王燃 | 电子数据真实性判断的时间审查

admin 2024年7月10日12:28:56评论4 views字数 17393阅读57分58秒阅读模式
作者简介

王燃 | 电子数据真实性判断的时间审查

王燃 | 电子数据真实性判断的时间审查

王燃 | 电子数据真实性判断的时间审查

王燃,中国人民大学纪检监察学院副教授

王燃 | 电子数据真实性判断的时间审查

摘    要

 网络犯罪的高发态势以及电子数据法律规范的发展,对法律人电子数据审查能力提出了新的要求,时间要素则为电子数据的真实性审查提供了有效的切入口。电子数据的时间审查以传统时间要素原理及系统性原理作为基础,以证据审查矛盾律为方法指导,并对电子痕迹理论进行了创新。电子数据的时间信息一方面来源于其本体形式中的附属信息时间、网络多节点时间、全盘时间线以及电子数据的自然映射时间;另一方面来源于其拓展形式中的文书记载时间、截图反映时间、光盘中时间信息以及电子版文书的附属信息时间。电子数据时间审查的方法包括以下几种:电子数据机器时间与诉讼时间的比对,可特别关注电子数据首次收集、提取时间;电子数据机器时间与自然时间的比对,由此发现电子数据机器时间被人为篡改的情况;电子数据机器时间与机器时间的比对,由此还原电子文件生命周期,或发现异常电子数据。

引    言

王燃 | 电子数据真实性判断的时间审查

 近年来随着数智技术的发展,电子数据证据在司法案件中的证明作用愈加重要。粗略统计,近五年来运用电子数据的案件是该类案件过去十年的1.5倍之多。电子数据在司法领域的深入运用,也对法律人的证据审查判断能力提出新的要求。一方面,网络犯罪治理态势对法律人电子数据审查能力提出迫切需求。2022年全国检察机关起诉利用网络实施诈骗、赌博、传播淫秽物品等犯罪71.9万人,起诉电信网络诈骗犯罪19.3万人;起诉非法买卖电话卡和银行卡、帮助提款转账等犯罪从2018年137人增至2022年13万人。2023年1月至11月,全国公安机关共破获电信网络诈骗案件39.1万起。在上述网络犯罪中,电子数据是犯罪侦破及审判中最主要的证据类型,往往对定罪量刑起到关键作用。例如2016年的“快播案件”中,正是得益于辩护律师对电子数据的专业审查,虽淫秽视频数量符合十年以上有期徒刑的“特别严重”情节,但被告人最终均只获三年至三年六个月不等有期徒刑。另一方面,相关法律规范的完善也对法律人电子数据审查能力提出了具体标准。2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、2019年《公安机关办理刑事案件电子数据取证规则》以及2021年《人民检察院办理网络犯罪案件规定》等,为法律人收集、提取特别是审查判断电子数据均提供了可参照执行的最低标准。电子数据审查判断已成为法律人无法回避的专业技能。

那么,如何对电子数据进行审查?虽然如《人民检察院办理网络犯罪案件规定》等法规提出“应当围绕客观性、合法性、关联性的要求对电子数据进行全面审查”,但实践中电子数据审查却主要集中于“真实性”。学者们指出,相较于合法性与关联性,电子证据似乎带有与生俱来的真实性疑问,控辩双方对电子证据是否存在伪造、变造情形容易习惯性地产生争议。电子数据相关审查判断规则主要围绕真实性展开,其关联性审查本质上也是真实性审查,其合法性审查亦主要是为了保障真实性。然而,司法实践中电子数据真实性审查又容易出现以下“逃避式”倾向:第一,直接将电子数据真实性难题移交司法鉴定机构。由于专业技术的隔阂,控辩审三方遇到电子数据难题习惯于依赖司法鉴定或专业检验来解决。有学者统计了488个列明有电子数据的案例,241个案例存在司法鉴定意见书,占将近50%。第二,直接采信鉴定意见的结论表述,而不对电子数据本身进行实质审查。鉴定意见的证明力并非天然可靠。电子数据司法鉴定领域更是乱象丛生,如针对同一电子数据出具多份矛盾的鉴定意见、电子数据检材被污染、检材来源不明等。电子数据最本质的真实性问题,容易被司法人员过于依赖鉴定意见的习惯所掩盖。尤其是近年来电子数据往往以海量数据形式所呈现,相应的鉴定意见书也非常专业,动辄上百页,控辩双方由此而放弃对电子数据的实质审查。

尽管面临着技术上的隔阂,但电子数据真实性审查也并非法律人不可突破的技术壁垒。实务专家认为,检察技术人员、有其他专门知识的人,甚至检察官,都可以开展电子数据专业审查。还有学者站在法律人角度,总结出多种电子数据审查技巧,包括聚焦式、还原式、实验式、勘验式等方法,其中不乏法律人可以借鉴学习的方法。法律人的办案经验也完全可以为电子数据真实性审查提供有效思路。就笔者所参与审查的多起网络犯罪案件观察,看似复杂且专业的电子数据真实性难题,突破口及关键点往往在于对其“时间”要素的审查,发现时间之间的矛盾或违背常理之处。例如,电子数据时间若在电子设备扣押之后,则说明电子数据受到污染;关机时间段若产生涉案电子数据,则说明有造假的可能等;几份电子文档创建时间完全一致,则说明其来源同一等。当前,电子数据时间审查在实践中逐渐显现出一些特有的特征规律和判断逻辑,但尚未形成系统性的归纳。鉴于此,本文尝试提出电子数据时间审查的指导理论,并对常用的时间审查经验方法进行归纳,以期为法律人的电子数据真实性审查提供切实参考。

