國內(nèi)外電子數(shù)據(jù)取證標(biāo)準規(guī)范研究

近年來，隨著計算機網(wǎng)絡(luò)相關(guān)保密違法案件的不斷增多，電子數(shù)據(jù)取證技術(shù)在保密違法案件查處中的應(yīng)用日益廣泛，作用愈顯重要�？紤]到保密違法案件查處這一行政執(zhí)法行為的嚴肅性和嚴謹性，甚至可能需要向檢察、法院、公安等機關(guān)移交處理的特殊要求，客觀上要求采用嚴格的標(biāo)準規(guī)范來保證電子數(shù)據(jù)取證活動的客觀公正性。本文對國內(nèi)外電子數(shù)據(jù)取證標(biāo)準化情況進行了總結(jié)，介紹了國內(nèi)外電子數(shù)據(jù)取證標(biāo)準制定和實施現(xiàn)狀，分析了國內(nèi)電子數(shù)據(jù)取證標(biāo)準規(guī)范的成果和存在的問題，提出了保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準體系建設(shè)設(shè)想。

一、國際電子數(shù)據(jù)取證標(biāo)準規(guī)范研究現(xiàn)狀

（一）國際標(biāo)準制定情況

國際上，電子數(shù)據(jù)取證標(biāo)準化工作最突出的是國際標(biāo)準化組織（ISO）及國際電工委員會IEC）制定的電子取證系列標(biāo)準。為了規(guī)范電子數(shù)據(jù)取證工作，近年來，ISO/IECJTC1（1號技術(shù)聯(lián)合委員會）下屬的SC27（27號委員會）委員會編制了一系列電子數(shù)據(jù)取證相關(guān)標(biāo)準，并將該領(lǐng)域的系列標(biāo)準歸入了ISO/IEC27000系列標(biāo)準（又名“信息安全管理系統(tǒng)標(biāo)準族”）。

2015年3月，該委員會發(fā)布了ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和過程》，提出了電子數(shù)據(jù)取證體系架構(gòu)，將取證工作分為電子取證流程（process）和活動（activity）兩個層面：取證流程包括準備、初始化、獲取、分析和并發(fā)等5類；采取的取證活動包括計劃，準備，響應(yīng)，識別、收集、獲取和保存，理解，報告，關(guān)閉等7種。該取證體系架構(gòu)由已經(jīng)發(fā)布的和正在制定中的10個標(biāo)準組成。

