《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的理解与适用


首页>>司法解释>>理解与适用>>正文


相关规定

 

《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的理解与适用
文/周加海 喻海松

  2016年9月,最高人民法院、最高人民检察院、公安部联合发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号,以下简称《规定》),自2016年10月1日起施行。这是最高人民法院、最高人民检察院、公安部首次就电子数据制定专门性规定,对于规范电子数据的收集提取和审查判断,提高刑事案件办理质量必将发挥重要作用。为便于司法实践正确理解和适用,现就《规定》的制定背景与经过、起草中的主要考虑以及主要内容介绍如下。
  一、《规定》的制定背景与经过
  在信息时代,越来越多能够证明案件事实的材料以电子数据的形式呈现。为适应社会发展,2012年修改的刑事诉讼法将电子数据增列为新的证据种类,进一步丰富了证据的外延。根据修改后刑事诉讼法的规定,最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》(法释〔2012〕21号,以下简称《解释》)对电子数据的审查判断作了专门规定。在此基础上,最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字〔2014〕10号,以下简称《意见》)对电子数据取证人员资质与技术要求、电子数据取证原则、收集提取电子数据的笔录制作要求、电子数据的移送规则和电子数据的鉴定与检验等问题作了进一步明确。但是,关于电子数据的收集提取和审查判断,刑事诉讼法和相关司法解释、规范性文件所作规定较为原则,系统性、操作性不强。
  为进一步统一和细化电子数据证据规则,最高人民法院研究室会同最高人民检察院法律政策研究室、公安部网络安全保卫局,联合启动了《规定》的起草工作。在充分听取地方公检法机关和互联网企业意见基础上,经多次研究论证,于2015年6月拟出了初稿。此后,在重庆、厦门召开座谈会,两次听取来自上海、广东、重庆、江苏、浙江、福建、新疆等网络犯罪案件多发地方公检法机关一线办案人员和有关法律、技术专家的意见。根据各方意见作了研究修改,形成征求意见稿,送请相关部门征求意见。经综合各方意见,认真研究修改后完成会签程序,于2016年9月正式对外发布《规定》。
  二、《规定》起草中的主要考虑
  为确保《规定》的内容科学合理,能够适应形势发展、满足司法实践需要,在起草过程中,着重注意把握了以下几点:
  一是坚持体系完备与问题导向的兼顾。《规定》从“一般规定”“电子数据的收集与提取”“电子数据的移送与展示”“电子数据的审查与判断”“附则”五个方面,对涉及电子数据的刑事诉讼活动作了较为全面、系统的规定。同时,着重针对公检法机关在办案实践中收集提取和审查判断电子数据方面存在的困惑、遇到的问题,作了相应规定,以强化《规定》的指导性和实践性。例如,《规定》关于电子数据的冻结、电子数据完整性的保护及审查判断的条文,均是围绕司法实践突出问题作出的针对性规定。
  二是坚持惩罚犯罪与保障人权的统一。同其他刑事诉讼活动一样,电子数据的收集提取和审查判断应当兼顾惩罚犯罪与保障人权的机能,不可偏废。基于严厉惩治网络犯罪的现实需要,《规定》根据刑事诉讼法的规定,对在线提取电子数据,采取打印、拍照、录像等方式固定电子数据,电子数据冻结,电子数据的检查,电子数据侦查实验等问题作了明确,以进一步方便相关案件的办理。同时,《规定》突出了人权保障的机能,规定电子数据的收集、调取须依法进行,要求采取技术方法保证电子数据的完整性,严格网络远程勘验的适用,细化电子数据的审查与判断要求,明确电子数据的补正与排除,以有效防范相关侦查活动对隐私权、通信自由等权利的侵犯。
  三是坚持法律规则与技术规范的融合。电子数据是信息技术发展的产物,电子数据的收集提取应当符合相关技术标准。同时,电子数据的收集提取是刑事诉讼的取证活动,自然应当遵从刑事诉讼的有关规定。因此,对电子数据的收集提取和审查判断,应当坚持技术与法律的双重标准。
  《规定》突出了法律规则与技术规范的融合,通过规范电子数据的收集提取和审查判断,确保作为定案根据使用的电子数据同样具有“三性”。
  三、《规定》的主要内容
  《规定》根据刑事诉讼法及有关司法解释的规定,结合侦查、起诉、审判实践,对电子数据的收集与提取、移送与展示、审查与判断作了全面规定。《规定》共30条,大致可以归纳为如下4个方面、22个具体问题:
  (一)一般规定
