企业合规建设中电子数据取证的核心要点丨专业研究

摘要

随着云计算、大数据、人工智能等信息通信技术的快速发展和应用普及，企业的运营活动越来越依赖于电子数据。在进行企业合规建设和反舞弊案件调查时，电子数据取证成为了一个不可或缺的环节。电子数据取证是指利用科学和法律方法对电子设备中的数据进行搜集、分析、保存和报告的过程，以确保这些信息在法律程序中能够作为线索或证据使用。本文将从电子取证的对象、操作流程、核心要点几方面进行阐述，以期帮助企业更好地应对及处置反舞弊调查中的取证难题。

一、电子取证的对象

企业合规调查中的电子数据取证是一个复杂而敏感的过程，它涉及到法律、技术和道德伦理的多个方面。在进行电子数据取证时，企业必须遵守相关的法律规范，并严格按照既定的原则行事，以确保取证过程的合法性、有效性和可靠性。

2012年3月4日,十一届全国人大五次会议表决通过了《中华人民共和国刑事诉讼法》修正案，自此电子数据作为一种新的刑事诉讼证据种类开始在我国司法实践中逐步运用。

2016年9月9日，最高人民法院、最高人民检察院、公安部联合发布了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称“《电子数据若干问题的规定》”），此规定中对电子取证的对象即电子数据的概念及形式作出了列举式说明。电子数据包括但不限于下列信息、电子文件：

（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；

（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；

（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；

（四）文档、图片、音视频、数字证书、计算机程序等电子文件。

简言之，案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据都是电子数据，也是电子取证的对象。

二、电子取证的基本流程

1、准备阶段

实践中，企业往往因一些初期的内部举报或员工异常行为洞察到一些舞弊行为的风险而计划实行专项舞弊调查。如涉及到电子数据的取证调查，那么调查人员必须首先明确调查目标和目的、确定调查的范围，包括需要调查的时间段、相关的个人或组织、以及可能涉及的电子设备和数据类型。

接下来，调查人员需要选择合适的取证工具和技术。这些工具可能包括硬件设备、软件程序和操作系统，它们必须能够支持各种类型的电子设备和文件格式。取证工具的选择应考虑到它们的可靠性、兼容性和易用性。

此外，准备阶段还需要制定应对可能出现的技术和法律问题的策略。这可能包括数据加密、数据损坏、法律许可和隐私保护等问题。尤其需要提醒的是，调查取证人员必须确保整个取证过程符合相关的法律法规，并保护被调查对象的个人隐私权。

2、识别阶段

在识别阶段，调查人员需要确定所有可能包含相关信息的电子设备和存储介质。这可能包括但不限于计算机硬盘、移动设备（如智能手机和平板电脑）、网络存储设备、云服务以及其他可能的数据存储位置（如USB闪存驱动器和SD卡）。

调查人员需要对这些设备和介质进行详细的检查，以确定它们的型号、序列号、存储容量和操作系统版本。这些信息对于后续的取证工作至关重要，因为它们将影响数据采集和分析的方法。

3、保全阶段

在保全阶段，取证人员的首要任务是确保数据不被篡改或破坏。这通常涉及对电子设备和存储介质进行物理隔离，以防止未经授权的访问。调查人员应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离;保护目标计算机系统，及时维持计算机网络运行状态，保护诸如移动硬盘、U盘、打印机等相关电子设备，查看各类设备连接及使用情况，在操作过程中要避免任何更改系统设置、硬件损坏、数据破坏或病毒感染等情况的发生，以免破坏电子证据的客观性或造成证据的丢失。

4、采集阶段

在采集阶段，应当由二名以上调查人员使用专业的取证工具对电子数据进行复制或镜像。收集、提取电子数据，应当制作笔录，记录对象、内容、收集、提取电子数据的时间、地点、方法、过程，并附电子数据清单，注明类别、文件格式、完整性校验值等。复制过程中的每一步都应有详细的记录及采集人员签名，这些记录对于确保取证过程的透明性和可靠性至关重要。注意在此过程中需要进行全程录像并要求有第三方现场见证，以保证电子证据的客观真实性。

5、保管阶段

在保存电子证据的过程中，应当采用科学的保存手段，确保其远离可能损害数据的环境因素，如高温、磁场、灰尘、湿气等。这样做是为了防止电磁介质上的数据遭受损失，从而保护关键的线索和证据不受破坏。例如，在使用装有无线电通信设备的车辆运输电子证据时，应确保关闭车辆内的无线设备，防止其在运行时产生的电磁场对计算机、软盘、磁带等存储介质中的数据造成损害。

