试论国际领域计算机取证过程中的规制研究

晴格格

　　论文摘要 计算机取证在世界范围内得到了蓬勃的发展，同时也引发了一系列的问题，其中证明力的问题是电子证据最受质疑的一个方面，要解决这个问题，最常用的方法就是规范取证过程。本文从技术和法律规制，标准化草案和立法现状多种不同的角度来研究国际领域在规范取证过程方面所做的工作，并提出了进一步研究的方向，由此希望能对我国的计算机取证的规范化工作提供借鉴。

　　论文关键词 计算机取证 电子证据 规制

　　一、引言

　　随着计算机和网络的广泛应用，人们的工作和生活也越来越依赖这一现代化的工具了。但与此同时，利用计算机和网络的犯罪案例也急剧增加，它扰乱了社会的经济秩序，对国家的安全、社会文化等都构成了威胁。为了更好地打击计算机犯罪，计算机取证这一交叉于计算机和法学的学科应运而生。计算机取证过程中获得的电子证据与传统证据相比，具有易失性、脆弱性等特点，现实办案过程中，所获取的材料往往多用作办案线索而非定案证据，一直以来在证明力上保守质疑。为了能够得到法庭认可的证据，就应该规范取证的过程，规范取证的步骤，依据相关的操作规范进行取证工作。那么如何制定规范?是从技术角度还是从法律角度进行规范?计算机发展日新月异，技术或者法律的规制是否也应与时俱进呢?如何解决这些问题，不妨先看看国外在标准化方面的进程。下面先从计算机取证的含义谈起，着重介绍国际计算机取证标准化方面的工作。

　　二、计算机取证的含义

　　计算机取证没有统一、准确的定义。计算机取证资深专家JuddRobbins给出的定义：将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机紧急事件响应组CERT和取证咨询公司NTI扩展了该定义：计算机取证包括了对磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS归结为：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

　　这些概念比较侧重于对证据的收集和获取，而没有涉及对证据的分析和法庭出示等问题，因此这几种定义是不完全的。

　　目前，比较全面且能广泛接受的概念是：计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。取证的目的是为了据此找出入侵者(或入侵的机器)，并解释入侵的过程。

　　此外，和计算机取证相近的术语还有计算机取证、电子证据的收集等，虽然，业界有很多学者对它们的含义进行了区分和界定，实际上，笔者认为它们的含义大体相同，涉及的取证过程的步骤、原则、标准等理论也基本一致可以互通，所以并没有严格区分的必要。

　　三、计算机取证的基本步骤

　　计算机取证的工作流程目前并没有统一的规定，早在1999年，美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了基本过程模型，遵循如下的基本取证流程：第一步，保护现场安全并进行隔离;第二步，对现场进行记录;第三步，系统地查找证据;第四步，对证据进行提取和打包;第五步，建立证据保管链。后来，相继有多种模型被提出，如：事件响应过程模型、执法过程模型、抽象过程模型、综合数字取证模型、增强式数字取证模型、基于需求的计算机取证过程模型、多维计算机取证模型、可信计算取证模型以及网络实时取证模型。总的来看，这些模型是分别立足于不同的取证环境或技术的，所反映出来的取证流程也有所差异。但大致都包含了如下几个部分：

　　(一)现场保护与勘查现场勘查是获取证据的第一步，是指计算机侦查人员依照规定，使用计算机科学技术手段和调查访问的方法，对与计算机案件有关的场所、物品及犯罪嫌疑人、被告人以及可能隐藏罪证的人的身体进行检查、搜索，并对于和犯罪相关的证据材料扣留封存的一种侦查活动。

　　(二)证据获取证据的获取是指识别物理设备中可能含有电子证据的电子数据，并对这些电子数据进行收集，或直接利用技术手段收集电子数据的过程。从本质上说，就是从众多的未知和不确定性中找到确定性的东西。所以，这一阶段的任务就是保存所有电子数据，至少要复制硬盘上所有已分配和未分配的数据，也就是通常所说的硬盘映像。除了硬盘数据外，网络数据也是要获取的证据。网络数据包括实时获取的网络通信数据流，网络设备上产生的日志文件，防火墙的日志文件以及与网络应用有关的日志和登陆日志文件等。

