依荷听雨 发表于 2003-8-9 00:00:00

收集电子证据应注意的几个问题 [转帖]

马克伟(天津市君汇律师事务所)
转自http://www.lawwal.net/wlf/wlf4-1701.htm
随着计算机使用的普及,它已成为商务和交流的工具,无纸办公正成为现代化办公室的发展方向。以电子形式产生和储存的数据成为证据收集中越来越重要的一个目标。和其他证据的收集一样,收集电子信息的目的是要找到有用的信息并且用一种被认可的方式收集这些信息,使之确实能够作为证据。要实现这个目的并无秘诀可寻。所需的只是已经被证实了的系统的方法。尽管科技会不断的发展变化,但收集电子证据的基本技巧仍然会被证明是相当有效的。

本文就如何收集相关数据,如何保证所收集的数据被证明并成为证据提出一些实践性的指导。

一、接受委托后首先应该做什麽

许多律师现在都在寻找电子证据,特别是电子邮件,作为举证过程中的例行程序,但是事实上大多数律师很少有或根本没有经验去收集和分析他们寻找的数据。当律师接受委托后,相关证据特别是电子证据随时会发生变化。几乎用户每一次存档、安装新程序或者在计算机上作其他任何事情时,储存在计算机里的信息都会发生变化。特别是一些侵权人在侵权事实被发现后会修改或灭失相关证据。因此向有关各方(如第三方网站)发出你要寻找电子证据的通知是十分重要的。该通知发出得越早越好,并应尽可能具体,说明需要保存的信息类型,并且解释信息可能存在的地方。如有必要,应向公证机关或人民法院申请采取证据保全措施要求相关各方保存电子证据。

二、律师应按照什么程序进行取证

1、提出书面的举证请求。

请求中要包括有关电子证据的定义、说明和具体问题。

2、设计一系列问卷得出目标计算机系统的总体印象。

3、所有的举证要求都应清楚地表明你所要求的证据既包括电子文档也包括纸质文件。你可以通过说明性文件指出需要包括编辑资料、电子邮件或电子存储数据。还可以专门就计算机系统下的证据的类型(如磁盘、电子邮件和备份磁带)提出具体的要求。

最后,如有必要应附带检验要求。这样一来,你就可以检查目标计算机系统从而得到第一手相关资料。



三、举证要求中计算机系统应包括那些内容

l      计算机系统设置,包括计算机的数量和类型、操作系统的类型以及应用的软件包。当涉及软件类型时,别忘了询问软件制作者和每个程序的名称、版本。

l      所有电子邮件系统的结构,包括应用的软件、用户人数、邮件文档的位置和密码的使用。

l      所有网络的结构,包括网络服务器和工作站等配置以及使用中的网络操作系统的商标和版本号。

l      应用的具体软件,包括日历、项目管理、财会、文字处理和数据库管理等应用软件。还包括指定工业程序、专有程序、加密软件和实用程序。并且要了解软件的安装和升级时间。

l      负责当前网络操作、维修、扩展和维护的人员。

l      负责管理电子邮件系统的人员。

l      负责维护计算机产生的记录和该记录的管理、登陆方式的人员。

l      该机构所有计算机系统中使用的备份程序,需包括对用来制作备份的设备(如磁带驱动器)、负责制作备份的人员、备份信息、备份日程表等进行的说明。   

l      站点上或站点外对备份的归档和恢复程序。

l      用户进入计算机系统或网络系统的程序。包括使用密码和其他用于鉴别由特定用户创建、修改或登陆的数据的安全措施。

l      是否对个别文件的访问权限予以控制以及如何控制。要了解的信息如访问权限清单,它可以表明哪些用户有权访问哪些文件。

l      系统中共享的文件结构如何及怎样命名的。

l      不同类型的数据的归档与清除程序。

四、如何选择证据源

1.            选择备份磁带。

一个最丰富的证据来源就是哪些为防止系统瘫痪丢失数据而作的日常备份。这种信息通常都储存在高容量的磁带上,但实际上它可以存在于任何一种介质上。备份磁带通常能容纳一个组织包括每天的电子邮件在内的全部数据。普通的备份程序每周对全部文件作一次备份,每月的最后一周做月备份。用于周备份的磁带通常被洗掉再用,而月备份则被保存起来,保存期从六个月到几年不等。一个公司保存了从该公司的计算机系统建立之日起的全部备份磁带已不是什么新鲜事。

