|
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》理解与适用
文/万春<等>
作者单位:最高人民检察院法律政策研究室
2016年9月9日,最高人民法院、最高人民检察院、公安部联合发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《规定》),自2016年10月1日起施行。《规定》是第一部系统规定刑事诉讼中电子数据取证和认证规则的司法解释性质文件,对解决电子数据取证难、认证难问题具有重要意义。为了准确理解和适用《规定》,现就有关内容作出解读。
一、《规定》制定的背景和过程
2012年刑事诉讼法修改,将电子数据增设为法定证据种类,进一步丰富了证据的外延,同时也为电子数据收集、移送和审查判断提出了新课题。2012年12月发布的《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》(以下简称《解释》)明确了电子数据审查与认定的基本原则。2014年最高人民法院、最高人民检察院、公安部联合发布的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称《意见》),对电子数据的收集主体、方式,电子数据的移送和涉及专门性问题的鉴定与检验等问题予以明确。但是,上述规定仍较为原则,侦查机关(部门)如何收集电子数据,检察机关和审判机关如何审查判断电子数据还缺乏细致的规定。例如,如何提取电子数据,如何保护电子数据的完整性,在无法封存原始存储介质和提取电子数据的情况下如何固定证据,在特定情况下能否要求网络服务提供者协助冻结电子数据以及冻结的程序要求,等等,亟待作出明确规定。实践中,公安机关、检察机关和审判机关对于电子数据应当符合哪些条件才能作为定案根据有不同认识。电子数据依然存在采信难的问题,绝大部分电子数据仍需要转化为书证、视听资料或者鉴定意见才能被采纳。为了进一步明确电子数据收集提取和审查判断规则,着力解决电子数据取证难、认证难的突出问题,最高人民法院、最高人民检察院和公安部共同研究起草了《规定》。初稿由公安部网络安全保卫局、法制局会同上海市、河北省、安徽省、重庆市、浙江省等地基层公安机关网络安全部门联合起草,听取了奇虎360科技有限公司、腾讯公司等社会机构的意见,并征求了公安部经济犯罪侦查、治安管理、刑事侦查、技术侦查等部门和中国人民公安大学的意见。2015年7月、2016年6月,最高人民法院研究室、最高人民检察院法律政策研究室、公安部网络安全保卫局先后在重庆、厦门两次召开座谈会,广泛听取地方公检法机关和相关法学专家、技术专家的意见。会后,又对《规定》中的主要问题和相关条文进行了集中研究和修改,并征求了全国人大常委会法制工作委员会的意见。三机关反复协商达成一致意见后,于2016年9月会签印发。
二、《规定》制定的指导思想
《规定》的起草贯彻以下指导思想:一是坚持同上位法和相关司法解释、司法解释性质文件保持协调和衔接。对于电子数据取证涉及的程序性问题,诸如初查的要求、技术侦查措施的适用条件等,刑事诉讼法和相关司法解释已有规定的,按照有关规定执行,不再另行规定;对有关规定已经作出明确规定的取证方法,在实践中执行良好的,《规定》予以保留;对虽有规定但不符合实际需要的,《规定》予以完善;对有关规定仅作出原则性规定的,《规定》予以具体化,使其更具有可操作性;对没有明确规定,但在长期实践中形成的较为成熟的做法,《规定》予以明确,进一步完善了电子数据证据规则体系。二是坚持问题导向,满足办案实践的需要。从实际出发,对司法实践中反映的电子数据取证难点问题作出了回应,如明确了电子数据冻结等新的证据收集、固定方式。三是坚持以审判为中心,按照裁判的标准和要求,完善电子数据取证和审查判断规则。明确侦查机关(部门)应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;检察机关、审判机关应当围绕真实性、合法性、关联性的证据标准审查判断电子数据。针对电子数据的特殊性,强调了对电子数据完整性的保护和审查。四是坚持打击犯罪与保障人权并重。在各个环节严格规范侦查机关(部门)收集固定电子数据的侦查活动,强调在电子数据取证过程中,要严格依照刑事诉讼法规定的程序收集提取电子数据,注重保护国家秘密、商业秘密、个人隐私以及公民的通信自由和通信秘密。
三、电子数据的界定
长期以来,理论界和实务界对电子数据的概念不是十分清晰,有的将通过电子设备存储的资料纳入视听资料的范畴,也有的将这类资料称为“电子物证”或者将其视为书证的一种。2012年刑事诉讼法修改时,将电子数据规定为法定证据种类,但没有明确其内涵和外延。目前,有关规定对电子数据的定义主要有两种表述方式。一种方式是对常见的电子数据形式进行列举。如《解释》第九十三条列举了电子邮件、电子证据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等电子数据。另一种方式是对电子数据的本质特征进行归纳概括。如公安部于2005年发布的《公安机关电子数据鉴定规则》规定,电子数据系“以数字化形式存储、处理、传输的数据。”
