电子取证是指利用计算机软硬件技术,以符合
法律规范的方式对计算机入侵、破坏、欺诈、攻击等
犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,
计算机犯罪取证是一个对受侵
计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作
犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
随着
计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集
电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的
计算机数据及提供相关的
电子资料证据就是电子取证。
由于
电子证据的特殊性,在收集电子证据时,首先需由提供证据单位的计算机操作人员打开电脑,查找所需收集的证据。当找到证据时,取证人员应通过显示器观察和确认该文件的
形成时间。然后由操作人员打开文件,由取证人员确认该文件系所要收集的证据后,采用相应的方式予以提取固定。在查找证据过程中,如遇文件找不到或打不开等问题,应及时通知专业人员予以协助。同时,为确保电子证据的原始性、真实性、合法性,在电子证据的收集时应采用专业的
数据复制备份设备将电子证据文件复制备份,要求数据复制设备需具备只读设计以及自动校准等功能。
常用的固定
电子证据的方式,有打印和拷贝两种。通常情况下应当采用
打印方式,或两种方式同时使用。只有在文件较多不方便现场打印的情况下,才可以单独使用拷贝方式。
采用打印方式取证,是将计算机
文件打印到纸张上。打印文件时,取证人员必须现场监督打印过程,防止计算机操作人员在打印过程中修改文件。打印完毕后,可以按照书证的
固定方法,予以固定,但应当注明数据信息在计算机中存放于那个
文件夹中。
采用拷贝方式取证,是将计算机文件拷贝到
软盘、光盘中。取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查。首先进行
病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先消毒,后打开文件检查。
在审查电子证据真实性过程中,首先必须严格审查电子证据的来源。在证据采信过程中,主要体现在如下几个方面:第一,证据的来源必须是
客观存在的,排除臆造出来的可能性;第二,确定
证据来源的真实可靠性,根据电子证据形成的时间、地点、对象、制作人、制作过程及设备情况,明确电子证据所反映的是否真实可靠,有无伪造和删改的可能。如
网络银行出具的支付、结算凭据,
EDI中心提供的提单签发、传输记录,
CA认证中心提供的认证或
公证书等就具有相当的可靠性和较强的
证明力。
其次审查
电子证据的内容。结合电子证据本身的
技术含量及加密条件、加密方法,判断电子证据是否真实、有无剪裁、拼凑、伪造、篡改等,对于自相矛盾、内容前后不一致或不符合情理的电子证据,应谨慎审查。
最后根据原则结合其他证据进行审查
分析判断电子证据是否真实。多个连续的电子证据
经过时间空间上的排列、组合之后,应同网络
犯罪行为的发生、发展过程和结果一致,形成一个完整的证明体系,相互印证,所得出的结论是本案的结论。如审查有无电子证据所反映的事实,同有关
书证、物证、
证人证言是否互相吻合,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为定案根据,反之则不能作为定案根据。