Giám Định Dữ Liệu Điện Tử Và Quy Trình Sao Lưu, Phục Hồi, Phân Tích Dữ Liệu Điện Tử

Khi bàn giao tang vật cho chuyên gia phục hồi dữ liệu để sao chép dữ liệu phải làm thủ tục mở niêm phong và niêm phong lại theo quy định của pháp luật. Việc sao chép dữ liệu phải được thực hiện bằng thiết bị chống ghi (Read only), bảo đảm tính nguyên trạng và toàn vẹn của dữ liệu lưu trong tang vật và có sự làm chứng của những người đã ký vào biên bản niêm phong. Việc phục hồi, phân tích, tìm kiếm dữ liệu chỉ thực hiện trên bản sao (dữ liệu trong tang vật không bị tác động và được bảo quản toàn vẹn theo quy định của pháp luật). Đồng thời, kết quả phục hồi, tìm kiếm, giám định phải được chuyển sang dạng có thể đọc được, nghe được hoặc nhìn được, lập biên bản về nội dung dữ liệu điện tử, kèm theo lời khai và xác nhận của người phạm tội, người làm chứng theo đúng quy định của pháp luật.

Các CQTHTT sẽ vận dụng vào Thông tư 10/2012 TTLT-BCA-BQP-BTP- BTT&TT-VKSNDTC-TANDTC ngày 10/9/2012 của liên ngành Trung ương về trình tự, thủ tục thu thập DLĐT để thực hiện. Cụ thể như sau:

1. Đối với máy tính: Không được tắt (shutdown) theo trình tự mà ngắt nguồn cung cấp điện trực tiếp cho thân máy (CPU) hoặc máy tính (đối với máy tính xách tay);

2. Đối với điện thoại di động: Tắt máy, thu giữ cả điện thoại, thẻ nhớ, thẻ sim, bộ sạc điện thoại (nếu có);

3. Đối với phương tiện điện tử khác (camera, máy ảnh, máy ghi âm,…): Tắt thiết bị, thu giữ cả phụ kiện đi kèm (nếu có).

Khi bàn giao cho chuyên gia phục hồi DLĐT, phải làm thủ tục mở niêm phong và niêm phong theo quy định của pháp luật. Để bảo đảm tính nguyên trạng và toàn vẹn của chứng cứ lưu trong vật chứng, việc sao chép dữ liệu để phục hồi, phân tích phải được thực hiện bằng thiết bị “chỉ đọc” (Read only), chỉ thực hiện trên bản sao, không được ghi đè, sửa chữa dữ liệu. Để chuyển hóa thành chứng cứ pháp lý, DLĐT phải được chuyển sang dạng có thể đọc được, nhìn được, nghe được; phải lập biên bản về nội dung dữ liệu điện tử đã phục hồi, phân tích; kèm theo lời khai, xác nhận của người phạm tội, người làm chứng về những thông tin đó. [24].

Việc khám xét, thu giữ vật chứng lưu trữ DLĐT phải đảm bảo các yếu tố:

- Việc khám xét nhà ở, nơi làm việc của đối tượng phải tuân thủ các quy định về tố tụng hình sự và tuân thủ quy trình kỹ thuật tìm, thu giữ các thiết bị kỹ thuật số,

chụp ảnh, vẽ sơ đồ, lập biên bản thu giữ, niêm phong, bảo quản máy tính, các thiết bị nhớ như ổ cứng, USB, đĩa CD, đĩa mềm, MP3, giấy tờ ghi chép có liên quan…[5; tr.288]

- Phải thu giữ kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu giữ. Trường hợp không thể thu giữ phương tiện lưu trữ DLĐT thì sao lưu dữ liệu điện tử đó vào phương tiện điện tử và bảo quản như đối với vật chứng. Khi thu thập, chặn thu, sao lưu DLĐT từ phương tiện điện tử, mạng máy tính, mạng viễn thông hoặc trên đường truyền, phải lập biên bản và đưa vào hồ sơ vụ án. Phương tiện điện tử, DLĐT được bảo quản như vật chứng theo quy định của Bộ luật này.

