计算机取证中相关概念的分析与比较

计算机取证中相关概念的分析与比较

张晓华东

张晓华东政法大学

【摘要】计算机取证涉及法学、侦查学以及信息技术领域，与之相关的计算机证据、网络证据、数字证据与电子证据等概念含义复杂且表征相似，使用不便。本文将计算机证据、网络证据、数字证据与电子证据这几个概念进行比较和分析，并就如何运用这些概念进行了探讨，对规范地使用概念和解决诉讼中的纠纷具有积极的实践意义。

【关键词】证据计算机证据网络证据数字证据电子证据

【中图分类号】DF793.2【文献标识码】A【文章编号】1674－4810（2010）04－0012－03

【Abstract】ComputerForensicsisasubjectwhichinvolveslaw,criminalisticsandinformationtechnology.SomerelevantconceptssuchasComputerEvidenceandNetworkEvidence,DigitalEvidence,ElectronicEvidencehaveprofoundimplicationsandareeasilybeingconfused,whichbringgreatdifficultiestopeoplewhileusingthem.Thisarticlewillcompareandanalyzethefourconceptsanddiscusshowtousetheseconceptsaccurately.Itwillplayanactiveroleinstandardizingtheconceptsandresolvingdisputesinlawsuits.

【Keywords】EvidenceComputerEvidenceNetworkEvidenceDigitalEvidenceElectronicEvidence

一引言

计算机取证是当前司法实践中一种全新的取证措施，它是一个涉及法学、刑事侦查学、计算机科学等的交叉学科。随着它的发展，与之相关的概念比如计算机证据、网络证据、数字证据与电子证据等纷纷涌现。当前法学界、侦查学以及计算机通信领域均未对这些概念的区别使用做出明确的规定。如何对计算机取证中涉及的相关概念进行准确的定义并形成统一的使用规范，对于计算机取证领域理论和实践的研究具有重要意义。

二计算机证据、网络证据、数字证据与电子证据

在诉讼过程中，证据是整个诉讼活动的灵魂。因为整个诉讼活动，就是围绕查找证据、审查证据和判断证据而展开的。证据，是指具有法定形式，经过查证属实可以证明案件事实的各种材料。我国《刑事诉讼法》规定视听资料是法定的表现形式之一。随着电子技术的发展，网络犯罪也不断出现，视听资料这一新型的证据种类被引入诉讼领域。本文所讨论的计算机证据、网络证据、数字证据和电子证据属于视听资料。

视听资料是高科技领域犯罪中重要的证据形式。由于视听资料具有易改变和易损毁的特点，因此，如何证明提供的证据没有被修改过是一个难点。目前在我国司法实践中，能够得到普遍认可的视听资料是经过司法鉴定部门进行鉴定之后而形成的鉴定结论，此种证据具有较强的证明力，同时也是法官判案的重要依据。

1．计算机证据

目前，国内外对计算机证据的定义有以下几种观点：［1］

（1）计算机证据为计算机产生的证据（Computergeneratedevidence），是指计算机根据程序指令对输入计算机的数据进行处理，然后输出形成的记录文件。它的表现形式有两大类，一是直接输出到纸张或其他多媒体输出设备（如显示器、扬声器等）上；二是存储到计算机的存储设备（如磁盘、磁带、光盘）上。

（2）计算机证据为计算机相关的证据（Computer－relatedevidence）。计算机相关的证据可以认为是广义的计算机证据，除了计算机产生、存储的信息之外，还包括计算机模拟结果以及计算机系统的测试结果。

所谓计算机模拟，是指在诉讼中利用计算机对已经发生的行为、事件或条件进行模拟。比如侦查中常用到犯罪现场模拟，也称之为“犯罪现场再现”或“犯罪现场重现”，刑侦专家根据现场勘查所收集的相关犯罪信息，对犯罪现场进行模糊恢复和虚拟重建。再如在美国曾经轰动一时的辛普森案件中，为了验证辛普森是否杀了其前妻及男友，犯罪现场模拟专家模拟了作案人员在犯罪现场的行凶过程。

