陈卓沁|论电子证据的鉴真规则
陈卓沁
华东政法大学法律学院硕士研究生
要目
一、电子证据鉴真的特殊性二、电子证据的鉴真方法三、鉴真规则的制度定位结语
实物证据鉴真要求对证据从提取到出示全过程的同一性予以认定,是证据真实性、合法性、关联性审查的前置筛选程序。电子证据中电子数据与存储介质二分,因此具有鉴真对象二分、鉴真方向侧重证据内容的鉴别、鉴真要求涵射多环节的特征。并基于电子证据鉴真对特定技术的依赖,需要在传统“独特性确认”与“保管链条证明”鉴真方法基础上,灵活运用镜像复制、数字指纹等技术,以实现鉴真的实质审查效果。
一、电子证据鉴真的特殊性
“鉴真”一词,在翻译《证据法:文本、问题和案例》一书过程中,张保生教授首次使用了“鉴真”的译法,并随后在学界得到了普遍的承认与适用。而对电子证据的鉴真,与其他实物证据相比,存在三方面的特殊性。
其一,基于电子数据的知识壁垒,电子证据鉴真方向更侧重证据内容真实性的鉴别。实物证据的“鉴真”,主要有两层相对独立的含义:一是证明法庭上出示、宣读、播放的某一实物证据,与举证方“所声称的那份实物证据”是一致的;二是证明法庭上所出示、宣读、播放的实物证据的内容,如实记录了实物证据的本来面目,反映了实物证据的真实情况。前者侧重指证据材料的物质载体,在提取、保管、鉴定、呈交法庭的过程中没有被毁损破坏或伪造变造;后者侧重指证据材料所记载的声音、图像、录像等内容没有失真,是对案件发生时真实情况的反映。前者更适用于对物证、书证的要求,是“对证据载体的真实性加以鉴别”;后者更适用于对视听资料、电子数据的要求,是“对证据内容真实性的鉴别”。强调对电子证据内容真实性的要求,并不是指电子证据的物质载体的同一性不需要审查,而是基于电子证据的特殊性,其依赖于信息技术、网络技术、存储技术等高科技,对其内容的审查判断需要电子信息领域的专业知识,而对物证或书证内容的审查判断,一般不需要该特殊领域的专业技能。
其二,基于电子数据与存储介质的低度链接,电子证据取证方式二分,鉴真对象二分。作为书证的合同文本,其证明内容为双方合同履行的约定,此内容不能与该合同文本的物质载体相分离;又如作为物证的刀具,证明内容为此刀为作案工具,此内容不能与刀具的物质载体相分离。由于证明内容、证明功效与书证、物证的物质形态具有一体性,在进行取证时也一体收集。而电子证据中,如微信中的聊天记录,其证明内容为双方交易的具体事项,但发送者所使用的手机与所发送的聊天信息之间是相分离的,只要是同一用户登录即便使用不同的终端设备,均可显示为同一人发送的信息。聊天记录才是用于证明案情的电子数据,与作为物质载体的手机之间彼此独立。即电子证据中,电子数据和存储介质相分离。而基于证明内容与物质形态并不具有一体性,取证方式也表现为二分,包括“一体收集”和“单独提取”两种模式。前者是指,从案发现场扣押、封存、移转原始存储介质,从而实现对其所记载的电子数据的同步收集。后者是指,由于原始存储介质不易封存转移,或关闭设备将因缺少密码而无法再提取时,需要立即单独收集源电子数据,形成复制的目标电子证据,并将目标电子证据存储于新的介质中,并对新的存储介质进行保管封存。在这两种收集模式下,都需要对存储介质以及电子数据进行鉴真,如外在载体有无破坏而导致存储内容失真,审查内部数据有无删减篡改等,鉴真对象为双客体。而单独收集是在一体收集鉴真要求的基础上,还需要对源电子数据与目标电子数据的同一性进行证明。
其三,基于电子证据分析对鉴定技术的依赖,鉴真要求应涵射取证、保管、鉴定多环节,且需重视对呈述电子数据的鉴真。由于电子数据的知识壁垒,现阶段的审判人员并不完全具备对电子数据的分析能力,所以需要即对目标电子数据进行编码、解码等,借由可视化工具进行解读,形成易于审判人员理解的、由鉴定机构出具的鉴定意见或由当事人出具的分析报告等。则检验人员、鉴定人员的检测、鉴定方法是否科学、鉴定所使用的系统是否可靠、检测人员是否存在偶然或恶意删改数据等,都会影响呈述电子数据的真实可靠。且在数据从案发现场提取到审理时呈交法官的整个过程中,甚至细微磁场的影响都存在导致证据失真的可能。所以强调对电子证据的鉴真,应包括三个阶段:首先是证明源电子数据与目标电子数据的同一性,即取证过程中的同一性;其次是目标电子数据的稳定性,即一般保管过程中的同一性;再次运用目标电子数据形成呈述电子数据时,即保管中涉及鉴定时的同一性。
