國內(nèi)外電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)保密違法案件的不斷增多，電子數(shù)據(jù)取證技術(shù)在保密違法案件查處中的應(yīng)用日益廣泛，作用愈顯重要�？紤]到保密違法案件查處這一行政執(zhí)法行為的嚴(yán)肅性和嚴(yán)謹(jǐn)性，甚至可能需要向檢察、法院、公安等機(jī)關(guān)移交處理的特殊要求，客觀上要求采用嚴(yán)格的標(biāo)準(zhǔn)規(guī)范來保證電子數(shù)據(jù)取證活動(dòng)的客觀公正性。本文對(duì)國內(nèi)外電子數(shù)據(jù)取證標(biāo)準(zhǔn)化情況進(jìn)行了總結(jié)，介紹了國內(nèi)外電子數(shù)據(jù)取證標(biāo)準(zhǔn)制定和實(shí)施現(xiàn)狀，分析了國內(nèi)電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范的成果和存在的問題，提出了保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)體系建設(shè)設(shè)想。

一、國際電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究現(xiàn)狀

（一）國際標(biāo)準(zhǔn)制定情況

國際上，電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作最突出的是國際標(biāo)準(zhǔn)化組織（ISO）及國際電工委員會(huì)IEC）制定的電子取證系列標(biāo)準(zhǔn)。為了規(guī)范電子數(shù)據(jù)取證工作，近年來，ISO/IECJTC1（1號(hào)技術(shù)聯(lián)合委員會(huì)）下屬的SC27（27號(hào)委員會(huì)）委員會(huì)編制了一系列電子數(shù)據(jù)取證相關(guān)標(biāo)準(zhǔn)，并將該領(lǐng)域的系列標(biāo)準(zhǔn)歸入了ISO/IEC27000系列標(biāo)準(zhǔn)（又名“信息安全管理系統(tǒng)標(biāo)準(zhǔn)族”）。

2015年3月，該委員會(huì)發(fā)布了ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和過程》，提出了電子數(shù)據(jù)取證體系架構(gòu)，將取證工作分為電子取證流程（process）和活動(dòng)（activity）兩個(gè)層面：取證流程包括準(zhǔn)備、初始化、獲取、分析和并發(fā)等5類；采取的取證活動(dòng)包括計(jì)劃，準(zhǔn)備，響應(yīng)，識(shí)別、收集、獲取和保存，理解，報(bào)告，關(guān)閉等7種。該取證體系架構(gòu)由已經(jīng)發(fā)布的和正在制定中的10個(gè)標(biāo)準(zhǔn)組成。

ISO/IEC27035:2011《信息技術(shù)安全技術(shù)信息安全事件管理》

ISO/IEC27037:2012《信息技術(shù)安全技術(shù)電子證據(jù)識(shí)別、收集、獲取和保存指南》

ISO/IEC27038:2014《信息技術(shù)安全技術(shù)數(shù)字化修訂規(guī)范》

ISO/IEC27040:2015《信息技術(shù)安全技術(shù)存儲(chǔ)安全》

ISO/IEC27041:2015《信息技術(shù)安全技術(shù)確保事件調(diào)查方法適宜性和充分性指南》

ISO/IEC27042《信息技術(shù)安全技術(shù)電子證據(jù)分析解釋指南》

ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和流程》

ISO/IEC27044《信息技術(shù)安全技術(shù)安全信息和事件管理指南》

ISO/IEC27050《信息技術(shù)安全技術(shù)電子證據(jù)發(fā)現(xiàn)》

ISO/IEC30121:2015《信息技術(shù)電子取證風(fēng)險(xiǎn)框架的管理》

其中，ISO/IEC27037、27041、27042、27043、27050、30121等專為電子數(shù)據(jù)取證制定的標(biāo)準(zhǔn)，可直接用于電子數(shù)據(jù)取證活動(dòng)，其余標(biāo)準(zhǔn)則包含某些影響或有助于電子數(shù)據(jù)取證相關(guān)活動(dòng)的條款。ISO/IEC27037對(duì)于各種類型檢材的取證提供了具體的方法與技術(shù)細(xì)節(jié)，其內(nèi)容涵蓋了電子數(shù)據(jù)識(shí)別、收集、獲取和保存的完整過程。該標(biāo)準(zhǔn)向取證人員介紹了電子數(shù)據(jù)取證過程中常見情況的應(yīng)對(duì)步驟，其中的現(xiàn)場勘驗(yàn)部分對(duì)于目前的取證工作具有重要的參考意義。ISO/IEC27041為確保在信息安全事件調(diào)查中所使用方法和過程的適宜性提供了指南，包括要求定義、方法描述、證據(jù)提供的最佳實(shí)踐以及滿足要求的方法實(shí)施。ISO/IEC27042為電子證據(jù)的分析和解釋提供了指南，某種意義上解決了電子證據(jù)分析的連續(xù)性、有效性、可再現(xiàn)性和可重復(fù)性等問題。ISO/IEC27043定義了電子取證的原則，并為不同現(xiàn)場或案件電子取證調(diào)查提供了一種理想化的過程模型，使得按照該流程開展的電子取證分析滿足可復(fù)現(xiàn)性要求。ISO/IEC27050涉及電子證據(jù)的發(fā)現(xiàn)階段，特別是電子存儲(chǔ)信息（ESI）的發(fā)現(xiàn)。該標(biāo)準(zhǔn)認(rèn)為電子證據(jù)發(fā)現(xiàn)包括以下主要步驟：識(shí)別、保護(hù)、收集、處理、復(fù)審、生產(chǎn)等幾個(gè)階段。ISO/IEC30121為機(jī)構(gòu)中的領(lǐng)導(dǎo)（包括委員會(huì)成員、高級(jí)管理人員等）提供了開展電子取證前如何組織電子數(shù)據(jù)取證工作的最佳方法。

