進(jìn)一步加強(qiáng)電子取證在稽查辦案中的應(yīng)用

            摘要：隨著電子計(jì)算技術(shù)的迅猛發(fā)展，尤其是移動(dòng)新媒體設(shè)備的發(fā)展，使得資本市場(chǎng)上交易電子化、網(wǎng)絡(luò)化及過(guò)程更加迅捷，相關(guān)計(jì)算機(jī)違法犯罪案件一直在逐年增加，如何提高電子信息技術(shù)取證在稽查執(zhí)法中應(yīng)用，成為迫在眉睫的問(wèn)題。本文通過(guò)分析當(dāng)前電子取證面臨的問(wèn)題和困難，對(duì)如何進(jìn)一步加強(qiáng)電子取證在稽查辦案中的應(yīng)用提出有關(guān)建議和意見(jiàn)。

關(guān)鍵詞：現(xiàn)狀  電子取證  稽查執(zhí)法應(yīng)用  建議

前言：隨著計(jì)算機(jī)的普及和計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，以計(jì)算機(jī)為犯罪目標(biāo)和以計(jì)算機(jī)為犯罪手段的網(wǎng)絡(luò)犯罪呈現(xiàn)出驚人的增長(zhǎng)速度。為了調(diào)查這些犯罪行為，計(jì)算機(jī)取證技術(shù)顯得尤為重要。計(jì)算機(jī)取證技術(shù)發(fā)展將近20年，計(jì)算機(jī)取證的定義由 International Association of Computer Specialists (IACIS)在1991年美國(guó)舉行的國(guó)際計(jì)算機(jī)專(zhuān)家會(huì)議上首次提出。計(jì)算機(jī)取證也稱(chēng)數(shù)字取證、電子取證，是指對(duì)取證人員如何按照符合法律規(guī)范的方式，對(duì)能夠成為合法、可靠、可信的、存在于計(jì)算機(jī)、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識(shí)別、獲取、傳輸、保存、分析和提交數(shù)字證據(jù)的過(guò)程。數(shù)字證據(jù)一般情況下是指關(guān)鍵的文件，圖片和郵件，有時(shí)候則應(yīng)要求重現(xiàn)計(jì)算機(jī)在過(guò)去工作中的細(xì)節(jié)，比如入侵取證，網(wǎng)絡(luò)活動(dòng)狀態(tài)取證等。電子證據(jù)與傳統(tǒng)物證相比較，具有技術(shù)性、復(fù)合性、無(wú)形性、脆弱性等特性。

在近兩年的各類(lèi)稽查案件中，電子證據(jù)的占比越來(lái)越高。2011年7月發(fā)布的《最高人民法院關(guān)于審理證券行政處罰案件證據(jù)若干問(wèn)題的座談會(huì)紀(jì)要》也專(zhuān)門(mén)就電子數(shù)據(jù)證據(jù)作出了規(guī)定。這些都表明電子證據(jù)在證券稽查案件中的重要性日益突出，提高電子取證能力是當(dāng)務(wù)之急。因此，我們應(yīng)當(dāng)充分認(rèn)識(shí)電子取證的重要性，認(rèn)真分析現(xiàn)狀，研究提出解決方案，盡快提升電子取證能力，提高案件調(diào)查效率。

一、電子證據(jù)的主要特點(diǎn)及取證方式

（一）電子證據(jù)的特點(diǎn)。證據(jù)三性包括了真實(shí)性、關(guān)聯(lián)性、合法性。電子數(shù)據(jù)也須具備關(guān)聯(lián)性、合法性與真實(shí)性，才可能作為電子證據(jù)。電子取證的重點(diǎn)之一是如何保證電子證據(jù)的真實(shí)性。

