隨著互聯(lián)網(wǎng)和計算機技術(shù)發(fā)展,電子數(shù)據(jù)搜集和審查判斷已經(jīng)成為刑事司法活動中的基礎(chǔ)性、普遍性工作。2016年,最高人民法院、最高人民檢察院、公安部聯(lián)合發(fā)布《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》,這一“規(guī)定”是我國電子數(shù)據(jù)取證相關(guān)法律法規(guī)不斷發(fā)展完善的必然結(jié)果。

基于大數(shù)據(jù)、人工智能帶動的公有云計算的市場需求空間,使得數(shù)據(jù)越來越多地從終端設(shè)備向云端遷移,同時很多涉網(wǎng)犯罪行為也向云端遷移。鑒于云計算模式下網(wǎng)絡(luò)犯罪更趨復(fù)雜,當務(wù)之急是落實運營商主體責(zé)任。根據(jù)反恐怖主義法和網(wǎng)絡(luò)安全法規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助

9月16日至9月24日是國家網(wǎng)絡(luò)安全宣傳周,其間,如何進一步打擊網(wǎng)絡(luò)犯罪、有力保障網(wǎng)絡(luò)安全成為社會各界關(guān)注的焦點。

近幾年,網(wǎng)絡(luò)犯罪日趨多發(fā),與之對應(yīng),在打擊網(wǎng)絡(luò)犯罪中越來越多運用到電子取證。

電子取證,是指利用計算機軟硬件技術(shù),以符合法律規(guī)范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據(jù)獲取、保存、分析和出示的過程。

最高人民法院、最高人民檢察院、公安部曾聯(lián)合發(fā)布《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》,其中指出,“電子數(shù)據(jù)是案件發(fā)生過程中形成的,以數(shù)字化形式存儲、處理、傳輸?shù)?能夠證明案件事實的數(shù)據(jù)”“偵查機關(guān)應(yīng)當遵守法定程序,遵循有關(guān)技術(shù)標準,全面、客觀、及時地收集、提取電子數(shù)據(jù);人民檢察院、人民法院應(yīng)當圍繞真實性、合法性、關(guān)聯(lián)性審查判斷電子數(shù)據(jù)”。

在近日召開的第五屆中國互聯(lián)網(wǎng)安全大會電子取證技術(shù)與發(fā)展論壇上,業(yè)內(nèi)有關(guān)專家對與電子取證有關(guān)的若干問題進行了詳細探討。

電子取證相關(guān)法律法規(guī)不斷完善

“電子證據(jù)第一次出現(xiàn)是在1998年,當時公安機關(guān)網(wǎng)安部門在偵辦某網(wǎng)絡(luò)案件時對有關(guān)證據(jù)進行了提取,并被法院采納。在具體法律規(guī)定方面,我國較發(fā)達國家而言相對晚一些,其中一方面在于可以用于證明案件事實的材料都是證據(jù),與案件相關(guān)的電子證據(jù)自然屬于證據(jù)范疇;另一方面在于刑事訴訟法中將證據(jù)種類限定為7種,并沒有設(shè)定電子證據(jù)。2012年3月14日,第十一屆全國人民代表大會第五次會議通過了《關(guān)于修改〈中華人民共和國刑事訴訟法〉的決定》,根據(jù)該決定,電子證據(jù)成為法定證據(jù)類型,進一步適應(yīng)現(xiàn)代化技術(shù)的發(fā)展,進一步豐富了證據(jù)范圍,困擾才得到解決。”原公安部網(wǎng)絡(luò)安全保衛(wèi)局巡視員顧堅說。

2016年,最高人民法院、最高人民檢察院、公安部聯(lián)合發(fā)布《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》時,顧堅曾參與起草和制定工作。

