原创 王粟洋 市场监管半月沙龙
点击标题下「蓝色微信名」可快速关注
为推动《电子商务法》等法律法规应用,进一步提高执法办案队伍能力,首届全国市场监管系统执法办案电子数据取证大比武活动将于2020年12月10日至11日上午正式开幕。为了让大家更好地掌握电子数据取证的相关知识,了解比赛动态,市场监管半月沙龙将组织专题报道,推出系列文章。今天为大家推出首篇文章,欢迎阅读。
电子数据是《行政诉讼法》法定的一种证据类型。原工商总局于2011年专门下发了《关于工商行政管理机关电子数据证据取证工作的指导意见》,对电子证据的定义、取证原则、取证方式、取证程序,以及询问笔录和检查封存的要求作了框架性规定,但目前仍未制定具有可操作性的电子数据取证细则规范,加上基层缺乏专业人员、缺少专业设备和鉴证辅助,严重影响了涉及电子数据取证案件的查办。根据现行相关法律法规、标准规范和《司法鉴定程序通则》等,可以归纳出贴切于市场监管行政执法实际的电子数据取证四个要点 :取证准备、证据识别、证据收集固定、证据分析。简要分析如下:
1.
取证准备
取证人员在前往现场进行检查取证前,必须做好充分的准备工作,包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的计算机有几台等。根据所了解的案情,确认前往现场检查的执法人员并准备好取证设备。取证人员应做好以下预案。
1.1 进入现场预案
根据计划查明计算机的类型、数量和涉及的介质,准备需要的软件、硬件 ;确保预先拥有工具箱的所有工具,如刻录机和开机工具 ;拥有备份和复制所必需的介质,如空白光盘或硬盘。
1.2 人员分配预案
充分考虑什么样的人员适合什么样的工作,也是准备工作的一部分。检查过程中执法人员需要根据自身知识特长进行分工协作,所需掌握的知识主要包括现场检查的基本流程及注意事项、主要电子文件类型的识别、电子证据的固定流程和方法、正确扣押计算机的手段、现场检查笔录和取证笔录的制作。
1.3 现场检查预案
为确保整个检查过程能顺利进行,主要注意以下几个问题:
正确对待现场涉案人员。随着计算机科学技术的广泛应用,当事人往往会雇佣具有较高计算机编程能力的职工进行网站管理和后台运作,同时由于手机等可携带设备的高度智能化,现场任何人员均可通过联网电脑或联网手机远程关闭网站服务器或远程删除涉案电子数据,所以应正确对待现场任何一名涉案人员,而非简单地只针对负责人或财务人员。
正确对待现场所有设备。电子证据具有易失、易被修改的特点,其中易被修改包含两个层面的意思 :一方面是数据在被作为证据固定前可能被修改,例如我们在现场取证时经常发现涉案电脑有现场被删改或重启、关闭的痕迹;另一方面是调查取证人员自身在收集电子证据的过程中,由于取证方法或取证流程不当等原因,造成原始证据被修改。因此,现场检查人员在调查每一个电子介质的时候,都要求所取证设备在取证过程中未受第三人不当操作并完整记录检查的每一个步骤。
正确考虑现场以外的涉案因素。检查人员在现场应充分考虑在现场检查过程中,待检查计算机是否处于联网状态,是否需要处理联网状态。从原则性讲,在调查的过程中应将网络断开,防止违法经营人员或同伙通过远程方式进行数据删除等破坏工作。但是,由于部分案件的特殊性,如网络传销案件或网络刷单案件,其大部分会员数据和网站相关数据均存放在远程代理服务器中,服务器所在地和经营场所所在地不在一起,而两边同时进行检查的难度又极高。这时候对涉案经营场所的联网电脑进行细致检查,寻找远程服务器访问记录或数据备份就显得至关重要。
1.4 准备好相关现场检查手续
在对当事人经营场所进行电子数据的取证工作时,除了像常规行政执法案件一样需要制作《现场检查笔录》《询问通知书》等文书外,还需要准备相应的取证笔录文书。取证笔录是指将取证证据种类、方式、过程、内容等取证情况通过制作笔录方式进行固定。电子取证所做的现场笔录,相比一般案件实施现场检查时制作的现场笔录,专业性要求更高,内容也更详细,一般包括以下内容 :检查时间 ;检查地点 ;当事人身份信息 ;检查人员身份信息 ;检查目标及证明对象 ;电子数据原始载体保存情况 ;取证使用的方法和工具 ;取证步骤 ;证据形成数量及保存方式 ;执法人员和证据提供人签名或盖章。当事人拒绝签名或盖章的,应当在笔录中注明,并邀请适格见证人在笔录签名或盖章予以见证。同时,有扣押当事人电子介质的,还要制作相应的《实施强制措施决定书》《证据清单》与取证笔录相互印证,形成现场检查完整证据链。
2.
