朱桐辉：电子数据现场重建与律师的进攻性辩护 | 实录

朱桐辉司法兰亭会 2023-10-09

朱桐辉 | 南开大学法学院副教授，北京云证国际数据司法鉴定中心学术部主任，泰和泰（北京）律师事务所刑事部学术顾问

在不断地讲课中有新的体会，这次分享一个我最近学习、发现的一个电子数据质证的新的视角和新内容。我们蒙益律师事务所，一直是一个学习型律所，他有专门的学习的群不断地共同进步。我也深刻的感受到这其中的氛围。所以，我给田永伟主任说，这次一定要讲一个新的课程。这就是——电子数据的现场重建与律师的进攻性辩护。

一、解题

这里的进攻性的辩护，就是电子数据的现场重建。或者说通过电子数据进行现场重建。这个我们其实谈的不多，为什么？因为我们通过电子数据或者对电子数据重建成功的案例也正在收集。

但是在前几期中国政法大学国家法律援助研究院还有其他的课程的交流过程中，我突然发现刘品新老师讲的一个案例，启发出一个强大的思维和功效：我们辩护人难道就不能利用电子数据来进行现场重建，进而实现进攻性辩护吗？如果我们重建了更多的事实或者全面的事实，或者故事的另外一个版本，这不就是一种进攻性辩护吗？我觉得这是一种可开发的辩护方式。

当然这样的案例并不是很多，但我们可以对电子数据的现场重建做一个广义的理解或者推广。我们可以做一个部分现场的重建，或者说我们有用电子数据进行现场重建，恢复事实这样的一种意识，那么这实际上也是一种很好的进攻性辩护。

刘老师也讲过，说电子数据的学习或者研究，它最重要的其实不是计算机知识，或者说计算机知识很重要，但是从电子证据法、电子数据法、电子数据取证角度来看的话，实际上更重要的是侦查学的知识。

当然我也很有幸曾经在四川警察学院工作过一年时间。其中在技术中队工作过大概几个月，所以对于现场重建，现场勘查有所了解，对现场重建也有所学习，现在也正在学习过程中，这种侦查意识和侦查思维也是有的。我想对于电子数据的现场重建，或者通过电子数据来恢复现场，这个更重要的可能是一种侦查的意识。也不要忘了我们的侦查学知识。

电子数据现场重建要求通过电子数据或者主要通过电子数据对事情的来龙去脉以及对现场整个情况要做一个重建，这个实际上是要求很高的，或者说这样的案例其实不是特别多的。当然刘品新老师讲的案例里面有一个。

所以还有几个案例，我就降低了难度到事实恢复：只要能恢复一部分事实也算，无论是恢复了全部事实，还恢复了一部分事实，只要恢复了一部分控方所忽略的事实，也都算进攻性辩护吧。

山东警察学院的张老师看到这个课程预告的题目后说：“现在都开始进攻了啊！”我也给她回复了，说我们是蓝军，蓝军一贯被压制，偶尔反攻一下。

当然这种思路也可以用于我们检察官，刘老师在讲课的时候也说，如果你对电子数据进行实质性审查的话，检察官如果不仅看案卷，不仅看鉴定材料、鉴定意见，而且你去看光盘，去看这个存储介质的话。你对他进行审查的话，也许你能发现更多的事实。你把这些事实摆出来以后，辩护人可能就不再抵抗，被告人也就认罪认罚了。

总之，通过电子数据进行现场重建、事实恢复控辩双方都可以用。如果控方更为重视电子数据，更为重视借助电子数据或者对电子数据的审查，或者借助电子数据进行现场更多的恢复，事实的全面恢复，或者关注事实的全貌，整个案件的证据完整性、事件的完整性就会恢复得更多，就可以获得更为淋漓的进攻性控诉，因此，我这里并没有偏向于哪一方。

但是我们的一个客观情况是，我们现在的电子数据，包括大数据证据，确实有证据不对称的现象。证据不对称或者叫信息不对称。我们日裔的，偏日的刑诉法老师，把它称为证据偏在，我觉得这显然是一个日本词，或者是我们对日本词的一个直译。如果是意译，那实际上就是证据不对称嘛，是吧。

控方掌握了大量的电子数据，控方掌握了光盘、硬盘等等这些，控方掌握了大数据分析以及数据库分析等等这些结果。而且它掌握那么多数据库，这显然是一个非常明显的证据偏在。那么这对我们辩护人是非常不利的。

那么在这种不利之下，难免会出现冤假错案，或者说对事实的一些罔顾，或者说对事实的部分摘取，部分摘樱桃。这实际上也是我们辩护人需要扭转的。所以我们也可以进行进攻性辩护。

再一个我要说一下进攻性辩护。其实这是一个学术用语，在证据法中我们有进攻性辩护。也就是说，按照刑诉法的举证原理，举证原则，举证责任的原理的话，是谁主张谁举证，或者按照无罪推定是由控方举证。辩方只要能找出合理的怀疑就行了，那么这是一种防守性辩护。

而我们也会提倡一种进攻性辩护。例如提出正当防卫、紧急避险、警察圈套、嫌疑人被告人不在犯罪现场、未达刑事责任年龄等辩解并予证明等等。那么这些我们在学术上是把它称为进攻性辩护的。当然进攻性辩护是要承担一定的举证责任的。

下面，我们就来看以下，我们怎么来通过电子数据来发现更多事实，或者说怎么恢复更多事实、发现故事的另一个版本，继而发动进攻性辩护。

二、总体脉络

1、用电子数据质证——“破”

那么简单来说，就是分两大块儿。第一个是用电子数据质证或者说对电子数据质证，这个是我们对电子数据的一个破。或者说我们用电子数据来破。实际上我们的很多律师在做这个事情。

其实你如果对这种打印出来的电子表格，你对打印出来的word文档，你对打印出来的照片进行了质证，或者说你审验了光盘，审验了电子文件本身。然后你对打印的证据进行了质证，那这就属于用电子数据质证，属于是对电子数据质证，这都是体现了对电子数据破的一方面。

2、用电子数据恢复事实——“立”

但实际上呢，我在学习刘品新老师的课程过程中，我突然发现刘老师举的一个案例里面是非常典型的用电子数据查证。用电子数据调查用电子数据侦查，用电子数据踏勘。用电子数据恢复了一个事实，就是我们有的时候作为辩方来说，我们也可以用电子数据来立一个事实。你说我是杀人，但是我获得了更多的证据，证明我是正当防卫。

最典型的那个龙哥反杀案，假如说我没有摄像头，资料最开始没有恢复，那我辩方获得了这样一个摄像头。那这个摄像头清楚的展示了这个事件的经过。那我不就是在用电子数据来立，来证明我有正当防卫吗？

或者说你用你的鉴定意见，来证明我这是一个网络赌博平台。但如果我用电子数据，对这个电子数据进行了更广范围的查证、调查。我查出来，实际上是合规经营。尽管我底下有一些商铺，有一些门脸，有一些房间是在赌博，但是我做了很多的工作，证明其实我是一个正规公司，我是合规的。那这就是我恢复了事实的另一方面或者事实的更大的一个方面，那这就是“立”。

我们不妨可以采取这样一种进攻性辩护的思维，对于这个刘品新老师讲的非常精彩，我一会给大家转述一下，我也是在推荐刘老师的课程。

3.如何用电子数据“立”？

那么下面一个我增加的一个内容是刘老师没讲。然后我自己根据我和鉴定人交流，还有自己看书的一个体会，就是如何用电子数据立，就是我们如何用电子数据找到对我们有利的事实。我们如何用电子数据来证明对我们有利的事实，我们如何用电子数据和其他证据来证明对我们有利的事实。

这个里面最关键是你要用电子证据发现一些对你有利的线索。发现事情的一种对你有利的版本，就是正当防卫，紧急避险，我的当事人根本不在附近现场，我当事人可能已经尽了监管义务。那么这个呢，你如果用电子数据把它扩大化，用电子数据来证明了，用电子数据以及其他证据来证明了，这就是一个非常好的一个“立”。