当我们在收集证据的过程中收集备份磁带时,一定要了解这些磁带是如何制作的,既包括采用的程序也包括制作中应用的具体的软件和硬件。因为随着时间的推移,成百上千种不同的备份程序被开发使用,所以有时候离开了当初制作备份时使用的硬件或软件,就无法恢复备份的信息。

2.            收集磁盘。

被用户有选择性的存储于磁盘或其他便携式介质中的资料是一个丰富却又易被忽视的证据来源。基于几种原因,用户会使用磁盘存储资料。一是用户为关键性的文件创建“特定备份”以防某一重要文档或文件丢失;二是用户复制电子邮件以防它们被自动清理程序删除;再有就是用磁盘存储那些他们不想放在公司计算机上的资料。   

磁盘的存放地点是不特定的,有时我们会在证人的桌子里找到几张磁盘。因此,收集和查看所有重要证人的磁盘是全面检查电子证据过程中的重要环节。

3.      询问每位证人使用计算机的情况。

除了对计算机系统本身的探究之外,对每位证人使用计算机的情况也必须加以询问。使用计算机的熟练程度因人而异,差别很大。了解每位证人如何使用他(或她)的计算机、如何管理和储存资料将帮助我们找到那些在指向总体计算机系统的搜寻中未能发现的一些资源。这种搜寻不能忽视重要证人的秘书和辅助人员,因为通常证人的文件会存在他(或她)的助理人员的计算机上。

还有一个最容易被人们忽视的电子证据的来源,那就是家用电脑。

办公用计算机上的资料进入家用电脑的途径有两种:一是通过磁盘或其他便携式介质转移;二是雇员被允许从家用电脑上登陆公司的网络。在后面一种情况下,家用电脑就如同该雇员所在公司里的一个工作站。收集证据的过程中,关键是要查明证人是否在家里工作以及数据是如何在家用电脑和公司电脑间转移的。

掌上型电脑设备和笔记本电脑是证据的又一来源。掌上型电脑设备包括电子通讯簿以及象苹果公司生产的“牛顿”和国产的“商务通”这类功能更为强劲的产品。除了存储日历和联络信息之外,这类设备还有记事和接收邮件等功能。比这些设备性能更为优越的当属笔记本电脑了。笔记本往往被几位用户共同使用。虽然笔记本电脑可能不是证人的主要工作站,但它仍然会包含一些重要的信息。因此,一定要了解证人对掌上型电脑设备和笔记本电脑的使用情况以及这些设备中存储了哪些资料。

4.      制作镜像拷贝。

大家都知道,被删除的文件或其他“残留”数据可在硬盘驱动器和软盘上得到恢复。如何才能获得这些资料呢?要回答这个问题,首先让我简要的解释一下为什么会存在“残留”数据。

使用计算机进行工作时,“删除”这个词并不意味着消灭。当一个文件被删除时,计算机把这个文件占有的空间配置给新的数据。所谓“删除”是指从目录列表和文件配置桌面上移走,但在被新的数据改写或是被实用软件“擦”去之前,这些文件的全部内容依然保留在硬盘里。所以,一个被删除的文件仍然可以在磁盘表面恢复。残留数据就包括被删除的文件、被删除的文件碎片和其他存在于磁盘表面的数据。为确保得到这些残留数据,你必须对目标驱动器做镜像拷贝。相比之下,文件对文件的拷贝(仅选择你想要复制的文件)只能捕捉到选定的特定文件中的数据。即使选择了全部文件,文件对文件的拷贝也不能捕捉到任何残留数据。

五、哪里可以找到证据

1、数据文件可能存储于下列计算机系统

l      办公室桌上电脑/工作站

l      笔记本电脑

l      家用电脑

l      私人助理/秘书/职员的电脑

l      掌上型电脑设备

l      网络文件服务器/主机/袖珍型电脑

* 为保证获取包括残留数据在内的所有数据,建议从本地电脑的硬盘上拷贝数据时制作镜像拷贝。

2、备份磁带

l      系统整体备份(每月/每周/增加的)

l      系统瘫痪恢复备份(站外存储)

l      个人或“特别”备份(需寻找磁盘和其他便携式介质)



3、其他介质资源

l      磁带档案

l      被替换/拆除的驱动器

l      软盘和其他便携式介质(如光盘、盒式压缩磁盘)

六、如何保护已得到的证据

1.            对所有的介质进行写保护和病毒检查。

一旦得到了你所要的资料,你会怎么看它们呢?你拥有的是一堆混杂在一起的影像拷贝、备份磁带、磁盘、光盘和其他介质。在你做任何其他事情之前,必须保证你得到的每一个介质的完整性。这需要两个关键性的步骤,即写保护和病毒检查。