证据识别
在现场,能否有效地识别并收集电子数据证据,对后期证据分析与展示至关重要。
2.1 确定重点检查区域
重点区域根据不同案件类型进行具体划分,常见如下:网络传销案件重点区域为网站管理员办公电脑和服务器 ;网络售假案件重点区域为发货人员办公电脑和仓管系统管理员电脑;网络广告案件重点区域为网站运营、美工设计人员办公电脑;网络刷单案件重点区域为“刷手”办公电脑和刷单系统服务器……
2.2 快速进行证据识别
利用电子设备进行违法经营的活动越来越多,案件现场可能出现各种各样的电子证据,覆盖范围从台式计算机到智能手机到便携 U盘。这些介质上的图形文件、音频文件、文本文件以及其他数据很容易被删改或被忽略。这就要求现场检查人员依据相关法规,有方法、有技巧地对这些设备进行识别和检查。
2.3 现场拍照/录像
现场检查人员在接触设备之前,应该通过拍照、执法记录仪录像等方式对现场进行记录,只有该区域已经被记录,才可以展开检查取证工作。整个现场检查过程也应被详细记录。
拍摄的照片必须能够清晰显示重要的证据信息,特别是反映当前系统中应用程序的运行状态。例如,用户正在浏览的网页及该网页上显示的登陆账号信息、用户正在使用的聊天软件上显示的账号、用户正在使用的财务软件和货物调配软件显示的内容等。
对于需要保持联网进行实时取证的设备,应该通过实时录像进行记录,录像应记录下检查人员实时取证的整个操作过程。这里需要注意的是,在录像时应保持对整个操作界面的录像,而不是只拍摄检查人员在操作设备却未拍到操作设备的屏幕内容。
3.
证据收集、固定
3.1 静态电子数据的现场复制取证
电子数据的提取有多种方式。在存储介质没有通电的情况下,存储在该介质中的电子数据会处于相对稳定的状态,也可以称之为静态。对于静态电子数据,一般的处理方法相对比较简单,需要借助专门的设备或工具来读取,同时要保证不会篡改介质中存储的数据。通过存储介质进行位对位复制及磁盘镜像制作是最为通用的静态提取方法。在进行电子取证的案件中,通常采用硬盘复制机设备对原始计算机硬盘进行位对位复制,这样可以有效保证原始硬盘处于写保护状态下,将其中的数据完整、精确地复制到另一个硬盘副本。复制完后,硬盘复制机会生成完整性校验值(通常为哈希值),检查人员应当记下该值以备使用,必要情况下还应将该值记录在相应的取证笔录和证据清单上,不仅可以用来检验生成的复制数据与源硬盘数据的一致性,还可以确保复制数据的完整性。除了复制取证外,还可以使用镜像制作的方法对静态电子数据进行取证。通常使用专业的镜像制作软件将源硬盘数据制作成 E01镜像文件,后续可以基于镜像文件进行分析,不对封存的源硬盘进行任何读写。
3.2 动态电子数据的现场复制取证
动态电子数据是指正在运行的电子数据,通常指现场正在运行的软件、文档、加密容器、在线网页或服务器等。动态电子数据特别是在线电子数据的提取,相较于静态电子数据的提取,难度更大且证明力更低。电子证据的原始性是认定其真实性的重要依据。由于动态电子数据(大部分为在线数据)是实时更新的,无法保持证据的原始状态,甚至在质证过程中,当事人完全可将在线数据进行删改从而无法进行“查证”,更谈不上确认“属实”。所以在现场针对动态电子数据进行取证时,除了可以提前邀请鉴定人或公证员进行鉴定公证外,还可以在当事人或见证人在场的情况下,使用当事人实时联网的计算机进行取证。现场检查所取得的证据比询问调查所取得证据更具有可信度,且所取得互联网电子证据可与《现场检查笔录》相互印证。以取证网页数据为例,动态电子数据的具体取证操作程序如下:
一是在电脑上运行屏幕录像软件开始录屏,同时使用外置摄像机设备(推荐使用执法记录仪)对整个操作过程进行录像。
二是到国家授时中心(或百度搜索北京时间)查看标准时间,将电脑时间和录像机时间调整准确。
