隨著互聯(lián)網(wǎng)和計算機技術發(fā)展,電子數(shù)據(jù)搜集和審查判斷已經(jīng)成為刑事司法活動中的基礎性、普遍性工作,。2016年,最高人民法院,、最高人民檢察院、公安部聯(lián)合發(fā)布《關于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》,這一“規(guī)定”是我國電子數(shù)據(jù)取證相關法律法規(guī)不斷發(fā)展完善的必然結果,。

基于大數(shù)據(jù),、人工智能帶動的公有云計算的市場需求空間,使得數(shù)據(jù)越來越多地從終端設備向云端遷移,同時很多涉網(wǎng)犯罪行為也向云端遷移。鑒于云計算模式下網(wǎng)絡犯罪更趨復雜,當務之急是落實運營商主體責任,。根據(jù)反恐怖主義法和網(wǎng)絡安全法規(guī)定,網(wǎng)絡運營者應當為公安機關,、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助

9月16日至9月24日是國家網(wǎng)絡安全宣傳周,其間,如何進一步打擊網(wǎng)絡犯罪、有力保障網(wǎng)絡安全成為社會各界關注的焦點,。

近幾年,網(wǎng)絡犯罪日趨多發(fā),與之對應,在打擊網(wǎng)絡犯罪中越來越多運用到電子取證,。

電子取證,是指利用計算機軟硬件技術,以符合法律規(guī)范的方式對計算機入侵、破壞,、欺詐,、攻擊等犯罪行為進行證據(jù)獲取、保存,、分析和出示的過程,。

最高人民法院、最高人民檢察院,、公安部曾聯(lián)合發(fā)布《關于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》,其中指出,“電子數(shù)據(jù)是案件發(fā)生過程中形成的,以數(shù)字化形式存儲,、處理、傳輸?shù)?能夠證明案件事實的數(shù)據(jù)”“偵查機關應當遵守法定程序,遵循有關技術標準,全面,、客觀,、及時地收集、提取電子數(shù)據(jù),；人民檢察院、人民法院應當圍繞真實性,、合法性,、關聯(lián)性審查判斷電子數(shù)據(jù)”。

在近日召開的第五屆中國互聯(lián)網(wǎng)安全大會電子取證技術與發(fā)展論壇上,業(yè)內(nèi)有關專家對與電子取證有關的若干問題進行了詳細探討,。

電子取證相關法律法規(guī)不斷完善

“電子證據(jù)第一次出現(xiàn)是在1998年,當時公安機關網(wǎng)安部門在偵辦某網(wǎng)絡案件時對有關證據(jù)進行了提取,并被法院采納,。在具體法律規(guī)定方面,我國較發(fā)達國家而言相對晚一些,其中一方面在于可以用于證明案件事實的材料都是證據(jù),與案件相關的電子證據(jù)自然屬于證據(jù)范疇；另一方面在于刑事訴訟法中將證據(jù)種類限定為7種,并沒有設定電子證據(jù),。2012年3月14日,第十一屆全國人民代表大會第五次會議通過了《關于修改〈中華人民共和國刑事訴訟法〉的決定》,根據(jù)該決定,電子證據(jù)成為法定證據(jù)類型,進一步適應現(xiàn)代化技術的發(fā)展,進一步豐富了證據(jù)范圍,困擾才得到解決,。”原公安部網(wǎng)絡安全保衛(wèi)局巡視員顧堅說,。

2016年,最高人民法院,、最高人民檢察院,、公安部聯(lián)合發(fā)布《關于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》時,顧堅曾參與起草和制定工作。

據(jù)顧堅介紹,“規(guī)定”的出臺有著多重背景,其中包括:截至2017年6月,中國網(wǎng)民規(guī)模已經(jīng)達到7.51億,手機網(wǎng)民規(guī)模達到7.24億,占比達96.3%,；針對互聯(lián)網(wǎng)的犯罪日益猖獗,我國已經(jīng)成為“黑客”攻擊破壞的主要國家之一,；網(wǎng)絡賭博、詐騙,、網(wǎng)上販賣公民個人信息等利用互聯(lián)網(wǎng)的違法犯罪形勢嚴峻,嚴重污染網(wǎng)絡環(huán)境,；網(wǎng)絡犯罪趨勢日益凸顯,大量犯罪實施均借助網(wǎng)絡技術運用而實現(xiàn),技術門檻和犯罪成本大大降低,犯罪規(guī)模和危害程度擴大,犯罪分工更加精細,犯罪手法更加復雜；恐怖分子利用網(wǎng)絡制作傳播暴力恐怖的視頻,煽動實施恐怖活動,。

