美章网 资料文库 手机取证标准化程序探析范文

手机取证标准化程序探析范文

本站小编为你精心准备了手机取证标准化程序探析参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

手机取证标准化程序探析

《广西警官高等专科学校学报》2016年第5期

摘要:

随着手机使用率的不断提高,手机证据对于侦查破案的重要性也日益显现。如何从手机中提取相关数据并确保其真实性与完整性,是当前世界各国刑事司法活动共同面临的重要课题。手机取证标准化程序的构建,能够规范引导侦查机关的取证行为,最大程度保证所获得证据的真实与合法,为手机证据的认定提供具有可操作性的判断标准,对于司法实践具有重大意义。

关键词:

手机证据;取证程序;标准化;事前取证

与传统手机不同,智能手机兼顾了计算机与移动电话的优点。人们在日常生活中对其愈发依赖,许多重要数据也因此储存于手机之中。这同时也给犯罪分子利用智能手机实施诈骗、盗取个人隐私信息等犯罪行为提供了便利。因此,如何将手机中有利于破案的相关信息快速完整地提取,对于惩罚犯罪、保障社会治安有着重要的现实意义。然而手机证据极易被篡改,如何在侦查取证过程中确保其真实性与完整性,早在21世纪初便受到法治发达国家学界和实务界的密切关注和反复实践。美国、英国、加拿大等英美法系国家经过长期实践与摸索,在电子证据收集方面已经形成了一整套较为完善的标准化程序,并在此基础上结合手机取证之特殊性逐步构建相对独立的手机取证程序[1]。反观我国,在手机取证程序方面的研究与立法严重滞后,学界鲜有涉猎,在取证主体的资质、提取工具的选择、提取程序的进行、提取报告的制作等方面都缺乏统一的标准化程序。司法实践中,侦查机关仍遵循传统的侦查取证模式,或者直接套用计算机取证程序的相关规定,这种简单的处理方式往往会给后续诉讼过程中对所获得手机证据在证据能力方面的认定带来诸多负面影响[2]。我国应当尽快顺应世界刑事司法发展之潮流,结合我国刑事司法实际情况,借鉴国外相关立法经验,尽快构建手机取证程序并,以此为契机推动我国电子证据取证标准化程序构建的步伐。

一、界定与对比:手机取证的特殊性

我国于2012年3月14日,第十一届全国人民代表大会第五次会议审议通过了《关于修改〈中华人民共和国刑事诉讼法〉的决定》,把“电子数据”列为法定证据种类之一,首次以基本法的形式确认了电子数据在刑事诉讼中的地位。此后,关于电子数据收集、提取、保管、审查等相关法律法规也陆续出台。随着我国计算机取证程序的逐渐成型,无论是立法者抑或司法者,都不约而同地认为计算机取证程序在提取电子数据方面的普适性。随着智能手机使用率的高速提升,在不久的将来,在刑事司法中手机证据在电子数据中所占份量必定不会低于计算机证据。随之而来的一个问题便是:手机取证与计算机取证两种获取电子数据的行为是否有本质区别,这直接关系到二者能否适用同一取证程序[3]。手机取证,是指在诉讼过程中,有法定取证资格的取证主体运用符合取证规范的取证工具和技术方法,发现、提取或检验手机及其相关设备并从中获得诉讼证据和案件线索的一种取证措施[4]。手机取证着重于将储存于手机中的数据进行提取与固定,如实呈现出从手机中采集到的数据的状态和内容。与手机证据的鉴定不同,手机取证只是确保数据的完整真实,并不涉及对数据的分析审查与判断。手机取证与计算机取证,虽然有诸多近似之处,但在数据存储和处理等方面却存在本质区别,正是这些区别决定了手机取证的特殊性。

(一)是否能够获取无线信号

手机自始便被设计为可移动通讯工具,为实现其通讯功能,手机需要将无线电波与声音或文字进行相换,并且发射与接收以基站为媒介的无线电波[5]。这种通讯功能恰恰是计算机所不具备的。随着手机技术日新月异,如今手机通过无线信号能够实现的功能越来越多,比如:蓝牙、无线连接等。然而,通过无线信号所支持的这些功能,手机操作系统的被授权者可以对手机进行远程操作和控制,从而在远程的情况下实现改变手机存储信息数据的目的。相较于计算机取证程序,为确保数据真实性与完整性,在手机取证过程中是否切断手机无线信号,应当给予高度关注。比如:获得涉案手机后,若手机信号搜索功能处于开启状态,应当及时屏蔽信号或者关闭信号搜索功能以防止手机储存信息被篡改。

