随着互联网和计算机技术发展,电子数据搜集和审查判断已经成为刑事司法活动中的基础性、普遍性工作。2016年,最高人民法院、最高人民检察院、公安部联合发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,这一“规定”是我国电子数据取证相关法律法规不断发展完善的必然结果。
基于大数据、人工智能带动的公有云计算的市场需求空间,使得数据越来越多地从终端设备向云端迁移,同时很多涉网犯罪行为也向云端迁移。鉴于云计算模式下网络犯罪更趋复杂,当务之急是落实运营商主体责任。根据反恐怖主义法和网络安全法规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
9月16日至9月24日是国家网络安全宣传周,其间,如何进一步打击网络犯罪、有力保障网络安全成为社会各界关注的焦点。
近几年,网络犯罪日趋多发,与之对应,在打击网络犯罪中越来越多运用到电子取证。
电子取证,是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。
最高人民法院、最高人民检察院、公安部曾联合发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,其中指出,“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据”“侦查机关应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据”。
在近日召开的第五届中国互联网安全大会电子取证技术与发展论坛上,业内有关专家对与电子取证有关的若干问题进行了详细探讨。
电子取证相关法律法规不断完善
“电子证据第一次出现是在1998年,当时公安机关网安部门在侦办某网络案件时对有关证据进行了提取,并被法院采纳。在具体法律规定方面,我国较发达国家而言相对晚一些,其中一方面在于可以用于证明案件事实的材料都是证据,与案件相关的电子证据自然属于证据范畴;另一方面在于刑事诉讼法中将证据种类限定为7种,并没有设定电子证据。2012年3月14日,第十一届全国人民代表大会第五次会议通过了《关于修改〈中华人民共和国刑事诉讼法〉的决定》,根据该决定,电子证据成为法定证据类型,进一步适应现代化技术的发展,进一步丰富了证据范围,困扰才得到解决。”原公安部网络安全保卫局巡视员顾坚说。
2016年,最高人民法院、最高人民检察院、公安部联合发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》时,顾坚曾参与起草和制定工作。
据顾坚介绍,“规定”的出台有着多重背景,其中包括:截至2017年6月,中国网民规模已经达到7.51亿,手机网民规模达到7.24亿,占比达96.3%;针对互联网的犯罪日益猖獗,我国已经成为“黑客”攻击破坏的主要国家之一;网络赌博、诈骗、网上贩卖公民个人信息等利用互联网的违法犯罪形势严峻,严重污染网络环境;网络犯罪趋势日益凸显,大量犯罪实施均借助网络技术运用而实现,技术门槛和犯罪成本大大降低,犯罪规模和危害程度扩大,犯罪分工更加精细,犯罪手法更加复杂;恐怖分子利用网络制作传播暴力恐怖的视频,煽动实施恐怖活动。
“随着互联网和计算机技术发展,电子数据搜集和审查判断已经成为刑事司法活动中的基础性、普遍性工作。2015年,公安机关网安部门办理网络犯罪案件的数量已经超过了17万起,但是由于电子数据的专业性很强,公检法部门在司法实践中对电子数据的证据规格、效率和证明率等问题缺少统一的判定标准,已有规定操作性不强,相关证据依然难以采纳,影响了司法活动的顺利开展。”顾坚说。
顾坚认为,“规定”的出台是我国电子数据取证相关法律法规不断发展完善的必然结果。
据介绍,“规定”解决的主要问题包括:
对现有电子证据规则、司法操作性不强的问题,在《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》确立了电子证据基本规则的基础上,进一步提出电子证据搜集、提取、审查、判断的基础方法;
对现有法律法规缺乏对电子证据明确定义的问题,进一步明确了电子证据的内涵和外延,对证据类型进行列举,特别是对数字化形式的证人、证言、被害人陈述口供和辩解、笔录等证据与电子证据的关系问题进行了明确。
