RM新时代有限公司-首页

當時(shí)，刑事訴訟中觸及電子數據恢復的案子非常遍及，通說(shuō)認為，電子數據恢復是技能與規律高度結合的產(chǎn)品，假定不能在技能和規律兩個(gè)層面上完畢心里供認，則很難做到尋求案子實(shí)體公正與保證程序合法的有機一同。筆者結合實(shí)踐事例，總結了一些狀況，希望能夠引起各級辦案人員的高度重視。

一、司法區分要做實(shí)踐判別，仍是價(jià)值判別、規律判別？

司法區分本質(zhì)上是一種判別定見(jiàn)。此處的判別只能定位為“實(shí)踐判別”，這兒的“實(shí)踐”指的是區分人運用科學(xué)技能或許專(zhuān)門(mén)知識能夠認識的客觀(guān)狀況。

事例一：某司法區分安排依據托付部分要求，在檢材（移動(dòng)硬盤(pán)）中提取淫穢視頻83個(gè)、淫穢圖片10332個(gè)。

事例二：某司法區分安排依據托付部分要求，在檢材（移動(dòng)硬盤(pán)）中提取公民個(gè)人信息100000條。

事例三：某司法區分安排依據托付部分要求，作出被損壞的計算機體系到達了特別嚴峻程度的定見(jiàn)。

“淫穢視頻”“淫穢圖片”“淫穢音頻”在大眾的認知范圍上邊界并不顯著(zhù)?！缎谭ā返谌倭邨l規則，淫穢物品是指詳細描繪性行為或許暴露宣傳色情的誨淫性的書(shū)刊、影片、錄像帶、錄音帶、圖片及其他淫穢物品。國內對淫穢色情音視頻的區分并沒(méi)有一套通行的標準，一般經(jīng)過(guò)行政供認的辦法進(jìn)行。經(jīng)過(guò)司法區分安排給出“淫穢物品”的數量供認，帶有不恰當的價(jià)值傾向。

相同，依據“兩高”《關(guān)于處理侵略公民個(gè)人信息刑事案子適用規律若干問(wèn)題的說(shuō)明》，“公民個(gè)人信息”是指以電子或許其他辦法記載的能夠獨自或許與其他信息結合辨認特定自然人身份或許反映特定自然人活動(dòng)狀況的各種信息，包含名字、身份證件號碼、通訊通訊聯(lián)絡(luò )辦法、住址、賬號暗碼、產(chǎn)業(yè)狀況、行跡軌道等。能否被點(diǎn)評為“公民個(gè)人信息”，要結合信息的實(shí)踐狀況進(jìn)行供認，嚴峻來(lái)講這歸于規律判別的領(lǐng)域。而“情節嚴峻”“情節特別嚴峻”更是典型的規律判別用語(yǔ)。

上面三個(gè)事例的處理辦法，必定程度上看似便當了辦案，實(shí)則后患無(wú)窮。在以審判為中心的刑事訴訟準則下，這樣的司法區分定見(jiàn)極有或許被作為不合法依據予以?huà)叱?/span>

二、留心差異電子數據“本體”與“出現”之間的聯(lián)絡(luò )

電子數據是以“0”“1”碼存儲的數字序列集結，不或許被人們直接感知，這兒面存在一個(gè)當然的說(shuō)明進(jìn)程。挑選運用恰當的說(shuō)明東西成為必定。舉例而言，關(guān)于二進(jìn)制數0x3132，運用不同的字節序，能夠得出完全不同的效果。當然，這還只是微觀(guān)層面的說(shuō)明。

在微觀(guān)層面上，也需求留心電子數據“本體”與“出現”之間的聯(lián)絡(luò )問(wèn)題。

事例：在一同運用互聯(lián)網(wǎng)傳達淫穢物品案子中，某司法區分安排依據辦案部分托付要求，提取了服務(wù)器硬盤(pán)上存儲的視頻文件數量。有關(guān)部分以此作為定案依據。

經(jīng)過(guò)互聯(lián)網(wǎng)等揭露前語(yǔ)傳達淫穢物品，其實(shí)存在一個(gè)預設的條件。那就是，廣闊網(wǎng)民必定要經(jīng)過(guò)一個(gè)入口（網(wǎng)站、論壇、云盤(pán)等）拜訪(fǎng)這些資源。那么，關(guān)于刑事訴訟來(lái)講，就存在一個(gè)供認的問(wèn)題，以存儲在服務(wù)器硬盤(pán)上存儲的悉數視頻文件作為定案依據，仍是以大眾能夠拜訪(fǎng)到的存儲在服務(wù)器上的視頻文件作為定案依據呢？