　　(三)证据鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所收集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点，如果获取的电子数据不加以妥善保存，电子数据很容易受到破坏，甚至消失。所以，取证过程中应注重采取保护证据的措施。常用的电子数据的保存技术主要有物证监督链、数字时间戳技术、数字指纹技术、数据加密技术等等。

　　(四)证据分析分析证据是计算机取证的核心和关键，分析已获取的数据，然后确定证据的类型，包括检查文件和目录内容以及恢复已删除的内容，分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境等，并用科学的方法根据已发现的证据推出结论。

　　(五)证据追踪上面提到的计算机取证步骤是静态的，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级，这种静态的分析已经无法满足要求，发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合，进行动态取证，即计算机动态取证。

　　(六)证据提交这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果，以及所有可能有用的文件和被挖掘出来的文件数据的清单，然后给出分析结论，主要涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统版本、运行取证工具时数据和操作系统的完整性、病毒评估情况、发现的文件结构、数据、作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其他的相关信息，标明提取时间、地点、机器、提取人及见证人，给出必要的专家证明或在法庭上的证词。最后以证据的形式按照合法的程序提交给司法机关。

　　四、计算机取证的规制现状

　　在遵循取证原则的基础上，计算机取证的各个阶段所需要遵守的法律界限在哪里，如何把所获取的电子证据送上法庭以及如何呈送，这些问题的解决都需要与计算机取证相关的规则和制度的出现。

　　计算机取证的规制分技术规制和法律规制两个方面，前者从技术角度推动计算机取证的标准化，后者从法律角度促进计算机取证的合法化。它们之间存在着一定的界限。举例来说，在证据提交的这个步骤中，提交什么样格式的文档，文档中包含的内容和数据及其相互关系如何，是否需要统一界定，这属于技术规制的范畴。技术规制同其他自然科学一样，与政策和法律体制无关，因此，不同国家之间可以相互参考。

　　但法律规制则不然，显然无法照搬别国的法律条文，例如：就电子证据是否单独立法各个国家的作法就不尽相同，英美法系的国家大都有专门的法案，美国在1996年设立了《国家信息安全法案》，英国在1984年出台了《数据保护法》，而大陆法系的国家则不一定设有专门的法案，如：法国作为大陆法系的代表之一，没有专门的证据法典，只是在1992年通过、1994年生效的《刑法典》中专设了“计算机信息领域的犯罪”一章。

　　计算机取证的法律规制与技术规制区别明显，但这并不说明这两者之间不能转化，技术规制经过实践检验，法律确认后便可成为法律规制。正因为相互之间的可转化性，所以本文无法也没有必要单独从技术规制和法律规制两个角度分裂开来介绍目前的国外研究现状，而是从标准化草案和立法现状两个角度来介绍规制情况。

　　(一)标准化草案1.美国SWGDE组织提出的标准化草案计算机取证的标准化工作起源于“Digital Evidence：Standardsand Principles(数字证据：标准和原则)”一文的出版，该文由SWGDE(Scientific Working Group DigitalEvidence，数字证据科学小组，它是国际计算机证据组织在美国的分部)起草，并于1999年10月在伦敦举办的国际高技术犯罪和取证会议上公布，次年4月刊登在美国联邦调查局出版的《Forensic Science Communications》。目前，已被美国法律部门采纳为标准化草案。

　　“数字证据：标准和原则”一文中明确规定，为使数字证据以一种安全的方式进行收集、保存、检查和传输，以确保其准确性和可靠性，法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程(Standard Operating Procedures Manual， SOP，2011年6月已出第二版)。考虑到了计算机技术的飞速发展，SOP文件必须每年有权威机构审查一次，以确保其使用范围和有效性。在SOP文档中，规定了取证过程操作的技术规程，方法性的指导了取证的过程。考虑到处理证据过程中关注的角度不同，SOP文档分为实验室单元和现场单元两种类型的文档，现场单元文档中列举了在证据保存、动态内存数据获取、数据镜像、移动设备收集等环节过程中所需要软硬设备、局限性、处理过程的标准化建议，实验室单元文档中列举了在介质擦除、硬件拆除、BIOS检测、介质写保护等环节中所需要的软硬设备、局限性、处理过程的标准化建议。

