首发 | 朱桐辉：电子数据检材来源易引争议，如何做好取证、查验的全过程同步记录？

司法兰亭会 2023-10-09

收录于合集

（题字：泰和泰北京律师事务所刑事部主任李崇杰）

司法兰亭会八周年，即将升级为纯原创平台，并集中主题、控制推送次数。

朱桐辉 | 南开大学法学院副教授，北京云证国际数据安全司法鉴定中心学术部主任，泰和泰（北京）律师事务所刑事部学术顾问

编者按

郭烁教授主编《刑事诉讼法进阶案例》教材，法律出版社出，要求须是深度理论分析，有扩展性思考。分我一个案例撰写名额，我选取了一个对电子数据检材来源提出了切实疑问，进而获得了光盘，最终发现《淫秽物品审查鉴定书》结论有重大出入的质证成功案例，对刘品新教授倡导的实质性审查、勘验式审查、对照式审查、“鉴—数—取”体系式审查在本案审查中的典型运用，予以了深入挖掘……

结果，字数超出了郭帅要求的5000字，达到了7000字。为难之际，郭主编表示他亲自来删，我就不管了。他果然出手不凡，删掉了两小部分后，保留部分更加紧密呼应，而且删掉部分也能再加些相关总结分析，独立成文。做过专业法学编辑的老师，确实神奇。

今天推送多出两小部分中一部分生长而成的文章。另一小部分，虽然很短，但会很有意思，值得期待。

一、引言

随着针对和通过网络犯罪的增加，传统线下犯罪的网络化，以及纯正线下犯罪必有电子留痕，对手机、电脑、硬盘、优盘、云盘和网络上的文档、图片、视频、邮件、邮箱、聊天记录、转账记录、通讯信息、身份认证信息、登录信息、行程轨迹信息、设备信息、APP应用程序及信息、日志信息、注册表、操作系统及信息等数字化形式生成、存储和传输的文件的取证和查验，在刑事案件中越来越多、越来越重要。

这里结合自己近三年的专门学习、实战参与和思考，对刑事案件电子数据取证、查验的手段和框架，予以总结；并从证据法角度，对取证和查验过程本身需要记录和“留痕”的重要性及主要方法，予以探讨和提炼。

同时，电子数据审查人、质证人对这一问题的了解，也有助于提高自己对电子数据审查和质证的能效。

二、电子数据取证和查验的手段及框架

综合我自己对2016年两高一部《电子数据规定》、2019年公安部《电子数据规则》、2022年二高一部《网络案件刑事程序规定》等相关法律规则、电子数据取证教程的学习，以及北京尚权律师事务所张旭华律师的实践与研究，经我这次的最新分析和辨析，可以说，现阶段对电子数据有六大取证手段、一大其他来源、四大查验手段。

（一）六大取证手段

1.现场一并提取（搬鱼缸）

在现场将原始存储介质及其内的电子数据一并扣押封存，这是2016《规定》和2019《规则》最强调的原则手段。

2.现场单独提取（只捞鱼）

在现场，用设备和软件将电脑、服务器、网络上的电子数据先“备份出来”“捞出来”，放在侦查取证人员自带的存储介质里，后续再继续恢复、分析和统计等。这是上述现行规则认可的辅助手段。同时，2019《规则》里新增的对电子数据的“登记保存”，其实是这一手段和过程内的辅助手段。

3.现场打印、拍照、录像提取

这是2016《规定》和2019《规则》授权的补充手段，属于“简单提取”。更适宜行政案件取证。但实践中，这一手段已演化成为刑事案件现场取证最常见和最主要的手段。这会引发大量问题，给电子数据的同一性、关联性、真实性、完整性、合法性的保障和审查带来诸多困难。

4.在线提取（远洋捞）

这是侦查取证人员通过网络远程取证的统称，包括了“最广义的在线提取—>远程勘验—>网络技术侦查”这三种逐渐递进、限缩的手段。

按照2016《规定》和2019《规则》的要求，远程勘验需借助被取证人提供账号和密码进行，不得使用技术破解等方法，但实践中是否都遵循这一原则，值得进一步调研。同时，实践部门认为，因为这还是对“现场”的勘验，因此只需履行《公安机关办理刑事程序规定》对现场勘验的低级别审批程序即可启动和进行，这也是我国现行电子数据法律最严重的顽疾，绕开了《刑事诉讼法》对搜查、扣押的规制，亟需改进。

网络技术侦查因为涉及对被取证人、被调查人和被侦查人的长期电子监控，同时，各界也认可其仍属《刑事诉讼法》规定的“技术性侦查”的一种，因此，其审批要求——经过“严格的审批程序”方可进行，与《刑事诉讼法》是一致的。

5.调取（代捞）

这是公安司法机关向腾讯、阿里巴巴、中国移动、中国联通等运营公司发出通知，由后者将其掌握的被取证人、被调查人、和被侦查人的数据和信息收集、提取后转交给前者的取证方式。2022年二高一部《网络案件刑事程序规定》为进一步节约资源，发挥其功效，在其下新增了“数据电文调取”形式。

