三、我国网络犯罪取证的研究与探讨(一)计算机取证国际上在计算机取证方面已有比较深入的研究,并且有不少公司推出了相关的应用产品。计算机取证技术是相关法律法规赖以实施的基础,是我国全面实现信息化的重要技术之一,但现在还存在很多问题。计算机取证的主要原则有以下几点:首先,尽早搜集证据,并保证其没有受到任何破坏;其次,必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其他方委派的专家的监督。
上面提到的计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多变。
(二)审判人员、检察人员、侦察人员和当事人提供证据审判人员、检察人员、侦察人员和当事人提供证据,是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。取证方式都有别于传统证据,审判人员、检察人员、侦察人员和当事人提供证据的一般取证方式有:
1.打印与拷贝网络犯罪案件在文字内容上有证明意义的情况下,可以直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法予以保管、固定,并注明打印的时间、数据信息在计算机中的位置(如存放于哪个文件夹中等)、取证人员等。如果是普通操作人员进行的打印,应当采取措施监督打印过程,防止操作人员实施修改、删除等行为。而拷贝是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先,取证人员应当检验所准备的软盘、移动硬盘或光盘,确认没有病毒感染。拷贝之后,应当及时检查拷贝的质量,防止因保存方式不当等原因而导致的拷贝不成功或感染病毒等。取证后,注明提取的时间并封闭取回。
2.拍照、摄像如果该证据具有视听资料的证据意义,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像,还具有增加证明力、防止翻供用。
3.查封、扣押对于涉及案件的证据材料、物件,为了防止有关当事人进行损毁、破坏,对通过上述几种方式导出的证据进行查封、扣押,将有关材料置于司法机关保管之下。查封、扣押措施必须相当谨慎,以免对原用户或其他合法客户的正常工作造成侵害,一旦硬件损坏或错误操作导致数据不能读取或数据毁坏,其带来的损失是不可估量的。
4.制作计算机取证法律文书计算机取证法律文书,一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。使用司法文书的方式可以通过权威部门对特定事实的认定作为证据,具有专门性、特定性的特点,具有较高的证明力。主要适用于对具有网络特色的证据的提取,如数字签名、电子商务等,目前在我国专门从事这种网络业务认证的中介机构尚不完善,处在建立阶段。如1998年,经广东省人民政府批准成立了以提供电子认证服务为主营业务的广东省电子商务认证中心,到目前为止,该中心已签发各类数字证书超过6万张,为用户在Internet网络的电子商务活动提供了安全保障。一般包括取证证据种类、方式、过程、内容等的全部情况进行的记录。勘查和取证结束后,勘查人员、取证人员和见证人员必须在计算机取证法律文书上签字。
5.通过公证取证,进行证据保全我国学者认为,证据保全公证程序就是在起诉前或者起诉后,还没有调查证据以前,预先采取的一种保全措施。而在此提出的证据保全公证程序是公证机构基于客观上的急迫需要,在诉讼前就特定证据材料预先加以调查,以便对证据的形式和内容加以固定、保存的一种特别程序。网络犯罪案件中,犯罪的证据极易消失,一旦消失即难以取得,对方若无理狡辩,原告很难拿出有力的证据证明侵权事实的成立,所以要想确保打赢网络侵权官司,必须做好证据的保全工作。下面是网络证据保全的过程:审判实践中越来越多证据保全由公证机关完成→网络公证涉及技术问题应把取证方法固定下来→公证员应该出庭通过质证陈述使公证书被采信→保证网络公证客观性可用时间戳固定电子邮件。
我国的相关法律,例如,2001年12月6日,最高人民法院《关于民事诉讼证据的若干规定》第9条第6款规定“已为有效公证书所证明的事实,当事人无需举证证明。”2001年7月12日,最高人民法院《关于行政诉讼证据的若干规定》第64条规定:“以有形载体固定或者显示的电子数据交换、电子数据以及其他数据资料,其制作情况和真实性经对方当事人确认,或者以公证等其他有效方式予以证明的,与原件具有同等法律效力。”不久前,北京市第一中级人民法院知识产权庭原副庭长刘勇认为:“网络公证涉及技术问题,应当明确一个统一的步骤,把取证方法具体固定下来,以方便司法实践中的责任认定,在一定程度上提高公证员处理网络证据保全的能力。”电子证据的保全方式决定了某项电子证据自生成后直到提交给法庭或仲裁庭时止,是否在储存、传输等各个阶段均保持了数据和信息的原始状态,没有任何人为的或自然的因素影响、破坏,即该电子证据是否合法有效。目前对储存在计算机存储设备中的数据进行证据保全缺乏法律依据且不便于操作。一般对采取以下几种方式保全的电子证据可以采信。(1)以财产保全方式查封、扣押办公用具及商业资料,将存储设备妥善加以保管,并在笔录上注明扣押存储设备的品牌、型号。(2)对于具有时限性的电子证据如利用网络对他人进行侮辱诽谤的事实,司法机关对当时的数据加以记录并由公证机关进行公证。(3)对于涉及到他人的权利及客户隐私权的电子证据、隐藏或加密的电子证据、被破坏的电子证据、扣押存储设备将损害不特定多数的合法客户的权利及危害他们的数据安全的,改由权威技术机关对电子证据以书证或鉴定结论形式提交。总之,应当根据案件的具体情况,具体决定采取哪种方式进行。
6.时间戳服务网络时间是有效力、有权威性的,可以通过国家授时中心相关权威的第三方机构通过时间戳(一般指文件属性里的创建、修改、访问时间)来固定电子邮件,同时对一些大公司的网络日志进行保存,以解决公证处因为人员技术知识、设备问题造成的证明困难。
据联合信任时间戳服务中心的一位负责人透露;“虽然时间戳服务的作用,还不被大多数使用网络的人所熟知,但是自2007年5月正式运行以来,已经有超过100万的认证,每天近千个,这项新的认证概念正逐步为公众和司法界所接受。”
