CHƯƠNG 6

THỰC TIỄN ĐIỀU TRA TỘI PHẠM MẠNG VÀ GIÁM ĐỊNH KỸ

THUẬT SỐ

Mỗi quốc gia khác nhau trên thế giới đều có các quy trình điều tra và kiểm
tra và xử lý chứng cứ riêng. Tuy nhiên, vẫn có các tiêu chuẩn quốc tế và thực tiễn
chứng minh có hiệu quả cao có thể được các quốc gia áp dụng liên quan đến việc
phát hiện, thu thập và kiểm tra, đánh giá chứng cứ sử dụng trong điều tra và truy tố
dưới các hình thức khác nhau. Nội dung của chương này sẽ trình bày những nội
dung liên quan đến thực tiễn điều tra tội phạm mạng và những vấn đề về giám định
kỹ thuật số, trong đó cũng đề cập cả những nội dung liên quan đến việc điều tra tội
phạm mạng được thực hiện bởi những người bên ngoài hệ thống tư pháp hình sự
như các tổ chức tư nhân. 

I. Tính khách quan, liên quan, hợp pháp trong điều tra tội phạm
mạng

Trong công tác điều tra tội phạm nói chung và điều tra đối với tội phạm
mạng nói riêng, khi tiến hành thực hiện các biện pháp điều tra thì Điều tra viên
phải lưu ý đến việc thu thập, bảo quản, đánh giá chứng cứ. Đây là một trong những
hoạt động đặc biệt quan trọng để làm sáng tỏ hành vi khách quan của tội phạm
trong vụ án.

Khoản 1, Điều 107 Bộ luật Tố tụng hình sự Việt Nam quy định:

Phương tiện điện tử phải được thu giữ kịp thời, đầy đủ, mô tả đúng thực
trạng và niêm phong ngay sau khi khi thu giữ. Việc niêm phong, mở niêm phong
được tiến hành theo quy định của pháp luật.

1
 Theo đó, khi Điều tra viên tiến hành điều tra, thu thập đối với phương tiện
điện tử, phải thực hiện một cách khách quan, chính xác và hợp pháp để bảo đảm
đây là nguồn chứng cứ quan trọng có khả năng chỉ ra những dấu vết điện tử mà
hành vi phạm tội để lại khi tội phạm được thực hiện.

Các Điều tra viên và các chuyên gia về kỹ thuật số khi tham gia điều tra các
vụ án về tội phạm mạng phải thực hiện một cách hợp pháp và khách quan, thực
hiện xử lý, phân tích và giải thích chứng cứ điện tử và báo cáo kết quả 1. Các chủ
thể tiến hành điều tra phải tuân thủ, chấp hành các nghĩa vụ pháp lý được quy định
bởi luật quốc gia, các hiệp ước quốc tế do các cơ quan chính phủ hoặc các tổ chức
nghề nghiệp tư nhân quy định.  Bộ quy tắc ứng xử chung được tạo ra, nó thường
bao gồm những quy định mà các Điều tra viên tội phạm mạng hoặc các chuyên gia
giám định kỹ thuật số được làm và những nội dung không được làm khi tiến hành
điều tra các vụ việc liên quan đến tội phạm mạng. Ví dụ: Hiệp hội giám định viên
về giám định máy tính quốc tế (ISFCE) ban hành quy tắc cư xử để các thành viên
tuân thủ nhằm đảm bảo rằng các tiêu chuẩn đang được đáp ứng và kết quả của quy
trình kiểm tra, xử lý chứng cứ điện tử là chính xác và đáng tin cậy. Quy tắc ứng xử
này bao gồm các hành vi mà các thành viên phải tham gia phải tuân thủ khi tiến
hành kiểm tra dữ liệu điện tử nhằm đảm bảo tính toàn diện của chứng cứ theo quy
định của pháp luật. Các hành vi bị cấm như: Đánh cắp, lưu trữ lại hoặc cố ý làm sai
lệch dữ liệu, nội dung thông tin…

1. Xử lý chứng cứ điện tử
1.1. Tiếp cận, xử lý khi xuất hiện sự cố an ninh mạng

1
Kizza, Joseph Migga. (2013). Computer Crime Investigations and Ethics. In: Ethical and Social Issues in the
Information Age, fifth edition. Springer; Chapter 15; Seigfried-Spellar, Kathryn C., Marcus Rogers, and Danielle M.
Crimmins. (2017). Development of A Professional Code of Ethics in Digital Forensics. Annual ADFSL Conference
on Digital Forensics, Security and Law, 135-144

2
 Có thể thấy, trong lĩnh vực tư nhân, khi xảy ra một sự cố về an ninh mạng,
thì phản ứng đối với các sự cố bao gồm các bước: Ngăn chặn sự cố an ninh mạng,
điều tra về sự cố hoặc giải quyết sự cố an ninh mạng 2.

Có hai cách chính để xử lý sự cố an ninh mạng: Khôi phục nhanh chóng sự

cố hoặc thu thập bằng chứng liên quan đến sự cố

Cách xử lý thứ nhất, khôi phục nhanh chóng sự cố an ninh mạng xảy ra trên
thực tế, việc khôi phục nhanh chóng sự cố an ninh mạng không quan tâm đến việc
thu thập hoặc lưu trữ nguyên nhân dẫn đến sự cố mà mục đích chính là để giảm
thiểu tối ưu những thiệt hại mà sự cố gây ra. Do tập trung chủ yếu vào phản ứng và
phục hồi nhanh chóng, những bằng chứng quan trọng trong quá trình thực hiện có
thể bị không thu thập hoặc lưu trữ được.

Cách xử lý thứ hai, giám sát sự cố an ninh mạng và tập trung vào các việc xử
lý, kiểm tra dữ liệu điện tử để thu thập bằng chứng và thông tin về nguyên nhân,
tác nhân tạo ra sự cố. Do trọng tâm chính là thu thập bằng chứng nên việc khắc
phục sự cố an ninh mạng bị trì hoãn. Những cách tiếp cận này không dành riêng
cho các doanh nghiệp tư nhân mà thường ưu tiên cho các cơ quan tiến hành tố tụng
để thu thập chứng cứ nhằm mục đích chứng minh tội phạm. Cách tiếp cận của khu
vực tư nhân khác nhau sẽ khác nhau tùy theo mục đích chính của việc khắc phục
sự cố.