兩者顯然是不同的，差異在哪里呢？一方面，經(jīng)過(guò)網(wǎng)站拜訪(fǎng)這些視頻文件，是需求權限的；另一方面，服務(wù)器上的有些視頻文件或許并未列入網(wǎng)站管理程序，因而歸于“必定不或許”被大眾拜訪(fǎng)到的。

筆者認為，依據兩高《關(guān)于處理運用互聯(lián)網(wǎng)、移動(dòng)通訊終端、聲訊臺制作、拷貝、出書(shū)、販賣(mài)、傳達淫穢電子信息刑事案子詳細運用規律若干問(wèn)題的說(shuō)明（二）》有關(guān)規則，這兒的“數量”應當理解為“傳達”（至少是“能夠傳達”）的數量，而不應當把存儲在服務(wù)器上的悉數視頻文件都列為“數量”構成。

三、區分目標與區分東西存在混淆危險

手機中的電子數據現已成為偵破和指控違法的“依據之王”。因而，針對手機電子數據的提取和區分是當時(shí)電子數據司法區分領(lǐng)域最為重要的內容之一。當時(shí)商場(chǎng)干流的手機取證東西都能夠標準化的提取手機中保存的各類(lèi)數據信息，但關(guān)于保存在云端的手機app數據的處理，還存在一些需求理清的觀(guān)念。

依據《法庭科學(xué)電子依據手機經(jīng)歷技能標準》5.3.1.3規則，“若需經(jīng)過(guò)搜集提取手機云端數據等網(wǎng)絡(luò )數據時(shí)，能夠在手機數據已固定的條件下銜接互聯(lián)網(wǎng)，運用相關(guān)查驗軟件下載相關(guān)數據，或選用照相、錄像辦法固定相關(guān)數據，生成查驗陳說(shuō)”，這兒明確指出手機取證其實(shí)存在著(zhù)兩個(gè)進(jìn)程，當針對手機機身進(jìn)行數據提取時(shí)，手機充當了區分目標（即檢材）的人物，當針對云端數據進(jìn)行數據獲取時(shí)，手機此刻充當了區分東西的人物。

惋惜的是，許多區分人員在實(shí)踐操作時(shí)，往往運用軟件一同履行機身數據提取和云端數據下載，而忽視了《標準》中一個(gè)重要的限定詞——若需。

四、電子數據送檢、保管環(huán)節存在不一同危險

筆者在輔佐檢察官查看電子數據作業(yè)中，常常發(fā)現一些的程度不同的問(wèn)題，其間在電子數據保管、送檢環(huán)節產(chǎn)生的危險需求引起高度重視。

事例一：某地偵辦機關(guān)托付司法區分安排對一同“黑客”案子的涉案筆記本電腦進(jìn)行區分，托付書(shū)掛號的筆記本電腦序列號與扣押清單中的序列號不一同。

事例二：某地偵辦機關(guān)經(jīng)過(guò)勘驗的辦法，固定了一同網(wǎng)絡(luò )傳銷(xiāo)安排的電子數據。托付司法區分安排區分時(shí)，勘驗得到的電子數據與送檢電子數據的哈希值不同。

事例三：某地偵辦機關(guān)處理一同強奸案子，移送查看申訴后，能夠證明嫌疑人與被害人之間具有親密聯(lián)絡(luò )的手機中，存儲芯片石沉大海。

事例四：某地偵辦機關(guān)處理一同不合法吸納大眾存款案子，在移送查看的材猜中，查看發(fā)現扣押的物品相片色彩差異巨大。經(jīng)核實(shí)，一個(gè)重要的依據優(yōu)盤(pán)在保管進(jìn)程中丟掉，有關(guān)人員為逃避責任，新購一個(gè)同品牌類(lèi)型的優(yōu)盤(pán)代替了原始依據優(yōu)盤(pán)。

