论计算机犯罪中电子证据的界定及取证规则

王希胜律师

计算机犯罪中的证据既包括传统的物证、书证等证据，又包括存在于计算机与网络中的电子证据（又称计算机犯罪中的电子证据）。计算机犯罪中的电子证据是指能够证实犯罪分子实施危害计算机信息系统犯罪行为的数字证据。
一、对计算机犯罪中电子证据所属证据类型的探讨
第一，刑事诉讼法中规定的七种证据都可以被扩充新的内涵并表现为电子证据的形式。以最常见的物证为例，对物证的传统定义是：以其内在属性、外部形态、空间方位等客观存在的特征证明案件事实的物体和痕迹。根据侦查学中的物质交换原理，这种物体和痕迹在犯罪活动中一方面是指作案人会在被侵犯的客体上留下相应的痕迹并将自身原有物质全部或部分地遗留于犯罪现场，另一方面是指作案人自身还会从现场及被侵犯的客体上带走某些物质。而建立在物质交换原理基础上的信息转移原理则进一步认为：犯罪行为人将犯罪意向付诸实施，将犯意外化为行为并用物质侵犯犯罪对象时，犯罪才真正发生，在这个过程中犯罪人通过犯罪行为将自身信息保存在变化后的被害人、犯罪现场与犯罪环境中，同时也反方向造成了自身的变化。该原理将这种物质交换的范围扩大为既包含实物、痕迹等有形物，又包含心理意识、电子信息等无形物。因此笔者认为：这在本质上使物质转移原理可以适用于研究计算犯罪中的证据问题。以典型的计算机犯罪——非法侵入计算机信息系统犯罪行为中的证据为例，黑客在攻击前一般会发出相应的探测数据包，在实施窃取或攻击时更会在被攻击或被破坏的系统中留下相关“痕迹”，如防火墙中的记录文件，同时在其窃取的数据中亦会存在原信息系统留下的“痕迹”，如系统版本信息等。这些数据包、记录文件和系统版本信息都可以看作是以电子形式存在的“物证”。
第二，确立新的证据种类的依据是证明机制的差异。如果两种证据的证明机制相同则应归为同一种证据；反之则应划归为不同的证据。电子证据与七种传统证据相比其差别仅在于外在形式不同，而仍然是以自身所反映内容来证明案件事实，这与传统证据的证明机制本质上是相同的。
第三，任何证据都是内容和形式的统一体，只有表现形式而没有内容的证据不可能证明案件事实，只有内容而没有可被人识别的表现形式的证据则无法发挥其证明力。如物证的内容是它以某种方式所记录的与案件事实有关的信息，其形式是特定形态的物质物体。又如证言的内容是证人所陈述的案件情况，其形式是语言文字符号。
因此传统物证通过物质交换原理和信息转移原理在计算机犯罪这一虚拟空间犯罪中找到了自己新的表现形式，简言之，物证可以有“电子物证”这一新的表现形式。
与此类似，书证也有其电子化形式如当事人通过E-MAIL或电子数据交换（ElectronicDataInterchange）订立的商务合同；视听资料本来也就具备电子化形式，证言类证据可以以数字录音方式表现；鉴定结论、勘验检查笔录也可以数码相机拍摄的照片、电子文档等形式表现出来。
基于以上分析，笔者认为在目前刑事诉讼法的框架内，只要丰富传统七种证据的内涵，就可以将电子证据作为传统七种新的表现形式，而不必再另设立为一种新的证据类型。而由于计算机犯罪中的证据属于电子证据，因此其理所当然不能作为一种独立的证据类型。
二、计算机犯罪中的电子证据的具体表现形式
在明确了计算机犯罪中的电子证据在法律上的定位之后，笔者认为，由于计算机犯罪所侵害的客体是计算机信息系统，并且在犯罪的过程中，计算机是不可或缺的工具，因此其犯罪的证据也主要表现为与计算机和计算机信息系统相关的各种电磁记录和计算机命令记录等形式。主要有以下几种：
（1）磁盘记录。包括软盘记录和硬盘记录。