“隨著互聯(lián)網(wǎng)和計算機技術發(fā)展,電子數(shù)據(jù)搜集和審查判斷已經(jīng)成為刑事司法活動中的基礎性,、普遍性工作。2015年,公安機關網(wǎng)安部門辦理網(wǎng)絡犯罪案件的數(shù)量已經(jīng)超過了17萬起,但是由于電子數(shù)據(jù)的專業(yè)性很強,公檢法部門在司法實踐中對電子數(shù)據(jù)的證據(jù)規(guī)格,、效率和證明率等問題缺少統(tǒng)一的判定標準,已有規(guī)定操作性不強,相關證據(jù)依然難以采納,影響了司法活動的順利開展,。”顧堅說,。

顧堅認為,“規(guī)定”的出臺是我國電子數(shù)據(jù)取證相關法律法規(guī)不斷發(fā)展完善的必然結果,。據(jù)介紹,“規(guī)定”解決的主要問題包括:

對現(xiàn)有電子證據(jù)規(guī)則、司法操作性不強的問題,在《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》確立了電子證據(jù)基本規(guī)則的基礎上,進一步提出電子證據(jù)搜集,、提取,、審查、判斷的基礎方法,；

對現(xiàn)有法律法規(guī)缺乏對電子證據(jù)明確定義的問題,進一步明確了電子證據(jù)的內(nèi)涵和外延,對證據(jù)類型進行列舉,特別是對數(shù)字化形式的證人,、證言、被害人陳述口供和辯解,、筆錄等證據(jù)與電子證據(jù)的關系問題進行了明確,。

針對云計算、大數(shù)據(jù)管理下難以將海量數(shù)據(jù)分層,、扣押以及數(shù)據(jù)難以調(diào)取的問題,根據(jù)實踐作用提出了凍結的措施,為該類電子證據(jù)固定難題提出了法律解決的依據(jù),；

對電子證據(jù)搜集過程中規(guī)范的問題,進一步梳理電子證據(jù)的搜集面臨的各種情形,確定了以原始存儲為主、直接或遠程提取為輔,、打印拍照為例外的搜集提取規(guī)范,明確了電子證據(jù)搜集的圖紙,、電子證據(jù)調(diào)取、電子證據(jù)檢查,、偵查實驗有關流程規(guī)范,并規(guī)定了相關筆錄,、見證人及錄像要求；

對司法實踐中電子證據(jù)審查難的問題提出了電子證據(jù)真實性,、合法性,、判斷的要點,將電子證據(jù)完整性納入真實性范疇之中,提出了完整性的保護和審查方法,明確了電子證據(jù)、瑕疵證據(jù)和非法證據(jù)的情形；

