说明:因最近的一起商业秘密泄密案件中涉及电子邮件证据调查的工作,同时需要进行电子数据鉴定等证据固定过程,所以在此较详细的介绍电子邮件证据调查及固定的方法;让企业更好的理解涉及电子邮件证据时的处理办法;
随着电子邮件涉及司法案件日益增多,电子邮件证据在诉讼证明中的地位也愈发重要。邮件信息产生与传输的特殊属性决定了电子邮件的证据收集不同于传统证据。由此,本文立足于电子邮件的专门技术特征,对电子邮件证据在司法领域中的收集方法予以讨论。
电子邮件证据的收集主要针对案件事实信息和邮件附属信息两个部,其中,案件事实信息的收集是将客户端计算机、
ISP服务器和在线邮件接收系统中的邮件内容信息予以提取,以获得邮件的内容信息和行为信息的证据收集方法;附属信息的收集则是将电子邮件之中和电子邮件之外能够证明所收集的案件事实信息真实合法的信息予以固定;
一、电子邮件中案件事实信息的发现
(一)收发客户端现场的信息发现
收发客户端一般是电子邮件证据收集的第一现场,对客户端的信息发现自然应当居于首要位置。
首先,对可能含有邮件信息的相关载体实施现场收存。
第一,在进入现场环境后,收集主体应当率先对证据环境进行及时的综合评定,并根据各类证据灭失风险性大小的差异,采取切断计算机网络和电源抑或是保护现场其他物证的相关措施。
第二,在确保现场证据环境良好的情形下,由收集人员对初始证据环境进行记载。第三,对现场的非电子物证进行编号收存,主要针对可能含有邮件内容信息或邮件行为信息的物品及文书资料。最后,将所收集设备与文件进行编号收存,并制作清单。整个过程中相关收集人员应当全程进行书面记录并加盖印鉴。
其次,对存储器内的所有信息逐位复制,并对复制生成信息进行解读,搜寻出所有存储邮件信息。首先,将从客户端现场所提取电子设备的存储信息传输到具备只读功能的信息提取设备上。其次,待所扣押电子设备的存储内容均已传输完毕后,使用专门软件对所有存储信息进行解读,检索出所有与待证事实有关的电子邮件信息,并进行书面记录。书面记载主要包括:主体所采取的相关操作和所搜寻出邮件信息情况。
最后,通过对所获信息的综合判断,甄别出真实邮件信息。对搜寻出的相关邮件的头文件信息进行解读,并结合扣押的书证信息与其他间接证据,综合判断出与待证事实相关的真实邮件信息。
(二)ISP主机的信息收集
ISP主机是电子邮件信息传递的必经之路,由此,只要控制在合理的保存时间范围内进行收集活动,ISP主机内的邮件信息收集是相对容易的。
ISP主机中邮件信息的收集需要在专业人员的全程操作下进行。与此同时,由收集主体对相关收集流程进行记录,并最终由专业人员出具证明并由双方加盖印鉴。值得一提的是,收发件客户端主机可能与ISP主机距离遥远。在此情形下,收集主体的收集重点应当尽量集中于客户端信息的发现,在客户端信息严重失真或信息量严重不足的情形下,再退求ISP主机的信息收集,以免增加证明成本。
(三)在线邮件的信息收集
在电子邮件信息收发过程中起到关键作用的是电子邮件发送接收方网络服务提供商。运用在线网络信息收集取代部分ISP主机的信息收集,对电子邮件证据信息收集可起到一定积极作用。具体而言,分为以下步骤:
首先,在安全的系统和网络环境下,利用电子取证设备登录相关的ISP邮箱网址。一般而言,相同网络服务商不同位置的ISP主机信息在网络表观上是不存在信息位置差异的。在此情形下,直接进行网络邮件信息的在线收集,可有效避免ISP主机因地域限制而造成的信息收集困难,亦可扩展电子邮件信息的搜索范围。
