电子证据的技术特点分析

【摘要】电子证据及其取证是信息安全技术的重要研究领域之一。本文信息详细分析电子证据的技术本质特点，佐证电子证据的形成方法、研究切入特点，为开相关研究提供参考。

【关键词】电子证据 证据 鉴定特殊性

中图分类号：D925 文献标识码：A

自从20世纪40年代美国人兰达发明了条形码以后，条形码被广泛应用于物品编码，条形码首先应用于各类商品的外包装业。从证据学的角度来看，条形码就是区别物品的身份代码，就是一种证据。面对包装业迷人的信息时代光环，各类电子证据还存在于何处，还有哪些技术特点，还有哪些电子证据的相关技术能够促进包装业的信息安全，这是值得关注的。

相形于书证、物证、视听资料、当事人陈述、证人证言、鉴定结论以及勘验笔录等传统证据，电子证据拥有明显的技术含量特点，突出表现出其高科技特点。具体来讲有：相对的易删改性，隐蔽、分散性，自动性、实时性，多样性、复合性，人机交互性等五个主要特点。电子证据拥有明显的技术含量特点是所有特点的共同点，显而易见，电子证据所赖以存在的环境是计算机软硬件和网络环境，电子证据存在着高科技的技术含量特点。以下进行详细分析。

1 相对的易删改性特点

电子证据的相对的易删改性特点是相对于传统证据和电子证据自身特点及其所依赖的环境三方面而言。具体来讲，基于三点比较。第一，相形于传统证据。传统证据证据的一般性修改往往可以通过人的肉眼就能够轻易地识别出来，而针对传统证据证据的较为高超或隐秘的修改，往往可以借助于显微放大镜、实验测试等专业笔迹查验、辨别印章的方法就能够发现其修改痕迹。正是这样，很少有犯罪嫌疑人乐意实施对书证内容的修改，因此，一般认为，不易删改性是传统书证的首要特点。第二，对于电子证据而言，因其所拥有的、明显的技术含量特点，只要具备基本的信息技术应用能力，任何人完全可以做到有意或无意地修改文档内容或IP地址等计算机常用数据信息，正是因为如此，部分学者就总结认为，较之于传统书证，电子证据可能更容易被删改，而这样的易被删改的特点就有可能导致电子证据司法取证上的不确定性与不可靠性陡然提升，因此说电子证据具有“易删改性”。第三，就电子证据所依赖的环境而言，电子证据的易删改性又是相对的。普遍存在与计算机上的文档或数据，操作系统对其的管理不仅赋予其文件名、创建日期、创建时间、文档占用空间等面向用户的可视的文档属性，还赋予了文档面向磁盘或光盘等存储介质的用户不可视的存储结构，文档内容以二进制代码形式按统一的分配方式存储在磁盘等介质的磁道、扇区上，而这样的文档既可以是PPT演示文稿、商务文件，也可能就是操作系统的系统文件。对于一般用户而言，一般的文档的修改操作通常就是利用现有信息去覆盖原有信息，但对于用户使用的操作系统而言，这个信息的覆盖的本质表现就是：面向用户表现出的是最后一次更迭的文件目录项（如文件名、创建日期、修改日期、文档占用空间等），而在计算机系统内的某一指定区域则会记录下修改时间、修改位置等操作痕迹，而这一点对用户来讲是不可视的。假如文档的修改是针对描述计算机运行状态的系统信息，或者是网络路由环境中的实时数据，那么，实施这次操作的人员就必须具有高超熟练的计算机、网络、通信等方面的专业知识和应用技术技能，否则，首先犯罪嫌疑人不可能登录到相关的设备，其次犯罪嫌疑人不能完成特定的活动任务，所以说，普通用户很难做到不留任何痕迹，取证人员动用有关数据恢复与挖掘的技术就有可能发现犯罪嫌疑人所有的危害性操作工作记录，这就类同于传统书证的不易删改性。当然，犯罪嫌疑人为了达到掩盖或销毁其危害性操作留下来的“蛛丝马迹”，犯罪嫌疑人也可能或必然会利用有关技术进行数据隐瘾匿或销毁，隐身逃脱，逃避制裁。例如，数据擦除技术能够清除磁盘的文件分配表和文件根目录；数据隐藏技术能够隐藏部分数据使其不能被清除或“化妆”成为部分特殊的数据结构；数据加密技术能够在给特定的数据中添加预先设计的口令或密钥，导致正常的数据信息的修改不易擦觉，帮助犯罪嫌疑人实施其犯罪活动，所有这些技术措施不仅会麻痹正常的计算机操作，而且还会大幅度提升司法取证的工作难度和强度。但是，犯罪嫌疑人所实施的这一切行为，终究会被发现，证据肯定会被固定，在这样的基础上，证据自然能够始终保持其原始状态，因而，从这个层面上讲，电子证据较之传统证据更具有安全性和稳定性，电子证据的易删改性是相对而言的，是比较的结果。

