RM新时代有限公司-首页

當前，刑事訴訟中涉及電子數據恢復的案件非常普遍，通說(shuō)認為，電子數據恢復是技術(shù)與法律高度結合的產(chǎn)物，如果不能在技術(shù)和法律兩個(gè)層面上完成內心確認，則很難做到追求案件實(shí)體公正與確保程序合法的有機統一。筆者結合實(shí)際案例，總結了一些情況，希望能夠引起各級辦案人員的高度關(guān)注。

一、司法鑒定要做事實(shí)判斷，還是價(jià)值判斷、法律判斷？

司法鑒定本質(zhì)上是一種判斷意見(jiàn)。此處的判斷只能定位為“事實(shí)判斷”，這里的“事實(shí)”指的是鑒定人運用科學(xué)技術(shù)或者專(zhuān)門(mén)知識能夠認識的客觀(guān)情況。

案例一：某司法鑒定機構根據委托部門(mén)要求，在檢材（移動(dòng)硬盤(pán)）中提取淫穢視頻83個(gè)、淫穢圖片10332個(gè)。

案例二：某司法鑒定機構根據委托部門(mén)要求，在檢材（移動(dòng)硬盤(pán)）中提取公民個(gè)人信息100000條。

案例三：某司法鑒定機構根據委托部門(mén)要求，作出被破壞的計算機系統達到了特別嚴重程度的意見(jiàn)。

“淫穢視頻”“淫穢圖片”“淫穢音頻”在大眾的認知范圍上界限并不明顯?！缎谭ā返谌倭邨l規定，淫穢物品是指具體描繪性行為或者露骨宣揚色情的誨淫性的書(shū)刊、影片、錄像帶、錄音帶、圖片及其他淫穢物品。國內對淫穢色情音視頻的鑒定并沒(méi)有一套通行的標準，通常通過(guò)行政認定的方式進(jìn)行。通過(guò)司法鑒定機構給出“淫穢物品”的數量認定，帶有不適當的價(jià)值傾向。

同樣，根據“兩高”《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。能否被評價(jià)為“公民個(gè)人信息”，要結合信息的實(shí)際情況進(jìn)行認定，嚴格來(lái)講這屬于法律判斷的范疇。而“情節嚴重”“情節特別嚴重”更是典型的法律判斷用語(yǔ)。

上面三個(gè)案例的處理方式，一定程度上看似便利了辦案，實(shí)則后患無(wú)窮。在以審判為中心的刑事訴訟制度下，這樣的司法鑒定意見(jiàn)極有可能被作為非法證據予以排除。

二、注意區分電子數據“本體”與“呈現”之間的關(guān)系

電子數據是以“0”“1”碼存儲的數字序列集合，不可能被人們直接感知，這里面存在一個(gè)當然的解釋過(guò)程。選擇使用適當的解釋工具成為必然。舉例而言，對于二進(jìn)制數0x3132，使用不同的字節序，可以得出完全不同的結果。當然，這還只是微觀(guān)層面的解釋。

在宏觀(guān)層面上，也需要注意電子數據“本體”與“呈現”之間的關(guān)系問(wèn)題。

案例：在一起利用互聯(lián)網(wǎng)傳播淫穢物品案件中，某司法鑒定機構根據辦案部門(mén)委托要求，提取了服務(wù)器硬盤(pán)上存儲的視頻文件數量。有關(guān)部門(mén)以此作為定案依據。

通過(guò)互聯(lián)網(wǎng)等公開(kāi)媒介傳播淫穢物品，其實(shí)存在一個(gè)預設的前提。那就是，廣大網(wǎng)民必然要通過(guò)一個(gè)入口（網(wǎng)站、論壇、云盤(pán)等）訪(fǎng)問(wèn)這些資源。那么，對于刑事訴訟來(lái)講，就存在一個(gè)認定的問(wèn)題，以存儲在服務(wù)器硬盤(pán)上存儲的全部視頻文件作為定案依據，還是以公眾能夠訪(fǎng)問(wèn)到的存儲在服務(wù)器上的視頻文件作為定案依據呢？