那么这个“立”就是一个非常好的进攻性辩护，也叫积极抗辩。我们可以偶尔反抗嘛，是吧？我们不能总不能在证据偏在的情况下始终不做挣扎，我上次在咱们的线下课堂上也说了。

跟咱们蒙益律所线下交流讲课的时候，我说，他们都说有一个传说，你在非洲，应该是这个北京动物园那个老虎咬人这个事件以后说的，如果你在非洲遇到了老虎狮子的时候，你一定要做到一点，不要转身跑。你跑你肯定是要被吃掉。你一定要站住，然后对抗，然后大声的呼叫，做出夸张的动作。为什么呢？因为这样你可以死得有尊严一些。

那我们很多电子数据的案件，确实你有专家，你有鉴定人，你有检验报告，你有大量的光盘都能够摆在那。那我们可能辩护人的辩护空间不大，但是我们还是要积极的抗辩，积极的查证。找出证据之间的矛盾，当然这是破的一方面。

更重要的是，我们还要积极的抗辩。我们也对这个电子数据存储介质进行查找，关联统计分析。我们也请鉴定人对数据库进行分析，对于有的数据库我们也搞大数据分析嘛，是吧？或者说我们也用这种思路来找更多的证据，这是可以的。

我想这是可以的，这个即使不能成功，我们也可以死得有尊严一点的。而且有可能我们会成功的，对吧？刘老师的案例里就成功了。

这里我再次隆重推荐下刘老师的这本《电子证据法》。这个不仅是电子数据方面的内容非常丰富，而且是跟法律结合的非常完美，有很多典型的案例，这些案例都是这个很值得我们反复来看的。我这次课程中也很多都引入了刘老师的案例。所以也是作为一个对应吧，一定要推荐一下刘老师的这本书。

三、“破”——用电子数据质证

那么下面我们看第一个问题——破。这个问题呢因为在前面讲过很多次，在我们的法律援助研究院等等，在很多地方我讲过电子数据，尤其这个课程升级以后，在我们尚权的课程上，在京师的课程上，在我们丰台律协等等这些课程上，在澳门科技大学我都讲过，就是怎么来用电子数据进行质证。

有一个要点引导下的电子数据的审查，那里面包括了横向比对、纵向比对、本体审查。当然这次也是因为看了刘老师的书有所突破。那么这一部分我就先不讲太多。第一部分就是你遇到电子数据的案件了，你一定要注意什么？用横向的比对的方法对它进行审查。再一个用纵向比对的方法进行一个审查。当然这里面还有当然的要点——要对电子数据本身进行审查。

关于对电子数据用“鉴-数-取”方法去“破”，周泰所侯爱文律师办了一个非常优秀的案件。这个案件里面指控当事人制造传播淫秽物品，有多少张图片视频。然后发现鉴定意见有问题，从取证笔录来看，从证据的来源看，也前后不一致，于是就要求看这七张光盘，结果发现，有一张光盘是完全重复的。然后还有一个里的大量的视频说明这不是同一个人，并不是指控的这个人。那么这就说明指控的罪名并不成立，这就是非常典型的“鉴-数-取”质证成功的案例。

刘品新老师自己讲的案例里面，好几个案例，还有刚才讲的c s v这个案例，好几个案例都是充分的说明了我们对取证笔录、对电子鉴定意见，电子数据的鉴定件进行比对，对他检材的来源进行比对，然后对电子数据本身比对，能够发现重要的疑点，然后实现突破。这部分内容呢，我先不讲。因为我这次的题目是电子数据现场重建，所以关于“破”我们先不讲，我们主要讲一讲怎么“立”。

四、“立”——用电子数据恢复更多事实的典型案例

我先讲讲立吧，要不然的话大家会觉得我这个题目立不住。这个是什么样一个案例呢？这个立，就是用电子数据进行查证，用电子数据进行重建现场，或者用电子数据恢复更多的事实，恢复全部的事实，或者恢复一部分事实。我觉得这都是一种立，都可以说是电子数据线上重建的一种思路的体现。

（一）被控赌博平台案（恢复全部事实）

有一个平台被指控是一个网络赌博平台。这是刘老师讲的案例。当时律师找到刘老师以后，说你看这个案件怎么办，其实非常被动。我印象中刘老师讲的一个细节是有三百个手机，还有一百个电脑等等，这些证据来证明了部分事实，又形成了三份鉴定意见，用这些鉴定意见支持的数据可以得出一个证明或者做进一步推导。如果没有法律文件来进行评判的话，那么它是一个网络赌博平台。

所以这个案件最重要的是要打掉这个鉴定意见。但是刘老师看完这个案件的电子数据鉴定以后，他说这个鉴定意见就这么三份，你去找他里面的问题呢，你不一定能成功。

但是我给你出一个思路，你可以也去找到这些电子数据鉴定人对哪些电子数据进行鉴定的，你也找到这些。然后你从这个电子数据里面找到对你有利的事实。有利的事实就是他不是一个赌博平台这样的一个事实。

那么当然这个地方你如果不掌握一定的技巧的话，那你就需要把这个电子数据里面啊，关于这个平台的它的运作的整个的一个情况可能要看一遍。这个基本上可能要从你四十七岁要看到五十七岁你才能看完。

那么这里面刘老师就给他出了一个主意，说你可以用一些关键词来检索啊，例如封禁这样一个关键词，这是刘老师想到的一个关键词。

其实我觉得刘老师为什么说电子数据的取证或者质证，最重要是侦查思维呢？或者是我们的法律思维呢？那么其实我觉得在这里面有个体现，就是我如果要证明这个网络平台是合规的，它并不是个赌博平台，那我怎么找到对我有利的证据呢？或者你找了一些证据来证明这个平台下面的店铺里面有赌博行为，那我怎么找到证据来证明实际上还有很多店铺是合法的，没有赌博的，还有我这个平台对赌博是有监管的呢？这里面你就要想关键词了。

这也就是我在很多地方讲的，就是你模型建构里面，你那个特征选取很关键。你要选什么特征呢？你选什么关键词呢？刘老师想到的是“封禁”这样的一个词，就是说你把这个电子数据做一个检索，这个检索就是你找这两个字。然后你来看这里面跟封禁有关的有什么结果，找到了大量的事实，什么事实？例如，我曾经封禁过哪个门店或者哪个店铺、哪个房间，还有我发布过这样一些公告，这些公告里面是不得赌博，否则封禁。我找到了很多关键词，那就证明我进行了合规管理，我进行了有力的平台监管。

当时这个案例是因为刘老师办的案件。那么我通过他的转述，知道甚至收到了一些感谢信。我在猜测这些感谢信是什么样的，可能是例如公安机关中的网络安全管理部门，不一定是网络安全管理，就网络管理部门给这个平台发了个感谢信吧。说感谢你配合我们的工作进行了分析，等等。这样就找到了这封信，用了封禁这个词，这些证据也形成了非常大的一个体量。最后找到这些电子证据打印都打印不完。刘老师的意思是，这个难道不能证明我是一个合法平台吗？

我觉得这已经充分说明了我这次课程的意思是什么，就是通过电子数据可以重建事实，可以恢复更多的事实，可以恢复对我有利的事实。那么我进而实现进攻性辩护。

如果你是以坐以待毙的，看见电子证据就跑，看见老虎狮子就跑，那你肯定被吃掉。但如果你反过身来进行一个积极的抗辩，你也用一些电子数据取证的方法，例如检索、查证，你也把这个电子数据本身找到，然后对它进行检索，进行一个证据的比对等等这些。那你可能也会找到对你有利的事实，或者找到这个指控事实的另一面，或者讲出被指控事实的另一个版本，而这个版本是对你非常有利的。

当然我觉得是中间我这个比喻是最恰当的。就是你一开始找到的事实只是说我这个平台下面有一万个店铺，这一万个店铺里面有三十个店铺曾经有赌博，你把这些给拿过来了。但是呢我找到我这一万个店铺，从2008年奥运会到现在都一直在运营。其中有这么多赌博，那你能说我这个平台是一个赌博平台吗？

