发展电子物证技术，突破电子取证瓶颈

 (2007-06-05 17:06:38)

转载▼

 一
    2001年8月，在云南省公安厅的统一部署下，上海的A、B公司及另一家北京公司分别在玉溪、楚雄、曲靖三城市进行旅馆业治安信息管理系统建设的试点工作，最终将以竞标的方式确定由其中哪一家负责云南省区域内的建设和安装工作。省公安厅明确要求，试点期间所需投入全部由试点公司自行承担，这意味着竞标失败的公司将自担风险，而竞标成功的公司将获取上千万元的利润。
    B公司的工作人员涉嫌在巨大的利益诱惑下，采取不正当竞争的手段盗窃A公司的软件。11月2日，在B公司云南区域经理李某的安排下，该公司楚雄试点项目经理史某、代理商曾某、朱某等人驱车到玉溪，史朱两人冒充A公司的技术人员，以维修和检查旅馆计算机运行情况为由，对A公司试点的两家宾馆的软件进行操作，并完全复制到史某随身携带的笔记本电脑上。事后，李某、史某等四人在昆明观看、分析和比对了B公司与A公司软件的优缺点，并将情况整理后，以电子邮件的方式发往该公司上海总部。
    A公司报案后，引起了云南省公安部门的高度重视，因为这是该省首例涉嫌通过盗窃计算机软件侵犯商业秘密的罪案，据说在全国也不过是第三起。省公安厅治安总队向玉溪市公安局下发了督办传真电报。玉溪警方成立了专案组，展开了细致周密的调查取证工作；同月底，涉案人员先后被抓获归案或投案自首，作案的笔记本电脑也为警方扣押。由于该电脑已遭到史某等人的机械性破坏，侦查人员经过努力，无法从中提取A公司被盗窃的软件，最终只提取了电脑中留存的史某等人写的这样一份《出差总结》：“……协助市场部取得云南玉溪竞争方旅馆前台系统，以作对比分析之用；但该行动考虑不周、有些冒失，我在此先作检讨。”在审讯中，犯罪嫌疑人史、曾、朱等人对上述行为供认不讳。
    警方侦查终结后认为，犯罪嫌疑人的供述、证人证言与所提取的书证、物证相互印证了盗窃A公司软件的犯罪行为，涉嫌构成侵犯商业秘密罪，故于12月12日将案件移送所在区检察院提请逮捕。23日下午，检察院下达了不批准逮捕决定书，理由是该案事实不清、证据不足，同时口头要求红塔区公安分局从涉案笔记本电脑中将被复制的A公司的软件提取出来，并对这套软件进行无形资产评估。由于技术原因，公安机关始终未能取得这一证据，26日不得不在对三位犯罪嫌疑人采取取保候审的措施后释放。
    抛开本案的后续发展不论，它已经折射出我国司法实践在收集电子证据方面所遭遇的巨大挑战。一般来说，电子证据存储于虚拟空间，受到改动或破坏的可能性较大，且不易被及时察觉，这就给提取与保全证据设置了障碍。“魔高一尺，道高一丈”，侦查人员必须借助更先进的专门技术设备和手段，才能立于不败之地。
二
    目前在美国，为打击日益猖獗的计算机犯罪成立了许多专事收集电子证据的组织，如“计算机紧急反应小组”、“高科技犯罪侦查组织”、“国家基础建设保护中心”以及“电子前线”等，在民事领域也有为数不少的电子证据发现公司。德、英、法、日等国亦有类似的专门机构。它们的基本任务就是协助收集隐藏在虚拟空间中的证据。
这些组织和机构研发了适用于计算机现场勘查、搜查与扣押、网络监控、技术鉴定等活动的各种技术，即俗称的计算机法庭科学技术，亦即我国所说的电子物证技术。这类技术出现的历史不长，在国内外有着不同程度的发展。在一些发达国家中，掌握该类技术的训练有素的专家不仅能够安全地调取各种电子证据，而且能够处理各种技术争议，再以容易理解的方式向当事人和法庭解释和汇报。
