可信电子数据取证规范及技术选择原则

电子数据取证标准和技术规范的选择将影响法庭法官对电子数据取证操作的评价，影响到电子数据的证据资格有效性判断和电子数据的证据力判断，因此选择适合的取证标准和技术规范有助于提高电子数据的可信采纳。在案件侦查取证中，侦查取证人员应根据不同的案件情况，在电子数据取证过程中把握取证标准和技术规范选择原则，在取证工作中要规范取证过程的操作，合理细分取证对象，选择标准化的技术方法。

(一)可信取证标准和技术规范的选择原则

(1)应当遵守如下的顺序进行取证标准和技术规范的选用。首先是选择国家层面制定的电子数据取证标准和技术规范，其次选择公安部或司法部委托司法鉴定主管部门制定的电子数据取证标准和技术规范，最后是选用取证专业领域多数取证专家认可的电子数据取证标准和技术规范。

(2)在国家层面制定的和公安部、司法部等行业制定的取证标准和技术规范不全面的情况下，应该根据案件实际情况^[26]，将电子数据取证过程划分为证据发现、固定、提取、分析或鉴定、报告生成等不同阶段，结合电子数据证据源、取证技术方法的要求，选择对应的取证标准和技术规范完成不同阶段的取证工作。

(3)在未有明确的标准和技术规范的指导下，在电子数据取证的不同阶段，根据证据源、取证技术方法要求的不同选择得到认证或已被公开使用并得到同行认可的，并且这些方法与技术能说明电子数据作为提供给法庭的证据是符合法律法规的，具有可信性、准确性、完整性，是能为法庭所接受的取证标准和技术规范。

(二)可信取证标准和技术规范的选择规则

取证过程的规范化、取证技术的标准化将直接影响到电子数据的证据资格有效性判断和电子数据的证据力判断。然而，当前我国电子数据取证标准体系缺乏统一规划，取证标准和技术规范体系涵盖范围不够全面，适应多样化证据形态的标准和技术规范缺乏。在司法实务中，不同类型的案事件有着不同电子数据源，自然而然在法庭上也会产生取证对象是否精准，取证方法是否具有针对性，取证过程是否规范的疑惑和质疑。笔者依托现有的取证标准和技术规范，以证据收集、固定、分析、报告为过程，提出了在取证过程中如何规范取证操作，如何选择标准化技术方法的若干运用规则。

一、准备阶段

第一条　全面了解案件，并根据案件具体情况，制定现场获取电子数据的目的、范围，人员分工，以及可能用到的电子数据取证设备。

第二条　明确现场获取电子数据时需采用的方法和步骤，以及证据获取的顺序，尤其是易失性证据的获取。

第三条　评估现场获取证据时可能造成的影响，并形成预案。

二、现场勘查

第四条　保护和记录现场。现场勘查作为电子数据取证最重要一环，取证人员进入现场后，应迅速封锁现场，进行人、机、物的隔离，查看现场的各个电子设备的使用情况和连接状态情况，保护现场的电子设备并做好现场记录，同时通过拍照和录像等方式对电子设备进行记录并予以编号保存。

三、证据获取

第五条　对于已经关闭的系统，应当扣押、封存载有电子数据的原始存储介质，封存电子设备和原始存储介质的前后应当拍摄或者录像并记录下来，应通过多个角度进行电子设备和原始存储介质封存前后的拍摄或录像，拍摄或录像应能清晰反映电子设备和原始存储介质封口或张贴封条处。

有特殊要求的电子设备和存储介质(如手机等无线设备)，应当采取信号屏蔽、信号阻断或者切断电源等措施。应保证电子设备和存储介质的封存状态是完全屏蔽的。

第六条　对于已经关闭的系统，不便封存原始存储介质的，也可在关机状态下对电子设备和存储介质进行不拆机或拆机镜像提取。不拆机镜像获取可以通过类似PE启动的方式进行镜像获取，拆机镜像可以使用拷贝机进行镜像获取。^[27]

第七条　即使能够扣押电子数据的原始存储介质，但其系统处于开机状态，也需进行易失性数据的提取和固定。有特殊要求的电子设备和存储介质(如智能手机等无线设备)，应设置为飞行模式进行开机状态下的数据提取。

第八条　易失性数据提取和固定建议按以下步骤^[28]:

