摘 要：随着信息时代飞速发展，"法制中国"的国家战略不断深化，司法体系工作的不断强化，犯罪形式已经逐步的从线下传统刑事犯罪形式演化转变为线上的经济犯罪形式，在电信诈骗无孔不入的环境下衍生出与其相关的整套产业链条，如引流网站、地推网站、非法第三方支付平台、赌博网站、虚拟币等。作为网络信息发展的核心载体设施设备如电脑、手机、平板、移动终端，基础应用如WINDOWS操作系统、数据库、云平台、网站、APP等，网络设备交换机、服务器、路由器、无线网络等，涉案相关的电子数据处理成为提供重要线索及破案的关键，同时也成为了司法机关、执法办案部门重点关注的问题。新修订的《刑事诉讼法》将电子数据定义为一种独立的证据形式，涉案电子数据处理的合法性、规范性、准确性决定了电子数据证据的司法权威性和有效性，保证涉案电子数据的准确性、公正性，至关重要。

关键词：电子数据；取证技术；现场勘查；电子证据；司法鉴定；涉案电子数据；司法鉴定；机械故障

1.电子数据取证的概念与基本原则

涉案电子数据即电子数据证据，是指以电子形式存在的用作证据还原事实真相的一切数据信息及其它形式衍生的相关信息的总和，由于其具有易消失性、易篡改性、易隐藏性等特点，在勘验及取证过程中，特别是在"发现线索”到最后的"移交司法机关"，甚至于电子数据归档保存，都需要遵循电子证据保护、提取、分析、固定、移交、归档等多个法定环节的规范化操作。涉案电子数据取证是指通过科学的方法、合法的形式对存在于电子设备中的电子数据进行提取、分析、还原和归档，形成真实、有效、全面、关联性强的检测报告的过程。涉案电子数据取证包括文件信息、操作行为、系统配置信息、连接网络信息、业务数据、手机数据、虚拟资产等一切可以还原事实真相的电子数据内容。为保障涉案电子数据取证的有效性，必须严格遵守以下原则：

1.1时效性原则

涉案电子数据是无形的证据内容，不能单独存在，必须依赖于载体，因此具有易消失性、易篡改的特点，为避免原始电子数据被修改或者丢失，现勘人员应第一时间对相关电子数据证据进行收集和固定，一旦电子设备原始运行环境被修改，原始电子数据可能无法再次通过取证技术收集和固定。

1.2只读性原则

在涉案电子数据处理的过程中，为保证涉案电子数据的真实性，在对涉案电子数据进行数据分析处理时，应避免使用原始电子数据进行操作，防止原始电子数据在提取、分析、鉴定、存档等过程的操作行为中被覆盖或者篡改，对原始电子数据造成不可逆转损失。

1.3准确性原则

还原事实真相是以证据为依托、以事实为导向、以程序为保障，电子数据证据是描述数字化行为的最好依据；在固定和提取电子数据证据时，应该保证电子证据获取的准确性，在电子证据被提取、固定、分析、归档期间，应详细记录所使用的方法、步骤、环境、操作行为等信息。

1.4合法性原则

在对涉案电子数据进行提取和固定时，应首先获取合法的操作权限，采用科学合法的手段，合法的工具，按照规范的操作流程，并对取证的全部过程进行记录和监督，严格遵守相关的法律法规以及技术标准。

1.5一致性原则

在处理原始数据的过程中，要做好数据原始性的规范性操作，并做好相关标识记录，保证所勘验的数据与原始数据保持完全的一致性，这是为数据的分析，形成准确的司法鉴定意见提供必要的保障。

1.6安全性原则

涉案电子数据的依托的载体是相对复杂的环境，会存在病毒、木马，以及被远程控制的风险，在处理电子数据证据时必须保证运行载体的安全性、使用工具的稳定性和合法性，采取有效的可以避免电子证据被销毁、被转移、被篡改的措施。

2.涉案电子数据取证常规流程

2.1提炼案情摘要

现勘之前向办案部门了解基本案情，确定涉案数据基本的案件逻辑；了解涉案团伙的技术支撑及配置，采用的数据业务搭建模型，使用的设备、使用的网络、采用的应用支撑等，保证现勘人员到达现场后能够进行快速的核心数据定位、快速确定勘验方案。

