泰和泰研析丨法律视角看电子数据的审查
立足司法实践,对电子数据的审查,既要重视审查其合法性、真实性、关联性,又要关注其来源、保管链条完整性以及证明价值。
电子数据的内容丰富,表现形式多样。根据《人民检察院办理网络犯罪案件规定》第27条规定,电子数据是以数字化形式存储、处理、传输的,能够证明案件事实的数据,主要有七种表现形式:
网页、社交平台、论坛等网络平台发布的信息;
手机短信、电子邮件、即时通信、通讯群组等网络通讯信息;
用户注册信息、身份认证信息、数字签名、生物识别信息等用户身份信息;
电子交易记录、通信记录、浏览记录、操作记录、程序安装、运行、删除记录等用户行为信息;
恶意程序、工具软件、网站源代码、运行脚本等行为工具信息;
系统日志、应用程序日志、安全日志、数据库日志等系统运行信息;
文档、图片、音频、视频、数字证书、数据库文件等电子文件及其创建时间、访问时间、修改时间、大小等文件附属信息。
从上述电子数据的定义与表现形式,不难总结其证据特征有以下:
1. 科技性。电子数据的生产、传输、存储和读取等环节,借助现代信息技术。存储介质、通信网络、编程、软件、取证技术、硬件与软件,因此,我们要学习计算机、通信网络方面的知识,以更好的研究电子数据。
2. 海量性。形式多样,电子数据的上述七大表现形式,存储介质多样性,U盘、硬盘等,容量超大。经常遇到经济类犯罪案件,数据光盘10G,甚至几百个G的。如何在海量的数据筛查出定案证据,需要掌握智能取证技术与方法,方能游刃有余。
3. 留痕性。在计算机上的任何操作均有痕迹,即使通过篡改、删除等,可以通过技术恢复,也体现了电子数据的稳定性与可恢复性,具备实物证据、客观证据属性,其证明力较强的体现,喻称新时代的“证据之王”。专业人员在检查数据时,操作过程应全程留痕,具有可回放性。
因此,我们的审查证据时,不能仅停留在纸质案卷材料,还要研究光盘中的电子数据,从而做到全面阅卷。
(一) 合法性
合法性是指证据的取证主体、形式及程序或者提取方法符合法律规定。
1. 取证主体。根据2016年《两高一部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第七条规定,收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。由于电子数据的提取具有较强的专业性,通常需要专业的侦查人员提取,或者在侦查人员的主持下,由电子数据取证专业人员如计算机专家、第三方机构提取。要注意审查取证人员的专业资质、从业经验,判断取证主体的适格性。实务中,网安大队民警的取证能力较为专业,其他的警种相对不足。
案例1:苏某、肖某乙等人走私普通货物案
◎争议焦点∶提取过程说明无法证实由二人复制、提取,电子数据是否可作为定案根据?
◎裁判要点∶关于对公诉人在庭审中出示的电子证据是否采信的问题。根据《最高人民法院关于适用〈中华人民共和国刑事诉讼法>的解释》第93条的规定,对于电子数据,应着重审查提取、复制是否由二人以上进行,是否足以保证电子数据的完整性等。本案中,侦查机关于2013年10 月16日在被告人肖某乙家中查获并扣押了肖某乙使用的手机一部,侦查机关于2014年1月6日出具《关于肖某乙手机讯息的情况说明》,对该手机中的部分聊天记录予以拍照说明。本院认为,该情况说明无法反映系由二人以上进行电子数据的提取、复制,也不能证实是否提取了全部讯息,亦未经被告人肖某乙辨认确认。故该情况说明不符合前述证据的收集规定,不予采信。虽然公诉人在庭审中出示了该手机讯息的鉴定意见,但所附刻录具体讯息的光盘未当庭播放,故对该鉴定意见亦不予采信。被告人肖某甲的辩护人所提应排除电子证据的意见成立,法院予以采纳。
2. 取证手续。对于常规现场勘验、检查过程中发现的电子数据,侦查人员应当持有《刑事犯罪现场勘验证》;在搜查过程发现的电子数据,应当向被搜查人出示《搜查证》;进行网络远程勘验时,需要采取技术侦查措施的,应在立案后依法经过严格审批,相关手续随案移送;向相关个人或单位调取电子数据的,应当依法制作《调取证据通知书》。
3. 收集、提取笔录。现场提取电子数据应当制作《电子数据现场提取笔录》。注明申子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点,并附《电子数据提取固定清单》。该清单应注明类别、文件格式、完整性校验值等内容,由侦(调)查人员、电子数据持有人(提供人)签名或者盖章。电子数据持有人(提供人)无法签名或者拒绝签名的,侦(调)查人员应当在笔录中注明,由见证人签名或者盖章。应当将收集、提取笔录与流转、保管清单、现场勘验录音录像等材料一并审查,确保初始提取—流转保管法庭出示各个环节的证据一致性,且无灭损。如有损,应由侦(调)查机关、检察机关作出合理解释。
案例2:孙某等非法吸收公众存款案
◎争议焦点∶提取过程不明,电子数据可否作为定案根据?
