Kỹ năng kiểm sát việc thu thập, phục hồi và chuyển hóa dữ liệu điện tử trong điều tra vụ án hình sự

 
(Tổ Tuyên truyền) - Trong kỷ nguyên số, hiện trường vụ án không còn bó hẹp trong không gian vật lý mà đang dịch chuyển mạnh mẽ sang không gian ảo. Dữ liệu điện tử đã trở thành chứng cứ "vàng", then chốt để giải quyết các vụ án, đặc biệt là tội phạm công nghệ cao. Tuy nhiên, đây cũng là loại chứng cứ "mong manh" nhất. Nếu không được thu thập và chuyển hóa đúng quy trình, nó sẽ trở thành "con dao hai lưỡi", có thể làm mất giá trị chứng minh và dẫn đến nguy cơ làm oan hoặc bỏ lọt tội phạm.
 
 
Sự bùng nổ của tội phạm công nghệ cao đã và đang dịch chuyển trọng tâm hiện trường vụ án từ không gian vật lý sang không gian số. Trong bối cảnh đó, dữ liệu điện tử vừa là chứng cứ then chốt, vừa là 'con dao hai lưỡi' nếu không được thu thập và chuyển hóa theo một quy trình pháp lý nghiêm ngặt hoặc có bất kỳ  một sai sót nhỏ nào trong việc phát hiện, thu giữ, phục hồi hay bảo quản dữ liệu điện tử cũng có thể làm mất đi giá trị chứng minh của chứng cứ, dẫn đến nguy cơ làm oan hoặc bỏ lọt tội phạm.
 
Từ thực tiễn đầy thách thức đó, việc nâng cao kỹ năng thực hành quyền công tố kiểm sát điều tra đối với việc phát hiện, thu giữ, bảo quản và chuyển hóa chứng cứ điện tử đã trở thành yêu cầu tự thân của kiểm sát viên được phân công. Để đáp ứng yêu cầu đấu tranh phòng chống tội phạm trong tình hình mới, KSV cần xác định việc làm chủ quy trình thu thập, chuyển hóa và bảo quản, khai thác loại dữ liệu đặc thù này là nhiệm vụ trọng tâm hàng đầu.
 
Để một dữ liệu điện tử trở thành chứng cứ có giá trị chứng minh trong vụ án theo quy định tại Điều 87 và Điều 99 Bộ luật Tố tụng hình sự (TTHS) năm 2015, Kiểm sát viên (KSV) cần kiểm sát chặt chẽ 03 thuộc tính của chứng cứ đó là: (1) Tính khách quan: Dữ liệu phải là sản phẩm tất yếu được máy tính, thiết bị số sản sinh tự động hoặc do đối tượng tạo ra trong quá trình thực hiện tội phạm; (2) Tính nguyên trạng: Phải chứng minh được không có bất kỳ sự can thiệp từ bên ngoài nào làm thay đổi hoặc xóa bỏ nội dung dữ liệu kể từ thời điểm phát hiện; (3) Tính kiểm chứng: Khi cần thiết, có thể lặp lại quá trình khai thác, phục hồi bằng các phương pháp kỹ thuật để cho ra kết quả đồng nhất.
 
Mọi nỗ lực phục hồi dữ liệu hay tranh tụng tại Tòa sẽ trở nên vô nghĩa nếu quy trình tiếp cận hiện trường ban đầu bị sai lệch. Xác định đây là giai đoạn "vàng" nhưng cũng dễ phát sinh sai sót nhất, KSV được phân công cần chủ động kiểm sát chặt chẽ các hoạt động của ĐTV theo đúng trình tự Điều 107 Bộ luật TTHS.
 
Việc đảm bảo tính khách quan và hợp pháp của nguồn chứng cứ điện tử phải được chú trọng ngay từ thời điểm phát hiện và thu giữ. Đây không chỉ là biện pháp bảo vệ giá trị chứng minh mà còn là tiền đề quyết định để chuyển hóa thành công dữ liệu điện tử thành chứng cứ buộc tội tại Tòa án. Theo đó, Kiểm sát viên (KSV) cần tập trung kiểm sát chặt chẽ các nhóm thao tác kỹ thuật sau:
 
Thứ nhất: Ngay khi tiếp cận hiện trường, KSV cần yêu cầu Điều tra viên (ĐTV) lập tức phong tỏa khu vực chứa các thiết bị công nghệ, tuyệt đối không cho những người không có nhiệm vụ tiếp cận nguồn điện hoặc các thiết bị số đang hoạt động. Đặc biệt, KSV phải giám sát việc ĐTV khẩn trương ngắt mọi kết nối mạng (Internet, LAN, Wifi, Bluetooth). Đây là thao tác sống còn nhằm ngăn chặn sự can thiệp từ xa của đồng bọn qua các giao thức VPN hoặc Remote Desktop để xóa dấu vết, mã hóa hoặc hủy hoại dữ liệu ngay trước mắt cơ quan chức năng
 
