职务犯罪侦查中的电子数据取证研究
计算机、智能移动电话等电子设备中往往存在着大量能够成为案件线索或者重要证据的电子数据,对电子数据获取将是职务犯罪侦查取证的重要手段。
一、电子数据及电子数据取证的概念
电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。
电子数据取证是指具有检验鉴定资格的主体应用合乎规范的检验鉴定工具和技术方法,从取证对象中获取能够证明犯罪事实的电子数据证据的一种取证方式。具体来说就是从电子设备或介质中收集、保全和分析相关电子数据,并从中得到具有法律效力,能够证明犯罪事实的电子数据证据。
二、职务犯罪侦查中电子数据取证对象
电子数据取证的对象是各种电子设备或存储介质中存储或传输的电子数据。这些电子数据之所以能够成为证据具有以下原因:一是作为犯罪活动的工具,如使用QQ、MSN等通信联络工具进行犯罪联络;二是犯罪活动侵害的对象,如涉密的电子数据或者数据库;三是犯罪活动的赃物,如被泄露的涉密电子数据;四是与犯罪活动相关的记录信息,如上网记录、聊天记录及操作日志等。通过对这些电子数据的取证,获得证明犯罪嫌疑人与犯罪活动关联的证据,从而找到能够证明犯罪事实的证据,或者为发现犯罪、证明犯罪提供线索。
(一)存储介质或设备内的数据内容
1.计算机类:台式电脑、笔记本电脑、服务器、平板电脑、PDA,通过提取这些设备中的电子数据,如聊天记录、上网记录、可见电子文档、删除的电子文档、加密的电子文档以及数据库文件,通过解密及删除恢复的方法,并进行分析,从而找到与案件相关的电子数据。
2.移动存储类:移动硬盘、软盘、光盘、U盘、存储卡,通过对这些设备的只读浏览和恢复已删除的文档、图片及其他文件,获得有价值的电子数据。
3.设备类:打印机、扫描仪、复印机、监控录像机、照相机、摄像机、录像机等,通过提取这些设备内的数据内容,获得与案件有关的数据材料。
(二)移动电话及SIM卡数据内容
1.电话簿:电话簿中记录着使用人大量的联系人,可以找到与案件相关的人员及其联系方式。
2.通话记录:记录往往记录着使用人与案件相关人员的通话记录,通过取证可以获得通话时间及次数等等数据。
3.短信及彩信:信息记录了使用人与其他人之间的联系内容、联系时间,通过对短信及彩信的提取和恢复,获得相关的证据和线索。
4.音视频文件及图片:这些文件可能记录了一些犯罪现场的情况、案件相关人员的图像以及能够反映案件事实情况的图像和图片,是取证的重要对象。
5.日期时间及日程安排信息:这些记录了使用人日常安排及会见的一些信息,有可能与案件相关,也是需要提取的对象。
6.存储的文档:通过对移动电话内电子文档的提取和恢复删除,从而取得与案件相关的电子数据。
7.GPS导航信息及地图导航信息:这些信息记录了使用人的活动记录,能够证明使用人在相应时间在相应的地点。
8.通讯工具如QQ、微信、飞信等聊天记录及传输的文件:通过对这些记录内容和文件的提取,,获得能够证明案件事实的线索或者证据。
9.上网记录、微博记录:这些记录了使用人的上网时间、地点、网址、发表的内容,也是取证的对象。
10.蓝牙传输的文件:在蓝牙设备之间传输的文件也有可能与案件相关,需要提取。
11.SIM卡信息:通过SIM可以获得电话号码等信息。
(三)第三方涉案电子数据
移动电话运营商(如中国移动、中国联通等)、通讯工具运营商(如腾讯、微软等)、邮件运营商、论坛运营商、微博运营商等厂商数据库中存有大量用户数据,这其中涉及到犯罪嫌疑人的数据,也是我们取证的对象。