據(jù)顧堅介紹,“規(guī)定”的出臺有著多重背景,其中包括:截至2017年6月,中國網(wǎng)民規(guī)模已經(jīng)達到7.51億,手機網(wǎng)民規(guī)模達到7.24億,占比達96.3%;針對互聯(lián)網(wǎng)的犯罪日益猖獗,我國已經(jīng)成為“黑客”攻擊破壞的主要國家之一;網(wǎng)絡(luò)賭博、詐騙、網(wǎng)上販賣公民個人信息等利用互聯(lián)網(wǎng)的違法犯罪形勢嚴峻,嚴重污染網(wǎng)絡(luò)環(huán)境;網(wǎng)絡(luò)犯罪趨勢日益凸顯,大量犯罪實施均借助網(wǎng)絡(luò)技術(shù)運用而實現(xiàn),技術(shù)門檻和犯罪成本大大降低,犯罪規(guī)模和危害程度擴大,犯罪分工更加精細,犯罪手法更加復(fù)雜;恐怖分子利用網(wǎng)絡(luò)制作傳播暴力恐怖的視頻,煽動實施恐怖活動。

“隨著互聯(lián)網(wǎng)和計算機技術(shù)發(fā)展,電子數(shù)據(jù)搜集和審查判斷已經(jīng)成為刑事司法活動中的基礎(chǔ)性、普遍性工作。2015年,公安機關(guān)網(wǎng)安部門辦理網(wǎng)絡(luò)犯罪案件的數(shù)量已經(jīng)超過了17萬起,但是由于電子數(shù)據(jù)的專業(yè)性很強,公檢法部門在司法實踐中對電子數(shù)據(jù)的證據(jù)規(guī)格、效率和證明率等問題缺少統(tǒng)一的判定標準,已有規(guī)定操作性不強,相關(guān)證據(jù)依然難以采納,影響了司法活動的順利開展。”顧堅說。

顧堅認為,“規(guī)定”的出臺是我國電子數(shù)據(jù)取證相關(guān)法律法規(guī)不斷發(fā)展完善的必然結(jié)果?！　?jù)介紹,“規(guī)定”解決的主要問題包括:

對現(xiàn)有電子證據(jù)規(guī)則、司法操作性不強的問題,在《最高人民法院關(guān)于適用〈中華人民共和國刑事訴訟法〉的解釋》確立了電子證據(jù)基本規(guī)則的基礎(chǔ)上,進一步提出電子證據(jù)搜集、提取、審查、判斷的基礎(chǔ)方法;

對現(xiàn)有法律法規(guī)缺乏對電子證據(jù)明確定義的問題,進一步明確了電子證據(jù)的內(nèi)涵和外延,對證據(jù)類型進行列舉,特別是對數(shù)字化形式的證人、證言、被害人陳述口供和辯解、筆錄等證據(jù)與電子證據(jù)的關(guān)系問題進行了明確。

針對云計算、大數(shù)據(jù)管理下難以將海量數(shù)據(jù)分層、扣押以及數(shù)據(jù)難以調(diào)取的問題,根據(jù)實踐作用提出了凍結(jié)的措施,為該類電子證據(jù)固定難題提出了法律解決的依據(jù);

對電子證據(jù)搜集過程中規(guī)范的問題,進一步梳理電子證據(jù)的搜集面臨的各種情形,確定了以原始存儲為主、直接或遠程提取為輔、打印拍照為例外的搜集提取規(guī)范,明確了電子證據(jù)搜集的圖紙、電子證據(jù)調(diào)取、電子證據(jù)檢查、偵查實驗有關(guān)流程規(guī)范,并規(guī)定了相關(guān)筆錄、見證人及錄像要求;

對司法實踐中電子證據(jù)審查難的問題提出了電子證據(jù)真實性、合法性、判斷的要點,將電子證據(jù)完整性納入真實性范疇之中,提出了完整性的保護和審查方法,明確了電子證據(jù)、瑕疵證據(jù)和非法證據(jù)的情形;

