朱桐辉：电子数据检材来源易引争议，如何做好取证、查验的全过程同步记录？

来源：|发布时间：2023-02-12 10:10:04|浏览次数：1

　　朱桐辉 | 南开大学法学院副教授，北京云证国际数据安全司法鉴定中心学术部主任，泰和泰（北京）律师事务所刑事部学术顾问

　　一、引言

　　随着针对和通过网络犯罪的增加，传统线下犯罪的网络化，以及纯正线下犯罪必有电子留痕，对手机、电脑、硬盘、优盘、云盘和网络上的文档、图片、视频、邮件、邮箱、聊天记录、转账记录、通讯信息、身份认证信息、登录信息、行程轨迹信息、设备信息、APP应用程序及信息、日志信息、注册表、操作系统及信息等数字化形式生成、存储和传输的文件的取证和查验，在刑事案件中越来越多、越来越重要。

　　这里结合自己近三年的专门学习、实战参与和思考，对刑事案件电子数据取证、查验的手段和框架，予以总结；并从证据法角度，对取证和查验过程本身需要记录和“留痕”的重要性及主要方法，予以探讨和提炼。

　　同时，电子数据审查人、质证人对这一问题的了解，也有助于提高自己对电子数据审查和质证的能效。

　　二、电子数据取证和查验的手段及框架

　　综合我自己对2016年两高一部《电子数据规定》、2019年公安部《电子数据规则》、2022年二高一部《网络案件刑事程序规定》等相关法律规则、电子数据取证教程的学习，以及北京尚权律师事务所张旭华律师的实践与研究，经我这次的最新分析和辨析，可以说，现阶段对电子数据有六大取证手段、一大其他来源、四大查验手段。

　　（一）六大取证手段

　　1.现场一并提取（搬鱼缸）

　　在现场将原始存储介质及其内的电子数据一并扣押封存，这是2016《规定》和2019《规则》最强调的原则手段。

　　2.现场单独提取（只捞鱼）

　　在现场，用设备和软件将电脑、服务器、网络上的电子数据先“备份出来”“捞出来”，放在侦查取证人员自带的存储介质里，后续再继续恢复、分析和统计等。这是上述现行规则认可的辅助手段。同时，2019《规则》里新增的对电子数据的“登记保存”，其实是这一手段和过程内的辅助手段。

　　3.现场打印、拍照、录像提取

　　这是2016《规定》和2019《规则》授权的补充手段，属于“简单提取”。更适宜行政案件取证。但实践中，这一手段已演化成为刑事案件现场取证最常见和最主要的手段。这会引发大量问题，给电子数据的同一性、关联性、真实性、完整性、合法性的保障和审查带来诸多困难。

　　4.在线提取（远洋捞）

　　这是侦查取证人员通过网络远程取证的统称，包括了“最广义的在线提取—>远程勘验—>网络技术侦查”这三种逐渐递进、限缩的手段。

　　按照2016《规定》和2019《规则》的要求，远程勘验需借助被取证人提供账号和密码进行，不得使用技术破解等方法，但实践中是否都遵循这一原则，值得进一步调研。同时，实践部门认为，因为这还是对“现场”的勘验，因此只需履行《公安机关办理刑事程序规定》对现场勘验的低级别审批程序即可启动和进行，这也是我国现行电子数据法律最严重的顽疾，绕开了《刑事诉讼法》对搜查、扣押的规制，亟需改进。

　　网络技术侦查因为涉及对被取证人、被调查人和被侦查人的长期电子监控，同时，各界也认可其仍属《刑事诉讼法》规定的“技术性侦查”的一种，因此，其审批要求——经过“严格的审批程序”方可进行，与《刑事诉讼法》是一致的。

