web whitepaper節(jié)省時間加速調查idml en us zh

1

白皮書

節(jié)省時間，加快調查

增強現場對移動設備數據的訪問

Cellebrite的2015年移動取證行業(yè)趨勢報告顯示，有近80%的受訪者表示遇到后臺研究室工作積壓的問題，近一半的受訪者表示積壓時間超過一個月。

對于缺少關鍵數據的調查案件來說，這樣的等待時間實在太長了。關鍵數據通常能夠提供有關犯罪同謀或嫌疑人罪行的“確鑿證據”，至少也能讓調查人員獲得無法從證人或受害人陳述中獲取的新線索。

即使不存在積壓問題，取證研究室的檢查人員也可能需要加班，對案件進行優(yōu)先排序，以確保調查人員能夠及時獲取證據。此外，還有可能出現的情況就是，研究室檢查人員認為交付時間合理，而調查人員或現場工作人員卻仍然認為時間太長。

其他代價包括較高的人為錯誤風險，因為檢查人員需要處理大量存儲著海量數據的設備。案件可能會因為設備未經過妥善處理而無法偵破，或在證據被分析之前被判決，因此有可能造成處罰較輕。

PAGE

2

如果沒有有關程序問題及其法律基礎的合理培訓和政策，不應在現場、車輛內或工作站內部署任何工具。在現場進行移動設備提取的工作人員應該對所在國家的搜查和扣押法律有著深入了解，包括允許進行無證搜查的特別情況，例如征得同意之后或遇到緊急狀況。

全球各地的研究室都在努力應對移動設備證據激增帶來的挑戰(zhàn)，在那些不斷縮減工具、人員和培訓預算的地區(qū)尤其如此。然而，通過讓現場工作人員進行選擇性提取和基本分析，數字取證研究室可以縮短服務交付時間。此舉可以減輕取證研究室的很大壓力，從而讓專家能夠將重點放在深層次取證提取和分析方面。

這種模式可應用于各種案件中的兩種截然不同的情境：

巡邏和專業(yè)部門可以根據立即可用的移動設備證據，收集新證據，進而偵破非重大案件。應用情境包括相撞調查、搜查逮捕、家庭暴力響應等。

遇到現場搜查、禁止停車、高風險緊急事件以及其他需要快速做出決策的情況時，專業(yè)調查員和巡邏人員可以預覽和并可視化數據，從而獲得可控訴證據。

在兩種情境中，用戶都可以快速將數據范圍縮小到特定的時間段和/或位置，根據大部分法庭的要求離析證據。

收集立即可用的證據

并非所有“關鍵”證據都會被刪除或隱藏在元數據中，因此，無需將所有證據都送到研究室進行深入處理?，F場工作人員可從下列情境中發(fā)現移動證據收集功能的價值：

搜捕

只要有恰當的法律授權（搜查令、搜查同意書或其他不符合法律要求但有據可查的例外情況），調查人員就能在抓捕到嫌犯后查看移動設備數據，此舉將令很多案件從中受益。

執(zhí)法人員可從因駕駛被盜車輛而被攔下的嫌犯那里找到其通過移動設備炫耀罪行或與朋友共謀犯罪的信息。

一個亂涂亂畫的嫌犯的設備中可能包含此前標記位置的圖片，調查人員可據此將嫌犯與各犯罪現場聯系起來。

因破壞行為、行兇搶劫和其他妨害治安行為而被抓捕的多名疑犯可能會通過文字消息策劃犯罪活動，因此會受到更嚴重的處罰。

家暴嫌犯發(fā)送給受害人的文字或即時消息可能會通過道歉或威脅暴露罪行，并會在各方的陳述中去除“他說/她說”的沖突。

對于大多數現場先遣救援人員或專家而言，移動設備扣押和證據收集是他們每日或每周工作的一部分。利用豐富的現場工作經驗和廣泛的與人互動技巧應作為培訓的重要部分。這樣，他們可以提出適當的問題，以便篩選、提取并評估基本的移動設備證據，進而幫助他們做出決策。

