专栏名称: 信息时代的犯罪侦查

一切行为皆有犯罪的可能性，而在信息时代，这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念，并希望能够推动侦查犯罪的机制变革，而这需要了解方方面面的信息。

电子数据司法鉴定中需要关注的八个问题

信息时代的犯罪侦查 · 公众号 · · 2019-10-13 17:56

正文

随笔

知识

声音

案例

其他

编者按

关于这篇文章，小编曾经在多个论坛上做过简单介绍，国庆节期间整理出来，供广大朋友参考。一直以来都非常纠结，让法庭上的 相对方 深入了解这些东西，到底好不好呢？其实，把“对手”培养起来，我们也会变得更好。大家都变好了，法治文明就发展了。所以，对此文“感到不适者”，敬请了解上述声明。

当前，刑事诉讼中涉及电子数据的案件非常普遍，通说认为，电子数据是技术与法律高度结合的产物，如果不能在技术和法律两个层面上完成内心确认，则很难做到追求案件实体公正与确保程序合法的有机统一。笔者结合实际案例，总结了一些情况，希望能够引起各级办案人员的高度关注。

一、司法鉴定要做事实判断，还是价值判断、法律判断？

司法鉴定本质上是一种判断意见。此处的判断只能定位为“事实判断”，这里的“事实”指的是鉴定人运用科学技术或者专门知识能够认识的客观情况。

案例一：某司法鉴定机构根据委托部门要求，在检材（移动硬盘）中提取淫秽视频83个、淫秽图片10332个。

案例二：某司法鉴定机构根据委托部门要求，在检材（移动硬盘）中提取公民个人信息100000条。

案例三：某司法鉴定机构根据委托部门要求，作出被破坏的计算机系统达到了特别严重程度的意见。

“淫秽视频”“淫秽图片”“淫秽音频”在大众的认知范围上界限并不明显。《刑法》第三百六十七条规定，淫秽物品是指具体描绘性行为或者露骨宣扬色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。国内对淫秽色情音视频的鉴定并没有一套通行的标准，通常通过行政认定的方式进行。通过司法鉴定机构给出“淫秽物品”的数量认定，带有不适当的价值倾向。

同样，根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。能否被评价为“公民个人信息”，要结合信息的实际情况进行认定，严格来讲这属于法律判断的范畴。而“情节严重”“情节特别严重”更是典型的法律判断用语。

上面三个案例的处理方式，一定程度上看似便利了办案，实则后患无穷。在以审判为中心的刑事诉讼制度下，这样的司法鉴定意见极有可能被作为非法证据予以排除。

二、注意区分电子数据“本体”与“呈现”之间的关系

电子数据是以“0”“1”码存储的数字序列集合，不可能被人们直接感知，这里面存在一个当然的解释过程。选择使用适当的解释工具成为必然。举例而言，对于二进制数0x3132，使用不同的字节序，可以得出完全不同的结果。当然，这还只是微观层面的解释。

在宏观层面上，也需要注意电子数据“本体”与“呈现”之间的关系问题。

案例：在一起利用互联网传播淫秽物品案件中，某司法鉴定机构根据办案部门委托要求，提取了服务器硬盘上存储的视频文件数量。有关部门以此作为定案依据。

通过互联网等公开媒介传播淫秽物品，其实存在一个预设的前提。那就是，广大网民必然要通过一个入口（网站、论坛、云盘等）访问这些资源。那么，对于刑事诉讼来讲，就存在一个认定的问题，以存储在服务器硬盘上存储的全部视频文件作为定案依据，还是以公众能够访问到的存储在服务器上的视频文件作为定案依据呢？

两者显然是不同的，区别在哪里呢？一方面，通过网站访问这些视频文件，是需要权限的；另一方面，服务器上的有些视频文件可能并未列入网站管理程序，因而属于“绝对不可能”被公众访问到的。

笔者认为，根据两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》有关规定，这里的“数量”应当理解为“传播”（至少是“可以传播”）的数量，而不应当把存储在服务器上的所有视频文件都列为“数量”构成。

三、鉴定对象与鉴定工具存在混同风险

手机中的电子数据已经成为侦破和指控犯罪的“证据之王”。因此，针对手机电子数据的提取和鉴定是当前电子数据司法鉴定领域最为重要的内容之一。当前市场主流的手机取证工具都能够规范化的提取手机中保存的各类数据信息，但对于保存在云端的手机app数据的处理，还存在一些需要理清的观念。

根据《法庭科学电子物证手机经验技术规范》5.3.1.3规定，“若需通过收集提取手机云端数据等网络数据时，可以在手机数据已固定的前提下连接互联网，使用相关检验软件下载相关数据，或采用照相、录像方法固定相关数据，生成检验报告”，这里明确指出手机取证其实存在着两个过程，当针对手机机身进行数据提取时，手机充当了鉴定对象（即检材）的角色，当针对云端数据进行数据获取时，手机此时充当了鉴定工具的角色。

