手机作为现代社会最重要的通讯工具之一，被越来越广泛的使用，随着移动通讯技术的不断发展，手机的功能也日渐强大，除了语音、短信等基本功能外，视频通话、无线上网、手机支付、移动认证等服务增加了手机使用的范围，但是手机在给人们生活带来极大便利的同时，利用手机从事诈骗、售假、造谣、煽动作案、传播有害信息等违法犯罪活动也日益猖獗，各类案件中涉及手机取证的比例越来越高。侦查实践表明,犯罪嫌疑人使用的手机上往往存储着大量的与犯罪有关的信息，而手机电子信息可为侦查破案提供一定的线索或证据，手机巳经成为物证检验鉴定新的对象。手机物证检验是指用物证鉴定的原理、方法和程序，提取和分析手机中包含的信息，用于犯罪侦查线索或法庭证据[1]。
取证的原则对物证检验工作有着重要的指导作用，为保证手机电子信息的完整性和有效性，侦査人员应遵循必要的取证原则，按照一定规则，才能完成取证工作，确保手机电子证据可采、可信、可用，更好的打击犯罪。2005年公安部制定了《计算机犯罪现场勘验与电子证据检査规则》，只是从总体上对电子证据检査的流程进行了规范，至于手机物证检验原则没有明确。虽然手机取证与计算机取证有很多相似之处，在计算机取证领域的很多研究成果和实践经验可以应用于手机取证，但是和计算机相比，手机有其自身的特点,计算机取证的方法并不完全适用于手机取证，因此手机物证检验的相关问题还需专门研究。本文根据手机物证检验的特点，借鉴计算机取证的原则，结合手机取证的实践，对手机物证检验原则进行探讨，并应用于手机物证检验的实践，进而规范手机物证检验的工作。
1手机取证的原则
1.1合法性m
严格依法取证是手机取证的基本原则，在手机取证过程中,应由法定机构执法人员按照相应的法律、法规、规章等的要求，对特定对象使用合法手段和方法，完成取证工作，打击犯罪。
1.2及时取证
及时是手机取证的必要原则。手机电子信息形成后，容易受到各种因素的影响，具有易破坏、易修改、易删除等特点，如手机内存容量小，其内存数据动态更新很快，新形成的通信信息会覆盖手机中现存或已删除的通信记录;手机型号众多，其电池持续供电的时间不易确定，而充电接口的不统一，一旦电池电量耗尽导致手机自动关机；网络供应商处保存的某些手机用户数据是周期性更新。因此，一旦确定取证对象，应当尽早、及时地采取适当的取证措施，以防止手机电子信息遭到删除、破坏或修改，确保手机电子信息的真实、客观和关联。
1.3无损取证
无损取证是手机取证的根本原则。在无线通信网络服务区内，只要手机处于正常开机状态，就会不断地与无线通信网络进行信息交互，这会导致手机电子信息的改变。如果在没有屏蔽的条件下开机检验，会造成收到新的短信或新的打人电话，改变原有的信息内容[3]。因此，手机取证无损原则中最重要一点的就是，在提取手机电子数据之前，必须屏蔽手机与无线通信网络的信息交互，以保持其存储内容的原始完整性，避免因为数据交换而破坏手机电子信息的完整性。其次，手机中电子信息主要利用专门软件分析提取，为保障手机电子信息的证明力，物证检验中须使用经过强制认证的正版软件，禁止使用盗版软件或互联网上下载的软件。检验工具最重要的特点就是确保提取信息的完整性，虽然某些检验工具(如被美国、英国、德国、荷兰、澳大利亚等国家广泛使用OxygenForensicSuite手机检验工具）需要将驱动程序输人到手机中才能进行检验，但是通过单向只读方式读取手机信息，使用加密的哈希值实现数据完整性和可信性，确保原始手机数据不被改变，允许随后任何的调査，都使用相同的标准进行分析[4]。
1.4 全面取证
全面是手机取证的重要原则。侦查实践表明，由于侦査人员重破案、轻办案的思想根深蒂固，侦査人员缺乏手机取证的意识，对手机上留存信息利用多局限于通话清单，作为办理案件的线索，而疏于对手机上的其他电子信息的利用，不能充分发挥手机电子信息的证据作用。因此，手机取证中，侦查人员必须树立整体意识，手机取证的对象不仅包括通话记录清单，还包括手机内/外存储卡、手机识别卡、移动运营网络和短信服务提供商以及相关设备中的电子信息，也包括手机上可能存在的手印、微量物证等传统证据，不可偏废或忽视某一环节和某一方面。
2手机物证检验
2.1准备阶段
