為推動《電子商務法》等法律法規應用,進一步提高執法辦案隊伍能力,首屆全國市場監管系統執法辦案電子數據取證大比武活動將於2020年12月10日至11日上午正式開幕。為了讓大家更好地掌握電子數據取證的相關知識,了解比賽動態,市場監管半月沙龍將組織專題報導,推出系列文章。今天為大家推出首篇文章,歡迎閱讀。
電子數據是《行政訴訟法》法定的一種證據類型。原工商總局於2011年專門下發了《關於工商行政管理機關電子數據證據取證工作的指導意見》,對電子證據的定義、取證原則、取證方式、取證程序,以及詢問筆錄和檢查封存的要求作了框架性規定,但目前仍未制定具有可操作性的電子數據取證細則規範,加上基層缺乏專業人員、缺少專業設備和鑑證輔助,嚴重影響了涉及電子數據取證案件的查辦。根據現行相關法律法規、標準規範和《司法鑑定程序通則》等,可以歸納出貼切於市場監管行政執法實際的電子數據取證四個要點 :取證準備、證據識別、證據收集固定、證據分析。簡要分析如下:
1.
取證準備
取證人員在前往現場進行檢查取證前,必須做好充分的準備工作,包括了解案件的基本情況、現場所在的位置、現場可能有哪些人、要取證的計算機有幾臺等。根據所了解的案情,確認前往現場檢查的執法人員並準備好取證設備。取證人員應做好以下預案。
1.1 進入現場預案
根據計劃查明計算機的類型、數量和涉及的介質,準備需要的軟體、硬體 ;確保預先擁有工具箱的所有工具,如刻錄機和開機工具 ;擁有備份和複製所必需的介質,如空白光碟或硬碟。
1.2 人員分配預案
充分考慮什麼樣的人員適合什麼樣的工作,也是準備工作的一部分。檢查過程中執法人員需要根據自身知識特長進行分工協作,所需掌握的知識主要包括現場檢查的基本流程及注意事項、主要電子文件類型的識別、電子證據的固定流程和方法、正確扣押計算機的手段、現場檢查筆錄和取證筆錄的製作。
1.3 現場檢查預案
為確保整個檢查過程能順利進行,主要注意以下幾個問題:
正確對待現場涉案人員。隨著計算機科學技術的廣泛應用,當事人往往會僱傭具有較高計算機編程能力的職工進行網站管理和後臺運作,同時由於手機等可攜帶設備的高度智能化,現場任何人員均可通過聯網電腦或聯網手機遠程關閉網站伺服器或遠程刪除涉案電子數據,所以應正確對待現場任何一名涉案人員,而非簡單地只針對負責人或財務人員。
正確對待現場所有設備。電子證據具有易失、易被修改的特點,其中易被修改包含兩個層面的意思 :一方面是數據在被作為證據固定前可能被修改,例如我們在現場取證時經常發現涉案電腦有現場被刪改或重啟、關閉的痕跡;另一方面是調查取證人員自身在收集電子證據的過程中,由於取證方法或取證流程不當等原因,造成原始證據被修改。因此,現場檢查人員在調查每一個電子介質的時候,都要求所取證設備在取證過程中未受第三人不當操作並完整記錄檢查的每一個步驟。
正確考慮現場以外的涉案因素。檢查人員在現場應充分考慮在現場檢查過程中,待檢查計算機是否處於聯網狀態,是否需要處理聯網狀態。從原則性講,在調查的過程中應將網絡斷開,防止違法經營人員或同夥通過遠程方式進行數據刪除等破壞工作。但是,由於部分案件的特殊性,如網絡傳銷案件或網絡刷單案件,其大部分會員數據和網站相關數據均存放在遠程代理伺服器中,伺服器所在地和經營場所所在地不在一起,而兩邊同時進行檢查的難度又極高。這時候對涉案經營場所的聯網電腦進行細緻檢查,尋找遠程伺服器訪問記錄或數據備份就顯得至關重要。
1.4 準備好相關現場檢查手續
在對當事人經營場所進行電子數據的取證工作時,除了像常規行政執法案件一樣需要製作《現場檢查筆錄》《詢問通知書》等文書外,還需要準備相應的取證筆錄文書。取證筆錄是指將取證證據種類、方式、過程、內容等取證情況通過製作筆錄方式進行固定。電子取證所做的現場筆錄,相比一般案件實施現場檢查時製作的現場筆錄,專業性要求更高,內容也更詳細,一般包括以下內容 :檢查時間 ;檢查地點 ;當事人身份信息 ;檢查人員身份信息 ;檢查目標及證明對象 ;電子數據原始載體保存情況 ;取證使用的方法和工具 ;取證步驟 ;證據形成數量及保存方式 ;執法人員和證據提供人籤名或蓋章。當事人拒絕籤名或蓋章的,應當在筆錄中註明,並邀請適格見證人在筆錄籤名或蓋章予以見證。同時,有扣押當事人電子介質的,還要製作相應的《實施強制措施決定書》《證據清單》與取證筆錄相互印證,形成現場檢查完整證據鏈。
2.