《规定》起草过程中,我们就电子数据的定义进行了认真研究。一致认为,概括式规定较为抽象,缺少对电子数据常见形态的示例,实践中难以准确把握电子数据的内涵;列举式规定无法揭示电子数据的本质特征,容易出现挂一漏万的问题,难以涵括未来可能出现的新的电子数据形式。采取先定性后列举的方式对电子数据的概念作出界定,有利于司法实践中准确理解其内涵和外延。因此,《规定》第一条明确了电子数据是“案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。”电子数据的常见形态包括但不限于下列信息、电子文件:一是网络平台发布的信息。包括网页、博客、微博客、朋友圈、贴吧、网盘等网络平台上发布的信息。二是网络应用服务的通信信息。包括手机短信、电子邮件、即时通信、通讯群组等的通信信息。三是记录类信息。包括用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息。四是电子文件。包括各类电子文档、电子图片、音视频、计算机程序、数据库文件、网络抓包文件、数字证书文件等。需要强调的是,上述分类只是便于在实践中理解和掌握。由于电子数据的表现形式复杂、种类多样,各类电子数据之间可能存在交叉,比如,数字证书本身是电子文件,当被用于确认用户在计算机信息系统上的操作权限时,又属于身份认证信息;再如,计算机信息系统日志,如果提取的是一条一条的记录,那么可以归为记录类信息,如果提取的是存储记录的数据库文件,那么又可以归为电子文件。
为了更准确地界定电子数据,《规定》明确了电子数据应当是在“案件发生过程中形成”的电子数据。[1]《规定》起草过程中,有意见提出,讯问同步录音录像和以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据与电子数据是否有区别?是否应当适用本规定?经研究认为,电子数据通常是在案件发生过程中形成的,讯问同步录音录像则是在案件发生后的侦查阶段形成的,属于对言词证据的记录,不属于《规定》所称的电子数据。同理,以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,也不属于电子数据。但考虑到上述证据材料与电子数据一样,都是以数字化形式存储的,《规定》第一条第二款规定:“确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。”
四、初查过程中收集的电子数据的证据资格
初查是侦查机关(部门)在立案审查阶段采取的专门调查措施,目的是收集必要的证据材料,确定是否有犯罪事实并需要追究刑事责任。侦查机关(部门)在立案审查过程中,对于事实或者线索不明的案件,仅仅对报案、控告、举报材料进行书面审查,无法确定是否符合立案条件,必须采取一定的调查措施,进一步查证案件事实。例如,在电信、网络诈骗案件中,仅有部分被害人报案,被骗金额达不到立案标准,在这种情况下,如果对犯罪分子银行账户的交易情况进行查询,就可以查明有无其他被害人,从而认定其是否构成诈骗罪。因此,在立案审查阶段赋予侦查机关(部门)一定的调查权是必要的,但为了保护公民的人身、财产权利,这种立案前的调查措施又必须受到严格的限制,与立案后的侦查措施有所区别。公安部于2012年12月发布的《公安机关办理刑事案件程序规定》第一百七十一条规定:“对接受的案件,或者发现的犯罪线索,公安机关应当迅速进行审查。对于在审查中发现案件事实或者线索不明的,必要时,经办案部门负责人批准,可以进行初查。初查过程中,公安机关可以依照有关法律和规定采取询问、查询、勘验、鉴定和调取证据材料等不限制被调查对象人身、财产权利的措施。”《人民检察院刑事诉讼规则(试行)》(以下简称《诉讼规则》)第一百七十三条规定:“在初查过程中,可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制初查对象人身、财产权利的措施。不得对初查对象采取强制措施,不得查封、扣押、冻结初查对象的财产,不得采取技术侦查措施。”根据上述规定,初查过程中不得扣押电子数据原始存储设备,也不得采取技术侦查措施,只能在勘验的过程中提取电子数据,或者通过网络在线提取电子数据,或者向有关单位和个人调取电子数据。上述规定对于初查过程中收集的电子数据能否作为证据使用均未予以明确。在征求意见过程中,全国人大常委会法制工作委员会认为,根据《解释》第六十五条的规定,只要依法进行初查,其间收集提取的电子数据即可在刑事诉讼中作为证据使用。事实上,公安机关在立案前开展的初查活动属于行政机关的行政执法和查办案件活动,因此在初查过程中收集的物证、书证、视听资料、电子数据等证据材料,在刑事诉讼中可以作为证据使用;经法庭查证属实,且收集程序符合有关法律、行政法规规定的,可以作为定案的根据。《诉讼规则》也规定了初查。如果初查阶段收集的电子数据不能在刑事诉讼中作为证据使用,要求侦查机关(部门)在立案后重新收集,会在很大程度上增加侦查机关(部门)的负担,并且,由于电子数据具有易丢失、易篡改、不稳定的特点,如不及时收集、提取和固定,事后很难再重新收集。为此,《规定》第六条专门规定,初查过程中收集、提取的电子证据,可以作为证据使用。
五、电子数据的收集与提取
(一)对取证人员和取证方法的要求。关于电子数据取证人员,《意见》规定:“收集、提取电子证据,应当由二名以上具备相关专业知识的侦查人员进行。”主要考虑电子数据取证的技术性较强,要求取证人员具备一定的专业技术知识,但该规定只是原则性规定,“具备相关专业知识”的标准模糊、不易判断。随着信息网络技术的发展,越来越多的普通刑事案件需要收集、提取电子数据,电子数据取证已成为基础性、普遍性的侦查工作。实践中,侦查人员通常会在扣押、封存电子数据原始存储介质后将提取电子数据的工作交给相关技术部门或者委托鉴定机构完成。根据刑事诉讼法第一百二十六条的规定,侦查人员进行勘验或者检查,在必要的时候,可以指派或者聘请具有专门知识的人,在侦查人员的主持下进行勘验、检查。按照上述规定,在勘验、检查现场收集、提取电子数据时,可以在侦查人员的主持下指派或者聘请具有专门知识的人参与,这能够在一定程度上弥补侦查人员自身专业知识的不足。