(1)打开并未保存的文档。

(2)最近的聊天记录。

(3)用户名及密码。

(4)存储介质的状态信息。

(5)运行进程。

(6)操作系统信息。

(7)未来得及存储的数据。

(8)共享文档信息。

(9)网络用户连接信息。

(10)其他相关的文件信息、电子数据信息。

第九条　无法扣押电子数据的原始存储介质，但其系统处于开机状态，需进行易失性数据的提取和固定，进行开机状态下的镜像数据获取或在线取证。^[29]

在线取证中应在电子系统处于开机的状态下分析和提取系统的数据，包括:

(1)密码的检测，包括系统密码、保护存储密码、邮箱密码、WiFi密码、网络密码等。

(2)打开的聊天工具及聊天信息记录。

(3)打开的邮件客户端中的邮件信息。

(4)打开的浏览器及网页信息。

(5)打开的应用程序及内容。

(6)系统连接的外设设备及信息，如手机助手、U盘使用记录等。

(7)与其他取证活动相关的电子数据信息。

四、证据固定

第十条　从现场获取的上述所有电子数据，皆需计算电子数据和存储介质的完整性校验值，并进行记录。对于无法计算存储介质完整性校验值的，需记录说明不计算完整性校验值的理由。

第十一条　能扣押原始存储介质的，应当扣押、封存，并依照第五条规定的方法封存原始存储介质。无法扣押原始存储介质，可以提取电子数据的，应当在记录中注明不能扣押的原因、电子数据在原始存储介质的存放位置、提取的电子数据的出处或来源等情况。

第十二条　电子证据现场勘查和证据获取阶段，在整个过程中应有记录体现其操作。扣押和封存存储介质的前后，应当拍照，对扣押和封存的存储介质进行编号并贴上标识标记。开机状态或不在开机状态下从现场的电子系统或存储介质中提取电子数据时，对其关键步骤的操作应当采用录像形式。提取出的电子数据，应有必要的文字记录描述电子数据的提取方法，以及电子数据的出处和来源等情况。

不能扣押原始存储介质，又无法提取电子数据的，可采取打印、拍照、截屏，或者录像等方式固定相关电子数据，并详细、准确说明原因。

五、数据分析

第十三条　对于扣押的存储介质、电子设备，或从现场提取出的电子数据，应当制定数据恢复、提取、分析的电子数据工作目录。

移动终端设备、手机等设备的数据提取、分析数据，参阅《移动终端取证检验方法(GA/T 1170-2014)》《法庭科学电子物证手机检验技术规范(GA/T 1069-2013)》《手机电子数据提取操作规范(SF/ZJD0401002-2015)》。

第十四条　未带操作系统的U盘、移动硬盘等扣押的存储介质，数据提取和分析检验，参阅《电子数据存储介质复制工具要求及检测方法(GA/T 754-2008)》《数字化设备证据数据发现提取固定方法(GA/T 756-2008)》。《电子数据存储介质写保护设备要求及检测方法(GA/T 755-2008)》。

第十五条　带操作系统的如主机硬盘等扣押的存储介质，建议对其物理对象的数据提取和分析，主要方法包括关键字搜索、文件内容复原技术^[30]、分区表提取以及未使用区分析技术。关键字搜索等技术规范可参阅《电子物证数据搜索检验规程(GB/T 29362-2012)》。

第十六条　带操作系统的如主机硬盘等扣押的存储介质，对其基于文件系统数据的逻辑对象数据提取和分析，建议步骤如下:

(1)提取显示特征的文件系统信息，诸如目录结构、文件属性、文件名、日期和时间戳、文件大小和文件位置。

(2)通过比较计算的Hash值与真实的Hash值，来验证是否有数据的减少和已知文件的消失。(www.xing528.com)

(3)通过存储介质如硬盘里的文件名和扩展名、文件头部、文件内容和位置，提取相关的文件。

(4)密码保护文件、加密文件和压缩文件的提取。

(5)删除文件的恢复。

(6)空闲区、未分配区的数据提取。

技术规范可参阅《电子物证数据搜索检验规程(GB/T 29362-2012)》《电子物证文件一致性检验规程(GB/T 29361-2012)》。

第十七条　不同案件类型和媒介需要不同的检查分析方法。用于网络游戏知识产权保护案中对涉案网络游戏是否为私服检查的技术规范可参阅《网络游戏私服检验技术方法(GA/T 978-2012)》。

案件中涉及QQ、微信等即时通信记录的分析方法和技术规范可参阅《即时通讯记录检验技术方法(GA/T 1173-2014)》《即时通讯记录检验操作规范(SF/Z JD0402003-2015)》。

