電子數(shù)據(jù)證據(jù)

電子證據(jù)的審查與判斷

中國政法大學(xué)電子證據(jù)研究中心主任中國電子學(xué)會計算機取證專家委員會委員limeiw@

王立梅背景

大背景：人類已經(jīng)進入了電子證據(jù)的時代。就司法證明的歷史而言，人類曾經(jīng)從“神證”時代走入“人證時代”，又從“人證”時代走入“物證”時代，也許，我們即將走入另一個司法證明時代，即電子證據(jù)時代。1999年，中國人民大學(xué)法學(xué)院的何家弘教授就曾經(jīng)撰文指出人類司法證明歷史中司法證明的方法和手段所發(fā)生的兩次重大轉(zhuǎn)變。第一次是從以“神證”為主的證明向以“人證”為主的證明的轉(zhuǎn)變；第二次是從以“人證”為主的證明向以“物證”或“科學(xué)證據(jù)”為主的證明的轉(zhuǎn)變。在這一進程中，科學(xué)技術(shù)的進步發(fā)揮著決定性的作用。

與應(yīng)用技術(shù)手段密切聯(lián)系的是，對技術(shù)性專家意見的依賴也在增加：必須對結(jié)構(gòu)復(fù)雜的機器得出的結(jié)論進行解釋，還要評估該證據(jù)的證明價值。不過，即使撇開專家作為儀器這一“啞巴證人”之翻譯者的需要，人們?yōu)榱嗽谠V訟中揭示案件事實而正在尋找的科學(xué)性或經(jīng)驗性信息的事項范圍也已經(jīng)大為拓展了：許多不久前還被視為背景信息的問題，現(xiàn)在都需要證明了，這就是說，事實認(rèn)定者可以對正式提交法庭的有關(guān)證據(jù)進行評價了。于是在為法院審判提供事實認(rèn)定結(jié)論方面，常識和傳統(tǒng)的證明方法就遭遇了科學(xué)數(shù)據(jù)的競爭。這些數(shù)據(jù)往往概念復(fù)雜，數(shù)量非常豐富，而且有時甚至是違反直覺的。

進而法院頻頻遭遇復(fù)雜的科學(xué)技術(shù)證據(jù)，只有那些擁有高度專業(yè)化知識或杰出技藝的人才能毫無困難的領(lǐng)會。對科學(xué)證據(jù)的依賴加重了事實認(rèn)定者的負(fù)擔(dān)，無論是對英美法系的陪審員還是大陸法系的檢察官和法官。他們所共同的對技術(shù)本身的理解力局限和不善于應(yīng)用技術(shù)的過程和結(jié)論，展示出有說服力的事實都成為我們面臨的難題。

如何使事實認(rèn)定者適應(yīng)這一變化和要求？概念計算機取證OR電子取證OR數(shù)據(jù)取證科學(xué)地運用提取和證明方法，對于從電子數(shù)據(jù)源提取的電子證據(jù)進行行保護（preservation）、收集(collection)、驗證（validation）、鑒定（identification）、分析（analysis）、解釋（interpetation）、存檔（documentation）和出示（presentation），以有助于進一步的犯罪事件重構(gòu)或者幫助識別某些與計劃操作無關(guān)的非授權(quán)性活動。信息安全解決事前防護，取證解決事后究責(zé)。新訴訟法的提法是“電子數(shù)據(jù)”（刑訴法P37民訴法P22）幾者之間的關(guān)系如圖所示。初步發(fā)展時期旪間：九十年代中期至九十年代末期。典型的計算機取證產(chǎn)品：Encase：美國Guidance軟件公司開發(fā)，用亍證據(jù)數(shù)據(jù)的收集和分析。DIBS：由美國計算機取證公司開發(fā)，對數(shù)據(jù)進行鏡像的備份系統(tǒng)。FlightServer：由英國Vogon公司開發(fā)。用于證據(jù)數(shù)據(jù)的收集和分析。其他工具：密碼破解工具、列出磁盤上所有分區(qū)的LISTDRV、軟盤鏡像工具DISKIMAG、在特定的邏輯分區(qū)上搜索未分配的或者空閑的空間的工具FREESECS等等。理論完善時期時間：九十年代末期至現(xiàn)在計算機取證的概念及過程模型被充分研討較為典型的五類模型：基本過程模型事件響應(yīng)過程模型法律執(zhí)行過程模型過程抽象模型其他模型學(xué)科體系建設(shè)研究數(shù)字取證的強國美國：最早開展研究，有很多科研機構(gòu)、大學(xué)和司法部門在積極從事這方面的研究英國：比較早開展取證研究，特別是在和恐怖分子的斗爭中很有經(jīng)驗澳大利亞：近年來的研究很有成效，2008年年初開始組織e-forensics國際會議韓國：早在1995年，韓國就組建了“黑客”偵查隊，積極開展工作，此后分別于1997年和1999年建立了計算機犯罪偵查隊和網(wǎng)絡(luò)犯罪偵查隊，并于2000年成立了網(wǎng)絡(luò)恐怖監(jiān)控中心，由此韓國成為了“網(wǎng)絡(luò)偵查強國”。各國紛紛派人前去學(xué)習(xí)或請韓國人協(xié)助取證數(shù)字取證在中國的啟動我國網(wǎng)絡(luò)安全界曾經(jīng)從戰(zhàn)略高度上提出了如何建立使入侵者感到有威懾的主動防御策略。基于主動防御的網(wǎng)絡(luò)安全技術(shù)改變了以往僅僅依靠防火墻、掃描、檢測這些傳統(tǒng)的網(wǎng)絡(luò)安全工具，推動了我國的信息監(jiān)控、數(shù)字取證等技術(shù)的發(fā)展以及相應(yīng)產(chǎn)品的面市。2000年5月,公安部確立了以辦理計算機犯罪案件為主線,以電子數(shù)據(jù)證據(jù)為核心，以計算機犯罪偵查為主要內(nèi)容開展專門技術(shù)研究計算機取證研究列入課題項目，出現(xiàn)一批早期的研究論文和文章。（2003-2005）現(xiàn)場電子化電子化、網(wǎng)絡(luò)化現(xiàn)場現(xiàn)場再現(xiàn)：技術(shù)+科學(xué)證據(jù)（技術(shù)偵查）電子“現(xiàn)場”法律中的電子證據(jù)√

