進一步加強電子取證在稽查辦案中的應用

            摘要：隨著電子計算技術的迅猛發(fā)展，尤其是移動新媒體設備的發(fā)展，使得資本市場上交易電子化、網絡化及過程更加迅捷，相關計算機違法犯罪案件一直在逐年增加，如何提高電子信息技術取證在稽查執(zhí)法中應用，成為迫在眉睫的問題。本文通過分析當前電子取證面臨的問題和困難，對如何進一步加強電子取證在稽查辦案中的應用提出有關建議和意見。

關鍵詞：現狀  電子取證  稽查執(zhí)法應用  建議

前言：隨著計算機的普及和計算機網絡的廣泛應用，以計算機為犯罪目標和以計算機為犯罪手段的網絡犯罪呈現出驚人的增長速度。為了調查這些犯罪行為，計算機取證技術顯得尤為重要。計算機取證技術發(fā)展將近20年，計算機取證的定義由 International Association of Computer Specialists (IACIS)在1991年美國舉行的國際計算機專家會議上首次提出。計算機取證也稱數字取證、電子取證，是指對取證人員如何按照符合法律規(guī)范的方式，對能夠成為合法、可靠、可信的、存在于計算機、相關外設和網絡中的電子證據的識別、獲取、傳輸、保存、分析和提交數字證據的過程。數字證據一般情況下是指關鍵的文件，圖片和郵件，有時候則應要求重現計算機在過去工作中的細節(jié)，比如入侵取證，網絡活動狀態(tài)取證等。電子證據與傳統(tǒng)物證相比較，具有技術性、復合性、無形性、脆弱性等特性。

在近兩年的各類稽查案件中，電子證據的占比越來越高。2011年7月發(fā)布的《最高人民法院關于審理證券行政處罰案件證據若干問題的座談會紀要》也專門就電子數據證據作出了規(guī)定。這些都表明電子證據在證券稽查案件中的重要性日益突出，提高電子取證能力是當務之急。因此，我們應當充分認識電子取證的重要性，認真分析現狀，研究提出解決方案，盡快提升電子取證能力，提高案件調查效率。

一、電子證據的主要特點及取證方式

（一）電子證據的特點。證據三性包括了真實性、關聯(lián)性、合法性。電子數據也須具備關聯(lián)性、合法性與真實性，才可能作為電子證據。電子取證的重點之一是如何保證電子證據的真實性。

電子證據的主要特點包括：1、電子證據的載體的多樣性；2、技術依賴性；3、形式復合性；4、存儲與傳遞的隱蔽性；5、易毀壞易變造性；6、可恢復性。證券業(yè)中的電子數據還存在著數據量大、復雜性高、數據脆弱等特點。

證券行政執(zhí)法現場電子取證的特點：往往只有一次取證機會，一般無法帶走原始載體，同時電子證據還具有一定的隱蔽性。因此取證動作要快，同時需要多名取證人員協(xié)作配合等。

（二）電子取證技術分類。由于電子數據自身的特點，電子證據取證的方式可以分為靜態(tài)取證和動態(tài)取證。

1.靜態(tài)取證

靜態(tài)取證主要是對計算機存儲設備中的數據進行保全、恢復、分析，主要涉及到數據保護技術、磁盤鏡像拷貝技術、隱藏數據識別和提取技術、數據恢復技術、數據分析技術、磁力顯微鏡技術、加解密技術和數據挖掘技術。目前，國內外對相關技術研究比較多，也有比較成熟的取證軟件。

針對計算機靜態(tài)取證技術，目前反取證技術主要有：數據摧毀技術、數據加密技術、數據擦除技術、數據隱藏技術和數據混淆技術，這些技術可以單獨使用也可以混合使用。如果采用這些方法消除操作系統(tǒng)中的敏感信息，有可能使取證人員得不到電子證據，給計算機取證工作帶來了一定的難度。傳統(tǒng)的計算機取證主要針對穩(wěn)定的數據，包括未刪除和已刪除的文件、windows 注冊表、臨時文件、交換文件、休眠文件、slack 空間、瀏覽器緩存和各種可移動的介質等。不同于傳統(tǒng)的計算機取證，計算機內存取證是從內存中提取信息，這些信息被稱為揮發(fā)（易失）數據，揮發(fā)數據是指存在于正在運行的計算機或網絡設備的內存中的數據，關機或重啟后這些數據將不復存在。

2.動態(tài)取證

因為靜態(tài)取證技術涉及到基礎研究，因此在靜態(tài)取證中所涉及到的技術大部分都適用動態(tài)取證，也是屬于動態(tài)取證技術中的一部分。在動態(tài)取證中最具特色的取證技術有入侵檢測取證技術、網絡追蹤技術、信息搜索與過濾技術、陷阱網絡取證技術、動態(tài)獲取內存信息技術、人工智能和數據挖掘技術，IP地址獲取技術等技術。針對計算機動態(tài)取證技術，其反取證技術除包含靜態(tài)反取證技術的相關內容外，還有以下反取證技術：數據轉換技術、數據混淆技術、防止數據創(chuàng)建技術，以及相關的黑客木馬技術等。同樣這些技術可以單獨使用也可以混合使用，這些技術的使用在一定程度上給取證人員帶來了一定的困難。

