• 小程序
  • 公众号
  • 手机浏览
  • 登录 注册

我国电子数据证据制度的若干反思

发布时间:2021-02-01 浏览:345次

《中国刑事法杂志》,2020年第6期。

作者:奚玮,安徽师范大学法学院教授,安徽省律协刑委会副主任,北京盈科(芜湖)律师事务所刑辩中心主任。

摘 要:我国现行电子数据证据制度着眼于收集提取和审查判断两个视角,围绕证据的真实性、完整性、合法性、关联性设计了相关规则。但传统的最佳证据规则在电子数据领域是否仍可以无差别的适用,见证制度面对专业性极强的电子数据提取还能否发挥见证作用,电子数据取证措施未加区分而引发非法证据判断的模糊化,关联性判断尚未充分体现电子数据的证据特点,大数据情形下证据审查的颠覆性变化等诸多值得关注的问题,在现行证据制度下还未能很好地解决。故有必要重新建构取证规则,完善排除规则,建立推定规则、失权规则、咨询规则。

关键词:电子数据 证据规则 电子证据调取 电子证据审查 判断规则

计算机和信息网络技术的迅猛发展,带来了诉讼证明方式的深刻变革,电子数据以一种全新的证据种类进入诉讼领域,并对案件待证事实发挥着越来越重要的证明作用。有论者指出,据不完全统计,刑事案件中使用电子数据证明案件事实的比例已经超过四分之一。在电子数据证据改变着传统诉讼证明方式的同时,与此相伴的证据制度改进与完善也显得尤为迫切。2016年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据证据规定》)、2019年《公安机关办理刑事案件电子数据取证规则》(以下简称《取证规则》)的颁行,为规范电子数据证据的收集提取和审查判断提供了一系列规则。检审运行情况评估效果也显得有所必要。笔者试就此问题进行一些分析探索,为电子数据证据制度的改进与完善献计献策。

一、我国电子数据证据制度体系及其特点

2012年《刑事诉讼法》修改之前,相关的司法解释为了适应电子化的实践需求,对电子证据予以立法上的认可。2012年修订的《刑事诉讼法》将电子证据法定化,2012年12月最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第93条、第94条对电子数据审查判断和排除规则作了规定,形成电子数据证据审查制度的雏形。《电子数据证据规定》和《取证规则》的颁行,进一步完善了电子数据证据制度并促使电子证据制度形成了一定的体系。其特点如下:

(一)电子数据证据制度的基本框架已经形成

《电子数据证据规定》以一般规则、收集与提取、移送与展示、审查与判断、附则共五个部分搭建起制度框架,集取证规则、审查规则、排除规则于一体。其中收集与提取侧重于电子数据的取证,规定了提取对象、固定方式、取证措施、过程要求等,针对电子数据的证据特点,还规定在证据提取之后,需要将数据与待证事实建立联系的措施,因为提取的数据可能是庞杂的,真正与待证事实有联系只是部分,于是规定对非专门问题的可以通过电子数据检查、侦查实验等方式解决证明力问题,对专门性问题可以通过检验、鉴定的方式解决证明力问题。《取证规定》在此基础上又进行了进一步细化。移送与展示部分主要规定证据在办案机关之间的移送以及侦查机关对证据展示的协作要求,此时已经完成取证,但尚未开展审查,故此部分不涉及证据规则的运用。审查与判断部分,从电子数据的真实性、完整性、合法性、关联性四个方面提出审查内容要求,与取证规则前后呼应,其中电子数据完整性审查,是不同于传统证据“三性”审查的独特的内容,数据完整性同时又与真实性紧密相连,只有数据完整,真实性才能有所保证,而数据完整性有疑问,必然会影响到真实性的判断,除非该不完整性本身恰恰是待证事实证明之需要,如证明行为人对电子数据进行了篡改、剪辑,此时数据的不完整性恰能证明数据被篡改、剪辑的事实。

(二)确立了电子数据取证规则

《电子数据证据规定》确立“以扣押原始存储介质为原则,以提取电子数据为例外,以打印、拍照、录像等方式固定为补充”的取证规则。电子数据证据与传统证据的显著差异在于,数据本体的生成、存储、传输需要依赖于计算机系统的硬件、软件环境,这就导致存储数据的原始介质不仅可以证明数据本体的来源,还可以证明数据本体生成、存储、传输中留下的数据痕迹,进而有助于判断数据本体的完整性、真实性,同时还能够实现电子数据与特定人的关联性的证明,即原始存储介质有着“双联性”特点,一方面它承载着数据本体,另一方面它又能与介质的持有人形成关联性,实现由物到人的证明。正因如此,将扣押、封存原始存储介质作为取证原则受到规则制定者的青睐。同时,扣押、封存原始存储介质也似乎是最佳证据规则下的必然选择,依最佳证据规则,书证应当是原件,物证应当是原物,复制件、复制品的证明力受到严格的限制,以避免证据失真风险。扣押、封存原始存储介质正是传统证据法原始证据优先的一种重要体现。

《取证规则》第7条规定的五种取证方法,是获取电子数据的方式,而非侦查措施。虽然扣押、封存带有侦查措施的性质,但在本条规定的语境下,仍然是取证方式,至于每种取证方式能够对应哪一种或哪几种侦查措施,现行证据制度并未明确,由此也带来实践中的一些争议,后文再具体分析。在坚持取证环节原始存储介质优先的同时,现行取证规则从实际出发,规定无法扣押原始存储介质时,以提取电子数据作为替代方案。实际上,能扣押原始存储介质的,应当扣押原始存储介质,只有无法扣押原始存储介质时,才能退而求其次,以提取电子数据的方式替代。从某种意义上来说,也是对以提取方式固定电子数据的限制。至于以打印、拍照、录像等补充固定证据的方式,是针对电子数据可能存在灭失风险或需要及时展示等特定情形的,故而只能作为一种补充形式而存在。

从取证规则看,一是强调数据载体和数据本体必须来源清楚。对此明确以笔录、清单的方式,记明数据载体的特征,尤其是唯一性特征;记明数据本体的特征,尤其是电子数据完整性校验值、数字签名、数字证书等可以识别其唯一性的特征。二是强调获取数据的过程必须清楚,取证的侦查人员、数据的持有人、见证人需要在笔录、清单上签名或盖章,没有见证人的,应当予以录像。根据《取证规则》,除网络在线提取电子数据、冻结电子数据、调取电子数据无须见证人见证外,其他首次获取数据环节,包括扣押、封存原始存储介质、现场提取电子数据、网络远程勘验提取电子数据,均要求有见证人见证。三是强调取证行为既要符合法定程序,又要遵循技术规范。

