RM新时代有限公司-首页

其時(shí)，刑事訴訟中涉及電子數據恢復的案件十分普遍，通說(shuō)以為，電子數據恢復是技術(shù)與法則高度結合的產(chǎn)品，假設不能在技術(shù)和法則兩個(gè)層面上結束心里承認，則很難做到尋求案件實(shí)體公正與確保程序合法的有機共同。

一、司法辨別要做實(shí)踐判別，仍是價(jià)值判別、法則判別？

司法辨別本質(zhì)上是一種判別定見(jiàn)。此處的判別只能定位為“實(shí)踐判別”，這兒的“實(shí)踐”指的是辨別人運用科學(xué)技術(shù)或許專(zhuān)門(mén)知識可以認識的客觀(guān)情況。

案例一：某司法辨別組織根據托付部分要求，在檢材（移動(dòng)硬盤(pán)）中提取淫穢視頻83個(gè)、淫穢圖片10332個(gè)。

案例二：某司法辨別組織根據托付部分要求，在檢材（移動(dòng)硬盤(pán)）中提取公民個(gè)人信息100000條。

案例三：某司法辨別組織根據托付部分要求，作出被損壞的計算機系統達到了特別嚴峻程度的定見(jiàn)。

“淫穢視頻”“淫穢圖片”“淫穢音頻”在群眾的認知范圍上邊界并不明顯?！缎谭ā返谌倭邨l規定，淫穢物品是指具體描繪性行為或許顯露宣傳色情的誨淫性的書(shū)刊、影片、錄像帶、錄音帶、圖片及其他淫穢物品。國內對淫穢色情音視頻的辨別并沒(méi)有一套通行的標準，一般通過(guò)行政承認的方法進(jìn)行。通過(guò)司法辨別組織給出“淫穢物品”的數量承認，帶有不恰當的價(jià)值傾向。

相同，根據“兩高”《關(guān)于處理侵略公民個(gè)人信息刑事案件適用法則若干問(wèn)題的說(shuō)明》，“公民個(gè)人信息”是指以電子或許其他方法記載的可以單獨或許與其他信息結合辨認特定自然人身份或許反映特定自然人活動(dòng)情況的各種信息，包括名字、身份證件號碼、通訊通訊聯(lián)系方法、住址、賬號暗碼、產(chǎn)業(yè)情況、行跡軌跡等。能否被點(diǎn)評為“公民個(gè)人信息”，要結合信息的實(shí)踐情況進(jìn)行承認，嚴峻來(lái)講這歸于法則判別的范疇。而“情節嚴峻”“情節特別嚴峻”更是典型的法則判別用語(yǔ)。

上面三個(gè)案例的處理方法，必定程度上看似便利了辦案，實(shí)則后患無(wú)窮。在以審判為中心的刑事訴訟制度下，這樣的司法辨別定見(jiàn)極有或許被作為不合法根據予以排除。

二、留心差異電子數據“本體”與“呈現”之間的聯(lián)系

電子數據是以“0”“1”碼存儲的數字序列集結，不或許被人們直接感知，這兒面存在一個(gè)當然的說(shuō)明進(jìn)程。挑選運用恰當的說(shuō)明東西成為必定。舉例而言，關(guān)于二進(jìn)制數0x3132，運用不同的字節序，可以得出徹底不同的成果。當然，這還只是微觀(guān)層面的說(shuō)明。

在微觀(guān)層面上，也需求留心電子數據“本體”與“呈現”之間的聯(lián)系問(wèn)題。

案例：在一起運用互聯(lián)網(wǎng)傳達淫穢物品案件中，某司法辨別組織根據辦案部分托付要求，提取了服務(wù)器硬盤(pán)上存儲的視頻文件數量。有關(guān)部分以此作為定案根據。

通過(guò)互聯(lián)網(wǎng)等揭露前語(yǔ)傳達淫穢物品，其實(shí)存在一個(gè)預設的條件。那就是，廣大網(wǎng)民必定要通過(guò)一個(gè)入口（網(wǎng)站、論壇、云盤(pán)等）訪(fǎng)問(wèn)這些資源。那么，關(guān)于刑事訴訟來(lái)講，就存在一個(gè)承認的問(wèn)題，以存儲在服務(wù)器硬盤(pán)上存儲的悉數視頻文件作為定案根據，仍是以群眾可以訪(fǎng)問(wèn)到的存儲在服務(wù)器上的視頻文件作為定案根據呢？