   写保护可以防止介质被添加数据。这种措施可以保证你在利用收集到的证据工作时,证据不会被删改。因此在你使用证据之前一定要对它们进行写保护。写保护的程序多种多样,但都相当简单。

   同样,病毒检查也可以防止证据被改写并且也是你必须对你所拥有的证据进行的处理。而使用最新版本的查毒软件是尤为重要的。如果发现病毒,就应记录全部信息然后立即通知该介质的制造者。不要擅自对该介质进行清理,否则会改变原有的证据。

2.            保留监视链

监视链能从最初始的证据追踪到当庭提供的证据。对于电子证据而言,监视链是至关重要的,因为以电子方式存储的证据修改起来相对容易,证明这条锁链是电子证据鉴别过程中的重要工具。

保留电子证据的监视链至少需要证实下列内容:

1)任何信息未被添加或更改

2)已制作了完整的拷贝

3)复制过程可靠

4)所有的介质都是安全的。对所有的介质进行写保护和病毒检测是保留监视链的众多环节中的首要要求,其次就是要制作镜像拷贝。

可靠的拷贝程序有三个特征。

第一,该程序的质量和可靠性必须符合行业标准。这包括用来创建拷贝的软件和拷贝所依存的介质。一个基本标准就是司法机关是否应用并信赖这种软件。第二,制作的拷贝必须能够作为独立的证据。简言之,这些拷贝要足以让你的对手和法院认为是精确的。第三,拷贝必须能防篡改。

给介质加上安全防护措施能保证你的原始拷贝不被篡改。正如你建立任何文档后都会制作工作备份一样,你也要创建数据的工作备份。

当你从备份介质上调取数据使用时,一定要确定你能追踪到每一个文档或文件的源头。下面的清单就是方法之一。



七、如何审查电子介质

给每一个介质指定一个唯一的数字系列。(用来命名电子介质的数字系列应区别于那些用来命名有纸文档的数字系列。)

l      对所有介质进行写保护。

l      对所有介质进行病毒检查。对发现的病毒加以记录,并立即通知介质的生产方。

l      打印出每一份介质上的目录清单。

l      对于你要存入备份信息的驱动器进行病毒检查,确定该驱动器中无其他资料。(要存入一个特定的驱动器,并且该驱动器只容纳有关一个案件的信息。)

l      把每一个介质上的信息存储到一个文件中,该文件的文件名须与该介质的指定数字相一致。(如一张标号为123的磁盘上的信息应该存入名为“磁盘123”的文件中。)

l      核实目录清单上的所有文件都有拷贝与之对应。

l      使用恢复删除文件工具或数据挽救工具把每个介质的残留数据存入一个独立的从文件中。(如,磁盘123\\残留)

l      为源介质加上安全措施。

l      打印某一文档时,插入明显的页眉、页脚,用以标明该文档的完整的目录清单。

八、如果你不懂计算机相关知识怎麽办

聘请一位专业人士。在收集电子证据时,你应该考虑聘请一位专家来协助你。这样做主要基于以下几种原因。

1、无可避免的要碰到各种各样的软件、硬件,而专业人士拥有处理这些软件和硬件的设备和经验。用来创建、储存操作数据和交流数据的硬件和软件可谓日新月异。专业人士能帮助你在浩如烟海的硬件和软件中找到你需要的东西------证据。

2、专业人士能帮助你整理你的发现,并使你最大限度的获取有用的相关资料。

a)      专业人士能提供拷贝和检验数据的设备资源。比如,在驱动器中恢复备份磁带或镜像拷贝会占用相当大的空间,如此大的空间是大多数律师和当事人无法提供的。

b)      专业人士能用他们的工具和技术在你获取的资料中搜索与案件有关的证据。

c)      专业人士应该能进行司法分析并且帮助恢复残留数据和其他隐藏或丢失的数据。

d)      专业人士能帮助保护监视链并证实资料的真实性。聘请专业人士来收集和分析电子证据将会避免你不得不证明这些证据的真实性和准确性的窘境。

总之,在科技高度发达、计算机应用越来越广泛的今天,如何寻找电子证据已成为法律专业人士注意的焦点。掌握一定的方法并遵循一定的工作程序会使点子证据的收集更加顺利。而那些既懂计算机又精通法律的律师无疑会大展身手,为客户提供高质量的法律服务。
页: [1]
查看完整版本: 收集电子证据应注意的几个问题 [转帖]