【学术会议专稿】
电子物证工作在智慧缉私中的应用
——“电子证据溯源法”的研究与应用
□喻 宇,江鹏飞
(重庆海关缉私局,重庆401147 )
摘 要: 近年来,以证据为核心的侦查工作体系在缉私办案中不断成熟并得到实践的检验。随着信息化设施以势如破竹的速度普及,智能设备日益为人们所掌握、使用,在办理走私犯罪案件中也越来越依赖手机、电脑等信息化设备中的证据。目前各地缉私局都建立了电子证据获取、固定的程序及方法,但对已有电子证据的深挖及使用尚处于研究的起步阶段。这里提出了一种对电子证据进行分析、挖掘的方法:“电子证据溯源法”,作为电子物证工作在智慧缉私中应用的一次探索。
关键词: 电子物证、智慧缉私、电子证据溯源法
一、电子证据的法律地位及特点
在当前的信息技术时代,伴随网络技术以及电子信息技术的迅猛发展,各种电子物证经常在刑事犯罪作案中出现[1]。电子证据不同于普通物证,普通物证以其外部特征、物质属性、所处的位置以及状态来证明案件事实,而电子物证存在于介质载体中,主要以电磁或光电的形式存储下来,具有非直观的特性,但它与普通物证一样,同样可以用来证明案件事实,法律明文规定使电子物证成为刑事领域的证据之一[2]。美国等国都通过立法方式对电子证据有效性进行确认。美国先后在已经颁布实施的《统一电子交易法》《国际国内电子签章法》等法规中增加了电子证据的内容,同时欧洲部分国家也在本国刑诉法当中加入了电子证据的描述[3]。我国在刑事诉讼法修正案当中也对证据种类进行了调整,在物证、书证、证人证言等传统证据基础上增加了“电子数据”这一新的证据类型。至此,电子物证可以名正言顺地作为证据来使用。最常见的电子证据有硬盘与手机,手机数据检验属于小型电子设备检验工作中的一个主要分支,小型电子设备英文统称 SSDD。
目前,对电子物证的收集和提取,就是对存储电子信息数据的物理实体进行扣押或者封存,再采用电子物证鉴定方法对这些电子信息数据进行提取和固定,最终形成电子物证。电子物证鉴定是中国合格评定国家认可委员会(英文缩写:CNAS)对司法鉴定法庭科学机构的认可领域之一。
走私犯罪不同于普通经济犯罪,其犯罪团伙具有国际化、规模化、智能化的特点,案件涉及的电子证据不但数据量大、关联性高而且时效性强,成功的使用电子证据能直观、真实、全面的反应出走私案件的全貌,而提取使用不当可能造成证据被遗漏、损坏、销毁。可以说,在走私案件的侦办过程中,电子数据的提取与使用情况往往决定了案件的成败。
二、缉私办案中使用电子物证遇到的问题
海关缉私部门在办理走私案件时使用的电子证据大多来自于检验鉴定机构出具的鉴定文书及随附光盘的数字报告。鉴定文书及数字报告在使用中一般会遇到以下问题:
11月6日《文汇读书周报》2版“黄蜀芹执导《孽债》二三事”,其“她说小说我看了,打印出来上下几级一起看”,应是“……打印出来上下几集一起看”。
(一)时效性低
鉴定机构出具的电子物证报告规范性强、内容全面但缺乏针对性,可读性较低。比如硬盘的电子报告中所罗列出检材中存放有的几十万份文件,其中真正与案件相关的或许只有几份,这几份有用的文件混在几十万份文件中让办案人员很难将之找出。
(二)可读性弱
按照标准流程进行电子物证送检、检验鉴定、文书制作及反馈,需耗费大量的时间。一般来说,一个专案规模的电子物证送检到收到报告的周期在一个月左右,这就丧失了根据已有电子物证的分析挖掘进行下一阶段取证的时机,同时导致了电子物证往往仅用于后期组织证据而非前期的侦查破案。
(三)使用率低
(1)通过网络传输的文件一般来源有邮件的附件,聊天工具(如微信、QQ等)传输的附件与网盘下载的文件等。通过对目标文件存放位置、命名特点、格式进行分析,可以找出其来源渠道,如百度云盘的默认目录为:“BaiduYunDownload”,又如微信下载图片默认文件名为“mmexport+数字”而QQ下载图片文件名为“QQ图片+年月日+时间”。通过对文件来源的追踪,我们有可能发现更多可能存储有证据文件的位置(如网络上的云盘),也有可能发现与嫌疑人相关的重要联系人(微信、QQ),还有可能发现新的邮箱地址(可成为下一步进行远程勘验的对象)。
三、电子证据溯源法
电子证据溯源法是我们在探索电子取证技术并结合办案实践归纳总结出的一种获取、分析电子证据的方法,简单来说包括三点,及:“前期快速提取、追踪溯源挖掘、证据引导办案”。
上海可以利用现有的ATP1000、F1、田径大奖赛、汇丰高尔夫、斯诺克世锦赛、上海马拉松、崇明自行车等品牌赛事举办的优势,在赛事举办期间邀请其他举办城市参与联席会议。通过沟通信息、相互学习,建立起城市链接的舞台,从而扩大上海与其他国际城市的联系网络,通过若干年的努力慢慢形成稳定的会晤机制,建立起体育、政治、经济的交流机制和平台,最终形成国际赛事城市网络,力争将会址或秘书处设立在上海,提升上海的国际影响力。
