本站小編為你精心準備了手機取證標準化程序探析參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《廣西警官高等專科學校學報》2016年第5期

摘要：

隨著手機使用率的不斷提高，手機證據對于偵查破案的重要性也日益顯現。如何從手機中提取相關數據并確保其真實性與完整性,是當前世界各國刑事司法活動共同面臨的重要課題。手機取證標準化程序的構建，能夠規范引導偵查機關的取證行為，最大程度保證所獲得證據的真實與合法,為手機證據的認定提供具有可操作性的判斷標準，對于司法實踐具有重大意義。

關鍵詞：

手機證據；取證程序；標準化；事前取證

與傳統手機不同，智能手機兼顧了計算機與移動電話的優點。人們在日常生活中對其愈發依賴,許多重要數據也因此儲存于手機之中。這同時也給犯罪分子利用智能手機實施詐騙、盜取個人隱私信息等犯罪行為提供了便利。因此，如何將手機中有利于破案的相關信息快速完整地提取，對于懲罰犯罪、保障社會治安有著重要的現實意義。然而手機證據極易被篡改，如何在偵查取證過程中確保其真實性與完整性，早在21世紀初便受到法治發達國家學界和實務界的密切關注和反復實踐。美國、英國、加拿大等英美法系國家經過長期實踐與摸索，在電子證據收集方面已經形成了一整套較為完善的標準化程序，并在此基礎上結合手機取證之特殊性逐步構建相對獨立的手機取證程序[1]。反觀我國，在手機取證程序方面的研究與立法嚴重滯后，學界鮮有涉獵，在取證主體的資質、提取工具的選擇、提取程序的進行、提取報告的制作等方面都缺乏統一的標準化程序。司法實踐中，偵查機關仍遵循傳統的偵查取證模式，或者直接套用計算機取證程序的相關規定，這種簡單的處理方式往往會給后續訴訟過程中對所獲得手機證據在證據能力方面的認定帶來諸多負面影響[2]。我國應當盡快順應世界刑事司法發展之潮流，結合我國刑事司法實際情況，借鑒國外相關立法經驗，盡快構建手機取證程序并，以此為契機推動我國電子證據取證標準化程序構建的步伐。

一、界定與對比：手機取證的特殊性

我國于2012年3月14日，第十一屆全國人民代表大會第五次會議審議通過了《關于修改〈中華人民共和國刑事訴訟法〉的決定》，把“電子數據”列為法定證據種類之一，首次以基本法的形式確認了電子數據在刑事訴訟中的地位。此后，關于電子數據收集、提取、保管、審查等相關法律法規也陸續出臺。隨著我國計算機取證程序的逐漸成型，無論是立法者抑或司法者，都不約而同地認為計算機取證程序在提取電子數據方面的普適性。隨著智能手機使用率的高速提升，在不久的將來，在刑事司法中手機證據在電子數據中所占份量必定不會低于計算機證據。隨之而來的一個問題便是：手機取證與計算機取證兩種獲取電子數據的行為是否有本質區別，這直接關系到二者能否適用同一取證程序[3]。手機取證，是指在訴訟過程中,有法定取證資格的取證主體運用符合取證規范的取證工具和技術方法,發現、提取或檢驗手機及其相關設備并從中獲得訴訟證據和案件線索的一種取證措施[4]。手機取證著重于將儲存于手機中的數據進行提取與固定，如實呈現出從手機中采集到的數據的狀態和內容。與手機證據的鑒定不同，手機取證只是確保數據的完整真實，并不涉及對數據的分析審查與判斷。手機取證與計算機取證，雖然有諸多近似之處，但在數據存儲和處理等方面卻存在本質區別，正是這些區別決定了手機取證的特殊性。

（一）是否能夠獲取無線信號

手機自始便被設計為可移動通訊工具，為實現其通訊功能，手機需要將無線電波與聲音或文字進行相換，并且發射與接收以基站為媒介的無線電波[5]。這種通訊功能恰恰是計算機所不具備的。隨著手機技術日新月異，如今手機通過無線信號能夠實現的功能越來越多，比如：藍牙、無線連接等。然而，通過無線信號所支持的這些功能，手機操作系統的被授權者可以對手機進行遠程操作和控制，從而在遠程的情況下實現改變手機存儲信息數據的目的。相較于計算機取證程序，為確保數據真實性與完整性，在手機取證過程中是否切斷手機無線信號，應當給予高度關注。比如：獲得涉案手機后，若手機信號搜索功能處于開啟狀態，應當及時屏蔽信號或者關閉信號搜索功能以防止手機儲存信息被篡改。

