本书的目的是为您提供对数字取证的清晰理解,从其作为法医学子学科的相对较新兴起,到其在与更为成熟的法医学学科并行发展中迅速增长的重要性。本章将帮助您清楚地理解数字取证从业者的角色,以及网络犯罪和企业环境,在这些环境中,他们积极寻求犯罪和民事违法行为的证据。一小部分数字犯罪现场的案例研究将使您理解许多案件的典型复杂性以及对法医学从业者提出的挑战。
在过去大约 10 年里,数字取证作为高等教育课程的一部分,以及作为执法和企业调查职业道路的兴趣不断增长。为应对日益增长的依赖数字证据的案件,新的技术和法医学流程已经发展出来。然而,越来越复杂的案件、案件的规模和数量正在给从业者带来问题,同时从业者还面临资源和成本的限制以及缺乏经过良好培训的经验丰富人员。本书将描述这些挑战,并提供一些在我的实践和研究工作中帮助过我的解决方案,希望能够帮助并赋能当前及未来的从业者,更有效地应对未来的问题。
由于个人计算机的固有安全问题,尤其是它们在工作场所的普及,给执法部门带来了新的问题。例如,从事刑事调查或完成内部审计的组织通常会遇到繁琐的计算机记录检查,以恢复数字证据。这些检查迫切需要新的法医学流程和工具,帮助从业者更有效地完成他们的检查工作。
对于那些寻求增强自己在协助法律界中重要作用的从业者来说,现在是激动人心的时刻。对于那些希望加入这一学科的人来说,他们将会在一个从业者面临影响证据恢复与管理变革的十字路口时加入。平庸、自满和疲惫在这一学科中很常见,尽管这一工作本质上充满刺激和重要性,但进入这一职业的热情可能会因为单调的工作和繁重的案件负担而迅速消退。接下来将与您分享的是一些新的、更有效的方法,帮助减少单调和时间浪费,振兴从业者,并恢复寻找证据的兴奋感,这一过程受到正在席卷整个学科的变革之风的启发,如果一些挑战未得到解决,这股风潮最终将变成旋风。
本章将涵盖以下主题:
-
法医学,特别是数字法医学的历史和目的的概述
-
该学科的定义及其相对于更为传统法医学学科的作用
-
刑事调查的描述以及网络犯罪的兴起和性质
-
民事调查的概述及电子发现、争议和人员纪律调查的性质
-
对数字法医学从业人员角色、所需的技能和经验以及他们所面临的挑战的洞察
-
通过案例研究展示一些值得注意的数字取证犯罪现场,以突出这一主题
法医证据被用于法庭或法律裁定中,尽管一些纯粹主义者不认为法医学是一门科学。这个术语可能会引起误解,但它可以应用于与特定科学相关的技术,而不是科学本身。法医学中有一些专业领域,如有争议的专家、法医牙医、土木工程师、汽车碰撞调查员、昆虫学家、指纹专家和犯罪现场重建专家。
1879 年,巴黎警察局职员阿尔方斯·贝尔蒂永提出了一种通过拍摄尸体和犯罪现场遗留证据来记录犯罪现场的过程。贝尔蒂永对犯罪现场的创新性摄影记录,以及他对尸体的精确目录和测量,为与突发死亡和凶杀案件相关的法医学奠定了基础。这一方法有助于识别死者,并在尸检过程中提供重要信息,帮助确定导致死者死亡事件的相关情况。
贝尔蒂永在当时提出了刑事调查中的一种激进观点,认为应该使用科学和逻辑来调查和解决犯罪。他的科学工作极大地影响了他的一个追随者——埃德蒙·洛卡尔。
洛卡尔交换原则是一个基本的法医学原则,基于在犯罪现场物理痕迹的常见交换。例如,指纹或 DNA 痕迹可能会留在现场,或者枪击的火药残留物可能会扩散到袭击者的衣服上。尽管本质上是间接的,这些痕迹有助于重建犯罪现场发生的事情,并可能识别出在场的人。我们将在本书中看到这个原则如何同样适用于数字取证。
在以下引用中可以找到一个常被引用的原则:“一个人的犯罪行为不可能不留下痕迹”,或者更简洁地说,“每一次接触都会留下痕迹”。Inman 和 Rudin(2001 年,第 44 页)更有意义地断言,没有人能够在进行犯罪行为时不留下大量的痕迹:要么犯罪者在犯罪现场留下了痕迹,要么,另一方面,他在身上或衣物上带走了表明他去过哪里或做过什么的痕迹。
虽然法医学分析自贝尔蒂永(Bertillon)和洛卡尔(Locard)时代以来已经有了显著的发展,但他们引入了三个核心概念,这些概念是刑事司法的重大进步,并且帮助了调查人员——尤其是犯罪现场文档记录、嫌疑人识别和痕迹分析学科。
除非有实际证据,否则任何假设都是无用的,就好像根本没有发生过犯罪一样。除非通过某种有效的过程识别出犯罪者,并通过不受污染的证据将其与犯罪现场联系起来,否则案件最终无法解决。这些原则在法医学中至关重要,当然也同样适用于数字法医检查。
法医学领域的下一个里程碑与指纹证据有关。指纹作为身份证明和文书真实性的证据,已经在中国法律文书中使用了几个世纪。然而,直到 19 世纪末,爱德华·亨利(Edward Henry)才设计出了一个可行的分类系统,并于 1897 年在印度实施,1900 年出版了他的著作《指纹的分类与应用》(Classification and Uses of Fingerprints)。第二年,亨利的分类系统被引入伦敦大都会警察局;同年晚些时候,它在新苏格兰场的指纹办公室得到了全面实施,1902 年通过指纹证据获得了首宗法院定罪。
