24小时服务热线

400-812-7308
在线沟通,请点我 在线咨询
咨询电话:
400-812-7308
地址:
江西省南昌市青山湖区南京东路
您的位置:神州司法  >   机构动态

电子数据恢复中司法鉴定的主要数据类型及其定位

日期:2021-08-10

一、电子数据司法断定的首要内容

随着信息网络的不断发展和运用,电子数据与人们的日子和作业息息相关,将其作为根据进入法庭的情形也越来越多。一旦对电子数据的真实性、可靠性等有关问题存在疑问时,常常需求发动司法断定程序。根据司法部司法断定办理局公布的相关数据,2007年电子数据相关的司法断定事务量为819(其间,电子根据类412件,计算机司法断定407)2008年为1283(其间计算机司法断定1174件,电子根据断定109)2009年为1025(其间计算机司法断定649件,电子根据类断定376)2010年为1647(其间计算机司法断定897件,电子数据断定777)2011年为1117(其间计算机司法断定711件,电子数据断定406)。整体上说,2010年以前,电子数据相关司法断定事务量大致在1000左右,2010年今后,断定事务量整体稳中有长,根本保持在1100件以上。根据从事电子数据相关的司法断定组织的状况看,电子数据司法断定组织在最近五年有比较大的增长,其间2010年从事电子数据的司法断定增长幅度达35.7%

在电子数据断定事务稳步增长的同时,电子数据司法断定有关的程序规矩、技能标准却十分缺少,严重制约着该职业的健康发展。而要拟定科学合理的司法断定技能标准,电子数据司法断定各项目之间需构成一套科学的系统。过火笼统或过火详细的分类都不利于拟定具有可操作性的科学程序规矩和技能标准。从现在实务状况看,对电子数据司法断定首要内容,一般经过罗列办法进行规定。例如,在2009年《司法断定收费办理办法》中,电子数据断定包括了硬盘查验(包括台式机硬盘、笔记本硬盘、移动硬盘)、服务器查验(包括磁盘阵列柜、网络硬盘等)CDDVD光盘检测断定、U盘及存储卡检测断定(SIM )、软盘检测断定、电子设备查验断定(包括录音笔、传真机、电子秤等同类电子设备)、存储介质物理毛病扫除(部件包括互换磁头、电机;替换PCB板;坏扇处理等)、手机机身查验、注册表查验断定、软件共同性查验断定、软件功用查验、文件共同性查验断定、数据库电子数据恢复、数据库共同性查验断定、其他电子数据查验断定(包括网络数据包等)、密码破解、现场数据获取、网络数据获取、光盘朔源查验、光盘刻录机查验、电子根据断定文证复审等21个项目。

经过罗列办法对电子数据司法断定进行分类,难以包括一切的司法断定项目,也无法掌握不同司法断定项意图共性和差异性特征。应该从理论视点对其进行科学分类。根据电子数据不同形状,可以将电子数据司法断定分为静态电子数据司法断定和动态电子数据司法断定。根据断定方针范围,可以将电子数据司法断定分为根据网络的电子数据司法断定和根据主机的电子数据司法断定。上述两种分类办法对研讨不同类别电子数据司法断定的详细性质和规矩有必定的效果,但关于研讨司法断定的详细技能和标准来说又略显粗糙。

因此,应依照新的区别标准进行分类,一方面要克服罗列式办法无法包括一切司法断定的缺点,另一方面又要便于科学和合理地拟定具有可操作性的断定办法和技能标准。笔者以为,一种比较合理的分类办法是依照断定事项的性质进行区别,将电子数据司法断定分为以发现根据为方针的司法断定和以点评根据为方针的司法断定,同时对每一类司法断定又进一步进行细分,这样可克服上述两种缺点,便于拟定科学合理又具有可操作性的程序规矩和技能标准系统。

()两类不同的电子数据司法断定

电子数据司法断定,广泛运用于案子侦办、审判等环节中。在案子侦办中,电子数据司法断定的首要方针是为了找到与案子现实的相关根据,而在审判环节,则首要是对当事人供给的电子数据的真实性和关联性等问题进行剖析和点评,以判别电子数据的根据效能。

因此,可以将电子数据司法断定分为以发现根据为方针的司法断定和以点评根据为方针的司法断定。在前一类司法断定中,委托人往往无法供给断定所根据的详细根据及阐明其所能证明的现实问题,这些问题恰恰是需求断定人完成的事项。一般委托人只是供给一种或许存在根据的场所或许设备,能否发现相关根据则需求断定今后才能知晓。在后一类司法断定中,委托人往往供给了能证明某种案子现实的根据或资料,要求计算机司法断定人就这种根据能否证明某种案子现实,或许对证明这种案子现实的可信度进行点评。这种性质的断定常常呈现在诉讼中的审判阶段。