针对云计算、大数据管理下难以将海量数据分层、扣押以及数据难以调取的问题,根据实践作用提出了冻结的措施,为该类电子证据固定难题提出了法律解决的依据;
对电子证据搜集过程中规范的问题,进一步梳理电子证据的搜集面临的各种情形,确定了以原始存储为主、直接或远程提取为辅、打印拍照为例外的搜集提取规范,明确了电子证据搜集的图纸、电子证据调取、电子证据检查、侦查实验有关流程规范,并规定了相关笔录、见证人及录像要求;
对司法实践中电子证据审查难的问题提出了电子证据真实性、合法性、判断的要点,将电子证据完整性纳入真实性范畴之中,提出了完整性的保护和审查方法,明确了电子证据、瑕疵证据和非法证据的情形;
对现有电子证据有关规定过于分散和零散问题,对已有电子证据有关条款集中进行了汇编。
简而言之,这个规范性文件是截至目前办理刑事案件中涉及电子证据问题最为全面的规范性文件。
云计算环境下电子取证难度加大
云计算是互联网未来发展趋势之一,对于电子取证也带来了深远影响。
“云计算是以最简便的途径和按需的方式通过网络配制计算资源。2017年,中国公有云(通常指第三方提供商为用户提供的能够使用的云)市场规模将超过150亿元,基于大数据、人工智能带动的公有云的市场需求空间,使得数据越来越多地从终端设备向云端迁移,同时很多涉网犯罪的行为也向云端迁移。比如,在2014年,某著名游戏公司受到流量攻击有453.8GB。再比如,像iCloud数据的外传,某电商泄露了大量个人信息等。还有一些利用云盘传播淫秽色情信息牟利案件。为什么我们提出冻结的操作方式?因为需要在这些案件中进行取证调查。至去年10月,网络犯罪数量已经占犯罪总数的三分之一,我们面临的现实危险主要来自于网络空间。”公安部第三研究所所长助理、首席科学家、公安部网络侦查技术研发中心副主任金波说。
金波认为,云计算一定要看其本身的计算模式和传统模式的差别,传统IT不管是在企业网还是在互联网上,除了网络这个层次的资源可能是公有的外,其他的资源都是私有的。“当我们说起云计算,就必然要从云计算模式与传统IT相比带来的变化出发,我们就必然面临云计算模式下的一些困难。比如,怎么搜集云平台的数据、搜集以后怎么分析、数据搜集怎么定位等。再比如,云上IP并不意味着是真实IP地址,其中就涉及管辖问题,另外由于云存储的数据用完以后随时会释放掉,怎么固定也是一个问题”。
除此之外,在云计算模式下,调查取证还面临其他困难。
“云平台的共享特点使得涉案虚拟服务器所挂载的虚拟硬盘等数据处于离散状态,部分云服务提供商甚至采用了动态伸缩的存储技术,虚拟服务器释放出来的空间会被立即分配给其他虚拟服务器使用。如果我们做静态分析,不同服务商的格式可能不一样,海量的数据难以分析。另外,云服务商提供的不是一台虚拟机,而是提供虚拟网络服务,要构建出整个云服务的环境,不仅仅是把一台虚拟机请来就行,这时候怎么进行组网?这是很迫切的问题。”金波说,像公有云服务,用完以后可以马上释放掉数据,再想找到就会很困难。有些不法分子作案后将服务器一删了事,再查就非常困难了,这就提出了时效性的需求。
“我们一定要在服务器被释放之前能够做好这些服务器的工作,这几乎是对抗云反取证的唯一手段。”金波说。
鉴于云计算模式下网络犯罪更趋复杂,当务之急是完善制度,落实运营商主体责任。
“今年,公安部网安局专门出台了一个部门规章,对云服务提供商在协助调查取证以及安全管理方面提出了要求,这是一个非常重要的云计算合规要求。”金波说。
据金波介绍,上述规章要求云服务提供商要有专门队伍配合公安机关工作,这些人员要进行专门的培训、签订保密协议。此外,还有相应的技术标准。
“另外,还有一个制度设计是关于基础建设的。我们要求云服务提供商要落实安全基础措施,做好流程,为公安机关防范、调查违法犯罪活动提供必要的技术解密、技术支持和协助,这实际上就是一个服务提供商的主体责任落实。”金波说,反恐怖主义法第十八条规定,电信业务经营者、互联网服务提供者,应当为公安机关、国家安全机关依法进行防范调查提供技术接口和解密等技术支持和协助。网络安全法第二十八条规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪活动提供支持和协助。云服务提供商应建立涉嫌违法犯罪的线索报告和配合调查制度,发现违法犯罪及异常情况应保留相关证据,24小时之内向当地公安机关报告。
云服务商协助取证要留存哪些数据?