√

√

電子證據(jù)的主要法律條款行政訴訟法修正案第35條第一款，證據(jù)包括：（一）書證；（二）物證；（三）視聽資料；（四）電子數(shù)據(jù)；（五）證人證言；（六）當(dāng)事人的陳述；（七）鑒定意見；（八）勘驗筆錄、現(xiàn)場筆錄。電子證據(jù)的主要法律條款刑訴法第48條第2款：證據(jù)包括：（一）物證；（二）書證；（三）證人證言：（四）被害人陳述；（五）犯罪嫌疑人、被告人供述和辯解；（六）鑒定意見；（七）勘驗、檢查、辨認(rèn)、偵查實驗等筆錄；（八）視聽資料、電子數(shù)據(jù)。民訴法第63條第1款：證據(jù)包括：（一）當(dāng)事人的陳述；（二）書證；（三）物證；（四）視聽資料；（五）電子數(shù)據(jù)；（六）證人證言；（七）鑒定意見；（八）勘驗筆錄。電子證據(jù)的主要規(guī)則最高人民法院、最高人民檢察院和公安部于2016年9月聯(lián)合下發(fā)《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（以下簡稱《電子數(shù)據(jù)規(guī)定》），對于刑事訴訟中電子數(shù)據(jù)的收集、提取、審查、認(rèn)定等行為予以規(guī)范。多媒體信息：通訊錄（聯(lián)系人）通話記錄短信彩信關(guān)聯(lián)關(guān)系……

錄音錄像照片……通信信息：上網(wǎng)信息：上網(wǎng)時間瀏覽記錄聊天記錄習(xí)慣背景圈子……導(dǎo)航、定位信息：GPS導(dǎo)航信息網(wǎng)絡(luò)定位與導(dǎo)航信息手機移動與漫游信息新增、異常出現(xiàn)與消失……其他信息：如使用信息游戲信息廣播、電視……201電話證據(jù)、傳真證據(jù)、電報證據(jù)等等2計算機證據(jù)（電子文件、計算機日志等）、計算機輸出物、計算機打印物等3電子郵件、電子數(shù)據(jù)交換、電子聊天記錄、電子公告牌記錄、博客記錄、微博記錄、電子報關(guān)單、電子簽名、域名、網(wǎng)頁、IP地址以及電子痕跡（系統(tǒng)文件、休眠文件、日志記錄、上網(wǎng)痕跡）等4手機錄音證據(jù)、手機錄像證據(jù)、手機短消息證據(jù)（第五媒體證據(jù)）、通訊記錄；信令數(shù)據(jù)、上網(wǎng)痕跡、通訊痕跡5雷達(dá)記錄證據(jù)、錄音證據(jù)、錄像證據(jù)、攝像證據(jù)、GPS痕跡（即所謂的“視聽資料”）電子證據(jù)從哪里來？現(xiàn)代通信技術(shù)電子計算機技術(shù)互聯(lián)網(wǎng)技術(shù)手機技術(shù)網(wǎng)絡(luò)技術(shù)其他信息技術(shù)從有關(guān)國際文獻(xiàn)來看，迄今為止具有代表性的相關(guān)思想是計算機證據(jù)國際組織于2000年12月4日在八國集團的會議上提出的“六原則論”。（1）在處理電子證據(jù)時，各種普遍性的法科學(xué)原則和程序原則必須得到遵守；（2）扣押電子證據(jù)時必須保證其不發(fā)生改變；（3）任何需要接觸原始電子證據(jù)的人員必須經(jīng)過專業(yè)的培訓(xùn)；（4）對電子證據(jù)進行扣押、接觸、存儲或轉(zhuǎn)移的一切行為，都必須完整記錄，并加以歸檔備查；（5）有關(guān)人員在保管電子證據(jù)時，對其上所實施的一切操作負(fù)責(zé)；（6）任何負(fù)責(zé)扣押、接觸、存儲或轉(zhuǎn)移電子證據(jù)的機構(gòu)，均有責(zé)任落實上述原則。電子證據(jù)取證原則及時取證（易失性）全面取證（全面分析---侵權(quán)邊界）合法取證（合法性）不損害取證（避免證據(jù)二次破壞）避免使用原始證據(jù)原則（復(fù)制，避免證據(jù)污染）記錄所作操作原則（錄像）《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第十四條從事新聞、出版以及電子公告等服務(wù)項目的互聯(lián)網(wǎng)信息服務(wù)提供者，應(yīng)當(dāng)記錄提供的信息內(nèi)容及其發(fā)布時間、互聯(lián)網(wǎng)地址或者域名；互聯(lián)網(wǎng)接入服務(wù)提供者應(yīng)當(dāng)記錄上網(wǎng)用戶的上網(wǎng)時間、用戶帳號、互聯(lián)網(wǎng)地址或者域名、主叫電話號碼等信息?；ヂ?lián)網(wǎng)信息服務(wù)提供者和互聯(lián)網(wǎng)接入服務(wù)提供者的記錄備份應(yīng)當(dāng)保存60日，并在國家有關(guān)機關(guān)依法查詢時，予以提供。真正重要的事物，肉眼是看不到的鑒定機構(gòu)鑒定工作

