一般犯罪现场中的电子数据勘查规范探讨

一般犯罪现场中的电子数据勘查规范探讨

蔡纪伟,马会跃,尚倩

石家庄市人民检察院检察信息技术部     河北省石家庄市   050011

摘要：传统的犯罪现场调查是由刑事犯罪调查技术人员进行的，他们收集证据并查明事实真相。刑事犯罪调查的加强有效地遏制了传统犯罪的增长，但与此同时，以电信欺诈罪为代表的非接触性犯罪迅速增加，传统犯罪也在网上升级。尽管近年来公安机关、检察机关都加快了信息化建设步伐，但传统犯罪现场侦查的时间限制和技术限制继续限制了侦查案件的有效性。提高实地调查的效率和质量以及继续打击与接触无关的性犯罪和新型传统犯罪，是当前刑事犯罪调查中迫切需要解决的问题。

关键词：犯罪现场；电子数据；勘查

引言

21世纪是数字经济的时代，随着中国经济的高速发展，手机和计算机的使用量快速增长，尤其是智能手机的使用量呈指数级增加。截至2021年3月底，我国网民规模高达10亿，互联网的普及率超过71%。以社交软件微信为例，它的活动用户高达12亿，其中使用智能手机上网的人在99%以上。计算机的网络化和智能手机的使用给人们的生活带来了极大方便，但同时也为犯罪分子留下可乘之机。在实际的刑事案件侦破中经常涉及手机和计算机相关信息提取，基本上每个案件的犯罪嫌疑人都在使用智能手机，因此，提取的涉案智能手机及计算机等电子设备中的电子数据成为揭示犯罪分子罪行、侦破刑事案件的关键。如何在犯罪现场对智能手机和计算机等电子设备进行勘验，既要符合法律规范又要符合电子数据提取规则，这些对于刑事犯罪调查技术人员来说都极为重要。

1网络犯罪现场的确定

由于网络犯罪的性质，它必然与计算机和计算机系统有关。受害人使用的系统、嫌疑人使用的系统、网络的其他中间节点以及相关的地点和环境应被视为网络犯罪地点。网络犯罪案件的复杂性使查明网络犯罪案件的地点变得更加重要，而且与传统的刑事犯罪案件的地点有很大差异。从空间角度看，网络犯罪现场可分为地方和偏远地点。确定一个本地站点相对简单，可以理解为一个广泛意义上的受控、可访问和可操作的本地环境。有两大类此类犯罪现场。第一个是嫌疑人使用的计算机系统及其所在的物理空间。在这种情况下，犯罪嫌疑人利用计算机系统作为实施犯罪的工具。另一类是受到嫌疑人攻击或损坏的计算机系统及其所在的物理空间。在这种情况下，受害人通常使用计算机系统，并成为犯罪嫌疑人犯罪的目标。在许多情况下，网络犯罪发生在多个地点，通常发生在一个特定地点，而犯罪的结果发生在另一个或多个地点。对于远程网站，您可以从因犯罪而被侵犯的计算机或对象开始。根据宇航联合会的系统日志搜索嫌疑人的IP地址，核实主要电话号码，确定本地号码，根据主要电话号码确定实际地址，从而确定地点。

2大数据时代犯罪现场的类型

大数据时代的犯罪现场是复杂的。犯罪现场是一个犯罪系统。从犯罪现场来看，可以区分犯罪现场、犯罪现场和犯罪现场，以及犯罪现场和数据空间之间的交换。视犯罪行为的类型而定，可分为实物行为、数字行为、实物行为和数字行为并存的犯罪现场。如果根据嫌疑人是否与受害者有过接触加以区分，就可以区分嫌疑人与受害者接触过的犯罪现场和嫌疑人没有接触过受害者的犯罪现场。犯罪现场也是一个信息和证据系统，获取信息和证据是犯罪现场调查的目标。视存在信息和证据的空间类型而定，可将其分为空间的物理位置和数据空间的位置；根据信息和证据的形式，可以分为传统痕迹、物证现场和大数据时代的数据信息以及证据现场。上述两个分类标准的结果不匹配，存在一定的相关性。为便于讨论，本文件讨论了犯罪行为类型的选择标准。在这一分类中，犯罪现场既是第三种身体行为，也是数字行为，是前两种行为的组合，下文不再详细讨论。