Trong quá trình phát hiện ban đầu đối với một sự cố an ninh mạng, đòi hỏi
các chủ thể phải lưu trữ, bảo quản đối với dữ liệu điện tử mà khi khắc phục sự cố
các chủ thể phát hiện. Do đó, việc xử lý ban đầu này cũng cần được thực hiện một
cách có bài bản và khoa học để bảo đảm chứng cứ điện tử không bị thay đổi, phá
hủy, hoặc biến mất trong quá trình xử lý.

2
European Network of Forensic Science Institute. (2015). Best practice manual for the forensic examination of
digital technology. ENFSI-BPM-FIT-01

3
 Chứng cứ điện tử rất dễ thay đổi, phá hủy nếu việc xử lý không đúng
cách. Do tính dễ bị thay đổi, phá hủy và biến mất này nên đòi hỏi các thủ tục, tác
động cần phải được tuân thủ để đảm bảo rằng dữ liệu không bị tác động trong quá
trình xử lý. Do đó, trong quá trình truy cập, thu thập, bảo quản, di chuyển thông tin
và lưu trữ phải được thực hiện theo quy định hoặc một thủ tục nhất định. Các thủ
tục này mô tả các bước cần tuân theo khi xử lý chứng cứ điện tử. Có bốn giai đoạn
liên quan đến việc xử lý ban đầu chứng cứ điện tử: phát hiện, thu thập, đánh giá và
bảo quản3.

Có các bước để thu thập chứng cứ điện tử dễ bị thay đổi, đối với loại chứng
cứ này cần được thu thập dựa trên thứ tự của sự biến động;  chứng cứ dễ thay đổi,
phá hủy thì nên được thu thập trước, và chứng cứ ít biến động, thay đổi thì tiến
hành thu thập sau. 

1.2. Một số biện pháp điều tra đối với tội phạm mạng

Trong giai đoạn tiếp cận, xử lý thông tin sơ bộ ban đầu liên quan đến tội
phạm mạng cũng được thực hiện như đối với các loại tội phạm truyền thống. Bên
cạnh đó do tội phạm mạng có tính chất riêng biệt nên Điều tra viên phải trả lời các
câu hỏi nhằm cung cấp cho các điều tra định hướng tiến hành các hoạt động điều
tra cụ thể như: Tội phạm xảy ra ở đâu? Ai là người thực hiện hành vi phạm tội?
Hành vi thực hiện tội phạm như thế nào? Công cụ, phương tiện thực hiện hành vi
phạm tội? Động cơ và mục đích? Trong giai đoạn xác định, các Điều tra viên tội
phạm mạng sử dụng nhiều kỹ thuật điều tra truyền thống, đặc biệt là đối với việc
thu thập thông tin và bằng chứng. Ví dụ: Người bị hại, nhân chứng và Người bị
tình nghi trong vụ án tội phạm mạng được lấy lời khai để thu thập thông tin và
chứng cứ về các nội dung liên quan đến tội phạm đang được điều tra.

3
ISO/IEC 27037. (2012). Guidelines for Identification, Collection, Acquisition, and Preservation of Digital
Evidence

4
 Các biện pháp điều tra đặc biệt cũng đã được tiến hành để xác định, điều tra
và truy tố đối với các loại tội phạm mạng. Ngoài ra, các Điều tra viên khi tham gia
điều tra về tội phạm mạng đã tiến hành thực hiện các biện pháp trinh sát bí
mật. Các thủ tục này là một trong những biện pháp điều tra tố tụng đặc biệt để thu
thập chứng cứ liên quan đến vụ án. Việc sử dụng các biện pháp trinh sát bí mật cần
bảo đảm thận trọng khi vượt quá ranh giới giữa quyền riêng tư của người bị tình
nghi với mục đích điều tra các loại tội phạm nghiêm trọng, đặc biệt nghiêm trọng.
Nói cách khác biện pháp điều tra tố tụng đặc biệt chỉ được áp dụng đối với trường
hợp điều tra các vụ án có tính chất đặc biệt nghiêm trọng, các loại tội phạm về Tội
xâm phạm an ninh quốc gia, tội phạm về ma túy, tội phạm về tham nhũng, tội
khủng bố, tội rửa tiền”4. Các quy định về điều tra bí mật phải hoàn toàn tôn trọng
quyền và lợi ích hợp pháp của người bị tình nghi. Đã có nhiều quyết định khác
nhau của các cơ quan nhân quyền và Tòa án quốc tế về khả năng cho phép giám sát
bí mật và các thông số của các biện pháp này 5. Một số quốc gia trên thế giới Cơ
quan điều tra đã sử dụng một số phần mềm virus để tiến hành giám sát nhằm thu
thập thông tin và bằng chứng về tội phạm mạng. Ví dụ: Các Cơ quan điều tra Hoa
Kỳ đang sử dụng các kỹ thuật điều tra mạng (NIT), "phần mềm độc hại hoặc phần
mềm khai thác được thiết kế đặc biệt" trong các cuộc điều tra tội phạm về bóc lột
và lạm dụng tình dục trẻ em trực tuyến 6.

1.3. Xác định nguồn chứa chứng cứ điện tử

Trước khi bắt đầu thu thập chứng cứ điện tử, Điều tra viên phải xác định các
nguồn chứng cứ điện tử cần tìm kiếm. Chứng cứ điện tử có thể được tìm thấy trên
các thiết bị kỹ thuật số, chẳng hạn như máy tính, ổ cứng ngoài, ổ đĩa flash, bộ định

4
Điều 224, Bộ luật Tố tụng hình sự Việt Nam
5
UNODC. (2010). Policing. Crime Investigation Criminal Justice Assessment Toolkit. p.13
6
Finklea, Kristin. (2017). Law Enforcement Using and Disclosing Technology Vulnerabilities Specialist in
Domestic Security. Congressional Research Service, R44827.p.2

5
tuyến, điện thoại thông minh, máy tính bảng, máy ảnh, TV thông minh, thiết bị gia
dụng có kết nối Internet, cũng như tài nguyên công cộng, Internet nhật ký hoạt
động của người dùng; nhà cung cấp dịch vụ truyền thông hồ sơ kinh doanh và nhà
cung cấp dịch vụ lưu trữ đám mây hồ sơ hoạt động của người dùng và nội dùng và
nhiều ứng dụng, trang Web và thiết bị kỹ thuật số sử dụng dịch vụ lưu trữ đám
mây. Do đó, dữ liệu của người dùng có thể được lưu trữ toàn bộ hoặc thành từng
phần khác nhau được lưu trữ trong các máy chủ của các nhà cung cấp phần mềm.
Việc truy xuất dữ liệu từ các nhà cung cấp này là rất khó khăn trong quá trình điều
tra vì lý do bảo mật thông tin hoặc bản quyền. Chứng cứ được tìm kiếm sẽ phụ
thuộc vào khách thể của tội phạm mạng đang được điều tra. Nếu tội phạm mạng
đang được điều tra là liên quan đến giả mạo thông tin khách hàng, thì các thiết bị
kỹ thuật số bị thu giữ sẽ có thểbgiúp tìm ra bằng chứng về tội phạm này.

