当前位置:首页 >> 数据恢复 >> 涉密恢复 >> 正文
电子取证的基本原则 |
| 所谓电子取证,是指对涉案的电子证据材料进行收集、保管、分析、归档,使之成为证明案件事实的依据。同其他证据一样,电子证据必须具有关联性、真实性和合法性,即电子证据必须与案件事实具有关联、客观真实地反映案件事实、符合法律要求。但是,电子证据的生成、存储、传输等各个环节依赖于信息技术,具有许多与传统证据明显不同的特性,如隐秘分散性、易复制性、易传播性、易删改性等,这些都决定了对电子证据的获取除了要遵循传统的取证规则外,还应当遵循特定的原则和程序,以保证所调查获取的电子证据符合可采性标准。因此,在保密技术检查过程中,调查取证人员应当遵循必要的取证原则,规范电子取证行为,确保电子证据可采、可信、可用。本文根据证据法学一般原理,结合保密技术检查实践,对电子取证的基本原则进行初步探讨,归纳出合法取证、全面取证、无损取证、及时取证等四项原则。 一、合法取证原则电子取证活动包括取证的主体、对象、手段和程序四个要素,只有保证取证“四要素”同时合法,才能保证获取的证据合法。 主体合法。通常,行政执法行为对取证主体有较为严格的要求,加之电子证据与取证方法的特殊性,因此取证主体首先应当具有相应的资格,才能依法完成电子证据的发现、收集、保全等取证活动。例如,公安部《计算机犯罪现场勘验与电子证据检查规则》第6条规定:“执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能。”尽管目前有关保密法规尚未对保密技术检查主体作出明确规定,但是参照其他相关部门规定,并结合保密技术检查实践经验,电子证据的取证主体首先应当具备法定的取证资格和合法的调查取证身份,才能执行相应的取证活动。其次,由于电子证据的技术特性,传统的取证方法已难以保证电子证据的客观完整性,取证人员稍有疏忽或技术不过关都有可能导致重要的数据信息灭失,致使案件无证可循。因此,取证主体还应该具备计算机、通信、电子等相关技术专业知识,以保证对电子证据采取科学的取证方法。第三,取证主体还应当签署保密承诺书,对检查过程中接触、知悉的国家秘密、商业秘密和个人隐私等必须严守保密纪律,以维护国家利益和公民的合法权益不受侵犯。 对象合法。电子证据通常存储在硬盘、光盘、U盘等大容量存储介质中,因此,为保证有关权利人的合法权益,电子取证的对象应该是可能受攻击、被入侵而被封存的计算机、网络系统或移动存储介质,必须要在海量的数据中区分哪些是与证明案件事实有关联的信息,哪些是无关数据,哪些是因感染特种木马留下的记录“痕迹”。尤其要注意,在检查时,只有被怀疑可能涉及国家秘密的电子文件资料才能作为被取证调查的对象打开查看,其他与案件事实无关的数据,不能任意检索查看,如个人文档或私人照片等,以免侵犯所有人或权利人的隐私权、商业秘密等合法权益。此外,为维护行政相对人的合法权益,还需要将电子信息存储的位置、状态、方法等列入取证的对象范围。 手段合法。电子取证的手段主要依赖于取证人员通过特制的检查工具进行,这不仅要求取证人员身份合法并符合技术操作规范,而且要求取证所使用的工具和方法等必须符合相应的保密技术标准,通过国家保密行政管理部门的测评。取证方法、手段非法势必导致电子证据的可信度大大降低,因此在电子取证过程中不得采取窃录、非法搜查等不当措施、方法或使用未通过审核验证的设备获取证据或者通过非法软件验证电子证据。取证活动的每个环节和手段都应当遵循收集证据的标准程序并符合法律要求。 程序合法。取证过程中,应该遵守相应的程序规范,包括:依照最佳证据规则,应当在不对原有证物进行任何改动或损害的前提下获取与原有数据相同的证据,并在不改变数据的前提下对其进行核查分析;在保存、确认电子数据时,应当尽量转换为书证,由使用人、检查人员签名或盖章,或者使用人、检查人员对计算机数据审核后,转化为只读光盘、磁盘等,并加封封条,由双方分别保存;在需要封存计算机进一步核查时,应当由使用人本人亲自签字或盖章确认,同时明确封存时间限制,以提高行政效率,减小随意性;在取证主体方面,应当要求至少2名工作人员进行核查取证,与受检单位、个人和案件有利害关系的人员应当回避,等等。 