然而,指纹证据的可靠性最近在多个司法管辖区受到质疑,主要是因为缺乏有效的标准来评估两个指纹是否匹配。当前没有统一的流程来确定基于指纹检查确认身份的有效依据。一些检验员依赖于统计指纹上相似脊线特征的数量,但关于相似点的数量没有固定要求,并且在不同的司法管辖区之间差异很大。一些美国法院甚至明确表示,指纹识别并非基于可靠的法医学原则。类似的批评也针对了数字法医学这一相对较新的学科,指责其缺乏标准化和科学研究。
通过最近的科学发展,脱氧核糖核酸(DNA)用于确定每个人的遗传特征。可以从各种样本中提取 DNA 证据,如唾液、使用过的邮票和信封、牙线、使用过的剃须刀、头发、衣物,以及最近的指纹。这种证据形式已经引起了广泛的关注,从犯罪现场恢复的 DNA 样本与嫌疑人的样本进行比较,以确立两者之间的可靠和令人信服的匹配。DNA 证据首次被用来通过匹配从现场恢复的样本和 1987 年在俄勒冈州获得的嫌疑人的样本来确保定罪。从那时起,它已经追究了许多可能本来可以逃脱法律制裁的罪犯。它还被用于"冷案",证明了许多错误定罪的人的无辜。
由于 DNA 证据的复杂性,陪审团最初对 DNA 证据的确凿性持怀疑态度。随着学科的发展,法庭更容易接受 DNA 证据。最近,法院面临 DNA 证据的挑战。辩护律师声称 DNA 是在现场被植入以牵连被告,或者样本的法医收集或检查污染了证据,导致其不可接受。
由于接触 DNA 的现象,即被遗留在许多表面上的遗传标记,对嫌疑人与犯罪现场样本之间的声音匹配的可能性提出了质疑。经常发生的是,无辜方与犯罪嫌疑人握手,后者的 DNA 被无意间转移到了凶器上。通过这种污染形式,多达 85%的拭子中恢复到了从未处理过相应武器的人的痕迹。
现在,责任完全落在从业者身上,确定恢复样本的相关性以及这些样本如何进入从犯罪现场恢复的工具上的历史。从业者还有责任协助确定恢复 DNA 的前因后果,以确保证据不会牵涉无辜的当事人。证据只告诉我们故事的一部分。发现 DNA 在某个位置和/或工具上只告诉我们那里发现了 DNA。它几乎什么也不告诉我们。它并不总是告诉我们这个人何时在那里,也不能保证这个人在那里——只是他们的 DNA 被发现在那里。如果确实已经确定他们实际上在场,它也不告诉我们他们在做什么。往往,证据只是证据,我们解释结果以符合我们的期望或实现我们的预期结果。在数字取证的背景下因交叉污染证据而产生的问题在《第四章》中有更详细的讨论,恢复和保护数字证据。
在进行任何类型的调查时都需要一定的秩序,法庭科学有一些必须满足的关键目标。保存犯罪现场是首要目标,因为如果证据被污染、丢失或简单地未被识别和忽视,那么随后的一切对于调查人员来说可能价值有限。
识别证据并确定其位置,知道该去哪里寻找,只能提高检验结果。这需要从业者的技能、知识和经验。一旦找到,证据需要被整理和分类。这为检验带来了秩序,使从业者能够确保没有遗漏任何内容,并正确分类恢复的物件作为相关证据。
证据不能孤立地看待,应与其他证据进行比较,并应识别协作证据。然后应该用科学术语描述,以清晰地突出证据,以便有助于事件的有益重建。
数字取证仍处于初期阶段,在一些民事和刑事调查机构中普遍存在非标准化的处理流程。如果有标准存在,也因不同司法管辖区而异。目前有多种数字取证调查模型在使用,展示了在检验过程中略有不同的阶段;然而,并没有普遍适用于从业者的标准模型。
基于错误或恶意法庭科技证据的不公正现象并非近年来的现象。例如,在过去的三十年中,英国发生了一些备受关注的不公正事件,包括伯明翰六人案、吉尔福德四人案和莎莉·克拉克案,这些案件均基于专家的无能。有关克拉克案的背景信息可在 netk.net.au/UK/SallyClark1.asp 查阅。
这些以及类似的案例导致了无辜人员被定罪,严重质疑法庭科技专家及其专家证据的可信性和权威性。三十多年前,在澳大利亚艾尔斯岩的阿扎里亚·钱伯兰案件中出现的法庭科技问题,对澳大利亚的法庭科技实践质量产生了深远影响,并在其他司法管辖区产生了后果。
数字证据在法律诉讼中逐渐得到应用,并且受到了法院的审查。这给数字取证从业人员带来了沉重的负担,要求他们努力提供可靠的证据和严谨的分析结果,这些分析可能对确立和检验未来法院判例有重要意义。桌面计算的急剧增长以及网络系统被利用进行的网络犯罪泛滥,催生了对更高信息安全管理水平的需求。它还要求从业人员解开纷乱的局面,努力追究犯罪者的责任。对计算设备和网络服务器的持续攻击日益增多,这些攻击通常以其他国家为基地,利用各种受害者。计算机和网络中却富含具有证据价值的信息,这些信息有助于从业人员重建犯罪行为。