1.4. Hiện trường vụ án tội phạm mạng

Đối với tội phạm mạng, hiện trường vụ án không chỉ giới hạn ở vị trí thực
của các thiết bị kỹ thuật số được sử dụng trong hoạt động của tội phạm mạng hoặc
khách thể của tội phạm mạng. Hiện trường tội phạm mạng cũng bao gồm các thiết
bị kỹ thuật số có khả năng lưu giữ dữ liệu, chứng cứ điện tử và trải dài trên nhiều
thiết bị kỹ thuật số, hệ thống và máy chủ. Hiện trường vụ án liên quan đến tội
phạm mạng được bảo lưu khi có liên quan hoặc lưu trữ những dữ liệu mà phục vụ
cho công tác điều tra và chứng minh tội phạm. Chủ thể đầu tiên phát hiện, xác định
hiện trường vụ án phải bảo đảm không xâm phạm đến tính nguyên vẹn và lưu giữ
bằng chứng dễ thay đổi bằng cách niêm phong tất cả các thiết bị kỹ thuật số được
tìm thấy tại hiện trường vụ án và người dùng không được tạo cơ hội để vận hành
thêm các thiết bị kỹ thuật số khác tránh làm ảnh hưởng đến tính chính xác của
thông tin, dữ liệu liên quan.  Điều tra viên nếu không phải là người đầu tiên phát
hiện phát hiện hiện trường của vụ án về tội phạm mạng thì khi khám xét hiện

6
trường vụ án và xác định bằng chứng cần ghi lại toàn bộ hiện trường của vụ án
trước khi thu thập chứng cứ liên quan, lấy lời khai của những người phát hiện và
liên quan đến hiện trường vụ án. Tài liệu về thông tin chi tiết về các thiết bị kỹ
thuật số được thu thập, bao gồm trạng thái hoạt động của thiết bị (bật, tắt, chế độ
chờ) và các đặc điểm vật lý của thiết bị, chẳng hạn như chế tạo, kiểu máy, số sê-ri,
kết nối và bất kỳ dấu hiệu hoặc hư hỏng nào khác. Ngoài ghi chú bằng văn bản, các
bản phác thảo, hình ảnh hoặc video ghi lại hiện trường vụ án và bằng chứng cũng
cần thiết để ghi lại hiện trường và chứng cứ7.

Việc thu thập dữ liệu điện tử dễ bị thay đổi, phá hủy có thể làm thay đổi nội
dung bộ nhớ của thiết bị kỹ thuật số và dữ liệu bên trong chúng. Điều tra viên,
hoặc kỹ thuật viên khi khám nghiệm hiện trường vụ án, thu thập chứng cứ cần thận
trọng và lưu giữ ngay khi phát hiện. Các thủ tục thu thập khác nhau tùy thuộc vào
loại thiết bị kỹ thuật số và các nền tảng công nghệ nơi chứa chứng cứ điện tử (ví
dụ: Máy tính, điện thoại, mạng xã hội và đám mây...). Cơ quan điều tra cần đưa ra
các quy chuẩn chung cụ thể, chi tiết các bước cần thực hiện khi xử lý chứng cứ
điện tử trên thiết bị di động, các đối tượng hỗ trợ Internet và các nền tảng truyền
thông xã hội 8. Một quy trình hoạt động tiêu chuẩn (SOP) được thiết kế để hỗ trợ
các Điều tra viên bằng cách bao gồm các chính sách và các bước cần tuân thủ để
điều tra tội phạm mạng để đưa ra sản phẩm là chứng cứ mà sau đó được Tòa án
chấp thuận vì bảo đảm đầy đủ những đặc tính của chứng cứ. Cũng như các công cụ
và các nguồn lực khác cần thiết để tiến hành điều tra.

1.5. Vướng mắc, khó khăn trong quá trình điều tra vụ án về tội
phạm mạng

7
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
Bartlett .p. 230-233
8

7
 Khi tiến hành điều tra các vụ án về tội phạm mạng, ngoài những quy định
bắt buộc phải tuân thủ trong quá trình thu thập, bảo quản, đánh giá chứng cứ thì
đối với việc thu thập chứng cứ điện tử còn phải thực hiện theo các quy trình thu
giữ và bảo quản phức tạp hơn chứng cứ truyền thống. Ví dụ: các Điều tra viên tội
phạm mạng có thể gặp phải nhiều thiết bị kỹ thuật số, hệ điều hành và cấu hình
mạng phức tạp, đòi hỏi kiến thức chuyên môn, các biến thể trong quy trình thu thập
và hỗ trợ xác định kết nối giữa các hệ thống và thiết bị. Các kỹ thuật về bảo mật,
kỹ thuật ẩn dữ liệu và mã hóa bằng cách chặn quyền truy cập của bên thứ ba vào
một tệp bằng cách sử dụng mật khẩu hoặc bằng cách hiển thị tệp hoặc các khía
cạnh của tệp không thể sử dụng được9. Do đó, Điều tra viên cần chuẩn bị cho
những tình huống này và có nguồn nhân lực và kỹ thuật cần thiết để phản ứng kịp
thời khi gặp những tình huống trên.  Khi gặp phải những trường hợp liên quan đến
bảo mật cần tháo gỡ, Điều tra viên thực hiện việc xác định mật mã hoặc giải mã
các tệp dữ liệu. Các công cụ xử lý chứng cứ điện tử có thể hỗ trợ trong hoạt động
này, ví dụ như: Công cụ xác định mật mã và giải mã các tệp, cũng như thực hiện
các nhiệm vụ pháp y kỹ thuật số quan trọng khác. Công cụ đó bao gồm Bộ công cụ
giám định (FTK) theo dữ liệu truy cập, Khung biến động, Giám định X-
Ways. Cùng với các nguồn này, cần có bộ công cụ giám định điện tử, trong đó có
các thiết bị thiết yếu để ghi lại hiện trường vụ án, (ví dụ: điện thoại thông minh, túi
Faraday...)

