如今刑事诉讼中涉及电子数据恢复的案子十分普遍，通说认为，电子数据恢复是技能与法令高度结合的产品，假如不能在技能和法令两个层面上完结心里确认，则很难做到寻求案子实体公正与确保程序合法的有机一致。笔者结合实践事例，总结了一些状况，希望能够引起各级办案人员的高度关注。

一、司法鉴别要做实践判别，还是价值判别、法令判别？

司法鉴别本质上是一种判别定见。此处的判别只能定位为“实践判别”，这儿的“实践”指的是鉴别人运用科学技能或许专门知识能够认识的客观状况。

事例一：某司法鉴别安排根据托付部分要求，在检材（移动硬盘）中提取淫秽视频83个、淫秽图片10332个。

事例二：某司法鉴别安排根据托付部分要求，在检材（移动硬盘）中提取公民个人信息100000条。

事例三：某司法鉴别安排根据托付部分要求，作出被损坏的计算机体系达到了特别严峻程度的定见。

“淫秽视频”“淫秽图片”“淫秽音频”在大众的认知范围上边界并不显着。《刑法》第三百六十七条规定，淫秽物品是指详细描绘性行为或许显露宣传色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。国内对淫秽色情音视频的鉴别并没有一套通行的规范，通常经过行政确认的办法进行。经过司法鉴别安排给出“淫秽物品”的数量确认，带有不适当的价值倾向。

相同，根据“两高”《关于处理侵略公民个人信息刑事案子适用法令若干问题的解说》，“公民个人信息”是指以电子或许其他办法记载的能够独自或许与其他信息结合辨认特定自然人身份或许反映特定自然人活动状况的各种信息，包含名字、身份证件号码、通信通讯联系办法、住址、账号暗码、财产状况、行踪轨迹等。能否被评价为“公民个人信息”，要结合信息的实践状况进行确认，严厉来讲这归于法令判别的范畴。而“情节严峻”“情节特别严峻”更是典型的法令判别用语。

上面三个事例的处理办法，一定程度上看似便利了办案，实则后患无穷。在以审判为中心的刑事诉讼制度下，这样的司法鉴别定见极有或许被作为非法依据予以排除。

二、留意差异电子数据“本体”与“出现”之间的关系

电子数据是以“0”“1”码存储的数字序列调集，不或许被人们直接感知，这儿面存在一个当然的解说进程。挑选运用适当的解说东西成为必定。举例而言，关于二进制数0x3132，运用不同的字节序，能够得出彻底不同的成果。当然，这还只是微观层面的解说。

在微观层面上，也需求留意电子数据“本体”与“出现”之间的关系问题。

事例：在一同运用互联网传达淫秽物品案子中，某司法鉴别安排根据办案部分托付要求，提取了服务器硬盘上存储的视频文件数量。有关部分以此作为定案根据。

经过互联网等揭露前言传达淫秽物品，其实存在一个预设的条件。那就是，宽广网民必定要经过一个入口（网站、论坛、云盘等）拜访这些资源。那么，关于刑事诉讼来讲，就存在一个确认的问题，以存储在服务器硬盘上存储的全部视频文件作为定案根据，还是以大众能够拜访到的存储在服务器上的视频文件作为定案根据呢？

两者显然是不同的，差异在哪里呢？一方面，经过网站拜访这些视频文件，是需求权限的；另一方面，服务器上的有些视频文件或许并未列入网站管理程序，因而归于“肯定不或许”被大众拜访到的。

笔者认为，根据两高《关于处理运用互联网、移动通讯终端、声讯台制造、仿制、出书、贩卖、传达淫秽电子信息刑事案子详细运用法令若干问题的解说（二）》有关规定，这儿的“数量”应当理解为“传达”（至少是“能够传达”）的数量，而不应当把存储在服务器上的一切视频文件都列为“数量”构成。

三、鉴别对象与鉴别东西存在混同危险

手机中的电子数据现已成为侦破和指控违法的“依据之王”。因而，针对手机电子数据的提取和鉴别是当时电子数据司法鉴别范畴最为重要的内容之一。当时市场干流的手机取证东西都能够规范化的提取手机中保存的各类数据信息，但关于保存在云端的手机app数据的处理，还存在一些需求理清的观念。

根据《法庭科学电子依据手机经验技能规范》5.3.1.3规定，“若需经过搜集提取手机云端数据等网络数据时，能够在手机数据已固定的条件下衔接互联网，运用相关查验软件下载相关数据，或选用照相、录像办法固定相关数据，生成查验陈述”，这儿明确指出手机取证其实存在着两个进程，当针对手机机身进行数据提取时，手机充当了鉴别对象（即检材）的人物，当针对云端数据进行数据获取时，手机此时充当了鉴别东西的人物。

