第十八期 认证认可中电子物证项目的标准选择

一

概述

为加强司法鉴定工作规范与管理，2005年2月28日，第十届全国人大常委会第14次会议审议通过了《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》，简称“2.28”《决定》。其明确规定“有在业务范围内进行司法鉴定所必需的依法通过计量认证或者实验室认可的检测实验室”。“2.28”《决定》的发布，成为司法鉴定/法庭科学机构实行认证认可的一个重要的里程碑。

人大“2.28决定”颁布后，司法部于2005年9月29日颁布了95号部长令《司法鉴定机构管理办法》；公安部于2005年11月7日颁布了83号部长令《公安机关鉴定机构登记管理办法》；最高检2006年11月30日颁布的高检发办字[2006]33号《人民检察院鉴定机构登记管理办法》。这三个办法中均规定鉴定机构应是：“有在业务范围内进行鉴定必须的依法通过计量认证或者实验室认可的检测实验室”。

此外，《计量法》第二十条、《国家认证认可条例》第十六条、《国家质检总局检验检测机构资质认定管理办法》 等法律、法规和规章均明确规定，“向社会出具具有证明作用的数据和结果的检查机构、实验室，应当具备有关法律、行政法规规定的基本条件和能力，并依法经认定后方可从事相应活动”。司法鉴定机构走认证认可之路是我国现行法律法规所要求的。

为顺利实施于2013年8月26日发布的CNAS-CL08:2013《司法鉴定/法庭科学机构能力认可准则》，2015年6月，中国合格评定国家认可委员会在对原有司法鉴定/法庭科学认可分类研究基础上，发布了CNAS-AL13《司法鉴定/法庭科学机构认可领域分类》。在新的领域分类中，电子物证分为三个分领域，18个项目。其中，电子数据的提取、固定与恢复共7项，电子数据的真实性（完整性）鉴定共5项，电子数据同一性、相似性鉴定共3项，见下图。

2015年7月29日，国家认监委印发了《国家认监委关于印发检验检测机构资质认定配套工作程序和技术要求的通知》（国认实〔2015〕50号），在《检验检测机构资质认定评审准则》的基础上，针对不同行业和领域检验检测机构的特殊性，制定和发布评审补充要求，并明确了相关文件试行期一年。2016年5月31日，国家认监委正式印发《检验检测机构资质认定评审准则》。目前，资质认定中电子物证的领域与CNAS-AL13中电子物证的领域相同。

二

标准的选择

很多从事电子物证工作的机构在申请认证认可过程中，对于项目中标准的选择感到疑惑，经常会不知如何填写或者填写错误。大致存疑的情况主要分为以下几类：

1、同一个项目，标准有好几个，如何选择？

2、申报的项目没有标准，该如何填写？

3、只申报2401.01一个项目是否已经能够满足认证认可与实际工作需要？

本期，小编将就CNAS-AL13《司法鉴定/法庭科学机构认可领域分类》中电子物证领域的18个项目的标准选择和大家展开讨论。

CNAS-AL13分为三个子领域，我们可把这个三个子领域理解为电子物证的“三性”：存在性、真实性（完整性）、同一性和相似性。

“电子数据的提取、固定与恢复”即证明电子物证的“存在性”，“电子数据真实性（完整性）鉴定”毋庸置疑即证明电子物证的“真实性（完整性）”，而“电子数据同一性、相似性鉴定”则是证明电子物证间的“同一性、相似性”。

 2016年新发布的《司法鉴定程序通则》第二十三条规定“司法鉴定人进行鉴定，应当依下列顺序遵守和采用该专业领域的技术标准、技术规范和技术方法：

（一）国家标准；

（二）行业标准和技术规范；

（三）该专业领域多数专家认可的技术方法。”

 2015年发布的《刑事技术机构评审补充要求》第二十四条规定“刑事技术机构应当优先选择使用国家标准、行业标准或国家相关行业主管部门推荐（授权）使用的方法及技术规范，并确保使用标准的最新有效版本。没有国家、行业标准或技术规范的，应当优先采用由知名专业技术组织（机构）编写或有关专业书籍、期刊公布的、并经确认的方法，或采用省级刑事技术管理部门批准的技术规范。”

