冯聪:网络远程勘验规范化发展的探索与实践

  • A+
所属分类:云安全


感谢冯老师授权本号发布原创文章!冯老师十分高产,后续还有十余篇文章与大家分享。感谢!



作者简介:冯聪(1980- ),男,警务技术副高级,硕士,主要研究方向为电子数据取证,Email;[email protected]。项目基金:广州市科技计划项目(2019030017)

 

摘  要:网络远程勘验是公安机关办理刑事案件时将网络空间中的涉案电子数据固定为证据的常用取证措施,其没有实体检材的特点是电子数据取证有别于传统物证检验鉴定的典型体现。经过多年的探索实践,网络远程勘验虽已逐步形成了相应的规则、流程、方法等规范,但在不断发展变化的涉网案件新形势下,今后仍需在实践中继续探索和完善。

关键词:网络远程勘验;电子数据取证;规范


0.引言

公安机关在办理刑事案件过程中,特别是案件的初查阶段,运用网络远程勘验将网络空间中的涉案电子数据固定为证据,是广泛常用且不可或缺的电子数据取证措施。网络远程勘验的对象主要是远程计算机信息系统,其没有实体检材的特点是电子数据取证有别于传统物证检验鉴定的典型体现,正因如此,网络远程勘验工作要形成规范化的流程、方法,不仅要参考借鉴刑事技术现场勘验检查规则,还必须结合其特殊性和实际工作需要,对专门性、技术性等问题进行实践探索。经过十余年的积累,公安机关虽已逐步确立了网络远程勘验的专门规则和行业标准,但在面不断发展变化的网络安全及涉网案件的新形势下,仍需将网络远程勘验相关操作细则规范继续完善。

 


1.网络远程勘验的工作背景

1.1法律法规的发展历程

电子数据取证起源与公安机关办理《刑法》第285、286条规定涉及的入侵、破坏计算机类案件,这类案件的犯罪过程往往发生在网络空间中,网络远程勘验在提取收集涉案证据的需求下应运而生。随着互联网社会的到来,远程勘验便广泛应用于各类刑事案件的取证中。

2005年,公安部《计算机犯罪现场勘验与电子证据检查规则》中,首次提出了远程勘验的定义并制定了工作规则。往后的十年,远程勘验便成为公安机关通过网络对远程目标系统提取、固定系统的状态及存留电子数据的主要工作措施。

2016年,“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》将之前的远程勘验工作内容细分为网络在线提取和网络远程勘验。即对于原始存储介质位于境外或者远程计算机信息系统上的电子数据可以通过网络在线提取;而为进一步查明有关情况,必要时可以对远程计算机信息系统进行网络远程勘验。

2018年,公安部《公安机关办理刑事案件电子数据取证规则》中,规定对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取;并对在网络在线提取的基础上进行网络远程勘验的六种情形(如对远程目标安装新程序、生成新数据等)作出明确规定。同年,公安部标准《GA/T 1476-2018 法庭科学远程主机数据获取技术规范》和《A/T1478-2018 法庭科学网站数据获取技术规范》发布,这两份行业标准为网络远程勘验的主要工作内容提供了参照。

1.2取证工具的更新发展

网络远程勘验采用录像、截图、下载等方式对网上的电子数据内容及状态进行固定,取证所用到的工具也经历了从无到有的更新发展过程。

2010年之前是该工作开展的初期阶段,由于缺少成型的工具和标准的操作方法,取证人员需要根据保护电子数据完整性、详细记录来源等取证原则,制定取证的步骤,综合运用公开通用的屏幕录像软件、屏幕截图软件、下载软件等工具,在浏览展示及收集提取网上数据的同时,详细记录取证过程与结果。这种手动操作的远程勘验方法主要应对的是普通网页内容的固定,对于内容较多的网站目标显得效率低下。

2010年以来,取证业界的相继推出了远程勘验的自动化辅助设备工具,可实现对远程目标的时间校验、屏幕录像、内容截图、网站文件下载等一连串自动操作,取证人员只需设置好目标参数等策略即可。远程勘验的取证效率自此得以大幅提升。