遗憾的是，许多鉴别人员在实践操作时，往往运用软件一同执行机身数据提取和云端数据下载，而忽视了《规范》中一个重要的限定词——若需。

四、电子数据送检、保管环节存在不一致危险

笔者在辅佐检察官查看电子数据作业中，常常发现一些的程度不同的问题，其间在电子数据保管、送检环节发生的危险需求引起高度关注。

事例一：某地侦办机关托付司法鉴别安排对一同“黑客”案子的涉案笔记本电脑进行鉴别，托付书登记的笔记本电脑序列号与扣押清单中的序列号不一致。

事例二：某地侦办机关经过勘验的办法，固定了一同网络传销安排的电子数据。托付司法鉴别安排鉴别时，勘验得到的电子数据与送检电子数据的哈希值不同。

事例三：某地侦办机关处理一同强奸案子，移送查看起诉后，能够证明嫌疑人与被害人之间具有亲密关系的手机中，存储芯片不知去向。

事例四：某地侦办机关处理一同非法吸纳大众存款案子，在移送查看的材猜中，查看发现扣押的物品相片颜色差异巨大。经核实，一个重要的依据优盘在保管进程中丢失，有关人员为逃避责任，新购一个同品牌类型的优盘替代了原始依据优盘。

坚持依据的原始性是刑事诉讼中很重要的一项使命。上述事例一和事例二决议了该依据能否进入该案子的依据门槛，事例三和事例四则潜藏着有关人员成心违法或许重大过失行为。上述四个事例均存在依据开裂的实践危险，那么接下来的法庭审理中，检察机关将不可避免的面临被迫。假如律师聘请了资深专家团队并提出合理置疑，轻则带来案子反复，重则作出无罪判决，那将是司法难以承受之重。

五、重鉴别轻取证的司法办案理念急需改变

2013年修订后刑诉法实施以来，电子数据成了法定依据办法。此次修法还有一个更大的变化，“鉴别结论”改为了“鉴别定见”，这是司法实践范畴的一次重要调整。

可是，宽广司法人员希望经过鉴别确认某些专门问题，乃至达到一锤定音的主意还没有得到有效消除，换句话说，司法人员对“鉴别结论”的依靠并没有及时得到调整。在电子数据的问题上，这一点尤其显着。侦办机关经过现场勘验获取的电子数据、经过第三方调取的电子数据、经过实施查看等技能手法得到的电子数据……，这些都是电子数据，都现已是法定的依据办法。但有些检察人员对侦办部分不辞辛苦获取的电子数据不做详查、不做剖析，有的听之任之，有的乃至要求办案部分去做个鉴别。在所谓“旧理念”的指导下，有些鉴别定见不三不四。

事例：某地侦办机关处理一同网络传销案子，根据有关办案人员的要求，鉴别安排出具了“该安排运行办法符合传销安排特征”的鉴别定见。

在这个事例中，司法鉴别安排仍然越权做出了“法令判别”，但清楚明了，这儿面包含着一种错误的倾向，有关办案人员仍然希望经过司法鉴别的办法对有关法令问题进行确认。

六、信息加密成为约束电子数据取证和鉴别的一道门槛

暗码破解一直是电子数据恢复取证和鉴别中需求面临的问题。信息加密技能在为用户供给数据安全的一同，也对电子数据取证人员提出了更高的要求。从BIOS暗码、操作体系用户暗码到Android全盘加密、文件级加密再到iOS加密，电子数据取证面临着越来越高的取证门槛。下面临当时常见的信息加密办法进行介绍，并将其对电子数据取证的影响进行阐明。

难点一：BitLocker是内置于WindowsVista及其之后体系的全盘加密功用，经过对磁盘卷进行加密来维护数据。它运用128位或256位密钥的AES加密算法加密数据，加密强度很高。

当时破解Bitlocker的技能除了经过社会工程学等手法直接获取暗码外，主要有以下办法：一是经过对BitLocker加密设备的内存或Windows休眠文件进行提取，在其间查找Bitlocker密钥，二是在获取用户的微软账户和暗码后经过微软账户查询BitLocker恢复密钥，三是运用Bitlocker运用固态硬盘进行硬件加密的漏洞，从固态硬盘中获取Bitlocker密钥。上述办法在实践中都有一定的局限性，导致对Bitlocker加密卷的破解成功率无法保证。

难点二：Android在4.4版中引入了全盘加密（FDE），并在5.0中对全盘加密功用进行了优化。全盘加密是运用密钥（密钥本身也经过加密）对Android设备上的一切用户数据进行编码的进程。设备经过加密后，一切由用户创立的数据在存入磁盘之前都会主动加密，并且一切读取操作都会在将数据返回给调用进程之前主动解密数据。

Android7.0及更高版本支撑文件级加密（FBE）。选用文件级加密时，能够运用不同的密钥对不同的文件进行加密，并且能够对加密文件进行独自解密。文件级加密会对文件名和文件内容进行加密。

关于Android体系加密，除了获取暗码或运用指纹、人脸辨认解锁外，主要是经过屏蔽锁屏暗码和暴力破解的办法进行解密。其间暴力破解的办法由于速度约束（体系运算能力和Gatekeeper请求次数约束），导致不知道原暗码状况下破解时长无法控制。