內(nèi)容

電子證據(jù)內(nèi)容一致性的認(rèn)定

電子數(shù)據(jù)內(nèi)容的認(rèn)定

已刪除電子數(shù)據(jù)內(nèi)容的認(rèn)定機密文件數(shù)據(jù)內(nèi)容的認(rèn)定

計算機程序功能或系統(tǒng)狀況的認(rèn)定

電子證據(jù)的真?zhèn)渭靶纬蛇^程的認(rèn)定取證的方法和步驟電子證據(jù)的取證涉及到對電子證據(jù)的保存、識別、提取、歸檔和解釋，以作為證據(jù)或作為動機分析的依據(jù)。電子證據(jù)取證工作需要遵循一種明確的、嚴(yán)格定義的方法和程序，對于非同一般的事件又需要靈活機動的處理不可墨守成規(guī)。電子證據(jù)取證的事前態(tài)度：電子證據(jù)取證和其他類型傳統(tǒng)證據(jù)的調(diào)查取證工作有所不同。傳統(tǒng)的暴力案件現(xiàn)場需要在拍照，搜尋證據(jù)和供比對的樣本并且需要控制樣本以便和證物對照。電子證據(jù)的調(diào)查工作當(dāng)中也存在有類似的工作。但許多時候，調(diào)查人員向需要對整個系統(tǒng)（無論是單機還是大容量的磁盤陣列服務(wù)器甚至是整個網(wǎng)絡(luò)）進行重建，這是不同于傳統(tǒng)證據(jù)取證但在電子證據(jù)取證中常見的工作。因此調(diào)查初始，就要認(rèn)真對待每一個案件。不要隨意的開始檢查某一臺計算機，判定它是否有問題然后再將其作為一個證物來對待；而應(yīng)該一開始就把計算機作為證物來對待，即便以后發(fā)現(xiàn)它并不能成為證物。如果在開始時主觀的認(rèn)為某一臺計算機沒有取證價值而后來發(fā)現(xiàn)了有不法行為的痕跡，就需要確認(rèn)已經(jīng)完整的記錄下來所采取的某一個步驟及采取該步驟的原因。記錄的工作對于任何證據(jù)調(diào)查工作都很重要，尤其對電子證據(jù)調(diào)查更是這樣。電子證據(jù)取證的基本的思想方法:取證的基本思想方法是相對固定（fixed）的，一定時期內(nèi)不會隨著計算機技術(shù)的量變而改變，除非計算機技術(shù)產(chǎn)生了根本性的質(zhì)變?；镜姆椒ǎˋAA法，取證的框架）：1，在不對原有的證物進行任何損壞或改動的前提之下獲取證據(jù)；（Acquire）2，證明所獲取的證據(jù)和原有的數(shù)據(jù)是相同的；（Authenticate）3，在不改動數(shù)據(jù)的前提之下對其進行分析。（Analyze）第一步：獲取證物情境一：面對現(xiàn)場一正在運行的計算機，讓其繼續(xù)運行，還是立即拔掉電源抑或進行正常的關(guān)機過程立即拔掉電源時許多人的做法，被認(rèn)為能使計算機停留于當(dāng)前狀態(tài)。但有先例表明這有可能毀掉攻擊過程相關(guān)的數(shù)據(jù)，甚至可能損壞硬盤上的數(shù)據(jù)。而如果系統(tǒng)內(nèi)有軟件炸彈，管理員登錄時會自動銷毀所有數(shù)據(jù)，這時拔電源就成為唯一可能的選擇，而且能幫助我們有更多的時間擬定調(diào)查計劃，備份原有數(shù)據(jù)靈活性在處理問題是非常重要，沒有任何兩次調(diào)查的情況是一樣的，也沒有完全適用于各種場景的普遍方法。情境二：對一個系統(tǒng)進行檢查并保持可辯護的證據(jù)的最理想方法是把系統(tǒng)凍結(jié)并分析所有數(shù)據(jù)的拷貝。很多情況下我們并不能這樣做，尤其是網(wǎng)絡(luò)運行的管理層拒絕這樣長時間的關(guān)掉系統(tǒng)（有可能會帶來其他方面巨大的損失），而且當(dāng)一個系統(tǒng)內(nèi)還有惡意代碼在運行時，相關(guān)聯(lián)的信息也極有可能在關(guān)掉電源時消失，通常我們還難以判別機器上是否運行有這樣的惡意代碼。獲取證物環(huán)節(jié)的大體步驟：處理證據(jù)