Thứ hai: Nhằm đảm bảo dữ liệu điện tử không bị can thiệp hay biến dạng, Kiểm sát viên phải yêu cầu Điều tra viên thực hiện đúng quy trình kỹ thuật đối với từng trạng thái của tang vật, tuân thủ nguyên tắc tắt, mở: Nếu máy đang tắt: Phải giữ nguyên hiện trạng và không được phép bật máy. Mọi hành vi khởi động thiết bị tại hiện trường đều có thể làm thay đổi cấu trúc log hệ thống và các dữ liệu tạm, gây khó khăn cho công tác phục hồi và làm mất đi giá trị chứng minh khách quan của vụ án; Nếu máy đang chạy: Tuyệt đối không dùng lệnh "Shut down" thông thường vì sẽ làm mất dữ liệu đang thực thi trên RAM (như phiên đăng nhập, tiến trình ẩn). KSV yêu cầu ĐTV chụp ảnh màn hình hiện trạng, sau đó rút nguồn điện đột ngột hoặc tháo pin đối với laptop;
 
Thu giữ trọn vẹn và đầy đủ hiện trường số và tài liệu liên quan: Tránh tư duy chỉ thu giữ thiết bị chính, KSV phải yêu cầu mở rộng phạm vi thu giữ đối với: Toàn bộ các thiết bị lưu trữ ngoại vi (USB, thẻ nhớ, ổ cứng rời) vì đây thường là nơi tẩu tán dữ liệu quan trọng; Các thiết bị hạ tầng mạng (Modem, Router) để phục vụ việc xác định vị trí và thời gian truy cập trái phép. Đặc biệt lưu ý: Phải rà soát và thu giữ ngay các vật chứng "mềm" như sổ tay, giấy ghi chú mật khẩu hoặc thông tin ví điện tử, tài khoản ngân hàng. Nếu không có những thông tin này, việc mở khóa thiết bị và chuyển hóa dữ liệu sau này sẽ gặp bế tắc về mặt kỹ thuật.
 
Nhằm ngăn chặn các rủi ro làm biến dạng chứng cứ trong quá trình điều tra, việc khai thác dữ liệu điện tử phải tuân thủ nghiêm ngặt các tiêu chuẩn kỹ thuật hình sự kiểm sát viên cần kiểm sát kỹ thuật phục hồi và sao chép dữ liệu điện tử. Cụ thể:
 
- Nguyên tắc "Không chạm" vào dữ liệu gốc: Kiểm sát viên cần kiểm tra việc tạo lập bản sao kỹ thuật số đối với tang vật. Quá trình khai thác chỉ được tiến hành trên các bản sao này nhằm bảo vệ tuyệt đối hiện trường số bên trong thiết bị gốc. Đồng thời, mỗi bản sao phải được xác thực bằng mã băm (Hash value) để đối chiếu, đảm bảo tính đồng nhất và toàn vẹn của chứng cứ từ lúc thu giữ cho đến khi đưa ra xét xử.
 
- Sử dụng thiết bị chặn ghi (Write Blocker): Quá trình sao chép phải dùng thiết bị chuyên dụng "Read only" để đảm bảo không có bất kỳ dữ liệu nào bị ghi ngược trở lại tang vật.
 
- Tính công khai, minh bạch: Mọi quá trình mở niêm phong, sao chép dữ liệu phải có sự chứng kiến của người liên quan và được lập biên bản đầy đủ theo quy định.
 
Vì dữ liệu điện tử tồn tại dưới dạng dãy nhị phân (bit-byte), KSV phải kiểm sát việc chuyển hóa sang dạng có thể đọc, nghe, nhìn được, thành chứng cứ pháp lý để sử dụng tại Tòa.
 
- Phương pháp in ấn: In tất cả dữ liệu tìm được ra giấy, lập biên bản thu giữ số tài liệu này. Yêu cầu đối tượng ký xác nhận vào từng trang với nội dung: "Đây là tài liệu in ra từ thiết bị của tôi".
 
- Thực nghiệm điều tra: Với các trường hợp đơn giản (bắt quả tang), đề nghị ĐTV yêu cầu đối tượng trực tiếp thao tác mở máy, mở file và thực hiện lệnh in dưới sự giám sát, lập biên bản mô tả cụ thể các lệnh tin học đã sử dụng.
 
- Khai thác dữ liệu "vô hình": Chú trọng thu thập địa chỉ IP, email logs, web server logs, "cookies", "URL" để chứng minh nguồn gốc truy cập và hành vi tấn công mạng.
 