(二)使用的操作系统不同

操作系统是管理计算机硬件资源,控制其他程序运行并为用户提供交互操作界面的系统软件的集合,因此高效的取证工具与技术都必须根据操作系统进行研发①。手机操作系统与计算机操作系统在技术上虽无本质区别,但目前计算机使用的操作系统种类不多、较为集中、且基本对外公开。反观手机操作系统,不仅其代码可能被作为商业秘密,且目前市面上流通的手机品牌众多,适用的操作系统也各不相同,种类颇多[6]。因此,手机取证过程中没有通用的取证工具,需要根据取证对象的操作系统选择合适的取证工具与技术,否则取证无法进行。故而在计算机取证中无需多加考虑的取证工具与技术,在手机取证中却是必须给予重视。

(三)信息储存载体不同

硬盘是设备信息储存的载体,分为只读存储器与随机存取存储器,后者会因断电而导致储存信息彻底丢失,前者则不然。储存在随机存取存储器中会因储存设备断电而彻底灭失的数据被称为易失性数据。易失性数据仅仅在设备通电工作时才存在,保证手机电量充足是储存的必要前提。而储存在只读存储器中,不会因设备断电而彻底灭失的数据则是非易失性数据,例如我们的照片、录像、文件等。由于储存于手机中的数据有大量的易失性数据,若要确保所提取证据的完整性,在获得取证的目标手机后对于其工作状态(开机还是关机)必须进行确认。如果目标手机处于开机状态则应当一直保持其电源充足,防止手机中存储的易失性信息因断电而丢失[7]。

(四)对数据提取速度要求不同

因系统设置常会被其他数据覆盖而改变的数据称为覆盖性数据,因时间改变或定时功能而改变的数据称为时效性数据[8]。与计算机不同,手机因其储存量小,其数据不得不持续被覆盖或随时间改变,即为覆盖性数据与时效性数据。这意味着即便在目标手机被侦查机关掌控后,其数据同样可能因提取措施的延误而被该改变。因此,手机取证具有极强的时效性,必须尽快完成数据的提取。手机取证与计算机取证的以上区别直接决定二者取证程序上的不同,若无视二者的区别将计算机取证程序盲目用于提取手机证据,必将损害其数据的完整性与真实性,从而使其证据能力受到质疑。因此,构建独立的手机取证标准化程序,为刑事侦查中手机证据的提取和固定提供一系列明确的操作流程于我国刑事司法实践而言具有紧迫性与必要性。

二、基础与指引:手机取证程序基本原则

设定侦查取证程序作为刑事诉讼程序的组成部分,刑事诉讼的基本原则自然同样适用于侦查取证程序,但针对性不足,尤其是手机取证本身又与传统的证据提取有本质区别[9]。结合手机取证之独特性,应当确定以下三个基本原则。

(一)合法性原则

手机取证的合法性原则要求取证行为应当由持有司法鉴定人职业资格和执业许可证的自然人,使用国家法律法规所认可的司法取证工具与技术,遵守国家法律法规确立的取证程序,对手机设备进行取证[10]。

1.主体

合法手机取证必须由持有司法鉴定人职业资格和执业许可证的自然人进行。这并非要求所有流程都由此人操作,而是整个手机取证的过程都由此人控制并且关键操作应当由此人完成。

2.方式

合法手机取证的方式必须是使用国家法律法规所认可的司法取证工具与技术进行。这里的工具指的是取证设备、取证软件以及能够达到取证要求的代码或其他方式。

3.程序

合法手机取证的程序必须是国家法律法规制定或认可的手机取证程序。这里的程序包括但不限于许可、取得、运输、分析、保存等程序。

4.对象

合法手机取证的对象必须是符合国家法律法规关于取证材料规定的手机设备。这个取证材料不仅要符合国家法律法规关于取证材料规定,还包括技术上达到手机设备的要求。

(二)及时性原则

手机取证及时性原则是指取证活动应当及时有效地进行。取证主体在准备、取得、封存、运输、交接、取证、保存、分析、呈现、检验等过程中应当采用效率最高和耗时最少的方式进行。

(三)连续性原则

一个理想的司法程序应当是流畅和连续的。一个环节的结束意味着另一个环节的开始,环环相扣紧密相连,不管哪个环节出现了问题都可以及时锁定并在可以补救的情况下追溯至前一个环节重新开始。可见,取证过程的流畅与环环相扣,不仅可以有效保证所获得证据的真实合法,还是后续司法行为中对所获证据进行检验与审查从而认定其证据能力的重要依据,对于极易被篡改的电子数据而言尤为重要。