王燃 | 电子数据真实性判断的时间审查

一、电子数据时间审查的基础理论

王燃 | 电子数据真实性判断的时间审查

 目前,已有的电子数据证据相关理论包括系统性原理、稳定性原理、多元性原理等,但是专门关于其时间审查的理论尚不多见。实际上,在电子数据时间审查过程中,既有传统电子证据理论、证据审查理论的拓展运用,亦有根据电子数据时间特征进行的理论创新。这些理论可为电子数据时间审查的思路和方法提供指导。

(一)传统时间要素理论的拓展运用:虚拟空间的机器时间

侦查学及犯罪学历来有刑事案件构成要素之理论,有学者在20世纪90年代初即提出人、事、物、时、空五个基本要素,后又有学者提出六要素、七要素等理论。无论哪种理论,“时间”都是案件中不可缺少的要素。“时间”是指犯罪行为发生、发展的持续性,也就是犯罪活动实施的过程是从什么时间开始,到什么时间结束。传统案件中,时间仅体现为物理空间的一维性,办案人员一般根据现场的痕迹、物证等来进行犯罪活动相关时间的还原。例如根据尸体现象的分析,推断出死亡时间;根据犯罪现场的烟灰缸烟头温度等去推断案发时间。

在涉网案件中,除了物理空间的自然时间维度外,还存在虚拟空间的机器时间维度。有学者提出“时间系”的概念,认为时间因素在实体空间与虚拟空间的加持之下呈现出异化的态势,构成多个贯通实体与虚拟空间时间网的集合,即一个复杂而又互有交叉和联系的时间网的体系。根据物质交换原理,网络空间任何行为都会留下数据痕迹,形成电子数据;而几乎每一条电子数据又都带有时间信息,即本文所称的“机器时间”,为犯罪时间的还原提供了天然的信息来源。从技术上来看,电子数据的机器时间主要来源于计算机信息系统时间,系统时间又以CMOS时钟为基准。从某种意义上来说,COMS时间是系统中所有机器时间的来源。CMOS时间可能会受到电池电量或晶振频率的影响,在WINDOWS系统中可使用网络校时保证机器时间的准确,因而机器时间具有相对的稳定性。实践中,电子数据在系统中生成时,往往自动记录相关行为、事件的机器时间,常见的如电子文档创建、修改、访问时间,网络浏览、下载、收藏、访问时间,电子邮件收发时间等。上述机器时间为案件相关事件、行为的还原及电子数据真实性审查都提供了信息来源。

(二)电子数据系统性原理的灵活运用:电子数据的时间来源

“系统性原理”是电子数据证据最经典的理论之一,指电子证据的产生、出现、变化等都不是孤立的,而是系统性的,是由若干个元素组成的系统整体。具体而言,电子数据具有“三位一体”的特征,由数据电文、附属信息及关联痕迹组成。电子数据的“三重系统”也是其时间要素的主要来源:(1)数据电文中的时间。数据电文是最容易直接观察到的电子数据表层信息,也是司法人员审查电子数据最青睐的形式,如即时通讯、电子邮件、文本文档所记录的内容等。有时数据电文中也会记录时间信息,如合同履约时间、约定还款日期等。然而,数据电文内容一般由人主观输入,也容易修改、造假,不宜将其单独作为时间审查要素的来源。(2)附属信息中的时间。附属信息是指数据电文生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息。附属信息可谓是电子数据机器时间最主要的来源。该时间一般由系统自动生成,在系统时间校准的情况下,可推定其为真实的时间反映。并且,附属信息时间具有一定的技术规律,电子文件在移动、复制、剪贴、解压、修改等不同操作下,其时间信息会有不同的变化规律,为电子数据操作行为的还原提供依据。(3)关联痕迹中的时间。关联痕迹一般是较深层次的电子数据,如缓存文件、休眠文件、分页文件等,往往需要专业指令或者工具进行查看。关联痕迹中同样隐藏着大量时间信息,例如IE缓存文件的最后访问时间不仅存储于属性部分,还以内容的方式存在于cookies、index、dat等其他文件中;再如WINDOWS事件日志中记录了该系统每一条操作行为的机器时间。一般而言,关联痕迹较为隐蔽且不易篡改,其时间信息较为可靠;附属信息时间由系统自动生成,相对较为稳定,但不排除通过修改系统时间而造假的情形;数据电文中的时间最容易修改,最好结合其他时间信息一并进行审查判断。司法实践中,对于涉案的关键电子数据,可将上述相关系统中的时间信息均予以提取分析,进行综合式、全面式审查判断。

此外,本文再增加一个“案卷系统中的时间”。我国司法实践中电子数据的运用往往出现一个怪象:难觅其“电子化”形式,大多以“纸质化”形式所呈现,如打印件、复印件、网页截屏、拍屏照片、拷贝、抄写件、笔录、公证书、刻盘、网页快照等。尤其是刑事辩护律师,很难获取到“电子化”的数据材料。鉴于此,就不能忽视纸质案卷中所呈现的相关电子数据时间信息。特别是电子数据鉴定意见、检验报告、提取笔录等文书中所记录的操作行为时间、截图中反映的机器时间、照片中反映的附属信息时间等。

(三)电子痕迹理论的创新运用:自然时间的稳定映射

物理空间行为在虚拟时间的映射。不少学者基于经典的洛卡德物质交换原理,提出数据空间的“电子痕迹”理论。简言之,物理空间的操作行为会在虚拟空间留下电子痕迹,并体现为电子数据形式。一般而言,物理空间的行为人会在电子设备、网络空间中均留下电子痕迹。虚拟空间的数据痕迹,一般多用作辅助物理空间的犯罪侦破,特别是用于人身同一认定,如根据电子文件的时间痕迹、文件名称痕迹、系统日志痕迹、收发邮件的时间痕迹、即时聊天软件的痕迹等认定犯罪嫌疑人。电子数据的机器时间本质上就是一种“痕迹”,系对相关操作行为时间特征的反映,也是进行人身同一认定的重要电子痕迹。由于数据空间的时间信息较为直观且来源丰富,因而司法实践中更青睐于审查虚拟空间的时间痕迹。