    电子物证技术常常能起到取证奇效。据称，国外的最新研究成果表明，对任何删除、复制、修改电子证据的痕迹，都有可能通过这一技术手段加以显现。从技术原理上讲，电子磁盘记录数据的格式不像唱片那样简单的从头到尾记录，而是先将盘面分为上下两个面，每面都有若干个同心圆，每一个同心圆叫做一个磁道，每个磁道分为若干个扇区，两个或两个以上扇区组成一簇，即数据存储的最小单位。这种格式的目的在于方便快捷地对磁盘文件进行存储管理，磁盘上的文件按簇存放。如果人们存放小于一个簇容量的文件，那么这个簇剩余的空间便不能再存储其他数据，以免相互干扰。磁盘对每一簇中的数据建立索引，存放在FAT（文件分配表）中。如果删除文件，实际删除的是其在FAT中的索引，真正的数据依然保存在磁盘中。当存储新文件时，就会覆盖旧的数据。只要新的数据不能占有该簇的全部空间，那么旧文件的一部分就可以被恢复。同理，只要存储磁盘等介质遭受的人为损坏不是毁灭性的，那么就能够部分或全部恢复和复制所谓的坏簇，获取被“删除”的数据。
    这种技术不单适用于封闭的电子系统，在浩瀚的网络也能大显神威。按照国际标准化组织建立的开放式互联系统参考模型，计算机网络可以分为七个有序的层次：应用层、表示层、会话层、传输层、网络层、数据链接层与物理层。其中应用层、传输层、会话层与数据链接层中都隐含有海量的电子证据，电子物证技术正好能够帮助人们从浩如烟海的网络数据中找到所需。
    在我国，虽然普通物证技术学有了长足的发展，但电子物证技术一直乏人喝彩，直到近年中央和省级公安机关才成立了计算机犯罪监察机构，司法部将专门将计算机（司法）鉴定作为一个独立的类型加以规范。客观现实是，我国不仅缺乏具有丰富电子证据知识的调查人员或调查机构，更缺乏切实可用的电子物证技术。
三
    上述案件就情节而言似乎并不复杂，但就证据而言确实有棘手之处。依照公安机关的认定，B公司云南区域经理李某等人，为了获取竞争对手A公司享有商业秘密权利的专业软件，进行了身份伪装，以盗窃方式秘密录制了该软件，待观看、分析、对比后将有关情况整理上报本公司总部，已经构成侵犯商业秘密罪。其中，获取的证据包括犯罪嫌疑人的供述、证人证言以及作为犯罪工具的笔记本电脑等物证、犯罪嫌疑人写的《出差总结》等电子书证，因此提请审查批捕。而检察机关则认为，本案缺乏关键的主要证据，尚不构成批捕条件。
    客观地说，公安机关对电子证据的取证力度确有不够之处。涉案的笔记本电脑遭到了外力破坏，这并不意味着其中存储的电子数据完全消失。侦查人员应当整理电脑硬盘上的数据，分析、提取出相关的数据信息，至少是恢复部分的数据信息；也就是说，如果本案中公安机关聘请或委托计算机专家对受到破坏的笔记本电脑进行处理，提取其中的被盗窃软件并非完全不可能。退一步来讲，即便确实提取不到复制的软件，公安机关也应聘请专家对被复制软件的计算机系统中提取日志记载，或者调取犯罪嫌疑人向公司总部发送的电子邮件文本，从国际互联网中挖出更多更直接的证据。那些日志记载和电子邮件文本，显然可用作证明盗窃行为存在的有效证据。
    当然，上述目标的实现，有赖于电子物证技术的发展水平。只有用于寻找虚拟空间蛛丝马迹的电子物证技术发展成熟了，我国才能真正突破电子取证障碍的这一瓶颈。