記錄調(diào)查工作一、處理證據(jù)1，證據(jù)監(jiān)督鏈（chainofCustody）做好監(jiān)督鏈的目的為了保護證物的完整性而且能夠證明在這一過程中證物并沒有被改動。監(jiān)督鏈?zhǔn)且粋€簡單有效的過程，記錄了證物在案件周期內(nèi)的完整經(jīng)歷。誰收集的證物？在何處收集，怎樣收集的？誰擁有該證物？證物如何存儲，受到了怎樣的保護？誰將證物從存儲設(shè)備中取出以及取出的原因？任何接觸過證物的人員取走和歸還的時間，使用證物的目的都應(yīng)該有完整的記錄。而且接觸的人員應(yīng)該盡可能的少，“每個有能力接觸到證物的人都有能力篡改證物?！?，收集證物收集的復(fù)雜性反映出事件本身的復(fù)雜性。收集證物時應(yīng)盡可能收集一切通過合法手段所獲得的東西。包括一些看上去沒有證據(jù)價值的東西，甚至是廢紙?，F(xiàn)場的呈現(xiàn)僅有一次。對于和ISP有關(guān)的證物必須盡快行動。因為日志文件的保存都是受時間限制的。對于準(zhǔn)備作為證據(jù)使用的日志應(yīng)要求服務(wù)商合適的保存。

3，標(biāo)識對于證物進行準(zhǔn)確的標(biāo)識和統(tǒng)計是必要的。標(biāo)識中應(yīng)該有案件編號、簡要描述、簽名和收集的時間等信息。標(biāo)識工作的進行可以借助一些表格軟件或是手工進行。4，運輸運輸工作應(yīng)以保證證物的安全為基本要求。針對證物的不同情況采取不同的措施來加以保證。運輸?shù)娜萜魃蠎?yīng)有封條。5，存儲恰當(dāng)存儲證物既是器材本身物理上的要求也是其作為證物的法律價值要求。證物應(yīng)存儲在安全且訪問受到限制的地方。二、記錄調(diào)查工作記錄的工作顯得乏味但非常必要。記錄的內(nèi)容要充分照顧到細(xì)節(jié)，如軟件的版本號、收集時用到的工具、方法、步驟以及原因。調(diào)查所使用的軟件是合法軟件是一項起碼的要求，否則其結(jié)果不被承認(rèn)。記錄的工作對于曠日持久的訴訟尤顯重要。第二步鑒別證物這個環(huán)節(jié)里需要證明調(diào)查人員在取證過程中沒有造成任何對原證物的改變；或者雖然有改變，這種改變也是由計算機的本質(zhì)特征造成的，同時這種改變對證物在取證意義的價值沒有任何影響。比如計算機磁盤驅(qū)動器會逐漸老化，但無論是可讀的文本還是圖片都不會因為這種老化而顯示出別的不相關(guān)信息。任何文本和圖片的存儲、設(shè)置都是源于有動機的人類的行為?？梢圆扇≡谌∽C過程中的一些方法保護證物：通過證物監(jiān)督鏈可以證明在取證過程沒有引起對原有證物的任何改變，由證物所推測出來的事件發(fā)生的情況也是真實可信的。（規(guī)程上）對證物的完整性驗證和對其添加時間戳也能解決證物真實可靠性問題。（技術(shù)上）一般是通過計算一種類似電子指紋的值加以實現(xiàn)的。電子指紋的對象可以是單個文件到整個硬盤。這是來于密碼學(xué)的技術(shù)，指紋值稱之為哈希值，可以通過軟件計算完成，這只需要在取證的軟件中添加這種功能。收集數(shù)據(jù)時就要計算和記錄哈希值，日后可由此證明用做檢查的數(shù)據(jù)拷貝和收集的原始數(shù)據(jù)是完全相同的。第三步分析分析階段在一定程度上是取證工作的核心部分。基于客觀、科學(xué)的技術(shù)原理對電子數(shù)據(jù)、程序代碼、電子設(shè)備及相關(guān)的文字資料進行分析：就電子數(shù)據(jù)之來源、特征、傳播途徑和范圍；程序的來源和功能；電子設(shè)備的功能；嫌疑人的特征、行為動機及后果作出定性或定量的分析結(jié)論。獲取階段為了得到完整的映象需要在一個不對原始證物產(chǎn)生任何改變的環(huán)境中進行，這要求只能使用那些可以從軟盤引導(dǎo)的操作系統(tǒng)。而對證物分析的過程對環(huán)境的要求較為寬松，可以使用自己喜歡的系統(tǒng)進行，這可以僅僅是一個習(xí)慣。除了選取合適的操作系統(tǒng)以外，還需要準(zhǔn)備多種工具軟件以備需要。對證物的分析工作常常是在物理層進行，意外損壞證據(jù)的可能性很大。一般的原則是使用原始證物的數(shù)字拷貝分析，這樣即便受損也很容易恢復(fù)。一般都需要對原始的驅(qū)動器做兩份（甚至更多）備份。這往往需要使用一些專門為取證設(shè)計的軟件來制作?？偟脑瓌t是盡可能使備份過程中的步驟最少，這樣發(fā)生錯誤的可能性就會最小。對于講到取證意義上的備份，需要是對原始驅(qū)動器上面每一個比特的精確克隆。一般意義上的備份并不會拷貝已被刪除的部分。電子數(shù)據(jù)的可恢復(fù)性