(三)确立了电子数据审查规则

从数据载体、数据本体、数据内容三个层面设定了相应的审查规则,核心是确保数据的真实性、完整性。从审查规则看,现行证据制度将电子数据的真实性审查作为核心。在审查内容上体现为:一是对原始存储介质的审查,包括来源、特征、使用和保管链条的全面审查,以判明存储介质及其承载的电子数据是否完整、真实。二是对数据本体的审查,同样包括来源、特征、使用和保管链条,判明有无在使用、保管过程中受到污染,数据本体是否真实、完整。三是对数据内容真实性进行审查,即通过与其他在案证据是否相互印证,判明内容真实与否。在审查规则上保留了很深的最佳证据规则印记,突出原始存储介质的证明力,当采取提取电子数据方式固定证据时,必须要注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源。在采取打印、拍照、录像补充方式固定证据时,仍然强调能扣押原始存储介质的应当扣押,能提取电子数据的应当提取。在关联性审查上,采取客观证据与言词证据相结合的综合审查判断规则:一是网络身份与现实身份的同一性认定,即落地查人,可通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断;二是行为人与存储介质的关联性,即由物到人,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。关联性审查规则遵循“电子数据—终端设备(存储介质)—行为人”的证明过程,而终端设备(存储介质)与具体的人能否形成关联性则有赖于言词证据。

(四)确立了电子数据的排除规则

《电子数据证据规定》确立了两条排除规则。其一,真实性存疑的予以排除。真实性是证据具备证明力的首要条件,电子数据未经查证属实不得作为定案根据。查证属实包括两层含义:从形式上看,证据来源是否存疑、证据保管链条是否完整;从实质上看,证据内容是否真实。《电子数据证据规定》将“电子数据系篡改、伪造或者无法确定真伪的;电子数据有增加、删除、修改等情形,影响电子数据真实性”等,明确予以排除。当然,这种排除不属于非法证据排除,而是证据真实性高度存疑、证据不具有证明力而排除。同时对排除的理解应限于不能根据证据内容证明案件的待证事实,若篡改、伪造或增加、删除、修改等污染证据行为,经查证属实,该电子数据对妨害诉讼证明的行为仍有证明价值,不应一律排除。其二,瑕疵未经补正或合理解释的予以排除。用结果证据支撑事实主张之成立,用过程证据确保结果证据之证据能力,是对证据真实性的重要保障。与传统实物证据的排除规则一致,电子数据的来源、收集程序等过程有疑问、不能补正或合理解释的不得作为定案根据。《电子数据证据规定》将“未以封存状态移送的;笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;对电子数据的名称、类别、格式等注明不清的”等列入瑕疵证据范围。此点表明,电子数据取证程序不规范,导致来源有疑问(非来源不清、真伪不明)的;电子数据在形式上识别,唯一性特征不清的;电子数据的保管链条缺乏过程证明的,若不能补正或合理解释,则应予以排除。此类证据被视为证据能力待定的证据,其本质特征在于获取证据的违法情节的轻微性,是否具有证据能力,取决于瑕疵能否得到补正或者作出合理解释,只有补正的合法性和解释的合理性得到实现,方可消弭轻微违法的瑕疵。《刑事诉讼法》在非法证据排除的制度安排上,规定“收集物证、书证不符合法定程序,可能严重影响司法公正的,应当予以补正或者作出合理解释;不能补正或者作出合理解释的,对该证据应当予以排除”。法律条文中物证、书证之后没有“等”字,故从立法上看并没有将非法收集的电子数据作为相对排除的对象,《电子数据证据规定》也未涉及对非法证据的界定及排除规则,从人权保障和程序正当视角考察,应属将来需要改进和完善之处。

二、我国电子数据证据制度运行中的几个问题

与传统的实物证据相比,电子数据的证据形态迥异,传统的实物证据以人能直观感知的形态存在,如书证、物证所呈现的内容或物理特征,但电子数据若不借助于一定的软、硬件环境或通过这种环境以打印、拍照、录像的方式转化,则无法呈现其内容,电子数据不能独立于生成、存储、传输环境而存在,但又可以从其依附的载体中进行精准的镜像复制,这种特点决定了电子数据的收集提取、审查判断、证明方法均与传统实物证据有较大的差异,具体来说:

在收集提取上,传统原件、原物的概念并不适用于电子数据。《电子数据证据规定》第1条第2款列举的电子数据的形态进行了列举,但无论以何种形态出现,其背后都离不开生成、处理、存储、传输等一项或多项操作,以网络平台发布的信息为例,该信息在平台发布之前,必然会有信息编辑行为,即通过电子设备(如计算机、手机、平板电脑等)制作拟发布的信息,在信息生成的过程,电子设备当然地会留下相应的数据痕迹。在信息发布过程中,也必然会伴随数据的传输。如果网络平台发布的信息是需要收集的案件证据,那么发布该信息的注册用户、发布者的网络IP地址等附属数据信息也同样需要收集,并由此追踪该信息来源的电子设备;再通过电子设备的网络IP地址或操作痕迹,确认与发布信息的关联;最后通过设备的操作者,确定待证事实与行为人的关联。这个收集证据过程,实物证据的原件、原物概念已不在重要,取而代之的是对电子数据最终形态以及形成过程的取证。

在审查判断上,最佳证据规则并不适用于电子数据。传统实物证据通过严格限制复制件、复制品的证明力而保证证据的真实性,但电子数据的真实性判断完全可以通过技术方法加以解决。电子数据对待证事实的证明,绝大多数情况下是通过数据表达的内容或数据特有的功能实现的,如文档的内容、软件的功能等,但除去这部分表层信息外,电子数据还包括特有的附属信息(如数据生成、修改、存储、传输的记录)和操作过程留下的数据痕迹(如系统日志),这些信息和痕迹也是电子数据本体的组成部分,且有些是电子设备自动记录的,这一特征决定了对电子数据真实性的判断,完全可以脱离传统实物证据的最佳证据规则,依据电子数据的附属信息、数据痕迹并辅之以必要的技术方法,实现对证据真实性的判断。

在证明方法上,有观点认为,电子数据对待证事实的证明有双层印证体系。第一层是物理空间的证据体系,即根据若干份电子证据与传统证据相印证来认定案件事实,从数量上看,这一体系的构成需要两份以上的证据(其一是电子证据);从质量上看,这一体系的构成需要证据之间具有印证性或一致性。第二层是虚拟空间的证据体系。即若干份电子证据相印证,构成虚拟空间的证据锁链,又可进一步划分为网络空间的印证体系与单机空间的印证体系。网络空间的印证体系即为:网络空间中各电子设备被视为不同的节点,行为在不同的节点上留下相关的电子证据,当获取不同节点上的电子证据,且能相互印证的,就构成了虚拟空间的证据体系。单机空间的印证体系即为:数据电文证据所基于的操作软件系统、文档存储系统会同步产生关联痕迹,数据电文证据、附属信息证据、关联痕迹证据是由不同的软件系统或者存储系统产生的,有的附属信息和关联痕迹从技术上讲是不可能伪造或极难伪造的,因此可以根据它们之间的印证来认定某一案件事实。因此,从技术角度分析,电子数据对待证事实的证明有不同于传统证据之处,如能建立虚拟空间的证据体系,同样可以满足诉讼证明的要求,且可以不依赖传统证据的印证。