（2）各种程序。包括“黑客”用于远程攻击的程序、病毒程序、被故意修改、破坏的程序，以及犯罪分子用于伪装身份的电子邮件等。
（3）各种系统记录。包括日志文件；系统快照；注册表。
（4）各种配置防火墙的主机上的安全日志记录。如对企图探测、收集信息数据流的记录，包括信源地址、信宿地址、使用协议、通信端口、处理结果等若干项。
（5）对系统探测行为作记录的专用程序的历史记录。如记录网络连接情况的程序中的历史记录，这些程序一般用于实时记录外部网络计算机连接本地计算机的请求，而这些请求一般情况下是犯罪分子实施攻击或非法侵入的前兆。
三、计算机犯罪中电子证据获取上存在的实际问题
从计算机犯罪中证据的特点和目前司法实践中的实际情况来看，在取证上至少存在以下问题：
一是缺乏相应技术手段造成该证实犯罪事实的关键证据无法取得。以一则实际发生的案件为例，某保险公司分公司的计算机数据库被入侵，部分关键数据被修改，从而造成该公司网络系统瘫痪，业务受到极大影响。公安机关经过对保险公司的电脑系统进行实地勘验，初步确定了犯罪嫌疑人的特征：对该公司的电脑网络系统非常熟悉，作案迅速；由于数据是在半个小时内更改完毕的，因此犯罪分子对保险公司的业务非常熟悉；该黑客用的是该市的用户名和密码，但上网端口却用的是外地的，表明他掌握该公司网络系统多方面的情况。经过排查，原该公司的职工、曾担任该公司计算机网络的系统管理员的王某有重大嫌疑。但却因犯罪分子侵入数据库的关键证据一时难以找到而使侦查工作陷入僵局。最后在技术人员的支持下，侦查人员找到了这家公司网络操作系统的工作日志，日志中清楚地记录着黑客使用该公司客户部的一个用户密码，通过远程登录的方式非法侵入网络的时间、方式等具体细节。在这一关键证据面前，犯罪嫌疑人不得不承认了其利用远程的计算机先后五次侵人该公司网络，修改、删除信息系统数据的犯罪事实。从这则案例中可以看出取得关键证据对于打击计算机犯罪的重要作用。
二是取证方式上的不恰当造成对原始证据的破坏从而失去相应的证明力。由于计算机犯罪中证据本身的脆弱性而极易被篡改，而在目前司法机关相对薄弱的技术水平下进行取证，如果不遵循一定的原则，很容易造成证据在取证过程中证据能力的丧失甚至于证据本身的灭失。同时应当指出，对于计算机犯罪中的证据而言，原始证据不仅仅指最初存在于所在媒介物的数字证据，而且包括任何直接源于该电子数据的打印输出或其他可感知的输出物。换言之，只要其能够准确地反映该数字证据的内容，则均可视为原始的计算机犯罪中证据。因此，在目前司法机关技术力量稍显不足的情况下，除使用扣押方式进行原物保全外，还可使用电子的再录制方法或其他正确复制原件的技术来提取原计算机犯罪中证据的复本。2003年3月10日，国内互联网上发现大量新型病毒，该病毒在被感染计算机内植入一种程序，并利用该程序彻底控制被感染的计算机。经公安部公共信息网络安全监察部门对全国网络抽查扫描，发现各地均有大量计算机被感染。一些计算机用户因缺乏信息安全意识，将机密文件存放在被远程控制的计算机上，造成了泄密。在这则典型案例中，扣押大量被感染的计算机（或相应的硬件设备）显然是不现实的，司法机关可用适当的复制方式对病毒进行安全拷贝，并以物理隔离的方式进行保存以待分析，同时对于被感染计算机的中的系统文件应打印输出，因为它亦是可以证明计算机被感染的直接证据。在这个过程中取证方式就直接决定重要证据能否取得。