我觉得这就是一个非常好的通过电子数据重建了整个事实的现场，通过电子痕迹重建了当年的事情的发展的经过，这个平台整个运营的经过，或者这个平台很有可能的更多的运营的经过。那么就获得了对我有利的事实。那我可以拿着这些事实进行进攻性辩护。

当然我也说过，进攻性辩护是要举证的。那这个举证这些证据还不够吗？你控方给我的电子证据，无论是光盘的还是硬盘的等等。这些证据我也进行了检索，我也进行了关键词搜索。

我通过搜索，找到了很多对我有利的事实，或者说找到了客观来说对这个平台来说更符合客观评价的事实。那这不就是一个，可以说已经至少完成了优势证据的举证。

那这个举证责任就转移给控方了。控方要拿出更多的证据或者更高的证明力的证据来证明，你这个平台从更大范围看，还是一个赌博平台。你这个平台从2001年到2007年，在另外三百万个店铺还存在赌博，那就去指证吧。但是至少我能做到什么，有尊严的进行了进攻性的辩护，而且获得了更多的事实，而且我有证据支持。

我想这不就是一个非常精彩的用电子数据来重建现场，用电子数据来恢复更多事实，进而实现进攻性辩护的一个典型案例嘛。

当然刘老师讲这个课，他是在东卫律所讲电子数据实验式审查的时候讲的这个案例。这个案例我挖掘的要多一点，我估计刘老师会不会再增加一些案例。就是后面他有很多讲电子数据的实质性审查，电子数据的连属性审查，电子数据的阶梯性审查等等，他会不会再增加一个电子数据的进攻性审查，或者说他会用更专业的术语来形容是吧？用电子数据来恢复事实，进行进攻性审查，进行进攻性辩护。

好，我在我这里面先给大家看一个ppt，就是我在前面讲的时候，就是讲刘老师这个案例的时候，我当时在另外一个课件里面写的，我认为这就是一种积极抗辩式审查以及质证。但其实它更多的已经不是质证了，它是一种积极抗辩式的立了，这不仅是破了，而是立。

就是我不仅打掉了你的电子数据、关于电子数据的鉴定意见。你鉴定的时候，根据这个数据可能推导出我这个平台是一个赌博平台。但是我现在通过这种现场重建还原事实，我就提出一个积极抗辩的一个事实，这个事实是一种进攻性的辩护。

那么这里面主要我想用这些词，这些词是什么呢？就是重建现场，我用电子数据重建了这个现场，真实的现场或者完全的现场，然后我还原了更多的事实，或者说我讲了另外一个版本的故事，或者说故事的另一半。

当然我觉得最准确的是故事的另外一半就是刘老师这个案例。这个是故事的另外一半，或者控方只讲了故事的一小半，而我们通过对电子数据的检索、搜索、关键词比对等等，我找到了更多的事实，更多事实的本来的面目，真实的事实。

就是你是一个CNN拍的一个图片，好像有人在拿刀在捅人。但是我用这种电子数据的方法把这个画面扩大以后，发现什么，其实就是一个人在逃跑，然后他甩出来的一个后面的一个东西，看着像一把刀，他逃跑的那个脚，好像是要捅别人的一个行为等等这些。那么这就是我们说的故事的更大的画面，可能是另外一个样子。

数据合规新含义——通过数据证明合规

实际上我觉得就刘老师这个案例还对我们的数据合规是有启发的。当然大家都知道，就是我们对数据的使用，对个人信息的使用，对各种数据的使用要合规，要遵守网络安全法、数据安全法，遵守个人信息保护法，要匿名化，要存储在国内等等这些，要进行安全评估，那么这是数据合规。

但实际上我觉得刘老师这个案例其实告诉我们另外一个数据合规，就是如果我们的辩方，如果通过对数据的现场重建，或者我们用数据来重建了更多的现场，用数据恢复了更多的事情。我们证明我们是合规的，那你应该给我无罪或者不起诉，或者减刑或者缓刑，我觉得这又是另外一个意义上的数据合规——就是这个数据合规不起诉、数据合规无罪。

就是这个地方指的是我用数据来证明我是合规的。我进行履行了监管义务的。那你应当给我不起诉，应当给我缓刑，应当判我无罪，应该甚至要给我发一个大奖杯、大奖状，或者继续把那些感谢信给我再写一份，是吧。总之，那我觉得这就是一个非常好的数据合规，当然这个数据合规指的是通过数据来证明合规。

（二）IE浏览器缓存邮件案——以实验方式重建部分事实

好，下面再讲一个案例。因为这样的案例不是很多，我也一直在找，通过自己看书，再找了一些。但是因为我听刘老师的课，听了很多遍，看他的书，也看了很多遍。我觉得他另外一个案例里面也讲，也能充分的体现这一点。

我觉得这个案例比较详细，就是有两个大型企业在对抗，其中一个企业怀疑，怎么另外一个企业总是这个招投标比我们先走一步啊，就怀疑高管有可能叛逃等等这些，这个国际大型企业的这个企业就直接从总部派人来，就把这个高管的电脑给扣了。

扣了以后，结果在他的电脑里面找到了一个隐名投资协议。这个隐名投资协议是什么意思呢？就是他隐去了自己的名字，然后他投资到另外一个公司的，也就是另外一个公司实际上他是有所投资的。

那么这个可以证明另外一个公司是一个不正当竞争的公司，你采取了非法的方法等等这些。当然这是个民事案件。那么这个案件我要证明我公司的员工，我公司的高管，另外成立一个公司，对我进行不正当的竞争。那我就提交法院。

这些证据里面，其中最重要的证据其实是这个隐名投资协议。但这个隐名投资协议已经被这个高管删掉了。当然刘老师对于这个案例讲的更为准确，我们就说一下这个案件里面大概的情况。他讲的非常非常的精彩。我推荐大家去听这个课程，是东卫律师事务所的东卫大讲堂讲的电子数据的实验式审查。

那堂课里面讲的。这里面有个关键的一点是，就是虽然高管把这个隐名投资协议从邮箱或者从电脑里给删掉了，但是我们在他的浏览器里面，因为邮箱你要通过浏览器来发送。就是如果你不下载专门的应用程序的话，那我们是通过浏览器来登录这个邮箱的，例如网易邮箱，然后通过网易邮箱发出去。或者登录新浪邮箱，然后通过新浪邮箱发给对方。我把这个协议发过去，那我们有了这个协议以后，我是张三，然后咱们张三李四王五成立了一个公司，咱们可以抢得先机。

那么他是通过这个邮箱发的，结果呢，在这个电脑的浏览器里面发现，例如他经常登录的是新浪邮箱，这个新浪邮箱是通过浏览器来登录的，在浏览器里面发现缓存有这么一个协议，或者说更准确的是缓存的这个隐名投资协议。如果没有缓存隐名投资协议本身，但如果你缓存了这个协议本身的痕迹也是可以的。

刘老师的课程里面也讲过很多次，有的时候你把电子数据，包括我们的高显嵩、郭永健老师讲的课程里面也讲过。有的时候电子邮件电子数据删除了痕迹还是在的，如果在浏览器里面找到了缓存的痕迹，那也是可以的。

但是这个案件里面，我感觉刘老师讲的课程里面，因为他代理的案件应该是缓存的这个隐名投资协议本身。那么这个地方呢，我觉得就是一个非常好的进攻性辩护，进攻性起诉吧。对我们的思路，对我们的进攻性辩护是有启发的。

就是如果我们辩护律师要注意对电子数据的全面审查，不仅看邮箱，不仅看它的c盘d盘，不仅不仅看它的u盘，不仅看它的文件夹，而且去看它的邮箱；不仅看它的邮箱，而且看它的浏览器。不仅看到它的操作系统，而且看他的输入法。那你可能会大有收获，获得对你有利的事实。那么这个事实可以重建。用这些痕迹来重建对你有利的事实甚至很多事实。

