四川神琥司法鉴定所
2019-04-01 17:50:45
背 景
当前,手机已成为人们生活红不可缺少的电子产品。在各类纠纷案件中,需要对手机进行电子数据取证的情形也逐渐增多。那么,手机取证与道路交通事故又有什么关联呢?神琥鉴定来为大家划一划重点。
在当前道路交通事故调查中,迅速确认事故当事人的有关信息是事故调查的重点之一。通过对事故当事人手机的取证,就可以取得当事人身份信息、社会接触关系、手机使用情况和轨迹信息等,形成对当事人的人物画像,甚至从这些信息中发现事故发生的原因,比如驾车时使用手机、疲劳驾驶等等。因此,在一些道路交通事故的调查与处理中,手机取证可以提供重要帮助。
今天,神琥鉴定就给大家分享一篇来自公安部交通管理科研所的研究文章。该文章以道路交通事故调查为切入点,在介绍手机取证技术的基础上,结合道路交通事故的调查重点,分析手机取证技术在道路交通事故调查中的应用前景。以下为研究正文原文:
手机取证概述
手机取证属于计算机取证的分支,是运用物证鉴定的原理、方法和程序,对手机、手机附属设备以及移动运营商数据库中的电子数据进行固定、提取、恢复和分析,以获得侦查线索或法庭证据。
01 证据来源
手机取证的证据来源如图1所示,主要为SIM(UIM)卡、机身内存、外置存储介质和移动通信运营商数据库。
图1 手机取证证据来源
(1)SIM卡
SIM卡,也称用户身份识别卡,通过SIM卡可获取用户姓名、身份证等个人信息以及IMEI、密钥、PIN 码等入网信息。同时,SIM 卡也自带一定容量的存储空间,从中可获取用户存储在其中的部分短信和通讯录等数据。
(2)机身内存
机身内存为手机出厂时自带的存储空间,其中存储着大量的信息,主要包括手机串号、通讯录、通话记录、短信、web记录等文本文件,图片、音频、视频等多媒体文件。
(3)外置存储介质
外置存储介质主要为SD卡,用于扩展手机的存储空间,其存储内容与手机内存相似。
(4)移动通信运营商数据库
移动通信运营商的用户数据库和通话数据库中记录了用户身份信息、通话记录清单、短信记录、缴费记录等历史数据,基站系统和网络交换系统是手机用户在使用过程中与其他客户通信的中介,手机的正常入网使用和所有的数据传输都必须通过基站系统和网络交换系统来进行,因此基站系统和网络交换系统也存储着大量的数据。
02 取证方法
手机取证的证据与计算机取证的证据本质上是一致的,均为电子证据,因此手机取证在取证方法上可以借鉴计算机取证的成熟经验,但其作为移动终端,有其自身的特点。一方面,在数据的存储形式上,手机主要为嵌入式动态存储,而计算机则以海量存储和静态存储为主要存储形式;另一方面,手机的正常工作依赖于无线通信网络的覆盖,随时都在进行信息更新和交互,而计算机在单机模式下也能工作。此外,手机与计算机的操作系统也存在较大差异。
基于上述特点,当前针对手机SIM卡和机身内存的取证中,通常需要根据不同的手机型号选取专用的手机取证软件进行取证,外置存储介质本质上与计算机取证中的存储介质属于同类,因此可以采用计算机取证方法进行取证,而移动通信运营商数据库通常需要通过移动通信运营商获取。
03 取证原则
(1)合法取证
首先,取证主体必须合法,取证人员必须经过有关部门认可,并且技术过硬;其次,取证工具必须合法,取证过程中所使用的技术手段和软硬件工具必须符合法律规定的标准;最后,取证程序必须合法,在取证过程中必须按照法定的程序开展工作,我国《法庭科学电子物证手机检验技术规范》(GA/T 1069-2013)、《移动终端取证检验方法》(GA/T 1170-2014)、《手机电子数据提取操作规范》(SF/Z JD0401002-2015)等标准规范对手机等智能终端取证过程进行了详细解释指导。
(2)及时取证
在移动通信网络覆盖的情况下,手机与外界频繁的信息交互很容易造成新生成数据对历史数据的覆盖,网络运营商处保存的某些手机用户数据也是周期性更新的。因此,应当及时地采取适当的取证措施,对手机中的证据进行固定和提取。
(3)无损取证
该原则旨在确保数据的原始性、真实性,取证人员应当采用专用工具和方法进行取证,避免造成手机的硬件损坏或内部数据的修改。
手机取证在事故调查中的应用
01 涉及手机的调查重点
手机中记录的联系人、通话记录、短消息、聊天记录、位置信息、Web历史记录、APP的使用情况等信息均属于手机使用人的关键信息,对上述信息的综合分析和应用,有助于公安交通管理部门在道路交通事故调查中迅速确认事故当事人身份、社会关系、事发前后的活动状态以及事故车辆行驶轨迹等重要信息,为了解事故过程、查明事故原因提供重要证据支撑。
02 调查项目分析
对手机中存储的不同类型数据的取证能够得到许多关键信息,如图2所示。
图2 手机中存储的关键信息
(1)当事人身份