目前我國計算機取證技術和反取證技術還處于起步研究階段，越來越多的數據保護、加密、隱藏技術應用于計算機犯罪和反取證。計算機取證環(huán)境也越來越復雜，其靜態(tài)取證和動態(tài)取證相互之間的界限也越來越模糊，取證過程的系統(tǒng)化、智能化和合法化將是日后取證技術研究的重要方向。

二、充分認識電子取證的重要性

（一）提高電子取證能力是適應形勢發(fā)展的必然要求。證券監(jiān)管部門和市場違法者是博弈關系，雙方博弈的過程是不斷形成均衡和打破均衡的過程。站在監(jiān)管者的角度，均衡就是監(jiān)管資源和監(jiān)管技術足以遏制某種違法行為，并能夠有效震懾潛在的違法者的理想狀態(tài)。隨著資本市場的高速發(fā)展，實現監(jiān)管均衡的技術難度越來越大。一方面證券市場信息化程度越來越高，很多違法行為都被包裝在電子化、網絡化和無線化的外衣之下，另一方面監(jiān)管部門的監(jiān)管意識、監(jiān)管資源和監(jiān)管技術難以滿足信息化的要求，我們的電子取證能力不足，還不能高效的發(fā)現并查處證券、期貨違法行為。因此，我們必須順應形勢發(fā)展的需要，把電子取證作為提升稽查辦案能力的核心問題抓緊抓好。

（二）提高電子取證能力是提高稽查效率的必然要求。電子取證能力包含兩方面，一是稽查執(zhí)法部門自身的信息化程度，我們還沒有能夠集成稽查現場調查、證據分析整理、案件過程管理等功能的信息系統(tǒng)平臺。二是獲取電子證據的信息化程度。對書證等有形證據的獲取我們積累了大量的經驗，但獲取電子證據我們還處于初級階段，盲目性、隨意性較大。不論是哪一種情況，都極大的影響了稽查工作效率，浪費了大量調查時間。有的時間流失在松散無序的案件管理過程當中；有的時間流失在面對電子證據的手足無措當中。甚至因為無法獲取關鍵的電子證據而導致案件定性的方向性錯誤。因此，我們要提高案件調查效率，必須以提高電子取證能力為突破口，全面提升案件管理能力和獲取電子證據能力。

（三）提高電子取證能力是提升隊伍素質的必然要求。應當看出，今后電子取證將成為稽查執(zhí)法中的常態(tài)工作，電子證據在辦理證券、期貨違法案件中起到愈發(fā)關鍵的作用。而目前，證監(jiān)會系統(tǒng)，尤其是派出機構的稽查執(zhí)法人員大部分都集中在會計、財經和法律領域，信息技術方面的人才已經成為短板。因此，提升稽查隊伍電子取證能力成為重中之重。

三、安徽證監(jiān)局電子取證工作的現狀

近兩年，我們已經逐步加大電子取證的力度，在所有正式和非正式案件調查當中，把調取通訊記錄、電子郵件、IP地址以及重要信息的電子記錄作為必須執(zhí)行的程序，也取得了不錯的效果。但是我們的電子取證工作既存在主觀方面的不足，也面臨一些客觀困難。主觀不足表現在三個方面：

（一）電子取證意識有待加強。一是責任意識不足，習慣于獲取有形的、書面的證據，對電子證據存在排斥、輕視的心理。二是證據挖掘意識不足，對電子數據采取一般性、表面化的調查方式，不能或不愿深入挖掘深層次的證據，導致可能取得的證據流失。三是程序意識淡薄，電子取證的程序要求比書證更高，但在調查過程中往往疏于制作收集電子數據的筆錄，導致電子證據無法有效固定。

（二）電子取證制度有待健全。一是沒有將電子取證納入稽查執(zhí)法責任制，沒有規(guī)定電子取證的責任人、責任邊界、責任追究、免責等問題。二是沒有建立電子取證工作制度，未對電子證據的提取、固定、保存、恢復即破解等實體程序作出全面細致的規(guī)定。三是沒有具備可操作性的電子取證流程方法。

（三）調查人員素質有待提高。一是大部分調查人員不具備獨立進行電子取證的基本知識和技能。二是缺乏計算機和信息技術方面的專門人才。三是缺乏電子取證的人員培訓、培養(yǎng)計劃。

（四）取證設備缺乏。硬件不足，缺乏案件調查必需的電子數據提取設備、存儲設備以及記錄取證過程的錄像、拍照設備。

（五）尋求外部協(xié)作難度大。由于與公安、工信部門沒有建立順暢的協(xié)作機制，不少案件在IP地址落地、通訊記錄調取、手機號歸屬確認等方面存在很大困難，輕則耽誤時間，嚴重的導致案件無法推進。