ISO/IEC27035:2011《信息技術(shù)安全技術(shù)信息安全事件管理》

ISO/IEC27037:2012《信息技術(shù)安全技術(shù)電子證據(jù)識別、收集、獲取和保存指南》

ISO/IEC27038:2014《信息技術(shù)安全技術(shù)數(shù)字化修訂規(guī)范》

ISO/IEC27040:2015《信息技術(shù)安全技術(shù)存儲安全》

ISO/IEC27041:2015《信息技術(shù)安全技術(shù)確保事件調(diào)查方法適宜性和充分性指南》

ISO/IEC27042《信息技術(shù)安全技術(shù)電子證據(jù)分析解釋指南》

ISO/IEC27043:2015《信息技術(shù)安全技術(shù)事件調(diào)查原則和流程》

ISO/IEC27044《信息技術(shù)安全技術(shù)安全信息和事件管理指南》

ISO/IEC27050《信息技術(shù)安全技術(shù)電子證據(jù)發(fā)現(xiàn)》

ISO/IEC30121:2015《信息技術(shù)電子取證風(fēng)險框架的管理》

其中，ISO/IEC27037、27041、27042、27043、27050、30121等專為電子數(shù)據(jù)取證制定的標(biāo)準，可直接用于電子數(shù)據(jù)取證活動，其余標(biāo)準則包含某些影響或有助于電子數(shù)據(jù)取證相關(guān)活動的條款。ISO/IEC27037對于各種類型檢材的取證提供了具體的方法與技術(shù)細節(jié)，其內(nèi)容涵蓋了電子數(shù)據(jù)識別、收集、獲取和保存的完整過程。該標(biāo)準向取證人員介紹了電子數(shù)據(jù)取證過程中常見情況的應(yīng)對步驟，其中的現(xiàn)場勘驗部分對于目前的取證工作具有重要的參考意義。ISO/IEC27041為確保在信息安全事件調(diào)查中所使用方法和過程的適宜性提供了指南，包括要求定義、方法描述、證據(jù)提供的最佳實踐以及滿足要求的方法實施。ISO/IEC27042為電子證據(jù)的分析和解釋提供了指南，某種意義上解決了電子證據(jù)分析的連續(xù)性、有效性、可再現(xiàn)性和可重復(fù)性等問題。ISO/IEC27043定義了電子取證的原則，并為不同現(xiàn)場或案件電子取證調(diào)查提供了一種理想化的過程模型，使得按照該流程開展的電子取證分析滿足可復(fù)現(xiàn)性要求。ISO/IEC27050涉及電子證據(jù)的發(fā)現(xiàn)階段，特別是電子存儲信息（ESI）的發(fā)現(xiàn)。該標(biāo)準認為電子證據(jù)發(fā)現(xiàn)包括以下主要步驟：識別、保護、收集、處理、復(fù)審、生產(chǎn)等幾個階段。ISO/IEC30121為機構(gòu)中的領(lǐng)導(dǎo)（包括委員會成員、高級管理人員等）提供了開展電子取證前如何組織電子數(shù)據(jù)取證工作的最佳方法。

圍繞電子數(shù)據(jù)取證流程（活動），ISO/IEC從監(jiān)督管理、流程步驟、保障措施等涉及取證工作的不同方面、不同環(huán)節(jié)分別制定相應(yīng)標(biāo)準或者引用標(biāo)準條款，規(guī)范電子取證工作，確保電子數(shù)據(jù)取證工作質(zhì)量，這一標(biāo)準體系設(shè)計思路值得借鑒。

（二）美國標(biāo)準制定情況

作為信息技術(shù)最發(fā)達的國家，美國早已開展了電子數(shù)據(jù)取證相關(guān)工作并積累了大量的經(jīng)驗，在研究投入上遠超其他國家，不僅有眾多研發(fā)專業(yè)化計算機取證工具的高科技公司，而且出現(xiàn)了許多專門的電子數(shù)據(jù)取證機構(gòu)、實驗室和咨詢服務(wù)公司。據(jù)統(tǒng)計，美國至少有70%的法律部門都擁有自己獨立的實驗室，在電子取證標(biāo)準化工作方面，也取得了大量成果。美國國家標(biāo)準與技術(shù)研究院、國家司法研究所、美國聯(lián)邦調(diào)查局的“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”、美國試驗與材料學(xué)會國際組織等機構(gòu)制定了一系列電子數(shù)據(jù)取證相關(guān)的標(biāo)準和規(guī)范。

◇美國國家標(biāo)準與技術(shù)研究院

美國國家標(biāo)準與技術(shù)研究院（National Institute of Standards and Technology，NIST）出臺的電子數(shù)據(jù)取證方面的標(biāo)準和文件包括特別出版物（SP800）系列和內(nèi)部報告（IRs）系列等，大部分已經(jīng)出臺的文件都是非強制性的指南，為政府部門的相關(guān)工作提供實施的指導(dǎo)性意見。

SP800系列是指南文件，對聯(lián)邦政府部門不具備強制性，而只是提供一種供參考的方法或經(jīng)驗。目前，SP800系列與電子數(shù)據(jù)取證相關(guān)的標(biāo)準有：PDA取證指南、移動電話取證指南和應(yīng)急響應(yīng)中使用取證技術(shù)指南（見圖1）。內(nèi)部報告（IRs）系列主要向特定讀者描述相關(guān)技術(shù)方面的研究內(nèi)容。目前，電子數(shù)據(jù)取證相關(guān)內(nèi)部報告主要是關(guān)于PDA取證工具、移動終端取證工具、移動通信協(xié)議取證分析、云計算取證技術(shù)等技術(shù)研究內(nèi)容。