6.传统刑事诉讼法手段——法庭勘验、搜查、扣押、技术侦查

实践中，在刑事审判中，辩护律师、诉讼代理人等提出在法庭共同现场查看被告人、被害人等的邮箱、各种网络账户信息的申请，往往也能得到诉讼各方的认可和法庭的同意。这其实就是通过法庭勘验获得电子数据。这一手段被现阶段的电子数据取证规则普遍忽略。

同样，传统的搜查、扣押、技术侦查等手段在实践中也有被用来获得电子数据原始存储介质。这种用更严格、更规范、更符合《刑事诉讼法》要求的方式更值得提倡。

关于电子数据冻结

其实就是为防止被取证人和被侦查公司在各平台账户（例如，微信账户、百度网盘账户、阿里云账户）里的信息和电子数据流逝、灭失、被覆盖和被删除，而采取的账号“封锁”措施。因此这和前述的“登记保存”的性质一样，只是辅助其他取证方法的手段之一，不能成为独立的取证手段。

关于初查（立案前“调查核实”）

2016《规定》很笼统地授权侦查机关可在立案前的初查阶段收集、提取电子数据，2022二高一部《网络案件刑事程序规定》将其正式称为“调查核实”，并在第12条进行了规制：“调查核实过程中，可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制被调查对象人身、财产权利的措施，不得对被调查对象采取强制措施，不得查封、扣押、冻结被调查对象的财产，不得采取技术侦查措施。”这明确了初查范围和手段限制，有进步。

但依然存在的问题是：在网络案件中，“勘查”其实是一种对调查人人身权和财产权干预范围很深很广的强制性侦查行为，将其授权给初查人，同样可能成为初查权扩张适用的切入点，有待商榷。这也应当成为下一步网络案件侦查法治化要解决的重点。

（二）一大其他来源——行政机关移送

快播案就是行政机关查封了快播公司租赁的服务器，后被转交给侦查机关的。实践中，行政机关能取得大量的电子数据，这一来源估计以后会广泛应用。另外，刘品新教授关注的重庆网信执法平台的“浏览即取证”，也是行政机关取证的典型方式。可参看司法兰亭会11月8日新媒体首发的刘品新教授关于行政取证的论文。

（三）四大查验手段

1.检查

这是介于电子数据的收集提取和检验鉴定之间的查看和统计行为。总体上不是对专门性问题的专业分析和判断。一般取证人员用简单工具，就能完成这里的对电子数据类型、文件名、大小、数量的识别、记录甚至是分析工作。

2.侦查实验

对电子数据的属性、增删改情况、功能情况进行的相似条件下的多次实验和对照实验。已有不少民事案件和刑事案件用这一方法对电子数据、电子设备和软件进行这样的查验，也取得了很好的去伪存真、恢复真相的效果。

3.鉴定

是对电子数据的存在性、真实性、功能性及相似性问题，进行的专门分析和查验。现阶段，电子数据鉴定在“四大类”（法医类、物证类、声像资料类、环境损害类）鉴定之中，属于“声像资料类”。

4.检验（出具专门性问题报告）

有些电子数据的专门问题，例如对海量电子数据进行统计、关联分析进而形成报告，因为还没有成熟的技术标准，因此其报告出具可以归于检验。2021年《刑事诉讼法解释》颁行后，检验可以用更准确的称谓：“出具专门性问题报告”。还有的电子数据的专门性问题查验和分析，只出具结果，不说明查验的过程、方法，不进行论证，这也属于电子数据检验。

关于抽样分析

这里接着特别要说的是，2022二高一部《网络案件刑事程序规定》第20条规定的对电子数据的抽样分析，其实也是一种电子数据检验或者说“专门性问题报告”出具行为。

对此，特别注意的是，按照该条规定，抽样分析必须要“对选取情况作出说明和论证”。还应当“重点审查取证方法、过程是否科学。经审查认为取证不科学的，应当由原取证机关作出补充说明或者重新取证。”同时，我们还要注意按比例抽样的对象必须是同类物，而且尤其要警惕“非概率抽样”，因为其科学性并不足。

三、取证和查验流程复杂、环节多，注定易引发争议

之所以在电子数据的鉴定、检验等查验工作中检材来源会成为争点，我总结原因有三：

第一，与这类案件的原始存储介质及其电子数据所处的结构、架构和环境复杂，需要侦查和取证人员借助专业设备、程序才能实现可视、可备份、可检查、检验及鉴定有关；

第二，与在这一活动中，需要对电子数据进行收集、提取、恢复、移送、检查、比对、实验试验、功能测试等多环节操作有关；

第三，也与电子数据一定程度上易增删改并且不易被肉眼发现有关。

四、如何做好电子数据取证、查验的全过程同步记录？

因此，这就告诫电子数据的收集、提取、恢复、检查、检验、鉴定人员要严格做好上述行为的全过程、客观同步记录。

经过这近三年的电子数据法律规则、经典案例学习，论文专著学习，听刘品新老师的课和他的线下指导，向高显嵩、李光、唐宇、张洪铭、李敦、许晓东等电子数据鉴定人请教，以及自己对电子数据取证和质证的实践参与，我总结，其中良好、有效的方法有：

第一，在上述各行为相关的笔录及清单上，认真、详细填写各项内容。