计算机系统的测试结果，是指在相同或相似的情况和条件下对计算机系统本身的可靠性进行测试，以证实计算机系统是可信的。

第一种观点把计算机证据定义为计算机产生的证据，是从直观的角度对计算机证据下的定义。

第二种观点把计算机证据定义为计算机相关的证据，包括的内容就广泛得多。第二种观点不仅包含了第一种观点即由计算机直接产生的证据，还包括计算机模拟结果以及计算机系统的测试结果，涉及的范围扩大了，同时也顺应了科学技术的发展趋势。

2．网络证据

目前，国内外对网络证据的定义有以下几种：

（1）网络证据是指在计算机网络环境中出现的，用以证明案件事实的数据信息，包括IP地址、域名、电子邮件、电子公告板记录（BBS）、网络聊天记录、电子数据交换（EDI）等。

（2）网络证据就是正在网络上传输的电子证据，其实质是网络数据流。

（3）网络证据主要是指在硬件、软件、管理制度等方面可以反映网络犯罪行为真实情况的物证、书证及视听资料等。

以上几种观点在对网络证据的本质属性上有共同的认知，即网络证据的形成要在网络的环境下才能实现，同时它的产生依赖于电子技术和电子设备。第一种观点列举了几种比较常见的网络证据的产生环境，让人们对网络证据有直观的理解。第二种观点说明网络证据的实质是网络数据流，同时指出成为网络证据的前提首先必须是电子证据。但是它强调是正在网络上传输，表述不够准确，表述为“经过网络传输”会比较妥当。第三种观点是从网络犯罪的角度定义网络证据。网络证据是否属于物证、书证及视听资料，在证据学领域中还有待商榷。三种观点均从不同的视角对网络证据进行定义，均反映了网络证据某一方面的特征，尚不够完整和全面。

综上所述，得出网络证据的定义：是以互联网作为传播媒介，从不同网络终端获取的，与网络通信有关的电子数据，它包括IP地址、域名、电子邮件、电子公告板记录、网络聊天记录、电子数据交换等。此定义首先阐明网络证据产生的条件，即在网络环境下，以互联网作为传播媒介。其次说明网络证据的本质是电子化的数据。再次对网络证据进行举例描述，便于对概念的理解。

3．数字证据

数字证据中的“数字”与日常用语中的“数字”语义并不相同，是数字化的意思。目前，对数字证据的定义有以下几种：

（1）数字证据，是表现为数码形式的一切证据，或者说借助数字电子技术形成的一切证据。

（2）数字证据，是指以数字形式存储和传输或传输的信息或资料。

（3）数字证据通常是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子数据的确认、保护、提取和归档的过程中产生的证据。

（4）数字证据是表现为电子形式的、能够证明案件事实的证据都是数字证据。目前常见的数字证据包括计算机软件、BBS记录、BLOG记录、计算机网页、电子邮件、数码照片等。

上述观点归纳出对数字证据定义的两种思路：一种是从数字证据的存在形式来定义的，即以二进制数字编码的形式存在；另一种是从数字证据的产生过程来定义的，即借助于数字化的技术而产生。数字证据的本质特征是数字化。虽然几种观点表述有所不同，但在内涵上均承认数字证据是在数字化运算中产生的全部信息资料。

综上所述，我们得出数字证据的定义：是指在信息数字化过程中形成的以0和1二进制编码形式读写的能够证明案件事实情况的资料。

4．电子证据

目前，对电子证据的定义主要存在以下几种：［2］

（1）电子材料说。电子证据是以电子形式存在的、用作证据使用的一切材料及其派生物；或者说，借助电子技术或电子设备而形成的一切证据。

（2）网络证据说。网上证据即电子证据，是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

（3）计算机证据说。电子证据是以通过计算机存储的材料和证据证明案件事实的一种手段，它最大的功能是存储数据，能综合、连续的反映与案件有关的资料数据，是一种介于物证与书证之间的独立证据.

