电子证据检验鉴定是指鉴定人运用计算机技术、物理学以及电子技术的原理和技术手段,对诉讼涉及到的电子数据进行恢复、鉴别和判断,并提供鉴定意见,以取得最具证明力的电子数据证据作为认定事实的依据。
基本介绍
- 中文名:电子证据鉴定
- 外文名:Identification of electronic evidence
- 特点:形式多样、介质依赖、易破坏等
- 鉴定内容:同一性、事实有无、事实程度
- 基本程式:委託受理、实施鉴定等
- 案例:熊猫烧香
鉴定内容
同一性鉴定
每台计算机都有区别于其他计算机的特徵,生成的证据也可能会留有计算机的特徵,比如上网用户有其唯一的IP位址和网卡地址,WORD文档中保存有计算机的用户名、档案的存放位置、最后一次列印时间以及编辑所持续的时间等,列印件所用的印表机、列印头、墨盒、粉盒和纸张也可能呈现某种特徵。计算机使用者也有其区别于他人的不同习惯,比如汉字打字所用的输入法、错别字的规律.编写程式的风格等。
事实有无的鉴定
软体、数据的性质决定了某种违法事实是否存在,如“有害数据”和“有害信息”的认定.着作权保护和软体保护中侵权行为的认定,电脑程式是否危害计算机信息系统运行和功能发挥的认定等。就我国刑法规定而言,非法入侵的认定,需要鉴定有无网路入侵行为,主要是通过入侵工具的认定、IP位址和电话号码,伺服器日誌的分析等在时间上形成完整的证据链。我国刑法对破坏计算机信息系统行为处罚标準是“后果严重”或“后果特别严重”,有些国家的法律,对未遂的破坏行为也要处罚.对可能产生破坏的工具的鉴定就显得重要。
对于软体性质的鉴定,可能会产生争议,有时需要区分“菜刀与匕首”,1999年重庆杜某编制了YAl程式,通过软碟和Internet传播,主要以邮件附属档案的形式传递.在没有特殊现象、毫无徵兆的情况下.能够快速侵入系统。作者将YAl比作菜刀,菜刀的主要功能是切菜.使用不当,偶尔也会伤到手指,但用它去杀人,就不是造刀人的初衷了。我们诚然相信,作者的初衷并非是製造肆意传播的病毒,也不是为黑客提供入侵他人系统的工具,而是软体开发中的疏漏。但必须明确的一点是:如同真理跨过一步就是谬误一样,带有缺陷的软体也会造成如病毒般的危害,作者理应承担责任。对于破坏性的认定,从信息安全的角度看,是要保护计算机硬体、软体、数据不因偶然的或恶意的原因而遭到破坏、更改、显露保障计算机系统能连续正常运行。在司法实践中.一些人故意在程式中加入逻辑控制,设定时间锁,在一定条件下停止软体的某些功能,破坏了系统的正常运行,应当认定是破坏性程式。危害信息系统数据可靠性、完整性和保密性的程式都应当认定为破坏性程式。
事实程度的鉴定
对于利用计算机实施金融诈欺、盗窃、贪污、挪用公款的案件.损失认定比较直接,容易量化,但我国刑法对破坏计算机信息系统行为处罚标準是“后果严重”和“后果特别严重”,对这类案件的认定,尤其是`’后果严重”和“后果特别严重”的认定,是目前司法实践中最为困惑的问题,能否量化和如何量化要得到公、检、法各方认可有一定难度,导致许多案件难以处罚,需要有关部门制定出可操作性的相应标準或司法解释。比如法医鉴定中的伤害有卫生部制定的标準,盗窃罪数额认定有最高人民法院、最高人民检察院`公安部关于盗窃罪数额认定标準问题的规定。有一种情况是.作为信息安全的技术措施,重要的信息系统往往有数据备份,在遭受破坏后,可能比较容易恢复,损失该如何认定,有人认为数据恢复后就没有损失.使得作案者逃避了打击,笔者认为,从保护信息系统安全和打击犯罪行为的角度考虑,应以不恢复状态所造成的损失来认定。
电子证据的鉴定是一个分析和提取过程.通过物理分析和逻辑分析,查找相关数据,提取、分析和认定。在网路入侵和网路破坏案件中.常常需要对路由信息进行分析,从受害机器反查,寻找攻击者主要依据网路伺服器上的日誌档案:系统登录档案、套用登录档案、防火墙登录;档案备份、电话记录等等,从而分析整个网路活动记录给予认定。由于通信数据量非常大,必须藉助专用分析工具进行。
