Tác giả: Mục lục bài viết
1. Nguồn chứng cứ là dữ liệu điện tử
Có thể thấy tình hình tội phạm nói chung và tội phạm công nghệ thông tin nói riêng hiện nay đang diễn biến phức tạp, hành vi thủ đoạn ngày càng tinh vi. Các loại tội phạm thông thường cũng sử dụng các phương tiện điện tử để thực hiện hành vi phạm tội. Chính vì vậy BLTTHS 2015 đã bổ sung “dữ liệu điện tử” là một nguồn chứng cứ hoàn toàn mới và có giá trị như các nguồn chứng cứ khác để làm cơ sở xác định hành vi phạm tội và xử lý tội phạm. Hơn nữa, quy định này cũng hoàn toàn phù hợp với các công ước quốc tế và pháp luật Việt Nam.
BLTTHS 2015 đã dành riêng Điều 99 để định nghĩa về dữ liệu điện tử, về các nguồn chứa dữ liệu điện tử và yêu cầu về giá trị chứng cứ của dữ liệu điện tử cũng như Điều 107 để quy định về thu thập phương tiện điện tử, dữ liệu điện tử.
2. Điều kiện để dữ liệu điện tử được sử dụng làm chứng cứ
Để có thể được sử dụng làm chứng cứ thì nguồn chứng cứ là dữ liệu điện tử cần có đủ ba thuộc tính:
Thứ nhất là tính khách quan, dữ liệu này phải có thật, tồn tại khách quan, có nguồn gốc rõ ràng, duy trì được tính toàn vẹn, không bị làm cho sai lệch, biến dạng, đã được tìm thấy và được lưu trữ trong chính khuôn dạng mà nó được khởi tạo, gửi, nhận hoặc trong khuôn dạng cho phép thể hiện chính xác nội dung dữ liệu đó hoặc được lưu trữ theo một cách thức nhất định cho phép xác định nguồn gốc khởi tạo, nơi đến, ngày giờ gửi hoặc nhận thông điệp dữ liệu.
Thứ hai là tính hợp pháp, Dữ liệu điện tử phải được thu thập kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu giữ. Khi thu thập, chặn thu, sao lưu dữ liệu điện tử từ phương tiện điện tử, mạng máy tính, mạng viễn thông hoặc trên đường truyền, cơ quan có thẩm quyền tiến hành tố tụng tiến hành phải lập biên bản và đưa vào hồ sơ vụ án.
Thứ ba là tính liên quan, dữ liệu điện tử thu được phải có liên quan đến hành vi phạm tội, được sử dụng để xác định các tình tiết của vụ án.
3. Thu thập, thu giữ chứng cứ là dữ liệu điện tử
BLTTHS 2015 đã mở rộng thẩm quyền cho phép người tham gia tố tụng và người bào chữa được quyền thu thập chứng cứ thông qua quyền gặp người mà mình bào chữa, bị hại, người làm chứng và những người khác biết về vụ án để hỏi, nghe họ trình bày về những vấn đề liên quan đến vụ án. Chính vì vậy Cơ quan có thẩm quyền tiến hành tố tụng và những người tham gia tố tụng khác, cơ quan, tổ chức hoặc bất cứ cá nhân nào đều có thể thu thập dữ liệu điện tử để phục vụ cho quá trình chứng minh vụ án.
Sau khi thu thập được nguồn chứng cứ là dữ liệu điện tử thì cơ quan có thẩm quyền tiến hành tố tụng ra quyết định trưng cầu giám định. Khi đó thì cá nhân, tổ chức có trách nhiệm thực hiện việc phục hồi, tìm kiếm, giám định dữ liệu điện tử nhưng không phải bằng cách nào cũng được mà chỉ được thực hiện trên bản sao; kết quả phục hồi, tìm kiếm, giám định phải chuyển sang dạng có thể đọc, nghe, hoặc nhìn được như in dữ liệu điện tử ra giấy (dạng doc, pdf,ppt…), in ảnh, in video clip vào đĩa quang, USB, ổ cứng... Việc giám định dữ liệu điện tử là một hoạt động giám định tư pháp, được điều chỉnh bởi Luật Giám định tư pháp 2012. Đây là việc sử dụng kiến thức, phương tiện, phương pháp khoa học, kỹ thuật nghiệp vụ để kết luận chuyên môn về những vấn đề có liên quan đến vụ án hình sự, hành chính, vụ việc dân sự, do người giám định tư pháp thực hiện theo trưng cầu của cơ quan tiến hành tố tụng, phục vụ cho việc giải quyết các vụ án. Tuy nhiên, đến nay chỉ mới có các giám định viên được bổ nhiệm trong lĩnh vực pháp y, pháp y tâm thần, kỹ thuật hình sự, tài chính, ngân hàng, xây dựng, cổ vật, di vật, bản quyền tác giả…nhưng chưa có giám định viên về lĩnh vực dữ liệu điện tử. Hơn nữa, để giám định dữ liệu điện tử cần phải có thiết bị, công nghệ phù hợp, được pháp luật công nhận để tiến hành giám định.
