进一步加强电子取证在稽查办案中的应用

            摘要：随着电子计算技术的迅猛发展，尤其是移动新媒体设备的发展，使得资本市场上交易电子化、网络化及过程更加迅捷，相关计算机违法犯罪案件一直在逐年增加，如何提高电子信息技术取证在稽查执法中应用，成为迫在眉睫的问题。本文通过分析当前电子取证面临的问题和困难，对如何进一步加强电子取证在稽查办案中的应用提出有关建议和意见。

关键词：现状  电子取证  稽查执法应用  建议

前言：随着计算机的普及和计算机网络的广泛应用，以计算机为犯罪目标和以计算机为犯罪手段的网络犯罪呈现出惊人的增长速度。为了调查这些犯罪行为，计算机取证技术显得尤为重要。计算机取证技术发展将近20年，计算机取证的定义由 International Association of Computer Specialists (IACIS)在1991年美国举行的国际计算机专家会议上首次提出。计算机取证也称数字取证、电子取证，是指对取证人员如何按照符合法律规范的方式，对能够成为合法、可靠、可信的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。数字证据一般情况下是指关键的文件，图片和邮件，有时候则应要求重现计算机在过去工作中的细节，比如入侵取证，网络活动状态取证等。电子证据与传统物证相比较，具有技术性、复合性、无形性、脆弱性等特性。

在近两年的各类稽查案件中，电子证据的占比越来越高。2011年7月发布的《最高人民法院关于审理证券行政处罚案件证据若干问题的座谈会纪要》也专门就电子数据证据作出了规定。这些都表明电子证据在证券稽查案件中的重要性日益突出，提高电子取证能力是当务之急。因此，我们应当充分认识电子取证的重要性，认真分析现状，研究提出解决方案，尽快提升电子取证能力，提高案件调查效率。

一、电子证据的主要特点及取证方式

（一）电子证据的特点。证据三性包括了真实性、关联性、合法性。电子数据也须具备关联性、合法性与真实性，才可能作为电子证据。电子取证的重点之一是如何保证电子证据的真实性。

电子证据的主要特点包括：1、电子证据的载体的多样性；2、技术依赖性；3、形式复合性；4、存储与传递的隐蔽性；5、易毁坏易变造性；6、可恢复性。证券业中的电子数据还存在着数据量大、复杂性高、数据脆弱等特点。

证券行政执法现场电子取证的特点：往往只有一次取证机会，一般无法带走原始载体，同时电子证据还具有一定的隐蔽性。因此取证动作要快，同时需要多名取证人员协作配合等。

（二）电子取证技术分类。由于电子数据自身的特点，电子证据取证的方式可以分为静态取证和动态取证。

1.静态取证

静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析，主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。目前，国内外对相关技术研究比较多，也有比较成熟的取证软件。

针对计算机静态取证技术，目前反取证技术主要有：数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术，这些技术可以单独使用也可以混合使用。如果采用这些方法消除操作系统中的敏感信息，有可能使取证人员得不到电子证据，给计算机取证工作带来了一定的难度。传统的计算机取证主要针对稳定的数据，包括未删除和已删除的文件、windows 注册表、临时文件、交换文件、休眠文件、slack 空间、浏览器缓存和各种可移动的介质等。不同于传统的计算机取证，计算机内存取证是从内存中提取信息，这些信息被称为挥发（易失）数据，挥发数据是指存在于正在运行的计算机或网络设备的内存中的数据，关机或重启后这些数据将不复存在。

2.动态取证

因为静态取证技术涉及到基础研究，因此在静态取证中所涉及到的技术大部分都适用动态取证，也是属于动态取证技术中的一部分。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术，IP地址获取技术等技术。针对计算机动态取证技术，其反取证技术除包含静态反取证技术的相关内容外，还有以下反取证技术：数据转换技术、数据混淆技术、防止数据创建技术，以及相关的黑客木马技术等。同样这些技术可以单独使用也可以混合使用，这些技术的使用在一定程度上给取证人员带来了一定的困难。

目前我国计算机取证技术和反取证技术还处于起步研究阶段，越来越多的数据保护、加密、隐藏技术应用于计算机犯罪和反取证。计算机取证环境也越来越复杂，其静态取证和动态取证相互之间的界限也越来越模糊，取证过程的系统化、智能化和合法化将是日后取证技术研究的重要方向。