電子證據(jù)的主要特點(diǎn)包括：1、電子證據(jù)的載體的多樣性；2、技術(shù)依賴(lài)性；3、形式復(fù)合性；4、存儲(chǔ)與傳遞的隱蔽性；5、易毀壞易變?cè)煨裕?span lang="EN-US">6、可恢復(fù)性。證券業(yè)中的電子數(shù)據(jù)還存在著數(shù)據(jù)量大、復(fù)雜性高、數(shù)據(jù)脆弱等特點(diǎn)。

證券行政執(zhí)法現(xiàn)場(chǎng)電子取證的特點(diǎn)：往往只有一次取證機(jī)會(huì)，一般無(wú)法帶走原始載體，同時(shí)電子證據(jù)還具有一定的隱蔽性。因此取證動(dòng)作要快，同時(shí)需要多名取證人員協(xié)作配合等。

（二）電子取證技術(shù)分類(lèi)。由于電子數(shù)據(jù)自身的特點(diǎn)，電子證據(jù)取證的方式可以分為靜態(tài)取證和動(dòng)態(tài)取證。

1.靜態(tài)取證

靜態(tài)取證主要是對(duì)計(jì)算機(jī)存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行保全、恢復(fù)、分析，主要涉及到數(shù)據(jù)保護(hù)技術(shù)、磁盤(pán)鏡像拷貝技術(shù)、隱藏?cái)?shù)據(jù)識(shí)別和提取技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)分析技術(shù)、磁力顯微鏡技術(shù)、加解密技術(shù)和數(shù)據(jù)挖掘技術(shù)。目前，國(guó)內(nèi)外對(duì)相關(guān)技術(shù)研究比較多，也有比較成熟的取證軟件。

針對(duì)計(jì)算機(jī)靜態(tài)取證技術(shù)，目前反取證技術(shù)主要有：數(shù)據(jù)摧毀技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)擦除技術(shù)、數(shù)據(jù)隱藏技術(shù)和數(shù)據(jù)混淆技術(shù)，這些技術(shù)可以單獨(dú)使用也可以混合使用。如果采用這些方法消除操作系統(tǒng)中的敏感信息，有可能使取證人員得不到電子證據(jù)，給計(jì)算機(jī)取證工作帶來(lái)了一定的難度。傳統(tǒng)的計(jì)算機(jī)取證主要針對(duì)穩(wěn)定的數(shù)據(jù)，包括未刪除和已刪除的文件、windows 注冊(cè)表、臨時(shí)文件、交換文件、休眠文件、slack 空間、瀏覽器緩存和各種可移動(dòng)的介質(zhì)等。不同于傳統(tǒng)的計(jì)算機(jī)取證，計(jì)算機(jī)內(nèi)存取證是從內(nèi)存中提取信息，這些信息被稱(chēng)為揮發(fā)（易失）數(shù)據(jù)，揮發(fā)數(shù)據(jù)是指存在于正在運(yùn)行的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備的內(nèi)存中的數(shù)據(jù)，關(guān)機(jī)或重啟后這些數(shù)據(jù)將不復(fù)存在。

2.動(dòng)態(tài)取證

因?yàn)殪o態(tài)取證技術(shù)涉及到基礎(chǔ)研究，因此在靜態(tài)取證中所涉及到的技術(shù)大部分都適用動(dòng)態(tài)取證，也是屬于動(dòng)態(tài)取證技術(shù)中的一部分。在動(dòng)態(tài)取證中最具特色的取證技術(shù)有入侵檢測(cè)取證技術(shù)、網(wǎng)絡(luò)追蹤技術(shù)、信息搜索與過(guò)濾技術(shù)、陷阱網(wǎng)絡(luò)取證技術(shù)、動(dòng)態(tài)獲取內(nèi)存信息技術(shù)、人工智能和數(shù)據(jù)挖掘技術(shù)，IP地址獲取技術(shù)等技術(shù)。針對(duì)計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)，其反取證技術(shù)除包含靜態(tài)反取證技術(shù)的相關(guān)內(nèi)容外，還有以下反取證技術(shù)：數(shù)據(jù)轉(zhuǎn)換技術(shù)、數(shù)據(jù)混淆技術(shù)、防止數(shù)據(jù)創(chuàng)建技術(shù)，以及相關(guān)的黑客木馬技術(shù)等。同樣這些技術(shù)可以單獨(dú)使用也可以混合使用，這些技術(shù)的使用在一定程度上給取證人員帶來(lái)了一定的困難。

