· 【颁布单位】最高人民法院 最高人民检察院 公安部
· 【发文字号】
· 【颁布时间】2016-9-20
· 【失效时间】
· 【法规来源】http://www.spp.gov.cn/xwfbh/wsfbt/201609/t20160920_167380_1.shtml
· 【全文】
·
最高人民法院 最高人民检察院 公安部
关于办理刑事案件收集提取和审查判断电子数据若干问题的规定
为规范电子数据的收集提取和审查判断,提高刑事案件办理质量,根据《中华人民共和国刑事诉讼法》等有关法律规定,结合司法实际,制定本规定。
一、一般规定
第一条 电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
电子数据包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。
以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。
第二条 侦查机关应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。
第三条 人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。
第四条 电子数据涉及国家秘密、商业秘密、个人隐私的,应当保密。
第五条 对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性:
(一)扣押、封存电子数据原始存储介质;
(二)计算电子数据完整性校验值;
(三)制作、封存电子数据备份;
(四)冻结电子数据;
(五)对收集、提取电子数据的相关活动进行录像;
(六)其他保护电子数据完整性的方法。
第六条 初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。
二、电子数据的收集与提取
第七条 收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。
第八条 收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
第九条 具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)原始存储介质位于境外的;
(四)其他无法扣押原始存储介质的情形。
对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。
为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。
第十条 由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。
第十一条 具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
第十二条 冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)其他防止增加、删除、修改电子数据的措施。
第十三条 调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。
第十四条 收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。
第十五条 收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。
针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。
第十六条 对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。
电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
第十七条 对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。
具体办法由公安部、最高人民检察院分别制定。
三、电子数据的移送与展示
第十八条 收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。
对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。
对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。
第十九条 对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。
对数据统计量、数据同一性等问题,侦查机关应当出具说明。
第二十条 公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。人民检察院在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。
对于提起公诉的案件,人民法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知人民检察院。
公安机关、人民检察院应当自收到通知后三日内移送电子数据或者补充有关材料。
第二十一条 控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
四、电子数据的审查与判断
第二十二条 对电子数据是否真实,应当着重审查以下内容:
(一)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;
(二)电子数据是否具有数字签名、数字证书等特殊标识;
(三)电子数据的收集、提取过程是否可以重现;
(四)电子数据如有增加、删除、修改等情形的,是否附有说明;
(五)电子数据的完整性是否可以保证。
第二十三条 对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:
(一)审查原始存储介质的扣押、封存状态;
(二)审查电子数据的收集、提取过程,查看录像;
