关键要点：即阅消息通过自动删除业务通信来创造合规和法律风险，使数字取证复杂化。自动归档解决方案帮助组织主动捕获和保存即阅消息，为取证做好准备并保留可抗辩的记录。企业需要迅速行动起来，更新政策、培训员工并使用批准的平台进行安全的数据保存。

即阅消息正在重写数字通信的规则，并为数字取证专家带来新的挑战。短信通信如今被设计为在设定时间后或被阅读后自动消失。应对即阅消息带来的挑战，需要采取战略性、多层次的方法，在隐私、合规性和取证准备之间取得平衡。

为何短暂消息对数字取证至关重要‌

2022年9月，美国证券交易委员会（SEC）对16家华尔街主要公司处以超过11亿美元的罚款，因其未能保存包括通过即阅消息应用程序和个人设备发送的电子通信。SEC的案例是一个警示，突显了合规标准的不断演变。

法律专家们建议企业主动管理并保存所有与业务相关的通信，即使这些通信是通过加密或自动删除的应用程序发送的，确保避免昂贵的调查、罚款和补救措施。

即阅消息带来的合规风险与法律取证挑战

即阅消息应用允许用户设置针对特定会话的自动删除策略，这些策略会自动删除消息，使法律保全措施失效。在某些情况下，会话中的任何一方都可以设置消息保留时间，使其在仅一秒后被删除。相关的业务通信可能在尚未保存之前就被清除。这几乎没有留下任何数字取证手段来进行收集或恢复。

移动取证：采集难题

WhatsApp、Signal 和 Telegram 是数字取证调查中常见的三种即阅消息平台。每个平台都带来了独特的挑战，但它们也存在一些相似之处。

• WhatsApp 的即阅消息功能默认处于关闭状态，但一旦用户启用该功能，保留设置可以根据个人偏好进行限制。
• Telegram 将消息存储在云端，这使得移动取证难上加难。虽然 Telegram 可能会在移动设备上缓存部分数据，但通常只是整个数据集的不完整‘快照’。采集通常通过 Telegram 的云端接口进行，但这依赖于消息仍然存在且未被提前删除。
• Signal 专为隐私而设计，可以说是最具挑战性的即阅消息应用之一，难以进行取证采集和保存。它对静态数据进行加密，并且不会将数据存储在标准设备备份或远程云服务器中。此外，Signal 不会在其他移动设备之间同步数据，而是要求每个设备使用不同的账户。要进行完整的文件系统采集，需要获取特定移动设备的解密凭证；然而，一些设备和移动操作系统版本可能不受高级取证工具支持。

一些商业归档解决方案提供可自动捕获并保存即阅消息的版本，以满足合规和电子证据开示需求。通过整合此类技术，公司能够维护可抗辩的记录，便于后续通过取证采集进行检索和审查。这类解决方案需要明确的政策，要求员工只能够使用已批准的启用归档功能的应用版本处理业务。

这些政策还应禁止员工使用个人或‘非平台’的通信方式开展业务。同样，公司应告知客户其沟通方式，并指导客户避免未经授权且可能存在欺诈风险的通信。

数字取证中的保存优先于恢复

一旦数据在即阅消息应用中被删除，通常无法恢复。因此，如果没有企业级的商业归档解决方案，重点必须转向快速保存。这需要支持可抗辩数据采集的取证工具和技术。数字取证人员必须针对保管人的设备提出关键问题，包括设备的品牌、型号、操作系统以及所需的数据类型，以推荐最佳方案。这种无法恢复信息的情况，虽然旨在保护安全，却为保管人和诉讼当事人带来了潜在的证据损毁障碍。

即阅消息时代的法律保全与可抗辩性

即阅消息从根本上与法律保全的概念相冲突。WhatsApp、Telegram 和 Signal 的即阅消息设置可以由会话中的任何用户控制。在大多数情况下，这意味着任何参与者都可以随时更改消息删除的设置。一些多方群组会话确实允许群组管理员管理消息删除设置，但在直接消息中无法实现。即使保管人处于法律保全状态，短暂消息会话中的其他参与方仍可能有意或无意地通过清除必须保留的消息，导致保管人违反法律保全要求。

除非事先制定了适当的政策和归档解决方案，否则消息删除功能会削弱为诉讼或监管目的保留业务通信的能力。在极少数情况下，如果在删除之前通过经过验证的取证方法收集数据，并保持完整的证据链，该数据可以在法庭上呈现。

移动通信的趋势与最佳实践

随着越来越多的应用引入消息删除功能，企业正在审查并更新其通信和移动设备政策，以应对即阅消息带来的风险。

一种新兴的最佳实践是维护一份明确的官方通信平台清单，其中包括电子邮件、Microsoft Teams、Slack、ICE 聊天，或启用归档功能的 WhatsApp 版本。一些行业正在逐步停止使用带有消息删除功能的短信或移动消息应用，作为官方业务沟通渠道。

如果业务对话在未经授权的平台上开始，员工会接受培训，将讨论转移到批准的渠道。例如，如果同事在 iMessage 上发起交易相关的对话，回复应是将讨论转移到电子邮件或 Teams，以确保适当的记录保存和合规性。

结论指引

在调查或诉讼需要时，应迅速采取行动，主动保全即阅消息数据。建议审查并更新通信政策，明确列出批准用于业务沟通的应用程序，尤其是在政策允许员工使用个人设备的情况下。

即阅消息将长期存在，但企业可以通过更新政策、培训员工以及使用合适的取证工具从容应对。
了解更多关于如何保全关键通信并支持可辩护调查的信息，请访问Forensics and Data Collection services. 
 

Andrew Crouse，Epiq 取证与电子证据开示解决方案总监

作为 Epiq 数字取证总监，Andrew Crouse 负责领导数字取证检查、咨询项目、服务交付以及取证实践要求。Crouse 管理着 Epiq 美国业务中的顾问、分析师和实验室运营人员团队。