近年來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)保密違法案件的不斷增多,電子數(shù)據(jù)取證技術(shù)在保密違法案件查處中的應(yīng)用日益廣泛,作用愈顯重要?紤]到保密違法案件查處這一行政執(zhí)法行為的嚴(yán)肅性和嚴(yán)謹(jǐn)性,甚至可能需要向檢察、法院、公安等機(jī)關(guān)移交處理的特殊要求,客觀上要求采用嚴(yán)格的標(biāo)準(zhǔn)規(guī)范來(lái)保證電子數(shù)據(jù)取證活動(dòng)的客觀公正性。本文對(duì)國(guó)內(nèi)外電子數(shù)據(jù)取證標(biāo)準(zhǔn)化情況進(jìn)行了總結(jié),介紹了國(guó)內(nèi)外電子數(shù)據(jù)取證標(biāo)準(zhǔn)制定和實(shí)施現(xiàn)狀,分析了國(guó)內(nèi)電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范的成果和存在的問(wèn)題,提出了保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)體系建設(shè)設(shè)想。
一、國(guó)際電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究現(xiàn)狀
(一)國(guó)際標(biāo)準(zhǔn)制定情況
國(guó)際上,電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作最突出的是國(guó)際標(biāo)準(zhǔn)化組織(ISO)及國(guó)際電工委員會(huì)IEC)制定的電子取證系列標(biāo)準(zhǔn)。為了規(guī)范電子數(shù)據(jù)取證工作,近年來(lái),ISO/IECJTC1(1號(hào)技術(shù)聯(lián)合委員會(huì))下屬的SC27(27號(hào)委員會(huì))委員會(huì)編制了一系列電子數(shù)據(jù)取證相關(guān)標(biāo)準(zhǔn),并將該領(lǐng)域的系列標(biāo)準(zhǔn)歸入了ISO/IEC27000系列標(biāo)準(zhǔn)(又名“信息安全管理系統(tǒng)標(biāo)準(zhǔn)族”)。
2015年3月,該委員會(huì)發(fā)布了ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和過(guò)程》,提出了電子數(shù)據(jù)取證體系架構(gòu),將取證工作分為電子取證流程(process)和活動(dòng)(activity)兩個(gè)層面:取證流程包括準(zhǔn)備、初始化、獲取、分析和并發(fā)等5類(lèi);采取的取證活動(dòng)包括計(jì)劃,準(zhǔn)備,響應(yīng),識(shí)別、收集、獲取和保存,理解,報(bào)告,關(guān)閉等7種。該取證體系架構(gòu)由已經(jīng)發(fā)布的和正在制定中的10個(gè)標(biāo)準(zhǔn)組成。
ISO/IEC27035:2011《信息技術(shù)安全技術(shù)信息安全事件管理》
ISO/IEC27037:2012《信息技術(shù)安全技術(shù)電子證據(jù)識(shí)別、收集、獲取和保存指南》
ISO/IEC27038:2014《信息技術(shù)安全技術(shù)數(shù)字化修訂規(guī)范》
ISO/IEC27040:2015《信息技術(shù)安全技術(shù)存儲(chǔ)安全》
ISO/IEC27041:2015《信息技術(shù)安全技術(shù)確保事件調(diào)查方法適宜性和充分性指南》
ISO/IEC27042《信息技術(shù)安全技術(shù)電子證據(jù)分析解釋指南》
ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和流程》
ISO/IEC27044《信息技術(shù)安全技術(shù)安全信息和事件管理指南》
ISO/IEC27050《信息技術(shù)安全技術(shù)電子證據(jù)發(fā)現(xiàn)》
ISO/IEC30121:2015《信息技術(shù)電子取證風(fēng)險(xiǎn)框架的管理》
其中,ISO/IEC27037、27041、27042、27043、27050、30121等專(zhuān)為電子數(shù)據(jù)取證制定的標(biāo)準(zhǔn),可直接用于電子數(shù)據(jù)取證活動(dòng),其余標(biāo)準(zhǔn)則包含某些影響或有助于電子數(shù)據(jù)取證相關(guān)活動(dòng)的條款。ISO/IEC27037對(duì)于各種類(lèi)型檢材的取證提供了具體的方法與技術(shù)細(xì)節(jié),其內(nèi)容涵蓋了電子數(shù)據(jù)識(shí)別、收集、獲取和保存的完整過(guò)程。該標(biāo)準(zhǔn)向取證人員介紹了電子數(shù)據(jù)取證過(guò)程中常見(jiàn)情況的應(yīng)對(duì)步驟,其中的現(xiàn)場(chǎng)勘驗(yàn)部分對(duì)于目前的取證工作具有重要的參考意義。