()两类不同电子数据司法断定的详细断定项目

根据实务中司法断定项意图性质不同,还可以将上述两种不同的司法断定进行细分。以发现根据为方针的电子数据司法断定可以进一步分为:数据检索与固定、电子数据恢复、数据来历剖析、数据内容剖析和数据概括剖析等五类,如图2所示;以点评根据为方针的电子数据司法断定可以进一步分为:同一断定、真伪断定、类似性断定、功用断定和复合断定等。

1.数据内容剖析

数据内容剖析是一种将躲藏的、不知道内容的数据转换为可读的、有意义的信息内容的进程。数据内容剖析实际上是剖析和发现二进制数据所表达的真实信息内容的技能。由于二进制数据具有信息解说的多样性、感知办法的多样性和依靠性等特色。同样的二进制数据运用不同的解说办法其信息内容或许是不同的。只有找出数据内容不可读的原因,并采取相应的数据解说办法才能正确还原悉数或许部分原始信息内容。常见的原因或许是数据在处理或许搬运进程中呈现错误,产生乱码;或许数据信息被加密;或许信息无法被访问等。相应地,可釆用的剖析办法有乱码剖析、加密信息剖析、口令破解、躲藏数据发现等。

2.数据检索与固定

数据检索与固定包括两类技能:数据检索技能、数据提取与固定技能。关于数据检索技能,可釆用的详细技能和办法十分多,例如各种不同的数据发掘技能、粗糙集技能等。但根据检索时猜测信息的性质不同,可将其分为根据数据内容的检索技能、根据指纹信息的检索技能、根据痕迹信息的检索技能等三种。前者猜测信息与所检索数据内容或特点直接相关,中者与检索数据内容的数字指纹信息相关;后者则选用间接检索办法找定位电子数据的痕迹信息,然后确认电子数据的方位和内容。关于提取和固定技能,除了选用传统的提取和固定办法外,常运用的技能为电子数据仿制技能。根据案子性质不同,对仿制的技能要求也是不同的。从所提取和固定电子数据的形状不同,可分为静态数据的提取和固定、动态数据的提取和固定。

3.电子数据恢复

电子数据恢复指的是被系统删去或被损坏的、不能被系统正确辨认和处理的数据信息,经过特殊办法使数据重现并可被系统辨认的技能。电子数据恢复的场合或许有以下几种原因:其一,存储设备呈现硬件毛病,无法被计算机系统正常访问;其二,存储设备中数据被删去,或许文件系统被格式化;其三,设备中数据被掩盖,或许设备彻底损坏等。关于以上三种不同状况,依次选用的是物理毛病修正、软件层面恢复、物理信号恢复电子数据恢复技能。

4.数据来历剖析

数据来历剖析指根据现有的资料和信息,确认特定文件、程序、代码和其他数据信息的开始来历或许其来历路径的技能。常见的数据来历剖析技能包括文档来历、邮件来历、数据包来历剖析等。数据来历剖析技能不仅运用于以发现根据为方针的电子数据司法断定中,在同一断定、真伪断定等以点评根据为方针的电子数据司法断定中也常常是必不可少的查验内容之一。

5.数据概括剖析

数据概括剖析中,发现根据所选用的技能是概括的,一般从案情出发,要求找出断定案子现实和性质的相关电子数据。例如,在或许被黑客非法侵入的计算机信息系统中,要求侦办人员经过各种办法找出与案子相关的一切电子数据根据。在这一类断定中,实际上断定人员完成了部分侦办人员的作业,或许需求与侦办人员密切合作,共同完成案子侦办作业。

6.同一断定

电子数据司法断定中的同一断定,指的是比较两文件、代码、信息等是否来历于同一客体的断定。它与数据来历断定性质不同。前一断定中,委托人需求同时供给检材和样本,且检材和样本的信息内容根本类似。后一断定中,委托人只需求供给检材,其意图是为了寻觅和判别检材的开始来历,或许其生成或运行路径。

7.真伪断定

真伪断定是指判别被查验资料真实性的断定。进行真伪断定,需求剖析影响查验资料可靠性的各种要素、查验其是否契合常见伪造办法的特征,概括评判其可靠程度,并结合案情最后作出检材是否真实的判别。从断定方针看,真伪断定包括的事项十分多,任何作为根据供给的资料均或许成为其方针。例如,电子邮件真伪断定、聊天记录真伪断定、数字图像真伪断定等。