数字取证的出现是为了应对通过计算机系统实施的犯罪行为的升级,无论这些计算机系统是犯罪的对象、实施犯罪的工具,还是与犯罪有关的证据的存储库。调查和检查数字证据的要求,同时确保原始证据的完整性未被改变,迅速被认定为重要功能。
在 1980 年代,随着 DNA 证据和分子分析的进展等其他领域的发展,数字取证作为一门新兴学科逐渐显现出来。随着计算机变得更加经济实惠、相对易于使用,并通过局域网和广域网相互连接,计算机犯罪与网络空间所带来的奇迹同步出现。
传统法律甚至在法律标准下都显得过时。例如,曾有人提出疑问,如何将计算机设备的盗窃与从计算机中复制并在没有合法授权的情况下使用的无形信息盗窃进行比较。尽管信息未经所有者许可而被复制,且信息仍然保留在计算机中,但盗贼却假定对这些信息拥有永久(尽管是共享的)所有权。
传统上,盗窃具有可转移性这一关键特征,便于将有形财产永久移走。文件存在时就在那里,但一旦消失,它仍然是一个存储在计算机中的无形物品。复制过程可能会使原始文件信息仍保留在设备上,但从所有者的角度来看,它已经被盗。那么,复制算不算盗窃或滥用计算机?在大多数情况下,这无疑是对隐私的侵犯,尽管所有者可能感觉他们的隐私已被侵犯,但当信息仅仅被复制而尚未传播时,如何主张这一点呢?在街上跟踪某人和在线跟踪某人是等同的吗?最初的立法旨在涵盖前者,这引发了关于是否可以利用现有法律来涵盖新的计算机相关犯罪的严重疑问。
电子和数字信息存储在设备上,可能会通过未经授权的活动被滥用。计算机犯罪是现实世界中传统犯罪的网络版。勒索和威胁并不新鲜,但使用计算机来实施这些行为是新的。曾有人呼吁通过新的立法来重新定义计算机相关犯罪,且这些新近出台的法律在很大程度上为社会带来了积极影响。然而,在许多司法管辖区,关于法庭上呈交的数字信息的含义仍存在困惑,并且一些从业者和法律界成员有时过于草率地接受这些信息表面上的真实性。
根据许多观察者和从业者的观点,数字取证尚未成熟,确实需要一种科学和公正的方法来分析数字信息,有时如果没有其他证据可用,必须单独进行分析。这些证据可能会在刑事或民事诉讼中被要求提供,也可能涉及行政和纪律案件。法院和法律裁判者期望,像其他成熟的法医学科一样,采用科学的过程和工具来保存并协助证据分析。
数字取证检查的各个阶段旨在恢复和保护证据,并采用科学方法分析和解释证据,验证证据,并提供清晰、精确的法医报告。第四章,恢复和保存数字证据,以及第六章,选择和分析数字证据,详细描述了这些数字取证检查的阶段。
数字取证是一个相对较新的现象。计算机已经存在了几十年,最初只需要少量人员输入数据进行处理,然后以硬拷贝形式接收输出。由于很少有人具备使用这些设备的专业知识和理解,计算机被视为安全的信息存储库。安全性根本不是问题,计算机打印件在法庭上也能顺利接受。然而,便宜且易于使用的桌面计算机与网络系统的出现,改变了计算机安全的格局。
在 1970 年代,计算机并不普及,只有大型组织、政府部门,特别是使用主机计算机的国防和情报界才有能力使用这些设备。围绕这些计算机的取证活动并不明确,且充满保密。
数字取证在公共领域的起源较晚,可以追溯到 1984 年,当时联邦调查局实验室和其他执法机构开始开发程序来检查计算机证据。安德鲁·罗森为加拿大警方编写了第一个专门的数字取证工具“Desktop Mountie”,随后他又推出了 Expert Witness、Encase 和 SMART 等版本。便宜且易于使用的桌面计算机迅速普及,这引起了不法分子的注意,他们急于利用这一新技术。
为应对计算机和网络日益增加的攻击,私人组织和政府开始制定和实施计算机安全政策和对策。数字取证应运而生,受害者逐渐意识到应对这一不断升级的问题需要一定的结构。最终,一些成熟的取证流程在 80 年代末期逐渐出现,但数字取证工具和软件的研发大多是由供应商主导,或者由具有一些基础计算机知识的执法人员开发的。
一些最早具有明确且公开要求对与犯罪行为相关的外部系统进行取证的政府机构,是税务和征收机构。那些在数字证据恢复过程中苦苦挣扎的人很快意识到,调查这一新技术需要一定的专业知识。
不幸的是,对于数字取证从业者来说,80 年代并没有专门的取证工具,这导致开发人员根据MS-DOS设计了自己的取证工具套件。这些取证软件应用程序已经过多次改进和更新,直到今天仍然在使用。那个时代的一些数据保护和恢复工具套件至今仍存在,包括:
-
诺顿工具集
-
Central Point 软件
-
PC 工具
-
Mace 工具集
1990 年,Mace Utilities 的注册用户达到了 100,000 人,Norton 的工具套件成为了最受欢迎的工具之一。
最初,取证检查员可用的唯一证据保存方法是从证据磁盘中通过磁带进行逻辑备份文件。人们希望这一过程能够保存重要的文件属性和元数据,并能够将这些文件恢复到另一块磁盘上。这样,检查员便可以使用命令行文件管理软件手动检查恢复的数据,软件如:
-
Executive Systems, Inc.
