辯方代表 #郭憬憲大律師 盤問PW3偵緝警員7280 丘達豪(1)

辯：警員，你地法理鑒證嗰方面係咪有一啲防信號干擾嘅袋㗎？

PW3：係啊係啊

辯：有嘅。係咪有個俗語嘅名叫FARADAY，跟住BAG，係咪有呢個俗名？

PW3：冇錯

辯：個大細係可以裝得落手提電話嘅？

PW3：可以嘅

辯：你亦都見過有啲前線警員檢取數碼裝置嘅時候同你地攞定呢啲faraday bag嘅？

PW3：係啊

辯：如果一個可以上到網嘅手提電話擠咗落去faraday bag裡面封妥之後，佢係咪就變咗上唔到網㗎啦？

PW3：係

辯：呢個係一個上緊網嘅手提電話，入咗faraday bag先，跟住我再問落去。如果個機主想要去刪除呢個電話嘅內容，即係wipe out呢個電話，faraday bag都仲可以擋住呢個wipe out嘅指令嘅，對嗎？

PW3：如果佢封存妥當係可以阻隔到嘅

辯：你喺cellebrite嘅訓練裡面有學過點樣檢取一部手提電話嘅步驟，對嗎？

PW3：冇錯

辯：跟足cellebrite嘅指引嘅話，檢取手提電話嘅步驟，請你講俾我聽。

PW3：首先檢查呢個手提電話個表面有冇問題啦，跟住呢我地就會將佢關機嘅，將佢裡面嘅電話sim卡攞出嚟，喺關機之前我地會將部電話轉做飛行模式，然後先至關機嘅。關機咗之後我地就會取出佢裡面嘅電話sim卡，然後就將佢擺落去faraday bag或者貴重財物封套。

辯：係咪完成咗檢取過程？

PW3：封存咗之後就完成咗

辯：我問左你第一個步驟，你話檢查下電話有冇問題，個意思包唔包括檢查下電話嘅內容有冇警員想知嘅答案，例如個警員想知有冇呢個訊息嘅話，包唔包括檢查下有冇呢個訊息？

PW3：呢個係調查步驟，並非檢取步驟

官：即係不包括？

PW3：不包括

辯：檢查電話嘅意思即係咩？

PW3：睇下手提電話有冇表面嘅損壞，同埋睇下佢嘅型號、廠名同埋IMEI序號係咪一致嘅，同埋佢個系統嘅日期時間同真實時間係咪一致

辯：你呢個第一個步驟呢，其實係可以喺飛行模式底下進行嘅，對嗎？

PW3：對

辯：所以我向你建議啦，如果要確保電話嘅資料完整不受干擾，第一步係做咗飛行模式先。

PW3：同意啊，我地亦都係咁樣做

辯：喺做檢取嘅時候，如果冇跟到你頭先講嘅步驟，而部電話呢喺你接手之前成六個幾鐘頭都係上緊網嘅，而上緊網呢六個幾鐘頭就係交電話俾你嗰位警員親自操作嘅，用咗faraday bag，佢咁嘅狀況交個電話俾你，你可唔可以確保呢個電話資料嘅完整性同六個鐘頭之前一樣？

PW3：我唔可以確認

辯：即使呢六個鐘裡面，個警員間中將個電話較做飛行模式，我當一半時間飛行模式，另一半時間都係上到網嘅，咁你接手電話係咪都確保到資料完整性同六個鐘前一樣？

PW3：確保唔到

辯：我問你少少關於cellebrite發送軟件嘅功能，如果嗰個電話有一個telegram嘅app喺到，有一個用戶叫做sucker，佢有加入咗一啲頻道同埋群組嘅，喺咁嘅情況底下，如果六個鐘之前sucker喺suck channel呢個頻道有20350個unread messages，但係因為嗰六個鐘頭警員睇咗個channel，將unread messages變做零，咁喺呢個係零嘅狀態低下，六個鐘後交個電話俾你啦，咁cellebrite嘅軟件可唔可以話俾你知六個鐘之前sucker呢個用戶喺suck channel有幾多個unread messages，佢講唔講得返㗎？