相撞調查

移動取證提取軟件讓調查人員能夠在導致重大傷亡的相撞現場提取數據。這樣，調查人員就能完成調查，而司機也無需因設備被拿走調查而等待比清理現場所需時間還要長的時間了。

調查人員可立即審查數據，也可簡單提取一份他們可傳給取證檢查人員進行深入分析的取證副本，具體取決于相撞和潛在犯罪的嚴重程度。

因此，與文字和即時消息、電郵、瀏覽器歷史和通話有關的時間及數據戳可用于研究車輛行車記錄儀、紅燈攝像頭、證人證言和車禍現場照片及測量儀器中的數據，從而明確相撞是如何發(fā)生的以及為何會發(fā)生——不管數據是否會暗示或排除分神駕駛嫌疑。

收集可控訴移動數據

服務搜查令

住宅或企業(yè)搜查令可產生大量的數字媒體，包括筆記本電腦、游戲系統、硬盤、數字攝像頭、閃存驅動器和移動設備。這些數字媒體中所存儲的海量信息意味著調查人員需要想辦法來預覽設備以確定證據是否存在上面，以便只查封包含相關證據的設備。

幾年前開發(fā)的傳統的計算機預覽工具沒辦法與其他媒體同時處理移動設備。添加移動證據預覽功能可確保調查人員能獲得他們所需的全部證據。

收集實時情報

在長期調查毒品或人口販賣、團伙犯罪或有組織犯罪的過程中，情報收集能力可成為了解犯罪組織、其成員的日?；顒蛹捌渌Ｊ降年P鍵。這關乎到行動規(guī)劃，如死盯或多人同時抓捕。

調查人員可憑借恰當的法律權力挖掘毒品情報，分析涉嫌毒品生產商、經銷商或信使的文字消息和通話記錄以查找與販賣有關的內容與活動。

懲教機構內部的緩刑/假釋檢查和肅清也可發(fā)現不僅違反監(jiān)禁條款，還有助于了解“外面”正在進行之活動的數據。

由于很多民眾都非常注重隱私，如果執(zhí)法機構所采用的數據抽取工具可以讓他們僅獲得相關證據，而不訪問隱私數據，那么這家機構將被認為是透明和可以信賴的機構，與那些被認為過度提取、遮遮掩掩的機構形成鮮明對比。

現場移動證據收集工具的有效部署

部署前和部署后的考慮因素

許多組織明明需要開展分工式移動證據收集，但卻因為技術和預算方面的原因無法制定相應方案。為避免“一把抓”現象，需要先進行需求評估，確定優(yōu)先事項，確定如何節(jié)省時間和金錢，甚至列出初始費用。因素包括：

既定地區(qū)或管轄區(qū)的犯罪類型和犯罪率。如果調查人員由于無法快速獲取證據而無法立案，那么他們可能能夠識別那些經常進出監(jiān)獄的慣犯。

定罪、認罪減刑以及完成相關事項所需的時間，也可作為現場方案部署的有用考量標準。使用移動設備邏輯取證提取可以減少工作量，篩選出更有力的證據資格，以確定能否立案，或是需要在后臺研究室進行更加深入的物理提取。通過這種篩選，后臺研究室可以將精力集中刑事案件、需開庭審理案件以及可定罪案件。

目前數字取證研究室的交付時間。每月的移動設備流入量，無論預計會增加或是保持不變，都可以作為一個考量指標。同時針對工作人員進行一次調查，看看他們在知道無需等待數據并能自行進行數據提取的情況下，能否繳獲更多設備。

提取的數據應便于管理報告。因此，各機構需要通過控制用戶訪問提取工具和所收集的數據確保各用戶對自己的行為負責。

確定是否需要在車輛內部署提取工具，或是只需在附屬站點等戰(zhàn)略位置部署，也是極為重要的。因素包括：

目標用途。所有人員都可使用所部署的工具，還是僅限主管和相撞再現者等部分專家使用？

地理位置。巡邏區(qū)或管轄區(qū)的面積和負責人數決定了工作人員返回中央位置進行提取所需的時間。燃油和時間成本也要考慮。

適當的提取工具使用政策應包括遇到技術問題時的處理辦法。警員可根據案件嚴重性、設備證據重要性和時間等具體情況，選擇采取相應行動，例如嘗試不同的工作站，將設備送到后臺研究室。