事实上,只要取证过程符合法定程序和相关技术规范,能够保证收集、提取的电子数据的真实性、完整性即可,没有必要在侦查人员是否具备专业知识的问题上作硬性要求。有鉴于此,《规定》删去了“具备相关专业知识”的内容。关于电子数据取证方法,《意见》规定:“取证设备和过程应当符合相关技术标准,并保证所收集、提取的电子数据的完整性、客观性。”但是,随着科技进步,取证设备的更新速度很快,相关技术标准很难跟得上取证设备的发展。在一些高科技犯罪案件的侦办过程中,甚至没有现成的取证设备,侦查人员只能自行开发取证工具。在这种情况下,如果以新式取证设备或者侦查人员自己开发的工具没有相关技术标准为由而将收集、提取的电子数据予以排除,显然不合适。因此,《规定》没有对取证设备的技术标准作出要求,仅要求取证方法应当符合相关技术标准。实践中,对相关取证设备有疑问,可以通过出具说明、侦查实验、程序功能检验或鉴定予以验证。
(二)扣押电子数据原始存储介质。电子数据依赖于具备数据信息存储功能的电子设备、硬盘、存储卡等存储介质而存在。侦查机关(部门)可以在扣押原始存储介质之后提取电子数据,只要原始存储介质未被损坏,提取的过程就可以重复操作。因此,为保证电子数据的完整性,在收集电子数据时应尽量获取电子数据的原始存储介质。《意见》确立了“以扣押原始存储介质为原则,以直接提取电子数据为例外”的取证规则,规定“收集、提取电子数据,能够获取原始存储介质的,应当封存原始存储介质,并制作笔录,记录原始存储介质的封存状态,由侦查人员、原始存储介质持有人签名或者盖章;持有人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,侦查人员应当对相关活动进行录像。”有意见提出,“能够获取原始存储介质”的表述有歧义。例如,侦查机关(部门)能够找到并接触到原始存储介质,但是该原始存储介质无法封存或者不便移送,是否属于能够获取原始存储介质?实际上,这里的“能够获取原始存储介质”表述为“能够扣押原始存储介质”更准确。因此,《规定》第八条在表述上作出了相应的调整,规定“收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。”
针对实践中办案机关对电子数据原始存储介质的封存有不规范的问题,《规定》要求,封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
(三)直接提取电子数据和通过网络在线提取电子数据。《规定》第九条第一款规定,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值。[2]无法扣押原始存储介质的情形主要有:(1)原始存储介质不便封存的;(2)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;[3](3)原始存储介质位于境外的;(4)其他无法扣押原始存储介质的情形。
随着互联网的发展,电子数据与网络的关系越来越密切,提取电子数据可不受空间的限制,并能够保证电子数据的真实性和完整性,司法实践中,通过网络在线提取电子数据已经成为重要的侦查取证方式。在《规定》征求意见过程中,基层侦查实务部门强烈建议明确通过网络在线提取的电子数据的证据效力。全国人大常委会法制工作委员会也认为,对于通过网络在线提取的电子数据,只要取证过程能够保证电子数据的真实性、完整性,可以作为证据使用。为此,《规定》第六条明确了网络在线提取电子数据的证据效力,第九条第二款规定:“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。”我们认为,对于原始存储介质位于异地,或者原始存储介质虽然位于本地,但案件尚在初查过程中,侦查人员不便进入现场、不及时提取电子数据可能造成证据灭失,且相关电子数据能够通过网络在线提取的,属于该款规定的“远程计算机信息系统上的电子数据”,可以通过网络在线提取。
需要说明的是,《规定》第九条第一款规定的直接提取电子数据和第九条第二款规定的通过网络在线提取电子数据都规定了“原始存储介质位于境外”这个条件。可能使人理解为直接提取电子数据一般是在进行现场勘验、检查过程中通过犯罪现场的计算机设备直接提取,而通过网络在线提取电子数据则是通过任意一台计算机设备连接互联网在线提取电子数据。但实际上,在原始存储介质位于境外的情况下,无论从哪一台计算机设备上提取,都不是从原始存储介质上提取,而是通过网络进行操作,但从保证电子数据的真实性、完整性的效果上看,通过网络在线提取电子数据和从原始存储介质上直接提取电子数据又没有实质性差别。因此,直接提取电子数据和通过网络在线提取电子数据并不是并列关系,而是包含与被包含的关系,直接提取包括通过网络在线直接提取。
(四)网络远程勘验和技术侦查措施。《规定》第九条第三款规定:“为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。”以往司法实践中没有明确区分网络在线提取电子数据和网络远程勘验的概念,一般统称为远程勘验。[4]二者都是通过网络进行操作,最终的目的也都是提取电子数据,区别在于,网络在线提取,只是通过网络公共空间对网页、网上视频、网盘文件上的电子数据进行提取,可以理解为从网上下载文件。而网络远程勘验,则是通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦破案件、刑事诉讼提供线索和证据的侦查活动。网络远程勘验类似于对犯罪现场的勘验,现场勘验的任务是进入与犯罪有关的场所,发现、固定、提取与犯罪有关的痕迹、物证及其他信息,记录现场的有关情况,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据。在传统犯罪中,犯罪嫌疑人会在犯罪现场留下指纹、足迹、DNA、凶器等痕迹和物证。而在网络犯罪等高科技犯罪中,犯罪嫌疑人使用计算机、网络、手机等智能终端设备时,在虚拟空间中也会留下相关的犯罪痕迹和侦查线索,与传统犯罪现场相比,遗留的线索和证据材料多是以电子数据的形式存在。网络犯罪现场可能是一台计算机、一台手机、一个局域网甚至是一个大型网络,可能涉及多个地域。犯罪嫌疑人的物理活动范围和涉案电子设备的物理地址有可能是分离的,比如,犯罪嫌疑人在国内,赌博网站、淫秽色情网站的服务器托管地却在国外。网络远程勘验的目的就是进入特定计算机信息系统去寻找与犯罪相关的证据,判断案件性质,分析犯罪过程。