ISO/IEC27041為確保在信息安全事件調(diào)查中所使用方法和過(guò)程的適宜性提供了指南,包括要求定義、方法描述、證據(jù)提供的最佳實(shí)踐以及滿(mǎn)足要求的方法實(shí)施。ISO/IEC27042為電子證據(jù)的分析和解釋提供了指南,某種意義上解決了電子證據(jù)分析的連續(xù)性、有效性、可再現(xiàn)性和可重復(fù)性等問(wèn)題。ISO/IEC27043定義了電子取證的原則,并為不同現(xiàn)場(chǎng)或案件電子取證調(diào)查提供了一種理想化的過(guò)程模型,使得按照該流程開(kāi)展的電子取證分析滿(mǎn)足可復(fù)現(xiàn)性要求。ISO/IEC27050涉及電子證據(jù)的發(fā)現(xiàn)階段,特別是電子存儲(chǔ)信息(ESI)的發(fā)現(xiàn)。該標(biāo)準(zhǔn)認(rèn)為電子證據(jù)發(fā)現(xiàn)包括以下主要步驟:識(shí)別、保護(hù)、收集、處理、復(fù)審、生產(chǎn)等幾個(gè)階段。ISO/IEC30121為機(jī)構(gòu)中的領(lǐng)導(dǎo)(包括委員會(huì)成員、高級(jí)管理人員等)提供了開(kāi)展電子取證前如何組織電子數(shù)據(jù)取證工作的最佳方法。
圍繞電子數(shù)據(jù)取證流程(活動(dòng)),ISO/IEC從監(jiān)督管理、流程步驟、保障措施等涉及取證工作的不同方面、不同環(huán)節(jié)分別制定相應(yīng)標(biāo)準(zhǔn)或者引用標(biāo)準(zhǔn)條款,規(guī)范電子取證工作,確保電子數(shù)據(jù)取證工作質(zhì)量,這一標(biāo)準(zhǔn)體系設(shè)計(jì)思路值得借鑒。
(二)美國(guó)標(biāo)準(zhǔn)制定情況
作為信息技術(shù)最發(fā)達(dá)的國(guó)家,美國(guó)早已開(kāi)展了電子數(shù)據(jù)取證相關(guān)工作并積累了大量的經(jīng)驗(yàn),在研究投入上遠(yuǎn)超其他國(guó)家,不僅有眾多研發(fā)專(zhuān)業(yè)化計(jì)算機(jī)取證工具的高科技公司,而且出現(xiàn)了許多專(zhuān)門(mén)的電子數(shù)據(jù)取證機(jī)構(gòu)、實(shí)驗(yàn)室和咨詢(xún)服務(wù)公司。據(jù)統(tǒng)計(jì),美國(guó)至少有70%的法律部門(mén)都擁有自己獨(dú)立的實(shí)驗(yàn)室,在電子取證標(biāo)準(zhǔn)化工作方面,也取得了大量成果。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院、國(guó)家司法研究所、美國(guó)聯(lián)邦調(diào)查局的“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”、美國(guó)試驗(yàn)與材料學(xué)會(huì)國(guó)際組織等機(jī)構(gòu)制定了一系列電子數(shù)據(jù)取證相關(guān)的標(biāo)準(zhǔn)和規(guī)范。
◇美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)出臺(tái)的電子數(shù)據(jù)取證方面的標(biāo)準(zhǔn)和文件包括特別出版物(SP800)系列和內(nèi)部報(bào)告(IRs)系列等,大部分已經(jīng)出臺(tái)的文件都是非強(qiáng)制性的指南,為政府部門(mén)的相關(guān)工作提供實(shí)施的指導(dǎo)性意見(jiàn)。
SP800系列是指南文件,對(duì)聯(lián)邦政府部門(mén)不具備強(qiáng)制性,而只是提供一種供參考的方法或經(jīng)驗(yàn)。目前,SP800系列與電子數(shù)據(jù)取證相關(guān)的標(biāo)準(zhǔn)有:PDA取證指南、移動(dòng)電話(huà)取證指南和應(yīng)急響應(yīng)中使用取證技術(shù)指南(見(jiàn)圖1)。內(nèi)部報(bào)告(IRs)系列主要向特定讀者描述相關(guān)技術(shù)方面的研究?jī)?nèi)容。目前,電子數(shù)據(jù)取證相關(guān)內(nèi)部報(bào)告主要是關(guān)于PDA取證工具、移動(dòng)終端取證工具、移動(dòng)通信協(xié)議取證分析、云計(jì)算取證技術(shù)等技術(shù)研究?jī)?nèi)容。