-
XTree Gold
-
Norton Commander (NC)
-
适当的文件查看软件,包括扇区成像方法
当时计算机数据集的大小在兆字节范围内,但仍然足够大,使得证据检索过程成为一项繁琐且耗时的任务。业内呼吁制定一些取证标准、指南和定义,以协助数字取证从业人员,同时也迫切呼吁修订现有立法,确保新兴的网络犯罪能够得到正确的定义。合理的立法早已迫切需要,以应对那些已经以新形式出现的旧犯罪。
在 80 年代中期,业界开始关注法律从业人员和立法者缺乏对数字证据日益依赖所带来的问题的认识。这是一个全球性现象,由于计算机使用量的急剧上升以及新设备的出现,包括数字手机,导致了这一问题的产生。因此,美国提出了一种协调方案,旨在帮助取证和法律从业人员克服提交数字证据时遇到的困难。
到了世纪之交,美国和欧盟建立了一项研究框架,旨在应用科学流程解决由实践需求驱动的取证挑战。研究人员当时对数字证据的真实性质存在广泛误解表示担忧。更令他们担忧的是,一些取证过程在恢复、分析以及随后的法律程序中的应用效率低下和效果不佳。
人们认识到,数字取证检查始于寻找关于涉嫌违法者身份的答案,特别是建立二进制数据与嫌疑人之间的某种数字联系。尽管仅仅拥有一台数字计算机通常被认为足以将违法者与设备中包含的所有数据关联起来,但人们开始对这种假设的合理性提出质疑。随着计算机网络的广泛发展,这种假设在未来是否仍然有效?数据本身是否能提供有关违法动机的线索?
1999 年,数字取证设计师安德鲁·罗森在克拉克森诉克拉克森案中为辩方出庭(罗阿诺克县巡回法院,弗吉尼亚州:案件编号 3CH 01.00099),最终确定被告的妻子将儿童色情内容放在他的计算机上,并试图通过陷害他来结束婚姻,获得孩子的监护权,并与她的新情人结婚。这个案件使得罗森被执法和以起诉为主的从业者视为“叛徒”,这些人显然更关心胜诉,而非寻求公正的结果。
这为一个危险的先例奠定了基础,鼓励一些实践者认为计算机的所有者和主要使用者最有可能是违法者。根据我的经验,在刑事审判中的辩护案件处理中,其他用户的明确识别,作为潜在的嫌疑人,常常只是口头上提到。这表明了基于嫌疑人的而非证据的调查,这显然不是一种客观和科学的方法。这与“取证人员是法院的仆人”这一概念相矛盾。数字证据的性质和特殊属性在第三章中有详细介绍,数字证据的性质与特殊属性。
从 1999 年到 2007 年,被认为是数字取证的黄金时代,这段时期,实践者能够通过恢复删除的文件看到过去,通过恢复电子邮件和信息洞察犯罪心理,从而使得实践者能够冻结时间并见证违法行为。数字取证曾经是一个小众科学,主要支持刑事调查。如今,数字取证已常见于流行的犯罪电视剧和小说中。数字取证的戏剧化表现以及对实践者和取证工具技术能力的夸大,通常被称为犯罪现场调查(CSI)综合症。
1984 年,FBI 成立了计算机分析与响应小组(CART)来提供数字取证支持,但直到 1991 年才开始投入使用。
此后,研究小组成立,讨论计算机取证学科,并强调需要采用标准化的调查方法。在美国,这些小组包括以下组织:
-
数字证据科学工作组(SWGDE)
-
数字证据技术工作组(TWGDE)
-
国家司法研究所(NIJ)
到 2005 年,数字取证仍然缺乏标准化和流程,并且可以理解的是,取证工作主要集中在 Windows 系统,并在较小程度上涉及标准 Linux 系统。即使在 2010 年,尽管数字取证检查的基本阶段已有较为详细的文档记录,但一些研究者仍认为一个标准化或广泛接受的正式数字取证模型仍处于起步阶段。对于这些观察者来说,它显然还没有达到与血液分析等其他物理取证标准同等的水平。