兩者顯然是不同的，區別在哪里呢？一方面，通過(guò)網(wǎng)站訪(fǎng)問(wèn)這些視頻文件，是需要權限的；另一方面，服務(wù)器上的有些視頻文件可能并未列入網(wǎng)站管理程序，因而屬于“絕對不可能”被公眾訪(fǎng)問(wèn)到的。

筆者認為，根據兩高《關(guān)于辦理利用互聯(lián)網(wǎng)、移動(dòng)通訊終端、聲訊臺制作、復制、出版、販賣(mài)、傳播淫穢電子信息刑事案件具體應用法律若干問(wèn)題的解釋?zhuān)ǘ酚嘘P(guān)規定，這里的“數量”應當理解為“傳播”（至少是“可以傳播”）的數量，而不應當把存儲在服務(wù)器上的所有視頻文件都列為“數量”構成。

三、鑒定對象與鑒定工具存在混同風(fēng)險

手機中的電子數據已經(jīng)成為偵破和指控犯罪的“證據之王”。因此，針對手機電子數據的提取和鑒定是當前電子數據司法鑒定領(lǐng)域最為重要的內容之一。當前市場(chǎng)主流的手機取證工具都能夠規范化的提取手機中保存的各類(lèi)數據信息，但對于保存在云端的手機app數據的處理，還存在一些需要理清的觀(guān)念。

根據《法庭科學(xué)電子物證手機經(jīng)驗技術(shù)規范》5.3.1.3規定，“若需通過(guò)收集提取手機云端數據等網(wǎng)絡(luò )數據時(shí)，可以在手機數據已固定的前提下連接互聯(lián)網(wǎng)，使用相關(guān)檢驗軟件下載相關(guān)數據，或采用照相、錄像方法固定相關(guān)數據，生成檢驗報告”，這里明確指出手機取證其實(shí)存在著(zhù)兩個(gè)過(guò)程，當針對手機機身進(jìn)行數據提取時(shí)，手機充當了鑒定對象（即檢材）的角色，當針對云端數據進(jìn)行數據獲取時(shí)，手機此時(shí)充當了鑒定工具的角色。

遺憾的是，很多鑒定人員在實(shí)際操作時(shí)，往往使用軟件同時(shí)執行機身數據提取和云端數據下載，而忽視了《規范》中一個(gè)重要的限定詞——若需。

四、電子數據送檢、保管環(huán)節存在不一致風(fēng)險

筆者在輔助檢察官審查電子數據工作中，經(jīng)常發(fā)現一些的程度不同的問(wèn)題，其中在電子數據保管、送檢環(huán)節發(fā)生的風(fēng)險需要引起高度關(guān)注。

案例一：某地偵查機關(guān)委托司法鑒定機構對一起“黑客”案件的涉案筆記本電腦進(jìn)行鑒定，委托書(shū)登記的筆記本電腦序列號與扣押清單中的序列號不一致。

案例二：某地偵查機關(guān)通過(guò)勘驗的方式，固定了一起網(wǎng)絡(luò )傳銷(xiāo)組織的電子數據。委托司法鑒定機構鑒定時(shí)，勘驗得到的電子數據與送檢電子數據的哈希值不同。

案例三：某地偵查機關(guān)辦理一起強奸案件，移送審查起訴后，能夠證明嫌疑人與被害人之間具有親密關(guān)系的手機中，存儲芯片不翼而飛。

案例四：某地偵查機關(guān)辦理一起非法吸納公眾存款案件，在移送審查的材料中，審查發(fā)現扣押的物品照片顏色差異巨大。經(jīng)核實(shí)，一個(gè)重要的物證優(yōu)盤(pán)在保管過(guò)程中丟失，有關(guān)人員為逃避責任，新購一個(gè)同品牌型號的優(yōu)盤(pán)替代了原始物證優(yōu)盤(pán)。

保持物證的原始性是刑事訴訟中很重要的一項任務(wù)。上述案例一和案例二決定了該證據能否進(jìn)入該案件的證據門(mén)檻，案例三和案例四則潛藏著(zhù)有關(guān)人員故意違法或者重大過(guò)失行為。上述四個(gè)案例均存在證據斷裂的現實(shí)風(fēng)險，那么接下來(lái)的法庭審理中，檢察機關(guān)將不可避免的面臨被動(dòng)。如果律師聘請了資深專(zhuān)家團隊并提出合理懷疑，輕則帶來(lái)案件反復，重則作出無(wú)罪判決，那將是司法難以承受之重。