案件中涉及数据库分析的技术规范可参阅《数据库数据真实性鉴定规范(SF/Z JD0402002-2015)》。

在利用电子邮件进行犯罪的案件中，对电子邮件的分析方法和技术规范可参阅《电子邮件检验技术方法(GA/T 1172-2014)》《电子邮件鉴定实施规范(SF/Z JD0402001-2014)》。

案件中涉及恶意代码、破坏性程序分析的技术规范可参阅《破坏性程序检验操作规范(SF/Z JD0403002-2015)》。

数字版权侵权、软件侵权等案件中的分析方法和技术规范可参阅《电子物证软件功能检验技术规范(GA/T 828-2009)》《软件相似性检验技术方法(GA/T 1175-2014)》《电子物证软件一致性检验技术规范(GA/T 829-2009)》。

第十八条　没有标准和技术规范可借鉴应用的案件，在数据分析中，建议一般进行时间表/时间轴分析、隐藏数据分析、应用程序和文件分析、文件占有者和使用者分析。

时间表/时间轴分析中查看系统文件的时间及日期戳，并建立与案件相关的时间表/时间轴，同时查看系统和应用程序日志，包括错误日志、安装日志、连接日志、安全日志等。

数据隐藏分析包括:分析文件头部并关联对应的文件扩展名是否匹配，访问压缩文件、密码保护文件，主机保护区如HPA等。

应用程序和文件分析包括:文件名检查、文件内容检查、操作系统型号识别，安装应用程序与文件关联分析，文件之间关系分析，用户配置检查、应用程序存储文件及文件结构检查、文件元数据分析等。

文件占有者和使用者分析用于证实何人创建文件、修改文件和访问文件。其技术规范可参阅《计算机系统用户操作行为检验规范(SF/Z JD0403003-2015)》。

六、生成报告

第十九条　取证人员在取证完成后，需要对整个取证分析过程生成一个完整的报告，包括证据的获取过程、证据的整体情况描述、取证过程中所使用的工具及其版本、证据分析的步骤和方法、证据分析的结果。报告应该完整全面和准确。

【注释】

[1]参见第43次《中国互联网络发展状况统计报告》，载中国网信网，http://www.cac.gov.cn/2019-02/28/c＿1124175677.htm，2019年3月7日访问。

[2]参见《腾讯安全2017年度互联网安全报告》，载腾讯网，https://guanjia.qq.com/news/n1/2258.html，2019年3月7日访问。

[3]何军:《大数据与侦查模式变革研究》，载《中国人民公安大学学报(社会科学版)》2015年第1期。

[4]参见《刘晓宇谈公安机关电子数据取证工作的现状、应用和挑战》，载品略图书馆网，http://m.pinlue.com/icontent/097367292916.html，2018年3月16日访问。

[5]《全国人民代表大会常务委员会关于司法鉴定管理问题的决定(2005年2月28日第十届全国人民代表大会常务委员会第十四次会议通过)》第3条规定:“国务院司法行政部门主管全国鉴定人和鉴定机构的登记管理工作。省级人民政府司法行政部门依照本决定的规定，负责对鉴定人和鉴定机构的登记、名册编制和公告。”

[6]《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》第7条规定:“侦查机关根据侦查工作的需要设立的鉴定机构，不得面向社会接受委托从事司法鉴定业务。人民法院和司法行政部门不得设立鉴定机构。”
注明:这里所说的侦查机关，具体包括公安机关、人民检察院、国家安全机关、军队保卫部门等。

[7]党凌云、郑振玉、宋丽娟:《2014年度全国司法鉴定情况统计分析》，载《中国司法鉴定》2015年第4期。

[8]参见《刘晓宇谈公安机关电子数据取证工作的现状、应用和挑战》，载品略图书馆网，http://m.pinlue.com/icontent/097367292916.html，2019年3月29日访问。

[9]参见《中华人民共和国刑事诉讼法(2013年版)》第48条、《中华人民共和国民事诉讼法(2013年版)》第63条、2014年11月1日颁布的《中华人民共和国行政诉讼法》第33条。

[10]《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第93条规定:“对电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等电子数据，应当着重审查以下内容:……(二)收集程序、方式是否符合法律及有关技术规范；经勘验、检查、搜查等侦查活动收集的电子数据，是否附有笔录、清单，并经侦查人员、电子数据持有人、见证人签名；没有持有人签名的，是否注明原因；远程调取境外或者异地的电子数据的，是否注明相关情况；对电子数据的规格、类别、文件格式等注明是否清楚……”

[11]《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见(公通字〔2014〕10号)》第13条规定:“收集、提取电子数据，应当由二名以上具备相关专业知识的侦查人员进行。取证设备和过程应当符合相关技术标准，并保证所收集、提取的电子数据的完整性、客观性。”