　　5.调取（代捞）

　　这是公安司法机关向腾讯、阿里巴巴、中国移动、中国联通等运营公司发出通知，由后者将其掌握的被取证人、被调查人、和被侦查人的数据和信息收集、提取后转交给前者的取证方式。2022年二高一部《网络案件刑事程序规定》为进一步节约资源，发挥其功效，在其下新增了“数据电文调取”形式。

　　6.传统刑事诉讼法手段——法庭勘验、搜查、扣押、技术侦查

　　实践中，在刑事审判中，辩护律师、诉讼代理人等提出在法庭共同现场查看被告人、被害人等的邮箱、各种网络账户信息的申请，往往也能得到诉讼各方的认可和法庭的同意。这其实就是通过法庭勘验获得电子数据。这一手段被现阶段的电子数据取证规则普遍忽略。

　　同样，传统的搜查、扣押、技术侦查等手段在实践中也有被用来获得电子数据原始存储介质。这种用更严格、更规范、更符合《刑事诉讼法》要求的方式更值得提倡。

　　关于电子数据冻结

　　其实就是为防止被取证人和被侦查公司在各平台账户（例如，微信账户、百度网盘账户、阿里云账户）里的信息和电子数据流逝、灭失、被覆盖和被删除，而采取的账号“封锁”措施。因此这和前述的“登记保存”的性质一样，只是辅助其他取证方法的手段之一，不能成为独立的取证手段。

　　关于初查（立案前“调查核实”）

　　2016《规定》很笼统地授权侦查机关可在立案前的初查阶段收集、提取电子数据，2022二高一部《网络案件刑事程序规定》将其正式称为“调查核实”，并在第12条进行了规制：“调查核实过程中，可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制被调查对象人身、财产权利的措施，不得对被调查对象采取强制措施，不得查封、扣押、冻结被调查对象的财产，不得采取技术侦查措施。”这明确了初查范围和手段限制，有进步。

　　但依然存在的问题是：在网络案件中，“勘查”其实是一种对调查人人身权和财产权干预范围很深很广的强制性侦查行为，将其授权给初查人，同样可能成为初查权扩张适用的切入点，有待商榷。这也应当成为下一步网络案件侦查法治化要解决的重点。

　　（二）一大其他来源——行政机关移送

　　快播案就是行政机关查封了快播公司租赁的服务器，后被转交给侦查机关的。实践中，行政机关能取得大量的电子数据，这一来源估计以后会广泛应用。另外，刘品新教授关注的重庆网信执法平台的“浏览即取证”，也是行政机关取证的典型方式。可参看司法兰亭会11月8日新媒体首发的刘品新教授关于行政取证的论文。

　　（三）四大查验手段

　　1.检查

　　这是介于电子数据的收集提取和检验鉴定之间的查看和统计行为。总体上不是对专门性问题的专业分析和判断。一般取证人员用简单工具，就能完成这里的对电子数据类型、文件名、大小、数量的识别、记录甚至是分析工作。

　　2.侦查实验

　　对电子数据的属性、增删改情况、功能情况进行的相似条件下的多次实验和对照实验。已有不少民事案件和刑事案件用这一方法对电子数据、电子设备和软件进行这样的查验，也取得了很好的去伪存真、恢复真相的效果。

　　3.鉴定

　　是对电子数据的存在性、真实性、功能性及相似性问题，进行的专门分析和查验。现阶段，电子数据鉴定在“四大类”（法医类、物证类、声像资料类、环境损害类）鉴定之中，属于“声像资料类”。

　　4.检验（出具专门性问题报告）

　　有些电子数据的专门问题，例如对海量电子数据进行统计、关联分析进而形成报告，因为还没有成熟的技术标准，因此其报告出具可以归于检验。2021年《刑事诉讼法解释》颁行后，检验可以用更准确的称谓：“出具专门性问题报告”。还有的电子数据的专门性问题查验和分析，只出具结果，不说明查验的过程、方法，不进行论证，这也属于电子数据检验。

