鉴定内容同一性鉴定
每台计算机都有区别于其他计算机的特征,生成的证据也可能会留有计算机的特征,比如上网用户有其唯一的IP地址和网卡地址,WORD文档中保存有计算机的用户名、文件的存放位置、最后一次打印时间以及编辑所持续的时间等,打印件所用的打印机、打印头、墨盒、粉盒和纸张也可能呈现某种特征。计算机使用者也有其区别于他人的不同习惯,比如汉字打字所用的输入法、错别字的规律.编写程序的风格等2。
事实有无的鉴定软件、数据的性质决定了某种违法事实是否存在,如“有害数据”和“有害信息”的认定.著作权保护和软件保护中侵权行为的认定,计算机程序是否危害计算机信息系统运行和功能发挥的认定等。就我国刑法规定而言,非法入侵的认定,需要鉴定有无网络入侵行为,主要是通过入侵工具的认定、IP地址和电话号码,服务器日志的分析等在时间上形成完整的证据链。我国刑法对破坏计算机信息系统行为处罚标准是“后果严重”或“后果特别严重”,有些国家的法律,对未遂的破坏行为也要处罚.对可能产生破坏的工具的鉴定就显得重要。
对于软件性质的鉴定,可能会产生争议,有时需要区分“菜刀与匕首”,1999年重庆杜某编制了YAl程序,通过软盘和Internet传播,主要以邮件附件的形式传递.在没有特殊现象、毫无征兆的情况下.能够快速侵入系统。作者将YAl比作菜刀,菜刀的主要功能是切菜.使用不当,偶尔也会伤到手指,但用它去杀人,就不是造刀人的初衷了。我们诚然相信,作者的初衷并非是制造肆意传播的病毒,也不是为黑客提供入侵他人系统的工具,而是软件开发中的疏漏。但必须明确的一点是:如同真理跨过一步就是谬误一样,带有缺陷的软件也会造成如病毒般的危害,作者理应承担责任。对于破坏性的认定,从信息安全的角度看,是要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露保障计算机系统能连续正常运行。在司法实践中.一些人故意在程序中加入逻辑控制,设置时间锁,在一定条件下停止软件的某些功能,破坏了系统的正常运行,应当认定是破坏性程序。危害信息系统数据可靠性、完整性和保密性的程序都应当认定为破坏性程序。
事实程度的鉴定对于利用计算机实施金融诈骗、盗窃、贪污、挪用公款的案件.损失认定比较直接,容易量化,但我国刑法对破坏计算机信息系统行为处罚标准是“后果严重”和“后果特别严重”,对这类案件的认定,尤其是’后果严重”和“后果特别严重”的认定,是目前司法实践中最为困惑的问题,能否量化和如何量化要得到公、检、法各方认可有一定难度,导致许多案件难以处罚,需要有关部门制定出可操作性的相应标准或司法解释。比如法医鉴定中的伤害有卫生部制定的标准,盗窃罪数额认定有最高人民法院、最高人民检察院
公安部关于盗窃罪数额认定标准问题的规定。有一种情况是.作为信息安全的技术措施,重要的信息系统往往有数据备份,在遭受破坏后,可能比较容易恢复,损失该如何认定,有人认为数据恢复后就没有损失.使得作案者逃避了打击,笔者认为,从保护信息系统安全和打击犯罪行为的角度考虑,应以不恢复状态所造成的损失来认定。
电子证据的鉴定是一个分析和提取过程.通过物理分析和逻辑分析,查找相关数据,提取、分析和认定。在网络入侵和网络破坏案件中.常常需要对路由信息进行分析,从受害机器反查,寻找攻击者主要依据网络服务器上的日志文件:系统登录文件、应用登录文件、防火墙登录;文件备份、电话记录等等,从而分析整个网络活动记录给予认定。由于通信数据量非常大,必须借助专用分析工具进行。