(三)比对电子数据完整性校验值;
(四)与备份的电子数据进行比较;
(五)审查冻结后的访问操作日志;
(六)其他方法。
第二十四条 对收集、提取电子数据是否合法,应当着重审查以下内容:
(一)收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;
(二)收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚;
(三)是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像;
(四)电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
第二十五条 认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
第二十六条 公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。
经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。
公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。
对电子数据涉及的专门性问题的报告,参照适用前三款规定。
第二十七条 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
(一)未以封存状态移送的;
(二)笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;
(三)对电子数据的名称、类别、格式等注明不清的;
(四)有其他瑕疵的。
第二十八条 电子数据具有下列情形之一的,不得作为定案的根据:
(一)电子数据系篡改、伪造或者无法确定真伪的;
(二)电子数据有增加、删除、修改等情形,影响电子数据真实性的;
(三)其他无法保证电子数据真实性的情形。
五、附 则
第二十九条 本规定中下列用语的含义:
(一)存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。
(二)完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。
(三)网络远程勘验,是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。
(四)数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
(五)数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
(六)访问操作日志,是指为审查电子数据是否被增加、删除或者修改,由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。
第三十条 本规定自2016年10月1日起施行。之前发布的规范性文件与本规定不一致的,以本规定为准。
《收集提取和审查判断
电子数据规定》
之
逐条评析
作者:谢君泽
为规范电子数据的收集提取和审查判断,提高刑事案件办理质量,根据《中华人民共和国刑事诉讼法》等有关法律规定,结合司法实际,制定本规定。
点评:2013年修订的《刑事诉讼法》及后续出台的司法解释虽然明确了电子数据作为证据的法律地位,但缺少具体的电子证据规则。本规定作为第一个关于电子数据的专门性规定,不管对于学术研究亦或司法实务均具有十分重要的指导价值。
一、一般规定
第一条 电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
电子数据包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。
以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。
点评:本条规定了电子数据的概念与范畴。本条采用三种方式对电子数据的概念进行界定。
一是,下定义。即,电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。这里的问题是:
1、电子数据是否一定是“案件发生过程中形成”,值得商榷。举一反例,比如说,某犯罪嫌疑人注册了一个电子邮箱,一般来说,涉案的电子邮件内容可能是案件发生过程中形成。但是,电子邮箱的用户注册信息,显然是案件发生之前所形成。不可否认的是,电子邮箱的用户注册信息对于案件事实及嫌疑人的认定具有十分重要的证明价值,属于能够证明案件事实的电子数据。
2、电子数据是否一定是以“数字化”形式存储、处理、传输的。“数字化”是一个引自技术领域的概念,其原意是指模拟信号转变为数字信号(一般指二进制代码)的过程。不可否认的是,随着信息技术的发展,绝大多数的信息目前都已经以数字信息的形式来表达。然而,毕竟还有不少以模拟信号形式表达的数据,比如以磁带、胶片等方式存储的声音、图像信息。那么,这些以模拟信号形式存储的数据信息,就不属于电子数据?不论若何,笔者认为,用“数字化”形式来归纳电子数据特点虽然具有不周延性,然而倒非不可接受。
3、电子数据是否一定是“能够证明案件事实”的。答案是肯定的。结合证据的传统理论,电子数据之所以能够成为诉讼意义上的证据,因为其与案件事实具有证明上的相关性。4、电子数据是“……的数据”。根据逻辑学下定义的范式,对电子数据进行定义需要引用一个属概念。这里采用了“数据”作为“电子数据”的属概念,是否合适值得讨论。这里的另一个问题是,关于证据是什么?传统证据理论有多种学说。如,“事实说”“认为,证据是能够证明案件事实的“事实”;“根据说”认为,证据是能够证明案件事实的“根据”;“材料说”认为,证据是能够证明案件事实的“材料”,等等。笔者建议,在信息化语境及趋势下,电子数据可以率先采用“信息说”。即,电子数据是能够证明案件事实的“信息”。
二是,正面例举。本规定结合司法实务经验,对典型的电子数据形式进行了例举。其中,