三、电子数据取证方式
(一)设备或载体扣押
对于可能与案件有关系,需要扣押且具备扣押条件的电子设备、储存介质进行扣押,从而保护、固定证据源,防止证据受到破坏。
(二)现场勘验
对于不具备直接扣押条件的,但需要及时对证据进行固定的,可以对其进行电子数据现场勘验。现场数据勘验的主要方式包括制作存储介质的复制件、现场提取固定与案件有关的数据、对数据进行初步检验等方式。
(三)实验室检验分析
通过实验室的检验工具对从扣押的电子设备或现场勘验获取的电子数据进行分析、判断,从而找到能够成为案件线索或证据的电子数据。
(四)第三方数据调取
通过向第三方调取电子数据,获得与案件有关的线索和证据。
四、电子数据取证的方法
(一)电子数据条件搜索
通过实验室工具,对电子数据进行关键词搜索、分类搜索等搜索方法,,从而获得与案件有关的线索和证据。
(二)电子数据删除恢复
随着计算机的普及和人们操作计算机、使用电子设备水平的不断提高,职务犯罪嫌疑人出于隐匿证据、毁灭证据的需要,往往将对自己不利的信息进行删除破坏。因而,在这种情况下,关键信息难以读取,必须通过特殊方法,在一定条件下恢复被删除的文件。 (三)电子数据解密
通过对存储设备或介质内的加密文件进行解密,查找到能够证明案件事实的电子数据。
(四)电子数据同一性认定
通过对相关电子数据进行同一性认定,从而获得案件线索和证据,如在泄密案中,通过对泄露的文件与职务犯罪嫌疑人计算机中提取的文件进行一致性认定,证明两个文件的同一性,从而证明案件事实。
(五)移动电话检验
通过对移动电话的检验分析,获得与案件相关的联系人、通话记录、短信及彩信内容等线索和证据。
五、电子数据取证应当注意的问题
在职务犯罪侦查中,对涉及到的电子数据提取时应当注意以下问题:
(一)正确保全电子数据
在现场搜查时,如果犯罪嫌疑人正在使用计算机或者计算机处于开机状态时,侦查人员不能对计算机进行任何操作。为了保证电子数据的完整和全面,最好现场使用取证工具进行现场保存数据。如果无法现场进行取证的,应当将电源插头直接拔出。这样做有两点好处:一是保证数据的完整性,因为任何操作都会对部分数据进行更改;二是防止丢失挥发性数据,因为当嫌疑人进行操作时,可能存在加密文件正处于打开状态,如果按正常程序关闭计算机会使加密文件重新变回加密状态,并且任何操作都会改变内存中可能存在的一些电子数据。而直接拔掉电源则可保证临时文件和内存中的数据能够完整保留,便于下一步工作的展开。
另外,切勿对计算机及内在程序进行操作,虽然侦查人员并非有意为之,但可能无意间造成电子数据的破坏。比如说侦查人员在扣押计算机后,对关机状态的计算机进行了开机操作,这就造成开机的最后时间产生变化;比如在嫌疑人电脑中直接搜寻电子数据,对关键电子数据进行复制操作,这些都会造成检材受到污染,不利于之后的鉴定工作开展。
(二)应当提取计算机周边设备及相关物证
在现场搜查过程中,应当同时提取该计算机的外围硬件,比如打印机、软盘、U盘、光盘、扫描仪、移动硬盘、存储卡等。同时也要提取周边的非电子数据物证,比如说打印的文字、记录在纸上的用户名、密码等,这些相关的物证可能对电子数据检验起到重要辅助作用,因此也应当一并提取。
(三)保证运输过程中安全
由于电子数据的脆弱性,因此对存储有电子数据的电子设备及介质必须小心保存和运输。除了需要防火、防水和防盗之外,还应当避开强电磁场,高温和高湿的环境也会严重影响电子数据安全。同时还应当注意采取防震措施,因为一些存储设备比如硬盘,在受到超过一定强度的冲击力后,容易造成其内部损坏,使电子数据无法提取。