堅持依據的原始性是刑事訴訟中很重要的一項任務(wù)。上述事例一和事例二抉擇了該依據能否進(jìn)入該案子的依據門(mén)檻，事例三和事例四則潛藏著(zhù)有關(guān)人員成心違法或許重大過(guò)失行為。上述四個(gè)事例均存在依據開(kāi)裂的實(shí)踐危險，那么接下來(lái)的法庭審理中，檢察機關(guān)將不可避免的面臨被迫。假定律師聘請了資深專(zhuān)家團隊并提出合理置疑，輕則帶來(lái)案子反復，重則作出無(wú)罪判決，那將是司法難以承受之重。

五、重區分輕取證的司法辦案理念急需改動(dòng)

2013年修訂后刑訴法實(shí)施以來(lái)，電子數據成了法定依據辦法。此次修法還有一個(gè)更大的變化，“區分結論”改為了“區分定見(jiàn)”，這是司法實(shí)踐領(lǐng)域的一次重要調整。

可是，廣闊司法人員希望經(jīng)過(guò)區分供認某些專(zhuān)門(mén)問(wèn)題，甚至到達一錘定音的主見(jiàn)還沒(méi)有得到有用消除，換句話(huà)說(shuō)，司法人員對“區分結論”的依托并沒(méi)有及時(shí)得到調整。在電子數據的問(wèn)題上，這一點(diǎn)尤其顯著(zhù)。偵辦機關(guān)經(jīng)過(guò)現場(chǎng)勘驗獲取的電子數據、經(jīng)過(guò)第三方調取的電子數據、經(jīng)過(guò)實(shí)施查看等技能手法得到的電子數據……，這些都是電子數據，都現已是法定的依據辦法。但有些檢察人員對偵辦部分勤勤懇懇獲取的電子數據不做詳查、不做剖析，有的聽(tīng)之任之，有的甚至要求辦案部分去做個(gè)區分。在所謂“舊理念”的指導下，有些區分定見(jiàn)不三不四。

事例：某地偵辦機關(guān)處理一同網(wǎng)絡(luò )傳銷(xiāo)案子，依據有關(guān)辦案人員的要求，區分安排出具了“該安排工作辦法契合傳銷(xiāo)安排特征”的區分定見(jiàn)。

在這個(gè)事例中，司法區分安排仍然越權做出了“規律判別”，但清楚清楚，這兒面包含著(zhù)一種差錯的傾向，有關(guān)辦案人員仍然希望經(jīng)過(guò)司法區分的辦法對有關(guān)規律問(wèn)題進(jìn)行供認。

六、信息加密成為束縛電子數據取證和區分的一道門(mén)檻

暗碼破解一直是電子數據恢復取證和區分中需求面臨的問(wèn)題。信息加密技能在為用戶(hù)供應數據安全的一同，也對電子數據取證人員提出了更高的要求。從BIOS暗碼、操作體系用戶(hù)暗碼到Android全盤(pán)加密、文件級加密再到iOS加密，電子數據取證面臨著(zhù)越來(lái)越高的取證門(mén)檻。下面臨當時(shí)常見(jiàn)的信息加密辦法進(jìn)行介紹，并將其對電子數據取證的影響進(jìn)行說(shuō)明。

難點(diǎn)一：BitLocker是內置于WindowsVista及其之后體系的全盤(pán)加密功用，經(jīng)過(guò)對磁盤(pán)卷進(jìn)行加密來(lái)維護數據。它運用128位或256位密鑰的AES加密算法加密數據，加密強度很高。

當時(shí)破解Bitlocker的技能除了經(jīng)過(guò)社會(huì )工程學(xué)等手法直接獲取暗碼外，首要有以下辦法：一是經(jīng)過(guò)對BitLocker加密設備的內存或Windows休眠文件進(jìn)行提取，在其間查找Bitlocker密鑰，二是在獲取用戶(hù)的微軟賬戶(hù)和暗碼后經(jīng)過(guò)微軟賬戶(hù)查詢(xún)BitLocker恢復密鑰，三是運用Bitlocker運用固態(tài)硬盤(pán)進(jìn)行硬件加密的縫隙，從固態(tài)硬盤(pán)中獲取Bitlocker密鑰。上述辦法在實(shí)踐中都有必定的局限性，導致對Bitlocker加密卷的破解成功率無(wú)法保證。