四、稽查辦案時運用電子取證應注意的事項

由于電子證據與生俱來的易破壞性、高科技性等特征，且相關法律法規(guī)對電子取證要求十分嚴格，因此我們在利用電子信息技術提取有關證據資料時一定要謹慎，不僅要保證數據物理完整性，更重要的是保證其所包含的電子信息的完整性。

1.切勿對電子信息進行修改。有些時候，這種修改并非是取證人員有意為之，可能在取證人員不經意間對物證進行了更改。例如：取證人員在提取電腦物證時，對關機狀態(tài)的電腦進行開機操作，這樣會使開機的最后時間，和部分文件的修改時間產生變化，有可能對物證的提取造成不利影響。

2.保證電子信息的完整性。如果在提取物證電腦時，嫌疑人正在使用電腦或者電腦處于開機狀態(tài)，這時取證人員也不要對電腦進行操作。為了保證電子信息的完整和全面，最好是使用專門的工具進行現場保存數據。但在日常工作中可能很難配置眾多移動設備，這時最好是對電腦直接關閉電源。這里指的關閉電源并非我們日常使用電腦的關機，而是對電源插頭直接拔出。這樣做的好處是：一是最好的保證了數據的完整性。因為任何操作都會對部分數據進行更改。二是防止揮發(fā)性數據丟失。當嫌疑人進行操作時，可能有些加密文件正處于打開狀態(tài)，這時按日常的操作關閉程序會使加密文件重新變回加密狀態(tài)，另外任何操作都會使內存中可能存在的一些電子證據被破壞。而直接關機則可保證臨時文件和內存中的數據都被較為完整的保留，便于下一步工作的展開。

3.注意提取周邊設備、周邊物證。在提取電腦數據的過程中，應考慮到同時提取該計算機的外圍硬件，如打印機、掃描儀、U盤、移動硬盤等。在提取電子設備時，在周邊可能還會存在一些相關的非電子信息物證，例如記錄在紙上的口令，打印出來的文字、圖表和照片等，這些相關的物證檢材可能對后期的電子證據檢驗起到重要幫助，因此也應該一起提取。

4.保證數據安全。電子設備和存儲介質很容易受到損壞，所以必須小心保存和運輸。因為電子信息相對于物理證據更容易被丟失和損壞。除了同物理證據一樣需要防火、防水和防盜之外，在存放和運輸過程中，還必須避開強電磁場，高溫和高濕環(huán)境也會對電子證據檢材產生很大危害。同時還應當注意采取防震措施，當電子設備特別是硬盤，受到超過一定強度的沖擊力后，即使外觀沒有可見損傷，但設備內部也受到損壞。

5.一定要有備份。所提取的數據，很可能要進行后期比對分析，這樣容易對原數據進行改動，因此，在提取資料時一定要多提取一份，以備分析或查看。

五、提升電子取證水平的措施和建議

（一）開展電子取證專題培訓，強化電子取證意識。首先請稽查總隊的專家到我局進行電子取證專題授課，普及電子取證知識的同時，提高我們對電子取證的重視程度。其次要組織電子取證專題調研，對今年所辦案件中電子取證方面的得失進行分析，提出完善電子取證工作規(guī)劃。通過不同形式的培訓和調研，不僅使全體稽查人員了解電子取證的基本知識，還要強化大家的責任意識、證據意識、程序意識。

（二）制定電子取證工作制度，規(guī)范電子取證行為。明確處室電子取證負責人及其職責范圍，案件調查組電子取證責任人及職責范圍，其他調查人員電子取證職責范圍，責任追究及考核。同時，盡快制定出臺我局稽查案件電子取證工作指引，研究制定電子取證操作指南，包括案例匯總、經典調查程序、工作底稿模板、電子取證程序模板等。

（三）成立電子取證工作小組，加強專業(yè)人員的培養(yǎng)培訓。即使是很完善的制度也不能保證電子取證達到令人滿意的效果，這是電子證據的復雜特性所決定的。而起著更加重要作用的是調查人員的責任感、敏感性和專業(yè)性。首先要建立一定程度的組織保障，根據我局實際情況，建議成立電子取證專業(yè)技術小組，以稽查處為主，吸收具有相關專業(yè)背景或從業(yè)經驗的人員參與，在盡可能短時間內形成一只具有電子取證能力的隊伍。二是細化電子取證專業(yè)技術崗位的責任和考核。三是開展多層次培訓，專業(yè)技術小組要通過交流學習、自我學習等方式，掌握電子取證的基本程序和方法，重點是在實際辦案中加以運用并總結，形成行之有效的電子取證方法體系。

另外，有些問題超出派出機構的范疇，建議由會稽查局統(tǒng)籌解決。一是在派出機構和總隊之間建立電子取證工作聯(lián)系機制，由總隊向派出機構提供技術支持。二是建立人員交流機制，稽查局可以安排派出機構人員到稽查總隊技術處以干代訓。三是建立證監(jiān)會與公安、工信部門的協(xié)作機制，解決IP地址落地、手機通訊記錄調取等問題。四是在今后的稽查經費安排中專項設置電子取證經費，包括設備購置費和日常維護費用。

（安徽證監(jiān)局稽查處）