李巖，施少培

（司法部司法鑒定科學(xué)技術(shù)研究所 上海市司法鑒定專業(yè)技術(shù)服務(wù)平臺，上海200063）

論電子數(shù)據(jù)的真實性鑒定

李巖，施少培

（司法部司法鑒定科學(xué)技術(shù)研究所 上海市司法鑒定專業(yè)技術(shù)服務(wù)平臺，上海200063）

電子數(shù)據(jù)真實性鑒定是電子數(shù)據(jù)鑒定中較為常見的一類鑒定，相比電子數(shù)據(jù)的搜索與恢復(fù)鑒定，電子數(shù)據(jù)真實性鑒定對鑒定的規(guī)范性和技術(shù)性要求更高：證明電子數(shù)據(jù)為真需要排除大量假的可能性，而且通常無法窮盡。通過結(jié)合在科研和實際鑒定工作中積累的常見電子數(shù)據(jù)真實性鑒定的經(jīng)驗，從概念和方法體系引入，進一步選取了電子郵件真實性鑒定、數(shù)據(jù)庫數(shù)據(jù)真實性鑒定、聊天記錄真實性鑒定三類典型且需求較多的電子數(shù)據(jù)真實性鑒定類型進行逐一解讀，從鑒定思路和對策、技術(shù)方法和手段等角度進行了詳細闡述，以期促進行業(yè)交流和發(fā)展。

電子數(shù)據(jù)鑒定；電子數(shù)據(jù)真實性；電子郵件；數(shù)據(jù)庫；聊天記錄

隨著我國《刑事訴訟法》和《民事訴訟法》進一步確立了電子數(shù)據(jù)的證據(jù)地位，電子數(shù)據(jù)的真實性作為一個衍生問題越來越多地出現(xiàn)在公眾視野中。由于電子數(shù)據(jù)證據(jù)具有易篡改的特性，司法機關(guān)在采信時會格外慎重，委托鑒定機構(gòu)進行真實性鑒定是一種常用的途徑。筆者所在的鑒定機構(gòu)每年受理的電子數(shù)據(jù)鑒定案件中，近半數(shù)為電子數(shù)據(jù)真實性鑒定。這些鑒定中，以電子郵件真實性、數(shù)據(jù)庫數(shù)據(jù)真實性、即時通信軟件聊天記錄或者手機短信數(shù)據(jù)真實性類案件為多。

1 電子數(shù)據(jù)真實性鑒定的概念和范疇

從鑒定的申請方來看，最簡單直白的訴求是希望對一份電子數(shù)據(jù)做出“真”或“假”的評斷。但從鑒定人視角來看，單純的“真”或“假”并不能解決電子數(shù)據(jù)真實性的問題，而且可能引入歧義。例如打開后沒有改動就點了保存的電子文檔，再如手術(shù)之后三天才在電子病歷系統(tǒng)中錄入的手術(shù)記錄，雖然從內(nèi)容角度可能為“真”，但是從電子數(shù)據(jù)角度往往就會被認為“假”。所以在電子數(shù)據(jù)真實性鑒定中，還原電子數(shù)據(jù)的形成過程通常比單純的真假評判更為重要。

電子數(shù)據(jù)真實性主要包含兩個范疇：“偽造”和“篡改”。“偽造”有無中生有、憑空捏造之意，被偽造出來的電子數(shù)據(jù)原本是不存在的，可能來源于當(dāng)事人的想象、日常經(jīng)驗或者類似的電子數(shù)據(jù)。“篡改”則是在已有的電子數(shù)據(jù)上添加、改動、刪除了部分?jǐn)?shù)據(jù)，使其所反映的事實產(chǎn)生改變。此外，一些對于電子數(shù)據(jù)形成過程的鑒定也可以歸入廣義的電子數(shù)據(jù)真實性鑒定范圍內(nèi)。

2 電子數(shù)據(jù)真實性鑒定的地位和現(xiàn)有方法體系

在中國合格評定國家認可委員會（CNAS）于2015年6月發(fā)布的CNAS—AL13《司法鑒定/法庭科學(xué)機構(gòu)認可領(lǐng)域分類》中，將電子物證領(lǐng)域分為三大類，分別為“電子數(shù)據(jù)的提取、固定與恢復(fù)”、“電子數(shù)據(jù)真實性（完整性）鑒定”、“電子數(shù)據(jù)同一性、相似性鑒定”。在“電子數(shù)據(jù)真實性（完整性）鑒定”中又分為五個子類：“01電子簽名”、“02電子郵件”、“03即時通信”、“04電子文檔”、“05數(shù)據(jù)庫”。