總的來(lái)說(shuō),NIST針對(duì)電子取證制定的指導(dǎo)性文件并不多,這可能與其職能定位有關(guān),但是為了配合其他機(jī)構(gòu)開(kāi)展電子取證相關(guān)工作,NIST發(fā)起了包括“計(jì)算機(jī)取證工具測(cè)試”項(xiàng)目(Computer Forensics Tool Testing,CFTT)、“國(guó)家軟件參考庫(kù)”項(xiàng)目(National Software Reference Library,NSRL)以及“計(jì)算機(jī)取證參考數(shù)據(jù)集”(Computer Forensic Reference DataSets,CFReDS)在內(nèi)的多個(gè)研究項(xiàng)目。其中,CFTT項(xiàng)目旨在為確保執(zhí)法部門(mén)使用的電子取證工具的有效性,而建立一套測(cè)試電子取證軟件工具方法,內(nèi)容包括規(guī)格說(shuō)明書(shū)編制、測(cè)試程序、測(cè)試標(biāo)準(zhǔn)、測(cè)試數(shù)據(jù)集和測(cè)試硬件。NSRL項(xiàng)目負(fù)責(zé)建立一個(gè)包含各種軟件的文件以及數(shù)字簽名的目錄,以便在執(zhí)法和數(shù)字取證時(shí)使用。CFReDS項(xiàng)目為取證工具有效性驗(yàn)證、裝備檢查、人員訓(xùn)練,以及在實(shí)驗(yàn)室認(rèn)可工作中取證人員的能力水平測(cè)試等工作中提供數(shù)據(jù)。
◇國(guó)家司法研究所
國(guó)家司法研究所(National Institute of Justice,NIJ)隸屬于司法部,在2001年頒布了《計(jì)算機(jī)現(xiàn)場(chǎng)勘查指南》后,不斷資助相關(guān)領(lǐng)域的研究項(xiàng)目以促進(jìn)電子證據(jù)取證工作,并以特別報(bào)告(Special Report)的形式發(fā)布了部分標(biāo)準(zhǔn)。其中《電子犯罪現(xiàn)場(chǎng)勘查:首要響應(yīng)人員指南》和《電子犯罪現(xiàn)場(chǎng)勘查:執(zhí)法人員指南》兩部文獻(xiàn)中提出了電子取證的“三項(xiàng)原則”,即:收集、保全、傳輸電子數(shù)據(jù)不應(yīng)造成電子數(shù)據(jù)的改變;電子數(shù)據(jù)檢驗(yàn)應(yīng)由受過(guò)專(zhuān)門(mén)培訓(xùn)的專(zhuān)業(yè)人員進(jìn)行;扣押、傳輸、存儲(chǔ)電子數(shù)據(jù)的所有行為都應(yīng)建立完整的書(shū)面記錄,并歸檔備查。
◇美國(guó)聯(lián)邦調(diào)查局“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”
美國(guó)聯(lián)邦調(diào)查局隸屬于司法部,是美國(guó)政府打擊各種犯罪的聯(lián)邦機(jī)構(gòu)。其下屬的“數(shù)字取證科學(xué)組”(Scientific Working Groupon Digital Evidence,SWGDE)和“圖像技術(shù)科學(xué)組”(Scientific Working Groupon Imaging Technology,SWGIT),以聯(lián)合或者獨(dú)立的形式發(fā)布了一系列涉及電子證據(jù)獲取與分析技術(shù)、規(guī)范流程、質(zhì)量管理體系等的標(biāo)準(zhǔn)與規(guī)范,標(biāo)準(zhǔn)體系較完備,針對(duì)性和實(shí)用性強(qiáng),在業(yè)界有很高的影響力。
此外,美國(guó)司法部的計(jì)算機(jī)犯罪與知識(shí)產(chǎn)權(quán)處(Computer Crime & Intellectual Property Section,CCIPS)和美國(guó)國(guó)土安全部的美國(guó)特勤局(United States Secret Service,USSS)也在其職責(zé)范圍內(nèi)制定了一系列電子數(shù)據(jù)取證相關(guān)規(guī)范性文件。
(三)英國(guó)標(biāo)準(zhǔn)制定情況
英國(guó)在電子數(shù)據(jù)取證標(biāo)準(zhǔn)化研究方面也是成果豐碩。英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)、英國(guó)首席警官協(xié)會(huì)、英國(guó)內(nèi)政部科學(xué)發(fā)展處、信息保障咨詢(xún)委員會(huì)和英國(guó)數(shù)字保存聯(lián)盟等機(jī)構(gòu)制定了一系列電子數(shù)據(jù)取證方面的標(biāo)準(zhǔn)規(guī)范。
◇英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)
英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)(British Standards Institution,BSI)是集標(biāo)準(zhǔn)研發(fā)、標(biāo)準(zhǔn)技術(shù)信息提供、產(chǎn)品測(cè)試、體系認(rèn)證和商檢服務(wù)五大互補(bǔ)性業(yè)務(wù)于一體的國(guó)際標(biāo)準(zhǔn)服務(wù)提供商,面向全球提供服務(wù)。