Window

資源管理器數(shù)據(jù)恢復(fù)軟件取證軟件數(shù)據(jù)冰山

常見的取證軟件：1.EnCase(GuidanceSoftware)2.FTK(AccessData)3.X-WaysForensic4.取證大師(ForensicsMaster)EnCase電子證據(jù)的審查判斷電子數(shù)據(jù)提供主體的審查電子數(shù)據(jù)來源的審查合法性審查（取證主體、證據(jù)表現(xiàn)形式、取證手段、法庭調(diào)查程序）相關(guān)性審查真實性審查（存在性、完整性、充分性）1、立法上關(guān)于電子證據(jù)的真實性探索2005《中華人民共和國電子簽名法》2008《公安部電子數(shù)據(jù)鑒定規(guī)則》2010《關(guān)于辦理死刑案件審查判斷證據(jù)若干問題的規(guī)定》2006《人民檢察院院電子證據(jù)鑒定程序規(guī)則（試行）》2009《電子認(rèn)證服務(wù)管理辦法》電子證據(jù)的真實性探究2016關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定2、立法上關(guān)于電子證據(jù)真實性探索的不足電子證據(jù)真實性的認(rèn)定問題規(guī)定不全面《民事訴訟法》和《刑事訴訟法》解決了電子證據(jù)的法律定位問題，《民事訴訟法司法解釋》僅規(guī)定了電子數(shù)據(jù)證據(jù)所包括的基本類型，并沒有對該類特殊證據(jù)的具體認(rèn)定方法有細(xì)則規(guī)定，稍有規(guī)定的《電子簽名法》適用范圍有限，基本法在該領(lǐng)域幾乎處于空白。2.電子證據(jù)真實性的認(rèn)定規(guī)則沒有明確規(guī)定我國沒有統(tǒng)一的證據(jù)法典，關(guān)于證據(jù)法的認(rèn)定規(guī)則散件于訴訟法和其他部門法規(guī)的篇章中，規(guī)定不全面也不統(tǒng)一。對于普通證據(jù)的內(nèi)容真實性認(rèn)定，法官多是結(jié)合經(jīng)驗法則、審判事實及舉證責(zé)任分配來“自由心證”。若涉及電子證據(jù)，一般結(jié)合普通證據(jù)的判斷規(guī)則（如《行政證據(jù)若干規(guī)定》第56條）或運用“高度蓋然性”標(biāo)準(zhǔn)（如《民訴證據(jù)若干規(guī)定》第72條和73條）。3.

專項法規(guī)適用范圍窄，立法思路模糊《電子簽名法》是針對電子簽名的專項規(guī)則，主要用于消除電子政務(wù)發(fā)展和電子商務(wù)貿(mào)易往來過程中電子證據(jù)適用的法律障礙，民事訴訟案件的其他電子證據(jù)認(rèn)定問題仍然無法可依。各部委出臺的電子數(shù)據(jù)鑒定規(guī)則及認(rèn)證服務(wù)管理辦法，更偏向于在部門內(nèi)部適用，對其余部門的約束力小，適用范圍窄。3、司法實踐中電子證據(jù)真實性認(rèn)定的難點及問題