證據識別
在現場,能否有效地識別並收集電子數據證據,對後期證據分析與展示至關重要。
2.1 確定重點檢查區域
重點區域根據不同案件類型進行具體劃分,常見如下:網絡傳銷案件重點區域為網站管理員辦公電腦和伺服器 ;網絡售假案件重點區域為發貨人員辦公電腦和倉管系統管理員電腦;網絡廣告案件重點區域為網站運營、美工設計人員辦公電腦;網絡刷單案件重點區域為「刷手」辦公電腦和刷單系統伺服器……
2.2 快速進行證據識別
利用電子設備進行違法經營的活動越來越多,案件現場可能出現各種各樣的電子證據,覆蓋範圍從臺式計算機到智慧型手機到便攜 U盤。這些介質上的圖形文件、音頻文件、文本文件以及其他數據很容易被刪改或被忽略。這就要求現場檢查人員依據相關法規,有方法、有技巧地對這些設備進行識別和檢查。
2.3 現場拍照/錄像
現場檢查人員在接觸設備之前,應該通過拍照、執法記錄儀錄像等方式對現場進行記錄,只有該區域已經被記錄,才可以展開檢查取證工作。整個現場檢查過程也應被詳細記錄。
拍攝的照片必須能夠清晰顯示重要的證據信息,特別是反映當前系統中應用程式的運行狀態。例如,用戶正在瀏覽的網頁及該網頁上顯示的登陸帳號信息、用戶正在使用的聊天軟體上顯示的帳號、用戶正在使用的財務軟體和貨物調配軟體顯示的內容等。
對於需要保持聯網進行實時取證的設備,應該通過實時錄像進行記錄,錄像應記錄下檢查人員實時取證的整個操作過程。這裡需要注意的是,在錄像時應保持對整個操作界面的錄像,而不是只拍攝檢查人員在操作設備卻未拍到操作設備的屏幕內容。
3.
證據收集、固定
3.1 靜態電子數據的現場複製取證
電子數據的提取有多種方式。在存儲介質沒有通電的情況下,存儲在該介質中的電子數據會處於相對穩定的狀態,也可以稱之為靜態。對於靜態電子數據,一般的處理方法相對比較簡單,需要藉助專門的設備或工具來讀取,同時要保證不會篡改介質中存儲的數據。通過存儲介質進行位對位複製及磁碟鏡像製作是最為通用的靜態提取方法。在進行電子取證的案件中,通常採用硬碟複製機設備對原始計算機硬碟進行位對位複製,這樣可以有效保證原始硬碟處於防寫狀態下,將其中的數據完整、精確地複製到另一個硬碟副本。複製完後,硬碟複製機會生成完整性校驗值(通常為哈希值),檢查人員應當記下該值以備使用,必要情況下還應將該值記錄在相應的取證筆錄和證據清單上,不僅可以用來檢驗生成的複製數據與源硬碟數據的一致性,還可以確保複製數據的完整性。除了複製取證外,還可以使用鏡像製作的方法對靜態電子數據進行取證。通常使用專業的鏡像製作軟體將源硬碟數據製作成 E01鏡像文件,後續可以基於鏡像文件進行分析,不對封存的源硬碟進行任何讀寫。
3.2 動態電子數據的現場複製取證
動態電子數據是指正在運行的電子數據,通常指現場正在運行的軟體、文檔、加密容器、在線網頁或伺服器等。動態電子數據特別是在線電子數據的提取,相較於靜態電子數據的提取,難度更大且證明力更低。電子證據的原始性是認定其真實性的重要依據。由於動態電子數據(大部分為在線數據)是實時更新的,無法保持證據的原始狀態,甚至在質證過程中,當事人完全可將在線數據進行刪改從而無法進行「查證」,更談不上確認「屬實」。所以在現場針對動態電子數據進行取證時,除了可以提前邀請鑑定人或公證員進行鑑定公證外,還可以在當事人或見證人在場的情況下,使用當事人實時聯網的計算機進行取證。現場檢查所取得的證據比詢問調查所取得證據更具有可信度,且所取得網際網路電子證據可與《現場檢查筆錄》相互印證。以取證網頁數據為例,動態電子數據的具體取證操作程序如下:
一是在電腦上運行屏幕錄像軟體開始錄屏,同時使用外置攝像機設備(推薦使用執法記錄儀)對整個操作過程進行錄像。
二是到國家授時中心(或百度搜索北京時間)查看標準時間,將電腦時間和錄像機時間調整準確。