五、重鑒定輕取證的司法辦案理念急需轉變

2013年修訂后刑訴法實(shí)施以來(lái)，電子數據成了法定證據形式。此次修法還有一個(gè)更大的變化，“鑒定結論”改為了“鑒定意見(jiàn)”，這是司法實(shí)踐領(lǐng)域的一次重要調整。

但是，廣大司法人員希望通過(guò)鑒定確定某些專(zhuān)門(mén)問(wèn)題，甚至達到一錘定音的想法還沒(méi)有得到有效消除，換句話(huà)說(shuō)，司法人員對“鑒定結論”的依賴(lài)并沒(méi)有及時(shí)得到調整。在電子數據的問(wèn)題上，這一點(diǎn)尤其明顯。偵查機關(guān)通過(guò)現場(chǎng)勘驗獲取的電子數據、通過(guò)第三方調取的電子數據、通過(guò)實(shí)施檢查等技術(shù)手段得到的電子數據……，這些都是電子數據，都已經(jīng)是法定的證據形式。但有些檢察人員對偵查部門(mén)不辭辛苦獲取的電子數據不做詳查、不做分析，有的聽(tīng)之任之，有的甚至要求辦案部門(mén)去做個(gè)鑒定。在所謂“舊理念”的指導下，有些鑒定意見(jiàn)不倫不類(lèi)。

案例：某地偵查機關(guān)辦理一起網(wǎng)絡(luò )傳銷(xiāo)案件，根據有關(guān)辦案人員的要求，鑒定機構出具了“該組織運行模式符合傳銷(xiāo)組織特征”的鑒定意見(jiàn)。

在這個(gè)案例中，司法鑒定機構仍然越權做出了“法律判斷”，但顯而易見(jiàn)，這里面包含著(zhù)一種錯誤的傾向，有關(guān)辦案人員仍然希望通過(guò)司法鑒定的形式對有關(guān)法律問(wèn)題進(jìn)行認定。

六、信息加密成為制約電子數據取證和鑒定的一道門(mén)檻

密碼破解一直是電子數據恢復取證和鑒定中需要面對的問(wèn)題。信息加密技術(shù)在為用戶(hù)提供數據安全的同時(shí)，也對電子數據取證人員提出了更高的要求。從BIOS密碼、操作系統用戶(hù)密碼到Android全盤(pán)加密、文件級加密再到iOS加密，電子數據取證面臨著(zhù)越來(lái)越高的取證門(mén)檻。下面對當前常見(jiàn)的信息加密方式進(jìn)行介紹，并將其對電子數據取證的影響進(jìn)行說(shuō)明。

難點(diǎn)一：BitLocker是內置于WindowsVista及其之后系統的全盤(pán)加密功能，通過(guò)對磁盤(pán)卷進(jìn)行加密來(lái)保護數據。它使用128位或256位密鑰的AES加密算法加密數據，加密強度很高。

當前破解Bitlocker的技術(shù)除了通過(guò)社會(huì )工程學(xué)等手段直接獲取密碼外，主要有以下方式：一是通過(guò)對BitLocker加密設備的內存或Windows休眠文件進(jìn)行提取，在其中搜索Bitlocker密鑰，二是在獲取用戶(hù)的微軟賬戶(hù)和密碼后通過(guò)微軟賬戶(hù)查詢(xún)BitLocker恢復密鑰，三是利用Bitlocker使用固態(tài)硬盤(pán)進(jìn)行硬件加密的漏洞，從固態(tài)硬盤(pán)中獲取Bitlocker密鑰。上述方法在實(shí)踐中都有一定的局限性，導致對Bitlocker加密卷的破解成功率無(wú)法保證。