2008 年,国际标准化组织联合技术委员会(ISO/IEC JTC 1)调查了数字取证治理国际标准的可行性,但至今尚未出台专门解决此问题的 ISO/IEC JTC1 标准。然而,国际社会对跨司法管辖区转移与法律程序相关信息的差异所带来的问题已有一定的关注(ISO 2009:4)。
数字取证学科发展迅速,但迄今为止,关于过程、程序或管理的国际标准化仍然非常少,然而它确实需要类似于信息系统和信息技术(IS和IT)治理的管理。最近,一些研究者对高度技术化的数字取证学科与治理的商业化方法之间的交集表示担忧,这使得数字取证成为一门高度专业化的学科。有一种不安的感觉,认为很少有从业人员具备足够的跨学科知识,涵盖计算机、法律和商业方面。也许这对大多数从事出色工作的从业人员来说是一种不公平的批评,因为他们在有限的资源和支持下做出了卓越的成绩。
相对的观点是,高技术犯罪调查员协会(HTCIA)和国际计算机调查专家协会(IACIS)等组织的出现确实增强了取证过程的权威性,通过确保数据可靠、准确、可验证和完整,从而确保数字证据被法律接受。
与更为成熟的法医学科一样,数字取证这一相对较新的领域也涉及在数字环境中保存犯罪现场。数字取证从业人员检查从各种数字设备和网络中恢复的证据。这需要一定的计算机技术知识,尽管自动化的取证过程和工具日益普及。
许多检查不一定以刑事案件为结局,可能成为民事诉讼或内部纪律程序的一部分。当然,反之亦然,民事案件也可能导致刑事起诉。
数字取证分为三个广泛的类别:
-
公共调查:这些是由国家发起的
-
私人调查:这些通常是企业性质的
-
个人:这些通常表现为电子发现
需要进行数字取证检查的人员不当行为调查是一个新兴类别。国防和情报取证检查被认为是另一个类别,但本书不涉及。
在法庭上,计算机上找到的证据可以用来支持对犯罪或民事诉讼的指控,例如:
-
谋杀和暴力行为
-
诈骗、洗钱和盗窃
-
敲诈
-
涉毒
-
破坏和记录销毁
-
恋童癖和网络跟踪
-
恐怖主义和炸弹威胁
-
家庭暴力
通常,刑事调查和起诉涉及在刑法框架下工作的政府机构。执法人员根据相关刑法获得搜索和扣押权,使他们能够定位和捕获涉嫌用于犯罪或协助犯罪的设备。
私人组织本身不受刑法管辖,通常涉及计算机和网络系统的诉讼争议和纪律调查,这类案件变得越来越频繁。民事调查可能升级为刑事案件。民事案件依赖民法、侵权法和诉讼程序,并且可以通过民事救济手段从对方当事人处恢复信息,特别是“发现”以及搜索和扣押权力,例如由安东·皮勒令或搜索令提供的权力。
本书主要讨论数字取证,并在一定程度上涉及民事调查。然而,根据我的经验,在使用数字取证时,刑事和民事检查之间并没有真正的区别。两个领域都在寻找相同类型的证据,但标准上有所不同。电子发现几乎完全是民事问题,因为它涉及不同组织之间的争议,因此证据的概念略有不同。我认为,过去用于电子发现的方法通常涉及大量机器,并且通过一些改进可以将其应用于数字取证,这是处理大量数据的唯一方法。第五章,增强取证工具的需求,概述了一些新的软件工具,这些工具能够处理大量数据集,为在这两个环境中工作的从业者提供了一些迫切需要的支持。
法医学从业者不仅恢复和分析证据,还向调查人员、律师,最终向陪审团展示和解释其含义。作为一个合格的分析师当然是基本要求,但从业者还必须能够清晰地与外行人沟通他们的发现和专业意见。证据是盲目的,无法为自己发声,因此它需要一个解释者来解释它做了什么或可能意味着什么,以及为什么它对案件很重要等事情。我花了很多时间在案件工作中向法律团队和陪审团解释技术性问题,以确保他们对证据有清晰的理解——当关键时刻终于豁然开朗时,那是非常有成就感的工作!