那么这个里面就是浏览器缓存与否，我们发现它的浏览器缓存里有这个邮件。当然对方也不是吃素的，因为这个企业也做的很大，或者说那个企业我怀疑是不是跟另外一个跨国公司也是有合作，成为他的分公司等等这些，那么他的实力也很强。那他们也请了非常著名的老师或者律师来进行抗辩。

他们提出在浏览器我们是不缓存的，浏览器我没听说过浏览器会缓存邮件，有很多word文档，然后他们说也找微软啊等等去打电话去问，问客服等等这些说不缓存的东西。那当然我们这个案件是几经波折，就是来回拉锯，我们刘老师也是打了电话，也包括做了实验等等。就是对方打客服，给那个微软公司的客服打电话说你们浏览器缓存邮件吗，然后发现这个。对方律师说他们给这个微软公司的客服打了电话。然后说是不缓存，那我们也打电话，我们打电话说，有的客服说是缓存，有的客服说不缓存。

后来刘老师得出一个结论，说这个东西你不能问他微软的客服，你就相当于问一个公司的前台啊，然后问这个公司怎么运作的，他不一定知道的。所以就去做实验，他没说鉴定啊。

刘老师其实对这个鉴定，他是做了一个辨证的分析的，尤其是这个真实性鉴定。你要慎重，它这里面说那我们可以做实验嘛。他发现实验的结果是缓存的。然后对方说，你如果实验的话，你给我展示。

刘老师说，如果我展示了浏览器缓存的话，你认不认，就是浏览器可以缓存这个投资协议。对方说那也可能认也可能不认吧，是吧？等等这些。

然后对方高管的律师说，这个高管的电脑是被你们给扣走了。然后你们在这个电脑里面发现了一个文件，你说这个文件缓存在浏览器，我怎么相信你呢？这个电脑在你那儿呢。

那我这边作为一个进攻性辩护的话，我要用电子证据的方法来证明，在浏览器里面是缓存邮件的。那我就可以做一个实验。那做了这个实验以后，刘老师在庭上说，如果我做了实验缓存的话，你认不认？

对方说那你做实验我会要求你用我的电脑，就是用对方的电脑。刘老师说没问题，他可能担心我们这边捣鬼嘛，然后我们也同意用他的电脑，但是刘老师也提出了一个相应的一个条件，说可以。但是我要求是要用浏览器的6.0版本。

为什么是6.0版本呢？是因为在侦查实验里面，在我们侦查学里面讲，侦查实验有一个条件是要相似，就是这个实验一定要做文明实验、多次实验。其中有一个实验要求是条件相似，因为在那个真实案件里面，那个高管的电脑的浏览器是ie浏览器的6.0版本。那做实验也应该用ie的6.0版本。因为提前做了实验，发现6.0版本是缓存的，后来的不缓存的。

当然这个浏览器缓存一些文件也是可以理解的。你从原理上是可以理解的，它这样可以加速浏览器访问邮件的时速度。因为ie浏览器有不好的名声是反应很慢，它也采取了很多措施来解决这个问题。其中有一项就是存一部分内容在浏览器。你登录之前登录过的应用程序，我存了一些缓存，那你直接就可以快速通过，做下一个进程，提高速度。

那么实际上，这就是一种侦查实验的方法来证明这里面是有缓存的。那就是ie浏览器，你通过实验能够证明它是缓存一些邮件的内容的，甚至一些文件的。

上一个案例的意思是，我可以用电子数据可以恢复全部的现场来证明我这是一个合规的平台，没有赌博。那么这个案例就是我用电子数据的取证的方法，用电子数据恢复的方法，我用电子数据实验的方法来证明了我的控诉是有道理的，我对你的起诉是有道理的，在你的电脑的浏览器里面，曾经存过一个协议，这个协议可以证明你曾经背叛了我的公司。我把它也称为一种积极抗辩或者电子数据的现场重建，用电子数据重建一个现场。

你当年曾经发了一个邮件，这个邮件是个投资协议，成立了另外一个公司。然后你留下的这些痕迹，这个痕迹被我逮住了，就是在你的浏览器里面找到了你曾经发过这个文件，虽然你在邮件里面删了，你在硬盘里面删掉了。但是我通过这个痕迹证明你曾经发过这样一个邮件，发过这个邮件就是恢复了当年的事实。这不就是现场重建吗？这不就恢复当年的事实吗？这不就是恢复真相吗？这不就是我们证据法所追求吗？

当然，作为积极抗辩，还需要再举一些证据。在这个里面，我们刘老师也举了一些证据，其他证据包括电子数据的证据以及其他证据。例如也做了一些实验，证明这个邮件不是写入的，也做了鉴定，证明这个邮件它是否符合邮箱的存储的规律。

再一个我觉得还有很重要的一点是，到新浪公司也调取到了什么？这点非常重要。大家一定要注意这一点，我们有的时候如果通过现场重建的方法，通过电子数据的方法，通过侦查的方法，你能逮住这个证据本身，那当然很好啊。例如当年的合同，当年的犯罪的工具，当年的尸体，那当然很好。或者当年我是正当防卫的一些视频资料，当然好。

但如果说你能找到一些痕迹，也是很好的，那么这里面刘老师通过对新浪公司进行调证，然后新浪公司出具了一份证据。这个证据是证明这个高管张三，张三给李四，确实曾经在某年某月发过一个邮件，这个邮件是某年某月发的，然后这个文件的名字是怎么样的。也就是说，在发件箱能找到这个邮箱有这个发件的记录，在收件箱也能找到这个记录。或者说在我这儿能通过上帝的视角或者第三方的视角。我们能看到张三的邮箱曾经发到李四的邮箱一个邮件，然后这个邮件的这个名字是什么，或者时间是什么，但邮件的内容我们是看不到的。

虽然看不到邮件的内容，但是这个痕迹也可以作为印证之一或者说佐证之一。同时因为再结合浏览器里面是可能缓存邮件的，我又在你的浏览器里面找到了缓存的投资协议。

对于在刑事案件里面，如果要进行进攻性辩护的话，那么这些证据我想最少能够使得举证责任转移。我提出积极抗辩证明自己是正当防卫，我是紧急避险，我是合法平台。我履行了合规监管义务等等这些。那么这些证据我想是够的，在证明标准上达到优势是没有问题的。

那么这时候就应该发生举证责任转移。从原理上说，需要控方拿出更多的证据，拿出更高证明力的证据来证明我这个平台是一个非法平台，我这里面窃取了别人的秘密，我是杀人，我是故意伤害等等这些达到了排除合理怀疑的程度。那么能达到一个程度啊。就是我现有的证据能达到优势证据也是可以的，也是非常好的。

所以在积极抗辩，就是律师如果通过电子数据或者说通过电子数据和其他数据结合在一起的证据来证明，我这种积极抗辩的事实能够达到优势证据也是可以的。也许我达不到排除合理怀疑，我达不到确凿无疑，但是我提出了合理的怀疑，也是可以的。

当然我觉得刘老师前面举的那个案例，就是他给的律师出的那个主意。然后通过对本案所有的电子数据进行检索，搜索，用关键词检索找到了大量的更多的电子数据来证明我曾经履行了封禁，我做了封禁这样的动作。我发布了封禁的要求，我甚至有因为封禁而得到表彰这样的一些证据，其实已经达到了排除合理怀疑的程度来证明我是无罪的。达到了排除合理怀疑的程度来证明我这个平台是一个合法的平台。

上次我们在程雷老师组织的一个数据合规的论坛，在论坛上听老师讲完课，然后下来交流的时候，就是说如果证据对我们有利的话，我们可以提出排除合理怀疑的证据来证明我的当事人是无罪的。

我觉得这个地方也是很值得我们注意的。就是我们面对老虎狮子，不要一味的逃跑。有的时候我们可以反攻，甚至我们可以发动更加猛烈的进攻也是可以的。

例如我有不在犯罪现场的证据，我有充分的证据证明他不具备作案的时间，有不在案发现场证据。无论这些事实是用电子证据证明的，还是传统证据来证明的，用发票证明还是用住宿单据证明的，我就可以达到排除合理怀疑的标准证明我是无罪的，你的指控是不成立的。