三是对电脑安全性及操作环境进行清洁性检查:使用杀毒软件进行全盘查杀(以保证取证 电 脑未受病毒和木马感染入侵);打开任务管理器,查看程序与进程(以保证取证电脑未装后门程序);在IE浏览器的Internet选项下的“常规”选项中选择删除“浏览历史记录”并删除默认网址,输入“about:blank”,在“连接”选项中点击“局域网”设置(以保证取证电脑没有连接网络代理);用记事本程序打开检查取证电脑 hosts 文件(以保证取证电脑未经人为篡改系统、未被连接到虚拟网站);在cmd命令窗口输入“ipconfig/all”查看本地电脑 IP 地址(以保证取证电脑接入互联网的真实性);在命令窗口输 入“ping www.***.com”(以确认目标页面IP地址,保证接入网站的真实性。*** 指被取证的网站网址);在命令窗口输入“tracert***.com”(以确认连接到目标页面网络服务器的路径,保证接入网站的真实性)。
四是通过百度搜索、淘宝或京东高级搜索等进入要取证的网页或网店及查看网站ICP 备案 等信息(以此种方法证明该网页已自动被各类搜索引擎抓取记录,从而能够为网民所接触)。
五是打开 IE 浏览器,输入被取证网站网址。在取证网页内容过程中,应将网页页面文件及页面截屏进行保存。网页文件保存方法为点击 IE 菜单栏下“文件”选项,然后选“另存为”,即可将网页(.mht)保存在本机电脑上。页面截屏保存方法是就是使用计算机键盘中自带的“Prt Sc”屏幕截屏功能或者专门的屏幕截屏软件,对计算机屏幕中打开的网页显示界面进行截图,保存成图片文档格式。截屏时,不仅要注意对存在涉嫌违法信息内容的那部分界面进行截屏,还要对其他相关联界面也进行截屏,以保证证据信息的完整性和连贯性,综合反映所使用的网页浏览器、网页网址、涉嫌违法信息在网页中的分布、操作时间等信息。有些网页被设置不能保存网页页面文件,按以下方法进行取证 :在浏览器中选择打印网页,将目标打印机更改为“另存为 PDF”,然后将网页保存为 PDF格式。
六是取证完毕后,应及时将取证的电子数据证据内容刻录在CD-R型或DVD-R型光盘上。必要情况下还需要对源文件和刻录盘上复制文件进行完整性校验值检验,确保完整一致性。
七是光盘刻录后,即时密封,封存袋上应注明数据来源、取证人员、证明对象、取证时间等信息,并标明“与原始数据一致”等字样,同时由执法人员和当事人或者见证人签名确认。
另外,在实际办案中,执法人员还需要对电子邮件、聊天软件聊天记录、在线财务软件现金流记录等其他动态电子数据进行取证,其取证方法与网页取证基本一致,即采用“录像截屏 +导出保存+刻录封存”方法进行证据固定。
3.3 制作取证笔录
现场检查过程除了采用拍照、录像等方式记录外,还必须制作《计算机证据提存笔录》,除了要将上述取证步骤逐一记录外,还应该全面翔实地记载工作记录,包括上网方式、电脑型号、取证开始时间、文件下载过程、取证结束时间、光盘刻录时间、光盘刻录份数等。最后再由执法人员和当事人签名或盖章。当事人拒绝签名或盖章的,应当在笔录中注明,并邀请适格见证人在笔录签名或盖章予以见证。同时应在《现场检查笔录》上体现这一取证过程,与取证笔录相互印证。
3.4 填写清单、封存证物
证据封存,是为了保护原始数据而对数据存储介质采取的保全措施。证据封存可以采取整机封存的方式,也可以对单一介质进行封存。封存的原则是 :保证封条贴在正确的位置,保证除非破坏封条,否则无法使用封存设备 ;对于可移动介质,如移动硬盘、U 盘等,可以贴上标签,然后用信封或防静电证据袋装好,封条则贴在封口处 ;每个封装袋必须贴上封条,并让当事人在封条上签字确认 ;证物须贴上标签或者使用专门的证据粘贴纸,做好证据编号并填写《证据清单》,注明提取的证据、提取时间、人员姓名以及设备的名称、型号等信息。
4.