第一类是:网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息。这里第一个问题是,网页、博客、微博客、朋友圈、贴吧、网盘等所在网站或服务器是“网络平台”吗?这种理解,确实有些颠覆性。其次,即使是“网络平台”,这些信息是网络平台“发布”的吗?显然,这些信息绝大多数应该是多络用户发布的。当然,不排除少数网站运营人自己也主动发布些许信息。
另一个值得注意并已经引起关注的问题是,本规定亦将朋友圈、网盘的信息纳入了电子数据的范畴。从实体法角度理解,朋友圈、网盘与网页、博客、微博客等的区别在于:网页、博客、微博客等属于公开发布的信息,属于公共空间中的信息,可以类比于公共场所中的信息;而朋友圈不属于公共空间中的信息,而属于特定空间中的信息,可以类比于私人住宅中的信息;网盘则属于个人空间中的信息,可以类比于私人保险柜中的信息。不同性质的信息,不管在实体法的权利保护上,亦或是程序法取证的权力制约上,应当截然不同。本规定虽然对前述不同性质的信息皆于概囊,但在后续取证规定中并未予区分并规以程序制约,可谓憾事。
第二类是:手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息。这里对于通讯类的信息做了专门例举。如前所述,微信群、QQ群等通讯群组属于特定空间中的信息;而手机短信、电子邮件、即时通信等主要属于个人空间中的信息。值得注意的是,从技术意义上讲,通讯群组与私聊信息都属于即时通讯,这里再次体现了例举界定方法的交叉性与不周延性。
第三类是:用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息。对于本类中的用户注册信息、身份认证信息、登录日志等主要是用于证明犯罪行为的指向,将犯罪行为与犯罪嫌疑人之间建立“人——数据”之间的关联性连结点。而,本类中的电子交易记录、通信记录等则主要是用于证明犯罪过程事实本身。值得注意的是,这里的“通信记录”与前述第二类中例举的证据形态再次形成交叉。即,手机短信、电子邮件、即时通信、通讯群组等证据其具体形态上都是表现为“通信记录”。换言之,第二类中例举的证据形态即是本类中所规定的“通信记录”。
第四类是:文档、图片、音视频、数字证书、计算机程序等电子文件。这一类值得讨论的是音视频和数字证书。本规定将音视频直接纳入电子数据的范畴。由于从技术上讲,音视频无一例外地表现为模拟信号或数字信号的形式,那么我们是否还有必要在诉讼法中将视听资料专门独立地作为另一种证据形式加以规定,这是值得思考的。此外,根据本规定附则第二十九条规定,数字证书是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。要特别注意的是,这里的数字证书、数字签名,是技术意义上的概念。它们与电子签名法、电子商务法中的“电子签名”、“数字签名”,不是相同概念。
三、反面例举。本规定将“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等”数据排除在诉讼法电子数据范畴之外。虽然说,这对于指导司法实务具有正面的指导意义,然而对于电子数据的学术观念着实造成了巨大冲击。从学术意义上讲,电子证据其与传统证据本质上的区别在于表现形式的电子化,而非证明内容本身。换言之,学术意义上讲,任何传统证据都存在电子化形态。即,“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等”仍属于学术意义上的电子证据范畴。
总体而言,本条关于电子数据界定,采用了下定义、正面例举、反而例举三者并行的立法技巧值得肯定,这对于引导缺乏技术知识的司法人员办理涉电子数据案件具有积极的指导意义。
第二条 侦查机关应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。
点评:本条规定的亮点有二。
一是,首次将遵循技术标准引入法律规范。详言之,按照传统思维,侦查人员开展取证应当甚至只要遵守法定程序、不违反法律的禁止性规定即可。而技术标准则属于技术人员(如司法鉴定)要遵循的行为准则。因此,本规定赋予了侦查人员更为严格的规范约束。即,要求侦查人员取证时应当达到技术人员的标准。这一方面体现了在电子数据司法运用混乱的情形下,从严规范、从严治理的思路。另一方面也迎合了在信息化时代“法律规范技术化和技术规范法律化”的必然趋势。这种趋势,在以电子数据为代表的技术性证据程序法规则如此,在以信息网络法为代表的实体法领域亦是如此。
二是,电子数据应当围绕真实性、合法性、关联性进行审查判断。本条看似朴素,然而启发意义极大。笔者团队研究表明,在过去,司法实务中对电子数据的质疑主要集中在真实性问题上。然而,随着发展,电子数据的司法运用最为疑难复杂的其实是关联性问题。这在远至秦火火案件、近至快播案件,都得到了充分印证。
第三条 人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。
点评:本条规定了有关单位和个人的配合调查取证义务。显然,在司法实务中,这里的有关单位和个人,主要成份是百度、阿里、腾讯等各大互联网企业。绝大多数的涉案网络电子数据都集中存储在各大互联网企业。司法实践中,各大互联网企业经常以“不存储数据”、“保护个人信息”、“调证时间长”等理由来应对司法机关的调证要求。本规定从法律意义上明确提出了各大互联网企业的配合调查取证义务。
然而,本条规定仍存在不尽之处。一,尚未规定互联网企业配合调查取证的罚责与对价。一方面,互联网企业从法律上讲确应具有配合调查取证的义务,尤其是刑事案件不容商榷。然而,虽然本条规定明确了各大互联网企业的配合调查取证义务,但是如果不配合调查取证会有什么样的法律后果呢?在没有法律责任的情况下,本条规定在实务中有流于形式的风险。另一方面,由于互联网企业的数据量极大,配合调查取证往往需要投入极大的人力、物力等,甚至要对原有的业务模式和运营系统进行全方面的改造,而实务中互联网企业对此亦是不堪重负。那么,我们是否能够创造性地建立配合调查取证的“对价补偿制度”,这也是可以考虑的。二、尚未规定互联网企业配合调查取证的时限、管辖等程序性规则。比如,互联网企业应当在几日内提供证据,能否延长?再如,各地司法机关是否可以直接找互联网企业调查取证。目前我国司法实践中,互联网企业只针对所在地司法机关开放调查取证的配合权限,外地司法机关只能通过当地司法机关协助。这种方式是否可取?