兩者顯然是不同的，差異在哪里呢？一方面，通過(guò)網(wǎng)站訪(fǎng)問(wèn)這些視頻文件，是需求權限的；另一方面，服務(wù)器上的有些視頻文件或許并未列入網(wǎng)站管理程序，因此歸于“肯定不或許”被群眾訪(fǎng)問(wèn)到的。

筆者以為，根據兩高《關(guān)于處理運用互聯(lián)網(wǎng)、移動(dòng)通訊終端、聲訊臺制造、拷貝、出書(shū)、販賣(mài)、傳達淫穢電子信息刑事案件具體運用法則若干問(wèn)題的說(shuō)明（二）》有關(guān)規定，這兒的“數量”應當理解為“傳達”（至少是“可以傳達”）的數量，而不應當把存儲在服務(wù)器上的全部視頻文件都列為“數量”構成。

三、辨別對象與辨別東西存在混淆風(fēng)險

手機中的電子數據現已成為偵破和指控違法的“根據之王”。因此，針對手機電子數據的提取和辨別是其時(shí)電子數據司法辨別范疇最為重要的內容之一。其時(shí)市場(chǎng)干流的手機取證東西都可以標準化的提取手機中保存的各類(lèi)數據信息，但關(guān)于保存在云端的手機app數據的處理，還存在一些需求理清的觀(guān)念。

根據《法庭科學(xué)電子根據手機經(jīng)歷技術(shù)標準》5.3.1.3規定，“若需通過(guò)搜集提取手機云端數據等網(wǎng)絡(luò )數據時(shí)，可以在手機數據已固定的條件下銜接互聯(lián)網(wǎng)，運用相關(guān)查驗軟件下載相關(guān)數據，或選用照相、錄像方法固定相關(guān)數據，生成查驗陳說(shuō)”，這兒明確指出手機取證其實(shí)存在著(zhù)兩個(gè)進(jìn)程，當針對手機機身進(jìn)行數據提取時(shí)，手機充當了辨別對象（即檢材）的人物，當針對云端數據進(jìn)行數據獲取時(shí)，手機此刻充當了辨別東西的人物。

惋惜的是，許多辨別人員在實(shí)踐操作時(shí)，往往運用軟件一起履行機身數據提取和云端數據下載，而忽視了《標準》中一個(gè)重要的限定詞——若需。

四、電子數據送檢、保管環(huán)節存在不共同風(fēng)險

筆者在輔佐檢察官檢查電子數據作業(yè)中，常常發(fā)現一些的程度不同的問(wèn)題，其間在電子數據保管、送檢環(huán)節發(fā)生的風(fēng)險需求引起高度重視。

案例一：某地偵查機關(guān)托付司法辨別組織對一起“黑客”案件的涉案筆記本電腦進(jìn)行辨別，托付書(shū)登記的筆記本電腦序列號與扣押清單中的序列號不共同。

案例二：某地偵查機關(guān)通過(guò)勘驗的方法，固定了一起網(wǎng)絡(luò )傳銷(xiāo)組織的電子數據。托付司法辨別組織辨別時(shí)，勘驗得到的電子數據與送檢電子數據的哈希值不同。

案例三：某地偵查機關(guān)處理一起強奸案件，移交檢查申述后，可以證明嫌疑人與被害人之間具有親密聯(lián)系的手機中，存儲芯片石沉大海。

案例四：某地偵查機關(guān)處理一起不合法吸納群眾存款案件，在移交檢查的材猜中，檢查發(fā)現扣押的物品相片色彩差異巨大。經(jīng)核實(shí)，一個(gè)重要的根據優(yōu)盤(pán)在保管進(jìn)程中丟掉，有關(guān)人員為逃避責任，新購一個(gè)同品牌類(lèi)型的優(yōu)盤(pán)替代了原始根據優(yōu)盤(pán)。