總的來說，NIST針對電子取證制定的指導(dǎo)性文件并不多，這可能與其職能定位有關(guān)，但是為了配合其他機構(gòu)開展電子取證相關(guān)工作，NIST發(fā)起了包括“計算機取證工具測試”項目（Computer Forensics Tool Testing，CFTT）、“國家軟件參考庫”項目（National Software Reference Library，NSRL）以及“計算機取證參考數(shù)據(jù)集”（Computer Forensic Reference DataSets，CFReDS）在內(nèi)的多個研究項目。其中，CFTT項目旨在為確保執(zhí)法部門使用的電子取證工具的有效性，而建立一套測試電子取證軟件工具方法，內(nèi)容包括規(guī)格說明書編制、測試程序、測試標(biāo)準、測試數(shù)據(jù)集和測試硬件。NSRL項目負責(zé)建立一個包含各種軟件的文件以及數(shù)字簽名的目錄，以便在執(zhí)法和數(shù)字取證時使用。CFReDS項目為取證工具有效性驗證、裝備檢查、人員訓(xùn)練，以及在實驗室認可工作中取證人員的能力水平測試等工作中提供數(shù)據(jù)。

◇國家司法研究所

國家司法研究所（National Institute of Justice，NIJ）隸屬于司法部，在2001年頒布了《計算機現(xiàn)場勘查指南》后，不斷資助相關(guān)領(lǐng)域的研究項目以促進電子證據(jù)取證工作，并以特別報告（Special Report）的形式發(fā)布了部分標(biāo)準。其中《電子犯罪現(xiàn)場勘查：首要響應(yīng)人員指南》和《電子犯罪現(xiàn)場勘查：執(zhí)法人員指南》兩部文獻中提出了電子取證的“三項原則”，即：收集、保全、傳輸電子數(shù)據(jù)不應(yīng)造成電子數(shù)據(jù)的改變；電子數(shù)據(jù)檢驗應(yīng)由受過專門培訓(xùn)的專業(yè)人員進行；扣押、傳輸、存儲電子數(shù)據(jù)的所有行為都應(yīng)建立完整的書面記錄，并歸檔備查。

◇美國聯(lián)邦調(diào)查局“數(shù)字取證科學(xué)組”和“圖像技術(shù)科學(xué)組”

美國聯(lián)邦調(diào)查局隸屬于司法部，是美國政府打擊各種犯罪的聯(lián)邦機構(gòu)。其下屬的“數(shù)字取證科學(xué)組”（Scientific Working Groupon Digital Evidence，SWGDE）和“圖像技術(shù)科學(xué)組”（Scientific Working Groupon Imaging Technology，SWGIT），以聯(lián)合或者獨立的形式發(fā)布了一系列涉及電子證據(jù)獲取與分析技術(shù)、規(guī)范流程、質(zhì)量管理體系等的標(biāo)準與規(guī)范，標(biāo)準體系較完備，針對性和實用性強，在業(yè)界有很高的影響力。

此外，美國司法部的計算機犯罪與知識產(chǎn)權(quán)處（Computer Crime & Intellectual Property Section，CCIPS）和美國國土安全部的美國特勤局（United States Secret Service，USSS）也在其職責(zé)范圍內(nèi)制定了一系列電子數(shù)據(jù)取證相關(guān)規(guī)范性文件。

（三）英國標(biāo)準制定情況

英國在電子數(shù)據(jù)取證標(biāo)準化研究方面也是成果豐碩。英國標(biāo)準協(xié)會、英國首席警官協(xié)會、英國內(nèi)政部科學(xué)發(fā)展處、信息保障咨詢委員會和英國數(shù)字保存聯(lián)盟等機構(gòu)制定了一系列電子數(shù)據(jù)取證方面的標(biāo)準規(guī)范。

◇英國標(biāo)準學(xué)會

英國標(biāo)準學(xué)會（British Standards Institution，BSI）是集標(biāo)準研發(fā)、標(biāo)準技術(shù)信息提供、產(chǎn)品測試、體系認證和商檢服務(wù)五大互補性業(yè)務(wù)于一體的國際標(biāo)準服務(wù)提供商，面向全球提供服務(wù)。