鉴于电子数据证据完全不同于传统的实物证据,且在刑事案件的证明上发挥着越来越重要的作用,故引起了实务界和学术界的广泛重视和深入研究,并取得了一系列研究成果,如在电子证据的收集方面,有学者提出可从基本权利角度考察初查中取证规则。也有学者对数据取证措施的任意性所导致的扣押门槛降低提出质疑。还有学者提出在大数据背景下算法取证的构想等;在电子数据的审查方面,有学者提出,电子证据真实性的三个层面是指电子证据载体的真实性、电子数据的真实性和电子证据内容的真实性,应针对这一证据特点设计规则。该观点得到实务界专家呼应,认为应根据电子数据自身的特点,确立电子数据真实性审查的“三步法则”,即介质载体真实性、数据载体真实性、内容真实性;有学者提出,电子数据的外在载体“独特性证明”,内在载体“完整性证明”,构成电子数据审查判断的双重鉴真的过程,并对鉴真不能情形提出相应的排除规则。受上述研究的启发,笔者也对相关问题进行了思考。

(一)扣押、封存原始存储介质必要性质疑

在最佳证据规则的影响下,现行电子数据证据规定过分重视原始存储介质的扣押、封存,与电子数据证据的特点和发展趋势有不相适应之处,在网络运用和云储存较普及的情况,可支配的物理存储介质重要性已有所下降,网上购物、网上支付、网上通信等大量数据均由提供服务的第三方存储,若仍将扣押原始存储介质作为原则,不仅难以做到,而且不符合电子数据存储的发展趋势。

1.“原始存储介质”的概念本身模糊不清,难以识别

《电子数据证据规定》引入 “原始存储介质”概念的原因在于:基于保证电子数据真实性和完整性的考虑,有必要使用“电子数据原始存储介质”概念,以表明电子数据是存储在原始的介质之中,而非通过其他存储介质直接从原始介质中提取的电子数据。以此为标准,将电子数据分为两类,即随原始存储介质移送的电子数据和在无法移送原始存储介质的情况下(如大型服务器中的电子数据)通过其他存储介质收集的电子数据。然而,电子数据往往具有生成、修改、存储、传输等多个环节,这些环节也很有可能在多个电子设备或存储空间完成,例如,甲在A电脑上起草一份文档,然后拷贝到U盘,之后又在B电脑上进行修改,又上传到网络云盘分享给乙,乙通过网络下载存储到C手机上,修改后又反馈给甲,在这个过程中,数据有生成、修改、传输、分享的一系列过程,究竟哪一个是原始存储介质实际上已很难界定、很难区分。如果难以界定、难以区分,又如何确定扣押对象?

2.对待证事实发挥主要证明作用的是电子数据,而非存储介质,扣押存储介质有时反而会无谓地加重证明负担

不可否认存储介质对待证事实有一定的证明作用,如特定的手机、U盘、电脑等可能与物的所有人、使用人发生关联,其证明价值与传统物证相类似。但电子数据的证明价值绝不限于此,依附于存储介质之中的数据本体才是证据的核心。按照最佳证据规则的取证要求,原始存储介质能够保全电子数据依附的硬、软件环境,能够保证电子数据的完整性和真实性,但事实并非都如预想的一般,2016年审理的“快播案”成为此判断的例证。“快播案”中存储淫秽视频数据是4台服务器中的硬盘,该4台服务器最初由北京市海淀区文化委员会在行政执法中从北京网联光通技术有限公司处扣押,之后移交北京市版权局进行鉴定,因该案涉嫌刑事犯罪,又由北京市公安局海淀分局从北京市版权局调取该4台服务器,其间北京文创动力信息技术有限公司提供了专业技术服务。截至到法院开庭时,共有150人次进入这四台服务器,却没有笔录、人证、录音录像。一审法院委托国家信息中心电子数据司法鉴定中心对4台服务器及存储内容进行了检验,法院认定,在办案机关扣押、移转、保存服务器的程序环节,文创动力公司为淫秽物品鉴定人提供转码服务等技术支持,没有破坏服务器及其所存储的视频文件的真实性,检材合法有效。该案从表面看,若未扣押服务器及其硬盘,当出现证明僵局时,就无法委托鉴定机构进行检验,更妄论通过鉴定解决争议问题,因此扣押存储介质是必要的。但在仔细分析证明过程后我们会发现,该案扣押存储介质不仅没有必要,而且加重了证明负担。

该案中4台服务器及服务器内的硬盘,即存储介质本身,并未对案件待证事实起到证明作用。因为存储介质不能建立快播公司与案涉淫秽视频之间的关联性,存储介质虽然被扣押,但因为保管链条缺乏证明,故不能保证电子数据完整性、真实性,该案真正发挥证明作用的是存储介质中的电子数据。从判决情况看,电子数据的证明作用突出体现在两点:一是硬盘内的数据由快播公司维护,这是通过IP地址为 218.17.158.115的远程计算机频繁登录维护服务器,而该IP地址为快播公司专用,由此证明硬盘内的数据与快播公司存在关联性;二是硬盘内的数据在2013年11月18日被扣押后,没有发现从外部拷入或修改qdata文件的痕迹,也就是说,虽然无法通过服务器的保管链条去证明数据没有受到污染,但通过检验硬盘数据有无在扣押后有写入或修改的方式,也同样可以证明数据的真实性和完整性。

电子数据是以“数据”形态为表现的证据,在数据中承载了证据信息,而“数据”可以存储或依附于各种类型的电子设备或存储器上(如计算机硬盘、U盘、SD卡等)。并且由于电子数据所具有的“无损再生性”这一特性,电子数据可以实现精确复制,不论在何种电子设备上,复制件与原件可以实现完全一致。因而,基于“复制受损性”、依赖“原始载体”的最佳证据规则在电子数据“复制无损性”面前,明显已经失去了适用的必要性。鉴于电子数据的这一个特点以及当下的技术规范,上述案件中的数据本体,完全可以通过技术方法从原始载体中将数据本体百分之百的完整复制,通过对镜像文件的分析,同样可以固定数据的附属信息、数据生成、修改、存储、传输等痕迹信息,那么扣押原始存储介质,保证数据本体完整性、真实性的前提已不复存在。

该案中,由于执法机关只登记了服务器接入互联网的IP地址,没有记载服务器的其他特征,而公安机关的淫秽物品审验鉴定人员又错误地记载了硬盘的数量和容量,由此导致被扣押的存储介质是否为“原物”产生重大争议,控方不得不通过一系列补正、说明的方式,解释存储介质的来源、出现硬盘数量和容量差误的原因、数据没有被污染的理由等,而这些证明并不触及本案的核心事实,无谓的证明耗费了大量的诉讼资源。如果取证之初就摒弃对原始存储介质必需扣押的要求,而将目光转向核心证据即电子数据本体,并通过规范的技术方法加以提取、固定,本案的证明过程会更加简洁明快。

3.不扣押原始存储介质,仍然可以实现功能同等的证明目的

《电子数据证据规定》第9条和《取证规则》第8条虽然确立了以扣押、封存原始存储介质为原则的取证规则,但也规定了在无法扣押、封存原始存储介质情形下,可以通过提取方式固定电子数据证据,或者通过打印、拍照、录像等方式固定电子数据证据,这些规定从正面看,依然强调必须要扣押原始存储介质,只有扣押了原始存储介质,电子数据证据的形式要件才齐备,只有在确实无法扣押时,才能退而求其次。但从反面看,这些取证规则也肯定了在原始存储介质缺失的情形下,仍然能通过功能相同的替代方案解决对待证事实的证明,换言之,规则的制定者也认可,没有原始存储介质也同样能满足证明的需求。由此可以推导出,即便原始存储介质未扣押、封存,但所提取的电子数据本体真实性、完整性有证据证明,也完全能够满足诉讼证明的需要,因此,当电子数据本体能百分之百地从原始存储介质中精确复制时,还一味地将扣押、封存原始存储介质作为取证原则就显得过于僵化了。