证据分析
4.1 关键字搜索
关键字搜索技术是目前最为有效的数据分析技术。对所收集到的电子数据,采用关键字全文搜索技术,从中发现相关证据。执法人员可以根据关键字迅速找到其关联的文件,从而顺藤摸瓜,找到其他重要信息,缩小分析范围。但是关键字搜索技术不能仅依靠人力查看,还需要依靠功能强大的分析软件。这就要求分析软件有较为完善的算法,尽可能全面地匹配格式,才能尽快在海量信息里找到有效证据。目前主流的取证软件都有很强的关键字全文搜索能力。
4.2 日志分析
计算机日志包含系统日志、安全日志和应用程序日志。日志是至关重要的证据。通过日志分析,可以了解电脑操作记录,以及哪些远程主机、移动设备连接过该主机。这可以帮助执法人员确定违法时间及违法过程。执法人员可以通过手工查看或者使用日志分析工具对日志进行分析,从而快速对目标计算机系统情况有个简明概要的了解。
4.3 文件分析
对目标计算机文档进行归类分析,可重点搜索后缀名为“doc”“txt”“xls”“rar”等办公文件,后缀名为“pst”的电子邮件文档,后缀名为“bak”“db”的数据库文档等,同时对回收站及一些系统临时文件也要特别注意。对涉及网络的案件,还要注意其网页浏览器的收藏夹、历史记录及存放临时文件的“TemporaryInternetFiles”文件夹,这些文件夹保存着用户上网时到过的站点地址、访问时间等资料。
4.4 数据恢复
数据恢复技术主要用于把违法当事人删除或者通过格式化磁盘擦除的电子数据恢复出来。这一过程就是将丢失和遭到破坏的数据还原为正常数据的过程。虽然并不能体现原始的数据存储状态,但是出于使数据可读且可重复验证的前提,这些操作也是合法的,从中得出的数据 是受法律认可的。目前比较流行的数据恢复软件是“Easyrecovery”“Finaldata”。
4.5 密码解析
在很多情况下,执法人员都会面临如何将加密的数据进行解译的问题。目前的加密解密算法及工具很多,电子数据取证中使用的密码破解技术和方法主要有口令字典、重点猜测、穷举破解等技术。其中口令字典一般是基于软件的,而且已经有了多种字典可供使用,这些软件 的破解效率很高。目前比较流行的是“password recoverybuddle”等。
4.6 其他分析技术
电子数据分析技术涵盖内容较为广泛,除了上述提到的常见分析技术外,还包含完整性校验技术、即时通讯软件分析技术、电子邮件分析技术、虚拟机分析技术、加密容器分析技术、数据库分析技术、网络云盘分析技术等。随着取证分析软件的不断升级优化,目前已经有许多专业分析软件(如“Encase”和本次比武所使用的“取证大师”)都实现了各项电子数据分析技术功能的“全家桶”,执法人员仅需灵活掌握一个综合性分析软件的运用就可以轻松解决上述所有分析难题。
作者系福建省市场监督管理局王粟洋
原文刊载于《工商行政管理》2018年15期
发布单位:中国工商出版社 新媒体部(数字出版部)
注重交流执法经验
关注消费维权动态
同护市场公平正义
共观市场经济大潮
权威●专业
半月沙龙微信
①复制“微信号或ID”,在“添加朋友”中粘贴搜索号码关注。
②点击微信右上角的“+”,会出现“添加朋友”,进入“查找公众号”,
输入公众号“市场监管半月沙龙”,即可找到。喜欢此内容的人还喜欢
原标题:《要点解读!电子数据取证在市场监管执法办案中的运用》