三

已发布的电子物证标准

小编梳理了一下目前已经发布的现行有效的技术标准，总共33个：国标4个，行业标准19个，司法鉴定技术规范10个，分别为：

1、GB/T 29360-2012电子物证数据恢复检验规程

2、GB/T 29361-2012电子物证文件一致性检验规程

3、GB/T 29362-2012电子物证数据搜索检验规程

4、GB/T 31500-2015 存储介质数据恢复服务要求

5、GA/T 754-2008电子数据存储介质复制工具要求及检测方法

6、GA/T 755-2008电子数据存储介质写保护设备要求及检测方法

7、GA/T 756-2008数字化设备证据数据发现提取固定方法

8、GA/T 757-2008程序功能检验方法

9、GA/T 828-2009 电子物证软件功能检验技术规范

10、GA/T 829-2009 电子物证软件一致性检验技术规范

11、GA/T 976-2012电子数据法庭科学鉴定通用方法

12、GA/T 977-2012 取证与鉴定文书电子签名

13、GA/T 978-2012 网络游戏私服检验技术方法

14、GA/T 1069-2013法庭科学电子物证手机检验技术规范

15、GA/T 1070-2013法庭科学计算机开关机时间检验技术规范

16、GA/T 1071-2013法庭科学电子物证Windows操作系统日志检验技术规范

17、GA/T 1170-2014移动终端取证检验方法

18、GA/T 1171-2014芯片相似性比对检验方法

19、GA/T 1172-2014电子邮件检验技术规范

20、GA/T 1173-2014即时通讯记录检验技术方法

21、GA/T 1174-2014电子现场数据现场获取通用方法

22、GA/T 1175-2014软件相似性检验技术方法

23、GA/T 1176-2014网页浏览器历史数据检验技术方法

24、SF/Z JD0400001-2014电子数据司法鉴定通用实施规范

25、SF/Z JD0401001-2014电子数据复制设备鉴定实施规范

26、SF/Z JD0403001-2014软件相似性检验实施规范

27、SF/Z JD04020001-2014电子邮件鉴定实施规范

28、SF/Z JD0400002-2015 电子数据证据现场获取通用规范

29、SF/Z JD0402003-2015 即时通讯记录检验操作规范

30、SF/Z JD0403003-2015 计算机系统用户操作行为检验规范

31、SF/Z JD0403002-2015 破坏性程序检验操作规范

32、SF/Z JD0401002-2015 手机电子数据提取操作规范

33、SF/Z JD0402002-2015 数据库数据真实性鉴定规范

四

标准选择的具体说明

从已发布的33个标准的名称可以发现，很多标准和规范存在重复的问题，不仅是行业标准和司法鉴定技术规范几乎大部分重复，行业标准本身间也存在重复现象。回到CNAS-AL13的三个子领域18个项目，可以发现，已发布的33个标准并不能做到完全覆盖。接下来，小编将就3个分领域18个项目所适用的标准一一进行介绍。

1

2401 电子数据的提取、固定与恢复

“2401 电子数据的提取、固定与恢复”总共有7个项目，按照2401的字面理解，结合实际的工作，该子领域的工作分为三部分：提取固定、搜索、恢复。结合检验对象的实际情况，“02 嵌入式系统”、“04 智能卡、磁卡”、“06 网络数据 (包括互联网数据)”、“07 计算机系统现场数据（特指运行中的系统数据提取）”的工作基本不可能涉及数据恢复。因此，可以进行提取固定、搜索和恢复工作的只有“01 计算机存储介质”、“03 移动终端（包括手机）”和“05 数码设备”。

在这7个项目中，涉及搜索的检验，都适用GB/T 29362-2012。但需注意的是GB/T 29362-2012规定的是“将检材（样本）通过只读方式连接到电子物证检验工作站”，而实际检验中很多项目无法通过只读方式连接到电子物证检验工作站，因此使用的属于修改的GB/T 29362-2012，机构需要对该修改后标准的使用进行确认，以证实方法适用于预期的用途。