（二）使用的操作系統不同

操作系統是管理計算機硬件資源，控制其他程序運行并為用戶提供交互操作界面的系統軟件的集合，因此高效的取證工具與技術都必須根據操作系統進行研發①。手機操作系統與計算機操作系統在技術上雖無本質區別，但目前計算機使用的操作系統種類不多、較為集中、且基本對外公開。反觀手機操作系統，不僅其代碼可能被作為商業秘密，且目前市面上流通的手機品牌眾多，適用的操作系統也各不相同，種類頗多[6]。因此，手機取證過程中沒有通用的取證工具，需要根據取證對象的操作系統選擇合適的取證工具與技術，否則取證無法進行。故而在計算機取證中無需多加考慮的取證工具與技術，在手機取證中卻是必須給予重視。

（三）信息儲存載體不同

硬盤是設備信息儲存的載體，分為只讀存儲器與隨機存取存儲器，后者會因斷電而導致儲存信息徹底丟失，前者則不然。儲存在隨機存取存儲器中會因儲存設備斷電而徹底滅失的數據被稱為易失性數據。易失性數據僅僅在設備通電工作時才存在，保證手機電量充足是儲存的必要前提。而儲存在只讀存儲器中，不會因設備斷電而徹底滅失的數據則是非易失性數據，例如我們的照片、錄像、文件等。由于儲存于手機中的數據有大量的易失性數據，若要確保所提取證據的完整性，在獲得取證的目標手機后對于其工作狀態（開機還是關機）必須進行確認。如果目標手機處于開機狀態則應當一直保持其電源充足，防止手機中存儲的易失性信息因斷電而丟失[7]。

（四）對數據提取速度要求不同

因系統設置常會被其他數據覆蓋而改變的數據稱為覆蓋性數據，因時間改變或定時功能而改變的數據稱為時效性數據[8]。與計算機不同，手機因其儲存量小，其數據不得不持續被覆蓋或隨時間改變，即為覆蓋性數據與時效性數據。這意味著即便在目標手機被偵查機關掌控后，其數據同樣可能因提取措施的延誤而被該改變。因此，手機取證具有極強的時效性，必須盡快完成數據的提取。手機取證與計算機取證的以上區別直接決定二者取證程序上的不同，若無視二者的區別將計算機取證程序盲目用于提取手機證據，必將損害其數據的完整性與真實性，從而使其證據能力受到質疑。因此，構建獨立的手機取證標準化程序，為刑事偵查中手機證據的提取和固定提供一系列明確的操作流程于我國刑事司法實踐而言具有緊迫性與必要性。

二、基礎與指引：手機取證程序基本原則

設定偵查取證程序作為刑事訴訟程序的組成部分，刑事訴訟的基本原則自然同樣適用于偵查取證程序，但針對性不足，尤其是手機取證本身又與傳統的證據提取有本質區別[9]。結合手機取證之獨特性，應當確定以下三個基本原則。

（一）合法性原則

手機取證的合法性原則要求取證行為應當由持有司法鑒定人職業資格和執業許可證的自然人，使用國家法律法規所認可的司法取證工具與技術，遵守國家法律法規確立的取證程序，對手機設備進行取證[10]。

1.主體

合法手機取證必須由持有司法鑒定人職業資格和執業許可證的自然人進行。這并非要求所有流程都由此人操作，而是整個手機取證的過程都由此人控制并且關鍵操作應當由此人完成。

2.方式

合法手機取證的方式必須是使用國家法律法規所認可的司法取證工具與技術進行。這里的工具指的是取證設備、取證軟件以及能夠達到取證要求的代碼或其他方式。

3.程序

合法手機取證的程序必須是國家法律法規制定或認可的手機取證程序。這里的程序包括但不限于許可、取得、運輸、分析、保存等程序。

4.對象

合法手機取證的對象必須是符合國家法律法規關于取證材料規定的手機設備。這個取證材料不僅要符合國家法律法規關于取證材料規定，還包括技術上達到手機設備的要求。

（二）及時性原則

手機取證及時性原則是指取證活動應當及時有效地進行。取證主體在準備、取得、封存、運輸、交接、取證、保存、分析、呈現、檢驗等過程中應當采用效率最高和耗時最少的方式進行。

（三）連續性原則

一個理想的司法程序應當是流暢和連續的。一個環節的結束意味著另一個環節的開始，環環相扣緊密相連，不管哪個環節出現了問題都可以及時鎖定并在可以補救的情況下追溯至前一個環節重新開始。可見，取證過程的流暢與環環相扣，不僅可以有效保證所獲得證據的真實合法，還是后續司法行為中對所獲證據進行檢驗與審查從而認定其證據能力的重要依據,對于極易被篡改的電子數據而言尤為重要。