虚拟空间行为在自然时间的映射。实际上,电子数据操作行为系一种人机交互行为,其在虚拟空间和物理空间均留下“时间痕迹”。除了物理空间行为在虚拟空间的映射外,还包括虚拟空间行为在物理空间的反映射。由于虚拟空间信息丰富且直观,大家对前者关注较多;后者则因较为隐蔽、信息不易捕捉,容易被忽视。实际上,虚拟空间的操作行为在物理空间的自然时间序列上反倒有着更为稳定的映射关系。我们知道,机器时间虽然具有一定的规律性,但并非一成不变,其有可能出现错误或者人为修改系统时间而进行伪造。换言之,电子数据操作行为所对应的虚拟空间时间体系本身并不具有稳定性,容易给实践中证据审查带来障碍,一旦电子数据时间造假,则仅对虚拟空间的机器时间进行比对审查是无效的。此时,我们不妨将思路转换至物理空间。电子数据操作行为在物理空间虽然没有留下明显的、直观的时间痕迹,但是其与自然时间有着潜在的映射关系。而自然时间的客观性、稳定性与统一性,又恰恰为电子数据虚拟空间时间的审查提供了天然的标尺。只需要寻找到虚拟空间行为所映射的自然时间或自然时间序列,便能够有效还原电子数据的真实时间,识别电子数据造假行为。该类自然时间的映射一般多隐藏在计算机信息系统的关联痕迹中。

据此,我们可以试着推出以下结论:作为电子数据操作行为在两个空间的“时间痕迹”,机器时间与自然时间存在着某种稳定的映射关系,即使系统时钟没有经过校对或遭人为改变,虚拟空间事件发生顺序也与物理空间中的自然时间顺序存在着对应关系。这种顺序不依人类的主观意志而改变。该观点建立在电子痕迹理论基础上,并结合电子数据在双重空间的时间特征进行创新。这一理论可用来指导如何识别发现时间错误或者时间篡改的电子数据。

(四)证据审查矛盾律的深化运用:时间审查的核心方法

亚里士多德认为,矛盾律是一切证明的基础。矛盾律是形式逻辑的基本规律之一,它认为基于同一时间,从同一方面,对同一思维对象不能作出两个矛盾或互相反对的认识,或者说,两个互相矛盾或相互反对的论述不能同时为真,其中必有一假。矛盾律的作用就在于找出思维中自相矛盾的地方。矛盾律在司法证明中具有重要的指导意义,是对证据真实性进行审查判断的主要方法之一。矛盾审查法也称为比对审查法,是对案件中证明同一事实的两个或两个以上证据的比较和对照,看其内容和反映的情况是否一致。一般来说,相互矛盾的证据可能其中之一有问题或者都有问题。例如对言词证据真实性的审查判断主要就是看陈述中是否有“自相矛盾”或“互相矛盾”的情形。

在对电子数据进行时间审查时,主要指导方法即为矛盾审查法。当然,此处的“矛盾”应进行广义理解,电子数据时间信息经比对后不符合法律规定、技术规则及经验法则的都属于“矛盾”,证据真实性存疑。电子数据时间“矛盾”比对主要包括以下步骤:首先,需要有两个或两个以上的时间对象以供比对。可以是不同电子数据的时间比对,同一电子数据的不同时间节点比对,同一电子数据在双层空间的时间比对,以及电子数据时间与法律规定时间的比对等。其次,当时间比对出现矛盾时,意味着至少其中一项时间要素可能有“假”,其所对应的证据真实性存疑。此时,在比对的过程中可选择其中一个时间要素作为“标准参照系”,以此判断另一个被比对的时间是否合理。例如在机器时间与诉讼时间比对中,电子数据收集、提取时间等诉讼时间作为案件法律进程的关键时间节点,具有一定的确定性和法律效力。可将诉讼时间作为参照系,来比对电子数据的机器时间是否符合法律规定。再如在机器时间与自然时间比对中,自然时间具有客观性与标准性,可将自然时间作为参照系来比对机器时间是否可靠。又如在机器时间与机器时间比对中,电脑的开关机时间、电子邮件网络服务器的发送时间可视为相对(但不绝对)可靠的参照系,以此来对电子数据其他机器时间进行比对。最后,对相互矛盾的证据也不能一概否定,要对矛盾背后的原因进行分析,看是否存在合理的解释。目前,电子数据时间审查的矛盾主要有以下几类:

第一,不符合法律规定的矛盾。目前,我国的相关立法对电子数据收集、提取等程序都进行了规定,其中很多规定都暗含着对电子数据时间的要求,可以成为其时间审查的依据。例如根据法律规定,电子数据收集提取之后,就应当采取封存等措施保证其完整性,不能再增删修改电子数据。据此,一旦电子数据的机器时间在法定扣押时间之后,则意味着其不符合法律要求,数据受到了污染。再如,法律规定司法鉴定机构与委托人对鉴定时限的约定具有法律约束力等。如果鉴定检材的提交时间或鉴定报告的出具时间晚于约定的时间,则不符合法律要求。

第二,不符合技术规则的矛盾。电子取证领域有大量的技术规则,甚至不同的计算机系统(如WINDOWS系统、LINUX系统、MACOS系统、ANDROID系统、IOS系统等)所对应的规则都不一样。其中,有很多技术规则指向电子数据的时间规律,是对其进行时间比对的重要依据。例如服务器关机时间一般不会产生数据;NTFS系统中,对电子文档进行操作时其MAC时间有特定的变化规律;对电子文档进行任何修改、访问,其MAC时间不可能完全一致;WINDOWS系统中,上层文件夹的修改时间与最后的文件操作行为时间一致等。