  1.电子数据的界定。《规定》第1条采取“概括+例举+排除”的方式,对电子数据作了明确界定。具体而言,第1款对电子数据作了概括规定:“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。”之所以限定为“案件发生过程中”,是为了将案件发生后形成的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等电子化的言词证据排除在外。需要注意的是,对“案件发生过程中”不应作过于狭义的把握,从而理解为必须是实行行为发生过程中。例如,性侵犯罪发生前行为人与被害人往来的短信、网络诈骗实施前行为人设立的钓鱼网站等,只要与案件事实相关的,均可以视为“案件发生过程中”形成的电子数据。
  根据《规定》第1条第2款的规定,电子数据包括但不限于下列信息、电子文件:(1)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;(2)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;(3)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;(4)文档、图片、音视频、数字证书、计算机程序等电子文件。需要注意的是,其一,以数字化形式存储的音视频属于电子数据而非视听资料,而以模拟信号存储的磁带、录像带等音视频仍然属于视听资料。其二,上述信息虽然都属于电子数据,但对不同类型的电子数据的取证程序要求可能存在差别,如对于通信信息的收集、提取可能涉及技术侦查措施,应当经过严格的批准手续。
  电子数据是一种新的证据类型。目前,对于如何科学划分电子数据与其他类型证据的界限存在不同认识。例如,讯问过程的录音录像究竟应归为“犯罪嫌疑人、被告人供述和辩解”,还是应归为“视听资料”“电子数据”,或者既是“犯罪嫌疑人、被告人供述和辩解”也是“视听资料”“电子数据”?经研究,我们认为,不宜单纯依据载体形式区分证据类型。以笔录形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等言词证据,虽然记载形式是笔录,但在证据分类上应纳入言词证据而非笔录的范畴。
  同理,以数字化形式记载的言词证据,虽然载体是电子数据,但在证据分类上也应纳入言词证据而非电子数据的范畴。更重要的是,根据刑事诉讼法的规定,不同类型的证据在取证方法、取证程序上有不同的要求,对有关证据审查判断的要点也不同。例如,对于以录像形式反映的犯罪嫌疑人供述,不仅要审查录像提取、保管、移送等是否符合相应要求,更要审查讯问的主体、方法、程序等是否法律规定。鉴此,为更为充分地保护刑事诉讼相关主体的合法权益,《规定》第1条第3款规定:“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。”当然,对电子数据与其他类型证据的区分问题,还可以进一步研究探讨。
  2.收集提取和审查判断电子数据的原则性要求。《规定》第2条规定对电子数据的收集、提取应当坚持法定程序与技术标准的统一,做到全面、客观、及时;对电子数据的审查判断应当围绕真实性、合法性和关联性进行。
  根据刑事诉讼法第五十二条第一款“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据”的规定,《规定》第3条重申了公检法机关收集调取电子数据的依法原则与有关单位的配合义务,明确“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”需要注意的是,对于公检法机关而言,法无授权不可为,具体的适格取证主体和程序须严格遵守相关规定。例如,根据宪法第四十条的规定,对通信进行检查限于因国家安全或者追查刑事犯罪的需要,且只能由公安机关或者检察机关依照法律规定的程序进行。
  此外,《规定》第4条明确了公检法机关和有关主体对电子数据的保密义务,规定:“电子数据涉及国家秘密、商业秘密、个人隐私的,应当保密。”3.保护电子数据完整性的方法。完整性是指收集、提取的电子数据保持未被篡改、破坏的状态。可以说,电子数据完整性是真实性的要素之一,甚至是最重要的要素。基于此,《规定》第5条规定了完整性的保护方法。具体而言,对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性:(1)扣押、封存电子数据原始存储介质。存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。
  原始存储介质即存储电子数据的原始载体。司法实践中,对于有条件扣押电子数据原始存储介质的,应当依法扣押并封存原始存储介质。(2)计算电子数据完整性校验值。完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。实践中要求第一时间计算完整性校验值,并在笔录中注明。当需要验证电子数据是否完整、是否被增加、删除、修改时,便可以采用同一算法对电子数据再计算一次,将两次所得的值进行比较,如果一致则证明电子数据没有发生变化,如果不一致则证明电子数据发生了变化。(3)制作、封存电子数据备份。具体操作中,可以制作多个备份,封存其中部分备份件,将其余备份件用于进一步的侦查。(4)冻结电子数据。即通过技术手段,锁定相关电子数据,防止对其进行增加、删除、修改等操作。(5)对收集、提取电子数据的相关活动进行录像。鉴于录音相较于录像反映的信息量不足,此处要求录像,而非录音或者录像。(6)其他保护电子数据完整性的方法。需要强调的是,收集、提取电子数据的情形复杂多样,实践中应当灵活掌握相应的完整性保护方法,至少采取一种,有条件的情况下应当采取多种。
  4.初查过程中收集、提取的电子数据的使用。目前,对于初查,有关司法解释和规范性文件规定了可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制初查对象人身、财产权利的措施,但不得对初查对象采取强制措施和查封、扣押、冻结财产。但对于在初查过程中收集的电子数据是否能够作为证据使用,没有明确规定,实践中存在不同认识。经研究认为,根据刑事诉讼法第一百一十条和有关司法解释的规定,初查有相应法律依据。因此,在初查过程中依法收集调取的电子数据理当可以在刑事诉讼中作为证据使用。有的电子数据一旦收集、提取在案就无法重复收集、提取,如认为初查过程中收集、提取的电子数据不能作为证据使用,将严重影响依法追诉和惩治犯罪。因此,《规定》第5条明确:“初查过程中收集、提取的电子数据……可以作为证据使用。”需要特别注意的是,强制侦查措施、技术侦查措施只有在刑事立案后才能采取,故而,初查过程中采取上述侦查措施收集、提取的电子数据不具有合法性,应当依法排除。
  (二)电子数据的收集与提取
  5.取证主体与取证方法要求。关于取证主体,《意见》第13条要求“收集、提取电子数据,应当由二名以上具备相关专业知识的侦查人员进行”。但是,随着信息网络技术的发展,收集、提取电子数据已经成为一项基础性、普遍性侦查工作。例如,过去公安机关内部通常由网络安全保卫部门负责收集、提取电子数据,但在越来越多类型的案件涉及电子数据的情况下,经侦、治安、刑侦、禁毒等警种甚至派出所都需要承担相应的电子数据收集、提取任务,电子数据取证呈现普及化趋势。在这种情况下,《规定》第7条顺应当前司法实践的发展变化,未在明确要求侦查人员具备相关专业知识,即“收集、提取电子数据,应当由二名以上侦查人员进行”。当然,对于技术性强的取证活动,应尽量选派具有相关专业知识的侦查人员收集、提取电子数据,以更好地完成相关取证工作。另需说明的是,实践中存在吸收社会技术人员协助提取电子数据的情况,此种情形下取证主体仍然是侦查人员,技术人员只是提供协助。
  关于取证方法,《意见》第13条规定“取证设备和过程应当符合相关技术标准”。但是,实践中发现,由于网络技术的发展,取证设备的发展日新月异,不断有新式取证设备投入实战,相关技术标准很难跟得上取证设备的发展;且还存在没有现成取证设备,需要现场研发的情形。为此,《规定》第7条未再要求取证设备符合相关技术标准,仅要求“取证方法应当符合相关技术标准”。
  6.电子数据的取证原则。为确保电子数据的真实性和完整性,《规定》在《解释》《意见》基础上,确立了电子数据取证“以扣押原始存储介质为原则,以直接提取电子数据为例外,以打印、拍照、录像等方式固定为补充”的原则。
  《规定》第8条第1款规定:“收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。”实践中,在可行的情况下,应尽量封存原始存储介质,以保证其完整性和真实性。同时,《规定》第8条第2款、第3款对原始存储介质的封存要求作了专门规定,即“封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。”“封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。”需要强调的是,实践中对原始存储介质的封存方法灵活多样,既可以装入物证袋封存,又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。但是,对于手机等具有无线通信功能的存储介质,除采取普通封存方式(如装入物证袋封存)外,还应当附加其他保护措施,如拔出电池,设置为飞行模式且关闭“寻回”功能,或者直接装入屏蔽袋(盒)。
  《规定》第9条规定可以在无法扣押原始存储介质的情况下提取电子数据(包括直接提取电子数据和通过网络在线提取电子数据)。具体包括如下情形:(1)原始存储介质不便封存的。从实践来看,有些情况下难以将原始存储介质封存或者全盘复制、提取,比如网络服务器一般采取集中存储的方式,其硬盘动辄成百上千T,但其中很多内容与案件无关,不必收集,在这种情况下一般只提取与案件相关的部分数据。(2)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的。由于这些数据不是存储在存储介质之上,自然无法封存原始存储介质。而且,这些信息必须在开机运行的状态下获取,一旦关机或者重新启动系统,电子数据就会消失,难以再次获取。当然,此处的“存储介质”以稳定存储为前提,如果不作此限定,则传输电子数据的网线也可能瞬间存储电子数据,可以成为存储介质。(3)原始存储介质位于境外的。对位于境外的服务器无法直接获取原始存储介质,一般只能通过网络在线提取电子数据。对于远程计算机信息系统上的电子数据,也可以通过网络在线提取。(4)其他无法扣押原始存储介质的情形。
  《规定》第10条还对既不能扣押原始存储介质又不能提取电子数据情形下电子数据的固定方法作了补充规定。
  实践中,有时因客观原因无法扣押原始存储介质,也不便直接提取电子数据。例如,小额网络侵财类案件多由派出所办理,派出所往往没有专业取证设备,无法提取电子数据,而有的受害人即使报案也不愿将手机交公安机关保存。再如,目前市场上出现了一种“阅后即焚”的通信模式,越来越多的即时通信软件具备了“阅后即焚”功能。信息接收者收到信息后,点击阅读信息后5秒左右自动删除,无法及时提取数据,并且难以恢复,即使扣押封存原始存储介质了也毫无意义。又如,船舶的导航系统等部分工控系统,只有操作界面,无接口可以导出数据,也不宜把整个船舶或者大型系统扣押。基于此,《规定》第10条明确规定:“由于客观原因无法或者不宜依据第8条、第9条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。”7.网络远程勘验与通过网络在线提取电子数据的关系。
  网络在线提取基本可以理解为是一个下载动作,既包括对公开的门户网站上的网页信息进行下载,也包括经网络远程勘验后下载。网络远程勘验是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。可以说,网络远程勘验的最终目的也是在线提取电子数据,但它有一个勘验的过程,甚至涉及技术侦查措施的使用。
  鉴此,《规定》第9条第2款、第3款对通过网络在线提取电子数据和网络远程勘验作了明确,即“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。”“为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。”需要注意的是,网络远程勘验如涉及技术侦查措施的适用,必须按照有关规定依法经过严格的批准手续。
  8.电子数据的冻结。随着云计算等信息技术的发展,越来越多的电子数据存储在云系统中。为适应实践需要,针对云计算、大数据环境下,难以将海量数据封存、扣押,以及数据难以提取的问题,《规定》第11条、第12条规定了电子数据的冻结。
  具体而言,具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:(1)数据量大,无法或者不便提取的。如在一起传播淫秽物品牟利案中,涉案70个网络云盘涉及淫秽视频150余万部,共1000T,如均需下载到硬盘中,将不必要地耗费大量资源。(2)提取时间长,可能造成电子数据被篡改或者灭失的。(3)通过网络应用可以更为直观地展示电子数据的。如在一起非法集资案中,大量电子数据是从云系统提取的,这些数据只有在云环境下才能方便的查看、筛选,为提取后查看、筛选这些数据,侦查机关不得已耗费了大量人力物力又搭建了一个相同的云环境,增加了不必要的办案成本。(4)其他需要冻结的情形。
  关于冻结电子数据的具体操作,《规定》第12条明确规定:“冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。”“冻结电子数据,应当采取以下一种或者几种方法:(一)计算电子数据的完整性校验值;(二)锁定网络应用账号;(三)其他防止增加、删除、修改电子数据的措施。”实践中,部分服务提供商已经面向用户开展冻结服务,并且具备相关技术操作规范,技术上可行。下一步,有关部门将就冻结的具体技术问题制定相应行业标准,进一步保证适用的效果。
