查看原文
其他

张芹妮:电子数据取证软件取证的程序法控制

张芹妮 司法兰亭会 2022-10-02
电子数据,人工智能,量子计算,大数据,区块链,网络安全,个人信息权利;法医、物证、生化、DNA等鉴定科学;心理学、经济学、管理学、统计学、侦查学等对刑事程序的分析;公检法管理;证据法、程序法新进展;辩护研究、辩护方法;复杂新型案件、宪法案件。
(感谢山西省法律援助研究院院长高卫庭题字)

张芹妮 | 南开大学法学院法律硕士。
本文为张芹妮2020年研究生毕业论文;指导教师:朱桐辉。


刘品新老师在2019年中国网络安全大会的演讲上提到,已经成为“证据之王”的电子数据[1],随着网络技术的发展和5G技术的落地基本会出现在每一个案件中。本文将从电子数据取证软件的角度来分析电子数据取证的问题。
在技术领域,电子数据取证软件在我国的发展越来越成熟,目前有很多致力于研发电子数据取证软件的公司。在司法实践中,电子数据取证软件的应用也已深入公检法机关,案件的办理人员通过使用电子数据取证软件可以更加快速、便捷地提取到目标证据。
本文首先对电子数据取证软件进行简单的介绍,列举手机、计算机、网络三大领域的具有代表性的电子数据取证软件;其次从法律角度分析这些电子数据取证软件值得借鉴以及需要注意之处;继而对我国电子数据取证领域的法律进行总结;最后期将取证软件中值得借鉴之处上升到法律制度层面落实,将电子数据取证过程中需要注意的问题从制度方面加以规制。期望能够从电子数据取证软件的角度为电子数据取证的问题作出一些贡献。

一、电子数据取证软件及取证方法

(一) 电子数据取证软件的界定、原理与发展

软件(software)是信息处理系统的全部或部分程序、流程、规则和相关文档[2]。电子数据取证软件是在电子数据取证方面的软件,主要是在计算机、手机或其他终端运行的,为了获取计算机、手机等终端中的电子数据的软件。电子数据取证软件的本质同软件相同,是通过一定的数据和算法来获取计算机、手机等终端中的数据信息。电子数据取证软件在国际上已经产生很久,并且已经到达成熟的阶段。目前在我国电子数据取证软件的数量也很多,虽发展历程较短但也有一定的成果。目前我国电子数据取证软件主要分布在手机取证、计算机取证和网络取证领域。

(二)手机取证软件的取证方法与过程--平航科技PH-Extractors

针对手机取证时,目前不少国内取证人员在使用杭州平航科技有限公司的产品PH-Extractors提取手机的物理镜像。目前物理镜像已经是一个较为成熟的技术,使用物理镜像提取的思路也已经成为常规思路,物理镜像可以完全地获取目标手机中的内容,镜像文件是从源存储介质复制生成的一个或一组文件[3],能够更大程度的保证数据的完整性和真实性。该软件的亮点和特殊之处在于,在取证过程中有一个选项为“从镜像中分离元数据[4]”。这是电子数据取证过程中规范化操作的重要功能,也是区别与传统的刷机和普通手机取证的关键指标。
在取证过程中可以通过勾选“从镜像中分离元数据”选项完成镜像文件与元数据的分离。该软件在完成手机镜像后,将生成mdf原始镜像文件和元数据文件(info原始镜像的元数据文件和镜像获取日志文件)。通过这三个文件可以了解取证对象的基本信息,并且通过对比这三个文件可以重现取证过程并对证据的真实性和完整性进行判断。
info原始镜像的元数据文件可以显示出手机品牌、手机型号、手机运行的系统、镜像获取任务的开始时间和结束时间、镜像文件的哈希值、镜像文件的大小以及镜像分区名称等内容;mdf原始镜像文件可以看出镜像文件的属性,若镜像文件没有发生改变,则镜像文件的属性中的文件大小、创建实践、修改时间则应当与info原始镜像元数据中的信息一致;第三个文件镜像获取日志文件,其中也有可以与镜像文件属性对比的手机型号、手机系统、文件大小和哈希值等信息。
在公安机关将证据移送后,检察机关可将镜像文件中的属性信息与元数据或获取日志文件中的信息进行比对,如若发生变化,则说明该镜像文件曾被改变过。通过保存取证过程的元数据、规范记录取证的过程,区别于普通的取证方式,来对镜像文件的完整性和真实性进行验证。

(三)计算机取证软件的取证方法与过程--美亚柏科取证大师

取证大师[5]面向的主要是非专业计算机取证的基层执法人员,将静态取证、自动取证、动态取证等功能集成一体。下面对取证大师的几个功能进行介绍。
一是动态取证[6]。针对计算机的硬盘进行动态取证,首先需要让硬盘仿真运行起来,然后在取证大师的页面显示中找到“动态取证工具”,点击该按钮后页面中会出现要采集的对象,每个采集的对象后都有勾选的按钮,取证人员可以点击该按钮,选择要取证的对象。取证大师软件中将采集的对象分类为系统信息、易失数据、账号及密码、上网信息、系统操作。可以通过前述分类对获取到的信息进行查看,也可以通过搜索关键字词的方式查看。这样便捷的取证页面极大地提升了非专业计算机取证人员的取证效率。
二是镜像文件获取[7]。镜像软件可以完成每一个比特意义上的完全复制。在取证大师中点击“物理内存镜像获取工具”后,输入镜像文件的保存路径后就可以进行备份。取证人员可以根据解析后的信息对案件进行侦破。例如通过勾选“进程”后对解析目标进行选定,解析后的结果包括进程ID、创建时间和退出时间等信息。
三是特定信息的获取[8]。取证大师页面上的“设备添加”的可选项中除了磁盘镜像、驱动器、磁盘组外,还有对文件夹的选项。可以在选择特定文件夹后进行数据提取。若有需要,还可以对取证后的文件进行信息解密。例如可以特定对微信记录进行获取,在了解微信存储在计算机上的位置后,可以对该文件夹中的内容进行提取,取证结束后可以对该文件夹中的系统信息、用户痕迹、上网记录和即时通讯进行选定获取目标信息。例如对微信文件夹中的“即时通讯”进行选定后可以对其进行解密,解密后的界面可以清晰的显示微信聊天双方的账号、昵称、聊天内容(图片、文字和视频等)等内容。

(四)网络取证软件的取证过程--Sniffer

随着计算机网络的广泛应用,网络嗅探器的运用也越来越广泛,网络嗅探器可以实现对网络数据的测量和监视,通过利用软件或硬件嗅探器捕获数据包,从而对内容进行分析处理。Sniffer嗅探技术的基本原理是依赖于计算机的网络协议模型,通过建立套接字、固定套接字,再将网卡设置为复杂模式,然后开始捕获数据,继而可以分析处理数据包[9]。
因此,在网络取证过程中,sniffer这种数据包的捕获工具可以作为一种取证的手段。 

二、电子数据取证软件取证行为的程序法观察

(一) 电子数据取证软件取证的合法性探析

1.电子数据取证软件自身的中立性与合法性

(1)从快播案中借鉴技术的中立性
快播案中一个引起争议的问题是“技术中立”问题,技术中立是指销售一种商品,其既有合法性质也具有非法用途,但可免负侵权的法律责任[10]。快播案件中,快播公司认为其提供的播放软件技术适用“技术中立”原则,不承担刑事责任。其实“技术中立”原则衍生于索尼案的裁判,其核心内容为索尼生产的可以录制节目的商品属于“实质性非侵权用途”,不构成帮助侵权[11]。但是技术中立原则的适用也应当紧跟时代的发展。在快播案中,快播公司作为技术提供者,在主观上有明显干预和引导使用技术的意图,且明知自己的软件会造成淫秽视频的大量传播,并且通过这种方式进行广告牟利,已经明显超出中立帮助行为,应当承担相应的责任[12]。即在快播案中,“技术中立”原则并没有成为快播案逃脱法律制裁的工具。
通过借鉴快播案中的经验,在电子数据取证领域,市场的趋利性无法保证软件自身的中立性与合法性,并且侦查人员在打击犯罪的过程中能否严守法律边界会影响到电子数据取证的合法性。
因此,研发人员在研发中要明确法律的边界,符合我国《宪法》和《刑事诉讼法》等法律中关于公民权利和侦查措施的规定。
(2)电子数据取证软件中立性、合法性较差
首先,电子数据取证软件的中立性较差。第一,电子数据取证软件的诞生总是为侦查机关或鉴定机构准备的,而不是面对不特定多数人的需求产生的,软件公司研发时针对的目标是侦查机关或鉴定机构,研发目的是为辅助侦查机关或鉴定机构取证或鉴定。因此大部分的电子数据取证软件都具有较强的目的性和技术性;第二,判断软件好与坏的出发点常为是否有利于侦查、有利于鉴定。一般不会以是否能够更大程度保证取证对象隐私等因素作为出发点。软件开发公司在介绍自身软件优势时通常从技术角度进行介绍,例如是否拥有完善的数据处理体系、是否具有强大的硬件和软件支持、是否具有便捷的存储体系等具体标准,这些都关乎软件的取证性能、取证速度和软件分析数据的能力,即关乎侦查和鉴定的效率和速度等。
通过以上两点可以看出,电子数据取证软件在未出世前就已经决定了其是为满足侦查人员和鉴定人员的取证和鉴定需求而产生的软件,这就不免使软件的研发失去中立的角度。
其次,电子数据取证软件在研发时考虑的法律因素较少。软件开发人员都是专业的技术人员,对取证相关的法律并不熟悉,在研发时并不会从保障取证对象的权利或程序合法的角度去考虑取证软件的合法性。
因此,目前电子数据取证软件面临中立性与合法性较差的问题。

2.从主体探析电子数据取证软件使用的合法性

首先,由于对取证主体的专业技术水平要求较高,实践中电子数据取证的主体出现多种形态,并未按照现有法律的规定执行。第一种情形是由技术人员作为协助方辅助侦查人员获取电子数据[13],因为与侦查人员相比,技术人员更加了解软件背后的取证方法,使用软件更加熟练;第二种情形是侦查人员扣押原始存储介质后,将原始存储介质交由鉴定人员,通过鉴定的方式将存储设备中的数据提取出来[14],因为鉴定机构的鉴定人员相比取证人员也具备一定的专业技术性。由此可以看出实践取证过程中对取证主体的专业技术水平要求较高。
其次,从电子数据取证软件使用的简易程度出发,手机、计算机电子数据取证软件经过技术人员的逐步开发,有便捷、易识别、易懂的按钮排列在取证界面上,对于侦查人员来讲已经没有技术上的鸿沟;而网络取证软件相比于手机、计算机取证软件来讲具有一定的技术难度,侦查人员在使用时可能有一定的困难性。
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)中仅仅要求“侦查人员”,而没有对侦查人员的专业技术水平进行规范。因此,应当由具备专业技术水平的技术人员,还是由具有侦查资格的侦查人员使用电子数据取证软件取证是一个需要明确回答的问题。

3.从客体探析电子数据取证软件使用的合法性

电子数据取证软件的客体是被取证设备中储存的一些文件,数据存放的载体是多种多样的,例如有磁盘、硬盘、芯片、SD卡等;数据表现的形式也是多种多样的,例如图片、音乐、音频、视频、word和excel等;不同电脑操作会产生不同的数据,如电脑自动生成的记录、删除增加修改等操作留下的痕迹、网页浏览记录以及网络浏览器的缓存数据等。实践中一般情形下,侦查人员在侦查过程中首先会扣押目标取证设备,之后会通过备份后提取或备份后分析检查等方式获得目标设备中的全部数据。如利用前述的取证方式,可以看出电子数据取证软件的客体是整个电子设备中的文件。如果该目标设备是当事人生活中常使用的设备,那么此种取证方式对当事人的隐私侵犯程度极大。
目前关于我国法律对隐私权在法律方面的保护,《中华人民共和国宪法》(以下简称《宪法》)虽然没有明确我国公民的隐私权,但是通过名誉权、人格尊严或通信自由等规定间接地对隐私权进行保护。其次通过在国际社会达成共识的人权的角度出发,我国《宪法》尊重和保护人权。
我国目前电子取证软件在取证时是否注意到了隐私权这一问题尚不可证。若电子数据取证软件在研发时没有注意到隐私权的保护,侦查人员在取证时也选择对隐私权视而不见,则电子数据的取证会对公民隐私权造成极大的侵犯,会导致侦查权与公民权利之间失衡,最终出现因侦查权过大而影响整个社会的法治体系。