由于一些技术侦查措施也能够通过网络完成,因此,利用计算机网络实施的技术侦查措施和网络远程勘验可能存在交叉。对于二者的界限,目前认识尚不统一,《规定》未予以明确,有待进一步研究。一般认为,网络远程勘验属于一般性的侦查活动,侦查机关(部门)均可以执行,而采取技术侦查措施有着严格的适用范围、审批程序、种类和执行部门的限制。根据刑事诉讼法第一百四十八条规定,公安机关在立案后,对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件,检察机关在立案后,对于重大的贪污、贿赂犯罪案件以及利用职权实施的严重侵犯公民人身权利的重大犯罪案件,根据侦查犯罪的需要,经过严格的批准手续,可以采取技术侦查措施。根据《公安机关办理刑事案件程序规定》第二百五十五条的规定,技术侦查措施是指由设区的市一级以上公安机关负责技术侦查的部门实施的记录监控、行踪监控、通信监控、场所监控等措施。我们认为,侦查人员未经授权,采取侵入或者控制他人计算机信息系统的手段,对他人的记录、行踪、通信等进行监控的,应当认定为技术侦查措施,必须符合刑事诉讼法规定的条件,并依法经过严格的批准手续,方可实施。
(五)采取打印、拍照或者录像等方式固定证据。《意见》明确了收集、提取电子数据应当以扣押原始存储介质为原则,以直接提取电子数据为例外。《规定》重申了这一原则。但是,我们注意到,实践中存在既无法扣押、封存原始存储介质,又不能提取电子数据的情况。例如,目前市场上流行的一些即时通信软件(如“支付宝”“钉钉”等)开发了“阅后即焚”功能,开启这种通信模式后,用户在点击阅读信息后5秒左右该信息即被自动删除,并且常常采用覆盖删除的方式,难以恢复,这就需要在极短的时间内迅速将电子数据固定下来,否则相关证据将灭失,即使扣押、封存手机也无法恢复数据。还有船舶的导航系统等部分工控系统,只有操作界面,没有接口可以导出数据,侦查机关(部门)不可能将整个船舶或者大型系统扣押,因此,既有的取证规则明显不能适应现实需要。此外,在实践中,大量的轻微刑事案件是由基层公安机关派出所侦办,但派出所往往没有专业取证设备,或者由于技术条件的限制,无法直接提取电子数据,为防止证据灭失,需要及时采取必要措施将证据固定下来。基于上述考虑,《规定》第十条规定:“由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。”需要注意的是,打印、拍照、录像等方式只能在无法扣押、封存原始存储介质,又不能提取电子数据的情况下使用,并在笔录中注明原因。
(六)冻结电子数据。随着云计算、大数据等信息技术的发展,越来越多的电子数据存储在云系统中,无法扣押原始存储介质,直接提取海量电子数据的难度非常大,不仅耗时、费力、低效,难以保证提取过程中电子数据不会被篡改和灭失,并且在提取后不便展示,这给侦查取证带来很大困扰。例如,2015年4月,浙江省宁波市余姚市公安局通过前期侦查,对涉及全国多个省市的网络贩卖传播淫秽视频团伙进行了统一抓捕,共计抓获21名犯罪嫌疑人,查扣涉案网盘近千个,在远程提取过程中面临困难,按照一条100兆光纤(属较高级别带宽)下载速度及运行商能够提供的最高限速,在全程无中断情况下,预计花费时间为15至16个月。又如,“E租宝”案中大量电子证据是从云系统提取的,这些数据只有在云环境下才方便查看、筛选,为提取后查看、筛选这些数据,公安机关不得不耗费大量人力物力又搭建了一个相同的云环境,增加了不必要的办案成本。
为了解决上述问题,《规定》第十一条、第十二条创设性地规定了冻结电子数据的证据保全措施,明确了在四种情形下,经县级以上公安机关负责人或者检察长批准,可以要求电子数据持有人、网络服务提供者或者有关部门协助侦查机关(部门)对数据进行冻结:一是数据量大,无法或者不便提取的;二是提取时间长,可能造成电子数据被篡改或者灭失的;三是通过网络应用可以更为直观地展示电子数据的;四是其他需要冻结的情形。冻结电子数据的目的是在一定时间内(通常是诉讼期间内)使电子数据不被增加、删除或者修改,甚至不能被未经授权的人员查看。冻结电子数据的方法应当采取以下一种或者几种方法:一是计算电子数据的完整性校验值;二是锁定网络应用账号,如设置相应的访问控制权限;三是其他防止增加、删除、修改电子数据的措施。实践中,大部分网络服务提供商已经面向用户开展冻结服务,并且具备了内部的技术操作规范,能够保证在技术上安全可行。另外,公安部也正在就冻结的具体技术问题制定相应行业标准。关于冻结电子数据的展示问题,按照《规定》的要求,侦查机关(部门)应当要求网络服务提供者提供查看工具以及查看方法的说明。实践中,还可以请有专门知识的人协助进行展示。关于冻结和解除冻结电子数据的程序,《规定》明确,冻结电子数据应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
(七)调取电子数据。《规定》第三条和第十三条对调取电子数据作出了规定。法院、检察机关和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。
