长亭百川云 - 文章详情

第三十七期 电子数据鉴定的注意事项

电子数据取证与鉴定

109

2024-07-13

《刑事诉讼法》第一百四十四条规定“为了查明案情,需要解决案件中某些专门性问题的时候,应当指派、聘请有专门知识的人进行鉴定”。鉴定,是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。鉴定意见作为证据的一种,是法庭审理案件、查明案件真相的有力助手,对于案件的定罪量刑发挥着至关重要的作用。

作为新《刑事诉讼法》、《民事诉讼法》和《行政诉讼法》新增的法定证据种类,电子数据在各类诉讼中发挥着越来越重要的作用,成为挖掘案件真相的关键。我国由于历史的原因和相关法律法规尚不完善,行业部门对于电子数据鉴定的认识和理解存在差异,因此有必要充分理解法律法规对于鉴定的相关要求,才能更准确地为法律和人民服务。

根据《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》(以下简称人大“2.28”决定),鉴定机构“有在业务范围内进行鉴定必须的依法通过计量认证或者实验室认可的检测实验室”。根据此款规定,包括电子数据鉴定在内的鉴定机构需要进行认证或者认可成为强制性要求。2017年10月16日,中国国家认证管理监督委员会发布了RB/T 214-2017《检验检测机构资质认定能力评价 检验检测机构通用要求》和RB/T 219-2017《检验检测机构资质认定能力评价 司法鉴定机构要求》。2018年3月1日,中国合格评定国家认可委员会(CNAS)于发布了CNAS-CL08:2018《司法鉴定/法庭科学机构能力认可准则》和CNAS-CL08-A001:2018《司法鉴定/法庭科学机构能力认可准则在电子数据鉴定领域的应用说明》。本文将结合认证认可的要求分析一下电子数据鉴定过程中的注意事项。

1

实施鉴定的主体

在人大“2.28”决定和各部门法规共同作用下,我国建立了符合中国实际发展的鉴定体系。目前我国实施鉴定的主体机构必须是按法律、法规规定,取得鉴定资质的机构。鉴定人必须是获得鉴定人执业许可证的鉴定人。对于没有法定司法鉴定机构,或者法律、司法解释规定可以进行检验的,可以指派、聘请有专门知识的人进行检验 。此外,必须注意鉴定人员不能是案件的侦查人员。目前,我国能够从事电子数据鉴定的机构主要包括:服务性的社会司法鉴定机构、公安机关内设鉴定机构和检察院内设机构等。

2

鉴定时限

《司法鉴定程序通则》规定“司法鉴定机构应当自司法鉴定委托书生效之日起30个工作日内完成鉴定。鉴定事项涉及复杂、疑难、特殊技术问题或者鉴定过程需要较长时间的,经本机构负责人批准,完成鉴定的时限可以延长,延长时限一般不得超过30个工作日。鉴定时限延长的,应当及时告知委托人。司法鉴定机构与委托人对鉴定时限另有约定的,从其约定。在鉴定过程中补充或者重新提取鉴定材料所需的时间,不计入鉴定时限“。

《公安机关鉴定规则》规定“机构应当在十五个工作日内做出鉴定意见,出具鉴定文书,法律法规、技术规程另有规定,或者侦查破案、诉讼活动有特别需要,或者鉴定内容复杂、疑难及检材数量较大的,鉴定机构可以与委托鉴定单位另行约定鉴定时限。需要补充检材、样本的,鉴定时限从从检材、样本补充齐全之日起算”。

3

鉴定范围

目前,没有法律规定对于电子数据鉴定/检验的范围进行规定,公安部发布的《公安机关电子数据鉴定规则》虽然使用了电子数据鉴定的概念,但没有明确电子数据鉴定的内涵和外延。根据司法部2019年的《声像资料司法鉴定执业分类规定》(征求意见稿),电子数据鉴定应用范围包括:电子数据提取、固定与恢复、电子数据信息分析、电子数据真实性鉴定、电子数据功能性鉴定、电子数据相似性鉴定、电子数据的解密等。

而根据认可要求,司法鉴定/法庭科学认可领域包括:2401  电子数据的提取、固定与恢复;2402  电子数据真实性(完整性)鉴定;2403  电子数据同一性、相似性鉴定。

