打开文本图片集

摘要：网络犯罪案件在线索发现、立案侦查、现场确定和保护、证据搜集和固定、证据分析和司法鉴定、诉讼程序等各个方面都明显区别于传统的刑事案件。可否将这些信息有效固定并完整提取？涉网犯罪的案件能否成功侦破……网络犯罪侦查与取证将是解决这一系列问题的关键。

关键词：网络犯罪；电子取证； 犯罪侦查取证

公安机关进行电子取证的目的和要求与司法及其他电子数据鉴定机构的目标和要求不同，其终极目标是：提取与特定案件直接相关的信息，并对之进行有针对性的分析，形成严谨的证据链条，有助于侦查工作的完成，并最终使之实现执法效果。

一、取证技术的体系构成

取证技术的体系是个笼统的说法，可以从多个角度来说，包括取证技术的知识技能体系、取证模型体系、功能体系等等，大概的我认为可以分成三块：

从图１的结构来看，法律、计算机科学和侦查学是三块完整且相对独立的科学体系，他们都有自己独特的知识技能、原理方法和基本特征，而电子取证技术是以上三块科学体系的结合、延伸与发展，是一门崭新的科学，一项正在不断完善、发展和成熟的新技术。

在整个体系结构里面，法律无疑是电子取证技术的前提、先导和依据，电子取证技术诞生的原因就在于此。电子证据的法律效力，提取、固定电子证据的操作规程，以及电子证据所体现的最终价值都是以国家法律作为根本依据的，同时，随着电子取证技术的不断发展，也会对法律的制定和执行提出新的要求，这些年来，大量的案例和判例就在不断证明这点。目前各国都已经专门对电子证据进行立法，在我国法律中也承认了电子证据的法律效力，并对电子证据的证明力及电子证据的采集做出了明文规定，所以这里把他摆在了第一位。

从技术的角度考虑，根据公安部科技局所列出的学科类别，电子取证技术主要涉及计算机犯罪和网络安全两个学科方向。主要研究网络违法犯罪证据保全、计算机数据恢复及信息指纹勘查、电子数据鉴定技术及标准体系、信息加密及加密信息破解、网络反窃密等专业和技术；同时还涉及了侦查与监控技术、现代物证技术、信息情报技术、现场处置技术等领域的部分研究与应用。要解决的问题包括：如何妥善处理目标计算机系统和其他电子介质，避免发生任何实体和电子信息的破坏、灭失和改变，并保证准确无误的从信息存储设备中将原始电子数据提出，如果数据遭到破坏或修改，如何全部或尽可能恢复有价值的文件或数据块，如何解读加密后的电子信息，如何组织、归类和分析所提取的电子证据并最终有效应用于案件的侦查和举证等等。这些问题都要依靠计算机科学技术和电子信息工程技术中的知识和技能来解决。因此，计算机被放在了整个体系结构的中央位置，计算机科学技术是最终解决实际问题的强有力的保证，是整个电子取证活动能顺利、有效进行的基础。

在文章的第一段我提出了这么一个观点：“公安机关进行电子取证的目的和要求与司法及其他电子数据鉴定机构的目标和要求不同”，这是由公安机关进行电子取证工作的目标和定位所决定的，公安机关对电子证据进行提取、分析和固定的主要目的就是为了满足侦查和扩线的需要，至于其他的问题，则完全可以交给具备司法鉴定资质的第三方机构来解决，而无须把所有的担子都扛在自己身上，这样既无必要也不现实。这里我谈三点原因：

1.在人力、物力有限和时间紧迫的情况下，绝大多数公安机关不可能既对犯罪嫌疑人进行轮番审讯，组织警力抓捕其他嫌疑人，又要搞好各种协调联络工作（网络犯罪案件本身就有人员复杂、涉案地域广、取证困难、手续烦琐等问题），还要组织有公安机关鉴定资格的干警进行精细的电子取证工作。这种遍地开花的做法，不利于工作效率的提高；

2.电子取证工作需要严谨的法律依据，专门的计算机知识技能和严格的操作程序。而这些不可能都是甚至都不是公安机关的专长，尤其是处在一线的基层办案单位，这样的专门人才往往大量匮乏，即便是下大力气培养，不但成本不菲，也不可能一蹴而就，一劳永逸；

3.从法制的角度来说，公安机关，不可能自己执法，然后又全部由自己来举证，就是常说的“既当运动员又当裁判员”的问题，所以电子取证以及电子数据鉴定工作，最终将交到既具有电子取证能力同时又具备电子数据司法鉴定资质的第三方手中。

但是公安机关进行电子取证是绝对有必要的，只是其定位应该明确，就是要全力服务于侦查！所以“侦查”作为公安机关研究电子取证技术的最终目标放在了整个体系结构图的最后一个位置。

二、基层实战取证技术碰到的难题

在某案中，市网监共扣押了４５台服务器，十多台台式计算机，还有几台笔记本，各种型号、接口和容量的硬盘共计１０８块，数据量相当大，在这样的情况下，要提取所有的电子证据，弄清各服务器的功能和相互之间的关联关系，并对涉案金额进行统计，还要求分类统计，并区分合法收入与非法收入，工作量是相当惊人的，最后三个人连续搞了整整２０天才全部做完。存在的主要问题：