圍繞電子數(shù)據(jù)取證流程（活動(dòng)），ISO/IEC從監(jiān)督管理、流程步驟、保障措施等涉及取證工作的不同方面、不同環(huán)節(jié)分別制定相應(yīng)標(biāo)準(zhǔn)或者引用標(biāo)準(zhǔn)條款，規(guī)范電子取證工作，確保電子數(shù)據(jù)取證工作質(zhì)量，這一標(biāo)準(zhǔn)體系設(shè)計(jì)思路值得借鑒。

（二）美國標(biāo)準(zhǔn)制定情況

作為信息技術(shù)最發(fā)達(dá)的國家，美國早已開展了電子數(shù)據(jù)取證相關(guān)工作并積累了大量的經(jīng)驗(yàn)，在研究投入上遠(yuǎn)超其他國家，不僅有眾多研發(fā)專業(yè)化計(jì)算機(jī)取證工具的高科技公司，而且出現(xiàn)了許多專門的電子數(shù)據(jù)取證機(jī)構(gòu)、實(shí)驗(yàn)室和咨詢服務(wù)公司。據(jù)統(tǒng)計(jì)，美國至少有70%的法律部門都擁有自己獨(dú)立的實(shí)驗(yàn)室，在電子取證標(biāo)準(zhǔn)化工作方面，也取得了大量成果。美國國家標(biāo)準(zhǔn)與技術(shù)研究院、國家司法研究所、美國聯(lián)邦調(diào)查局的“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”、美國試驗(yàn)與材料學(xué)會(huì)國際組織等機(jī)構(gòu)制定了一系列電子數(shù)據(jù)取證相關(guān)的標(biāo)準(zhǔn)和規(guī)范。

◇美國國家標(biāo)準(zhǔn)與技術(shù)研究院

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）出臺(tái)的電子數(shù)據(jù)取證方面的標(biāo)準(zhǔn)和文件包括特別出版物（SP800）系列和內(nèi)部報(bào)告（IRs）系列等，大部分已經(jīng)出臺(tái)的文件都是非強(qiáng)制性的指南，為政府部門的相關(guān)工作提供實(shí)施的指導(dǎo)性意見。

SP800系列是指南文件，對(duì)聯(lián)邦政府部門不具備強(qiáng)制性，而只是提供一種供參考的方法或經(jīng)驗(yàn)。目前，SP800系列與電子數(shù)據(jù)取證相關(guān)的標(biāo)準(zhǔn)有：PDA取證指南、移動(dòng)電話取證指南和應(yīng)急響應(yīng)中使用取證技術(shù)指南（見圖1）。內(nèi)部報(bào)告（IRs）系列主要向特定讀者描述相關(guān)技術(shù)方面的研究內(nèi)容。目前，電子數(shù)據(jù)取證相關(guān)內(nèi)部報(bào)告主要是關(guān)于PDA取證工具、移動(dòng)終端取證工具、移動(dòng)通信協(xié)議取證分析、云計(jì)算取證技術(shù)等技術(shù)研究內(nèi)容。