  1. 扣押、封存原始存储介质与公民财产权保障可能产生冲突,易引发程序正当的争议

无论是手机、电脑,还是U盘、硬盘等,原始存储介质都具有一定的经济价值和物的使用价值,虽然为追查犯罪的需要,司法机关可以对涉案财产采取一定的强制性侦查措施,但也需要遵循比例原则和程序正当原则,即确有必要和依法批准。然而,《电子数据证据规定》和《取证规则》更多地关注追查犯罪,而未能兼顾各方的利益平衡。具体表现在:

一是对扣押存储介质的必要性未作区分,前文已经论及,如果提取电子数据完全能满足诉讼证明要求,扣押存储介质已非必需,在此情形下,比较适宜的做法是遵循比例原则,即以最经济节约的方式,达到同等的证明目的。

二是对扣押存储介质的范围未作区分,对犯罪工具的存储介质和被害方、案件第三方所有或持有的存储介质同等对待,实际已构成对公民合法财产权利的不当限制,同时,只要能证明案件事实的证据材料都予以扣押的取证原则,也会造成证据量的无谓重复,如手机即时通信工具中产生的电子数据,甲乙用手机互发微信信息,由于双方既发送信息,同时又接受对方信息,如果遵循原始存储介质扣押的原则,势必要对甲乙两人的手机都予以扣押,而从实际证明要求上看,扣押一部手机,再提取另一部手机中的电子数据加以印证,也完全能够达到证明要求。

三是对不属于依法应当没收的存储介质是否需要返还、何时返还未作要求,同时对限制公民存储介质财产的权利也未规定适当的补偿,由此也会引发证据持有方不愿意提供证据的制度缺陷。

此外,由于存储介质具有一定的财产属性,而扣押是一项强制性侦查措施,一味地强调扣押原始存储介质,势必会造成立案前排查犯罪线索的障碍,如果不扣押,将会形成该取的证据没有及时调取,进而对数据本体有无受到污染产生疑问;如果扣押,又会形成强制性侦查措施适用于立案之前的诟病,扣押存储介质的原则反而会贻误办案时机。

反思扣押、封存原始存储介质的取证原则,笔者认为,基于电子数据证据的特点,最佳证据规则已不能简单套用,同时扣押存储介质也并非诉讼证明目的实现的唯一路径。

(二)取证环节见证人见证制度有虚置可能

刑事见证蕴含着对侦查权力的监督功能,也体现着对侦查行为合法化证明的价值,作用不容小觑。在电子数据取证环节,涉及需要见证人见证的侦查活动有:(1)扣押、封存原始存储介质(《取证规则》第 12条);(2)收集、提取电子数据(《电子数据证据规定》第15条、《取证规则》第19条、第21条、第30条),根据《取证规则》的规定,提取电子数据又分为现场提取电子数据、网络远程提取电子数据、网络远程勘查提取电子数据,由于网络远程提取电子数据主要是机器下载,故《取证规则》未要求见证人见证,只强调对于重大案件、电子数据是关键证据等案件,应当全程录像;要求有见证人见证的是现场提取电子数据和网络远程勘查提取电子数据。

然而,由于电子数据证据取证的专业性要求较高,见证人能否起到监督和证明侦查活动合法的作用,确实存在不小的疑问。

首先,在见证人的选择上,并没有专业认知程度的要求。最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第67条规定: 下列人员不得担任刑事诉讼活动的见证人:(1)生理上、精神上有缺陷或者年幼,不具有相应辨别能力或者不能正确表达的人;(2)与案件有利害关系,可能影响案件公正处理的人;(3)行使勘验、检查、 搜查、扣押等刑事诉讼职权的公安、司法机关的工作人员或者其聘用的人员。因此,根据司法解释的规定,只将辨别、表达有缺陷和公正立场有疑问的人排除在见证人之外,其他任何公民都可以承担见证人,但在特定的电子数据取证领域,不具有专业认识程度,实际上难以起到见证作用。

其次,电子数据的取证除了遵守法定程序外,还需要遵循相关技术标准,因此,从见证侦查活动的内容看,既包括取证是否合法,也包括取证是否合规。如果认为见证仅仅只对取证程序是否合法,反不涉及技术标准层面,那么见证的目的将被虚设。在扣押、封存原始存储介质环节,由于不需要有太多的专业认识,只须准确全面记载存储介质的唯一性识别特征,此时对见证人的要求与扣押普通物证大体接近。而在现场提取电子数据和远程勘查提取电子数据时,由于存在一系列技术规范要求,同时也存在一系列人机交互的提取方式,若将技术层面的要求剔除在见证范围之外,实际上也就无法回应对证据真实性的质疑。

最后,见证人对取证过程的全程参与,存在无法避免的时间障碍。在一些网络犯罪中,往往电子数据提取量巨大,与传统的勘查、搜查、扣押等侦查活动相比,部分案件需要耗费大量的提取时间,见证人是否有时间、有精力全程参与,也是不可回避的现实问题。

因此,在电子数据取证环节中,基于现有见证制度无法改进的缺陷,可以通过全程录像的方式加以取代,且这种客观、不间断的视频记录,能够重现取证的完整过程,也能更好的接受司法审查。

(三)任意侦查措施与强制侦查措施未作区分

任意侦查与强制侦查之区分,源于日本刑事侦查限制理论。《日本刑事诉讼法》第197条规定“为实现侦查的目的,可以进行必要的调查。但除本法有特别规定的以外,不得进行强制处分”。日本的法学理论从该条文引申出主导侦查进行的两条基本原则:强制侦查法定原则与任意侦查原则。强制侦查的实施以必要时为限。我国学者提出区分任意侦查与强制侦查的三个认识角度:其一,以立案为时间分界点,立案前不能适用强制侦查措施。其二,以具体侦查措施进行分类。包括查询、勘验、检查、鉴定和调取在内的“授权性措施”被划分到了任意侦查的措施体系,从而在初查及侦查阶段均可以运用;查封、扣押、冻结、技术侦查等则被定性为强制侦查措施,因此归入“禁止性措施”而不能在初查中运用。其三,以“基本权利干预”作为深层次理论标准,而且也是前述两点认识能够成立的基础,“侵犯重要法益说”得到了更多人的接受,“基本权利干预”转而成为了核心标准。