8.功用断定

功用断定首要是对计算机软件(包括具有损坏性的程序、合法程序等)的功用进行剖析,判别是否具有某种功用,或许与所描绘的功用是否共同的断定。功用断定既可以经过源代码进行断定,也可以经过方针代码进行断定,详细比对方针需求根据案子状况确认。常见的功用断定有恶意代码断定、软件功用断定、技能措施断定等。恶意代码断定指的是对被查验代码进行剖析,判别它是否归于恶意代码,归于何种恶意代码,具有哪些损坏功用等进行断定的活动。软件功用断定指的是经过查验和剖析计算机软件,判别软件是否具有某一项或某几项功用,或许判别软件应具有的某种功用是否达到特定技能指标为意图的断定。技能措施性质断定是指经过对技能措施的功用剖析,判别技能措施的性质,例如,判别其是否具有操控访问次数功用、是否可以盯梢并搜集用户信息、是否可以强制删去用户帐号、是否可以删去竞争对手的程序等。

9.类似性断定

类似性断定指的是文件或代码在某种性质上的类似程度。在司法断定实务中,一般与电子数据相关的知识产权问题密切相关。根据类似性的性质不同,可以将类似性断定分为文件内容类似性断定、软件代码类似性断定等事项。文件内容类似性指的是经过比较两个文件的内容,判别两者是否共同,或许本质上是否类似的断定。软件代码类似性指对软件的源代码或可执行程序进行比对和技能剖析,判别两者是否本质类似的断定。

类似性断定与功用断定不同。以计算机软件为例,软件功用断定重视的是软件功用,只是从技能视点剖析问题;而软件代码的类似性,则首要从计算机软件著作权视点去剖析其类似程度,常比较软件的源代码,但软件完成的功用由于不归于作者思想的表达,或许由于不归于独创性内容,一般状况下不能作为比较的方针。

10.复合断定

复合断定是指一种相对较杂乱的断定,在断定进程中触及的事项较多、学科知识广,难以归入到以点评根据为方针的其他电子数据司法断定,都归于复合断定。常见的有财物丢失断定、企业各种运用系统断定、数字根据链断定、电子数据司法断定文书复审等。财物丢失断定指对涉案的计算机软硬件财物和其他无形财物进行点评,判别案子触及的财物丢失状况。企业的各种运用系统断定,是指对企业的运用系统或软件(ERPSCM OA)中所存储数据的有用性、真实性及其所反映得公司财务、办理等状况的断定。数字根据链是指根据案子中触及的数字根据,以及根据、书证等其他根据,经过概括剖析根据链,判别其是否可以证明某种案子现实。实际上是一种对涉案根据真实性和可靠性进行判别的概括断定。电子数据司法断定文书复审,实际上是经过对电子数据司法断定文书的断定进程、办法和定论的描绘等内容的剖析,结合其他相关资料,判别断定文书中断定定见是否科学可靠并出具复审定见的断定。

二、两类电子数据司法断定差异比较

发现根据为方针和与以点评根据为方针的电子数据司法断定由于两者断定方针不同,在断定定见主观性、断定危险和断定程序办法、根据检查上都存在差异。

()前者以发现根据为方针,后者以点评根据为方针

发现根据为方针的电子数据司法断定中,首要使命是发现虚拟现场是否存在与案子现实相关的根据。此类断定所供给的查验资料或许触及某个或几个计算机网络系统、计算机及相关设备,或许相关电子数据副本。但查验资猜中是否存在与案子现实相关电子数据,或许存在哪些相关电子数据,在查验断定前是不确认的。

而以点评根据为方针的电子数据司法断定首要使命是点评相关电子数据#据的关联性和真实性。此类断定所供给的查验资料触及到电子数据所要证明的案子现真实查验前是确认的,但能否可以证明该案子现实正是有待断定的。

由于上述两类司法断定性质不同,它们呈现的诉讼阶段一般也是不同的。以发现根据为方针的电子数据司法断定首要呈现在刑事诉讼中侦办阶段,以及民事诉讼和行政诉讼中根据交流之前。而以点评根据为方针的电子数据司法断定更多呈现在审判阶段。

()前者断定定见主观性较少,后者断定定见主观性较强

任何司法断定定见均带有必定的主观性。但由于断定进程中所根据的仪器设备、评判标准、人员判别进程对断定定见构成的影响程度等不同,其主观性程度也是不同的。一般状况下,以发现根据为方针的电子数据司法断定中包括的主观要素较少,而以点评根据为方针的电子数据司法断定中包括的主观要素较强。