總的來說，NIST針對(duì)電子取證制定的指導(dǎo)性文件并不多，這可能與其職能定位有關(guān)，但是為了配合其他機(jī)構(gòu)開展電子取證相關(guān)工作，NIST發(fā)起了包括“計(jì)算機(jī)取證工具測試”項(xiàng)目（Computer Forensics Tool Testing，CFTT）、“國家軟件參考庫”項(xiàng)目（National Software Reference Library，NSRL）以及“計(jì)算機(jī)取證參考數(shù)據(jù)集”（Computer Forensic Reference DataSets，CFReDS）在內(nèi)的多個(gè)研究項(xiàng)目。其中，CFTT項(xiàng)目旨在為確保執(zhí)法部門使用的電子取證工具的有效性，而建立一套測試電子取證軟件工具方法，內(nèi)容包括規(guī)格說明書編制、測試程序、測試標(biāo)準(zhǔn)、測試數(shù)據(jù)集和測試硬件。NSRL項(xiàng)目負(fù)責(zé)建立一個(gè)包含各種軟件的文件以及數(shù)字簽名的目錄，以便在執(zhí)法和數(shù)字取證時(shí)使用。CFReDS項(xiàng)目為取證工具有效性驗(yàn)證、裝備檢查、人員訓(xùn)練，以及在實(shí)驗(yàn)室認(rèn)可工作中取證人員的能力水平測試等工作中提供數(shù)據(jù)。

◇國家司法研究所

國家司法研究所（National Institute of Justice，NIJ）隸屬于司法部，在2001年頒布了《計(jì)算機(jī)現(xiàn)場勘查指南》后，不斷資助相關(guān)領(lǐng)域的研究項(xiàng)目以促進(jìn)電子證據(jù)取證工作，并以特別報(bào)告（Special Report）的形式發(fā)布了部分標(biāo)準(zhǔn)。其中《電子犯罪現(xiàn)場勘查：首要響應(yīng)人員指南》和《電子犯罪現(xiàn)場勘查：執(zhí)法人員指南》兩部文獻(xiàn)中提出了電子取證的“三項(xiàng)原則”，即：收集、保全、傳輸電子數(shù)據(jù)不應(yīng)造成電子數(shù)據(jù)的改變；電子數(shù)據(jù)檢驗(yàn)應(yīng)由受過專門培訓(xùn)的專業(yè)人員進(jìn)行；扣押、傳輸、存儲(chǔ)電子數(shù)據(jù)的所有行為都應(yīng)建立完整的書面記錄，并歸檔備查。

◇美國聯(lián)邦調(diào)查局“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”

美國聯(lián)邦調(diào)查局隸屬于司法部，是美國政府打擊各種犯罪的聯(lián)邦機(jī)構(gòu)。其下屬的“數(shù)字取證科學(xué)組”（Scientific Working Groupon Digital Evidence，SWGDE）和“圖像技術(shù)科學(xué)組”（Scientific Working Groupon Imaging Technology，SWGIT），以聯(lián)合或者獨(dú)立的形式發(fā)布了一系列涉及電子證據(jù)獲取與分析技術(shù)、規(guī)范流程、質(zhì)量管理體系等的標(biāo)準(zhǔn)與規(guī)范，標(biāo)準(zhǔn)體系較完備，針對(duì)性和實(shí)用性強(qiáng)，在業(yè)界有很高的影響力。

此外，美國司法部的計(jì)算機(jī)犯罪與知識(shí)產(chǎn)權(quán)處（Computer Crime & Intellectual Property Section，CCIPS）和美國國土安全部的美國特勤局（United States Secret Service，USSS）也在其職責(zé)范圍內(nèi)制定了一系列電子數(shù)據(jù)取證相關(guān)規(guī)范性文件。

（三）英國標(biāo)準(zhǔn)制定情況

英國在電子數(shù)據(jù)取證標(biāo)準(zhǔn)化研究方面也是成果豐碩。英國標(biāo)準(zhǔn)協(xié)會(huì)、英國首席警官協(xié)會(huì)、英國內(nèi)政部科學(xué)發(fā)展處、信息保障咨詢委員會(huì)和英國數(shù)字保存聯(lián)盟等機(jī)構(gòu)制定了一系列電子數(shù)據(jù)取證方面的標(biāo)準(zhǔn)規(guī)范。

◇英國標(biāo)準(zhǔn)學(xué)會(huì)

英國標(biāo)準(zhǔn)學(xué)會(huì)（British Standards Institution，BSI）是集標(biāo)準(zhǔn)研發(fā)、標(biāo)準(zhǔn)技術(shù)信息提供、產(chǎn)品測試、體系認(rèn)證和商檢服務(wù)五大互補(bǔ)性業(yè)務(wù)于一體的國際標(biāo)準(zhǔn)服務(wù)提供商，面向全球提供服務(wù)。

在電子數(shù)據(jù)取證領(lǐng)域，英國標(biāo)準(zhǔn)學(xué)會(huì)早在2008年11月就頒布了包括BS10008:2008《電子信息的法定許可和證據(jù)權(quán)重規(guī)范》在內(nèi)的一系列電子取證標(biāo)準(zhǔn)，2014年，英國標(biāo)準(zhǔn)學(xué)會(huì)對(duì)BS10008:2008進(jìn)行了重新修訂，根據(jù)即將發(fā)布的BS10008:2014，該標(biāo)準(zhǔn)的章節(jié)由原來的7個(gè)增加到了10個(gè)，并且增加了大數(shù)據(jù)與云計(jì)算等最新技術(shù)。此外，近幾年，英國標(biāo)準(zhǔn)學(xué)會(huì)加大了與國家標(biāo)準(zhǔn)化組織的合作，ISO/IEC27040和27041等都以英國標(biāo)準(zhǔn)的形式予以發(fā)布。