这段建议，我觉得刘老师已经在指导律师做到了，我用排除合理怀疑的证据证明我这个平台是一个合法平台。我对这个平台里面所有的店铺、门脸、或者房间里面的赌博行为都是监管的。如果有的话，那我也立即把它干掉了。我是一个合法平台，我是一个优秀平台，你就不应该起诉。这实际上已经达到排除合理怀疑的程度。

所以说我们发现电子证据法跟侦查有关，跟证据法也很有关系。我深切的感受到，刘老师不仅在电子数据方面知识丰富，而且对于传统证据法的功力也非常的深厚，给我们的启发很大。

后来在周泰律师事务所线下交流时，刘老师就说了一句话，就是辩护人在适度的情况下可以提出排除合理怀疑的证据证明我的当事人是无罪的。我觉得这里面就有一点，当然大家可能觉得这是一个废话，但是我觉得他的意义在什么？就是我们要有这种信心，要有自信。有的时候如果你的思路对了，那你就能取得这样的胜利。

如果你是传统律师，你对着控方的三份鉴定意见，你就只有挠头。这三份鉴定意见是权威机构出的，是中国最厉害的，排名前几的电子数据鉴定机构出具的。然后它的结论是这个平台里面有哪些行为，或者发现了什么，或者我取得哪些证据，然后检察官又用他的法律判断，这些行为就是赌博行为，那你不死翘翘吗？

那怎么办呢？如果你没有这种侦查思维，或者说没有这种侦查意识，或者说你没有那种勇敢，用我的电子数据来证明，我的当事人其实是可以达到排除合理怀疑的标准，证明它是合法平台。没有这种信心的话，你就不会想到，我可以对这些电子数据也进行一个分析啊、比对啊、检索啊，来证明我其实是一个合法的平台。

那么刘老师就做到了这一点，所以我们还是要有这种信心的。所以说这次的课程，我们的很多警官也看到了，有所质疑：你们辩方还反攻了是吧？当然我这招也可以教给控方，控方有的时候也需要反攻对吧？如果被告人不认罪认罚，一直不认罪，或者辩方说他就不认这十万，他就不认这两千万，但是如果你发动进一步的进攻，用电子数据获得了更多时，你发现他贪污了一个亿，这个被告人一看，那你还算优惠了，他一定认罪认罚了，他也许就不再抗辩了。

那么同样的，我们辩方也是，辩方要有这种信心，应用电子数据来获得更多的证据，或者更多的证据来恢复另外一个版本的故事，或者说恢复故事的更大的一半。

或者说我们还用之前举的例子：检察官找了很多樱桃来证明这几个山头的樱桃还都绿着呢，所以我们就不要去采摘了，但实际上，它可能就是别有用心，实际上樱桃都已经红了。

或者说这个漫山遍野的樱桃，他拿出来两个箩筐，说樱桃已经红了，我们可以发动人员赶快摘了，要不然落地了，可惜了。但实际上是什么？漫山遍野的樱桃树上，只有几个是红的，或者说只有零星几棵树上有几个是红的，收集过来说这个樱桃都已经红了。

那我们这时候作为一个审慎的樱桃采摘基地，那你一定要什么？要在更大范围去看，是不是真的都红了。

那么控方拿出证据来证明，在这个平台下面有那么多店铺，你这个店铺里面都在赌博呢，你看，这里面有一百个店铺在赌博，但这一百个店铺其实是从一百万个店铺里面选出来的。

樱桃是摘出来的，有倾向性的，选择性执法执出来的。那我们这时候也要去执法，我们也去用自己的技术去看这平台里面一百万个房间，我来证明这一百万个房间里面其他的九千多万个，都是合法的，没有赌博。

对此，我想已经讲的比较透了。下面我们再看这个第三个“立”的案例，这里面还是刘老师讲的一个案例。

（三）word文件伪造被揭示的案例

这个我觉得他是另外一个思路，他就说我们要注意，我前面讲的是我们用电子数据来恢复案件事实。然后恢复更多的事实，或者用电子数据来恢复现场，来证明对我有利的事实，来进行进攻性辩护。

我觉得这里面还有另外一个层次，就是我们也可以用对电子数据审查的方法来证明什么，对方破坏了现场，对方掩盖了事实。

当然这个是一个民事案件，还是那个刘老师的课程，东卫律所讲的那个电子数据侦查实验。

那个课程里面，他说：我们在指控对方侵犯了我的商业秘密，然后对方拿出一个word文档。例如我们说张三，你侵犯了我们的商业秘密，然后这个我这个商业秘密是一个非常好的，例如一个产品是2010年开始用的，然后对方拿出一个word文档，这个word文档在一个光盘里面说，其实我2003年就已经有这个思路了，我用这个思路设计了这个产品。他用来这个来证明：我没有侵犯你的商业秘密，我自己早就有。

但对方是把这个电子文件给了律师后，这位律师也是找到了刘老师。刘老师给他出了个主意，说既然电子数据来了，我们就看看这个电子数据的时间属性。

结果，看时间以后发现了一个问题：虽然文字内容说是2003年你就有这个产品设计的思路了，但是这个word文档本身的时间是：2013年年创建的，2013年修改的，最后一次访问的时间也是2013年。那么你这个文件是什么？是假的。是你事后编的一个文件，你倒签日期。

然后对方说那不好意思，我这个光盘拿错了，然后又拿来一个光盘。然后这个光盘里的word，我们又点右键看时间，发现这回是2003年创建的，但是最后一次访问时间是2013年的，那也不行，因为不排除你2013年修改过。

于是双方协定进行鉴定。但后来拿光盘的又不同意鉴定了，因为他害怕一鉴定就露馅了。当然他理由是说，我们这商业秘密拿出来鉴定，如果泄密怎么办？于是更改为把光盘拿到法庭上大家一起看。

（这里顺带说下，这是个民事案件，这其实就是法庭勘验。根据刑事诉讼法，刑事案件也是可以用的。因此，2016《两高一部电子数据规定》，还有2020年公安机关《电子数据取证规则》关于取证方法里，少写了一个方法——法庭勘验。这里我提醒我们司法文件的起草者，其实你少了一个方法，就是电子数据其实可以现场勘验。你讲什么远程勘验，讲了什么在线提取，其实法庭勘验。刘老师很多课程里面都体现了电子数据其实可以现场勘验和法庭勘验的，现场勘验会有收获的。我觉得非常有道理，这对法官恢复全部案件事实，对检察官恢复更多的事实，对辩护律师找到对更多有利于辩方的事实或者说恢复全部公正，都是很有意义的。）

那么这个案件是民事案件，在这个民事案件里面是现场打开这个word文档，这时候要打开这个word文档，现场勘验的时候，或者说现场查看的时候，对方又拿出一个光盘，说对不起，我这个光盘又搞错了。然后法官说你不准换盘了，你怎么又换？他说对不起，不是我要换，当事人说搞错了，法官也同意了。

同意了以后，对第三个光盘里面的word文档进行查看的时候，发现她的创建时间、修改时间和访问时间全部都是2003年的了。他就想证明：你看你那个产品是二零一零年的，我这边二零零三年就有这个创意了，我没侵犯你的商业秘密。然后你看，这个时间也没问题，二零零三年。

但是这里面对方又露了一个马脚，就是我们讲二郎神跟孙悟空两个人在打仗，这个孙悟空什么都变得很好，但是尾巴很难变，容易露馅儿，这个尾巴不好变，他会七十二变，他师父教了七十二变，其实有七十三变，这个尾巴问题不好解决，那怎么变得更合理。后来他就把这个尾巴变了一个旗杆，他变了一个庙，想让二郎神不发现，但是他这个尾巴不好处理，怎么办，他就近变了个旗杆。但这个旗杆在什么位置呢？在在这个庙的后面，因为是他的尾巴嘛，那么二郎神就发现了这个不对，发现了端倪，这实际上就是我们的侦查嗅觉。