2018年,取证业界又推出了专门针对云端数据的远程勘验方式及其对应设备工具,实现了通过原始存储介质检查提取的认证数据,进而远程勘验提取各类网络应用程序的云端数据,进一步拓宽及提升了网络远程勘验的应用范围和实战作用。

1.3不同时期的案例目标

    在过往的十余年,随着互联网生态的不断发展变化,网络远程勘验面对的目标对象也是层出不穷,不同时期又有着对应的典型案例。

1.3.1传播淫秽物品案中的涉黄论坛网站

    二十一世纪之初,互联网各类论坛网站刚刚兴便快速成为网民获得及传播信息的新渠道,各类境外的涉黄论坛网站随之蔓延开来。这类案件的犯罪情节主要是境内网民在涉黄论坛上注册会员、充当版主,发布及转载淫秽图片及视频,有的还会通过获得网站广告牟利。而传播淫秽物品案的刑事立案的条件是发现有传播四百件次以上的淫秽物品(图片、文字)或四十件次以上的淫秽录像(视频)。因此在这类案件的初查阶段,往往需要由公安机关网安部门针对不同的目标对象,用截图方式在论坛各版块网页上逐一固定数百张涉黄图片,交由治安部门鉴定内容属于淫秽的图片达到入刑标准后方能立案侦查。网络远程勘验在这类案件中首先起到了提供立案依据的关键作用,到了案件后期,远程勘验所固定的淫秽图片又成为定罪量刑的证据。近年来,随着网络直播平台的兴起,这类案件的案情随之发生变化,远程勘验的目标也由静态的网页图片转为动态的流媒体信息。

1.3.2赌博、开设赌场等案中的赌博网站

  自互联网网站出现至今,境外赌博网站便一直侵扰国内网民,时有网民甘于触碰法律底线,在赌博网站投注、为赌博网站充当代理发展下线,构成赌博、开设赌场等犯罪。由于投注操作都发生在网上,赌博网上的投注记录是案件的主要证据,需要通过远程勘验及时进行固定。远程勘验时,通过屏幕截图将在赌博网站浏览到相关投注记录、上下家层级等报表式数据进行固定。

1.3.3 寻衅滋事等案涉及的社交应用平台

  自2006年脸谱网创立以来,各类社交应用平台便如雨后春笋般出现并迅速成为最热门的网络应用。境内外各种社交互动平台上屡现违法有害的信息,如有国内网民在这些社交平台上发布触犯刑法规定构成犯罪的信息,公安机关需要运用网络远程勘验固定相关信息形成案件证据,主要操作方式同样是屏幕截图,记录特定社交账号所发布的图文内容。

1.3.4团伙型案件涉及的云服务器

近年来,随着云存储和云服务器租赁价格变得大众化,现已成为架设网络应用系统的首选渠道。而在公安机关办理的一些传销、非法吸收公众存款、侵犯公民个人信息等类型案件中,犯罪团伙为了躲避法律制裁而将运行有核心业务应用系统服务器架设在境外的云平台上。为支撑案件侦查,公安机关对此需要运用网络远程勘验固定云服务器应用系统中的大量涉案数据,取证过程中往往还需要采取一些专门技术方法。此类远程勘验主要围绕获取相关云服务器应用系统的数据库开展。

2.发展趋势和存在的问题

2.1未来发展趋势

随着勘验对象越来越多地涉及到云服务器等更前沿更复杂的应用系统和网络技术,今后网络远程勘验可能对应往这些方面发展。一是对境内云平台的电子数据,综合采用调取、冻结的方式与网络远程勘验相结合,能更全面更完整地固定证据;二是对境外云平台的电子数据,随着案件形式趋于严峻,网络远程勘验的作用越发重要,需要探索合运用多种技术进行取证;三是网络远程勘验工作将面临更多的网络隐匿等反取证措施,例如暗网;四是网络远程勘验过程将会面对更多的前沿技术问题,如基于区块链技术的数字货币追踪及相关数据固定。