在笔者看来,从理论上研究任意侦查措施与强制侦查措施的意义在于确保侦查程序正当,体现打击犯罪与保障人权并重的刑事诉讼目的。然而,在《电子数据证据规定》中,任意侦查措施与强制侦查措施却有着极其模糊的一面。2020年修改的《公安机关办理刑事案件程序规定》(以下简称《公安程序规定》)第174条规定,对接受的案件,或者发现的犯罪线索,公安机关应当迅速进行审查。发现案件事实或者线索不明的,必要时,经办案部门负责人批准,可以进行调查核实。调查核实过程中,公安机关可以依照有关法律和规定采取询问、查询、勘验、鉴定和调取证据材料等不限制被调查对象人身、财产权利的措施。但是,不得对被调查对象采取强制措施,不得查封、扣押、冻结被调查对象的财产,不得采取技术侦查措施。该条规定从侦查措施的种类上区分了立案前后可以采取的措施,背后的法理也包含了“基本权利干预”。即立案前的调查核实阶段,不得对人、对物采取强制侦查措施。《电子数据证据规定》第6条规定:“初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。”结合《公安程序规定》,立案前若收集、提取电子数据,以及网络在线提取电子数据,不得限制被调查对象人身、财产权利,但现有的调查核实方法确有限制,甚至侵犯被调查对象人身、财产权利之嫌。

收集、提取电子数据方法,根据《取证规则》第7条的规定包括:扣押、封存原始存储介质,现场提取电子数据,网络在线提取电子数据,冻结电子数据,调取电子数据等五种,这其中扣押、封存原始存储介质是明显对物采取强制侦查措施,冻结电子数据在《取证规则》中明确应当经县级以上公安机关负责人批准,其他三种提取都可以通过勘验、调取等方式获取,如果从有形财产角度去判断,似乎并没有限制财产权利,更没有限制人身权利。但仔细分析后,我们会发现这些取证方式和取证结果,很可能会触碰公民的宪法权利。

在调取电子数据上。《宪法》第40条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密”。与其相对应的《刑事诉讼法》第143条规定,侦查人员认为需要扣押犯罪嫌疑人的邮件、电报的时候,经公安机关或者人民检察院批准,即可通知邮电机关将有关的邮件、电报检交扣押。《刑事诉讼法》是在查封、扣押物证、书证部分中予以规定的,显然已将这一侦查活动列入强制侦查范畴。但如果在立案前,侦查机关持《调取证据通知书》向电信部门或者网络服务提供者调取有关人员的通话记录、短信或即时通信内容等,还能不能理解为一种任意侦查措施,此时侦查行为已经触碰到公民的通信自由和通信秘密的宪法权利。

在现场提取电子数据上。必然是针对特定的数据载体进行,而数据载体的背后是数据的持有人,这就涉及调查对象是否同意提取数据问题,如果征得同意后提取,则不会对数据持有人的权利产生影响;若不同意,此时基于不得限制被调查人的人身、财产权利的禁令,不宜实施强制侦查;对持有数据的第三方则更不宜实施侦查强制,《电子数据证据规定》对此均未涉及。

在网络远程勘查提取电子数据上,《电子数据证据规定》对网络远程勘查的定义是:通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。可见网络远程勘查与物理空间的现场勘查既有共性,也有区别,前者是进入他人的计算机信息系统收集涉嫌犯罪的证据,而后者仅仅是在特定的物理空间进行,但《电子数据证据规定》并未明确网络远程勘查需要依法批准方可实施,使得这一侦查措施能否在立案前使用含糊不清。

此外,电子数据本体是否具有财产属性也是需要关注的问题,最高人民法院(2020)最高法知民终683号《民事判决书》认为:在发生存储数据丢失或删改情况下,数据的财产价值会遭到一定程度的毁损。正是基于对信息互联网时代数据价值重要性的认识,我国现行法律体系尤其是在侵权法领域,对侵害电子数据所导致的财产利益损失的救济作出了一些规定。由此可见,不限制人身、财产权利,也包括对数据本体的合法财产权利不得因侦查活动而予以限制或剥夺。

综上,由于《电子数据证据规定》在任意侦查措施和强制侦查措施上未细加考量,由此造成侦查取证与人权保障的时有冲突,故而改进、完善也显得必要。

(四)电子数据与行为人相关联的认定规则滞后于技术发展

传统的实物证据并不是案件的直接证据,不能独立地证明案件事实,而只能作为间接证据,和其他证据相结合,共同完成对待证事实的证明。电子数据也有相似之处,尽管电子数据可以独立地建构虚拟空间的证据体系,但依然要与特定的行为人进行关联,方可完成何人做了何事的证明。为此《电子数据证据规定》第25条提出,对网络身份与现实身份的同一性认定、行为人与存储介质的关联性认定,要结合相关证人证言和犯罪嫌疑人、被告人的供述与辩解进行综合审查判断,这一步是实现由电子数据到具体行为人的证明过程。现行的证据判断规则深受证据印证主义的影响,即电子数据与特定人的关联必须借助于两个以上具有独立信息源的证据方可认定,但这种判断方式并没有很好地结合电子数据的证据特点,因分散在网络的不同节点的电子数据以及在特定硬、软件环境下的电子数据,可以根据数据的附属信息和痕迹信息,形成对待证事实的证明而无须依赖其他传统证据的印证。

在网络身份与现实身份是否同一的认定上,《电子数据证据规定》指出相关IP地址、网络活动记录、上网终端归属也属实核查内容,这是从逆向的角度审视,即客观的信息或痕迹能够证明,操控网络身份的上网时间、上网地点和上网终端设备,当时间、地点、设备确定后,使用该设备的具体行为人也会随之浮出。从正向的角度审视,行为人首先要使用电子设备,其次通过该电子设备登录特定的网络账号,最后进行相关操作。这个过程中,使用电子设备可能面临解锁,登录特定的网络账号会面临再次验证,登录后的操作会留下数据痕迹,而人脸识别、指纹识别、声纹识别等技术方法的运用,或者特定通讯设备接收的验证码方式,基本可以排除他人冒用的可能,因此,即便没有言词证据佐证,基于虚拟空间电子数据环环相扣的印证,特别是生物识别技术的运用,完全可以做到网络身份与现实身份的同一认定。

行为人与存储介质关联性的认定,可能存在两种类型,一类是独立的存储介质,如U盘、存储卡、移动硬盘等,此时的关联性判断与传统物证并无太大区别,但如果存储介质设有密码或需要指纹等识别解锁,则可以更直接建立存储介质与行为人的关联;另一类是电子设备中的存储介质,如计算机、手机等,若存在特定的登录或解锁方式,则同样可以证明与特定的行为人关联。

上述情形中,缺乏言词证据并不导致同一性或关联性不能认定,因而结合言词证据进行综合审查判断并非都确有必要,但从排除合理怀疑的角度考察,若依据电子数据直接作出认定,亦应当允许犯罪嫌疑人、被告人提出相反的证据,并对其辩解进行必要的查证,现行证据审查规则对此有所缺失。

(五)证据开示不充分可能形成控辩双方信息不对称

现行 《电子数据证据规定》对于电子数据证据开示并未涉及,也许在制定者看来,这并不是问题,因为《刑事诉讼法》第40条已经规定,辩护律师自人民检察院对案件审查起诉之日起,可以查阅、摘抄、复制本案的案卷材料。其他辩护人经人民法院、人民检察院许可,也可以查阅、摘抄、复制上述材料。电子数据作为法定证据种类,当然在开示之列,然而现实并不尽然。