[12]金波、杨涛、吴松洋、黄道丽、郭弘:《电子数据取证与鉴定发展概述》，载《中国司法鉴定》2016年第1期。

[13]郭弘:《电子数据取证标准体系综述》，载《计算机科学》2014年第10A期。

[14]参见“Guidelines for Evidence Collection and Archiving”，http://www.rfc-base.org/rfc-3227.html，2019年4月2日访问。

[15]郭弘:《电子数据取证标准体系综述》，载《计算机科学》2014年第10A期。

[16]《电子证据鉴定的最佳实践》《电子取证人员培训、知识、技能与能力》《数据图像与声音取证》《电子取证的质量体系》《实验室管理规范》等电子证据取证与鉴定的规范与标准，参见郭弘，夏荣:《电子数据取证标准的研究与展望》，载《信息网络安全》2016年第S1期。

[17]参见《电子数据取证标准——英国篇》，载微信公众号:电子数据取证与鉴定，http://mp.weixin.qq.com/s/Sd0XOji＿G8BB0voywXUbrg，2019年4月14日访问。

[18]注明:截至目前公安部发布的公共安全行业标准共38个，废除3个，合计35个。在本书正式出版之际，GA/T 1663-2019法庭科学Linux操作系统日志检验技术规范，GA/T 1664-2019法庭科学MSSQL Server数据库日志检验技术规范正在发布之中。

[19]参见《司法部颁司法鉴定技术规范一览表》，载中国政府法制信息网，http://www.moj.gov.cn/government＿public/content/2019-8/15/tzwj＿3229954.html，最后访问时间:2020年1月15日。注明:2020年5月29日，司法部发布关于发布实施《司法鉴定行业标准体系》等20项行业标准的公告，其中新增了4项电子数据鉴定行业新标准。分别是:SF/T 0075-2020网络文学作品相似性检验技术规范、SF/T 0076-2020电子数据存证技术规范、SF/T 0077-2020汽车电子数据检验技术规范、SF/T 0078-2020数字图像元数据检验技术规范。

[20]刘品新:《电子证据的关联性》，载《法学研究》2016年第6期。

[21]电子证据取证技术的国家标准有四个:《电子物证数据恢复检验规程(GB/T 29360-2012)》《电子物证文件一致性检验规程(GB/T 29361-2012)》《电子物证数据搜索检验规程(GB/T 29362-2012)》《信息安全技术　存储介质数据恢复服务要求(GB/T 31500-2015)》。

[22]郭弘:《电子数据取证标准体系综述》，载《计算机科学》2014年第10A期。

[23]郭弘:《电子数据取证标准体系综述》，载《计算机科学》2014年第10A期。

[24]金波、杨涛、吴松洋、黄道丽、郭弘:《电子数据取证与鉴定发展概述》，载《中国司法鉴定》2016年第1期。

[25]部分电子设备与存储介质及依附其载体上的电子数据取证标准和技术规范散见于公安部、司法部制定的相关取证标准和技术规范。

[26]目前仅《网络游戏私服检验技术方法(GA/T 978-2012)》技术规范提供网络游戏私服的检验技术方法，用于网络游戏知识产权保护案件中涉案网络游戏是否为私服的检验。

[27]不拆机镜像可用特制的Linux系统，如Paladin，Windows系统如Win FE等。Windows PE镜像环境下可用X-Ways、FTK imager等工具制作。拆机镜像工具有Logicube的Talon E、Falcon，Cflab的WBD、SMD等。参见《电子取证的一般流程》，载个人图书馆网，http://www.360doc.com/content/16/1230/19/8534278＿618953240.shtm l，2019年12月17日访问。

[28]参见《电子数据证据现场获取通用规范》，载司法鉴定科学研究院官网，http://www.ssfjd.com/Files/jsgf/4/27电子数据证据现场获取通用规范.pdf，2019年12月17日访问。

[29]在线取证(Online Forensics)，也称网络取证(Network Forenscis)、远程取证(Remote Forensics)。在线取证的内容包括:以明文形式存在内存中的若干密码、执行的控制命令、与系统相连的若干网络设备信息、打开的网络端口及监听应用、用户登录信息，等等。参见Remote Forensics，https://www.securitywizardry.com/index.php/products/forensicsolutions/remote-forensics.html，2019年12月17日访问。

[30]File Carving:磁盘之未配置空间内，自动寻找嵌附在这些硬盘空间的doc、pdf文件或jpg等图片文件。