的音、视频资料应当保证声音清楚,图像清晰,确保其可靠无疑异。若要对音频资料进行声纹鉴定,则需要确保音频的采样率和编码率达到检测仪器的要求。5.电子邮件。现如今自然人、法人之间通过电子邮件进行联系及公务往来的行为越来越频繁,乃至于合同的谈判、磋商和订立都可通过电子邮件完成,其快速、便捷,易保存及易销毁的特性已被人们所熟知,而电子邮件中往往存在着重要的信息,对于案件起着关键的作用。6.手机信息。手机信息分为两部分,一是通讯录、通话记录和短信息等,这类信息主要存储在手机内存和存储卡上;二是手机录音和录像,这类信息亦可归为音视频资料类,主要存储在存储卡上。凡是存储在存储卡上的数据删除后可利用恢复软件恢复,存储在手机内存中的数据删除后不易恢复。研究背景及意义随着信息技术的不断发展,计算机犯罪变得日益猖獗,其严重影响了人们的生活方式,阻碍了经济、政治的良好发展。计算机犯罪是与高科技相伴而生的新型犯罪,它具有手段越来越智能化和隐蔽性的特点,单靠传统的网络安全技术来防范计算机犯罪已经越来越困难,因此需要增强人们的安全意识及完善相关法律法规。计算机取证就是在这种背景下诞生的,所谓计算机取证是对电子证据进行获取、保存、分析和出示的一个过程,其任务就是挖掘和收集犯罪分子的犯罪痕迹。通过研究计算机取证,可以有效地打击和预防计算机犯罪,对完善计算机网络安全体系有重要意义。本文通过研究国内外的计算机取证发展状况,指出了当前取证技术存在的问题,提出了主动取证模型的思想。主动取证系统通过植入取证代理实时监控目标主机,能对目标计算机实时取证,克服了静态取证方式缺乏实时性的缺点,提高了取证的有效性。主动取证系统并没有抛弃静态取证的优势,通过实现一个告警功能,使静态取证与主动取证相结合,当告警发生时,能及时通知相关取证人员到犯罪现场,利用静态取证优势进一步获取证据。动态取证是计算机取证的发展趋势,但当前其主要聚焦于理论的研究,涉及到的动态取证方式也主要与防御思想的入侵检测技术和蜜罐技术相结合,而很少涉及到与主动出击获取证据的技术相结合,主动系统通过使用远程控制等技术能针对某一目标主动出击获取电子证据,这是对当前动态取证系统的有力补充,体现了计算机取证从主动防御到主动出击的转变。本系统是一个使用多代理的网络取证系统,在功能设计上分为:证据获取模块、证据传输模块、证据存储模块、证据分析模块以及管理控制模块五个主要模块,并分别进行了设计、技术研究及开发。同时,系统设计时通过运用分层、模块化、可移植性等设计原则,实现了一个可跨平台、动态扩张的机制,并为各种操作系统平台取证提供了一个统一的管理接口。电子证据是计算机和网络科技高速发展的产物,是将法律与高科技相结合的一种新形式的证据。电子证据的取证规则、取证方式都有别于传统证据,需要通过特定的技术手段进行分析和获取,因此在电子证据的取证过程中应当注意规范取证流程,遵循一定的原则和方法。电子取证的原则和方法一、电子证据的取证程序应严格规范1.证据现场的保护。取证人员进入现场后,应迅速封锁整个计算机区域,将人、机、物品之间进行物理隔离;保护好计算机日志,对数据进行备份,切断远程控制;封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份;提取涉案计算机硬盘、移动磁介质、光盘等,特别应注意对当事人随身携带的存储介质的提取。2.证据的提取和固定。提取和固定电子证据时,一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏,只有这样,才能保证电子证据的真实性、完整性和安全性。在取证过程中,应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份,记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。3.证据的分析。应当注意的是,所有的检查和分析工作应该在备份件上进行,以保证原始证据的可靠性和可信性。对电子证据进行数据分析,必须考虑计算机的类型,采用的操作系统,是否有隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境。对数据进行全面的分析,还应该注意检查所有的日志文件,对在该系统上使用过的用户操作时间以及操作记录进行登记,查看可能进入或使用过该机器系统的可疑程序。二、电子证据取证过程中应注意保持证据原始性1.对原始数据进行备份后利用备份的数据进行分析,不能对原始数据直接进行分析。要在不破坏原始介质的前提下,对所获得的数据进行分析,从而提取出有效证据。为保证原始介质数据的完整性,在进行数据分析之前,必须对原始数据进行镜像拷贝,然后对拷贝进行分析。2.对原始数据要进行冗余备份。电子证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于电子证据本身的不稳定性造成备份数据的丢失,另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析,提高取证效率。3.在备份复制过程中,以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时,应当使用安全只读接口,使用写保护技术进行操作。对重要证据文件还应采取必要的加密技术和数字签名等技术,并且应当记录分析过程所使用的设备型号、序列号,所使用的软件的名称、版本号、具体操作过程以及检查结果等,制作相应的工作记录或检验文书。4.详细记录取证全程,保证证据连续性。将电子证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。在移动硬件之前,把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来,用摄像机记录检验分析的全过程,尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像。5.保障硬件环境安全可靠。存储电子证据的介质必须按照科学方法保全,应该远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。还要注意防磁,特别是使用安装了无线电通讯设备的交通工