【电子数据的审查判断】
转自:
潘金贵教授:各位老师,各位学员,下午的讲座正式开始。今天下午的讲座,我们非常荣幸地邀请到司法实务部门的资深电子证据专家,给大家讲授证据收集信息的审查判断。这位专家是刑法学博士,在刑事方面非常有研究,也参与了很多刑事方面司法解释的制定,在理论与实务方面都颇有成就。希望大家抓住这次学习交流的机会,认真听这位专家教我们如何收集提取电子数据,那就让我们以热烈的掌声欢迎这位司法实务专家给大家作一场精彩的讲座。
司法实务专家:非常荣幸有机会能够跟大家交流电子数据的有关问题。本来潘老师给我的题目是“电子数据的审查判断”,因为西政刑侦学院的梁坤教授会讲解关于收集提取的问题,但实际上这两个问题是一体两面的。只有知道电子数据如何收集提取,才能反过来去印证电子数据的审查判断。所以还是要倒过来,从电子数据的收集提取开始讲电子数据的审查判断这一问题。
接下来我讲的主题很简单,将围绕法发〔2016〕22号文件展开。公安机关的刑事案件程序规定、人民检察院的刑事诉讼规则、最高法的刑事诉讼法解释、公安机关收集提取电子数据的规章,以及人民检察院办理网络案件的相关规定等一系列重要文件构成了刑事电子数据法律法规体系。其实这些文件当中有个核心文件——即两高一部《关于收集提取和审查判断电子数据若干问题的规定》,虽然这个文件只有30条,但是却可以被称为是目前刑事电子数据领域唯一的规范性文件。
首先,我们需要界定电子数据的范围。大家应该都知道如何定义电子数据,从广义的范围来讲,过去的雷达记录等都属于广义的电子数据。回溯过去,无论是英国、法国、美国、日本,甚至在南非,很早就有电子数据用于刑事案件之中的记录。后来,实际上也是在网络犯罪迅速发展蔓延的背景下,中国也开始越来越重视电子数据。中国于1994年4月20日开始介入国际互联网,而世界互联网在1969年就诞生了。也就是说,在世界互联网诞生25年后,中国才开始介入国际互联网,这标志着中国与国际互联网的互联互通。从这一天开始,网络在中国历经了飞速发展,毕竟我国人口基数在这里。所以,大家想象一下,为什么欧洲、美国没有类似中国的百度、阿里、腾讯等企业。我想其中既有体制原因,也有其他原因,但其中一个很重要的因素就是人口。比如说淘宝、天猫到了双十一的时候,往往宣传能卖多少钱,这背后其实是我们国家庞大的人口在支撑。在人口红利之下,互联网在中国的迅速发展是一个不争的事实。但是,就像菜刀能够用来切菜,也能用来杀人一样,技术从来无法保证它会做什么,只能保证它能做什么。网络迅速发展带来的一个问题就是网络犯罪,这也是网络安全中最为突出的一个问题。如果从计算机犯罪来看,全世界第一起受到追诉的计算机犯罪案件,于20世纪60年代发生在美国,是斯坦福大学的一名工程师,在做电子勘验的过程中发现有人利用计算机窃取银行存款,这是全世界第一起受到追诉的计算机犯罪。中国的第一起计算机犯罪案件,于1984年发生在深圳,中国银行深圳分行蛇口支行的计算机主管和会计两人联手利用计算机窃取银行存款,这是中国大陆地区第一起受到追诉的计算机犯罪案件。1994年我国正式进入国际互联网后,计算机犯罪开始迭代更新,马上跃进到了网络犯罪时代。所以在网络犯罪之中,电子数据的审查判断和收集提取是个绕不过去的问题。
电子数据的审查判断和收集提取对确定侦查方向与认定案件事实有重大的意义。举两个例子,比如说马加爵案件,马加爵杀死他的4个同学后跑了。几天后因为宿舍一直没人出来,宿管就找到钥匙进去了,进去后就发现4个同学的尸体,而马加爵已经不知其踪。19年前不像今天摄像头遍地都是,甚至火车实名制,当时根本不知道他跑哪去了,所以当时面临的一个重要问题就是侦查方向,即到哪里去抓人。当时整个宿舍里只留下一台电脑,但马加爵作为一名大学生,具备一定的反侦查能力,所以他在出逃前把电脑进行了反复的格式化,当时在云南省范围内都没人能把电脑数据恢复过来,后来这台电脑被送到了公安部。当时是公安部十一局,即网络安全保卫局案件处的同志把电脑数据给恢复出来的。电脑恢复出来后发现一个重要信息:马加爵在出逃前几天密集搜索关于海南,特别是三亚的旅游和交通信息,于是侦查人员判断马加爵很可能跑到三亚去了。所以后来在海南岛全岛散发了60万份通缉令,最后才在三亚将马加爵抓获归案。这个案子如果没有电子数据能不能破呢?也能破,但可能会有所贻误。具体到侦查中的实际问题,如果没有其他证据的话,因为根本不知道他到哪里去了,所以办案人员可能就只能到全国去撒网。所以,电子数据对于侦查方向的确定发挥了很重要的作用。再举一个例子,电子数据对于案件事实的认定发挥重要作用。林森浩投毒案发生在上海复旦大学,被告人在与被害人产生一些矛盾后,投毒把黄洋杀害了。投毒案件可能在所有刑事案件里面是最难办的,因为投毒案不像其他案件会有明显的关联痕迹以追踪到其他直接证据,比如杀人案中能通过凶器上的指纹或通过血迹确定DNA,很多直接证据马上就能被关联上。但原则上,投毒案件是很难找到直接证据的,比如,所投毒物可能在水中都已经溶解掉了,投毒案件的难度就在于此。这个案件在最后认定案件事实的过程中,电子数据对证明案件事实就发挥了比较重要的作用。其中有两段电子数据比较关键,一段电子数据是互联网搜索记录。因为投毒用的毒物是二甲基亚硝胺,是不怎么常见的一种毒物,但因为林森浩是学医的,所以他找到了毒物。第一段电子数据显示在案发之前,林森浩在互联网上搜索关于二甲基亚硝胺的情况。大家知道一个人中毒送到医院后,要干的第一件事情不是洗胃,就跟火不能都用水去灭是一个道理。医生首先要判断中是的什么毒,才能决定下一步的抢救措施,而第二段电子数据就显示,在医生还没有判断出中毒物的时候,林森浩就在电脑上搜索二甲基亚硝胺中毒后会出现的症状,因为他想判断到底是不是他投的毒物发挥了作用。所以,这两段电子数据后来对形成一个完整的证据链条起到了重要作用。
这两个案子均证明,在21世纪数字网络时代,电子数据已不容忽视。不论是从办案机关的角度,律师辩护的角度,还是从证据审查判断的角度,电子数据都是绕不过去的。现在是一个万物皆可计算的时代,一切都可以转化为数字,过去我们很难想象的一些能通过互联网实施的犯罪,今天都能通过互联网实施。一个月前,最高人民法院、最高人民检察院发布了一个有关性侵未成年人的司法解释,其中有一个重要的条文是“隔空猥亵”。从前很难想象到隔空实施的猥亵犯罪,行为人跟被害人从来没有接触过,但隔着屏幕实施猥亵。而现在这类案件比较多发,很多女孩可能不小心被人拍了裸照等,就被犯罪人威胁,隔着屏幕要求被害女性做各种动作,满足他的需求。传统刑法学过去可能认为猥亵犯罪一定是接触式犯罪,很难想象到在互联网时代也可以是一个非接触式犯罪。所以,新的时代已然到来。
我国在1994年接入国际互联网后,网络犯罪就迅速出现了。在2012年刑事诉讼法第四十八条第二款规定电子数据之前,互联网中的电子数据就已经出现了。在过去的实践中,对于电子数据的审查判断有两个办法,第一个办法就是在法定证据种类以外,直接再设定一类证据,比如说著名的两个证据规定是在前面把法定证据的审查方法写完之后,后面专门写了一个关于电子证据的审查判断,这是一个做法。第二个做法就是将电子数据转化为勘验笔录。比如今天上午品新教授讲到的,如果把数据拷走,实际上是一个勘验。所以在2012年之前还有一个做法,就是将电子数据转化为勘验笔录,比如说现在仍然有效的两高一部《关于办理网络赌博犯罪案件适用法律若干问题的意见》,在意见里面就是把电子数据转化为勘验笔录。以上两种做法都是由于当时刑事诉讼法没有把电子数据规定为法定证据种类造成的,所以到了2012年刑事诉讼法是在第48条第2款加了一类证据就是电子数据。到了2018年刑事诉讼法再修改,这一条内容没有变,但是序号变了,从48条变成了第50条。