2.2准备技术资源

根据了解的案情基本情况，选择现场所需携带设备，比如相对应的接口设备、相对应的取证主体设备、镜像复制、破拆工具、记录设备、快速取证设备等；准备对应标识文件，比如标签纸、文件袋、数据存储载体（硬盘、U盘等）；协调相对应的技术力量，可以根据实际案情协调相关领域专业技术人员，聘请有相关类似案件经验的人员参与。

2.3全面识别物证

现勘人员到达现场后必须快速进行电子数据物证识别，收集现场所有与电子数据相关的电子设备或存储介质，包括台式电脑、移动硬盘、笔记本电脑、手机、相机、U盘、服务器、监控、审计设备、网络设备等；按照设定的规则统一编号记录，并形成现场设备扣押清单，记录设备编码及基本形=性状，必须由现场设备所属人员签字确认。

2.4收集固定汇总

对于已经识别的电子物证载体，进行结构化的电子数据提取，首先是提取易丢失的数据包括操作系统数据、重要文件信息、核心业务数据、财务数据、即时通讯信息、网络配置信息、服务器配置信息，对于无法形成数据的可以通过录屏拍照方式固定；其次是提取核心业务存储数据，一般是以服务器数据库的形式存在，本地服务器存储、租赁云服务存储，特别是注意分布式服务器架构，在对于服务器数据提取时特别注意环境配置信息，避免环境变化后服务重启应用进行深度分析；第三是记录相关设备及其登录账号的相关权限信息，包括手机安全设置、核心应用安全设置、计算机安全设置、数据库安全设置等。

3.涉案电子数据取证常规方法

3.1现场勘验步骤

3.1现场勘验的方法

第一步，现场勘验设备，常用的用于提取电子数据的录屏软件、取证精灵、密码破解工具、数据库软件、大容量移动硬盘、笔记本电脑；用于标识的物证袋、标签纸、记号笔、封条；螺丝刀、执法记录仪等其它配套工具设备。

第二步，现场安保，组织专班人员负责现场安全保卫工作，一是收缴涉案人员的通讯设备，保证现场行动的保密性；二是维持现场秩序，保证涉案人员之间的窜供词；三是压制现场涉案人员的暴力性破坏行为；杜绝现场涉案人员以各种形式破坏电子数据的运行载体，避免现场人员通风报信让未控制人员远程删除或修改关键数据信息。

第三步，全程记录：在进入现场展开调查的同时，应通过执法记录仪等方式记录下现场的各种状态和操作过程，包括电子设备的位置、涉案人员所处空间位置、网络连接状态、屏幕显示信息等；同时也要记录重要的现场操作过程，保证电子数据采集过程的可溯源性。

第四步，物证识别：重点识别与案件相关电子设备，一是移动存储介质包括磁盘阵列、移动硬盘、U盘、SD存储卡、光盘等；二是计算机及其关联设备包括笔记本电脑、台式电脑、服务器、U盾、磁盘阵列卡、本地密钥等。

第五步，即时固定：在勘验现场保持"开机不关机、关机不开机”原则，如果现场有电子设备处于开机状态，则需要迅速进行原始环境取证，特别是内存数据；提取即时通讯数据应及时导出涉案当事人登录的虚拟身份信息、聊天记录及联系人信息，如即时通讯账号包括QQ账号，网页版微信，Facebook账号，MSN账号,SKYPE账号，移动飞信等；对于现场的移动通信设备必须及时断网操作，避免通讯信息在联网状态下被人为篡改后修改，特别是群聊天记录。

第六步，集群式数据获取：现有信息技术服务的发展形成了集群式的数据存储方式，常用的本地化数据库模式是将数据库存储在本地服务器中，本地数据库必须拿到数据库权限，将数据库备份到取证介质中，采用全程记录方式确认是否能正常打开读取数据库数据，获取数据库后，可以通过命令语句实现精准化的数据筛查和数据分析；云服务存储模式，一是可以通过账号权限进入云服务平台将数据库拷贝到本地进行固定；二是通过合法调证方式镜像获取数据库全量数据，再通过搭建模式环境让镜像数据形成可视化的原始操作环境。

第七步，对以上步骤形成的物证进行汇总整理，形成清单式的证据列表，记录包含名称、型号、特征码信息、编号、所属涉案人员、日期、地理位置、空间位置等信息。最后由涉案当事人现场进行核对签字确认。