(八)收集、提取电子数据的程序要求。《规定》第十四条要求,收集、提取电子数据,应当制作笔录,记录案由、对象、内容,收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等。实践中,尤其需要注意的是,为了确保电子数据的真实性和完整性,应当在第一时间计算完整性校验值,并在笔录中记录下来,以便在之后的诉讼阶段可以通过比对完整性校验值来验证电子数据是否被篡改。《意见》要求在电子数据收集提取笔录中记录电子数据的“规格”。实践中反映,电子数据的“规格”不明确,需要记录什么内容各方认识不一,为此,《规定》删除了记录电子数据“规格”的要求。收集、提取电子数据的笔录应当由侦查人员、电子数据持有人或者提供人签名或者盖章;电子数据持有人或者提供人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。需要注意的是,在收集、提取电子数据的笔录中,一般只需要电子数据持有人(提供人)签字盖章即可,只有当持有人(提供人)无法签名或者拒绝签名的情况下,才应由见证人签名或者盖章。在电子数据持有人(提供人)和见证人均不在场的情况下,必须对收集、提取电子数据的过程进行录像。
(九)对见证人的要求。《规定》第十五条对见证人作了集中规定,要求收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。该条规定仅针对刑事诉讼法规定的勘验等需要有见证人在场的情形,而对于电子数据检查、侦查实验等不涉及见证人的问题。根据刑事诉讼法第一百三十一条、第一百三十八条、第一百四十条的规定,侦查人员进行勘验、检查、搜查、查封、扣押时,应当有见证人在场。勘验、检查、搜查笔录和查封、扣押清单应当由见证人签名或者盖章。在案件审理过程中,相关笔录、清单是否有见证人签名或者盖章是审判人员着重审查的内容之一。
《解释》第六十七条规定:“下列人员不得担任刑事诉讼活动的见证人:(1)生理上、精神上有缺陷或者年幼,不具有相应辨别能力或者不能正确表达的人;(2)与案件有利害关系,可能影响案件公正处理的人;(3)行使勘验、检查、搜查、扣押等刑事诉讼职权的公安、司法机关的工作人员或者其聘用的人员。”有意见提出,如果不允许辅警、保安人员等作见证人,实践中难以找到合适的人担任见证人,例如,在一些偏远地区的案件现场,难以找到群众作见证人。有的意见认为,在勘验、检查过程中,收集、提取的电子数据可能涉及国家秘密和国家安全,或者涉及暴力恐怖主义、宗教极端主义、民族分裂、淫秽色情等违法信息,如安排见证人在场,可能会造成泄密和违法信息传播的问题。因此,具有上述情形的,不宜有见证人在场。经研究,对于案件涉及国家秘密和违法信息的情形,刑事诉讼法并未明确规定可以没有见证人在场,不安排见证人没有法律依据,但应当十分慎重,采取必要的保密措施,仅对勘验、检查和扣押、封存原始存储介质的过程进行见证,不得向见证人展示电子数据的内容。对于实践中找不到合适见证人的情况,《规定》第十五条规定,对确实由于客观原因,无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。鉴于实践中经常遇到需要对大量计算机信息系统收集、提取电子数据的情况,如一个网吧有上百台计算机需要进行现场勘验,如果每台计算机均需要见证人,实践中无法操作且没有必要。因此,《规定》第十五条第二款规定:“针对同一现场的多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。”
争议较大的问题是,网络远程勘验是否应当有见证人参与?实践中要求见证人见证网络远程勘验存在如下问题:一是对于电子数据远程勘验涉及国家秘密、淫秽色情、宗教极端、民族分裂、暴力恐怖等内容时,存在泄密或者违法信息、敏感信息传播等问题;二是部分远程勘验耗时较长,很难有见证人愿意配合;三是电子数据极易灭失,在很多情况下,存在同案犯对远程数据删除的隐患,寻找合适见证人可能会影响电子数据提取、固定的时效性,影响远程勘验效果。实践中,大量所谓“远程勘验”实为在线提取,如前文所述,网络远程勘验与通过网络在线提取电子数据是不同的概念,根据《规定》第十五条,如果进行的是网络远程勘验,则根据刑事诉讼法应当有见证人进行见证,由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像;如果是通过网络在线提取电子数据,由于刑事诉讼法并未要求见证人见证,实践中对于见证人和录像的要求应当灵活把握,如对可重复提取的网页、视频等,可以通过再次提取进行验证,而对于已被网站删除、无法在线提取的,则可以优先审查其同步录像,而非优先审查是否有见证人在场。
(十)电子数据检查和侦查实验。实践中,侦查机关(部门)扣押的原始存储介质中存储的电子数据以及从现场收集、提取的电子数据往往数量巨大,掺杂着许多与案件事实无关的数据,以原始状态移送,很难清晰地证明案件事实,需要进一步分析整理;有的电子数据作了加密处理,无法读取,需要破解密码;有的电子数据被犯罪分子删除或者原始存储介质损坏而遭到破坏,需要通过技术手段恢复数据,才能作为证据移送;在一些情况下,需要对相关电子数据进行统计、关联和比对,例如,在网络赌博案件中,需要在投注额与虚拟点数之间进行换算统计;在网络侵犯知识产权案件中,需要对盗版软件和正版软件进行比对等。这些工作并不是一律需要委托专门机构进行鉴定或者检验,完全可以由侦查人员通过技术手段完成。为此,《规定》第十六条规定:“对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。”检查既是发现和提取与案件相关的线索和证据的过程,也是查明案情的过程,是取证工作的延续。通过对电子数据进行检查,能够更加直观地展现电子数据与案件事实的关联性。为保证电子数据检查的可复现性、确保电子数据在检查过程中的真实性、完整性,《规定》对电子数据检查作出如下要求:(1)应当对电子数据存储介质拆封过程进行录像;(2)将电子数据存储介质通过写保护设备接入到检查设备进行检查;(3)有条件的,应当制作电子数据备份,对备份进行检查;(4)无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像;(5)应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。