網絡連接。警用無線電在某些地方可能無法使用，警員需要在線和離線均可工作的可靠解決方案，以便提取和上傳數據。

案件優(yōu)先等級。低優(yōu)先級案件的設備可以在事件之后在工作站進行評估。但是，較高優(yōu)先級事件或對時間敏感的調查工作可能需要在現場進行數據提取。

輪班（包括當前輪班模型）、人員工資、個案調查、燃料與能源、基礎設施、甚至訴訟等運作成本。

目前車輛安裝的移動數據終端可能達不到軟件所需的最低或推薦要求，而升級可能導致成本過高，錯開部署又可能導致所需時間過長。

組織的車輛和/或基礎設施可能沒有足夠的帶寬來將移動設備提取、統計數據和報告上傳到中央取證或情報服務器，為每個人員提供無線卡來移動數據是不切實際的。

組織沒有相關的政策或標準操作程序或準則來規(guī)范數據的傳輸和存儲，而建立可應對法律挑戰(zhàn)和降低風險的有效制度需要時間。

對大量人員進行培訓成本較高，而且時間上也不允許。

但是，部分措施實施起來卻相對容易一些，例如為工作人員提供便攜式存儲設備，方便他們存儲所提取的數據并將數據傳輸到取證研究室。在其他案件中，組織可能會發(fā)現實施局部分工式調查具有更高的成本效益，即在附屬辦公地點安裝固定移動證據提取設備，并在之后根據需要使用大型提取設備。

相對于將移動設備證據傳輸到中央數字取證研究室，這類設備可更有效地進行數據提取。為滿足現場數據提取需求，戰(zhàn)略性部署的便攜式設備能夠比中央研究室人員更及時地做出響應。

無論是部署在附屬辦公場所的解決方案，還是移動設備，通過局域網和/或安全的虛擬專用網絡(VPN)連接網絡都是至關重要的。這樣，工作人員就可以根據需要，與其他人員共享統計數據、報告和原始數據，或發(fā)送到預定義的中央位置，或作為交接班流程的一部分，上傳批處理文件。

現場交流的藝術應包括直接詢問有關是否擁有移動設備，如果有的話，征得搜查同意，包括密碼和相關內容類型。這相當于征得同意搜查住宅或汽車，包括獲得鑰匙或密碼。

培訓和配備人員

對于大多數現場先遣救援人員或專家而言，移動設備扣押和證據收集是他們每日或每周工作的一部分。利用豐富的現場工作經驗和廣泛的與人互動技巧應作為培訓的重要部分。這樣，他們可以提出適當的問題，以便篩選、提取并評估基本的移動設備證據，進而幫助他們做出決策。

因此，數據提取解決方案應該成為警員工作流程和報告流程的一部分。這使得在任何犯罪現場的警員或調查人員能夠獲得與其職責對應的可控訴情報。

一切從培訓開始，而培訓必須讓警員能夠輕松理解相關信息，將培訓內容與他們的日常經驗結合起來，并通過定期進修掌握新知識。無論是實時或錄影形式的在線培訓，都可以幫助組織管理較大規(guī)模的部署。

要讓工作人員避免翻看設備，因為就算征得了同意，其法律效力也會降低，而使用提取軟件能夠提高從相關時間和日期范圍找到關鍵證據的可能性。直觀的提取界面可以減少因疲勞或壓力造成的人為錯誤。

此外，即使能夠證明某個現場解決方案可以減少加班并改善調查人員對各類案件數據的訪問，研究室管理人員可能依然會認為所需調查的手機依舊太多。這表明，現場工具的采用仍然是一個問題，管理人員應采取步驟，看是否還需要有效的培訓，還是因為其他隱藏的問題。

