【doc】网络犯罪侦查中证据体系的建立

【doc】网络犯罪侦查中证据体系的建立 网络犯罪侦查中证据体系的建立 侦查中 的建立 青岛市公安局网监处王军 摘要本文针对当前网络犯罪侦查工作的现状,论述了网络犯罪证据体系的构成以及网络犯罪 证据的提取和固定. 关键词网络犯罪证据体系取证固定 我国信息网络建设进入一个飞速发展的阶段在社会生活中占据的地位越来越重要.与此同 时,网络违法行为尤其是各种网络犯罪活动也日趋突出,甚至直接危害国家安全和社会稳定.为 了有效的打击网上违法犯罪活动,进一步明确一个固定的和证明网络犯罪行为的网络犯罪证据体 . 系,笔者以一孔之见发表拙议,与同行商榷 一 ,构建一个完善的网络犯罪证据体系的重要性 从1997年修订的(《中华人民共和国刑法》中增加了计算机犯罪有关条款开始,到2000年底 《全国人大常委会关于维护互联网安全的决定》正式公布以来,网络 犯罪或者说计算机犯罪就不只 是一个法律研究中的名词了,它已成为我国司法活动中经常要用到的,《中华人民共和国刑法》中 有关罪名的泛称.虽然法律有了明文的规定,但实际司法实践中这类成功的案例还为数不多,为 什么出现这种情况呢?我认为除了在侦查方面的不足外.网络犯罪的证据体系比较脆弱.是打击 不力的重要原因. 计算机网络这样一个虚拟空间发生的犯罪,它的现场和痕迹不同于现实生活,具有很强的不惟 一 性.隐蔽性和可破坏性,有一些网络犯罪现场可能只有一点或根本没有痕迹,现场可以挖掘出 的侦查线索极少,这就给案发后公安机关的侦查取证工作带来困难.往往是侦查人员尽最大努力 找到的证据,由于提取过程方法和表现形式无法得到法定的认可,使证据的分量被降低,导致 案件虽然侦破却无法处理,特别是在一些有影响的大案的侦查中陷于被动,客观上助长了违法犯 罪行为.如何有效地打击网络犯罪,我们必须研究总结出一套既具有可操作性.又为法律所认可 的网络犯罪证据体系和相应的收集渠道及程序.方法. 二.网络犯罪证据体系的组成 对于网络犯罪的概念,司法界和学术界有各种各样 的观点.相应的对网络犯罪的证据体系确定也有各自的 见解.笔者认为.所谓网络犯罪的证据体系与传统的刑 事犯罪的证据体系并不矛盾.同样包括物证,书证,证 人证言.被害人陈述.犯罪嫌疑人,被告人供述和辩解. 鉴定结论.勘验,检查笔录以及视听资料七大类.与传 统刑事犯罪的证据体系相比.只不过是具有网络犯罪特 征的电子数据鉴定,网络虚拟现场的勘验和检查应得到 进一步的强化.这两个方面的强化体现在:一是电子数 据的鉴定应更加权威化.二是对网络现场环境的勘验, 检查应更加严谨和科学. 对在侦查过程中取得的电子数据的功能,性能以及 对信息网络被侵害后的结果的认定.必须具备一定的权 威性.笔者认为.在现阶段.我国从事网络犯罪侦查的 侦查人员还不具备也不可能具备相当专业的技术水准, 特别是对一些比较特殊的专业网络和信息系统.由从事 犯罪侦查的人员来作出相应的鉴定结论.既不公平又很 容易出现瑕疵.确实难以服众.而建立一个常设性的包 罗万象的鉴定机构也不现实.因此.笔者认为应建立一 系列有行业特色或网络应用特点的鉴定专家组.在需要 鉴定时.由公安机关组织相关专家组人员进行鉴定.必 要保 证了鉴定结论的权威性. 对网络犯罪现场的勘验,检查笔录应当包括两个部 学术交流会论文专栏 分.一是传统意义上的现场勘验,检查的内容.包括对 与犯罪有关的场所,痕迹,物品等进行的勘验,检查记 录:二是专门针对网络设备(包括计算机和其他辅助设 备)的虚拟环境中客观存在的完整电子数据或碎片进行 的勘验,检查和恢复.如对相关的系统登录文件,应 用程序登录文件,用户登录文件,网络单元登录文件,防 火墙登录文件.以及对各种入侵检测系统记录的事件和 保存相关文件的各种存储介质等等的勘验,检查记录. 对网络环境和电子数据的勘验,检查记录.应当准确地 记载相关数据或文件的名称,长度,最后修改时间,功 能或内容,存储路径或存储的介质名称和物理位置. 这两类与电子数据有关的网络犯罪证据在网络犯罪 证据体系里占有重要的地位.也是最难获得的证据.而 且往往在司法实践中出现问题的也是这两类证据.只有 将这两类证据做到真实可靠.并与传统的刑事犯罪证据 有机的结合起来.相互印证.并形成一个完整的证据链. 才能形成一个在司法过程中有效的证据体系. 三.网络犯罪证据的提取和固定 正是由于这两类与电子数据有关的证据在网络犯罪 证据体系里的重要位置.因此网络中相关电子数据或文 件的提取与固定就显得尤为重要.网络犯罪现场的电子 数据提取和固定是一项非常棘手的工作.