(一)前期快速提取
1.对本机生成文件的分析挖掘。本机生成文件比较常见的有计算机中的原始文档及手机中拍摄的照片:
(二)追踪溯源挖掘
本文依托ZAX型喷气织机主喷嘴设计了一种纱线牵引力测试装置。引纬过程中,气流速度变化比较剧烈,为了获得平稳的速度和密度,设计了一种测量装置,即在导纱管后面加辅助管道[4]。这种装置的流场模型如图1所示,突出物分布在辅助管道中,假设其位置固定不变,流场模型尺寸与实验测试装置保持一致。
在开案初期,一经查扣到手机、电脑等电子设备立即通过《电子数据检查笔录》《远程勘验笔录》及随附数据的形式快速固定重要的电子证据。为后续的分析挖掘打下基础。
“电子证据溯源法”的核心就是对提取到的电子物证进行追踪溯源挖掘。
(1)原始文档。对于原始文档我们分析的重点一是确认其原始性,及该文档确实是在本机上生成并编辑的,这往往对机主犯罪的主观故意性有直接的证明。这一点可以通过对临时文件的恢复和分析来进行证明。二是修改痕迹分析。有的嫌疑人制作文件时往往会进行部分修改以针对不同的对象(比如内部记账和向海关申报),通过对相似文件的对比分析也可充分证明其修改的故意性。三是文件去向追踪。制作的电子文档可能是用于打印后签字存档(这也为搜查工作提供了目标),也可能是通过邮件、QQ、微信等发送给相关人员,通过对通讯软件的关键字搜索,很容易确定收件人的邮箱或QQ、微信号,进一步发现新的嫌疑对象,扩展侦查范围。
由反应式(1)至式(5)可以看出,在磁性颗粒Fe3O3生成的过程中,OH-是沉淀剂。本试验选择氨水作为沉淀剂,试验条件为:Fe2+浓度为0.021 mol/L,温度为60℃,恒温搅拌8 min,其结果见图5。
2.对外来文件的溯源挖掘。外来文件一般包括两种,一是通过网络传输的文件,二是从外部存储介质拷贝的文件:
(2)原始照片。对手机上拍摄的照片通过专用工具分析后有可能确定其拍摄点位置,通过与手机定位软件的关联分析,可对其行为轨迹进行勾画。对照片传输去向的追踪分析,也可为梳理嫌疑对象间的关系,确定嫌疑人相貌提供依据。
由于检验鉴定报告缺乏时效性、针对性、关联性,导致对报告的使用方法简单(大多是打印了直接引用),缺乏深度的挖掘和应用。
小型农田水利工程一般会借助河流进行修建水库或是沟渠,河水的流动将对库区内水流动力产生影响,因而容易引起库区内水质和水温的变化,进而影响水库内的生态环境,原本河流里的水富含充足的氧气,而进入水库内水流会随着水位升高变得缓慢,使氧气流失并且水温也会随之升高,导致降低库区水体的自净能力,这样的环境很容易使水生生物因生态环境改变而死亡,同时会滋生大量有害细菌,长此以往,库区水的自净能力下降将被污染的水排放到河流,又造成河流污染,进而影响整个地区的水环境。
(2)外部存储介质拷贝的文件一般有从移动硬盘(U盘、光盘等)中拷贝的文件,手机中拷贝的文件等。这种文件的特征是查看文件属性会发现文件的“创建时间”可能晚于“修改时间”。这是因为文件“创建时间”记录的是文件拷贝到本地的时间,而“修改时间”是之前文件打开编辑时的时间(当然如拷贝到本地后由进行了编辑修改则修改时间会较晚)。将文件的“创建时间”集合取证软件获取的接口插拔的记录信息进行分析,就能发现文件的来源是什么存储介质。通过对文件来源的追溯,我们有可能发现尚未掌握的存储介质及手机等重要物证。
(三)证据引导办案
电子证据溯源法的根本目标是通过对电子证据的快速获取和分析来为侦查办案工作服务。具体的说就是通过分析挖掘已获取的电子证据来达到三个目的:一是发现存在但尚未找到的电子证据,为下一步的搜查、审讯提供方向。二是将离散的、孤立的电子证据梳理为有关联性,有针对性,可读性强的电子证据,来反映案件的事实真相。三是刻画出嫌疑人间的关系,发现新的嫌疑对象,为下一步侦查工作提供引导。
四、电子证据溯源法在案例中的应用
2017年6月,某缉私分局接到线索:某公司涉嫌低报价格进口服装、奢侈品等商品。由于案发时间较早,涉案公司(人员)变动较大,想全面收集涉案的纸质资料存在困难,于是侦查人员将案件侦破的重点放在了电子物证的收集分析上。据嫌疑人交代,合同、发票等重要文件都是通过电子邮件的形式进行传递,故对电子邮箱的勘验就作为了本案的一个重要突破口。缉私局派出了多位经验丰富的同志对五名嫌疑人的邮箱实施了六次远程勘验,提取到电子邮件2万余封,为案件的侦办打开了突破口。