在電子數(shù)據(jù)取證領(lǐng)域，英國標(biāo)準學(xué)會早在2008年11月就頒布了包括BS10008:2008《電子信息的法定許可和證據(jù)權(quán)重規(guī)范》在內(nèi)的一系列電子取證標(biāo)準，2014年，英國標(biāo)準學(xué)會對BS10008:2008進行了重新修訂，根據(jù)即將發(fā)布的BS10008:2014，該標(biāo)準的章節(jié)由原來的7個增加到了10個，并且增加了大數(shù)據(jù)與云計算等最新技術(shù)。此外，近幾年，英國標(biāo)準學(xué)會加大了與國家標(biāo)準化組織的合作，ISO/IEC27040和27041等都以英國標(biāo)準的形式予以發(fā)布。

◇英國首席警官協(xié)會

英國首席警官協(xié)會（Association of Chief Police Officers，ACPO）成立于1948年，是一個非營利性組織，監(jiān)管英格蘭、威爾士和北愛爾蘭的警務(wù)實踐。為使實踐工作能符合取證的原則和標(biāo)準，ACPO推出了《電子證據(jù)取證的最佳實戰(zhàn)指南》，并隨著實踐工作的轉(zhuǎn)變而新增、修訂和完善指南內(nèi)容。在該指南中提出了計算機取證的4條基本原則：執(zhí)法機構(gòu)及人員采取的任何舉措均不能導(dǎo)致計算機及其存儲介質(zhì)中的可能向法庭提交的數(shù)據(jù)發(fā)生改變；在必須接觸計算機及其存介質(zhì)中的原始數(shù)據(jù)時，接觸人員必須能夠勝任，而且能夠解釋證據(jù)的關(guān)聯(lián)性以及取證行為的相關(guān)性；計算機取證所有過程必須創(chuàng)建審計追溯記錄或其他記錄，并加以保存，任何獨立的第三方機構(gòu)經(jīng)過程驗證都可以得出相同的結(jié)果；負責(zé)調(diào)查的人員（案件負責(zé)人）要對法律和原則的遵行情況全面負責(zé)。

（四）其他國際組織和國家

在電子數(shù)據(jù)取證領(lǐng)域，大多數(shù)國家都是直接參照美國或英國的取證標(biāo)準。一些國家參照國際標(biāo)準和英美標(biāo)準，制定了符合自己國情的取證標(biāo)準和方法。

◇計算機證據(jù)國際組織

成立于1995年的計算機證據(jù)國際組織（International Organization on Computer Evidence，IOCE）一直致力于制定處理電子證據(jù)的國際準則。IOCE提出了計算機取證過程應(yīng)遵守的6條一般原則（因在2000年12月八國峰會上正式提出，簡稱“G8”原則）：必須遵守所有取證和處理證據(jù)的原則；獲取證據(jù)時所采用的方法不能改變原始證據(jù)；取證人員必須經(jīng)過專門培訓(xùn)；所有對電子數(shù)據(jù)的扣押、接觸、存儲以及移轉(zhuǎn)的行為必須以書面形式進行完整記錄，并歸檔備查；每一名電子證據(jù)保管員應(yīng)對其針對電子證據(jù)的每一個行為負責(zé)；任何負責(zé)獲取、訪問、存儲或傳輸電子證據(jù)的機構(gòu)有責(zé)任遵循這些原則。

◇Internet工程任務(wù)組和國際電信聯(lián)盟

Internet工程任務(wù)組（Internet Engineering Task Force，IETF）和國際電信聯(lián)盟（International Telecommunication Union，ITU）出臺的信息安全的相關(guān)標(biāo)準中均有針對電子證據(jù)的規(guī)定。

（五）境外電子取證標(biāo)準規(guī)范成果分析

境外在電子數(shù)據(jù)取證標(biāo)準規(guī)范研究方面，取得了很多值得我國借鑒的成果，尤其是在取證原則、取證程序和取證工具檢測等方面取得了不少規(guī)范化研究成果，主要體現(xiàn)在以下幾個方面：

（1）在取證原則方面。對于電子數(shù)據(jù)取證所需遵循的原則問題，國際上具有代表性的觀點有“G8原則”、美國司法部提出的“三項原則”以及英國首席警官協(xié)會（ACPO）提出的“四論原則”。以上原則設(shè)計雖在條款數(shù)量上存在差異，但均傳承著相同的取證理念，取證既要符合相應(yīng)的技術(shù)要求，又須依法進行。