4

送检材料的处理与风险控制

鉴定的一切活动都是围绕送检材料而展开的。电子数据鉴定不同于传统鉴定,其鉴定对象为电子数据,一般保存在存储介质或者网络中,存储形式为虚拟形式,需要专用设备才能读取和分析。同时电子数据具有动态性,例如内存中的数据,往往处于变化中。电子数据还具有易失性,提取的时机和方法不当,就会造成证据损毁或灭失。因此送检材料的真实性和完整性是鉴定客观真实的基础。送检材料必须保证来源和接收符合相关法律和规定。

在委托受理阶段,鉴定机构应对于检材的封存、录像、完整性校验以及对移动终端类检材是否采取信号屏蔽、信号阻断或者切断电源等措施进行检查,确保了整个证据链的完整性。在标示方面,鉴定机构应考虑到各类检材的不同特性选择适宜的标识方式,如区分不同检材的唯一性标识或区别同一检材/样本在不同流转阶段的状态标识等。在风险控制方面,由于实际鉴定中存在可能对检材造成损坏或改变的的情况,如在手机提取时可能会需要进行密码破解、提权、降级或者拆芯片的操作、硬盘进行数据恢复时可能需要进行开盘操作,类似这种情况就需要向委托方进行风险告知,由委托方书面确认后再进行相应的工作。

5

鉴定方法的选择

人大“2.28”决定从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定,即“鉴定人和鉴定机构从事司法鉴定业务,应当遵守法律、法规,遵守职业道德和职业纪律,尊重科学,遵守技术操作规范。”目前,国内的电子数据取证鉴定标准体系主要分为:国家标准、行业标准(包括由公安部信息系统安全标准化技术委员会归口和全国刑事技术标准化技术委员会电子物证检验分技术委员会归口的公共安全行业标准)、司法鉴定技术规范、以及各地司法鉴定协会制定的团体标准和各相关实验室自制的方法。

一、国家标准

1、GB/T 29360-2012 电子物证数据恢复检验规程

2、GB/T 29361-2012 电子物证文件一致性检验规程

3、GB/T 29362-2012 电子物证数据搜索检验规程

4、GB/T 31500-2015 信息安全技术 存储介质数据恢复服务要求

二、公共安全行业标准

1、GA/T 754-2008 电子数据存储介质复制工具要求及检测方法

2、GA/T 755-2008 电子数据存储介质写保护设备检测方法

3、GA/T 756-2008 数字化设备证据数据发现提取固定方法

4、GA/T 757-2008 程序功能检验方法

5、GA/T 825-2009 电子物证数据搜索检验技术规范(已作废)

6、GA/T 826-2009 电子物证数据恢复检验技术规范(已作废)

7、GA/T 827-2009 电子物证文件一致性检验技术规范(已作废)