发现根据为方针的电子数据司法断定,是使用必定技能办法找出与案子现实相关的根据。其查验成果是所发现的电子数据,触及到对发现电子数据进程、办法和成果的描绘。其间包括的司法断定人的主观定见较少,断定定见客观性较强。

点评根据为方针的电子数据司法断定,其成果是断定人根据自己的技能和经历,经过对被断定方针查验和剖析,对根据可靠性与否所出具的断定定见。判别进程中触及到司法断定人的个人经历和主观判别。并且,假如构成断定定见依靠的评判标准缺少或许不行详细,则断定定见带有很强的主观性。

由于两类司法断定包括的主观性要素不同,出具的断定定见书也不同。前者契合司法断定查验报告书的出具领域;后者契合司法断定定见书的出具领域。

()前者断定程序相对较杂乱,后者断定难度相对较大

发现根据为方针的电子数据司法断定其使命是搜集与案子相关的电子数据根据,很多状况下需求到案子现场进行取证。由于对案子现场的计算机网络、计算机及相关设备等详细状况不必定了解清楚,因此在施行断定前有必要科学地分配各种人力、物力和财力资源,以应对各种或许呈现的不确认性状况。因此,拟定详细的举动方案十分重要。

另一方面,该类司法断定活动常常与侦办机关侦办活动严密地联络在一起,施行断守时还需求与侦办人员相互配合。由于触及较多的人、财、物分配,断定程序相对比较杂乱。但以发现根据为方针的电子数据司法断定可釆用的技能多种多样,相对来说断定难度不高。即使完成相同的断定事项,可选择的详细断定技能和办法也可不同,它们都可以完成相同的断定方针。

点评根据为方针的电子数据司法断定需选用概括剖析办法进行断定,断定难度相对较高。由于该类断定首要使命是判别电子数据根据的真实性,而影响根据真实性的要素多种多样,单单根据电子数据自身信息难以对其真实性作出科学的判别。一般状况下,需求考虑电子数据自身信息,构成进程,构成环境、存储和保管状况、人员运用和触摸状况等多种要素。这些概括要素剖析不只是触及计算机科学技能,有时候还触及其他学科知识,以及与计算机运用相关的经历等,因此评判标准有必定含糊性,构成断定定见的难度也进一步加大。

()前者断定难易度难以事前掌握,后者可以事前掌握。

传统司法断定对检材要求较高,在司法断定受理时,假如供给的查验资料不充分,或许断定要求不契合相关断定技能标准的,应不予受理。在断定进程中,还可以根据实际状况要求补充新的查验资料和样本。因此在断定前,对是否可以构成明确性定见有必定预期。但是以发现根据为方针的电子数据司法断定在发动断守时无法猜测能否搜集到与案子相关的电子数据,因此危险操控难度较大。而以点评根据为方针的电子数据司法断定在施行断定前对查验资料所反映的信息有必定的了解,因此对能否作出明确性断定定见有必定猜测,对断定进程的难易度可以较好的掌握,因此可以有用操控断定危险。

也就是说,以发现根据为方针的电子数据司法断定活动中,假如经过一次断定,未发现与案子现实相关的电子数据,并不意味着犯罪现实不存在,或许虽发现了与案子现实相关的电子数据,也并不意味着被发现和搜集的电子数据全面、完好。它与事前釆用的战略、技能、办法存在必定的相关性。因此,这类断定难易度难以掌握,一次断定进程完成后,还应根据详细案情调整断定的战略、技能和办法,然后有用操控危险。而以点评根据为方针的电子数据司法断定与传统司法断定的真实性断定类似,其难易度相对较容易掌握,一般一次断定完成后,便可以构成断定定见。

()前者重在根据保管链(Chain of Custody)的完好性检查,后者重在断定办法和技能的可靠性检查。

根据我国法令中根据分类办法,以发现根据为方针的电子数据司法断定触及到两种不同的根据品种:一为出具的司法断定定见;二为所搜集的电子数据根据。在这一类司法断定中,出具的司法断定定见主观性要素较少,在根据检查时要点检查根据搜集进程中的程序和办法。其间,电子数据在不同载体上搬运或许由不同主体保管时,数据的完好性维护是至关重要的。因此在这一类司法断定中,触及的电子数据根据检查应要点重视数据完好性问题,即要对根据保管链(Chain of Custody)的完好性进行检查。