一、电子数据及电子数据取证的概念
电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。
电子数据取证是指具有检验鉴定资格的主体应用合乎规范的检验鉴定工具和技术方法,从取证对象中获取能够证明犯罪事实的电子数据证据的一种取证方式。具体来说就是从电子设备或介质中收集、保全和分析相关电子数据,并从中得到具有法律效力,能够证明犯罪事实的电子数据证据。
二、职务犯罪侦查中电子数据取证对象
电子数据取证的对象是各种电子设备或存储介质中存储或传输的电子数据。这些电子数据之所以能够成为证据具有以下原因:一是作为犯罪活动的工具,如使用QQ、MSN等通信联络工具进行犯罪联络;二是犯罪活动侵害的对象,如涉密的电子数据或者数据库;三是犯罪活动的赃物,如被泄露的涉密电子数据;四是与犯罪活动相关的记录信息,如上网记录、聊天记录及操作日志等。通过对这些电子数据的取证,获得证明犯罪嫌疑人与犯罪活动关联的证据,从而找到能够证明犯罪事实的证据,或者为发现犯罪、证明犯罪提供线索。
(一)存储介质或设备内的数据内容
1.计算机类:台式电脑、笔记本电脑、服务器、平板电脑、PDA,通过提取这些设备中的电子数据,如聊天记录、上网记录、可见电子文档、删除的电子文档、加密的电子文档以及数据库文件,通过解密及删除恢复的方法,并进行分析,从而找到与案件相关的电子数据。
2.移动存储类:移动硬盘、软盘、光盘、U盘、存储卡,通过对这些设备的只读浏览和恢复已删除的文档、图片及其他文件,获得有价值的电子数据。
3.设备类:打印机、扫描仪、复印机、监控录像机、照相机、摄像机、录像机等,通过提取这些设备内的数据内容,获得与案件有关的数据材料。
(二)移动电话及SIM卡数据内容
1.电话簿:电话簿中记录着使用人大量的联系人,可以找到与案件相关的人员及其联系方式。
2.通话记录:记录往往记录着使用人与案件相关人员的通话记录,通过取证可以获得通话时间及次数等等数据。
3.短信及彩信:信息记录了使用人与其他人之间的联系内容、联系时间,通过对短信及彩信的提取和恢复,获得相关的证据和线索。
4.音视频文件及图片:这些文件可能记录了一些犯罪现场的情况、案件相关人员的图像以及能够反映案件事实情况的图像和图片,是取证的重要对象。
5.日期时间及日程安排信息:这些记录了使用人日常安排及会见的一些信息,有可能与案件相关,也是需要提取的对象。
6.存储的文档:通过对移动电话内电子文档的提取和恢复删除,从而取得与案件相关的电子数据。
7.GPS导航信息及地图导航信息:这些信息记录了使用人的活动记录,能够证明使用人在相应时间在相应的地点。
8.通讯工具如QQ、微信、飞信等聊天记录及传输的文件:通过对这些记录内容和文件的提取,,获得能够证明案件事实的线索或者证据。
9.上网记录、微博记录:这些记录了使用人的上网时间、地点、网址、发表的内容,也是取证的对象。
10.蓝牙传输的文件:在蓝牙设备之间传输的文件也有可能与案件相关,需要提取。
11.SIM卡信息:通过SIM可以获得电话号码等信息。
(三)第三方涉案电子数据
移动电话运营商(如中国移动、中国联通等)、通讯工具运营商(如腾讯、微软等)、邮件运营商、论坛运营商、微博运营商等厂商数据库中存有大量用户数据,这其中涉及到犯罪嫌疑人的数据,也是我们取证的对象。
三、电子数据取证方式
(一)设备或载体扣押