(二) 电子取证软件取证时涉及到的程序法难点

1.手机取证软件取证时涉及到的程序法难点

(1)是否需对软件取证过程进行记录及验证
对手机取证软件取证过程进行记录是必要的。在实践中,可能面临取证主体不专业以及证据流转过程中发生篡改丢失的问题。如果公安机关扣押嫌疑人手机后进行物理镜像时进行了记录,就为检察机关和审判机关的后续验证做好了准备。因此可以通过规范记录取证过程来增强物理镜像文件的证据能力。
对手机取证软件获取的证据进行验证也是必要的。检察机关作为公诉机关,在收到公安机关移送的证据后,要对证据进行审查判断,其工作之一就是对证据的真实性和完整性进行验证,确保证据没有被公安机关篡改或修改;审判机关在法庭上也要通过验证取证过程对证据的真实性完整性进行审查判断,这是判断证据是否具有证明能力和证明力的有效方式。
(2)通过获取ROOT权限取证是否会损害证据的完整性
ROOT是手机系统中唯一的超级用户,具有系统中所有的权限。对系统文件的修改、某些软件的操作都会用ROOT权限,获取开启ROOT权限,就能够随意进行任何操作,同时包括手机电子数据的提取检验[15]。未取得ROOT权限是无法获取某些数据的,因此目前存在多种手机取证软件通过获取ROOT权限来获取手机中完整的电子数据。
通常获得ROOT权限的方法如下[16]:一是将lime模块加载到取证目标操作系统中,因此要获取目标手机的ROOT权限并绕过手机屏锁。软件提取方法之二是通过ptrace接口来跟踪进程,通过ptrace接口可以获取运行进程的全部内存页面。但是这一方法存在的缺点是只能获取特定的进程信息,无法获取完整的ram镜像。
前述这两种方式都是通过获取ROOT权限来获取手机中的数据,丁丽萍认为通过前述这两种方式获取手机中的数据是存在风险的,很可能导致部分收据无法获取,即会损害证据的完整性。

2.计算机取证软件取证时涉及到的程序法难点

使用备份方式取证时是否需要针对特定目标
位流备份镜像针对的是被取证目标的硬盘中的内容,在侦查人员进行位流备份镜像后,通过md值固定后,后续的侦查活动在备份上进行以保护原始证据不被破坏。
目前面临的问题是进行位流备份镜像时是针对计算机一并提取还是部分提取?前述提到的取证大师即可对取证目标进行选择。若是一并提取的情形,这台电脑中的所有内容都将被公安机关提取,与案件有关或无关的内容都会被公安机关提取走,例如通过取证大师对计算机中的所有数据进行提取,则包含计算机的系统信息、易失数据、账户及密码、系统操作。而系统信息中又包含20个分选项[17],由此可以看出全部提取涉及范围之广;若是部分提取的情形,公安机关只能针对特定的内容进行提取,如利用取证大师进行关键词检索或对需要提取的信息进行勾选。
两种取证方法都有自身的利弊。全部提取可能会导致公民的隐私或是商业秘密被侵犯,部分提取可能会导致侦查机关没有提取到目标证据,使犯罪分子逍遥法外。实践中,为了保证证据不被遗漏,公安机关和检察机关较多选择一并提取的方式。

3.网络取证软件取证时涉及到的程序法难点

(1)使用网络嗅探软件是否属于强制侦查措施
网络嗅探工具严重侵犯隐私。网络取证软件中的嗅探技术,可以访问到目标计算机的诸多内容,例如计算机本身储存的文件、电脑中的软件使用记录、word等软件的编辑记录和上网浏览记录,能够实现确定身份和位置定位等功能[18]。对被取证对象权利合法权益影响较大的措施属于强制侦查措施,应当经过司法审批,按照特定法律程序实施[19]。
(2)使用网络嗅探软件是否涉及技术侦查
网络嗅探工具能够实现网络的实时监控。网络嗅探工具是一种常用的数据收集、分析的方法,黑客常通过网络嗅探获取主机和网络的控制权,安全人员亦常使用网络嗅探进行信息泄露与攻击行为的分析。嗅探工具所得数据,可以是用户的密码和账户,也可以是一些机密数据[20]。使用这种技术方式,可以实时监控网络的运行、网络上传输的数据和信息[21]。由此可以看出,网络嗅探是发生在对方不知情的情形下,利用信息捕获的技术获取对方信息的行为,这样的方式具备通讯监控的性质,我国《刑事诉讼法》在2012年的修改中增加了技术措施的侦查措施,其方式之一就是通讯监控。因此使用网络嗅探工具就是使用技术侦查措施,应当依法经过严格的批准手续。
由此产生的第一个问题是除网络嗅探软件外的其他网络取证软件是否同样涉及技术侦查;第二个问题是电子数据取证领域适用技术侦查的具体程序和批准方式。
综上所述,通过上述对电子数据取证软件自身、使用主体、取证客体以及不同类型电子数据取证软件在使用过程存在的典型问题的分析,可以总结出电子数据取证软件主要存在的问题是软件自身合法性、软件使用主体合法性、被取证对象权利的保护、软件具体使用方法对证据真实性和完整性的影响以及某些网络取证软件是否涉及技术侦查等问题。

三、 电子数据取证软件取证行为的程序法控制

(一) 现行法律框架内电子数据取证规则的特点

1.对取证主体与取证方法进行粗略规范

(1)对取证主体的数量与资质进行规范
《电子数据规定》第七条对电子数据取证过程中的取证主体和取证要求进行规定:应当由二名以上侦查人员进行电子数据的收集提取,取证方法应当符合相关技术标准。
首先,越来越多类型的案件涉及电子数据,公安队伍中的各类警种都需要出动进行电子数据的收集,电子数据的收集呈现普及化趋势[22]。《电子数据规定》符合当下的司法实践现状,对侦查人员的专业技能并没有明确的要求。但是对于技术性强的取证活动,收集提取的主体应当尽量为具备相关技能的侦查人员。且在实践中也有很多技术人员在协助侦查人员进行取证,在这种情形中,取证的主体仍然是侦查人员,技术人员只是作为协助取证的一方[23]。
另外,取证中可能出现需鉴定机构进行鉴定的情形。《电子数据规定》第十七条规定,由司法鉴定机构或公安部对于一些难以确定的专门性问题出具鉴定意见或报告。因此,在电子数据取证阶段若涉及到专门问题难以确定,可以由司法鉴定机构出具鉴定意见。
(2)对取证方法进行规范
《电子数据规定》对取证软件没有明确要求,对取证方法的审查依据是相关技术标准。目前我国现行的相关技术标准较多,大多是法庭科学鉴定与司法鉴定的技术标准。
例如《手机电子数据提取操作规范》,该技术标准明确适用于电子数据鉴定,内容主要是一些操作的步骤和获取内容的范围,对于不同状态的不同操作;对于获取的方式没有具体规定,只是宽泛地规定手工获取、逻辑获取、物理获取等几种获取方式的基本含义。
从以上举例可以看出相关技术标准规范还是较为框架性的规定了取证步骤及可采用的取证操作,并未对取证操作中的具体取证方法作出明确规定,且具体到实际取证软件的取证方法是否可行,相关技术标准并没有具体规定。

2.取证过程中强调制作笔录、录音录像及电子标签

(1)由侦查人员、电子数据持有人或见证人在笔录上签名或盖章
首先,《电子数据规定》第十四条规定在收集电子证据的过程中应当制作笔录,笔录中除记录案件的基本情形之外,还要记录提取电子数据的时间、地点、方法和过程。最后还应当有侦查人员以及电子数据持有人(提供人)签名或盖章,通过笔录方式来记录现场取证的情形,并且通过签字盖章的方式增强该笔录的真实性和准确性;《电子数据规定》还规定若电子数据持有人无法签名或拒绝签名,可以由见证人签名或盖章。第十五条规定见证人应当符合相应的条件。
其次,与前述规定相衔接,《电子数据规则》第二十四条规定了对电子数据进行审查时着重审查取证主体、取证方法;是否通过笔录对取证的情况进行记录,相关人员如侦查人员、电子数据持有人和见证人是否进行在笔录上签字确认;是否有见证人以及是否进行录像等内容。
另外,《公安机关办理刑事案件电子数据取证规则》(以下简称《公安电子数据取证规则》)要求通过笔录记载相关内容,侦查人员和电子数据持有人或见证人需签名盖章。可见《公安电子数据取证规则》与两高一部《电子数据规定》中规定相一致。且前者中提及侦查人员、电子数据持有人签名盖章之处更多,在收集阶段、扣押封存阶段、现场提取、网络在线提取等都需在笔录等纸质文件上签名盖章。
(2)进行录像及制作电子标签
《电子数据规定》规定有条件的,应当对相关活动进行录像。通过视频的方式记录现场取证人员的操作记录以及被取证设备的是否处于正常状态等。例如,在封存电脑时,即可通过录像方式记录取证人员是如何关闭计算机以及贴封条的操作,可以通过录像的方式完全还原现场取证人员的取证的具体操作。
《电子数据规定》第十四条还提及了“完整性校验值”,这是利用电子数据自身特性而设立的,可以通过完整性校验值检验电子数据是否被修改删除,如果电子数据没有被修改删除,完整性校验值不会发生变化。与之相对应的电子数据真实性审查的标准之一是“电子数据是否具有数字签名、数字证书等特殊标识”,这可以看作是从技术标准上升为法律标准的典范。
同样,《公安电子数据取证规则》规定在扣押存储介质过程时,若数据持有人无法签名或拒绝签名时,要对扣押过程进行全程录像。关于现场提取电子数据的具体规定中,同样规定“完整性校验值”。

3.将备份作为保护证据完整性的手段

(1)针对作为证据使用的电子数据进行制作或封存电子数据备份
《电子数据规定》规定对于作为证据使用的电子数据,保护其完整性的措施之一是制作、电子数据备份。相关技术标准[24]中也将备份作为电子证据固定保全的方式之一。
另外,在《公安电子数据取证规则》提到扣押原始存储介质时,应当了解原始存储介质是否进行过备份,以及备份数据的存储位置等情况。
(2)电子数据检查过程中有条件的应当制作电子数据备份
为了防止在电子数据检查过程中损坏已提取的证据,《电子数据规定》第十六条要求电子数据检查过程中,具备制作备份的条件时应当制作备份,对备份进行检查,以防止破坏原始的存储设备和证据。如果无法使用写保护设备和制作备份的,应当注明原因,并对原始存储介质拆封活动进行录像。
另外,《公安电子数据取证规则》规定在检查电子数据时应当制作备份,对备份进行检查,否则需要书面说明原因并进行录音录像。

4.规定网络在线提取方式

(1)远程提取时可以采用网络在线提取
《电子数据规定》第九条明确针对原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。网络在线提取可以理解为通过网络进行的复制或下载[25]。
《公安电子数据取证规则》将网络在线提取的具体适用情形限缩为针对公开发布、境内远程计算机系统上的电子数据,即针对境内公开发布的数据可以采用在线提取的方式提取。
(2)远程提取时可以采用网络远程勘验
《电子数据规定》第九条简要地规定为进一步查明有关情况,必要时,可以采取网络远程勘验手段。《公安电子数据取证规则》则进一步明确在以下情形可以采取网络远程勘验:需要判断电子数据范围;需要展示电子数据内容;需要在远程计算机中安装新的应用程序;需要让远程计算机信息系统生成新的电子数据;需要获取远程计算机系统状态、系统架构、系统工作方式等信息的等情形。
《公安电子数据取证规则》进一步明确远程勘验适用的条件,远程勘验时应当使用电子数据持有人或网络服务提供者提供的用户名、密码访问系统。
(3)远程提取时可以采用技术侦查
《电子数据规定》和《公安电子数据取证规则》中都提及了关技术侦查的相关规定。《电子数据规定》规定采用技术侦查应当经过严格的批准手续;《公安电子数据取证规则》规定通过技术侦查获取的证据要在诉讼中作为证据使用时,应当按照《刑事诉讼法》第一百五十四条的规定执行,依照《刑事诉讼法》技术侦查相关规定采取侦查措施收集的材料在刑事诉讼中可以作为证据使用。