二、充分认识电子取证的重要性

（一）提高电子取证能力是适应形势发展的必然要求。证券监管部门和市场违法者是博弈关系，双方博弈的过程是不断形成均衡和打破均衡的过程。站在监管者的角度，均衡就是监管资源和监管技术足以遏制某种违法行为，并能够有效震慑潜在的违法者的理想状态。随着资本市场的高速发展，实现监管均衡的技术难度越来越大。一方面证券市场信息化程度越来越高，很多违法行为都被包装在电子化、网络化和无线化的外衣之下，另一方面监管部门的监管意识、监管资源和监管技术难以满足信息化的要求，我们的电子取证能力不足，还不能高效的发现并查处证券、期货违法行为。因此，我们必须顺应形势发展的需要，把电子取证作为提升稽查办案能力的核心问题抓紧抓好。

（二）提高电子取证能力是提高稽查效率的必然要求。电子取证能力包含两方面，一是稽查执法部门自身的信息化程度，我们还没有能够集成稽查现场调查、证据分析整理、案件过程管理等功能的信息系统平台。二是获取电子证据的信息化程度。对书证等有形证据的获取我们积累了大量的经验，但获取电子证据我们还处于初级阶段，盲目性、随意性较大。不论是哪一种情况，都极大的影响了稽查工作效率，浪费了大量调查时间。有的时间流失在松散无序的案件管理过程当中；有的时间流失在面对电子证据的手足无措当中。甚至因为无法获取关键的电子证据而导致案件定性的方向性错误。因此，我们要提高案件调查效率，必须以提高电子取证能力为突破口，全面提升案件管理能力和获取电子证据能力。

（三）提高电子取证能力是提升队伍素质的必然要求。应当看出，今后电子取证将成为稽查执法中的常态工作，电子证据在办理证券、期货违法案件中起到愈发关键的作用。而目前，证监会系统，尤其是派出机构的稽查执法人员大部分都集中在会计、财经和法律领域，信息技术方面的人才已经成为短板。因此，提升稽查队伍电子取证能力成为重中之重。

三、安徽证监局电子取证工作的现状

近两年，我们已经逐步加大电子取证的力度，在所有正式和非正式案件调查当中，把调取通讯记录、电子邮件、IP地址以及重要信息的电子记录作为必须执行的程序，也取得了不错的效果。但是我们的电子取证工作既存在主观方面的不足，也面临一些客观困难。主观不足表现在三个方面：

（一）电子取证意识有待加强。一是责任意识不足，习惯于获取有形的、书面的证据，对电子证据存在排斥、轻视的心理。二是证据挖掘意识不足，对电子数据采取一般性、表面化的调查方式，不能或不愿深入挖掘深层次的证据，导致可能取得的证据流失。三是程序意识淡薄，电子取证的程序要求比书证更高，但在调查过程中往往疏于制作收集电子数据的笔录，导致电子证据无法有效固定。

（二）电子取证制度有待健全。一是没有将电子取证纳入稽查执法责任制，没有规定电子取证的责任人、责任边界、责任追究、免责等问题。二是没有建立电子取证工作制度，未对电子证据的提取、固定、保存、恢复即破解等实体程序作出全面细致的规定。三是没有具备可操作性的电子取证流程方法。

（三）调查人员素质有待提高。一是大部分调查人员不具备独立进行电子取证的基本知识和技能。二是缺乏计算机和信息技术方面的专门人才。三是缺乏电子取证的人员培训、培养计划。

（四）取证设备缺乏。硬件不足，缺乏案件调查必需的电子数据提取设备、存储设备以及记录取证过程的录像、拍照设备。

（五）寻求外部协作难度大。由于与公安、工信部门没有建立顺畅的协作机制，不少案件在IP地址落地、通讯记录调取、手机号归属确认等方面存在很大困难，轻则耽误时间，严重的导致案件无法推进。

四、稽查办案时运用电子取证应注意的事项

由于电子证据与生俱来的易破坏性、高科技性等特征，且相关法律法规对电子取证要求十分严格，因此我们在利用电子信息技术提取有关证据资料时一定要谨慎，不仅要保证数据物理完整性，更重要的是保证其所包含的电子信息的完整性。

