1. Nguồn chứng cứ là dữ liệu điện tử

Có thể thấy tình hình tội phạm nói chung và tội phạm công nghệ thông tin nói riêng hiện nay đang diễn biến phức tạp, hành vi thủ đoạn ngày càng tinh vi. Các loại tội phạm thông thường cũng sử dụng các phương tiện điện tử để thực hiện hành vi phạm tội. Chính vì vậy BLTTHS 2015 đã bổ sung “dữ liệu điện tử” là một nguồn chứng cứ hoàn toàn mới và có giá trị như các nguồn chứng cứ khác để làm cơ sở xác định hành vi phạm tội và xử lý tội phạm. Hơn nữa, quy định này cũng hoàn toàn phù hợp với các công ước quốc tế và pháp luật Việt Nam.

Điều 87 Bộ luật tố tụng hình sự 2015 quy định chứng cứ được thu thập, xác định từ các nguồn: Vật chứng; Lời khai, lời trình bày; Dữ liệu điện tử; Kết luận giám định, định giá tài sản; Biên bản trong hoạt động khởi tố, điều tra, truy tố, xét xử, thi hành án; Kết quả thực hiện ủy thác tư pháp và hợp tác quốc tế khác; Các tài liệu, đồ vật khác.

Những gì có thật nhưng không được thu thập theo trình tự, thủ tục do Bộ luật này quy định thì không có giá trị pháp lý và không được dùng làm căn cứ để giải quyết vụ án hình sự.

BLTTHS 2015 đã dành riêng Điều 99 để định nghĩa về dữ liệu điện tử, về các nguồn chứa dữ liệu điện tử và yêu cầu về giá trị chứng cứ của dữ liệu điện tử cũng như Điều 107 để quy định về thu thập phương tiện điện tử, dữ liệu điện tử.

Điều 99. Dữ liệu điện tử

1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử.

2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác.

3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù hợp khác.

Theo các quy định này, có thể rút ra một số đặc điểm của dữ liệu điện tử như sau:

Về bản chất, dữ liệu điện tử tồn tại dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử. Dữ liệu điện tử được dùng để chứng minh tội phạm khi có đầy đủ các thuộc tính của chứng cứ. Tuy nhiên, do dữ liệu điện tử có đặc điểm dễ bị xóa, bị sửa, bị thay đổi khi mở, kiểm tra, lưu thông không đúng cách, bị nhiễm virus, mã hóa khi truyền qua mạng, nên điều kiện để dữ liệu điện tử có giá trị làm chứng cứ trong hoạt động điều tra, truy tố và xét xử cũng phải đảm bảo: “Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù hợp khác.

Để có thể được sử dụng làm chứng cứ thì nguồn chứng cứ là dữ liệu điện tử cần có đủ ba thuộc tính:

Thứ nhất là tính khách quan, dữ liệu này phải có thật, tồn tại khách quan, có nguồn gốc rõ ràng, duy trì được tính toàn vẹn, không bị làm cho sai lệch, biến dạng, đã được tìm thấy và được lưu trữ trong chính khuôn dạng mà nó được khởi tạo, gửi, nhận hoặc trong khuôn dạng cho phép thể hiện chính xác nội dung dữ liệu đó hoặc được lưu trữ theo một cách thức nhất định cho phép xác định nguồn gốc khởi tạo, nơi đến, ngày giờ gửi hoặc nhận thông điệp dữ liệu.

Thứ hai là tính hợp pháp, Dữ liệu điện tử phải được thu thập kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu giữ. Khi thu thập, chặn thu, sao lưu dữ liệu điện tử từ phương tiện điện tử, mạng máy tính, mạng viễn thông hoặc trên đường truyền, cơ quan có thẩm quyền tiến hành tố tụng tiến hành phải lập biên bản và đưa vào hồ sơ vụ án.

Thứ ba là tính liên quan, dữ liệu điện tử thu được phải có liên quan đến hành vi phạm tội, được sử dụng để xác định các tình tiết của vụ án.

