電腦鑑識（鑑定）

電腦鑑識 ⁸⁴(Computer Forensics)，又稱數位證據鑑識，一九九一年波特蘭的 電腦國際專家協會（International Association of Computer Investigative Specialists）

中首次提出「電腦鑑識科學」之名詞，其意係指針對網路犯罪案件或與電腦有關

84參閱賴左罕著，「高科技犯罪及電腦鑑識」，二○○四年一月二十七日，刊載於資安人全球資 訊網－網路安全專題聚焦，網址：http://www.isecutech.com.tw/feature/view.asp?fid=155。最後瀏

86

的犯罪案件所產生之現場證據，進行數位證據的採證之研究。實施電腦鑑識的目 的，在於處理電腦有關的數位證據之保留（Preservation）、識別(Identification) 、 粹取（Extraction）、文件化(Documentation), 以確保犯罪現場電腦物證、數位證據 之原貌，與鑑定結果之完整性，使數位證據具備證據能力，提高證明力，作為法 院審理網路犯罪案件之參考依據。目前電腦鑑識的項目主要包括：

I 辨識行為人之身份

網路犯罪行為人為了躲避追查，往往利用跳板或是以他人的身份來掩飾自己 的行蹤，此時遭網路犯罪行為人利用之跳板或身份遭竄用之人，在形式上看起來 是行為人，實際上卻非其所為，此時惟有先透過電腦鑑識的方式，過濾出真正的 行為人後，才能進行後續偵查作為。

II 確認電腦存取紀錄之內容

網路犯罪行為人所使用的電腦中之所有資料，均係人們無法目視之電磁紀 錄，並無法直接提示做為法庭上之證據，因此必須透過電腦鑑識手段予以判讀並 做出鑑識報告後，以該鑑識報告確認電腦內之存取紀錄內容，以做為法庭證據。

以臺灣彰化地方法院審理陳聰宜涉嫌偽造貨幣案件⁸⁵為例，法院為確認電腦內存 取之資料，便委託法務部調查局進行鑑識扣案之電腦主機，經鑑識後發現被告陳 聰宜所有之扣案電腦主機內，所儲存之新臺幣紙幣圖像檔案高達四十幀，同時判 讀出不同時日之掃描儲存時間，並做出鑑識報告提供予院方，承審法官則依據該 鑑識報告認定被告陳聰宜所供述之內容均不實在而判決有罪。

III 確認數位證據之原貌

覽日期：二○○五年七月二十三日。

85參閱臺灣彰化地方法院刑事判決九十二年度訴字第一四五九號判決。

87

電腦鑑識最重要的工作為確認偵查人員所取得之數位證據未被竄改，因為犯 罪行為人一旦對於偵查人員所引用之數位證據提出質疑，法院勢必針對該等證據 進行勘驗，此時只能透過電腦鑑識之方式，針對該數位證據內包括存取紀錄、內 容等等之資料進行比對，惟有經確認未經竄改或修正之數位證據才會為法院所採 用。目前偵查實務中，偵查人員對於刪除後之檔案係使用回復軟體而取得相關證 據；執行搜索扣押時亦多係採用直接操作電腦取得相關證據，而這些取證之操作 作為均會變更原有之存取紀錄而易遭質疑，因此必須藉由電腦鑑識程式確認取得 之數位證據未被竄改，否則其取證程式易遭認定有瑕疵，致取得之數位證據遭排 除其證據力。

事實上，電腦鑑識也屬於傳統刑事鑑識的一環，不過其鑑識程式顯然困難許 多，因為電腦鑑識除了專業人員及人力匱乏外，最大的困難點在於不易保存相關 證據。按傳統刑事鑑識之標的物係人們可以目視或實際接觸的具體物，偵查過程 中或蒐集證據過程中不易遭到偵查人員或其他人破壞證據的原貌；然而，電腦鑑 識之標的物是人們無法實際觸摸到的「電子紀錄」，從外觀上來看均是一台「電 腦」，進行取證的過程中，往往會因不經意的一個操作動作，便破壞了數位證據 之完整性，進而影響其證據能力。甚至執行電腦鑑識的過程中，亦容易因為鑑識 人員的不注意而變更到其原有之紀錄。綜上可知，數位證據的取證過程及電腦鑑 識進行過程，均需要更為完善及可驗證的數位元證物保護方式，以保護鑑識前後 的數位證據不被竄改，才能使得經鑑識分析後的證據更具可信度及法律地位。

