文/广州日报全媒体记者何颖思

　　弄清“作案手法”，让网络软件侵犯隐私无所遁形；锁定证据，让视频盗版不法分子无从抵赖……随着互联网技术的发展，利用信息技术实施违法犯罪的新型案件也不断出现，“电子数据”作为新的证据形式越来越受到重视。有这么一群人，凭借丰富的技术经验和沉着的耐性，在没有任何线索的背景下，从海量电子数据中锁定、固定证据，进行人物画像、可视化分析，帮助执法人员办案。今年初，人社部将“电子数据取证分析师”纳入了职业大典，新职业的确立将有效推进该职业规范化、专业化建设，为维护法律公平公正提供有力科技保障。

　　入行

　　程序员“跨界”考司法鉴定人执业资格

　　在被国家列为新职业之前，电子数据取证和分析服务从业者往往以各种不同的身份工作。“80后”余方是广东中科司法鉴定所的一名从事电子数据鉴证的司法鉴定人。学习计算机专业的余方一开始并没有想过从事这方面的工作。研究生毕业后，他在中国科学院软件研究所从事软件研发和检测。2011年他来到广州，成为广州中国科学院软件应用技术研究所（现更名为广州软件应用技术研究院）的第一批筹建人员之一。2016年，广州中国科学院软件应用技术研究所从中国科学院软件研究所总部引进著名电子数据取证专家丁丽萍研究员，在广州市南沙区成立广州中国科学院软件应用技术研究所电子数据取证实验室，并申办了广东中科司法鉴定所。其后，创办广东中科实数科技有限公司，进行成果转化，形成了一个产学研一体化运行的电子数据取证团队。在支持实验室筹建的工作中，余方开始对电子数据取证产生兴趣。有“华人神探”之称的李昌钰是实验室的名誉主任，曾多次到南沙演讲，“那些用现代科技从蛛丝马迹中寻找证据的故事，很吸引人。”余方说。

　　2018年，余方参加了司法鉴定人执业资格考试，执业范围是声像资料司法鉴定（含电子数据）。余方说，这个考试除了考核电子数据取证领域涉及的声像资料、信息技术等专业知识外，还考核刑法、网络安全法等相关法律法规以及职业规范。因为一直从事计算机相关领域工作，这个考试对余方来说，难点在对相关法律法规的掌握和技术鉴定规范的熟悉上。为此，他一遍遍地背诵相关法律法规，学习相关的视频教程。学习技术鉴定规范时，除了背诵条款，他还通过实操的方式去加深印象。此外，他还要时刻关注行业动态，持续学习最新的法律法规以及专业知识。

　　电子数据取证分析师

　　定义：从事电子数据的收集提取、数据恢复及取证分析的人员。

　　断案

　　曾为摸清嫌疑人作案手法熬了几个通宵

　　“我觉得这个工作很有挑战性，要面对各种新的技术和新型犯罪手法，每个案子都不一样。”余方说，他的工作是对电子数据进行司法鉴定，形成能够直接用于法庭的鉴定报告。在互联网时代，网络传销、网络诈骗、非法手段获取个人隐私信息等新技术新手法层出不穷。储存电子数据的终端也多种多样，比如手机、电脑、无人驾驶车载终端等，甚至有一些专用设备。很多情况下，没有现成的鉴定辅助工具，要靠丰富的信息技术经验和足够的耐心去分析。

　　“司法鉴定中最关键的两步就是提取数据和分析数据。”余方说，在鉴定过程中，需要保证数据的可采用性，即真实性、相关性和合法性。当然，也会遇到各种困难，比如手机有密码，那要想办法绕过去。有时候数据庞大，光提取数据就要一两天的时间。数据提取后，就要根据委托方的需求分析数据。比如涉及传销的案件，需要从聊天记录、数据库记录、程序代码中，分析层级关系、涉案金额等，最终形成鉴定报告。鉴定报告也有统一要求，比如电子数据要打上“哈希码”，相当于数据指纹，确保数据未经修改。

　　让余方印象深刻的是一个鉴定精准推送广告短信的案件。“当时我很好奇，嫌疑人到底是怎么获取受害者的手机号并精准推送兴趣广告的？”余方说，该案件的作案手法十分隐蔽、方式复杂，结合了网页外挂后门、运营商漏洞利用、大数据信息融合等多种技术手段，让受害者在毫不察觉的情况下泄露了手机号以及兴趣偏好，被垃圾广告骚扰。

　　当时，余方和同事们分析了数万行代码，包括涉案系统的服务器源码、数据库、外挂后门代码、第三方接口等，熬了三四个通宵，终于确定了作案手法。静态代码分析后，他们还要搭建相同的运行环境复现整个系统，动态验证这些功能。

　　还有一次，余方的同事需要对56000个涉嫌盗版影视作品的视频进行鉴定，每个作品每一集都要在头、中、尾三个时间点截图五张作为证据。面对如此庞大的数据，余方的同事只花了一周时间，便开发出分析工具，并拿出了鉴定报告。

　　主要工作任务：

　　1.针对各类电子数据的现场及在线提取固定；

　　2.分析基于物理修复或数据特征等的电子数据恢复技术；

　　3.提取分析不同介质和智能终端电子数据；

　　4.提取分析服务器、数据库及公有云电子数据；

　　5.设计建立电子数据取证可视化分析模型；

　　6.分析计算机及其他智能终端应用程序功能。

　　门槛

　　从业者要既懂法律又懂技术

　　“电子数据在2013年才作为新的证据形式被纳入《中华人民共和国刑事诉讼法》《中华人民共和国民事诉讼法》和《中华人民共和国行政诉讼法》。之前，人们了解更多的是法医类、物证类司法鉴定，对电子数据司法鉴定的了解需要一个过程。”余方说，他入行时，只有司法鉴定人执业资格，且电子数据还归为声像资料一类，实际上两者有所交叉，有的电子数据并非声像资料，比如程序源代码、电子文档等。国家把“电子数据取证分析师”纳入职业大典，从业人员有了独立明确的职业，可以更好地规划职业发展。

　　著名电子数据取证专家、中国科学院软件研究所研究员丁丽萍向记者介绍，早在20世纪80年代美国已把电子数据作为证据，产生了“计算机取证”行业。而我国在2000年后才逐渐出现做这一行的人，近几年电子数据取证分析服务逐渐由司法机关延伸至其他行政执法部门和大型企事业单位内审等，相关业务需求成倍增长。

　　“目前人才缺口太大了，全国专业从事电子数据取证工作的公司大概不到10家。既有产品又有技术服务、同时做培训认证的公司就更少了。企业招人进来还是要自己培养，基本没有专业科班出身的人才。”丁丽萍说，从事电子数据取证分析的人才，一方面要懂法律法规，另一方面要懂很全面的技术。但是目前来说，不要说从业人员，就连培训师资都十分紧缺。“在万物互联时代，电子数据无所不在，需要提取的数据可以说一个案子一个样。有的电子数据在心脏起搏器里，有的在走私商船的海图机里。需要从业人员有很强的学习能力，还要懂相关的法律法规、技术规范、标准。”

　　“有了人才，才能推动行业高质量发展。”丁丽萍表示，人社部把“电子数据取证分析师”作为一个职业来培养人才是“很给力的”，她十分关注相关国家职业标准的出台，相关标准出台后便能开展更有针对性的培训。记者了解到，目前行业内也有相关的认证培训，比如中国信息安全测评中心主导推出的“CISP-F”（注册电子数据取证专业人员）技能水平注册考试等，侧重点有所不同。