对于取证工具的可靠性,传统证据研究中较少讨论,因为取证工具对证据的影响相对较小。电子数据的获取及分析等直接依赖取证工具,取证工具的可靠与否直接关系到所取得电子数据的真实性、完整性等的可信判断。
取证实践中,没有任何一款取证工具能适应所有的案件,不同的案件所选择的取证工具可能不同,可供选择的工具也有很多。在案件的侦查取证中,取证人员可能选择商用取证工具,可能选择开源取证工具,可能针对具体的案件选择自行编程的取证工具,可能是多种取证工具的组合取证活动。在取证人员选择的这些取证工具中,有些商用取证工具可能是经过认证的,但有些商用取证工具可能出于商业秘密和竞争考虑不愿意公开源代码,所以没有经过认证但却得到了普遍应用。有些开源软件是经过认证的,有些开源软件或免费软件是没有认证的等。
任何取证工具包括商用软件都有可能在研发生产过程中存在漏洞、设计错误和编码错误。江苏警官学院的黄步根教授曾指出工具错误和提取错误[26]是取证工具一般存在的两类错误,工具错误源自代码中的漏洞,提取错误则源自算法错误。给出每个程序的提取错误率比较容易,确定工具的执行错误率就比较困难。[27]对于这种错误率,如果取证工具经过了认证测试,其取证获得的证据在法庭上可以采纳,但是取证工具没有经过认证测试,法庭法官就会产生这种错误率的存在是否是众所周知的,是否有控制技术实施,是否经过事前或者事后进行验证过的等问题,进而判断取证工具的可靠程度,评估利用这些取证工具所获取的电子数据的可信程度有多大。
例如,在一些网络犯罪案件中,有时需要借用一些传统的网络安全工具来实时分析网络数据流,但从电子数据取证角度看,利用这些工具进行电子数据的提取和分析,法庭法官内心中不得不产生疑问,例如,该工具是否存在误报和漏报数据,其检测结论是否全面或完全准确,另外对网络数据进行分析时是否改变了部分的原始数据等。
在电子数据取证过程中,电子数据的取得和分析直接依赖电子数据取证工具,取证工具的可靠与否直接关系到所取得电子数据的真实可靠性和完整性。法庭对电子数据是否采纳往往要考虑取证工具是否经过测试或认证,或者该工具它们在哪些地方取得了重大的成功,也即它们的普遍应用性如何。[28](www.xing528.com)
(二)电子数据取证工具的功能性质疑
当前应用的取证工具是功能特色各异,即使是完成同一个取证功能所采用的技术实现也有所不同。例如,用硬盘磁盘查看时,其取证工具有物理查看方式、逻辑查看方式、综合具查看方式,其中逻辑查看方式是只检查文件系统展示的磁盘上的数据,用综合查看工具查看磁盘时,其采用的方式既可以是物理查看的方式,也可以逻辑查看的方式。但是无论是哪一种查看磁盘的方式,都有自身的局限性。例如,当搜索关键词的时候,物理搜索方式以扇区为单位进行,由于组成一个文件的扇区并不必相邻,这种方式不能找到被不相邻扇区所割开的关键词,另一面,物理查看能够恢复所有的损耗空间或未占用空间,并且可以对比文件找出不同。[29]
在取证实践中,常常发现不同取证工具对同一涉案电子设备进行电子数据取证时,其收集出的结果不尽相同。以收集电子数据取证工具为例,有些取证工具会改变获取文件内容的原始属性,即使是知名的取证公司生产的专业取证工具,其特定版本的软件也可能存在这样或者那样的问题,在有些条件下会产生不科学或不完备的结果,例如Encase和FTK等。[30]
在取证实践上,没有具体哪个取证工具或产品可以完成所有的取证工作,在面对复杂的、多源的、错综复杂的犯罪案件,取证人员需要选择多种取证工具完成取证工作。在选取取证功能不完备或取证功能针对性不强的取证工具进行取证工作时,其所获电子数据的某些信息内容有可能不真实。电子数据取证工具的取证功能是否完善是影响电子数据可信判断的另一重要因素。
总的来说,电子数据取证活动需要借助一定的取证工具设备对电子数据实施专门技术性的操作。取证工具作为取证技术的重要载体体现,故而利用取证工具完成电子数据取证工作需要考虑电子数据取证技术自身的原理和技术要求,也需要考虑电子数据取证工具其在法律意义上的要求。取证工具是否具有可靠性,可靠性程度如何,取证工具在功能上是否具备较为完整全面地提取数据信息的能力,能否正确地分析数据信息等是在司法实践中需要考虑的问题。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