我们用电子数据来恢复现场，发现事实，发现更多的时候，你要有这种敏锐的意识。这个庙感觉有什么不对的地方，庙的旗杆应该都在前面，你这个旗杆怎么在后面？你这个庙可以前面有竹子，后面有竹子，没问题，但是没有人把旗杆放在后面，就怀疑这是孙悟空变的，就拿方天画戟插了过去了。果然就是孙悟空变的。

这个案件也是这样的。这里面虽然你很多地方都伪装了，但有一个地方让你露了马脚，哪里呢？就是这个word文档是用WPS这个软件打的，但这个版本的WPS是金山公司2010年的10月24号才发布的。因此，都不用去做鉴定，就足以证明你这个文件是个假文件。

这里我顺便讲一下，这种方法其实在我们传统的证据法上里面也用。潘熠律师，他以前做检察官，他讲的一个辩护给我的印象也很深刻。他说你指控我的当事人2008年收了一辆车，价值例如五十万、五六十万或者一百多万，但是我在官网上去查了一下看这个车，这种车例如2012年才上市。那你这个指控就不实嘛。

那当然他也说了，这个他在讲电子证据取证的时候，他说他当时也要去网站上查车什么时候上市的，就拍了一些照片，然后把这个照片提交给法官，然后得到了法官的认可。

这就是电子数据取证。有的时候也许你不是用非常严格的方法，为什么法官也认。那么这时候为什么我们法官有时候也会去认控方这样拍照的电子数据，有时候当然我们法官也会认辩方用拍照取的这个证据，是因为这个网站到底什么时候有这个车上，那法官他自己，其实我想到法官自己也去做了审查的。他一定是接到了潘毅律师的这张照片，然后去上到网上去查了的。查了确实这个车是例如2012年才上市的，然后把这笔给勾掉了。

这是一个类似的思路。我觉得还有一个类似的，也是非常精彩的。武汉天宇宁达公司的这个郭永健老师邀请我去讲课，他讲了两讲。第三讲电子证据法部分，由我来讲。当然为了配合好，我也听了他前面的课程。他也提到里面制作flash文件的版本露出了时间上的马脚。

当然还讲了很多来发现电子数据，用电子数据审查的方法，你会发现在很多地方会留下电子数据的痕迹。你曾经在某年某月发了个邮件，然后你这个邮件，是发给对方的。这是一个你的投资协议，然后你创建另外一个公司，来跟本公司进行竞争。你虽然把这个邮件给删了，但是在你的浏览器里面有；或者说你把邮箱里面删了，但是在邮箱的服务器上有；或者说邮箱服务器我们看不到邮件内容，或者是新浪公司拒绝提供，但是新浪公司可以说，我能给你查到这个邮件的收发记录，这也会留下痕迹。

甚至刘老师讲的一个非常典型的案例，里面是，这个人把国家秘密文件打印出来以后，然后发给对方了。然后也发了短信，他把这个文件给删了，但是在输入法里面，这个文件例如说是两千多个字，有一百八十个短语，然后在输入法里面找到了一百八十个短语。那么这就证明你打过这份文件。这份文件其实你可以掌握，但是你为什么要把它打出来呢？你看就行为什么要打出来呢，这就可以作为证明一部分事实，证明他曾经泄露国家秘密。

因此用这种输入法的痕迹，用浏览器里面的痕迹，用浏览器留下的痕迹，浏览器留下的文件，来证明你曾经发过这样的邮件，发过这样的文档，你曾经打过这样的文字，你曾经打过国家秘密，那这就是一个非常好的一个指控，或者辩护。

这里面我有一个总结，就是说实际上我们辩护人可以通过对对方留下的，附带的蛛丝马迹，找到矛盾之处，然后揭穿他的伪造，然后揭示真相。

好，这个案例就讲到这里。课程最主要的内容我想我讲清楚了，如果有不清楚的，出门右转去听刘品新老师课程。那个课程叫《电子数据的实验式审查》，其中这个案例给我的启发很大。

我们完全可以用这种方法，也结合刘老师在周泰律师事务所私下交流时候给我们讲的律师要勇于提出达到了排除合理怀疑程度的无罪证据的辩护思维，勇敢地进行现场重建，来证明真正的现场是怎么样的，证明全部的事实是怎么样的。

最近又跟刘老师有一次非常深入的交流，刘老师讲了一个非常精彩的案例。那个案例是一个大家非常关注的一个案例。然后刘老师用这种侦查思维，在海量的数据里面，专门选某一类电子证据进行检索、核对版本等，居然发现了大量电子证据是假的。

总之，我们要有勇气去看电子数据本身，有勇气用电子数据取证、恢复、检索、分析、检查、检验、鉴定甚至实验的方法去获得这个事实，恢复这个事实，实现全部的现场重建。

五、如何用电子数据“立” ？

先讲讲如何用传统证据“立”，这方面实际上我已经在前面的课程讲过，在江苏世君律所的课程里，我曾专门结合于金平案讲过一次如何进行现场勘验。

关于如何进行传统现场重建，这次就不讲太多，这方面我有过一篇文章，是在警察学院的时候跟王国民教授合作写的。大概意思是说，从现场重建来看排除合理怀疑。现场重建其实是警方主动的用排除合理怀疑的证明标准来要求自己。就是我们警方、控方获得的证据要能够达到什么程度呢？达到对现场栩栩如生的恢复或者说符合逻辑和情理的恢复，没有矛盾的恢复，那这不就是在用排除合理怀疑的证据标准来要求我们自己吗？

李昌钰为什么会倡导现场重建，他实际上是鼓励我们警察或者是激励我们警察、我们控方，你要对证据的这个收集提取达到什么标准？通过证据恢复的事实是没有矛盾的，是经得起检验的，是经得起辩方的攻击的，排除了合理怀疑的。我当时有这么一个文章，后来是通过刘静坤，然后推荐到这个西南政法的一个杂志，叫现代侦查上，是我跟王国民老师合写的，后来在司法兰亭会也发了。我觉得现场重建跟证据法里面排除合理怀疑是有内在的契合的。

当然我在王老师主编主写的一本书里讲到了如何进行犯罪画像，如何进行犯罪重建。其中我认为最重要的是，我们现场重建的时候一定要有一个大胆猜测，小心求证的思路。

例如在这个案例里，我通过一些痕迹发现这个平台也有很多这个封禁的，或者如果这个平台曾经发发布过封禁的公告，那我是不是就可以扩大化，我用更多的证据来证明我这个平台、我这个当事人曾经对赌博行为有抑制，赌博行为有封禁，对赌博行为还有一个监管，那我就可以接着进行小心求证，进行电子数据检索，将其落实和固定了。

其实，在传统的犯罪事实重建、传统的现场重建里也在讲，你要有侦查意识、你要大胆猜测。

当然，这里还有一个侦查嗅觉和平时的日常生活积累的问题。高显嵩老师最近也引荐我跟我国第一家电子数据鉴定所——信诺司法鉴定所的主任李光老师交流。当时，给我一个特别深印象的是，我们要有侦查的思维，要大胆的猜测，还要不放弃对生活细节的关注，各种生活细节你都要关注。

例如一个生活细节，信用卡是怎么激活的，是怎么到你手里的？如果你是通过网络办理的，或者你在现场填了个表，但这个卡本身是给你的，怎么给你的这个事实，你要有意识的记住。

在信诺所李光主任讲的案例里，有嫌疑人被逮住后接受讯问，他说我就是个收废品的，所以各个信箱里面凡是有纸的地方，有纸壳子的，有瓶子我都捡。我从各个信箱里面收集来的，废弃的信箱里面，或者说敞开的信箱里面收集来的，这里面有信用卡。然后这个警察讯问了，讯问以后觉得说的也合理，就想放过。但是李光主任指出这位警察忽略了一点生活常识——所有的信用卡、银行寄的信用卡都是用挂号信邮寄的。所以嫌疑人的这个说法是不成立的，所以赶快又再次讯问，然后把这个生活抛出去，对方就不得不承认和交代更多的犯罪事实。