第三,不符合经验法则的矛盾。经验法则也是司法证明中的重要方法论,是进行事实推理和判断的前提。经验法则是人们关于事物运动规律的认识,因其规律性而能够作为认定事实的前提。除了专业的技术规则外,一些电子数据相关的经验法则也可作为时间审查比对的依据。例如,机器时间可以造假,但自然时间的客观性、稳定性及其不以人类意志为改变是一种自然规律,反映的是客观世界的本质联系和确定不移的趋势,因而可作为电子数据时间比对的可靠标尺。再如,根据收发电子邮件经验,需要先添加附件再点击发送,因而邮件发送时间肯定在附件文档创建内容时间之后,此时间规律可作为审查电子邮件真实性的依据。

王燃 | 电子数据真实性判断的时间审查

二、电子数据时间信息的来源

王燃 | 电子数据真实性判断的时间审查

 电子数据时间审查的前提是具有明确的时间信息来源,时间信息可来源于电子数据不同的载体形式中。我国司法实践中,电子数据的运用中往往形成“鉴-数-取”体系,即以鉴定意见、电子数据和“来源笔录”(勘验笔录、在线提取笔录、扣押笔录等)为支撑的组合。“电子化”的数据可视为其本体形式,而“纸质化”的鉴定意见、“来源笔录”等则可视为电子数据拓展形式。考虑到我国实践中电子数据“纸质化”形式严重,因而寻找时间信息既要关注电子形式,也不能忽视其纸质卷宗形式。

(一)电子数据本体形式中的时间信息

电子数据的本体形式一般包括原始存储介质中的数据镜像,通过提取、勘验、调取、检查等方式所获得的电子数据。其中,电子数据附属信息时间、网络多节点时间、全盘时间线以及自然映射时间为常见的时间信息来源。

1.单节点时间:附属信息中的时间

如上文所述,附属信息是电子数据时间信息最主要的来源。在对单个电子数据或电子文档进行审查时,要重点关注其附属信息时间。相比于数据电文,附属信息能更全面、客观地记录电子文件时间,且一般用户可以直接查看,为电子数据的时间审查提供了有力的切入点。以常见的WORD电子文档为例,其附属信息中包含着文件创建时间、修改时间、访问时间。其中,创建时间(Creation Time)通常指文件产生的时间,即文件或目录第一次被创建或者写到磁盘上的时间,既可以是新建一个文档的时间,也可以是文件从别处复制于此的时间。修改时间(Modification Time)通常指对文件作出任何形式的最后修改时间,例如应用软件对文件内容作修改。文件如果复制于其他地方,则该时间不变。访问时间(Access Time)指某种操作最后施加于文件或目录上的时间,包括写入、复制、用查看器查看、应用程序打开或打印等。一般情况下,电子文件的附属信息时间为系统自动生成,是对相关操作行为发生时其所属系统时间的自动记录。在系统时间准确的前提下,可推定电子数据时间标签的可靠性。

MAC时间是对电子文件进行时间审查的重要依据,据此往往可发现电子数据的时间异常,进而对电子数据真实性提出有力质疑。因为在特定系统中,电子文件MAC时间的变化具有一定的规律性,而这种规律性可以为电子数据真实性审查及操作行为的还原提供依据。下表1中给出了FAT和NTFS文件系统上的常见操作及对应的MAC时间变化规律。据此规律,有一些常用的MAC时间判断规则,例如:若修改时间早于创建时间,则文件被复制或者移动过;文件拷贝时,创建时间为拷贝时间,修改时间与原文件一致;文件下载时,创建时间为下载的时间,修改时间为下载结束时间;文件解压时,文件的创建时间为解压缩时间,修改时间与压缩前的文件一致;等等。实践中,电子数据审查尤其关注“修改时间”,因为其反映了对电子文件最后一次进行实质操作的时间,且该时间不受文件复制、移动、解压等行为的影响,具有一定的稳定性。

王燃 | 电子数据真实性判断的时间审查

2.多节点时间信息:网络时间线与全盘时间线

除了关注单个时间节点外,还可以“时间线”思维对电子数据时间信息进行多节点观察。实践中,电子数据很少只留有一处时间信息,而是随着其相关操作行为形成多节点的时间痕迹。甚至同一电子数据的同一时间信息在不同节点均会有体现,相互印证。

一是关注同一电子数据的网络时间线。如果电子数据经过网络传输,那么除了在电子设备中留下时间信息,也会在网络中留下时间痕迹。此时可将其多个时间节点进行串联,以判断是否符合规律。以我们工作中常见的电子邮件为例:(1)每一封电子邮件在收发目录中均有时间显示,如某封邮件目录显示时间为“2022年12月9日”;(2)在邮件内容中会显示发送时间或收件时间,如显示为“2022年12月09日 15:54(星期五)”;(3)在“邮件信头”中,还会有更精确的“发件人邮箱”“发件人邮箱服务器”“收件人邮箱服务器”“收件人邮箱”四重时间信息,如上述同一封电子邮件信头中显示为“09 Dec 2022 07:54:14 +0000”“09 Dec 2022 07:54:17 +0000(UTC)”“09 Dec 2022 07:54:17 +0000(UTC)”“15:54:19 +0080(CST)”;(4)有些带有附件的邮件,还可查看附件文档的附属信息时间。司法场景中,可将上述电子邮件不同节点时间信息进行全面观察比对,看能否形成相互印证的“时间链”,并据此判断电子数据真实与否。如上述例子中,该邮件的目录时间、正文时间及邮件头时间相互印证,从发件到收件时间为UTC的2022年12月9日7时54分14秒至19秒(换算成北京时间则在此基础上加8小时),符合一般邮件的时间规律。