  9.电子数据的调取。《规定》第13条规定:“调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。”
  10.收集、提取电子数据的笔录与见证。《规定》第14条对收集、提取电子数据的笔录要求作了明确,规定:“收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。”《规定》第15条对收集、提取电子数据的见证人问题作了明确,规定:“收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。”“针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。”
  11.电子数据的检查。电子数据同传统证据存在不同,传统物证、书证等在侦查过程中一般只涉及两个阶段,即现场勘验、搜查、提取、扣押阶段以及鉴定检验阶段,一般工作在现场即可完成,对于专门性技术问题通过鉴定检验就可以解决。但是,电子数据仅两个阶段并不能实现所有侦查目的,实践中电子数据的形式与来源复杂多样,通过简单收集、提取的电子数据很难清晰证明某一犯罪事实,如提取了一个加密文件,需要解密后才能移送。对于这些问题,也不宜都作为专门性问题进行鉴定、检验。为此,对于电子数据需要在现场取证和鉴定、检验之间增加一个阶段,即扣押后由侦查人员对电子数据的进一步恢复、破解、统计、关联、比对等处理。该阶段处于现场取证和鉴定、检验之间,是现场取证工作的自然延续,不属于专门性技术问题的检验、鉴定。《规定》第16条将这个过程规定为电子数据检查,即“对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。”。
  需要说明的是,《规定》并没有明确要求见证人对电子数据检查进行见证。关于检查过程电子数据的真实性、完整性的保护,《规定》第16条第2款规定:“电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。”第3款进一步规定:“电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。”
  12.电子数据侦查实验。刑事诉讼法第一百三十三条规定:“为了查明案情,在必要的时候,经公安机关负责人批准,可以进行侦查实验。”但是,当前是否可以进行电子数据侦查实验,缺乏明确规定。随着信息技术的发展,犯罪手法借助新技术不断翻新,电子数据侦查实验已经成为公安机关查明案情的重要侦查方法。例如,在一起手机木马吸费案中,行为人在手机生产时植入硬件级木马,不仅恶意吸收用户话费,而且利用用户手机大量发送诈骗短信,实施诈骗活动,单笔诈骗金额高达500万元。但是,当前对于生产时植入手机的木马实施诈骗的犯罪手法尚无专门的鉴定、检验技术,没有一家公安机关或者鉴定机构具备提取或者分析硬件级木马的能力,公安机关只有利用侦查实验分析硬件级手机木马功能,证明了被控制的手机数量等事实。
  基于此,《规定》第16条明确对电子数据可以进行侦查实验,并要求“进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。”
  13.电子数据的鉴定与检验。办理网络犯罪案件,经常会涉及电子数据的专门性问题,如对电子数据存在疑问的,需要由司法鉴定机构出具鉴定意见。但是,目前具有电子数据鉴定资质的机构较少,难以满足办案实践需求。
  基于此,《规定》第17条确立了电子数据的专门性技术问题“鉴定与检验两条腿走路”原则,即“对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。”关于这一制度的具体操作规定,下一步由公安部、最高人民检察院分别制定。
  (三)电子数据的移送与展示
  14.电子数据的移送。《规定》第18条、第19条对电子数据的移送问题作了专门规定。具体而言:(1)考虑到电子数据存在易丢失的问题,同时也为了便于审查电子数据是否被改动,要求原始存储介质或者提取的电子数据以封存状态移送,并制作电子数据的备份一并移送。对于此处规定的备份,可以根据案件情况具体把握,不要求是全部电子数据,主要是与案件事实相关的电子数据。对于虽存储在已封存的存储介质中,但明显与案件事实无关的电子数据,可以不制作备份。而对于直接提取的电子数据,原则上应当全部制作备份。(2)对电子文档、图片等可以直接展示的电子数据,无须移送打印件。但是,人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。(3)对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。(4)对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。(5)对于数据统计数量、数据同一性等证据审查判断中经常出现,且审查的难度较大的问题,由公安机关出具说明。