点评根据为方针的电子数据司法断定仅触及到司法断定定见根据,且司法断定定见一般触及的主观性要素较强。对这一类根据的检查类似于美国专家证言的检查。关于专家证言一般包括两方面的检查:其一,相关性检查;其二,专家证言的科学性检查。在相关性规矩方面包括三方面问题:争议的问题与案子现实相关;争议问题触及专门的、十分识性的经历和知识;对专门问题供给定见的专家证人有必要具有专家资格。专家证言的科学性检查,首要有弗赖伊规矩、道伯特规矩等。我国司法断定人与美国专家证人不同,施行的不是无固定资格准则,因此法庭对这类根据的检查,除了法定的程序性事项外,最重要的是断定办法和技能的可靠性检查。确认技能和办法的可靠性与否,需求剖析其是否根据相关标准和标准施行,假如没有相关标准和标准,则要剖析所根据办法的科学性、可重复性、潜在错误率、根据理论的承受程度等方面进行详细剖析。

三、电子数据司法断定在司法断定学科中的定位

电子数据司法断定类似术语有很多,如电子根据司法断定、电子根据司法断定、计算机司法断定等。一般它们用来指同一概念,一般不加以区别。在断定实务中,有的专家以为应将电子数据作为独立的断定类型,其包括范围比计算机司法断定广;也有以为应将计算机司法断定作为独立的断定类型,其断定内容包括电子数据司法断定。笔者赞同后者的观点,由于从术语的字面意义上剖析,电子数据司法断定是从断定方针出发界定概;而计算机司法断定则依照专门知识类别进行界定概念。根据我国司法断定学科分类系统和断定实务状况,应将计算机司法断定应设置为司法断定(学科)中的新类别,而电子数据司法断定从归于计算机司法断定。

其理由可概括为以下几点:

1.司法断定学科分类是依照专门知识所属学科进行的

从司法断定概念上看,它是运用科学技能或许专门知识对诉讼触及的专门性问题进行辨别和判别并提出断定定见的活动。从概念界说看,它并非从断定方针视点进行界定,而是着重科学技能专门知识专门性问题。因此对司法断定进行细分,从专门知识等视点进行进一步区别愈加合理。而专门知识或问题一般根据不同学科类别细分,例如从从法医学、根据技能学、计算机科学、会计学、修建工程学等视点区别愈加明晰和明确。从司法断定学科分类看,也是依照不同的学科进行分类的,没有依照断定方针或许根据类别进行分类的情形。

2.司法断定实务的区别整体上是依照学科类别区别的

从司法断定实务状况看,我国司法断定事务的区别整体上也是依照学科不同进行区别的。法医类司法断定中首要使用医学知识,它是法学与医学结合的穿插学科;根据类司法断定首要使用根据技能学原理和技能;声像资料司法断定首要使用语音学、电子学等学科知识;而其他类别司法断定也可以找到相对应学科类别。计算机司法断定首要使用计算机科学的原理和技能,它与其他司法断定釆用的原理和办法均存在差异,是法学与计算机科学的穿插学科,因此应与这些司法断定类别处于同等的位置。

3.依照断定方针进行一级区别在实践中不具有可行性

假如依照查验方针或许客体对司法断定进行一级区别,委托人有或许无法确认断定所属学科,很或许不利于断定活动的正常运行。某一种根据资料或许被查验方针,由于在诉讼中触及的可疑点不同,或许归于不同的断定类别。以印有人像的书面文件为例,它可以作为根据类断定的查验方针(如判别书面文件的真伪),也可以作为法医类断定的查验方针(如判别人像中特定人的伤残状况),还可以作为声像资料类断定的查验方针(如判别人像与特,人是否同一人)。因此,从逻辑层次上看,只有事前按学科对断定进行了分类,才可以进一步依照客体或根据资料不同进行区别。

4.电子数据司法断定为计算机司法断定首要类型之一

假如依照查验方针对司法断定进行一级区别难以直接体现断定人的专业性特征。只有在某一学科内部依照断定方针进行区别才有实际意义。依照断定方针不同,计算机司法断定可分为电子数据为首要方针和以电子设备为首要方针的断定。当然,电子设备中或许包括电子数据,电子数据也依靠于存储设备,区别根据看哪一方针起首要效果。也就是说,应将计算机司法断定设置为司法断定的一种新断定类别,它与法医司法断定、会计司法断定、根据类司法断定归于同一层次。

四、定论

发现根据为方针和与以点评根据为方针的电子数据司法断定两者在断定方针,断定定见主观性、断定危险和断定程序办法、根据检查上都存在差异。根据断定性质不同,将电子数据司法断定分为上述两种不同类别的电子数据司法断定,并依照这个方向进一步细分,便于从法令和技能穿插视角对其更深化地开展研讨,也愈加有利于科学拟定电子数据司法断定相关程序规矩和技能标准。