事故发生后,确认事故当事人的身份信息是调查人员必须面对的问题,在涉及大量人员伤亡或涉嫌伪造身份证件的情况下,上述工作将难以迅速开展。而手机中存储的联系人、通话记录、短消息以及微信、QQ等社交软件聊天信息中可能存有手机使用者的家人、朋友和同事等重要联系人的信息,对这些联系人信息的综合分析和确认有助于迅速确认事故当事人的身份及其家庭、工作等信息,便于调查人员联系家属、单位,开展进一步调查。
当事人身份的确认还有助于调查人员判定驾乘关系,确定重点调查对象,为下一步的调查重点提供指导。
(2)社会接触关系
在确认当事人身份的基础上,联系人的备注、通话记录的频次、短消息和聊天记录的文本等内容能在一定程度上反映当事人的社会接触关系、性格特点、疾病情况以及活动范围等信息。
对多个事故当事人手机中通话、短信等信息的关联有助于调查人员初步勾勒出事故当事人间的关系。对于一些涉及非法营运的事故,上述手段还能够帮助调查人员理清事故的来龙去脉。
(3)手机使用情况
驾驶人在驾驶过程中违规使用手机往往是一些重特大事故发生的直接原因,因此驾驶人的手机使用情况一直是事故调查人员的调查重点。
当前,公安交通管理部门在事故调查中,通常会协调通信运营商调取当事人的通话记录来确认其是否开车接打电话,但随着手机功能的丰富,驾驶人其他使用手机的行为很难通过通信运营商来进行确认。通过手机取证技术,对驾驶人手机中微信等APP、手机位置信息、浏览器上网记录以及手机日志等内容的分析可以确认驾驶人是否有使用手机的行为。
此外,对驾驶人手机使用情况进行全面深度分析,还有助于调查人员了解驾驶人事发前的活动状态,如熬夜使用手机等情况,辅助判断驾驶人事发前是否存在疲劳驾驶。
(4)轨迹信息
一些智能手机在拍照、录制视频以及使用具有定位功能的APP时均能记录下手机的位置坐标信息,对上述坐标信息的分析能够反映出事故当事人的活动信息,在特定条件下,上述坐标信息也能够确认事故车辆的行驶轨迹。此外,通过分析通信运营商基站系统和网络交换系统数据库中的数据,也能反映手机的位置信息。
手机取证流程
01 前期准备
手机由于其电子设备的特殊属性,在事故调查过程中,其提取方式有别于其他类型证据。对于事故现场提取的手机,应当第一时间进行拍照、编号并且记录检材的特征,同时及时做好防水、防磁、防静电和通信信号屏蔽保护工作。
事故发生后,调查人员还应综合考虑本次事故的调查重点,如驾乘关系不明、可能存在疲劳驾驶等情况,判断本次取证过程中所需要重点取证的内容。在此基础上,根据检材手机的型号,确认所用的取证线束、软件等设备,为后期取证工作的推进做好准备。
02 证据提取
手机中证据的提取方式主要包括以下几种:
(1)手动提取
该方法是一种较为原始的数据获取方法,仅通过人工在目标设备上直接进行操作来获取信息,对分析人员的数字取证技术要求最低。例如在设备触摸屏上直接翻看电话记录、影音记录,取证过程中对手机屏幕内容进行拍照取证。
(2)逻辑提取
逻辑提取是大多数移动设备支持的快速提取方法,通过与设备进行有线或无线连接以达到获取设备数据的目的。可从源设备提取的数据类型包括:联系人、通话记录、短消息、日历事件、多媒体文件(图像、视频、音频)以及应用程序等数据。但这种方式会受到操作系统逻辑层的限制,例如在一些未取得 root 权限、USB 调试没有开启或系统密码锁定的情况下,该方法的有效性可能会受到限制。逻辑提取的另一个弊端是无法获取那些已经被删除的文件或信息。
(3)文件系统提取
该方法是一种嵌入移动设备内存中的文件采集手段,可以获取逻辑提取无法看到的隐藏数据文件,获取对移动设备内存中所有文件的访问权,包括图像、视频、数据库文件、系统文件以及日志。执行文件系统提取时,可以获得对数据的访问权,例如密码、应用程序数据、通讯录条目、通话记录、消息以及文件中未分配的空间。
(4)物理提取
该方法又称为二进制转储,运用物理提取的方法能够确保设备数据和状态尽可能少地被改变。该方法所获得的数据均为逐比特转储的二进制数据,其中可能包含了已经删除的文件或信息。但这种方式在不同情况下同样也会受到系统权限或 USB 调试器状态的限制。
03 检验分析
在证据提取的基础上,一些数据库文件还需要调查人员应用专用分析工具进行分析,转化为符合要求的证据形式,当涉及多个手机时,调查人员还有必要在检验分析单个手机的基础上对多个检材手机进行数据关联,以发现更多的有用信息。
04 检验结论
在检验分析后,出具必要的检验鉴定报告,提供法庭可接受的证据形式。
结 语
当前手机取证技术仍处于起步阶段,但不可否认的是,手机取证必将是未来电子证据取证领域的重要分支。在一些重特大道路交通事故中,手机取证对案件的突破作用也将愈发凸显。如何提升手机取证能力,规范手机取证方式,既是亟待解决的现实问题,又是迫切需要研究的理论课题,公安交通管理部门也应在实践中不断探索手机取证等新技术的运用,提升我国道路交通事故调查的整体水平。
(文/公安部交通管理科学研究所 任皓,文章略有删减)