目前我國(guó)計(jì)算機(jī)取證技術(shù)和反取證技術(shù)還處于起步研究階段，越來(lái)越多的數(shù)據(jù)保護(hù)、加密、隱藏技術(shù)應(yīng)用于計(jì)算機(jī)犯罪和反取證。計(jì)算機(jī)取證環(huán)境也越來(lái)越復(fù)雜，其靜態(tài)取證和動(dòng)態(tài)取證相互之間的界限也越來(lái)越模糊，取證過(guò)程的系統(tǒng)化、智能化和合法化將是日后取證技術(shù)研究的重要方向。

二、充分認(rèn)識(shí)電子取證的重要性

（一）提高電子取證能力是適應(yīng)形勢(shì)發(fā)展的必然要求。證券監(jiān)管部門(mén)和市場(chǎng)違法者是博弈關(guān)系，雙方博弈的過(guò)程是不斷形成均衡和打破均衡的過(guò)程。站在監(jiān)管者的角度，均衡就是監(jiān)管資源和監(jiān)管技術(shù)足以遏制某種違法行為，并能夠有效震懾潛在的違法者的理想狀態(tài)。隨著資本市場(chǎng)的高速發(fā)展，實(shí)現(xiàn)監(jiān)管均衡的技術(shù)難度越來(lái)越大。一方面證券市場(chǎng)信息化程度越來(lái)越高，很多違法行為都被包裝在電子化、網(wǎng)絡(luò)化和無(wú)線化的外衣之下，另一方面監(jiān)管部門(mén)的監(jiān)管意識(shí)、監(jiān)管資源和監(jiān)管技術(shù)難以滿(mǎn)足信息化的要求，我們的電子取證能力不足，還不能高效的發(fā)現(xiàn)并查處證券、期貨違法行為。因此，我們必須順應(yīng)形勢(shì)發(fā)展的需要，把電子取證作為提升稽查辦案能力的核心問(wèn)題抓緊抓好。

（二）提高電子取證能力是提高稽查效率的必然要求。電子取證能力包含兩方面，一是稽查執(zhí)法部門(mén)自身的信息化程度，我們還沒(méi)有能夠集成稽查現(xiàn)場(chǎng)調(diào)查、證據(jù)分析整理、案件過(guò)程管理等功能的信息系統(tǒng)平臺(tái)。二是獲取電子證據(jù)的信息化程度。對(duì)書(shū)證等有形證據(jù)的獲取我們積累了大量的經(jīng)驗(yàn)，但獲取電子證據(jù)我們還處于初級(jí)階段，盲目性、隨意性較大。不論是哪一種情況，都極大的影響了稽查工作效率，浪費(fèi)了大量調(diào)查時(shí)間。有的時(shí)間流失在松散無(wú)序的案件管理過(guò)程當(dāng)中；有的時(shí)間流失在面對(duì)電子證據(jù)的手足無(wú)措當(dāng)中。甚至因?yàn)闊o(wú)法獲取關(guān)鍵的電子證據(jù)而導(dǎo)致案件定性的方向性錯(cuò)誤。因此，我們要提高案件調(diào)查效率，必須以提高電子取證能力為突破口，全面提升案件管理能力和獲取電子證據(jù)能力。

