法律知识
登录        电话咨询
论电子证据的特点及其对取证的影响
发布日期:2009-12-18    文章来源:互联网
关键词: 电子证据/特点/取证/传统证据

  内容提要: 从证明机制的角度来讲,电子证据并非是一种全新的证据,而是传统证据的演变形式。记录方式的特殊性是电子证据与传统证据最本质的区别,其他特性都受这一本性特点的影响。电子证据的收集具有一定技术要求,这主要体现在取证主体、取证内容、取证方法和取证程序等方面。所收集的电子证据要注意保持其具有证据能力和证明力。

  电子证据是将法律与高科技相结合的一种新形式的证据。从广义上出发,电子证据可以定义为:借助电子、数字技术和设备形成的用于证明案件真实情况的一切电子化信息、记录及物品。

  电子证据与传统证据之不同之处乃在于记录和传输方式,从这个意义上讲,电子证据是一种新型的证据,但是并不意味着可以因此将划为一个单独的证据种类。当前我国的证据分类基础主要是基于证明机制,证明机制是指对证据发挥作用具有重要意义的构成和内容[1],而电子证据发挥的证明作用也可以与传统证据相同。因此从证明机制的角度来讲,电子证据并非一种全新的证据,而是传统证据的演变形式,即除鉴定结论之外的传统证据均存在电子形式。

  一、电子证据的特点

  与其他传统证据尤其是书证相比较,电子证据的记录方式具有很大的特殊性。书证是以一定的实物形态来反映一定的文字、图案等,其实质上是一种物质成分的混和、堆积或以其他方式如作用力将信息留在某种介质上,因此书证记录的内容一般是可以被人们直接感知的。而电子证据则是将所要记录的信息按一定规律转化为电磁场的变化再以某种方式记录下来,在整个记录过程中是以“场”的形式存在。以在磁盘和光盘中存储信息为例,在磁盘中记录信息时,计算机通过其集成电路的电子矩阵的正负电平或磁性材料磁体的变化而形成的电磁场将电子信息记录下来,而在向光盘中记录信息时,是利用激光通过变化的电磁场将信息以凹凸“小点”的形式记录在光盘上的。在存储介质中记录的电子信息,其内容无法为人们直接感知。通过对电子证据与书证的比较,笔者认为,记录方式的特殊性是电子证据与书证乃至整个传统证据最本质的区别,也是电子证据最根本的特点,其他特性都受电子证据这一根本性特点的影响。除此之外,电子证据还具有以下的特性:

  1.电子证据的信息与载体的可分离性。电子证据是以数字或模拟信号的形式存储在各种电子介质如芯片、软盘、硬盘、光盘、磁带、移动存储设备等载体之上的,这与传统证据的存储方式有很大的区别。传统书证、物证、证人证言都与其载体密不可分,但是电子证据所载的信息并不必然与特定的载体相连,不同的磁盘、光盘、磁带完全可以复制转载同一内容的电子信息。电子文件的信息不再具有固定的物理位置,也不再对原记录载体“从一而终”,可以从一个载体转换到另一个载体,而内容却不发生任何变化,还可以通过网络传给远方的一个或多个接收者[2].

  2.电子证据的系统依赖性。传统书证、物证不需要借助其他工具、设备,就可以被人们感知。电子证据对运行环境的依赖程度很大,输入、存储、输出的全过程都必须借助一定的硬件设备和软件平台。这是由于电子证据在形成、传输的过程中,需要利用电磁场的变化将信息转变成以二进制代码存在的电子形式存贮或流动,这种信息只有依靠特定的系统并通过相应的程序解码,使用打印、屏显、运行等方式才能将其显现出来。电子证据对系统的依赖性还决定了电子证据的高技术性。电子证据的生成、传递都必须以计算机技术、网络技术为依托,它的一系列存储、传输过程都有完备的安全保障系统,外界一般较难侵入,基本上不会发生错误。

  3.电子证据的脆弱性。网络空间的虚拟性,使得行为主体会有更加便利的条件、机会,使用更多的手段来破坏、毁灭证据,而这种人为的差错,再加上环境(如系统的不稳定)等客观因素都会影响到电子证据的真实性。具体而言,人们可能因差错、欺骗或者偏见,而添加、遗漏、修改或删除计算机内的某些信息。这些错误的风险可能取决于多种因素,包括数据输入人员的动机和其所受过的训练,录入信息的数量,以及程序被监控的质量等。并且由于电子证据对保存条件的要求与传统证据不同,必须防尘、防高热、防磁,如果保存条件发生变化导致存储介质周围的磁场受到严重干扰,就有可能会对电子证据真实性产生影响。也就是说,电子证据的记录方式及介质的特殊性和和网络空间的特性决定了它自身具有一定的脆弱性。