  15.电子数据的补充移送和补正。针对实践中电子数据移送不规范的问题,《规定》第20条作了有针对性的规定,即“公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。人民检察院在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。”“对于提起公诉的案件,人民法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知人民检察院。”“公安机关、人民检察院应当自收到通知后三日内移送电子数据或者补充有关材料。”
  16.电子数据的展示。关于在庭审中如何展示电子数据,《规定》第21条规定可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
  (四)电子数据的审查与判断
  17.电子数据真实性的审查与判断。电子数据具有开放性特征,越来越与日益开放的互联网联系在一起,而网络电子数据的一个重要特点是可以不受时空限制获取数据。同时,电子数据又有易变性与稳定性并存的特征,一方面只需要敲击键盘,即可对其进行增加、删除、修改;另一方面,绝大多数情况下对于电子数据的增加、删除、修改都会留有一定的痕迹,而且多数情况被破坏的数据都可以通过技术手段被恢复到破坏前的状况。这些特征决定了对电子数据真实性审查不可避免要具有一定的技术性,同时司法实务也希望能够出台更具操作性的审查规范。基于此,《规定》第22条规定从五个方面审查电子数据的真实性:
  (1)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况。
  (2)电子数据是否具有数字签名、数字证书等特殊标识。数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。实践中可以通过对电子数据附带的数字签名或者数字证书进行认证,以验证电子数据的真实性。例如,从某黑客教学网站通过网络在线提取了一个公开下载的恶意软件,当审查该软件的真实性时,一般可以通过重复提取进行验证,但是可能出现该软件已经被网站删除而无法重复提取的情况。如果最初提取该软件时同时提取了该软件附带的数字签名(通常包含数字签名和网站证书,一般网站均带有证书),即使网站上软件已被删除的情况下,通过验证数字签名仍然可以证明该软件来自该网站。实践中,对数字签名、数字证书的验证既可以由审判人员通过简单的软件工具进行验证,也可以请具有专门知识的人帮助验证,还可以请有关侦查人员进行验证演示。需要强调的是,并非所有的电子数据都有数字签名或者数字证书,不能因为电子数据没有数字签名或者数字证书就否定其真实性。
  (3)电子数据的收集、提取过程是否可以重现。电子数据即使已经被提取,其提取过程仍然可以被完全、准确、一致的重现,审查电子数据时,也可以充分利用该特性通过复现收集、提取过程进行审查,比如审查电子数据检查过程中从扣押的原始存储介质中恢复的电子数据真实性时,除了审查扣押时的有关笔录和原始存储介质的封存状态外,还可以再次进行数据恢复,并比较两次数据恢复的内容是否相同。鉴于此,《规定》提出了复现性审查来判断电子数据真实性的相应规则。需要强调的是,实践中并非所有的电子数据收集、提取过程都可以复现,比如拒绝服务攻击案件中从网络截取的攻击数据包,或者从计算机内存中提取的电子数据,这些数据在拒绝服务攻击结束或者计算机关机后就会消失,收集、提取过程无法复现,不能因收集、提取过程不能重现就否定电子数据的真实性。
  (4)电子数据如有增加、删除、修改等情形的,是否附有说明。一般情况下,电子数据发生增加、删除、修改,其真实性必然受到质疑。但是,电子数据发生增加、删除、修改的,并不必然导致其不真实,例如:为了使部分损坏的视频文件能够正常播放,在视频文件的文件头增加某些信息;为了查看乱码电子文档,修改文档文件头的某些字节;或者为了打开部分损坏的电子图片,对文件错误的字节进行修改(通常修改的数据很少,目的是为了正常展示图片,不会影响图片的内容)。为此,在审查电子数据真实性时,当发现电子数据存在增加、删除、修改的情形时,应当作进一步审查:如果增删改是为了顺利展示或者分析电子数据,对电子数据所承载的内容或者证明的事实没有影响,可以认为其是真实的;如果故意篡改或者保管不当导致的增删改,则无法保证电子数据所承载的内容不受影响,也就无法保证其真实性。