Có thể bạn quan tâm!

• Chứng cứ điện tử trong tố tụng hình sự từ thực tiễn thành phố Hồ Chí Minh - 2
• Các Đặc Điểm Đặc Thù Riêng Của Chứng Cứ Điện Tử :
• Quy Định Dữ Liệu Điện Tử Là Một Nguồn Của Chứng Cứ
• Thực Tiễn Áp Dụng Quy Định Pháp Luật Tố Tụng Hình Sự Việt Nam Về Chứng Cứ Điện Tử Tại Thành Phố Hồ Chí Minh
• Tin Báo, Tố Giác Tội Phạm Liên Quan Đến Tội Phạm Sử Dụng Công Nghệ - Điện Tử Giai Đoạn Năm 2015 - 2019.
• Về Điều Kiện Cơ Sở Vật Chất, Năng Lực Và Sự Phối Kết Hợp Với Các Cơ Quan, Tổ Chức Trong Hoạt Động Kiểm Tra, Đánh Giá Ccđt:

Xem toàn bộ 87 trang tài liệu này.

- Khi nhận được quyết định trưng cầu giám định, cá nhân, tổ chức có trách nhiệm thực hiện giám định, phục hồi, tìm kiếm DLĐT theo quy định của BLTTHS 2015. Việc phục hồi, tìm kiếm, giám định DLĐT chỉ được thực hiện trên bản san; kết quả phục hồi, tìm kiếm, giám định phải được chuyển sang dạng có thể đọc được, nghe được hoặc nhìn được. Khi xuất trình chứng cứ là DLĐT phải kèm theo phương tiện lưu trữ dữ liệu hoặc bản sao DLĐT.

- Dữ liệu và chứng cứ trực tiếp, quan trọng phần lớn được lưu trong máy tính, email, điện thoại di động và các thiết bị lưu trữ của đối tượng và trong hầu hết các vụ án xâm phạm an ninh mạng, chỉ có thể tiếp cận dữ liệu này khi phá án. Do vậy, khi chưa có đủ căn cứ để khởi tố bị can, cần cân nhắc một số chiến thuật như khám xét khẩn cấp, để thu máy tính, các thiết bị kỹ thuật số, email…để đối tượng không có đủ thời gian hủy chứng cứ.

- Việc khám xét cần lưu ý đến các địa điểm có máy tính và thiết bị lưu trữ của đối tượng ngòa nơi ở có hộ khẩu, nơi ở khác, nơi làm việc.

- Việc tạm giữ đồ vật, tài liệu khi khám xét cần lưu ý thu hết thiết bị, vật chứng liên quan, niêm phong, bảo quản đúng quy định, đúng kỹ thuật và lập biên bản đầy đủ để có căn cứ chuyển cho cơ quan giám định, phục hồi DLĐT.[5, tr.299]

Thu thập, thu giữ phương tiện điện tử, DLĐT là hoạt động đầu tiên đặc biệt quan trọng của quá trình chứng minh trong vụ án hình sự liên quan đến tội phạm công nghệ cao. Để tái tạo lại những tình tiết của vụ án đã xảy ra trước đó đòi hỏi các CQTHTT phải thu thập được đầy đủ những thông tin về vụ việc phạm tội. Kết quả

của hoạt động thu thập, thu giữ phương tiện điện tử, DLĐT có ảnh hưởng rất lớn đến toàn bộ quá trình giải quyết vụ án. Số lượng, chất lượng các CCĐT thu thập, thu giữ được sẽ tạo điều kiện thuận lợi hoặc ngược lại sẽ gây khó khăn cho các CQTHTT trong việc chứng minh tội phạm. Vì vậy, các CQTHTT đặc biệt quan tâm đến hoạt động này.

Điều 107 BLTTHS 2015 quy định cụ thể trình tự, thủ tục thu thập, phục hồi DLĐT nhằm bảo đảm tính khách quan, tính nguyên trạng và tính có thể kiểm chứng của loại chứng cứ đặc thù này : Phương tiện điện tử phải được thu giữ kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu giữ. Việc niêm phong, mở niêm phong được tiến hành theo quy định của pháp luật.