此外,随着《网络安全法》的推进,在网络电子数据的海量增长特点及案件调查取证需求激增的形势下,笔者建议互联网企业应当考虑建立专门的电子数据监管与调查取证系统平台。同时,还应鼓励互联网企业通过网络方式配合司法机关的调查取证。这既符合信息化侦查办案的效率需求,也能充分缓解互联网企业内部的监管与调证负担。以传统方式开展监管或配合调证,显然已不能满足信息时代的办案需求,亦不符合信息管控的客观规律。
第四条 电子数据涉及国家秘密、商业秘密、个人隐私的,应当保密。
点评:除国家秘密、商业秘密、个人隐私,本条规定能否增加“个人信息”。随着信息技术的发展,互联网企业所掌握的个人数据不仅仅是个人隐私数据。像淘宝网的购物记录、百度搜索的搜索记录、腾讯微信的一般聊天记录,它们并不必然属于个人隐私的范畴,但却可以纳入个人信息的范畴。对于这些个人信息,司法机关在非涉案情况下应当也给予保密。
第五条 对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性:
(一)扣押、封存电子数据原始存储介质;
(二)计算电子数据完整性校验值;
(三)制作、封存电子数据备份;
(四)冻结电子数据;
(五)对收集、提取电子数据的相关活动进行录像;
(六)其他保护电子数据完整性的方法。
点评:对于本条的“完整性”规定。笔者团队内部讨论时存在较大争议。“完整性”一词,在不同语境下有不同的理解。在证据法语境下,完整性近乎于真实性的概念,在实体法语境下,如电子签名法,完整性一般理解为电子数据内容是否完整。在技术语境下,完整性是指电子数据“码流”的完整性,一般采用哈希值等校验算法进行判定。
笔者个人认为,这里的完整性应当理解为技术意义上的完整性。这种理解对于司法人员的指导意义在于:通过判断证据固定及后续证据保管过程中,电子数据“码流”的完整性是否发生变化,进而确定电子数据在证据固定过程及之后是否经过伪造、篡改。当然,法律意义上的真实性,不仅包括证据固定过程及之后电子数据是否经过伪造、篡改,还包括证据固定之前电子数据是否产生变化。当然,笔者认为,本条规定例举的几种方法,就是通过技术措施保障电子数据在技术意义上的完整性。
第六条 初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。
点评:由于职务犯罪侦查案件的特点,在司法实务中检察机关往往在立案前采取一系列的调查取证措施。对于立案前初查阶段收集的电子数据,能否作为证据使用,司法人员的认识尚不统一。本条规定对此予以明确。这对于检察机关办理自侦案件提供了明确的法律支撑。
同时,本条明确了网络取证及取得数据的法律地位。
二、电子数据的收集与提取
第七条 收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。
点评:本条规定在实务中的问题是:这里的侦查人员包不包括侦查辅助人员,如刑事技术人员、检察技术人员,甚至聘请的社会技术专家。在司法实践中,由于电子数据的技术性特点,电子取证往往需要技术人员的介入,在诸多情况下只有技术人员才能确认取证的有效性。那么,对于取证行为,技术人员可以签字确认似乎更为妥当。侦查人员作为非专业技术人员,如何能替技术人员签字确认取证的有效性?因此,笔者建议对这里的侦查人员不妨做扩张解释。
第八条 收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
点评:本条与第九条规定共同确立了电子取证应“以扣押原始存储介质为原则,以提取电子数据为例外”的基本原则。这种原则看似具有科学性,然而缺乏前瞻性。具体理由如下:
一、在当前及未来继续发展的云计算时代,数据存储将呈现“分布式”的状态。在分布式存储的状态下,司法人员根本无法判断哪个是原始存储介质,甚至找不到原始存储介质的所在之地。因此,从前瞻的视角来看,未来的原始存储介质概念应做淡化处理。
二、考虑到存储介质具有海量数据存储的特点,一味强调原始存储介质的收集势必会与证据持有人的合法权利形成对立。比如说,互联网企业的服务器中不仅存有犯罪嫌疑人的涉案数据,还存有大量其他无关人中的电子数据。扣押原始存储介质势必会导致证据持有人或权利人的合法正当的生产、生活活动无法开展。从法律上讲,既妨碍了权利人的合法正当权利,也不符合法律追求的“比例原则”。
三、从证据理论上讲,电子数据作为一种新型的证据,其证明价值并非在于原始存储介质而是在于其中的电子数据。而原始存储介质只是用于判断电子数据的来源,从而一定程度上影响电子数据的真实性与关联性。因此,从证明意义上讲,笔者认为,电子取证应当追求“确保原始数据”的价值追求,而非“控制原始载体”的价值取向。从取证技术措施上讲,若要确定电子数据的原始载体来源,完全可以通过传统的拍照、登记、制作笔录等措施来完成。
对于本规定提出的封存技术方法,因针对性与技术性都很强,在此暂不作评论。