三、规范与构建:手机取证标准化程序模型的提出

(一)前期准备前期准备阶段主要包括取证人员的准备、取证方案的准备与取证工具的准备以及现场的保护。

1.取证人员的准备

手机取证与计算机取证同属专业性较强的技术取证,对取证主体专业技术有很高的要求,必须既熟悉一般司法取证程序,同时还需要掌握相应的相关专业知识。取证人员中应当有专门的过程记录者,专职记录取证全程。

2.取证方案的准备

取证小组组成的同时,应当对取证的事宜制定适用方案,包括人员的分工、运输路线的选择、取证地点的选择、应急方案等。方案的科学性不仅影响取证的效率,更影响取证活动是否能如愿完成。

3.取证工具的准备

方案确定后,根据手机的特征、取证环境、运输路线等因素,选择适当的工具组成工具箱,这个工具箱包括手机充电设备、信号屏蔽设备、防静电手机证据袋、防干扰设备等。在赶往取证现场的同时应当在取证实验室确认取证的工具是否完备,例如密码破译设备、取证分析软件、防病毒软件等。

4.取证现场的保护

为防止证据被破坏或污染,有效保证所取得的证据的真实性与完整性,现场保护是必要的。首先,应当即时控制取证现场,其次控制包括警察在内的在场人数以降低证据被破坏或污染的危险,最后,禁止没有取证资格的人对手机进行任何操作,如果确有操作应当被记录。

(二)全程记录取证过程

取证过程应有专人记录全程,这是为确保取证行为的可供重复操作进而检验取证的真实性以及合法性。手机取证中应当记录的内容包括:取得手机、使用设备、运输手机、交接手机、数据取得、证据分析、推论依据、证据保存过程中涉及的人员、地点、时间、方式、结果等。电子取证的操作又可以根据是否在物理层面上的操作分实体的操作以及虚拟的操作。实体的操作指的是物理层面上的操作,虚拟的操作指的是非物理层面上即对于虚拟数据的操作。因此在记录方式上,实体的操作应当全程录影录像,虚拟的操作应当使用相应的技术进行完整记录,如历史记录痕迹、数据拷贝等技术。

(三)确定设备状态与屏蔽信号

1.确定设备状态

相关人员确定目标手机设备的状态,即开机或关机。手机状态的不同直接影响随后的取证程序。如果手机状态为开机,也应当及时使用充电设备保证手机电源充足从而防止易失性数据丢失。

2.屏蔽手机信号

如果手机设备状态为开机,就应当利用工具箱中的屏蔽设备及时屏蔽信号。信号包括一切可能与其他设备联通的交流方式,比如:电波信号、无线连接、蓝牙。屏蔽的方式不仅仅是使用携带的屏蔽设备,也可以是手机内置关闭无线搜索的功能,例如开启飞行模式、关闭蓝牙功能,但这些操作的前提是确保不对手机数据产生破坏或污染。在计算机取证程序中无需考虑设备状态与设备信号,因为计算机中所储存的数据不会因以上二者的不同而发生该改变。我国当前较为常用的数字证据取证模式,如:NIJ执法模式、DFRWS模式、抽象数字证据取证模型、IDIP模式、系统数字司法刑侦模型等模式也都未对以上情况可能引发手机证据变化的隐患有所关注。实践中侦查人员掌握了目标手机后甚至人为关闭手机,造成易失性数据的丢失,这十分不利于手机证据的真实与完整。

(四)证据的转移

由于人员、设备、环境等因素不完备或不可控,因此常常需要将对象手机转移至环境可控的实验室或其他合适地点再对手机数据进行提取。如何确保转移过程中手机证据的完整与真实便是这一环节的重点。转移目标手机前,应当使工具箱中的充电设备连接手机设备并且保证手机的电量充足,不会从开机状态切换到关机状态或者从暂时性断电状态切换到完全性断电状态。同时,将对象手机与充电设备妥善封存于防静电手机证据袋中,并且利用工具箱的设备防止静电、强磁场、碰撞挤压、灰尘、带编码的电流、辐射、温度、湿度等物质或能量因素对储存设备的影响。手机转移过程中,应确保对手机及其储存信息的绝对控制与保护,保证手机电量充足以及手机设备不被操作。也可以使用计算机与手机连接从而达到目的。转移至目的地后,进行手机以及相关设备的交接并详细记录交接情况。转移过程中须确保手机及其储存信息一直处于侦查人员的绝对控制之下。