Trường hợp không thể thu giữ phương tiện lưu trữ DLĐT thì CQTHTT sao lưu dữ liệu điện tử đó vào phương tiện điện tử và bảo quản như đối với vật chứng, đồng thời yêu cầu cơ quan, tổ chức, cá nhân liên quan lưu trữ, bảo toàn nguyên vẹn DLĐT mà CQTHTT đã sao lưu và cơ quan, tổ chức, cá nhân này phải chịu trách nhiệm trước pháp luật.

2.3.3. Các giai đoạn thu dữ liệu điện tử:

Nguồn DLĐT có thể thu trong hai giai đoạn:

2.3.3.1. Giai đoạn trước khởi tố:

Công tác trình sát tìm, thu thập, thu giữ dữ liệu trên mạng, lưu trữ trong máy chủ của ISP, ngân hàng, nhà mạng, cổng thanh toán điện tử…, chặn thu giữ liệu trên đường truyền. Dữ liệu thu trước khi khởi tố vụ án phải được chuyển hóa thành chứng cứ bằng các biện pháp tố tụng đã được quy định trong BLTTHS 2015.

Phương pháp chuyển hóa DLĐT thu được trong giai đoạn trước khởi tố được thực hiện như sau:

+ In DLĐT ra giấy, in ảnh, ghi video clip vào đĩa quang để chuyển sang dạng đọc được, nhìn được, nghe được.

+ Lập biên bản, lấy lời khai về hành vi tạo ra dữ liệu này, nguồn gốc dữ liệu; tự khai về dữ liệu, chứng cứ đã tìm thấy, ký xác nhận vào từng tờ tài liệu, ảnh, đĩa quang, in ra từ máy tính của đối tượng, làm bút lục;

+ Sử dụng “Bản kết luận giám định” về DLĐT lưu trữ trong các thiết bị điện tử;

+ DLĐT được sử dụng là một nguồn chứng cứ, phải được củng cố thêm bằng chứng cứ khác liên quan như vật chứng, lời khai của người làm chứng để tăng giá trị pháp lý.

2.3.3.2. Giai đoạn sau khi khởi tố:

Bắt, khám xét khẩn cấp, bắt quả tang, thu máy tính, điện thoại, USB, đĩa CD/VCD, thư điện tử, tài khoản trên mạng, mật mã và các biện pháp điều tra đặc biệt.

DLĐT liên quan đến vụ án hình sự không chỉ được lưu trên thiết bị số của thủ phạm, của nạn nhân, mà còn được lưu trên máy chủ của bên thứ ba là các ngân hàng, nhà mạng, ISP, đơn vị chấp nhận thẻ, công ty bán hàng trên mạng, cổng thanh toán điện tử…Vì vậy, cần phải có quy định về việc lưu trữ và cung cấp DLĐT cho cơ quan thi hành pháp luật đối với các nhà cung cấp dịch vụ internet, chủ máy tính, cơ sở dữ liệu, cụ thể:

+ Phải bảo quản, lưu trữ toàn vẹn dữ liệu được khởi tạo, truyền tải trong một khoảng thời gian cần thiết (tối thiểu là 90 ngày đến 6 tháng) trên máy chủ để cơ quan có thẩm quyền tìm kiếm và thu giữ;

+ Khi có yêu cầu của cơ quan pháp luật, bên thứ ba như ISP, chủ máy tính, webside…phải lưu giữ lại dữ liệu, không để bị sửa đổi, phá hủy, để bảo đảm giá trị chứng cứ của dữ liệu và khi có yêu cầu phải cung cấp dữ liệu dưới dạng hữu hình: đọc được, nghe được, nhìn thấy được;

+ Cơ quan thi hành pháp luật có quyền truy cập vào cơ sở dữ liệu, thu chứng cứ.