会面临许多技 术上甚至是传统观念的挑战,其中最重要的就是需要侦 查人员转变自己传统的侦查观念来对待网络犯罪侦查. 必须要充分认识在网络这一虚拟环境中客观存在的现实 性. 我们都知道犯罪现场的保护非常重要.可是在网络 犯罪的侦查中最容易忽视的就是与网络罪犯有关的计算 机以及相关的网络设备的犯罪现场保护.笔者在工作中 发现.在很多案件侦查工作中.我们的侦查员因为急于 查找侦查线索,确定危害后果.往往要求网络的使用和 管理人员在网络遭到攻击破坏后.匆忙确认攻击网络的 犯罪行为是怎样发生的并急于重建系统.有的侦查员为 了查找有关线索.在进行现场勘查和固定工作之前.要 求网络的管理员直接操作有关电子数据.导致现场人为 地遭到破坏.即使找到有价值的线索.相应的证据也就 失去了它原有的可用性.还有一个比较常见的情况.就 是案件侦查时.受害人或受害单位往往因各种原因故意 _lr 隐瞒危害的后果或者被侵害的主要部分.导致对案件的 定性和侦查方向产生偏差.因此,侦查人员在制定一个 科学,严谨的网络侦查时.必须设法使有关人员理 解和明确隐瞒案情是一种纵容犯罪的行为.协助侦查人 员了解案件的全部事实是他们的法定. 在侦破网络犯罪的过程中.正确实施计算机取证. 固定犯罪证据十分重要.应当提取什么样的电子证据. 如何提取并有效固定电子证据.是问题的关键.笔者认 为.首先应当询问案件发现人,报案人以及有关的系统 集成和程序设计人员.在了解案件性质,熟悉现场环境 和案发计算机信息系统软硬件基本情况下.判断网络 “痕迹”可能存在于什么地方.了解受到侵害的网络能够 常规地记录什么事件,动作,过程.以什么样的方式记 录,记录在什么设备的什么位置,如何查看,能否备份. 然后确定勘查方向,步骤和取证目标.工作中可以重点 收集如下可能包含证据的文件:系统登录文件,应用登 录文件,认证(计费或授权)登录文件,网络单元登录 文件,防火墙登录文件,攻击(或入侵)检测事件记录 文件,各种文件(程序或数据)备份等等. 在对网络犯罪的网络现场进行勘验,检查时.勘验, 检查的程序步骤和证据的固定方法十分重要.可参照以 下主要步骤: 1,现场封闭.禁止任何无关人员进出现场或接触现 场计算机以及其他网络设备,存储介质,现场物品一律 禁止翻动和随身带出. 2,现场固定.对现场内的计算机以及其他网络设 备,存储介质以及其他物品进行拍照,对现场布局全部 或部分拍照. 3,网络现场隔离.切断案发设备与外界联网的线路 以防止他人通过网络远程删除或破坏犯罪证据.如因工 作需要无法断开与外界联网的线路,应立即更改有关的 El令或密码. 4,复制现场电子数据.对现场中已确定重点收集的 . 数据(包含证据的相关设备中记录的电子数据或电子碎 片)进行复制备份,复制过程最好使用公安部准许使用 的计算机犯罪取证勘察箱的专用复制工具进行. 5,电子数据固定.对复制的电子数据,在确定不破 坏现场的前提下,可通过正常显示后拍照或打印后由见 证人确认签字进行证据固定. 6,电子数据修复.对电子数据进行修复可能破坏网 NetSecuntyTechnologiesandApplication200310 络犯罪的电子环境.因此必须慎重实施.修复时应在现 场操作.操作应记录所采取的所有步骤以及对配置设置 的任何改变.形成修复笔录.由现场见证人确认签字进 行证据固定. 7,现场物证保存.对现场中可能存在犯罪痕迹和犯 罪证据以及侦查线索的现场物品(网络设备,计算机,数 据备份,数据存储介质等),在不影响正常生产和工作的 前提下.可就地或异地进行登记保存.并采取有效 防止有关设备损坏或存储数据遭到破坏. 8, 制作现场勘验,检查笔录.勘查现场后制作《现 场勘查笔录》和现场图.笔录内容应包括对遭受破坏的 计算机信息系统的软硬件的描述及被破坏程度,现场现 有电子数据以及电子痕迹的发现,提取,复制和修复过 程.在移动或拆卸任何设备之前都要拍照,对重大,特 别重大案件的现场.应当录像. 另外.证据的相互印证对电子数据的固定非常重 要.在讯问犯罪嫌疑人以及询问证人,被害人的笔录中 要记录犯罪嫌疑人是否能够合法接触或使用被侵害的计 算机信息系统,使用的权限和相关的用户名和密码以及 主要#工作#的内容:记录被侵害计算机信息系统的基 本情况.被侵害后的状况和维护及使用人员的基本情况. 如案件涉及互联网络,笔录中还应记录犯罪嫌疑人的上 网电话号码,网名,昵称,以及上网账号,游戏账号,QQ 号,ICQ号,电子邮箱地址等专用账号和密码.在现场 勘查过程中提取的有关电子证据,可由有关单位或个人 出具包含相应内容的书面证明,证明的内容应与勘验, 检查笔录中记录的内容相符.