（2）在取證程序規(guī)范化研究方面。以IOCE、SWGDE等為代表的國際組織和諸多學(xué)者都提出了相應(yīng)的程序規(guī)范化建議。SWGDE于1999年10月在英國倫敦舉辦的國際高科技犯罪和法庭科學(xué)會議（IHCFC）中指出：“為確保電子證據(jù)能夠以一種安全的方式進行收集、保存、檢驗和傳輸，保障電子數(shù)據(jù)的準確性和可靠性，執(zhí)法部門和取證機構(gòu)必須建立和保持有效的質(zhì)量體系，標(biāo)準操作規(guī)程（SOP）文件應(yīng)作為質(zhì)量控制的指導(dǎo)方針，并制作相應(yīng)的案件記錄，采用被廣泛接受的程序、儀器和材料進行檢驗�！蓖瑫r，SWGDE還提出了7條電子數(shù)據(jù)取證程序標(biāo)準。

此外，SWGDE在其制定的《計算機取證最佳實踐》中，還從證據(jù)收集、證據(jù)處理、準備取證設(shè)備、鏡像制作、取證分析和檢驗、檢驗記錄、報告制作、復(fù)查7個方面規(guī)定了51條取證操作規(guī)則。IOCE在其制定的《數(shù)字技術(shù)司法鑒定最佳實踐指南》中也給出了與電子數(shù)據(jù)取證有關(guān)的程序準則。

（3）在取證工具檢測認證層面。最具代表性的是美國NIST所開展的計算機取證工具檢測計劃（CFTT），該計劃致力于取證工具檢測的通用規(guī)范、檢測程序、檢測標(biāo)準以及檢測工具的研究，其從成立至今先后發(fā)布了一系列關(guān)于取證工具能力要求的技術(shù)準則，同時也制定了與取證工具檢測認證有關(guān)的程序和方法文件。這些涉及取證工具檢測程序、方法以及工具設(shè)計要求的技術(shù)規(guī)范的出臺，為取證產(chǎn)品研發(fā)廠商研發(fā)取證設(shè)備提供了依據(jù)支持、為業(yè)界進行取證工具檢測提供了檢測方法、為各取證機構(gòu)選擇取證設(shè)備提供了質(zhì)量衡量的依據(jù)，亦為取證結(jié)果的審查提供了技術(shù)依據(jù)。在NIST的CFTT計劃帶動下，諸多國家現(xiàn)已開展涉及取證工具的檢測，美國等西方國家現(xiàn)已將取證工具是否通過檢測作為取證工具的入市標(biāo)準。

二、國內(nèi)電子數(shù)據(jù)取證標(biāo)準規(guī)范研究現(xiàn)狀

（一）國內(nèi)電子數(shù)據(jù)取證法規(guī)和標(biāo)準情況

我國電子證據(jù)的標(biāo)準化工作起步較晚，但是國家有關(guān)部門對于相關(guān)政策和標(biāo)準制定工作十分重視。2005年2月28日全國人大常委會通過的《關(guān)于司法鑒定管理問題的決定》，從國家基本法律層面對電子數(shù)據(jù)鑒定遵守技術(shù)標(biāo)準的義務(wù)做了明確規(guī)定。2005年公安部發(fā)布了我國第一部電子數(shù)據(jù)標(biāo)準化的規(guī)范性文件《計算機犯罪現(xiàn)場勘驗與電子數(shù)據(jù)檢查規(guī)則》，主要對電子數(shù)據(jù)現(xiàn)場取證和電子數(shù)據(jù)檢驗鑒定的程序、內(nèi)容和要求等進行了規(guī)定。2005年公安部又發(fā)布了《公安機關(guān)電子數(shù)據(jù)鑒定規(guī)則》，主要規(guī)范公安機關(guān)的鑒定機構(gòu)管理要求、鑒定人管理要求等與鑒定相關(guān)的問題。2007年《司法鑒定程序通則》（司法部令第107號）對鑒定人采納技術(shù)標(biāo)準問題做出了詳細的要求：“司法鑒定人進行鑒定，應(yīng)當(dāng)依下列順序遵守和采用該專業(yè)領(lǐng)域的技術(shù)標(biāo)準和技術(shù)規(guī)范：（一）國家標(biāo)準和技術(shù)規(guī)范；（二）司法鑒定主管部門、司法鑒定行業(yè)組織或者相關(guān)行業(yè)主管部門制定的行業(yè)標(biāo)準和技術(shù)規(guī)范；（三）該專業(yè)領(lǐng)域多數(shù)專家認可的技術(shù)標(biāo)準和技術(shù)規(guī)范……”