4. Bảo quản chứng cứ là dữ liệu điện tử
BLTTHS 2015 quy định phương tiện điện tử, dữ liệu điện tử được bảo quản như vật chứng. Căn cứ vào Điều 107 và Điều 196 BLTTHS, hai điều luật quy định về thu thập và thu giữ phương tiện điện tử, dữ liệu điện tử thì: Phương tiện điện tử phải được thu giữ kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu giữ. Việc niêm phong, mở niêm phong được tiến hành theo quy định của pháp luật. Trường hợp không thể thu giữ phương tiện lưu trữ dữ liệu điện tử thì cơ quan có thẩm quyền tiến hành tố tụng sao lưu dữ liệu điện tử đó vào phương tiện điện tử và bảo quản như đối với vật chứng, đồng thời yêu cầu cơ quan, tổ chức, cá nhân liên quan lưu trữ, bảo toàn nguyên vẹn dữ liệu điện tử mà cơ quan có thẩm quyền tiến hành tố tụng đã sao lưu và cơ quan, tổ chức, cá nhân này phải chịu trách nhiệm trước pháp luật.. Phương tiện điện tử, dữ liệu điện tử được bảo quản như vật chứng theo quy định của Bộ luật này. Khi xuất trình chứng cứ là dữ liệu điện tử phải kèm theo phương tiện lưu trữ dữ liệu hoặc bản sao dữ liệu điện tử.
Về thu giữ phương tiện điện tử, dữ liệu điện tử thì: việc thu giữ phương tiện điện tử, dữ liệu điện tử do người có thẩm quyền tiến hành tố tụng thực hiện và có thể mời người có chuyên môn liên quan tham gia. Trường hợp không thể thu giữ được thì phải sao lưu vào phương tiện lưu trữ và thu giữ như đối với vật chứng. Khi thu giữ các phương tiện điện tử có thể thu thiết bị ngoại vi kèm theo và các tài liệu có liên quan..
Nhìn chung những quy định về việc bảo quản phương tiện điện tử, phương tiện lưu trữ dữ liệu điện tử chứa nguồn chứng cứ là dữ liệu điện tử được quy định khá đầy đủ, tạo cơ sở pháp lý để cơ quan tiến hành tố tụng ra những quyết định phù hợp, đồng thời cũng thể hiện được tính chất quan trọng của hoạt động này trong quá trình chứng minh vụ án hình sự.
5. Khó khăn trong thu thập, bảo quản, phục hồi, phân tích, giám định dữ liệu điện tử
- Hành vi phạm tội trong lĩnh vực công nghệ thông tin, mạng viễn thông thường không bị phát hiện ngay sau khi gây án, thậm chí cơ sở dữ liệu bị tấn công, lấy cắp diện rộng, trong thời gian rất dài mà không bị phát hiện như vụ APT30, vụ VCCorp, vụ Snowden, dẫn đến không có biện pháp kịp thời tổ chức công tác điều tra như tìm, bảo quản và thu thập dấu vết điện tử về vụ tấn công mạng.
+ Vụ APT30: nhóm hacker có tên APT30 đặt tại Trung Quốc thực hiện nhiều đợt tấn công nhằm vào khu vực Đông Nam Á và Ấn Độ, trong đó có Việt Nam. APT30 không tập trung vào việc đánh cắp các tài sản trí tuệ có giá trị hoặc công nghệ tiên tiến của các doanh nghiệp mà tập trung vào những thông tin chính trị, kinh tế, quân sự, các vùng đất tranh chấp...
+ Vụ VCCorp: Sáng 18/10/2-14 nhiều website do VCCorp vận hành như Dân Trí, VTV.VN, SUCKHOEDOISONG.VN, GIADINH.NET.VN, KENH14.VN... vẫn gặp phải sự cố không truy cập được.
Ngày 13/10, sự cố tương tự kéo dài hơn 24 giờ mới tạm khắc phục được một phần. Cụ thể, hệ thống trang web do VCCorp phụ trách dữ liệu và kỹ thuật, bao gồm những website được nhiều người biết đến như Dân trí, Kênh 14, Vneconomy, CafeF, Người lao động và trang web bán hàng như Muachung… đều không thể truy cập được và thông báo “lỗi bảo trì hệ thống”, “505 – service unavailable”…. Cùng lúc, hệ thống quảng cáo Google Adsense mà bộ phận quảng cáo Admicro đặt trên các website hợp tác cũng không còn xuất hiện.