(二)现行法律框架内电子数据取证规则的问题

1.对取证主体与取证方法的规范存在问题

(1)现行法律对取证主体规定不一致和不明确
关于现行法律法规对取证主体的规定,存在不统一的问题。
首先,《办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称《办理网络犯罪案件的意见》)中要求的取证人员是“具备专业知识的侦查人员”,这样的规定较《电子数据规定》规定更高。根据《办理网络犯罪案件的意见》的规定,网络案件主要指针对计算机信息系统进行犯罪,以及利用网络事实的其他犯罪的行为。由于犯罪的目标以及犯罪手段与网络及计算机有较紧密的联系,犯罪过程和痕迹都可以通过调查计算机以及网络获取。因此,对于计算机以及网络进行的专门取证要求侦查人员具备相关专业知识的要求是正确与合理的。
《电子数据规定》中所列明的电子数据的范畴通常也是通过计算机、手机和网络领域,因此两个法律文件适用的情形以及针对的对象具有很大的交叉性。虽适用情形虽有交叉,但《电子数据规定》与《办理网络犯罪案件的意见》对主体的要求不一致,后者的规定更加具体。根据法律适用规则,应当更优先适用《电子数据规定》,但是《办理网络犯罪案件的意见》的规定更加具体明确。
其次,关于远程勘验与电子数据检查的主体,《电子数据规定》与《计算机犯罪现场勘验与电子证据检查规则》的要求也不同。《电子数据规定》规定收集提取电子数据的方式之一是远程勘验,还包括了对电子数据检查的环节;《计算机犯罪现场勘验与电子证据检查规则》[26]对勘验人员和执行电子数据检查的人员要求是“应当具备计算机现场勘验与电子证据检查的专业知识和技能”。因此,在远程勘验和电子数据检查阶段的取证主体应当以哪个规范的要求为准存在疑惑。
再者,《电子数据规定》和《办理网络犯罪案件的意见》中对取证方法需满足的要求也不一致。《办理网络犯罪案件的意见》规定取证方法除需要符合相关的技术标准,还要求保证收集、提取电子数据的真实性和完整性。《办理网络犯罪案件的意见》相比《电子数据规定》更为完善,在制定时既考虑了获取手段的技术性,又考虑了收集提取到的数据是否具备证据能力的问题。
另外,电子数据的收集和鉴定都需要具备专业知识的人进行[27],且涉及专门性问题需司法鉴定机构出具意见,但“专门性问题”的含义不明确。因此可能出现用鉴定代替取证,鉴定人员完成侦查人员工作的情形。若侦查人员掌握的相关技术水平较低,只能完成扣押原始存储介质、拍照、录像等工作时,可能出现由鉴定机构或其他第三方专业机构完成利用专业软件取证的工作,出现利用鉴定人员鉴定的方式代替侦查人员取证的现象。
(2)根据取证方法的规范无法判断取证软件的技术是否达标
目前并未将取证软件纳入《电子数据规定》或相关技术标准的规范范围内。
《电子数据规定》第七条仅要求“取证方法应当符合相关技术标准”。在目前没有将设备或软件纳入《电子数据规定》范围内的情况下,是否可以根据《电子数据规定》中对的取证方法的相关规定进行审查呢?答案是存在疑问的。
第一,相关技术标准中对取证方法的规定过于宽泛。技术标准中主要包括的内容有使用的范围、术语与定义、证据获取的方案、步骤等。下文列举部分技术标准中的文本,来说明取证方法是否符合技术标准无法根据相关技术标准判断。例如在《电子证据数据现场获取通用方法》中主要规定了获取的步骤、原则、不同获取方式的适用情形,但对具体获取的只是用“搜索并固定”“在线获取”“直接分析和提取”等词语,并未对取证方法有明确的规定。
第二,目前的取证方法先进与现存技术标准存在脱节。例如即使在较新的2015年11月发布的《即时通讯记录检验操作规范》中,其中的获取方法也与目前存在的技术脱节,其只是粗略地规定即时通讯记录文件的获取方法,如“按照相关技术方法,搜索、恢复保存即时通讯记录文件”、“获取相关用户信息和通讯记录文件”、“查找获取浏览器中的即时通讯记录”、“获取存在在服务器端的即时通讯记录”。其中针对不同的目标位置获取即时通讯记录,对于目前的取证软件而言只是较基础的部分,取证软件中更加先进的取证过程则无法据此进行判断。因此,对通讯记录的获取方法是否符合相关技术标准根据《即时通讯记录检验操作规范》是无法判断的。
第三,司法鉴定和法庭科学中电子数据的检验鉴定的相关技术标准是否可以用于判断取证阶段的取证方法较模糊。在目前查询到的45个电子数据取证标准中,有40个技术标准是适用于电子数据检验鉴定和法庭科学中检验,还有1个适用于民事领域。按照技术标准第一条规定的适用范围,明确规定适用于电子数据取证工作的,目前只有3个[28]。目前司法实践中,存在“侦鉴一体”的现象[29],而在电子数据取证这一即专业又复杂的过程中,“侦鉴一体”的现象更加明显,出现了为“发现证据”的鉴定[30]。这样的司法实践与目前取证技术标准中85%以上都是司法鉴定的技术标准存在内在因果关系。
第四,目前检验鉴定的技术标准为列举式,无法涵盖所有取证方法。即使司法鉴定和司法鉴定和法庭科学中电子数据的检验鉴定的相关技术标准可以用于判断取证阶段的取证方法,目前查找到的40个技术标准的分布较为散列,主要是针对某个具体问题制定的技术标准,无法涵盖实践中可能涉及到的种种情形。
总之,无论是欲对取证设备或软件的技术性进行审查,还是通过审查取证方法来判断取证设备或软件的技术是否达标,仅仅根据规定较为粗略的、滞后的“相关技术标准”是无法得出结论的。因此在相关技术标准的规定过于落后而电子数据取证软件发展较快的情形下,需要不断完善相关技术标准后,对电子数据取证软件进行专门审查。
(3)根据取证方法的规范无法判断取证软件是否合法
侦查人员在进行电子数取证时,无法确保通过取证软件获得的证据能够满足证据的合法性、真实性和完整性。
首先,由于取证设备日新月异的发展,出现了取证设备层出不穷和有时没有专业取证设备,需要现场研发的情形[31]。因此在《电子数据规定》中只规定了“取证方法符合相关的技术标准”。在此基础上,我们只能根据电子取证软件背后的取证方法是是否合法进行判断,而根据相关技术标准判断取证方法是否合法存在以下问题:
第一,《电子数据规定》仅规定取证方法要符合相关技术标准,而未对取证方法是否能够保证证据的合法性、真实性和完整性进行规定。相比《办理网络犯罪案件的意见》规定除需要符合相关的技术标准,还要求保证收集、提取电子数据的真实性和完整性,《电子数据规定》缺少对取证方法合法性的要求。
第二,电子数据取证的技术标准不具有中立性。目前在电子取证领域存在的相关标准包含国家标准、公安部标准和司法鉴定技术规范,存在的问题是制定主体单一。制定的主体主要有公安部物证鉴定中心、司法部司法鉴定科学技术研究所等部门。例如,《电子数据取证现场获取通用规范》的提出主体为司法部司法鉴定科学技术研究所,起草单位为上海辰星电子数据司法鉴定中心。而上海辰星电子数据司法鉴定中心是由公安部第三研究所创办,经上海市司法局批准成立的司法鉴定机构。由此可以看出目前我国电子取证领域的大部分技术标准都是由公安机关发布或起草的[32]。
第三,取证方法是否符合相关的技术标准存在主体判断缺失的问题。侦查机关承担的打击犯罪的职能决定了由侦查机关判断取证方法是否符合相关技术标准不具有中立性和客观性,并且若将审查的权力赋予侦查机关,侦查机关的人员进行审查也许是勉为其难[33]。那么由哪个机关赋予电子数据取证方法的合法性是一个需要解决的问题。关于数据备份涉及的问题,在《信息安全技术存储介质数据恢复服务要求》中对数据恢复的软件和硬件工具进行了要求,数据镜像工具必须有写保护功能,或可以连接写保护设备,前述要求是为了保护证据的完整性,并且要求是必备,但目前却没有明确的判断主体,导致现存的技术标准无法与取证方法或软件匹配。
因此,不论是根据相关规定对电子数据取证软件的合法性进行判断的路径,还是通过对取证方法的合法性判断进而推理出取证软件的合法性,均无法实现对取证软件的合法性的判断。
其次,即使第二条路径可以判断出取证方法的合法性,还存在以下两个问题:第一是取证技术和方法的边界是开放和不断发展的[34],单纯的分析技术是一个永无止境的过程;第二是取证软件与取证方法毕竟存在不同,关于电子数据取证软件的公司的资质以及取证软件是否有销售的资格等问题,这些问题都对取证得到的证据的证据能力产生影响。因此关于电子数据取证软件的合法性这一问题应当进行专门探讨。

2.制作笔录的方式不再适应电子数据取证的特点

(1)电子证据的的特点导致通过笔录无法对取证过程的合法性进行判断
在我国《刑事诉讼法》中询问、搜查等环节都有制作相关笔录的要求,制作笔录的目的是通过文字形式展示现场的情况。因此,在电子数据取领域,制作笔录的方式也是为了将现场提取证据的情况展示出来。除此之外,根据《电子数据规定》的要求,还要对电子证据取证时间、地点和过程进行记录,但单纯依靠笔录反映现场取证忽略了电子证据的某些基本特性。
首先,电子数据具有无形性。电子证据需要借助一定的载体才能展现出来,否则只是一堆0和1组成的数字。例如通过手机拍照取证的方式取证后,要将照片打印出来或者在可以阅览的设备上才能看到取证的结果。在更加复杂的案件中,取证到的可能是更加复杂的代码,只有相关的专业技术人员才能看懂。因此,通过笔录记载的部分可能过于简单,并无法通过笔录中看到现场具体的取证细节。
其次,电子数据的取证具备专业性和复杂性。在一个复杂庞大的案件中,电子证据的取证步骤非常多,可能同时对多个服务器和设备进行取证,在取证过程中,取证人员的点击鼠标进行的操作步骤也非常频繁,若想通过笔录将取证人员的每一个步骤记录下,不具有现实性。因此,若想通过笔录判断取证过程是否合法,证据是否具备真实性和完整性是比较困难的。根据相关的取证标准,在电子数据取证领域已经对一些步骤具备了共识,例如对已经关闭的手机进行提取时,可以对手机拍摄和拍照;还有对开机但无法获取解决安全验证机制的方法,应当将手机从无线网络隔离后进行提取[35],这些都是一些获得共识的处理方法,以防止因侦查人员的行为导致证据发生变化。诸如上述的步骤是可以通过笔录的形式记录的,但是当取证人员进行专业性较高的网络远程取证运用专业设备、软件进行操作的过程很难做到精准记录。取证人员在使用取证设备和软件进行取证时,软件和设备会进行一系列的运行和运作,取证软件的运行和运作也是无法通过笔录来进行展现的。
因此,在电子数据取证方面,我们要利用电子证据本身所具有的特性增强证据能力,摆脱对笔录的依赖,增强电子数据的自我鉴真能力。
(2)相关人员的签字无法保证电子数据的真实性
《电子数据规定》第二十四条规定了对电子数据进行审查时着重审查的内容之一就是侦查人员、电子数据持有人和见证人是否进行签字,可以看出法院对于证据的审查判断主要以相关人员的签章以及录像等书证物证进行判断,这样忽略了电子数据本身具有记录性的特点及“自我鉴真”的能力。
《电子数据规定》欲通过侦查人员、电子数据持有人见证人在笔录上签字来保障证据的证明能力,前述方式在传统的搜查扣押案件中都能发挥相应的作用。但是在电子证据取证领域,并不能发挥相应的作用。因为电子数据的取证具有专业性,较为关键的是电子数据的持有人、见证人等人员否在具备拥有充足的电子数据取证知识,是否能够判断取证人员的取证手段和取证方法是否正确。电子数据持有人、见证人的签字并无法使得证据的真实性更加可靠,也无法保证取证人员获取的证据就是不经破坏、没有被篡改的。
首先,侦查人员作为取证主体在侦查笔录上的签字并无法保证证据的真实性、完整性。侦查人员签字只能增强侦查笔录的真实性,根据前述所讲的侦查笔录并不能记录所有的取证过程,因此侦查人员签字无法保证取证过程的合法性。
其次,电子数据的持有人在侦查笔录的签字也无法增强证据的证明能力。在某些案件中的电子数据的持有人与案件具有利害关系[36],其身份并不具有中立性,因此电子数据持有人的签字存在立场偏差,不会增强证据的证明能力,反而对证据能力有所削弱。例如在某互联网公司受到黑客攻击时,在取证时公安机关会要求互联网公司提供一些数据。此时,该互联网公司既是数据持有人,又是受害人。
再者,见证人应当符合的具体条件不明确。对传统书证物证的搜查扣押的见证较为简单,可以从肉眼观察的角度进行见证。但是在电子数据取证的过程中,仅通过简单的肉眼是无法见证电子数据取证的全部过程的。例如,在网络远程操作中,侦查人员虽近在眼前,但是见证人是否能够见证在网络端或云端获取数据的过程呢?在复杂、紧急的取证活动中,见证人是否有基本的能力判断侦查人员每一步操作以及取证方法是存在质疑的。这一问题在传统书证物证搜查扣押和现场勘验的情形就有显现,更何况在更加复杂和具有技术性的电子数据取证过程中。《电子数据规定》中仅仅规定了见证人需要“符合条件”,而并没有规定条件是什么,因此在实践中“符合条件”这一要求可能流于形式,导致见证人制度无法发挥作用。
最后,电子数据具有变动可查觉性[37]。电子设备可以进行自我记录和“自我鉴真”,在电子设备上的任何操作都是有迹可循的。取证设备和取证软件应当充分利用电子的留痕性。因此,取证软件在取证时所进行的步骤、获得的权限、提取的内容和提取的对象都是留有记录的,电子取证软件的留痕性是用来检验电子证据真实性、完整性的最好方式。

