[科普中國(guó)]-電子數(shù)據(jù)司法鑒定業(yè)務(wù)

基本要求

電子數(shù)據(jù)的取證和鑒定有一個(gè)區(qū)分，取證的主體主要是執(zhí)法人員。鑒定主要是獨(dú)立的第三方，提供鑒定結(jié)論，技術(shù)本質(zhì)上是一樣的，稱為電子數(shù)據(jù)取證技術(shù)，也可以說(shuō)是電子數(shù)據(jù)鑒定技術(shù)。因?yàn)殡娮訑?shù)據(jù)司法鑒定是一項(xiàng)必須符合法律要求的活動(dòng)。那么為了保證所獲取電子證據(jù)法律的有效性，電子數(shù)據(jù)鑒定過(guò)程需要遵循以下基本要求1：

任何處理的行為不能更改被檢驗(yàn)介質(zhì)上的數(shù)據(jù)，必須使用司法意義上的捷徑的工作介質(zhì)，對(duì)原始數(shù)據(jù)進(jìn)行徑向、拷貝和分析，并保障被檢驗(yàn)介質(zhì)的數(shù)據(jù)完整性。數(shù)據(jù)完整性是這個(gè)環(huán)節(jié)的關(guān)鍵點(diǎn)。

如果不得不訪問(wèn)這個(gè)原始介質(zhì)，訪問(wèn)者必須掌握這種技能，并證明行為的必要性和可能造成的后果。

對(duì)證據(jù)處理的過(guò)程中要詳細(xì)記錄，獨(dú)立的第三方應(yīng)該能根據(jù)記錄可以重復(fù)檢驗(yàn)鑒定的過(guò)程，并能獲得同樣的結(jié)果。

檢驗(yàn)數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)及輔助的軟件必須保證安全可信。

電子數(shù)據(jù)司法鑒定的主要任務(wù)：

電子數(shù)據(jù)內(nèi)容統(tǒng)一性的認(rèn)定。

電子數(shù)據(jù)的真?zhèn)渭靶纬蛇^(guò)程的鑒定。

電子數(shù)據(jù)內(nèi)容的生成、傳遞、存儲(chǔ)及來(lái)源情況的認(rèn)定。

電子數(shù)據(jù)與案件事實(shí)的因果關(guān)系及確定事實(shí)的程度。

關(guān)鍵技術(shù)圍繞著基本要求和主要任務(wù)去司法鑒定，鑒定技術(shù)主要包括以下三類關(guān)鍵技術(shù)1：

電子數(shù)據(jù)的復(fù)制技術(shù)它主要指從待鑒定的設(shè)備中把電子數(shù)據(jù)復(fù)制出來(lái)，以固定證據(jù)數(shù)據(jù)，并保證這個(gè)證據(jù)數(shù)據(jù)的原始性和證據(jù)數(shù)據(jù)的完整性。待鑒定設(shè)備是指存儲(chǔ)、處理或者傳輸二進(jìn)制數(shù)據(jù)的設(shè)備，包括計(jì)算機(jī)、通信設(shè)備、網(wǎng)絡(luò)設(shè)備、電子數(shù)據(jù)存儲(chǔ)設(shè)備等。該技術(shù)主要涉及到各種設(shè)備中存儲(chǔ)數(shù)據(jù)的寫(xiě)保護(hù)技術(shù)、主比特的數(shù)據(jù)復(fù)制技術(shù)、可信值的校驗(yàn)技術(shù)和數(shù)據(jù)擦除技術(shù)。數(shù)據(jù)擦除技術(shù)保證在司法意義上的決定介質(zhì)。

數(shù)據(jù)規(guī)模技術(shù)它是對(duì)電子數(shù)據(jù)中被刪除、覆蓋、損害或者加密的文件進(jìn)行還原恢復(fù)。它主要涉及有文件系統(tǒng)級(jí)的恢復(fù)技術(shù)，比方系統(tǒng)崩潰了，需要恢復(fù)，然后把里面的證據(jù)文件清理出來(lái)。然后系統(tǒng)文件應(yīng)用級(jí)的恢復(fù)技術(shù)，數(shù)據(jù)庫(kù)的恢復(fù)文件以及錯(cuò)誤文件修復(fù)技術(shù)和加密文檔的破解技術(shù)。

數(shù)據(jù)搜索分析技術(shù)這是指在這樣的數(shù)據(jù)中搜索特定的信息并加以關(guān)聯(lián)，進(jìn)行有效的分析。如文件屬性分析，文件的數(shù)字摘要分析，日志分析等等。它主要涉及對(duì)于文本信息的搜索關(guān)聯(lián)技術(shù)和圖象、音頻、視頻內(nèi)容的識(shí)別技術(shù)和海量數(shù)據(jù)的分析技術(shù)。