PW3：首先我檢閱呢個證物嘅電話，佢喺cellebrite係解讀唔到telegram呢個軟件，另外根據大律師所講嘅呢個情況，我冇做過相關嘅測試，我亦都唔係telegram嘅專家，我比唔到呢方面嘅意見

辯：咁我唔講telegram做例子，例如WhatsApp，cellebrite解唔解讀到㗎？

PW3：要睇情況，cellebrite唔係每一個手機型號都可以支援，豁取到個whatsapp

辯：咁如果SMS呢？cellebrite可唔可以解讀到？

PW3：SMS可以解讀到

辯：咁我用返頭先個例子問多次，如果交手機俾你嗰個警員，佢喺六個鐘之前手機上緊網嘅狀態低下有20350嘅unread嘅SMS，跟住佢交手機俾你嗰下就變成零啦，佢全部睇曬啦呢啲SMS，咁我想問cellebrite軟件可唔可以話返俾你聽六個鐘之前係有20350個unread SMS？

PW3：就住大律師嘅情況，我唔係SMS嘅專家，我都係比唔到意見

辯：以你了解，當cellebrite可以成功扣起部手機做一個法證副本嘅時候，呢個都係講緊六個鐘之後嗰個狀態嚟㗎啦，佢做唔到六個鐘之前嘅影像檔啦，對嗎？

PW3：對

辯：如果根據cellebrite個標準，呢部手機喺你接手六個鐘頭之前裡面有咩資料，呢一方面嘅資料完整性呢，就已經係個警員一路上網操作而不能被保證到啦，我咁講啱唔啱？

PW3：係啊

辯：要保障資料完整性呢，你期望就係第一時間轉flight mode，跟住隨即就入faraday bag，呢個係好基本嘅嘢嚟，同唔同意？

PW3：呢個係最好嘅檢取方法

辯：咁我相信最差嘅檢取方法就係一路用部機上網，跟住呢就係咁操作個手機，冇操作嘅時候又唔入faraday bag，隔成廿四小時先交俾你，可能成四十八小時啊，我唔記得，咁就係最差嘅檢取方法啦，可唔可以咁講？

PW3：我唔同意呢個係最差嘅檢取方法，我想補充嘅係我地喺數碼法理鑒證嘅課程包括cellebrite電腦嘅法理鑒證課程，都有講到呢最好係保存當時你見到嘅情況嘅。以一部電腦或者上緊網嘅電話為例，當時呢個屏幕顯示與案有關嘅資料啦，咁我地數碼法理鑒證嘅課程都係建議我地用相機或者係截屏去保留佢呢個最真實嘅證據。當然視乎當時嘅環境，由案件主管去決定

辯：Cellebrite有冇教你地其實應該係拍video，拍住個警員係現場操作部手機，而唔係影相啊？

PW3：我嘅答案係冇咁教嘅

辯：係咪因為你對上做cellebrite係2016年，就比較冇咁更新啊啲內容？

PW3：我唔同意

辯：定係你話cellebrite都教咗對於手機嘅資料可以做截屏，係咪？

PW3：冇錯

辯：有冇教你如果手機支援嘅話係應該用手機嘅錄影功能而唔係截屏嘅，有冇咁教？

PW3：截屏可以，錄影都可以嘅

辯：咁如果以你做法理鑒證嘅準則，做到畫面錄影喺個手機裡面做返畫面錄影，同有一個相機去影手機嘅畫面，邊個做法你可以確保到個資料係不受干擾？

PW3：相機

辯：點解呢？

PW3：因為截屏或者係錄影嘅動作係需要喺呢部手機到㩒制嘅，而影相就只需要錄到需要紀錄嘅畫面就可以

辯：但係相片影唔到嗰個操作者會唔會做咗一啲改動，例如佢上曬網download返條channel嘅片啊、post啊，跟住開飛行模式先至影相，咁睇張相嘅人就會以為呢啲相啊post啊係部手機嘅資料，係會以為呢啲相啊post係手機本身已經有嘅資料，咁呢張相就直頭係干擾證物、誤導讀者㗎喇喎，你同唔同意我咁講？

PW3：如果有檢取嘅人員或者任何人士做出大律師所講嘅行為，係等同捏造證據

-盤問未完-