6、分析报告阶段

在分析阶段，调查人员对采集到的数据进行详细分析，以识别与调查相关的信息。这可能包括查找删除的文件、隐藏的数据、日志文件、电子邮件、文档以及其他可能的证据。分析过程中，可能需要使用各种技术，例如文件恢复、密码破解、日志分析和关键词搜索，同时注意数据之间的关联性，例如文件的创建时间、修改时间和访问时间，以及文件所有者和权限设置。最后，调查人员将分析结果整理成报告。报告中应详细记录取证过程、使用的工具和技术、数据采集和分析的方法、证据分析及结论。

总之，电子取证的基本流程是一个复杂而详细的过程，它要求取证人员具备专业的技术知识和严谨的工作态度。通过遵循这些步骤，企业调查人员可以确保电子证据的有效性和可靠性，从而在法律诉讼或调查中发挥关键作用。

三、电子取证的核心要点

虽然电子证据取证存在极大的隐蔽性、取证难度大等问题，但企业经营管理中一旦遭遇舞弊行为，带来的后果往往是灾难性的。因此，注意电子取证要点，可以为舞弊人员所涉及的职务侵占、侵犯商业秘密等典型舞弊行为定罪提供强有力的证据支撑。结合实践，企业在电子取证活动中应注意以下几方面核心要点：

1、保证数据的完整性和不可篡改性

由于电子数据的特殊性，电子数据具有易删除、易篡改、易丢失等特性。为确保电子数据的原始性、真实性、合法性，在电子数据的收集时应采用专业的数据复制备份设备将电子数据文件进行备份。在取证过程中，必须采取措施保证数据的完整性和不可篡改性，应使用写保护工具和技术来防止数据在取证过程中被修改。这通常涉及到创建数据的完整性校验值，并在整个取证过程中维护这些校验值。完整性校验值是为了防止电子数据被篡改或破坏，使用散列算法等特定算法对电子数据进行计算得出的用于校验数据完整性的数据值。

2、确保取证过程的透明性和可复现性

取证过程应该是透明的，所有的操作步骤和决策都应该记录在案，以便在必要时可以复查和复现。这包括记录取证人员的身份（包括他们的姓名、职位以及参与取证的具体角色）、取证时间（对于建立证据的时间线和验证证据的时效性至关重要）、使用的工具和方法（取证过程中所采用的方法和步骤、使用的软件版本、硬件设备的型号和序列号）、取得的数据（数据的来源、数据的存储位置、以及任何对数据进行的分析或处理的详细信息）以及任何可能影响证据可靠性的因素。例如，如果取证过程中发生了设备故障或数据丢失，这些情况都应当被详细记录，并且应当说明采取了哪些措施来应对这些问题。

3、严守取证手段的合法性和合理性

电子数据的收集和提取必须遵守法律规定，不能侵犯公民、法人和其他组织的合法权益，取证行为应当在法律授权的范围内进行。当下，我国对信息安全及公民隐私保护日益重视，企业在反舞弊调查的过程中又不可避免地涉及相关人员的个人信息，调查活动的合法性因此也与调查手段的正当与否密不可分。《民法典》规定：“自然人享有隐私权，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的这一权益”；《个人信息保护法》规定，处理个人信息的前提就是“取得个人的同意”。处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。因此，企业在反舞弊调查中，调查人员必须注意调查方式是否合理，尊重舞弊嫌疑人和公司其他员工的个人隐私和人权。

例如，调查人员收集录音、录像等视听资料的，只能收集提取企业配备的电脑、录音笔、办公区域监控等电子设备内容，不得对个人所有的电子设备如私人手机进行扣押收集提取。此外，企业在取证过程中通过合法手段开展的对舞弊者的调查所获取的员工信息资料应妥善保管，企业不得擅自使用、披露在调查过程中接触及获取到的员工隐私信息，企业故意或过失披露员工隐私的，则应当承担侵权责任。

4、最大限度确保取证主体的专业性

对于一般企业合规建设来说，电子取证往往对调查人员的专业性及职业操守性要求极高，有的企业通过IT部门人员辅助调查获取和手机初步的线索，线索虽然无法达到证据的法定性和证明力，但线索却可以为案件办理提供重要的、甚至是关键性的指引。但企业同时应当知晓，法律对于证据做出了更为严格的规定。刑事证据的获取、对象和操作流程都必须由具备资质的第三方机构来完成。为了后期的刑事控告考虑，企业要注意保证所采集的电子数据符合刑事证据标准的要求，因此建议由专业的技术人员或寻求第三方专业机构进行电子数据的采集和分析，审慎地处理线索、严谨地开展电子取证，才能使线索的效用最大化。

结语

随着技术的发展和法律环境的变化，电子取证在企业合规调查中扮演着至关重要的角色。企业需要不断提升电子取证的能力，以应对日益复杂的合规挑战。企业合规调查中的电子数据取证是一个复杂而敏感的过程，在进行电子数据取证时，企业必须遵守相关的法律规范，以确保取证过程的合法性、有效性和可靠性。通过合法、合规的取证活动，企业可以在确保调查的有效性和公正性的同时，避免潜在的法律风险和声誉损害。