你好,欢迎来到司法鉴定服务网!

全国服务热线

400-088-9291
电子数据的取证如何规范化

时间:2018-05-23 15:45 来源:正义网-检察日报(北京)

电子数据具有高度介质依赖性、易受破坏性、存储信息量大等特点,这就要求了取证工作必须规范化,如何规范化呢?一是做好原始性保护,二是取证要规范,三是全面搜集。

电子数据是计算机司法鉴定中的核心,作为独立的证据,对惩治犯罪及提高诉讼效率等具有重要价值。但电子数据具有高度介质依赖性、易受破坏性、存储信息量大等特点,这给取证工作带来挑战。因此电子数据的取证必须要规范,严格做好以下几点。

一是做好原始性保护。对犯罪嫌疑人相关计算机硬盘、移动存储介质、光盘、手机等载体,一经发现即时扣押。对电子数据的介质必须妥善封存,远离磁场、高温、静电环境,必要时置入屏蔽设备,尤其要与通讯设备、磁场较强的侦查技术装备、无线设备隔绝,防止产生磁信号干扰,破坏重要的线索和证据。

如果扣押嫌疑人通讯设备,应及时将其装入屏蔽袋,隔断外界的干扰、篡改、远程控制。有些侦查人员在扣押嫌疑人通讯设备时,想及时获取手机中的有效信息,对手机的通话记录、短信、存储卡直接进行浏览查阅等。这可能造成手机存储数据被覆盖或者丢失,使电子数据的原始性受到严重破坏,不利于锁定有效证据。很多电子数据具有时效性,超过一定时间或容量会自动删除,如系统日志、进程信息、循环覆盖保存的网络数据等。一旦错失最佳取证时机,便无法保证电子数据证据的原始性和客观性。

二是取证要规范。在扣押犯罪嫌疑人电子数据设备时,应以侦查人员为主导,检察技术人员配合为原则,以确保取证合法。实践中,侦查部门往往只重视搜查、扣押物证,忽视嫌疑人计算机、移动存储设备的数据提取,很少委托技术人员参与,即使提取也不规范,导致取证过程中遗漏收集相关电子数据证据,影响侦查取证质量。

检察技术人员在复制数据过程中,不可对犯罪嫌疑人原始存储设备直接读写,应当使用专业取证设备,如使用写保护技术进行操作,尤其是对犯罪嫌疑人电脑中的硬盘,要用高速硬盘克隆机对其进行克隆,用工作站对克隆证据盘进行分析、恢复、检验,以保证与原始数据相对应的哈希校验。另外,还应当记录分析过程中使用的设备型号、序列号,所使用的软件名称、版本号、具体操作过程以及检验结果等,制作相应的工作记录或检验报告。

对取证过程要进行全程同步录音录像。在扣押设备时,把被提取的设备所处环境、具体外观和连接状态用照相、录像等形式记录下来;在检验分析过程中,尤其应当对解除封存状态、检查过程的关键操作、重新封存等主要步骤多角度录像;检验完毕时,应当附有相关鉴定报告或清单,报告或清单应载明电子数据形成的时间、地点、制作人、分析过程、存储设备情况及是否提取有价值证据,并有侦查人员、检验鉴定技术人员签名,注明电子数据的特征、数量、名称等。内容应确保真实,无剪裁、拼凑、篡改、添加等伪造、变造情形,且在收集、保管及鉴定过程中未受到破坏或改变。

三是全面搜集。电子数据的获取时,要对可能存放存储介质和设备的场所进行全面搜查,封存、保护现场。凡是能记录文本、图形、图像、动画、音频、视频等数据的计算机硬盘、移动硬盘、光盘及手机的内存卡、SIM卡等存储介质都要重点关注。在恢复数据时,要坚持全面、系统,杜绝断章取义式的部分恢复。在恢复中不得加以筛选,更不能因疏忽而遗漏任何与案件事实相关联的电子数据,以便能相互印证,保证其连续性,形成完整的证据链条。