今天可以再说一句题外话,现在的刑事诉讼法50条第1款跟第2款其实是矛盾的。第一款讲了一切证明案件事实的都是证据,但是第2款又讲了证据包括哪些种类。前面好像是一个开放式的定义,但后面又是一个限缩式的列举,导致在实践之中其实还有很多证据不知道怎么作出统一归属。举一个最简单的例子,有人偷了我的手机,这起盗窃案件最重要的一个证据是价格认证报告。这个价格认证报告绝对不是鉴定意见。在法庭上可以问公诉人这是鉴定意见吗?他只要敢说这是鉴定意见,就可以要求他即刻给出鉴定机构的名称、鉴定资质、鉴定人员的资质等等。2005年10月1日《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》实施,在国家发改委和司法部的联合发文中提到,要逐步将价格认证纳入统一司法鉴定的范畴。但这个文件实施到今天已经将近20年,价格认证仍没有完全纳入司法鉴定中。2012年起草刑诉法解释时,第一次提到了“报告”这个词语,实际上也是类似于鉴定意见,但由于2005年《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》采用了一个“3+x”的限定模式,即物证类的鉴定、声像资料鉴定和法医类鉴定, “x”是由两高三部确定的鉴定事项,目前只有一项,即环境污水评估,其他种类都没有采用途径,因此实际上司法鉴定是受到限制的。我不知道在座各位有没有办过文物犯罪案件,可能过去在司法部的名录里面能看到全国大概有7家所谓的文物鉴定机构,但它们的实际鉴定范围实际上都是在打擦边球。虽然可能标明的鉴定范围都是什么艺术品鉴赏等等之类的,但真正意义上的文物鉴定机构可能一所都没有。后来在2016年1月1日实施的两高《关于办理妨害文物管理等刑事案件适用法律若干问题的解释》里面实际上采取了一个原则叫做鉴定意见与报告“两条腿走路”的方式,即既可以由鉴定机构出具鉴定意见,也可以由国家文物局指定的机构出具报告。目前国家文物局是通过三个批次,指定了将近50家可以出具报告的机构来解决问题。这是一个题外话,《刑事诉讼法》第50条第1款和第2款的规定,确实是具有一定的矛盾之处。这个问题学界也呼吁了多年,但是立法还是这样,一直没有做出调整,类似的比如说我们在案件里面的一些情况说明,到案经过等一些证据的归属,其实在相关文书里面往往是一个比较尴尬的境地。
在此基础上,刑事诉讼法在证据规定中,将电子数据规定为法定的证据种类之后,我们需要回过来看一看电子数据,寻找它跟传统证据之间到底有哪些不同。电子数据我认为至少有4个特点值得关注。
第一个特点,以电子数据的新形式所存在。电子数据的存在形式跟传统证据有所不同,它是一个以电子数据的形式,以0和1所组成的数字所呈现的。它跟传统证据存在的载体和存在的形式是有所不同的。
第二个特点,电子数据具有开放性的特征。比如说传统的调查取证,可能需要办案人员亲自到调取地,或者委托异地机关代为取证。但是,如果要调取服务器位于重庆的数据,且是一个公开数据的话,可能通过在线提取的方式就可以实现,所以这是第二个特征。
第三个特点,易变性与稳定性并存。一个电子数据比较容易发生变化,这是我们大家都熟知的事情。很多人一讲到电子数据,就认为很容易被篡改,很容易发生变化。但是电子数据的篡改或者说变化,一定是留痕的、只要我们采用一定的技术手段,根本不需要走到鉴定这个层面,就能判断出电子数据的真伪。后面我会讲到的一个“完整性”的概念,就在电子数据的真实性之下。传统证据讲求三性,即真实性、合法性、关联性。但在电子数据领域,在真实性之下,我们提出一个叫完整性的概念。什么是完整性?电子数据从收集提取开始到保管的整个过程是完整的。如果电子数据不完整,它一定不真实,所以我认为完整性是真实性的下位概念。电子数据的完整性鉴定,根本不需要和其他鉴定采取同样的方法,从这个角度来讲,电子数据比传统证据更为稳定。
第四个特点,电子数据没有原始电子数据这一说法,但存在原始存储介质。传统证据理论其中有一个规则叫做最佳证据的原则。提取物证需要优先提取原物,提取书证我们要优先提取原件。但是今天上午品新老师讲了那么多规定和法律,没有一个法律提到了原始电子数据这里一个概念。这是值得思考的一个问题。为什么电子数据领域从来没有类似于原物原件一样提到原始电子数据这个概念?为什么传统证据是没有办法跟载体相分离的?比如哲学中有种说法是“世界上没有两片完全相同的树叶”,复印扫描件跟原件一定是有区别的,所以要强调原始证据优先,复印件没有办法跟他做到完全一样。但原始电子数据完全一样,而且从技术的角度来说,区分不了哪个是原件哪个是拷贝的,所以在电子数据领域从来没有提到过原始电子数据这个概念,但是会提到一个替代性的概念—原始存储介质。因为电子数据可以与载体相分离。比如说,我用电脑实施犯罪,公安机关破门而入之后可能首先要把电脑扣押了,优先扣押的是原始存储介质。那么,后面会讲到一个比较大的服务器,上面除了有涉嫌犯罪的一些公司的记录,可能还有其他正常经营的公司的数据。因为很多公司一个季度只能把其中部分的数据提取出来,存入到其他载体里面。所以在电子数据里,只出现过原始存储介质的概念,但是没有出现过原始电子数据的概念。以上是我个人认为电子数据值得关注的四个特点。
梳理电子数据的法律体系的发展脉络,《刑事诉讼法》只是在过去的第48条,现在的第50条第2款提到了“电子数据”4个字,但是对于电子数据其他相关的问题,没有做进一步的规定。在此情况之下,2012年最高法院的刑事诉讼法司法解释在第93条就从法院审查判断的角度,对于电子数据审查判断的内容做了一个系统的规定。应该说,这是在两个证据规定之后又对电子数据比较一个系统的规定,这是第一个时间点。在这之后,去年4月份发布了新的规定,但主体内容没变,即两高一部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》。前面我讲的是法院怎么审查判断电子数据,反过来我讲的是对于法检审查电子数据的一些要求,就转化为公安机关提取电子数据的时候应当要注意的一些操作规程,这两个文之间就是这样一个关系。
2014年的这个文件到今天已经废止了,去年4月份我们发了新的网络犯罪程序意见,已经转化为法发文号。再往后走就到了第三个时间点,就是2016年,在新的时代背景之下,我们制定了这样一个法发〔2016〕22号文,即《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)。在21世纪初期,我们提取电子数据可能往往是一个小体量的操作,随着云存储、云计算到来,今天的电子数据已经是一个海量的数据,而且绝大多数的电子数据不是存储在物理空间,而是存储在云端。所以可能对于传统的电子数据的收集提取和审查判断都提出了更高的要求。
第二,根据公安机关反映,在电子数据的操作之中,侦查机关与法检之间存在自说自话的问题。现在网络犯罪案件是整个警种都在办,但是早年办理网络犯罪案件的主要是网警。网警绝大多数是学技术的,没有那么懂法律。反过来到了法检,绝大多数办案人员是学法律的,但又没那么懂技术,提出的一些问题经常让技术专家啼笑皆非。所以公检法,包括律师之间可能缺少一个共同的话语体系和统一的判断标准。
第三个背景是刚才已经提到的海量电子数据带来的更大的挑战。大家知道刑事诉讼始于侦查,就公安警种而言,刑事法治建设的重点,就是公安的侦查水平和法治化水平要提升。如果公安在前端没有做好,这个案子到后面是很难做好的。这些年来,公安机关在电子数据取证方面也取得了长足的进展,为《电子数据规定》的出台奠定了一个扎实的基础。2015年还专门在重庆召开了一次座谈会,邀请了全国部分地方公检法的同志聚集在重庆,提出了有关意见。到2016年8月份两高一部完成了会签程序,9月份正式对外发布。这个规定涉及5个方面的内容,30个条文,应该说是目前国内刑事领域唯一一部,以两高一部的名义对电子数据作出系统规定的专门的规范性文件。其中有几个特点值得我们关注一下:
第一个特点,它是一个规则的延续与丰富、发展。前面我给大家介绍电子数据规范体系的发展过程,就是想告诉大家2016年的文件不是一天形成的,是建立在以往司法解释规范性文件的基础之上。第二个特点就是体系的完备与问题导向。虽然前面5个方面的内容体系已经比较完备,但同时我们坚持问题导向,把实践中反映突出的问题,作了相对具体的一些规定。第三就是惩罚犯罪与保障人权的统一。比如说为什么要提出电子数据完整性的这样一个概念,实际上就是为了更好落实对于事实的审查,提升刑事法治的水平。第四个方面是法律规则与技术规范的融合,从第一部司法解释开始,我自己有一个很深的感悟,就是其实法律跟技术是交融在一起的。这些年来法律很多发展实际上受技术的影响比较大。举一个例子,2021年3月1日实施的《刑法修正案(十一)》,增加了一个罪名,即基因编辑犯罪。基因编辑犯罪为什么会设立?其实就是技术在发展。比如以深圳贺建奎案件为代表的这一类案件,20年前没人能想到说基因编辑技术的需要规定为犯罪,因为技术到不了这一步,而今天是因为技术到了这一步,促使刑法走上一个扩张的道路。那么为什么大家都使用互联网实施犯罪?因为网络技术在飞速发展,所以另一个方面,从法律规则的角度来看,今天的法律已经是一个技术法。如果大家办理网络犯罪案件,可以去看看法条的表述中有很多专业术语,这些专业术语实际上是为了把这个技术问题表达出来。比如说电子数据的完整性校验值,这就是一个专业术语,但是这个术语又没有办法用其他的词语表达。所以在法发〔2016〕22号文里面有很多类似的规定。这种法律与技术的交融在这个年代已经没有办法,如果将来要做电子数据的相关规定,不懂技术至少要懂基本的原理。有时可能需要借助这样一个有专门知识的人,才能把案件做好。所以今天上午可能因为品新老师讲的太高深,我估计1/3的人能听懂,很多人跟我讲能听懂10%就可以了。但我也不懂技术,所以我讲的你们基本都能听懂,这就是电子数据规定的4个特点。
为了更好地落实法发〔2016〕22号文,在2018年年底,公安部又专门出了《电子数据取证规则》,这是一个比较重要的文件。在座的律师朋友要去看说公安的电子数据取证规范不规范,法发〔2016〕22号文讲的可能有很多原则性的东西,而这个里面可能讲的是更加系统的东西。那么到了2021年3月1日,最高法实施了新的刑事诉讼法的司法解释中,也把〔2016〕22号文里面关于电子数据审查判断的一些条文吸收进来,进一步通过司法解释固定下来。
比如说2021年司法解释里面的110、111条、112条,都是关于电子数据的审查判断的几个规定。上午品新老师也提到了这几个条文,那么我们接下来讲几个问题,第一个问题就是我们刚才讲的五部分内容,我们逐一去讲。第一是一般规定,那么一般规定回答的问题就是什么是电子数据。关于这个问题,学界有好几种观点,在电子数据规定里面,第一条实际上就是对电子数据的界定,回答了什么是电子数据的问题,即电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的能够证明案件事实的数据。简单来讲电子数据是数据,是能够证明案件事实的数据。第二个条件就是电子数据是以数字化形式存储、处理、传输的,前面也给大家做了一个汇报。第三个条件需要大家注意一下,电子数据是在案件发生过程中形成。这强调电子数据不是事后形成,而应当是在案件发生过程之中形成的,但是对于这里的案件发生过程之中不能进行过于狭隘的理解。比如说一个行为人跟一个女子之间发生了性关系之后,认定到底是不是强奸有一个重要的判断条件——是不是违背妇女意志。假如行为人与被害人之间有比较多的微信往来记录,证明两人之间可能关系就非常密切,这就当然能够证明案件事实,所以这里的“案件发生过程之中”要作相对宽泛一点的理解,这是第一款的规定。
第二款的规定列举了各种电子数据的表现形式,这里不一一展开去讲。2016年这个文件的发布还引起过轩然大波,很多人看到了这样一些信息就认为,有些信息比较私密,是不是需要采取技术手段,例如监听、数据截取等方式来获取数据。但这一块只是一个客观描述,就说电子数据包括这样一些形式,至于它的获取手段该用的手段,履行的程序都需要依法进行,所以这并不意味着承认取证的瑕疵的问题。
这里要讲几个问题,一个是电子数据跟物证是什么样的关系,有些计算机专家,包括公安部、网安局,认为其实电子数据是传统证据的电子化形式,所以最早公安部、网安局有人反对在《刑事诉讼法》中增设电子数据这一类单独的证据形式。因为比如我在虚拟的空间留下了电子数据,发个微信,实际上微信只是一个电子的书证罢了。所以一些计算机专家认为没有必要把电子数据独立化出来,原因也就在这。考虑到刑事诉讼法已经修改,所以今天我们认为电子数据跟传统的书证、物证的一个区别在于:只要是电子化形式的,就应当归入到电子数据的领域,而不再把它纳入到传统的物证、书证的证据范畴。但实际上电子数据只是一个传统的证据的电子化的表达形式罢了,基本上可以讲是传统实物证据的电子化表现形式。大家知道我国1979年的刑事诉讼法没有规定视听资料,视听资料是在1996年刑事诉讼法中增加的。所以在1996年刑事诉讼法实施,电子数据最早出现的时候,实际上有不少地方曾经把电子数据纳入到视听资料的范畴里面去理解和判断。而随着技术的发展,今天就面临一个问题,即视听资料跟电子数据怎么界分。我们认为,目前只要是以数字信号存储的视听资料,都应当要纳入到电子数据的范畴。也就是说现在真正意义上的视听资料只有这种磁带、录像带等以模拟信号存储的这样一个视听资料,所以基本上它的范围已经很窄。因此也有专家学者判断,下一步是不是可以把视听资料这一类证据取消掉。
第三,电子化形式的言词证据是不是电子数据?我们认为电子数据主要应当是指电子化形式的实物证据,如果是电子化形式的言词证据,就不宜把它纳入到电子数据的范围里面。讲这样一个概念有几点考虑,第一点考虑是一般在案件发生之后,过去询问证人是在用纸笔做记录,但这仍然属于证人证言这一类证据形式。今天我们可能把它输入到电脑里面,以电子化的形式把证人证言呈现出来,那么不能因为言词证据的载体发生了变化,就认为它变成了一个电子数据,它仍然是证人证言范畴。第二,从人权保障的角度而言,也不宜做这样一个处理。简单地讲,是否真实是我们对实物证据判断的一个主要方面。但是对于言词证据,我们不仅要判断他在说这个话的时候有没有受到胁迫,有没有非法取证,还要对该证人证言的取证过程做一个判断。所以如果我们要把电子化形式的证人证言认定为电子数据的话,将不利于刑事诉讼中的人权保障。基于此,第一,我们不承认电子化形式的言词证据属于电子数据,但同时也规定了,确有必要的对相关证据的收集、提取、移送、审查的,可以参照适用的规定。做这样一个处理的目的是更好地落实刑事诉讼关于人权保障的要求。
第二个问题,电子数据收集提取审查判断的基本要求。这里再次重申了电子数据的收集提取应符合两个标准,一个是合法性,因为电子数据的收集提取必然是刑事诉讼的一个过程,所以要符合刑事诉讼法的规定。第二个就是合技术性,要符合相关的技术标准,比如取证要有相应的规范,对相应技术规范我们要做判断。
第三条,就是说人民法院人民检察院和公安机关有权依法向有关单位和个人收集调取电子数据,有关单位和个人应当如实提供。文件出来之后,曾经有宪法学者认为这一条是有问题的,我们就讲这一条来自当时的《刑事诉讼法》52条第一款,现在的第54条。这里讲的依法,既是依刑事诉讼法也是依据宪法。因为根据宪法的规定,通信自由和通信秘密受法律保护,但出于国家安全和追查刑事犯罪的需要是可以调取、检查的。所以我们认为加上依法两个字是没有问题的,比如说对于通信,法院确实没有权力进行检查,那么不进行这样一个检查就可以了。
第四条就是关于保密的相关规定。第三个问题就是电子数据完整性的保护方法。前面给各位汇报了,传统证据我们讲三性,即真实性、合法性、关联性。由于电子数据比较容易发生变化,所以在电子数据的真实性之下,我们加了一个概念,叫做完整性,就是说如果电子数据不完整,那么它一定不真实。所以完整性的审查是一个重要的内容。
