1引言
随着电子政务与电子商务的不断发展,电子档案作为新兴的信息载体越来越多地服务于各领域,发挥着不可替代的作用。在档案领域,不论是纸质的档案还是电子的档案,在其凭证和查考等诸多作用中,凭证作用始终是最为重要也最多被使用的一个方面。谈到电子档案凭证作用的实现,笔者认为可分为三个层面:一是电子档案凭证性的保障技术,[1]二是电子档案的数字取证技术,三是国家在法律层面对数字证据的认可。在法律支持方面,数字证据并不在我国《刑事诉讼法》所规定的7种证据之列,在实际案件办理过程中属于较为模糊的一种证据形式。对于日益增多的需要出示数字证据的案件中,只能结合实际情况把电子证据作为视听资料、物证或者书证使用,以便让数字证据具有法律根据。公安、检察、法院等不同的司法机关在数字证据的认定方面存在差异,导致一些案件在移送起诉阶段由于对证据采信上的不同认识而导致认定的障碍,故数字证据的地位有待法律方面的突破。[2]不过,笔者认为,只有当实现了电子档案的凭证性保障技术和取证技术,使电子档案获得成为数字证据的能力的时候,才可能会促使国家立法认可数字证据。因此,可以得出这样一个结论:只有当档案部门能够通过管理和技术等手段有效保障电子档案凭证价值,且能够有效提取电子档案本身和与电子档案相关的各类信息作为证据(能够有效对电子档案进行取证)时,电子档案才会具有凭证能力,才会有效发挥其凭证作用。
2电子档案的数字取证
2.1数字取证与电子档案的数字取证数字取证技术是伴随着计算机信息技术与通信技术的快速发展而形成的一个新兴的技术领域,涵盖所有与数字技术相关的取证领域。[4]由于目前缺乏标准定义,国际上对数字取证的定义较多,其中比较典型的是由数字取证研究工作组(DigitalForensicResearchWorkShop,DFRWS)给出的定义:为了重建数字犯罪过程,或者预测并杜绝有预谋的破坏性未授权行为,通过使用科学的、已证实的理论和方法,对源于数字设备等资源的数字证据进行保存、收集、确认、识别、分析、解释、归档和陈述等活动过程。根据这个定义,数字取证实际上被解释为一种电子法医行为,是为了预测、发现、杜绝计算机犯罪的一种技术,既可以捕获计算机犯罪行为,也可以防止计算机犯罪行为的发生,相当于现代计算机信息安全技术的集合与延伸。在档案领域,显然上面这个定义是不够完整的。就电子档案而言,笔者认为数字取证主要包含两个方面的含义:一是将电子档案本身的凭证价值提供给机构或个人使用,二是预防电子档案的非授权操作或在电子档案遭受非授权修改或灭失的情况下对嫌疑事件进行取证的工作。本文姑且称第一个方面为“电子档案出证取证”第二个方面为“电子档案受害取证”。结合这两方面含义,我们可以为电子档案的数字取证这样定义:为了重现电子档案的产生和保存过程以赋予其证据作用,或者为了预测、发现、杜绝无意的或有预谋的破坏性非授权行为,通过使用科学的、已证实的理论和方法,对电子档案及其管理环境中的相关数字证据进行监视、保存、收集、鉴别、分析、鉴定、提取和陈述等活动过程。2.2数字证据数字证据伴生于数字取证,其定义也不统一。在档案领域,我们可以认为数字证据是:在电子档案生命周期中,经由计算机、网络、移动终端等数字设备产生的电子档案原文及能够反映电子档案起草、办理、归档、移交、保存、利用和处理过程的各类数字数据或信息,以及能够反映电子档案保管环境的运行状态和操作活动的各类数字数据或信息。包括与电子档案原文直接相关的文本文件、数据文件、图形文件、图像文件、影像文件、音频文件,以及与电子档案保管环境相关的软硬件环境参数,防火墙、反病毒、入侵检测等安全系统的工作记录、系统的审计记录、网络的监控记录,系统运行日志、软件操作记录、数据处理记录、运行人员记录等。数字证据与传统证据的差异较大,相比较主要有这样几个特点,这些也是研究数字取证的必要性:(1)数字证据具有精确性和易破坏性。数字证据依托信息技术生存,其产生和保存过程较为程式化。由于设备和程序不具有思想,故数据证据极少会受到主观因素影响,较之传统证据少了一些弊端,如证言的伪造或误传、物证的误解、书证的误记等。