2008年以來，公安部和司法部先后制定了電子數(shù)據(jù)取證各自行業(yè)標(biāo)準。截至目前，公安部共發(fā)布了22個電子數(shù)據(jù)取證方面的行業(yè)標(biāo)準：

（1）《電子數(shù)據(jù)存儲介質(zhì)復(fù)制工具要求及檢測方法》（GA/T754-2008）

（2）《電子數(shù)據(jù)存儲介質(zhì)寫保護設(shè)備檢測方法》（GA/T755-2008）

（3）《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》（GA/T756-2008）

（4）《程序功能檢驗方法》（GA/T757-2008）

（5）《電子物證數(shù)據(jù)搜索檢驗技術(shù)規(guī)范》（GA/T825-2009）

（6）《電子物證數(shù)據(jù)恢復(fù)檢驗技術(shù)規(guī)范》（GA/T826-2009）

（7）《電子物證文件一致性檢驗技術(shù)規(guī)范》（GA/T827-2009）

（8）《電子物證軟件功能檢驗技術(shù)規(guī)范》（GA/T828-2009）

（9）《電子物證軟件一致性檢驗技術(shù)規(guī)范》（GA/T829-2009）

（10）《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》（GA/T976-2012）

（11）《取證與鑒定文書電子簽名》（GA/T977-2012）

（12）《網(wǎng)絡(luò)游戲私服檢驗技術(shù)方法》（GA/T978-2012）

（13）《法庭科學(xué)電子物證手機檢驗技術(shù)規(guī)范》（GA/T1069-2013）

（14）《法庭科學(xué)計算機開關(guān)機時間檢驗技術(shù)規(guī)范》（GA/T1070-2013）

（15）《法庭科學(xué)電子物證Windows操作系統(tǒng)日志檢驗技術(shù)規(guī)范》（GA/T1071-2013）

（16）《移動終端取證檢驗方法》（GA/T1170-2014）

（17）《芯片相似性比對檢驗方法》（GA/T1171-2014）

（18）《電子郵件檢驗技術(shù)方法》（GA/T1172-2014）

（19）《即時通訊記錄檢驗技術(shù)方法》（GA/T1773-2014）

（20）《電子證據(jù)數(shù)據(jù)現(xiàn)場獲取通用方法》（GA/T1174-2014）

（21）《軟件相似性檢驗技術(shù)方法》（GA/T1175-2014）

（22）《網(wǎng)頁瀏覽器歷史數(shù)據(jù)檢驗技術(shù)方法》（GA/T1176-2014）

司法部于2014年發(fā)布了SF/ZJD0400001-2014《電子數(shù)據(jù)司法鑒定通用實施規(guī)范》、SF/ZJD0401001-2014《電子數(shù)據(jù)復(fù)制設(shè)備鑒定實施規(guī)范》、SF/ZJD0402001-2014《電子郵件鑒定實施規(guī)范》、SF/ZJD0403001-2014《軟件相似性檢驗實施規(guī)范》4個司法鑒定技術(shù)規(guī)范。

在國家標(biāo)準層面，目前只有3個國家標(biāo)準發(fā)布:《電子物證數(shù)據(jù)恢復(fù)檢驗規(guī)程》（GB/T29360-2012）、《電子物證文件一致性檢驗規(guī)程》（GB/T29361-2012）、《電子物證數(shù)據(jù)搜索檢驗規(guī)程》（GB/T29362-2012）。