2.2存在的问题

  当前,网络远程勘验由于涉及许多专业技术操作,公安部也暂时对实施主体限定在县级公安机关层级,未能在各类案件中广泛开展,在实际工作仍存在一些问题。

2.2.1办案人员未树立及时固定网上证据的意识

  在瞬息万变的互联网上,这分钟看到的信息可能在下一分钟就产生变化。一些案件的初查阶段所发现掌握的网上线索,如果不及时、完整、规范地固定成为证据,一旦灭失后就会使案件陷入被动。在实践中,有些办案人员仍为树立及时实施网络远程勘验的意识,有时会拿着线索信息或者初查时做的几幅屏幕截图投入侦查工作,到了临近收网抓捕时才实施远程勘验想要固定网上涉案数据,一看却发现数据已经发生改变,被动之下只能想办法补正,由此所固定的证据可能存在瑕疵。

2.2.2网络远程勘验的证据效力未得到足够认识

  网络远程勘验是电子数据取证法定措施之一,以屏幕截图等形式固定的电子数据已经是符合《刑事诉讼法》规定的法定证据。然而在案件实践中,一些办案人员和审查人员仍抱有陈旧的思维模式或“白纸黑字”的证据理念,认为网络远程勘验所做的屏幕截图需要打印出来由犯罪嫌疑人或数据持有人签名确认才算是完整有效的证据。这种不到位的认识源于未能对电子数据的性质特点及证据形式理解透彻,便盲目去套用书证的取证思路。假如某宗案件中远程勘验固定了成百上千张屏幕截图,都要逐一打印签认的话便显得雷人了,即使需要犯罪嫌疑人确认截图中的网络账号为其使用,则制作问话笔录详细记录即可。特此需要说明的是,将电子数据打印转发为书证的做法是多年以前电子数据未成为法定证据形式时的折中做法,自从2013年《刑事诉讼法》修订以后,便不必非要将电子数据转化为其他证据形式。

2.2.3难以找到合适的见证人见证远程勘验过程

  根据相关规定,网络远程勘验应当有符合条件的人员作为见证人,由于客观原因无法由符合条件的人员担任见证人的,应当对勘验过程进行录像。在实际工作中,网络远程勘验的情形与现场勘验取证的情形还是存在较大区别,难以找到合适的见证人。首先,网络远程勘验通常是在公安机关的电子数据取证实验室进行的,在内部办公场所内除了公安民警和聘用人员,实在难以找到符合与案件无利害关系、有法定行为能力、懂得基本网络技术等条件的见证人;其次,在网络带宽有限的情况下,远程勘验下载数据所需时间可能是现场勘验的十几倍甚至上百倍,大多数时间是无人工干预的数据传输时间,要让见证人日以继夜去看着实在勉为其难;再次,在案件初查阶段进行的远程勘验涉及案件侦查等警务工作秘密,要找能守秘密又可靠的见证人不易。因此,远程勘验的过程监督往往难以找到见证人,多数是用录像来记录。

3.规范网络远程勘验的思考与建议

3.1继续制定完善的实施细则

针对网络远程勘验中关于邀请见证人、采用技术措施等方面,公安机关应当结合案件实践继续完善网络远程勘验的流程细节要求,制定出台的合理可行的实施细则和适用条件,各项经套索成型的专业操作方法形成行业标准,并与检察院、法院沟通协调对相关的审查要点,从多个方面规范网络远程勘验工作。

3.2建立合法的专业工具体系

网络远程勘验需要用到各种各样的专业网络工具,需要合法合规化处理不仅有代理服务器工具,还有点对点传输软件、下载加速软件等工具。公安机关应对远程勘验所要用到的网络工具进行收集,择优建立专用工具体系。纳入体系的工具都应经过公安机关的检测认证,需要实现特殊功能的工具也应以体系标准去定制开发。

3.3提升对电子数据的理解认识

电子数据取证涉及到方方面面的网络及计算机专业技术问题,而没有实体检材、完全在网络虚拟空间实施的远程勘验更是需要办案人员对法律和技术均有足够认识。为应对今后日益严峻的新型犯罪发展态势,办案人员应全面细致研学吃透电子取证规则,针对电子数据的易失性要树立及时取证固定的理念,在打击各类新型犯罪中积极尝试多种取证技术方法,大胆运用网络远程勘验去固定电子证据。



冯聪:网络远程勘验规范化发展的探索与实践

本文始发于微信公众号(网安杂谈):冯聪:网络远程勘验规范化发展的探索与实践

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: