随着移动设备无处不在，律师在诉讼中不可避免地要从这些设备中收集数据。由于这些设备的独特性，数据采集也充满了挑战，"移动设备取证"已发展成为一个独立领域，众多法证专家在此深耕专研。

移动设备基础：安全与存储

由于移动设备具有高度便携性，且往往价格昂贵、需求量大，因此极易丢失或被盗，从而引发更严峻的安全隐患。这种安全风险的加剧，使得数据保护需求显著提升，同时也导致数据收集工作变得更加复杂。

随着数据量的激增，在小型便携设备上存储海量数据的难度也随之增加。这促使移动设备存储策略呈指数级增长，也解释了为何如今普遍采用云端存储模式——用户只需通过移动设备按需调取数据即可。云端存储几乎具备无限容量，且数据丢失风险更低，因此我们无需将所有数据都存储在移动设备上；只需确保设备能在需要时显示这些信息即可。

这使得律师很难准确掌握关键数据的存储位置，也难以用最高效、最经济的方式完成数据收集。

因此，律师需要明确：移动设备上显示的内容未必实际存储于该设备。即使数据确实存储在移动设备上，从云端获取可能比直接从设备采集更高效。此外，部分应用采用"安全优先"的设计理念，其数据收集选项相比同类应用更为有限。这类应用的数据采集工作往往比律师最初预想的更困难、更耗时且成本更高昂。

以下章节将介绍从各类应用程序中收集数据的常见策略。

将数据存储在移动设备上的应用——大部分情况

对于iPhone设备而言，获取其自身存储数据的最直接方式是通过一款能够收集和处理iPhone备份文件的工具。从表面上看，这一过程似乎简单，但实际操作中却存在诸多障碍。

首先，数据必须存在于iPhone上，但实际情况并非总是如此。以iMessage为例，当用户未将消息同步至iCloud时，这些信息才会存储在iPhone本地。许多人选择将消息同步到iCloud，以便在所有设备上查看信息，并能在任意设备上回复消息。这种同步机制意味着，若某条消息在一台设备上创建或回复，该操作会同步显示在所有设备上。然而，当用户以这种方式配置设备时，其消息及附件实际上存储在iCloud中，而非正在使用的iPhone、iPad或Mac设备上。因此, 若仅从单一设备采集消息，部分数据可能会缺失。

要从单一设备采集此类消息，我们需要先将所有消息强制同步至该设备，再下载保存。然而在某些情况下，苹果公司可能会将部分附件保留在iCloud云端而不予下载。此时采集到的消息虽然完整，但附件却会"缺失"，因为它们既不在手机本地，也不在备份文件中。

对律师而言，另一个需要注意的问题是：若用户拥有大量消息，从iCloud下载到iPhone的过程可能耗时极长。如果等待时间不足，最终采集到的可能只是部分数据。

简而言之，在处理苹果消息同步机制时，可能需要同时对iCloud云端消息数据、本地手机数据以及iCloud备份进行多次采集，才能确保获取完整信息。

将数据存储在云端的应用程序

某些应用程序虽然安装在设备上，外观与其他应用无异，但却始终将数据存储在云端。实际上，这类应用本质上是一个经过优化的网页浏览器，仅在设备端显示云端数据，而不会在本地存储，或仅临时缓存部分内容。典型的例子包括银行类应用、网页邮箱应用（如Gmail）以及企业级应用（如Teams和Slack）。对于这类应用，最佳的数据采集来源是云端服务（如Microsoft 365、Gmail等），而非移动设备本身。

设备端加密存储且禁止备份的应用程序

尽管大多数应用将数据存储在iPhone上，但部分应用会禁止其数据通过iTunes或iCloud备份。这类应用的数据通常经过加密，解密所需的密钥存储在苹果设备的钥匙串（keychain）或安卓设备的密钥库（keystore）中。例如Signal和Telegram等即时通讯应用就属于此类。对于这类应用，取证人员必须借助特殊工具采集整个文件系统（包括钥匙串或密钥库），而非依赖备份数据解析，这样才能获取Signal等应用的通讯内容。Cellebrite和Magnet Forensics等工具可专门用于采集Signal的完整文件系统及钥匙串/密钥库。而Telegram的数据可能部分缓存在加密容器中，完整数据集则存储在云端。与其他云端存储数据的应用类似，针对Telegram的最佳取证方式应直接从其在线账户获取数据，而非移动设备。