对于可能与案件有关系,需要扣押且具备扣押条件的电子设备、储存介质进行扣押,从而保护、固定证据源,防止证据受到破坏。
(二)现场勘验
对于不具备直接扣押条件的,但需要及时对证据进行固定的,可以对其进行电子数据现场勘验。现场数据勘验的主要方式包括制作存储介质的复制件、现场提取固定与案件有关的数据、对数据进行初步检验等方式。
(三)实验室检验分析
通过实验室的检验工具对从扣押的电子设备或现场勘验获取的电子数据进行分析、判断,从而找到能够成为案件线索或证据的电子数据。
(四)第三方数据调取
通过向第三方调取电子数据,获得与案件有关的线索和证据。
四、电子数据取证的方法
(一)电子数据条件搜索
通过实验室工具,对电子数据进行关键词搜索、分类搜索等搜索方法,,从而获得与案件有关的线索和证据。
(二)电子数据删除恢复
随着计算机的普及和人们操作计算机、使用电子设备水平的不断提高,职务犯罪嫌疑人出于隐匿证据、毁灭证据的需要,往往将对自己不利的信息进行删除破坏。因而,在这种情况下,关键信息难以读取,必须通过特殊方法,在一定条件下恢复被删除的文件。 (三)电子数据解密
通过对存储设备或介质内的加密文件进行解密,查找到能够证明案件事实的电子数据。
(四)电子数据同一性认定
通过对相关电子数据进行同一性认定,从而获得案件线索和证据,如在泄密案中,通过对泄露的文件与职务犯罪嫌疑人计算机中提取的文件进行一致性认定,证明两个文件的同一性,从而证明案件事实。
(五)移动电话检验
通过对移动电话的检验分析,获得与案件相关的联系人、通话记录、短信及彩信内容等线索和证据。
五、电子数据取证应当注意的问题
在职务犯罪侦查中,对涉及到的电子数据提取时应当注意以下问题:
(一)正确保全电子数据
在现场搜查时,如果犯罪嫌疑人正在使用计算机或者计算机处于开机状态时,侦查人员不能对计算机进行任何操作。为了保证电子数据的完整和全面,最好现场使用取证工具进行现场保存数据。如果无法现场进行取证的,应当将电源插头直接拔出。这样做有两点好处:一是保证数据的完整性,因为任何操作都会对部分数据进行更改;二是防止丢失挥发性数据,因为当嫌疑人进行操作时,可能存在加密文件正处于打开状态,如果按正常程序关闭计算机会使加密文件重新变回加密状态,并且任何操作都会改变内存中可能存在的一些电子数据。而直接拔掉电源则可保证临时文件和内存中的数据能够完整保留,便于下一步工作的展开。
另外,切勿对计算机及内在程序进行操作,虽然侦查人员并非有意为之,但可能无意间造成电子数据的破坏。比如说侦查人员在扣押计算机后,对关机状态的计算机进行了开机操作,这就造成开机的最后时间产生变化;比如在嫌疑人电脑中直接搜寻电子数据,对关键电子数据进行复制操作,这些都会造成检材受到污染,不利于之后的鉴定工作开展。
(二)应当提取计算机周边设备及相关物证
在现场搜查过程中,应当同时提取该计算机的外围硬件,比如打印机、软盘、U盘、光盘、扫描仪、移动硬盘、存储卡等。同时也要提取周边的非电子数据物证,比如说打印的文字、记录在纸上的用户名、密码等,这些相关的物证可能对电子数据检验起到重要辅助作用,因此也应当一并提取。
(三)保证运输过程中安全
由于电子数据的脆弱性,因此对存储有电子数据的电子设备及介质必须小心保存和运输。除了需要防火、防水和防盗之外,还应当避开强电磁场,高温和高湿的环境也会严重影响电子数据安全。同时还应当注意采取防震措施,因为一些存储设备比如硬盘,在受到超过一定强度的冲击力后,容易造成其内部损坏,使电子数据无法提取。
扫微信立即咨询:
