[科普中国]-移动终端取证原则

简介

手机取证原则是取证工作的标准要求，指导取证工作各环节，使取证工作达到一定的程度，符合一定的标准。由于手机证据属于证据的范畴，因此手机证据也必须具备证据的客观性、合法性、关联性这三个基本属性。在取证的过程中，取证人员必须要解决的是手机证据的客观性和合法性。由于手机取证和计算机取证具有天然的相似性，有着很近的血缘关系，因此计算机取证中保持证据客观性、合法性的原则可供在此借鉴[1]。

《针对数字证据的建议标准》提出了一组适用于计算机数字取证的原则：

在获取电子证据时，所有的操作都不能改变原有数据。

当一个人需要获取原始电子证据时，这个人必须在取证方面经过合适的培训。

所有与扣押、获取、存储和转移电子证据有关的活动都必须完全一记录，并予以保存以备复查。

一个人必须对他在占有电子证据时对电子证据采取的所有行动负责。

任何代理人在负责获取、访问、存储、转移电子证据时也必须依从这些原则。

我国学者许榕生针对计算机取证提出了如下原则：

尽早收集证据，并保证其没有受到任何破坏。

必须保证“证据连续性”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到法庭上出现状态之间的任何变化，当然最好是没有任何变化。

整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所做的所有调查取证工作都应该受到由其他方委派的专家的监督。

上述两组原则的目的都是为了保证发现、固定和提取计算机中电子证据的正确性和适当性，进而保证电子证据在其整个生存周期中的合法性和客观性。对证据的适当操作一直是司法程序采信证据中至关重要的一环，不同类型的调查可能应用不同的标准。基于对以上计算机取证原则的吸收和借鉴，笔者认为，为了确保手机取证的科学可靠性和合法性，针对手机取证应当遵循如下五个贯穿于整个取证过程的原则。

手机取证原则取证合法原则取证合法原则本是传统证据学理论中调查取证坚持的基本原则，也是证据合法性的前提条件，在手机取证中同样需要强调取证合法原则。首先，取证主体必须具有法定的权限和资格。取证人员必须是经过有关部门认可的，并且经过技术培训，只有这样的工作人员才能懂得如何进行取证以及取证过程中应当注意的问题等，保证取证工作合法、顺利进行。其次，取证程序必须合法。在取证过程中必须按照法定的程序开展工作并签署必要的法律文书，不允许在法定程序之外活动，否则取证的结果将不被法律认可，最终也不会被法庭采信。最后，取证的工具必须合法。取证过程中所使用的技术手段和软硬件工具必须符合法律规定的标准，只有这样才能保证手机证据从收集到分析的合法性。某些不符合法定标准的取证软件在取证的过程中可能会改变甚至损坏手机载体中的数据，有的取证软件还可能含有窃取信息的病毒，有可能造成信息的失窃。1

取证及时原则手机取证若干问题研究及时收集证据原则是诉讼中一条基本原则，诉讼对证明标准的要求较高，所以在诉讼中为了防止证据的毁损和灭失特别强调证据收集的及时性。'手机取证必须要迅速、及时，具有很高的时效性要求。这一原则主要基于以下考虑首先，由于手机中保存的数据天然地具有脆弱性，极容易受外界环境的干扰而改变其次，手机内存容量相对于计算机来讲要小得多，其内存数据动态更新很快，尤其是当手机处于没有任何屏蔽措施的网络空间中时，新进入的呼叫或信息会覆盖掉手机中现存或已删除的呼叫或信息记录再次，手机被发现时的电量情况一般情况下是不易查明的，其续航能力不易估计，同时由于手机型号的多样性和接口的不统一，对手机电池及时充电也有一定的难度，一旦电池电量耗尽导致手机自动关机会给取证工作增加很大的麻烦。最后，网络供应商处保存的某些手机用户数据是周期性更新的，如果不能及时在网络数据更新之前获得数据，那么该数据将会被系统自动覆盖。以上因素决定了手机证据从形成到获取之间间隔的时间越长，被更改、覆盖或毁坏的可能性就越大。因此，应当尽早、及时地采取适当的取证措施，如不对手机中的证据及时进行固定和提取，则可能直接导致取证的失败。

取证备份原则对含有电子证据的手机及其配套存储载体必须在见证人的见证下运用符合法律规定的工具和方法进行逐比特备份，至少应制成两个副本'，其中的一个副本予以封存供将来可能的复检，另一个副本可以用于手机取证人员进行电子证据的提取和检验。这样做是为了保证电子证据的原始完整性和客观性，如果以后对取证结果有疑问需要进行司法鉴定，可以取出封存的副本进行相关的鉴定活动。对于不具备备份条件的数据载体，必须慎重处理。

环境安全原则手机证据中有一大部分属于电子证据，是存储在电磁介质上的，在电磁介质受到高磁场、高温、灰尘、积压、潮湿、腐蚀性化学试剂等的影响时容易发生改变或丢失。因此手机数据载体应妥善保存，在提取、运输、保存、分析和检验的过程中必须避免上述因素对手机数据载体的影响。在包装手机数据载体时要注意不能用包装普通物证的塑料袋，而应该尽量用纸袋等不易产生静电的材料，以防止静电消磁。。与计算机相比，手机的一个特殊之处在于其存在着无线通信网络收发装置，在无线通信网络服务区内，只要处于正常开机状态，它就会不断地与无线通信网络进行信息交互，这会导致手机内存数据的变更。因此在手机取证环境安全原则中，最重要的一点就是从对手机的提取开始到对其内存做完整备份之前，必须断绝手机与无线通信网络的信息交互，以保持其存储内容的原始完整性，避免因为数据交换而破坏手机内的重要线索和证据。

证据保管流转链原则即从手机被确定为取证对象起，就必须建立证据保管流转链的记录，该一记录应当连续记下从发现或获得手机数据载体到取证结束的整个过程中，所有与该手机数据载体取证相关的活动。包括取证活动中数据载体收集、运输和保存的方法，取证操作的步骤，数据采集和检验的方法，使用的工具以及生成证据报告的方式。`应当采取适当的方法，例如笔录、拍照、录像等，必须保证该记录的准确性和连续性，不允许有任何环节的缺失。在计算机取证中有学者提出为了避免证据被人为篡改，设置一名专门的证据保管人，负责保管证据，取证人员现场获取证据之后，交给保管人保管，取证人员需要对证据进行检验时再向保管人进行出库和入库登记，目的是为了加强相互之间的监督和制约。笔者认为这一做法值得商榷。为了保证证据在取证过程中不被人为篡改和毁灭，笔者认为完全可以采用更简便的做法，只要使取证人员之间能够进行相互制约即可，例如在证据保管箱上用两把锁，只有两名取证人员同时到场并共同在保管记录上签名后方能开启取出，并在检验的时候进行全程录像就可以起到制约作用。也就是说只要证据保管流转链能够客观连续地记下证据在不同人之间流转的过程以及相关人员对手机所做的操作，相关人员能够在保管流转链上签名并对其行为负责，那就足以保证证据的客观原始性。而另外设置专门的证据保管人员，不仅使取证过程中接触证据的人员变得复杂化，增加了证据外泄的可能性，不利于过程的控制，而且会造成人力物力的浪费。

以上五个原则的贯彻执行可以使手机证据从发现到取证完成出具报告的整个过程中都能够保持其合法性和客观性，手机证据能够经得起法庭质证的严格考验。