1.切勿对电子信息进行修改。有些时候，这种修改并非是取证人员有意为之，可能在取证人员不经意间对物证进行了更改。例如：取证人员在提取电脑物证时，对关机状态的电脑进行开机操作，这样会使开机的最后时间，和部分文件的修改时间产生变化，有可能对物证的提取造成不利影响。

2.保证电子信息的完整性。如果在提取物证电脑时，嫌疑人正在使用电脑或者电脑处于开机状态，这时取证人员也不要对电脑进行操作。为了保证电子信息的完整和全面，最好是使用专门的工具进行现场保存数据。但在日常工作中可能很难配置众多移动设备，这时最好是对电脑直接关闭电源。这里指的关闭电源并非我们日常使用电脑的关机，而是对电源插头直接拔出。这样做的好处是：一是最好的保证了数据的完整性。因为任何操作都会对部分数据进行更改。二是防止挥发性数据丢失。当嫌疑人进行操作时，可能有些加密文件正处于打开状态，这时按日常的操作关闭程序会使加密文件重新变回加密状态，另外任何操作都会使内存中可能存在的一些电子证据被破坏。而直接关机则可保证临时文件和内存中的数据都被较为完整的保留，便于下一步工作的展开。

3.注意提取周边设备、周边物证。在提取电脑数据的过程中，应考虑到同时提取该计算机的外围硬件，如打印机、扫描仪、U盘、移动硬盘等。在提取电子设备时，在周边可能还会存在一些相关的非电子信息物证，例如记录在纸上的口令，打印出来的文字、图表和照片等，这些相关的物证检材可能对后期的电子证据检验起到重要帮助，因此也应该一起提取。

4.保证数据安全。电子设备和存储介质很容易受到损坏，所以必须小心保存和运输。因为电子信息相对于物理证据更容易被丢失和损坏。除了同物理证据一样需要防火、防水和防盗之外，在存放和运输过程中，还必须避开强电磁场，高温和高湿环境也会对电子证据检材产生很大危害。同时还应当注意采取防震措施，当电子设备特别是硬盘，受到超过一定强度的冲击力后，即使外观没有可见损伤，但设备内部也受到损坏。

5.一定要有备份。所提取的数据，很可能要进行后期比对分析，这样容易对原数据进行改动，因此，在提取资料时一定要多提取一份，以备分析或查看。

五、提升电子取证水平的措施和建议

（一）开展电子取证专题培训，强化电子取证意识。首先请稽查总队的专家到我局进行电子取证专题授课，普及电子取证知识的同时，提高我们对电子取证的重视程度。其次要组织电子取证专题调研，对今年所办案件中电子取证方面的得失进行分析，提出完善电子取证工作规划。通过不同形式的培训和调研，不仅使全体稽查人员了解电子取证的基本知识，还要强化大家的责任意识、证据意识、程序意识。

（二）制定电子取证工作制度，规范电子取证行为。明确处室电子取证负责人及其职责范围，案件调查组电子取证责任人及职责范围，其他调查人员电子取证职责范围，责任追究及考核。同时，尽快制定出台我局稽查案件电子取证工作指引，研究制定电子取证操作指南，包括案例汇总、经典调查程序、工作底稿模板、电子取证程序模板等。

（三）成立电子取证工作小组，加强专业人员的培养培训。即使是很完善的制度也不能保证电子取证达到令人满意的效果，这是电子证据的复杂特性所决定的。而起着更加重要作用的是调查人员的责任感、敏感性和专业性。首先要建立一定程度的组织保障，根据我局实际情况，建议成立电子取证专业技术小组，以稽查处为主，吸收具有相关专业背景或从业经验的人员参与，在尽可能短时间内形成一只具有电子取证能力的队伍。二是细化电子取证专业技术岗位的责任和考核。三是开展多层次培训，专业技术小组要通过交流学习、自我学习等方式，掌握电子取证的基本程序和方法，重点是在实际办案中加以运用并总结，形成行之有效的电子取证方法体系。

另外，有些问题超出派出机构的范畴，建议由会稽查局统筹解决。一是在派出机构和总队之间建立电子取证工作联系机制，由总队向派出机构提供技术支持。二是建立人员交流机制，稽查局可以安排派出机构人员到稽查总队技术处以干代训。三是建立证监会与公安、工信部门的协作机制，解决IP地址落地、手机通讯记录调取等问题。四是在今后的稽查经费安排中专项设置电子取证经费，包括设备购置费和日常维护费用。

（安徽证监局稽查处）