1.2.1电子数据定义
1991年首次提出计算机证据的概念,即“可以识别、恢复、提取、保存并形成报告使之成为法律证据的电子形式存储的信息”。但随着网络和电子设备的飞速发展而显得不尽准确,因此出现了多种的新的名称,加大了理解的复杂度。
2013年《中华人民共和国刑事诉讼法》第48条规定了证据的8种类型,其中首次将电子数据列如证据类型中,从而在国家法律上对这一名称进行了统一的界定。目前国内执法机构中,对电子数据的定义不尽相同,但内容基本一致。
在坚持法律定义的前提下结合电子数据的特点,将电子数据取证做以下的定义:“电子数据就是信息化过程中形成的以数字形式存在的能够证明案件事实情况的数据”。
1.2.2电子数据的理论基础
网络犯罪领域仍然符合物质交换原理,及由法国侦查学家、证据专家埃德蒙.洛卡德提出的“两个对象接触时,物质会在这两个对象之间产生交换或者转移。”
嫌疑人在犯罪过程中使用的电子设备同被害者使用的电子设备、网络之间的电子数据也存在相互交换。
1.2.3电子数据来源
电子数据的来源繁多,包括电子文档、聊天记录、网络浏览记录、电子邮件、数字音视频、数据库等,探讨电子数据,不仅要了解物理存储,还要了解不同操作系统证据可能保存的位置,也就是逻辑存储。
1物理存储:包括传统介质,如硬盘、磁带、软盘、移动硬盘等磁介质,光盘等光介质,固态硬盘、闪存等电介质。
1.2.4它的特点
记录方式的虚拟性:这些信息以“0”和“1”通过排列组合来表示特定数值的数据,其内容无法被人们直接感知。
易破坏性:断电、病毒、人为操作、都会导致电子数据改变和灭失,从而影响电子数据的真实性和完整性。
客观性:电子数据的一些信息隐藏在元数据或者本身之外,同时对于电子数据的影响会留下痕迹。如使用浏览器访问网络,会保存浏览记录和Cookies。这一特点也可以使大量不为人知的数据被保留下来,具有客观性。
1.3.2电子数据取证的概念
“采用技术手段,获取、分析、固定电子数据作为认定事实的科学”
1.3.3应用领域
1刑事案件的侦查取证和诉讼
2民事案件的举证和诉讼
3行政诉讼案件的举证和处理
4企业内部调查
1.3.5电子数据取证和应急响应的区别
1实施主体不同
电子数据取证:一般是执法部门和内部安全审计人员
应急响应:网络安全的政府组织、安全产商
2过程不同
电子数据取证:事发后的处理措施
应急响应:贯穿事前、事中、事后整个过程
3目标不同
电子数据取证:获得证据,形成证据链
应急响应:恢复整个系统的正常
1.3.7与数据恢复的区别
1目标
电子数据取证:证据
数据恢复:数据
2主体不同
电子数据取证:执法机关或司法机构,为法律服务
数据恢复:数据恢复从业人员,为客户服务
1.5电子数据取证面临的困难
信息安全观念落后
法律法规滞后
取证机构和人才匮乏
产业发展不均衡