第五条也讲了,对于作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性。第一,扣押封存原始存储介质。第二,计算电子数据的完整性校验值。完整性校验值简单来讲就是电子数据的身份证号,比如说扣押了电子数据之后,通过特定的算法记录下来生成一个完整性校验值。这一串数字就相当于这一个电子数据的身份证号,将来这个word文档只要改了一个字,增加了一个标点,增加了一个空格,重新计算出来的完整性校验值完全不一样。比如说这两个图,两只老虎,大家从肉眼上看觉得差不了太多,所以判断起来很难,但是通过MD5算法计算出来的完整性校验值完全不一样。这说明这两个老虎一定是有区别的,就根本没有必要走所谓的鉴定程序,就是运用技术方法增强对于电子数据的审查判断。所以比如说我扣押了一个电子数据,当场计算完整性校验值并经过当事人签字确认。到了法庭上被告人翻供,说这个数据是被公安机关改过的,此时我们可以当场计算完整性校验值,如果计算出来的是一个完全一样的完整性校验值。那么就说明本案的电子数据没有发生过变化。如果计算出来的完整性校验值不一致,那就说明这个数据可能是被改过了,它的完整性不能得到保证。第三,制作备份,比如说电子数据扣押之后就制作一个备份,将来一样做一个比对就能判断出来。第四,冻结电子数据,后面我们会讲到传统对于存款等其他的一些冻结,这次把冻结措施扩张到电子数据领域,对电子数据进行冻结。第五,进行录像。第六就是兜底项,所以第五条在我看来是一个相对比较重要的刑事证据法学理论的创新,也是适应电子数据时代下技术发展态势的必然产物。
第四,关于初查和网络在线提取电子数据的使用问题。最早关于初查的规定不是来自公安部的规定,而是规定在1998年《人民检察院刑事诉讼规则》里。后来2012年公安部发布的《公安机关办理刑事案件程序规定》中出现了初查。2018年《刑事诉讼法》修改之后,公安部规定里没有再出现初查几个字,而叫调查核实。这实际上相当于初查,只是换了个表述。当然,初查是否有法律依据现在是有争议的。因为《刑事诉讼法》在立案侦查部分有一条,公检法机关发现有犯罪嫌疑人的时候,应当立刻展开调查核实等等。很多人认为这就是关于初查的法律依据,但其中存在一个两难的问题,根据《刑事诉讼法》的规定,立案是要有一定条件的,且立案之后才能采取侦查措施,但是否有立案条件需要通过采取侦查措施才能知道。而这一次的《电子数据规定》就规定了初查过程中收集、提取的电子数据可以作为证据使用,这个条文非常重要。根据我有限的知识,这应该是国内法律文件里面第一次承认了初查的证据资格。初查是必须要用到的,没有初查无法判断是否达到立案条件。但是,这面临一个问题,如果承认了初查的证据资格,将来可能会发生公安机关不立案就去初查这样极端的事情。当然,《公安机关办理刑事案件程序规定》对初查能采取的措施做了限制,比如不能对财产采取强制措施,只能是在不对人的自由和财产处理的情况之下才能展开初查等等。
《刑事诉讼法》第54条第2款有一个规定,行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据,在刑事诉讼中可以作为证据使用。这规定的是行政证据的证据资格问题。这一条来自2012年《刑事诉讼法》,2012年《刑事诉讼法》这个规定来自2011年两高一部《关于办理侵犯知识产权刑事案件适用法律若干问题的意见》,它第一次针对知识产权案件明确了行政证据的证据资格。承认其证据资格的道理很简单,行政执法部门在现场发现了这个物证,如果不提取该证据可能就灭失了,且在他提取完毕后,等到公安机关刑事立案了,他也不能把这个物品再放回现场。所以对于实物证据,如果你不承认行政证据的证据资格,这个案件便没有办法办理。但是有相当比例的刑事案件,一开始不是由公安机关在办,是由行政机关在查处,当行政机关办理案件到一定阶段,即他认为达到犯罪的程度时,行政机关便把这个案件移送给公安机关。那么公安机关接手之后,对于言词证据,针对被告人要重新录口供,针对相关证人证言可以重新收集或者做一个转化,但是对于实物证据没有办法重新收集或者予以转化,它只能直接用。那么问题就来了,如果行政证据都具有证据资格,而作为侦查机关的公安机关在初查过程中取得的实物证据却不承认具有证据资格,这显然不合理。所以基于这样一个考虑,最终我们还是规定了在初查过程中收集提取的电子数据可以作为证据使用。当然将来还能不能进一步推广适用于初查过程中收集的物证、书证,我个人认为这不是很大的问题,包括通过网络在线提取的电子数据也是可以作为证据使用的。
第二个方面的问题就是电子数据的收集提取。第一,关于收集、提取电子数据的主体和取证方法,在2014年的文件里面,电子数据的收集提取是由具备相关专业知识的侦查人员进行的,且取证设备和过程应当符合相关技术标准。这是因为当时网络犯罪案件主要是网警在办理,做这样的规定在实践中难度不大。但是,随着网络犯罪,特别是电信网络诈骗的迅速发展,现在的电信网络诈骗主要是由刑侦部门办理。传统刑侦管辖的几个罪名的案件都在大量地下降,比如杀人、强奸、抢劫等我们所谓的8类重罪,实际上现在是绝对量和相对量都在减少。而刑警现在越来越多的是在办理一些大多由技术人员实施的新类型案件,但刑警也不一定是具备相关专业知识的侦查人员,所以我们后来就把它调整为应当由两名以上的侦查人员进行,同时要求取证设备应当符合的相关技术标准,这里不展开讲。
第二,关于收集提取电子数据的基本原则。简单来讲有三个层次,第一个层次是以扣押封存原始存储介质为原则,在《电子数据规定》第8条第1款中规定了收集提取电子数据,能够扣押电子数据原始存储介质的,应当扣押封存原始存储介质,并且制作笔录以记录原始存储介质的封存状态。这是什么意思呢?比如到犯罪现场后发现了一台电脑涉嫌犯罪,那么可能会将整台电脑封存。《电子数据规定》第8条第2款进一步规定了如何封存电子数据,要确保数据不能被增、删、改,封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者粘贴封条处的状况。如果把一个台式机封存了,贴上封条并拍照录像这都比较简单.关键如果我封存了一个手机,那么可能会有人进行一个远程操作,对手机里面的数据进行改变。所以在第3款进一步规定,封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。原本是想在这里直接规定,应当装入屏蔽袋,因为普通的物证袋不能屏蔽信号,而现在公安机关有屏蔽袋。将涉案手机装进去之后,实际上是可以把信号屏蔽掉的。但是后来公安部提出,中国确实太大,可能做不到每个地方或每个案件一定都使用屏蔽袋,所以我们就做了这样的规定。例如封存手机可以把电源抠下来,或者把手机关机。但是苹果手机在关机之后,通过远程控制也可以启动,所以对于苹果手机如果只是简单地关机而没有装入屏蔽袋或者没有进行其他屏蔽信号的操作,还是不符合要求的。
以上是第一个层次,即以扣押封存原始存储介质为原则。当然这是一个理想的状态,现在越来越多的电子数据,是扣押封存不了原始存储介质的,所以要进入第二个层次,以直接提取电子数据为例外。《电子数据规定》第9条第1款规定,对于电子数据无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值。它举了几种情形,第一种情形是原始存储介质不便封存,那把存在电脑上的数据封了就行。比如现在很多公司的数据可能采用云存储,它的整个数据存在阿里云端,你如果找到阿里公司说我要把你的整个服务器给封了,阿里绝对不会同意,因为这可能会影响多家公司的正常经营活动,你不能因为其中有一笔涉嫌犯罪,就使其他的合法经营者也受到影响。所以只能把电子数据提取出来。第二种情形是提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据。不是所有数据都是存在存储介质中的,其一是计算机内存数据,我举一个例子帮助大家理解,比如现在使用word文档,在3:00的时候你保存了一下,然后写到3:10的时候你没有保存。假如你的这个word文档没有设置自动保存,到了3:10的时候,你的电脑突然死机了,你重启之后再打开这个文件就会发现3:00—3:10写的word文字不见了。现实中经常出现这种情况,为什么在关机之前我能看到,但在关机之后如果没有保存我就看不到了?这是因为3:00—3:10之间你写的文字没有储存在存储介质上,没有存在你的硬盘上,只是存在你的内存条上面,而内存条在电脑关机之后是不会继续保存。其二是网络传输数据,什么是网络传输数据?我不知道在座的各位同学有没有办过DOS攻击这类案件,即拒绝服务攻击?讲得简单一点,楼下这个路假设它是六车道,此时同时来1万辆车就有可能把这个路堵死。而拒绝服务攻击的基本原理也是这样,我用海量的数据让你的服务器根本响应不了,导致你的服务器瘫痪。但是这种一般是通过控制计算机形成这样的攻击,或者租用服务器形成这样的攻击。这种网络传输的数据是没有存储介质的。对于类似以上两种根本没有存储介质,没有办法扣押到原始存储介质的情形,只能直接提取数据。第三种是原始存储介质位于境外的情形,随着跨国犯罪越来越突出,这种情形这里不再多加展开,大家能够理解。第四种是其他无法扣押原始存储介质的情形。