三是對電腦安全性及操作環境進行清潔性檢查:使用殺毒軟體進行全盤查殺(以保證取證 電 腦未受病毒和木馬感染入侵);打開任務管理器,查看程序與進程(以保證取證電腦未裝後門程序);在IE瀏覽器的Internet選項下的「常規」選項中選擇刪除「瀏覽歷史記錄」並刪除默認網址,輸入「about:blank」,在「連接」選項中點擊「區域網」設置(以保證取證電腦沒有連接網絡代理);用記事本程序打開檢查取證電腦 hosts 文件(以保證取證電腦未經人為篡改系統、未被連接到虛擬網站);在cmd命令窗口輸入「ipconfig/all」查看本地電腦 IP 地址(以保證取證電腦接入網際網路的真實性);在命令窗口輸 入「ping www.***.com」(以確認目標頁面IP位址,保證接入網站的真實性。*** 指被取證的網站網址);在命令窗口輸入「tracert***.com」(以確認連接到目標頁面網絡伺服器的路徑,保證接入網站的真實性)。
四是通過百度搜索、淘寶或京東高級搜索等進入要取證的網頁或網店及查看網站ICP 備案 等信息(以此種方法證明該網頁已自動被各類搜尋引擎抓取記錄,從而能夠為網民所接觸)。
五是打開 IE 瀏覽器,輸入被取證網站網址。在取證網頁內容過程中,應將網頁頁面文件及頁面截屏進行保存。網頁文件保存方法為點擊 IE 菜單欄下「文件」選項,然後選「另存為」,即可將網頁(.mht)保存在本機電腦上。頁面截屏保存方法是就是使用計算機鍵盤中自帶的「Prt Sc」屏幕截屏功能或者專門的屏幕截屏軟體,對計算機屏幕中打開的網頁顯示界面進行截圖,保存成圖片文檔格式。截屏時,不僅要注意對存在涉嫌違法信息內容的那部分界面進行截屏,還要對其他相關聯界面也進行截屏,以保證證據信息的完整性和連貫性,綜合反映所使用的網頁瀏覽器、網頁網址、涉嫌違法信息在網頁中的分布、操作時間等信息。有些網頁被設置不能保存網頁頁面文件,按以下方法進行取證 :在瀏覽器中選擇列印網頁,將目標印表機更改為「另存為 PDF」,然後將網頁保存為 PDF格式。
六是取證完畢後,應及時將取證的電子數據證據內容刻錄在CD-R型或DVD-R型光碟上。必要情況下還需要對源文件和刻錄盤上複製文件進行完整性校驗值檢驗,確保完整一致性。
七是光碟刻錄後,即時密封,封存袋上應註明數據來源、取證人員、證明對象、取證時間等信息,並標明「與原始數據一致」等字樣,同時由執法人員和當事人或者見證人籤名確認。
另外,在實際辦案中,執法人員還需要對電子郵件、聊天軟體聊天記錄、在線財務軟體現金流記錄等其他動態電子數據進行取證,其取證方法與網頁取證基本一致,即採用「錄像截屏 +導出保存+刻錄封存」方法進行證據固定。
3.3 製作取證筆錄
現場檢查過程除了採用拍照、錄像等方式記錄外,還必須製作《計算機證據提存筆錄》,除了要將上述取證步驟逐一記錄外,還應該全面翔實地記載工作記錄,包括上網方式、電腦型號、取證開始時間、文件下載過程、取證結束時間、光碟刻錄時間、光碟刻錄份數等。最後再由執法人員和當事人籤名或蓋章。當事人拒絕籤名或蓋章的,應當在筆錄中註明,並邀請適格見證人在筆錄籤名或蓋章予以見證。同時應在《現場檢查筆錄》上體現這一取證過程,與取證筆錄相互印證。
3.4 填寫清單、封存證物
證據封存,是為了保護原始數據而對數據存儲介質採取的保全措施。證據封存可以採取整機封存的方式,也可以對單一介質進行封存。封存的原則是 :保證封條貼在正確的位置,保證除非破壞封條,否則無法使用封存設備 ;對於可移動介質,如移動硬碟、U 盤等,可以貼上標籤,然後用信封或防靜電證據袋裝好,封條則貼在封口處 ;每個封裝袋必須貼上封條,並讓當事人在封條上簽字確認 ;證物須貼上標籤或者使用專門的證據粘貼紙,做好證據編號並填寫《證據清單》,註明提取的證據、提取時間、人員姓名以及設備的名稱、型號等信息。
4.