基本程式
电子证据鉴定作为司法鉴定的一种类型,应当遵循一定的流程。法务部2007年公布实施的《司法鉴定程式通则》中分别专章规定了“司法鉴定的委託与受理”、“司法鉴定的实施”和“司法鉴定文书的出具”,从巨观上指导司法鉴定工作的开展。《公安机关电子数据鉴定规则》中也对“鉴定的委託”、“鉴定的受理”、“鉴定程式”、“鉴定文书”等内容设专章予以规定。从我国目前电子证据鉴定的实践来看,我国的电子证据鉴定也遵循了上述基本程式。
委託受理
电子证据鉴定从鉴定的委託开始。电子证据鉴定委託由电子证据鉴定机构统一受理,委託人(泛指委託主体,包括单位和个人,下同)需要进行电子证据鉴定的,应当先填写《电子证据委託鉴定书》并提交鉴定所需资料,如证明委託人身份的有效证件、委託鉴定的检材以及其他相关资料。《电子证据委託鉴定书》中的记载事项主要包括委託人、送检人及其联繫方式、委託时间等;案件或者事件的简要说明;委託鉴定检材清单;鉴定目的和鉴定要求等。上述事项要儘量明确详细的填写,尤其是委託鉴定检材清单,应当详细描述送检材料的来源、名称、类型、数量、品牌、型号、序列号、固定封存状态、特徵等信息,以便鉴定机构进行审查。如果委託鉴定的检材是电子证据原件,委託人应当提供相关接受、收集、调取或扣押电子证据原件的工作记录及其封存记录;如果委託人使用过委託鉴定的电子证据原件,还应提供相应的电子证据使用记录;如果委託鉴定的检材是电子证据原件的複製件,委託人还应当提供有关複製件製作的工作记录。如果委託单位提交的检材未採取封存措施或相关记录文档不全,也应当在检材清单中注明。
鉴定机构接到电子证据鉴定委託后,首先应当进行审查。审查的内容包括以下几个方面:
- 委託主体和有关手续是否符合相关要求。公安机关电子数据鉴定机构可以受理公安机关、人民法院、人民检察院、司法行政机关、国家安全机关、其他行政执法机关、军队保卫部门、纪检监察部门,以及仲裁机构委託的电子数据鉴定。必要时,经公安机关电子数据鉴定机构主要负责人批准,可以受理律师事务所委託的电子数据鉴定。但是一般不受理当事人委託的电子证据鉴定。法务部门批准成立的电子证据鉴定机构一般面向社会接受电子证据鉴定委託。
- 审查鉴定目的和鉴定要求是否明确、是否符合鉴定範围。电子证据鉴定必须有明确的鉴定要求,而且委託人提出的鉴定要求应当在鉴定机构承担的电子证据鉴定範围内,如果不属于该电子证据鉴定机构的鉴定範围,或者是该机构的技术、设备、人员条件不能满足鉴定要求的,鉴定机构不应受理该鉴定。
- 核对送检材料的情况是否与委託鉴定检材清单记载的情况相符。对于委託鉴定检材清单中描述的送检材料的来源、名称、类型、数量、品牌、型号、序列号、固定封存状态、特徵等信息要逐一认真核对,确保委託鉴定检材清单的记载事项和受理的检材的实际情况一致。如果是已经封存的送检材料,应当核对电子证据封存清单记载的内容与检材封存状况是否一致。必要时,可以要求委託方启封核实;对送检的电子证据原件的複製件,如果鉴定机构认为有必要验证的,可以要求委託人提供电子证据的原件。
- 审查送检电子证据的相关记录是否齐全、内容是否完整一致。例如检材是电子证据原件,鉴定机构应当对委託人提供的相关接受、收集、调取或扣押电子证据原件的工作记录及其封存和使用记录进行审查。如果检材存在未採取封存措施等情况,或相关记录文档不全,应当在检材清单中注明。
- 初步审查送检材料是否具备鉴定条件。对于检材不具备电子证据鉴定条件的,不应受理。最后,如有必要,可以听取送检人介绍有关案情。