難點(diǎn)二：Android在4.4版中引入了全盤(pán)加密（FDE），并在5.0中對全盤(pán)加密功能進(jìn)行了優(yōu)化。全盤(pán)加密是使用密鑰（密鑰本身也經(jīng)過(guò)加密）對Android設備上的所有用戶(hù)數據進(jìn)行編碼的過(guò)程。設備經(jīng)過(guò)加密后，所有由用戶(hù)創(chuàng )建的數據在存入磁盤(pán)之前都會(huì )自動(dòng)加密，并且所有讀取操作都會(huì )在將數據返回給調用進(jìn)程之前自動(dòng)解密數據。

Android7.0及更高版本支持文件級加密（FBE）。采用文件級加密時(shí)，可以使用不同的密鑰對不同的文件進(jìn)行加密，并且可以對加密文件進(jìn)行單獨解密。文件級加密會(huì )對文件名和文件內容進(jìn)行加密。

對于Android系統加密，除了獲取密碼或使用指紋、人臉識別解鎖外，主要是通過(guò)屏蔽鎖屏密碼和暴力破解的方式進(jìn)行解密。其中暴力破解的方式因為速度限制（系統運算能力和Gatekeeper請求次數限制），導致不知道原密碼情況下破解時(shí)長(cháng)無(wú)法控制。

難點(diǎn)三：從iPhone3GS開(kāi)始，蘋(píng)果使用硬件對iOS設備進(jìn)行數據加密，這被稱(chēng)為數據保護（DataProtection）。重要的iOS系統應用，比如信息、郵件、日歷、通訊錄、照片和健康數據會(huì )默認被數據保護加密。而從iOS7開(kāi)始，第三方應用數據也會(huì )自動(dòng)被數據保護加密。iOS設備的硬件加密方式導致直接對芯片進(jìn)行提取數據后無(wú)法進(jìn)行解密。

當前可行的iOS提取方法只有通過(guò)獲取或破解iOS鎖屏密碼來(lái)解決，主要方法包括：通過(guò)Lockdown文件繞過(guò)鎖屏密碼進(jìn)行提??；通過(guò)硬件對密碼進(jìn)行暴力破解；通過(guò)指紋或人臉識別解鎖。上述方法在實(shí)際檢驗中有著(zhù)各種限制，Lockdown文件不一定能夠找到，即使找到也有可能已經(jīng)過(guò)期無(wú)法使用；暴力破解或者有iOS版本限制，或者為商業(yè)技術(shù)，成本高昂。

七、數據恢復實(shí)踐面臨挑戰

電子數據取證和司法鑒定中的數據恢復，是指通過(guò)軟件工具對檢材（樣本）進(jìn)行數據恢復操作的過(guò)程。刪除電子數據文件時(shí)，操作系統只對文件系統中被刪除文件的記錄項進(jìn)行修改，其真正的數據區域并不會(huì )被直接修改，而是做為未分配空間供后續使用。換句話(huà)說(shuō)，數據恢復的前提是，刪除的數據未被修改。

隨著(zhù)存儲技術(shù)的發(fā)展，新型存儲設備開(kāi)始出現。固態(tài)硬盤(pán)因其低功耗、高讀寫(xiě)速度、無(wú)噪音、體積小等優(yōu)點(diǎn)，隨著(zhù)價(jià)格的下降使用者越來(lái)越多。但固態(tài)硬盤(pán)與傳統機械硬盤(pán)在存儲原理、方式上有著(zhù)根本不同，對電子數據取證中的電子數據恢復工作造成了很大影響。與機械硬盤(pán)順序寫(xiě)入受到塊碎片和壞扇區的影響，機械硬盤(pán)并不完全是順序存儲。不同，固態(tài)硬盤(pán)不使用順序寫(xiě)入。在固態(tài)硬盤(pán)中，數據會(huì )被分成不同的數據塊，同時(shí)寫(xiě)入到不同的NAND存儲芯片中，這種平行寫(xiě)入的方式使固態(tài)硬盤(pán)的寫(xiě)入速度遠高于機械硬盤(pán)。