Khi thu thập chứng cứ điện tử thì việc lưu giữ chứng cứ dễ bị thay đổi, pháp
hủy phải tắt nguồn thiết bị kỹ thuật số. Trạng thái hoạt động của các thiết bị kỹ
thuật số sẽ ảnh hưởng đến khả năng thu thập, lưu trữ các dữ liệu điện tử trong thiết
bị đó. Ví dụ: Nếu khi thu thập dữ liệu điện tử mà thiết bị lưu trữ đang hoạt động
thì dữ liệu dễ bị bay hơi (ví dụ: tệp tạm thời, sổ đăng ký, bộ nhớ, trạng thái mạng

9
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
Bartlett .p.204

8
và một số kết nối). Các dữ liệu phải bảo đảm đã được lưu giữ trước khi tắt thiết bị
và thu thập. Có những trường hợp khi tiến hành thu thập dữ liệu điện tử từ trong
thiết bị kỹ thuật số sẽ không truy cập hoặc khai thác được thông tin mà nó lưu trữ
(ví dụ: do kích thước hoặc độ phức tạp của hệ thống hoặc cấu hình phần cứng và
phần mềm của chúng, vì các hệ thống này cung cấp các dịch vụ quan trọng). Trong
những tình huống này, dữ liệu dễ thay đổi, phá hủy và không dễ bị thay đổi được
thu thập thông qua các thủ tục đặc biệt với yêu cầu thu thập trực tiếp 10. Loại thiết bị
kỹ thuật số gặp phải trong quá trình điều tra cũng sẽ quy định cách thức thu thập
dữ liệu, chứng cứ điện tử. Các lệnh có thể được sử dụng để lấy dữ liệu biến động
từ các hệ thống lưu trữ trực tiếp. Ví dụ, đối với hệ điều hành Windows, lệnh
ipconfig được sử dụng để lấy thông tin mạng, trong khi đối với hệ điều hành Unix,
lệnh ifconfig lại không được sử dụng. Đối với cả Windows và Unix, lệnh netstat
được sử dụng để lấy thông tin về các kết nối mạng đang hoạt động.

1.6. Quy trình niêm phong vật chứng

Các hành động mà Điều tra viên thực hiện trong quá trình thu thập bằng
chứng cần được lưu lại để bảo đảm tính khách quan trong quá trình điều tra. Mỗi
thiết bị phải được dán nhãn (cùng với cáp kết nối và dây nguồn), đóng gói và vận
chuyển trở lại phòng thí nghiệm để kiểm tra, xử lý dữ liệu, chứng cứ. Một khi các
vật phẩm được vận chuyển đến phòng thí nghiệm, chúng được "kiểm kê, ghi chép
và bảo mật trong một không gian bảo mật... tránh xa nhiệt độ khắc nghiệt, độ ẩm,
bụi và các chất gây ô nhiễm có thể có khác tránh làm hư hỏng hoặc thay đổi thiết
bị lưu trữ11".

10
SWGDE Capture of Live Systems, 2014
11
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
Bartlett .p.237

9
  Có những cách tiếp cận khác nhau khi thực hiện việc niêm trong để bảo
quản và lưu trữ thiết bị kỹ thuật số. Ví dụ: thủ tục thu thập vật chứng là ổ cứng
máy tính khác với thủ tục thu thập dữ liệu điện tử từ thiết bị di động như điện thoại
thông minh. Ngoại trừ khi thực hiện thu trực tiếp, dữ liệu điện tử được trích xuất từ
các thiết bị kỹ thuật số bị thu giữ được xử lý tại các phòng thí nghiệm (tức là thu
thập tĩnh). Tại phòng thí nghiệm, dữ liệu điện tử cần thu thập được bảo đảm tính
toàn vẹn của bằng chứng, đảm bảo rằng dữ liệu không bị thay đổi. Để đạt được tiêu
chí này, các công cụ và kỹ thuật được sử dụng để thu thập dữ liệu điện tử phải
ngăn chặn các thay đổi đối với dữ liệu hoặc giảm thiểu sự thay đổi. Các công cụ và
kỹ thuật được sử dụng phải hợp pháp và chính xác. Những hạn chế của các công cụ
và kỹ thuật này cần được xác định và xem xét trước khi sử dụng chúng. Viện Tiêu
chuẩn và Công nghệ Quốc gia Hoa Kỳ có cơ sở dữ liệu các công cụ giám định kỹ
thuật số trong đó ghi nhận chức năng và các hạn chế khi sử dụng công cụ.

Việc xem xét các thuộc tính và nội dung của các nguồn dữ liệu tiềm năng
(nguồn dữ liệu tiềm năng có thể hiểu là nguồn dữ liệu có khả năng cao lưu trữ
những thông tin liên quan đến nội dung vụ án), có thể được tiến hành xác định
trước khi thu thập để giảm lượng dữ liệu phải thu thập, tránh thu những thông tin
không liên quan và giúp giới hạn những thông tin cần phải tìm kiếm.

Các thiết bị kỹ thuật số bị thu giữ được coi là nguồn có thể chứa đựng chứng
cứ. Nhà phân tích dữ liệu điện tử không tiến hành phân tích dữ liệu từ nguồn
chính, thay vào đó, một bản sao được tạo ra từ nội dung của thiết bị đó và nhà phân
tích làm việc trên bản sao. Bản sao nội dung của thiết bị kỹ thuật số này được tạo
ra trước khi tiến hành thu thập tĩnh để duy trì tính toàn vẹn của chứng cứ điện tử.
Để xác minh xem bản sao có phải là bản sao chính xác của bản gốc hay không, một
giá trị bằng mật mã được tính cho bản gốc và bản sao bằng các phép tính toán
học; nếu chúng khớp, nội dung của bản sao đồng nhất với nội dung của bản chính

10
thì được coi là bản sao chính xác. Một thiết bị được thiết kế để ngăn chặn việc thay
đổi dữ liệu trong quá trình sao chép, nên được sử dụng trước khi trích xuất bất cứ
khi nào có thể để ngăn việc sửa đổi dữ liệu trong quá trình sao chép. Cần lưu ý là
quá trình thu thập được mô tả ở trên chủ yếu áp dụng đối với máy tính. Khi lấy dữ
liệu từ điện thoại di động và các thiết bị tương tự, trong đó bộ nhớ lưu trữ không
thể tách rời khỏi thiết bị để tạo hình ảnh, một quy trình khác sẽ được áp dụng.