　　2.FIRST会上提出的标准化2002年6月在夏威夷召开的第14届FIRST(Forum of Incident Response and Security Teams)年会上，巴西教授提出了一个新的标准化模型。该模型是一个两级分类结构，分为法律标准类和技术标准类：

　　(1)法律标准类。计算机犯罪是最容易跨国界犯罪的一种犯罪形式，虽然各国的法律不同，但为了允许交换数字证据，该模型提取出了一些共同特征，例如：

　　从取证主体的角度，应由那些持有资格证书的人员来进行操作，并且该人员能够运用技术和科学方法担当取证工作，除此之外，取证人员的道德水平也必须达到一定高度。提出了取证人员应当对其检测的结果以及所获取的证据承担法律责任。为了尽量减少个人因素对结果所产生的影响，进行取证工作的人员不得少于 2人。

　　从取证流程规范的角度，在进行计算机搜查之前要出示对计算机的搜查证。不管在什么时候设计出一款新的取证检查程序规范，在投入实际运用前都要利用行业标准来对它进行测试及鉴定。所制定的技术标准应该确保能够获得符合最低要求的证据。取证的操作程序规范应该与所制定的技术标准相匹配。取证的操作程序规范和技术标准，标准应该有相关科学团体的认可，且需要定期对其进行检查。应当对取证所获取的证据进行保存，以便进行第二次证据分析。取证专业人员到达现场之前，就应当保护好现场。对任何发生的变动都要进行记录并报告。为了让检测和调查的结果尽量详细准确，可以利用照片、图纸、图表等进行描述记录。

　　从取证工具的角度，取证工具必须取得许可证或在授权的情况下才可以使用，而这些工具也应得到行业的认可或能够通过科学的评价和测试。

　　(2)技术标准类。 技术标准是取证过程中所需的技术和方法，列举如下：

　　第一，技术的基本准则：计算机取证过程中，需要运用到各种技术，此处所描述的准则是可应用于各种检查的基本技术要求，例如：取证过程中不应改变原始数据，所有工作都应在复本上操作，复本应进行数字签名等。

　　第二，证据的分析策略：分析策略是取证检查的实际操作指南，它制定了该如何计划、执行、监视、记录和报告取证检查，以确保符合技术基准。

　　第三，问题的技术解决方案：技术解决方案是指在检查过程中使用的软硬件技术的方法，详细说明了所使用的技术和工具。

　　(二)立法现状1.英美法系美国，在立法方面，早在1965年就采取了由总统行政办公室发布内部通知的形式来保护计算机的安全;1970年美国颁布了《金融秘密权利法》，限制非规定用户了解金融行业中所存储的数据;1978年8月，美国佛罗里达州计算机犯罪法开始生效，并编入《佛罗里达法规》第815章，这是国外最早的比较系统全面的有关计算机犯罪的立法;1984年制定了《伪造存取手段及计算机诈骗与滥用法》，1996年立法机构修改了该法，并将它重新命名为《国家信息安全法案》;同年1月，公布了第二个电信法，10月修正了《美国法典》中的部分条款，对计算机犯罪的处罚作了具体规定，降低甚至取消了某些定罪前提，明确了未经许可获取信息即为犯罪。

　　在技术上的操作规范方面，美国联邦政府已在司法系统内初步确立了审查和认证计算机数据记录的规则，在司法部制定的题为《刑事调查中搜查扣押计算机数据并获取电子证据》的办案手册中对认证规则有详尽的规定。同时，他们倡导制定的国际间的电子证据交换标准，已被国际组织计算机证据组织(International Organization on Computer Evidence)认可并被美国法律部门采纳为标准化草案。

　　英国，有关计算机犯罪的立法方面大致经历了这样一个过程，1981年修订了《伪造文书及货币法》，扩大了“伪造文件”的范围，将电子证据也纳入了“文件”的范围;1984年出台了《数据保护法》，该法比较完整的概括了数据保护的内容，同年颁布的《警察与犯罪证据条例》明确了计算机生成的文件资料(电子记录)在诉讼过程中的证据地位;1990年颁布了《计算机滥用法》，其中规定了三种计算机犯罪类型;1996年，又颁布了《三R互联网安全规则》，主要为了消除不良信息对青少年和社会环境的危害;2000年7月，英国新法《2000年恐怖主义法令》规定，入侵公共网络系统的黑客将会与恐怖分子一样论处。