堅持根據的原始性是刑事訴訟中很重要的一項任務(wù)。上述案例一和案例二抉擇了該根據能否進(jìn)入該案件的根據門(mén)檻，案例三和案例四則潛藏著(zhù)有關(guān)人員故意違法或許重大過(guò)失行為。上述四個(gè)案例均存在根據開(kāi)裂的實(shí)踐風(fēng)險，那么接下來(lái)的法庭審理中，檢察機關(guān)將不可避免的面對被迫。假設律師聘請了資深專(zhuān)家團隊并提出合理置疑，輕則帶來(lái)案件反復，重則作出無(wú)罪判決，那將是司法難以承受之重。

五、重辨別輕取證的司法辦案理念急需改動(dòng)

2013年修訂后刑訴法施行以來(lái)，電子數據成了法定根據方法。此次修法還有一個(gè)更大的變化，“辨別定論”改為了“辨別定見(jiàn)”，這是司法實(shí)踐范疇的一次重要調整。

但是，廣大司法人員期望通過(guò)辨別承認某些專(zhuān)門(mén)問(wèn)題，甚至達到一錘定音的主見(jiàn)還沒(méi)有得到有效消除，換句話(huà)說(shuō)，司法人員對“辨別定論”的依托并沒(méi)有及時(shí)得到調整。在電子數據的問(wèn)題上，這一點(diǎn)尤其明顯。偵查機關(guān)通過(guò)現場(chǎng)勘驗獲取的電子數據、通過(guò)第三方調取的電子數據、通過(guò)施行檢查等技術(shù)手法得到的電子數據……，這些都是電子數據，都現已是法定的根據方法。但有些檢察人員對偵查部分任勞任怨獲取的電子數據不做詳查、不做分析，有的聽(tīng)之任之，有的甚至要求辦案部分去做個(gè)辨別。在所謂“舊理念”的指導下，有些辨別定見(jiàn)不倫不類(lèi)。

案例：某地偵查機關(guān)處理一起網(wǎng)絡(luò )傳銷(xiāo)案件，根據有關(guān)辦案人員的要求，辨別組織出具了“該組織運轉方法契合傳銷(xiāo)組織特征”的辨別定見(jiàn)。

在這個(gè)案例中，司法辨別組織依然越權做出了“法則判別”，但清楚明晰，這兒面包括著(zhù)一種過(guò)錯的傾向，有關(guān)辦案人員依然期望通過(guò)司法辨別的方法對有關(guān)法則問(wèn)題進(jìn)行承認。

六、信息加密成為約束電子數據取證和辨別的一道門(mén)檻

暗碼破解一直是電子數據恢復取證和辨別中需求面對的問(wèn)題。信息加密技術(shù)在為用戶(hù)供給數據安全的一起，也對電子數據取證人員提出了更高的要求。從BIOS暗碼、操作系統用戶(hù)暗碼到Android全盤(pán)加密、文件級加密再到iOS加密，電子數據取證面對著(zhù)越來(lái)越高的取證門(mén)檻。下面對其時(shí)常見(jiàn)的信息加密方法進(jìn)行介紹，并將其對電子數據取證的影響進(jìn)行闡明。

難點(diǎn)一：BitLocker是內置于WindowsVista及其之后系統的全盤(pán)加密功用，通過(guò)對磁盤(pán)卷進(jìn)行加密來(lái)保護數據。它運用128位或256位密鑰的AES加密算法加密數據，加密強度很高。

其時(shí)破解Bitlocker的技術(shù)除了通過(guò)社會(huì )工程學(xué)等手法直接獲取暗碼外，主要有以下方法：一是通過(guò)對BitLocker加密設備的內存或Windows休眠文件進(jìn)行提取，在其間查找Bitlocker密鑰，二是在獲取用戶(hù)的微軟賬戶(hù)和暗碼后通過(guò)微軟賬戶(hù)查詢(xún)BitLocker恢復密鑰，三是運用Bitlocker運用固態(tài)硬盤(pán)進(jìn)行硬件加密的縫隙，從固態(tài)硬盤(pán)中獲取Bitlocker密鑰。上述方法在實(shí)踐中都有必定的局限性，導致對Bitlocker加密卷的破解成功率無(wú)法保證。