3.关于电子数据备份的规定可操作性不强

(1)在取证时如何确定“是否作为证据使用”较难
根据法条的文义解释以及上下文解释,对“作为证据使用的电子数据”进行备份应当指的是取证过程中对电子数据进行备份。因为该条规定的(一)扣押、封存原始存储介质(二)计算电子数据完整性校验值(四)冻结电子数据等条款,可以推理解释为制作、封存电子数据备份是发生在取证过程中的。
在收集提取电子数据的环节中,取证人员在取证时要做出“是否作为证据使用”是较为困难的。有以下几个原因:
电子数据的海量性。一般情况下,取证设备中的电子数据是非常庞大的,计算机硬盘是一个海量的存储器,分析这些数据需要必然要花费很长的时间,因此取证人员在现场的取证活动往往是为实验室分析作准备的。很难在现场时就判断获取到的数据是否可以作为证据。例如一台电脑中会有很多个文件夹和应用程序,一部手机中会有很多的应用软件和存储文件,不同的应用软件中又有不同的缓存信息、聊天记录等内容,要在取证现场就判断是否作为证据使用是较困难的。
电子数据的隐蔽性。犯罪分子为了逃避侦查人员的侦查,通常都会对非法行为进行一些隐蔽性处理。例如通过制作假文件名或文件夹名称、将合法文件与非法文件杂糅在一起或使用行业暗语的方式[38]。在此种情况下,侦查人员想在取证时判断出“是否作为证据”更加不具有现实性。
电子数据不具有直观性。电子数据的海量性和隐蔽性导致了电子数据不具有直观性,取证人员首先只有了解内容后才能判断是否作为证据。不管是在简单案件中还是复杂案件中,“了解”之后“确定”是否是案件证据的过程耗时巨大。在假设提取的数据不需要进行电子数据检查的前提下,仅仅是浏览这部分数据就需要耗费巨大的人力物力。当计算机在联网的情形下对数据进行判断更不具有现实性,侦查人员并不能一眼明知,无法从其他数据中剥离出来[39]。
电子数据的易篡改性。若侦查人员在取证时对计算机中的文件进行浏览,则计算机会对每一个操作进行相应的记录。这样会导致计算机发生实时更新,影响证据的真实性和完整性。因此为了保障获取证据的真实性和完整性,侦查人员在现场是不能随意操作被取证对象的,通常情况下是取证结束后再对获取的数据进行下一步操作。这也决定了在取证时,取证人员不存在对目标设备中数据进行判断的客观基础。
因此,电子数据的某些特性,导致取证人员不具备在取证时即可判断数据是否可作为证据的能力,进而影响侦查人员获取电子数据的方式。在实践中,取证人员因在取证时无法对电子数据是否可以作为证据做出判断,因此导致取证人员的取证方式往往是“一并获取”[40],目的是为了不丢失任何与案件相关的证据。
(2) 没有根据不同备份目的区分不同备份方式
《电子数据规定》第十六条对电子数据检查进行规范。电子数据取证与传统的书证和物证取证的环节有所不同,不同就在与电子数据取证存在一个特殊的阶段,称之为“电子数据检查阶段”,电子数据检查是取证工作的自然延续[41]。传统书证和物证在侦查阶段存在搜查、扣押、勘验和鉴定检验阶段,但是电子数据存在被删除、加密的情形,因此侦查机关在移送前要对数据进行恢复、破解、关联获取数据。
放眼世界范围的司法实践,电子数据取证可分为留存阶段和提取与使用证据阶段[42]。遇到简单的案件留存证据材料时就可以锁定证据,遇到复杂的案件时需要在留存的证据中进一步提取和分析证据,即电子数据检查阶段。所以电子数据检查阶段实质是电子数据取证过程中的第二阶段。
因此应当以是否进行电子数据检查为目的对备份的方式进行区分。“不以电子数据检查为目的”的备份对电子是为了直接获得证据,与传统书证物证的搜查、扣押环节相同;而“以电子数据检查为目的”的备份是为了在取证后进行必要的操作使某些数据得以恢复和破解。
区分二者的意义在于,不同的目的适用的取证手段应当有所区分。虽然二者都是发生在广义的取证环节,但是二者的目的不同导致备份方式不同,即对整个取证设备还是只对取证设备中的部分内容备份。

4.网络在线提取与网络远程勘验相关规定不明确

(1)网络在线提取与网络远程勘验的逻辑关系和性质不明确
网络在线提取与网络远程勘验的逻辑关系与性质不明确。《电子数据规定》第九条存在以下两个问题:
第一,网络在线提取与网络远程勘验的逻辑关系混乱。因相关规定未明确规定网络在线提取和网络远程勘验的具体方式,只能综合相关规定得出网络在线提取针对的是境内公开数据,网络在线提取和网络远程勘验需获得账户和密码。但是网络远程勘验与网络在线提取之间的逻辑体系较为混乱,网络在线提取与网络远程勘验的关系和界限较为模糊。
第二,网络在线提取与网络远程勘验的性质不明确。《刑事诉讼法》通过区分强制性侦查措施与自愿性侦查措施实现程序合法和权利保障。因此在明确网络在线提取与网络远程勘验的逻辑关系后,应进一步探究其性质,明确二者是自愿侦查行为或是强制侦查行为[43],进而通过司法审查和令状主义的方式对其进行规制。
在传统书证物证搜查扣押过程中,根据《刑事诉讼法》的规定,搜查必须向搜查人出示搜查证,进入嫌疑人或被告人的家中进行搜寻,最终获取物证或书证,且紧急情况可以不用搜查证;而在电子数据领域,由于电子数据的特性以及网络的延展性,与传统的搜查扣押之间有一些区别,因此应当具体分析网络在线提取与网络远程勘验适用搜查扣押令状审查的具体情形。
(2)网络在线提取和网络远程勘验的适用界限不明确
网络在线提取与网络远程勘验的适用界限不明确。《电子数据规定》中的“进一步查明有关情况”的含义不明确,且《公安电子数据取证规则》中对“进一步查明有关条件”解释时增加了兜底条款:其他网络在线提取时需要进一步查明有关情况的情形。加之目前对二者的性质也未明确,可能导致出现实践中单一使用网络在线提取或单一使用网络远程勘验,而非对境内的公开数据使用网络在线提取方式,必要时使用网络远程勘验的方式。
第一种情形是网络在线提取被网络远程勘验架空。根据我国目前的《刑事诉讼法》及相关法律规定,勘验是一种自愿侦查行为,除解剖尸体需经过公安机关负责人批准,其他勘验行为无需经过公安机关负责人批准[44]。而相关法律又未对网络远程勘验的性质进行明确。因此可能出现《电子数据规定》中的网络远程勘验与传统勘验混淆的情形。传统《刑事诉讼法》中的勘验是为了获取犯罪的线索,为侦查指明方向。在电子数据收集提取过程中,由于网络的延展性和通达性,远程勘验实际上具备搜查扣押以及技术侦查的性质[45]。因此,传统意义的勘验与网络远程勘验相混淆,可能使得侦查人员会利用传统“勘验”的名义进行实质为技术侦查的远程勘验,而无需经过任何审批。
第二种情形是利用网络在线提取这一方式逃避远程勘验中的审批程序[46]。在网络远程勘验中如果涉及到技术侦查,则经过严格的审批手续。实践中存在侦查取证人员利用网络在线提取这一方式逃避远程勘验中的技术侦查的审批程序的可能性。根据目前的法律,网络在线提取并未设置任何审批程序,而网络远程勘验中涉及技术侦查的还需经过审批,因此侦查人员可能通过网络在线提取的名义进行技术侦查,从而逃避技术侦查的审批程序。
因此,明确网络在线提取与网络远程勘验具体的适用界限迫在眉睫。
(3)网络远程勘验涉及技术侦查的适用情形和具体审批程序没有规定
首先,网络远程勘验在触发何种条件时涉及技术侦查没有明确规定。某些情形下,网络远程勘验具有侵入性,会侵犯被取证对象的隐私权,并且具有秘密性,这样的网络远程勘验具备技术侦查的性质。而技术侦查的触发条件在《电子数据规定》等法律规定中没有明确,《刑事诉讼法》中也仅规定了技术侦查的适用案件、批准后的有效期以及实施要求等,没有从侵入性、秘密性等角度界定技术侦查的触发条件。
其次,在《刑事诉讼法》相关规定的基础上,网络远程勘验中技术侦查适用的案件类型是否局限于技术侦查所使用的几类案件不免有疑义[47],且《刑事诉讼法》关于技术侦查的相关规定本就较为粗疏[48],这样会导致侦查人员在实践中无法落实。网络远程勘验与技术侦查有无法割裂的重合部分,因此需要理顺网络远程勘验与技术侦查法律的衔接,细化技术侦查的启动条件和程序。