證據分析
4.1 關鍵字搜索
關鍵字搜索技術是目前最為有效的數據分析技術。對所收集到的電子數據,採用關鍵字全文搜索技術,從中發現相關證據。執法人員可以根據關鍵字迅速找到其關聯的文件,從而順藤摸瓜,找到其他重要信息,縮小分析範圍。但是關鍵字搜索技術不能僅依靠人力查看,還需要依靠功能強大的分析軟體。這就要求分析軟體有較為完善的算法,儘可能全面地匹配格式,才能儘快在海量信息裡找到有效證據。目前主流的取證軟體都有很強的關鍵字全文搜索能力。
4.2 日誌分析
計算機日誌包含系統日誌、安全日誌和應用程式日誌。日誌是至關重要的證據。通過日誌分析,可以了解電腦操作記錄,以及哪些遠程主機、行動裝置連接過該主機。這可以幫助執法人員確定違法時間及違法過程。執法人員可以通過手工查看或者使用日誌分析工具對日誌進行分析,從而快速對目標計算機系統情況有個簡明概要的了解。
4.3 文件分析
對目標計算機文檔進行歸類分析,可重點搜索後綴名為「doc」「txt」「xls」「rar」等辦公文件,後綴名為「pst」的電子郵件文檔,後綴名為「bak」「db」的資料庫文檔等,同時對回收站及一些系統臨時文件也要特別注意。對涉及網絡的案件,還要注意其網頁瀏覽器的收藏夾、歷史記錄及存放臨時文件的「TemporaryInternetFiles」文件夾,這些文件夾保存著用戶上網時到過的站點地址、訪問時間等資料。
4.4 數據恢復
數據恢復技術主要用於把違法當事人刪除或者通過格式化磁碟擦除的電子數據恢復出來。這一過程就是將丟失和遭到破壞的數據還原為正常數據的過程。雖然並不能體現原始的數據存儲狀態,但是出於使數據可讀且可重複驗證的前提,這些操作也是合法的,從中得出的數據 是受法律認可的。目前比較流行的數據恢復軟體是「Easyrecovery」「Finaldata」。
4.5 密碼解析
在很多情況下,執法人員都會面臨如何將加密的數據進行解譯的問題。目前的加密解密算法及工具很多,電子數據取證中使用的密碼破解技術和方法主要有口令字典、重點猜測、窮舉破解等技術。其中口令字典一般是基於軟體的,而且已經有了多種字典可供使用,這些軟體 的破解效率很高。目前比較流行的是「password recoverybuddle」等。
4.6 其他分析技術
電子數據分析技術涵蓋內容較為廣泛,除了上述提到的常見分析技術外,還包含完整性校驗技術、即時通訊軟體分析技術、電子郵件分析技術、虛擬機分析技術、加密容器分析技術、資料庫分析技術、網絡雲盤分析技術等。隨著取證分析軟體的不斷升級優化,目前已經有許多專業分析軟體(如「Encase」和本次比武所使用的「取證大師」)都實現了各項電子數據分析技術功能的「全家桶」,執法人員僅需靈活掌握一個綜合性分析軟體的運用就可以輕鬆解決上述所有分析難題。
作者系福建省市場監督管理局王粟洋
原文刊載於《工商行政管理》2018年15期
發布單位:中國工商出版社 新媒體部(數字出版部)
注重交流執法經驗
關注消費維權動態
同護市場公平正義
共觀市場經濟大潮
權威●專業
半月沙龍微信
①複製「微信號或ID」,在「添加朋友」中粘貼搜索號碼關注。
②點擊微信右上角的「+」,會出現「添加朋友」,進入「查找公眾號」,
輸入公眾號「市場監管半月沙龍」,即可找到。