警員可能會抵制，因為他們認為，冗長或復雜的數據收集，會因為設備電力不足，導致不支持基本提取，或出現其他技術問題，這會削弱他們的現場意識，從而有可能影響警員的安全。

適當的提取工具使用政策應包括遇到技術問題時的處理辦法。警員可根據案件嚴重性、設備證據重要性和時間等具體情況，選擇采取相應行動。行動可能包括將設備送到后臺研究室、嘗試不同的工作站、向其他警員或管理人員求助或向研究室工作人員尋求遠程協助，具體由數字取證管理員和監(jiān)管工作人員決定。

領導應認真解決這些問題，因為經常參與移動證據收集的警員能夠更好地應付與移動設備相關的法律和技術挑戰(zhàn)。

要讓工作人員避免翻看設備，因為就算征得了同意，其法律效力也會降低，使用提取軟件能夠提高從相關時間和日期范圍找到關鍵證據的可能性。

此外，當所有人員都至少擁有一些基本的移動設備證據收集技能和工具時，執(zhí)行強制性輪換政策的組織能夠更高效地運行。新到后臺研究室的檢查人員具備基本的技能，從而縮短了提升取證速度所需的時間。這進一步改善了輪換過渡期研究室的服務交付時間。

應對法律和程序挑戰(zhàn)

如果沒有有關程序問題及其法律基礎的合理培訓和政策，不應在現場、車輛內或工作站內部署任何工具。在現場進行移動設備提取的工作人員應該對所在國家的搜查和扣押法律有著深入了解，包括允許進行無證搜查的特別情況，例如征得同意之后或遇到緊急狀況。

現場交流技巧應包括如何征得同意以搜查移動設備，其中包括使用詳細注明搜查內容類型和日期及時間范圍的書面同意書。警員也應該了解獲取搜查令的時間和方式，包括在適用時通過電子或電話手段獲取。

所有工作人員都應該了解需要收集的真正有用的信息。警員不僅需要快速精確地完成提取，而且還需知道獲得數據之后該如何處理。如果無法征得同意，如何獲取足夠理由來申請搜查令？一旦獲得搜查令，需要多少證據才能實施逮捕，或者讓具有明顯不在犯罪現場證據的嫌疑人自由離開？

另一個重要問題就是，如果在搜查某項犯罪證據時發(fā)現了其他犯罪證據時該如何處理。盡管對特定日期和時間范圍和/或內容類型進行搜查可能會降低這種可能性，但是，如果找到了其他犯罪的證據，現場工作人員仍應時刻遵循最佳實踐。

例如，調查人員在交通碰撞后進行文本消息搜查時，可能會找到涉及兒童剝削、販賣毒品或其他罪行的文本消息。在后臺研究室，搜查必須停止，檢查人員需要申請不同的搜查令。而在取證現場，這可能就不是權宜之計了。最好的做法是停止搜查，記錄已找到的針對兩項犯罪的證據，并將設備提交給后臺研究室，申請新搜查令，以便進行深入處理。

最后，提取的數據也應便于管理報告。為此，機構必須確保每個用戶對對自己的行為完全負責。權限管理可幫助管理員控制數據訪問權限，從而維護證據完整性，因此，權限不僅應包括用戶名和密碼控制，還應限制用戶可訪問的內容類型、可進行的提取類型（取決于他們的培訓級別）和其他有關政策的內容。審核和遠程管理應該作為管理任務的一部分。

由于很多民眾都非常注重隱私，如果執(zhí)法機構所采用的數據抽取工具可以讓他們僅獲得相關證據，而不訪問隱私數據，那么這家機構將被認為是透明和可以信賴的機構，與那些被認為過度提取、遮遮掩掩的機構形成鮮明對比。

通過縮短后臺研究服務交付時間來改善公共安全

很少有調查人員會質疑在幾小時內而非幾周內獲取重要證據或情報的價值。通過更相關的信息更有效地推動案件進展，可提高更快結案的可能性，不論是否需要上法庭。

眾多機構在過去的20年左右時間里