Có hai kiểu khai thác dữ liệu được thực hiện là: Khai thác vật lý và khai thác
logic. Khai thác vật lý liên quan đến việc tìm kiếm và thu thập bằng chứng từ vị trí
bên trong thiết bị kỹ thuật số nơi chứa đựng bằng chứng, chẳng hạn như ổ cứng
của máy tính12. Việc trích xuất tài liệu có thể được thực hiện bằng cách sử dụng tìm
kiếm từ khóa dựa trên các thuật ngữ do người điều tra cung cấp (tức là tìm kiếm
dựa trên đầu trang, chân trang và các số nhận dạng khác) và bằng cách kiểm tra
khoảng trống chưa được phân bổ và các phân vùng, phân tách các phân đoạn của ổ
cứng với nhau. Trích xuất logic liên quan đến việc tìm kiếm và thu thập bằng
chứng từ vị trí nó được chứa đựng liên quan đến hệ thống tệp của hệ điều hành
máy tính, được sử dụng để theo dõi tên và vị trí của tệp được lưu trữ trên phương
tiện lưu trữ như đĩa cứng13. Loại trích xuất hợp lý được tiến hành phụ thuộc vào
thiết bị kỹ thuật số, hệ thống tệp, ứng dụng trên thiết bị và hệ điều hành. Trích xuất
dữ liệu liên quan đến việc thu thập dữ liệu từ các tệp đang hoạt động và đã xóa, hệ
thống tệp, dung lượng chưa được phân bổ và chưa sử dụng cũng như dữ liệu được
nén, mã hóa và được bảo vệ bằng mật khẩu. Việc trích xuất dữ liệu các tệp có thể
dẫn đến mất siêu dữ liệu. Toàn bộ quá trình thu thập dữ liệu nên được ghi lại. Tài
liệu này phải bao gồm thông tin chi tiết về các thiết bị kỹ thuật số chứa đựng dữ
liệu được trích xuất, phần cứng và phần mềm được sử dụng để thu thập chứng cứ,

12
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
Bartlett
13
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
Bartlett .p.36

11
cách thức thu thập chứng cứ (phải bảo đảm được các nội dung như: Cách thức thu
thập, thời gian, địa điểm, tại sao thu thập được... 14.

1.7. Cách thức bảo quản dữ liệu, chứng cứ điện tử

Bảo quản, lưu trữ dữ liệu, chứng cứ điện tử là cách thức để bảo vệ dữ liệu,
chứng cứ điện tử khỏi bị sửa đổi, biến mất. Tính toàn vẹn của dữ liệu, chứng cứ
điện tử cần được duy trì trong từng giai đoạn của quá trình xử lý dữ liệu, chứng cứ
điện tử15. Người đầu tiên phát hiện, điều tra viên, kỹ thuật viên hiện trường vụ án
hoặc chuyên gia giám định kỹ thuật số phải chứng minh rằng dữ liệu, chứng cứ
điện tử không bị sửa đổi trong giai đoạn xác định, thu thập. Quá trình bảo quản dữ
liệu, chứng cứ điện tử là "quá trình điều tra viên bảo vệ tính nguyên vẹn của dữ
liệu, chứng cứ điện tử tại hiện trường và trong suốt thời gian tố tụng của một vụ án.
Bao gồm thông tin về chủ thể thu thập chứng cứ, nơi tiến hành thu thập và bằng
cách nào, chủ thể nào đang lưu giữ16. Trong quá trình lưu giữ trên, tên, chức danh
và thông tin liên lạc của những cá nhân đã xác định, thu thập và có được bằng
chứng phải được ghi lại, khi chuyển giao vật chứng thì phải được thực hiện thông
qua biên bản giao nhận, trong đó ghi nhận về tình trạng của vật chứng, thiết bị dữ
liệu thu giữ....

1.8.Phân tích, đánh giá

Ngoài việc xử lý dữ liệu, chứng cứ điện tử, quy trình đánh giá dữ liệu, chứng
cứ điện tử cũng bao gồm việc kiểm tra và giải thích chứng cứ điện tử (giai đoạn
phân tích) và ghi nhận các kết quả phân tích (giai đoạn báo cáo). Trong giai đoạn
phân tích chứng cứ điện tử được thể hiện bằng việc trích xuất dữ liệu từ thiết bị để
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
14

Bartlett
15
ISO/IEC 27037. (2012). Guidelines for Identification, Collection, Acquisition, and Preservation of Digital
Evidence
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
16

Bartlett .p.377

12
tiến hành phân tích hoặc tái tạo dữ liệu. Trước khi phân tích dữ liệu, chứng cứ điện
tử, các giám định viên kỹ thuật phải được thông báo về các mục tiêu của cuộc điều
tra và được cung cấp một số kiến thức cơ bản về vụ việc và bất kỳ thông tin nào
khác thu được trong quá trình điều tra có thể hỗ trợ giám định viên trong việc phân
tích và đánh giá dữ liệu, chứng cứ.

 Các hình thức phân tích khác nhau được thực hiện tùy thuộc vào loại dữ
liệu, chứng cứ điện tử được tìm kiếm, chẳng hạn như mạng, hệ thống tệp, ứng
dụng, video, hình ảnh và phân tích phương tiện (tức là phân tích dữ liệu trên thiết
bị lưu trữ). Các tệp được phân tích để xác định nguồn gốc của chúng, thời gian và
vị trí dữ liệu được tạo, sửa đổi, truy cập, tải xuống hoặc tải lên và kết nối tiềm năng
của các tệp này trên thiết bị lưu trữ. Loại chứng cứ điện tử (ví dụ: email, tin nhắn
văn bản, vị trí địa lý, tài liệu xử lý văn bản, hình ảnh, video và nhật ký trò chuyện)
được tìm kiếm tùy thuộc vào mục đích thu thập trong vụ án về tội phạm mạng.

Do đó, khi thực hiện việc phân tích đối với dữ liệu, chứng cứ điện tử thì
được chia thành bốn loại phân tích có thể được thực hiện trên máy tính: Phân tích
khung thời gian; phân tích quyền sở hữu và chiếm hữu, ứng dụng; phân tích tệp và
phân tích ẩn dữ liệu. 

Phân tích khung thời gian là tìm cách tạo ra một dòng thời gian hoặc chuỗi
thời gian của các hành động bằng cách sử dụng việc đánh dấu thời gian dẫn đến
một sự kiện hoặc có thể xác định được thời gian mà người dùng thực hiện một số
hành động. Phân tích này được thực hiện để buộc tội đối với người bị tình nghi
hoặc có thể loại trừ được những đối tượng trong diện tình nghi. 