难点三：从iPhone3GS开端，苹果运用硬件对iOS设备进行数据加密，这被称为数据维护（DataProtection）。重要的iOS体系运用，比方信息、邮件、日历、通讯录、相片和健康数据会默许被数据维护加密。而从iOS7开端，第三方运用数据也会主动被数据维护加密。iOS设备的硬件加密办法导致直接对芯片进行提取数据后无法进行解密。

当时可行的iOS提取办法只要经过获取或破解iOS锁屏暗码来处理，主要办法包含：经过Lockdown文件绕过锁屏暗码进行提取；经过硬件对暗码进行暴力破解；经过指纹或人脸辨认解锁。上述办法在实践查验中有着各种约束，Lockdown文件不一定能够找到，即便找到也有或许现已过期无法运用；暴力破解或许有iOS版本约束，或许为商业技能，成本高昂。

七、数据恢复实践面临应战

电子数据取证和司法鉴别中的数据恢复，是指经过软件东西对检材（样本）进行数据恢复操作的进程。删去电子数据文件时，操作体系只对文件体系中被删去文件的记载项进行修正，其真正的数据区域并不会被直接修正，而是做为未分配空间供后续运用。换句话说，数据恢复的条件是，删去的数据未被修正。

跟着存储技能的发展，新型存储设备开端出现。固态硬盘因其低功耗、高读写速度、无噪音、体积小等长处，跟着价格的下降运用者越来越多。但固态硬盘与传统机械硬盘在存储原理、办法上有着底子不同，对电子数据取证中的电子数据恢复作业造成了很大影响。与机械硬盘次序写入受到块碎片和坏扇区的影响，机械硬盘并不彻底是次序存储。不同，固态硬盘不运用次序写入。在固态硬盘中，数据会被分成不同的数据块，一同写入到不同的NAND存储芯片中，这种平行写入的办法使固态硬盘的写入速度远高于机械硬盘。

即便是单NAND存储芯片的固态硬盘也不会运用次序写入的办法存储数据[或许只要全新的，从未写入过数据的固态硬盘会运用次序存储的办法]。存储芯片中每个块对应的逻辑地址LBA都是动态分配的，便于主控进行损耗平衡。这导致了从NAND存储芯片中直接读取到的数据就好像拼图相同，将数据打散成碎片后随意的组合在一同。假如没有固态硬盘主控的协助，想要经过芯片提取的办法恢复一个文件是好不容易的。

除了数据存储办法的不同之外，固态硬盘还设置了后台废物收回机制。当删去存储在固态硬盘上的文件时，操作体系会执行trim指令，以告知固态硬盘该文件将不会再被运用。只要处于通电状况，固态硬盘就会发动后台的废物收回机制，擦除现已trim的数据块。即便运用只读接口衔接固态硬盘也无法阻挠这一进程，这导致了固态硬盘上删去数据的恢复变得好不容易。

当然实践状况或许会有所不同。假如操作体系、固态硬盘（或许闪存存储器）以及它们之间的传输协议中有不支撑trim的部分，那么trim以及后续的废物收回机制将无法运作，使得状况或许有所好转。但由于NAND存储芯片写入和擦除大小不同等问题，使得trim成为了固态硬盘所有必要的一部分，因而未来关于固态硬盘的数据恢复形势仍然并不达观。

机械硬盘数据恢复未来的状况也并非一片光亮。跟着叠瓦式磁记载技能（ShingledMagneticRecording）的运用，机械硬盘也面临着和NAND存储芯片相同的问题。当时市场上现已出现了支撑trim指令的运用叠瓦式磁记载技能的机械硬盘，关于这种硬盘进行数据恢复也将会面临着固态硬盘相同的问题。

八、海量电子数据的处理陷入困境

海量电子数据的运用，是当时司法实践中不得不考虑的重要问题。涉案电子数据载体数量爆发式增长，单个载体的数据容量爆发式增长，这两个要素导致在任何一个案子中，都或许搜集到海量的电子数据恢复。

事例一：某地侦办机关在处理一同非法集资案子中，查封扣押涉案电脑200余台，从阿里云空间勘验数据40TB。如此规模的电子数据，给有关部分运用依据带来巨大压力。

事例二：某地侦办机关处理一同网络电信诈骗案子，经核实仅确认了1名受害者。移送查看起诉后，在技能人员的辅佐下，从100余万条微信记载中，追加确认了70余名受害者以及相应的转账记载。其间的排查作业量相当大。

海量电子数据是一个比较完整的虚拟空间，是另一种办法的“违法现场”。该“违法现场”给深挖违法供给了宽广空间，却也带来了许多技能处理上的应战。假如说事例一仅仅是技能人员数量上的绰绰有余，事例二则对海量数据的剖析作业提出了更高的要求。实践上，公检法机关现有的技能力量底子无法应对海量电子数据，具有老练数据剖析技能的人员更是严峻短少。此外，符合实践的海量数据处理东西也是一个严峻的短板。

截至现在，针对海量电子数据恢复的处理，仍然没有很好的处理办法。