◎裁判要点∶孙某等涉嫌非法吸收公众存款案中,控辩双方在两组申子证据的证据效力上发生争议,第一组是侦查机关从案涉公司电脑中提取数据的光盘,提取该光盘时无相应的勘验、提取笔录和同步录音录像;第二组是公安机关提取的肖某的电子邮件,无勘验笔录,但有同步录音录像。
法院审查后认为,第一组电子证据因无勘验、提取笔录,亦未作出合理解释并出示同步录音、录像,无法辨别收集程序是否符合法律规定,故该光盘及其所记载的材料不得作为定案根据。第二组证据虽无勘验笔录,但有同步录音录像,且有证人证言佐证,故可以作为定案根据。
4. 检查程序与方法。电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
关于电子证据的提取、固定、检查等除了应当符合2015年《计算机犯罪现场勘验与电子证据检查规则》、2016年《两高一部办理刑事案件收集提取和审查判断电子数据若干问题的规定》、2019年《公安机关电子数据取证规则》、2021年《人民检察院办理网络犯罪案件规定》以及《刑事诉讼法司法解释》等法律规定外,还应遵守相关国家标准和行业标准。(1)国家标准(4个),如GB/T29360-2012《电子物证数据恢复检验规程》,(2)公共安全行业标准(35个),如GA/T1770-2014《移动终端取证检验方法》(3)司法鉴定技术规范(17个),如SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》。
案例3:张某等组织卖淫案
◎争议焦点∶未在查扣现场提取的电子数据能否作为定案根据?
◎裁判要点∶张某等人涉嫌组织卖淫案中,公诉机关提交了一份《电子证物检查工作记录》,对现场查扣的电脑主机记录进行提取,证实 2012年至 2015年1月20日,张某在浴场内组织卖淫活动达5000余次。公安机关在固定该电子证据时各被告人均不在场,涉案电脑主机的相关证据信息是在被查扣16 天后才被提取的。
法院审查后认为该工作记录并无原始证物(台式电脑)持有人、见证人的签名,取证过程不合法,法院最终排除该《电子证物检查工作记录》的适用,并对公诉机关指控各被告人组织卖淫活动5000余次的事实不予支持。
5. 其他方式获取的证据是否合法?通信、网络技术日益发达,相关诉讼参与人可以自行收集视听资料、电子数据。例如,某寻衅滋事案中,证人用自己的手机拍下案发经过;某敲诈勒索案中,被害人偷录案发经过。对于案外人或被害人未经被告人/犯罪嫌疑人同意或是在被告人/犯罪嫌疑人不知情时收集的电子数据、视听资料是否可以作为定案证据的问题,笔者认为应当视情况而定。例如,目击证人自行拍摄的完整客观无修改、删减的视频,不能因为是在犯罪嫌疑人不知情的情况下录制而被排除适用。
如果以违背公序良俗、诱导等方式私自收集的证据,该类证据则不得作为定案证据。
案例4:王某故意杀人案
◎争议焦点∶第三人通过违背公序良俗的方式偷录的视听资料能否作为定案根据?