Phân tích quyền sở hữu và chiếm hữu được sử dụng để xác định người đã
tạo, truy cập hoặc sửa đổi các tệp trên hệ thống máy tính. Việc phân tích quyền sở
hữu và chiếm hữu đối với thiết bị trong khoảng thời gian mà thiết bị đó được sử

13
dụng để làm công cụ phạm tội. Ví dụ: Trong vụ án xâm hại tình dục trẻ em, những
hình ảnh, video có tính chất khiêu dâm được phát hiện trên thiết bị của người bị
tình nghi"17. Chỉ phần thông tin này không đủ để chứng minh quyền sở hữu tài liệu
lạm dụng tình dục trẻ em. Cần có thêm bằng chứng để chứng minh điều này, chẳng
hạn như thiết bị được sử dụng để làm công cụ phạm tội chỉ duy nhất đối tượng sử
dụng một cách độc quyền. Việc phân tích ứng dụng và tệp được thực hiện để kiểm
tra các ứng dụng và tệp trên hệ thống máy tính để xác định động cơ và mục đích
của người thực hiện hành vi phạm tội.

Dữ liệu được đánh dấu về mặt thời gian có thể được sửa đổi. Do đó, không
nên đưa ra kết luận chỉ dựa trên căn cứ này này.  Ví dụ: Lịch sử trình duyệt web
cho thấy các trang web đã được truy cập và số lần chúng được truy cập. Cần có
thêm bằng chứng để chứng minh rằng người sở hữu thiết bị đã sử dụng chúng để
truy cập các trang web này.

Phân tích ẩn dữ liệu là tìm kiếm dữ liệu ẩn trên hệ thống. Tội phạm sử dụng
một số kỹ thuật để che giấu dữ liệu hoặc để che giấu các hoạt động bất hợp pháp
của chúng và tránh bị nhận dạng thông tin, chẳng hạn như sử dụng mã hóa, mật
khẩu bảo vệ thiết bị và thông tin tội phạm, thay đổi phần mở rộng tệp và ẩn phân
vùng. Trong giai đoạn phân tích, điều tra viên cần giải quyết các kỹ thuật che giấu
dữ liệu mà thủ phạm có thể đã sử dụng để che giấu danh tính và hoạt động của
chúng. 

1.9. Khôi phục đối với dữ liệu đã bị xóa

Khi một tệp bị xóa trên máy tính, tệp đó sẽ được đặt trong Thùng rác. Nếu
thùng rác được làm trống (tức là do xóa nội dung), các tệp đã bị xóa sẽ bị xóa khỏi
bảng phân bổ tệp, bảng lưu trữ tên và vị trí tệp trên ổ cứng. Không gian nơi tệp

Điều 2, Nghị định thư không bắt buộc của Liên hợp quốc đối với Công ước Quyền trẻ em về
17

Mua bán Trẻ em, Mại dâm Trẻ em và Nội dung khiêu dâm Trẻ em năm 2000
14
được lưu trữ được đánh dấu là không gian trống (tức là không gian chưa được phân
bổ) sau khi nó bị xóa nhưng tệp vẫn nằm trong không gian đó (ít nhất là cho đến
khi nó bị dữ liệu mới ghi đè hoàn toàn hoặc một phần)

Mục đích của những phân tích này nhằm khôi phục lại dữ liệu chứa đựng
chứng cứ chứng minh tội phạm, việc xây dựng lại sự kiện nhằm xác định chủ thể
thực hiện hành vi phạm tội, hành vi khách quan của tội phạm, công cụ, phương tiện
thực hiện hành vi phạm tội, thông qua việc xác định, đối chiếu và liên kết dữ
liệu. Việc khôi phục lại dữ liệu có thể liên quan đến phân tích thời gian, phân tích
quan hệ, và phân tích chức năng. Có thể thấy rằng, việc xây dựng lại dữ liệu được
thực hiện để chứng minh hoặc bác bỏ một sự kiện hoặc đối tượng thuộc diện tình
nghi. Điều tra viên cần tham gia vào hoạt động khôi phục dữ liệu ở các giai đoạn
xác định và thu thập chứng cứ của cuộc điều tra. Các nhiệm vụ này hỗ trợ các nhà
điều tra xác định các nguồn chứng cứ điện tử có thể chứa đựng những thông tin
liên quan đến vụ án.

Cuối cùng, tái tạo dữ liệu là việc dựa trên những dữ liệu đã có mà xây dựng
lại những dữ liệu, thông tin đã bị biến mất, xóa trước đó. Tuy nhiên mức độ chính
xác của các dữ liệu được tái tạo là không hoàn toàn thật sự chính xác. Vì lý do này,
Điều tra viên tội phạm mạng và chuyên gia kỹ thuật khi tham gia vào cuộc điều tra
phải nhận ra những hạn chế này và tránh đưa ra những thông tin sai lệch. Ví dụ:
Những kết quả của việc tái tạo hỗ trợ giả thuyết của Điều tra viên và loại bỏ các
kết quả mâu thuẫn với giả thuyết hoạt động của họ18.

Kết quả phân tích của toàn bộ quá trình phân tích được báo cáo lại một cách
đầy đủ, các báo cáo phải rõ ràng và chính xác nhất có thể. Báo cáo bao gồm tài liệu

18
Kassin, Saul M., Itiel E. Dror, and Jeff Kukucka. (2012). The forensic confirmation bias: Problems, perspectives,
and proposed solutions. Journal of Applied Research in Memory and Cognition, Vol. 2(1), 42-52; Boddington,
Richard. (2016). A Case Study of the Challenges of Cyber Forensics Analysis of Digital Evidence in a Child
Pornography Trial. Annual ADFSL Conference on Digital Forensics, Security and Law

15
minh họa (ví dụ: số liệu, đồ thị, kết quả đầu ra của các công cụ) và tài liệu hỗ trợ,
tài liệu về chuỗi hành trình sản phẩm, cùng với giải thích chi tiết về các phương
pháp được sử dụng và các bước thực hiện để kiểm tra và trích xuất dữ liệu. Các
phát hiện cần được giải thích dựa trên các mục tiêu của phân tích (tức là mục đích
của cuộc điều tra và vụ việc đang được điều tra). Thông tin về những hạn chế của
các phát hiện cũng nên được đưa vào báo cáo. Nội dung của báo cáo thay đổi theo
khu vực pháp lý tùy thuộc vào các chính sách quốc gia (ở bất kỳ đâu) liên quan đến
điều tra và kiểm tra và xử lý chứng cứ điện tử. Để ngăn chặn việc giải thích sai
hoặc đặt trọng số không phù hợp vào chứng cứ điện tử, báo cáo cần truyền đạt các
lỗi đã biết và sự không chắc chắn trong kết quả19.