◇英國首席警官協(xié)會(huì)

英國首席警官協(xié)會(huì)（Association of Chief Police Officers，ACPO）成立于1948年，是一個(gè)非營利性組織，監(jiān)管英格蘭、威爾士和北愛爾蘭的警務(wù)實(shí)踐。為使實(shí)踐工作能符合取證的原則和標(biāo)準(zhǔn)，ACPO推出了《電子證據(jù)取證的最佳實(shí)戰(zhàn)指南》，并隨著實(shí)踐工作的轉(zhuǎn)變而新增、修訂和完善指南內(nèi)容。在該指南中提出了計(jì)算機(jī)取證的4條基本原則：執(zhí)法機(jī)構(gòu)及人員采取的任何舉措均不能導(dǎo)致計(jì)算機(jī)及其存儲(chǔ)介質(zhì)中的可能向法庭提交的數(shù)據(jù)發(fā)生改變；在必須接觸計(jì)算機(jī)及其存介質(zhì)中的原始數(shù)據(jù)時(shí)，接觸人員必須能夠勝任，而且能夠解釋證據(jù)的關(guān)聯(lián)性以及取證行為的相關(guān)性；計(jì)算機(jī)取證所有過程必須創(chuàng)建審計(jì)追溯記錄或其他記錄，并加以保存，任何獨(dú)立的第三方機(jī)構(gòu)經(jīng)過程驗(yàn)證都可以得出相同的結(jié)果；負(fù)責(zé)調(diào)查的人員（案件負(fù)責(zé)人）要對(duì)法律和原則的遵行情況全面負(fù)責(zé)。

（四）其他國際組織和國家

在電子數(shù)據(jù)取證領(lǐng)域，大多數(shù)國家都是直接參照美國或英國的取證標(biāo)準(zhǔn)。一些國家參照國際標(biāo)準(zhǔn)和英美標(biāo)準(zhǔn)，制定了符合自己國情的取證標(biāo)準(zhǔn)和方法。

◇計(jì)算機(jī)證據(jù)國際組織

成立于1995年的計(jì)算機(jī)證據(jù)國際組織（International Organization on Computer Evidence，IOCE）一直致力于制定處理電子證據(jù)的國際準(zhǔn)則。IOCE提出了計(jì)算機(jī)取證過程應(yīng)遵守的6條一般原則（因在2000年12月八國峰會(huì)上正式提出，簡稱“G8”原則）：必須遵守所有取證和處理證據(jù)的原則；獲取證據(jù)時(shí)所采用的方法不能改變?cè)�始證據(jù)；取證人員必須經(jīng)過專門培訓(xùn)；所有對(duì)電子數(shù)據(jù)的扣押、接觸、存儲(chǔ)以及移轉(zhuǎn)的行為必須以書面形式進(jìn)行完整記錄，并歸檔備查；每一名電子證據(jù)保管員應(yīng)對(duì)其針對(duì)電子證據(jù)的每一個(gè)行為負(fù)責(zé)；任何負(fù)責(zé)獲取、訪問、存儲(chǔ)或傳輸電子證據(jù)的機(jī)構(gòu)有責(zé)任遵循這些原則。

◇Internet工程任務(wù)組和國際電信聯(lián)盟

Internet工程任務(wù)組（Internet Engineering Task Force，IETF）和國際電信聯(lián)盟（International Telecommunication Union，ITU）出臺(tái)的信息安全的相關(guān)標(biāo)準(zhǔn)中均有針對(duì)電子證據(jù)的規(guī)定。

（五）境外電子取證標(biāo)準(zhǔn)規(guī)范成果分析

境外在電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究方面，取得了很多值得我國借鑒的成果，尤其是在取證原則、取證程序和取證工具檢測等方面取得了不少規(guī)范化研究成果，主要體現(xiàn)在以下幾個(gè)方面：

（1）在取證原則方面。對(duì)于電子數(shù)據(jù)取證所需遵循的原則問題，國際上具有代表性的觀點(diǎn)有“G8原則”、美國司法部提出的“三項(xiàng)原則”以及英國首席警官協(xié)會(huì)（ACPO）提出的“四論原則”。以上原則設(shè)計(jì)雖在條款數(shù)量上存在差異，但均傳承著相同的取證理念，取證既要符合相應(yīng)的技術(shù)要求，又須依法進(jìn)行。