對現(xiàn)有電子證據(jù)有關規(guī)定過于分散和零散問題,對已有電子證據(jù)有關條款集中進行了匯編,。

簡而言之,這個規(guī)范性文件是截至目前辦理刑事案件中涉及電子證據(jù)問題最為全面的規(guī)范性文件,。

云計算環(huán)境下電子取證難度加大

云計算是互聯(lián)網(wǎng)未來發(fā)展趨勢之一,對于電子取證也帶來了深遠影響。

“云計算是以最簡便的途徑和按需的方式通過網(wǎng)絡配制計算資源,。2017年,中國公有云(通常指第三方提供商為用戶提供的能夠使用的云)市場規(guī)模將超過150億元,基于大數(shù)據(jù),、人工智能帶動的公有云的市場需求空間,使得數(shù)據(jù)越來越多地從終端設備向云端遷移,同時很多涉網(wǎng)犯罪的行為也向云端遷移。比如,在2014年,某著名游戲公司受到流量攻擊有453.8GB,。再比如,像iCloud數(shù)據(jù)的外傳,某電商泄露了大量個人信息等,。還有一些利用云盤傳播淫穢色情信息牟利案件。為什么我們提出凍結的操作方式,？因為需要在這些案件中進行取證調(diào)查,。至去年10月,網(wǎng)絡犯罪數(shù)量已經(jīng)占犯罪總數(shù)的三分之一,我們面臨的現(xiàn)實危險主要來自于網(wǎng)絡空間?！惫膊康谌芯克L助理,、首席科學家、公安部網(wǎng)絡偵查技術研發(fā)中心副主任金波說,。

金波認為,云計算一定要看其本身的計算模式和傳統(tǒng)模式的差別,傳統(tǒng)IT不管是在企業(yè)網(wǎng)還是在互聯(lián)網(wǎng)上,除了網(wǎng)絡這個層次的資源可能是公有的外,其他的資源都是私有的,。“當我們說起云計算,就必然要從云計算模式與傳統(tǒng)IT相比帶來的變化出發(fā),我們就必然面臨云計算模式下的一些困難,。比如,怎么搜集云平臺的數(shù)據(jù),、搜集以后怎么分析、數(shù)據(jù)搜集怎么定位等,。再比如,云上IP并不意味著是真實IP地址,其中就涉及管轄問題,另外由于云存儲的數(shù)據(jù)用完以后隨時會釋放掉,怎么固定也是一個問題”,。

除此之外,在云計算模式下,調(diào)查取證還面臨其他困難。

“云平臺的共享特點使得涉案虛擬服務器所掛載的虛擬硬盤等數(shù)據(jù)處于離散狀態(tài),部分云服務提供商甚至采用了動態(tài)伸縮的存儲技術,虛擬服務器釋放出來的空間會被立即分配給其他虛擬服務器使用,。如果我們做靜態(tài)分析,不同服務商的格式可能不一樣,海量的數(shù)據(jù)難以分析,。另外,云服務商提供的不是一臺虛擬機,而是提供虛擬網(wǎng)絡服務,要構建出整個云服務的環(huán)境,不僅僅是把一臺虛擬機請來就行,這時候怎么進行組網(wǎng)？這是很迫切的問題,?！苯鸩ㄕf,像公有云服務,用完以后可以馬上釋放掉數(shù)據(jù),再想找到就會很困難。有些不法分子作案后將服務器一刪了事,再查就非常困難了,這就提出了時效性的需求,。

“我們一定要在服務器被釋放之前能夠做好這些服務器的工作,這幾乎是對抗云反取證的唯一手段,。”金波說,。

鑒于云計算模式下網(wǎng)絡犯罪更趨復雜,當務之急是完善制度,落實運營商主體責任。

“今年,公安部網(wǎng)安局專門出臺了一個部門規(guī)章,對云服務提供商在協(xié)助調(diào)查取證以及安全管理方面提出了要求,這是一個非常重要的云計算合規(guī)要求,?！苯鸩ㄕf。

據(jù)金波介紹,上述規(guī)章要求云服務提供商要有專門隊伍配合公安機關工作,這些人員要進行專門的培訓、簽訂保密協(xié)議,。此外,還有相應的技術標準,。

“另外,還有一個制度設計是關于基礎建設的。我們要求云服務提供商要落實安全基礎措施,做好流程,為公安機關防范,、調(diào)查違法犯罪活動提供必要的技術解密,、技術支持和協(xié)助,這實際上就是一個服務提供商的主體責任落實?！苯鸩ㄕf,反恐怖主義法第十八條規(guī)定,電信業(yè)務經(jīng)營者,、互聯(lián)網(wǎng)服務提供者,應當為公安機關、國家安全機關依法進行防范調(diào)查提供技術接口和解密等技術支持和協(xié)助,。網(wǎng)絡安全法第二十八條規(guī)定,網(wǎng)絡運營者應當為公安機關,、國家安全機關依法維護國家安全和偵查犯罪活動提供支持和協(xié)助。云服務提供商應建立涉嫌違法犯罪的線索報告和配合調(diào)查制度,發(fā)現(xiàn)違法犯罪及異常情況應保留相關證據(jù),24小時之內(nèi)向當?shù)毓矙C關報告,。