三、規范與構建：手機取證標準化程序模型的提出

（一）前期準備前期準備階段主要包括取證人員的準備、取證方案的準備與取證工具的準備以及現場的保護。

1.取證人員的準備

手機取證與計算機取證同屬專業性較強的技術取證，對取證主體專業技術有很高的要求，必須既熟悉一般司法取證程序，同時還需要掌握相應的相關專業知識。取證人員中應當有專門的過程記錄者，專職記錄取證全程。

2.取證方案的準備

取證小組組成的同時，應當對取證的事宜制定適用方案，包括人員的分工、運輸路線的選擇、取證地點的選擇、應急方案等。方案的科學性不僅影響取證的效率，更影響取證活動是否能如愿完成。

3.取證工具的準備

方案確定后，根據手機的特征、取證環境、運輸路線等因素，選擇適當的工具組成工具箱，這個工具箱包括手機充電設備、信號屏蔽設備、防靜電手機證據袋、防干擾設備等。在趕往取證現場的同時應當在取證實驗室確認取證的工具是否完備，例如密碼破譯設備、取證分析軟件、防病毒軟件等。

4.取證現場的保護

為防止證據被破壞或污染，有效保證所取得的證據的真實性與完整性，現場保護是必要的。首先，應當即時控制取證現場,其次控制包括警察在內的在場人數以降低證據被破壞或污染的危險,最后，禁止沒有取證資格的人對手機進行任何操作，如果確有操作應當被記錄。

（二）全程記錄取證過程

取證過程應有專人記錄全程，這是為確保取證行為的可供重復操作進而檢驗取證的真實性以及合法性。手機取證中應當記錄的內容包括：取得手機、使用設備、運輸手機、交接手機、數據取得、證據分析、推論依據、證據保存過程中涉及的人員、地點、時間、方式、結果等。電子取證的操作又可以根據是否在物理層面上的操作分實體的操作以及虛擬的操作。實體的操作指的是物理層面上的操作，虛擬的操作指的是非物理層面上即對于虛擬數據的操作。因此在記錄方式上，實體的操作應當全程錄影錄像，虛擬的操作應當使用相應的技術進行完整記錄，如歷史記錄痕跡、數據拷貝等技術。

（三）確定設備狀態與屏蔽信號

1.確定設備狀態

相關人員確定目標手機設備的狀態，即開機或關機。手機狀態的不同直接影響隨后的取證程序。如果手機狀態為開機，也應當及時使用充電設備保證手機電源充足從而防止易失性數據丟失。

2.屏蔽手機信號

如果手機設備狀態為開機，就應當利用工具箱中的屏蔽設備及時屏蔽信號。信號包括一切可能與其他設備聯通的交流方式，比如：電波信號、無線連接、藍牙。屏蔽的方式不僅僅是使用攜帶的屏蔽設備，也可以是手機內置關閉無線搜索的功能，例如開啟飛行模式、關閉藍牙功能，但這些操作的前提是確保不對手機數據產生破壞或污染。在計算機取證程序中無需考慮設備狀態與設備信號，因為計算機中所儲存的數據不會因以上二者的不同而發生該改變。我國當前較為常用的數字證據取證模式，如：NIJ執法模式、DFRWS模式、抽象數字證據取證模型、IDIP模式、系統數字司法刑偵模型等模式也都未對以上情況可能引發手機證據變化的隱患有所關注。實踐中偵查人員掌握了目標手機后甚至人為關閉手機，造成易失性數據的丟失，這十分不利于手機證據的真實與完整。

（四）證據的轉移

由于人員、設備、環境等因素不完備或不可控，因此常常需要將對象手機轉移至環境可控的實驗室或其他合適地點再對手機數據進行提取。如何確保轉移過程中手機證據的完整與真實便是這一環節的重點。轉移目標手機前，應當使工具箱中的充電設備連接手機設備并且保證手機的電量充足，不會從開機狀態切換到關機狀態或者從暫時性斷電狀態切換到完全性斷電狀態。同時，將對象手機與充電設備妥善封存于防靜電手機證據袋中，并且利用工具箱的設備防止靜電、強磁場、碰撞擠壓、灰塵、帶編碼的電流、輻射、溫度、濕度等物質或能量因素對儲存設備的影響。手機轉移過程中，應確保對手機及其儲存信息的絕對控制與保護，保證手機電量充足以及手機設備不被操作。也可以使用計算機與手機連接從而達到目的。轉移至目的地后，進行手機以及相關設備的交接并詳細記錄交接情況。轉移過程中須確保手機及其儲存信息一直處于偵查人員的絕對控制之下。