对于符合受理条件的,应当受理。电子证据鉴定机构受理电子证据鉴定委託后应当填写委託受理登记表,并向委託单位或者委託人提供该表的複印件。对于不符合受理条件的,可以不予受理。结合《公安机关电子数据鉴定规则》中对不予受理几种情形的规定和电子证据司法实践,笔者认为,面向社会的电子证据鉴定机构对于电子证据鉴定委託不予受理的情形主要有以下几种:
- 违反国家法律、法规的;
- 违反鉴定委託程式要求的;
- 超出鉴定範围的;
- 检材与案件或者事件无关的;
- 检材来源虚假或者不可靠的;
- 检材不具备鉴定条件的;
- 已经委託其他电子证据鉴定机构正在进行鉴定的;
- 技术、人员等条件不能满足鉴定要求的;
- 其他不应受理或者无法受理的情形。
对于不符合受理条件,决定不予受理的,应当退回鉴定材料并以书面形式向委託人说明理由。鉴定机构收到检材后应噹噹场密封,由送检人、接受人在密封材料上籤名或者盖章,并製作封存和使用记录。
实施鉴定
电子证据鉴定应该遵循相关的程式规範和操作规则。电子证据鉴定应当由两名以上鉴定人员参加。必要时,可以指派或者聘请具有专门知识的其他人员在鉴定人员的主持下协助鉴定。电子证据鉴定应该在规定的时间内完成并出具鉴定文书。具体的电子证据鉴定实施过程可能因不同的鉴定业务和鉴定要求而有很大差别,但是对于其中一些共性的要求和做法应当抽象出来通过法律予以规範。比如鉴定人受理鉴定后,可以在熟悉案情的基础上进一步明确鉴定要求,并进行初步鉴定,根据初步鉴定拟定详细的鉴定方案,确定具体的鉴定方法和步骤。鉴定人员应当採取技术措施,在鉴定的各环节都应当对检材严格、安全保管,防止检材在保管、使用、移送等环节出现损毁、丢失、数据改变等影响诉讼活动进行的问题。如果检材是存储介质或含有存储介质的设备,鉴定人员应当按操作规範製作两个或者两个以上的检材複製件,对複製件必须进行校验保证複製件与原始数据的一致性,同时製作複製工作记录。複製件製作完毕后应当立即密封检材,由指定的两名以上鉴定人员在密封材料上籤名或者盖章并製作或填写封存和使用记录。製作複製件时应当要求委託人或者送检人到场作为见证人,并在密封材料上籤名或者盖章,委託人或者送检人因故缺席的,应当说明理由并在封存和使用记录上注明。必要时,可对复件製作过程进行全程录像。如果检材具有无线通讯功能,鉴定人员应当在禁止环境下进行操作,防止检材受外界影响造成内部数据的改变。电子证据鉴定机构应当採取技术措施,保证分析过程中对原始存储媒介和电子设备中的数据不作修改。电子证据鉴定的检验分析过程一般在检材複製件上进行,对于无法进行複製的检材,或者因特殊原因,检验分析过程需要使用原始存储媒介和电子设备的,检验分析应当在唯读状态下进行,并製作《原始证据封存和使用记录》。如果检验分析可能对原始存储媒介和电子设备中的数据进行修改的,电子数据鉴定机构应当在《原始证据使用、封存记录》上注明。鉴定机构在鉴定过程中製作的封存和使用记录複印件应交委託人存档备查。
出具鉴定文书
鉴定结束后,鉴定人员应当针对鉴定要求,得出鉴定结论或者鉴定意见并製作《电子证据鉴定书》,《电子证据鉴定书》应符合鉴定书製作的相应规範和要求。鉴定结论是我国诉讼法中明确规定的证据形式之一,在诉讼中起着十分重要的作用。但是鉴定机构出具的鉴定文书中只写明鉴定结论是不够的。《最高人民法院关于民事诉讼证据的若干规定》第29条规定:“审判人员对鉴定人出具的鉴定书,应当审查是否具有下列内容:
- 委託人姓名或者名称、委託鉴定的内容;
- 委託鉴定的材料;
- 鉴定的依据及使用的科学技术手段;
- 对鉴定过程的说明
- 明确的鉴定结论;
- 对鉴定人鉴定资格的说明;
- 鉴定人员及鉴定机构签名盖章。
为了便于质证和认证,电子证据鉴定书的内容应该客观全面,对证据提取、证据分析、综合评判等每个程式都要详细地记录。笔者认为,《电子证据鉴定书》应该包括以下内容:
- 鉴定要求。包括委託单位、送检人、送检时间、案由、鉴定要求等基本信息。
- 鉴定工作环境。包括使用的设备、工作环境与系统、使用的软体等。
- 对于待鉴定材料的确认。包括待检材料的来源、名称、数量、类型、品牌、型号、序列号、固定封存状态等信息,待鉴定材料的确认信息应该与《受理鉴定检材清单》中记录的信息相印证。
- 鉴定实施过程及分析、论证。包括电子证据鉴定的具体实施过程、分析电子数据、描述分析过程、分析方法、分析生成数据的含义、论证等诸多内容。
- 鉴定结论或者鉴定意见。根据电子数据分析结果,结合委託鉴定要求,如果能够做出明确的鉴定结论,那幺《电子证据鉴定书》中应该写明鉴定结论;如果因鉴定条件不足或者其他原因无法做出明确结论的,《电子证据鉴定书》也应载明,不能在条件不足的情况下主观臆断做出结论。
- 附属档案。附属档案主要有两种形式,一是文本附属档案,二是以电子证据形式提交的附属档案。对于能够转换为书面档案并可直观理解的数据必须儘量转换为书面档案,作为鉴定书的文本附属档案,不宜转换为书面档案或者无法直观理解的数据可以以电子证据的形式,使用安全可靠的存储介质保存并作为鉴定书的附属档案之一提交。
《电子证据鉴定书》中应包含以下附属档案:
- 鉴定机构资质和鉴定人资质证明;
- 《电子证据委託鉴定登记表》複印件及相关材料;
- 《电子证据鉴定受理登记表》;
- 鉴定过程中形成的工作记录;
- 封存和使用记录;
- 电子证据鉴定中检材複製全程录像;
- 鉴定过程中生成的图片、文档、图表等书面及其他材料;
- 独立的监管系统生产的审计报告;
- 电子证据鉴定结果清单;
- 电子证据鉴定结果及鉴定书中引用的电子证据文档的存储介质;
- 电子证据鉴定结果转换清单;
- 其他应当附加的材料等。
《电子证据鉴定书》除了在内容上需要满足上述基本要求外,其形式也需要满足特定的要求。《电子证据鉴定书》必须由鉴定人员製作,电子证据鉴定书应当按鉴定文书格式的要求製作并列印成正式文书。至少由两名以上电子证据鉴定人在末页上籤名,有专业技术职称的应当注明技术职称,并在检验鉴定书的首页文号处加盖“鉴定专用章”。
返还送检物品
鉴定结束后,电子证据鉴定机构应当将委託人提供的检材及其相关资料退还委託人,并将《电子证据鉴定书》与鉴定过程中製作的各种封存、使用和工作记录的複印件一併交给委託人存档备查。对原已封存的原始存储媒介和电子设备,在退还时应当重新封存,并填写《封存电子证据清单》鉴定结束后,电子证据鉴定机构认为检材有研究价值,需要留做资料的,应当徵得委託人同意并商定留用的时限和应当承担的保管、销毁责任。
任何电子证据鉴定业务都应该遵循这一基本流程。而在实际的电子证据鉴定业务中,往往需要更加具体的鉴定流程模型来指导和规範相应的鉴定工作。
特点
电子证据鉴定的特点有:
- 需要检验鉴定的客体发展变化快,电子证据是以存储介质记录的内容来为案件提供相关的证据,但从物理性质上讲,随着科技的发展,涉及的存储介质也越来越多,这样,为围绕该类证据的提取,检验鉴定也在不断提出新的要求。
- 电子证据所涉及的物证与传统物证相比,具有形式多样、介质依赖、易破坏、时限性强的特点,鑒于电子证据的特点,电子证据检验鉴定不仅仅要重视结果的準确性和正确性,更加重要的因素是检验鉴定的程式必须符合相关的程式。
- 电子证据的检验鉴定必须由具有鉴定资格的专门技术人员进行,电子证据检验鉴定是司法鉴定的技术种类中一种,因此,围绕司法鉴定开展的全部活动应该遵循国家关于司法鉴定的相关规定。
- 电子证据的检验鉴定必须使用具有科学依据的专门仪器和技术手段进行。根据电子证据的特点,检验鉴定工作离不开专门的技术设备,而且,这样的设备必须具备相关资质和资证,否则,所开展的检验鉴定工作也是没有根据的。