因此，我觉得既要有侦查的思维，侦查的嗅觉，其实还要有日常生活的一个积累，就这种知识你也不要放弃。平时的知识你要关注，比如说你不要老去学什么证据法，不要老是学什么刑诉法的书，但就是平时这样日常生活的知识，你也要多习得。

信用卡是用挂号信寄来的，而不是平信寄来的，这种生活常识在你办案的时候用得着；在你做辩护律师辩护的时候用得着；在你作为警官进行查证的时候用得着；在你控诉方在控诉的时候用得着……能让我发现很多案件的疑点。

（一）以可能的事实为引导（主体、虚拟身份、时间、工具、行为、后果）

首先对可能的整体事实进行猜测和恢复。我们发现了一些痕迹，它这个尾巴不对，他这个说法不对，或者发现了一些痕迹，这个平台可能曾经封禁过一些店铺，封禁过一些商店，封禁过一些网络赌博的房间。那么我是不是就可以恢复一个事实：我这个公司曾经做过很有利的监管，我曾经一直重视监管，我曾经一直在巡查赌博。

就好比淘宝，我这个淘宝公司一直在打假，只要有假货，我严惩不贷；只要有假货，这个店铺要关闭的；只要有假货，我们跟对方是赔偿的；然后只要有客户投诉，这个产品是假的，我们立即要进行争议解决，要移送工商机关，我们要进行大规模的查处。

这个就是说，我们要把这个事实想到。那也就是说前面有侦查线索，作为辩方有辩护线索。我这个平台曾经封禁过赌博商店，我这个淘宝公司曾经打过假，那么这是线索。

我们后面就要构建一个完整的一个事实。我这个平台用了什么方法，在什么时间，用了什么工具，打了哪些假，产生了什么战果，然后我把这些证据提交。我曾经做过哪些封禁，我打掉了哪些赌博平台，然后把哪些数据，哪些线索移交给公安机关，最后处罚了多少赌博的人，没收多少赌资。我把这些交给我们的检察官，交给法官用来证明我是一个合法平台。

这个就是我说的，你要以可能的事实为引导，然后去建立这个现场。当然这里面讲的就是如果用电子数据恢复部分事实的话，你不需要。但如果你要用电子数据，要达到恢复全部事实，你要用电子数据做到现场重建，你要用电子数据做到什么，重建现场；用电子数据做到什么，对现场的更多事实的恢复的话，那你需要用这种思路，这就与我们前面的课程呼应起来。

在要件引导下，组织你的证据，无论是电子数据还是传统证据，这个地方我想了想，还是我说的，就是我们作为辩方，无论是作为控方还是作为辩方，控方我们要指控你是什么主体，用了什么虚拟身份在什么时间，用了什么工具，包括什么软件硬件，在什么架构之下，然后采取了什么行为，产生了什么后果，然后这个后果是你产生的，你用的伪基站这种设备，发送了压制性短信，导致了别人的信号的中断，这些你都要有证据证明。

相应的我们的辩方在辩护的时候，去会见的时候，就邹晓晨讲的，你在会见的时候，会见的时间很短，你要在短期的时间内，你跟当事人要交流好：你是用了什么身份，在什么时间，用了什么工具，什么行为，然后做了什么后果，或者说你告诉我，或者说你还做了什么，你做了封禁。然后你有哪些行为，产生了什么后果。

所以这对控辩双方都是一样的。关于这个要件，我也是在不断的更新，这里面再说一下，就是听了邹晓晨的课，印象特别深刻。就是这个作为网络犯罪案件，我们要注意什么主体，然后什么身份，什么时间，什么工具，什么后果，你要注意，你要围绕这些事实来会见。

那高显嵩老师的课里面也多次讲到了时间问题，他也很关注时间。然后郭永健老师的课程里面，我也发现他特别关注时间，就是电子数据的时间问题。后来，我和许晓东鉴定人交流的时候，他说对电子数据进行书面鉴定是，如果关注时间，也能发现很多问题。

当然我对这个公式也有一个贡献，就是我觉得我们还要注意，要关注和查清这些主体使用了什么虚拟身份。就是什么主体，我们要知道这个主体的真实身份，再一个我们还要知道他用什么虚拟身份。或者说作为辩护方，我要证明这个虚拟身份其实是另外一个人，不是我的当事人。

再以DDOS攻击为例。行为人通过远程链接控制很多电脑，去访问别人公司的服务器，让其瘫痪，然后再给那公司发勒索信。

我们检察官要证明这个事情是他干的，就要用证据证明诸多的环节：是他用了什么工具和设备、在什么时间和地点，采取了什么行为，导致了别人的服务器瘫痪，给造成了什么样的损失。

那么作为辩护律师，也可以用这些方法。我证明你所谓的这个损失的鉴定有问题，或者通过分析电子数据并举证这个服务器其实还有别人攻击的痕迹。我想这也是一种进攻性辩护。当然，我们辩护律师还可以证明，不是我这个叫“上善若水”的被告人干的，是另外一个人也用“上善若水”作为虚拟身份的人发动的DDOS攻击。

（三）做好特征选取和关键词选择

同时，在通过电子数据事实重建时，要特别注意从辩护角度，做好特征选取、模型建构、数据检索和数据分析，这样才能获得更多的有利辩护的事实，获得故事的另外一个版本。例如，刘老师赌博平台案例里的“封禁”“禁止”就是很好的检索词，可以获得更多的证明平台履行了监管义务的电子数据。

（四）审查电子数据呈现出来的内容

（1）反复阅读

当然你如果对传统证据反复读，发现问题，你再去读电子数据也是可以的。这是第一点，你要反复阅读。

（2）检索阅读——更推荐

第二个你要用检索阅读的方法，这就是我讲的。如果说李文老师出了个主意，我们可以把这个电子数据，这个平台，他所有的数据来读一读，看一看，来发现他有这个监管的行为，那不就证明他是合法平台了嘛。但如果你把这个电子数据一份一份的去读，那你读到死，你从四十七岁读到五十七岁，你都读不完。

但是我们可以选取检索阅读，找到关键词，关键词你怎么找的准，我觉得这需要日常的积累，还有侦查的意识，还有这种敏锐的嗅觉。或者你要想一下这个事实：什么时间，什么行为，干什么事，我是个合法平台，我怎么样来管这些赌博的呢？我肯定要发公告，我肯定要对这个赌博的人进行处罚，那这个处罚过程中我会在我的这个网站会留下什么痕迹呢？就替他想，他一定会有封禁这两个字，然后去找封禁嘛。关键词的选取很关键。

再一个我们注意的是，就是现在电子案卷的阅读也开始有了更好的方法和软件。我们很多检察官现在也很注意对电子案卷的检索比对，可以减轻很多证据审查的工作量。

现在律师阅卷也出现了快速阅读的方法和软件。尚权所去年有一次课程是在广西举行的，认识了广西望之辩所的主任律师，这位律师就在推荐说其实律师也有电子阅卷、快速阅卷的方法。

（五）对比哈希值（电子数据同一性、完整性校验值）

还有一个就是有的文件我们也可以快速的进行哈希值的比对。例如说起点中文网，这里面的小说被另外一个，例如中文起点网，或者例如说小说一二三四五这么一个网站，这个网站也有很多小说，这些小说我们发现你是抄的我起点中文网，你把我的爬过去，然后你也在卖，你还赚了很多钱。我起诉你侵犯我的知识产权，那这时候就要做一个电子数据的比对，或者说要做一个文学作品的比对。

你是抄的、爬的我的文学作品，那你要不要给钱，或者赔钱，或者我要弄你，我要报案，你侵犯我的知识产权，那我就要证明什么，你是从这爬的。那我就需要在电子数据里面做相似性检验。

相似检验就是你的作品是从我这儿来的，你的作品是抄我的，那这个是电子数据相相似性检验。相似性检验其中有一个方法是哈希值比对，这个就比较快。

假如我们说一百万个小说，或者简单来说，或者说更合理一点，有十万个小说。这十万个小说虽然封面不一样，但是里面的章节内容有很多跟我这边章节内容是一样的。我这十万个小说形成了一亿个章节，然后把那一亿个章节跟我这边一亿个章节进行比对。这时候他可能封面改了，那里面的内容没改，那么以节为单位，发现这些节的哈希值是相同的，就是电子数据DNA相同的。

