計算機證據

計算機證據，證據的一種類型，又可稱為電子證據的一種。指計算機或系統運行過程中產生的或存儲的以其記錄的內容來證明案件事實的電磁、光記錄無，且該記錄物具有多種輸出表現形式。

在內容上分，計算機證據有兩大類。一是計算機犯罪過程中形成的電子證據，這類證據的收集提取等操作較為複雜。二則是指偵查部門運用計算機存儲的圖形、數據、符號和其它信息來證明案件事實的證據。從存在形式上分，計算機證據也有兩種存在形式，分別為機器可讀式和人可讀式。

而在計算機證據的特點方面，與傳統證據相比，前者有以下幾點突出之處：

即計算機證據同時有較高的精密性和脆弱性。計算機證據以技術為依託，幾乎不受主觀因素影響，可避免其它證據的一些弊端，如人為的口誤、書證的誤記等，相對來說更為準確；但同時，因為其信息的可修改性等特點，同時也給了它人做修改、刪除、監聽、竊取等從技術上難以查清的問題。

計算機證據在螢幕上的表現形式多種多樣，尤其是多媒體技術的出現更給計算機證據的綜合性帶來了極大的增強，使其可以結合文本、圖形、音頻、視頻等等多類多媒體信息。這也給此類證據的展出提供了最大化的便利。

計算機證據在存儲、處理的過程中，必須用特定的二進制編碼表示，一切信息由這些不可見的無形的編碼來傳遞。因此計算機證據由較強的隱蔽性，計算機證據與特定主體之際欸你的關係按照常規手段難以確定。

回歸計算機證據與電子證據的聯繫，在加拿大1998年《統一電子證據法》中也有相應規定：“電子記錄是指在計算機系統任何媒介或類似設備中，或者經由計算機系統或其他類似設備記錄或存儲，並可供人閱讀、感知或者由計算機系統或類似設備讀取或接受的數據。”此法雖為電子證據法，但針對的則是由計算機系統或類似設備生成、傳輸或存儲電子記錄。而計算機作為一種技術和媒介，可以套用於各種證據類型，其中即包括通常意義上理解的電腦，也包括了平時不被人視為“計算機”的手機、GPS設備、電子探測儀等等。

計算機犯罪是指行為人故意實施在計算機內一資源位對象或以計算機位工具危害計算機產業的正常管理秩序、違反計算機軟體保護及信息系統安全保護制度等法規、侵害與計算機有關權利人的利益，以及其危害社會、情節嚴重的行為。與一般的傳統犯罪相比較，計算機犯罪的主體一般是掌握計算機專業知識的人員。它同時具有以下特點：

計算機犯罪的手段、技術性、專業化，將會使得計算機犯罪有很強的智慧型型。其背後的高技術支撐，手段複雜隱蔽等等諸多因素，往往都會使案件瞬間完成且不留痕跡。所以這都會給網上犯罪案件的偵破和審理帶來極大的困難。

由於計算機本身自帶的系統安全措施、機主安裝的種種安全軟體，和資料形態的多元化，將會使得一般人無法輕易發現計算機內部發生的細微變化；加之網路開放的原則、虛擬性、匿名性和跨國性等性質，使得計算機犯罪有極高的隱蔽性，這也給偵破計算機犯罪案件帶來了不小的難度。

從1986年我國發現首例計算機犯罪以來，每年至少出現幾起或者幾十起計算機犯罪。公安部公共信息網路安全監察局數據表明，我國的計算機違法犯罪案件逐年猛增。其中涉及的違法金額數目更是隨之水漲船高，從最開始的幾百元到上千萬元，每年造成的直接經濟損失數以億計。且此類案件危害領域也正在擴大，危害程度也愈發嚴重。

《公安機關辦理刑事案件程式規定》第179條對計算機犯罪案件現場證據收集工作進行了原則性規定。但是在沒有具體的程式性規定的條件下，公安執法實踐中的難題恰恰是在確認證據對象的條件下，如和結合計算機證據區別於傳統證據和一般視聽資料的特點，嚴格地按照程式依法收集證據。

結合多方資料，筆者在此做一個小結：

這是對證據進行有序管理的必然要求，同時計算機犯罪現場圖及網路拓撲圖為實際工作中的案件模擬和犯罪現場還原提供了直接依據。

分析計算機類型和所使用的作業系統類型，是否為多作業系統或有有無隱藏分區、可疑外設、遠程控制、木馬程式等，以及當前計算機的網路環境。尤為需要注意的是開關機環節，要做到不讓正在運行的進程數據丟失，或存在不可逆轉的刪除操作。

計算機證據的收集、提取工作對計算機安全檢查民警的業務素質要求很高，在提取過程中，要謹慎完成每一個步驟，在面對計算機的種種漏洞、層層可疑痕跡時，務必仔細查找分析每一處細節。

在對主要犯罪事實連同各類硬體設施進行拍照記錄之後，首先確定計算機中相應證據的存放位置，並且將證據顯示在計算機顯示器上，然後再次進行攝像、拍照。接著再將證據進行文書化處理，並且加蓋印章、逐項填寫，簽名。緊接著對