一方面,办案机关并不主动开示电子数据本体。对于已经扣押、封存的原始存储介质,基于保管的要求,并不向辩护方开放数据访问权限;对于提取的电子数据,通常也不提供数据访问或电子数据的复制件。为便于检察官、法官对案件证据的审查,侦查机关往往以打印、拍照的方式呈现电子数据的内容;无法以纸质方式呈现的证据内容,如视频数据、软件数据等,一般以光盘刻录方式随案移送复制件;对于一些网站运行环境数据,如网络诈骗的平台运行环境、手机应用软件等,在打掉犯罪团伙的同时,也摧毁了网络运行环境,之后的证明往往靠言词加以描述。鉴于辩护方可通过纸质案卷材料知悉证据内容,故办案机关并不主动开示数据本体;对于视频等不能通过纸质方式呈现的证据内容,一般也是在辩护方申请后安排观看或提供复制件;而一些无法恢复的网络运行环境,则成为电子数据取证的盲区,更遑论证据开示。

另一方面,辩护方也很少要求办案机关开示电子数据。对于证据量少的,可以阅看打印件、拍照件,对于证据量大的,如电信网络诈骗案件的平台数据、后台数据、用户数据、资金流动数据以及相关涉案人员使用的手机、电脑等,由于数据量巨大,如果完全复制需要的存储介质资金成本就相当高,办案机关难以免费提供,辩护方也没有自费解决存储介质的意愿,进而形成了只审查电子数据呈现内容,不审查电子数据本体完整性、真实性的现状。这种模式下,很难发现电子数据存在的问题,也很难在法庭上进行充分的质证。

从电子数据对待证事实的证明看,数据表层呈现的内容仅仅是证据的部分信息,如果只截取此部分内容,电子数据无异于是传统证据种类的数字化,换言之,就是将书证、视听资料等转化为数字形式而已,但电子数据的信息量绝不止这一层,它还包括数据存在的软、硬件环境,数据在生成、存储、传输过程中形成的附属信息和数据痕迹,数据的完整性校验值、数字签名、数字证书等唯一性标识等,这些证据信息对判断电子数据的完整性、真实性,证真或证伪有着极高的价值,因而,对电子数据的审查判断和法庭质证只停留于表层表达的信息是远远不够,但现有的证据制度并没有针对电子数据的特点,创设不同于传统证据的证据开示路径,进而影响质证的质量。

(六)大数据背景下电子数据检验鉴定方法的有待变革

《电子数据证据规定》虽然注意到电子数据与传统证据的一些差异,将着眼点定位到数据载体、数据本体、数据内容三个层面,并通过制定一系列审查判断规则来解决证据能力问题,但对大数据背景下电子数据证明方式可能出现的变革,现行的电子数据证据制度还有“信息孤岛”的痕迹,换言之,还是将案件的电子数据仍当成传统证据,先通过逐份审查,检视单个的电子数据的证据能力和证明力,再通过综合审查判断,确认对待证事实的证明。如果案件的电子数据量不大,传统的审查方法尚可以应对;但如果案件中有海量的电子数据,再按照现行的方式去审查判断证据,几乎没有可行性。刘品新教授曾调研并提出大数据证据的概念,认为从技术原理上讲,大数据变身证据通常要经过三个环节:第一步是汇总数据并进行数据清洗,第二步是建构分析模型或机器算法,第三步是进行运算形成分析结论。这一过程结束后,就会产生大数据证据。

由此可见,在大数据背景下,将收集的电子数据作为整体,再运用一定技术方法,从数据中抽取出有证明价值的信息,并形成分析报告,是对现行证明方法的一种颠覆性变革。与传统的人工审查和分析对比不同,这种证明方式是由机器完成的,人的智慧贡献只体现建模和确定算法上,现行《电子数据证据规定》仅在第26条第4款规定:对电子数据涉及专门性问题的报告,参照适用前三款规定。即将此问题纳入检验鉴定范围,试图参照鉴定意见的审查方式解决大数据分析报告问题,然而分析报告与鉴定意见所适用的规则和依据完全不同,参照鉴定意见的审查方案存在不合理的因素。

三、完善我国电子数据证据制度的建议

(一)重构电子数据取证规则

在检视扣押原始存储介质的必要性后,笔者认为,将电子数据的取证原则修改为 “以提取电子数据为原则,以扣押存储介质为补充,以打印、拍照、录像等方式固定为例外”更为妥当,理由是:

1.电子数据以提取数据本体为取证原则、以提取载体为补充,符合证据特点

从取证的实际操作看,与犯罪有关的电子数据基本上都需要在提取后再分析,而分析是禁止在原始存储介质上直接进行的。目前,提取电子数据主要使用获取的方法,分为镜像获取和特定数据获取两种。镜像获取是对源存储介质的逐比特位的复制。镜像获取是一种静态获取,可以提取到所有的数据,包括已被删除或隐藏的文件,实现对原始驱动器每一个比特的精确镜像。由此可知,即便扣押了原始存储介质,也需要提取电子数据后再进行分析比对,同时镜像获取技术也完全能够做到精准复制,从而保证数据的完整性、真实性。当技术不成为障碍时,电子数据取证的重心应放在依法、规范、及时收集电子数据本体上,而不应固守载体优先的旧观念。

当然,舍弃以扣押存储介质为原则,也意味着在部分案件中只有提取的电子数据作为证据,一旦取证的法定程序或技术方法出现失误,会造成证据灭失的风险。为防止风险的发生,一方面,需要完善取证规范。例如对提取电子数据的源介质的唯一性特征要通过笔录和录像记载,并由数据持有人签名确认;提取过程既要遵循法定要求,又要遵循技术规范,同时以录像或录屏的方式记载,确保发生争议时能够证明数据的来源和再现提取过程,确保获取数据的完整性、真实性;对已提取的电子数据在后续的保管、使用过程中要有记录,确保数据不被污染。等等。另一方面,需要完善瑕疵证据的范围,以提高侦查人员的取证规范意识,笔者将在后文中专门探讨。

2.在特定情形下扣押存储介质可以成为法定要求

现行取证规则使用的 “原始存储介质”概念,笔者认为不甚严谨,也与现实情况相悖。“原始存储介质”往往意味着最初存储数据的介质,也往往只有一个,对于复制件、经网络传输后接收的转发件等能否归于“原始存在介质”可能产生认识上的分歧,尤其是网络环境下,多人共同参与完成的电子数据,每个人对数据都有贡献,此时原始存储介质已变得十分模糊。因此,对于存储介质扣押不宜突出必须是原始的,事实上有时也难以区分原始存储介质。