  4.电子证据的隐蔽性。电子证据中的一些隐藏信息只能在程序运行或测试中才能体现出来,一份电子证据很可能与打印出来的复制品不是完全相同的,有些电子证据必须用产生它们的软件可以理解的形式来展示,电子证据的制作人也可以通过加密、隐藏的方式使之不易被他人获得。此外,一些嵌入式的程序如计算机病毒可以嵌入其他文件之中,而这些病毒程序的相关信息用常规检测方式是不易发现的。

  5.电子证据的可挽救性。在某些情况下,计算机可以按照例行程序自行追踪和挽救一些信息,如Word软件中有时会产生一些的挽救的文档,在意外断电的情况下,系统还可以将文档恢复到断电前自动保存时的状态。电子证据的可挽救性还体现在可以恢复被删除、修改的文件上。对于传统书证而言,一旦原件遭到毁损,则无法复原证据,而对于计算机硬盘上的数据信息的修改、删除都可以通过技术手段检测到。实质上,对硬盘文件进行保存和删除的操作不过是激光探头对硬盘进行擦写的过程,就像用铅笔写字一样,即使用橡皮将写的字擦掉,依然会在纸上留下浅浅的印痕。对电子证据的删除操作也是一样,电子证据被删除并被其他文件覆盖之后,依然会留下痕迹,这些痕迹都可以通过技术手段认定,对之进行恢复。对于在删除之后没有被覆盖的文件,恢复更加容易,文件被删除之后被放进“回收站”(windows系统中),可以直接用命令将其恢复。即使将“回收站”清空,文件也实质上并未从硬盘上删除,删除的只是指向文件物理地址的逻辑指针,即删除的实现方式都通过执行简单的指针的无效化,而不是实际删除程序和文件[3].

  此外,许多学者提出电子证据具有易修改、删除的特点,并且在删除操作之后不留任何痕迹,这一点很值得商榷。电子证据是否容易被删除要取决于所处的环境是封闭环境(如单机系统)还是开放式环境(如网络)及谁拥有删除操作的权限和谁有能力实施这一操作等因素。在单机环境中,电子计算机的人所有者即电子证据的制作人可以轻易地对计算机中文件进行修改和删除,而其他没有开机密码或无法接触该计算机的人要对之进行此操作则是非常困难的;在开放式环境中,除电子证据制作人及系统管理员等可对之进行修改、删除之外,一些高水平的黑客或计算机病毒也可能将电子证据删改,但这绝非轻易之事。至于删除后是否留下痕迹的问题,前文已作论述,在此不再赘述。

  二、电子证据的特点对取证的影响及解决方案

  电子证据的特点对电子证据的收集会产生各方面的影响,使得电子证据的收集与传统证据的收集有较大的差异,这主要体现在取证主体、取证内容、取证方法和取证程序等方面。

  (一)取证主体一般来说,不同种类证据的特点决定着该证据对取证主体的不同要求。但应当明确取证主体与证据的收集主体是不同的两个概念,证据的不同特点可能导致取证主体的不同,但证据的收集主体是由刑事诉讼法规定的有取证权的主体,这是预先规定的,不会因证据的不同而有所改变[4].与传统证据相比,电子证据的证据收集主体并没有改变,仍是当事人、法院或侦查机关。但由于电子证据所具有的系统依赖性、隐蔽性、高技术性、脆弱性等特点,在证据的收集过程也具有较大的技术要求,还要要求取证人员必须具备一定的计算机方面的知识,并且在取证过程中要遵循严格的技术标准和程序,这与传统的证据收集方法存在较大的区别。但是这些要求对于一般的取证人员来说很难达到。随着电子技术的迅猛发展,原有的技术很快会被淘汰掉,新的电子证据类型也会层出不穷,在这种情况下,普通人员不可能保持对最新技术的了解和认识,因此,需要委托或聘请某一方面的电子技术专家或计算机专家协助取证。在刑事诉讼中,电子技术专家或计算机专家取证时还需要在侦查人员或网络警察的指导下进行。