（2）在取證程序規(guī)范化研究方面。以IOCE、SWGDE等為代表的國際組織和諸多學(xué)者都提出了相應(yīng)的程序規(guī)范化建議。SWGDE于1999年10月在英國倫敦舉辦的國際高科技犯罪和法庭科學(xué)會(huì)議（IHCFC）中指出：“為確保電子證據(jù)能夠以一種安全的方式進(jìn)行收集、保存、檢驗(yàn)和傳輸，保障電子數(shù)據(jù)的準(zhǔn)確性和可靠性，執(zhí)法部門和取證機(jī)構(gòu)必須建立和保持有效的質(zhì)量體系，標(biāo)準(zhǔn)操作規(guī)程（SOP）文件應(yīng)作為質(zhì)量控制的指導(dǎo)方針，并制作相應(yīng)的案件記錄，采用被廣泛接受的程序、儀器和材料進(jìn)行檢驗(yàn)�！蓖瑫r(shí)，SWGDE還提出了7條電子數(shù)據(jù)取證程序標(biāo)準(zhǔn)。

此外，SWGDE在其制定的《計(jì)算機(jī)取證最佳實(shí)踐》中，還從證據(jù)收集、證據(jù)處理、準(zhǔn)備取證設(shè)備、鏡像制作、取證分析和檢驗(yàn)、檢驗(yàn)記錄、報(bào)告制作、復(fù)查7個(gè)方面規(guī)定了51條取證操作規(guī)則。IOCE在其制定的《數(shù)字技術(shù)司法鑒定最佳實(shí)踐指南》中也給出了與電子數(shù)據(jù)取證有關(guān)的程序準(zhǔn)則。

（3）在取證工具檢測認(rèn)證層面。最具代表性的是美國NIST所開展的計(jì)算機(jī)取證工具檢測計(jì)劃（CFTT），該計(jì)劃致力于取證工具檢測的通用規(guī)范、檢測程序、檢測標(biāo)準(zhǔn)以及檢測工具的研究，其從成立至今先后發(fā)布了一系列關(guān)于取證工具能力要求的技術(shù)準(zhǔn)則，同時(shí)也制定了與取證工具檢測認(rèn)證有關(guān)的程序和方法文件。這些涉及取證工具檢測程序、方法以及工具設(shè)計(jì)要求的技術(shù)規(guī)范的出臺(tái)，為取證產(chǎn)品研發(fā)廠商研發(fā)取證設(shè)備提供了依據(jù)支持、為業(yè)界進(jìn)行取證工具檢測提供了檢測方法、為各取證機(jī)構(gòu)選擇取證設(shè)備提供了質(zhì)量衡量的依據(jù)，亦為取證結(jié)果的審查提供了技術(shù)依據(jù)。在NIST的CFTT計(jì)劃帶動(dòng)下，諸多國家現(xiàn)已開展涉及取證工具的檢測，美國等西方國家現(xiàn)已將取證工具是否通過檢測作為取證工具的入市標(biāo)準(zhǔn)。

二、國內(nèi)電子數(shù)據(jù)取證標(biāo)準(zhǔn)規(guī)范研究現(xiàn)狀

（一）國內(nèi)電子數(shù)據(jù)取證法規(guī)和標(biāo)準(zhǔn)情況

我國電子證據(jù)的標(biāo)準(zhǔn)化工作起步較晚，但是國家有關(guān)部門對(duì)于相關(guān)政策和標(biāo)準(zhǔn)制定工作十分重視。2005年2月28日全國人大常委會(huì)通過的《關(guān)于司法鑒定管理問題的決定》，從國家基本法律層面對(duì)電子數(shù)據(jù)鑒定遵守技術(shù)標(biāo)準(zhǔn)的義務(wù)做了明確規(guī)定。2005年公安部發(fā)布了我國第一部電子數(shù)據(jù)標(biāo)準(zhǔn)化的規(guī)范性文件《計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子數(shù)據(jù)檢查規(guī)則》，主要對(duì)電子數(shù)據(jù)現(xiàn)場取證和電子數(shù)據(jù)檢驗(yàn)鑒定的程序、內(nèi)容和要求等進(jìn)行了規(guī)定。2005年公安部又發(fā)布了《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》，主要規(guī)范公安機(jī)關(guān)的鑒定機(jī)構(gòu)管理要求、鑒定人管理要求等與鑒定相關(guān)的問題。2007年《司法鑒定程序通則》（司法部令第107號(hào)）對(duì)鑒定人采納技術(shù)標(biāo)準(zhǔn)問題做出了詳細(xì)的要求：“司法鑒定人進(jìn)行鑒定，應(yīng)當(dāng)依下列順序遵守和采用該專業(yè)領(lǐng)域的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范：（一）國家標(biāo)準(zhǔn)和技術(shù)規(guī)范；（二）司法鑒定主管部門、司法鑒定行業(yè)組織或者相關(guān)行業(yè)主管部門制定的行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范；（三）該專業(yè)領(lǐng)域多數(shù)專家認(rèn)可的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范……”

