当时，刑事诉讼中触及电子数据恢复的案子非常遍及，通说认为，电子数据恢复是技能与规律高度结合的产品，假定不能在技能和规律两个层面上完毕心里供认，则很难做到寻求案子实体公正与保证程序合法的有机一同。笔者结合实践事例，总结了一些状况，希望能够引起各级办案人员的高度重视。

一、司法区分要做实践判别，仍是价值判别、规律判别？

司法区分本质上是一种判别定见。此处的判别只能定位为“实践判别”，这儿的“实践”指的是区分人运用科学技能或许专门知识能够认识的客观状况。

事例一：某司法区分安排依据托付部分要求，在检材（移动硬盘）中提取淫秽视频83个、淫秽图片10332个。

事例二：某司法区分安排依据托付部分要求，在检材（移动硬盘）中提取公民个人信息100000条。

事例三：某司法区分安排依据托付部分要求，作出被损坏的计算机体系到达了特别严峻程度的定见。

“淫秽视频”“淫秽图片”“淫秽音频”在大众的认知范围上边界并不显着。《刑法》第三百六十七条规则，淫秽物品是指详细描绘性行为或许暴露宣传色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。国内对淫秽色情音视频的区分并没有一套通行的标准，一般经过行政供认的办法进行。经过司法区分安排给出“淫秽物品”的数量供认，带有不恰当的价值倾向。

相同，依据“两高”《关于处理侵略公民个人信息刑事案子适用规律若干问题的说明》，“公民个人信息”是指以电子或许其他办法记载的能够独自或许与其他信息结合辨认特定自然人身份或许反映特定自然人活动状况的各种信息，包含名字、身份证件号码、通讯通讯联络办法、住址、账号暗码、产业状况、行迹轨道等。能否被点评为“公民个人信息”，要结合信息的实践状况进行供认，严峻来讲这归于规律判别的领域。而“情节严峻”“情节特别严峻”更是典型的规律判别用语。

上面三个事例的处理办法，必定程度上看似便当了办案，实则后患无穷。在以审判为中心的刑事诉讼准则下，这样的司法区分定见极有或许被作为不合法依据予以扫除。

二、留心差异电子数据“本体”与“出现”之间的联络

电子数据是以“0”“1”码存储的数字序列集结，不或许被人们直接感知，这儿面存在一个当然的说明进程。挑选运用恰当的说明东西成为必定。举例而言，关于二进制数0x3132，运用不同的字节序，能够得出完全不同的效果。当然，这还只是微观层面的说明。

在微观层面上，也需求留心电子数据“本体”与“出现”之间的联络问题。

事例：在一同运用互联网传达淫秽物品案子中，某司法区分安排依据办案部分托付要求，提取了服务器硬盘上存储的视频文件数量。有关部分以此作为定案依据。

经过互联网等揭露前语传达淫秽物品，其实存在一个预设的条件。那就是，广阔网民必定要经过一个入口（网站、论坛、云盘等）拜访这些资源。那么，关于刑事诉讼来讲，就存在一个供认的问题，以存储在服务器硬盘上存储的悉数视频文件作为定案依据，仍是以大众能够拜访到的存储在服务器上的视频文件作为定案依据呢？

两者显然是不同的，差异在哪里呢？一方面，经过网站拜访这些视频文件，是需求权限的；另一方面，服务器上的有些视频文件或许并未列入网站管理程序，因而归于“必定不或许”被大众拜访到的。

笔者认为，依据两高《关于处理运用互联网、移动通讯终端、声讯台制作、拷贝、出书、贩卖、传达淫秽电子信息刑事案子详细运用规律若干问题的说明（二）》有关规则，这儿的“数量”应当理解为“传达”（至少是“能够传达”）的数量，而不应当把存储在服务器上的悉数视频文件都列为“数量”构成。

三、区分目标与区分东西存在混淆危险

手机中的电子数据现已成为侦破和指控违法的“依据之王”。因而，针对手机电子数据的提取和区分是当时电子数据司法区分领域最为重要的内容之一。当时商场干流的手机取证东西都能够标准化的提取手机中保存的各类数据信息，但关于保存在云端的手机app数据的处理，还存在一些需求理清的观念。

依据《法庭科学电子依据手机经历技能标准》5.3.1.3规则，“若需经过搜集提取手机云端数据等网络数据时，能够在手机数据已固定的条件下衔接互联网，运用相关查验软件下载相关数据，或选用照相、录像办法固定相关数据，生成查验陈说”，这儿明确指出手机取证其实存在着两个进程，当针对手机机身进行数据提取时，手机充当了区分目标（即检材）的人物，当针对云端数据进行数据获取时，手机此刻充当了区分东西的人物。