“01 计算机存储介质”和“05 数码设备”的检验过程基本相同，因此适用的标准也相同。提取和固定操作适用的标准为GA/T 756-2008。数据恢复适用的标准有两个，分别为GB/T 29360-2012和GB/T 31500-2015。其中，GB/T 29360-2012只适用于逻辑恢复。涉及物理损坏，只有GB/T 31500-2015适用。

 “02 嵌入式系统”的存储器类型多样，下图列出了在嵌入式应用系统中最常用的存储器类型。检验过程中选用的方法需充分考虑其存储器类型和检验过程。

“02 嵌入式系统”的提取和固定，当理解为“检验对象为原始电子数据存储介质且不具备写保护条件的”或者“检验过程中启动被检验数字化设备的操作系统”时，适用的标准是GA/T 756-2008。但是，如果采用Chip-Off即芯片获取的方式进行数据获取，适用的标准GA/T 1170-2014或SF/Z JD0401002-2015。需要注意的是，由于GA/T 1170-2014和SF/Z JD0401002-2015的适用范围中不包括嵌入式系统，因此这两个标准在此的使用属于超出其预期范围使用的标准方法，机构需要对这两个方法在这个项目上的使用进行确认，以证实方法适用于预期的用途。

“03 移动终端（包括手机）”的提取和固定适用的标准有三个：GA/T 1069-2013、GA/T 1170-2014和SF/Z JD0401002-2015。但需注意的是，GA/T 1069-2013仅适用于手机检验金字塔模型中的手工分析和逻辑分析。此外，如果是针对移动终端（包括手机）备份文件的检验，那么这三个标准都不适用，仍需要使用GA/T 756-2008。这个项目的恢复，一般分为两种：一种是针对数据库的恢复，如手机中的通讯录、QQ聊天记录等。另一种是针对移动终端物理镜像后的恢复，如删除图片的恢复。如果是第一种的恢复，适用的标准为提取和固定的三个标准再加上GB/T 29360-2012。如果是物理镜像后的恢复，适用的标准为GA/T 1170-2014和SF/Z JD0401002-2015再加上GB/T 29360-2012。

“04 智能卡、磁卡”和“06 网络数据 (包括互联网数据)”的提取和固定都适用GA/T 756-2008。

“07 计算机系统现场数据（特指运行中的系统数据提取）”的提取和固定GA/T 1174-2014或SF/Z JD0400002-2015。

2

2402 电子数据真实性（完整性）鉴定

“2402 电子数据真实性（完整性）鉴定”总共有5个项目，其中“01 电子签名”和“04 电子文档”尚无适用的标准或规范。机构若需申请这两个项目的认证或认可，需自制方法，并经过该专业领域多数专家认可。

“02 电子邮件”适用的标准为GA/T 1172-2014或SF/Z JD04020001-2014，“03 即时通信”适用的标准为GA/T 1173-2014或SF/Z JD0402003-2015，“05 数据库”适用的标准为SF/Z JD0402002-2015。

3

2403 电子数据同一性、相似性鉴定

“2403 电子数据同一性、相似性鉴定”总共有3个项目。

“01 软件”和“02 电子文档”适用的标准一致，同一性鉴定时适用的标准均为GB/T 29361-2012，相似性鉴定时适用的标准均为GA/T 1175-2014或SF/Z JD0403001-2014。

“03 集成电路（含芯片）”的鉴定适用的标准为GA/T 1171-2014。

 

小编语录

随着司法鉴定机构和刑事技术机构的规范化要求越来越高，越来电子数据取证实验室对于认证认可工作开始重视。但是，很多实验室在申报认证认可项目时，由于对于申报项目和对应的标准有所疑惑，仅选择了2401.01进行申报。近几年，随着手机等移动终端的普及，对于手机等移动终端进行检验鉴定的需求越来越多，已经超过了硬盘等传统存储介质。很多实验室在申报2401.03时，使用的还是适用于传统存储介质检验的GA/T 756-2008。

本期就相关项目中标准的选择，小编阐述了个人观点，仅供大家参考。感谢大连市公安局刘浩阳主任在本期编写过程中给予的指正！