2008年以來，公安部和司法部先后制定了電子數(shù)據(jù)取證各自行業(yè)標(biāo)準(zhǔn)。截至目前，公安部共發(fā)布了22個(gè)電子數(shù)據(jù)取證方面的行業(yè)標(biāo)準(zhǔn)：

（1）《電子數(shù)據(jù)存儲(chǔ)介質(zhì)復(fù)制工具要求及檢測方法》（GA/T754-2008）

（2）《電子數(shù)據(jù)存儲(chǔ)介質(zhì)寫保護(hù)設(shè)備檢測方法》（GA/T755-2008）

（3）《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》（GA/T756-2008）

（4）《程序功能檢驗(yàn)方法》（GA/T757-2008）

（5）《電子物證數(shù)據(jù)搜索檢驗(yàn)技術(shù)規(guī)范》（GA/T825-2009）

（6）《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)技術(shù)規(guī)范》（GA/T826-2009）

（7）《電子物證文件一致性檢驗(yàn)技術(shù)規(guī)范》（GA/T827-2009）

（8）《電子物證軟件功能檢驗(yàn)技術(shù)規(guī)范》（GA/T828-2009）

（9）《電子物證軟件一致性檢驗(yàn)技術(shù)規(guī)范》（GA/T829-2009）

（10）《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》（GA/T976-2012）

（11）《取證與鑒定文書電子簽名》（GA/T977-2012）

（12）《網(wǎng)絡(luò)游戲私服檢驗(yàn)技術(shù)方法》（GA/T978-2012）

（13）《法庭科學(xué)電子物證手機(jī)檢驗(yàn)技術(shù)規(guī)范》（GA/T1069-2013）

（14）《法庭科學(xué)計(jì)算機(jī)開關(guān)機(jī)時(shí)間檢驗(yàn)技術(shù)規(guī)范》（GA/T1070-2013）

（15）《法庭科學(xué)電子物證Windows操作系統(tǒng)日志檢驗(yàn)技術(shù)規(guī)范》（GA/T1071-2013）

（16）《移動(dòng)終端取證檢驗(yàn)方法》（GA/T1170-2014）

（17）《芯片相似性比對(duì)檢驗(yàn)方法》（GA/T1171-2014）

（18）《電子郵件檢驗(yàn)技術(shù)方法》（GA/T1172-2014）

（19）《即時(shí)通訊記錄檢驗(yàn)技術(shù)方法》（GA/T1773-2014）

（20）《電子證據(jù)數(shù)據(jù)現(xiàn)場獲取通用方法》（GA/T1174-2014）

（21）《軟件相似性檢驗(yàn)技術(shù)方法》（GA/T1175-2014）

（22）《網(wǎng)頁瀏覽器歷史數(shù)據(jù)檢驗(yàn)技術(shù)方法》（GA/T1176-2014）

司法部于2014年發(fā)布了SF/ZJD0400001-2014《電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范》、SF/ZJD0401001-2014《電子數(shù)據(jù)復(fù)制設(shè)備鑒定實(shí)施規(guī)范》、SF/ZJD0402001-2014《電子郵件鑒定實(shí)施規(guī)范》、SF/ZJD0403001-2014《軟件相似性檢驗(yàn)實(shí)施規(guī)范》4個(gè)司法鑒定技術(shù)規(guī)范。

在國家標(biāo)準(zhǔn)層面，目前只有3個(gè)國家標(biāo)準(zhǔn)發(fā)布:《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)規(guī)程》（GB/T29360-2012）、《電子物證文件一致性檢驗(yàn)規(guī)程》（GB/T29361-2012）、《電子物證數(shù)據(jù)搜索檢驗(yàn)規(guī)程》（GB/T29362-2012）。