1.電子證據(jù)真實性認(rèn)定的主要爭議點集中于主體和內(nèi)容對電子證據(jù)真實性的爭議主要集中于對證據(jù)制作主體身份的不確定和證據(jù)內(nèi)容真?zhèn)蔚牟淮_定。如對電子郵箱實際控制人無法確定，對手機短信的發(fā)送人無法確定，對電子聊天記錄雙方真實身份無法確定，對微博內(nèi)容發(fā)布用戶無法確定，法官多是按照綜合認(rèn)定方法結(jié)合案件其他證據(jù)進行判斷。對證據(jù)內(nèi)容真?zhèn)尾淮_定的情況更為復(fù)雜，證據(jù)來源途徑多樣，證據(jù)完整性不一，公證或鑒定的瑕疵問題，都有可能造成法官對電子證據(jù)證據(jù)能力的否認(rèn)。2.法院對電子證據(jù)真實性的認(rèn)可度不一由于缺乏統(tǒng)一的法律規(guī)范，法官審查電子證據(jù)的真實性多是“自由心證”，不同地區(qū)的類似案件甚至出現(xiàn)了不同的判決結(jié)果。有有的法院為避免爭議會直接排除電子證據(jù)的適用，有的法院會另辟蹊徑，對未經(jīng)公證的電子證據(jù)資料結(jié)合電子證據(jù)的其他顯著特征來綜合認(rèn)定。3.電子證據(jù)的呈證形式不規(guī)范不同的證據(jù)制作主體提供了不同形式的電子證據(jù)，包括截屏、打印、拷貝、拍照攝像、制作司法文書、當(dāng)庭展示等多種形式，同一種電子證據(jù)可能同時存在多種呈證形式，卻時常沒有可以考據(jù)的原始內(nèi)容。4.不同地區(qū)公證和鑒定機構(gòu)的技術(shù)水平發(fā)展不均，規(guī)范性有差異目前法院更傾向于認(rèn)可經(jīng)過公證和鑒定的電子證據(jù)的真實性，但受制于不同地區(qū)公證和鑒定技術(shù)水平發(fā)展不均衡的現(xiàn)狀，法院也會排除某些經(jīng)過公證和鑒定的電子證據(jù)的適用。5.缺乏可靠的電子證據(jù)公證技術(shù)和真?zhèn)舞b定技術(shù)保障大量司法案例顯示，目前公證機構(gòu)出具的公證書只能保證該電子證據(jù)在公證時及公證后狀態(tài)的穩(wěn)定性，確定該電子證據(jù)公證時是客觀存在的，而不能確定公證前電子證據(jù)是否有經(jīng)過篡改的可能。公證人員以法學(xué)背景居多，缺乏專業(yè)技術(shù)知識。鑒定意見的技術(shù)水平局限性大，盡管近年來數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)掃描技術(shù)、數(shù)據(jù)挖掘技術(shù)等鑒定技術(shù)的發(fā)展極大地提高了鑒定水平，但是對諸如電子聊天記錄的真實性鑒定和手機短信的真實性鑒定仍然是技術(shù)難題。4、國外對電子證據(jù)的審查和規(guī)定1、電子證據(jù)的最佳證據(jù)規(guī)則美國《聯(lián)邦證據(jù)規(guī)則》第1001（3）條認(rèn)為，對于存儲于電腦中的數(shù)據(jù)，任何精確反映該數(shù)據(jù)的輸出或打印的副本，均可被視為原件；聯(lián)合國國際貿(mào)易委員會的《電子商務(wù)示范法》將具有最終完整性和可用性等功能的電子副本視為原件，只要數(shù)據(jù)電文確實起到了在功能上等同或基本等同于書面原件的效果。2、提供電子證據(jù)的附帶性說明《美國法律報告》通過總結(jié)法院判例，建議律師使用電子證據(jù)時，同時提供材料以說明以下事項：1.計算機設(shè)備的可靠性；2.基礎(chǔ)數(shù)據(jù)的初始輸入方式；3.為確保數(shù)據(jù)準(zhǔn)確性采取的措施；4.數(shù)據(jù)存儲方式以及為防止數(shù)據(jù)丟失采取的保護措施；5.處理數(shù)據(jù)的計算機系統(tǒng)的可靠性；6.證明系統(tǒng)準(zhǔn)確性的措施。4、國外對電子證據(jù)的審查和規(guī)定3、英國對于電子證據(jù)保全的規(guī)范，移動電子計算機的時候，比如反不正當(dāng)競爭，反壟斷的時候，到一個企業(yè)去查抄電腦，查抄的過程里面有一個要求，該指南規(guī)定了11個步驟：檢查該計算機周圍環(huán)境將人員驅(qū)離計算機和電源對于計算機及所處環(huán)境拍照向使用者詢問登陸信息對屏幕拍照，并書面記錄屏幕的內(nèi)容不要觸碰鍵盤或者鼠標(biāo)必要時采集切斷電源就可能丟失的數(shù)據(jù)謹(jǐn)慎聽取計算機所有人或者使用人的描述保證打印機打完當(dāng)前的文件沒有專家建議時斷開電源時不應(yīng)關(guān)閉任何程序移除其他與計算機相連的電線5、認(rèn)定電子證據(jù)真實性的一般方法1、從證據(jù)來源判斷電子證據(jù)的真實性當(dāng)事人提供的證據(jù)1公證機構(gòu)提供的電子證據(jù)2鑒定機構(gòu)提供的電子證據(jù)和鑒定意見3網(wǎng)絡(luò)服務(wù)商或電信服務(wù)商提供的電子證據(jù)4律師鑒定人公證人行政人員公檢法當(dāng)事人5、認(rèn)定電子證據(jù)真實性的一般方法2、用全面審查方法審查電子證據(jù)真實性鑒證法STEP01專家輔助法STEP02對比法STEP03綜合分析法STEP04（1）鑒證法電子證據(jù)的“鑒證”[是指對電子證據(jù)系統(tǒng)和程序或者打印輸出物進行描述或辨別，并且確認(rèn)該系統(tǒng)和程序產(chǎn)生了正確結(jié)果的過程。這里的鑒證不局限于鑒定機構(gòu)的鑒定方式，任何在日常的工作或履職中曾經(jīng)接近或使用過電子數(shù)據(jù)的技術(shù)人員、有專業(yè)資質(zhì)的技術(shù)人員、網(wǎng)絡(luò)服務(wù)商的技術(shù)人員等都可以對電子證據(jù)本身進行技術(shù)真?zhèn)舞b定。（2）專家輔助法我國《民事訴訟法》第79條規(guī)定，當(dāng)事人可以向人民法院申請，通知有專門知識的人出庭作證，對鑒定結(jié)論或?qū)I(yè)問題提出意見。電子證據(jù)的鑒證主體多樣，如果出現(xiàn)了對同一份證據(jù)的不同鑒證結(jié)果，就需要有一位在相關(guān)領(lǐng)域經(jīng)驗豐富的專家輔助人對鑒證結(jié)果的真?zhèn)伟l(fā)表意見和看法。專家輔助人可以由當(dāng)事人申請，也可以由人民法院自行指任。（3）對比法包括與原始數(shù)據(jù)的對比、同一證據(jù)不同組成要素的對比和不同證據(jù)間差異和聯(lián)系的對比。電子數(shù)據(jù)的打印輸出物或其他輸出物，尤其要注意與原始系統(tǒng)和原始數(shù)據(jù)的對比。同一電子證據(jù)，要根據(jù)其生成、傳輸、存儲、展示的整體聯(lián)系判斷真實。不同電子證據(jù)之間往往會互相依存構(gòu)成一個整體，與案件的前因后果、時間地點等也會發(fā)生聯(lián)系。只有這些證據(jù)相互一致，形成證據(jù)鏈，才能成為定案的依據(jù)。（4）綜合分析法電子證據(jù)是科學(xué)技術(shù)發(fā)展的產(chǎn)物，對電子證據(jù)的審查既要運用一般證據(jù)審查的規(guī)律和方法，也要綜合各種技術(shù)手段，采用更加科學(xué)的手段有適應(yīng)電子證據(jù)的特殊性需要。以上三種方法都離不開技術(shù)分析，技術(shù)分析的局限性也要求有其他方法輔助。

