匆匆:反舞弊中电子数据取证<div>一、电子数据是什么?</div><div><br></div><div>刑法(2013)提出,证据的种类除了原有的物证、书证、证人证言,当事人陈述,鉴定意见,勘验笔录,视听资料等七类,新增第8类“电子数据”。</div><div><br></div><div>(一)网页、博客、微博客、朋友圈,贴吧、网盘等网络平台发布的信息;</div><div><br></div><div>(二)手机短信、电子邮件、即时通信,通讯群组等网络应用服务的通信信息;</div><div><br></div><div>(三)用户注册信息,身份认证信息,电子交易记录,通信记录,登录日志等信息;</div><div><br></div><div>(四)文档、图片音视频,数字证书,计算机程序等电子文件;</div><div><br></div><div>(五)其他以数字化形式存储,处理,传输的能够证明案件事实的信息。</div><div><br></div><div>二、电子数据的法律效力</div><div><br></div><div>证据三性:合法性+真实性+关联性</div><div><br></div><div>对于电子数据而言,合法性与真实性(完整性)是最为关键的。</div><div><br></div><div>(一)合法性</div><div><br></div><div>1、非法获取,侵犯银隐私的证据无效</div><div><br></div><div>2、可合法获取的电子数据</div><div><br></div><div>(1)公司电脑内的员工个人数据</div><div><br></div><div>(2)员工个人在互联网平台公开发布的数据(微博即时通讯等)</div><div><br></div><div>(二)真实性</div><div><br></div><div>电子数据与物证、书证不同,任何细微操作都会对证据真实性产生影响</div><div><br></div><div>1、文档的最后修改时间</div><div><br></div><div>2、系统登录、开关机时间</div><div><br></div><div>(三)电子证据的合法呈现形式</div><div><br></div><div>1、公安机关自行取证(勘验)</div><div><br></div><div>(1)扣押、封存原始存储介质(硬盘、移动硬盘)</div><div><br></div><div>(2)现场提取(计算机内存数据、网络传输数据、正在运行的计算机信息系统等)</div><div><br></div><div>(3)网络在线提取</div><div><br></div><div>公开发布的电子数据、境内远程计算机信息系统的电子数据等</div><div><br></div><div>(4)冻结</div><div><br></div><div>数据量大、提取时间长,不方便提取的电子数据</div><div><br></div><div>(四)司法鉴定</div><div><br></div><div>对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安指定的机构出具报告。</div><div><br></div><div>(1)电子邮件内容的分析</div><div><br></div><div>(2)服务器中各IP行为记录</div><div><br></div><div>(3)身份认证信息的比对</div><div><br></div><div>(五)公证</div><div><br></div><div>高院在关于民事诉讼证据若干规定解释中:</div><div><br></div><div>认定电子数据的难点在于其真实性不易判断,不像书证、物证、真实性好判断,所以在实践中判断,是比较难的一个问题。</div><div><br></div><div>如果电子数据的内容,经过公证机关的公证,人民法院原则上会确认其真实性。</div><div><br></div><div>(六)当事人自行提供</div><div><br></div><div>当事人以电子数据作为证据的,应当提供原件。</div><div><br></div><div>电子数据的制作者制作的与原件一致的副本,或者直接来源于电子数据的打印件或其他可以显示,识别的输出介质,视为电子数据的原件。</div><div><br></div><div>1、电子邮件截图</div><div><br></div><div>2、即时通用聊天记录</div><div><br></div><div>3、即时通用、支付宝转账记录</div><div><br></div><div>4、网页内容截图</div><div><br></div><div>三、存在的问题</div><div><br></div><div>1、电子取证的流程?</div><div><br></div><div>2、要做哪些准备工作?</div><div><br></div><div>3、是否具有法律效力?</div><div><br></div><div>第一、反舞弊调查中的电子取证对象,涉案电子介质和数据</div><div><br></div><div>第二、调查内容</div><div><br></div><div>与案情相关的线索和证据</div><div><br></div><div>第三、调查作用</div><div><br></div><div>为案件调查提供线索、为司法流程提供证据</div><div><br></div><div>四、案例</div><div><br></div><div>案例一、根据案情研判,需收集涉案员工工作用计算机,公司案件调查负责人指令IT部门收集相关计算机,IT部门口头告知相关人员,在被反馈说计算机存有工作必须信息,无法立即上交后,要求相关人员自行拷贝数据,2日内上交计算机。</div><div><br></div><div>电子取证发现,部分涉案计算机于当晚硬盘格式化,系统重装,原始数据毁失。经数据恢复,仅找回部分文件和数据碎片,但都与案情无关。</div><div><br></div><div>案例剖析:</div><div><br></div><div>第一、未在第一时间将涉案人员、行为、设备纳入视线;</div><div><br></div><div>第二、给予涉案人员充分的时间,空间毁灭证据;</div><div><br></div><div>第三、日常监控、备份工作缺失。</div><div><br></div><div>案例二、员工离职后,举报、审计发现涉嫌舞弊行为,开展调查,涉案员工关注本电脑直接开机,并安装相关软件,提取文件,IT修改涉案员工企业邮箱密码,以“转发”的方式提取涉案邮件,未做正式取证情况下,剔除涉案员工企业邮箱账号,导致原始邮件全部丢失,之前拷贝留存的本地outlook文件同步出错,邮件无法查看。</div><div><br></div><div>案例剖析:</div><div><br></div><div>第一、等同、混淆和专业取证人员业务职能,认为IT“懂电脑,可以胜任取证工作”;</div><div><br></div><div>第二、未按规则对原始数据进行无损镜像,且在对象介质上直接安装软件,破坏原始数据;</div><div><br></div><div>第三、邮件服务未设置日常备份机制,且事后草率处理用户邮件账户和在线数据(邮件服务器)导致数据丢失。</div><div><a href="https://mp.weixin.qq.com/s/C4Ad-cXEbUPgRTNZYmic5A" target="" title="">https://mp.weixin.qq.com/s/C4Ad-cXEbUPgRTNZYmic5A</a><br></div>