對現(xiàn)有電子證據(jù)有關(guān)規(guī)定過于分散和零散問題,對已有電子證據(jù)有關(guān)條款集中進行了匯編。

簡而言之,這個規(guī)范性文件是截至目前辦理刑事案件中涉及電子證據(jù)問題最為全面的規(guī)范性文件。

云計算環(huán)境下電子取證難度加大

云計算是互聯(lián)網(wǎng)未來發(fā)展趨勢之一,對于電子取證也帶來了深遠影響。

“云計算是以最簡便的途徑和按需的方式通過網(wǎng)絡(luò)配制計算資源。2017年,中國公有云(通常指第三方提供商為用戶提供的能夠使用的云)市場規(guī)模將超過150億元,基于大數(shù)據(jù)、人工智能帶動的公有云的市場需求空間,使得數(shù)據(jù)越來越多地從終端設(shè)備向云端遷移,同時很多涉網(wǎng)犯罪的行為也向云端遷移。比如,在2014年,某著名游戲公司受到流量攻擊有453.8GB。再比如,像iCloud數(shù)據(jù)的外傳,某電商泄露了大量個人信息等。還有一些利用云盤傳播淫穢色情信息牟利案件。為什么我們提出凍結(jié)的操作方式 因為需要在這些案件中進行取證調(diào)查。至去年10月,網(wǎng)絡(luò)犯罪數(shù)量已經(jīng)占犯罪總數(shù)的三分之一,我們面臨的現(xiàn)實危險主要來自于網(wǎng)絡(luò)空間。”公安部第三研究所所長助理、首席科學(xué)家、公安部網(wǎng)絡(luò)偵查技術(shù)研發(fā)中心副主任金波說。

金波認為,云計算一定要看其本身的計算模式和傳統(tǒng)模式的差別,傳統(tǒng)IT不管是在企業(yè)網(wǎng)還是在互聯(lián)網(wǎng)上,除了網(wǎng)絡(luò)這個層次的資源可能是公有的外,其他的資源都是私有的。“當我們說起云計算,就必然要從云計算模式與傳統(tǒng)IT相比帶來的變化出發(fā),我們就必然面臨云計算模式下的一些困難。比如,怎么搜集云平臺的數(shù)據(jù)、搜集以后怎么分析、數(shù)據(jù)搜集怎么定位等。再比如,云上IP并不意味著是真實IP地址,其中就涉及管轄問題,另外由于云存儲的數(shù)據(jù)用完以后隨時會釋放掉,怎么固定也是一個問題”。

除此之外,在云計算模式下,調(diào)查取證還面臨其他困難。

“云平臺的共享特點使得涉案虛擬服務(wù)器所掛載的虛擬硬盤等數(shù)據(jù)處于離散狀態(tài),部分云服務(wù)提供商甚至采用了動態(tài)伸縮的存儲技術(shù),虛擬服務(wù)器釋放出來的空間會被立即分配給其他虛擬服務(wù)器使用。如果我們做靜態(tài)分析,不同服務(wù)商的格式可能不一樣,海量的數(shù)據(jù)難以分析。另外,云服務(wù)商提供的不是一臺虛擬機,而是提供虛擬網(wǎng)絡(luò)服務(wù),要構(gòu)建出整個云服務(wù)的環(huán)境,不僅僅是把一臺虛擬機請來就行,這時候怎么進行組網(wǎng) 這是很迫切的問題。”金波說,像公有云服務(wù),用完以后可以馬上釋放掉數(shù)據(jù),再想找到就會很困難。有些不法分子作案后將服務(wù)器一刪了事,再查就非常困難了,這就提出了時效性的需求。

“我們一定要在服務(wù)器被釋放之前能夠做好這些服務(wù)器的工作,這幾乎是對抗云反取證的唯一手段。”金波說。

鑒于云計算模式下網(wǎng)絡(luò)犯罪更趨復(fù)雜,當務(wù)之急是完善制度,落實運營商主體責(zé)任。

“今年,公安部網(wǎng)安局專門出臺了一個部門規(guī)章,對云服務(wù)提供商在協(xié)助調(diào)查取證以及安全管理方面提出了要求,這是一個非常重要的云計算合規(guī)要求。”金波說。

據(jù)金波介紹,上述規(guī)章要求云服務(wù)提供商要有專門隊伍配合公安機關(guān)工作,這些人員要進行專門的培訓(xùn)、簽訂保密協(xié)議。此外,還有相應(yīng)的技術(shù)標準。