第九条 具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)原始存储介质位于境外的;
(四)其他无法扣押原始存储介质的情形。
对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。
为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。
点评:本条规定有一处错误、两处亮点和一个建议。
一、语言错误是:“提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的”。从技术上讲,不存在不是存储在存储介质上的电子数据,所有的电子数据都是存储在存储介质上的,只是存储介质在何地及存储时间多久的问题。即,内存数据的存储介质是内存,只是其中的数据存储时间较短;网络数据(包括传输)的存储介质在远程计算机或远程设备,只是其不为取证人员所控制。
二、亮点之一是:明确原始存储介质位于境外的,可以通过网络在线提取电子数据。我国国内法层面首次规定网络取证的是在2005年公安部《计算机犯罪现场勘验与电子证据检查规则》的第三条第二项。即,远程勘验是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。该规则并未明确远程勘验能否针对境外服务器上的电子数据开展。实务中虽对此存疑,但实际上予以默认。本规定在此予以明确。当然,关于境外远程勘验的问题,其背后更积极的意义在于思考能否在民事诉讼中也采取类似规定。
三、亮点之二是:远程取证的技术侦查介入。对于远程在线取证,绝大多数不需要采取网络入侵、网络监控等具有技术侦查性质的技术措施。然而,司法机关在办理某些特殊案件中,存在网络入侵、网络监控等的侦查需求。本规定对此非常见情形予以规制。只是,哪些具体措施需要办理技术侦查手续,尚需明确。
四、笔者建议:远程取证应当制定较现场(静态)电子取证更为严格的要求。一方面,在远程取证的技术要求上应当更加严格。远程电子数据存在随时灭失的风险,这意味着远程电子数据在诉讼过程中可能无法进一步重复验证的可能性。因此,在取证要求上应当制定更为苛刻的技术要求。比如,在取证方法上应当引入清洁性检查、数据抓包等技术要求;在取证内容上,不仅要提取涉案数据其内容本身,还要提取涉案数据所在的路由信息、系统环境信息、背景信息等。另一方面,在远程取证的程序规制上也应当更加严格。比如,在取证主体上,不仅要有二名以上侦查人员,还必须要有专业的见证人,甚至可以考虑两名以上的专业见证人。此外,与互联网企业内部电子数据调查取证系统平台相似,笔者建议侦查机关也应当根据网络取证的技术规范与标准方法建立自动化网络取证系统平台。这既有利减轻侦查人员的投入,也可以保证取得证据的有效性。当然,这并不否定要事先对自动化网络取证系统平台进行充分的可靠性评估。
第十条 由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。
点评:电子数据的转化取证是常规电子取证方法的必要补充。但是,转化取证涉及到电子数据背景信息的损失以及属性信息、内容信息的失真,较大地改变了电子数据的原始形态,且存在无法事后进一步查证的可能。因此,笔者认为,对于转化取证也应当采取较常规电子取证更为严格的法律要求与技术要求。
第十一条 具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
点评: “冻结”可谓是本规定提出的在取证措施上的首次创新,迎合了司法实务的需求(如E租宝案件),具有很好的现实意义。尤其是在服务器海量存储及分布式存储的特点下,具有很强的司法生命力。
第十二条 冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)其他防止增加、删除、修改电子数据的措施。
点评:本条提出了冻结电子数据的两种技术方法。但值得注意的是,这两种方法并非一定奏效。比如,涉案数据与其他用户数据共存于同一个数据库,由于数据库持续运行,其数据的完整性校验值是必然变化的。再如,锁定账号虽然禁止了用户登录使用的行为,但其后台数据同样可能因数据共存或系统运行原因发生改变。因此,对于冻结电子数据的方法应当做开放理解。在司法实务中应当结合涉案数据所在信息系统的技术架构做出相应反应。包括但不限于:通过制作副本、导出数据等方式进行冻结。
第十三条 调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。
点评:本条提出所要调取的电子数据的相关信息。笔者认为,相关信息既要包括反映案件事实的信息内容,也要包括反映涉案数据存储状态及其背景的信息内容。
此外,本规定尚未规定有关部门提供证据的期限,以及提供证据的形式。如,电子形式还是纸质形式。分别有何要求?
