完美取证还是完全丢失？数字取证与一线响应的现实鸿沟

近期与杰西卡·海德、黛比·加纳和金·布拉德利的一次播客对话，再次引发了我多年来目睹的一个问题：由专家撰写的数字证据指导手册，对首先接触设备的一线响应者来说，往往不具可操作性。

杰西卡的表述直白而准确：许多数字证据文档必须具有高度的技术性。实验室需要精确性，标准操作程序必须经得起法庭检验，工具需要精确的指令。

但行业持续忽略的一点是：巡警并非在办公室里阅读这些文档。他们是在充满尖叫、血迹、枪支、混乱、甚至可能地板上有尸体或残肢的房子里阅读这些材料。

本文并非对杰西卡的批评。杰西卡是长期以来坚持向执法部门推广实用数字证据意识的少数人之一，早于该领域许多人认识到现场操作鸿沟的严重性。本文旨在从我所亲身经历的街头视角来应用杰西卡的观点。

证据的失败往往不在实验室，而是在现场的头十分钟。因为街头的现实就是一片混乱。

给一线响应者一份为取证检验员编写的、包含40个分支的流程图，并要求他们“遵循程序”，这注定了失败。并非因为警员缺乏智慧，而是因为现场环境和工作职责使得这些指令变得毫无意义。

强制培训的现实：巡警已经超负荷

以下是巡警每年必须完成的部分常规要求：

• 枪械（手枪、步枪、霰弹枪及各项资格认证）
• 防御战术（泰瑟电击枪、语言控制、徒手控制、辣椒喷雾、冲击武器、颈部约束、生死遭遇、战术）
• 血液/空气传播病原体防护
• 心肺复苏与急救
• 紧急车辆操作
• 法律更新
• 家庭暴力应对
• 危机干预
• 降级处理
• 活跃枪手应对
• 儿童虐待识别
• 老年人虐待
• 公共记录留存
• 民事责任
• 心理健康培训

此外，还需加上：同意法令、州政府指令、联邦指令以及政策更新。对于SWAT、领导力、语言等专业（或称附加）职责，还有更多培训。

现在试问：对于一线响应者而言，高级数字证据扣押培训应置于何处？答案是，无处安放。

这不是警员的失败，而是系统要求超出了巡警所能承受的极限，但压力最终却由他们承担。巡警什么都得看，什么都得管。他们必须当场做出决定，而这些决定将在未来十年内被那些从未做过这项工作的人分析。警员们冒着因信息有限做出错误决定而被起诉、解雇甚至监禁的风险。

错误一再重演，原因可预见

在全国各地的执法机构中，由于数字证据扣押不当（关掉或开启手机电源、在设备上登录社交媒体、没有记录所见所触摸的一切等），同样的错误不断出现。

这些并非玩忽职守的警员。这些是身处困境的警员，糟糕的选择或没有选择是他们仅有的选择。

机构规模决定现实

• 大型机构： CSI（犯罪现场调查组）会到场。数字证据技术人员会到场。巡警负责保护现场。
• 中型机构： 县或州的CSI或许能帮忙，前提是他们不忙。
• 小型机构： 也许有一位侦探“懂技术”，但他可能下班了、在休假，或者不接电话。
• 农村机构： 巡警就是CSI，巡警就是证据技术员，巡警就是数字取证部门。经常是孤身一人。有时，当班的唯一巡警同时也是巡警警长或警察局长。

期望所有这四种环境下的表现都相同是不合理的。

解决方案：减少巡警的决策，而非增加培训内容

唯一可行的模式是：给予巡警最低限度的认知负荷，让他们能在专业技术人员接手前保全证据。

这意味着三个问题，而不是四十个。

1. 这是证据吗？ 如果是，不要把它留在现场。 这听起来显而易见，但事实并非如此。仅凭这一点，比过去十年任何培训模块挽救的案件都多。我目睹并亲身经历过警员被告知留下复杂的数字证据，因为机构没有能力处理它的情况。

2. 它会变化、被删除或消失吗？ 不要想太多。只需防止外部影响。

3. 我能在不让情况变得更糟的情况下保全它吗？ 如果不确定，打电话求助。如果无人可帮，那么宁少勿多。

这是几乎所有指南手册都未承认的现实问题：如果没有技术人员很快会到或永远不会来，是不完美地扣押证据更好，还是冒完全丢失的风险更好？

基于整体情况做出客观合理的扣押，比确保无疑的损失要好，前提是你能为自己所做的事情辩护。

法庭不要求一线响应者做到完美。他们要求的是合理性。

机构必须停止将责任完全外包给巡警

只有三种可扩展的模式：（1）大型机构/州/县CSI部门；（2）地方数字证据技术员；（3）接受巡警数字证据扣押不完美的后果。

在我看来，第三种选择总比什么都没有好。

数字取证与事件响应专业人员必须接受的事实

我们，作为技术社群，确实需要适用于实验室的精确文档，但我们不能期望非技术背景的一线响应者按照同样精细的标准来操作。如果我们声称他们应该做到，法庭就会相信他们能做到。如果那是结果，那么案件和警员都会遭殃。

我们是翻译者。我们的工作是将精确性转化为实用性。如果我们的指令只能在教室或实验室里发挥作用，那它们在至关重要的地方——街头——就会失败。

杰西卡·海德是对的：数字证据变得比以往更加易变、更加复杂、对司法公正更加关键。而解决方案不是让已经复杂的培训更加复杂化。解决方案是在巡逻层面减少决策，并在其之上提供更好的支持。

警务工作的双重性质…布雷特的经历与观点

我上过白班、中班和夜班。通常，在没什么事情发生的时候，有很多空闲时间。巧合的是，这些时候也正是辅助人员和其他部门询问是否能帮忙做点什么的时候（比如，他们希望发生犯罪，以便练习技能！）。但除了开车绕圈子，大家没什么可做的。

然后，也会有街头世界分崩离析的时刻。整个机构都在处理进行中的呼叫，你的后援正在支援别人，邻近机构也很忙，你有尖叫的受害者、在逃的嫌疑人、证据散落在4个街区和2栋房子里，警长告诉你自己处理，因为他正在处理另一个辖区更严重的案件，通讯频道被占用，侦探们都下班了，花生米大的雨点倾盆而下，冲走了潜在证据，而你只能自己处理这一切。调度员还催着你处理完毕……

除此之外，每一个行动都会引发疑问：“这在法庭上站得住脚吗？”“法律允许我做什么？”“我怎样才能不被谋杀？”“我遗漏了什么？”“警长会因为我超时工作而批评我吗？”“我怎么才能不被起诉？”

正因为如此，巡警需要一个简单的流程图：（1）这是证据吗？（2）我能叫人扣押它吗？（3）如果无人可帮，适用于大多数数字证据的合理扣押方法是什么？

巡警已经负责扣押大部分证据。事情必须简单。如果证据是湿的，就用纸袋装；如果是干的，就用塑料袋装。数字证据也需要同样的简洁，或者尽可能简单。

实验室追求完美。 街头则是尽你所能，在当时当地、在特定情况下做到最好。在纸上为每种设备和每种情况制定正确的程序很容易。但要将其融合成一个不那么完美的过程，并且明知有些证据可能被破坏或改变，这并不容易。

我们是给予一线响应者在情况一团糟时最合理的选择，还是用拥有数千小时技术培训的DFIR专家的标准来要求一名巡警？

我们这些搞技术的人需要考虑，一线响应者不仅要扣押数字证据。他们必须在动态演变的犯罪现场优先处理一切事务，首先是保护生命（包括他们自己的），然后才考虑其他事情。

我赞成提供三个能在警员周围世界分崩离析时能回答的选项。如果有人能弥合这个鸿沟，那就是像杰西卡这样的人，因为她实际上一直在做这件事。