基本程序电子证据鉴定作为司法鉴定的一种类型,应当遵循一定的流程。司法部2007年公布实施的《司法鉴定程序通则》中分别专章规定了“司法鉴定的委托与受理”、“司法鉴定的实施”和“司法鉴定文书的出具”,从宏观上指导司法鉴定工作的开展。《公安机关电子数据鉴定规则》中也对“鉴定的委托”、“鉴定的受理”、“鉴定程序”、“鉴定文书”等内容设专章予以规定。从我国目前电子证据鉴定的实践来看,我国的电子证据鉴定也遵循了上述基本程序3。
委托受理电子证据鉴定从鉴定的委托开始。电子证据鉴定委托由电子证据鉴定机构统一受理,委托人(泛指委托主体,包括单位和个人,下同)需要进行电子证据鉴定的,应当先填写《电子证据委托鉴定书》并提交鉴定所需资料,如证明委托人身份的有效证件、委托鉴定的检材以及其他相关资料。《电子证据委托鉴定书》中的记载事项主要包括委托人、送检人及其联系方式、委托时间等;案件或者事件的简要说明;委托鉴定检材清单;鉴定目的和鉴定要求等。上述事项要尽量明确详细的填写,尤其是委托鉴定检材清单,应当详细描述送检材料的来源、名称、类型、数量、品牌、型号、序列号、固定封存状态、特征等信息,以便鉴定机构进行审查。如果委托鉴定的检材是电子证据原件,委托人应当提供相关接受、收集、调取或扣押电子证据原件的工作记录及其封存记录;如果委托人使用过委托鉴定的电子证据原件,还应提供相应的电子证据使用记录;如果委托鉴定的检材是电子证据原件的复制件,委托人还应当提供有关复制件制作的工作记录。如果委托单位提交的检材未采取封存措施或相关记录文档不全,也应当在检材清单中注明。
鉴定机构接到电子证据鉴定委托后,首先应当进行审查。审查的内容包括以下几个方面:
委托主体和有关手续是否符合相关要求。公安机关电子数据鉴定机构可以受理公安机关、人民法院、人民检察院、司法行政机关、国家安全机关、其他行政执法机关、军队保卫部门、纪检监察部门,以及仲裁机构委托的电子数据鉴定。必要时,经公安机关电子数据鉴定机构主要负责人批准,可以受理律师事务所委托的电子数据鉴定。但是一般不受理当事人委托的电子证据鉴定。司法部门批准成立的电子证据鉴定机构一般面向社会接受电子证据鉴定委托。
审查鉴定目的和鉴定要求是否明确、是否符合鉴定范围。电子证据鉴定必须有明确的鉴定要求,而且委托人提出的鉴定要求应当在鉴定机构承担的电子证据鉴定范围内,如果不属于该电子证据鉴定机构的鉴定范围,或者是该机构的技术、设备、人员条件不能满足鉴定要求的,鉴定机构不应受理该鉴定。
核对送检材料的情况是否与委托鉴定检材清单记载的情况相符。对于委托鉴定检材清单中描述的送检材料的来源、名称、类型、数量、品牌、型号、序列号、固定封存状态、特征等信息要逐一认真核对,确保委托鉴定检材清单的记载事项和受理的检材的实际情况一致。如果是已经封存的送检材料,应当核对电子证据封存清单记载的内容与检材封存状况是否一致。必要时,可以要求委托方启封核实;对送检的电子证据原件的复制件,如果鉴定机构认为有必要验证的,可以要求委托人提供电子证据的原件。
审查送检电子证据的相关记录是否齐全、内容是否完整一致。例如检材是电子证据原件,鉴定机构应当对委托人提供的相关接受、收集、调取或扣押电子证据原件的工作记录及其封存和使用记录进行审查。如果检材存在未采取封存措施等情况,或相关记录文档不全,应当在检材清单中注明。
初步审查送检材料是否具备鉴定条件。对于检材不具备电子证据鉴定条件的,不应受理。最后,如有必要,可以听取送检人介绍有关案情。
对于符合受理条件的,应当受理。电子证据鉴定机构受理电子证据鉴定委托后应当填写委托受理登记表,并向委托单位或者委托人提供该表的复印件。对于不符合受理条件的,可以不予受理。结合《公安机关电子数据鉴定规则》中对不予受理几种情形的规定和电子证据司法实践,笔者认为,面向社会的电子证据鉴定机构对于电子证据鉴定委托不予受理的情形主要有以下几种:
违反国家法律、法规的;
违反鉴定委托程序要求的;
超出鉴定范围的;
检材与案件或者事件无关的;
检材来源虚假或者不可靠的;
检材不具备鉴定条件的;
已经委托其他电子证据鉴定机构正在进行鉴定的;
技术、人员等条件不能满足鉴定要求的;
其他不应受理或者无法受理的情形。
对于不符合受理条件,决定不予受理的,应当退回鉴定材料并以书面形式向委托人说明理由。鉴定机构收到检材后应当当场密封,由送检人、接受人在密封材料上签名或者盖章,并制作封存和使用记录。
实施鉴定电子证据鉴定应该遵循相关的程序规范和操作规则。电子证据鉴定应当由两名以上鉴定人员参加。必要时,可以指派或者聘请具有专门知识的其他人员在鉴定人员的主持下协助鉴定。电子证据鉴定应该在规定的时间内完成并出具鉴定文书。具体的电子证据鉴定实施过程可能因不同的鉴定业务和鉴定要求而有很大差别,但是对于其中一些共性的要求和做法应当抽象出来通过法律予以规范。比如鉴定人受理鉴定后,可以在熟悉案情的基础上进一步明确鉴定要求,并进行初步鉴定,根据初步鉴定拟定详细的鉴定方案,确定具体的鉴定方法和步骤。鉴定人员应当采取技术措施,在鉴定的各环节都应当对检材严格、安全保管,防止检材在保管、使用、移送等环节出现损毁、丢失、数据改变等影响诉讼活动进行的问题。如果检材是存储介质或含有存储介质的设备,鉴定人员应当按操作规范制作两个或者两个以上的检材复制件,对复制件必须进行校验保证复制件与原始数据的一致性,同时制作复制工作记录。复制件制作完毕后应当立即密封检材,由指定的两名以上鉴定人员在密封材料上签名或者盖章并制作或填写封存和使用记录。制作复制件时应当要求委托人或者送检人到场作为见证人,并在密封材料上签名或者盖章,委托人或者送检人因故缺席的,应当说明理由并在封存和使用记录上注明。必要时,可对复件制作过程进行全程录像。如果检材具有无线通讯功能,鉴定人员应当在屏蔽环境下进行操作,防止检材受外界影响造成内部数据的改变。电子证据鉴定机构应当采取技术措施,保证分析过程中对原始存储媒介和电子设备中的数据不作修改。电子证据鉴定的检验分析过程一般在检材复制件上进行,对于无法进行复制的检材,或者因特殊原因,检验分析过程需要使用原始存储媒介和电子设备的,检验分析应当在只读状态下进行,并制作《原始证据封存和使用记录》。如果检验分析可能对原始存储媒介和电子设备中的数据进行修改的,电子数据鉴定机构应当在《原始证据使用、封存记录》上注明。鉴定机构在鉴定过程中制作的封存和使用记录复印件应交委托人存档备查。
出具鉴定文书鉴定结束后,鉴定人员应当针对鉴定要求,得出鉴定结论或者鉴定意见并制作《电子证据鉴定书》,《电子证据鉴定书》应符合鉴定书制作的相应规范和要求。鉴定结论是我国诉讼法中明确规定的证据形式之一,在诉讼中起着十分重要的作用。但是鉴定机构出具的鉴定文书中只写明鉴定结论是不够的。《最高人民法院关于民事诉讼证据的若干规定》第29条规定:“审判人员对鉴定人出具的鉴定书,应当审查是否具有下列内容:
委托人姓名或者名称、委托鉴定的内容;
委托鉴定的材料;
鉴定的依据及使用的科学技术手段;
对鉴定过程的说明
明确的鉴定结论;
对鉴定人鉴定资格的说明;
鉴定人员及鉴定机构签名盖章。
为了便于质证和认证,电子证据鉴定书的内容应该客观全面,对证据提取、证据分析、综合评判等每个程序都要详细地记录。笔者认为,《电子证据鉴定书》应该包括以下内容:
鉴定要求。包括委托单位、送检人、送检时间、案由、鉴定要求等基本信息。
鉴定工作环境。包括使用的设备、工作环境与系统、使用的软件等。
对于待鉴定材料的确认。包括待检材料的来源、名称、数量、类型、品牌、型号、序列号、固定封存状态等信息,待鉴定材料的确认信息应该与《受理鉴定检材清单》中记录的信息相印证。
鉴定实施过程及分析、论证。包括电子证据鉴定的具体实施过程、分析电子数据、描述分析过程、分析方法、分析生成数据的含义、论证等诸多内容。
鉴定结论或者鉴定意见。根据电子数据分析结果,结合委托鉴定要求,如果能够做出明确的鉴定结论,那么《电子证据鉴定书》中应该写明鉴定结论;如果因鉴定条件不足或者其他原因无法做出明确结论的,《电子证据鉴定书》也应载明,不能在条件不足的情况下主观臆断做出结论。
附件。附件主要有两种形式,一是文本附件,二是以电子证据形式提交的附件。对于能够转换为书面文件并可直观理解的数据必须尽量转换为书面文件,作为鉴定书的文本附件,不宜转换为书面文件或者无法直观理解的数据可以以电子证据的形式,使用安全可靠的存储介质保存并作为鉴定书的附件之一提交。
《电子证据鉴定书》中应包含以下附件:
鉴定机构资质和鉴定人资质证明;
《电子证据委托鉴定登记表》复印件及相关材料;
《电子证据鉴定受理登记表》;
鉴定过程中形成的工作记录;
封存和使用记录;
电子证据鉴定中检材复制全程录像;
鉴定过程中生成的图片、文档、图表等书面及其他材料;
独立的监管系统生产的审计报告;
电子证据鉴定结果清单;
电子证据鉴定结果及鉴定书中引用的电子证据文档的存储介质;
电子证据鉴定结果转换清单;
其他应当附加的材料等。
《电子证据鉴定书》除了在内容上需要满足上述基本要求外,其形式也需要满足特定的要求。《电子证据鉴定书》必须由鉴定人员制作,电子证据鉴定书应当按鉴定文书格式的要求制作并打印成正式文书。至少由两名以上电子证据鉴定人在末页上签名,有专业技术职称的应当注明技术职称,并在检验鉴定书的首页文号处加盖“鉴定专用章”。
返还送检物品鉴定结束后,电子证据鉴定机构应当将委托人提供的检材及其相关资料退还委托人,并将《电子证据鉴定书》与鉴定过程中制作的各种封存、使用和工作记录的复印件一并交给委托人存档备查。对原已封存的原始存储媒介和电子设备,在退还时应当重新封存,并填写《封存电子证据清单》鉴定结束后,电子证据鉴定机构认为检材有研究价值,需要留做资料的,应当征得委托人同意并商定留用的时限和应当承担的保管、销毁责任。
任何电子证据鉴定业务都应该遵循这一基本流程。而在实际的电子证据鉴定业务中,往往需要更加具体的鉴定流程模型来指导和规范相应的鉴定工作。
特点电子证据鉴定的特点有1:
需要检验鉴定的客体发展变化快,电子证据是以存储介质记录的内容来为案件提供相关的证据,但从物理性质上讲,随着科技的发展,涉及的存储介质也越来越多,这样,为围绕该类证据的提取,检验鉴定也在不断提出新的要求。
电子证据所涉及的物证与传统物证相比,具有形式多样、介质依赖、易破坏、时限性强的特点,鉴于电子证据的特点,电子证据检验鉴定不仅仅要重视结果的准确性和正确性,更加重要的因素是检验鉴定的程序必须符合相关的程序。
电子证据的检验鉴定必须由具有鉴定资格的专门技术人员进行,电子证据检验鉴定是司法鉴定的技术种类中一种,因此,围绕司法鉴定开展的全部活动应该遵循国家关于司法鉴定的相关规定。
电子证据的检验鉴定必须使用具有科学依据的专门仪器和技术手段进行。根据电子证据的特点,检验鉴定工作离不开专门的技术设备,而且,这样的设备必须具备相关资质和资证,否则,所开展的检验鉴定工作也是没有根据的。