2. Điều kiện để dữ liệu điện tử được sử dụng làm chứng cứ

Để được Tòa án chấp nhận sử dụng một dữ liệu điện tử là chứng cứ trong vụ
án hình sự thì đòi hỏi dữ liệu đó phải đáp ứng được những yêu cầu nhất định về
mặt kỹ thuật và pháp lý. Tòa án xem xét sự ủy quyền hợp pháp để tiến hành tìm
kiếm và thu giữ tài liệu, dữ liệu điện tử và dữ liệu liên quan, cũng như đảm bảo
được các thuộc tính của chứng cứ như: Tính khách quan, tính liên quan, và tính
hợp pháp của chứng cứ điện tử 20. Tòa án kiểm tra một cách nghiêm túc các trình
tự, thủ tục, công cụ hỗ trợ được sử dụng để trích xuất, bảo quản và phân tích chứng
cứ điện tử; các phòng thí nghiệm kỹ thuật số theo đó các phân tích được thực
hiện; các báo cáo của các nhà phân tích giám định kỹ thuật số; chứng nhận và kinh
nghiệm thực hiện việc xem xét, đánh giá chứng cứ của các kỹ thuật viên. Quy trình
để đánh giá khả năng chấp nhận chứng cứ điện tử (HM-DEAA), bao gồm các yêu
cầu kỹ thuật và pháp lý tối thiểu để tham gia thu thập, kiểm tra và đánh giá chứng

19
European Network of Forensic Science Institute. (2015). Best practice manual for the forensic examination of
digital technology . ENFSI-BPM-FIT-01.p.39
20
Antwi-Boasiako, Albert and Hein Venter. (2017). A Model for Digital Evidence Admissibility Assessment. G.
Peterson and S. Shenoi. (eds.). Advances in Digital Forensics (pp. 23-38)

16
cứ. Đặc biệt, HM-DEAA đề xuất mô hình ba giai đoạn để đánh giá khả năng chấp
nhận chứng cư bao gồm: Đánh giá, xem xét và xác định chứng cứ điện tử.  

2.1. Đánh giá dữ liệu, chứng cứ điện tử

Trong giai đoạn này, Tòa án xem xét các quyết định, lệnh của cơ quan có
thẩm quyền tiến hành tố tụng ban hành nhằm mục đích thu thập, kiểm tra, đánh giá
dữ liệu, chứng cứ điện tử có hợp pháp không (Lệnh khám xét, quyết định thu giữ
tài liệu, phương tiện...). Các Quyết định tố tụng được ban hành để thu giữ tài liệu,
dữ liệu, chứng cứ điện tử ở các quốc gia trên thế giới vẫn là Lệnh khám xét. Các
quy định pháp luật của các quốc gia khác nhau có những quy định khác nhau đối
với cùng một vụ việc có tính chất tương tự, bên cạnh đó hiện trường nơi thực hiện
việc khám xét, tính chất vụ việc phạm tội... là các yếu tố cũng sẽ ảnh hưởng đến
việc đánh giá chứng cứ.

Mức độ liên quan pháp lý của dữ liệu, chứng cứ điện tử cũng được đánh giá
trong giai đoạn này. Mức độ liên quan của dữ liệu, chứng cứ điện tử đối với hiện
trường của vụ án, với những đối tượng thuộc diện tình nghi cũng là một trong
những yếu tố mà Điều tra viên phải xem xét trong quá trình đánh giá dữ liệu,
chứng cứ. Vì từ đó, Điều tra viên có thể đưa ra kết luận hoặc loại trừ những dữ liệu
liên quan hoặc không liên quan đến vụ án, loại trừ những chủ thể thuộc diện nghi
ngờ 21.

2.2. Xem xét dữ liệu, chứng cứ điện tử

Trong giai đoạn này, một đánh giá được thực hiện về tính toàn vẹn của dữ
liệu, chứng cứ điện tử bằng cách xem xét các quy trình và công cụ kỹ thuật được
sử dụng để thu thập dữ liệu, chứng cứ điện tử, năng lực và trình độ của các chuyên
gia giám định kỹ thuật số đã thực hiện việc thu thập, bảo quản và phân tích dữ liệu,
Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
21

Bartlett

17
chứng cứ điện tử và các phòng thí nghiệm giám định kỹ thuật số nơi xử lý và kiểm
tra dữ liệu, chứng cứ điện tử. Về cơ bản, đánh giá này nhằm xác định xem các
nguyên tắc khoa học đã được sử dụng để bảo quản, thu thập và phân tích dữ liệu,
chứng cứ điện tử và các tiêu chuẩn đã được đáp ứng để xử lý và kiểm tra dữ liệu,
chứng cứ điện tử.

Các giám định viên kỹ thuật cung cấp lời trình bày trước tòa để giải thích
trình độ của họ; cách thức hoạt động của các thiết bị kỹ thuật số, nền tảng trực
tuyến và các nguồn khác liên quan đến CNTT-TT; quy trình giám định kỹ thuật
số; cách thu thập và phân tích chứng cứ điện tử; sự giải thích và kết quả của các
phân tích đã thực hiện, và độ chính xác của những diễn giải này và bất kỳ thay đổi
nào có thể đã xảy ra đối với dữ liệu và tại sao những thay đổi này lại xảy ra.

Trình độ của các giám định viên kỹ thuật số cũng được kiểm tra để thiết lập
năng lực của các cá nhân xử lý và phân tích dữ liệu, chứng cứ điện tử. Năng lực
này là điều cần thiết để đảm bảo chất lượng sản phẩm công việc và sự tự tin vào
kết quả tạo ra. Tuy nhiên, không có tiêu chuẩn năng lực chung cho các giám định
viên kỹ thuật số. Trình độ của các giám định viên kỹ thuật số khác nhau tùy theo
quốc gia. Chứng nhận của các giám định viên kỹ thuật số có thể được yêu
cầu; điều này phụ thuộc vào quy định của mỗi quốc gia. Do đó, giai đoạn này đánh
giá liệu các chuyên gia có đủ trình độ cần thiết để tham gia tư vấn hoặc giám định
chuyên môn hoặc để thực hiện các kiểm tra bắt buộc đối với CNTT và dữ liệu liên
quan đến CNTT-TT hay không. Điều cũng được xác định là liệu năng lực của các
chuyên gia và nhà phân tích này đã được xác minh và kiểm tra hay chưa.

“Daubert Tracker”, được đặt theo tên của vụ kiện Hoa Kỳ “Daubert” kiện
“Merrell Dow Pharmaceuticals Inc”. (1993) Được đặt ra để quy định về các tiêu

18
chí tối thiểu mà khi chứng cứ được đưa ra Tòa án phải đáp ứng được và các quy
định để giám sát trình độ của Giám định viên kỹ thuật 22.