基礎(chǔ)工作電子數(shù)據(jù)鑒定的基礎(chǔ)工作主要是包括兩個(gè)方面。一是鑒定過(guò)程的規(guī)范化和鑒定技術(shù)的標(biāo)準(zhǔn)化。規(guī)范化可以通過(guò)立法或者一些規(guī)章制度來(lái)解決。但是鑒定技術(shù)標(biāo)準(zhǔn)化就顯的更為復(fù)雜，必須在研究國(guó)外的電子數(shù)據(jù)取證和鑒定技術(shù)基礎(chǔ)上，根據(jù)我國(guó)的法律結(jié)合國(guó)內(nèi)的司法實(shí)踐活動(dòng)進(jìn)行逐步的完善。在鑒定技術(shù)標(biāo)準(zhǔn)中，鑒定工具的標(biāo)準(zhǔn)是目前急需解決的問(wèn)題，我國(guó)當(dāng)前應(yīng)用于電子數(shù)據(jù)鑒定中的工具主要是國(guó)外的電子數(shù)據(jù)鑒定設(shè)備和軟件。那么這些設(shè)備和工具能否應(yīng)用于我國(guó)的電子數(shù)據(jù)鑒定領(lǐng)域呢？能夠用于鑒定的標(biāo)準(zhǔn)是什么？以及具備什么條件的機(jī)構(gòu)可以生產(chǎn)這些設(shè)備和工具。電子數(shù)據(jù)鑒定專用工具的質(zhì)量好壞直接關(guān)系到鑒定結(jié)論的準(zhǔn)確性，關(guān)系到司法活動(dòng)的公平性和公正性。因此制訂相應(yīng)的標(biāo)準(zhǔn)來(lái)規(guī)范鑒定工具的研發(fā)和生產(chǎn)過(guò)程，檢測(cè)和認(rèn)定這些工具的質(zhì)量，對(duì)電子數(shù)據(jù)鑒定的規(guī)范化是十分必要的1。

在電子數(shù)據(jù)鑒定的基礎(chǔ)工作方面，在我國(guó)首先是公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局在2008年初提出的4個(gè)社會(huì)公共安全行業(yè)標(biāo)準(zhǔn)（待批），它主要包括數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法（這是程序上的規(guī)定），還有程序功能檢驗(yàn)方法，電子數(shù)據(jù)存儲(chǔ)介質(zhì)寫(xiě)保護(hù)設(shè)備的要求及檢測(cè)方法和電子數(shù)據(jù)存儲(chǔ)介質(zhì)、復(fù)制工具要求及檢測(cè)方法。起草單位包括福建的廈門(mén)市美亞柏科資訊科技有限公司和國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心。公安部第三研究所電子數(shù)據(jù)司法鑒定技術(shù)實(shí)驗(yàn)室于2007年年底開(kāi)展了一些基礎(chǔ)工作，主要是電子證據(jù)鑒定工具體系和鑒定工具檢測(cè)項(xiàng)目的研究，主要研究以下的幾個(gè)內(nèi)容：

首先，是對(duì)電子證據(jù)和工具進(jìn)行分類，提出各種鑒定工具應(yīng)該具備的功能和性能指標(biāo)，以及每一類這樣的證據(jù)它應(yīng)該對(duì)應(yīng)的鑒定工具是什么？在實(shí)踐中指導(dǎo)我們自主開(kāi)發(fā)專門(mén)的鑒定工具，指導(dǎo)從業(yè)人員在司法實(shí)踐中，面對(duì)一個(gè)電子證據(jù)選擇適當(dāng)?shù)蔫b定工具。

第二，在鑒定工具的使用中發(fā)現(xiàn)，即使技術(shù)成熟、應(yīng)用廣泛的工具也難免會(huì)出現(xiàn)不符合法律取證要求、程序錯(cuò)誤、不便使用等問(wèn)題。為防止這些錯(cuò)誤所導(dǎo)致的數(shù)據(jù)損壞和證據(jù)失效，對(duì)目前常用的鑒定工具的可靠性、有效性進(jìn)行檢測(cè)評(píng)估是非常必要的。我們吸取了美國(guó)一個(gè)項(xiàng)目的經(jīng)驗(yàn)，該項(xiàng)目就是2002年啟動(dòng)了CFTT項(xiàng)目——針對(duì)計(jì)算機(jī)取證的工具檢測(cè)項(xiàng)目。它對(duì)美國(guó)的各個(gè)執(zhí)法部門(mén)當(dāng)前應(yīng)用的150多種鑒定工具進(jìn)行了有效性檢測(cè)。截止2008年9月，CFTT項(xiàng)目已經(jīng)完成對(duì)多種磁盤(pán)影像類軟件寫(xiě)保護(hù)和硬件寫(xiě)保護(hù)類鑒定工具的測(cè)評(píng)，并已經(jīng)展開(kāi)字符串、搜索類的工具測(cè)評(píng)，而國(guó)內(nèi)在這方面還是空白。因此，結(jié)合我國(guó)的國(guó)情和司法體制，從實(shí)際出發(fā)，深入研究各類取證與鑒定工具的檢測(cè)方法，并對(duì)現(xiàn)有常用工具實(shí)施有效性檢測(cè)，最后提交對(duì)每一類工具的檢測(cè)報(bào)告，提出對(duì)我國(guó)電子數(shù)據(jù)的鑒定工具檢測(cè)規(guī)范和建議。