◎裁判要点:公诉机关提交一份看守所管教人员孙某与被告人王某的谈话录音,在该谈话中,王某向管教孙某陈述了作案过程,该谈话系孙某趁王某不注意偷录的。公诉机关将该谈话录音作为证据提交,用于证实王某故意杀人的犯罪事实。
法院经审查后认为,谈话时只有一名管教,录音时未告知被告人,谈话地点无监控,取证程序不合法,不得将该录音证据作为定案根据。
6. 采用技术侦查措施的审批程序。采取技术调查、侦查措施收集、提取电子数据的,应当在立案后经过设区的市一级以上公安机关负责人批准手续,并由设区的市一级以上公安机关技侦部门实施。具体详见《公安规定》第263-273条
(二) 真实性:鉴真规则,物证保管链条完整性
1. 电子数据真实性的要素。关于电子数据的来源、形式、制作过程及设备情况等是否正常且无被修改破坏的情况,需着重审查以下内容:是否移送原始存储介质;在原始存储介质无法封存、不便移送时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;电子数据是否具有数字签名、数字证书等特殊标识;电子数据的收集、提取过程是否可以重现;电子数据如有增加、删除、修改等情形的,是否附有说明;电子数据的完整性是否可以保证。
以上总结为:原物原件法、环节审查法(数据生成、存储、传送、收集、固定)、过程重现法。
电子数据的原始性、完整性就是认定同一性的重要方式,审查电子数据原始性与完整性目的是确定电子数据的同一性。通俗说,计算机存储的电子数据信息与法庭上展示的是一样的,与传统物证的鉴真原理是一致的。
实务中,公安人员直接采取打印、拍照方式固定手机内的聊天记录、转账记录。违反取证规定,《公安电子取证规定》第八条,无法扣押原始存储介质并且无法提取电子数据的,才可以采取打印、拍照或者录像等方式固定相关证据。
2. 电子数据的完整性。对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:审查原始存储介质的扣押、封存状态;审查电子数据的收集、提取过程,查看录像;比对电子数据完整性校验值(MD5,前后两次);与备份的电子数据进行比较;审查冻结后的访问操作日志。
3. 电子数据的损耗。电子数据存于特定的物质媒介之中,如硬盘或磁盘之中。为了便于观察,需要将电子数据转化为能够解释的形式,如文本、录音或录像等。电子数据的析取过程中可能产生损耗。从硬盘收集电子数据的许多工具都存在程序错误,导致只能复制部分数据或者析取结果存在错误。因此,为确保电子数据对原始数据的精确复制,应当提交原始数据,以便在电子数据发生损耗时核对原始数据。
4. 电子数据内容的真实。认定电子数据内容真实性主要有五种方法,即自认法、推定法(所生成的电子数据的计算机及软硬件系统正常)、专家证人具结法、司法鉴定法、电子签名法。通过上述任一方法检验,可认定该电子数据经过了鉴定,视为电子数据具有真实性。
案例5:快播案中,4台服务器保管链条断裂,证据真实性存疑。北京市海淀区人民法院审理后认为,在案证据显示,海淀区文化委员会针对侵犯著作权违法活动进行行政执法检查时,于2013年11月18日从光通公司扣押了涉案4台服务器,随即移交给北京市版权局进行著作权鉴定。2014年4月10日,海淀公安分局依法调取了该4台服务器,随即移交给北京市公安局治安管理总队进行淫秽物品审验鉴定。在该4台服务器的扣押、移交、鉴定过程中,执法机关只登记了服务器接入互联网的IP地址,没有记载服务器的其他特征,而公安机关的淫秽物品审验鉴定人员错误地记载了硬盘的数量和容量。由于接入互联网的IP地址不能充分证明服务器与快播公司的关联关系,前后鉴定意见所记载的服务器的硬盘数量和容量存在矛盾,让人对现有存储淫秽视频的服务器是否为原始扣押的服务器、是否由快播公司实际控制使用产生合理怀疑。
案例6:吴某某等人网络诈骗案。电子数据现场提取笔录显示:打开犯罪嫌疑人吴某某使用的工作电脑中保存的聊天话术,在电脑中提取docx文档12个。电子证据检查笔录显示:对吴某某的手机检材进行技术检验,提取发出去的聊天短信8112条,内容代表截图1份。通过研究,我们发现以下问题:
第一,《电子数据现场提取笔录》存在两个问题。一是现场扣押原始存储介质即电脑,并按要求封存,拍照,当场开列《扣押清单》;二是《电子数据提取固定清单》没有计算完整性校验值。
第二,《电子证据检查笔录》的质证。1. 检材手机来源不明。9月3日扣押清单扣了四部手机,11月11日送检两部,保管过程不清,无法确定同一性。《公安电子取证规定》第46条,移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,检查人员应当在有关笔录中注明。
第三,数据没有查重,短信内容是否为诈骗没有核实。笔录中的举例,就有几条短信内容不是诈骗内容,显然不能认定短信数量。
(三) 关联性
1. 人的关联。被告人网络身份与现实身份的同一性认定。身份关联性,即涉案电子账户、电子系统、电子设备是否为案涉当事人所使用,是当前电子数据载体关联性审查的重中之重,尤其是针对一人使用多个虚拟身份,同一个虚拟身份由多人共同使用的情况,必须确认虚实的同一性,否则相应电子数据就不具有关联性,不得作为证据使用。
《人民检察院办理网络犯案件规定》第17条规定,确定犯罪嫌疑人网络身份与现实身份的同一性,注重审查以下内容:
① 扣押、封存的原始存储介质是否为犯罪嫌疑人所有、持有或者使用;
② 社交、支付结算、网络游戏、电子商务、物流等平台的账户信息、身份认证信息、数字签名、生物识别信息等是否与犯罪嫌疑人身份关联;
③ 通话记录、短信、聊天信息、文档、图片、语音、视频等文件内容是否能够反映犯罪嫌疑人的身份;
④ 域名、IP地址、终端MAC地址、通信基站信息等是否能够反映电子设备为犯罪嫌疑人所使用。
案例7:曾某某非法经营案中,曾某某贩卖伪劣香烟给下家汤某某,委托客运班车司机洪某某运输,通过手机微信支付香烟货款和运费。侦查机关从上述三人的手机提取相关证据,结合相关笔录材料,确认被告人曾某某的微信名为“文义”,被告人汤某某的微信名为“赚得回”,司机洪某某的微信名为“洪弟”。
2. 事的关联。又行为关联,确认当事人或相关人员有无实施影响当事人等主体法律责任的行为。可以通过登入记录,发送消息记录、邮件记录,是否下载某个网页,是否修改某个文件等证明。
3. 物的关联。存储介质与被告人关联,又称介质关联。类型化信息,品牌、型号等,更进一步借助特定化信息,例如,手机的品牌,内置手机号码、内存照片、微信账户等;介质通常根据被告人的供述与辩解、证人证言、辨认笔录等综合判断被告人的与存储介质的关系。
4. 时间关联。确定机器时间与物理时间对应,进而确认在涉案时间内是谁的行为产生了相应的电子数据。如作案时间的认定。例如,存储电子数据的电脑、手机时间与北京时间不一致,致使难以确定涉案时间内谁的行为产生了相应的电子数据,时间关联性发生争议。
5. 空间关联。又称地址关联性,需要确认电子数据产生所有的内置或外置地址信息与当事人或其他相关人之间的关系,这些地址司法归他们所有或所用,是否存在共有、共用或冒用的情况。案例,账号共用、冒用的情况。
注重挖掘同一电子数据往往具有的多元关联证明作用。由于电子数据记录信息的丰富性,一份电子数据往往可以证明多方面的案件事实。以一份完整的微信聊天记录为例,通过审查微信账号的昵称、注册信息等,可能发现反映行为人身份的信息;通过审查微信聊天的对话内容,可能发现反映行为人主观方面和行为内容的信息;通过审查微信聊天的附属信息如生成时间等,可能发现反映行为人作案时间的信息。因而,审查电子数据时,要注重从多个角度挖掘电子数据与案件事实的多元关联,充分发挥电子数据的证明作用。判断证据是否有关联性需要逻辑推理,丰富的实践经验,包括法律实务经验与生活经验。
综上,电子数据出现真伪不明时,不得作为定案的根据。其他的证据瑕疵情形,均可补正或解释,不能补正或者合理解释的,才纳入排除范围,因此,鉴真规则是审查电子数据真实性的有效法宝,对电子数据审查的最终落脚点是对其真实性的判断。我们学好证据法的基础上,要加强计算机、网络通信、电子鉴定等技术常识与原理的学习,力争成为电子数据审查的行家里手。
作者介绍
曾庆鸿 律师
合伙人
业务领域:刑事辩护与刑事合规、行政诉讼
近期文章推荐
ARTICAL
2023-04-27
2023-04-23
2023-04-21
2023-04-20