(五)数据的提取

在数据提取环节中,取证者根据操作系统的特征应当使用适合的工具与程序对手机内部储存数据进行提取。如果操作系统被视为商业秘密,应当及时联系手机开发商,要求提供操作系统的代码或者提供相应取证工具与技术。如果手机开发商提供作为商业秘密的操作系统代码,取证人员应当对此进行保密;如果手机开发商提供相应取证工具与技术,取证人员也应当对相应的取证工具与技术进行保密,同时手机开发商应当担保其所提供取证工具与技术的可靠性。从当前我国司法实践来看,侦查机关使用的取证方式与计算机取证方式与程序完全一致,因此可以从手机中完整提取非易失性数据,却无法有效提取易失性数据。这不能不说是我国当前手机取证的一个重大失误。

(六)数据的初步分析

在取得上述数据后,取证者使用适合的取证工具以及技术对所取得的数据进行分析,得出初步的数据分析结果。由于数据之间具有关联性,这个阶段应当在上一环节完全结束后进行并分析所得全部数据。同时,为了更好地分析手机数据,可以采用多种工具与技术并多次进行。

(七)第三方取证

手机中部分数据可能因时效性或覆盖性改变或丢失,仅从手机中获取的数据并不完整。因此,在上一环节完成后,取证者应当根据数据分析结果,通过第三方取得因时效性或覆盖性而被改变或丢失的手机数据。比如:手机基于互联网技术通过第三方媒介完成的数据;基于手机通讯信号或者其他无线信号技术完成的功能的手机数据等。

(八)数据的二次分析

第三方取证完成后,取证者应当就当前所获得的全部数据进行二次分析,基本要求与初次分析相同。

(九)证据的呈现

将所获得的手机证据应当以一般人能够理解和感知的方式予以呈现。这也是司法公开原则应有之义。呈现的内容包括取证结果与取证过程。司法实践中大量手机证据最终以书证、照片或者视听资料等证据形式出现,法官必须通过考察取证过程从而判断这些“转化”证据是否具有证据能力,能否作为定案依据,因此呈现取证过程同样十分重要。上图是以9个环节的流程展示,从中可以清晰地看到取证程序全貌,基本能够实现前后环节之间的衔接流畅,对侦查机关的取证行为能够有较为明确的指引,且在现有科技水平和司法条件下,可以最大程度保证手机证据的真实与完整。

四、前景与展望:手机事前取证程序应是未来电子数据取证趋势

在网络和电子技术飞速发展的今天,人们获得信息的手段发生了革命性的变化,“电子文件也作为传递信息、记录事实的重要载体,一旦发生民事纠纷或刑事案件,电子证据就成了不可或缺甚至是举足轻重的证据[11]。”著名证据法学者何家弘教授早在2014年便预言“我们即将走入电子证据时代。”随着智能手机使用率在世界范围内的不断上升,刑事案件中手机证据出现的频率也开始显著提高,手机取证在司法活动中的运用也越发普及,可以预见手机证据价值也将不断提高,手机证据提取程序与鉴定技术日趋完善。如何将手机对于刑事司法的作用发挥至最大,同时克服其不利因素,已经成为多个法治发达国家刑事司法领域诸多学者孜孜不倦探讨的重要课题。在美国,甚至将手机取证作为法庭司法学的一个新的分支,称其为“SmartphoneForensic”。由美国联邦调查局属下的计算机分析应对小组主导,联合电子技术与法学两方面的精英,共同就手机取证程序的完善进行持续性研究并为刑事司法中侦查人员如何提取手机证据提供了一系列指导性建议。这一领域的研究趋势从“事后取证”的研究逐渐向着重于“事前取证”的方向发展。目前,事前取证程序主要运用于计算机取证中,并逐渐尝试在手机取证中运用。即在犯罪事实发生前,有针对性地将目标用户手机数据备份到特定媒介中予以储存,待相关犯罪事实发生后及时提取,直接使用。这一程序能够有效克服手机数据易失性、覆盖性与时效性之三大缺陷,得以在犯罪案件发生后最大程度保证手机证据的完整与真实,同时提高侦破犯罪的效率。不失为有效解决手机证据固有缺陷与其对刑事司法重要性二者矛盾的创举,故而相关领域的学者更是投入了大量的学术资源对此进行研究。从当前研究成果来看,学界目前对事前取证程序的研究主要集中在技术和合法性两方面。