Phó Tổng giám đốc VCCorp cho biết, sau 2 ngày gặp sự cố kỹ thuật khiến hàng chục website và báo điện tử ngừng hoạt động, ước tính số tiền VCCorp bị mất là vào khoảng 5 tỷ đồng, bao gồm tất cả các loại doanh thu như quảng cáo, thương mại điện tử…
- Phần lớn nạn nhân không có kiến thức về bảo quản và thu thập dấu vết điện tử phục vụ công tác điều tra, nên thường có hành vi làm ảnh hưởng đến sự toàn vẹn của dữ liệu (làm mất dấu vết điện tử chứng minh về thủ phạm và hành vi tấn công) như mở máy, tự kiểm tra máy, nhờ người không có chuyên môn kiểm tra, để lây nhiễm virus...
- Phần lớn tổ chức và cá nhân là nạn nhân có nhu cầu phải gấp rút khôi phục lại hoạt động của máy tính, hệ thống mạng, nên đã nhanh chóng format lại ổ cứng của máy tính, hệ thống máy chủ bị tấn công (mail server, firewall, application server...) để xóa mã độc, dựng lại hệ thống mạng, nhưng đồng thời xóa hết dấu vết điện tử về thủ phạm và nguồn gốc tấn công (logfile, IP, dấu vết máy tấn công, dấu vết lấy cắp dữ liệu, mã độc đã bị cài vào hệ thống, tên miền hoặc thư điện tử nhận dữ liệu lấy cắp...).
- Nhiều trường hợp, chứng cứ về hành vi phạm tội, nạn nhân, thiệt hại... chỉ tồn tại ở dạng dữ liệu điện tử trên môi trường mạng, lưu trữ trên máy chủ ở nước ngoài, sau một thời gian nhất định sẽ tự động xóa theo lập trình của hệ thống. Khi có nguy cơ bị lộ, người quản trị chỉ cần vài phút là có thể xóa hết dữ liệu này. Các ISP nước ngoài, thậm chí cả nạn nhân (như ngân hàng, công ty bán hàng qua mạng) chỉ cung cấp thông tin, khi có lệnh (Search Warent) của Tòa án nước sở tại.
- Nhiều dữ liệu chỉ tồn tại một lần, phải chặn thu trên đường truyền (sử dụng Proxy gửi dữ liệu lên dịch vụ lưu trữ ở nước ngoài, gọi điện thoại VoIP, dịch vụ OTT, cá độ, mua hàng trên mạng...), dữ liệu về hành vi tấn công mạng, nạn nhân, thiệt hại lưu trên máy chủ ở nước ngoài... chỉ có thể thu thập được trong giai đoạn trinh sát ban đầu. Vì các đối tượng nắm quyền quản trị, nên khi khởi tố vụ án, thông tin bị lộ, lập tức xóa hết cơ sở dữ liệu đang lưu trên máy chủ ở nước ngoài. Lúc đó, Điều tra viên chỉ có thể sử dụng dữ liệu điện tử đã thu trong giai đoạn trinh sát và chuyển hóa thành chứng cứ theo thủ tục tố tụng hình sự.
- Một nguồn dữ liệu quan trọng là máy tính, USB, điện thoại di động, email... của đối tượng. Tuy nhiên, nếu không bảo đảm được tính bí mật và đồng loạt phá án thì đối tượng chỉ cần vài phút là có thể dễ dàng xóa dữ liệu, tiêu hủy hết tang vật, chứng cứ trước khi khám xét.
- Dữ liệu điện tử, chứng cứ có liên quan đến hành vi phạm tội và đối tượng gây án thường được lưu trên máy chủ ở nước ngoài: Hacker thường sử dụng thư điện tử miễn phí như Yahoo, Gmail, Hotmail... và sử dụng chat rooms, Facebook, IRC, các diễn đàn (forum), blogs, Proxy server... của các ISP nước ngoài để trao đổi thông tin tội phạm, lưu trữ dữ liệu phạm tội trên các máy chủ đặt tại Hoa Kỳ, châu Âu. Đây là các ISP, trung tâm lưu trữ dữ liệu (hosting) miễn phí, cho phép sử dụng nặc danh, không cần khai báo danh tính thật.
- Lực lượng trinh sát, Điều tra viên, Kiểm sát viên và Thẩm phán có trình độ chuyên môn về công nghệ thông tin không nhiều, nên rất khó khăn trong việc tìm, thu giữ, bảo quản, phục hồi, phân tích và chuyển hóa dữ liệu điện tử thành chứng cứ, cũng như sử dụng dữ liệu điện tử làm chứng cứ trong quá trình xét hỏi, lập hồ sơ, truy tố và xét xử.
- Việc thống nhất nhận thức giữa Cơ quan điều tra, Viện kiểm sát và Tòa án về giá trị chứng cứ của dữ liệu điện tử thường rất khó khăn (ví dụ: đối tượng nhận tiền của nạn nhân, rồi nhập điểm vào mạng. Khi khôi phục dữ liệu trên máy tính, đối chiếu với lòi khai, có quan điểm cho rằng, chứng cứ này chưa có tính thuyết phục vì việc giao nhận tiền không có ký nhận của hai bên).