突出同一性的要求,是因为鉴真侧重的并不是真实性。真实性强调的是证据的存在本身是客观的,是由案件发展而遗留下痕迹、材料;且证据所反映的内容是客观的、可感知的。而同一性强调的是从提取到运用都与最初的源数据保持一致。不同于证据采纳的真实性标准,尚未涉及实质真实性的判断。对鉴真之“真”的定位,后文详述。
二、电子证据的鉴真方法
基于前述电子证据鉴真的特殊性,对电子证据更需要多维运用鉴真方法。传统实物证据鉴真方式主要包括“独特性的确认”和“保管链条的证明”。但这两种方式在针对电子证据的鉴真时,独特性特征难辨别,保管链条证明又仅为形式审查,二者都存在操作难点,需要结合其他鉴真技术实现对同一性的认定。
对一般实物证据,独特性确认方法的运用,主要表现为依据证据外观的特殊造型、印记、标签等进行辨认,且此类特征属于仅由特定辨认者所掌握的信息,从而对非信息掌握者伪造变造后的证据予以排除。可知这种方法有效运用的前提条件是辨认者掌握并熟知证据的特定特征。且此类特征常以肉眼可识别的形式呈现。而电子证据中,易识别的特征仅存于外在存储介质上,且仅存于原始存储介质上。因为对于取证过程中的一般证人而言,其所能辨认的仅为“一体收集”下的原始存储介质,在“单独收集”中是由取证人员提供新的存储介质,证人掌握新存储介质的外观独特特征可能性较低。而对核心的电子数据,具备专业技术才可能在收集前就知晓其独特特征,也需要专门的技术比对才可能判断收集后其独特特征有无改变,这对一般证人而言,即便组织当庭辨认,实现有效辨认的难度也很大。
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(后文简称《电子数据规定》)中的鉴真规则“确立了依靠独特特征的鉴真方法”强调了完整性校验值、IP地址等特征的作用。而电子数据独特性特征方法的运用,极大依赖于专业技术人员的比对分析,极需协同数字技术的运用。
其一,对数字摘要技术的运用。数字摘要技术是采用单向哈希函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码。该摘要码随传输文件一同发送至接收方处,接收方对文件元素采用相同函数进行运算,得到结果与附随一同发送的摘要码比对,若二者一致则证明文件内容没有发生改变。这一技术的关键在于,文件数据与摘要码具有唯一对应关系,文件数据改变则摘要码必然改变。基于这种唯一对应关系,从而实现对完整性与同一性的证明。
其二,对数字指纹技术的运用。在电子取证过程中,为了保全证据,通常使用数字签名和数字时间戳。数字签名或数字证书都是利用特定算法对电子数据进行计算,得出固定数据值及其集合,用于验证数据传输者身份以及数据完整性。而数字时间戳则是对数字签名时间的见证,来证明电子证据在特定的时点是存在的,并且从该时点到呈交法庭的时间段里没有被修改过。
电子数据提取前已经被加密的,特殊加密方法也可用于识别。我国目前实践中对这些特殊标识的运用还较欠缺,而主要依靠保管链条的证明。这就意味着,我国法律规范还没有将电子证据的内容与载体区分开来,而是以对存储介质的鉴真囊括了对数据内容的鉴真。上文强调电子证据中电子数据与存储介质二分,也是为了表明,对于电子数据的鉴真应更重视独特性确认方法的运用,而不能将存储介质的鉴真视为电子数据的同步鉴真。
“保管链条的证明”要求从证据收集到当庭出示的完整链条中,所有环节中接触、保管、分析此证据的人都有义务对证据的同一性提供证言。而我国将勘验笔录、检查笔录、搜查笔录、扣押清单、侦查实验笔录、辨认笔录、询问笔录、讯问笔录等书面文件的记载,视同为每个环节知情人证言的陈述。而仅审查各类笔录之间时间是否连贯、参与主体有无签名盖章、特殊情况说明等,则“实物证据的鉴真就不可避免地带有形式化的验证性质”。以书面审查笔录来体现保管链条的方式,虽不可避免存在流于形式审查之缺陷,但在较长的诉讼流程中,强化保管的严格规范也具有益处,能在一定程度上避免证据的灭失或污染。保障已取证据在流转中的原有客观真实性是鉴真规则应有之意。因此并不完全否定这种做法的作用,只是还需要与关联制度及技术的配合,以强化真实完整的证据链条产生的鉴真实效。
为了增强鉴真实效,参阅现有学者研究,不乏强调发挥“人”在保管链条证明中的作用。而笔者对此存在三点疑问:其一,取证环节的见证人是否有效?其二,强化知情人出庭是否有效?其三,增设专家见证人是否有效?