四、现行法律框架内电子数据取证规则的完善

(一) 电子数据取证软件取证合法性的法律控制

1.电子数据取证软件自身的合法性规制

(1)电子数据取证软件研发人员研发时需注意法律边界
研发电子数据取证软件的人员应当对我国对电子数据取证的相关法律规范熟知,例如法律对电子数据取证的最低标准、我国对公民权利保护的规范等。从而在研发时就重视对被调查对象的隐私保护、证据完整性等重要问题,保证通过该软件取得的证据具备法律所要求的真实性、完整性等,并且符合法律所规定的程序要件。
研发人员在研发时要根据《电子数据规定》和相关的技术标准进行研发。研发出的软件在取证时不能有违反现存法律和技术标准的情形。例如,在研发获取ROOT权限的工具时,研发人员既要考虑被取证对象中的数据是否会因取证软件的接入和操作发生改变,也要考虑针对取证对象的不同是否应当设置不同的快捷程序,方便侦查人员既可针对整个手机系统进行取证,也可针对某个应用程序进行取证。
在程序上,研发人员在技术指标研发成功后应当到相关部门进行技术方面与法律方面的检查,确定该软件取证的技术达标且不违反取证相关的法律法规和技术标准。
(2)公安机关对电子数据取证软件的技术性进行审批
法律与计算机技术的交叉要求取证设备所采用的技术必须规范化、取证过程必须合法化等,这些将直接影响到取证结果的科学可靠性和合法性。只有确认电子数据的科学可靠性和合法性,才能不影响所提取的电子数据的证明能力,并在案件中发挥出应有的证明力[49]。也就是说,电子数据取证软件一方面要保证能够有效的提取到相关证据,另一方面要保证提取到的证据具备法律层面的证据能力[50]。
首先,公安机关应当承担起对电子数据取证设备投入市场前审查的职责。基于自身优势,公安机关对取证软件的审批主要集中在技术问题方面,审查取证软件是否能够发挥最基本的取证功能。普通的刑事侦查人员无法对技术含量较高的软件进行有效审查,具体应当由公安部安全与警用电子产品质量检测中心(以下简称“检测中心”)进行检验,公安部其他相关部门(以下简称“其他相关部门”)作为协助。原因如下:
第一,检测中心承担着信息安全产品的检测功能,官方网页显示检测中心的检测范围包括“计算机取证产品”和“手机取证产品”[51];
第二,检测中心和其他相关部门对电子软件和设施的检测已经具有一定的基础[52],对于相关产品的送检条件与送检流程已经较为明确。在计算机信息系统安全专用产品领域,根据《计算机信息系统安全专用产品检测和销售许可证管理办法》,检验合格后可向公安部网络安全保卫局申请销售许可证,在许可证的有效期限内可以投入市场销售。未来可在此模式上进行进一步完善,在电子数据取证领域建立申请销售许可证的模式;
第三,其他相关部门目前已经在计算机系统、关键设施等领域形成基础性规范。如公安部计算机信息系统安全产品质量监督检验中心目前已经对网络信息系统的关键网络设施的内容、标准形成基础性的规范,而目前也已有声音呼吁在电子数据取证过程中应当重视对关键网络设施的取证[53],那么对于该领域的电子数据取证软件的审查即可以相关设施的标准为基础;
第四,公安部其他相关部门参与了90%以上的技术标准的起草。公安部下设的上海辰星司法鉴定中心、公安部物证鉴定中心参与了90%以上的技术标准的起草,当检验中心遇到技术难题时,以上部门可以提出专业建议。
其次,对电子数据取证软件取证功能是否达标的主要依据有国家标准、行业标准和相关的技术标准。例如对含有镜像备份功能的软件进行审查时,公安机关可以根据《信息安全技术存储介质数据恢复服务要求》判断软件是否含有其要求必备的配置。
(3)检察机关对电子数据取证软件的合法性进行审批
需要由检察机关对电子数据取证软件的合法性进行审批,以确保电子数据取证软件不偏离法律的轨道。检察机关承担审批的职能不仅仅是因为检察机关是我国的司法监督机关,还是因为在实践中检察机关有丰富的电子证据检验鉴定的经验[54]。
首先,检察机关要做到职能前移,从电子证据检验鉴定的环节前移至相关技术标准制定环节。原因之一是在电子数据取证这一特殊的领域里,我们应当努力将某些法律上的基本要求融入到技术标准中,使技术标准法律规定能够有机的融合在一起,而不是两个独立的部分;原因之二是目前相关技术标准制定主体应当更加多元。虽然检察机关与公安机关和司法部相同,都承担鉴定方面工作,但是目前发布相关行业技术标准的主体是公安部和司法部司法鉴定管理局,检察机关发布较少;原因之三是检察机关承担着审查起诉和法律监督的职能,检察机关应当在相关技术标准的制定中发挥自身的作用。这样才能将自身在一线进行司法鉴定和行使检察监督权过程中遇到的问题完善到相关的技术标准中,使技术标准与法律、司法实践相融合,具有中立性和预防性。
其次,在此基础上电子数据取证软件投入市场前也需经过检察机关的审批。电子数据取证软件在案件的初查和立案后的阶段都承担着的独特的取证功能,意味着这类软件的取证功能会直接影响到被取证对象的隐私权以及被调取的证据的真实性和完整性。在公安机关对软件中相关技术问题进行审批后,由检察机关对软件所涉及的法律问题进行审批,包括对公民隐私权的保护、证据的真实和完整性等问题。例如,《电子数据存储介质复制工具要求及检测方法》中对复制存储设备中电子数据的软件和硬件的要求主要包括接口可用性要求、目标对象要求、完整复制要求、准确复制要求错误处理要求等技术性的要求,除此之外还应当要求该软件或硬件能够对全部镜像和部分镜像进行选择,是否具有这样操作选项就需要经过检察机关的审查。
检察机关除对第三方研发公司研发的软件进行审查,还需对公安机关利用自身资源和力量研发的新技术及新软件进行审批。例如公安部信息技术科技局下设的电子信息现场勘验应用技术公安部重点实验室就是公安部根据内部评议程序设立的公安部重点实验室,其主要的研究方向是包括现场空间电子信息勘验应用技术、现场图像信息勘验应用技术以及相关标准与规范的制定。即公安机关通过申请国家相关课题研究产生的科研成果及取证工具也需通过检察机关的审批,才能确保由公安机关研发的取证工具具备中立性。
通过公安机关与检察机关对取证软件进行审查后,由公安机关向申请单位或内部研发单位颁发销售许可证书,并规定一定时限的许可期限。由此为电子数据取证软件的合法性增添一层保障,使电子数据取证软件兼具技术性与合法性;未来在司法界逐渐形成普遍接受的,符合各项技术标准的电子数据取证软件,减轻电子数据鉴真的负担[55]。

2.明确电子数据取证软件的使用主体

目前的法律规定取证人员应当是侦查人员的立法原意是只有享有侦查权的人员才有权利进行法律规定的调查取证等一系列侦查行为。因此,电子数据取证软件的使用主体也应当是目前的法律规定的“侦查人员”;在此基础上需要通过对侦查人员培训等方式使侦查人员充分了解电子数据取证软件,使电子数据取证的侦查人员掌握基础取证知识和软件使用方法。如此一来,既可以符合侦查人员的身份要求,又能保证侦查人员具备一定的技术能力。
(1)使用电子数据取证软件的主体应为经过专业技术培训的侦查人员
首先,侦查机关享有法定的调查取证权,只有公安机关内部具有办案权限的人员才可以进行电子数据取证的活动[56]。从取证人员是否具有合法授权来看,侦查人员是公安机关的工作人员,天然享有侦查机关所享有的侦查权;从取证人员是否具备法律素养来看,侦查人员能够从程序法的角度判断侦查程序是否符合相关规定。
其次,电子数据的取证工作与其说是纯粹司法工作,不如说是“高科技辅助办案”的一项工作[57]。随着科技网络的不断发展,电子数据领域的取证也更加的复杂。面对大型复杂的取证案件,需要具备专业知识的侦查人员进行取证。在美国,手机等电子信息的搜查和电子数据现场勘验都是侦查人员的必备技能[58]。侦查人员不仅要具备制定取证计划和取证手段的能力,还要对取证目标及取证环节中具体技术问题进行判断。因此,侦查人员不仅要具备基础的取证知识,还要掌握手机、计算机和互联网取证领域中的具体技术问题。
最后,相关技术标准也要求取证人员同时具备法律知识和取证技术。《电子数据规定》要求取证人员的取证方法需要符合相关的技术标准,而在某些技术标准中,又规定某些行为需要在法律允许的范围内并获得授权的情况下。例如《电子数据证据现场获取通用规范》5.3条规定“在法律允许的范围内并在获得授权的情况下”。因此,单一具备技术知识或单一具备法律知识都不能完全胜任电子数据取证的工作。
(2)通过对侦查人员培训提升电子数据取证技能
电子数据取证工作需要经过专业培训的侦查人员来完成[59]。公安机关和检察机关应当利用外部企业资源和内部科研资源提升侦查人员相关的取证知识。培训知识应当分为技术类培训与法律类培训,重点进行技术类培训。
技术类培训的培训主体可为参与技术标准起草的企业或研发电子取证产品的企业,并经公安机关或检察机关批准后进行培训。
技术类培训的内容应当包括针技术类培训与实操类培训。电子数据的取证工作要求侦查取证人员具备一定的技术能力,并且需对取证设备有较高的熟悉度[60]。培训要针对不同的水平的人员采取不同的培训措施。应当建立金字塔式的培训体系和时间方案[61],针对不同的取证对象进行专题培训,如可分为针对手机的取证、针对计算机的取证、针对互联网的取证以及针对物联网、电子手环等其他新兴产品的取证。
技术类培训结果应当以考试的方式进行审核,考试合格可获得司法行政机关颁发的培训合格证书。司法行政机关较公安机关与检察机关而言,具有第三方的中立性。目前我国的法律行业的从业资格由司法部进行统一考试和管理,司法行政机关拥有培训的相关课程的经验,方便其建立具备电子数据取证资格的侦查人才储备库。证书的证明资格,可以根据取证对象进行划分。例如侦查人员在完成手机取证领域的相关培训,并获得相关证书后,即具备针对手机取证的取证资格。
技术类培训应当定期且长期。电子技术的更新换代非常快,因此相关的侦查人员也要定期地进行培训跟进技术的发展。电子数据取证人员若想通过电子数据侦破案件,就必须长期地进行学习和培训来保持技术的先进性[62]。
(3)明确司法鉴定机构或第三方专业机构的协助义务
目前在我国司法实践中出现以下两种现象:第一是在电子数据取证的实践领域,不具备取证专业技术能力的侦查人员通常完成的取证步骤为传统的物证的扣押,即原始存储介质的扣押[63]、拍照和录像等。在取证现场或将存储介质带回侦查机构后寻找司法鉴定机构或第三方专业机构的协助;第二是在司法鉴定领域,出现以“发现证据”为目标的司法鉴定,主要任务是在虚拟现场发现与案件事实相关的证据[64]。包含的主要工作有数据的检索与固定、数据恢复、数据来源分析、数据内容分析、数据综合分析。分析以上两种现象,可以得出以下结论:
首先,在短期要求侦查人员具备相当的信息技术是不现实的,因此侦查机关聘请具备法定资格的司法鉴定专家协助侦查是弥补此缺陷的有效方法[65]。在目前我国侦查人员还不具备较高技术水平的现状下,以侦查人员为主导,鉴定机构和第三方专业机构作为技术辅助人员有利于电子数据取证工作的推进。
其次,若不明确获取证据行为与鉴定行为的性质,既有利用鉴定逃避侦查的司法审查之嫌,又将影响通过鉴定得到证据的证明能力。根据技术手段的不同,可以将取证分为数据获取、数据恢复、数据分析和数据鉴定[66],虽然数据获取与数据鉴定都是广义的取证。但由于主体不同,应当进行狭义的理解,实践中用鉴定的方式来收集证据在法理上也是欠缺正当性的[67]。
因此,我国目前应当通过立法明确司法实践中大量出现的“向第三方求助”行为的性质,将以第三方为主体进行的分析鉴定等工作与以侦查人员为主体进行的取证工作区分,一是为了防止侦查人员利用鉴定等方式逃避必要的司法审查程序,二是为了确保通过司法鉴定和向第三方求助获取证据的合法性。