第十四条 收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。
点评:电子数据法律规则技术化的体现。
第十五条 收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。
针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。
点评:本条规定了电子取证的见证人要求。笔者认为,电子取证应当建立专业见证人制度,即邀请具有计算机等相应专业知识的人参加见证。在传统证据取证中,由于一般不涉及专业性问题,一般见证人有能力达到见证效果。然而,在电子取证中由于技术性、专业性都较强,因此见证人应当具有相应的专业知识,才能达到见证效果。
第十六条 对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。
电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
点评:法律规范技术化的具体体现,如写保护要求,备份要求等。
第十七条 对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。
具体办法由公安部、最高人民检察院分别制定。
点评:本条规定创建了电子数据的检验报告制度,即由公安部指定的机构或最高人民检察院指定的机构出具检验报告。但该检验报告从证据地位类似于检查笔录,而非司法鉴定报告。快播案中“鉴黄师”的法律身份在此亦能得到解决。
三、电子数据的移送与展示
第十八条 收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。
对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。
对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。
点评:对电子证据举证形式的要求,这也是一大亮点。笔者认为,“并制作电子数据的备份一并移送”中规定的备份,不应直接理解为涉案原始存储介质或者电子数据的“全备份”,而应理解为与案件相关部分的电子数据。否则,侦查机关该哭了!
第十九条 对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。
对数据统计量、数据同一性等问题,侦查机关应当出具说明。
点评:建立了电子数据的说明制度。即,由于电子数据具有天生的不直观性与技术性,说明制度较好地解决了电子数据书面审查的困难。
然而,关于说明制度存在两个问题。一是,“说明”的证据地位如何?“说明”属于何种证据?它属于侦查笔录,还是公诉意见?值得进一步研究。二是,由于“说明”一般应由侦查人员作出,而非鉴定人员作为,因此“说明”证据及其可靠性问题势必将来会成为法庭对抗的焦点与重点。
第二十条 公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。人民检察院在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。
对于提起公诉的案件,人民法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知人民检察院。
公安机关、人民检察院应当自收到通知后三日内移送电子数据或者补充有关材料。
点评:与刑事诉讼法及司法解释规定的证据补正规则不同,本条规定创建了证据庭前补正规则。由于庭前补正发生在法庭庭审之前,而法院发现证据不符合相关要求“应当”通知人民检察院。那么,在中国目前“公检法”是一家的实际情况下,庭前补正规则的建立,这意味着法庭之中证据抗辩权利的架空。
第二十一条 控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
点评:本条亮点是明确提出了举证阶段的专家辅助人制度。
四、电子数据的审查与判断
第二十二条 对电子数据是否真实,应当着重审查以下内容:
(一)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;
(二)电子数据是否具有数字签名、数字证书等特殊标识;
(三)电子数据的收集、提取过程是否可以重现;
(四)电子数据如有增加、删除、修改等情形的,是否附有说明;
(五)电子数据的完整性是否可以保证。
点评:第一项规定了举证形式的审查;第二项和第五项规定了电子数据的完整性审查,本质上是电子数据的真实性审查;第三项规定了取证过程审查;第四项规定了电子数据内容本身的审查。
第二十三条 对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:
(一)审查原始存储介质的扣押、封存状态;
(二)审查电子数据的收集、提取过程,查看录像;
(三)比对电子数据完整性校验值;
(四)与备份的电子数据进行比较;
(五)审查冻结后的访问操作日志;
(六)其他方法。
点评:与第五条对应,本条规定了电子数据完整性的技术性审查。
第二十四条 对收集、提取电子数据是否合法,应当着重审查以下内容:
(一)收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;
(二)收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚;
(三)是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像;