随着信息技术的发展,犯罪分子借助新技术实施犯罪的手法不断翻新,侦查实验成为侦查机关(部门)查明案情的重要侦查方法。刑事诉讼法第一百三十三条规定:“为了查明案情,在必要的时候,经公安机关负责人批准,可以进行侦查实验。”第四十八条将侦查实验笔录列为法定证据种类。《公安机关刑事案件现场勘验检查规则》第七十四条规定:“为了证实现场某一具体情节的形成过程、条件和原因等,可以进行现场实验。”就电子数据来说,侦查实验的目的主要是验证在一定条件下是否存在特定电子数据,确定计算机程序是否具备特定功能和查明案件情况。例如,2013年,公安机关发现一个利用生产手机时植入木马实施诈骗的新型犯罪团伙,该团伙伙同多个山寨手机制造厂商,在手机生产时植入硬件级木马,不仅恶意吸收用户话费,而且利用用户手机大量发送诈骗短信,实施诈骗活动,单笔诈骗金额高达500万元。但是,当时对于生产手机时植入木马实施诈骗的犯罪手法尚无专门的检验技术,公安机关或者鉴定机构并不具备提取或者分析硬件级木马的能力,公安机关只有利用侦查实验分析硬件级手机木马的功能,证明了被控制的手机数量等事实。实践证明,侦查实验已经成为网络犯罪等高科技犯罪的侦查“利器”。为此,《规定》明确了侦查机关认为必要时可以对电子数据进行侦查实验,并规定了进行侦查实验应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
六、电子数据的鉴定与检验
司法实践中,对专门性问题难以确定时,往往需要由司法鉴定机构出具鉴定意见。但是,电子数据鉴定作为一个新的鉴定领域,有资质的电子数据鉴定机构数量较少,导致许多专门性问题无法由有资质的鉴定人出具鉴定意见。例如,办理危害计算机信息系统安全刑事案件过程中,经常会涉及对计算机病毒、计算机程序功能、数据统计数量、数据同一性认定等问题,但是,具有相应鉴定资质的机构较少,难以满足办案需求。为此,2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条规定,对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”“专门用于侵入、非法控制计算机信息系统的程序、工具”“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。《解释》第八十七条第一款规定:“对案件中的专门性问题需要鉴定,但没有法定司法鉴定机构,或者法律、司法解释规定可以进行检验的,可以指派、聘请有专门知识的人进行检验,检验报告可以作为定罪量刑的参考。”同时,《解释》第九十三条第二款明确规定:“对电子数据有疑问的,应当进行鉴定或者检验。”首次确立了电子数据鉴定和检验并行的原则,有利于发挥检验对鉴定的补充作用。随着电子数据被确认为法定证据种类,电子数据鉴定的需求越来越大,社会上有资质的电子数据鉴定机构的数量也有一定增长,但与现实的司法需求相比,仍有相当差距。因此,鉴定与检验双轨制的做法在一定时期内不会改变。《意见》进一步规定“对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具检验报告”,便利了网络犯罪案件的侦办。考虑到鉴定和检验是审查电子数据的共性问题,并不限于危害计算机信息系统安全刑事案件和网络犯罪案件,同时,对于检察机关办理自侦案件也需要进行电子数据检验,《规定》第十七条规定:“对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。具体办法由公安部、最高人民检察院分别制定。”该案对电子数据鉴定和检验并行的原则作了扩展。
鉴定人、检验人出庭质证,有利于保障公诉人和当事人对鉴定意见、检验报告提出异议的权利,也有助于法官查明案件事实。《规定》第二十六条明确了公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请法院通知鉴定人出庭作证;法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。经法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。为督促鉴定人出庭,还规定了对没有正当理由拒不出庭作证的鉴定人,法院应当通报司法行政机关或者有关部门。对电子数据涉及的专门性问题作出的报告,也适用上述规定。
审查电子数据鉴定意见或者检验报告需要具备一定的专业知识,但法官是法律专家,不是技术专家。公诉人、当事人、诉讼参与人对电子数据鉴定意见和检验报告的质证,也需要具备相关知识的人提供专业辅助。专家辅助人出庭并发表意见可以为法官审查判断鉴定意见、检验报告提供参考,有助于法庭对鉴定意见、检验报告的科学性作出判断,并能够减少重复鉴定和检验的发生,节约诉讼资源,提高审判效率。同时,强化了庭审对抗,打破了审判过分依赖鉴定意见、检验报告的局面,能够防止错误的鉴定意见和检验报告对法官裁判造成影响。《规定》第二十六条第三款、第四款规定,公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见和对电子数据涉及的专门性问题的报告提出意见。
七、电子数据的移送与展示规则
(一)电子数据的移送。《规定》第十八条、第十九条、第二十条规定了电子数据移送的具体要求,明确了以下规则:一是对收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送,以防止对电子数据进行人为篡改。二是对文档、图片、网页等可以直接展示的电子数据,可以不随案移送电子数据打印件,但应当附展示方法说明和展示工具;法院、检察机关因设备等条件限制无法直接展示电子数据的,侦查机关(部门)应当随案移送打印件。三是对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。四是对入侵、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。五是对数据统计、数据同一性等问题,侦查机关(部门)应当出具说明。针对电子数据移送不规范、不及时的问题,《规定》要求,公安机关报请检察机关审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送检察机关审查起诉的,应当将电子数据等证据一并移送检察机关。检察机关在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。对于提起公诉的案件,法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知检察机关。公安机关、检察机关应当自收到通知后三日内移送电子数据或者补充有关材料。
(二)电子数据的展示。《规定》第二十一条明确了电子数据的展示方法。控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
八、电子数据的审查与判断
(一)对电子数据真实性和完整性的审查。《规定》第二十二条明确了对电子数据的真实性,应当着重审查五个方面的内容:一是是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况。二是电子数据是否具有数字签名、数字证书[5]等特殊标识。例如,从某黑客教学网站上在线提取了一个公开下载的恶意软件,在审查该软件的真实性时,一般可以通过重复提取进行验证,但是可能出现该软件已经被网站删除、无法重复提取的情况,这时如果在提取该软件的同时提取了该软件附带的数字签名的话,那么,即使在网站上的恶意软件被删除的情况下,通过验证数字签名仍然可以证明该软件来自该网站。实践中,对数字签名、数字证书的验证既可以通过特定的软件工具进行,也可以请具有专门知识的人协助,还可以请有关侦查人员进行演示。需要强调的是,并不是所有的电子数据都附有数字签名或者数字证书,不能因为电子数据没有数字签名或者数字证书就否定其真实性。三是电子数据的收集、提取过程是否可以重现。电子数据可以同原始存储介质相分离,存储在计算机中电子文档,可以从计算机中导出,存储于移动硬盘、U盘等存储介质之中。提取的电子数据是否与原数据完全一致,有时可以通过复现提取过程进行审查判断。例如,审查电子数据检查过程中从扣押的原始存储介质中恢复的电子数据的真实性时,除了审查扣押时的有关笔录和原始存储介质的封存状态外,还可以再次进行数据恢复,并比较两次数据恢复的内容是否相同。但是需要强调的是,实践中并非所有的电子数据收集提取过程都具有可复现性,例如,拒绝服务攻击案件中从网络截取的攻击数据包,或者从计算机内存中提取的电子数据,这些数据在拒绝服务攻击结束或者计算机关机后就会丢失,收集提取过程无法复现,不能因收集提取过程不能重现就否定电子数据的真实性。四是电子数据是否真实,如有增加、删除、修改等情形的,是否附有说明。一般来说,电子数据发生增加、删除、修改,其真实性必然受到质疑。但有些时候,电子数据的增加、删除、修改并不影响真实性。例如,为了使部分损坏的视频文件能够正常播放,侦查人员通过给文件增加某些数据(通常是文件头)的方式来修复损坏的文件,使其能够正常播放;再如,为了查看某一乱码的电子文档,侦查人员删除文档的第一个字节(在计算机系统中,通常一个中文字符需要两个字节,比如AA显示为“甲”,BB显示为“乙”,CC显示为“丙”,某文档每个字节为AABBCC,则打开该文档显示为“甲乙丙”,如果该文档的第一个字节丢失,则其每个字节为ABBCC,打开该文档时计算机系统会将其组合为AB、BC,则会显示乱码,为了正常打开该文件,常见修复方法就是删除第一个字节A);又如,为了打开部分损坏的图片文件,对文件错误的字节进行修改,不会影响图片的内容。因此,在审查电子数据真实性时,当发现电子数据有增加、删除、修改的情形时,应当具体分析电子数据的增加、删除、修改是为了便于展示电子数据而作出的技术处理,还是有意篡改电子数据,对电子数据的改动是否影响电子数据所承载的内容或者证明的事实。侦查机关(部门)为了读取电子数据而对其进行必要的增加、删除和修改,属于数据恢复和修复,一般会在电子数据检查的环节进行,《规定》要求制作相关笔录,并注明检查方法、过程和结果。因此,在审查电子数据真实性时,发现电子数据有增加、删除、修改情形的,应当注意审查笔录中的相关说明。五是电子数据的完整性是否可以保证。传统证据的证据能力包括真实性、合法性、关联性。对电子数据来说,电子数据的完整性是真实性的重要内容。如果完整性无法保证,则意味着电子数据可能被篡改或者破坏,其真实性也难以保证。因此,《规定》将对电子数据完整性的审查纳入了证据真实性审查的范畴,并规定了电子数据完整性的保护方法和验证方法。