3.使用电子数据取证软件需设置前置步骤

(1)公安机关采购电子数据取证软件时需经同级检察机关批准
目前,公安机关通常通过聘请第三方招标机构的方式进行采购,由第三方招标机构公布采购设备的名称、相关技术要求和价格等商品的基本要素,并且完成评标工作后进行采购。例如,公安部的官网于2017年12月22日公布公安部委托中机国际招标有限公司进行“公安部反恐现场全景快速取证系统”的采购的信息。
因取证软件可能侵犯被调查对象隐私权,关系到证据的真实性和完整性,作为监督机关的检察机关应当参与到公安机关采购取证软件的过程中。通过检察机关的参与,审查该取证软件是否经过公安机关与检察机关的审批,是否获得销售许可证书。检察机关可通过在评标环节发表专业性意见,通过具有一票否决权的方式行使检察监督权。
若上级公安机关已经获得同级检察机关对取证软件合法性的认可,那么下级公安机关则可以直接使用同一电子数据取证软件,不需再经同级检察机关的审批,通过此举慢慢形成公安机关与检察机关共同认可的取证软件。
检察机关对电子数据取证软件采购进行监督,一方面可以从源头预防侦查机关使用没有获得销售许可证书的取证软件,另一方面保证在侦查阶段获取的证据在庭审阶段不受到辩方对真实性和完整性的反驳。
(2)使用电子数据取证软件搜查扣押时需经过审批
在《电子数据规定》中,对电子数据搜查和扣押的应当遵循《刑事诉讼法》的相关程序问题似乎不够重视[68]。在《电子数据规定》中称之为“收集提取”“远程勘验”等的行为,本质上都属于电子数据的搜查扣押。例如,通过复制电子文件或图片来获取数据[69]的行为本质上是《刑事诉讼法》中搜查、扣押等侦查方式。
我国未来需建立搜查扣押的司法令状审查,特别是对电子数据搜查、扣押的司法审查[70]。由于电子数据具有自身的特定属性,应当建立适合其特性的搜查扣押措施[71]。该特别措施与配套措施应当以现行《刑事诉讼法》为上位法,遵循司法审查制度和令状搜查制度,同时遵循比例原则,根据案件的不同情形,在严格审批的基础上做到个案个判。
首先,司法审查的基本内容包括以下几个方面:
第一,司法审查的主体是具有检察监督权的检察机关,待将来各方面条件允许时,再建立由中立法院进行审查的机制[72];
第二,侦查机关需明确搜查的理由。法律应当明确只有侦查机关的申请理由符合以下条件时,才能获得令状:有证据证明有犯罪事实发生;有证据证明被搜查对象中可能存在有利于证明案件事实的电子数据;有证据证明被搜查对象中的电子数据有利于证明案件事实等。并且前述提到的“证据”应当是客观存在证据,符合我国刑事诉讼法中的证据类型,而不是侦查人员的主观臆断[73];
第三,在搜查令状中需明确搜查的范围,具体应当明确搜查对象的所有权人、取证具体目标等,例如针对某个时间段、某个文件夹、某个磁盘位置、某个服务器等。根据美国的司法判例,若不符合特定性要求,实施概括搜查,则可能导致令状原则被架空,严重影响法治精神[74]。在美国诉奥特罗(US v. Otero)案中判决表示,随着电脑的信息存储量越来越大,执法部门更有能力对个人隐私事务大范围的搜查。因此,特定化的要求就更加重要[75];
第四,随着科技的不断发展,无证搜查扣押的例外情应当存在[76]:一是在延误提取可能导致证据灭失的情形下(云端或网络删除);二是获得通讯一方同意的情形下;三是被害人同意的情形下;四是数据所有权人同意的情形下[77]。除以上四种情形外,侦查人员使用电子数据取证软件搜查扣押时都需要经过司法审批的程序。
其次,由于电子证据的某些特性对传统的刑事诉讼规则造成了冲击,因此应当在一般原则的基础上,遵循比例原则,根据不同的取证对象设置不同的审批程序和审查标准,实现手段与目的的适当匹配。由于对取证方式的分类繁多,不能统一适用某一标准,因此要根据个案中具体取证的手段进行判断,不能一概而论,举例如下:
电子数据可分为内容数据与非内容数据,针对内容数据的获取和对非内容数据的获取要采取不同的审批手续,内容数据中包含的内容更加直白具体,因而使用更严格的程序条件;非内容数据涉及的隐私更少一些,通常是一些客户事实的记录,例如地址,时间等涉及的隐私更少一点,因而程序上的限制也更少一些;
电子数据可分为静态电子数据与动态电子数据,静态数据的获取方式主要为搜查扣押,要经过搜查扣押的相关程序;动态数据的获取方式主要是网络的实时监控等,动态获取方式可能严重侵犯公民通讯自由的权利,因此获取动态电子数据的限制条件要高于静态电子数据的获取[78];
获取注册信息与获取通信内容、位置定位信息的审批条件应有不同,获取特定对象的通讯信息与获取基站全区通讯记录的审批条件也应有不同[79]等。
(二)手机取证软件使用的法律控制

1.防范通过获得ROOT权限取证的方式影响证据的真实性和完整性

目前我国已经出现很多针对手机取证的软件,针对Android系统的取证中,我国已有大量通过获取ROOT权限取证的软件。在实践中,取证的方式包括获取ROOT权限进行取证和备份技术取证[80]。
目前,获取ROOT权限取证的原理就是通过破译手机自身的算法后将新的算法加载到目标取证手机中,而加载到目标取证手机中很有可能占用设备本身的内存,破坏原有数据的完整性[81]。ROOT获取的方式之一还有称之为MEMGRAB,而这样的方式存在的问题是只能提取部分应用程序数据,无法获得完整的RAM镜像。
因此,应当通过制定和完善技术标准将ROOT权限对数据真实性与完整性的影响降到最低。获取ROOT权限的主要方式都可能对证据的真实完整性产生影响,除了研发人员应当努力研发降低获取ROOT权限取证的风险,在法律和制度层面,检察机关、公安机关和司法鉴定部门还应当尽快制定出针对手机取证的技术标准,在技术标准中对手机数据提取、ROOT权限获取设置相应规范。

2.对取证过程规范记录以提高电子证据自我鉴真能力

在对手机中的数据进行镜像备份时,电子数据取证软件在获取证据时应当对自身的取证过程进行记录,这些记录中的时间属性、设备属性、日志记录、缓存信息都应当成为“与众不同的特征”[82],当证据从公安机关移送至检察机关和审判机关时,通过对“与众不同”的信息进行审查,帮助检察机关和审判机关对电子数据真实性和完整性的进行审查与认证。
第一,取证过程的记录可以帮助检察机关审查侦查机关移送的证据,作为参照物能够高效帮助检察机关对证据的证明能力作出基本判断。在检察机关的对证据进行审查阶段,可通过审查电子数据取证软件的取证记录,将取证对象的基本数据与获取后的数据进行对比,即可了解到取证的范围,取证后的数据是否遭到破坏等信息。
第二,取证过程的记录有利于增强电子数据的自我鉴真能力。在取证、举证、质证、认证这四个环节中,前三个环节是为最后一个环节服务的,若想完成司法证明的任务,任何一个环节都不可缺少[83]。电子数据取证软件研发的终极目标是要为最后的认证环节作准备。电子数据具备留痕性和实时性的特征,在审判环节中,应当利用电子数据的留痕性与实时性的特点增强电子数据的“鉴真能力”,增强电子数据“自我认证”的能力,使电子数据鉴真的方式不再依赖于对笔录类材料的书面审查[84]。
第三,取证过程的记录具有中立性,可作为辩护人发表辩护意见的依据。在SigurðurEinarsson and Others v. Iceland[85]案中,案件初始调查期间,冰岛警察在收集到申请人公司的全部电子数据后,利用clearwell的电子数据取证软件输入关键词后生成了案件的“investigation documents”,随后案件进行到欧洲人权法院时,申请人提出他们并没有获得和挑选警察收集的文件的权利,也就是生成案件“investigation documents”的权利。若此时电子数据取证软件的自我记录和验证功能良好时,辩护方通过阅读电子数据取证软件的取证过程即可了解侦查人员的取证过程,进而发表辩护意见。
第四,记录取证过程符合相关技术标准的要求。例如在《数字化设备证据数据发现提取固定方法》中检验记录中也要求要记录“证据数据”的检验目的、检验设备和软件、发现提取操作步骤、检验环境条件、导出的证据数据文件的存储位置、文件名、文件哈希值和数据的可再现特性、检验时间、检验人员这些信息。
我国电子数据立法应当将一些有益的技术标准吸收为立法规则,保证电子证据在法庭上运用的效力[86]。目前平航科技的取证软件中已经具备记录取证过程的功能,通过软件自动记录避免侦查人员在侦查笔录上手动记录出错的情况。这样的典范做法可以同“完整性校验值”的相关规定一样,从技术层面上升为法律层面。
因此,检察机关、公安机关、司法部等制定技术标准的部门应当将“取证过程的自动记录”这一要求纳入相关的技术标准并上升至法律中,成为手机取证软件的必备功能之一。这样可以有效的发挥电子科技在取证中的功能,为检察机关和审判机关对证据的审查和认定提高效率,减轻手机电子数据的鉴真负担。

(三) 计算机取证软件使用的法律控制

1.备份中遵循“部分备份”为主,“全部备份”为辅的原则

为了保护目标设备中的数据不发生增加或减少的情形,首先要针对计算机中的文件制作备份。若某一电子证据在形成之后出现增加或删减的情况,必然会对证据的完整性造成影响,进而对证据的证明力产生影响[87]。备份的具体方式应遵循如下原则:
首先,无论是从证据的相关性而言,还是权利保障的角度而言,电子数据收集都应当遵循“部分提取”模式为主,“全部提取”模式为辅的原则[88]。侦查机关在制定取证计划时应当明确在取证现场的备份可以直接获取到证据,还是通过制作备份进行电子数据检查,检察机关在司法审查时应以此判断应当采取“一并提取”还是“部分提取”。在简单的案件中备份后的证据可直接作为证据时,取证时需针对特定目标进行备份;在复杂的案件中取证后还要进行破解、分析、关联对比时,可以针对取证目标进行全部备份,在全部备份的基础上进行电子数据检查。
进而,在进行电子数据检查过程中,除对数据进行恢复的操作可以针对全部备份文件外,破解、统计、关联和比对的方式应当针对特定的备份信息。前文已经提到,电子数据检查过程的实质是存在于电子数据取证的第二个阶段:提取和使用证据材料的阶段。在这一阶段,进行取证的目的不能再笼统的表达为“打击犯罪”、“保护公共利益”等,而需要有明确的指向[89],因此进行电子数据检查时应当针对特定的目标进行。另外,在电子数据检查结束后应当及时将无关的信息删除。

2.以直接获取证据为目标的备份应当“部分备份”

当备份是为了直接收集提取数据时,应当根据案由“特定目标对象”申请搜查令状后进行备份。犯罪人员可能会对证据进行隐蔽性处理,因此更加要求侦查人员在要减少对公民或者是单位权益的侵害,只有在限定范围可能造成证据遗漏时,才能采取“宜大不宜小”的例外规则[90]。
公安机关应当根据案件不同的性质,在搜查证中明确取证的范围,检察机关应当根据案件的基本情况进行判断,对特定搜查的范围进行审核,防止侦查机关将犯罪嫌疑人或第三人的全部信息进行提取,侵犯犯罪嫌疑人和第三人的隐私权。
具体而言,公安机关在初查后、立案前对案件的性质、案由等案件的基本情况已经有所判断,在取证过程中可以根据案由、关键词、案件起始日期和实物证据等因素确定取证的范围。例如在侵犯计算机信息系统罪、破坏计算机信息系统等专门针对计算机信息系统的犯罪中,取证对象应当以计算机信息系统的取证为目标,尤其是在对被害人或第三方的电子数据进行收集时,尽量不收集与计算机犯罪无关的个人信息;在传统的诈骗案、盗窃案中,侦查机关想获取的电子证据也只能针对某个关键词、某个聊天记录、通讯记录、某个时间段的数据进行获取,而不能对整个计算机信息系统和计算机运行过程中的所有数据进行提取;在网络诈骗案件中,若想对伪基站进行提取从而获得电信诈骗受害人的信息时,须针对某区域内的基站信息进行提取。

3.以电子数据检查为目标的备份可以“一并备份”后特定检查

首先,为了使数据恢复、比对和关联等电子数据检查操作具备客观的基础,在备份时可以对取证目标进行“一并提取”。此时的备份与扣押原始存储介质的作用相同,是为“实验室分析”做准备。
其次,不同检查方式针对的检查对象应当有所区分,即恢复、破解、统计、关联、比对等方式针对的目标应当有所区分。
第一,为了保证证据不有所遗漏,恢复的对象是备份后的所有文件。恢复是指利用专业的计算机软件或硬件,修复存储介质内无法正常读取的电子数据[91],目前在技术上大多数的取证工具都可以恢复作为证据的已删除文件[92]。恢复是破解、统计、关联、比对的基础。
第二,破解、统计、关联、比对应当针对特定的目标。破解是将加密的文件进行解密,若通过文件的创建时间、文件名、文件创作的作者可以得知该加密文件与本案无关,则侦查人员不应对此类文件进行解密;统计是针对与本案有关系的文件才有意义,否则既侵犯当事人的隐私,又浪费侦查资源;关联和比对的步骤更加需要针对特定的目标,针对本案的相关信息进行关联比对才有意义,例如在电信诈骗案件中,侦查人员可以将电脑中存在的excel表格与某软件聊天记录进行关联比对确定受害者,增强证据的关联性。
另外,应当对搜查令状之外的数据及时删除并通过非法证据排除规则排除。例如当侦查机关通过对整个电脑文件的比对发现与本案无关的内容,从而发现他案的证据时,他案的证据应当经过非法排除证据规则排除。目的是通过程序正当原则保障犯罪嫌疑人和被告人的权利,抑制侦查机关滥用侦查权的行为,毕竟忽视和侵犯犯罪嫌疑人和第三方的合法权益与现代法治精神、惩罚犯罪与保障人权并重的司法理念不相符合。

(四) 网络取证软件使用的法律控制

1.明确网络在线提取与网络远程勘验之间的逻辑关系

需要明确网络在线提取与网络远程勘验之间的逻辑关系。根据两个电子数据规定,作出如下的界限较为合理。
应当从两个角度理解网络在线提取[93],即狭义的普通在线提取和广义的网络在线提取。狭义的普通在线提取仅仅指针对境内计算机信息系统上公开发布的电子数据,广义的网络在线提取则包含狭义的普通在线提取和经过同意的网络远程勘验和其他情形。在广义的网络在线提取下,普通在线提取与网络远程勘验是并列关系。