以上几种观点在对电子证据的本质属性上有共同的认知：电子证据是以电子形式存在的，它的产生依赖于电子技术和电子设备。

电子材料说能较好地反映电子证据的本质特性，即以电子形式存在，但外延太宽泛，我们可以举出反例，比如一个数码相机，是由电子材料制造，以电子的形式存在，作为物证可以证明案件的真实情况，它完全符合电子材料说的定义，但是显然它不是我们这里讨论的作为声像资料而言的电子证据，因为它在这里算是物证。

网络证据说强调了电子证据的形成是在计算机网络系统这一特殊的环境之中，有它的局限性。比如通过手机上网形成的聊天记录也是电子证据，然而根据网络证据说的定义则会把它排除在外。因此网络证据说把电子证据所涉及的范围定义过于狭隘。

现实中，我们经常把电子证据这一概念模糊地等同于计算机证据，但是实际上电子证据的范围要比计算机证据的范围大。计算机证据说的核心在于证据的形成要借助于计算机的信息处理，但是仅以计算机证据来指代电子证据未免显得以偏盖全，因为计算机证据不能覆盖电子证据的全部范围。

综合上述几种观点给出电子证据的定义：是指借助电子技术或者电子设备而形成的一切证据。

电子证据的形成应当具备三个要素：（1）电子证据的形成、发送、接收、存储须有电子技术的支持；（2）经过了具备信息处理能力的电子设备的电子化加工；（3）能够证明案件事实。

电子证据有四个基本的特点：电子性、数字性、技术性、易失性。

三电子证据与计算机证据、网络证据和数字证据的比较

1．电子证据与计算机证据

通常，电子证据在外延上要大于计算机证据。平时所说的计算机证据仅指借助计算机而生成的一切证据，而电子证据则指借助于电子设备而生成的一切证据。例如，固定电话机是属于基于模拟电子技术的半导体技术而制成的现代通信工具，它所录制的电话资料就属于电子证据而不属于计算机证据。再比如，交警部门通过“电子眼”直接拍摄下来的记录违章车辆的电子信息是属于电子证据而非计算机证据。

当然，基于数字电子技术而制成的数字网手机所录制的移动电话资料既属于电子证据又属于计算机证据。总之，电子证据不仅包括借助计算机设备形成的证据，还包括借助电话、录音机、摄像机等设备形成的证据。尽管有科学家预测未来将会出现光学计算机、生物计算机等，并认为以光学计算机或生物计算机为基础的证据不能视为电子证据，但此类计算机的出现毕竟还只是设想，就目前来讲还未在现实中出现。因此，我们认为计算机证据属于电子证据的范畴，在不需要做严格区分的情况下，就用电子证据取代计算机证据。

电子证据与计算机证据的关系。

2．电子证据与网络证据

大部分的网络其功能的实现离不开电能的供应，在电的环境下形成的网络证据其存在形式、存储过程均离不开电，符合电子证据的特点，此种情况下电子证据和网络证据可以相互取代。

但是在特殊情况下，电子证据和网络证据不可以相互取代。在不需要电的网络环境下，我们不应该把网络证据等同于电子证据，比如光纤网络，光纤是由玻璃制成的，通过光纤传递光脉冲信号；再比如光波传输、红外线传输网络等环境下形成的网络证据。

3．电子证据与数字证据

电子证据和数字证据从本质上讲是等同的。前者是指借助电子技术或者电子设备而形成的一切证据，而后者是以数字形式存储或传输的。电子化是电子证据的基础，而数字化是数字证据的基础。仔细分析我们不难发现，二者的特征在实质上是等价的，可以交叉互换。因为电子证据的形成必然要以数字化技术为依托，这符合数字证据的特征；数字证据的形成必须要借助于电子设备，这符合电子证据的特征。二者相互渗透，因此我们认为电子证据与数字证据可以交替使用。

四结束语

本文对计算机取证过程中常涉及的几个易混淆的概念进行分析，归纳目前存在的几种观点，对每一个概念进行定义，并就如何使用这些概念进行了探讨。如果能够准确、规范地使用专业概念并在全世界形成通说，不仅可以在使用中给人们带来方便，而且对于理论研究和实践应用中都有十分重要的意义。计算机取证是一个涉及多个学术领域的交叉学科，还有许多问题尚待进一步探讨和研究。

参考文献

［1］文伯聪.计算机证据与计算机审计技术［J］.政法学刊.1999，（3）：93～95

［2］蒋平、杨莉莉.电子证据［M］.北京：清华大学出版社、中国人民公安大学出版社，2007

［3］陈龙、麦永浩、黄传河等.计算机取证技术［M］.武汉：武汉大学出版社，2007