遗憾的是，很多鉴定人员在实际操作时，往往使用软件同时执行机身数据提取和云端数据下载，而忽视了《规范》中一个重要的限定词——若需。

四、电子数据送检、保管环节存在不一致风险

笔者在辅助检察官审查电子数据工作中，经常发现一些的程度不同的问题，其中在电子数据保管、送检环节发生的风险需要引起高度关注。

案例一：某地侦查机关委托司法鉴定机构对一起“黑客”案件的涉案笔记本电脑进行鉴定，委托书登记的笔记本电脑序列号与扣押清单中的序列号不一致。

案例二：某地侦查机关通过勘验的方式，固定了一起网络传销组织的电子数据。委托司法鉴定机构鉴定时，勘验得到的电子数据与送检电子数据的哈希值不同。

案例三：某地侦查机关办理一起强奸案件，移送审查起诉后，能够证明嫌疑人与被害人之间具有亲密关系的手机中，存储芯片不翼而飞。

案例四：某地侦查机关办理一起非法吸纳公众存款案件，在移送审查的材料中，审查发现扣押的物品照片颜色差异巨大。经核实，一个重要的物证优盘在保管过程中丢失，有关人员为逃避责任，新购一个同品牌型号的优盘替代了原始物证优盘。

保持物证的原始性是刑事诉讼中很重要的一项任务。上述案例一和案例二决定了该证据能否进入该案件的证据门槛，案例三和案例四则潜藏着有关人员故意违法或者重大过失行为。上述四个案例均存在证据断裂的现实风险，那么接下来的法庭审理中，检察机关将不可避免的面临被动。如果律师聘请了资深专家团队并提出合理怀疑，轻则带来案件反复，重则作出无罪判决，那将是司法难以承受之重。

五、重鉴定轻取证的司法办案理念急需转变

2013年修订后刑诉法实施以来，电子数据成了法定证据形式。此次修法还有一个更大的变化，“鉴定结论”改为了“鉴定意见”，这是司法实践领域的一次重要调整。

但是，广大司法人员希望通过鉴定确定某些专门问题，甚至达到一锤定音的想法还没有得到有效消除，换句话说，司法人员对“鉴定结论”的依赖并没有及时得到调整。在电子数据的问题上，这一点尤其明显。侦查机关通过现场勘验获取的电子数据、通过第三方调取的电子数据、通过实施检查等技术手段得到的电子数据……，这些都是电子数据，都已经是法定的证据形式。但有些检察人员对侦查部门不辞辛苦获取的电子数据不做详查、不做分析，有的听之任之，有的甚至要求办案部门去做个鉴定。在所谓“旧理念”的指导下，有些鉴定意见不伦不类。

案例：某地侦查机关办理一起网络传销案件，根据有关办案人员的要求，鉴定机构出具了“该组织运行模式符合传销组织特征”的鉴定意见。

在这个案例中，司法鉴定机构仍然越权做出了“法律判断”，但显而易见，这里面包含着一种错误的倾向，有关办案人员仍然希望通过司法鉴定的形式对有关法律问题进行认定。

六、信息加密成为制约电子数据取证和鉴定的一道门槛

密码破解一直是电子数据取证和鉴定中需要面对的问题。信息加密技术在为用户提供数据安全的同时，也对电子数据取证人员提出了更高的要求。从BIOS密码、操作系统用户密码到Android全盘加密、文件级加密再到iOS加密，电子数据取证面临着越来越高的取证门槛。下面对当前常见的信息加密方式进行介绍，并将其对电子数据取证的影响进行说明。

难点一：BitLocker是内置于Windows Vista及其之后系统的全盘加密功能，通过对磁盘卷进行加密来保护数据。它使用128位或256位密钥的AES加密算法加密数据，加密强度很高。

当前破解Bitlocker的技术除了通过社会工程学等手段直接获取密码外，主要有以下方式：一是通过对BitLocker加密设备的内存或Windows休眠文件进行提取，在其中搜索Bitlocker密钥，二是在获取用户的微软账户和密码后通过微软账户查询BitLocker 恢复密钥，三是利用Bitlocker使用固态硬盘进行硬件加密的漏洞，从固态硬盘中获取Bitlocker密钥。上述方法在实践中都有一定的局限性，导致对Bitlocker加密卷的破解成功率无法保证。

难点二：Android在4.4版中引入了全盘加密（FDE），并在5.0中对全盘加密功能进行了优化。全盘加密是使用密钥（密钥本身也经过加密）对 Android 设备上的所有用户数据进行编码的过程。设备经过加密后，所有由用户创建的数据在存入磁盘之前都会自动加密，并且所有读取操作都会在将数据返回给调用进程之前自动解密数据。

Android 7.0 及更高版本支持文件级加密（FBE）。采用文件级加密时，可以使用不同的密钥对不同的文件进行加密，并且可以对加密文件进行单独解密。文件级加密会对文件名和文件内容进行加密。

对于Android系统加密，除了获取密码或使用指纹、人脸识别解锁外，主要是通过屏蔽锁屏密码和暴力破解的方式进行解密。其中暴力破解的方式因为速度限制（系统运算能力和Gatekeeper请求次数限制），导致不知道原密码情况下破解时长无法控制。

难点三：从iPhone 3GS开始，苹果使用硬件对iOS设备进行数据加密，这被称为数据保护（Data Protection）。重要的iOS系统应用，比如信息、邮件、日历、通讯录、照片和健康数据会默认被数据保护加密。而从iOS 7开始，第三方应用数据也会自动被数据保护加密。iOS设备的硬件加密方式导致直接对芯片进行提取数据后无法进行解密。

当前可行的iOS提取方法只有通过获取或破解iOS锁屏密码来解决，主要方法包括：通过Lockdown文件绕过锁屏密码进行提取；通过硬件对密码进行暴力破解；通过指纹或人脸识别解锁。上述方法在实际检验中有着各种限制，Lockdown文件不一定能够找到，即使找到也有可能已经过期无法使用；暴力破解或者有iOS版本限制，或者为商业技术，成本高昂。

七、数据恢复实践面临挑战

电子数据司法鉴定中需要关注的八个问题

正文

请到「今天看啥」查看全文