2.明确网络在线提取和网络远程勘验的性质

在此基础上,应明确广义在线提取中的三种分类的性质。
第一,狭义普通在线提取公开信息是自愿性侦查措施,无需令状审批。这种取证方式是取证人员通过在网络上搜寻并从网络上传至空白取证存储介质中的过程,或通过下载[94]文件保存至取证人员的设备中。虽然根据相关技术标准的定义,下载[95]是指将程序或数据从一个计算机传送到与之相连的资源较少的计算机上,这一过程与搜查扣押书证物证的本质无别,但由于数据所有人公开信息后就放弃了对数据的隐私期待,因此狭义普通在线提取并没有侵犯当事人隐私权,这是一种自愿性侦查措施,无需经过令状审批;为了防止利用普通在线提取无需令状的规则逃避审查,应当严格明确普通在线提取的对象是境内公开数据。
第二,网络远程勘验是一种强制性侦查措施,应当纳入搜查扣押和技术侦查的范围进行规制。
获得访问权限的网络远程勘验应纳入搜查扣押令状审批的例外情形。网络远程勘验是针对境内非公开的信息,且应当通过取得用户名和密码获得访问权限后提取数据。这实质上是上文中搜查扣押令状审批的两个例外情形:获得通讯一方同意或数据所有权人同意的情形。在此情形下,虽然可以无证搜查,但仍然需要遵循特定原则,只能针对数据所有人或通讯一方已经同意的内容进行获取,否则应当纳入技术侦查的范围;
没有获得访问权限的网络远程勘验则是技术侦查。当侦查人员无法从通讯一方或所有权人处得到用户名和密码时,则需经过技术侦查的严格审批程序。由于具有很强的权利干涉性,因此纳入技术侦查是必要的[96]。例如通过本文前述提到的网络嗅探工具进行通讯监控的方式就涉及技术侦查,应当经过技术侦查的审批手续。
第三,除上述两种情形之外的所有广义的网络在线提取都应当遵循搜查扣押的令状审查规则,例如针对境外的公开或不公开的数据都应当经过司法审查的程序,其中具有侵入性和秘密性的方式应当经过技术侦查的相关审批。

3.明确网络远程勘验适用技术侦查的具体情形和审批程序

首先,技术侦查需要突破目前“重罪重刑”的适用原则。按照《刑事诉讼法》第一百四十八条[97]和《公安机关办理刑事案件程序规定》第二百五十四条[98]对于技术侦查的相应规定。实践中大部分犯罪是无法适用技术侦查的[99]。我国技术侦查的原则是“重罪加重刑”的标准,目前不属于“重罪重刑”的犯罪案件中涉及技术侦查的就无法适用前述的规范。笔者认为,网络远程勘验中技术侦查的适用要突破目前法律对技术侦查适用案件的限定;普通案件中,网络远程勘验中涉及技术侦查时,也应当经过审批。
其次,技术侦查的适用应增加前置条件:通过传统的侦查手段难以发现相关信息时。即传统侦查手段无法获取案件证据时,才可以通过技术手段获取[100]。
最后,事前审批与事后惩戒并用。一方面,网络取证过程中涉及的技术侦查应当经过同级检察机关的事前审批后才可使用。若是由上级侦查机关进行审批,难免流于形式;若是由审判机关进行审批,则出现审判机关过早介入侦查失去中立性的问题[101];另一方面,通过非法证据排除规则加以规制,将未经过检察机关审批的,使用技术侦查获得的证据排除。 

结语

本文从电子数据取证软件入手,分析了软件本身的合法性以及利用电子数据软件取证手段的合法性问题,进而提出解决前述问题的个人看法与观点。
首先从法律层面规范电子数据取证软件的研发,加强对软件的技术性与合法性的审查,增强电子数据取证软件自身的合法性;规范电子数据搜查扣押的司法审查程序,规范使用电子数据取证软件过程中的法律问题;其次将电子数据软件的使用与我国目前电子数据取证领域存在的问题与相结合进行具体分析,在手机取证领域提出要将自动记录取证过程的典型做法上升为法律,使技术与法律相融合;在计算机取证领域,要落实特定搜查的原则,保护被取证对象的隐私权;在网络取证领域要明确网络在线提取与网络远程勘验的界限,落实技术侦查的审查程序,防止技术侦查肆意侵犯被取证对象的隐私权和知情权等权利。
笔者对电子数据取证软件的研究可能存在不足与不全面之处,希望在日后能够更加深入研究电子数据取证软件的研发和使用过程,进而在法律层面提出更加专业的看法。

 注释:
[1]刘品新.电子证据的基础理论[J].国家检察官学院学报,2017,25(1):151-159.
[2]国家质量技术监督局.信息技术 词汇 第一部分:基本术语:GB/T 5271.1-2000[S].2000:3.
[3]中华人民共和国公安部.电子数据存储介质复制工具要求及检测方法:GA/T 754-2008[S].2008:1.
[4]平航科技.分离元数据---手机物理镜像的重要功能详解[EB/OL].(2019-06-05)[2020-04-13].https://mp.weixin.qq.com/s/cfoeTep8nXAt6DpNjXt3LQ.
[5]契信科技.产品简介[EB/OL].[2020-04-13].http://www.checkxing.com/page181?product_id=23.
[6]电子物证.动态取证工具(取证大师)[EB/OL].(2016-12-13)[2020-04-13].https://mp.weixin.qq.com/s/0yIIAv5Pcvle1Rr9AZkkPQ.
[7]电子物证.内存镜像获取和解析(取证大师)[EB/OL].(2016-12-08)[2020-04-13].https://mp.weixin.qq.com/s/_7kKi2LHs81ONmi7mhWMrA.
[8]电子物证.【取证大师】微信取证新方式[EB/OL].(2017-07-08)[2020-04-13].https://mp.weixin.qq.com/s/9MpLBhWkl6d2vZkKkvPfyw.
[9]吴燕.网络嗅探器的设计与实现[J].电脑知识与技术,2016(8):36-37.
[10]吴哲.中立帮助行为的可罚性分析[D].硕士学位论文,浙江大学,2017.
[11]王迁.“索尼案”二十年祭--回顾、反思与启示[J].知识产权研究,2004(4).
[12]吴哲.中立帮助行为的可罚性分析[D].硕士学位论文,浙江大学,2017.
[13]山东省莱芜市钢城区人民法院刑事判决书.孙式会、亓宪忠犯非法吸收公众存款罪一审刑事判书[EB/OL].(2016-10-24)[2020-04-13].http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=e2315a510f344b11a205e0120cf1c0ad.
[14]江苏省徐州市中级人民法院(2017)苏03刑终9号刑事裁定书.张宗凯、杨小乔伪造货币罪、出售、购买、运输假币罪二审刑事裁定书[EB/OL].(2017-03-30)[2020-04-13].http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=59521e19d58e43e8a926a7460106529d.
[15]马宏、罗艺.浅谈ROOT权限获取在安卓手机取证上的应用[J].法学研究,2007(3).
[16]丁丽萍,刘雪花,陈光宣等.Android智能手机动态内存取证技术综述[J].技术研究,2019(2):10-17.
[17]其中系统信息包括网卡信息、通用网络信息、计算机信息、以安装程序、设备管理器、服务列表、驱动列表、计算机操作系统信息、磁盘信息、共享信息、系统账号信息、系统补丁、开机自动运行程序、网络隔离信息、账户锁定策略、密码策略、审核策略、用户权限分分配、安全选项。
[18]薛大政.非内容性电子数据监控与基本权利保护研究[D].硕士学位论文,天津商业大学,2018.
[19]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[20]最美软件人.网络嗅探之黑与白---信息安全系列(四)[EB/OL].(2017-06-14)[2020-04-13].https://mp.weixin.qq.com/s/kITdplNKmcKp8VTMnqKyUQ.
[21]搜狗百科.sniffer词条定义[EB/OL].(2019-10-10)[2020-04-13].https://baike.sogou.com/v34884.htm?fromTitle=sniffer.
[22]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28):31-38.
[23]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28):31-38.
[24]中华人民共和国公安部.电子证据数据现场获取通用方法:GA/T1174-2014[S].2014:3.
[25]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1):121-132.
[26]《计算机犯罪现场勘验与电子证据检查规则》第三条规定计算机犯罪现场勘验与电子证据检查包括现场勘验检查、远程勘验和电子证据检查。
[27]骆旭刚.电子数据搜查扣押程序的立法构建[J].政治与法律,2015(6):152-160.
[28]分别是《电子证据数据现场获取通用方法》适用于在电子数据现场取证的工作中,搜索、获取、固定和保存电子证据数据;《电子数据存储介质复制工具要求及检测方法》适用于复制电子数据存储介质存储的数据的软件和硬件设备进行检测;《电子数据存储介质写保护设备要求及检测方案》适用于检测ATA、SCSI、USB和Firewire接口的电子数据存储介质写保护设备。
[29]高毅,卜芃.论公安机关侦鉴分离改革方向[J].湖南警察学院学报,2016(6):48-54.
[30]杜志淳,廖根为.电子数据司法鉴定主要类型及其定位[J].犯罪研究,2014(1):67-76.
[31]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28):31-38.
[32]目前查询到的46个相关技术标准,25个由公安部发布,13个由司法部司法鉴定管理局发布;其中公安机关参与39个技术标准的起草。
[33]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[34]杜春鹏.电子证据取证和鉴定[M].北京:中国政法大学出版社,2014:81.
[35]中华人民共和国司法部司法鉴定管理局.手机电子数据提取操作规范:SF/Z JD0401002-2015[S].2015:2.
[36]山东省莱芜市钢城区人民法院刑事判决书.孙式会、亓宪忠犯非法吸收公众存款罪一审刑事判书[EB/OL].(2016-10-24)[2020-04-13].http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=e2315a510f344b11a205e0120cf1c0ad.
[37]陈永生.电子数据搜查扣押的法律规制[J].现代法学,2014(9):111-127.
[38]皮勇.刑事诉讼中的电子证据规则研究[M].中国人民公安大学出版社,2005.
[39]刘品新.论计算机搜查的法律规制[J].法学家,2008(4):115-123.
[40]刘广三.论电子证据的搜查、扣押[J].北方法学,2007(2):43-38.
[41]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28):31-38.
[42]裴炜.比例原则下网络犯罪侦查服务提供商的信息披露义务[J].比较法研究2016(4):92-104.
[43]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[44]骆旭刚.电子数据搜查扣押程序的立法构建[J].政治与法律,2015(6):152-160.
[45]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1):121-132.
[46]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1):121-132.
[47]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[48]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1):121-132.
[49]王立梅,刘浩阳.电子数据取证基础研究[M].中国政法大学出版社,2016:8.
[50]黄道丽.电子数据取证与鉴定法治化的中国实践[J].网事焦点,2019(5):48-51.
[51]公安部特种警用装备质量监督检测中心.检测项目[EB/OL].[2020-04-13].http://www.tcspbj.com/Fuwu/Jcxm.aspx.
[52]公安部计算机信息系统安全产品质量监督检验中心.计算机信息系统安全专用产品销售许可服务平台[EB/OL].[2020-04-13].https://www.ispl.cn/ispl/#.
[53]任英杰.侦查中关键网络设施的取证规则与技术研究[D].硕士学位论文,中国人民公安大学,2017.
[54]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[55]赵长江.刑事电子数据证据规则研究[M].法律出版社,2018:103.
[56]谢登科.电子数据取证主体:合法性与合技术性之间[J].环球法律评论,2018(1):83-99.
[57]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[58]刘广三.美国对手机搜查的法律规制及对我国对的启示——基于莱利和伍瑞案的分析[J].法律科学,2017(1):180-190.
[59]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[60]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[61]赵长江,李翠.电子数据搜查扣押难点问题研究[J].太原理工大学学报,2017(6).21-26.
[62]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[63]谢登科.电子数据取证主体:合法性与合技术性之间[J].环球法律评论,2018(1):83-99.
[64]杜志淳,廖根为.电子数据司法鉴定主要类型及其定位[J].犯罪研究,2014(1):67-76
[65]麦永浩,孙国梓,许榕生等.计算机取证与司法鉴定[M].中清华大学出版社,2009:11.
[66]刘品新.电子取证的法律规制[J].法学家,2010(3):73-82.
[67]骆旭刚.电子数据搜查扣押程序的立法构建[J].政治与法律,2015(6):152-160.
[68]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[69]ChristineLiCalzi.Computer Crimes,American Criminal Law Review ,Fall,2017:1026-1071.
[70]陈永生.电子数据搜查扣押的法律规制[J].现代法学,2014(9):111-127.
[71]皮勇.新刑事诉讼法实施后我国网络犯罪相关刑事程序立法的新发展[J].法学评论,2012 (6):116-125.
[72]陈永生.电子数据搜查扣押的法律规制[J].现代法学,2014(9):111-127.
[73]刘广三.美国对手机搜查的法律规制及对我国对的启示——基于莱利和伍瑞案的分析[J].法律科学,2017(1):180-190.
[74]刘广三.美国对手机搜查的法律规制及对我国对的启示——基于莱利和伍瑞案的分析[J].法律科学,2017(1):180-190.
[75]陈永生.电子数据搜查扣押的法律规制[J].现代法学,2014(9):111-127.
[76]施育杰.数位证据的载体、云端与线上取证---搜索扣押与类型化的观点[J].月旦裁判时报,2017(10):55-71.
[77]刘梅湘.侦查中网络监控法制化研究[M].法律出版社,2017:196.
[78]皮勇.刑事诉讼中的电子证据规则研究[M].中国人民公安大学出版社,2005:10-11.
[79]薛大政.非内容性电子数据监控与基本权利保护研究[D].硕士学位论文,天津商业大学,2018.
[80]马宏、罗艺.浅谈ROOT权限获取在安卓手机取证上的应用[J].法学研究,2007(3).
[81]丁丽萍,刘雪花,陈光宣等.Android智能手机动态内存取证技术综述[J].技术研究,2019(2):10-17.
[82]赵长江.刑事电子数据证据规则研究[M].法律出版社,2018:99.
[83]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[84]赵长江.刑事电子数据证据规则研究[M].法律出版社,2018:103.
[85] CASE OF SIGURĐUR EINARSSON AND OTHERS v.ICELAND  JUDGMENT [EB/OL].(2019-09-04)[2020-03-02].https://www.echr.coe.int/Pages/home.aspx?p=home.
[86]刘品新.电子取证的法律规制[J].法学家,2010(3):73-82.
[87]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015 (5):517-530.
[88]谢登科.电子数据与刑事诉讼变革以快播案为视角[J].东方法学,2018(5):47-54.
[89]裴炜.比例原则视域下电子侦查取证程序性构建规则[J].环球法律评论,2017 (1):80-95.
[90]刘品新.论计算机搜查的法律规制[J].法学家,2008(4):116-123.
[91]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息安全技术 存储介质数据恢复服务要求:GB/T 31500—2015[S].2015:1.
[92]尼尔森.杜江,白志,刘刚译.计算机取证调查指南[M].重庆大学出版社,2009:57.
[93]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1):121-132.
[94]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28):31-38.
[95]国家质量技术监督局.信息技术 词汇 第一部分:基本术语:GB/T 5271.1-2000[S].2000:5.
[96]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11):7-14.
[97]对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件以及利用职权实施的严重侵犯公民人身权利的重大犯罪案件。
[98]故意杀人、故意伤害致人重伤或者死亡、强奸、抢劫、绑架、放火、爆炸、投放危险物质等严重暴力犯罪案件;集团性、系列性、跨区域性重大犯罪案件;利用电信、计算机网络、寄递渠道等实施的重大犯罪案件,以及针对计算机网络实施的重大犯罪案件;其他严重危害社会的犯罪案件,依法可能判处七年以上有期徒刑的。
[99]储陈城,马世理.网络犯罪的技术侦查的全覆盖与程序制约[J].山东警察学院学报,2018(3):51-59.
[100]储陈城,马世理.网络犯罪的技术侦查的全覆盖与程序制约[J].山东警察学院学报,2018(3):51-59.
[101]储陈城,马世理.网络犯罪的技术侦查的全覆盖与程序制约[J].山东警察学院学报,2018(3):51-59.