難點(diǎn)二：Android在4.4版中引入了全盤(pán)加密（FDE），并在5.0中對全盤(pán)加密功用進(jìn)行了優(yōu)化。全盤(pán)加密是運用密鑰（密鑰本身也經(jīng)過(guò)加密）對Android設備上的悉數用戶(hù)數據進(jìn)行編碼的進(jìn)程。設備經(jīng)過(guò)加密后，悉數由用戶(hù)創(chuàng )立的數據在存入磁盤(pán)之前都會(huì )主動(dòng)加密，并且悉數讀取操作都會(huì )在將數據回來(lái)給調用進(jìn)程之前主動(dòng)解密數據。

Android7.0及更高版別支撐文件級加密（FBE）。選用文件級加密時(shí)，能夠運用不同的密鑰對不同的文件進(jìn)行加密，并且能夠對加密文件進(jìn)行獨自解密。文件級加密會(huì )對文件名和文件內容進(jìn)行加密。

關(guān)于Android體系加密，除了獲取暗碼或運用指紋、人臉辨認解鎖外，首要是經(jīng)過(guò)屏蔽鎖屏暗碼和暴力破解的辦法進(jìn)行解密。其間暴力破解的辦法由于速度束縛（體系運算才能和Gatekeeper懇求次數束縛），導致不知道原暗碼狀況下破解時(shí)長(cháng)無(wú)法控制。

難點(diǎn)三：從iPhone3GS開(kāi)始，蘋(píng)果運用硬件對iOS設備進(jìn)行數據加密，這被稱(chēng)為數據維護（DataProtection）。重要的iOS體系運用，比如信息、郵件、日歷、通訊錄、相片和健康數據會(huì )默許被數據維護加密。而從iOS7開(kāi)始，第三方運用數據也會(huì )主動(dòng)被數據維護加密。iOS設備的硬件加密辦法導致直接對芯片進(jìn)行提取數據后無(wú)法進(jìn)行解密。

當時(shí)可行的iOS提取辦法只需經(jīng)過(guò)獲取或破解iOS鎖屏暗碼來(lái)處理，首要辦法包含：經(jīng)過(guò)Lockdown文件繞過(guò)鎖屏暗碼進(jìn)行提??；經(jīng)過(guò)硬件對暗碼進(jìn)行暴力破解；經(jīng)過(guò)指紋或人臉辨認解鎖。上述辦法在實(shí)踐查驗中有著(zhù)各種束縛，Lockdown文件不必定能夠找到，即便找到也有或許現已過(guò)期無(wú)法運用；暴力破解或許有iOS版別束縛，或許為商業(yè)技能，本錢(qián)高昂。

七、數據恢復實(shí)踐面臨應戰

電子數據取證和司法區分中的數據恢復，是指經(jīng)過(guò)軟件東西對檢材（樣本）進(jìn)行數據恢復操作的進(jìn)程。刪去電子數據文件時(shí)，操作體系只對文件體系中被刪去文件的記載項進(jìn)行修改，其真實(shí)的數據區域并不會(huì )被直接修改，而是做為未分配空間供后續運用。換句話(huà)說(shuō)，數據恢復的條件是，刪去的數據未被修改。

跟著(zhù)存儲技能的開(kāi)展，新式存儲設備開(kāi)始出現。固態(tài)硬盤(pán)因其低功耗、高讀寫(xiě)速度、無(wú)噪音、體積小等長(cháng)處，跟著(zhù)價(jià)格的下降運用者越來(lái)越多。但固態(tài)硬盤(pán)與傳統機械硬盤(pán)在存儲原理、辦法上有著(zhù)根柢不同，對電子數據取證中的電子數據恢復作業(yè)造成了很大影響。與機械硬盤(pán)次序寫(xiě)入遭到塊碎片和壞扇區的影響，機械硬盤(pán)并不完全是次序存儲。不同，固態(tài)硬盤(pán)不運用次序寫(xiě)入。在固態(tài)硬盤(pán)中，數據會(huì )被分紅不同的數據塊，一同寫(xiě)入到不同的NAND存儲芯片中，這種平行寫(xiě)入的辦法使固態(tài)硬盤(pán)的寫(xiě)入速度遠高于機械硬盤(pán)。