2 隐蔽、分散性特点

由于电子证据拥有明显的技术含量特点，电子证据的物理存在的本质是依赖于电信号和磁信号来记录信息，电子证据类同于一般的电子信息一样，存储在计算机内存、计算机的磁盘、各类光盘、手机或者是存储卡上，电子信息的内容必须通过专用的输出设备才能展现出来，电子证据的用于记录证实事实真相的内容同样不能直接展现给法庭，只能间接通过设备展现，这点有别于传统证据具有的直观可见性。犯罪嫌疑人为了达到其掩盖或销毁危害性操作所留下来的“蛛丝马迹”，犯罪嫌疑人也可能或必然会利用有关技术将数据隐瘾匿于计算机和网络设备的特定存储区域，使用常规的证据取证方法就不容易看到，从而增加了电子证据的隐蔽性。信息社会属于一个数字的虚拟环境，能够证明犯罪嫌疑人犯罪行为事实的证据一定分散在不同地域、不同国界的Intemet网络节点上（网站、服务器、用户终端、路由器、网关、流控设备等），这张大网就是无形的取证环境，因此电子证据具有较强的隐蔽、分散性。

3 自动性、实时性特点

回顾计算机和网络的工作原理，以及数码相机、摄像机等类似的自动化设备的工作原理，不难发现，这些电子设备所有能驻留电子信息的部件都有可能记录犯罪嫌疑人的犯罪行为踪迹，此处如果将数码相机、摄像机等电子设备视为计算机的普通外设看待，那么，电子证据的主要数据信息类型不外乎计算机环境数据（计算机运行状态描述数据、网络流量监控描述数据、网关状态数据）和网络运行数据两类，从宏观上就能作出这样判断：而这两类数据都能够依据自动化设备的程序存储、自动执行的工作原理将自动、实时生成使用状况记录。由于自动生成的这些记录能够如实“刻留”罪嫌疑人的犯罪行为踪迹数据（女DIP地址、登录密码、访问时间戳、以及数码相片生成时间、照片分辨率、标题说明标注等）并能够保存一定期限，在排除故意或无意的操作不当的前提下下，电子证据一旦形成并固化，就能够使始终保持其最初原始状态，长期无损保存、反复使用。因此，从这个层面上讲，电子证据具有传统证据无法比拟的自动、客观实时性。

4 多样性、复合性特点

本文定义的电子证据的外延较大，简单地讲电子证据就是依赖于电子设备而形成的所有证据。而与先前的定义“比较电子形式存在的、作为证据使用的一切材料及其派生物；或者说借助电子技术或电子设备而形成的一切证据”并无本质的区别，因而是广义的定义方法。这样，电子证据就不仅包括传统的视听资料，而且还包括计算机数据以及外设数据（如网络电话、传真机等，也包括数码相机、摄像机、手机等设备）产生的数据，这些设备类型繁多、内容多样，其表现形式更是丰富多彩：或以单一的媒体形式表现出来，如打印在纸上的符号，如输出到输出设备上的图形、图像，如输出到音频外部设备的声音等，或以复合的多媒体形式表现出来，这就使得电子证据能够较传统证据使用较多的表现形式，能够较为形象地“回放”案件事实经过。因此，从这个层面上讲，如果排除传统证据中的视听资料，那么，传统证据基本上都是单一媒介表现形式，而电子证据具有多样性、复合性特点。

5 人机交互性特点

电子证据的获取一定是取证人员通过取证工具在案发的计算机和网络设备上完成的，涉及到以下几个方面的环节：首先是取证人员（人）；其次是带有取证人员工作意志和智慧的取证工具，即“放大”了能量和人数的取证^员（人）；第三，所有使用计算机和网络设备的其他人员（人），比如有计算机和网络设备操作人员、资源服务器管理人员、网关管理人员、程序设计人员、应用系统设计人员等，他们在信息传输的各环节实施着针对计算机和网络设备的不同层次的管理，对设备施加不同程度的影响；第四，实施某种犯罪活动的犯罪嫌疑人（人）；第五，取证涉及的各类计算机和网络设备（机）。由此就可以看出，所有问题的关键在于人、机两个层面，取证具有人、机交互的特点，这就要求在依法收集、获得和固化电子证据的同时，应该针对人、机两个层面上实施不同策略的严格管理和控制，从而保证顺利地获取证据，确保证据的可靠性和真实性。

参考文献

[1]何家弘.证据法学研究[M].北京：中国人民大学出版社，2007：92.

[2]麦永浩，孙国梓.计算机取证与司法鉴定[M].北京：清华大学出版社，2009.

[3]陈龙，麦永浩，黄传河.计算机取证技术[M].武汉：武汉大学出版社，2006.

[4]宋亦青.电子取证若干问题研究中国政法大学[D]，2007.