3

對電子證據(jù)的產(chǎn)生、運用過程進行全面審查：生成A電子證據(jù)的生成主要是審查電子證據(jù)生成設(shè)備、生成系統(tǒng)和生成程序的安全可靠性。B電子證據(jù)的傳輸主要審查數(shù)據(jù)信息傳輸渠道的安全性和數(shù)據(jù)信息傳輸內(nèi)容的完整性。傳輸電子證據(jù)的保存主要審查保存方式的正確性和保管記錄的可考性。C保存D電子證據(jù)的展示主要審查展示方式的合規(guī)性、展示設(shè)備和展示人員的可靠性。展示4、運用鑒定技術(shù)驗證電子證據(jù)真實性審查電子證據(jù)真實性的技術(shù)手段數(shù)據(jù)挖掘技術(shù)（DataMining）數(shù)據(jù)對比技術(shù)ContrastingTechnology）文件指紋特征分析技術(shù)

數(shù)據(jù)恢復(fù)技術(shù)（RecoveryTechnology）數(shù)據(jù)掃描技術(shù)（DigitalScanning）數(shù)據(jù)恢復(fù)技術(shù)（RecoveryTechnology）是指根據(jù)數(shù)據(jù)的破壞程度進行不同等級的恢復(fù)，也包括不可見區(qū)域數(shù)據(jù)的再現(xiàn)。數(shù)據(jù)對比技術(shù)（ContrastingTechnology）顧名思義就是通過對比方法找出數(shù)據(jù)共性、突出數(shù)據(jù)個性。當(dāng)計算機系統(tǒng)、程序或文件遭到破壞時，如若不能準(zhǔn)確限度被破壞的范圍，可以將目標(biāo)磁盤與另一個完好無損的原裝備系統(tǒng)對比，找出被篡改的部分。數(shù)據(jù)恢復(fù)技術(shù)（RecoveryTechnology數(shù)據(jù)對比技術(shù)（ContrastingTechnology）5、各類電子證據(jù)的真實性認(rèn)定方法

電子郵件證據(jù)微博證據(jù)電子聊天記錄手機短信證據(jù)各類證據(jù)由于其生成方式、傳遞方式及終端展示的不同，因此認(rèn)定方法也不盡相同。A電子卡取證—市政交通一卡通A電子卡取證—市政交通一卡通案件——公交卡破案河南省鄭州市發(fā)生了一起攀爬入室搶劫殺人的案件偵查人員發(fā)現(xiàn)，其一張公交卡不見了。經(jīng)查，這個公交卡在案發(fā)之后仍然在使用，通過對這個卡的使用信息進行調(diào)查，偵查人員發(fā)現(xiàn)了犯罪嫌疑人的行走路線，最終將其逐步歸案。B網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證

“使用科學(xué)的證明方法來收集、融合、發(fā)現(xiàn)、檢查、關(guān)聯(lián)、分析以及存檔數(shù)字證據(jù)，這些證據(jù)涉及多層次的主動處理過程以及數(shù)據(jù)源的傳遞證據(jù)，其目的是發(fā)現(xiàn)有預(yù)謀的破壞行為或已經(jīng)成功的非授權(quán)的攻擊行為，并為應(yīng)急事件的響應(yīng)和系統(tǒng)恢復(fù)提供有用的信息?！盉網(wǎng)絡(luò)取證證據(jù)來源網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)應(yīng)用主機網(wǎng)絡(luò)通信數(shù)據(jù)網(wǎng)絡(luò)安全產(chǎn)品和設(shè)施網(wǎng)絡(luò)取證分析系統(tǒng)所產(chǎn)生的結(jié)果B網(wǎng)絡(luò)取證主要技術(shù)