(一)取证技术

如何在犯罪事实发生之前从目标手机中成千上万的数据里识别并提取有价值的数据进行储存是该程序必须解决的技术难题。多位美国学者都主张可以通过立法或者政府规定等方式,确保所有手机出厂设置中都自带统一的事前取证预警系统。该系统未收到法定国家机关依法发出的执行指令时,处于静止状态,不会对手机中的数据进行识别和收集。不会对一般用户造成困扰,不会泄露其个人隐私。该系统的操作和维护往往属于国家安全部门与警察部门中的专门技术机构。该系统在启动后,会根据指令自动识别手机中特定的数据并将其上传至指定的云存储器中。上传数据的前提是手机必须联网,若目标手机处于离线状态或者因通话而无法联网时,系统则无法进行数据传输。为确保数据收集的完整性,有学者建议可以在手机离线时先将可疑数据复制储存于手机中特定的储存空间。在手机连接互联网后,系统再将已经储存的可疑数据传输至指定的储存空间并删除储存于手机中的信息。若离线时储存于手机中的数据在上传前被篡改,系统即刻向主管部门发送警告。这只是相关技术的大致设想,在该事前取证系统的具体设计上还有许多技术难题未能攻克,需要进一步的研究。

(二)取证的合法性

事前取证意味着在犯罪事实发生之前便对特定手机中的数据进行识别、上传和分析,虽然能够有效预防犯罪,却也会给公民个人隐私的保护带来隐患。明确规定在所有手机中都安装这一系统是否合法,国家机关在什么情况下有权启动事前取证程序,这关系着如何在惩罚犯罪与保障人权二者之间维持微妙的平衡点。该程序在英美法系也受到诸多质疑,许多学者担心安装在手机中的这一预警系统会让公民丧失隐私权,各大手机制造商更是极力抵制政府提出的要求在所有手机出厂设置中安装这一系统。手机事前取证程序从设想到实践还有一段很长的路要走。作为一个新生事物,它必定有诸多不完善之处,正如DNA技术刚刚出现,同样为司法界所质疑,尤其是在DNA鉴定结果与目击证人证言、被害人陈述等言词证据相矛盾时,法官往往倾向于采信后者。DNA技术已经成为各国刑事司法中不可或缺的重要工具。智能手机技术的飞速发展,其市场占有率和使用率的飙升,手机证据在司法中所占比重的日益提高,都预示着未来手机证据必将在司法证明的电子证据时代占据重要地位,也必定需要有一整套相应的取证程序以确保手机证据的真实性与完整性。从当前世界法治发达国家的立法和司法实践趋势来看,事前取证程序可以最大程度克服手机证据固有缺陷并有效预防犯罪,其发展前景颇为乐观。在电子证据立法和司法实践上,我国本就起步较晚,对于手机取证程序之重视更是不足,其弊端已在司法实践中逐一显现。因此,尽快完成手机取证程序的构建是我国刑事司法刻不容缓的一个课题。如果能够与此同时将事前取证程序同时纳入构建设想之中,并在法律制度和技术允许的范围内进行尝试,也许能够一改我国当前电子数据立法和司法落后的现状,为电子证据时代的到来做好更为充分的准备。

参考文献:

[1]刘颖,李静.加拿大电子证据法对英美证据传统证据规则的突破[J].河北法学,2006(1):125-128.

[2]刘品新.论网络时代侦查制度的创新[J].暨南学报(哲学社会科学版),2012(11):63.

[3]戴莹.电子证据及其相关概念辨析[J].中国刑事法杂志,2012(3):51.

[4]何家弘.电子证据法研究[M].北京:法律出版社,2002:22.

[5]斯伦贝谢技术(亚洲)有限公司.3G的S工M卡简介[J].通信世界,2001(1):2.

[7]米佳,刘浩洋.计算机取证技术[M].北京:群众出版社,2007:33-48.

[8]张越今.网络安全与计算机犯罪勘察技术学[M].北京:清华大学出版社,2003:31-49.

[9]刘品新.论电子证据的原件理论[J].法律科学,2009(5):119.

[10]房保国.科学证据的失真与防范[J].兰州大学学报(社会科学版),2012(5):108.

[11]樊崇义,李思远.论电子证据时代的到来[J].苏州大学学报(社会科学版),2016(2):100.

作者:莫然 戴泽昶 单位:广东金融学院法律系