在正常情况下,法庭不允许传闻证据,且禁止证人提供意见。然而,专家证人和科学专家可以根据他们广泛的实践和研究提供意见,前提是这些意见仅限于已提供的证据。这些特权证人可以与法院分享他们从所观察到的证据中得出的任何推论,前提是这些推论在他们的专业领域内。
法医学专家应提供可能有助于法院作出结论的信息,且专家的主观意见可以被纳入。然而,法院有义务根据所提供的证词形成自己对被告有罪或无罪的看法或结论。法医学从业者在作为法医学专家时,应仅提供有关信息的科学意见,以帮助法院形成判断性意见。
专家必须避免提供最终意见,因为有时专家的知识并非完全确定。在多个法律管辖区内,法院期望法医学从业者具备扎实的计算机技术理解,以使其证词具有可信度。
英国《民事诉讼规则》(1998)要求所有专家证人遵守,其中第三十五部分规定专家(从业者)有责任协助法院并保持严格的公正性,而不能支持委托方。这些规则规定:
-
专家报告中使用的事实必须是真实的。
-
专家的意见必须是合理的,并基于对所讨论问题的当前经验。
-
当存在一系列合理的意见时,专家有义务在报告中考虑该范围的程度,并承认任何可能影响提供意见有效性的事项。
-
专家有义务指明所提供所有信息的来源,并且不得包含或排除任何其他人(特别是委托律师)提出的内容,除非形成独立的观点。
-
专家必须明确表明所表达的意见代表了实践者真实和完整的专业意见
2008 年,法医从业者监管委员会重申了这些规定,并增加了对实践者的进一步要求(Carroll 和 Notley 2005):
-
他们必须披露他们所获得的所有材料
-
他们必须表达自己在所讨论问题上的不同意见范围
-
他们必须解释为什么他们偏好自己的观点而非其他观点
-
他们必须提供其意见所基于的证据
-
他们不得提供超出其专业领域的证据
英国 2010 年由皇家检察署出版的专家指南手册《披露:专家证据、案件管理与未使用的材料》强调,实践者需要确保对任何指向被告有利或不利的信息给予足够的重视。该手册强调,实践者不得超出其专业领域提供专家意见。手册还涉及实践者的独立性,并重申了必须审查和与法庭及其他相关方共享无罪证据的要求。
美国的案件检察官根据布雷迪规则(布雷迪诉马里兰州案,1963 年)要求将其所持有的材料披露给辩方。根据布雷迪规则,检察官必须披露任何证据,包括任何有利于被告的证据(无罪证据),尤其是“有助于推翻被告罪行、减少被告潜在刑罚,或涉及证人可信度的证据。”
如果能够证明检察方未按照此规则披露无罪证据,且因此产生了不利后果,法院将拒绝并压制该证据,无论检察方是否知道自己掌握了该证据,也无论证据的隐瞒是故意还是无意。然而,被告必须证明未披露的证据具有实质性,并证明如果检察官披露了该证据,案件的结果有可能会不同。
这是数字取证实践者在案件审查和证据呈现过程中必须时刻关注并遵守的要求。已知会对数字证据披露产生不利影响的因素包括对无罪证据的了解,这些证据可能会挑战那些有罪或不利性质的证据。实践者可能由检方或辩方聘用,但最终,他们有义务向法庭呈现所有与案件相关的事实,无论是支持还是反对当事人。虽然披露有可能伤害自己案件的某些信息可能是一种不良的法律策略,但法院确实期望当事方之间能进行开放且诚实的证据交换。
专家必须抵制法院常常施加的压力,避免就罪责或无罪的概率提供意见,并坚持认为他们的意见不能替代法院的判决。众所周知,陪审员容易受到那些表现出自信的实践者的影响,尽管这些实践者的证词有时带有偏见且存在错误。
有充分的理由支持以证据为主导的法医和调查方法。嫌疑人主导的方法具有判断性,且常常带有偏见,给被调查者带来不利影响。经验丰富的调查员会让证据引导调查,避免过度关注可能的嫌疑人,以免影响调查的公正性并不合理地影响他们的判断。相同的策略也应适用于法医检查员。如果没有其他理由,至少应当识别案件中的弱点,检查员应该始终采用这种方法。如果分析存在缺陷和鲁莽行为,几乎无法为正义事业提供帮助。Kaptein(2009, p. 3)引用了美国最高法院副法官 A·斯卡利亚在赫雷拉诉柯林斯案(506 US 390, 1993)中的以下声明:“仅仅是事实上的无罪并不是不执行适当判定死刑的理由。”
然而,已故的斯卡利亚法官在这里的言论有些被误引用了,我建议你深入了解他所说的话背后的含义,相关信息可以参考以下网站:
在开始检查时,实践者通常会面临确定所需的获取过程类型,接着定位完成检查所需的数据,最重要的是,选择合适的证据分析过程。检查的仔细规划并非总能得到现有流程的支持,尤其是对于面对不熟悉案件类型或异常复杂的大规模案件的实践者而言。在这种情况下,实践者需要提供适当的案件背景信息,以帮助他们筛选大量的案件信息,否则这些信息可能会令人感到不堪重负。
对较大数据集的检查可能会使犯罪证据的特征化变得困难,且在缺乏工具、标准或结构化支持流程的情况下,很难清晰地定义范围和目标。遗憾的是,目前的法医工具常常无法为实践者提供足够的调查支持,且可以被描述为第一代工具,未能融入任何决策支持来帮助实践者。