二是关注信息系统的全盘时间线。时间线是指对计算机系统中发生的事件按照时间顺序进行排列。该方法强调通过分析文件系统中元数据的时间戳来对相关事件进行时间排序。简单来说,时间线是按时间顺序来展示一组事件的方法,能够直观回答“什么时间发生了什么”。时间线上的事件主要包括:(1)文件系统类,如文件修改事件、文件访问事件和文件创建事件;(2)网络访问类,如网页浏览、下载、Cookies、收藏、访问历史和搜索等动作;(3)混杂类,如电子邮件收发、最近文件、已安装程序、附加设备等。实践中,不少取证分析软件可以还原服务器、硬盘、手机等系统镜像的“全盘时间线”,即对该设备有史以来所有事件的时间信息进行提取并排序。“全盘时间线”可为电子数据时间审查提供最全面的信息,能够对给定事件之前、之中和之后发生的事件有一个全局的概览。实践中,可结合具体案情去关注特定时间的事件或特定事件的时间。例如在某知识产权案件中,涉案硬盘送检后首先进行了全盘时间线分析。根据案情,重点关注硬盘扣押后有无数据操作事件。经分析发现,扣押后的三个时间段集中对涉案硬盘进行大量违规操作行为,包括接入硬盘至其他设备、写入数据、删除数据等。此外,通过全盘时间线分析还发现,该案中几个关键的电子文档总是同时且多次出现,操作文件间隔时间不超过一分钟,操作行为包括写入、修改等,由此不得不怀疑几份电子文档涉嫌人为批量造假产生,并多次进行改写等操作。

3.自然时间映射:日志事件时间序列

通常情况下,一般推定电子数据的机器时间即为自然时间,前提是机器时钟得到校准、和自然时间保持一致。然而司法实践中,经常会发现涉案人员通过修改计算机系统时间来伪造电子数据。此时若仅关注电子数据的机器时间则会陷入嫌疑人所设置的误区,根本无法还原真实的事件时间。因此,一旦怀疑电子数据机器时间有伪造可能时,就应转而关注电子数据背后操作行为所实际对应的自然时间。计算机相关系统在设计的时候,实际上隐藏着很多自然时间的信息来源。此处并非指系统对自然时间的精确记录,而是对电子数据操作行为按照自然时间进行排序,由此可推断电子数据的真实时间序列。

实践中,一般会依据WINDOWS事件日志(event log)、NTFS系统中的$USNjrnl日志等来对电子数据相关事件的时间进行还原。WINDOWS事件日志全面记录了系统运行期间发生的事件,对于了解复杂系统的活动至关重要,包括应用程序日志、安全日志、系统日志等,每条事件记录中都包含来源、记录时间、事件ID、任务类别、级别、关键字、用户等信息。取证调查人员往往能够通过WINDOWS日志分析揭示用户的行为。它的一个独特特征是事件按照自然时间进行排序,即便将系统时间篡改为之前或之后的某个时间点,日志中的事件仍然按照自然时间进行排列。简单实验如下:将电脑的系统时间从本地时间(校准自然时间)的2023/1/18 13:22改为2018/6/15 13:49,进行一些操作之后再重新调回本地时间。打开WINDOWS日志后就会发现:在2023/1/18的系列日志记录中,夹杂着数条2018/6/15 13:49的日志记录。可见,虽然机器时间随着人为修改行为而发生了变化,但是相关操作行为、事件在自然时间的映射顺序并不会发生变化,反而可以此作为机器时间篡改的依据。$USNjrnl 被称为更改日志,是NTFS 中的日志文件,用于跟踪对文件进行更改时的日志。$USNjrnl 同样也是受 WINDOWS保护的文件,这使得更改或删除特别困难,具有较高的可信性。其有关自然时间映射的原理与WINDOWS事件日志一致,不再赘述。

(二)电子数据拓展形式中的时间信息

司法实践中,电子数据常见的拓展形式包括以下两类:一是电子数据提取、扣押、勘验等相关笔录;一是电子数据鉴定意见或检验报告。可从以下几个方面去寻找其时间信息:

第一,文书中记录的诉讼行为时间。按照法律规定,笔录中需要明确填写电子数据的扣押、提取、勘验、检查、鉴定等时间。例如某X号鉴定书中记载:“受理日期2016年6月8日”“鉴定人于2016年6月12日10:40分至2016年6月12日11:00分,对委托单位送检的固态硬盘**进行克隆……”。该时间可作为诉讼时间以供审查比对。

第二,文书中操作截图反映的时间。上述文书中一般会详细记录操作步骤并配有相关截图。例如电脑操作系统截图中右下角会显示时间,有些截图还可以显示电子数据的修改时间。此类截图一般能够直观反映电子数据机器时间,在无法获取电子数据本体的情形下,是非常重要的时间审查材料。例如上述X号鉴定书中配有“取证大师”工具所做的校验值计算截图。截图显示的校验值计算时间为“2016/6/22~2016/6/23”,明显与鉴定书中记录的“2016/6/12 10:40~11:00”时间不符,且正常的电子数据校验值计算也毋需花费两天时间。

第三,文书所附光盘中的时间信息。电子数据鉴定意见及检验报告一般会附有光盘,光盘中会存储本次鉴定的电子数据检材及检验结果数据,有些还附有鉴定操作步骤的电子截图。光盘中的电子数据、电子截图的附属信息都可以作为时间审查的依据,例如可审查电子数据检材的“修改时间”是否在提取、扣押时间之前,电子截图的附属信息中时间顺序是否与鉴定书中操作步骤一致等。