针对第一个问题,在《电子数据规定》第15条中,要求在收集、提取电子数据时,必须由符合条件的人员担任见证人。但对于“符合条件”的标准没有更具体的规定,实践操作中由参与人员自行判断,则无法保证所有见证人都对提取过程有充分认识,对微信记录的提取或许可以了解,但是对复杂网络系统的提取需要利用特殊手段的,则可能难以判断。并且见证人所做出提供证言只针对取证环节的同一性有证明效果,而对于后续保管、鉴定环节不具有持续性效果。只能在后续发现证据存在篡改时,其证言起到排除前端取证环节非法或有瑕疵的作用,以便于确定证据出现问题的具体时段。在后续纠错过程中起反向证明效果,而不能在正常顺向保管过程中起到全方位涵盖的正向证明效果。
针对第二个问题,英美法系国家对于实物证据的保管链条证明,要求证据所有者、取证见证者、取证实施者、保存保管者、鉴定分析者等,都出庭接受控辩双方交叉质询。则在质询中,对于证据个别变动的情况说明能有更具体的了解,对存在篡改伪造的证据更易被发现而予以排除。强化知情人出庭,对其他实物证据的鉴真确实有益,但是对电子证据的鉴真是否能达到同等效果,笔者存疑。因为取证实施者或鉴定分析者常为侦察机关内部的技术部门成员,一般具备对应的信息技术的知识,其出庭确实能对电子数据的取证方式、数据内容进行解释阐明。但是取证环节的一般见证者,通常不具有对应专业知识,即便出庭,也只能对其可感知的取证外在环节进行陈述,而对于电子数据的取证内容是否完整、取证方法是否合法,一般并不具有判断能力。在我国目前证人出庭问题尚未有效解决的背景下,全然效仿域外做法,要求每一位接触电子证据的人员出庭作证的鉴真方法,是不现实的。
针对第三个问题,有学者提出,应当设立重大复杂案件电子数据取证的专家见证人制度。专家见证人,确实可以解决一般见证人缺乏对应专业知识而无法提供切实有效见证的缺陷,也能帮助排除取证人员不符合规定要求的取证行为,以减少瑕疵证据的产生。但是专家见证人为一方当事人所聘请的,是基于其专业性,质疑侦查机关技术部门以及法院委托的鉴定机构以公信力为支撑的鉴定意见,其只服务于一方当事人的工作属性就决定了专家见证人不具有一般见证人的中立地位。并且其参与到勘查取证环节进行见证,须向法院提出申请,不是程序的天然有权参与者,也尚无法律明文对此授权。则法院考虑到部分案件取证隐蔽性要求或另一方当事人的异议等情形,可能会对专家见证人的参与设阻。
因此在一般见证人的见证效果弱、强化知情人出庭实现难度大、专家见证人参与有阻碍的现状下,需要探索其他技术方法。
其一,引入证据标签制度。我国尚未确立基本的证据标签制度,只是明确了证据封存制度。如在《电子数据规定》第8条中,强调封闭状态对数据删改的隔离作用,并辅以封口与封条处的拍摄照片,以强化封存方式对同一性的保障。但是对证据封闭保存以保持同一性,只起到暂时性的作用,一旦对电子证据展开鉴定、检测,其封闭状态即被破坏,其鉴真效果即被中断。因此机械地要求保持封闭状态,无法适应实践中灵活运用证据的需要。而证据标签制度,要求固定证据的各个阶段。在电子证据中,表现为对外在存储介质如手机、硬盘等扣押封存后贴上标签,并在标签上记录取证至出庭全过程的证据移转及开封情况,通过审查标签记载内容以判断交接是否连贯、是否存在不合理的空缺时段。笔者认为,对于存储介质采用证据标签制度,其实与现在采用的保管链条在证明方式没有本质区别,都是通过审查前后环节的连贯性以实现同一性的证明,所以在对外在存储介质的证明效果上没有太大差异。