云服務商協(xié)助取證要留存哪些數(shù)據(jù),？

金波認為,這些數(shù)據(jù)包括云U注冊數(shù)據(jù)、用戶資源使用數(shù)據(jù),、用戶業(yè)務數(shù)據(jù),、網(wǎng)絡流量日志、安全事件數(shù)據(jù)和其他服務,。

二維碼犯罪取證首先在于解析

二維碼犯罪是當前比較常見的網(wǎng)絡犯罪形式,。

“現(xiàn)在的二維碼非常普遍,我們都接受了這種方式。二維碼從出現(xiàn)到現(xiàn)在不過兩三年的時間,但是普及非常迅速,其中的關鍵原因是太方便了,。二維碼鋪天蓋地而來,很多小朋友都知道掃一掃,。”山東警察學院網(wǎng)絡空間安全與執(zhí)法協(xié)同創(chuàng)新中心秘書,、電子學會取證專委會委員張璇說,。

二維碼的廣泛應用給一些不法分子以可乘之機。

“二維碼的替換非常容易,不需要技術含量,生成和變造是非常簡單的,。二維碼支付也越來越簡便,我們不用像原來那樣需要專業(yè)的設備,只要手機這樣一個終端就可以完成二維碼支付活動,。普通群眾可能根本分不清什么是付款碼和收款碼,所謂收款和付款是相對于用戶來說的。很多不法分子會利用大家對二維碼認識的不足,騙取大家的付款碼,相當于不法分子獲取了我們的付錢憑證,。二維碼本身的變造也非常容易,如果是一個PS高手,他會把二維碼PS成各種新鮮的格式,就是為了誘導大家掃這個二維碼,如果其中有一些木馬程序,危害可能就比較大了,。”張璇說,。

當二維碼犯罪出現(xiàn)后,應該如何追查,？

“第一步就是解析二維碼,解析出來到底是惡意的信息還是支付的二維碼。如果是惡意信息,我們就可以進一步進行研判,；如果是支付相關的信息,我們要分辨到底是收款碼還是付款碼,然后調(diào)取第三方支付平臺上的對應賬戶,。第三方支付平臺并沒有很好地提供解析工具,如果要作為證據(jù)來用,但他們不能蓋章。現(xiàn)在只能是通過受害人資金的流水來進行關聯(lián),受害人在什么時間支付了哪一筆錢到什么賬號,如果能和二維碼對應起來,就可以作為證據(jù)鏈條,下一步還需要第三方支付平臺提供這樣的解析工具?！睆堣f,。

一個騙碼團伙的犯罪鏈條是怎樣的？

“我們從聊天記錄中發(fā)現(xiàn),他們只是一個負責騙碼的團伙,。有了二維碼怎么變成錢呢,？他們有非常成熟的鏈條,有時候不是自己來掃,而是讓專門的掃碼團伙來掃,這些團伙成員是注冊了很多虛假身份的商戶,他們有POS機等設備。另外,掃碼團伙還會把結果再交給第三方平臺進行解碼,。整個鏈條是一個大的體系,是一個產(chǎn)業(yè)鏈,。如果我們要取證,就涉及到二維碼的犯罪取證,我們首先要搞清楚在整個犯罪行為中是如何應用二維碼的,第二就是如何解析二維碼,第三就是要把受害人資金的流水和二維碼做一個對應,目前來看還值得改進?！睆堣f,。

取證過于依賴自動化是好是壞

隨著電子取證的發(fā)展,也引起了越來越多的思考。

遼寧省大連市公安局網(wǎng)安支隊七大隊大隊長,、全國刑事技術標準化技術委員會電子物證分技術委員會專家,、中國合格評定國家認可委員會主任評審員劉浩陽從中總結了電子取證的經(jīng)驗。

“自動取證這個功能現(xiàn)在非常普及和流行,但從實際來講,我們一直對自動化取證有爭議,那就是自動化取證究竟是提高了我們的能力還是降低了我們的能力,?！眲⒑脐栒f,“剛開始從國外引進電子數(shù)據(jù)取證時叫計算機取證,主要針對臺式機取證,后來出現(xiàn)了筆記本,再后來就是我們現(xiàn)在最流行的手機,未來可能是云計算和物聯(lián)網(wǎng)設備?！?/p>