2. Nguồn dữ liệu điện tử có thể thu trong hai giai đoạn trước và sau khởi tố

- Giai đoạn trước khởi tố

Công tác trinh sát tìm, thu dữ liệu trên mạng, lưu trữ trong máy chủ của ISP, ngân hàng, nhà mạng, cổng thanh toán điện tử..., chặn thu dữ liệu trên đường truyền. Dữ liệu thu trước khi khởi tố vụ án phải được chuyển hóa thành chứng cứ bằng các biện pháp tố tụng đã được quy định trong Bộ luật tố tụng hình sự năm 2015.

Phương pháp chuyển hoá dữ liệu điện tử thu được trong giai đoạn trước khởi tố được thực hiện như sau:

+ In dữ liệu điện tử ra giấy, in ảnh, ghi video clip vào đĩa quang để chuyển sang dạng đọc được, nhìn được, nghe được;

+ Lập biên bản, lấy lời khai về hành vi tạo ra dữ liệu này, nguồn gốc dữ liệu; tự khai về dữ liệu, chứng cứ đã tìm thấy, ký xác nhận vào từng tờ tài liệu, ảnh, đĩa quang, in ra từ máy tính của đối tượng, làm bút lục;

+ Sử dụng "Bản kết luận giám định" về dữ liệu điện tử lưu trữ trong các thiết bị điện tử;

+ Dữ liệu điện tử được sử dụng là một nguồn chứng cứ, phải được củng cố thêm bằng chứng cứ khác liên quan như vật chứng, lời khai của người làm chứng để tăng giá trị pháp lý.

- Giai đoạn sau khởi tố

Bắt, khám xét khẩn cấp, bắt quả tang, thu máy tính, điện thoại, USB, đĩa CD/VCD, thư điện tử, tài khoản trên mạng, mật mã và các biện pháp điều tra đặc biệt.

3. Yêu cầu đối với các nhà cung cấp dịch vụ Internet, chủ máy tính, cơ sở dữ liệu

Dữ liệu điện tử liên quan đến vụ án không chỉ được lưu trên thiết bị số của thủ phạm, của nạn nhân, mà còn được lưu trên máy chủ của bên thứ ba là các ngân hàng, nhà mạng, ISP, đơn vị chấp nhận thẻ, công ty bán hàng trên mạng, cổng thanh toán điện tử... Vì vậy, cần phải có quy định về việc lưu trữ và cung cấp dữ liệu này cho cơ quan thi hành pháp luật:

- Phải bảo quản, lưu trữ toàn vẹn dữ liệu được khởi tạo, truyền tải trong một khoảng thời gian cần thiết (tối thiểu là 90 ngày đến 6 tháng) trên máy chủ để cơ quan có thẩm quyền tìm kiếm và thu giữ;

- Khi có yêu cầu của cơ quan pháp luật, bên thứ ba như ISP, chủ máy tính, website... phải lưu giữ lại dữ liệu, không để bị sửa đổi, phá hủy, để bảo đảm giá trị chứng cứ của dữ liệu và khi có yêu cầu phải cung cấp dữ liệu dưới dạng hữu hình: đọc được, nghe được, nhìn thấy được;

- Cơ quan thi hành pháp luật có quyền truy cập vào cơ sở dữ liệu, thu chứng cứ.

4. Phương pháp, công nghệ thu dữ liệu điện tử

- Thu dữ liệu đang lưu trên mạng (máy chủ): yêu cầu các ISP, ngân hàng, nhà mạng, chủ sở hữu website, cơ sở dữ liệu cung cấp dữ liệu, dấu vết điện tử đang lưu trên máy chủ: logfile, IP, bài viết, ảnh, video, chat, siêu dữ liệu, mã độc, tên miền, tài khoản trên mạng, mật mã, thông tin tài khoản ngân hàng, thư điện tử, nick name, thông tin các cuộc gọi điện thoại, tin nhắn...

- Chặn thu dữ liệu trên đường truyền (giữa máy chủ - máy chủ, máy tính cá nhân - máy chủ, dữ liệu truyền bằng ADSL, 3G, vệ tinh) và giải mã dữ liệu đã mã hóa.