“另外,還有一個制度設(shè)計是關(guān)于基礎(chǔ)建設(shè)的。我們要求云服務(wù)提供商要落實安全基礎(chǔ)措施,做好流程,為公安機關(guān)防范、調(diào)查違法犯罪活動提供必要的技術(shù)解密、技術(shù)支持和協(xié)助,這實際上就是一個服務(wù)提供商的主體責(zé)任落實。”金波說,反恐怖主義法第十八條規(guī)定,電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者,應(yīng)當為公安機關(guān)、國家安全機關(guān)依法進行防范調(diào)查提供技術(shù)接口和解密等技術(shù)支持和協(xié)助。網(wǎng)絡(luò)安全法第二十八條規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪活動提供支持和協(xié)助。云服務(wù)提供商應(yīng)建立涉嫌違法犯罪的線索報告和配合調(diào)查制度,發(fā)現(xiàn)違法犯罪及異常情況應(yīng)保留相關(guān)證據(jù),24小時之內(nèi)向當?shù)毓矙C關(guān)報告。

云服務(wù)商協(xié)助取證要留存哪些數(shù)據(jù) 

金波認為,這些數(shù)據(jù)包括云U注冊數(shù)據(jù)、用戶資源使用數(shù)據(jù)、用戶業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)流量日志、安全事件數(shù)據(jù)和其他服務(wù)。

二維碼犯罪取證首先在于解析

二維碼犯罪是當前比較常見的網(wǎng)絡(luò)犯罪形式。

“現(xiàn)在的二維碼非常普遍,我們都接受了這種方式。二維碼從出現(xiàn)到現(xiàn)在不過兩三年的時間,但是普及非常迅速,其中的關(guān)鍵原因是太方便了。二維碼鋪天蓋地而來,很多小朋友都知道掃一掃。”山東警察學(xué)院網(wǎng)絡(luò)空間安全與執(zhí)法協(xié)同創(chuàng)新中心秘書、電子學(xué)會取證專委會委員張璇說。

二維碼的廣泛應(yīng)用給一些不法分子以可乘之機。

“二維碼的替換非常容易,不需要技術(shù)含量,生成和變造是非常簡單的。二維碼支付也越來越簡便,我們不用像原來那樣需要專業(yè)的設(shè)備,只要手機這樣一個終端就可以完成二維碼支付活動。普通群眾可能根本分不清什么是付款碼和收款碼,所謂收款和付款是相對于用戶來說的。很多不法分子會利用大家對二維碼認識的不足,騙取大家的付款碼,相當于不法分子獲取了我們的付錢憑證。二維碼本身的變造也非常容易,如果是一個PS高手,他會把二維碼PS成各種新鮮的格式,就是為了誘導(dǎo)大家掃這個二維碼,如果其中有一些木馬程序,危害可能就比較大了。”張璇說。

當二維碼犯罪出現(xiàn)后,應(yīng)該如何追查 

“第一步就是解析二維碼,解析出來到底是惡意的信息還是支付的二維碼。如果是惡意信息,我們就可以進一步進行研判;如果是支付相關(guān)的信息,我們要分辨到底是收款碼還是付款碼,然后調(diào)取第三方支付平臺上的對應(yīng)賬戶。第三方支付平臺并沒有很好地提供解析工具,如果要作為證據(jù)來用,但他們不能蓋章?，F(xiàn)在只能是通過受害人資金的流水來進行關(guān)聯(lián),受害人在什么時間支付了哪一筆錢到什么賬號,如果能和二維碼對應(yīng)起來,就可以作為證據(jù)鏈條,下一步還需要第三方支付平臺提供這樣的解析工具。”張璇說。