- Củng cố bằng hệ thống lời khai: Sau khi có dữ liệu điện tử, cần lấy lời khai, đối tượng, bị can về cách thức khởi tạo, sử dụng các dữ liệu đó để tạo thành chuỗi chứng cứ khép kín.
 
Trong quá trình thực hành quyền công tố và kiểm sát điều tra, Kiểm sát viên (KSV) cần đặc biệt lưu ý những sai lệch phổ biến của Điều tra viên (ĐTV) để kịp thời chấn chỉnh, tránh việc chứng cứ bị vô hiệu hóa tại Tòa:
 
- Sai sót điển hình là việc ĐTV thực hiện lệnh "Shut down" thông thường đối với máy tính đang hoạt động. Thao tác này sẽ xóa sạch toàn bộ dữ liệu trên bộ nhớ tạm (RAM), làm mất đi các tiến trình đang chạy ngầm, thông tin kết nối mạng và các tài khoản đang đăng nhập. Hệ lụy trực tiếp là KSV không thể truy nguyên máy chủ điều khiển từ xa hoặc các tệp tin mã hóa đang mở, làm đứt gãy mạch chứng cứ quan trọng.
 
- Xâm phạm tính nguyên trạng của dữ liệu gốc: Nhiều trường hợp ĐTV tự ý đăng nhập, kiểm tra trực tiếp vào thiết bị mà không sử dụng các thiết bị chặn ghi chuyên dụng (Write Blocker). Việc này làm thay đổi các mốc thời gian truy cập cuối cùng (Timestamp) và các bản ghi hệ thống (System logs). Đây là kẽ hở chí mạng để Luật sư phản bác tính khách quan của chứng cứ tại phiên tòa, cho rằng dữ liệu đã bị cơ quan điều tra can thiệp hoặc cài đặt thêm.
 
- Sơ hở trong quy trình niêm phong và bảo quản bao gồm có: (1) Sơ hở về vật lý, việc không dán niêm phong hoặc niêm phong thiếu các cổng kết nối (USB, khe thẻ nhớ, cổng LAN) tạo ra nghi vấn về việc tráo đổi thiết bị lưu trữ; (2) Sơ hở về kỹ thuật số cho thấy sự sai sót nghiêm trọng nhất là không sử dụng túi Faraday hoặc ngắt kết nối sóng điện thoại đối với Smartphone. Điều này dẫn đến nguy cơ đối tượng hoặc đồng bọn thực hiện lệnh xóa dữ liệu từ xa (Remote Wipe) qua iCloud hoặc Google Account, khiến toàn bộ vật chứng trở thành "máy trắng" trước khi kịp trích xuất; (3) Sơ hở trong niêm phong: Không dán niêm phong các cổng kết nối (USB, khe thẻ nhớ) hoặc không dùng túi Faraday cho smartphone, dẫn đến nguy cơ đối tượng dùng lệnh xóa từ xa (Remote Wipe).
 
Để đảm bảo việc thu thập, phục hồi và chuyển hóa dữ liệu điện có giá trị chứng minh vững chắc, Kiểm sát viên cần nắm vững và áp dụng hệ thống văn bản pháp luật như: Bộ luật Tố tụng hình sự năm 2015 (sửa đổi, bổ sung năm 2025):  áp dụng các Điều 87, 88, 99, 107, 196, …; Luật Giao dịch điện tử năm 2023 đã có hiệu lực từ 01/7/2024 cung cấp các khái niệm nền tảng về "Thông điệp dữ liệu", "Phương tiện điện tử"; Thông tư liên tịch số 10/2017/TTLT-BCA-BQP-BTC-BNN&PTNT-VKSNDTC; Thông tư số 03/2018/TT-BCA của Bộ Công an Quy định quy  trình kỹ thuật chuyên biệt, chi tiết các thao tác nghiệp vụ như: phương pháp thu giữ thiết bị đang hoạt động/đang tắt; cách thức niêm phong vật lý và niêm phong phần mềm; quy trình sao chép bit-stream (sao nguyên trạng).
 
Dữ liệu điện tử là "chìa khóa" để giải quyết các vụ án liên quan đến tội phạm công nghệ cao, nhưng cũng là nguồn chứng cứ "mong manh" nhất. Việc nắm vững kỹ năng kiểm sát quy trình từ khâu bảo vệ hiện trường đến khi chuyển hóa thành văn bản in không chỉ giúp giải quyết vụ án khách quan mà còn là "lá chắn" vững chắc bảo vệ quan điểm truy tố tại phiên tòa trước những lập luận phản bác của đối tượng. Mỗi KSV cần không ngừng cập nhật kiến thức công nghệ và các hướng dẫn nghiệp vụ mới nhất để đáp ứng yêu cầu của Ngành trong tình hình mới.
 
Nguyễn Thị Thu Hà - TP2. VKSND tỉnh Tuyên Quang