  (5)电子数据的完整性是否可以保证。电子数据完整性是保证电子数据真实的重要因素,如果电子数据完整性遭到破坏,则意味着电子数据可能被篡改或者破坏,其真实性也无法保证。鉴于此,《规定》在审查电子数据时,仍然从证据的三性出发,从真实性、合法性、关联性地角度提出审查要点。同时,将电子数据完整性纳入了真实性范畴,在进行真实性审查时必须进行完整性审查。
  18.电子数据完整性的审查与判断。《规定》第23条以第5条规定的电子数据完整性保护方法为基础,规定了审查电子数据完整性的方法。具体而言:(1)对于扣押、封存电子数据原始存储介质的,应当审查原始存储介质的扣押、封存状态;(2)对收集、提取电子数据的相关活动进行录像的,应当审查电子数据的收集、提取过程,查看录像;(3)对计算电子数据的完整性校验值的,应当比对电子数据完整性校验值;(4)对制作、封存电子数据备份的,应当与备份的电子数据进行比较;(5)对冻结的电子数据,应当审查冻结后的访问操作日志(访问操作日志,是指为审查电子数据是否被增加、删除或者修改,由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录);(6)其他方法。
  19.电子数据合法性的审查与判断。对于收集、提取电子数据合法性的审查判断,《规定》第24条从以下几个方面作了规定:(1)收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;(2)收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚。(3)是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像。审查见证人签名或者录像,是核实电子数据完整性的必要手段,应当对上述情况进行审查。需要注意的是,通常只有在刑事诉讼法及有关规定要求见证人见证的情况下,才应审查是否由符合条件的人员担任见证人,在无见证人的情况下,审查是否对相关活动进行了录像。(4)对于进行电子数据检查的,还应当审查检查过程是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
  20.电子数据关联性的审查与判断。司法实践中经常遇到虚拟身份与真实身份对应以及存储介质的关联判断问题。例如,经常出现一人使用多个虚拟身份,或一个虚拟身份多人使用,多人共享同一上网线路的情况。同时由于部分网络服务提供商不保存日志,或移动上网日志中只保存IP地址和时间,不保存端口号,导致IP地址无法对应到唯一当事人或IP地址无法落地,虚实身份关联的唯一性难以认定。为方便司法适用,《规定》第25条规定:“认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。”“认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。”需要注意的是,对于存储介质的关联性判断,还可以提取必要的指纹、DNA等痕迹物证进行综合判断。
  21.鉴定人、检验人及有专门知识的人出庭。《规定》第26条明确规定:“公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。”“经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。”“公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。”“对电子数据涉及的专门性问题的报告,参照适用前三款规定。”
  22.电子数据的补正与排除。结合司法实践,《规定》第27条列举了五种类收集、提取电子数据存在瑕疵的情形:(1)未以封存状态移送的;(2)笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;(3)对电子数据的名称、类别、格式等注明不清的;(4)有其他瑕疵的。对于具有上述情形之一的电子数据,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据。
  此外,《规定》第28条规定电子数据具有下列情形之一的,应当予以排除:(1)对电子数据结合证人证言、被告人供述、被害人陈述等其他证据材料,通过庭外调查核实及鉴定、检验等方式综合审查后,确定电子数据系篡改、伪造或者无法确定真伪的,应当排除。(2)经综合审查,证明电子数据确被增加、删除、修改,并且影响电子数据真实性的(即非前文所述的善意增删改情形),应当排除。(3)其他无法保证电子数据真实性的情形。对于电子数据应当着重审查其真实性,如果通过综合审查判断,仍然无法保证真实性的,则应当排除。
  (作者单位:最高人民法院)