- Trong quá trình khám xét và thu giữ vật chứng phải bảo đảm an toàn và giá trị pháp lý đối với dữ liệu điện tử: tìm, thu thiết bị kỹ thuật số’, chụp ảnh, vẽ sơ đồ, lập biên bản, niêm phong, bảo quản máy tính, ổ cứng, USB, đĩa CD, điện thoại, video camera...; sao lưu dữ liệu trên DDRAM và phục hồi, phân tích, tìm kiếm dữ liệu.

- Dữ liệu có thể là chứng cứ trực tiếp và gián tiếp: cung cấp cho Tòa án dữ liệu và đường dẫn (nguồn gốc) của dữ liệu ở dạng được pháp luật quy định làm chứng cứ.

5. Giám định dữ liệu điện tử và quy trình sao lưu, phục hồi, phân tích dữ liệu điện tử

Giám định tư pháp là việc sử dụng kiến thức, phương tiện, phương pháp khoa học, kỹ thuật nghiệp vụ để kết luận về chuyên môn những vấn đề có liên quan đến vụ án hình sự, hành chính, do người giám định tư pháp thực hiện theo trưng cầu của cơ quan tiến hành tố tụng phục vụ cho việc giải quyết các vụ án.

Điều 107 Bộ luật tố tụng hình sự năm 2015 quy định thủ tục tố tụng về hoạt động giám định, phục hồi, tìm kiếm dữ liệu điện tử và về kết quả phục hồi, tìm kiếm, giám định phải được chuyển sang dạng có thể đọc được, nghe được hoặc nhìn được.

Hoạt động giám định dữ liệu điện tử do giám định viên tư pháp sử dụng thiết bị, công nghệ phù hợp thực hiện việc sao chép, phục hồi, giải mã, phân tích và tìm kiếm dữ liệu lưu trong tang vật là thiết bị lưu trữ.

Hoạt động giám định dữ liệu điện tử gồm hai loại:

- Loại thứ nhất: Giám định tư pháp so sánh giữa “file dữ liệu lưu trong tang vật’“file dữ liệu so sánh” để tìm nguồn gốc, truy nguyên đồng nhất. Căn cứ để giám định có thể dựa vào đặc điểm của dữ liệu điện tử có logfile, siêu dữ liệu và giá trị chuyên biệt (hàm Hash) để truy nguyên đồng nhất, tìm nguồn gốc, giống vân tay. Tuy nhiên, hàm Hash sẽ thay đổi khi file dữ liệu đó có bất kỳ sự thay đổi nào, dù chỉ là một bit, nên các file dữ liệu sau khi được sao chép, lưu trữ, truyền tải hầu hết có số Hash khác, không thể truy nguyên đồng nhất.

- Loại thứ hai: Phần lớn hoạt động thu thập, phục hồi, phân tích dữ liệu gồm: chặn thu dữ liệu đang truyền tải trên mạng, tìm kiếm dữ liệu đang lưu, tồn tại trong thiết bị lưu trữ trên mạng hoặc trong máy chủ, trong thiết bị kỹ thuật số của cá nhân là để tìm dữ liệu làm chứng cứ. Đây không phải là hoạt động so sánh, truy nguyên đồng nhất, tìm nguồn gốc vì không có file dữ liệu để so sánh. Kết quả của hoạt động này chỉ là tìm kiếm được dữ liệu có nội dung liên quan đến hành vi phạm tội, thủ phạm, nạn nhân hoặc thiệt hại.

Quá trình phục hồi, tìm, thu thập, phân tích, giám định dữ liệu đang tồn tại trong bộ nhớ kỹ thuật số luôn phải có sự phối hợp với cán bộ trinh sát, điều tra vụ án, xác định dữ liệu nào có giá trị đế sử dụng thành chứng cứ (có chữ ký của đối tượng tạo dữ liệu và những người tham gia tố tụng).

LUẬT MINH KHUÊ (Sưu tầm & Biên tập)