(四)电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
点评:取证方法不符合相关技术标准将可能导致证据丧失合法性。侦查人员需抓紧学习电子取证的技术方法标准规范。
第二十五条 认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
点评:本条是本规定中唯一一条规定电子数据关联性的条款。笔者在此对整个规定中关联性问题做统一评论。
一、电子数据具有特殊的关联性问题。从学理上讲,传统证据是属于“人——行为”的证明过程,而电子数据则属于“人——机——数据——行为”的证明过程。这意味着,从司法证明上讲,侦查机关必须从“人——机——数据——行为”各个环节建立起关联性证明的锁链。
二、就电子数据的取证而言,本规定极大忽视了对证据关联性的保障,而是侧重于对证据真实性的保障。比如说,在取证过程中应当对电子设备及电子数据的所有人、持有人、保管人等进行充分的证据固定,应当对反映电子数据的使用者、使用记录等进行充分的证据固定,应当对反映电子数据的行为意义、证明内容等进行充分的证据固定。
三、就电子数据的审查判断而言,本条规定了通过“IP地址、网络活动记录、上网终端归属”并结合传统证据判断网络身份与现实身份的同一性。但特别值得注意的是,IP地址、网络活动记录其证明价值具有一定的局限性,至多只能从表面上证明“机——数据”的关联性,在大多数情况下不足以最终认定身份的同一性。而,上网终端归属只能用以证明电子设备的所有者或管理者而非行为人的身份。因此,司法实务中应当尤其注意避免形成“唯IP”论、“唯设备论”的错误导向。此外,鉴于前述技术证明的局限性,笔者对侦查人员在证明电子数据关联性上对“口供”的依赖性亦表示担忧。不论若何,笔者认为,通过加强在电子数据取证环节的关联性证据的收集与固定来降低对言辞证据的依赖,方是可取之道。
第二十六条 公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。
经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。
公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。
对电子数据涉及的专门性问题的报告,参照适用前三款规定。
点评:可以预见,专家辅助人不论在电子数据的取证、举证,亦或是质证中将大有可为。
第二十七条 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
(一)未以封存状态移送的;
(二)笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;
(三)对电子数据的名称、类别、格式等注明不清的;
(四)有其他瑕疵的。
点评:该补正规定,尤其是兜底条款,赋予法官对证据补正的极大自由裁量权。
第二十八条 电子数据具有下列情形之一的,不得作为定案的根据:
(一)电子数据系篡改、伪造或者无法确定真伪的;
(二)电子数据有增加、删除、修改等情形,影响电子数据真实性的;
(三)其他无法保证电子数据真实性的情形。
点评:笔者认为,本条第二款做了过于严格的规定。从逻辑上讲,电子数据有增加、删除、修改等情形,都势必会影响电子数据真实性或其真实性的判断。但是,影响电子数据的真实性不必然导致案件事实的不明。比如说,有些案件中电子数据存在增加、删除、修改等情形,但是实务中完全有可能进一步查明其增加、删除、修改的具体内容和方式,以至于还原出增加、删除、修改之前的状态,最终还原事实的真相。因此,电子数据存在增加、删除、修改等情形,不应必然导致电子数据真实性的不可采。
当然,如果说,以电子数据存在增加、删除、修改等情形作为侦查人员的禁止性规则,从合法性角度加以规制,倒不失偏颇。
五、附 则
第二十九条 本规定中下列用语的含义:
(一)存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。
(二)完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。
(三)网络远程勘验,是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。
(四)数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
(五)数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
(六)访问操作日志,是指为审查电子数据是否被增加、删除或者修改,由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。
点评:法律语言与技术语言需要进一步融合。
第三十条 本规定自2016年10月1日起施行。之前发布的规范性文件与本规定不一致的,以本规定为准。
点评:新法优于旧法:两个证据规定及刑诉法司法解释。
总结与展望:
一、这是中国首部关于电子数据证据的专门性规定,首创了电子数据冻结规则、电子数据庭前补正规则等,建立了电子数据检验报告制度、电子数据说明制度以及较为具体的电子数据举证制度等。
二、该规定侧重于电子数据取证的技术规范而非程序规则,立法体例上以电子数据的提取、固定、审查判断等证据环节为纲,而非以勘验、搜查、调取、扣押等侦查措施为目。也因此,除侦查人员及见证人等少量程序规定以外,通篇罕见程序制约的法律条款。更免谈针对朋友圈等特定空间和网盘等个人空间进