第四,电子版文书的附属信息时间。有些案件中还会移送如WORD等电子版本的笔录。通过电子笔录附属信息时间(最后一次修改时间),可以还原出该笔录的实际形成时间。

王燃 | 电子数据真实性判断的时间审查

三、电子数据时间审查的方法

王燃 | 电子数据真实性判断的时间审查

 电子数据时间审查的方法主要是在矛盾律指导下的比对法。通过时间信息的比对发现矛盾之处,进而推断电子数据的真实性存疑甚至造假。根据实践经验,可从机器时间、诉讼时间以及自然时间三个不同维度进行交叉比对。

(一)电子数据机器时间与诉讼时间的比对

此处的“诉讼时间”是指电子数据相关侦查行为的时间,如电子数据扣押载体时间、提取时间、勘验时间、检查时间、鉴定时间等。根据法律要求,上述侦查行为时间在相应的法律文书中都会有明确的记录,可将其视为电子数据相关诉讼行为的“应然时间”。实践中,将电子数据机器时间与相关侦查行为时间进行多方位的交叉对比,可取得良好的审查效果。

1.电子数据首次收集、提取时间与电子数据机器时间进行比对

电子证据的首次收集、提取时间是尤为重要的一个节点,包括首次扣押载体时间、首次提取电子数据的时间等。按照相关法律规定,电子数据一旦经法律程序收集、提取后,即应当采取相应的完整性保护等措施,不得对其进行增加、删除、修改等。据此,可将电子数据时间审查方法归纳为:根据相关法律文书记录,以电子数据首次收集、提取的法律时间为分界线,审查是否有附属信息时间在此之后的电子数据以及相关操作日志记录,并由此聚焦于关键证据的真实性。例如在“快播案件”中,四台涉案服务器的首次扣押时间为2013年11月18日,一审法院委托国家信息中心的司法鉴定事项之一即为“通过检验4台服务器内现存的qdata文件属性信息,分析确定这些qdata文件是否有在2013年11月18日后被从外部拷入或修改的痕迹”。检验方法即为审查qdata文件附属信息中是否有2013年11月18日之后的时间。再如笔者参与的一起案件中,部分重要电子数据来源于被害公司所提交的U盘(之后作为电子数据鉴定的检材)。公安机关笔录记载U盘数据提取时间为2019年11月15日,然而辩方审查纸质鉴定意见书中U盘截图发现(辩方未能获取到电子数据本体形式),有大量电子数据的“修改日期”为2019年11月15日之后,说明电子数据受到了污染,真实性存疑。在此过程中,还要特别注意电子数据存储介质扣押之后有无增删修改数据、外接USB等操作记录。例如一起诈骗案件中,在控方所开示的手机取证数据中,辩方发现了大量手机扣押之后所产生的数据,包括移动数据流量使用记录、接打电话数据、收发短信/微信数据,说明该涉案手机在扣押之后仍处于开机状态并连接至互联网使用;特别是发现手机扣押后有近百条通话记录被删除的痕迹,表明相关涉案证据可能遭到人为灭失。辩方遂将上述电子数据的时间异常点整理提交法庭,对证据真实性辩护取得良好效果。

2.电子数据法律文书的内容时间与法律文书的机器时间进行比对

单独对电子数据法律文书进行时间审查,是一个容易被忽视的隐藏技巧。从证据形式上来看,尽管法律文书属于“笔录”类证据,但是其电子版本仍然符合电子数据的技术原理,可充分利用其附属信息时间进行审查。该方法主要通过比对法律文书所记载的“法定时间”与该文书电子版本的机器时间,来判断电子数据收集、提取等侦查行为本身是否存在异常。具体而言,很多案件会随案移送电子数据相关法律文书的电子版本(WORD或PDF形式)。从法律文书内容上来看,扣押、勘验、检查等笔录中均记录了本次电子数据相关侦查行为的时间。从电子版法律文书附属信息上来看,根据其“修改时间”可以推断该法律文书的实际制作形成时间。按照正常逻辑推断,法律文书的“修改时间”应当与其文书中所记载的时间基本一致,即便考虑到实践中会有事后补制文书的做法,二者相差时间也不应当过长。一旦出现电子法律文书附属信息时间过于提前或延后于其内容所记载的时间,则说明该文书为事前制订或事后补证,并由此推断相关电子数据提取、收集等行为异常,电子数据真实性存疑。

特别是随着涉众型网络犯罪的兴起,很多案件中的电子数据动辄达到海量级别,相关的法律文书也卷帙浩繁。面对此类案件,对法律文书的机器时间与内容时间进行“批量式”比对实际上是非常高效的审查路径。例如在一起涉众型诈骗案件中,公安机关提取了上百部手机、电脑中的数据,如果直接审查电子数据,则工作量过于庞大。辩方注意到本案中也移送了数百份电子数据勘验、检查笔录的电子版本,便转而审查笔录本身。通过对笔录内容时间与其电子版本的机器时间的比对,发现两者存在明显不一致的情形,并呈现出大批量、规律性违规的现象。如某份电子数据勘验笔录中记载的勘验时间为2019年6月14日至2019年6月21日,而其电子笔录附属信息则显示修改时间为2019年7月31日。由此可推断,要么该份电子数据勘验笔录是在其实际勘验之后1个多月才补制完成;要么电子数据勘验实际上于2019年7月31日左右进行。无论哪种情形,都说明该次电子数据勘验行为的异常,电子数据真实性存疑。通过此方法,辩方对本案上百份电子数据法律文书进行了时间比对,发现不仅存在大批量时间异常的文件,而且电子版法律文书的机器时间主要集中于四个时间段。意味着侦查机关在这四个时间段内,集中制作了近百份电子数据勘验、检查等文书。辩方将上述电子数据时间审查意见提交法庭,取得了良好的辩护效果。