通過對(duì)上述標(biāo)準(zhǔn)的分析發(fā)現(xiàn)，3個(gè)國家標(biāo)準(zhǔn)是公安部相應(yīng)行業(yè)標(biāo)準(zhǔn)上升為國標(biāo)，司法部制定的4個(gè)行業(yè)標(biāo)準(zhǔn)內(nèi)容上也基本上借鑒了公安部相應(yīng)的行業(yè)標(biāo)準(zhǔn)。因此，我國電子數(shù)據(jù)取證標(biāo)準(zhǔn)化建設(shè)工作最具代表性的還是公安部的行業(yè)標(biāo)準(zhǔn)。總的來說，公安部制定的行業(yè)標(biāo)準(zhǔn)可以分為四類：一是規(guī)范取證過程或流程類標(biāo)準(zhǔn)，比如GA/T976-2012和GA/T1174-2014；二是取證工具技術(shù)要求和測試類標(biāo)準(zhǔn)，比如GA/T754-2008和GA/T755-2008；三是電子取證方法技術(shù)類，這類標(biāo)準(zhǔn)最多，主要是規(guī)范某類操作，比如數(shù)據(jù)恢復(fù)操作（GA/T826-2009）、數(shù)據(jù)檢驗(yàn)操作（GA/T825-2009）、文件一致性檢驗(yàn)操作（GA/T827-2009）和軟件一致性檢驗(yàn)操作（GA/T829-2009）等；四是針對(duì)不同取證對(duì)象的標(biāo)準(zhǔn)化取證操作類，比如網(wǎng)游私服（GA/T978-2012）、Windows系統(tǒng)日志（GA/T1071-2013）、電子郵件（GA/T1172-2014）、即時(shí)通信記錄（GA/T1773-2014）和網(wǎng)頁瀏覽器歷史（GA/T1176-2014）等。針對(duì)新的取證對(duì)象，公安部后續(xù)還會(huì)出臺(tái)相應(yīng)行業(yè)標(biāo)準(zhǔn)。

（二）國內(nèi)現(xiàn)有電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作存在的問題

（1）制定標(biāo)準(zhǔn)的體制機(jī)制不完善目前，我國還沒有建立起真正統(tǒng)一的司法鑒定管理體制，直接導(dǎo)致了電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)化工作的滯后。職能部門內(nèi)設(shè)的電子數(shù)據(jù)鑒定機(jī)構(gòu)結(jié)合本部門的鑒定工作的實(shí)際情況，在本單位主管部門的主持下，發(fā)布了一些鑒定標(biāo)準(zhǔn)，這些帶有明顯部門特色的鑒定標(biāo)準(zhǔn)雖然在科學(xué)性上沒有問題，但在具體適用上并不具有普遍的適用性。

（2）現(xiàn)有電子數(shù)據(jù)取證規(guī)則/標(biāo)準(zhǔn)滯后于技術(shù)的發(fā)展

由于司法鑒定標(biāo)準(zhǔn)的制定總是滯后于技術(shù)的發(fā)展，當(dāng)某一領(lǐng)域的技術(shù)發(fā)展較為成熟或被該領(lǐng)域的大部分專家所認(rèn)可時(shí)，鑒定標(biāo)準(zhǔn)才有出臺(tái)的基礎(chǔ)。電子技術(shù)發(fā)展日新月異的特點(diǎn)，使得電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)的出臺(tái)，比其他司法鑒定標(biāo)準(zhǔn)的出臺(tái)更加困難，比如針對(duì)云計(jì)算、大數(shù)據(jù)的取證標(biāo)準(zhǔn)。

（3）電子數(shù)據(jù)取證標(biāo)準(zhǔn)體系不完備電子數(shù)據(jù)鑒定現(xiàn)有公共安全行業(yè)標(biāo)準(zhǔn)22個(gè)，國家標(biāo)準(zhǔn)3個(gè)，從內(nèi)容上看，3個(gè)國家標(biāo)準(zhǔn)幾乎是從之前的行業(yè)標(biāo)準(zhǔn)中直接照搬過來的。所以說從內(nèi)容上看，國家標(biāo)準(zhǔn)并未有實(shí)質(zhì)性的突破，個(gè)別標(biāo)準(zhǔn)內(nèi)容過于簡單，規(guī)范過于籠統(tǒng)，缺乏可操作性。從標(biāo)準(zhǔn)是否構(gòu)成體系來看，現(xiàn)有標(biāo)準(zhǔn)還留有較多空白，例如網(wǎng)絡(luò)數(shù)據(jù)的鑒定、硬盤修復(fù)數(shù)據(jù)的鑒定等等。此外，對(duì)電子數(shù)據(jù)鑒定涉及的手機(jī)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)都缺乏相應(yīng)的標(biāo)準(zhǔn)，對(duì)于鑒定人員資質(zhì)、設(shè)備的配置標(biāo)準(zhǔn)等也都沒有進(jìn)行規(guī)范。

三、保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作設(shè)想

按照保密法的規(guī)定，保密行政管理部門承擔(dān)著保密違法案件查處的職責(zé)。從滿足保密案件查處工作實(shí)際需要出發(fā)，保密工作部門有必要建立符合自身工作特點(diǎn)的電子取證標(biāo)準(zhǔn)化體系。