第三，在數(shù)據(jù)鑒定的過(guò)程中，如何從海量的數(shù)據(jù)中發(fā)現(xiàn)證據(jù)是一個(gè)具有挑戰(zhàn)性的工作。據(jù)統(tǒng)計(jì)在一個(gè)計(jì)算機(jī)系統(tǒng)中，已知的常用文件占據(jù)該系統(tǒng)所有文件的40%－95%，例如如果單純的安裝了一個(gè)Windows2000的操作系統(tǒng)的計(jì)算機(jī)，其中有7720個(gè)文件，這里只有840個(gè)文件是未知的，已知文件占所有文件的89%。如果排除了這些已知的文件，就會(huì)為鑒定工作節(jié)省大量的時(shí)間和精力。美國(guó)的NSRL這個(gè)項(xiàng)目，就建設(shè)了一個(gè)龐大的軟件參考庫(kù)，把目前在美國(guó)常用的軟件每個(gè)軟件做哈希值標(biāo)注于正常的文件，然后在海量數(shù)據(jù)中進(jìn)行排除，篩選出用戶產(chǎn)生的文件和一些被惡意篡改的文件，在鑒定時(shí)就針對(duì)這些文件就可以了，因此建立我國(guó)的軟件參考庫(kù)就很有意義。

第四，鑒定工具的開(kāi)發(fā)。美國(guó)在這方面投入力量最大，技術(shù)也是最領(lǐng)先的國(guó)家，其中NTI是美國(guó)最大的計(jì)算機(jī)取證專業(yè)公司。我國(guó)在鑒定工具的研發(fā)方面還有很大的差距，目前主要是翻譯漢化或者改版國(guó)外的工具，真正適用的工具并不多。因此，自主開(kāi)發(fā)適合我國(guó)國(guó)情的、能夠全面的檢查數(shù)字化設(shè)備與網(wǎng)絡(luò)系統(tǒng)的鑒定工具與軟件已經(jīng)迫在眉睫。

挑戰(zhàn)當(dāng)前電子數(shù)據(jù)司法鑒定技術(shù)面臨的挑戰(zhàn)2：

越來(lái)越多的案件不再只是針對(duì)某一臺(tái)設(shè)備的分析，而是需要分析有證據(jù)關(guān)聯(lián)性的多臺(tái)設(shè)備。比如，使用云計(jì)算來(lái)進(jìn)行數(shù)據(jù)的遠(yuǎn)端處理和存儲(chǔ)，就意味著甚至常常無(wú)法獲取需要分析的設(shè)備。

操作系統(tǒng)和文件格式的增多極大增加了鑒定工具開(kāi)發(fā)的復(fù)雜度和成本。

在進(jìn)行電子數(shù)據(jù)司法鑒定時(shí)，為了避免破壞原始證據(jù)，鑒定人員一般不會(huì)直接對(duì)原始的存儲(chǔ)設(shè)備進(jìn)行鑒定操作，而是先取出原始存儲(chǔ)設(shè)備，對(duì)原始數(shù)據(jù)進(jìn)行完整、精確、無(wú)損的鏡像，再對(duì)鏡像數(shù)據(jù)進(jìn)行鑒定。而嵌入式FLASH存儲(chǔ)設(shè)備的流行和硬件接口類型的大量增加意味著存儲(chǔ)設(shè)備不再容易被取出以進(jìn)行完整鏡像。

加密技術(shù)的成熟和廣泛使用意味著即使數(shù)據(jù)能夠恢復(fù)和查看，也難以解密其含義。

鑒定人員已經(jīng)開(kāi)始陷入不能以一種合理的方法來(lái)獲得數(shù)據(jù)或者在獲得數(shù)據(jù)后進(jìn)行處理直至完成的困境。證據(jù)，特別是用于法庭辯論的關(guān)鍵證據(jù)，常常被例行地遺失掉。當(dāng)調(diào)查人員面對(duì)手機(jī)時(shí)，這個(gè)問(wèn)題最為明顯。在我國(guó)還沒(méi)有專門(mén)針對(duì)手機(jī)鑒定的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范。