有了远程勘验得来的电子邮件作为基础数据,办案人员立即对重要的邮件进行分析。很快,一封附件为压缩文件的邮件进入了勘验人员的视线,该附件为打包的“报关资料.zip”,侦查人员将其解压后发现里面是几十份整理好的清关发票与装箱单。按照侦查人员分析:既然邮件中有一封整理过的含有清关发票的压缩文件,至少说明两个问题:1.某嫌疑人用过的电脑上曾经存放过完整的清关发票。2.这些数据近期被使用过,并且在某种存储介质上进行过压缩打包。基于以上两点,侦查人员迅速行动,对锁定的嫌疑人住处进行了突击搜查,在其家中搜查到一台笔记本电脑和两个U盘。从其中一块U盘中,勘验人员恢复、提取出大量的合同、发票、台账等涉案文件,为案件的进一步深入创造了有利的条件。为了获取更完整的资料,办案人员将目光锁定在该嫌疑人曾使用过的办公电脑上,由于该嫌疑人已离职多年,电脑也已报废两年多,和数十台废旧电脑一起堆放在库房中。本着绝不放弃一丝可能的精神,办案人员将几十个电脑的硬盘卸下进行了扣押,使用电子物证实验室的取证塔一次对八个硬盘同时进行恢复、搜索。经过三个昼夜的紧张工作,最终确认了该嫌疑人的办公电脑,并从该电脑中提取了完整的真假合同、发票、清单,为案件的顺利侦办提供了有力的指引。
【参考文献】
[1]陈天.当前电子物证检验工作探讨[J].现代商贸工业,2012(19):163.
[2] 闫爱青.电子物证在经济犯罪案件侦查中的应用[J].山西省政法管理干部学院学报,2017(4):92-93.
[3]王胜.浅析电子物证在刑事案件中的重要作用[J].法制博览,2016(4):171.
The Application of Electronic Material Evidence in Intelligent Anti -Smuggling ——Research and Application of “Electronic Evidence Traceability Method”
YU Yu,JIANG Peng-fei
(Anti -Smuggling Bureau of Chongqing Customs ,Chongqing China ,401147)
Abstract :In recent years,the evidence-based investigation work system has been developed in practice in the case of anti-smuggling cases.With the popularity of information technology,smart devices are increasingly being mastered and used by people.In the handling of smuggling crime cases,it is increasingly relying on evidence in mobile devices,computers and other information devices.At present,the anti-smuggling bureaus have established procedures and methods for obtaining and securing electronic evidence.However,the exploration and use of existing electronic evidence is still in the initial stage of research.This paper proposes a method for analyzing and mining electronic evidence:“electronic evidence traceability method”,as an exploration of the application of electronic evidence work in wisdom anti-smuggling.
Key words :electronic evidence;wisdom anti-smuggling;electronic evidence traceability
中图分类号: D918.2
文献标识码: A
文章编号: 2096-4773( 2019) 04-0038-03
收稿日期: 2019-07-20
作者简介: 喻 宇(1977-),男,重庆人,硕士,电子物证工程师,主要研究方向为电子物证检验鉴定;江鹏飞(1984-),男,重庆人,学士,电子物证工程师,主要研究方向为电子物证检验鉴定。
(责任编辑:李 捷)