作為電子數(shù)據(jù)鑒定的三大類之一，電子數(shù)據(jù)真實性鑒定已經(jīng)有了較為成熟的方法體系，五個子類中除了電子簽名尚未有針對性的鑒定方法之外，其余分類均有已發(fā)布或制定中的方法?，F(xiàn)有方法體系見表1。

表1 電子數(shù)據(jù)真實性鑒定方法體系表

2 常見電子數(shù)據(jù)真實性鑒定類型探討

電子數(shù)據(jù)真實性鑒定是電子數(shù)據(jù)鑒定中難度較高的一類鑒定，“證實”需要考慮的因素通常數(shù)倍于“證偽”，對鑒定人綜合分析能力有較高的要求。下文將從常見的三類電子數(shù)據(jù)真實性鑒定逐一進行探討。

2.1 電子郵件真實性鑒定

電子郵件真實性的需求主要有兩類，其一為指定電子郵件是否真實發(fā)出或者被實際收到，其二為一封已存在的電子郵件與發(fā)送、接收時相比是否有改動。上述兩類分別對應(yīng)鑒定要求中的“偽造”與“篡改”。偽造電子郵件可以理解為電子郵件未經(jīng)正常的網(wǎng)絡(luò)傳輸，整封郵件均為無中生有的；篡改電子郵件則是在一封已有的正常郵件基礎(chǔ)上進行的變造，替換了其中的一些關(guān)鍵信息。

站在電子郵件真實性鑒定委托方的角度，對電子郵件真實性的理解有以下幾種：電子郵件的實際發(fā)送者/接收者是誰，電子郵件是什么時間發(fā)出/收到的，電子郵件的正文/附件是否經(jīng)過添加、修改或刪除，電子郵件的操作者及操作環(huán)境是怎樣的。前三點是容易理解的，最后一點的一個例子是當(dāng)事人不否認自己的郵箱發(fā)送過郵件，但是當(dāng)時自己不在場無法操作郵箱，需要對郵件的來源進行分析，以確定郵件是否在聲稱地點之外發(fā)送。

無論鑒定要求的提法如何，在電子郵件真實性鑒定中都可以從以下幾個步驟來入手：

（1）解析郵件。將郵件客戶端的數(shù)據(jù)文件解析為單個標(biāo)準(zhǔn)格式（如eml格式）的郵件，方便在后續(xù)檢驗中抽取郵件的各個部分進行分析；將服務(wù)器上的郵件以標(biāo)準(zhǔn)格式進行保全。

（2）分析郵件頭。在接收方的郵件中郵件頭包含了反映傳輸過程的信息，這些信息的組合方式、順序、編碼、歷時性變化等呈現(xiàn)出特征可以作為驗證電子郵件真實性的依據(jù)。例如，從一些郵件客戶端生成Message-ID字段可以解析出時間信息[1]。

（3）分析郵件正文和附件。檢驗正文的編碼結(jié)構(gòu)、附件的內(nèi)容和元數(shù)據(jù)等信息是否存在異常。

（4）拓展信息廣度和深度進行綜合分析。通過查找同一郵箱內(nèi)的同主題郵件、同一郵件被其他收件人接收的版本、存有附件文件的存儲介質(zhì)、郵件服務(wù)器等獲取更多信息來互相印證；站在整個郵箱、郵件客戶端或者郵件服務(wù)器的角度對需檢郵件進行考察。一些郵件客戶端中可以解析出額外的特征信息[2]。在獲取了各個層面的信息后，對這些信息的梳理是鑒定的難點，一些異常點可能是客觀原因造成，應(yīng)對其成因進行全面的分析。