（五）數據的提取

在數據提取環節中，取證者根據操作系統的特征應當使用適合的工具與程序對手機內部儲存數據進行提取。如果操作系統被視為商業秘密，應當及時聯系手機開發商，要求提供操作系統的代碼或者提供相應取證工具與技術。如果手機開發商提供作為商業秘密的操作系統代碼，取證人員應當對此進行保密；如果手機開發商提供相應取證工具與技術，取證人員也應當對相應的取證工具與技術進行保密，同時手機開發商應當擔保其所提供取證工具與技術的可靠性。從當前我國司法實踐來看，偵查機關使用的取證方式與計算機取證方式與程序完全一致，因此可以從手機中完整提取非易失性數據，卻無法有效提取易失性數據。這不能不說是我國當前手機取證的一個重大失誤。

（六）數據的初步分析

在取得上述數據后，取證者使用適合的取證工具以及技術對所取得的數據進行分析，得出初步的數據分析結果。由于數據之間具有關聯性，這個階段應當在上一環節完全結束后進行并分析所得全部數據。同時，為了更好地分析手機數據，可以采用多種工具與技術并多次進行。

（七）第三方取證

手機中部分數據可能因時效性或覆蓋性改變或丟失，僅從手機中獲取的數據并不完整。因此,在上一環節完成后，取證者應當根據數據分析結果，通過第三方取得因時效性或覆蓋性而被改變或丟失的手機數據。比如：手機基于互聯網技術通過第三方媒介完成的數據；基于手機通訊信號或者其他無線信號技術完成的功能的手機數據等。

（八）數據的二次分析

第三方取證完成后，取證者應當就當前所獲得的全部數據進行二次分析，基本要求與初次分析相同。

（九）證據的呈現

將所獲得的手機證據應當以一般人能夠理解和感知的方式予以呈現。這也是司法公開原則應有之義。呈現的內容包括取證結果與取證過程。司法實踐中大量手機證據最終以書證、照片或者視聽資料等證據形式出現，法官必須通過考察取證過程從而判斷這些“轉化”證據是否具有證據能力，能否作為定案依據，因此呈現取證過程同樣十分重要。上圖是以9個環節的流程展示，從中可以清晰地看到取證程序全貌，基本能夠實現前后環節之間的銜接流暢，對偵查機關的取證行為能夠有較為明確的指引，且在現有科技水平和司法條件下，可以最大程度保證手機證據的真實與完整。

四、前景與展望：手機事前取證程序應是未來電子數據取證趨勢

在網絡和電子技術飛速發展的今天，人們獲得信息的手段發生了革命性的變化，“電子文件也作為傳遞信息、記錄事實的重要載體，一旦發生民事糾紛或刑事案件，電子證據就成了不可或缺甚至是舉足輕重的證據[11]。”著名證據法學者何家弘教授早在2014年便預言“我們即將走入電子證據時代。”隨著智能手機使用率在世界范圍內的不斷上升，刑事案件中手機證據出現的頻率也開始顯著提高，手機取證在司法活動中的運用也越發普及，可以預見手機證據價值也將不斷提高，手機證據提取程序與鑒定技術日趨完善。如何將手機對于刑事司法的作用發揮至最大，同時克服其不利因素，已經成為多個法治發達國家刑事司法領域諸多學者孜孜不倦探討的重要課題。在美國，甚至將手機取證作為法庭司法學的一個新的分支，稱其為“SmartphoneForensic”。由美國聯邦調查局屬下的計算機分析應對小組主導，聯合電子技術與法學兩方面的精英，共同就手機取證程序的完善進行持續性研究并為刑事司法中偵查人員如何提取手機證據提供了一系列指導性建議。這一領域的研究趨勢從“事后取證”的研究逐漸向著重于“事前取證”的方向發展。目前，事前取證程序主要運用于計算機取證中，并逐漸嘗試在手機取證中運用。即在犯罪事實發生前，有針對性地將目標用戶手機數據備份到特定媒介中予以儲存，待相關犯罪事實發生后及時提取，直接使用。這一程序能夠有效克服手機數據易失性、覆蓋性與時效性之三大缺陷，得以在犯罪案件發生后最大程度保證手機證據的完整與真實，同時提高偵破犯罪的效率。不失為有效解決手機證據固有缺陷與其對刑事司法重要性二者矛盾的創舉，故而相關領域的學者更是投入了大量的學術資源對此進行研究。從當前研究成果來看，學界目前對事前取證程序的研究主要集中在技術和合法性兩方面。