通過對上述標(biāo)準的分析發(fā)現(xiàn)，3個國家標(biāo)準是公安部相應(yīng)行業(yè)標(biāo)準上升為國標(biāo)，司法部制定的4個行業(yè)標(biāo)準內(nèi)容上也基本上借鑒了公安部相應(yīng)的行業(yè)標(biāo)準。因此，我國電子數(shù)據(jù)取證標(biāo)準化建設(shè)工作最具代表性的還是公安部的行業(yè)標(biāo)準�？偟膩碚f，公安部制定的行業(yè)標(biāo)準可以分為四類：一是規(guī)范取證過程或流程類標(biāo)準，比如GA/T976-2012和GA/T1174-2014；二是取證工具技術(shù)要求和測試類標(biāo)準，比如GA/T754-2008和GA/T755-2008；三是電子取證方法技術(shù)類，這類標(biāo)準最多，主要是規(guī)范某類操作，比如數(shù)據(jù)恢復(fù)操作（GA/T826-2009）、數(shù)據(jù)檢驗操作（GA/T825-2009）、文件一致性檢驗操作（GA/T827-2009）和軟件一致性檢驗操作（GA/T829-2009）等；四是針對不同取證對象的標(biāo)準化取證操作類，比如網(wǎng)游私服（GA/T978-2012）、Windows系統(tǒng)日志（GA/T1071-2013）、電子郵件（GA/T1172-2014）、即時通信記錄（GA/T1773-2014）和網(wǎng)頁瀏覽器歷史（GA/T1176-2014）等。針對新的取證對象，公安部后續(xù)還會出臺相應(yīng)行業(yè)標(biāo)準。

（二）國內(nèi)現(xiàn)有電子數(shù)據(jù)取證標(biāo)準化工作存在的問題

（1）制定標(biāo)準的體制機制不完善目前，我國還沒有建立起真正統(tǒng)一的司法鑒定管理體制，直接導(dǎo)致了電子數(shù)據(jù)鑒定標(biāo)準化工作的滯后。職能部門內(nèi)設(shè)的電子數(shù)據(jù)鑒定機構(gòu)結(jié)合本部門的鑒定工作的實際情況，在本單位主管部門的主持下，發(fā)布了一些鑒定標(biāo)準，這些帶有明顯部門特色的鑒定標(biāo)準雖然在科學(xué)性上沒有問題，但在具體適用上并不具有普遍的適用性。

（2）現(xiàn)有電子數(shù)據(jù)取證規(guī)則/標(biāo)準滯后于技術(shù)的發(fā)展

由于司法鑒定標(biāo)準的制定總是滯后于技術(shù)的發(fā)展，當(dāng)某一領(lǐng)域的技術(shù)發(fā)展較為成熟或被該領(lǐng)域的大部分專家所認可時，鑒定標(biāo)準才有出臺的基礎(chǔ)。電子技術(shù)發(fā)展日新月異的特點，使得電子數(shù)據(jù)鑒定標(biāo)準的出臺，比其他司法鑒定標(biāo)準的出臺更加困難，比如針對云計算、大數(shù)據(jù)的取證標(biāo)準。

（3）電子數(shù)據(jù)取證標(biāo)準體系不完備電子數(shù)據(jù)鑒定現(xiàn)有公共安全行業(yè)標(biāo)準22個，國家標(biāo)準3個，從內(nèi)容上看，3個國家標(biāo)準幾乎是從之前的行業(yè)標(biāo)準中直接照搬過來的。所以說從內(nèi)容上看，國家標(biāo)準并未有實質(zhì)性的突破，個別標(biāo)準內(nèi)容過于簡單，規(guī)范過于籠統(tǒng)，缺乏可操作性。從標(biāo)準是否構(gòu)成體系來看，現(xiàn)有標(biāo)準還留有較多空白，例如網(wǎng)絡(luò)數(shù)據(jù)的鑒定、硬盤修復(fù)數(shù)據(jù)的鑒定等等。此外，對電子數(shù)據(jù)鑒定涉及的手機數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)都缺乏相應(yīng)的標(biāo)準，對于鑒定人員資質(zhì)、設(shè)備的配置標(biāo)準等也都沒有進行規(guī)范。

三、保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準化工作設(shè)想

按照保密法的規(guī)定，保密行政管理部門承擔(dān)著保密違法案件查處的職責(zé)。從滿足保密案件查處工作實際需要出發(fā)，保密工作部門有必要建立符合自身工作特點的電子取證標(biāo)準化體系。