过去我们认为关于电子数据的取证规则有以上两层次就很完整,但是现在还有第三个层次。在2018年公安部做出进一步的规定之后,公安机关有一整套的操作,其中有两种特殊情形,一种特殊情形是,比如我的手机收到一个诈骗短信,让支付50元的话费,之后我要不要去公安报案?一般来讲,被骗50块钱或几百块钱,我会找一个派出所报案。但是你让派出所直接给你提取这个数据,它基本上没有这个能力。然后派出所就和你说算了,你把手机放在这,我给你封存起来,我估计在座没有一个朋友会愿意的。这种情况怎么办?实践中基本只有一种操作,就是给你的诈骗信息拍个照,再签字确认一下。他既没有办法扣押封存原始存储介质,也没有办法直接提取电子数据。还有一个例子,大家都知道淘宝app有一个能够相互发信息的旺旺。前几年有一个能“阅后即焚”的信息,什么意思?比如我给潘老师发了一条信息,在潘老师没有打开这个信息之前,这个信息是一直存在的,但我看不到内容。当潘老师点开之后,只有5秒钟的阅读时间,阅读完之后,这个信息直接就没了。我曾经问过公安部的网络技术专家是否能够恢复,他们告诉我恢复不了。所以这种情况之下,你没有办法把数据提取出来,只能是点开之后拍个照给他确认一下,所以这是第一种情形。第二种特殊情形是,有少量的工业控制设备,比如一些交通工具,基于各种考虑是没有USB接口的。比如一些大型的游艇,我要记录它的航行轨迹,就必须看它的航行日志。但是由于它没有USB接口,数据是导不出来的,你也不能把整个游艇封了。因此,基于上述特殊情况,我们提出了第三个规则,由于客观原因无法或者不宜依据《电子数据规定》第8条、第9条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。以上三个层次,即三句话:以扣押封存原始存储介质为原则,以提取电子数据为例外,以拍照、打印、录像等方式固定为补充。就是收集提取电子数据的基本原则。
大家可以进一步印证这个说法,2018年公安部的41号文件,实际上就是把2016年两高一部一个通知文件的要求,通过公安部规章的方式进一步固定和细化了。公安机关收集提取电子数据要怎么操作,包括调证的异地协作等等之类的情况都有相应的规定。
第二,关于远程勘验与在线提取的关系问题,这里有两个概念,第一个是在线提取电子数据,针对一个远程电子数据,往往我们需要在线提取。其实第9条第2款条文稍微受到一些攻击,特别是一些境外的有关组织就攻击过这个条文。因为网络是有主权的,既然有主权,怎么能够去调取境外的电子数据呢?所以后来对第9条第2款我们有一个解释,这里的在线提取是指针对公开数据的在线提取,不是通过网络入侵的方法去提取电子数据,因此对于远程或者境外的系统,我们可以在线提取。第9条第3款就是网络远程勘验,它就要采用到一些技术措施了,包括一些技侦措施的使用,比如通过网络爆破或者网络入侵等等方法去获取电子数据,这里不展不去展开。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。因为过去技术侦查主要是针对手机通信记录等等,现在的技术侦查更多的是一个网络技侦,比如一个地方发生凶杀案件,三个警种一般会同时到场,除了刑侦以外,还有技侦,还有一个重要的是网侦网警会到场。现在很多人犯罪之后往往知道把手机扔掉,特别是杀人之后,他知道手机不能带因为手机容易被定位,但是很多人的网瘾是戒除不了的,现在网吧系统抓了不少人,他没有手机了会到网吧去上网。所以现在越来越多的技术侦查措施是朝着网络技术侦查方向在发展。
第三,关于电子数据冻结的问题。这是在2016年文件里首创的一个概念,因为过去规定了冻结账户,但是对于电子数据的冻结是没有的。这个情况会比较复杂,有多种情形。第一种情形是数量大,无法或者不便提取的。我举个例子,吉林曾经有一个案件,大概是吉林有个好像是夜店的地方,然后两姐妹传播淫秽视频牟利。这个案件里面的淫秽视频是存在云端的,涉案人是将云盘的账号密码往外卖。后来公安机关把整个淫秽视频全部提取下载下来,一个T的硬盘用了2000块,相当于这个地级市过去10年取证用掉的硬盘总和。所以这么多电子数据如果不直接提取,那么就是把这个账号冻结掉。第二种情形是提取时间长,可能造成电子数据被篡改或者灭失的。这个往往是在一些秘密侦查过程中,如果要在线提取,时间过长容易惊动对方,还不如直接把它冻结了。第三种情形就是通过网络应用可以更为直观地展示电子数据。通俗一点,比如过去大家看微博的时候会发现,通过手机看微博信息比较清晰,但一旦把微博的信息下载下来之后弄成word文档就看不太清了。曾经有一个非法集资的案件,公安机关把原来在一个云端搭建的系统的会计数据全部下载下来,然后提交给检察机关。检察机关觉得看不清楚,因为会计数据代理商特别复杂。后来公安机关重新搭建了云端系统,才能有一些工具去查看这些数据。所以通过网络应用可以更为直观地展示电子数据时,也可以采取冻结的方法。冻结之后,把这个账号移送给检察机关和法院登录就行了。第四是其他需要冻结的情形,这是一个兜底线,为实践提供这样一个未来发展的可能。
《电子数据规定》第12条进一步规定,冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。在2016年对这个文件进行操作的时候,360曾经有过电子数据的冻结服务。他们具有合法的冻结资格,在你需要冻结服务的时候,可以给你提供冻结服务。所以理论上来讲冻结电子数据是没有任何问题的。但该措施后面确实没有完全开展起来,即使我们整个体系是完备的,包括我们讲到的冻结电子数据应当采用以下一种或者几种方法,第一,计算完整性校验值。第二,锁定账号。第三,其他房子发生数据增删改的措施。具体而言,我把电子数据计算了完整性校验值之后,我就需要把这个账户进行锁定,以便将来我能够判断电子数据有没有发生变化。等到下一步的时候,我可以再审查完整性效应是否一致。等到将来比如到了法院审查判断的时候,就可以再计算校验值是否一致,所以理论上冻结电子数据是没有任何问题的。随着海量数据时代的到来,这个措施一定会被激活。当然,现在仍然处于一个探索阶段,运用得不是特别普遍。但大家要知道有这个事情,将来哪个公安机关、哪个办案部门真的采用了冻结这个措施,实际上是有法律依据的。包括在后来的2018年41号文里面也进一步讲到了电子数据冻结的问题,公安部都有相应的规定。
第五个问题就是关于电子数据的调取的问题,我们简单讲就是制作调证通知书,注明相关信息后通知有关部门去执行。关于调证其实不需要多说,这个实践中都用得比较普遍,特别是向相关的网络运营企业去调证。今天上午刘教授也讲到了,向我们互联网巨头去调证的有关情况。在座的有办案机关的同志,可能大家经常会调取证据。无论是阿里还是腾讯都有专门的团队,实际上都是有专门的团队在跟我们各地的公安机关进行对接,进行调证服务。
第六个问题就是笔录和见证,因为收集电子数据也是一个刑事诉讼的取证活动,所以对于整个这样一个过程,我们需要制作一个笔录,注明相关的情况。这里如果有公安机关的同志在,或者有办案部门的同志在,我还是要多说两句。虽然这些年我们执法规范化确实有进步,但是在不少案件里仍然存在一个情况——即笔录注明不清楚,比如我过去经常在一些笔录里面见到,说扣押戒指一枚,但这到底是个金戒指或银戒指,还是铜戒指却并没有注明,而这在将来可能就会影响案件的处理。比如大家都知道的快播案,很多人觉得公诉人不行。其实不是公诉人不行,而是这个案件的取证本身存在着很大的问题,巧妇难为无米之炊。我知道公诉人是当年北京市十佳公诉人竞赛的一个获奖者,但这个案件先天存在很多取证瑕疵,早年确实在取证这块没有相关的意识。大家知道辩护人在法庭上提了一个问题——你怎么能够证明你扣押的硬盘就是法庭上呈现的硬盘。因为当时涉案的硬盘实际上在笔录里面没有注明,在记载扣押的硬盘的唯一序列号方面存在问题。大家知道硬盘生产出来,这是全世界通用的唯一序列号,你把这个号记录下来,就能证明硬盘它是原始的这块。所以我们还是要强调侦查工作的基础性。