三是不注意提取与计算机犯罪相关的其他证据使电子证据缺乏充分的证明力。这主要是指有时侦查人员可能只注意到计算机本身所存在的电子证据，而忽视了其同时也是处于网络这个大环境中的，只有把与直接证据相关的环境变量等证据尽可能地提取，才能形成证实犯罪的证据“链条”。在一种典型的计算机犯罪攻击方式中，攻击者先使被攻击计算机所信任的其他计算机失去工作能力，后在伪装成被信任的计算机给被攻击的计算机发出连接的请求，待被攻击主机与其建立连接后，再对被攻击的计算机进行攻击。在侦查使用这种作案手段的计算机犯罪时，即使是通过攻击者发出的数据查出发起攻击者所使用计算机的网络地址，也不能确定是谁在什么时间操作了这台计算机。只有充分发掘网络中的其他证据以及计算机运行环境中的证据（如：谁有使用这台计算机的便利条件、计算机的管理者有无发现异常情况等一些辅助信息），才能证明案件某个情节或片断，以逐步恢复犯罪分子作案的主要情节，并分别排除了其他的可能后，才能够证明：是谁、在什么时间、什么地点、用什么手段、使用了何种工具或软件并如何实施了犯罪，才能够最终认定犯罪分子。
四是取得电子证据后缺乏相应的保存手段造成数据的意外变化（被删除、修改等等）而失去证据能力。基于与上面提到的相类似的原因，电子证据即使在正确提取后如果没有按照严格的技术要求来保存，也仍然会发生非正常变化（被删除、被篡改等等），而这种变化很有可能是不可逆的，从而造成无法挽回的损失。因此电子证据的保全从某种意义上讲比传统形式的证据保全更具迫切性。
四、计算机犯罪中电子证据的取证规则
基于以上原因，笔者认为，计算机犯罪中的证据作为一种特殊的电子证据，对其进行取证既要遵循电子证据取证的一般原则，又要确立取证应遵循的具体规则。
（一）取证应坚持的一般原则
1．由于电子证据极易被修改、删除和复制，所以在取证上应坚持：先备份后取证；取证时应使用正版的、可靠性高的软件，并使用数字签名等手段保证数据的真实性；取证的同时要记录相关的系统运行环境、原始状态、操作人员、操作地点等情况。
2．要严格限制以进入他人计算机信息系统的方法获取证据。由于电子证据一般都是隐藏于服务器中，如果公开的方法无法得到，对于己方诉求结果的渴望必然驱使取证者使用各种手段得到相应证据，如果取证者以非法侵入他人计算机信息系统的方式取得证据，虽然可能获得了对证据其主张至关重要的证据，但同时也可能触犯刑法中关于计算机犯罪的相关规定。
因此，笔者认为，一方面要防止取证者以非法的方式获得证据，防止个别人强调自己利益而走向极端造成对他人、无关第三者乃至对社会利益的损害。当然另一方面，在目前对付高技术犯罪缺乏相应手段的情况下，一概不采用进入他人计算机系统方式进行取证也会导致司法实践中可利用的证据大大减少，甚至因取证程序上的限制而让重大犯罪丧失定罪条件，因此也要考虑在某些情况下允许采取经严格审批程序批准的技术措施进入他人计算机系统进行取证。如对于使用电子邮件检查、网络监控、电子跟踪等手段应当由法律明确规定，以防止其滥用而侵犯公民个人的合法权益。笔者建议，我国立法部门应将秘密手段获取电子证据决定权限、实施方法、使用范围等内容纳入司法程序中。司法人员还要逐步树立和强化发现真实与保障诉讼参加人的合法权益并重这一根本指导思想，坚持杜绝严重的非法获得电子证据的行为。
3．国家司法机关不能以侵犯他人人身权利的方式取得电子证据。目前，由于我国对电子证据侦查手段、侦查技术和侦查人员素质的落后，在涉及去国家专门机关取证时，司法人员可能无法收集到足以证明案件真实情况的电子证据，为查清事实情况，获得有关证据，侦查人员可能会采用一些侵犯人身权利的变相刑讯等方法获取电子证据。因此，笔者认为，应在使用技术手段进行取证的同时，配合同时进行录音、录像等规范取证的行为。
（二）取证的具体规则
在坚持一般原则的基础上，还要确立具体的运用规则，这包括三个层面：一是关于取证主体的规则；二是关于提取、保全和鉴定的规则；三是关于取证具体步骤的规则。
1．取证主体的规则。