但证据标签制度的进步性在于对内部电子数据进行证明。通过对内部电子数据、数据群的相关信息进行保真还原,还原得到电子数据生成时间、修改时间、修改主体、修改次数等过程性记录,并与外在存储介质上的标签记录进行匹配,判断是否存在外在无登记而内部有记录的非正常修改情况。利用技术手段对虚拟标签设置加密口令,防止外力篡改导致记录不实,审查标签是否写入了非正常的访问记录、标签是否遭到篡改。
其二,采用只读、镜像和数字指纹技术。采用只读设备,只对源电子数据进行读取,并进行镜像复制。镜像复制得到的结果是与原始数据介质完全一模一样的数据,有着同样的分区表,有着同样的操作痕迹,有着同样的已经删除的信息,在复制的介质上保留了源介质上全部的信息。镜像复制能够有效保证“单独收集”模式下,保证目标电子数据与源电子数据的同一性。但镜像复制技术,也仅保证了取证环节,对取证后续环节是否存在变更修改,仍需要依靠前述数字指纹技术,运算比较每个数据文件所独有的哈希函数值,以实现取证之后数据的固定。
其三,运用电子数据附属信息。输出数据信息,是向人传递的可以直接感知的内容,如电子邮件的发送时间、微信语音的聊天记录、网络视频的播放数据等。案件争议的焦点,也通常集中在输出数据信息所反映的法律关系的认定上。而附属数据信息是以电磁、光电形式记录呈现的,输出信息数据在制作、复制、传递等过程中,由计算机网络系统(电子或光电设备、应用系统、操作系统、存储编码系统、网络传输系统)运行环境所形成的附加信息。如文档大小、占用空间、IP地址、创建时间、访问时间、修改时间、修改次数等。输出数据信息本身,并不能自证其同一性、完整性,而需要辅以附属数据信息进行解读与佐证。如对电子邮件的鉴真,除了需要获取邮件的文字内容、发送者名称、接收者名称,还需要获取发送者与接收者的IP地址、提供中转服务的服务器地址等来判断信息传递路径,或获取邮件文档大小、修改时间的数据,判断是否数据内容存在修改。证据资料并不通过主信息,而是通过附属信息证明数据制作者的客观真实性。而附属信息的可信度,源于对计算机系统稳定运行的推定。认为在正常情况下,计算机依据内部指令形成的这些附属信息,并不受行为人意志影响,不因其操控而改变,计算机系统程序是其唯一控制因素。则由此推定附属信息的真实性,而不需要对此额外证明。
三、鉴真规则的制度定位
正如前文所强调的,鉴真是为了证明所获取并出示法庭的证据与案件发生时的证据之间保持同一性。鉴真过程需要佐证,通过各类电子信息技术获取电子证据的独特性特征,或补强保管链条的证明,这些通过数据比对分析所得出的结论,对案发证据与庭审证据具有同一性提供证明,或言之,这是对证据事实的证明,对证据本身的证明。而不是对本案待证事实的证明,不是对案件实体内容的证明。
而鉴真对同一性的证明,与真实性及关联性的关系,有学者认为鉴真是“就实物证据的来源和提取过程所提出的要求,其实是一种旨在鉴别证据之真实性的审查方法。”但也有学者主张“鉴真规则就其本质而言是对证据关联性的确认,鉴真之‘真’指的是证据与待证事实之间关联关系的真实有否”但笔者认为,强调鉴真是对证据事实的证明是为了说明,对证据形式的审查是由鉴真过程来完成的。而对证据内容的审查是由真实性、关联性、合法性的三标准证据能力判断过程来完成的。