（一）取證技術

如何在犯罪事實發生之前從目標手機中成千上萬的數據里識別并提取有價值的數據進行儲存是該程序必須解決的技術難題。多位美國學者都主張可以通過立法或者政府規定等方式，確保所有手機出廠設置中都自帶統一的事前取證預警系統。該系統未收到法定國家機關依法發出的執行指令時，處于靜止狀態，不會對手機中的數據進行識別和收集。不會對一般用戶造成困擾，不會泄露其個人隱私。該系統的操作和維護往往屬于國家安全部門與警察部門中的專門技術機構。該系統在啟動后，會根據指令自動識別手機中特定的數據并將其上傳至指定的云存儲器中。上傳數據的前提是手機必須聯網，若目標手機處于離線狀態或者因通話而無法聯網時，系統則無法進行數據傳輸。為確保數據收集的完整性，有學者建議可以在手機離線時先將可疑數據復制儲存于手機中特定的儲存空間。在手機連接互聯網后，系統再將已經儲存的可疑數據傳輸至指定的儲存空間并刪除儲存于手機中的信息。若離線時儲存于手機中的數據在上傳前被篡改，系統即刻向主管部門發送警告。這只是相關技術的大致設想，在該事前取證系統的具體設計上還有許多技術難題未能攻克，需要進一步的研究。

（二）取證的合法性

事前取證意味著在犯罪事實發生之前便對特定手機中的數據進行識別、上傳和分析，雖然能夠有效預防犯罪，卻也會給公民個人隱私的保護帶來隱患。明確規定在所有手機中都安裝這一系統是否合法，國家機關在什么情況下有權啟動事前取證程序，這關系著如何在懲罰犯罪與保障人權二者之間維持微妙的平衡點。該程序在英美法系也受到諸多質疑，許多學者擔心安裝在手機中的這一預警系統會讓公民喪失隱私權，各大手機制造商更是極力抵制政府提出的要求在所有手機出廠設置中安裝這一系統。手機事前取證程序從設想到實踐還有一段很長的路要走。作為一個新生事物，它必定有諸多不完善之處，正如DNA技術剛剛出現，同樣為司法界所質疑，尤其是在DNA鑒定結果與目擊證人證言、被害人陳述等言詞證據相矛盾時，法官往往傾向于采信后者。DNA技術已經成為各國刑事司法中不可或缺的重要工具。智能手機技術的飛速發展，其市場占有率和使用率的飆升，手機證據在司法中所占比重的日益提高，都預示著未來手機證據必將在司法證明的電子證據時代占據重要地位，也必定需要有一整套相應的取證程序以確保手機證據的真實性與完整性。從當前世界法治發達國家的立法和司法實踐趨勢來看，事前取證程序可以最大程度克服手機證據固有缺陷并有效預防犯罪,其發展前景頗為樂觀。在電子證據立法和司法實踐上，我國本就起步較晚，對于手機取證程序之重視更是不足，其弊端已在司法實踐中逐一顯現。因此，盡快完成手機取證程序的構建是我國刑事司法刻不容緩的一個課題。如果能夠與此同時將事前取證程序同時納入構建設想之中，并在法律制度和技術允許的范圍內進行嘗試，也許能夠一改我國當前電子數據立法和司法落后的現狀，為電子證據時代的到來做好更為充分的準備。

參考文獻：

[1]劉穎，李靜.加拿大電子證據法對英美證據傳統證據規則的突破[J].河北法學,2006(1):125-128.

[2]劉品新.論網絡時代偵查制度的創新[J].暨南學報（哲學社會科學版）,2012（11）:63.

[3]戴瑩.電子證據及其相關概念辨析[J].中國刑事法雜志,2012（3）:51.

[4]何家弘.電子證據法研究[M].北京:法律出版社,2002：22.

[5]斯倫貝謝技術(亞洲)有限公司.3G的S工M卡簡介[J].通信世界,2001(1):2.

[7]米佳,劉浩洋.計算機取證技術[M].北京:群眾出版社,2007：33-48.

[8]張越今.網絡安全與計算機犯罪勘察技術學[M].北京:清華大學出版社,2003：31-49.

[9]劉品新.論電子證據的原件理論[J].法律科學,2009（5）:119.

[10]房保國.科學證據的失真與防范[J].蘭州大學學報（社會科學版）,2012（5）:108.

[11]樊崇義，李思遠.論電子證據時代的到來[J].蘇州大學學報（社會科學版）,2016（2）:100.

作者:莫然 戴澤昶 單位:廣東金融學院法律系