因此数字证据具有较高的准确性和客观真实性。但另一方面,数字信息具有易篡改且篡改后不易留下痕迹的特点,有预谋的或误操作对数字证据进行的修改和删除等,很难通过技术手段进行侦测。(2)数字证据具有易提取性和存储分散性。数字证据存储于信息技术环境,通过程序对数据进行提取较为便捷和快速,较之传统的物证等证据,避免了复杂的提取过程和对操作人员的较高要求,同时数字证据较传统证据也具有易于保存、保存空间占用小、可以反复重现和便于操作的优点。但另一方面,数字证据在信息技术环境中存储范围较广,分布于应用系统、数据库系统、各类硬件的日志存储器等,隐蔽性较高,这就对数字取证工具的开发提出了更高的要求。(3)数字证据具有易传递性和易截取性。数字证据可通过网络传输或脱机存储载体送达的方式进行传递。由于网络传输快捷、数据存储载体体积小等特点,数字证据的传递较之传统证据更为便捷。但另一方面,网络技术和黑客技术的快速发展,使得数字证据在传递过程中更易被截取和监听,且不易通过技术手段进行侦测。(4)数字证据具有多媒体性。数字证据涵盖文本、图形、图像、影像、声音等各种形式,这种多媒体证据具有多样化的表现形式,几乎涵盖了全部的传统证据形式。由于数字证据的读取、展示和解释较为便捷,未来更广泛的应用后,可以大大降低证据出示的难度和时间,提高证据的使用效率。诸如上述数字证据的特点,档案行业在发展数字取证技术过程中将面临不小的难题,有完全不同于传统档案的取证问题需要研究。电子档案的数字取证直接关系到档案信息在利用过程中的真实、完整、可用和安全,关系到档案最核心的凭证性作用,甚至关系到国家安全和司法安全,目前在国际上,数字取证技术已经成为信息安全领域的热点研究方向由于数字取证与传统的信息安全学科存在差别,国外已有学者提出要建立数字取证的新学科,并研究了教育与研究领域的人才培养体系与知识结构。那么国内的档案界是否要逐渐开展有关电子档案数字取证的研究和人才培养活动呢?随着数字档案馆的逐步建立,电子档案的日益增多,笔者认为有必要尽早开展相关理论、技术研究和人才培养工作,以应对信息时代档案工作的新形势。
3电子档案数字取证过程模型
电子档案的数字取证过程相当于对电子档案进行溯源的一个过程,也就是收集、提取并分析电子档案生命周期中的全部相关信息,并最终用于展示和解释的过程收集的内容需要包括前面一节数字证据中提到的全部数字数据和信息。我们先来看看国外现有的成果,2001年美国国家司法研究所(U.S.NationalInstituteofJustice,NIJ)为指导有关数字犯罪现场的调查,公布了关于数字犯罪现场调查的过程模型[5],如图2。NIJ数字犯罪现场调查过程模型包含这样几个重要环节:一是准备,准备在调查期间执行任务所需要的工具和设备;二是收集,搜索数字证据,收集或者拷贝含有数字证据的物理对象;三是检查,将数字证据进行“可视化”处理并进行归档,执行数据约简以方便对数据进行识别;四是分析,分析检查阶段聚集的证据,以确定“重要性和证据力”;五是报告,在每个案件之后,创建检查日志记录。NIJ数字犯罪现场调查过程模型准确和精炼描述了犯罪现场调查最核心的5个环节,可以说缺一不可。电子档案的数字取证过程虽然可以借鉴这一模型,但却不能照搬。因为档案的取证工作相对于单纯的司法而言是取证有其特殊性:一是刚才谈到的电子档案的数字取证除了包含罪案取证,还包含凭证提供;二是在电子档案的数字取证过程中档案机构是相对独立的,它不仅需要有调查的全部过程,还要有为调查过程服务的其他环节。电子档案数字取证过程模型主要应该包含发现、准备、收集、处理、分析、恢复、拷贝、备份、传递、报告等10个主要环节,如图3。(1)发现。电子档案出证取证,发现主要是在利用需求明确、身份证明齐全的前提下,使用检索系统通过关键词对档案目录或档案全文进行检索,查找所需档案的过程;电子档案受害取证,发现是在电子档案凭证性保障技术定期校验电子档案真实、完整、可用和安全的过程中检测出有电子档案异常(无法通过校验,电子档案被非授权修改或灭失)并进行系统报警的过程。(2)准备。