8、GA/T 828-2009 电子物证软件功能检验技术规范

9、GA/T 829-2009 电子物证软件一致性检验技术规范

10、GA/T 976-2012 电子数据法庭科学鉴定通用方法

11、GA/T 977-2012 取证与鉴定文书电子签名

12、GA/T 978-2012 网络游戏私服检验技术方法

13、GA/T 1069-2013 法庭科学电子物证手机检验技术规范

14、GA/T 1070-2013 法庭科学计算机开关机时间检验技术规范

15、GA/T 1071-2013 法庭科学电子物证Windows操作系统日志检验技术规范

16、GA/T 1170-2014 移动终端取证检验方法

17、GA/T 1171-2014 芯片相似性比对检验方法

18、GA/T 1172-2014 电子邮件检验技术方法

19、GA/T 1173-2014 即时通讯记录检验技术方法

20、GA/T 1174-2014 电子证据数据现场获取通用方法

21、GA/T 1175-2014 软件相似性检验技术方法

22、GA/T 1176-2014 网页浏览器历史数据检验技术方法

23、GA/T 1474-2018 法庭科学计算机系统用户操作行为检验技术规范

24、GA/T 1475-2018 法庭科学电子物证监控录像机检验技术规范

25、GA/T 1476-2018 法庭科学远程主机数据获取技术规范

26、GA/T 1477-2018 法庭科学计算机系统接入外部设备使用痕迹检验技术规范

27、GA/T 1478-2018 法庭科学网站数据获取技术规范

28、GA/T 1479-2018 法庭科学电子物证伪基站电子数据检验技术规范

29、GA/T 1480-2018 法庭科学计算机操作系统仿真检验技术规范

30、GA/T 1554-2019 法庭科学电子物证检验材料保存技术规范

31、GA/T 1564-2019 法庭科学现场勘查电子物证提取技术规范

32、GA/T 1568-2019 法庭科学电子物证检验术语

33、GA/T 1569-2019 法庭科学电子物证检验实验室建设规范

34、GA/T 1570-2019 法庭科学数据库数据真实性检验技术规范

35、GA/T 1571-2019 法庭科学Android系统应用程序功能检验方法

36、GA/T 1572-2019 法庭科学移动终端地理位置信息检验技术方法

三、司法鉴定技术规范

1、SF/Z JD0400001-2014 电子数据司法鉴定通用实施规范

2、SF/Z JD0401001-2014 电子数据复制设备鉴定实施规范

3、SF/Z JD0403001-2014 软件相似性检验实施规范

4、SF/Z JD04020001-2014 电子邮件鉴定实施规范

5、SF/Z JD0400002-2015 电子数据证据现场获取通用规范

6、SF/Z JD0402003-2015 即时通讯记录检验操作规范

7、SF/Z JD0403003-2015 计算机系统用户操作行为检验规范

8、SF/Z JD0403002-2015 破坏性程序检验操作规范

9、SF/Z JD0401002-2015 手机电子数据提取操作规范

10、SF/Z JD0402002-2015 数据库数据真实性鉴定规范

11、SF/Z JD0402004-2018 电子文档真实性鉴定技术规范

12、SF/Z JD0403004-2018 软件功能鉴定技术规范

13、SF/Z JD0404001-2018 伪基站检验操作规范

由于电子数据鉴定属于技术发展迅速的新兴行业,鉴定标准的更新也相对频繁。鉴定机构应注意对于鉴定标准要定期查新,以保证其现行有效性,防止误用作废标准。

6

技术记录

记录是是对整个鉴定活动追溯的关键证据。技术记录作为鉴定结果和鉴定文书的原始证据,也是再现鉴定活动中技术内容的依据。鉴定机构应将原始的导出数据/结果的记录、鉴定结果和鉴定文书审核等工作记录、以及发出的每份鉴定文书的副本进行保存。每项鉴定工作的记录应包括足够的信息,如鉴定软件的版本、设置参数等,确保鉴定活动的可追溯性。

鉴于如今的电子数据鉴定工具正向着高速化、自动化、专业化与智能化发展,相当一部分的鉴定工具在进行鉴定时,自身会实时生成运行日志,这些日志也属于鉴定记录的一部分。例如,在制作存储介质的镜像时,如果存储介质存在坏道,大多数的鉴定工具都会在日志中记录坏道的信息。因此,这些日志记录是鉴定工作中非常重要的技术记录。电子数据鉴定机构应注意,对于以电子形式存储的技术记录要通过技术手段进行保护,防止未经授权的侵入或修改。

实践中,电子数据鉴定的提取结果往往通过光盘等存储介质形式呈现给法院;归档时,经常存在通过网络传输等方式进行归档。鉴定机构应注意,由于网络传输的不稳定性和存储介质的某些不可控因素,会造成数据转移过程中发生偏差。因此,一旦发生鉴定结果数据转移,鉴定机构必须对转移的鉴定结果的完整性进行核查。

7

鉴定文书

2016年11月21日,司法部颁布了《司法鉴定意见书》等7种文书格式。2017年2月16日,公安部颁布了新版的《公安机关鉴定规则》,其中附了《鉴定书》和《检验报告》的通用样式(《鉴定书》中应当写明必要的论证和鉴定意见,《检验报告》中应当写明检验结果)。应注意,无论何种形式的电子数据鉴定文书,均应标注鉴定所使用的方法。

 

小编语录

很久没有更新公众号了,值参加ISC 2019的会议之际,就电子数据鉴定过程中的注意事项发表一点自己的感悟。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2