金波认为,这些数据包括云U注册数据、用户资源使用数据、用户业务数据、网络流量日志、安全事件数据和其他服务。
二维码犯罪取证首先在于解析
二维码犯罪是当前比较常见的网络犯罪形式。
“现在的二维码非常普遍,我们都接受了这种方式。二维码从出现到现在不过两三年的时间,但是普及非常迅速,其中的关键原因是太方便了。二维码铺天盖地而来,很多小朋友都知道扫一扫。”山东警察学院网络空间安全与执法协同创新中心秘书、电子学会取证专委会委员张璇说。
二维码的广泛应用给一些不法分子以可乘之机。
“二维码的替换非常容易,不需要技术含量,生成和变造是非常简单的。二维码支付也越来越简便,我们不用像原来那样需要专业的设备,只要手机这样一个终端就可以完成二维码支付活动。普通群众可能根本分不清什么是付款码和收款码,所谓收款和付款是相对于用户来说的。很多不法分子会利用大家对二维码认识的不足,骗取大家的付款码,相当于不法分子获取了我们的付钱凭证。二维码本身的变造也非常容易,如果是一个PS高手,他会把二维码PS成各种新鲜的格式,就是为了诱导大家扫这个二维码,如果其中有一些木马程序,危害可能就比较大了。”张璇说。
当二维码犯罪出现后,应该如何追查?
“第一步就是解析二维码,解析出来到底是恶意的信息还是支付的二维码。如果是恶意信息,我们就可以进一步进行研判;如果是支付相关的信息,我们要分辨到底是收款码还是付款码,然后调取第三方支付平台上的对应账户。第三方支付平台并没有很好地提供解析工具,如果要作为证据来用,但他们不能盖章。现在只能是通过受害人资金的流水来进行关联,受害人在什么时间支付了哪一笔钱到什么账号,如果能和二维码对应起来,就可以作为证据链条,下一步还需要第三方支付平台提供这样的解析工具。”张璇说。
一个骗码团伙的犯罪链条是怎样的?
“我们从聊天记录中发现,他们只是一个负责骗码的团伙。有了二维码怎么变成钱呢?他们有非常成熟的链条,有时候不是自己来扫,而是让专门的扫码团伙来扫,这些团伙成员是注册了很多虚假身份的商户,他们有POS机等设备。另外,扫码团伙还会把结果再交给第三方平台进行解码。整个链条是一个大的体系,是一个产业链。如果我们要取证,就涉及到二维码的犯罪取证,我们首先要搞清楚在整个犯罪行为中是如何应用二维码的,第二就是如何解析二维码,第三就是要把受害人资金的流水和二维码做一个对应,目前来看还值得改进。”张璇说。
取证过于依赖自动化是好是坏
随着电子取证的发展,也引起了越来越多的思考。
辽宁省大连市公安局网安支队七大队大队长、全国刑事技术标准化技术委员会电子物证分技术委员会专家、中国合格评定国家认可委员会主任评审员刘浩阳从中总结了电子取证的经验。
“自动取证这个功能现在非常普及和流行,但从实际来讲,我们一直对自动化取证有争议,那就是自动化取证究竟是提高了我们的能力还是降低了我们的能力。”刘浩阳说,“刚开始从国外引进电子数据取证时叫计算机取证,主要针对台式机取证,后来出现了笔记本,再后来就是我们现在最流行的手机,未来可能是云计算和物联网设备。”
就手机取证而言,刘浩阳认为,手机实际上包含了所有的个体信息,包括物理身份和虚拟身份,尤其是虚拟身份。目前来看,手机网民远远超过了PC网民。“手机是我们现在每个人必不可少的东西,手机一直是取证的一个焦点,也是近些年来电子数据取证发展非常迅速的一个部分。手机取证设备也非常多,从实际来讲,当你拥有一套手机取证设备时,不需要解锁直接拿来就可以了,里面存储了大量的数据”。
刘浩阳在对比了6个手机取证工具之后认为,“现在取证工具的稳定性和可信性是最大的问题。这些工具的原理其实非常简单,在突破手机的安全机制后,实际工作的目标或者对象就是手机里的数据库,但是这些工具多多少少都犯了一些错误,要么是解析不到位,要么是解析错误”。
近年来,有关部门在打击伪基站犯罪方面取得了一系列成果,对取证工作也有一定启示。
据刘浩阳介绍,伪基站就是未取得电信设备进网许可和无线电发射设备型号核准,能够搜索手机用户信息,是电子设备的一种。“伪基站基本是工作在900赫兹形态中,大家见得多的是车载伪基站,也就是在运行汽车上查获的,更加隐蔽的伪基站是潜入在车体内部的。此外,还有背包型、固定型等”。
“之前曾经发布过《关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》,一直到今年发布的《关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》,这个文件目前是权威性的解释。伪基站的运行原理比较复杂,其中存储的数据有几种,第一种就是存在系统里,第二种是有一个数据库,第三种就是其桌面上会有一系列的TST文件。现在还没有纯粹的伪基站取证工具,因为还没有人把伪基站的原理了解得如此透彻。我们在写伪基站的材料时,把所有代码都看完了,写了70多个小时,将近好几百页。专家型的取证从业者应该高于自动取证,天天依赖自动取证功能,水平能力会越来越差。”刘浩阳说。