电子档案出证取证,准备主要是根据检索结果履行档案借阅相关的审批手续,并根据电子档案的类型为利用者提供适当的阅读设备,有出证明需要的还应准备出证明所需的手续和物品等;电子档案受害取证,进行电子档案已遭受损害需要开展调查工作的报批程序,并准备在调查期间执行任务所需要的人员、工具和设备等。(3)收集。电子档案出证取证,获取已经批准借阅的电子档案原文列表,根据利用需求可能需要一并收集电子档案生命周期中产生的部分或全部数字数据或信息;电子档案受害取证,搜索并提取数字证据,收集或者拷贝含有数字证据的物理对象,收集的范围为遭受损害的电子档案生命周期中全部相关的数字数据或信息,包括与电子档案原文直接相关的文本文件、数据文件、图形文件、图像文件、影像文件、音频文件,以及与电子档案保管环境相关的软硬件环境参数,防火墙、反病毒、入侵检测等安全系统的工作记录、系统的审计记录、网络的监控记录,系统运行日志、软件操作记录、数据处理记录、运行人员记录等。收集工作是电子档案数字取证过程中的关键环节,在取证系统的设计过程中要做到电子档案溯源完整、无遗漏。(4)处理。处理环节是一个为识读数据而对收集到的数据进行可视化和约减的过程,同时需要对处理完毕的数据进行存档,以便于后续工作的继续开展。对于电子档案出证取证来说,处理工作是在数据因清晰度等问题造成阅读障碍的情况下进行技术修复;但对于电子档案的受害取证,处理环节非常重要,很多监控、操作等日志记录是程序语言,且在收集过程中可能产生大量的多维复杂数据,那么就需要对这些数据进行可视化和约简处理以便于识别。(5)分析。分析与处理是紧密相关的两环,并与发现反向关联。电子档案出证取证,分析是利用者对检索出的电子档案进行研读的过程,辨别其是否为自己所需的档案材料并获取期望的知识或凭证,若检索出的电子档案因清晰度等因素难以辨识则需要将其退回处理环节进行重新处理,若检索出的电子档案并未包含全部期望获取的内容则需要返回到发现环节重新进行查找;电子档案受害取证,分析处理环节聚集的证据,查找可用于对事件进行判断的数字证据,分析数字证据的“重要性和证据力”,将可直接用作证据的数据进行复制并单独存档,生成数据恢复方案。若在分析的过程中发现证据欠缺完整性或是遗漏了相关问题则需要返回发现环节对电子档案重新进行校验并重新收集证据。(6)恢复。恢复仅在电子档案受害取证中存在,指在经过分析完成数字证据的采集工作后,恢复原系统中受损的电子档案,恢复后即刻通过电子档案凭证性保障技术对全部电子档案进行一次校验。(7)拷贝。电子档案出证取证,根据利用者和出证明需求,将电子档案拷贝至适合传递的载体或计算机网络,载体可为数字数据存储介质或传统载体;电子档案受害取证,将经过收集、处理、分析后的数字证据集合按照相关规定拷贝至适合传递的载体或计算机网络,并对调查结果进行汇总,形成调查报告。(8)备份。备份仅在电子档案受害取证中存在。恢复至备份的环节,备份恢复后的全部电子档案数据,以解决发现异常前的常规备份中含有错误数据的问题;拷贝至备份的环节,对所有数字证据进行备份。(9)传递。将数字证据和调查报告向目标传递的过程。电子档案出证取证中传递的对象是利用者,电子档案受害取证过程中传递的对象是对案件处理有管辖权的行政机关或司法机关。根据电子文件的特性,所传递的数字证据一般为复制拷贝件,这与传统证据有所不同。(10)报告。在每个事件(电子档案利用或受害调查)之后,创建操作日志记录并进行备案,日志记录需精细至对数据和信息系统的任何操作。
4电子档案数字取证技术方案
电子档案的出证取证与受害取证在技术方案设计中有着较多的不同点,本文采用工作流程设计方法分别对电子档案的出证取证与受害取证进行技术方案的分析。4.1电子档案出证取证的技术方案电子档案出证取证的工作流程如图4。各流程节点的描述、与电子档案数字取证过程模型的对应关系和所需的信息技术见表1。4.2电子档案受害取证的技术方案电子档案受害取证较出证取证要复杂得多,其工作流程如图5。各流程节点的描述、与电子档案数字取证过程模型的对应关系和所需的信息技术见表2。
作者:田雷 单位:北京市档案局