（三）提高電子取證能力是提升隊(duì)伍素質(zhì)的必然要求。應(yīng)當(dāng)看出，今后電子取證將成為稽查執(zhí)法中的常態(tài)工作，電子證據(jù)在辦理證券、期貨違法案件中起到愈發(fā)關(guān)鍵的作用。而目前，證監(jiān)會(huì)系統(tǒng)，尤其是派出機(jī)構(gòu)的稽查執(zhí)法人員大部分都集中在會(huì)計(jì)、財(cái)經(jīng)和法律領(lǐng)域，信息技術(shù)方面的人才已經(jīng)成為短板。因此，提升稽查隊(duì)伍電子取證能力成為重中之重。

三、安徽證監(jiān)局電子取證工作的現(xiàn)狀

近兩年，我們已經(jīng)逐步加大電子取證的力度，在所有正式和非正式案件調(diào)查當(dāng)中，把調(diào)取通訊記錄、電子郵件、IP地址以及重要信息的電子記錄作為必須執(zhí)行的程序，也取得了不錯(cuò)的效果。但是我們的電子取證工作既存在主觀方面的不足，也面臨一些客觀困難。主觀不足表現(xiàn)在三個(gè)方面：

（一）電子取證意識(shí)有待加強(qiáng)。一是責(zé)任意識(shí)不足，習(xí)慣于獲取有形的、書(shū)面的證據(jù)，對(duì)電子證據(jù)存在排斥、輕視的心理。二是證據(jù)挖掘意識(shí)不足，對(duì)電子數(shù)據(jù)采取一般性、表面化的調(diào)查方式，不能或不愿深入挖掘深層次的證據(jù)，導(dǎo)致可能取得的證據(jù)流失。三是程序意識(shí)淡薄，電子取證的程序要求比書(shū)證更高，但在調(diào)查過(guò)程中往往疏于制作收集電子數(shù)據(jù)的筆錄，導(dǎo)致電子證據(jù)無(wú)法有效固定。

（二）電子取證制度有待健全。一是沒(méi)有將電子取證納入稽查執(zhí)法責(zé)任制，沒(méi)有規(guī)定電子取證的責(zé)任人、責(zé)任邊界、責(zé)任追究、免責(zé)等問(wèn)題。二是沒(méi)有建立電子取證工作制度，未對(duì)電子證據(jù)的提取、固定、保存、恢復(fù)即破解等實(shí)體程序作出全面細(xì)致的規(guī)定。三是沒(méi)有具備可操作性的電子取證流程方法。

（三）調(diào)查人員素質(zhì)有待提高。一是大部分調(diào)查人員不具備獨(dú)立進(jìn)行電子取證的基本知識(shí)和技能。二是缺乏計(jì)算機(jī)和信息技術(shù)方面的專(zhuān)門(mén)人才。三是缺乏電子取證的人員培訓(xùn)、培養(yǎng)計(jì)劃。

（四）取證設(shè)備缺乏。硬件不足，缺乏案件調(diào)查必需的電子數(shù)據(jù)提取設(shè)備、存儲(chǔ)設(shè)備以及記錄取證過(guò)程的錄像、拍照設(shè)備。

（五）尋求外部協(xié)作難度大。由于與公安、工信部門(mén)沒(méi)有建立順暢的協(xié)作機(jī)制，不少案件在IP地址落地、通訊記錄調(diào)取、手機(jī)號(hào)歸屬確認(rèn)等方面存在很大困難，輕則耽誤時(shí)間，嚴(yán)重的導(dǎo)致案件無(wú)法推進(jìn)。

四、稽查辦案時(shí)運(yùn)用電子取證應(yīng)注意的事項(xiàng)

由于電子證據(jù)與生俱來(lái)的易破壞性、高科技性等特征，且相關(guān)法律法規(guī)對(duì)電子取證要求十分嚴(yán)格，因此我們?cè)诶秒娮有畔⒓夹g(shù)提取有關(guān)證據(jù)資料時(shí)一定要謹(jǐn)慎，不僅要保證數(shù)據(jù)物理完整性，更重要的是保證其所包含的電子信息的完整性。