3一般犯罪现场中的电子数据勘查规范

3.1计算机的勘查

如勘查现场计算机是关机状态，非必要情况要保持关机状态不要开机，开机后会改变系统的原始状态，这将会导致此物证证据证明力下降甚至完全丧失。如果计算机连接了较多的外部电子设备，必要时应制作标签，标签应能清晰反映这些外部电子设备与计算机的原始连接接口位置，连接的两端都要进行编号贴标签明显的显示出连接情况。对计算机的原始状态进行拍照或者录像，要清晰地反映出计算机原始位置、工作状态及各个接口连接状态，可使用十字拍照法对计算机进行拍照。对于一些可反映计算机品牌、型号、编号的地方要拍摄细目。要检查CD、DVD、蓝光驱动器是否有未退出的光盘。因为计算机没有通电，直接按光驱开仓键无法弹出，可用卡针插入光驱应急孔让光驱弹出来进行检查。移除计算机所有的电源线、适配器、数据线，台式机不开机电脑，用封条封住电源接口和两侧挡板，如无挡板直接扣押硬盘用封装袋封装。扣押笔录中要记录硬盘的SN码，这是硬盘唯一性编码。否则，在封装袋上签字。如勘查现场计算机体积比较大，无法整机封存，可以拆除计算机内的硬盘等存储器进行封存，封存前要进行唯一性编号和哈希校检。按照规范如实填写电子数据勘查文书，记录计算机品牌、型号、颜色、唯一性标识等，记录勘查时所有操作及操作结果。开机计算机进行必要数据采集后可关机。开机计算机应进行以下处置。计算机处于开机状态，应立即观察并记录显示器上的信息和状态，如果发现有侵害正在发生，比如系统正在自毁、数据正在删除、信息正在交换，应立即采取断网、中断程序等终止其操作的措施，必要时可以采取切断电源的措施。如果计算机连接了较多的外部电子设备，必要时应制作标签，标签应该能清晰反映这些外部电子设备与计算机的原始连接接口位置，连接的两端都要进行编号贴标签明显的显示出连接情况。对计算机的原始状态进行拍照或者录像，要清晰反映出计算机原始位置、工作状态及接口连接状态，可使用十字拍照法对计算机进行拍照。对于一些可反映计算机品牌、型号、编号、对现场计算机屏幕显示情况等信息的细节部位要拍摄细目，必要时启用屏幕录像。

3.2由现实到虚拟型勘查模式和由虚拟到现实型勘查模式

根据犯罪现场的状况，侦查模式可以分为真实的虚拟侦查模式和真实的虚拟侦查模式。现实的虚拟调查模式主要适用于犯罪案件。整个犯罪现场调查是在人、物和物之间的真实数据网络基础上进行的，比较数据并进行碰撞，以找到与案件有关的网络痕迹。就大数据而言，犯罪现场调查不仅包括收集口头和实物证据，而且还包括根据收集到的证据建立一个数据网络。此处提及的数据网络不同于传统犯罪现场调查中使用的证据链:证据链是封闭的，最终指向犯罪嫌疑人，所有证据都旨在证明犯罪嫌疑人有罪或无罪；数据网络的目的是查明犯罪人在一段时间内的所有行为、社会和心理轨迹，包括与犯罪无关的行为，以便更准确地了解犯罪嫌疑人，全面了解整个案件，并确定进入点例如，在一个发现了一系列强奸和抢劫的城市，其中一名受害者告诉调查人员，她遭到袭击是因为她身上没钱，嫌疑人让她用微信转账500元。特别警察股的民警从这一指数开始，并与上一报告所述期间收集的其他指数结合起来，经过几次数据比较和碰撞后，得以查明嫌疑人。

结束语

本文对一般犯罪现场中的电子数据勘查规范进行了探讨，提出了手机、计算机及其他电子物证在一般犯罪现场的勘查方法。犯罪现场千变万化结合现场勘查的处置方法及案件特点、电子数据提取技术特点，规范科学地进行电子数据收集、提取、固定是当前公安机关、检察机关规范执法的迫切要求。

参考文献

[1]贾永生.基于犯罪现场勘查学视野下的犯罪现场环境论[J].政法学刊,2019,36(04):108-119.

[2]薄飞,马宁.信息化背景下犯罪现场的立体化勘查[J].广州市公安管理干部学院学报,2019,29(02):13-17.

[3]李欢乐.数据化犯罪现场重建研究[D].中国人民公安大学,2019.

[4]贾永生.大数据时代犯罪现场特点新探[J].辽宁警察学院学报,2019,21(03):38-49.

[5]邓雄.刑事犯罪现场勘查机制完善化探究[D].西南政法大学,2018.