電子取證流程與基本原則

電子取證流程與基本原則

　　電子證據，是指在計算機或計算機系統運行過程中產生的，以其記錄內容來證明案件事實的電磁記錄物。隨著科學技術的不斷發展，社會信息化的程度不斷加深，檢察機關在業務開展過程中涉及電子證據的案件越來越多，以計算機及信息網絡為依托的電子數據在證明案件事實過程中的作用也日益凸顯。

　　由于電子證據本身具有的無形性、多態性、脆弱性、系統依賴性和易被篡改等特性，任何人為因素或外力造成的對電子數據的修改、刪除、覆蓋都難以分辨，因此，與傳統證據的取證規則、取證方式相比，電子證據需要通過特定的技術手段進行分析和獲取，在電子證據的取證過程中應當特別注意規范取證流程，遵循基本的取證原則和方法。

　　一、電子取證的操作流程

　　(1)受理案件

　　調查機關在受理案件時，要詳細記錄案情，全面地了解潛在的與案件事實相關的電子證據材料，如涉案的計算機系統、打印機等電子設備的情況，包括系統日志、IP地址、網絡運行狀態、日常設備軟件使用情況、受害方和犯罪嫌疑人的信息技術水平等。

　　(2)保護涉案現場

　　取證人員進入現場后，應迅速封鎖整個計算機區域，將人、機、物品之間進行物理隔離;保護目標計算機系統，及時維持計算機網絡運行狀態，保護諸如移動硬盤、U盤、光盤、打印機、錄音機、數碼相機等相關電子設備，查看各類設備連接及使用情況，在操作過程中要避免任何更改系統設置、硬件損壞、數據破壞或病毒感染等情況的發生，以免破壞電子證據的客觀性或造成證據的丟失。

　　(3)收集電子證據

　　由于電子證據的脆弱性，在證據收集過程中，應當由調查人員或是聘請的司法鑒定專家檢查硬件設備，切斷可能存在的其他輸入、輸出設備，保證計算機儲存的信息在取證過程中不被修改或損毀。之后對原始存儲介質進行備份，在備份過程中，應當使用安全只讀接口，使用寫保護技術進行操作，備份結束后檢查備份文件是否與原文件一致，注意在此過程中需要進行全程錄像并要求有第三方現場見證，以保證電子證據的客觀真實性。

　　(4)固定和保管電子證據

　　在對計算機中的資料和數據進行備份過程后，應當及時記錄各設備的基本信息、備份的時間、地點、數據來源、提取過程、使用方法、備份人及見證人名單并簽名。在存儲電子證據時，必須按照科學方法保全，要遠離磁場、高溫、灰塵、潮濕、靜電環境，避免造成電磁介質數據丟失，防止破壞重要的線索和證據。還要注意防磁，特別是使用安裝了無線電通訊設備的交通工具運送電子證據時，要關掉車上的無線設備，以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等存儲的數據。

　　(5)分析電子證據

　　在電子證據分析階段，應當使用相應的備份數據進行非破壞性分析，即通過一定的數據恢復方法將嫌疑人所刪除、修改、隱藏和加密的證據進行盡可能的恢復，在恢復出來的文件資料中分析查找相關線索和證據。同時，詳細記錄數據恢復方法、操作步驟、操作時間、地點、人員信息等內容，以使證據經得起法庭的質證。

　　(6)歸檔電子證據

　　應及時整理取證與分析鑒定的結果并進行分類歸檔保存，主要包括證據收集時，對涉案電子設備的檢查結果，即調查時間、地點、硬盤分區情況、操作系統版本、設備運行狀態等;取證分析階段，設備備份完整性、用戶系統信息、日常軟件操作情況以及對電子證據的分析結果和評估報告等相關信息。讓偵查人員、鑒定人員、檢察官在需要查看證據時，可以迅速的找到并了解相關證據資料。

　　二、電子取證的基本原則

　　(1)依法取證原則

　　1、主體合法，電子證據的取證與司法鑒定主體必須具備法定的取證與司法鑒定資格，只有具備合法的調查取證與司法鑒定身份，才能執行相應的取證與司法鑒定活動。2、對象合法，在調查取證過程中，對于與案件事實無關的數據，不能進行任意地取證，以免侵犯了所有人的隱私權等合法權益。3、手段合法，要求取證人員符合技術操作規范，取證所使用的工具和程序必須通過國家有關主管部門的評測。4、過程合法，要保證備份數據與源文件一致;在不改變數據的前提下對其進行分析;要利用傳統的音視頻采集工具，對取證過程進行全程記錄，保證證據連續性;要有兩個合法的取證人員同時在場取證;整個取證和鑒定過程必須主動接受監督。

　　(2)無損取證原則

　　1、為了防止由于對涉案設備、系統的操作而損毀某些電子證據，造成證據收集不充分，在電子取證的過程中，不能對涉案設備、系統進行任何修改操作，以維護涉案設備、運行環境等全部信息的完整狀態。在數據分析階段，必須先通過只讀鎖對原始數據進行鏡像拷貝，然后再對拷貝數據進行分析，以保證電子證據的客觀性。2、電子證據的實質是存儲在電磁介質中的電磁信息，如果受到外界磁場影響，有可能被消磁而損壞原始數據，因此，對于收集到的電子證據應妥善保管，采取遠離高磁場、高溫環境、避免靜電、潮濕、灰塵和擠壓等措施，以保證電子證據的完整性。

　　(3)全面取證原則

　　在電子取證與鑒定過程中，應該盡可能地全面調查取證，認真分析電子證據的來源并進行全方位、多角度的取證和分析，在確保證據與案件事實關聯的基礎上，將獲得的所有電子證據結合案件的其他證據，相互印證，排除矛盾的電子證據，最終形成完整的證據鏈條。

　　(4)及時取證原則

　　電子證據一般是在操作系統運行過程中自動、實時生成，系統經過一段時間的運行，很可能會造成信息系統的變化，如網絡的審核記錄、系統日志、進程通信信息都會或多或少產生變化，這些數據信息則不再能夠如實反映案件事實。因而電子證據具有一定的時效性，在確定取證對象之后，應該盡早收集證據，保證相關電子數據沒有受到任何破壞或損失，維持其與案件事實的關聯性。

【電子取證流程與基本原則】相關文章：

直接取證及美國域外取證制度評析（上）01-07

電子商務環境下的跨組織流程論文11-17

營銷困境與貿易企業電子商務流程再造03-21

網絡環境中如何取證03-20

電子商務環境下企業業務流程重組的探討03-21

論物權法的基本原則01-14

抽樣取證的意義及當前存在的問題11-22

審計取證模式的發展與探索03-20

電子商務環境下的保險公司業務流程再造03-25