电子取证 | 取证预案4步法:轻松搞定现场取证前期准备工作

20.09.2018  11:31

执法人员在前往现场进行检查取证前,必须做好充分的准备工作。包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的计算机有几台等。根据所了解的案情,准备前往现场检查的执法人员和取证设备。现场检查前的准备工作,主要需要考虑以下几个方面的问题:一是由谁前往现场,二是携带哪些设备,三是记录哪些信息,四是注意哪些事项等。执法人员可以针对上述四个方面的内容进行适当的规划和准备,制定好相应预案。

 

第一步进入现场预案

首先 要初步查明计算机的类型和数量以及涉及的介质。 其次 是得到需要的取证软硬件。 再次 是确保预先拥有现场工具箱的所有工具,如只读锁和开机工具。 最后 是拥有备份和复制所必需的介质。应该提前准备好取证可能用到的各种设备和空白光盘、硬盘及其他现场可能用到的工具硬件。

 

第二步人员分配预案

 

电子数据取证是调查人员与涉案计算机操作人员之间斗智斗勇的过程。因此,在检查前期准备阶段,什么样的人员适合什么样的工作,也是规划准备工作的一部分。通常参与现场检查负责电子数据取证的执法人员要接受简单的电子数据取证理论、方法和过程的培训,培训内容主要包括现场检查基本流程及注意事项;识别主要电子文件类型;电子证据的固定流程和方法;正确扣押计算机的手段;获取计算机硬盘中涉案文件内容和文件属性信息等。现场检查负责电子取证的执法人员能够初步做到以下几点:计算机的常规调查;电子证据的固定及保存;对不同操作系统的调查分析;计算机保护;计算机调查分析文档的整理;使用计算机调查工具对电子证据分析;现场检查笔录、计算机提存笔录的制作。

第三步文书笔录预备

在对当事人经营场所进行电子数据的取证工作时,除了像非涉网案件一样需要制作《现场检查笔录》、《询问通知书》等文书外,还需要准备相应的取证笔录文书。取证笔录是指将取证证据种类、方式、过程、内容等取证情况通过制作现场笔录方式进行固定。针对电子取证所作的现场笔录,与一般案件实施现场检查时制作的现场笔录相比,专业性要求更高,内容也更详细,依照《最高人民法院关于行政诉讼证据若干问题的规定》等有关规定,一般包括以下内容:①检查时间;②检查地点;③当事人身份信息;④检查人员身份信息;⑤检查目标及证明对象;⑥电子数据原始载体保存情况;⑦取证使用的方法和工具;⑧取证步骤;⑨证据形成数量及保存方式;⑩执法人员和证据提供人签名或盖章;证据提供人拒绝签名或盖章的,应当在笔录中注明,并邀请适格见证人在笔录签名或盖章予以见证。同时,《计算机证据提存笔录》和《现场笔录》要相互印证,有扣押当事人电子介质的,还要制作相应的《实施强制措施决定书》、《(场所、设施、财务)清单》与取证笔录相互印证,形成现场检查完整证据链。

 

第四步现场处置预案

现场检查的情况往往都是我们预先无法精确预计的,包括现场的人员、设备的数量、检查范围等。

 

为确保整个检查过程能顺利进行,应提前对现场各种情况作处置预案,主要注意以下几个问题:

一是正确对待现场涉案人员。 涉网案件中的当事人往往雇佣具有较高计算机编程或操作能力的职工进行网站管理和后台运作,同时由于手机等可携带设备的高度智能化,现场任何人员均可通过联网电脑或联网手机远程关闭网站服务器或远程删除涉案电子数据,所以应正确对待现场任何一名涉案人员,而非简单的只针对负责人或财务人员。在小编以往的调查过程中,曾多次成功制止涉案人员试图利用手机无线连接WIFI路由器试图进行断网操作,以逃避执法人员对其网店销售记录进行在线调取。

二是正确对待现场所有设备。 电子证据具有易失性、易被修改性的特点,其易被修改性包含两个层面的意思:第一是数据在被作为证据固定前可能被修改。例如小编在现场取证时经常发现涉案电脑有现场删改或计算机重启、关闭的痕迹;第二是调查取证人员自身在收集电子证据的过程中,由于取证方法或取证流程不当等原因,造成原始证据被修改。因此,现场检查人员对每一个电子介质的调查,都要求所取证介质在取证过程中未受第三人不当操作并完整记录调查的每一个步骤以及采取该步骤的原因或目的。

三是正确考虑现场以外的涉案因素。 检查人员在现场应充分考虑在现场检查过程中,待检查计算机是否处于联网状态,是否需要处理联网状态。从原则性讲,在调查的过程中应将网络断开,防止违法经营人员或同伙通过远程方式进行数据删除等破坏工作。但是,由于部分案件的特殊性,如网络传销案件,其大部分会员数据和网站相关数据均存放在远程代理服务器中,而违法传销网站大多将代理服务器托管于国外运营商,使得服务器所在地和经营场所所在地不在一起,而两边同时进行检查的难度又极高。这时候对涉案经营场所的联网电脑进行细致检查就显得至关重要,根据小编以往现场检查经验,IT管理员所使用的电脑多数处于联网状态且保持远程连接网站服务器状态,这时便可以通过现场电脑对远程服务器数据进行本地备份,对远程服务器电子数据进行取证。另外,IT管理员为了网站的安全管理均会定期地对远程服务器的数据进行本地备份,这些备份在管理员电脑的电子证据也是提取涉案电子证据的重中之重,对案件的查办起至关重要的作用。