在電子數(shù)據(jù)取證領(lǐng)域,英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)早在2008年11月就頒布了包括BS10008:2008《電子信息的法定許可和證據(jù)權(quán)重規(guī)范》在內(nèi)的一系列電子取證標(biāo)準(zhǔn),2014年,英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)對(duì)BS10008:2008進(jìn)行了重新修訂,根據(jù)即將發(fā)布的BS10008:2014,該標(biāo)準(zhǔn)的章節(jié)由原來(lái)的7個(gè)增加到了10個(gè),并且增加了大數(shù)據(jù)與云計(jì)算等最新技術(shù)。此外,近幾年,英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)加大了與國(guó)家標(biāo)準(zhǔn)化組織的合作,ISO/IEC27040和27041等都以英國(guó)標(biāo)準(zhǔn)的形式予以發(fā)布。
◇英國(guó)首席警官協(xié)會(huì)
英國(guó)首席警官協(xié)會(huì)(Association of Chief Police Officers,ACPO)成立于1948年,是一個(gè)非營(yíng)利性組織,監(jiān)管英格蘭、威爾士和北愛(ài)爾蘭的警務(wù)實(shí)踐。為使實(shí)踐工作能符合取證的原則和標(biāo)準(zhǔn),ACPO推出了《電子證據(jù)取證的最佳實(shí)戰(zhàn)指南》,并隨著實(shí)踐工作的轉(zhuǎn)變而新增、修訂和完善指南內(nèi)容。在該指南中提出了計(jì)算機(jī)取證的4條基本原則:執(zhí)法機(jī)構(gòu)及人員采取的任何舉措均不能導(dǎo)致計(jì)算機(jī)及其存儲(chǔ)介質(zhì)中的可能向法庭提交的數(shù)據(jù)發(fā)生改變;在必須接觸計(jì)算機(jī)及其存介質(zhì)中的原始數(shù)據(jù)時(shí),接觸人員必須能夠勝任,而且能夠解釋證據(jù)的關(guān)聯(lián)性以及取證行為的相關(guān)性;計(jì)算機(jī)取證所有過(guò)程必須創(chuàng)建審計(jì)追溯記錄或其他記錄,并加以保存,任何獨(dú)立的第三方機(jī)構(gòu)經(jīng)過(guò)程驗(yàn)證都可以得出相同的結(jié)果;負(fù)責(zé)調(diào)查的人員(案件負(fù)責(zé)人)要對(duì)法律和原則的遵行情況全面負(fù)責(zé)。
(四)其他國(guó)際組織和國(guó)家
在電子數(shù)據(jù)取證領(lǐng)域,大多數(shù)國(guó)家都是直接參照美國(guó)或英國(guó)的取證標(biāo)準(zhǔn)。一些國(guó)家參照國(guó)際標(biāo)準(zhǔn)和英美標(biāo)準(zhǔn),制定了符合自己國(guó)情的取證標(biāo)準(zhǔn)和方法。
◇計(jì)算機(jī)證據(jù)國(guó)際組織
成立于1995年的計(jì)算機(jī)證據(jù)國(guó)際組織(International Organization on Computer Evidence,IOCE)一直致力于制定處理電子證據(jù)的國(guó)際準(zhǔn)則。IOCE提出了計(jì)算機(jī)取證過(guò)程應(yīng)遵守的6條一般原則(因在2000年12月八國(guó)峰會(huì)上正式提出,簡(jiǎn)稱(chēng)“G8”原則):必須遵守所有取證和處理證據(jù)的原則;獲取證據(jù)時(shí)所采用的方法不能改變?cè)甲C據(jù);取證人員必須經(jīng)過(guò)專(zhuān)門(mén)培訓(xùn);所有對(duì)電子數(shù)據(jù)的扣押、接觸、存儲(chǔ)以及移轉(zhuǎn)的行為必須以書(shū)面形式進(jìn)行完整記錄,并歸檔備查;每一名電子證據(jù)保管員應(yīng)對(duì)其針對(duì)電子證據(jù)的每一個(gè)行為負(fù)責(zé);任何負(fù)責(zé)獲取、訪(fǎng)問(wèn)、存儲(chǔ)或傳輸電子證據(jù)的機(jī)構(gòu)有責(zé)任遵循這些原則。
◇Internet工程任務(wù)組和國(guó)際電信聯(lián)盟
Internet工程任務(wù)組(Internet Engineering Task Force,IETF)和國(guó)際電信聯(lián)盟(International Telecommunication Union,ITU)出臺(tái)的信息安全的相關(guān)標(biāo)準(zhǔn)中均有針對(duì)電子證據(jù)的規(guī)定。
(五)境外電子取證標(biāo)準(zhǔn)規(guī)范成果分析
境外在電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究方面,取得了很多值得我國(guó)借鑒的成果,尤其是在取證原則、取證程序和取證工具檢測(cè)等方面取得了不少規(guī)范化研究成果,主要體現(xiàn)在以下幾個(gè)方面:
(1)在取證原則方面。對(duì)于電子數(shù)據(jù)取證所需遵循的原則問(wèn)題,國(guó)際上具有代表性的觀點(diǎn)有“G8原則”、美國(guó)司法部提出的“三項(xiàng)原則”以及英國(guó)首席警官協(xié)會(huì)(ACPO)提出的“四論原則”。以上原則設(shè)計(jì)雖在條款數(shù)量上存在差異,但均傳承著相同的取證理念,取證既要符合相應(yīng)的技術(shù)要求,又須依法進(jìn)行。
(2)在取證程序規(guī)范化研究方面。以IOCE、SWGDE等為代表的國(guó)際組織和諸多學(xué)者都提出了相應(yīng)的程序規(guī)范化建議。SWGDE于1999年10月在英國(guó)倫敦舉辦的國(guó)際高科技犯罪和法庭科學(xué)會(huì)議(IHCFC)中指出:“為確保電子證據(jù)能夠以一種安全的方式進(jìn)行收集、保存、檢驗(yàn)和傳輸,保障電子數(shù)據(jù)的準(zhǔn)確性和可靠性,執(zhí)法部門(mén)和取證機(jī)構(gòu)必須建立和保持有效的質(zhì)量體系,標(biāo)準(zhǔn)操作規(guī)程(SOP)文件應(yīng)作為質(zhì)量控制的指導(dǎo)方針,并制作相應(yīng)的案件記錄,采用被廣泛接受的程序、儀器和材料進(jìn)行檢驗(yàn)。”同時(shí),SWGDE還提出了7條電子數(shù)據(jù)取證程序標(biāo)準(zhǔn)。
此外,SWGDE在其制定的《計(jì)算機(jī)取證最佳實(shí)踐》中,還從證據(jù)收集、證據(jù)處理、準(zhǔn)備取證設(shè)備、鏡像制作、取證分析和檢驗(yàn)、檢驗(yàn)記錄、報(bào)告制作、復(fù)查7個(gè)方面規(guī)定了51條取證操作規(guī)則。IOCE在其制定的《數(shù)字技術(shù)司法鑒定最佳實(shí)踐指南》中也給出了與電子數(shù)據(jù)取證有關(guān)的程序準(zhǔn)則。
(3)在取證工具檢測(cè)認(rèn)證層面。最具代表性的是美國(guó)NIST所開(kāi)展的計(jì)算機(jī)取證工具檢測(cè)計(jì)劃(CFTT),該計(jì)劃致力于取證工具檢測(cè)的通用規(guī)范、檢測(cè)程序、檢測(cè)標(biāo)準(zhǔn)以及檢測(cè)工具的研究,其從成立至今先后發(fā)布了一系列關(guān)于取證工具能力要求的技術(shù)準(zhǔn)則,同時(shí)也制定了與取證工具檢測(cè)認(rèn)證有關(guān)的程序和方法文件。這些涉及取證工具檢測(cè)程序、方法以及工具設(shè)計(jì)要求的技術(shù)規(guī)范的出臺(tái),為取證產(chǎn)品研發(fā)廠商研發(fā)取證設(shè)備提供了依據(jù)支持、為業(yè)界進(jìn)行取證工具檢測(cè)提供了檢測(cè)方法、為各取證機(jī)構(gòu)選擇取證設(shè)備提供了質(zhì)量衡量的依據(jù),亦為取證結(jié)果的審查提供了技術(shù)依據(jù)。在NIST的CFTT計(jì)劃帶動(dòng)下,諸多國(guó)家現(xiàn)已開(kāi)展涉及取證工具的檢測(cè),美國(guó)等西方國(guó)家現(xiàn)已將取證工具是否通過(guò)檢測(cè)作為取證工具的入市標(biāo)準(zhǔn)。
二、國(guó)內(nèi)電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究現(xiàn)狀
(一)國(guó)內(nèi)電子數(shù)據(jù)取證法規(guī)和標(biāo)準(zhǔn)情況
我國(guó)電子證據(jù)的標(biāo)準(zhǔn)化工作起步較晚,但是國(guó)家有關(guān)部門(mén)對(duì)于相關(guān)政策和標(biāo)準(zhǔn)制定工作十分重視。2005年2月28日全國(guó)人大常委會(huì)通過(guò)的《關(guān)于司法鑒定管理問(wèn)題的決定》,從國(guó)家基本法律層面對(duì)電子數(shù)據(jù)鑒定遵守技術(shù)標(biāo)準(zhǔn)的義務(wù)做了明確規(guī)定。2005年公安部發(fā)布了我國(guó)第一部電子數(shù)據(jù)標(biāo)準(zhǔn)化的規(guī)范性文件《計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn)與電子數(shù)據(jù)檢查規(guī)則》,主要對(duì)電子數(shù)據(jù)現(xiàn)場(chǎng)取證和電子數(shù)據(jù)檢驗(yàn)鑒定的程序、內(nèi)容和要求等進(jìn)行了規(guī)定。2005年公安部又發(fā)布了《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》,主要規(guī)范公安機(jī)關(guān)的鑒定機(jī)構(gòu)管理要求、鑒定人管理要求等與鑒定相關(guān)的問(wèn)題。2007年《司法鑒定程序通則》(司法部令第107號(hào))對(duì)鑒定人采納技術(shù)標(biāo)準(zhǔn)問(wèn)題做出了詳細(xì)的要求:“司法鑒定人進(jìn)行鑒定,應(yīng)當(dāng)依下列順序遵守和采用該專(zhuān)業(yè)領(lǐng)域的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范:(一)國(guó)家標(biāo)準(zhǔn)和技術(shù)規(guī)范;(二)司法鑒定主管部門(mén)、司法鑒定行業(yè)組織或者相關(guān)行業(yè)主管部門(mén)制定的行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范;(三)該專(zhuān)業(yè)領(lǐng)域多數(shù)專(zhuān)家認(rèn)可的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范……”
2008年以來(lái),公安部和司法部先后制定了電子數(shù)據(jù)取證各自行業(yè)標(biāo)準(zhǔn)。截至目前,公安部共發(fā)布了22個(gè)電子數(shù)據(jù)取證方面的行業(yè)標(biāo)準(zhǔn):
(1)《電子數(shù)據(jù)存儲(chǔ)介質(zhì)復(fù)制工具要求及檢測(cè)方法》(GA/T754-2008)
(2)《電子數(shù)據(jù)存儲(chǔ)介質(zhì)寫(xiě)保護(hù)設(shè)備檢測(cè)方法》(GA/T755-2008)
(3)《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》(GA/T756-2008)
(4)《程序功能檢驗(yàn)方法》(GA/T757-2008)
(5)《電子物證數(shù)據(jù)搜索檢驗(yàn)技術(shù)規(guī)范》(GA/T825-2009)
(6)《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)技術(shù)規(guī)范》(GA/T826-2009)
(7)《電子物證文件一致性檢驗(yàn)技術(shù)規(guī)范》(GA/T827-2009)
(8)《電子物證軟件功能檢驗(yàn)技術(shù)規(guī)范》(GA/T828-2009)
(9)《電子物證軟件一致性檢驗(yàn)技術(shù)規(guī)范》(GA/T829-2009)
(10)《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》(GA/T976-2012)
(11)《取證與鑒定文書(shū)電子簽名》(GA/T977-2012)
(12)《網(wǎng)絡(luò)游戲私服檢驗(yàn)技術(shù)方法》(GA/T978-2012)
(13)《法庭科學(xué)電子物證手機(jī)檢驗(yàn)技術(shù)規(guī)范》(GA/T1069-2013)
(14)《法庭科學(xué)計(jì)算機(jī)開(kāi)關(guān)機(jī)時(shí)間檢驗(yàn)技術(shù)規(guī)范》(GA/T1070-2013)
(15)《法庭科學(xué)電子物證Windows操作系統(tǒng)日志檢驗(yàn)技術(shù)規(guī)范》(GA/T1071-2013)
(16)《移動(dòng)終端取證檢驗(yàn)方法》(GA/T1170-2014)
(17)《芯片相似性比對(duì)檢驗(yàn)方法》(GA/T1171-2014)
(18)《電子郵件檢驗(yàn)技術(shù)方法》(GA/T1172-2014)
(19)《即時(shí)通訊記錄檢驗(yàn)技術(shù)方法》(GA/T1773-2014)
(20)《電子證據(jù)數(shù)據(jù)現(xiàn)場(chǎng)獲取通用方法》(GA/T1174-2014)
(21)《軟件相似性檢驗(yàn)技術(shù)方法》(GA/T1175-2014)
(22)《網(wǎng)頁(yè)瀏覽器歷史數(shù)據(jù)檢驗(yàn)技術(shù)方法》(GA/T1176-2014)
司法部于2014年發(fā)布了SF/ZJD0400001-2014《電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范》、SF/ZJD0401001-2014《電子數(shù)據(jù)復(fù)制設(shè)備鑒定實(shí)施規(guī)范》、SF/ZJD0402001-2014《電子郵件鑒定實(shí)施規(guī)范》、SF/ZJD0403001-2014《軟件相似性檢驗(yàn)實(shí)施規(guī)范》4個(gè)司法鑒定技術(shù)規(guī)范。
在國(guó)家標(biāo)準(zhǔn)層面,目前只有3個(gè)國(guó)家標(biāo)準(zhǔn)發(fā)布:《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)規(guī)程》(GB/T29360-2012)、《電子物證文件一致性檢驗(yàn)規(guī)程》(GB/T29361-2012)、《電子物證數(shù)據(jù)搜索檢驗(yàn)規(guī)程》(GB/T29362-2012)。