上述法律文书时间审查法还可举一反三,如运用于电子数据鉴定意见、检验报告等文书的审查。值得单独一提的是电子数据相关“截图”的时间审查法。在电子数据的鉴定意见、检验报告等文书中,一般每一步骤都会配有相关操作截图,截图的电子版本有时也会一并随案移送。此时,可将电子版截图附属信息时间与本次法律文书中所记载的检验、鉴定等时间进行比对,看二者是否一致,从而判断鉴定、检验等活动真实与否。更进一步,还可将所有电子截图按“修改时间”进行排序,并与文书中记录的操作步骤顺序进行整体比对,审查二者时间顺序是否一致。具言之,根据鉴定、检验文书中记载的操作步骤,每一步骤所配的取证截图有一定的顺序,该顺序一般是按照技术规范进行;同时,可对附带的所有电子截图附属信息中的“修改时间”进行一键排序,该顺序则反映了检验中实际的操作步骤。将上述两者顺序进行比对,若顺序一致,则说明实际检验符合文书中所记录的操作步骤;若顺序不一致,则说明实际检验与文书记录的步骤不一致,检验过程的真实性存疑。

(二)电子数据机器时间与自然时间的比对

实践中经常出现机器时间被人为修改的情形,给电子数据审查带来困难。某些案件中,犯罪分子的反侦查技术较高,会将电脑系统人为修改为某个特定时间,再创建或修改相关电子文件,由此来逃避侦查。此时文件的附属信息时间则显示为被修改后的电脑时间,即虚假的机器时间。此种情况下,仅凭一般经验难以识别电子文件时间的真伪,需要寻找电子数据的自然映射时间顺序进行比对,如上文所提到的WINDOWS事件日志时间序列、NTFS系统中的$USNjrnl日志时间序列。对信息系统中相关事件按照自然时间顺序进行梳理,重点审查其中是否有机器时间异常的事件,此类事件一般即为篡改系统时间后所留下的虚假电子数据。

试举一例典型案例如下:在2016年8月10日的某安全生产事件发生后,侦查机关开展了渎职调查。其中,某机构管理人员W负有安全监管的职责,但其拒不供认自己及其单位有此职责,并提交了一套安全管理标准体系文件给侦查机关。该文件中确实未规定W及其单位负有安全监管的职责。后侦查机关扣押了W的工作电脑进行检验分析。通过分析安全管理标准相关电子文件的附属信息时间,发现一批电子文件的时间异常,并且这些异常文件的“最后一次保存的日期”均集中于2015年7月8日与2015年7月2日。后通过查看电脑WINDOWS的事件日志,发现了文件时间异常的症结点:在2016年8月10日前,事件日志均为按正常时间顺序记录;2016年8月10日后,系统时钟变成了2015年7月8日;之后系统时钟变成了2016年8月15日;接着又变回2015年7月1日、2015年7月2日;最终时钟又回到2016年8月18日并按照自然时间顺序增加。WINDOWS事件日志的时间查看器默认是按照自然时间排序的,即便对系统时间进行了人为修改,相关的操作行为及机器时间仍然是按照自然时间进行排列。据此推断,本案的自然时间是2016年8月,8月10日案发后,当事人两次将电脑系统时间修改为2015年7月8日、2015年7月1日及7月2日。在对系统时间修改后,当事人紧急修改、伪造了相关文件。例如,在系统日志的2015年7月8日12:48:02处(修改后的系统时间),发现这样一条记录:“是否将更改保存到 安全生产责任制制度中?”说明当事人将系统时间改到2015/7/8之后,对“安全生产责任制制度”文件进行了修改及保存操作。

上述案例阐释了如何通过电子数据相关行为、事件的自然时间映射来发现伪造的证据。实践中,一旦怀疑电子数据机器时间有造假可能性时,便应当转变审查思路,通过查看WINDOWS事件日志,或者分析更为专业NTFS系统中的$USNjrnl日志,根据映射的自然时间顺序来还原真实的电子数据相关事件。

(三)电子数据机器时间与机器时间的比对

除了将诉讼时间及自然时间作为参照系之外,很多场景下还可对电子数据之间的机器时间进行比对,进而发现其异常点。电子数据机器时间与系统开关机时间的比对、电子数据不同阶段及不同节点的时间比对等,都是常用的机器时间比对法。

1.电子数据机器时间与信息系统开关机时间进行比对

司法实践中,涉及电脑等电子数据存储介质的,有时会对电子数据全盘时间线进行整体分析,其中有一类关键的时间信息是电脑的历史开关机时间。结合具体的案情,可对特定时段电脑的开、关机时间进行梳理(特别是电子数据载体扣押前后时间段、涉案电子数据生成前后时间段的开关机记录),并与电子数据的附属信息时间进行比对。重点审查在关机时间段有无电子数据的生成、修改、删除等痕迹。按常理推断,电脑在关机时间一般不会产生电子数据,至少不会生成电子文件。若发现电脑关机时间产生关键涉案电子证据,或者批量产生电子数据操作痕迹,则很有可能电子数据涉嫌造假,真实性存疑。例如在一起案件中,经对涉案电脑硬盘数据镜像进行全盘时间线分析后发现:在涉案电脑被扣押后,在电脑关机的多个时间段内,存在文件变更日志。一个合理的推断是,涉案电脑硬盘在关机后被拆卸下后作为外接USB设备连入其他电脑,进行相关电子数据操作,不排除有人为植入涉案电子数据的情形。又如在一起传销案件中,侦查机关于2019年8月6日对被告公司云服务器数据进行在线提取。辩方审查开关机数据发现,2019年8月3日之前服务器一直有着稳定的开机记录,很少关机;然而2019年8月3日至8月5日之间却异常关机。并由此进一步发现,侦查机关于2019年8月3日至8月5日违规私自取走服务器又送回,并且在2019年8月3日至8月5日之间产生大量不明的数据操作记录,包括之后用于鉴定的重要检材文件,真实性严重存疑。