證據利用同規格的介質進行複製備份，且備份數目大於兩套，方便公安工作的使用。然後再固定保全證據，封存物證，做到斷開網路連結等步驟。最後撰寫收集提取證據的情況說明即可。

計算機證據，其本質又可歸納至電子數據證據。民事訴訟法（1991年）在第63條證據的種類里，只規定了七種：物證、書證、視聽資料、證人證言、當事人陳述、鑑定結論以及勘驗檢查筆錄。而在之後修改的法條中，電子數據證據也是被歸為其中。電子證據具有與其餘七類證據完全不同的特點：作為與計算機密切聯繫的電子證據具有至少具有以下特點：無形性、易破壞性、多樣性、高科技性等特徵。對其的解釋為：電子數據是存儲於電子介質中的信息，包括電子簽名、格式化後的硬碟通過恢復取得的信息等等，與傳統的錄像、錄音等視聽資料有所區別。作為新納入民事訴中法中的第八種證據的種類，電子數據證據的法律地位也是尤為重要。所以，談及計算機證據這一詞，很難不涉及到它的法律地位。目前看來，世界各國對於這一問題的態度均持肯定，因為當今世界正在電子化、信息化。而否認這一觀點是極其不明智和不現實的。

因此在當代法庭中，我們可以出示計算機證據來證明己方觀點，這樣正是對計算機證據，電子數據證據的法律地位的最好證明。

作為具有法律地位的證據，在其的保全這方面，也有著三層含義：1、保護證據的特定價值，即防止證據遺失或被替換；2、保護證據的證明價值，即防止證據變質或被損壞；3、保護證據的法律價值，即建立健全證據移交手續和證據保管手續，形成完整的證據保管鏈，防止證據因保管手續不健全而失去法律效力。

以上則為對其證據法律效力保護的展開說明。

計算機證據的相關套用非常廣泛，在法庭出席中，可以通過出示計算機證據來證明己方觀點；在各類電子取證實驗室中，可以提取相應的計算機證據來做成鑑定報告。

在國際上，計算機證據走上法庭已經有30餘年的歷史；1984年美國FBI成立了計算機分析回響組（CART)；計算機證據國際組織（IOCE）下屬的數字證據科學工作組（Scientific Working Group on Digital Evidence)於1999年10月在英國倫敦召開的國際高科技犯罪與取證會議上提出了關於數字證據的相關標準與基本原則；2000年左右，專家們提出了集中典型的取證過程模型，即：基本過程模型（Basic Process Model）、過程抽象模型（An Abstract Process Model）、法律執行過程模型（Law Enforcement Process Model)和其它過程模型；國外NTI、Computer Forensics Incl、Guidance Software等眾多專業研究計算機的機構和公司，開發了Encase、DIBS和Flight Server等產品；美國70%以上的法律部門擁有自己的電子取證實驗室；2008年，歐洲法學研究所（ENFSI）為計算機證據人員出版了指男性的校驗和報告。

2005年11月，我國在北京成立了電子取證專家委員會並舉辦了首屆計算機取證技術研討會，2007年8月，在新疆烏魯木齊舉辦了第二屆計算機取證技術研討會。2995年以來，CCFC計算機取證技術峰會和高峰論壇也非常活躍，每一年都在舉行相當之多的活動。2007年和2009年，在北京舉行的國際反恐警用裝備展中，電子取證的軟硬體等設備，開始成為亮點。

國內湧現出的大量電子取證實驗室、電子取證工作者。這也都與電子取證、計算機取證等方面息息相關。

計算機證據套用廣泛，在此，筆者將以“熊貓燒香”案件①的司法鑑定過程中的計算機證據為實例展開說明。

其按照下面步驟展開：

（來源於湖北丹平司法鑑定所材料檔案）

·製作和傳播木馬病毒的實驗環境

·編寫病毒代碼的軟體工具

·所編寫的多個病毒原始碼及由該代碼所生成的執行檔

·通過木馬軟體直接或間接獲得的他人計算機內的遊戲賬號和登入口令等信息

·所出售木馬病毒代碼和木馬生成器的價格

·在瀏覽相關技術資料時留下的收藏網址和多次訪問病毒源碼時留下的歷史記錄

（以上為司法鑑定步驟）

圖一：相關代碼

例如提取目標檢材的“熊貓燒香”木馬病毒的客戶端和服務端程式，同時，提取其源程式代碼檔案。

圖二：相關廣告

然後提取廣告和盈利資料庫等有關信息，通過相關分析，可以認為：“whboy”木馬病毒製作者製作的最終目的是通過出售“自己設計的木馬程式和由木馬所獲得的信息”來獲得經濟利益。

整個鑑定報告是按照刑法286條的相關內容“故意製作、傳播計算機病毒等破壞性程式，影響計算機系統正常運行，後果嚴重的，按照第一款的規定處罰。”來製作的，上圖為”故意製作”和“故意傳播和非法盈利”的證據。

整個鑑定報告得到了法庭採信，最後有關犯罪嫌疑人被判刑。

（注①：該材料來源於湖北警官學院電子數據取證實驗室真實案例）