《规定》第五条列举了六种保护电子数据完整性的方法。相应地,《规定》第二十三条规定了对电子数据完整性的审查方法。对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:一是扣押、封存电子数据原始存储介质,应当审查原始存储介质的扣押、封存状态,实践中,在可行的情况下,应尽量封存原始存储介质,以保证其完整性;二是对收集、提取电子数据的相关活动进行录像,应当审查电子数据的收集、提取过程,查看录像;三是计算电子数据的完整性校验值,应当比对电子数据完整性校验值;四是对制作、封存的电子数据进行备份,应当与备份的电子数据进行比较;五是对于冻结的电子数据,一般均会由计算机信息系统自动记录被冻结电子数据的访问操作日志,应当审查冻结后的访问操作日志;六是其他方法。需要说明的是,对电子数据真实性、完整性的审查判断并不要求全部满足《规定》中的各项审查要点。在法庭审查过程中,审判人员应当通过听取控辩双方意见、询问相关人员等多种方式审查判断电子数据的内容和制作过程的真实性。
(二)对电子数据合法性的审查。《规定》第二十四条明确,对收集、提取电子数据是否合法,应当着重审查以下内容:一是收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准。二是收集、提取电子数据是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚。审查经侦查人员、电子数据持有人(提供人)、见证人签名的相关笔录或者清单,是核实电子数据真实性和完整性的必要手段。为了确保电子数据的真实性、完整性,《规定》要求以笔录形式记录现场提取电子数据的过程,以清单形式记录提取电子数据的结果。因此,在审判环节,对于经勘验、检查、搜查等侦查活动收集的电子数据,审判人员应当审查是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名,没有持有人签名的,应审查是否注明原因。三是是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像。审查见证人签名或者录像,是核实电子数据取证过程合法性的重要手段,审判人员应当对上述情况进行审查,但是需要强调的是,只有在刑事诉讼法规定需见证人见证的情况下,才应审查是否由符合条件的人员担任见证人,只有在没有见证人的情况下,才需要审查是否对相关活动进行了录像。四是电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
(三)对网络身份与现实身份同一性和犯罪嫌疑人、被告人与存储介质关联性的审查。身份同一性的认定和“人机对应”是排除合理怀疑的必然要求,也是实践中认定的难点。《规定》第二十五条明确,认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
(四)瑕疵证据的补正与排除。《规定》第二十七条列举了四种收集提取电子数据存在瑕疵的情形:一是未以封存状态移送的;二是笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;三是对电子数据的名称、类别、格式等注明不清的;四是有其他瑕疵的。例如,制作、取得的时间、地点、方式等有疑问,不能提供必要证明或者作出合理解释,来源不明的电子数据,在真实性方面存在疑问,不能作为定案的根据。上述情形经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据。
(五)不得作为定案根据的电子数据。《规定》第二十八条规定了具有三种情形的电子数据不得作为定案的根据:一是电子数据系篡改、伪造或者无法确定真伪的。结合证人证言、被告人供述、被害人陈述等其他证据材料,以及通过庭外调查核实、鉴定或者检验等方式综合审查后,能够认定电子数据确系篡改、伪造或者无法确定真伪的,应当排除。二是电子数据有增加、删除、修改等情形,影响电子数据真实性的。但是,出于展示证据的客观需要而对电子数据进行增加、删除、修改等技术处理,不影响电子数据真实性的,对该电子数据不应予以排除。三是其他无法保证电子数据真实性的情形。
[编辑:常锋]
【注释】
最高人民检察院法律政策研究室主任。本文作者还有最高人民检察院法律政策研究室王建平、吴孟栓、高翼飞。
[1]对案件发生过程中形成的电子数据应作广义理解,不仅包括犯罪行为实行阶段形成的电子数据,还包括为实行犯罪准备工具、制造条件的犯罪预备阶段形成的电子数据以及犯罪实行终了以后行为人为掩盖犯罪事实对电子数据进行删除、修改过程中形成的电子数据。
[2]完整性校验值,是为防止电子数据被篡改或者破坏,使用散列算法(又称哈希算法,英文为“Hash”)等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。
[3]分布式拒绝服务(DDoS:DistributedDenialofService)攻击案件中从网络截取的攻击数据包就属于典型的网络传输数据,与计算机内存数据一样,此类数据并非存储于存储介质上,又称为易丢失数据。
[4]如2005年公安部颁布的《计算机犯罪现场勘验与电子证据检查规则》第三条规定,远程勘验是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
[5]数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。电子数据所附带的数字签名或者数字证书具有验证电子数据的真实性的作用。
|