  (二)取证内容

  首先,电子证据对系统的依赖性使得在收集电子证据时,不能仅收集电子证据,还需收集与系统稳定性及软件的使用等情况的证明。因为电子证据的真实程度和能证性很大程度上取决于所依赖系统的质量和性能等方面的因素,只有借助于高灵敏度、高性能、高质量的技术设备,才能获得高度真实和能证性强的电子证据。如果电子证据的内容使用质量低劣、性能极差的设备记录下来的,就不能反映案件事实发生的全过程,;即使是高质量的设备,如果使用时介质超过了其本身的性能程度也会出现差误和失真[5].因此,对电子证据存在的系统和技术设备的性能及可靠程度,必要时需要系统管理人员、证据制作人就相关情况作出证明。

  其次,电子证据的脆弱性可能导致证据被篡改、破坏及复制,这就要求对在收集电子证据时一定要保证收集的证据符合可采性的要求,一般而言,要求收集的电子证据是原件。英美证据法的最佳证据规则就要求在证明书面文件(包括录音、照片或者X光片等)的内容时,除非有例外情况,当事人必须出示原件作为证据,这一规则同样适用于电子证据。但就电子证据而言,复制件也是可以作为证据使用的。因为设立最佳证据规则的最初目的在于防止错误或欺诈行为,理由主要是书面文件复制件的精确性不高,但对于可以精确复制的电子证据来说,复制件与其本身具有相同效力,完全可以将其视为原件。美国联邦证据规则第1001条对原件的解释就是:“文件或录音的原件即该文字或录音资料本身,或者由制作人或签发人使其具有与原件同等效力的副本、复本。照片的原件包括底片或任何由底片冲洗出来的照片等。如果数据储存在电脑或类似设备中,任何从电脑中打印或输出的能准确反映有关数据的可读物均为原件。”原件并不必然是原文件或数据本身,只要是能够准确反映电子文件或数据内容的输出物都可以被视为原件。依此种解释,在不具有法律规定的例外情况下,最佳证据规则并不构成电子证据在诉讼中应用的障碍,最佳证据规则完全适用于电子证据。我国《关于行政诉讼证据若干问题的规定》第64条也对电子邮件等新类型证据作出规定:“以有形载体固定或显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经过对方当事人确认,或以公证等其他有效方式予以证明的,与原件具有同等的证明效力。”《关于民事诉讼证据的若干规定》第22条规定:“调查人员调查收集计算机数据或者录音、录像等视听资料的,应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的,可以提供复制件。提供复制件的,调查人员应当在调查笔录中说明其来源和制作经过。”

  再次,电子证据的可挽救性及隐蔽性,决定了收集电子证据的活动要全面、综合地进行,运用高科技手段检测是否有隐藏文件及硬盘中是否有被删除的证据,或依当事人举证,可确认或推知文件曾在该存储介质中存放,但之后又被删除,则可以对其运用相关技术恢复。对于恢复删除文件的证明力,应大于未被删除的文件。因电子证据的这种特点,取证主体在取证时是不应只局限于已发现和收集的证据,还要对磁盘中已被删除但可恢复的文件进行收集,以尽可能地查明案件事实。

  (三)取证方法

  虽然搜查、扣押及强制提供等传统取证方法也在收集电子证据时会使用,但这主要是针对电子证据的载体物所采取的取证方法,在实际上,完全针对电子证据自身的取证方法则与收集传统证据的方法有很大的不同,而这一点是由电子证据的诸多特点所决定的。收集传统物证、书证等有时也会使用技术手段,但这与收集电子证据所用技术手段的性质和技术含量不同,电子证据本身就具高科技性,其收集手段一般都具高科技性,而传统物证、书证本身不具有高科技性,所以在对其进行收集时一般不会用高技术手段,即使用到,其技术含量也不可能与收集电子证据时所用手段同日而语。收集电子证据的技术方法一般有以下几类:

  1.数据恢复技术。电子证据的可挽救性决定了对于被删除的电子证据可以采取数据恢复的方法收集。数据恢复技术主要用于把删除或者通过格式化磁盘擦除的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行了重新构造,因此,如果格式化之前的硬盘上有数据存在,则格式化操作后这些数据仍然存放在磁盘上,同时,格式化操作会创建一个新的空索引列表,指向未分配数据块。删除文件的操作也不能真正删除文件,只不过把构成这些文件的数据簇放回到系统中,对于通常的读写操作而言,这些簇不可见。一般地说,常用的数据恢复技术有如下三种:利用系统自身的还原功能恢复数据、使用专业的数据恢复软件以及软件和硬件结合进行数据恢复。这些方法各有各的优点,何时使用哪种方法,要根据数据被破坏的程度和数据恢复的目的,具体问题具体分析。使用软件取证时可以使用专业取证软件TCT( the Coronor's tool-kit)和Encase等把这些数据恢复出来。即使使用安全删除工具删除的数据也会留有痕迹,擦除一个磁道的数据时留下的边缘数据和被覆盖后仍留下的痕迹称为阴影数据[6],我们可以使用特殊的电子显微镜一比特一比特地恢复写过多次的磁道。一个有经验的技术人员,可以使用适当的设备恢复被覆盖过7次以上的数据[7].当然,在电子证据的收集过程中应用数据恢复技术不同于一般的数据恢复,在一般情况下没有必要追求百分之百的恢复,因为收集电子证据的目的是认定案件事实,只要得到的数据能够充分证明案件事实即可。

  2.数据搜索和解密技术。由于电子证据具有隐蔽性的特点,其可以通过各种方式隐藏起来,而越来越多的电脑使用者也在使用加密技术、密码学以及其他数字方式来隐藏证据。因此,在取证时要运用数据搜索技术仔细全面地检查所有数字证据,而不仅仅是搜寻诸如没有被隐藏的图片等文件,同时对计算机中存储的经过加密的电子证据,尤其是一些重要的信息或与犯罪相关的数据,需要采取数据解密的技术收集。数据搜索的范围是目标系统中的所有文件,包括现有的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件、隐藏文件、受到密码保护的文件和加密文件等,磁盘中的空隙和未分配空间的数据也是搜索的重点区域,通过数据搜索技术对系统中文本、图片、音频、视频及程序文件等数据信息的查找,发现与案件相关的事实或犯罪事实。在获取加密的电子证据时,通常要用到各种解密技术,主要有密码分析技术、密码破解技术、口令搜索、口令提取和口令恢复等[8].

  3.动态截获技术。电子信息是借助电磁场传播的,在有些时候电磁场是弥漫在整个空间的,在传输时有被他人截获的可能,即使在密闭介质中传输,也会有电磁泄漏的现象,这些泄漏的电磁信号一般会包含一些有用的信息,计算机系统本身一般也存在电磁泄漏,所以在空间截获电子数据就是完全可能的。当然,通过对动态截获技术获取弥漫在物理空间的电磁信息一般是不完整的,因为电磁泄露只是部分泄露,而不是全部泄露。要获得网络中传输的完整的电子数据,就需要在电子数据传输所经过的线路上设置各种专用的软硬件工具,通过这些专门工具可以拦截或捕获有关的电子数据。

  (四)取证程序

  电子证据的诸多特点导致了电子证据的取证主体、取证内容及取证方法与传统证据的收集都有很大不同,这也决定了对电子证据的收集要有严格的程序予以规范。现有的相关规范除了现行诉讼法中有关证据收集的规定,还有对电子证据收集方面所作的特别规定,这主要是公安部和最高人民检察院对电子证据的搜查、扣押所作的规定,另外在《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等网络管理法规中也有若干强制网络服务提供者记录和保存信息的规定。上述法规虽然在一定程度上解决了电子证据收集的无法可依的状况,但限于其规定的局限性及内容的零散性,无法规范所有的收集电子证据的行为,为此有必要规定相关的取证程序,以保证电子证据收集活动的规范性,在刑事诉讼活动中尤为必要,这对有效控制犯罪和充分保障人权有积极的意义。

  首先,在收集电子证据时,采取相关的取证方法时,应当获得相关机构或当事人的授权或许可。在刑事诉讼中,对电子证据采取搜查、扣押、动态截获等措施时,往往会涉及公民隐私权或商业秘密权,所以各国一般采取令状原则,即侦查机关只能依据法官签发的令状实施搜查、扣押,对此,我国也应该采取类似的措施从程序上予以制约。对于动态截获网络中传输的信息,有两种情况,一是经信息发送人或者接受人同意而截取信息;二是未经信息发送人或者接受人同意而截取信息。在立法上,对于前者可规定由侦查机关自行进行;对于后者,则应当规定须经有决定权的机关批准,以防止侵犯公民权利[9].在民事诉讼中,当事人收集电子证据时,一般也应当获得证据持有人或保管人的许可。