難點(diǎn)二：Android在4.4版中引入了全盤(pán)加密（FDE），并在5.0中對全盤(pán)加密功用進(jìn)行了優(yōu)化。全盤(pán)加密是運用密鑰（密鑰本身也通過(guò)加密）對Android設備上的全部用戶(hù)數據進(jìn)行編碼的進(jìn)程。設備通過(guò)加密后，全部由用戶(hù)創(chuàng )立的數據在存入磁盤(pán)之前都會(huì )主動(dòng)加密，而且全部讀取操作都會(huì )在將數據返回給調用進(jìn)程之前主動(dòng)解密數據。

Android7.0及更高版別支撐文件級加密（FBE）。選用文件級加密時(shí)，可以運用不同的密鑰對不同的文件進(jìn)行加密，而且可以對加密文件進(jìn)行單獨解密。文件級加密會(huì )對文件名和文件內容進(jìn)行加密。

關(guān)于Android系統加密，除了獲取暗碼或運用指紋、人臉辨認解鎖外，主要是通過(guò)屏蔽鎖屏暗碼和暴力破解的方法進(jìn)行解密。其間暴力破解的方法由于速度約束（系統運算才能和Gatekeeper請求次數約束），導致不知道原暗碼情況下破解時(shí)長(cháng)無(wú)法控制。

難點(diǎn)三：從iPhone3GS初步，蘋(píng)果運用硬件對iOS設備進(jìn)行數據加密，這被稱(chēng)為數據保護（DataProtection）。重要的iOS系統運用，比方信息、郵件、日歷、通訊錄、相片和健康數據會(huì )默許被數據保護加密。而從iOS7初步，第三方運用數據也會(huì )主動(dòng)被數據保護加密。iOS設備的硬件加密方法導致直接對芯片進(jìn)行提取數據后無(wú)法進(jìn)行解密。

其時(shí)可行的iOS提取方法只需通過(guò)獲取或破解iOS鎖屏暗碼來(lái)處理，主要方法包括：通過(guò)Lockdown文件繞過(guò)鎖屏暗碼進(jìn)行提??；通過(guò)硬件對暗碼進(jìn)行暴力破解；通過(guò)指紋或人臉辨認解鎖。上述方法在實(shí)踐查驗中有著(zhù)各種約束，Lockdown文件不必定可以找到，即使找到也有或許現已過(guò)期無(wú)法運用；暴力破解或許有iOS版別約束，或許為商業(yè)技術(shù)，本錢(qián)高昂。

七、數據恢復實(shí)踐面對應戰

電子數據取證和司法辨別中的數據恢復，是指通過(guò)軟件東西對檢材（樣本）進(jìn)行數據恢復操作的進(jìn)程。刪去電子數據文件時(shí)，操作系統只對文件系統中被刪去文件的記載項進(jìn)行批改，其真實(shí)的數據區域并不會(huì )被直接批改，而是做為未分配空間供后續運用。換句話(huà)說(shuō)，數據恢復的條件是，刪去的數據未被批改。

跟著(zhù)存儲技術(shù)的開(kāi)展，新式存儲設備初步呈現。固態(tài)硬盤(pán)因其低功耗、高讀寫(xiě)速度、無(wú)噪音、體積小等長(cháng)處，跟著(zhù)價(jià)格的下降運用者越來(lái)越多。但固態(tài)硬盤(pán)與傳統機械硬盤(pán)在存儲原理、方法上有著(zhù)根柢不同，對電子數據取證中的電子數據恢復作業(yè)造成了很大影響。與機械硬盤(pán)次第寫(xiě)入受到塊碎片和壞扇區的影響，機械硬盤(pán)并不徹底是次第存儲。不同，固態(tài)硬盤(pán)不運用次第寫(xiě)入。在固態(tài)硬盤(pán)中，數據會(huì )被分紅不同的數據塊，一起寫(xiě)入到不同的NAND存儲芯片中，這種平行寫(xiě)入的方法使固態(tài)硬盤(pán)的寫(xiě)入速度遠高于機械硬盤(pán)。