然而，縱使經嚴格的程式取得數位元證據並經鑑識完成，究竟能否做為法庭 證據，雖然臺灣彰化地方法院刑事判決九十二年度訴字第一四五九號判決，採用 法務部調查局之鑑識報告做為判決之基礎，但該判決畢竟僅是個案，國內對於數 位證據在法庭上有無證據能力仍欠缺具體的定論。另外，鑑識數位證據過程應符

88

合何種程式，其做出之鑑識報告才能採用為證據，國內亦未有任何規定，以上均 是國內電腦鑑識面臨的瓶頸。反觀美國、美國及部分國家司法系統即已經將數位 證據做為有效的法庭證據⁸⁶，並且紛紛成立國家級的電腦鑑識實驗室及高科技犯 罪的研究中心，並加強偵查人員的專業訓練；英國警察協會（Association of Chief Police Officers）甚至提出電腦物證（數位證據）指導原則（The Good Practice Guide for Computer Based Electronic Evidence）做為數位元證據處理程式，使偵查 人員在蒐證時能有所依循，並且惟有符合該指導原則中所提出四項處理原則之數 位證據在法庭上才具有證據能力⁸⁷。該四項原則分別為：

I 處理刑事案件之警察人員或後其委託之人員，必須確保電腦或數位證據 為犯罪現場原始之狀態，即不得遭受任何內容之修改。（No action taken by law enforcement agencies or their agents should change data held on a computer or storage media which may subsequently be relied upon in cour）

II 在例外情況下，偵查人員如果需要存取原始數位元證據的資料，必須由 有能力處理之人員進行，且對其處理之動作應予說明及與過當解釋證據 的意義。（In exceptional circumstances, where a person finds it necessary to access original data held on a computer or on storage media, that person must be competent to do so and be able to give evidence explaining the relevance and the implications of their actions）

86同前註83。

87參閱網址http://www.4law.co.il/Lea92.htm。轉引至劉嘉明著，電腦鑑識實務，法務部調查局內部 員工訓練課程資料。最後瀏覽日期：二○○五年七月二十三日。

89

III 對於電腦物證的任何稽核資料或其他記錄的處理過程，應建立處理方法 與保留結果。如係委由公正的第三者進行相同的處理程式，其所得結果 應相同。（An audit trail or other record of all processes applied to computer based electronic evidence should be created and preserved。An independent third party should be able to examine those processes and achieve the same result）

IV 案件承辦人必須確保遵守法律的規範及前述處理原則。（The person in charge of the investigation (the case officer) has overall responsibility for ensuring that the law and these principles are adhered to）

反觀我國目前對於電腦鑑識實務，不但欠缺專責的鑑識機構、欠缺蒐證數位 證據之取證準則，甚至連數位證據能否做為法庭上的有放證據均未有明文，顯見 國內電腦鑑識課題之發展仍屬落後。然而，為了因應日趨嚴重的網路犯罪問題，

使偵查人員取得的數位證據具有證據能力與證明力，進而降低網路犯罪率，實應 仿效國外成立國家級之電腦鑑識單位、制定完整的數位元證據處理程式及積極加 強專業人員之訓練，才能使電腦鑑識在網路犯罪偵查發揮功效。

3.2.4 案件執行階段

網路犯罪案件與傳統犯罪案件相同，偵查人員清查過濾人、時、地、物、

事，勾勒出犯罪事實的概況及犯罪嫌疑人的身份，經證據調查程式而初步認定事 證明確後，即應擬定執行計畫，進入案件執行階段。本階段之執行作為亦包括偵 訊、搜索、扣押、逮捕、拘提等，其中在執行搜索扣押部分⁸⁸與傳統犯罪案件執

88參閱宋美雲著，電腦犯罪想像力之搜索、蒐證及詢問等事項，法務部調查局內部員工訓練課程 資料。

90

行搜索扣押部分有所不同，其餘執行作為並無相異，因此本文不擬重覆贅述，僅 針對搜索扣押部分說明如後：