不在本地备份的应用程序

标准取证工具通常依赖厂商提供的备份应用程序编程接口（API）。在Android备份机制中，第三方应用开发者可通过编程方式选择不包含应用数据。许多Android应用开发者会主动将数据排除在备份范围之外，因此大多数标准取证工具无法采集和解析第三方应用的数据。即便是谷歌，其多数原生应用（如Drive和Messages）也默认不参与Android备份。针对这类情况，取证人员必须转而采用其他经过验证的方法（如完整文件系统采集）来获取第三方应用数据。

支持电脑端数据同步的应用程序‌

部分即时通讯应用允许用户通过电脑客户端或网页端注册数据同步功能，实现在PC端使用应用。虽然用户能在移动设备和电脑上访问相同数据，但此类应用并不存在集中存储数据的中心服务器——移动设备始终是数据的主来源，已授权的电脑仅扮演次要角色，仅能接收移动设备主动转发的数据。以WhatsApp为例，用户可通过扫描二维码绑定电脑，从而在注册设备上查看近期聊天记录并收发消息。但需注意，绑定电脑前产生的历史消息和对话线程不会被同步。若需查找更早的聊天记录，这一特性必须纳入考量。

部分取证工具会利用WhatsApp的同步功能远程采集数据，但该方法仅能获取近期消息，无法涵盖完整聊天历史。由于移动设备保存着WhatsApp全部通讯数据，因此手机仍是取证的最佳数据源。

结论

以上仅是当前主流应用数据采集过程中常见问题的部分案例。所有新兴技术都在努力提升实用性与安全性，技术的发展日新月异，但始终在这二者之间寻求平衡。

律师若遗漏关键数据，将导致调查与诉讼的连锁反应：这类错误可能引发重新取证（有时需跨国操作）、浪费时间与资源、违反证据开示规定，甚至导致案件被驳回、即决判决、不利推论陪审指示等严重后果，最终导致客户信任崩塌。

当调查或诉讼需要关键数据，却难以确定其存储位置或最佳采集方式时，请立即与法证数据采集专家协商策略。


Jason Paroff, Epiq高级总监, 法证实践业务负责人
作为Epiq公司法证业务高级总监及实践负责人，Paroff先生主导美国境内法证与数据采集业务，并协调全球资源与服务。除管理职责外，其曾对多台计算机及系统进行检验，调查欺诈、商业秘密盗窃、骚扰及其他不当民事/刑事行为的证据。

Paroff先生获颁美国法证科学院院士（Fellow of the American Academy of Forensic Sciences），现任该院董事会成员（2025-2028三年任期），并曾任数字与多媒体科学部主席（2020-2022）。其曾以专家证人身份在联邦地区法院出庭作证，并担任哥伦比亚大学商学院会议主讲人及客座讲师。此外，其曾为《财富》500强企业、执业律师及外国执法与情报机构成员提供数字取证培训。帕洛夫先生持有纽约州、康涅狄格州执业律师资格，同时获纽约南区和东区联邦地区法院出庭授权。



Andrew Crouse, Epiq法证业务电子证据开示解决方案总监
Crouse先生现任Epiq数字法证总监，负责领导数字取证调查、咨询项目、服务交付及法证业务需求。其管理Epiq美国业务团队，成员包括顾问、分析师及实验室运营人员。

Crouse先生在跨国数字取证与电子证据开示领域拥有丰富经验，曾主导《财富》500强企业复杂项目，并负责数字取证实验室质量控制流程的开发、实施与审计。作为数据风险管理的权威专家，其专长涵盖DOMEX、计算机取证、移动设备取证及电子证据开示数据管理，并持有美国国土安全部（DHS）最高机密安全许可。

克劳斯先生曾以专家证人身份在联邦及州法院出庭作证。