通過(guò)對(duì)上述標(biāo)準(zhǔn)的分析發(fā)現(xiàn),3個(gè)國(guó)家標(biāo)準(zhǔn)是公安部相應(yīng)行業(yè)標(biāo)準(zhǔn)上升為國(guó)標(biāo),司法部制定的4個(gè)行業(yè)標(biāo)準(zhǔn)內(nèi)容上也基本上借鑒了公安部相應(yīng)的行業(yè)標(biāo)準(zhǔn)。因此,我國(guó)電子數(shù)據(jù)取證標(biāo)準(zhǔn)化建設(shè)工作最具代表性的還是公安部的行業(yè)標(biāo)準(zhǔn)?偟膩(lái)說(shuō),公安部制定的行業(yè)標(biāo)準(zhǔn)可以分為四類(lèi):一是規(guī)范取證過(guò)程或流程類(lèi)標(biāo)準(zhǔn),比如GA/T976-2012和GA/T1174-2014;二是取證工具技術(shù)要求和測(cè)試類(lèi)標(biāo)準(zhǔn),比如GA/T754-2008和GA/T755-2008;三是電子取證方法技術(shù)類(lèi),這類(lèi)標(biāo)準(zhǔn)最多,主要是規(guī)范某類(lèi)操作,比如數(shù)據(jù)恢復(fù)操作(GA/T826-2009)、數(shù)據(jù)檢驗(yàn)操作(GA/T825-2009)、文件一致性檢驗(yàn)操作(GA/T827-2009)和軟件一致性檢驗(yàn)操作(GA/T829-2009)等;四是針對(duì)不同取證對(duì)象的標(biāo)準(zhǔn)化取證操作類(lèi),比如網(wǎng)游私服(GA/T978-2012)、Windows系統(tǒng)日志(GA/T1071-2013)、電子郵件(GA/T1172-2014)、即時(shí)通信記錄(GA/T1773-2014)和網(wǎng)頁(yè)瀏覽器歷史(GA/T1176-2014)等。針對(duì)新的取證對(duì)象,公安部后續(xù)還會(huì)出臺(tái)相應(yīng)行業(yè)標(biāo)準(zhǔn)。
(二)國(guó)內(nèi)現(xiàn)有電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作存在的問(wèn)題
(1)制定標(biāo)準(zhǔn)的體制機(jī)制不完善目前,我國(guó)還沒(méi)有建立起真正統(tǒng)一的司法鑒定管理體制,直接導(dǎo)致了電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)化工作的滯后。職能部門(mén)內(nèi)設(shè)的電子數(shù)據(jù)鑒定機(jī)構(gòu)結(jié)合本部門(mén)的鑒定工作的實(shí)際情況,在本單位主管部門(mén)的主持下,發(fā)布了一些鑒定標(biāo)準(zhǔn),這些帶有明顯部門(mén)特色的鑒定標(biāo)準(zhǔn)雖然在科學(xué)性上沒(méi)有問(wèn)題,但在具體適用上并不具有普遍的適用性。
(2)現(xiàn)有電子數(shù)據(jù)取證規(guī)則/標(biāo)準(zhǔn)滯后于技術(shù)的發(fā)展
由于司法鑒定標(biāo)準(zhǔn)的制定總是滯后于技術(shù)的發(fā)展,當(dāng)某一領(lǐng)域的技術(shù)發(fā)展較為成熟或被該領(lǐng)域的大部分專(zhuān)家所認(rèn)可時(shí),鑒定標(biāo)準(zhǔn)才有出臺(tái)的基礎(chǔ)。電子技術(shù)發(fā)展日新月異的特點(diǎn),使得電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)的出臺(tái),比其他司法鑒定標(biāo)準(zhǔn)的出臺(tái)更加困難,比如針對(duì)云計(jì)算、大數(shù)據(jù)的取證標(biāo)準(zhǔn)。
(3)電子數(shù)據(jù)取證標(biāo)準(zhǔn)體系不完備電子數(shù)據(jù)鑒定現(xiàn)有公共安全行業(yè)標(biāo)準(zhǔn)22個(gè),國(guó)家標(biāo)準(zhǔn)3個(gè),從內(nèi)容上看,3個(gè)國(guó)家標(biāo)準(zhǔn)幾乎是從之前的行業(yè)標(biāo)準(zhǔn)中直接照搬過(guò)來(lái)的。所以說(shuō)從內(nèi)容上看,國(guó)家標(biāo)準(zhǔn)并未有實(shí)質(zhì)性的突破,個(gè)別標(biāo)準(zhǔn)內(nèi)容過(guò)于簡(jiǎn)單,規(guī)范過(guò)于籠統(tǒng),缺乏可操作性。從標(biāo)準(zhǔn)是否構(gòu)成體系來(lái)看,現(xiàn)有標(biāo)準(zhǔn)還留有較多空白,例如網(wǎng)絡(luò)數(shù)據(jù)的鑒定、硬盤(pán)修復(fù)數(shù)據(jù)的鑒定等等。此外,對(duì)電子數(shù)據(jù)鑒定涉及的手機(jī)數(shù)據(jù),網(wǎng)絡(luò)數(shù)據(jù)都缺乏相應(yīng)的標(biāo)準(zhǔn),對(duì)于鑒定人員資質(zhì)、設(shè)備的配置標(biāo)準(zhǔn)等也都沒(méi)有進(jìn)行規(guī)范。
三、保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作設(shè)想
