電子取證

電子取證

電子取證是指利用計算機軟硬體技術,以符合法律規範的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看,計算機犯罪取證是一個對受侵計算機系統進行掃描和破解,對入侵事件進行重建的過程。具體而言,是指把計算機看作犯罪現場,運用先進的辨析技術,對計算機犯罪行為進行解剖,搜尋罪犯及其犯罪證據。

介紹


電子取證解釋

隨著計算機犯罪個案數字不斷上升和犯罪手段的數字化,搜集電子證據的工作成為提供重要線索及破案的關鍵。恢復已被破壞的計算機數據及提供相關的電子資料證據就是電子取證。

收集

由於電子證據的特殊性,在收集電子證據時,首先需由提供證據單位的計算機操作人員打開電腦,查找所需收集的證據。當找到證據時,取證人員應通過顯示器觀察和確認該文件的形成時間。然後由操作人員打開文件,由取證人員確認該文件系所要收集的證據后,採用相應的方式予以提取固定。在查找證據過程中,如遇文件找不到或打不開等問題,應及時通知專業人員予以協助。同時,為確保電子證據的原始性、真實性、合法性,在電子證據的收集時應採用專業的數據複製備份設備將電子證據文件複製備份,要求數據複製設備需具備只讀設計以及自動校準等功能。

固定

常用的固定電子證據的方式,有列印和拷貝兩種。通常情況下應當採用列印方式,或兩種方式同時使用。只有在文件較多不方便現場列印的情況下,才可以單獨使用拷貝方式。
採用列印方式取證,是將計算機文件列印到紙張上。列印文件時,取證人員必須現場監督列印過程,防止計算機操作人員在列印過程中修改文件。列印完畢后,可以按照書證的固定方法,予以固定,但應當註明數據信息在計算機中存放於那個文件夾中。
採用拷貝方式取證,是將計算機文件拷貝到軟盤、光碟中。取證人員應當自備計算機,拷貝后,將軟盤或光碟插入自備計算機中進行檢查。首先進行病毒檢測,然後打開文件檢查拷貝的質量。如通過檢測發現病毒,則應當先消毒,后打開文件檢查。

電子證據的認定


電子證據的認證也就是審查電子證據是否符合電子證據認定的相關性,真實性,合法性等標準。在審判實踐中主要審查與案件定罪、量刑等相關的電子證據的真實性和合法性。
在審查電子證據真實性過程中,首先必須嚴格審查電子證據的來源。在證據採信過程中,主要體現在如下幾個方面:第一,證據的來源必須是客觀存在的,排除臆造出來的可能性;第二,確定證據來源的真實可靠性,根據電子證據形成的時間、地點、對象、製作人、製作過程及設備情況,明確電子證據所反映的是否真實可靠,有無偽造和刪改的可能。如網路銀行出具的支付、結算憑據,EDI中心提供的提單簽發、傳輸記錄,CA認證中心提供的認證或公證書等就具有相當的可靠性和較強的證明力。
其次審查電子證據的內容。結合電子證據本身的技術含量及加密條件、加密方法,判斷電子證據是否真實、有無剪裁、拼湊、偽造、篡改等,對於自相矛盾、內容前後不一致或不符合情理的電子證據,應謹慎審查。
最後根據唯一性的原則結合其他證據進行審查分析判斷電子證據是否真實。多個連續的電子證據經過時間空間上的排列、組合之後,應同網路犯罪行為的發生、發展過程和結果一致,形成一個完整的證明體系,相互印證,所得出的結論是本案唯一的結論。如審查有無電子證據所反映的事實,同有關書證、物證、證人證言是否互相吻合,是否有矛盾。如果與其他證據相一致,共同指向同一事實,就可以認定其效力,可以作為定案根據,反之則不能作為定案根據。