一個騙碼團伙的犯罪鏈條是怎樣的 

“我們從聊天記錄中發(fā)現(xiàn),他們只是一個負責(zé)騙碼的團伙。有了二維碼怎么變成錢呢 他們有非常成熟的鏈條,有時候不是自己來掃,而是讓專門的掃碼團伙來掃,這些團伙成員是注冊了很多虛假身份的商戶,他們有POS機等設(shè)備。另外,掃碼團伙還會把結(jié)果再交給第三方平臺進行解碼。整個鏈條是一個大的體系,是一個產(chǎn)業(yè)鏈。如果我們要取證,就涉及到二維碼的犯罪取證,我們首先要搞清楚在整個犯罪行為中是如何應(yīng)用二維碼的,第二就是如何解析二維碼,第三就是要把受害人資金的流水和二維碼做一個對應(yīng),目前來看還值得改進。”張璇說。

取證過于依賴自動化是好是壞

隨著電子取證的發(fā)展,也引起了越來越多的思考。

遼寧省大連市公安局網(wǎng)安支隊七大隊大隊長、全國刑事技術(shù)標準化技術(shù)委員會電子物證分技術(shù)委員會專家、中國合格評定國家認可委員會主任評審員劉浩陽從中總結(jié)了電子取證的經(jīng)驗。

“自動取證這個功能現(xiàn)在非常普及和流行,但從實際來講,我們一直對自動化取證有爭議,那就是自動化取證究竟是提高了我們的能力還是降低了我們的能力。”劉浩陽說,“剛開始從國外引進電子數(shù)據(jù)取證時叫計算機取證,主要針對臺式機取證,后來出現(xiàn)了筆記本,再后來就是我們現(xiàn)在最流行的手機,未來可能是云計算和物聯(lián)網(wǎng)設(shè)備。”

就手機取證而言,劉浩陽認為,手機實際上包含了所有的個體信息,包括物理身份和虛擬身份,尤其是虛擬身份。目前來看,手機網(wǎng)民遠遠超過了PC網(wǎng)民。“手機是我們現(xiàn)在每個人必不可少的東西,手機一直是取證的一個焦點,也是近些年來電子數(shù)據(jù)取證發(fā)展非常迅速的一個部分。手機取證設(shè)備也非常多,從實際來講,當你擁有一套手機取證設(shè)備時,不需要解鎖直接拿來就可以了,里面存儲了大量的數(shù)據(jù)”。

劉浩陽在對比了6個手機取證工具之后認為,“現(xiàn)在取證工具的穩(wěn)定性和可信性是最大的問題。這些工具的原理其實非常簡單,在突破手機的安全機制后,實際工作的目標或者對象就是手機里的數(shù)據(jù)庫,但是這些工具多多少少都犯了一些錯誤,要么是解析不到位,要么是解析錯誤”。

近年來,有關(guān)部門在打擊偽基站犯罪方面取得了一系列成果,對取證工作也有一定啟示。

據(jù)劉浩陽介紹,偽基站就是未取得電信設(shè)備進網(wǎng)許可和無線電發(fā)射設(shè)備型號核準,能夠搜索手機用戶信息,是電子設(shè)備的一種。“偽基站基本是工作在900赫茲形態(tài)中,大家見得多的是車載偽基站,也就是在運行汽車上查獲的,更加隱蔽的偽基站是潛入在車體內(nèi)部的。此外,還有背包型、固定型等”。

“之前曾經(jīng)發(fā)布過《關(guān)于辦理擾亂無線電通訊管理秩序等刑事案件適用法律若干問題的解釋》,一直到今年發(fā)布的《關(guān)于審理破壞公用電信設(shè)施刑事案件具體應(yīng)用法律若干問題的解釋》,這個文件目前是權(quán)威性的解釋。偽基站的運行原理比較復(fù)雜,其中存儲的數(shù)據(jù)有幾種,第一種就是存在系統(tǒng)里,第二種是有一個數(shù)據(jù)庫,第三種就是其桌面上會有一系列的TST文件?，F(xiàn)在還沒有純粹的偽基站取證工具,因為還沒有人把偽基站的原理了解得如此透徹。我們在寫偽基站的材料時,把所有代碼都看完了,寫了70多個小時,將近好幾百頁。專家型的取證從業(yè)者應(yīng)該高于自動取證,天天依賴自動取證功能,水平能力會越來越差。”劉浩陽說。

來源：法制日報