2.3.4. Phương pháp, công nghệ thu dữ liệu điện tử.

Việc thu giữ DLĐT có thể được tiến hành bằng nhiều phương pháp, công nghệ khác nhau, tùy thuộc vào phương tiện điện tử đang lưu giữ CCĐT, cụ thể:

+ Thu dữ liệu đang lưu trên mạng (máy chủ): yêu cầu các ISP, ngân hàng, nhà mạng, chủ sở hữu webside, cơ sở dữ liệu cung cấp dữ liệu, dấu vết điện tử đang lưu trên máy chủ: logfile, IP, bài viết, ảnh, video, chat, siêu dữ liệu, mã độc, tên miền, tài khoản trên mạng, mật mã, thông tin tài khoản ngân hàng, thư điện tử, nickname, thông tin các cuộc gọi điện thoại, tin nhắn…

+ Chặn thu dữ liệu trên đường truyền (giữa máy chủ - máy chủ, máy tính cá nhân

– máy chủ, dữ liệu truyền bằng ADSL, 3G, vệ tinh) và giải mã dữ liệu đã mã hóa.

+ Trong quá trình khám xét và thu giữ vật chứng phải bảo đảm an toàn và giá trị pháp lý đối với dữ liệu điện tử: tìm, thu thiết bị kỹ thuật số, chụp ảnh, vẽ sơ đồ, lập biên bản, niêm phong, bảo quản máy tính, ổ cứng, USB, đĩa CD, điện thoại, video, camera; sao lưu dữ liệu trên DDRAM và phục hồi, phân tích, tìm kiếm dữ liệu.[5, tr.231]

+ Dữ liệu có thể là chứng cứ trực tiếp và gián tiếp: Cung cấp cho Tòa án dữ liệu và đường dẫn (nguồn gốc) của dữ liệu ở dạng được pháp luật quy định làm chứng cứ.

2.3.5. Giám định dữ liệu điện tử và quy trình sao lưu, phục hồi, phân tích dữ liệu điện tử

Giám định tư pháp là việc người giám định sử dụng kiến thức, phương tiện, phương pháp khoa học, kỹ thuật nghiệp vụ để kết luận về chuyên môn những vấn đề có liên quan đến hoạt động khởi tố, điều tra, truy tố, xét xử và thi hành án hình sự, giải quyết vụ việc dân sự, vụ án hành chính theo trưng cầu của cơ quan có thẩm quyền tiến hành tố tụng, người có thẩm quyền tiến hành tố tụng hoặc theo yêu cầu của người yêu cầu giám định nhằm phục vụ cho việc giải quyết vụ án.

Điều 107 BLTTHS 2015 quy định về thủ tục tố tụng về hoạt động giám định, phục hồi, tìm kiếm DLĐT và về kết quả phục hồi, tìm kiếm DLĐT và về kết quả phục hồi, tìm kiếm, giám định phải được chuyển sang dạng có thể đọc được, nghe được, nhìn được.

Hoạt động giám định DLĐT do giám định viên tư pháp sử dụng thiết bị, công nghệ phù hợp thực hiện việc sao chép, phục hồi, giải mã, phân tích và tìm kiếm dữ liệu lưu trong tang vật là các thiết bị lưu trữ.

Hoạt động giám định DLĐT gồm hai loại:

- Loại thứ nhất: Giám định tư pháp so sánh giữa “file dữ liệu lưu trong tang vật” và “file dữ liệu so sánh” để tìm nguồn gốc, truy nguyên đồng nhất. Căn cứ để giám định có thể dựa vào đặc điểm của DLĐT có logfile, siêu dữ liệu và giá trị chuyên biệt (hàm Hash) để truy nguyên đồng nhất, tìm nguồn gốc, dấu vân tay…Tuy nhiên, hàm Hash sẽ thay đổi khi file dữ liệu đó có bất kỳ sự thay đổi nào,

dù chỉ là một bit, nên các file dữ liệu sau khi được sao chép, lưu trữ, truyền tải hầu hết có số Hash khác, không thể truy nguyên đồng nhất.