惋惜的是，许多区分人员在实践操作时，往往运用软件一同履行机身数据提取和云端数据下载，而忽视了《标准》中一个重要的限定词——若需。

四、电子数据送检、保管环节存在不一同危险

笔者在辅佐检察官查看电子数据作业中，常常发现一些的程度不同的问题，其间在电子数据保管、送检环节产生的危险需求引起高度重视。

事例一：某地侦办机关托付司法区分安排对一同“黑客”案子的涉案笔记本电脑进行区分，托付书挂号的笔记本电脑序列号与扣押清单中的序列号不一同。

事例二：某地侦办机关经过勘验的办法，固定了一同网络传销安排的电子数据。托付司法区分安排区分时，勘验得到的电子数据与送检电子数据的哈希值不同。

事例三：某地侦办机关处理一同强奸案子，移送查看申诉后，能够证明嫌疑人与被害人之间具有亲密联络的手机中，存储芯片石沉大海。

事例四：某地侦办机关处理一同不合法吸纳大众存款案子，在移送查看的材猜中，查看发现扣押的物品相片色彩差异巨大。经核实，一个重要的依据优盘在保管进程中丢掉，有关人员为逃避责任，新购一个同品牌类型的优盘代替了原始依据优盘。

坚持依据的原始性是刑事诉讼中很重要的一项任务。上述事例一和事例二抉择了该依据能否进入该案子的依据门槛，事例三和事例四则潜藏着有关人员成心违法或许重大过失行为。上述四个事例均存在依据开裂的实践危险，那么接下来的法庭审理中，检察机关将不可避免的面临被迫。假定律师聘请了资深专家团队并提出合理置疑，轻则带来案子反复，重则作出无罪判决，那将是司法难以承受之重。

五、重区分轻取证的司法办案理念急需改动

2013年修订后刑诉法实施以来，电子数据成了法定依据办法。此次修法还有一个更大的变化，“区分结论”改为了“区分定见”，这是司法实践领域的一次重要调整。

可是，广阔司法人员希望经过区分供认某些专门问题，甚至到达一锤定音的主见还没有得到有用消除，换句话说，司法人员对“区分结论”的依托并没有及时得到调整。在电子数据的问题上，这一点尤其显着。侦办机关经过现场勘验获取的电子数据、经过第三方调取的电子数据、经过实施查看等技能手法得到的电子数据……，这些都是电子数据，都现已是法定的依据办法。但有些检察人员对侦办部分勤勤恳恳获取的电子数据不做详查、不做剖析，有的听之任之，有的甚至要求办案部分去做个区分。在所谓“旧理念”的指导下，有些区分定见不三不四。

事例：某地侦办机关处理一同网络传销案子，依据有关办案人员的要求，区分安排出具了“该安排工作办法契合传销安排特征”的区分定见。

在这个事例中，司法区分安排仍然越权做出了“规律判别”，但清楚清楚，这儿面包含着一种差错的倾向，有关办案人员仍然希望经过司法区分的办法对有关规律问题进行供认。

六、信息加密成为束缚电子数据取证和区分的一道门槛

暗码破解一直是电子数据恢复取证和区分中需求面临的问题。信息加密技能在为用户供应数据安全的一同，也对电子数据取证人员提出了更高的要求。从BIOS暗码、操作体系用户暗码到Android全盘加密、文件级加密再到iOS加密，电子数据取证面临着越来越高的取证门槛。下面临当时常见的信息加密办法进行介绍，并将其对电子数据取证的影响进行说明。

难点一：BitLocker是内置于WindowsVista及其之后体系的全盘加密功用，经过对磁盘卷进行加密来维护数据。它运用128位或256位密钥的AES加密算法加密数据，加密强度很高。

当时破解Bitlocker的技能除了经过社会工程学等手法直接获取暗码外，首要有以下办法：一是经过对BitLocker加密设备的内存或Windows休眠文件进行提取，在其间查找Bitlocker密钥，二是在获取用户的微软账户和暗码后经过微软账户查询BitLocker恢复密钥，三是运用Bitlocker运用固态硬盘进行硬件加密的缝隙，从固态硬盘中获取Bitlocker密钥。上述办法在实践中都有必定的局限性，导致对Bitlocker加密卷的破解成功率无法保证。

难点二：Android在4.4版中引入了全盘加密（FDE），并在5.0中对全盘加密功用进行了优化。全盘加密是运用密钥（密钥本身也经过加密）对Android设备上的悉数用户数据进行编码的进程。设备经过加密后，悉数由用户创立的数据在存入磁盘之前都会主动加密，并且悉数读取操作都会在将数据回来给调用进程之前主动解密数据。

Android7.0及更高版别支撑文件级加密（FBE）。选用文件级加密时，能够运用不同的密钥对不同的文件进行加密，并且能够对加密文件进行独自解密。文件级加密会对文件名和文件内容进行加密。

关于Android体系加密，除了获取暗码或运用指纹、人脸辨认解锁外，首要是经过屏蔽锁屏暗码和暴力破解的办法进行解密。其间暴力破解的办法由于速度束缚（体系运算才能和Gatekeeper恳求次数束缚），导致不知道原暗码状况下破解时长无法控制。