1.切勿對(duì)電子信息進(jìn)行修改。有些時(shí)候，這種修改并非是取證人員有意為之，可能在取證人員不經(jīng)意間對(duì)物證進(jìn)行了更改。例如：取證人員在提取電腦物證時(shí)，對(duì)關(guān)機(jī)狀態(tài)的電腦進(jìn)行開(kāi)機(jī)操作，這樣會(huì)使開(kāi)機(jī)的最后時(shí)間，和部分文件的修改時(shí)間產(chǎn)生變化，有可能對(duì)物證的提取造成不利影響。

2.保證電子信息的完整性。如果在提取物證電腦時(shí)，嫌疑人正在使用電腦或者電腦處于開(kāi)機(jī)狀態(tài)，這時(shí)取證人員也不要對(duì)電腦進(jìn)行操作。為了保證電子信息的完整和全面，最好是使用專(zhuān)門(mén)的工具進(jìn)行現(xiàn)場(chǎng)保存數(shù)據(jù)。但在日常工作中可能很難配置眾多移動(dòng)設(shè)備，這時(shí)最好是對(duì)電腦直接關(guān)閉電源。這里指的關(guān)閉電源并非我們?nèi)粘Ｊ褂秒娔X的關(guān)機(jī)，而是對(duì)電源插頭直接拔出。這樣做的好處是：一是最好的保證了數(shù)據(jù)的完整性。因?yàn)槿魏尾僮鞫紩?huì)對(duì)部分?jǐn)?shù)據(jù)進(jìn)行更改。二是防止揮發(fā)性數(shù)據(jù)丟失。當(dāng)嫌疑人進(jìn)行操作時(shí)，可能有些加密文件正處于打開(kāi)狀態(tài)，這時(shí)按日常的操作關(guān)閉程序會(huì)使加密文件重新變回加密狀態(tài)，另外任何操作都會(huì)使內(nèi)存中可能存在的一些電子證據(jù)被破壞。而直接關(guān)機(jī)則可保證臨時(shí)文件和內(nèi)存中的數(shù)據(jù)都被較為完整的保留，便于下一步工作的展開(kāi)。

3.注意提取周邊設(shè)備、周邊物證。在提取電腦數(shù)據(jù)的過(guò)程中，應(yīng)考慮到同時(shí)提取該計(jì)算機(jī)的外圍硬件，如打印機(jī)、掃描儀、U盤(pán)、移動(dòng)硬盤(pán)等。在提取電子設(shè)備時(shí)，在周邊可能還會(huì)存在一些相關(guān)的非電子信息物證，例如記錄在紙上的口令，打印出來(lái)的文字、圖表和照片等，這些相關(guān)的物證檢材可能對(duì)后期的電子證據(jù)檢驗(yàn)起到重要幫助，因此也應(yīng)該一起提取。

4.保證數(shù)據(jù)安全。電子設(shè)備和存儲(chǔ)介質(zhì)很容易受到損壞，所以必須小心保存和運(yùn)輸。因?yàn)殡娮有畔⑾鄬?duì)于物理證據(jù)更容易被丟失和損壞。除了同物理證據(jù)一樣需要防火、防水和防盜之外，在存放和運(yùn)輸過(guò)程中，還必須避開(kāi)強(qiáng)電磁場(chǎng)，高溫和高濕環(huán)境也會(huì)對(duì)電子證據(jù)檢材產(chǎn)生很大危害。同時(shí)還應(yīng)當(dāng)注意采取防震措施，當(dāng)電子設(shè)備特別是硬盤(pán)，受到超過(guò)一定強(qiáng)度的沖擊力后，即使外觀沒(méi)有可見(jiàn)損傷，但設(shè)備內(nèi)部也受到損壞。