在上述檢驗基礎(chǔ)上對電子郵件的真實性做出綜合判斷，可選用四種鑒定意見之一[3]。總的來說，電子郵件真實性鑒定的分析原則是找矛盾和可疑點，在盡量多的數(shù)據(jù)來源中進行相互印證；如未發(fā)現(xiàn)可疑點，則考慮現(xiàn)有信息的復(fù)雜程度是否具有偽造、篡改的可行性。例如經(jīng)過可信第三方數(shù)字簽名，且簽名方案完備的電子郵件，可認為不具有偽造、篡改的可行性。

2.2 數(shù)據(jù)庫數(shù)據(jù)真實性鑒定

數(shù)據(jù)庫廣泛運用于各種計算機系統(tǒng)中，是計算機系統(tǒng)的核心組件之一。數(shù)據(jù)庫記載了計算機系統(tǒng)的業(yè)務(wù)信息，也可以反映出系統(tǒng)的功能結(jié)構(gòu)，是電子數(shù)據(jù)鑒定中重點關(guān)注的內(nèi)容。數(shù)據(jù)庫系統(tǒng)提供了多種操作數(shù)據(jù)的接口，對數(shù)據(jù)的訪問和修改都較為容易，數(shù)據(jù)真實性也因此面臨挑戰(zhàn)。

數(shù)據(jù)庫數(shù)據(jù)真實性本質(zhì)上就是追溯數(shù)據(jù)是否經(jīng)過修改、修改的時間、修改的內(nèi)容等信息。這種修改不一定體現(xiàn)在數(shù)據(jù)庫層面，鑒定人需要從整個系統(tǒng)入手，客觀反映出數(shù)據(jù)的產(chǎn)生、修改的過程或者對修改的可能性進行評估。事實上，很多涉及數(shù)據(jù)庫數(shù)據(jù)真實性鑒定的關(guān)鍵點都不在于針對數(shù)據(jù)庫數(shù)據(jù)本身的篡改上。

大部分關(guān)系型數(shù)據(jù)庫系統(tǒng)自身具備事務(wù)日志的功能，可以反映出數(shù)據(jù)庫數(shù)據(jù)的操作過程；存儲重要數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng)則由數(shù)據(jù)庫管理員定期進行數(shù)據(jù)備份，數(shù)據(jù)備份中可以提取到備份時間點的數(shù)據(jù)狀態(tài)。雖然在理論上上述兩點基本能夠解答針對數(shù)據(jù)庫數(shù)據(jù)真實性的懷疑，但在實踐中卻會遇到困難。數(shù)據(jù)庫事務(wù)日志的內(nèi)容的詳細程度決定了其對存儲空間和系統(tǒng)資源的消耗是巨大的，數(shù)據(jù)庫管理員不得不限制事務(wù)日志的體積。事實上事務(wù)日志的設(shè)計初衷是為了修正數(shù)據(jù)庫的內(nèi)部錯誤或從崩潰中回滾，而不是用于追溯修改過程。同理，數(shù)據(jù)庫備份的頻次和類型都由數(shù)據(jù)庫管理員設(shè)定。在鑒定時間距離事件發(fā)生時間較久時，從事務(wù)日志和數(shù)據(jù)庫備份中獲取的有用信息會非常有限。

針對數(shù)據(jù)庫日志和備份的檢驗不能解決所有問題，在實踐中我們可以從系統(tǒng)的本身來入手，從數(shù)據(jù)的各個層面進行綜合比對來確定數(shù)據(jù)庫數(shù)據(jù)的修改情況。這種方法的思想來自于Locard定律[4]：交互即會留下痕跡。修改數(shù)據(jù)作為人機交互的一種形式，自然也會存在痕跡。同時，一些應(yīng)用較為廣泛的數(shù)據(jù)庫系統(tǒng)如電子病歷系統(tǒng)，在設(shè)計之初即有保留關(guān)鍵數(shù)據(jù)修改記錄的功能。檢驗的目標(biāo)轉(zhuǎn)化為如何發(fā)現(xiàn)這些功能或記錄，并采用易于辦案機關(guān)理解的形式進行呈現(xiàn)。

復(fù)雜數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)呈現(xiàn)方式通常不是直接通過數(shù)據(jù)庫管理系統(tǒng)查詢數(shù)據(jù)庫數(shù)據(jù)，而是通過前端客戶界面的顯示或者打印輸出的內(nèi)容。委托方對數(shù)據(jù)的真實性產(chǎn)生懷疑的依據(jù)就是顯示或打印的內(nèi)容與實際情況不符。這種情況下，則需要結(jié)合軟件功能鑒定的相關(guān)技術(shù)，對前端數(shù)據(jù)與數(shù)據(jù)庫中數(shù)據(jù)的對應(yīng)關(guān)系進行梳理，同時結(jié)合數(shù)據(jù)字典對數(shù)據(jù)庫中對應(yīng)數(shù)據(jù)表進行釋義，必要時還需對應(yīng)用系統(tǒng)程序運行流程和算法進行分析以查明前端數(shù)據(jù)生成的過程，以解釋委托方的疑慮。

數(shù)據(jù)庫數(shù)據(jù)真實性鑒定主要技術(shù)由易到難分為四個層次[5]：

（1）獲取運行中的服務(wù)器中的數(shù)據(jù)庫數(shù)據(jù)文件、日志、trace記錄等。

（2）重構(gòu)數(shù)據(jù)庫，通過數(shù)據(jù)庫應(yīng)用軟件或數(shù)據(jù)庫管理軟件導(dǎo)入導(dǎo)出數(shù)據(jù)。

（3）使用結(jié)構(gòu)化查詢語句對數(shù)據(jù)庫進行數(shù)據(jù)挖掘。

（4）恢復(fù)數(shù)據(jù)庫的刪除數(shù)據(jù)或日志。

即使運用多項技術(shù)得出數(shù)據(jù)的修改過程，仍然無法解決委托方對于數(shù)據(jù)修改性質(zhì)和修改原因的疑問，這就不在電子數(shù)據(jù)鑒定的范疇中了。因此，在數(shù)據(jù)庫數(shù)據(jù)真實性鑒定的結(jié)論表述中，推薦以客觀直白的形式展現(xiàn)數(shù)據(jù)記錄[6]。對于委托要求未涉及但影響鑒定結(jié)果的重要數(shù)據(jù)，如用戶權(quán)限授予不當(dāng)、系統(tǒng)存在異常登錄記錄等，也應(yīng)在檢驗過程中進行描述。

2.3 聊天記錄真實性

聊天記錄是當(dāng)事人“親筆”文字性陳述借助電子形式的外在表現(xiàn)[7]，客觀存在于計算機、電子設(shè)備、服務(wù)器內(nèi)的存儲介質(zhì)中。在這種意義下，手機短信也應(yīng)歸于廣義的聊天記錄中。

聊天記錄所承載的信息對于還原案情具有不可或缺的作用，但是存在于計算機或者電子設(shè)備中的聊天記錄在作為證據(jù)呈現(xiàn)時存在一定局限性，通常的方式是導(dǎo)出為文檔之后打印，或者直接截圖打印。相比聊天記錄本身，對文檔或截圖的修改要容易許多。更有甚者，一些不嚴(yán)密的即時通訊軟件的聊天記錄（如MSN Messager）可以直接采用文本編輯器進行修改，也有一些專門用于偽造短信的手機應(yīng)用軟件。

理論上，任何通過服務(wù)器中轉(zhuǎn)的聊天記錄都會在服務(wù)器上留下副本，但是由于用戶成員多、信息流量大等特點，在服務(wù)器上并不會長期保留用戶的聊天記錄；即使在聊天記錄的保留期限內(nèi)，從服務(wù)商處直接獲取服務(wù)器上臨時保留的記錄也存在相當(dāng)大的困難，通常需要行政力量且手續(xù)復(fù)雜，服務(wù)商可能會以保護用戶隱私的緣由拒絕提供。在聊天記錄真實性鑒定中，這種存在于第三方服務(wù)器上的記錄可信度較高，在無法直接獲取的情況下可嘗試采用變通的手段獲取。

聊天記錄真實性鑒定所采用的技術(shù)主要有以下幾種：

（1）即時通訊數(shù)據(jù)解析技術(shù)。即如何從存儲介質(zhì)中提取聊天記錄文件或數(shù)據(jù)，并將數(shù)據(jù)解析為聊天記錄的技術(shù)。不同載體、不同平臺、不同版本的即時通訊工具有不同的解析方式，這項工作通常由取證工具完成，但需要鑒定人對各種即時通訊工具的處理方法和各類工具的特性有針對性了解，在檢驗時選取合適的工具。