　　关于抽样分析

　　这里接着特别要说的是，2022二高一部《网络案件刑事程序规定》第20条规定的对电子数据的抽样分析，其实也是一种电子数据检验或者说“专门性问题报告”出具行为。

　　对此，特别注意的是，按照该条规定，抽样分析必须要“对选取情况作出说明和论证”。还应当“重点审查取证方法、过程是否科学。经审查认为取证不科学的，应当由原取证机关作出补充说明或者重新取证。”同时，我们还要注意按比例抽样的对象必须是同类物，而且尤其要警惕“非概率抽样”，因为其科学性并不足。

　　三、取证和查验流程复杂、环节多，注定易引发争议

　　之所以在电子数据的鉴定、检验等查验工作中检材来源会成为争点，我总结原因有三：

　　第一，与这类案件的原始存储介质及其电子数据所处的结构、架构和环境复杂，需要侦查和取证人员借助专业设备、程序才能实现可视、可备份、可检查、检验及鉴定有关；

　　第二，与在这一活动中，需要对电子数据进行收集、提取、恢复、移送、检查、比对、实验试验、功能测试等多环节操作有关；

　　第三，也与电子数据一定程度上易增删改并且不易被肉眼发现有关。

　　四、如何做好电子数据取证、查验的全过程同步记录？

　　因此，这就告诫电子数据的收集、提取、恢复、检查、检验、鉴定人员要严格做好上述行为的全过程、客观同步记录。

　　经过这近三年的电子数据法律规则、经典案例学习，论文专著学习，听刘品新老师的课和他的线下指导，向高显嵩、李光、唐宇、张洪铭、李敦、许晓东等电子数据鉴定人请教，以及自己对电子数据取证和质证的实践参与，我总结，其中良好、有效的方法有：

　　第一，在上述各行为相关的笔录及清单上，认真、详细填写各项内容。

　　包括存储介质或手机、电脑的名称、种类、型号、颜色、数量、内存大小、硬盘大小、序列号、MAC地址（设备上网唯一地址）、IMEI地址（设备入通讯网唯一地址）、服务器的IP地址及服务器内的硬盘情况等。

　　对手机、电脑还要及时记录获得的账号、密码，实践中一般是记在标签上，粘于手机背面；对笔录和清单的签字，也要严格遵循提取人、提供者、见证人的签字要求。

　　要说明的是，在刑事案件中，公安机关是有专门的电子数据笔录和清单的制式文书模板的，侦查取证人员只要正确选择制式文书、认真如实填写就基本能达到客观记录的效果。

　　第二，优选对上述取证、查验过程甚至是记录过程录音录像的方式。

　　这样可以更加保证电子数据来源的可见性、可追溯性及其同一性、关联性、真实性和完整性。

　　第三，次选拍照的方式。

　　涉及对原始存储介质扣押与封存的，要特别注意封存、开封、再次封存前后都要做好对封口的拍照工作。

　　第四，也可选择见证的方式。

　　此种方式要注意见证人的中立性，不能是侦查人员或侦查辅助人员、为侦查服务的科技公司人员，对见证人身份信息也要如实体现。

　　第五，在电子数据移送和检查时，按要求做好备份同送和在备份上检查工作。

　　这是为应对将来可能有的对电子数据同一性、真实性和完整性的质疑，也是保障始终能有真实性、完整性得保障的原始电子数据的重要手段。

　　总之，为做好原始存储介质及电子数据的鉴真工作和同一性、关联性保障工作，一定要做好各种形式的客观记录。

　　因为，（1）这既是现行相关法律规则的体系性要求；（2）也能预防、规制电子数据被增删改；（3）而且，有时这些客观记录还能辅助证明原始存储介质及电子数据的特征、内容、功能等情况。

　　编辑 | 朱桐辉：南开大学法学院副教授，北京云证国际数据安全司法鉴定中心学术部主任，泰和泰（北京）律师事务所刑事部学术顾问。