难点三：从iPhone3GS开始，苹果运用硬件对iOS设备进行数据加密，这被称为数据维护（DataProtection）。重要的iOS体系运用，比如信息、邮件、日历、通讯录、相片和健康数据会默许被数据维护加密。而从iOS7开始，第三方运用数据也会主动被数据维护加密。iOS设备的硬件加密办法导致直接对芯片进行提取数据后无法进行解密。

当时可行的iOS提取办法只需经过获取或破解iOS锁屏暗码来处理，首要办法包含：经过Lockdown文件绕过锁屏暗码进行提取；经过硬件对暗码进行暴力破解；经过指纹或人脸辨认解锁。上述办法在实践查验中有着各种束缚，Lockdown文件不必定能够找到，即便找到也有或许现已过期无法运用；暴力破解或许有iOS版别束缚，或许为商业技能，本钱高昂。

七、数据恢复实践面临应战

电子数据取证和司法区分中的数据恢复，是指经过软件东西对检材（样本）进行数据恢复操作的进程。删去电子数据文件时，操作体系只对文件体系中被删去文件的记载项进行修改，其真实的数据区域并不会被直接修改，而是做为未分配空间供后续运用。换句话说，数据恢复的条件是，删去的数据未被修改。

跟着存储技能的开展，新式存储设备开始出现。固态硬盘因其低功耗、高读写速度、无噪音、体积小等长处，跟着价格的下降运用者越来越多。但固态硬盘与传统机械硬盘在存储原理、办法上有着根柢不同，对电子数据取证中的电子数据恢复作业造成了很大影响。与机械硬盘次序写入遭到块碎片和坏扇区的影响，机械硬盘并不完全是次序存储。不同，固态硬盘不运用次序写入。在固态硬盘中，数据会被分红不同的数据块，一同写入到不同的NAND存储芯片中，这种平行写入的办法使固态硬盘的写入速度远高于机械硬盘。

即便是单NAND存储芯片的固态硬盘也不会运用次序写入的办法存储数据[或许只需全新的，从未写入过数据的固态硬盘会运用次序存储的办法]。存储芯片中每个块对应的逻辑地址LBA都是动态分配的，便于主控进行损耗平衡。这导致了从NAND存储芯片中直接读取到的数据就好像拼图相同，将数据打散成碎片后随意的组合在一同。假定没有固态硬盘主控的协助，想要经过芯片提取的办法恢复一个文件是非常困难的。

除了数据存储办法的不同之外，固态硬盘还设置了后台废物回收机制。当删去存储在固态硬盘上的文件时，操作体系会履行trim指令，以奉告固态硬盘该文件将不会再被运用。只需处于通电状况，固态硬盘就会发起后台的废物回收机制，擦除现已trim的数据块。即便运用只读接口衔接固态硬盘也无法阻遏这一进程，这导致了固态硬盘上删去数据的恢复变得非常困难。

当然实践状况或许会有所不同。假定操作体系、固态硬盘（或许闪存存储器）以及它们之间的传输协议中有不支撑trim的部分，那么trim以及后续的废物回收机制将无法运作，使得状况或许有所好转。但由于NAND存储芯片写入和擦除巨细不同等问题，使得trim成为了固态硬盘全部必要的一部分，因而未来关于固态硬盘的数据恢复局势仍然并不达观。

机械硬盘数据恢复未来的状况也并非一片光亮。跟着叠瓦式磁记载技能（ShingledMagneticRecording）的运用，机械硬盘也面临着和NAND存储芯片相同的问题。当时商场上现已出现了支撑trim指令的运用叠瓦式磁记载技能的机械硬盘，关于这种硬盘进行数据恢复也将会面临着固态硬盘相同的问题。

八、海量电子数据的处理陷入困境

海量电子数据的运用，是当时司法实践中不得不考虑的重要问题。涉案电子数据载体数量爆发式添加，单个载体的数据容量爆发式添加，这两个要素导致在任何一个案子中，都或许搜集到海量的电子数据恢复。

事例一：某地侦办机关在处理一同不合法集资案子中，查封扣押涉案电脑200余台，从阿里云空间勘验数据40TB。如此规模的电子数据，给有关部分运用依据带来巨大压力。

事例二：某地侦办机关处理一同网络电信诈骗案子，经核实仅供认了1名受害者。移送查看申诉后，在技能人员的辅佐下，从100余万条微信记载中，追加供认了70余名受害者以及相应的转账记载。其间的排查作业量相当大。

海量电子数据是一个比较无缺的虚拟空间，是另一种办法的“违法现场”。该“违法现场”给深挖违法供应了广阔空间，却也带来了许多技能处理上的应战。假定说事例一仅仅是技能人员数量上的绰绰有余，事例二则对海量数据的剖析作业提出了更高的要求。实践上，公检法机关现有的技能力量根柢无法应对海量电子数据，具有老到数据剖析技能的人员更是严峻短少。此外，契合实践的海量数据处理东西也是一个严峻的短板。

截至现在，针对海量电子数据恢复的处理，仍然没有很好的处理办法。