2.同一电子文件不同阶段的附属信息时间进行比对

对电子文件的创建、修改、访问等操作均会留下相应的数据痕迹,并形成MAC时间信息。通过对同一电子文件不同阶段的附属信息时间的比对,可还原电子文件的生命周期,并进行真实性判断。例如以一份1.5万字左右的学生论文作业为例,附属信息显示其创建时间为2022/12/17 11:04,修改时间为2023/1/13 14:39,修订号为38次。可推断该学生于2022年12月17日创建文档开始论文写作,历经近1个月写作时间,期间经过几十次修改保存,基本上符合学生论文作业的写作规律,符合该场景下电子文件的生命周期规律。同理,司法实践中也可通过类似方法来还原电子文件的生命周期。在司法鉴定技术规范SF/Z JD0402004—2018《电子文档真实性鉴定技术规范》中,也明确规定了时间检验方法:“对检材文档的文件属性及元数据信息进行检验,分析其中的创建时间、最后修改时间、访问时间、MFT更新时间、最后打印时间、作者、最后保存者、编辑次数等信息”。

根据专业判断,只有当文件最初生成时,MAC等时间才会被统一设置成文件产生时间。对该文档有过任何访问、修改、复制等操作时,其MAC时间信息不可能完全一致。根据这一技术原理,可以判断电子文件是否有正常的生命周期,其技术性状是否符合刑法相关罪名所要求的“传播”“使用”等构成要件。例如在一起侵犯商业秘密案件中,最关键的一份电子证据是在被告人电脑中发现的一份电子文档,控方指控该文档中包含重要商业秘密。然而,通过对该电子文档MAC时间信息的比对,发现其生命周期存在明显异常。根据附属信息显示,该电子文件的创建内容时间、最后一次保存时间均为2018-10-6 19:00。用更为精准的取证专用软件Winhex查看该电子文件,进一步证实该文档上述时刻点在秒钟、微秒等刻度上的一致性:秒钟层面的“创建内容的时间”为2018-10-6 19:00:04,“最后一次保存的日期”为2018-10-6 19:00:15。两者在十六进制下仅仅存在11秒的细微差异,明显不符合一般文件的生命周期。结合本案侵犯商业秘密的背景,可进一步推断:第一,该文档没有正常生命周期,符合伪造电子文档的特点;第二,本案被告人根本没有访问过该文档,更谈不上使用其中的商业秘密。

上述案例阐释了如何通过对电子文件附属信息中的多维时间进行比对,来还原电子文件的生命周期,进而进行真实性判断。上述方法还可举一反三,如用于电子文件夹之间的时间比对,以及子文件与文件夹之间的时间比对等,在此不予以赘述。

3.同一电子证据不同节点的时间进行比对

当同一电子证据具有多个时间节点时,可以比对多个节点是否构成合理的“时间链”、相互印证,从而判断其真实性。例如在某一电子邮件(含附件)真实性鉴定中,就巧妙地运用了多节点时间比对法,发现其附件时间异常、涉嫌篡改。对主题为“加快进度指示”的电子邮件头信息分析,发现其四个节点的流转时间分别为:Wed,16 May 2012 08:52:53+0800(CST);Wed,16 May 2012 08:52:53+0800(CST);Wed,16 May 2012 08:53:03+0800(CST);Wed,16 May 2012 08:53:04+0800(CST)。可见,该封邮件的发送时间为2012年5月16日8点52分。然而,该邮件中的重要附件“鹏来公司声明.doc”的内容创建时间和最后一次保存时间均为2012年5月20日,明显晚于电子邮件发送时间。按照正常规律,应当先产生附件再将其添加至邮件中进行发送,附件的内容创建时间不可能晚于邮件发送时间。而本鉴定中的邮件附件时间晚于邮件发送时间达4天,说明附件“鹏来公司声明.doc”存在事后篡改的可能。后鉴定人还通过邮件存在备份、邮件流属性的字节数不一致、360杀毒软件日志发现该邮件被调用等异常点,得出“该邮件经过篡改”的结论。由此可见,对同一电子证据的不同时间节点进行比对,观察能否形成符合一般规律的时间链,可有效发现其异常点。

王燃 | 电子数据真实性判断的时间审查

小    结

王燃 | 电子数据真实性判断的时间审查

 时间审查的实践经验既有传统时间要素理论及电子数据系统性理论作为支撑,又拓展了传统证据审查的矛盾比对法,还结合电子数据的时间特征对电子痕迹理论进行了创新。相较于传统证据时间要素的单一性,电子数据在数据电文、附属信息、关联痕迹及网络节点中均留有大量的时间信息,为真实性审查判断提供了丰富的时间信息来源。与此同时,虚拟空间的机器时间与物理空间的自然时间相互交错,自然时间的客观稳定性也为电子数据时间比对提供了天然参照系。在虚拟空间中,可进行机器时间之间的对比审查;在虚拟空间与自然空间中,可进行机器时间与自然时间的比对,并由此识别造假的机器时间;此外,法律上的侦查行为时间也为电子数据审查提供了比对依据,可据此发现时间“不合法”的电子数据,并进而对数据真实性提出质疑。诚然,时间审查法仅是根据实践经验所做的有限归纳,随着电子取证技术的发展,电子数据时间审查必定还会有新的视角和技巧。随着数据分析技术的发展,除了“时间”要素外,电子数据的审查还可聚焦于“人”“物”“空”等其他要素,形成多元化的审查体系。

原文始发于微信公众号(电子物证):王燃 | 电子数据真实性判断的时间审查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日12:28:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   王燃 | 电子数据真实性判断的时间审查http://cn-sec.com/archives/2937878.html

发表评论

匿名网友 填写信息