对是否需要扣押存储介质,笔者认为应坚守法定主义立场,不宜突破现行法律的规定而在证据制度中越界授权。法定扣押存储介质的情形包括:根据《刑法》第64条规定,违禁品和供犯罪所用的本人财物,应当予以没收。鉴此,犯罪嫌疑人用于犯罪的相关电子设备,包括设备的存储介质都属于依法应当没收的范围,对此类设备、存储介质予以扣押,既便于判决后依法没收,同时也给诉讼证明提供了双重保障。实践中,电子数据作为核心证据的案件,犯罪工具必然与数据生成、存储、传输存在关联,因而,即便以提取电子数据为取证原则,在绝大多数案件中也会扣押电子设备及存储介质,不会对诉讼证明产生任何不当的影响。根据《刑事诉讼法》第141条的规定,在侦查活动中发现的可用以证明犯罪嫌疑人有罪或者无罪的各种财物、文件,应当查封、扣押。此时存储介质具有双重证据性质,一是案件的物证,二是电子数据的载体。在其作为物证扣押后,电子数据载体的性质也不会发生变化。

除法定扣押之外,笔者认为,收集电子数据证据不宜任意拓宽扣押存储介质的范围,因为这涉及对公民财产权利的限制,如确有必要,也应当在立案后经批准方可实施,同时还应当明确返还的相关要求。

3.电子证据的固定方法需留有必要的空间

现行取证原则将打印、拍照、录像等方式作为补充固定证据的形式,与扣押或提取并存。但笔者认为,从逻辑关系上看并不协调,如果有电子数据已经收集在案,那么打印、拍照、录像只是电子数据的一种呈现形式,即使打印、拍照、录像在前,提取电子在后,其本源仍是电子数据,现行电子证据取证原则混淆了证据固定方式与证据呈现方式的界限,这极易造成数据本体取证不到位的后果,因为将打印、拍照、录像作为固定证据的方式,就意味着该电子数据证据已经获取并固定在案,电子数据本体还取不取,要不要规范的取,可能已不受重视了。事实上这种呈现方式并不能反映电子数据证据信息的全貌,因而并不是最理想的获取。打印、拍照、录像的固定证据方式,是在极端情形下,不得已而采取的取证措施,如电子数据有自毁功能或装置,电子数据在内存或网络传输中的数据等,这些极端情形下,一旦关闭设备或断网,电子数据就可能灭失,如果不采取打印、拍照、录像的方式,就难以将证据呈现的内容及时固定,因而,当电子数据以打印、拍照、录像的方法呈现时,也就意味着数据本体是无法获取的。

(二)完善和建立证据排除规则、推定规则和失权规则

完备的证据排除规则不仅是证据制度的组成部分,而且对证据收集提取、审查判断起到规制作用。现行《电子数据证据规则》只有两条排除规则,即第27条瑕疵证据不能补正或合理解释的排除规则,涉及3种具体情形;第28条证据真实性存疑的排除规则,涉及2种具体情形,排除规则存在很大的局限性,一些空白地带亟待改进。

1. 明确非法电子数据证据的范围

《刑事诉讼法》第56条规定的非法证据排除规则,对言词证据和客观证据采用了不同的排除标准,非法收集的言词证据绝对排除,收集的书证、物证采相对排除,即只有在不能补正或者作出合理解释时才予以排除。然而第56条中列举的客观证据未包含电子数据,那么电子数据是否也可以参照书证、物证设定相应的排除规则,司法实务界的观点是:强制侦查措施、技术侦查措施只有在刑事立案后才能采取,故而,初查过程中采取上述侦查措施收集、提取的电子数据不具有合法性,应当依法排除。2020年9月修正的《公安机关办理刑事案件程序规定》第71条第2款也持相同看法。在确立可以参照书证、物证作相对排除的前提,则需要界定非法证据的具体情形。

非法证据的非法性,主要体现取证过程和取证结果两个方面,即取证过程不符合法律规定,取证结果严重侵犯被取证对象的人身权利、财产权利。在电子数据证据的收集上,从获取对象看,可以分为从被调查对象或犯罪嫌疑人处获取和从被害人或者第三方数据持有人处获取;从获取时间看,可以分为立案前获取和立案后获取;从获取手段看,可以分为通过任意侦查措施获取和通过强制侦查措施获取。

对于从被害人或者第三方数据持有人处获取的电子数据的,笔者认为,在立案后,原则上可使用强制侦查措施获取。《刑事诉讼法》第54条规定,人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。就如同凡知道案件情况的人都有作证义务一样,持有案件证据的第三方(包括被害人)都有提供证据的义务。刑事诉讼法已经明确,除被告人的配偶、父母、子女外,对其他证人可以强制其出庭作证,同理,对于电子数据的持有方,如拒绝提供,也可以采取扣押措施,《刑事诉讼法》第141条规定的应当查封、扣押的物证、书证也并没有限定于系犯罪嫌疑人所有的物证或书证。但可以适用强制侦查措施不意味着可以不分对象、不加限制地使用。其一,基于被告人的配偶、父母、子女可免除强制作证的义务,那么同样也应当免除其提供电子数据证据的义务,若使用强制侦查措施而获取,应判定为非法证据。其二,对强制侦查措施种类应当限制,电子数据的取证方式包括扣押存储介质、提取电子数据(包括现场提取、网络在线提取、网络远程勘验提取、技术侦查提取)、冻结电子数据、拍照、打印、录像方式固定等,笔者认为,对以网络远程勘验、技术侦查方式获取的电子数据应列入非法证据,因此类强制侦查措施严重会侵犯调取人的人身和财产权利,具体理由后文分析。其三,使用强制侦查措施应当在刑事立案后,立案前应当禁止使用,举重以明轻,对于犯罪嫌疑人若采取强制侦查措施都需要在立案后才能实施,更何况针对证据的持有人。若立案前采取侦查强制措施而调取电子数据的,应判定为非法证据。

对于从被调查人或犯罪嫌疑人处获取电子数据的,笔者认为,需要结合立案的时间、强制侦查措施的种类、对人身财产权利的限制,综合判断是否属于非法证据。

第一,立案前获取的电子数据,若属强制侦查方式收集,应判定为非法证据。如通过扣押被调查对象存储介质而获取的电子数据,由于扣押属对被调查人财产权利的限制,电子数据系违法扣押而获取,故应认定为非法收集。实践中,争议较大的是对强制侦查措施种类的界定,在电子数据取证中,有些侦查方式是任意措施还是强制措施,确有一定的模糊性,如勘验措施,《公安机关办理刑事案件程序规定》第71条将其列入任意侦查措施范围,电子数据取证方式也包括网络远程勘验,但从网络远程勘验的定义看,已是对远程计算机系统的进入和数据提取,这种勘查方式,表面上没有构成对人身、财产权利的限制,实际上已经在被调查对象不知不觉控制或提取了电子设备及其数据。笔者认为,网络远程勘验应归入强制侦查措施为宜,现实中,若要获取被调查对象的电子数据通常有两个路径,第一种是进入被调查人员的住所,在电子设备中提取电子数据,这种方式会涉及宪法对公民住宅权利的保护,无疑会被作为强制侦查措施对待;第二种是通过网络方式进入公民的计算机系统,表面看没有破门而入,实际上比破门而入更具有对公民权利的侵犯,此时的网络连接就好比是进入住宅的秘密通道,计算机指令就好比是打开通道的钥匙,人虽然没有进入被调查对象居住的物理空间,但计算机和网络已经作为肢体的延伸进入到该空间,而且实现了与进入物理空间相同的效果,此时从保障公民住宅不受侵犯看,此种侦查措施应归入强制侦查措施范围,未经依法批准不得实施。故若在立案前实施网络远程勘验获取电子数据,应判定为非法证据。