① 对于网络犯罪案件，提取电子证据的切入点在哪里？是先从服务器入手还是先从个人电脑入手？

② 这些服务器有的只是放的单纯的网页代码，有的只是放数据库，有的两者都有，弄清服务器基本功能后，对于为数众多的服务器，在口供没有提供有价值的线索的情况下，如何理清大量服务器之间的复杂关系？

③ 如何弄清服务器运行时数据的具体流向？数据流向有没有做过更改？如何排除犯罪嫌疑人创建数据库时，对数据库名、表名、字段名定义时故意模糊、歪曲、混淆的干扰，识别数据库中各字段的真实含义及数据库的真实用途？

④ 如何在海量数据中识别和筛选多个数据库中重复记录的数据，以完成分类统计的工作？

⑤ 异构数据库中的记录，如何进行数据迁移？

⑥ 已删除的数据如何进行恢复？

⑦ 网络犯罪的现场模拟与重现。

上面提的这六个问题，有的是案件中普遍存在的问题，有的是特定情况下才会出现的问题。

电子证据是一种极易灭失的证据，一旦被删除，处理起来很麻烦。有些案件的犯罪证据是无意删除的，但在有的案件中，犯罪分子都是有准备、有意识、有目的的对犯罪证据进行了删除。现在的犯罪分子已经变得越来越狡猾，随着计算机知识的不断丰富，他们会给电子数据的取证和鉴定工作带来更多的障碍、困难和挑战。

在案件的侦办与取证中，我们越来越发现，犯罪现场的模拟和重现，对于侦查人员吃透案情，缩短电子取证工作的周期，简化操作步骤，快速锁定目标信息有着积极的作用。举个简单的例子，在取证的时候，我们有两种类型的只读锁，但明显，在主机完整，并非只有一块硬盘的时候，使用非usb接口的只读锁，效率会比usb接口的只读锁效率高的多。另外，在对网页界面和代码及服务器指向进行分析的时候，利用克隆盘直接搭建网络环境进行分析无疑是一种便捷的方式。

三、网络犯罪侦查取证的一般要求

网络犯罪的主要犯罪行为是在互联网上进行的，主要证据也是以电子数据的形式保存在网络中。而网络犯罪的犯罪嫌疑人往往精通计算机和网络技术，通过文件加密、系统重装、硬盘格式化等方式销毁犯罪证据，因此，电子证据的提取和固定是网络犯罪案件侦查的主要难点。以网络诈骗为例，行为人发送诈骗邮件、行为人与被害人聊天内容、被害人向行为人进行网络支付等主要行为均在互联网中发生，通过对诈骗邮件、聊天内容、网络支付记录等电子数据的收集和分析，可以还原和证实网络诈骗的主要犯罪事实。有效地威慑、防控和处置网络犯罪，在侦查方面主要有三个要求。

1.对侦查机构自身建设的要求。由于网络犯罪属于高技术犯罪，因而作为侦破该类犯罪的部门要有相应的侦查技术和设备，定期不断升级，而且还要不断学习补充相关知识技能，加强侦查人员的自身素养，使之能适应侦查取证的需要。这方面的能力，需要通过各种方式不断地学习，学习刑事侦查和现场勘查工作中经常涉及到的相关知识，借鉴经验，不断地与现代科技相结合。所以必须尽快加强当地相关组织的人员建设，并对相关人员进行广泛的基础培训，以提高相关人员的专业水平。

2.对网络犯罪侦查措施方面的要求。侦查措施指具体侦查手段。由于网络犯罪案件发现、取证、抓捕各环节难于一般犯罪案件，导致案件侦结率低，另外执法规范化方面的要求也较高，所以结合网络犯罪案件自身特点和规律，需要丰富侦查手段并总结提高侦查能力和经验。这不仅包括计算机犯罪中的对象和工具，而且还包括普通刑事案件中要求对电子数据进行分析的证据材料和各种信息。

3.对网络犯罪侦查模式方面的要求。随着物联网、移动互联网、云计算、大数据等信息技术的广泛应用和发展，在当今以无线、多屏、互联互通、智能识别、大数据为主要特征的数据多维时代，侦查工作面临着越来越多的挑战，为了适应新时代侦查工作的需要，侦查人员必须积极创新侦查模式，革新侦查方法，开拓侦查思维。应采取技术措施，对网络犯罪行为进行分析，分析网络攻击，特别是新型网络攻击行为。

在网络时代，犯罪嫌疑人为了逃避公安机关的打击，往往利用虚拟网络隐藏真实身份。如何有效地防范和打击网络犯罪、保障网络安全已成为公安机关急需研究的一大问题。侦查这一犯罪活动的难点在于如何确定犯罪分子的真实身份，即我们如何根据网上匿名的虚拟主体找到现实中真实的犯罪分子。笔者认为一方面要尽快获取受害者与犯罪嫌疑人的联系信息，从中进一步挖掘有价值的线索，另一方面通过银行查询犯罪嫌疑人的取款情况，获取犯罪嫌疑人在现实生活中的情况，再进一步确定其真实身份。

参考文献

[1]杨世盛.网络犯罪案件侦查取证难的对策建议[J].职工法律天地：下，2014，0（9）：38-38.

[2]陈廷，解永照.网络犯罪案件中电子数据的取证、审查难点及对策思考[J].公安学刊：浙江警察学院学报，2016，0（3）：31-35.

[3]吴燕波，向大为.电子证据勘查与分析的一般方法[J].湖北警官学院学报，2011.2.