  其次,在收集电子证据时,应当先对电子证据进行归类。因为电子证据的表现形式多样,可以依照“功能等同法”根据不同的情况可将电子证据归于现有的证据种类之中,如在计算机犯罪中,犯罪人进行非法操作时在计算机硬盘上留下的相关物理痕迹,类似于传统犯罪中作案人在现场留下的痕迹,应当归入电子物证;电子文档、资料应归入电子书证;当前侦查人员通过数码相机、电脑获得的照片、现场图,交警在纠正汽车违章时通过“刷卡”而得来的“交通处罚单”等,类似于传统上侦查人员在勘查犯罪现场时通过文字等制作的勘验笔录,交警在查处违章行为时通过文字等制作的检查笔录,应当归入电子勘验、检查笔录。通过对电子证据进行归类,使电子证据收集人员确定电子证据到底属于书证、视听资料、物证等证据种类,从而按照该证据种类所要求的取证规则进行收集。

  再次,收集电子证据时,应当对电子证据的各个载体作详细的标签,标明有关电子证据的详细信息,并要记录对电子证据进行的各种操作,最终形成完整的证据保管链,以防止电子证据在收集及保管过程中被篡改。证据标签的内容包括:信息来源(地点和持有人);信息是否需要许可才能调查;信息的描述如果证据是存储设备,还包括设备中包含的信息;获得信息(证据)的时间和日期;最早接收证据的人员的姓名和签字;与证据相关的案件及标签号码[10].在以证据保管链方式保存搜集的电子证据时,任何未经授权的人都不能接近它。对获得的每一个证据都必须有一个完整的保管链记录,保管链要求从证据从搜集的那一刻到它出现在审判过程的那一刻都可以从记录中找到它的位置。只要是侦查人员、鉴定人、检察官等想查看证据,就必须出库登记,当电子证据被再次送回来保存时,必须进行入库登记[11].通过对电子证据的收集和保管过程采取严格的程序控制措施,可以保证电子证据的完整性和真实性没有发生改变,从而确保电子证据的证明力和证明能力。

  最后,规定科学的方法和措施来保全电子证据。对重要电磁介质及数据档案必须按科学方法保全,避免由于疏忽大意的行为造成电磁介质数据丢失而破坏重要线索和证据。运送计算机硬盘和其他存储装置时要格外小心。由于静电释放的潜在威胁,运送这类物品不应使用塑料包装[12],同时此类证据要注意防潮、防热、防磁和防冷。特别是使用安装了无线电通讯设备的交通工具运送电子证据时,一定要关掉车上的无线设备,以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。

  注释:

  [1] 刘品新,张斌。电子证据在我国的法律地位[J].证据学论坛, 2003, (6)。

  [2] 冯惠玲。认识电子证据[J].档案通讯, 1998, (2)。

  [3] [美]WarrenG.KruseⅡ, JayG.Heiser.计算机取证———应急响应精要[M].段海新译。北京:人民邮电出版社,2003.126

  [4] 谢小剑,李万权。电子证据的收集程序研究[J].黑龙江省政法管理干部学院学报, 2004, (5)。

  [5] 徐立根。物证技术学[M].北京:中国人民大学出版社,1998.769

  [6] 梁锦华,蒋建春,等。计算机取证技术研究[J].计算机工程, 2002, (8)。

  [7] 丁丽萍,王永吉。计算机取证的相关法律技术问题研究[J].软件学报, 2005, (2)。

  [8] 丁丽萍,王永吉。计算机取证的相关法律技术问题研究[J].软件学报, 2005, (2)。

  [9] 宋英辉。关于搜查、扣押电子资料的立法完善问题[J].证据学论坛, 2004, (7)。

  [10] [美]KevinMardia,Chris Prosise,MattPepe.应急响应&计算机司法鉴定[M].汪青青译。北京:清华大学出版社, 2004.167-168

  [11] [美]KevinMardia,Chris Prosise,MattPepe.应急响应&计算机司法鉴定[M].汪青青译。北京:清华大学出版社, 1632004.

  [12] 蒋平。计算机犯罪的刑事对策探讨[ J].江海学刊,1998, (5)。(中国政法大学·赵春雨 张云泉)

相关法律知识
咨询律师
孙焕华律师 
北京朝阳区
已帮助 42 人解决问题
电话咨询在线咨询
杨丽律师 
北京朝阳区
已帮助 126 人解决问题
电话咨询在线咨询
陈峰律师 
辽宁鞍山
已帮助 2475 人解决问题
电话咨询在线咨询
更多律师
©2004-2014 110网 客户端 | 触屏版丨电脑版  
万名律师免费解答咨询!
法律热点