- Loại thứ hai: Phần lớn hoạt động thu thập, phục hồi, phân tích dữ liệu gồm: chặn thu giữ liệu đang truyền tải trên mạng, tìm kiếm dữ liệu đang lưu, tồn tại trong thiết bị lưu trữ trên mạng hoặc trong máy chủ, trong thiết bị kỹ thuật số của cá nhân là để tìm dữ liệu làm chứng cứ. Đây không phải là hoạt động so sánh, truy nguyên đồng nhất, tìm nguồn gốc vì không có file dữ liệu để so sánh. Kết quả của hoạt động này chỉ là tìm kiếm được dữ liệu có nội dung liên quan đến hành vi phạm tội, thủ phạm, nạn nhân hoặc thiệt hại.

Quá trình phục hồi, tìm, thu thập, phân tích, giám định dữ liệu đang tồn tại trong bộ nhớ kỹ thuật số luôn phải có sự phối hợp với cán bộ trinh sát, điều tra vụ án, xác định dữ liệu nào có giá trị để sử dụng thành chứng cứ (có chữ ký của đối tượng tạo dữ liệu và người tham gia tố tụng). [5, tr.232 - 233]

2.4. Kiểm tra, đánh giá, bảo quản phương tiện điện tử, dữ liệu điện tử là chứng cứ điện tử

2.4.1. Kiểm tra chứng cứ điện tử

Kiểm tra CCĐT là hoạt động của ĐTV, KSV, Thẩm phán và Hội thẩm, được tiến hành nhằm xác định một cách thận trọng, toàn diện, khách quan tính chính xác của những thông tin thực tế và đáng tin cậy của những DLĐT đã được thu thập để xác lập một cách đúng đắn mọi tình tiết của vụ án hình sự.

Tất cả các DLĐT, phương tiện điện tử đã được thu thập chỉ có thể trở thành cơ sở cho các Quyết định, Kết luận của CQĐT, VKS và Tòa án về vụ án hay các tình tiết cụ thể của nó sau khi được kiểm tra một cách khách quan, có căn cứ và tỷ mỷ, thận trọng. Hoạt động kiểm tra CCĐT thực chất là rà soát lại toàn bộ quá trình thu giữ, giám định, phục hồi DLĐT; kiểm tra tính hợp pháp của các quá trình này và phải tuân thủ các phương pháp:

- Phân tích nội dung của từng CCĐT riêng biệt để xác định các thuộc tính của CCĐT và tính chân lý khách quan của các chứng cứ này; xác định mức độ tin cậy của CCĐT đã thu thập;

- So sánh, đối chiếu CCĐT cần kiểm tra với các CCĐT khác đã được thu thập, kiểm tra xem chúng có phù hợp với nhau và với thực tế khách quan hay không;

- Thu thập, tìm thêm, bổ sung các CCĐT mới để làm rò thêm và xác định rò mức độ chính xác và đầy đủ của CCĐT cần kiểm tra.

Các đối tượng phạm tội trong lĩnh vực công nghệ cao thường có trình độ hiểu biết nhất định, trong đó có nhiều trường hợp trước, trong và sau khi thực hiện hành vi phạm tội thì đối tượng phạm tội đã tính toán rất kỹ để hòng che mắt CQĐT bằng việc tạo ra các chứng cứ giả, dựng hiện trường giả. Vì vậy, để xác định được CCĐT là căn cứ để giải quyết vụ án thì việc kiểm tra các CCĐT đã thu thập được là vô cùng quan trọng.

Kiểm tra CCĐT được tiến hành ở tất cả các giai đoạn trong quá trình chứng minh vụ án hình sự, mà chủ thể của các giai đoạn này là ĐTV, KSV, Thẩm phán, Hội thẩm nhân dân và một số chủ thể khác được giao nhiệm vụ tiến hành điều tra trong những trường hợp do luật định. Khi kiểm tra CCĐT, các chủ thể có thẩm quyền có trách nhiệm không chỉ kiểm tra các thông tin thực tế đã thu thập mà phải kiểm tra cả nguồn của chúng; không chỉ kiểm tra từng CCĐT một cách riêng lẻ mà phải kiểm tra trong tổng thể các CCĐT đã thu thập được, trong mối quan hệ giữa các CCĐT đã thu thập được với các CCĐT khác đã có trong vụ án hình sự để xác định chứng cứ là các DLĐT có phù hợp thực tế hay không, có liên quan đến vấn đề cần xác minh trong vụ án hay không; giữa các chứng cứ phù hợp hay mâu thuẫn nhau. Từ đó, có phương án sử dụng chứng cứ trong quá trình chứng minh vụ án hình sự; có cơ sở để quyết định việc tiếp tục điều tra bổ sung, nhằm thu thập thêm CCĐT mới; hoặc cũng có thể là cơ sở để phủ định, xác lập hay buộc tội phải có một lập luận, một cơ sở để giải thích cho sự không phù hợp hoặc mâu thuẫn giữa các CCĐT.