在標(biāo)準(zhǔn)化建設(shè)工作思路上，要采用借鑒和自研相結(jié)合的方式，加快推進(jìn)取證標(biāo)準(zhǔn)體系建設(shè)。在國內(nèi)電子數(shù)據(jù)取證缺乏統(tǒng)一標(biāo)準(zhǔn)的情況下，保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作應(yīng)首先滿足保密行政行政管理部門行政執(zhí)法需要，學(xué)習(xí)國際電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作先進(jìn)做法，借鑒國內(nèi)有關(guān)部委電子數(shù)據(jù)取證標(biāo)準(zhǔn)化工作成果，立足于保密技術(shù)核查取證工作實(shí)際，采用“引進(jìn)”和“自研”相結(jié)合方式，加快建立保密核查取證標(biāo)準(zhǔn)體系。在一些電子取證通用性操作上，比如數(shù)據(jù)保全、數(shù)據(jù)恢復(fù)等標(biāo)準(zhǔn)，可以借鑒國內(nèi)同行的標(biāo)準(zhǔn)成果，在具有保密技術(shù)取證特色或者與保密取證工作環(huán)節(jié)密切相關(guān)的環(huán)節(jié)上，則需要結(jié)合保密工作實(shí)際制定自己的標(biāo)準(zhǔn)，比如涉密文件搜索檢驗(yàn)規(guī)范、竊密軟件分析規(guī)范等等。

在保密標(biāo)準(zhǔn)體系構(gòu)建上，需要充分考慮電子數(shù)據(jù)的特殊性和保密工作的特殊性，從電子證據(jù)的產(chǎn)生、存儲(chǔ)和轉(zhuǎn)移的特點(diǎn)出發(fā)，分基礎(chǔ)性標(biāo)準(zhǔn)、技術(shù)性標(biāo)準(zhǔn)和管理性標(biāo)準(zhǔn)三個(gè)層次進(jìn)行規(guī)范，以期得到一個(gè)科學(xué)而合理的鑒定標(biāo)準(zhǔn)體系�；�礎(chǔ)性標(biāo)準(zhǔn)主要是規(guī)范電子數(shù)據(jù)取證鑒定所涉及的一些專業(yè)術(shù)語、基本原則和軟硬件設(shè)備標(biāo)準(zhǔn)。通過制定這些基礎(chǔ)性標(biāo)準(zhǔn)，可以從根本上規(guī)范電子數(shù)據(jù)取證鑒定工作，為電子數(shù)據(jù)鑒定的標(biāo)準(zhǔn)化打好堅(jiān)實(shí)的基礎(chǔ)。

技術(shù)性標(biāo)準(zhǔn)作為電子數(shù)據(jù)取證鑒定程序標(biāo)準(zhǔn)化建設(shè)最核心的標(biāo)準(zhǔn)，可以分為取證階段的標(biāo)準(zhǔn)和鑒定階段的標(biāo)準(zhǔn)兩部分。取證階段的標(biāo)準(zhǔn)可分為程序性標(biāo)準(zhǔn)和技術(shù)性標(biāo)準(zhǔn)兩大部分。程序性標(biāo)準(zhǔn)包括參與取證的人員資質(zhì)標(biāo)準(zhǔn)、取證設(shè)備標(biāo)準(zhǔn)、針對(duì)聯(lián)網(wǎng)設(shè)備取證的環(huán)境標(biāo)準(zhǔn)等。在正式開展取證工作前，必須詳細(xì)了解具體案情，事先做好預(yù)案，對(duì)現(xiàn)場環(huán)境、設(shè)備狀態(tài)等進(jìn)行詳細(xì)的記錄。鑒定階段是指在實(shí)驗(yàn)室條件下進(jìn)行鑒定的階段，該階段的標(biāo)準(zhǔn)是目前已有標(biāo)準(zhǔn)主要關(guān)注的領(lǐng)域，相對(duì)而言，已經(jīng)比較規(guī)范，可以根據(jù)保密違法案件核查的技術(shù)特點(diǎn)，以通用技術(shù)方法對(duì)鑒定階段的標(biāo)準(zhǔn)進(jìn)行分類，分別制定完善，比如鑒定階段的電子數(shù)據(jù)的恢復(fù)標(biāo)準(zhǔn)、涉密數(shù)據(jù)的搜索標(biāo)準(zhǔn)、攻擊竊密程序的分析標(biāo)準(zhǔn)等。管理類標(biāo)準(zhǔn)電子數(shù)據(jù)鑒定結(jié)果的真實(shí)可靠，與所在的實(shí)驗(yàn)室的規(guī)范化管理是分不開的。結(jié)合《檢測和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則》（ISO/IEC17025:2005），從鑒定實(shí)驗(yàn)室人員的管理標(biāo)準(zhǔn)、電子數(shù)據(jù)鑒定實(shí)驗(yàn)室的環(huán)境標(biāo)準(zhǔn)、采用技術(shù)方法、設(shè)備的配置、檢材的處理等方面，建立相應(yīng)的管理性標(biāo)準(zhǔn)。

 

（作者：何建波）