Các tiêu chuẩn và quy trình của phòng thí nghiệm pháp y kỹ thuật số cũng
được kiểm tra để xác định năng lực của phòng thí nghiệm trong việc xử lý và phân
tích dữ liệu, chứng cứ điện tử và tạo ra kết quả đáng tin cậy. Điều đặc biệt được
kiểm tra một phòng thí nghiệm có đang sử dụng các phương pháp đáng tin cậy,
thiết bị và phần mềm thích hợp, nhân viên có năng lực và đưa ra kết luận hợp lý
hay không. Phương tiện để nâng cao chất lượng, đánh giá hoạt động, cung cấp xem
xét, các tiêu chuẩn độc lập, và phục vụ để đảm bảo việc thúc đẩy, khuyến khích, và
duy trì các tiêu chuẩn cao nhất. Mặc dù ISO /IEC 17025  nỗ lực tiêu chuẩn hóa các
phòng thí nghiệm trên toàn thế giới về thử nghiệm, kiểm soát chất lượng, sự hỗ trợ
của cộng đồng giám định kỹ thuật số vẫn còn chưa thống nhất 23. Hơn nữa, mặc dù
việc công nhận cung cấp các cơ chế giám sát và trách nhiệm giải trình cần thiết để
đảm bảo đáp ứng các tiêu chuẩn về thực hiện việc xử lý chứng cứ nhưng nó không
được thực hành phổ biến. Ví dụ, ở Hoa Kỳ, một số tiểu bang yêu cầu công nhận
nhưng không phải tất cả các tiểu bang đều công nhận về một quy chuẩn xử lý,
kiểm tra đối với dữ liệu, chứng cứ điện tử. Tại Vương quốc Anh, Cơ quan quản lý
khoa học giám định công nhận các tổ chức liên quan đến giám định kỹ thuật số,
trong khi ở Nam Phi, cơ quan quốc gia được chỉ định để công nhận các cơ quan, tổ
chức có chức năng hành nghề giám định kỹ thuật số là Hệ thống công nhận quốc
gia Nam Phi. 

2.3. Xác định dữ liệu, chứng cứ điện tử

Maras, Marie-Helen. (2014). Computer Forensics: Cybercriminals, Laws and Evidence,second edition. Jones and
22

Bartlett
23
Merriott, Robert. (2018). ISO 17025 For Digital Forensics - Yay or Nay. Forensic Focus, 24 January 2018

19
 Trong giai đoạn này, tính xác thực, tính toàn vẹn và độ tin cậy của dữ liệu,
chứng cứ điện tử được đánh giá dựa trên kết quả của việc đánh giá quy trình giám
định kỹ thuật số được thực hiện trong giai đoạn trước (tức là giai đoạn xem xét dữ
liệu, chứng cứ điện tử), chẳng hạn như việc sử dụng âm thanh giám định các
phương pháp và công cụ để thu thập dữ liệu, chứng cứ điện tử và lời khai của các
nhân chứng chuyên gia và nhà phân tích giám định kỹ thuật số để chứng thực tính
xác thực, tính toàn vẹn và độ tin cậy của bằng chứng này. Dữ liệu, chứng cứ điện
tử có thể được chấp nhận nếu nó thiết lập một sự thật của vấn đề được khẳng định
trong vụ án, nó vẫn không bị thay đổi trong quá trình giám định kỹ thuật số và kết
quả của cuộc kiểm tra là hợp lệ, đáng tin cậy. Để được chấp nhận, các phát hiện
nên được giải thích theo cách không khách quan, và các sai sót và không chắc chắn
trong các phát hiện, cũng như các hạn chế trong việc giải thích các kết quả, nên
được tiết lộ.

Do đó, mô hình ba giai đoạn này hợp nhất các yêu cầu pháp lý và kỹ thuật
chung để chấp nhận dữ liệu, chứng cứ có giá trị pháp lý trong việc buộc tội hoặc
gỡ tội đối với một chủ thể. Việc tiêu chuẩn hóa các thực hành giám định kỹ thuật
số là chìa khóa để đảm bảo sự chấp nhận của dữ liệu, chứng cứ điện tử trên các khu
vực pháp lý. Do tính chất xuyên quốc gia của tội phạm mạng, việc thống nhất cách
giám định kỹ thuật số không chỉ có ý nghĩa quan trọng đối với việc điều tra tội
phạm mạng mà còn cần thiết cho hợp tác quốc tế về các vấn đề tội phạm mạng
khác.

2.4. Khám phá, khai thác dữ liệu, chứng cứ điện tử

Giống như xử lý dữ liệu, chứng cứ điện tử khám phá, khai thác dữ liệu,
chứng cứ điện tử là một quá trình theo đó dữ liệu kỹ thuật số "được tìm kiếm, định

20
vị, bảo mật với mục đích sử dụng nó làm bằng chứng trong việc giải quyết vụ án"
24
. Tuy nhiên, có sự khác biệt chính giữa giám định kỹ thuật (digital forensic ) số
và khám phá, khai thác dữ liệu, chứng chứ điện tử (e-Discovery) đó là: Không
giống như giám định kỹ thuật số, e-Discovery chủ yếu tập trung vào việc lưu giữ
dữ liệu dưới dạng hồ sơ (theo cách tiết kiệm chi phí nhất) và để đáp ứng các yêu
cầu pháp lý để cung cấp dữ liệu, chứng cứ điện tử trong các thủ tục pháp lý đáp
ứng yêu cầu của tòa án.

CÂU HỎI ÔN TẬP

1. Các quy chuẩn chung về tính hợp pháp và đúng đắn trong điều tra tội
phạm mạng?
2. Các giai đoạn thiết yếu trong xử lý, kiểm tra chứng cứ điện tử là gì?
3. Khả năng chấp nhận của chứng cứ điện tử dựa vào đâu, yếu tố nào là
quan trọng nhất?
4. Những khó khăn nào điều tra viên thường gặp phải đối với tội phạm
mạng?

 
Nội dung chính (key issues)

- Xử lý chứng cứ kỹ thuật số
- Khả năng bằng chứng kỹ thuật số được chấp nhận tại Tòa án
- Xác định chứng cứ kỹ thuật số
- Cân nhắc và đánh giá chứng cứ kỹ thuật số
- Khám phá và khai thác dữ liệu điện tử

Lawton, D., R. Stacey, and G. Dodd. (2014). eDiscovery in digital forensic investigations. UK Home Office.
24

CAST Publication Number 32/14.p.4

21