（2）數(shù)據(jù)解密技術(shù)。目前較為常見的即時通訊工具中，大部分都采用了加密等技術(shù)手段保護聊天記錄文件。將數(shù)據(jù)文件中的聊天記錄數(shù)據(jù)解析并展現(xiàn)是整個鑒定環(huán)節(jié)中的難點。由于即時通訊工具版本更新頻繁，其數(shù)據(jù)格式和保護措施也會或多或少發(fā)生改變。加密方式的改變往往需要數(shù)年時間才會有成熟的解密技術(shù)方法出現(xiàn)。數(shù)據(jù)的解密也依賴于取證工具。

（3）關(guān)鍵信息的人工分析。人工分析技術(shù)主要為了彌補取證工具功能的不足，在已有相關(guān)技術(shù)但無成熟工具的情況下需要人工分析，挖掘更多有用的數(shù)據(jù)。例如筆者所使用的取證工具在刪除短信的提取上均無法做到100%準(zhǔn)確，存在遺漏和重復(fù)的現(xiàn)象，這種情況下應(yīng)從保存短信的SQLite數(shù)據(jù)庫結(jié)構(gòu)入手進行驗證。再如目前很熱門的微信紅包，由于涉及多個數(shù)據(jù)表的關(guān)聯(lián)，現(xiàn)有工具無法很好地解析和呈現(xiàn)，也需要采用仿真等技術(shù)手段進行人工分析。

（4）信息的關(guān)聯(lián)分析。這一點與電子郵件的綜合分析類似。除了發(fā)送方和接收方之外，從其他渠道獲取聊天記錄或用于印證的信息也是必要的。即便是聊天的同一方，也可能在多處存在聊天記錄，例如QQ的PC版和手機版可以同時在線，只提取一處的聊天記錄可能是不完整的。前文提到獲取服務(wù)器聊天記錄的困難性，但QQ會員具有漫游聊天記錄至服務(wù)器一定期限的功能，這種記錄獲取相對容易，在檢驗中應(yīng)加以利用。

3 結(jié)語

電子數(shù)據(jù)真實性鑒定的主導(dǎo)思想是發(fā)現(xiàn)痕跡，找出矛盾。鑒定人不僅需要持續(xù)關(guān)注相關(guān)鑒定技術(shù)的發(fā)展，而且要對針對特定電子數(shù)據(jù)的偽造篡改方法有所了解，做到知己知彼。在檢驗過程中應(yīng)關(guān)注檢驗的全面性，從多角度多渠道尋找痕跡。在鑒定意見的表述上應(yīng)注意客觀和全面。

[1]郭弘，金波.利用郵件頭分析電子郵件的真?zhèn)蝃J].中國司法鑒定，2010，（3）：63-68.

[2]李巖，施少培，楊旭，等.電子郵件真實性鑒定方法探索[J].中國司法鑒定，2012，（4）：94-99.

[3]SF/Z JD0402001電子郵件鑒定實施規(guī)范[S].2014.

[4]James N.Gilbert，Criminal Investigation[M].Upper Saddle River，NJ：PrenticeHall，1998：26.

[5]劉浩陽，李錦，劉曉宇.電子數(shù)據(jù)取證[M].北京：清華大學(xué)出版社，2015：678.

[6]SF/Z JD0402002.數(shù)據(jù)庫數(shù)據(jù)真實性鑒定規(guī)范[S].2005.

[7]何家弘.電子證據(jù)法研究[M].北京：法律出版社，2002：242.

（本文編輯：盧啟萌）

D918.9

B

10.3969/j.issn.1671-2072.2016.06.015

1671-2072-（2016）06-0085-04

2016-08-08

科研院所公益研究專項（GY2016G-6）；上海市司法鑒定專業(yè)技術(shù)服務(wù)平臺資助項目（16DZ2290900）

李巖（1985—），男，工程師，助理研究員，主要從事電子數(shù)據(jù)、聲像資料鑒定研究工作。E-mail：liyan@ssfjd.cn。通信作者：施少培（1962—），男，高級工程師（正高級），主要從事刑技術(shù)研究工作。E-mail：shisp@ssfjd.cn。