早在 2001 年,数字法医研究研讨会(DFRWS)就观察到,从业人员在理解他们每天面临的挑战和困境时遇到了困难,尤其是调查方法中遗漏或未考虑的步骤,与传统法医学科中经过验证的调查流程相比,差距尤为明显。技术进步的快速发展以及软件应用和硬件的变动性,实际上加剧了从业人员面临的挑战。
数字法医的程序性不足,要求从业人员前所未有地收集大量数据以支持调查,这一问题由于缺乏标准化的分析程序和协议、且没有标准术语而进一步加剧。那时就显而易见,并且直到今天依然如此,法医工具需要更加精心设计,以适应分析流程。这将通过提供更友好的用户界面,解决培训问题,并提升从业人员的经验,满足从业人员的需求。
早期研究人员就已认识到,更好的法医流程迫切需要经过测试和试验,以克服现有从业人员技能水平的不足。许多研究人员预测,这将不可避免地变得越来越成问题。他们的预测显然是有根据的,因为现在这似乎已成为常态。
第五章,增强法医工具的需求,强调了传统法医影像的冗余性和日益庞大的数据集索引问题,并介绍了新的法医流程和工具。
专家证人常常受到对方律师团队及其专家的挑战,尤其在涉及数字证据的案件中尤为如此。美国法院对与数字证据相关的专家证词尤为敏感,1993 年达伯特与美瑞尔·道威制药公司之间的广为人知的法律案件为法医从业人员以及他们用来恢复证据的流程和工具设定了先例。此判决依据案例法为美国法院设定了期望标准,并且最初的判决仍然具有影响力。取代早期案例法的达伯特标准要求从业人员确立个人专家资格,并要求他们验证其在恢复证据过程中所使用的法医流程和工具的可靠性与准确性。
数字取证工具通常是为了获取“最低悬挂的果实”而制作的。换句话说,它们倾向于鼓励从业人员寻找最容易识别和恢复的证据。通常,这些工具没有能力寻找或甚至识别其他不太明显的证据。这个问题在第五章中有更详细的描述,增强法医工具的需求。
法医软件认证以确认法医证据的可靠性尚未广泛且正式地进行测试。供应商的炒作以及从业人员愿意接受未经测试、开源和未经验证的工具,已经造成了一种混乱,法律界应当看到这一点,但通常无法做到。研究人员提倡建立一种结构来衡量数字证据是否符合特定标准,以解决数字取证从业人员在特定情境中的需求、适用性和可接受性问题,类似于美国基于 Frye 测试的标准,现在已经被 Daubert 标准所取代。
法医从业人员常常面临传统安全过程在计算机和网络中不起作用的情况,这些过程旨在保存文档和网络功能;它们并非专门设计来增强数字证据的恢复。然而,这些过程可以帮助识别潜在证据和事件重建。
从业人员常遇到的一大困难是要求他们提供专家证词,以验证网络系统是否提供并保持对存储数据的可靠保护。例如,为了促成网络系统销售而进行的供应商炒作,并不总是反映它们是否能够提供对数据存储准确性和完整性的保障。供应商通常不会提供足够的信息,说明软件和网络能够保护数据的完整性。因此,从业人员无法验证这些设备,以确保它们能够经受住法律挑战。
由于固有的技术复杂性,从业人员通常难以完全确定计算机设备或网络系统的可靠性,并向法庭提供有关相关过程可靠性的保证。一个有序的过程对于从业人员来说会非常有帮助,可以确保没有部分检查过程被忽视或重复,从而通过节省时间和保证完整性确保有效的检查。
在考试过程中,执业人员可能需要重新审视部分证据,以确定其有效性,这可能需要开展新的调查线索,并根据情况进一步验证其他证据。这通常是一个繁琐的过程,且通常需要大量的时间和资源来收集和分析数字证据。案件的数量庞大以及调查所需的时间可能会削弱执业人员重建证据并提供准确解释的效能。
然而,从务实的角度来看,数字取证过程中的时间和努力应通过可接受的“合理性测试”,意味着不应该将所有可能的精力都投入到寻找所有可以想象的痕迹证据,再进行提取和分析。随着待分析数据量的庞大且跨越多个网络,这对执业人员来说尤其变得越来越具挑战性。在我的案例工作中,显然,在实践中,理论上可行与完成审查所必需之间存在差距。尽管理论上可能希望分析每一字节数据,但实际上很少有正当理由这样做。
数字取证,也称为网络取证和计算机取证,通常被认为是三种角色的结合:一是熟悉计算机设备和网络工作原理的网络分析员;二是拥有犯罪调查知识的侦探;三是具有扎实法律和法庭程序知识的律师。
随着越来越多自称为网络取证专家的出现,行业中也出现了平庸的倾向。这些自我认证的“专家”迷惑了司法系统,且往往未被挑战,他们证据的真实性也很少受到质疑。然而,计算机和信息安全机构、法院、政府及企业对执业人员有基本的专业标准和经验要求。
参与数字犯罪现场审查的取证人员必须掌握局势,识别所有相关的数字证据,并将其整理并汇编成专业报告,供律师及最终法院呈交。为了满足法院要求,数字取证审查必须在法律上具有坚实基础,并且在日常意义上具有说服力。执业人员必须使用合理且经过验证的流程从计算机存储介质中恢复数据,并确保其准确性和可靠性。