即使是單NAND存儲芯片的固態(tài)硬盤(pán)也不會(huì )運用次第寫(xiě)入的方法存儲數據[或許只需全新的，從未寫(xiě)入過(guò)數據的固態(tài)硬盤(pán)會(huì )運用次第存儲的方法]。存儲芯片中每個(gè)塊對應的邏輯地址LBA都是動(dòng)態(tài)分配的，便于主控進(jìn)行損耗平衡。這導致了從NAND存儲芯片中直接讀取到的數據就好像拼圖相同，將數據打散成碎片后隨意的組合在一起。假設沒(méi)有固態(tài)硬盤(pán)主控的協(xié)助，想要通過(guò)芯片提取的方法恢復一個(gè)文件是十分困難的。

除了數據存儲方法的不同之外，固態(tài)硬盤(pán)還設置了后臺廢物收回機制。當刪去存儲在固態(tài)硬盤(pán)上的文件時(shí)，操作系統會(huì )履行trim指令，以奉告固態(tài)硬盤(pán)該文件將不會(huì )再被運用。只需處于通電情況，固態(tài)硬盤(pán)就會(huì )發(fā)起后臺的廢物收回機制，擦除現已trim的數據塊。即使運用只讀接口銜接固態(tài)硬盤(pán)也無(wú)法阻撓這一進(jìn)程，這導致了固態(tài)硬盤(pán)上刪去數據的恢復變得十分困難。

當然實(shí)踐情況或許會(huì )有所不同。假設操作系統、固態(tài)硬盤(pán)（或許閃存存儲器）以及它們之間的傳輸協(xié)議中有不支撐trim的部分，那么trim以及后續的廢物收回機制將無(wú)法運作，使得情況或許有所好轉。但由于NAND存儲芯片寫(xiě)入和擦除大小不同等問(wèn)題，使得trim成為了固態(tài)硬盤(pán)一切必要的一部分，因此未來(lái)關(guān)于固態(tài)硬盤(pán)的數據恢復形勢依然并不達觀(guān)。

機械硬盤(pán)數據恢復未來(lái)的情況也并非一片光亮。跟著(zhù)疊瓦式磁記載技術(shù)（ShingledMagneticRecording）的運用，機械硬盤(pán)也面對著(zhù)和NAND存儲芯片相同的問(wèn)題。其時(shí)市場(chǎng)上現已呈現了支撐trim指令的運用疊瓦式磁記載技術(shù)的機械硬盤(pán)，關(guān)于這種硬盤(pán)進(jìn)行數據恢復也將會(huì )面對著(zhù)固態(tài)硬盤(pán)相同的問(wèn)題。

八、海量電子數據的處理陷入困境

海量電子數據的運用，是其時(shí)司法實(shí)踐中不得不考慮的重要問(wèn)題。涉案電子數據載體數量爆發(fā)式增加，單個(gè)載體的數據容量爆發(fā)式增加，這兩個(gè)要素導致在任何一個(gè)案件中，都或許搜集到海量的電子數據恢復。

案例一：某地偵查機關(guān)在處理一起不合法集資案件中，查封扣押涉案電腦200余臺，從阿里云空間勘驗數據40TB。如此規模的電子數據，給有關(guān)部分運用根據帶來(lái)巨大壓力。

案例二：某地偵查機關(guān)處理一起網(wǎng)絡(luò )電信欺詐案件，經(jīng)核實(shí)僅承認了1名受害者。移交檢查申述后，在技術(shù)人員的輔佐下，從100余萬(wàn)條微信記載中，追加承認了70余名受害者以及相應的轉賬記載。其間的排查作業(yè)量相當大。

海量電子數據是一個(gè)比較完好的虛擬空間，是另一種方法的“違法現場(chǎng)”。該“違法現場(chǎng)”給深挖違法供給了廣大空間，卻也帶來(lái)了許多技術(shù)處理上的應戰。假設說(shuō)案例一僅僅是技術(shù)人員數量上的捉襟見(jiàn)肘，案例二則對海量數據的分析作業(yè)提出了更高的要求。實(shí)踐上，公檢法機關(guān)現有的技術(shù)力量根柢無(wú)法應對海量電子數據，具有老練數據分析技術(shù)的人員更是嚴峻缺少。此外，契合實(shí)踐的海量數據處理東西也是一個(gè)嚴峻的短板。

截至現在，針對海量電子數據恢復的處理，依然沒(méi)有很好的處理方法。