其次,利用获取的邮箱ID登录电子邮箱并进行信息检索。在线邮件信息中可能用于证明待证事实的邮件信息主要有:电子邮箱注册信息,是收发件人向特定网络服务提供商申请获取电子邮箱地址时所提供的个人信息资料;收发电子邮件信息,是指在线邮箱系统所记录的申请人邮箱收发邮件的时间和邮件来源的具体情况,该内容可对申请人事实的邮件行为予以充分证明;邮件内容信息,是与案件事实信息相关的邮件信息内容本身。
最后,将检索得到的案件事实信息传输到电子取证设备予以固定。在确定可供证明待证事实的目标信息后,利用电子取证箱的不停机在线系统取证功能,将网页邮件信息传输至目标载体并生成相应附属信息。
二、电子邮件附属信息的发现
电子邮件证据的附属信息是指,在对电子邮件证据进行审查判断时,除了电子邮件证据本身所包含的证据信息之外,能够证明电子邮件证据客观性与合法性的信息。主要包括:
(一)电子邮件头
电子邮件头,是指在电子邮件传输过程中,由邮件接受服务器主机添加的记载电子邮件传输路由与中继时间的系统信息。其信息发现与收集主要流程为:首先,在安全的计算机环境中,运用相关解读软件对可能含有案件事实信息的目标电子邮件进行解读;其次,对解读出的电子邮件信息进行逐一核对,主要针对邮件头中发件人声称地址与服务器识别IP地址是否吻合,邮件传输的中继地址和中继时间,邮件的收发端地址信息等进行检查;最后,根据核对得出相关信息结论,主要包括:电子邮件信息是否系伪造,电子邮件的中继ISP服务器地址和中继时间,电子邮件确切收发人的网络地址和收发时间。
(二)电子取证设备中的审计钥
在使用电子取证箱进行证据收集的情形下,目标数据的传输阶段中,对选定数据进行位对位复制的同时,取证设备会利用哈希算法的同步数据校验功能,将复制数据同原始数据进行逐一比对,实时验证数据的一致性与完整性。传输完毕后,将数据提取操作全过程与对比结果形成详尽的审计报告,并存储于专用取证审计钥内,与取证得到的证据复制盘进行绑定,从而对收集得到的证据予以印证。
(三)邮件信息收集的工作记录
收集工作记录是在电子邮件证据收集与生成过程中,对收集工作中收集主体所实施相关收集行为所做的记载。工作记录可以很好的反映证据现场环境、证据收集主体所实施的相应收集行为。从而,从侧面反映证据的完整性和收集主体收集过程的严密性,继而证明了电子邮件证据的客观合法性。工作记录主要包括:现场取证工作记录,是取证主体在收发邮件现场收集相关证据的收集程序、收集方法以及收集人员的记载;信息解读与传输工作记录,该工作记录主要是针对不具备电子取证设备情形下,对电子载体中的信息传输和解读过程所进行的书面记录;在线取证过程所形成的取证记录,主要是针对非电子取证箱取证时的在线取证记录。
评述:在涉及商业秘密侵权及泄露的案件中,通过电子邮件进行传输商业秘密和无意模式下的电子邮件泄密事件,是比较常见的,所以企业和商业秘密法律保护的服务者要清晰的清楚在涉及电子邮件证据时的取证及调查办法,并有效的组织证据获得更有力的诉讼效力;结合我们本案中的示例说明,将能有效的让读者清晰电子邮件证据的重要几点,当然学术语言较多,
如果您难以理解,或有上述咨询,请发邮件至:diaochabu@0755lvshi.cn
参考文献:
【1】 熊志海.刑事证据研究.法律出版社.2004。
【2】 陈光中.刑事诉讼法(第二版).高等教育出版社,北京大学出版社.2007。
【3】 蒋利和.电子邮件的法律规范浅析.广西社会科学.2004.2。