IP地址和MAC地址識別和獲取技術(shù)網(wǎng)絡(luò)入侵追蹤技術(shù)人工智能和數(shù)據(jù)挖掘技術(shù)B網(wǎng)絡(luò)取證——IP地址查詢IP查詢網(wǎng)站查詢?nèi)鐆ww.IP138.com，在IP地址查詢網(wǎng)中輸域名可查詢中國互聯(lián)網(wǎng)絡(luò)信息中心IP地址查詢根據(jù)上一步初查，已查得域名對應(yīng)的IP地址，在中國互聯(lián)網(wǎng)絡(luò)信息中心（）WHOIS查詢中，選擇IP地址查詢，輸入IP地址，點擊查詢即可通信部門協(xié)查作為通信主管部門，各?。ㄊ校┩ㄐ殴芾砭郑娦啪郑碛谢ヂ?lián)網(wǎng)網(wǎng)站注冊、備案（審批）人等很多詳細(xì)而精確的信息B網(wǎng)絡(luò)取證——IP地址查詢B網(wǎng)絡(luò)取證——IP地址查詢B網(wǎng)絡(luò)取證案例——互聯(lián)網(wǎng)聊天的IP定位清華北大爆炸案件網(wǎng)監(jiān)處通過不斷地刪除有關(guān)此案的大量信息，使得犯罪分子未能達(dá)到預(yù)期的目的北京大學(xué)新聞中心收到自稱犯罪嫌疑人的可疑郵件，后應(yīng)要求在網(wǎng)上進行溝通交流，通過IP地址定位，抓獲當(dāng)事人。

B網(wǎng)絡(luò)取證相關(guān)問題法律法規(guī)缺失數(shù)據(jù)海量隱私權(quán)網(wǎng)絡(luò)反取證技術(shù)

B網(wǎng)絡(luò)取證案件——網(wǎng)絡(luò)賭球案件的電子證據(jù)挪用社保基金近億元網(wǎng)絡(luò)賭球的“10.7專案”

目前網(wǎng)絡(luò)賭球的方式經(jīng)常是一頭服務(wù)器在外，兩頭莊家賭客在內(nèi)的模式。境外提供賭球服務(wù)的服務(wù)器進行調(diào)查往往比較困難，因此對境內(nèi)莊家和賭客賭球所用的計算機等相關(guān)設(shè)備便成了電子數(shù)據(jù)取證的重點對象。B網(wǎng)絡(luò)取證賭球頁面分析B網(wǎng)絡(luò)取證賭球頁面分析B網(wǎng)絡(luò)取證賭球頁面分析C電子郵件取證客戶端例如OutlookExpress、Foxmail等WEB端通過用戶名/密碼登陸郵箱，直接訪問郵件服務(wù)器。電子郵件證據(jù)的真實性審查認(rèn)定電子郵件證據(jù)的真實性爭議傳輸?shù)囊话惴绞诫娮余]件證據(jù)電子郵件發(fā)送方——發(fā)送方郵箱的網(wǎng)絡(luò)服務(wù)提供商——接收方郵箱的網(wǎng)絡(luò)服務(wù)提供商——電子郵件接收方第一，郵箱實際控制人的不確定第二，電子郵件發(fā)送和接收行為的不確定性第三，電子郵件發(fā)送和接收時間無法銜接，雙方對時間節(jié)點存在爭議第四，郵件內(nèi)容的差異性電子郵件證據(jù)真實性審查方式從證據(jù)來源審查：當(dāng)事人自認(rèn)的電子郵件證據(jù)、網(wǎng)絡(luò)服務(wù)商、公證機構(gòu)和鑒定機構(gòu)提供的電子郵件證據(jù)具有真實性，除非有相反證據(jù)證明或者法院認(rèn)為有必要再次鑒定；全面審查，電子郵件的生成、傳輸、保存和展示過程：電子郵件發(fā)送和接收的計算機軟件系統(tǒng)是否可靠；電子郵件要是在公司內(nèi)部的局域網(wǎng)傳輸還是在外部的互聯(lián)網(wǎng)傳輸；電子郵箱是否為加密郵箱，打印物保存和原始文檔保存要區(qū)別對待；電子郵件展示時設(shè)備是否經(jīng)過清潔檢查；電子郵件是否運用了數(shù)字簽名和數(shù)字時間戳技術(shù)、信息隱藏技術(shù)、加解密技術(shù)和電子認(rèn)證技術(shù)等。C電子郵件取證案件——是否侵犯員工隱私

廣東泰科電子有限公司企業(yè)私自打開員工郵箱搜集證據(jù)，發(fā)現(xiàn)其向科塑公司披露涉及公司與其他供應(yīng)商的內(nèi)部保密信息，并解雇員工。勞動仲裁部門作出裁決予以認(rèn)可。爭議的焦點是搜查員工郵件是否侵犯個人隱私？D手機取證電信部門從運營服務(wù)系統(tǒng)中獲取相關(guān)信息，包括通話記錄、短消息、上網(wǎng)信息等。手機本身從手機的存儲器，SIM卡中提取恢復(fù)相應(yīng)信息。D手機取證案例——手機短信認(rèn)定事實

楊先生和韓小姐1.1萬元借款糾紛，手機短信第一次作為證據(jù)被采信。

法院認(rèn)為，楊先生提供的短信內(nèi)容中載明的款項往來金額、時間，與中國工商銀行個人業(yè)務(wù)憑證中體現(xiàn)的楊先