就手機取證而言,劉浩陽認為,手機實際上包含了所有的個體信息,包括物理身份和虛擬身份,尤其是虛擬身份,。目前來看,手機網(wǎng)民遠遠超過了PC網(wǎng)民?！笆謾C是我們現(xiàn)在每個人必不可少的東西,手機一直是取證的一個焦點,也是近些年來電子數(shù)據(jù)取證發(fā)展非常迅速的一個部分,。手機取證設備也非常多,從實際來講,當你擁有一套手機取證設備時,不需要解鎖直接拿來就可以了,里面存儲了大量的數(shù)據(jù)”。

劉浩陽在對比了6個手機取證工具之后認為,“現(xiàn)在取證工具的穩(wěn)定性和可信性是最大的問題,。這些工具的原理其實非常簡單,在突破手機的安全機制后,實際工作的目標或者對象就是手機里的數(shù)據(jù)庫,但是這些工具多多少少都犯了一些錯誤,要么是解析不到位,要么是解析錯誤”,。

近年來,有關部門在打擊偽基站犯罪方面取得了一系列成果,對取證工作也有一定啟示。

據(jù)劉浩陽介紹,偽基站就是未取得電信設備進網(wǎng)許可和無線電發(fā)射設備型號核準,能夠搜索手機用戶信息,是電子設備的一種,?！皞位净臼枪ぷ髟?00赫茲形態(tài)中,大家見得多的是車載偽基站,也就是在運行汽車上查獲的,更加隱蔽的偽基站是潛入在車體內(nèi)部的。此外,還有背包型,、固定型等”,。

“之前曾經(jīng)發(fā)布過《關于辦理擾亂無線電通訊管理秩序等刑事案件適用法律若干問題的解釋》,一直到今年發(fā)布的《關于審理破壞公用電信設施刑事案件具體應用法律若干問題的解釋》,這個文件目前是權威性的解釋。偽基站的運行原理比較復雜,其中存儲的數(shù)據(jù)有幾種,第一種就是存在系統(tǒng)里,第二種是有一個數(shù)據(jù)庫,第三種就是其桌面上會有一系列的TST文件?，F(xiàn)在還沒有純粹的偽基站取證工具,因為還沒有人把偽基站的原理了解得如此透徹,。我們在寫偽基站的材料時,把所有代碼都看完了,寫了70多個小時,將近好幾百頁。專家型的取證從業(yè)者應該高于自動取證,天天依賴自動取證功能,水平能力會越來越差,?！眲⒑脐栒f,。

鏈接

《中華人民共和國反恐怖主義法》第十八條規(guī)定,電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)服務提供者應當為公安機關,、國家安全機關依法進行防范、調(diào)查恐怖活動提供技術接口和解密等技術支持和協(xié)助,。

反恐怖主義法第八十四條規(guī)定,電信業(yè)務經(jīng)營者,、互聯(lián)網(wǎng)服務提供者未依照規(guī)定為公安機關、國家安全機關依法進行防范,、調(diào)查恐怖活動提供技術接口和解密等技術支持和協(xié)助的,由主管部門處二十萬元以上五十萬元以下罰款,并對其直接負責的主管人員和其他直接責任人員處十萬元以下罰款,；情節(jié)嚴重的,處五十萬元以上罰款,并對其直接負責的主管人員和其他直接責任人員,處十萬元以上五十萬元以下罰款,可以由公安機關對其直接負責的主管人員和其他直接責任人員,處五日以上十五日以下拘留。

《中華人民共和國網(wǎng)絡安全法》第二十八條規(guī)定,網(wǎng)絡運營者應當為公安機關,、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助,。

網(wǎng)絡安全法第六十九條規(guī)定,網(wǎng)絡運營者違反本法規(guī)定,拒不向公安機關、國家安全機關提供技術支持和協(xié)助的,由有關主管部門責令改正,；拒不改正或者情節(jié)嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款,。