即便是單NAND存儲芯片的固態(tài)硬盤(pán)也不會(huì )使用順序寫(xiě)入的方法存儲數據[可能只有全新的，從未寫(xiě)入過(guò)數據的固態(tài)硬盤(pán)會(huì )使用順序存儲的方式]。存儲芯片中每個(gè)塊對應的邏輯地址LBA都是動(dòng)態(tài)分配的，便于主控進(jìn)行損耗平衡。這導致了從NAND存儲芯片中直接讀取到的數據就好像拼圖一樣，將數據打散成碎片后隨意的組合在一起。如果沒(méi)有固態(tài)硬盤(pán)主控的幫助，想要通過(guò)芯片提取的方式恢復一個(gè)文件是非常困難的。

除了數據存儲方式的不同之外，固態(tài)硬盤(pán)還設置了后臺垃圾回收機制。當刪除存儲在固態(tài)硬盤(pán)上的文件時(shí)，操作系統會(huì )執行trim指令，以告知固態(tài)硬盤(pán)該文件將不會(huì )再被使用。只要處于通電狀態(tài)，固態(tài)硬盤(pán)就會(huì )啟動(dòng)后臺的垃圾回收機制，擦除已經(jīng)trim的數據塊。即使使用只讀接口連接固態(tài)硬盤(pán)也無(wú)法阻止這一過(guò)程，這導致了固態(tài)硬盤(pán)上刪除數據的恢復變得十分困難。

當然實(shí)際情況可能會(huì )有所不同。如果操作系統、固態(tài)硬盤(pán)（或者閃存存儲器）以及它們之間的傳輸協(xié)議中有不支持trim的部分，那么trim以及后續的垃圾回收機制將無(wú)法運作，使得情況可能有所好轉。但因為NAND存儲芯片寫(xiě)入和擦除大小不同等問(wèn)題，使得trim成為了固態(tài)硬盤(pán)所必須的一部分，因此未來(lái)對于固態(tài)硬盤(pán)的數據恢復形勢仍然并不樂(lè )觀(guān)。

機械硬盤(pán)數據恢復未來(lái)的情況也并非一片光明。隨著(zhù)疊瓦式磁記錄技術(shù)（ShingledMagneticRecording）的運用，機械硬盤(pán)也面臨著(zhù)和NAND存儲芯片同樣的問(wèn)題。當前市場(chǎng)上已經(jīng)出現了支持trim指令的使用疊瓦式磁記錄技術(shù)的機械硬盤(pán)，對于這種硬盤(pán)進(jìn)行數據恢復也將會(huì )面臨著(zhù)固態(tài)硬盤(pán)一樣的問(wèn)題。

八、海量電子數據的處理陷入困境

海量電子數據的運用，是當前司法實(shí)踐中不得不考慮的重要問(wèn)題。涉案電子數據載體數量爆發(fā)式增長(cháng)，單個(gè)載體的數據容量爆發(fā)式增長(cháng)，這兩個(gè)因素導致在任何一個(gè)案件中，都可能收集到海量的電子數據恢復。

案例一：某地偵查機關(guān)在辦理一起非法集資案件中，查封扣押涉案電腦200余臺，從阿里云空間勘驗數據40TB。如此規模的電子數據，給有關(guān)部門(mén)使用證據帶來(lái)巨大壓力。

案例二：某地偵查機關(guān)辦理一起網(wǎng)絡(luò )電信詐騙案件，經(jīng)核實(shí)僅確定了1名受害者。移送審查起訴后，在技術(shù)人員的輔助下，從100余萬(wàn)條微信記錄中，追加確定了70余名受害者以及相應的轉賬記錄。其中的排查工作量相當大。

海量電子數據是一個(gè)比較完整的虛擬空間，是另一種形式的“犯罪現場(chǎng)”。該“犯罪現場(chǎng)”給深挖犯罪提供了廣闊空間，卻也帶來(lái)了很多技術(shù)處理上的挑戰。如果說(shuō)案例一僅僅是技術(shù)人員數量上的捉襟見(jiàn)肘，案例二則對海量數據的分析工作提出了更高的要求。事實(shí)上，公檢法機關(guān)現有的技術(shù)力量根本無(wú)法應對海量電子數據，具有成熟數據分析技術(shù)的人員更是嚴重缺少。此外，契合實(shí)際的海量數據處理工具也是一個(gè)嚴重的短板。

截至目前，針對海量電子數據恢復的處理，依然沒(méi)有很好的解決辦法。