在標(biāo)準化建設(shè)工作思路上，要采用借鑒和自研相結(jié)合的方式，加快推進取證標(biāo)準體系建設(shè)。在國內(nèi)電子數(shù)據(jù)取證缺乏統(tǒng)一標(biāo)準的情況下，保密領(lǐng)域電子數(shù)據(jù)取證標(biāo)準化工作應(yīng)首先滿足保密行政行政管理部門行政執(zhí)法需要，學(xué)習(xí)國際電子數(shù)據(jù)取證標(biāo)準化工作先進做法，借鑒國內(nèi)有關(guān)部委電子數(shù)據(jù)取證標(biāo)準化工作成果，立足于保密技術(shù)核查取證工作實際，采用“引進”和“自研”相結(jié)合方式，加快建立保密核查取證標(biāo)準體系。在一些電子取證通用性操作上，比如數(shù)據(jù)保全、數(shù)據(jù)恢復(fù)等標(biāo)準，可以借鑒國內(nèi)同行的標(biāo)準成果，在具有保密技術(shù)取證特色或者與保密取證工作環(huán)節(jié)密切相關(guān)的環(huán)節(jié)上，則需要結(jié)合保密工作實際制定自己的標(biāo)準，比如涉密文件搜索檢驗規(guī)范、竊密軟件分析規(guī)范等等。

在保密標(biāo)準體系構(gòu)建上，需要充分考慮電子數(shù)據(jù)的特殊性和保密工作的特殊性，從電子證據(jù)的產(chǎn)生、存儲和轉(zhuǎn)移的特點出發(fā)，分基礎(chǔ)性標(biāo)準、技術(shù)性標(biāo)準和管理性標(biāo)準三個層次進行規(guī)范，以期得到一個科學(xué)而合理的鑒定標(biāo)準體系。基礎(chǔ)性標(biāo)準主要是規(guī)范電子數(shù)據(jù)取證鑒定所涉及的一些專業(yè)術(shù)語、基本原則和軟硬件設(shè)備標(biāo)準。通過制定這些基礎(chǔ)性標(biāo)準，可以從根本上規(guī)范電子數(shù)據(jù)取證鑒定工作，為電子數(shù)據(jù)鑒定的標(biāo)準化打好堅實的基礎(chǔ)。

技術(shù)性標(biāo)準作為電子數(shù)據(jù)取證鑒定程序標(biāo)準化建設(shè)最核心的標(biāo)準，可以分為取證階段的標(biāo)準和鑒定階段的標(biāo)準兩部分。取證階段的標(biāo)準可分為程序性標(biāo)準和技術(shù)性標(biāo)準兩大部分。程序性標(biāo)準包括參與取證的人員資質(zhì)標(biāo)準、取證設(shè)備標(biāo)準、針對聯(lián)網(wǎng)設(shè)備取證的環(huán)境標(biāo)準等。在正式開展取證工作前，必須詳細了解具體案情，事先做好預(yù)案，對現(xiàn)場環(huán)境、設(shè)備狀態(tài)等進行詳細的記錄。鑒定階段是指在實驗室條件下進行鑒定的階段，該階段的標(biāo)準是目前已有標(biāo)準主要關(guān)注的領(lǐng)域，相對而言，已經(jīng)比較規(guī)范，可以根據(jù)保密違法案件核查的技術(shù)特點，以通用技術(shù)方法對鑒定階段的標(biāo)準進行分類，分別制定完善，比如鑒定階段的電子數(shù)據(jù)的恢復(fù)標(biāo)準、涉密數(shù)據(jù)的搜索標(biāo)準、攻擊竊密程序的分析標(biāo)準等。管理類標(biāo)準電子數(shù)據(jù)鑒定結(jié)果的真實可靠，與所在的實驗室的規(guī)范化管理是分不開的。結(jié)合《檢測和校準實驗室能力認可準則》（ISO/IEC17025:2005），從鑒定實驗室人員的管理標(biāo)準、電子數(shù)據(jù)鑒定實驗室的環(huán)境標(biāo)準、采用技術(shù)方法、設(shè)備的配置、檢材的處理等方面，建立相應(yīng)的管理性標(biāo)準。

 

（作者：何建波）