准备阶段应重点注意合法、及时和无损原则的运用。（1)接警后，及时赶赴现场，分析犯罪的动机和目的，向报警人、被害人、犯罪嫌疑人等询问手机的有关情况，全面了解涉案手机的特点，考虑到检验过程中可能要遇到的问题和困难，制定相应的物证检验方案，准备好物证检验使用的设备和软件。（2)至少两名具备取证资格的人员参与取证工作。（3)冻结犯罪现场中的与案件相关的一切设备和物品。（4)隔离目标设备，禁止未授权人员靠近可疑设备。（5)防止正在运行的程序破坏证据，如删除短信、通话记录、杀毒等。（6)禁止对手机进行开机或关机的操作。（7)屏蔽手机信号，防止新的通信信息进入。并注意手机当前的剩余电量，如果电量过低，应及时给予充电，防止由于手机自动关机导致的电子数据的丢失。（8)技侦人员及时到移动运营商获取手机用户的姓名、证件号码、住址、主/被叫用户手机号码、主/被叫用户手机IMEI、通话时间、务类型、短信内容、在网或呼叫/接听或发送/接受短信地理位置、多媒体信息、上网记录等。（9)短信服务商的数据库中记录手机号码，发送/接受短信时间、内容等相关信息，技侦人员也应及时获取。
2.2搜查证物
搜查证物阶段应重点注意合法和全面原则的运用。（1)检查与目标手机互联的系统，查看是否接入互联网，红外、蓝牙是否开启。（2)收集目标手机的相关附属设备，如电池、手机充电器、数据线等。（3)检验所有可能存储有电子信息的实体对象，如与目标手机相连接的电子设备、内外存储介质等。
2.3数据提取
数据提取阶段应重点注意无损和全面原则的运用。（1)注意提取手机后盖内侧、电池等处的指纹、手印和听筒、话筒和打机按钮凹进处的皮肤碎屑等DNA检材[5]。（2)确认手机的品牌、型号和移动网络服务商。（3)使用照相或录像记录手机特征和状态，如服务状态、屏幕显示的信息、日期时间、主叫或被叫用户、接受或发送短信的内容、电池电量和其他显示图标等。（4)确认手机的品牌、型号，选择正确的工具和提取方法。（5)如果手机处于关机状态，则不应开启手机;如果手机处于开机状态，则应将手机信号屏蔽后再进行数据提取，避免新的通信信息弓I起手机电子信息的改变。（6)提取手机串号，电话簿资料，拨出、接收或未接收电话的记录，接收、发送、编辑存储的短信或彩信，照片、视频和声音，WAP和Internet的设置信息以及上网的缓存记录，日程安排信息，记事本、被存储的可执行文件和其他文件等的提取[6]o如果手机处于关机状态，先进行SIM卡、机身内存、可替换的存储卡[7]及其存储信息的提取后，打开手机，待新的通信信息进人手机后，再次进行手机电子信息的提取。（7)提取数据的过程是写保护的，并应进行数据的完整性检验，如计算哈希值。（8)进行逻辑拷贝或镜像前，须对目标存储介质进行数据擦除^
2.4证据固定
证据固定阶段应重点注意合法和无损原则的运用。（1)制作现场勘査记录，记录手机取证的全过程。
(2)计算逻辑拷贝或镜像文件的哈希值(便于今后验证逻辑拷贝或镜像是否与源证据相同），至少应复制二份检材。（3)侦查人员、犯罪嫌疑人、见证人应在提取和扣押的证据材料上签字或盖章。（4)提取的电子证据应妥善保管，避免遭受电磁、水等自然因素的破坏，使用防静电、防火、防潮的介质封装。（5)运输过程中，避免对电子设备造成撞击或过度振动而损毁。
侦查实践表明，手机在破案中发挥着越来越重要的作用，虽然侦查机关在实践中积累了一些成功的经验和做法，但是相对于已基本成熟的计算机取证，手机物证检验的研究仍然处于起步阶段，手机物证检验的原则、对象、流程等取证相关概念尚不明确。随着3G手机等各种新型电子产品不断出现和成熟，手机取证的领域也将继续扩大，如何做好手机取证工作，打击犯罪，成为司法机关面临的新挑战。为此，应积极开展相应的立法和手机取证技术方面的研究，通过完善法律，比较手机取证与其他己有的取证技术之间的相同点和差异点，总结侦査实践中成功的经验、技巧和失败的错误、教训，进而提高手机取证的水平，更好地为侦査实践服务。
参考文献：
[1]王桂强.手机物证检验及其在刑事侦查中的应用[J].刑事技术，2006(1):25-31.
[2] 丁红军.电子证据取证的原则在司法实践中的应用[J].山西高等学校社会科学学报，2011(9):65-67.
[3]罗洁，张国臣.谨防电子物证提取和检验中的“污染”[J].刑事技术，2007(2):43.
[4] WayneJansen,RickAyers.Forensicsoftwaretoolsforcellphonesubscriberidentitymodules[R].Nevada：ConferenceonDigitalForensic，SecurityandLaw,2006：101113.
[5]张学亮.浅谈综合利用手机信息侦破案件[J].刑事技术，2008(3):66-67.
[6] 丁红军.电子证据取证的滞后及其规范[J].黑龙江省政法管理干部学院学报，2010(9):108-111.
•47•
[7]尹春社.对电子数据现场获取存在问题的分析与探讨[J].刑事技术，2008(3):26-28.