来源:疯人杂说
ID:YCWD_Lzl
原题:疯人说案:喂?检察技术吗?这里有电子证据的“酸爽”问题来看看(3)
电子数据的勘验检查,不同于传统意义的勘验检查,《刑事诉讼法》第一百二十六条规定:侦查人员对于与犯罪有关的场所、物品、人身、尸体应当进行勘验或者检查。在必要的时候,可以指派或者聘请具有专门知识的人,在侦查人员的主持下进行勘验、检查。
电子数据之所以可以使用勘验的方式提取,是我们可以把电子数据载体视为虚拟场所,并对该虚拟场所进行勘验;而电子数据的检查完全不同于刑诉法中的检查。
两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称:《规定》)第九条对电子数据的勘验进行了明确规定:
具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)原始存储介质位于境外的;
(四)其他无法扣押原始存储介质的情形。对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。
第十六条则对电子数据的检查进行了明确规定:对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。
电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
电子数据的勘验又可根据场所所在物理位置不同分为现场勘验和网络远程勘验。而且相关规定给出了明确的做法、流程和具体要求。不过在现实中,我们遇到的电子数据勘验和检查还是会有或多或少的问题。疯人向看官展示电子数据勘验检查“酸爽”列案例。
“酸爽”一——综合酸爽指数:6.5
像展示扣押系列案例一样,第一个展示的不是特定案例,而是一类现象。在电子数据勘验、检查中,瑕疵是经常性存在的,一般共性问题有这些:
一是没有统一制式的勘验、检查笔录,电子数据勘验分为现场勘验和远程勘验,疯人不止一次看到针对远程计算机或者服务器进行勘验,使用的是现场勘验笔录,有心的看官可以去翻翻相关规定,对电子数据勘验笔录的制式有明确规定;
二是笔录制作过程中的笔误,这类错误相对来说更多一些,不过无关紧要的少一两个字,或者有一两个别字无所谓,如果影响到实质内容的,还是应当更加仔细一些。比如疯人曾经审查过一份勘验笔录,勘验对象是位于境外的远程服务器,勘验使用的设备是实验室办案用计算机,明显是一份远程勘验,但其勘验过程描述中有这么一句:“将工作用U盘插入涉案主机……”这种错误形成的原因,大致可能因为制作该份笔录时,复制之前案件做好的勘验笔录作为模板,修改其中具体勘验对象、勘验内容过程即可,只是这点忘记修改了;
三是缺少见证人签字或者见证人身份不符合规定,疯人曾经多次见过电子数据勘验笔录见证人处没有签名,并且勘验过程没有录像的案例;
四是针对计算机的勘验不做勘验笔录,而是写工作说明,疯人曾经遇到过一个案例,案件中扣押了五台台式电脑,对电脑进行了勘验,不过齐刷刷出了五份“电脑现场勘查材料”,按照《规定》的要求,要么做电子数据的勘验,要么做检查,这个勘查是什么鬼?而且这份勘查材料只描述简单描述了开机查看文件的过程,对勘验对象基本信息、勘验对象系统时间、勘验过程均未记录,提取结果也未附提取的电子数据,只是给了一张纸质清单表格,试问,这个勘查材料怎么用?
五是进行电子数据勘验、检查时,收集提取的电子数据结果需要进行固定,也就是按照《规定》要求计算完整性校验值,可是疯人见过很多案例勘验、检查笔录中包含提取的电子数据,但是没有对提取结果进行完整性校验值固定。
以上这些只能算电子数据勘验、检查过程中的瑕疵,除此之外我们经常能够见到一些更为“酸爽”的特例。
“酸爽”二——酸爽指数:7.5
上面一组案例疯人提到了一个概念——“完整性校验值”,在电子数据取证、鉴定领域,这个完整性校验值就是哈希值。电子数据类型的证据,固定形式不同于一般物证,通过不可逆的算法,生成哈希值,被认为是符合实践需要的常用固定手段之一。关于哈希值的描述和介绍,在公众号“信息时代的犯罪侦查(besti_xxsddfzzc)”的“仅从形式上就能分辨出电子数据真假的经典案例(4)”文章中进行了详细介绍,对完整性校验值还不理解的看官可以看看,电子取证技术人员直接略过。
这里要说的这个案例就是与哈希值有关的,其实这个案例也是在上面所说的文章中介绍的案例。只不过疯人将其归在了“酸爽”系列里。2017年疯人和“信息时代的犯罪侦查(besti_xxsddfzzc)”小编(微信名:时不我待)共同审查了一份远程看验笔录。主要内容是通过勘验下载了后台整个用户表等电子文件。整个过程相对规范,勘验笔录要素齐全,没有什么问题。只是最后对提取结果这样表述:“以上文件压缩保存为:勘验电子文件.rar,MD5:68890EB76984732FEA7878934782CBE2897BDC29”。可能是出于职业习惯,时不我待同志发现这个MD5值为啥比平时见到的MD5值要“长”一些呢?后经确认,这个值长度是160比特。依经验判断,这应该是一个SHA1值。
我们提出了这个情况,可是更为尴尬的是取证人员告诉我们,他们以前所有的勘验笔录那就全都错了。因为,他们在计算结果文件哈希值的时候,使用了一款工具软件,软件默认的哈希算法是SHA1,操作者只是简单把文件拖拽进来,谁也没曾想,还要选择一下哈希算法,于是就造成了上面的问题。或许他们一直想当然的理解为,哈希值就是MD5值。
勘验笔录是对环境现况的一种客观描述性记录,具有不可复现性,这是勘验与鉴定活动最大的区别。换句话说,勘验活动的结果取决于“记录”,正是由于不可复现性,因此,对于勘验笔录的采信,应当特别慎重。如果在形式要件上存在重大瑕疵的话,试问,让检察官、法官如何下得了采信的决心?!
以上推送的案例其实在实务中还都有方法进行补救,一些更为意想不到的案例不日推送。还是那句话,疯人推送案例,只是把平时工作中的经验和大家分享,希望能给相关工作者以启发和警示。绝不针对任何群体。
不假思索,即兴写来,一孔之见,信口开河。疯人言疯语,观者图一乐。足矣。
据说把二维码贴出来可以吸粉