取证主体上，在刑事诉讼中，公诉案件中收集有罪证据的责任由侦查机关承担。因此，公诉案件中收集电子证据的取证责任应由侦查机关承担。自诉案件中相关电子证据可以由当事人申请公安机关收集。依照我国刑事诉讼法的有关规定，自诉案件中收集证明被告人有罪证据的责任由自诉人承担，自诉案件的自诉人承担举证责任。但从以上电子证据的特点可以看出，自诉人作为被侵害对象很难取得相应电子证据，加之其高科技性，一般人员即使发现也很难提取和保全，再加之自诉案件的当事人各方面条件的限制，因此，笔者建议自诉案件中当事人可以申请公安机关收集有关电子证据。
在取证的主体上有一点需要说明的是：由于电子证据的特殊性，取证的相关人员应具备起码的技术资格水平，即通过相关专业部门的考核并取得相应职业资格证书。如果取证主体不具备相关资格，取证时至少就应在具备相关知识的技术人员的配合下实施，以确保取证的及时、准确、全面。
2．提取、保全和鉴定的规则。
取证规则中具体规则的第二个层面是关于提取、保全和鉴定的规则。
（1）提取规则。
提取规则包含的主要内容有：取证的主体只能是持有相关电子技术技能证书的专业人员，现阶段还包括公安机关治安管理部门的执法人员，在必要时还可聘请有一定资格的电子技术专家进行协助搜查，同时还要尽量邀请与案件无关的人担任见证人。取证的程序上要先对现场进行封锁，并切断涉案计算机与外界的联系，同时用照相、录像、绘图、笔录等方式对原始现场情况进行记录。由于网络案件现场的虚拟性和潜在性，取证的中心是围绕着如何发现计算机信息系统及延伸到的网络中的证据进行的，这就要求一方面必须采用一定的技术设备对现场的信息系统进行勘查，另一方面还必须注重技术手段与传统勘查手段的结合，以尽可能发现更多的线索。搜查结束后还要对可能隐藏数字证据的设备实施扣押。扣押之前要尽量先对被扣押物进行原物拍照，在扣押方式上可以采取扣押全部硬件和软件、只提取磁盘所有数据和只提取与案件相关的数据三种方式。同时应当指出：在一些案件中由于涉及的对象（如信息咨询公司、金融、银行等系统）出于维护自身的信誉和名声的考虑，往往害怕长时间卷入调查，而只向司法机关提供部分数据或部分情况，这对于取证显然是不利的，因此还必须规定被侵害的计算机信息系统的所有者、管理者、使用者有如实向司法人员提供反映案件情况的相关数据、资料的义务。
（2）保全规则。
证据保全是指以原物优先、完整提取、原地拍照、物证标签、内容保密为原则，确保证据从被提取到进入法庭举证、质证程序时没有被修改。
原物优先即尽量采用提取原始证据的方法进行保全，只有确实无法或不便提取原物时，才可以使用其他方法进行保全。完整提取则是要求应当将所有反映案件情况的数字证据全部提取。按照档案学和鉴定学的原理，计算机犯罪中的证据依靠一定技术，产生于一定系统环境，并且只有在其最初生产的软硬件环境中才能得到真实的显现。因此，完整的证据应该包括电子证据本身；附带信息证据，系统环境证据等。因此在提取时应当尽可能将这三类证据完整提取。
原地拍照是指在保全数字证据之前要用照相的方式客观地记录案发现场的情况，如网络设备的运行状况，这有利于从宏观上全面把握取证的步骤并印证相关的证据。
物证标签则是要求对提取的每一件证据都要以标签形式标明案件名称、提取日期、场所、提取人姓名、证据的主要内容及版本信息等。内容保密则是要求提取人和保管人在数字证据涉及国家机密、个人隐私或其他不宜公开的内容时应当严格为其保密。
（3）鉴定规则。