参考文献:

一、书籍
[1]杜春鹏.电子证据取证和鉴定[M].北京:中国政法大学出版社,2014.
[2]刘梅湘.侦查中网络监控法制化研究[M].法律出版社,2017.
[3]皮勇.刑事诉讼中的电子证据规则研究[M].中国人民公安大学出版社,2005.
[4]王立梅,刘浩阳.电子数据取证基础研究[M].中国政法大学出版社,2016.
[5麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].中清华大学出版社,2009.
[6]赵长江.刑事电子数据证据规则研究[M].法律出版社,2018.
[7]尼尔森.杜江,白志,刘刚译.计算机取证调查指南[M].重庆大学出版社,2009.
二、论文报刊类
[1]龙宗智.寻求有效取证和保证权利的平衡---评“两高一部”电子数据证据规定[J].法学,2016(11).
[2]刘品新.论计算机搜查的法律规制[J].法学家,2008(4).
[3]刘品新.电子取证的法律规制[J].法学家,2010(3).
[4]刘品新.电子证据的基础理论[J].国家检察官学院学报,2017(1).
[5]陈永生.电子数据搜查扣押的法律规制[J].现代法学,2014(9).
[6]刘广三.论电子证据的搜查、扣押[J].北方法学,2007(2).
[7]刘广三.美国对手机搜查的法律规制及对我国对的启示——基于莱利和伍瑞案的分析[J].法律科学,2017(1).
[8]朱桐辉,王玉晴.《电子数据取证的正当程序规制--〈公安电子数据取证规则〉评析》[J].苏州大学学报,2020(1).
[9]周加海,喻海松.《关于办理案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法,2017(28).
[10]皮勇.新刑事诉讼法实施后我国网络犯罪相关刑事程序立法的新发展[J].法学评论,2012(6).
[11]樊崇义,李思远.论我国刑事诉讼电子证据规则[J].证据科学,2015(5).
[12]赵长江,李翠.电子数据搜查扣押难点问题研究[J].太原理工大学学报,2017(6).
[13]裴炜.比例原则下网络犯罪侦查服务提供商的信息披露义务[J].比较法研究2016(4).
[14]裴炜.比例原则视域下电子侦查取证程序性构建规则[J].环球法律评论,2017(1).
[15]谢登科.电子数据与刑事诉讼变革以快播案为视角[J].东方法学,2018(5).
[16]谢登科.电子数据取证主体:合法性与合技术性之间[J].环球法律评论,2018(1).
[17]骆旭刚.电子数据搜查扣押程序的立法构建[J].政治与法律,2015(6).
[18]丁丽萍,刘雪花,陈光宣,李引.Android智能手机动态内存取证技术综述[J].技术研究,2019(2).
[19]马宏、罗艺.浅谈ROOT权限获取在安卓手机取证上的应用[J].法学研究,2007(3).
[20]薛大政.非内容性电子数据监控与基本权利保护研究[D].硕士学位论文,天津商业大学,2018.
[21]储陈城,马世理.网络犯罪的技术侦查的全覆盖与程序制约[J].山东警察学院学报,2018(3).
[22]吴燕.网络嗅探器的设计与实现[J].电脑知识与技术,2016(8).
[23]杜志淳,廖根为.电子数据司法鉴定主要类型及其定位[J].犯罪研究,2014(1).
[24]吴哲.中立帮助行为的可罚性分析[D].硕士学位论文,浙江大学,2017.            
[25]任英杰.侦查中关键网络设施的取证规则与技术研究[D].硕士学位论文,中国人民公安大学,2017.
[26]王迁.“索尼案”二十年祭--回顾、反思与启示[J].知识产权研究,2004(4).
[27]高毅,卜芃.论公安机关侦鉴分离改革方向[J].湖南警察学院学报,2016(6).
[28]黄道丽.电子数据取证与鉴定法治化的中国实践[J].网事焦点,2019(5).
[29]ChristineLiCalzi.Computer Crimes,American Criminal Law Review ,Fall,2017.
[30]施育杰.数位证据的载体、云端与线上取证---搜索扣押与类型化的观点[J].月旦裁判时报,2017(10).
三、电子资源
[1]平航科技.分离元数据---手机物理镜像的重要功能详解[EB/OL].(2019-06-05)[2020-04-13].https://mp.weixin.qq.com/s/cfoeTep8nXAt6DpNjXt3LQ.
[2]契信科技.产品简介.[EB/OL].[2020-04-13].http://www.checkxing.com/page181?product_id=23.
[3]电子物证.动态取证工具(取证大师)[EB/OL].(2016-12-13)[2020-04-13].https://mp.weixin.qq.com/s/0yIIAv5Pcvle1Rr9AZkkPQ
[4]电子物证.内存镜像获取和解析.[EB/OL].(2016-12-13)[2020-04-13].https://mp.weixin.qq.com/s/_7kKi2LHs81ONmi7mhWMrA
[5]电子物证.【取证大师】微信取证新方式[EB/OL].(2017-07-08)[2020-04-13].https://mp.weixin.qq.com/s/9MpLBhWkl6d2vZkKkvPfyw.
[6]山东省莱芜市钢城区人民法院刑事判决书.孙式会、亓宪忠犯非法吸收公众存款罪一审刑事判书[EB/OL].(2016-10-24)[2020-04-13].http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=e2315a510f344b11a205e0120cf1c0ad.
[7]江苏省徐州市中级人民法院(2017)苏03刑终9号刑事裁定书.张宗凯、杨小乔伪造货币罪、出售、购买、运输假币罪二审刑事裁定书[EB/OL].(2017-03-30)[2020-04-13].http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=59521e19d58e43e8a926a7460106529d.
[8]最美软件人.网络嗅探之黑与白---信息安全系列(四)[EB/OL].(2017-06-14)[2020-04-13].https://mp.weixin.qq.com/s/kITdplNKmcKp8VTMnqKyUQ.
[9]搜狗百科.sniffer词条定义[EB/OL].(2019-10-10)[2020-04-13].https://baike.sogou.com/v34884.htm?fromTitle=sniffer.
[10]公安部特种警用装备质量监督检测中心.检测项目[EB/OL].[2020-04-13].http://www.tcspbj.com/Fuwu/Jcxm.aspx.
[11]公安部计算机信息系统安全产品质量监督检验中心.计算机信息系统安全专用产品销售许可服务平台[EB/OL].[2020-04-13].https://www.ispl.cn/ispl/#.
[12]CASE OF SIGURĐUR EINARSSON AND OTHERS v.ICELAND  JUDGMENT[EB/OL].(2019-09-04)[2020-04-13].https://www.echr.coe.int/Pages/home.aspx?p=home.
四、标准文献
[1]中华人民共和国司法部司法鉴定管理局.手机电子数据提取操作规范:SF/ZJD0401002-2015[S].2015.
[2]中华人民共和国司法部司法鉴定管理局.电子数据证据现场获取通用规范:SF/Z JD0400002-2015[S].2015.
[3]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.电子物证数据恢复检验规程:GB/T 29360—2012[S].2012.
[4]中华人民共和国公安部.电子证据数据现场获取通用方法:GA/T1174-2014[S].2014.
[5]中华人民共和国公安部.电子数据存储介质复制工具要求及检测方法:GA/T754-2008[S].2008.
[6]国家质量技术监督局.信息技术 词汇 第一部分:基本术语:GB/T5271.1-2000[S].2000.
[7]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息安全技术 存储介质数据恢复服务要求:GB/T31500—2015[S].2015.
[8]中华人民共和国公安部.电子数据存储介质写保护设备要求及检测方案:GA/T 755-2008[S].2008.


以下点击可读:
李奋飞、朱梦妮:司法责任制改革的大数据方略
郑  曦:刑事侦查中公民定位信息的收集使用与规制
郭旨龙:移动设备电子搜查的制度挑战与程序规制 ——以英美法为比较对象
朱桐辉、王玉晴 | 顶层设计与绩效改革:检察机关电子卷宗的应用效果透视
朱桐辉、王玉晴:电子数据取证的正当程序规制——《公安电子数据取证规则》评析
王玉晴、朱桐辉:卷宗电子化的多维功能亟须厘清
王玉晴、朱桐辉:信息化代际提升对司法改革的意义及完善
南开“大创”项目:智能合成音视频的方法及对法律、证据法的冲击(附技术专家点评)
宋缜言:智慧法院背景下智能辅助系统的价值、问题及完善

编辑 | 南开大学法学院研究生  王鑫

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存