《电子数据规定》第15条讲的是见证人的问题,这也是一个实践中的难题。实践中存在见证不规范的现象,在2012年我们做刑诉法解释的时候就注意到这个问题,因为实践中经常出现一个情况——自己见证自己。比如这个地方发生了凶杀案,警察在这里组织法医进行勘验,完了之后可能找两个联防队员,甚至给公安开车的人可能就在见证这一块签字了。后来我们提到不能自己见证自己,而有关部门就提出,确实现在的环境就是这样。简单举个例子,假如这个地方发生了案件,一般我们要从现场要找个人来见证,但是一般群众是不愿意见证的,觉得多一事不如少一事,肯定是不愿意见证。特别是有一些发生在荒郊野外的凶杀案件就更没有办法。后来我们跟公安提到,确实因为客观原因找不到见证人的就不要找见证人,可以在笔录里面注明并采用补正措施,比如全程录音录像来解决这个问题。后来2012年刑诉法解释实际上做了这样一个规定,一直延续到今天。当然今天大家知道出现了一个普遍的现象,那就是产生了职业见证人。大家在地方公安机关的各个案件的笔录上会发现,可能见证的就是这么几个人,但是你也不能对职业见证人说不行,因为这确实是目前客观情况导致的。大家如果办理过未成年人犯罪案件会发现,现在还有一个新的术语叫合适成年人。现在有职业合适成年人,不需要通知父母或者合适成年人到场,基本上这一个地方的公安机关可能就是这几个合适成年人出现在各个案件当中。当然这个法律也没有明确禁止,这也是由于当下的情况导致的。《电子数据规定》第15条还规定了一个问题,比如说我们要对现场的50台计算机进行勘验,是不是需要50个见证人?这明显是不现实。所以我们在第二环节讲的,针对同一现场多个计算机信息系统,收集提取电子数据的可以有一名见证,针对的就是这样的情况。
第七个问题是关于电子数据的检查。一般传统的取证活动有两个检查环节,第一就是在犯罪现场的检查工作。具体而言,我到了一个现场,在把证据收集完之后,比如说我提取到DNA,我可能就要走到第二个环节比如说鉴定,或者是我提取到指纹,可能就要到实验室里面进行指纹的比对,这些可以都称之为鉴定环节。但是在电子数据领域,我们在第一个收集环节结束之后,不是直接进入到鉴定,而是要插入一个中间环节,即电子数据检查环节。比如我在现场扣押了计算机,这个计算机里面有个word文档,这个word文档有密码,我在现场解不开,我就需要破解这个密码。这时我就需要将其带回实验室进行数据检查,先把加密文件打开。再比如我提取到一个音视频文件,但是这个文件损坏了,我需要去修复这个文件,但是我在现场也修复不了,就需要回到实验室去修复。所以我们插入了一个中间环节,叫做电子数据的检查环节。只有检查环节发现了还存在的问题,我们解决之后才能进入到第三个阶段,即电子数据的鉴定阶段,这是跟传统取证略有区别的地方。
《电子数据规定》第16条讲的就是电子数据的检查,对于扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联比对等方式进行检查,必要时可以进行侦查实验。如果电子数据被删掉了,可能就需要对其进行恢复。如果要进行一个关联的统计、比对或者是进行侦查实验,那么大家需要注意,我们前面讲到的是什么?比如说对电子数据扣押之后,我们是要贴上封条的。如果是无线设备,我们要对它进行一个信号的屏蔽,防止对数据的增、删、改。现在我要把它带回到实验室进行检查环节,这就会出现一个拆封的过程,在这个过程中需要确保整个电子数据不会变化。《电子数据规定》第16条要求把已经扣押好的、封存好的存储介质电子数据带回到实验室后,应当对电子数据存储介质拆封过程进行录像。我怎么把它拆开的,怎么将电子数据的存储介质通过保护设备连入到检查设备的都要记录。在插入保护设备之后,只能对电子介质进行分析,不能对它进行修改。有条件的要制作备份,只能在备份上进行操作,因为它的备份可以做到跟原来的东西一模一样,但是又不会对原始文件产生修改。
我曾经在泰国曼谷的美国警察学院学习,在那接触过一个星期的电子数据勘验的培训。我曾问当时美国联邦调查局的两个警官,说在美国法庭上呈现的电子数据是备份还是我们讲的原始电子数据。他们告诉我一定是备份,因为担心电脑到了法庭上把电脑系统操作崩溃了,又没有备份会影响案件办理。所以就要求在制作备份之后拿着备份到法庭上去展示,这也是我们这里强调“有条件的要制作备份”的原因。但确实有一个特殊情况,即既没有办法制作备份,也没有办法通过保护设备进行分析,比如说目前对手机的分析,它没有办法制作镜像,也没有办法通过保护设备进行分析,往往是直接在手机上进行操作的。这种情况我们要求注明原因,并且要对相关活动进行这样一个录像。包括第三款也提到,检查完了之后要求制作笔录,跟前面所说的其实都是一样的。
第九个问题是电子数据的鉴定。现在面临的一个问题是,按照2005年10月1日实施的《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》,在电子数据的鉴定里面,只讲了三大类鉴定——法医类鉴定、物证鉴定和声像资料鉴定,并没有提到电子数据鉴定属于什么种类。现在大家可以去看我们现有的规范性文件,有的地方是叫电子物证的鉴定内容。大家知道除了司法部管的鉴定机构以外,检察系统和公安机关是有自己的鉴定机构。鉴定机构实际上是一个双重管理,但主要是最高人民检察院和公安部在管理,当然各地的司法厅也参与管理。目前存在一个情况是电子数据领域的鉴定机构整体偏少,特别是公安部自己内部存在一些问题,比如说他要成立电子数据鉴定机构,但又拿不下资质。所以我们后来还是按照两条腿走路的办法,规定了“对电子数据的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。”这就是我们刑事诉讼法101条所讲到的关于专门性问题的这样一个报告。现在在办理很多文物犯罪案件,或者说非法采矿案件中,对一些专门性问题是可以由出具鉴定意见或者由指定的机构出具一个报告。但这里面是存在不少问题的,特别是我们今天在座有一些博士研究生,是可以继续去关注研究一些问题的。
第十个问题是电子数据的移送与展示。在整个侦查工作完成之后,就需要把电子数据需要往后面的环节进行移送。那么《电子数据规定》第18条就讲了,收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。这里再一次讲到了关于电子数据的备份问题。过去公安机关办完案子之后到了移送环节,我们一般就是要公安机关将内容打印出来。但是现在在面临一个问题,比如说一个图片或者文档,它是可以直接展示的电子数据,对它移送打印件是没有问题的。但是有一些海量的电子数据,比如说大家知道一个T或者几个T的电子数据,可能相当于一个图书馆的书,全部打印出来很不现实。所以《电子数据规定》第18条第2款就讲了,对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。
还有一类电子数据是没有办法展示出来的,比如说我们办了一个破坏计算机信息系统的案件,其中发现有电脑病毒,但是病毒是看不到的,它不会在计算机里面显现的,根本没有办法通过肉眼去看到他,这时就更不存在打印件的问题了。因此《电子数据规定》第19条第1款规定了,对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。《电子数据规定》19条第2款提到了实验之中的一些专门问题,涉及电子数据的统计量和数据的统一性。大家在办侵犯著作权的这类案件时,经常遇到一个问题——同一性的认定。比如我这个文章抄了潘老师的,假设只有30%的跟他的一致,最多我就是一个剽窃。但如果到了70% 、80%,可能就是一个copy了。实践中可以做同一性的比对,这对于我们认定盗版是很有意义的。