这主要是关于鉴定机构、鉴定人、鉴定程序的规定。鉴定机构要由相关主管机关（如公安部、省级公安机关）批准设立的电子数据鉴定机构组成，实施鉴定的人则必须取得具有一定的专业技术，如通过公安机关公共信息网络安全监察部门的考核并取得相应职业资格证书，鉴定程序上取证人员应当及时向鉴定人提供有关数据检材和比对数据，但不得以威胁、引诱、欺骗等方式使鉴定人作出某种自己倾向的结论，鉴定人则应当及时准确地根据送检要求进行鉴定，在鉴定前应尽可能向办案部门了解案情，询问鉴定目的，核实送检物品与委托鉴定登记表所述是否一致，并视情况作适当备份。鉴定前要制定检验方案，鉴定时要严格按照操作程序进行，并做好每一步的检验记录。检验结束后，应出具由两名以上具有鉴定资格的人签名或盖章的《电子数据鉴定书》。
3．取证具体步骤的规则。
在取证的一般原则和具体规则下还要确立取证的具体步骤：即对计算机犯罪中证据取证过程的要求。传统证据的取证包括发现、提取、保存等环节，计算机犯罪中的取证又有其特殊性，其不仅要发现明显的证据如电子邮件、程序源代码等，还要发现各种被隐藏的证据如删除的文件、被格式化的硬盘数据等，这同时也涉及对数据的分析和搜索，因此笔者认为这三个环节体现在计算机犯罪中应分为搜索、保护、分析和提取四个步骤。
搜索：主要包括发现隐藏的和恢复被破坏的数据。这涉及两种搜索工具和恢复工具的使用规则。对于计算机犯罪中证据的搜索实质上是对各种磁介质等物理媒体进行的物理性查找。对于计算机犯罪中证据的恢复指使用相关的工具对被破坏的证据进行复原。大多数的侵入者都会在离开前把可能暴露自己的文件、记录等删除、修改，恢复这些直接证实侵入行为的文件、记录是取证时必须进行的工作，并要遵循如下规则：尽量按字节逐步恢复数据的原始状态；要根据不同的操作系统选择采取不同的技术进行恢复；对于无法恢复的文件至少应确定该文件是否存在过。
保护：主要指在对数据进行分析前要对数据进行备份：包括对所有被隐藏的、删除的、交换的、正常的、空白的，未被使用的所有文件系统的“克隆”，不能有任何丝毫的差异。
分析：主要指对数据的安全性和完整性进行分析。安全性分析包括检查媒介的数据中是否含有破坏性程序如病毒；是否含有任何盗版软件；是否已经同网络断开、是否仍存在来自网络中潜在的威胁；完整性一方面指要尽可能发现所搜查的系统中的所有的文件，包括现存的正常文件、已经被删除但仍存在于磁盘上还没有被新文件覆盖的文件、隐藏的文件，如果法律允许还应查看加密的和受密码保护的文件。
提取：这里主要指在前面工作的基础上按取证的一般原则对案件中的证据进行提取和归档，并打印所有搜集到的文件列表和发现的文件数据，不能打印的计算机犯罪中证据要列出相关的类型、位置、大小、创建时间、修改时间、访问时间等属性。这实质上是对取证一般原则的细化。即：
对原始数据进行按位拷贝后再进行分析，而不对原始数据进行直接分析。这实质上是要求取证不能破坏原始介质；
必须保证对数据进行分析的计算机系统及辅助的软件的可靠性。否则，由此得出的证据也是不可信的，至少是可信度不高的；
对原始数据的每一步分析前都要生成数字签名。根据2001年海南省人民政府数字证书认证管理试行办法中定义：数字签名，是指以电子形式存在，可依附在电子文件中用于辨识电子文件的签署及表示对该电子文件内容负责所使用的数字标识。所以从其定义来看，数字签名可以充分地保证计算机犯罪中的证据不被篡改和假冒，一方面数字签名所依据的严密的加密和解密数学方法充分地保证了其来源于案件本身，即保证了其与案件的关联性，另一方面签名所必须遵守的法律规定保证了数据的合法性；
必须对受破坏的计算机系统的原始状态、环境及采用的分析方式、操作流程、操作人、时间、地点、结果都要详细记录并归档保存；
分析完成后也要进行备份，并进行妥善保存，防止被损坏、更改。
张凯
《刑事司法指南》总第17集