虽然证据与案件事实具有一定的客观、关联性,但如果其取证主体、对象、手段方法、程序存在非法因素,那么该证据也可能因非法证据排除规则而不能被采纳。因此,合法取证是电子取证的首要原则。 二、全面取证原则电子取证的主要目的是通过对有关计算机、办公网络和移动存储介质的调查和技术分析,判断泄密时间或违规操作的过程、原因及相关责任者,确定并获取有关证据,从而为分析评估泄密危害及泄密隐患,做好查处工作提供有力的证据支持。因此,在保密技术检查的电子取证过程中,应当遵循全面取证原则,即全面认真地分析电子证据来源,并尽可能地进行全方位、多角度的电子取证,在确保证据与案件事实关联的基础上,相互印证,排除矛盾的电子证据。根据检查实践经验,电子取证时主要涉及到物理层和文件系统层,即通常要提取目标计算机特征、查找分析特种木马、查找被窃文件或失控文件、确认泄密源、核实连接互联网情况等,这样才能做到全面取证,形成完整的证据链,较全面地印证案件事实。所以,全面取证原则应该成为电子取证的一个重要原则,对形成完整可采的证据链条、确保保密违规违法行为的顺利查处具有不可忽视的作用。 三、无损取证原则证据材料必须能够客观、真实地反映案件事实,才能成为定案依据。由于电子证据依赖于一定的环境存在,与存储介质不可分离,对存储介质、系统环境的任何操作均可能改变电子信息的属性,即使打开可疑计算机或电子设备这种基本操作,也可能会改变设备的系统日志信息,损毁将来需要用以证明案件事实的证据材料。为防止由于对涉案设备、系统的不当操作而造成某些电子证据灭失,导致证据收集的不充分,实施电子取证活动,应该始终确保电子证据的无损状态,不能对涉案设备、系统进行任何修改操作,以确保涉案设备、运行环境等全部信息的完整状态。这是保证获取的电子证据真实性的前提和基础。例如,在保密技术检查时,应当采用不需安装即可使用的绿色软件进行检查;在核查分析、鉴定等取证环节中应当对备份的木马样本或者涉密文件资料进行操作,必要时可将备份的数据恢复到原始状态,作为分析、鉴定的原始参考标准,使结果更具可信性。此外,电子证据实质上是存储在电磁介质中的电磁信息,受到外界磁场的影响有可能被消磁而损失原始证据,对于收集到的电子证据应妥善保管,采取远离高磁场、高温环境,避免静电、潮湿、灰尘和挤压等措施,以保证电子证据的客观完整无损状态。因此,电子取证的每个步骤、措施和环节都应当遵循无损取证原则,确保获取的证据符合客观、真实。 四、及时取证原则电子证据基本上是在信息系统运行过程中自动、实时生成的。经过一段时间,很可能会造成计算机网络系统的一些相关信息,如系统日志、进程信息、特种木马回联地址等,或多或少发生变化,不能再如实反映事实。从电子数据形成到获取,相隔时间越久,越容易引起电子数据的变化。因此,电子证据的获取具有一定的时效性,确定取证对象后,应该尽早搜集证据,防止受到破坏和损失。例如,在网络出口处抓包检测特种木马时,需要跟踪IP地址来确定相关计算机设备位置,但由于IP地址这种“网络号码”并不像身份证号一样与所有者之间存在固定的标识关系,尤其是如果有关办公网络IP地址采用DHCP动态分配管理时,更是容易改变,使得相关计算机设备难以跟踪确定。此外,在检查过程中,难免有人会借检查工作之机,采取更换硬盘、格式化硬盘或数据擦除等方式规避检查、逃避责任,这也要求我们必须及时取证,保全证据,防止证据灭失或以后难以取得。因此,及时取证可以确保电子数据信息作为证据的真实性,维持电子数据与案件事实的关联性。 目前,作为新形势下的保密行政执法手段,保密技术检查正处在进一步摸索、完善的过程中,无论是检查力量还是技术手段,尚存在一定不足,应当尽快出台有关保密技术检查监管规定,以确保保密检查工作的公正性、规范性和权威性。 |
| 信息编辑:西安体现数据恢复中心 更新时间:2011/07/29 字体:大 中 小 |
上一条:数据恢复外包方案 |
下一条:同心数据恢复保密协议 |