那么有多少个，我就会快速的得出结论，最少就直接以节为单位的话，因为网络小说往往会分成很多节，例如说一个简单的，浅浅他爹写的废都，他可能这个小说有十章，但在网络上他可能会划分为一百章，然后可能有一千节。

那我以节为单位，我可能发现有很多你都是窃取我的，我人民文学出版社，我的电子书，我在网上供大家浏览。这个作品我在网上为了方便大家阅读，我分了一千个节。

那我就先把这个电子书以节为单位进行比对，通过比对发现什么？你这九百个节必然会是一样的，那你就是百分之九十跟我相似。百分之九十跟我相似，那我就不用去看了，再去看什么。你这个网站里面的废都，里面有多少跟我是一样的，我直接用哈希值比对，那这就是我们还是要掌握一定的电子数据检索比对的方法，然后来进行一个相应的取证。

因此，我们辩护人进行进攻性辩护的时候，也要注意掌握一些电子数据的一些方法，去积极地发现更多的有利于辩护的事实。

（六）审查自身属性和关联痕迹

第三个就是我们在用电子数据重建，或者用电子数据进行这个事实恢复的时候，要对自身属性和关联痕迹更敏感。

我们都清楚电子数据有很多属性，就像朱老师也有很多属性，例如姓朱，名桐辉、是哪年出生的、身份证号是多少、是哪里人、外貌有哪些特征、在哪读的书、现在对电子数据感兴趣等等，这些属性里面大家要特别注意有哪些属性对我们确定这个人，掌握这个人，了解他的脾性是非常关键的。

要关注属性和关联痕迹。尚权张旭华曾总结朱老师的课，然后我总结刘老师的课——那就是要多对着电子数据点右键。当然其实还有更准确的查属性的方法。还要关注关联痕迹，来获得更多的事实。

再一个还要注意这些电子数据的框架，注意它们存在的环境。不仅要进行数据比对、关联碰撞，还要进行虚拟仿真。

（1）审查时间属性

电子数据里面这个时间属性——创建修改访问时间上的审查和比对，能让我们发现很多疑点和问题，揭示很多电子数据及笔录和鉴定的造假。这个我在很多地方讲过了，这里不再赘述，也将有专门的电子数据本体审查课程来讲。

（2）审查注册表

还有一个是注册表。在我们这个电脑里面或者这个网络里面，应该是电脑里面有专门的注册表。

在我看来，它实际上是整个电脑里面的软件硬件，形成了一个框架结构，这个框架结构也会对我们破案或者找到更多的事实有帮助，我也正在学。

（3）审查事件日志

还有事件日志，简单来说就是日志。日志包括应用程序日志，就是你这个电脑里面装过的一些程序的记录，例如装过word，装过小鹅通、装过腾讯会议等程序的记录。这些程序你什么时候装过、什么时候在系统上设置过，什么时候登录过，它都会给你写一笔。

就像这个古代的皇帝干啥，旁边都跟一个人——史官，来记录皇帝的一举一动。同样，我们的现场勘验始终都要拍照，旁边还有要一个外部设备进行拍照和录像。

相应的我们所有的电脑、所有的手机在登录使用的时候都会给你悄悄地记一笔，你都干过什么，你是什么时候登录的，什么时候休眠的，什么时候重启的。这些都是我们审查的重点，能发现很多对辩护有利的事实。

（4）审查应用程序日志

相应的应用程序本身也是，它是怎么运作的。例如小鹅通应用程序的日志就能揭示，你今天登录过蒙益律所的课程是吧？然后日志里面还看到你之前有尚权的课程。

（5）审查安全日志

安全日志也是，也有专门有围绕电脑的安全日志的讲解。我理解的安全单从字面意思出发，就是关于系统的稳定，或者系统可能遭遇威胁等事件需要专门记录下来。

（6）审查操作系统日志

那么这个日志实际上就是电脑系统自己悄悄对操作行为留的那么一笔。即使有些应用程序可能已经卸载了，但卸载软件这个行为也会留下痕迹。所以这个日志也特别重要。

关于操作系统日志检验技术规范。那么要注意一点，就是关于这个日志怎么来取证？这个实际上是有技术标准和规范的。例如，windows操作系统日志检验技术规范。要对windows操作系统日志进行检验的话，必须遵循专门的技术规范。

我们有很多电子数据取证、恢复、鉴定、对比分析的技术规范。我觉得我们作为律师，要有勇于浏览技术规范的意识，以后遇到相应的案件，就会想到这个案件里面是不是需要对电脑留下的痕迹进行勘验检查。即使已经有了专业的鉴定人，我们也可以有更多的互动甚至是建议。甚至，我们可以自己去看日志、找痕迹，当然我们已有很多律师具备这方面的知识，这样会更方便。

（7）审查系统文件

还有系统文件。我们相应的教材里面讲的给我印象最深刻的就是例如我们的电脑里面有个最近登录文件，这个文件里面专门放在一个文件夹里面，或者说我们在windows里面一点就能够访问到最近访问文件。那么你进入这个系统能够访问到很多最近访问的文件。

那么基于我所讲解的就是即使这个犯罪嫌疑人把这个文件删除了，那么在最近访问文件里面，你能看到他曾经最近访问过这个文件。这条信息也是很重要的。当然，如果你具备更多的电子数据支持的话，你就要对这个系统文件里面的每一个重要文件都去看一看。

（七）模拟、搭建电子数据所在的框架和环境

下面是框架和环境，这个是我扩展的。就是说我们不仅要单机取证，就是刚刚高显嵩老师讲的单机取证、网络取证、数据库取证，我们都要有所了解。那就是说我们作为辩方进行进攻性辩护的时候，你不仅要对单个的电子数据要点右键看属性，看关联痕迹，看日志，你还要对多个电子数据，你要知道数据不仅可以比对，还可以进行关联，还要清楚很多数据要放在一个系统里面才可以用。

很多电子数据只有在特定的系统，例如Windows、mac系统下才能运行，才能被看见和被发现。因此，我们也要关注这个系统、框架和环境。比如说它设计了一个网络赌博平台，这个平台它是一个传销组织设计的，而这个传销组织的架构是了解电子数据、电子计算机的人设计的。虽然你把相关证据取来了，但是如果那个框架是该组织自己搭构的那就还是不能了解到相关事实。所以还要了解和掌握这个平台的设计系统。

很有名e租宝案，就是尚权所张旭华律师等很多律师办过的那个案件，是非常典型的，在那个案件里，我们公安机关就是通过搭建了一个平台，把数据放进去，才恢复了这个更多的事实。

我的理解是，这些鱼要在鱼缸里，鱼塘里才能看到它怎么游的，才能显现它是怎么样的。那如果你捞出来以后，你不放在鱼缸里看不到的。所以我这边又搭建了鱼塘，搭建了一个鱼塘鱼缸，然后把这个鱼放进去，然后它才能恢复过来。然后才能看清它长得什么样，它是怎么游动的。

还有，根据张洪铭博士所讲，咋们好几个案例里提到的人民大学电子数据鉴定所就特别注重这一技术的使用。我们有很多鉴定里面说到没有查到有远程联络的痕迹，就是这个嫌疑人的电脑里面没有查到远程联络的痕迹。这样的话，怎么指控这个人的电脑曾经控制大数量的电脑发动过DDOS攻击呢？所以最终是人大鉴定机构把虚拟框架搭建起来后才发现发现远程联络的痕迹。

这就说明有时候我们需要通过重建一个电子数据的运行环境，来进行电子数据进行更好的行为和痕迹重建。这与我们现场重建、侦查实验的原理很相似，就是用电子数据重建了一个虚拟现场，用重建的实验现场来发现更多的痕迹。在我看来这是最标准、最典型用用电子数据实验和架构搭建来进行重建现场的方式。这是一个专门的技术、有专门的软件，也是需要不断学习的。