即便是單NAND存儲芯片的固態(tài)硬盤(pán)也不會(huì )運用次序寫(xiě)入的辦法存儲數據[或許只需全新的，從未寫(xiě)入過(guò)數據的固態(tài)硬盤(pán)會(huì )運用次序存儲的辦法]。存儲芯片中每個(gè)塊對應的邏輯地址LBA都是動(dòng)態(tài)分配的，便于主控進(jìn)行損耗平衡。這導致了從NAND存儲芯片中直接讀取到的數據就好像拼圖相同，將數據打散成碎片后隨意的組合在一同。假定沒(méi)有固態(tài)硬盤(pán)主控的協(xié)助，想要經(jīng)過(guò)芯片提取的辦法恢復一個(gè)文件是非常困難的。

除了數據存儲辦法的不同之外，固態(tài)硬盤(pán)還設置了后臺廢物回收機制。當刪去存儲在固態(tài)硬盤(pán)上的文件時(shí)，操作體系會(huì )履行trim指令，以奉告固態(tài)硬盤(pán)該文件將不會(huì )再被運用。只需處于通電狀況，固態(tài)硬盤(pán)就會(huì )發(fā)起后臺的廢物回收機制，擦除現已trim的數據塊。即便運用只讀接口銜接固態(tài)硬盤(pán)也無(wú)法阻遏這一進(jìn)程，這導致了固態(tài)硬盤(pán)上刪去數據的恢復變得非常困難。

當然實(shí)踐狀況或許會(huì )有所不同。假定操作體系、固態(tài)硬盤(pán)（或許閃存存儲器）以及它們之間的傳輸協(xié)議中有不支撐trim的部分，那么trim以及后續的廢物回收機制將無(wú)法運作，使得狀況或許有所好轉。但由于NAND存儲芯片寫(xiě)入和擦除巨細不同等問(wèn)題，使得trim成為了固態(tài)硬盤(pán)全部必要的一部分，因而未來(lái)關(guān)于固態(tài)硬盤(pán)的數據恢復局勢仍然并不達觀(guān)。

機械硬盤(pán)數據恢復未來(lái)的狀況也并非一片光亮。跟著(zhù)疊瓦式磁記載技能（ShingledMagneticRecording）的運用，機械硬盤(pán)也面臨著(zhù)和NAND存儲芯片相同的問(wèn)題。當時(shí)商場(chǎng)上現已出現了支撐trim指令的運用疊瓦式磁記載技能的機械硬盤(pán)，關(guān)于這種硬盤(pán)進(jìn)行數據恢復也將會(huì )面臨著(zhù)固態(tài)硬盤(pán)相同的問(wèn)題。

八、海量電子數據的處理陷入困境

海量電子數據的運用，是當時(shí)司法實(shí)踐中不得不考慮的重要問(wèn)題。涉案電子數據載體數量爆發(fā)式添加，單個(gè)載體的數據容量爆發(fā)式添加，這兩個(gè)要素導致在任何一個(gè)案子中，都或許搜集到海量的電子數據恢復。

事例一：某地偵辦機關(guān)在處理一同不合法集資案子中，查封扣押涉案電腦200余臺，從阿里云空間勘驗數據40TB。如此規模的電子數據，給有關(guān)部分運用依據帶來(lái)巨大壓力。

事例二：某地偵辦機關(guān)處理一同網(wǎng)絡(luò )電信詐騙案子，經(jīng)核實(shí)僅供認了1名受害者。移送查看申訴后，在技能人員的輔佐下，從100余萬(wàn)條微信記載中，追加供認了70余名受害者以及相應的轉賬記載。其間的排查作業(yè)量相當大。

海量電子數據是一個(gè)比較無(wú)缺的虛擬空間，是另一種辦法的“違法現場(chǎng)”。該“違法現場(chǎng)”給深挖違法供應了廣闊空間，卻也帶來(lái)了許多技能處理上的應戰。假定說(shuō)事例一僅僅是技能人員數量上的綽綽有余，事例二則對海量數據的剖析作業(yè)提出了更高的要求。實(shí)踐上，公檢法機關(guān)現有的技能力量根柢無(wú)法應對海量電子數據，具有老到數據剖析技能的人員更是嚴峻短少。此外，契合實(shí)踐的海量數據處理東西也是一個(gè)嚴峻的短板。

截至現在，針對海量電子數據恢復的處理，仍然沒(méi)有很好的處理辦法。