　　2.大陆法系大陆法系国家传统上都严守罪刑法定主义，在计算机犯罪方面一般不采用特别立法的形式。法国作为大陆法系的代表之一，没有专门的证据法典，1992年通过、1994年生效的《刑法典》专设“计算机信息领域的犯罪”一章，规定了计算机犯罪的类型和相应的处罚规定。除此之外，与电子证据相关的制度主要由《刑事诉讼法典》、《民法典》、《商法典》、《民事诉讼法典》以及《行政司法法典》等加以规定。法国的《刑事诉讼法典》对电子证据的收集如截听电讯记录等做了专门规定，对收集主体、收集方法以及证据保全的方式都做了规定;《商法典》第一百零九条也确定了证据的自由原则;《民法典》规定了证据的体制。

　　德国，证据法在德国法上还没有成为一个独立的法律概念。出现这种状况的主要原因是证据法不但表现为分散的规范或者判例，而且没有自己特殊的范围、原则、方法和体系，还没有成为一个独立的法学领域或者法律部门。1986年8月对《刑法》进行了修正，增加了有关防止计算机犯罪的条文，主要规定了计算机诈骗罪、资料刺探罪、资料变更罪、计算机破坏罪等罪名;在《刑事诉讼法》中集中地对部分电子证据的取证规则做了规定，包括扣押、监听、扫描、使用技术手段、派遣秘密侦查员、搜查等方面;1997年6月，联邦议院通过了世界上第一部全面调整互联网的法律——《多媒体法》，共11条，对相关各法律领域的细则进行了修正，从而使现行法律体系更适用于虚拟空间。

　　从国外的研究和立法来看，美国不论是在立法层面，还是在取证规范化层面都是走在世界前列的。

　　五、结论和展望

　　计算机取证学科是一门有待标准化和探讨的不断发展的学科，取证过程的标准化对于证据的证明力和可采性非常重要，对于国际范围内的侦查和诉讼都能提供良好的保障。在标准化问题方面，还有如下方面可以进一步的研究和探讨。

　　1.人员及机构的标准化、国际化管理相比其他形式的证据，计算机取证所获得的电子证据更需要国际间的合作和交流，而目前在这个方面缺少很多制度的保障。首先，没有公认的机构来协调和完成电子证据的鉴定工作，国际间对电子证据的认可程度存在明显区别，这一点从各国的立法就可以看出，因为认可程度不一样，无形中就增加了取证的难度;其次，缺乏对从业人员的规范的培训、考核、认证体系，目前，还没有统一的专门针对从事计算机取证工作的人员的认证资质体系。

　　2.取证工具的标准化管理在计算机取证过程中，往往会借助于各种取证工具，而这些取证工具本身的精确性和准确性往往会让人怀疑。应该有一套方法或体系来测试和评估取证工具，只有当科学团体认为这些工具是准确和可靠的，它们才能用来进行取证。测评的结果可以给各种工具制定上信任等级，不同等级的工具有不同的标准，该标准可以由国际标准化组织来进行认证，这样对于国际交流是非常重要的。

　　3.学科的扩展计算机取证学科是一个应用非常广泛的学科，不仅仅可以运用于司法领域，对于金融、军事、工业等行业，计算机取证学科都有非常好的应用前景。随着，云计算、物联网等新型网络应用的出现，计算机取证这门学科的内涵将不断的丰富，问题也越来越复杂，标准化的道路将更加富有挑战性。

　　4.法律和技术标准的关系法律与技术标准是从不同的角度对取证过程进行了规范。首先，技术标准必须要在法律标准的管辖之下，否则得到的证据也无法被法庭认可;其次，两者之间是可以互相转换的，技术标准经过法律确认就可以变为法律条文。

　　标准化的管理对于大部门行业来说都是发展过程中的必由之路，计算机取证过程的规范化也同样如此，这样做有利于在不同法律国度间进行数字证据交换过程中，保证数字证据的可靠性和合法性。本文介绍了目前国际上的一些建议标准和法律规范，希望可以对我国的立法和标准化工作提供一定的帮助。