我经常被希望进入该行业的高等教育学生询问,什么技能和经验能让他们更好地起步。嗯,光说自己喜欢读书并不意味着你适合做图书管理员,也不代表你具备图书管理所需的所有专业技能。任何职业都是如此。追求自己真正感兴趣的事情,而不是一时兴起的爱好,确实非常重要。没有取证经验的人进入这一职业时,取证团队领导最看重的是他们是否有真正的兴趣去从事这一领域。通过工作或学习对信息技术的兴趣,并且拥有信息技术相关的高等教育学历或 ICT 的学士学位,毫无疑问能为未来的候选人带来很大的优势。
对于希望专注于取证学科的执法人员,他们需要具备调查技能和案件经验;显然,了解法律将是一个优势。因此,如果他们还能够展示在计算机系统方面的一定熟练度和知识,他们将为该角色带来更多价值。
必须强调的是,取证检查员和调查员是可以互换的角色,且这两者通常是合并在一起的角色。许多从业者会参加取证培训课程和取证工具能力培训。也有一些人会发表博客,甚至是期刊论文,展示他们在重要取证事务中的研究和参与。
本科课程通常是三年的学习过程,通常包括一些数字取证的内容,但主要侧重于计算机科学和信息安全。基于理论和实际案例的研究生文凭和证书课程提供了进入该行业的有效途径。它们成本较低,学制较短,适合那些拥有基本技能、并希望获得职位的毕业生和执法与调查行业从业人员。这些证书的获得,前提是基于扎实的理论和实践内容,强烈推荐。数字取证的硕士课程是另一种选择,但费用较高,学制较长。
我目前正在准备一门四单元的研究生证书课程,内容涵盖数字取证,包括电子发现和多媒体取证,可以通过虚拟犯罪模拟在线完成。该证书可以作为数字取证研究生文凭和硕士学位的基础。该课程面向执法人员和希望进入这一领域、并寻求一些基本理论和实践资格的信息与通信技术(ICT)专业毕业生。
我的部分能力较强的学生在进入这个行业时缺乏现场经验,但从一开始,他们对数字取证的浓厚兴趣、在信息技术学习中的能力以及在完成的经验性取证训练中的出色表现在一定程度上弥补了这一不足。这为他们打下了坚实的基础,并巩固了他们对这一学科的兴趣。
以下示例突出了依赖数字证据的前几起案件的小样本。第三章,数字证据的性质和特殊属性,将更详细地描述数字证据。
2003 年,卡夫里被判无罪:未经授权修改计算机材料,通过从他的计算机发送数据关闭了休斯顿港口的计算机服务器。这是少数几个接受恶意软件辩护的案件之一,法院并未要求提供恶意软件控制计算机的证据。您可以在这里找到详细信息:
digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1370&context=chtlj。
学校教师朱莉·阿梅罗面临严重的持有不雅图片的指控,这些图片被她的学生看到;她被解雇,从而避免了长期的监禁刑期。警方检查被证明存在错误,阿梅罗计算机上的恶意软件被认为是导致下载不雅文件的罪魁祸首。有关详细信息,请参考以下链接:
-
dfir.com.br/wp-content/uploads/2014/02/julieamerosummary.pdf -
reason.com/archives/2008/12/12/the-prosecution-of-julie-amero
当被告能够从一位从业人员那里获得确认,证明恶意软件可能是导致不雅文件存在的原因时,一个类似的案件被撤销了,您可以在这里找到详细信息:
Carroll, R. 和 R. G. Notley. 2005. "医学专家的过失"。英国医学杂志 330:1024-1027。
Inman, K. 和 N. Rudin. 2001. "刑事学原理与实践:法医科学的职业"。CRC 出版社。
Kaptein, H. 2009. "证据和证明的僵化无政府原则:应对程序主义法律病理的非正统灵丹妙药"。在《法律证据与证明:统计、故事、逻辑》中。由 H. Kapstein, H. Prakken 和 B. Verheij 编辑。Ashgate 出版 [(1-3)]。
本章概述了法医科学的性质,简要回顾了数字法医的发展历史,并根据已有的法医学科定义了其目的。介绍了其在公共和私人调查中的价值,以及网络犯罪的兴起和特征。提供了数字法医从业者的角色、所需的技能和经验,以及他们面临的挑战,并通过一些数字法医犯罪现场案例来突显这一主题。本章不仅简要探讨了该学科面临的挑战,还提出了一些通过改进法医流程和工具来更好地应对这些挑战的解决方案。最后,本章还努力分享了一些关于考虑成为从业人员的基本思路,希望你们能够从中获得有益的见解和启发。
本章介绍了数字证据,并将在第三章,数字证据的性质和特殊属性中详细描述。理解数字证据的特性,甚至是它的变幻莫测,是从业人员的基础工作。数字证据可以提供关于犯罪行为的丰富线索。线索有时可以被认为是“失误”的另一种表现,而发现和解读这些线索正是法医检验中最令人兴奋的部分。分析数字证据可能是一个有回报的过程,但也常常令人失望,甚至是一个让人沮丧的过程,不过,总会获得更深入的理解。
第二章,硬件和软件环境,将概述计算机硬件、操作系统及通常安装在其上的应用程序的基本工作原理。将描述这些环境如何用于创建、存储和传输电子数据。还将提供计算机和存储设备的工作原理,以及可能存储数字证据的数据集的位置的见解。这为引入数字证据和数字法医的分析方法奠定了基础。