3.2现场勘查常规用表

《现场勘查总表》（表）、《电子物证现场勘查过程记录》（表）；《电子物证现场照片、录像目录》（表）及照片、录像资料；《电子物证现场勘查提取证据清单》（表）；《电子物证所在位置图》（图）；《电子物证网络连接拓扑图》（图）；存有现场获取数据的专用存储介质；现场数据转换的书面或其它形式材料。

其中《总表》需要包含，案件简况、勘验人员资质，勘验规划，采用工具，勘验主体情况等，能全面清楚的描述出勘验的总体内容；其它表可按照各单位实际要求自行定制内容。

4.涉案电子数据归档

涉案电子数据归档包括原始电子数据证据，拷贝的用于检测、分析的全量电子数据，提取或分析形成的结果数据，检测原始记录，程序文件，鉴定报告等一系列与案件相关的文件数据。原始存储介质随着信息技术基础的发展，存储容量巨大，常用的硬盘在1000Gb以上，随之而来产生的拷贝数据和处理数据就成倍增加；涉案数据的归档会以机械硬盘的形式进行保存，因此涉及到硬盘长期的保管涉及以下程序：

4.1归档介质的标识

涉案电子数据归档时，必须标记做好档案管理，标记好存储介质的特殊标志，记录存储介质唯一性特殊窜号，并于相关案件做好对应关系，保证能做到精准索引；介质标识要按照单位统一编号进行编排，确保标识唯一性。

4.2存储介质的物理维护

目前为止，存储大量的电子数据，性价比最高的存储方式就是机械硬盘；机械硬盘是由读写磁头、磁盘磁片、主轴、传动轴、传动手臂等机械部位构成，其中磁盘盘面是由无数磁粉颗粒组成的扇区，存储环境的磁场系数会影响甚至导致磁粉消磁；在硬盘未启用时，读写磁头会停止在磁片空白区域，硬盘的机械碰撞会造成磁头的损坏；传动手臂会因为高温或者质量问题导致变形；主轴和转动轴在存储时，会因为环境高温或潮湿环境导致机械故障。结合以上原因，存放存储介质时，必须做好环境的防潮、防静电、防磁、防碰撞、防高温措施，并记录好存储期间表，定期进行维保。

5.电子数据处理的注意事项

5.1“开机不关机、关机不开机”

进入勘验环节，如果计算机处于开机状态，不能采用软件关机方式，在完成即时信息采集后，直接断开计算机电源，如果强行通过操作系统关机，会使系统中的关键数据丢失或被其他操作行为数据覆盖；如果现场电子设备处于未开启状态，不得强行开启操作系统，必须先通过执法记录仪记录计算机设备的空间位置，外部关联设备、电源、网络状态等情况，再同时拆卸电子设备的硬盘数据线和电源线，最后通过进入主板BIOS系统记录计算机主板显示的时间。

5.2“规范操作，谨慎对待”

涉案电子数据设备是与事实相关联的实体物，也是犯罪痕迹的具体体现，对于电子物证的流转和封存过程必须谨慎规范，一是要确保封条位置能控制通讯接口、电源接口的接入或被整机电子设备被拆卸；二是若侦查需要必须使用封存设备时必须经过查看权限申请，获得同意并记录后通过重启封条后使用设备；三是对于移动存储介质必须贴唯一性标签，并使用防静电、防潮、放撞保护措施，使用封条封存；四是对于每个封条应具有唯一的标识，并让封存者及涉案当事人在封条上签字确认。

6.结语

涉案电子数据的处理方式，随着信息技术的不断发展会不断的进行更新，作为与时俱进的技术课题，需要不断的实践形成稳定、可靠、成熟、科学的电子数据处理规范，不断的为“法制中国”营造科学公正的法制环境。

［参考文献］

1.GB/T29360-2012电子物证数据恢复检验规程；

2.GB/T29362-2012电子物证数据搜索检验规程；

3.GA/T754-2008电子数据存储介质复制工具要求及检测方法；

4.GA/T756-2008数字化设备证据数据发现提取固定方法；

5.GA/T1774-2014《电子证据数据现场获取通用方法》；

6.SF/ZJD0400001-2014《电子数据司法鉴定通用实施规范》；

7.《计算机犯罪现场勘验与电子证据检查规则》（公信安f2oo5］161号）；

8.马丁.《电子数据勘验取证与鉴定》2012-1-1;

9.刘浩阳等.《电子数据取证》2015-11-1。