在座的各位我不知道有没有办过关于网络外挂的案件的,大家知道网络外挂的案件有一个发展的过程,早期很多外挂案件基本上是用非法经营罪定的,后来对于外挂的案件用过刑法第285条第3款办理。举个例子,我了解到有一个有关外挂的案件,这个外挂大概的情况是这样的,例如你在使用手机微信的时候,一次艾特的人数是有限制的,有些人做生意时可能就一次性需要艾特5000个人,所以有人研制了这种所谓的微信外挂,破坏了它这样一个规则。或者我们有些人打网络游戏,可能你提升角色的等级需要三个月的时间才能练成,但是我有了外挂之后,可能我三个小时就练成。有关外挂这类案件,中间一度出现过用提供侵入非法控制计算机信息系统程序工具罪进行规制的情况,没有用第217条侵犯著作权罪的一个重要原因就是没有办法做同一性认定。
与外挂相关的还有一类叫做私服,简单来说就是,在网络游戏的服务器以外还存在一些私人服务器、私服跟网游的服务器一定是完全复制的,所以私服这类案件在实践中没有任何争议,就是侵犯著作权罪。但是外挂因为实际上不是对原始文件进行完全复制,过去由于认定不了就无法使用第217条的侵犯著作权进行规制。但现在情况不一样,大家一定注意,刑法第十一次修正案对第217条做了一个修改,对于破坏保护措施等等的这些行为,它是规定了作为侵犯著作权罪的一个情形。所以在《刑法修正案(十一)》之后,对于外挂类的案件应当有一个回归,回归到刑法第217条的侵犯著作权罪的适用当中。这里顺带提一点,类似于像数据同一性这些问题,也是专业性比较强的一些术语,但它恰恰是在很多案件里面我们会用到的一些概念。
关于电子数据的补充问题,在实践之中也比较常见。比如说公安机关报捕的时候,检察机关发现这相关数据还有一些遗漏,可能要求公安机关加以补充;包括提起公诉之后,法院发现相关数据需要补充等。那么这里对法检两家的补证作了一个时间限定,就要求公安机关、人民检察院应当在收到通知后三日之内移送电子数据或者补充有关材料。
关于电子数据的展示问题,前面我们讲到,电子数据是可以显示的,那么它在法庭上可能会有一些展示。在这里多说两句,就是“有专门知识的人”这样一个问题。虽然前面也是建议大家还是要去搞懂一些技术原理,但是今天我们在座的绝大多数都是搞法律的,包括我在内,我们要成为技术专家的可能性不大。原来你学文科的,突然一下去学理科,要学出来一般很难。我当时在德国读书的时候就发现,德国有很多搞物理、搞化学的人原来是学法律的。因为法律在德国是没有本科学位的,在德国学法律要学7年。学习3年之后通过第一次司法资格考试,然后在有关机关实习2年再通过第二次司法资格考试。但第一次司法资格考试通过率不超过10%,就说有很多人考了3年、5年之后,觉得永远考不过司法考试初试,所以就放弃了,就开始去学物理、化学、数学去了。这在中国我觉得基本不可能,从文科去学理科很难。所以,我的一个基本上判断就是,我们学法律的人要搞成技术专家可能性不大,但是我们要学会借助外力,包括今天上午品新教授讲到的“专家辅助人”相关问题。我个人觉得我们在一些案件里,申请有专门知识的人出庭的相关问题,这个实际上对于控辩双方都是有用的。控方带着有专门知识的人出庭,实际上是能够更好地说明一些技术问题,能把问题解释清楚。辩方从辩护的角度也很容易抓住,比如说鉴定意见以及案件里面一些技术原理的问题。因此,这一块我个人觉得还是要学会去借助外力做好相关的工作。所以,有一些案件可能需要司法工作人员与专家结合起来办案,包括比如说提起公诉的时候,我们检察机关有专门的司法辅助部门、检务辅助机构从旁协助。
关于电子数据的审查与判断问题。前面我说,还是要从电子数据的收集与提取来讲起,我就来看前面的收集提取合不合法,符不符合相关规定。只要你符合这些规定,证据的真实性、合法性没有问题,能不能关联那是另一回事,但是至少真实性、合法性是能够得到保障的。所以对于办案部门,我们一直强调要规范取证,规范取证的目的就是为了保卫我们的侦查成果。好不容易办个案子,办到最后了,因为程序原因导致证据用不了,我想这不符合我们的目的,通过证据使犯罪的人受到应有的惩罚恐怕才是我们刑事侦查的目的所在。这就是我前面为什么说要从侦查取证开始讲起的一个原因。反过来,到了法检两家,我们来审查证据仍然是围绕着三性进行审查。那么第一审查证据的真实性,但审查证据真实性的最后一点是审查证据的完整性。因为前面我们讲了,从取证的角度来讲,完整性就是真实性的下位概念。所以到了第五项,我们专门有一个电子数据完整性的一个审查问题。《电子数据规定》第22条,对真实性的审查要求从五个方面去审查:
第一,有没有移送原始存储介质。如果没有移送原始存储介质,那么对相关情况有没有一个说明等等之类的。
第二,电子数据是否具有数字签名、数字证书等特殊标识。我们有一些电子数据是有数字签名的,比如说有一些人提供的是一些职业的程序,对于这些程序,有人就害怕里面是不是有病毒,所以就不愿意去下载。他为了让你放心地去下载,可能就会说我这个程序是带有数字签名的,别人是加不了病毒的。如果我们在下载时发现这个程序它是一个破坏性程序,那么我在下载的时候,我不仅把这个程序下载下来,而且我是带有数字签名的下载,那就证明我一定是从你的网页上下载的这个东西,真实性是可以得到保证的。再说数字证书的问题,比如说我想进到搜狐网站,我要证明我有没有进到一个假冒的搜狐网站里面去,所以我有可能就把这个数字证书也给它下载下来。当然,不能反过来讲,电子数据没有数字签名和数字证书这些特殊标识它就一定不真实,只是它如果有了这些东西对于证明真实性会有帮助。
第三,电子数据收集提取过程是否可以重现。比如说有一些电子数据它是可以重复取证的,重新取一次我也可以做一个判断。
第四,电子数据有没有增删改。可能同志们就比较疑惑,你前面不是讲要采取各种措施防止去对电子数据进行增删改,怎么在这里又出现了一个增删改的情况?前面我讲到,比如说这个文件它的一个文件头坏了播放不了,为了播放它我可能就要把它给修复,修复完之后电子数据它一定会发生变化。但是这是一个善意的增删改,而且对于它的主体内容是没有发生变化的。同样,比如说一个word文档或者视频文档如果坏了,我也可能做这样一个修复。修复之后电子数据肯定会发生变化,但是这种情况之下我就要做一个说明。所以不能说电子数据出现增删改之后它一定就不真实了,要具体情况具体分析。要看增删改发生的原因是什么,是对实质内容的增删改,还是对于非实质内容的调整。
第五,电子数据的完整性问题。完整性的问题很简单,《电子数据规定》第5条规定,要采用一种或者几种方法保护电子数据的完整性,包括计算完整性校验值、冻结电子数据。制作备份等等。这里就是反过来,你如果采用了哪种完整性的保护方法,我这里就根据你的方法来进行相应的审查判断。比如说,你直接把原始存储介质扣押、封存了,那我现在就审查你的原始存储介质扣押、封存的状况。如果你有一个录像,那我就对你的录像进行比对。如果你当时计算了完整性校验值,那我就对你的完整性校验值进行比对。如果你制作了备份,那我可以把两个电子数据进行比对。再比如说,前面我们还有一种方法,叫做冻结电子数据,那我就看你冻结之后的冻结日志上面的操作,有没有人来访问过电子数据,包括去比对完整性校验值等。就是说它是一个反向的操作,前面我采取了哪种方法来保证电子数据的完整性校验值,这里我就反其道而行之,通过这样来做审查判断。
第三个问题就是合法性的审查判断问题。关于合法性的审查判断实际就是整个电子数据规定有没有被严格执行,你只要严格执行了,整个电子数据收集的合法性基本上不会出现大的问题。就是说《电子数据规定》、公安部的规定叫你怎么操作,你按照这个操作往下走,实际上就没有多大的问题。比如说我们讲了几项,第一项是讲主体、取证方法的问题。前面也讲了,在取证这个环节是有要求的。第二项是我们对于笔录清单做了相关要求,需要审查合法性,包括对于见证人的审查,录像的审查,再包括对中间环节(电子数据检查环节)的审查等。可能发展到了这个阶段,电子数据的三性——真实性、合法性不会出现大的问题。当然,今天上午我知道品新教授也讲了一些比如合法性、真实性存疑的问题,但是这些案子随着时间往后发展,至少从辩护的角度,我个人判断的一个趋势可能是可辩的点越来越少。在2016年的时候我就有一个判断,在未来电子数据最大的一个辩点,我个人觉得恰恰应该是在关联性上面。因为合法性很简单,只要严格按照这个程序往下操作,随着侦查机关的执法规范化,合法性你查不出什么问题。合法性没有问题,基本上真实性也多数没有太大的问题。那对于证据三性,我们“辩”在哪里,其实就是“辩”在关联性。关联性的问题,实际上简单来讲就两个问题:一个就是人机关联的问题,是某台计算机实施的操作,你怎么能跟我关联上?另一个是虚实对应的问题,我在互联网上叫阿猫、叫阿狗,你怎么对应的一定是我?这是网络时代带来的新问题。