按照保密法的規(guī)定,保密行政管理部門(mén)承擔(dān)著保密違法案件查處的職責(zé)。從滿(mǎn)足保密案件查處工作實(shí)際需要出發(fā),保密工作部門(mén)有必要建立符合自身工作特點(diǎn)的電子取證標(biāo)準(zhǔn)化體系。
在標(biāo)準(zhǔn)化建設(shè)工作思路上,要采用借鑒和自研相結(jié)合的方式,加快推進(jìn)取證標(biāo)準(zhǔn)體系建設(shè)。在國(guó)內(nèi)電子數(shù)據(jù)取證缺乏統(tǒng)一標(biāo)準(zhǔn)的情況下,保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作應(yīng)首先滿(mǎn)足保密行政行政管理部門(mén)行政執(zhí)法需要,學(xué)習(xí)國(guó)際電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作先進(jìn)做法,借鑒國(guó)內(nèi)有關(guān)部委電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作成果,立足于保密技術(shù)核查取證工作實(shí)際,采用“引進(jìn)”和“自研”相結(jié)合方式,加快建立保密核查取證標(biāo)準(zhǔn)體系。在一些電子取證通用性操作上,比如數(shù)據(jù)保全、數(shù)據(jù)恢復(fù)等標(biāo)準(zhǔn),可以借鑒國(guó)內(nèi)同行的標(biāo)準(zhǔn)成果,在具有保密技術(shù)取證特色或者與保密取證工作環(huán)節(jié)密切相關(guān)的環(huán)節(jié)上,則需要結(jié)合保密工作實(shí)際制定自己的標(biāo)準(zhǔn),比如涉密文件搜索檢驗(yàn)規(guī)范、竊密軟件分析規(guī)范等等。
在保密標(biāo)準(zhǔn)體系構(gòu)建上,需要充分考慮電子數(shù)據(jù)的特殊性和保密工作的特殊性,從電子證據(jù)的產(chǎn)生、存儲(chǔ)和轉(zhuǎn)移的特點(diǎn)出發(fā),分基礎(chǔ)性標(biāo)準(zhǔn)、技術(shù)性標(biāo)準(zhǔn)和管理性標(biāo)準(zhǔn)三個(gè)層次進(jìn)行規(guī)范,以期得到一個(gè)科學(xué)而合理的鑒定標(biāo)準(zhǔn)體系;A(chǔ)性標(biāo)準(zhǔn)主要是規(guī)范電子數(shù)據(jù)取證鑒定所涉及的一些專(zhuān)業(yè)術(shù)語(yǔ)、基本原則和軟硬件設(shè)備標(biāo)準(zhǔn)。通過(guò)制定這些基礎(chǔ)性標(biāo)準(zhǔn),可以從根本上規(guī)范電子數(shù)據(jù)取證鑒定工作,為電子數(shù)據(jù)鑒定的標(biāo)準(zhǔn)化打好堅(jiān)實(shí)的基礎(chǔ)。
技術(shù)性標(biāo)準(zhǔn)作為電子數(shù)據(jù)取證鑒定程序標(biāo)準(zhǔn)化建設(shè)最核心的標(biāo)準(zhǔn),可以分為取證階段的標(biāo)準(zhǔn)和鑒定階段的標(biāo)準(zhǔn)兩部分。取證階段的標(biāo)準(zhǔn)可分為程序性標(biāo)準(zhǔn)和技術(shù)性標(biāo)準(zhǔn)兩大部分。程序性標(biāo)準(zhǔn)包括參與取證的人員資質(zhì)標(biāo)準(zhǔn)、取證設(shè)備標(biāo)準(zhǔn)、針對(duì)聯(lián)網(wǎng)設(shè)備取證的環(huán)境標(biāo)準(zhǔn)等。在正式開(kāi)展取證工作前,必須詳細(xì)了解具體案情,事先做好預(yù)案,對(duì)現(xiàn)場(chǎng)環(huán)境、設(shè)備狀態(tài)等進(jìn)行詳細(xì)的記錄。鑒定階段是指在實(shí)驗(yàn)室條件下進(jìn)行鑒定的階段,該階段的標(biāo)準(zhǔn)是目前已有標(biāo)準(zhǔn)主要關(guān)注的領(lǐng)域,相對(duì)而言,已經(jīng)比較規(guī)范,可以根據(jù)保密違法案件核查的技術(shù)特點(diǎn),以通用技術(shù)方法對(duì)鑒定階段的標(biāo)準(zhǔn)進(jìn)行分類(lèi),分別制定完善,比如鑒定階段的電子數(shù)據(jù)的恢復(fù)標(biāo)準(zhǔn)、涉密數(shù)據(jù)的搜索標(biāo)準(zhǔn)、攻擊竊密程序的分析標(biāo)準(zhǔn)等。管理類(lèi)標(biāo)準(zhǔn)電子數(shù)據(jù)鑒定結(jié)果的真實(shí)可靠,與所在的實(shí)驗(yàn)室的規(guī)范化管理是分不開(kāi)的。結(jié)合《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則》(ISO/IEC17025:2005),從鑒定實(shí)驗(yàn)室人員的管理標(biāo)準(zhǔn)、電子數(shù)據(jù)鑒定實(shí)驗(yàn)室的環(huán)境標(biāo)準(zhǔn)、采用技術(shù)方法、設(shè)備的配置、檢材的處理等方面,建立相應(yīng)的管理性標(biāo)準(zhǔn)。
(作者:何建波)