5.一定要有備份。所提取的數(shù)據(jù)，很可能要進(jìn)行后期比對(duì)分析，這樣容易對(duì)原數(shù)據(jù)進(jìn)行改動(dòng)，因此，在提取資料時(shí)一定要多提取一份，以備分析或查看。

五、提升電子取證水平的措施和建議

（一）開(kāi)展電子取證專(zhuān)題培訓(xùn)，強(qiáng)化電子取證意識(shí)。首先請(qǐng)稽查總隊(duì)的專(zhuān)家到我局進(jìn)行電子取證專(zhuān)題授課，普及電子取證知識(shí)的同時(shí)，提高我們對(duì)電子取證的重視程度。其次要組織電子取證專(zhuān)題調(diào)研，對(duì)今年所辦案件中電子取證方面的得失進(jìn)行分析，提出完善電子取證工作規(guī)劃。通過(guò)不同形式的培訓(xùn)和調(diào)研，不僅使全體稽查人員了解電子取證的基本知識(shí)，還要強(qiáng)化大家的責(zé)任意識(shí)、證據(jù)意識(shí)、程序意識(shí)。

（二）制定電子取證工作制度，規(guī)范電子取證行為。明確處室電子取證負(fù)責(zé)人及其職責(zé)范圍，案件調(diào)查組電子取證責(zé)任人及職責(zé)范圍，其他調(diào)查人員電子取證職責(zé)范圍，責(zé)任追究及考核。同時(shí)，盡快制定出臺(tái)我局稽查案件電子取證工作指引，研究制定電子取證操作指南，包括案例匯總、經(jīng)典調(diào)查程序、工作底稿模板、電子取證程序模板等。

（三）成立電子取證工作小組，加強(qiáng)專(zhuān)業(yè)人員的培養(yǎng)培訓(xùn)。即使是很完善的制度也不能保證電子取證達(dá)到令人滿(mǎn)意的效果，這是電子證據(jù)的復(fù)雜特性所決定的。而起著更加重要作用的是調(diào)查人員的責(zé)任感、敏感性和專(zhuān)業(yè)性。首先要建立一定程度的組織保障，根據(jù)我局實(shí)際情況，建議成立電子取證專(zhuān)業(yè)技術(shù)小組，以稽查處為主，吸收具有相關(guān)專(zhuān)業(yè)背景或從業(yè)經(jīng)驗(yàn)的人員參與，在盡可能短時(shí)間內(nèi)形成一只具有電子取證能力的隊(duì)伍。二是細(xì)化電子取證專(zhuān)業(yè)技術(shù)崗位的責(zé)任和考核。三是開(kāi)展多層次培訓(xùn)，專(zhuān)業(yè)技術(shù)小組要通過(guò)交流學(xué)習(xí)、自我學(xué)習(xí)等方式，掌握電子取證的基本程序和方法，重點(diǎn)是在實(shí)際辦案中加以運(yùn)用并總結(jié)，形成行之有效的電子取證方法體系。

另外，有些問(wèn)題超出派出機(jī)構(gòu)的范疇，建議由會(huì)稽查局統(tǒng)籌解決。一是在派出機(jī)構(gòu)和總隊(duì)之間建立電子取證工作聯(lián)系機(jī)制，由總隊(duì)向派出機(jī)構(gòu)提供技術(shù)支持。二是建立人員交流機(jī)制，稽查局可以安排派出機(jī)構(gòu)人員到稽查總隊(duì)技術(shù)處以干代訓(xùn)。三是建立證監(jiān)會(huì)與公安、工信部門(mén)的協(xié)作機(jī)制，解決IP地址落地、手機(jī)通訊記錄調(diào)取等問(wèn)題。四是在今后的稽查經(jīng)費(fèi)安排中專(zhuān)項(xiàng)設(shè)置電子取證經(jīng)費(fèi)，包括設(shè)備購(gòu)置費(fèi)和日常維護(hù)費(fèi)用。

（安徽證監(jiān)局稽查處）