今年6月上旬,最高人民法院、最高人民检察院、公安部起草了《关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)》,向社会公开征求意见。我们律师界、公检法同仁都比较关心网络暴力的问题,这一次写了那么十几条意见,我可以明确告诉大家,主要的一条就在第三部分。因为网络暴力案件实际上刑法的定性是没有多大问题的,比如说构成侮辱、诽谤、侵犯公民个人信息罪都可以去适用。但现在最大的问题是,对于网络侮辱诽谤的案件,刑法里面规定的是以自诉为原则。传统的空间里面,比如说我跟在座的某个同学,我们俩之间发生了侮辱诽谤,你可能知道我侮辱你,立法上为什么要把这个权利交给你,就是考虑到侮辱诽谤是发生在熟人之间,由你来决定要不要进行告诉,给你一个权利的选择机会。但是在网络空间出现之后,我到网上发表了侮辱、诽谤他人的帖子,可能当事人都不知道是不是我发的,我在网上用的网名他根本不知道。虽然《刑法修正案(九)》加了一句话:通过互联网实施的网络侮辱诽谤,人民法院可以要求公安机关协助取证。但这一条,实话实说,执行起来也有各种困难。所以,绝大多数网络侮辱、诽谤案件出现一个情况就是告状无门,因为你当事人的举证能力是有限的,你连被告人都查不清楚。大家知道提起自诉有一条是必须要有明确的被告人,现在如果当事人到法院去告行为人,但他根本就不知道行为人是谁,法院肯定没有办法去受理这样的自诉。所以,这一次我们在网络暴力意见里面核心就解决三个问题:第一,进一步明确要求公安机关落实协助取证的这样一个义务,对于网络侮辱诽谤。第二,明确了侮辱诽谤适用公诉程序的标准。第三,明确了自诉转公诉程序。也就是说,这个案件本来是一个自诉案件,我到法院去告了,法院认为达到了公诉的标准,可以把这个案件移送给公安机关,要求公安机关去取证。所以,实体的内容永远跟程序的内容是交织在一起的,这个话我特别愿意跟我们西政的同学们提。因为在中国,我们的刑法与刑诉是分开的;而在德国,刑法和刑诉的教学都是设置在一起的。大家知道德国的罗克辛教授,罗克辛教授除了是刑法的大牛以外,还写了一本刑事诉讼法。很多德国的教学设置是“刑法、刑事诉讼”,他们是真正的刑事一体化。所以为什么北京大学储槐植老师提出刑事一体化,这个道理就在这里。所以,网络暴力意见实际上反映的也是这样一个问题,就是有很多实体的规定为什么难以落地?一个重要的原因就在于程序的保障不到位。
那么到了互联网领域,我们讲关联性的问题是一个很大的难题。比如说,首先公安现在有一句话叫“落地查人”,就是要把这个人固定住,在互联网上要把这个人虚实对应,即要跟现实空间中的人给对应上,这是第一点。《电子数据规定》第25条第1款就讲了:认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址,网络活动记录、上网终端归属、相关证人证言,以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。大家知道,一个IP实际上是很多人在用。现在为什么很多案件它能规避IP的最终归属,因为他使用了动态IP,你根本没有办法落地,很多时候落不到位。所以,我为什么讲关联性的问题,未来其实是一个很大的问题。当然,公安的取证手段也在进步,但整体而言,这个问题还有比较大的发展空间。其次,就是人机关联的问题。即使IP落地了,落到计算机上面,你怎么能够证明计算机是行为人使用?特别是如果行为人中间偷用了其他人的计算机干了这个事情,最后落到的是他人的计算机上面,你怎么证明是行为人在使用并且把涉案计算机跟行为关联起来?这可能又是一个现实的问题。所以《电子数据规定》第25条第2款进一步讲:所认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人的供述辩解等进行综合判断。这里实际上只是一个指引性的规定。这个文件,实话实说,其他各个条文到今天为止我们都觉得写得挺好,但是第25条确实只是一个指引性的规定。当时在2016年写的时候,我们就觉得这一条没有写充分,但是因为关联性的判断问题确实是三性之中最难判断的,所以只是做了一个指引性的规定。包括我们从电脑上面提取指纹,特别是如果最后落地落到他人的电脑上,按照道理,他人的电脑上原则上只会留有所有者的指纹,如果从他人的电脑上提取到了我的指纹,那证明这个电脑我使用过的可能性会非常之大。所以我们没有办法去做一个准确具体的规定,只能具体问题具体分析。
那么三性审查完之后,这里又讲到了鉴定人、检验人、有专门知识人出庭的问题。这个问题不展开去讲了,跟所有的案件都是具有共性。当然,对于相关人员出庭的问题,也还是值得进一步规范,这是整个刑事诉讼领域普遍面临的一个问题。
第六个问题,补正与排除。大家知道,补正是针对瑕疵证据,排除是针对根本没有办法补正的一些证据。跟传统证据一样,在《电子数据规定》第27条、28条,我们写了两条。电子数据是允许补正的,就是说经过补正或者作出合理解释是可以采用的,不能补证或者作出合理解释的,不能作为定案的根据。第一就是没有以封存状态移送的。第二就是缺少签名盖章的。第三就是笔录记载或者标注不清楚的,以及其他一些瑕疵。这条同样是一个指引性的规定。《电子数据规定》第28条规定的是要求直接排除电子数据的情形。简单地讲,就是对于电子数据的真实性没有办法保证的,这种电子数据不能采信只能是排除。所以第28条讲了电子数据具有下列情形之一的,不得作为定案的根据。言下之意就是要把它排除掉。第一就是电子数据是被篡改、伪造或者无法确定真伪的。第二就是前面我们讲了电子数据可能有增删改的这样一个情形,如果这个增删改是善意的、必要的,那么这个证据是可以接着用的。但如果说你有增删改的情形,影响了电子数据的真实性,也就是没办法说明当时为什么要对电子数据进行增删改,以及怎么来能够保证你的增删改没有触及电子数据的实质内容时,就应当予以排除。第三是一个兜底项。
以上这就是关于电子数据,今天下午我要给大家汇报的有关内容。我自己关于电子数据、关于网络犯罪有一本书,大家有兴趣可以参考一下。因为我本人主要是从事立法、司法解释这一块的工作,对于实践的案件情况不一定了解。当然,电子数据这一块除了我讲以外,还有其他几位老师来讲,他们办案的实践经验都比我更为丰富,这块大家主要听他们的介绍。我所讲的东西除了法律、司法解释有明确规定的以外,仅代表我个人观点,不当之处请大家批评指正,谢谢大家。
潘金贵教授:非常感谢我们的司法实务部门资深电子证据专家,为我们非常详细地,尤其是围绕2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的司法解释,给大家做了一个深入的讲述。当然,也结合了其他的与电子证据有关的一些立法,以及最新的一些司法所涉及的问题。我相信大家从各位的角度能看得出来,比如说对于所涉及的电子证据,尤其从立法者的角度,对2016年司法解释进行详细的讲解,让我们也了解立法者的一些动因和考虑。而且这涉及对一些相关案件的处理中,他们是从什么样的角度来作这个规定的,这对于我们如何更好地去理解电子证据的相关司法解释,在我们办案的过程中更好地运用这些司法解释,无论是进行侦查、起诉、审判还是辩护,我相信都非常有帮助,包括我自己都很受启发。其实我刚刚查到的,像德国的刑事一体化的思想,无论是当警官、检察官、法官还是辩护律师,包括我们西政研究生的培养,都非常强调这种一体化思维。从办案角度来说,如果你要做一个优秀的刑事法律专家,那你必须把实体、程序、证据等相关的问题都要学透。所以说今天专家的讲座,我相信从官方自己的角度来说,从程序上的角度来说,从证据的角度来说,尤其他从立法者的角度来说,都会对我们很有启发意义,我们再次以热烈的掌声向专家表示感谢。