对同一性的认定,是对证据能力三性认定的前提,对证据的鉴真是证据采纳的前置筛选程序。符合同一性的,证明出示证据属于案发现场的证据,这是案发现场证据属于案件发展遗留的痕迹材料的前提,即保障了证据真实性;出示证据与主张证据的一致,这是使用主张证据用于证明与待证事实之间存在关联的前提,即保障了证据关联性;同一性意为出示证据的提取、保管、运输、鉴定环节不存在篡改伪造或毁坏破坏,则是对取证过程规范合法、证据保管依照法律规定与法定程序进行的证明,即保障证据的合法性。因此笔者认为,鉴真作为前置程序,是证据三性认定的前提,对其均提供了保障作用。并不需要区分鉴真究竟是形式真实性抑或形式关联性,鉴真是基于同一性的认定,证明证据从形式上的真实可靠。
我国尚未将鉴真规则从证据的关联性理论、真实性理论中明确独立出来,对同一性这一证据能力先决条件的地位强调不足。但也需要注意鉴真规则不是在通说的证据采纳三标准的基础上增设同一性的标准,鉴真规则与三标准规则相互独立,其对证据要求的侧重点不同,并且适用的时间节点也不同。鉴真的功能定位是证据采纳环节的前置筛选程序,是证据能力认定的前提。强调鉴真规则与证据证明能力理论的彼此独立,也是针对我国立法中对二者没有严格区分表述以及实务中鉴真用于证明力审查的情形所作的回应。
我国没有明确规定应在诉讼程序中与证据相关的哪一阶段进行。鉴真的程序定位,本质上是基于其功能定位。在英美法系中,鉴真规则的功能是对不合格证据筛选,排除陪审员对此证据的接触。而基于鉴真的本质功能是过滤证据,我国也需考虑,是否应当将鉴真的任务安排在庭前,以此将不合格证据排除在庭审之外。在审前由法官依据主要证据的保管链条以及取证人员提供的独特特征证明或完整性校验值的比对结论等,对同一性尚无异议的证据纳入庭审审查的证据范围。将鉴真环节放置于审前完成,能够让鉴真回归到证据筛选的功能定位上,可以改变部分庭审中将鉴真规则用于审查证据证明力的规则功能错位现象。但是也需要承认,在实际操作中,既已承认法官对证据的鉴真只是对形式真实可靠的审查,不可完全避免庭审中一方当事人对证据的同一性提出异议的情况,此时法官需要借助鉴定机构的鉴定意见或当事人提供的专家证人证言等,在庭审中重新启动鉴真。因此强调鉴真的程序定位,主要还是强调在证据能力判断前对证据筛选的功能定位,而不是机械要求对鉴真与证据能力三性的审查严格区分为审前与审中进行。
结语
电子证据鉴真是针对证据载体同一性的鉴别,审查外在存储介质有无被破坏、替换,以及内部电子数据有无被伪造篡改,进而保证证据载体从取证收集到呈交法庭的过程中没有被改变,具有真实表达事实的资格。并且由于电子证据中存储介质与电子数据二分的特点,应根据数据收集的复杂程度选择“一体收集”或“单独收集”的取证方式。并在鉴真中,协同数字技术发挥独特性确认方法的作用,并配合证据标签、镜像复制、数字指纹、附属信息等技术,实现保管链条证明方法的实质审查效果。但证据是否可以用于证明待证事实,无法仅仅通过鉴真予以判断,还需要从真实性、合法性、关联性三个角度加以认定,通过筛选才能成为本案初步的证据材料,并由法官心证进一步成为认定案件事实的证据原因。因此鉴真只是对于进入诉讼中的程序性证据进行审查筛选的第一步,是后续步骤的前提。
往期精彩回顾
陈吉栋 张冬歌|不稳定财产存在吗——由《不稳定财产:共享经济中的物权法》引发的思考
上海市法学会官网
http://www.sls.org.cn