Trong quá trình tiến hành tố tụng, dù đã thu thập được các CCĐT nhưng có thể còn có CCĐT nào đó bị nghi ngờ về tính chính xác, không đảm bảo độ tin cậy để chứng minh các tình tiết trong vụ án. Vì vậy, khi kiểm tra CCĐT, các CQTHTT phải phát hiện, tìm thêm những chứng cứ mới trong vụ án để củng cố, khẳng định tính đúng đắn của chứng cứ đã thu thập hoặc ngược lại, thông qua nội dung thông tin từ CCĐT mới mà bác bỏ, phủ định CCĐT cũ không phù hợp.

2.4.2. Đánh giá chứng cứ điện tử.

Đánh giá CCĐT là giai đoạn phức tạp của quá trình chứng minh, là hoạt động tư duy của chủ thể tiến hành tố tụng theo quy định của BLTTHS 2015 và các chủ thể khác có liên quan tiến hành xem xét, kiểm tra các CCĐT đã thu thập được để xác định tính hợp pháp, tính khách quan và tính liên quan của CCĐT, qua đó làm rò có sự việc phạm tội xảy ra hay không, ai là người thực hiện hành vi phạm tội cũng như giải quyết đúng đắn vụ án hình sự.

Đánh giá CCĐT là kết quả của việc kiểm tra CCĐT để thừa nhận sự tồn tại hay không tồn tại của sự kiện, tình tiết do CCĐT xác định. Đánh giá CCĐT được các CQTHTT và NTHTT tiến hành liên tục, xuyên suốt trong quá trình chứng minh vụ án hình sự, nhằm sử dụng kết quả đánh giá vào từng giai đoạn khác nhau trong quá trình nhận thức khách quan, từ đó đưa ra kết luận về tính xác thực hoặc không xác thực của chứng cứ, tính hợp pháp hoặc không hợp pháp, tính liên quan hoặc không liên quan của CCĐT.

Mỗi CCĐT thu thập được trong vụ án cần phải được đánh giá theo hai phương pháp: đánh giá từng CCĐT riêng biệt và đánh giá tổng thể các CCĐT. Việc đánh giá CCĐT gồm hai nội dung là phân tích CCĐT và tổng hợp CCĐT.

Phân tích CCĐT: là phân chia toàn bộ CCĐT đã thu thập được trong vụ án thành các CCĐT riêng lẻ, phân biệt CCĐT này với CCĐT khác, phân chia từng CCĐT riêng lẻ thành bộ phận cấu thành của nó, chọn ra trong đó các sự kiện khẳng định, đặc điểm riêng; đối chiếu so sánh các yếu tố riêng rẻ của từng CCĐT với nhau và của CCĐT này với CCĐT khác.

Tổng hợp CCĐT: là thu nhận (rút ra) kết luận từ các chứng cứ đã thu thập được về vụ án, từ việc xác định trên cơ sở của tất cả các chứng cứ, các sự kiện và các tình tiết của vụ án đang được điều tra, giải quyết.

Trong tất cả các CCĐT đã thu thập được ở giai đoạn chứng minh trong vụ án hình sự ở nước ta, mỗi chứng cứ đều có những đặc tính riêng. Vì vậy, khi sử dụng CCĐT vào quá trình chứng minh đòi hỏi phải có sự xem xét, đánh giá sự phù hợp của CCĐT đã thu thập đối với những vấn đề, tình tiết cần phải chứng minh [14, tr. 29].

Xem tất cả 87 trang.