第二,在刑事立案前,虽然未使用强制侦查措施,但获取的电子数据已构成对公民宪法权利的侵犯,此时基于程序正当和保障人权,应判断该电子数据为非法证据。比较典型的是以调取或查询方式在立案前收集公民通信信息,由于通信自由和通信秘密是公民宪法权利,未经法定程序不得检查和收集,此时即便采用任意侦查措施也应加以禁止。

第三,未经批准实施技术侦查措施获取的电子数据应判定为非法证据。《刑事诉讼法》第150条规定,采取技术侦查措施,需要经过严格的批准手续。《公安机关办理刑事案件程序规定》第174条规定,调查核实中不得使用技术侦查措施,因此,在立案前使用,和立案后未经批准使用,所获电子数据证据均为非法证据。

综上,笔者认为,调取电子证据的诉讼行为如果有下列情形之一的,视为非法电子数据证据予以排除:(1)刑事立案前,收集提取的电子数据侵害被调查人宪法权利的。(2)刑事立案前,使用强制侦查措施收集的电子数据;网络远程勘验视为强制侦查措施。(3)无论立案前后,通过强制侦查措施从犯罪嫌疑人配偶、父母、子女处获取的电子数据证据。(4)违法使用技术侦查措施收集的电子数据。上述非法证据若不能补正或者作出合理解释,则不能作为定案根据。

2.明确瑕疵电子数据证据的范围

电子数据从收集提取到向法庭出示有一定的时间间隔,作为案件证据期间也必然涉及其证据能力、证明力的审查判断,涉及电子数据检查或侦查实验、涉及专门问题的检验鉴定等,因此,电子数据的来源、特征、使用和保管链条均要有清晰的记载,以利鉴真。现行电子数据证据对瑕疵证据范围的设定总体可行,只是在电子数据提取环节的制度安排上稍有不足。

从存储介质或者网络环境中提取电子数据,既有法定程序的要求,也有技术规范的要求,而现有的见证人制度很难起到见证作用,因为专业性强,有时还存在取证时间长,见证人很难对电子数据的特征和完整性、真实性表达见证所见,因此,对于提取电子数据的过程应以全程录像的方式替代见证人见证,以确保电子数据来源清楚,数据特征记载明确,提取过程能够重现。对于提取的电子数据,若无提取过程全程录像,或者录像不全面、不完整,应列入瑕疵证据范围。

在取证技术层面,若未遵循技术规范,或遵循的技术规范错误,或技术规范已被修改,或遵循的技术规范与实际操作不符,由此可能对证据完整性、真实性的产生疑问,此类情形也应归入瑕疵证据范围,不能补正或合理解释的,不能作为定案的根据。

3.结合电子数据的证据特点,建立相关的推定规则 

推定是一种根据所证明的基础事实来认定推定事实成立的方法。其中,基础事实的成立,是认定推定事实成立的前提;而推定事实的成立,并不是根据基础事实所直接推导出来的结论,而是法官运用推定规则所作的法律认定;在基础事实与推定事实之间,并没有建立必然的因果关系,而可能存在一种逻辑推理上的跳跃。在电子数据与行为人关联性的认定上,有必要建立相应的推定规则。

对于存储介质中的电子数据,该存储介质的实际操控人即与电子数据具有关联性。如果对该存储介质的操控还需要进行验证的话,那么非行为人而不得知的验证方法以及通过验证的手段,即可以直接证明行为人与数据的关联,此种情形下已经完成司法证明而无须推定。但操控存储介质若无须验证或验证方式、手段不具有秘密性、唯一性,此时存储介质的实际控制人与电子数据有无关联就存在不确定性,若无其他证据证实,往往会陷入证明僵局,笔者认为,可从数据载体与数据内容两个层面设定推定的基础事实,在数据载体上,需要证明存储介质由行为人控制或持有;在数据内容上,通过证明行为人的文化水平、认知范围、既往经历、从业状况等,判明行为人与数据内容是否具有盖然性联系,进而推定行为人与电子数据是否具有关联。当然在适用推定证明待证事实中,要允许犯罪嫌疑人、被告人提供反证或进行辩解,以排除合理怀疑。

对于网络环境中的电子数据,一般而言,能够操控电子数据的网络用户与该数据具有关联性,即网络身份与现实身份的同一认定,是通过对网络数据来源追踪而认定的,从证明要求看须具备:(1)网络电子数据被已查获;(2)能够操控该电子数据的上网终端已查明;(3)上网终端设备的操控人员已查明;(4)网络用户的注册信息已查明;(5)设备操控人员与网络用户之间的关系已查明。当这些事实得到证明后,网络电子数据的操控人与现实中的行为人才能作出同一认定。但笔者认为,若已查明操控网络数据的终端设备,或已查明能操控数据的用户注册信息,此时,可以按照上述的思路确定证明方式和推定规则。

4.改进电子数据证据的开示方式,建立证据失权规则

提供数据本位或电子数据访问机会,是电子数据证据开示的应有之义,不提供数据本体或数据访问机会,就无法全面地审查证据,更难以保证质证的效果,即便证据有重大问题,也难以发现和纠正。在证据开示方式上,可根据证据量大小和被告人数多少而有所区别。

对于电子数据证据量小、被告人数少的案件,办案机关可将电子数据精确复制,向辩护方提供只读光盘的复制件,这样不会增加太多的工作量和办案成本,符合诉讼的经济和效率要求。

对于电子数据证据量大、被告人数多的案件,可以通过购买网络服务或者自行建立网络服务的方式,将电子数据证据存放于网络服务器,向辩护方开放数据访问。在技术措施上,可借鉴冻结数据的办法,只提供数据访问和查看,不提供数据写入。这样既保障辩护方能够全面查阅案件的电子数据证据,又不过多地增加办案的成本。

为确保电子数据证据的充分开示,可考虑设计证据失权制度。即未在庭前向辩护方开示案件电子数据证据,禁止该证据在法庭上出示,除非该证据有利于被告人。由此改进目前开示不理想、质证不充分的问题,推进证据裁判原则的落实。

(三)建立大数据证据审查的咨询规则

实务中出现的一些海量电子数据证据的案件,按传统的证据审查方法需要耗费大量的时间和精力,如某检察机关指控的一起涉案金额达1亿元的电信诈骗案,公安机关在抓获现场依法扣押若干台涉及电脑、手机,随后提取了上T规模的电子数据,形成了对三个方面待证事实的证明:第一,证实该诈骗集团的组织框架和人员分工;第二,证实各被告人具体参与事实以及欺骗对象;第三,证实资金的非法占有和转移。该案被提起公诉的共有32名被告人(不包括分案处理人员),且部分被告人拒绝供述,为查明各被告人的参与事实和参与金额,案件承办人对获取的电子数据进行了全面审查,以查清数据的内容,数据与数据之间的关系,数据与行为人的关联,案件从侦查到开庭审理历时2年有余。

近年来类似较大规模的网络犯罪已非个例,而海量的电子数据已成为核心证据之一,若仍采用传统的审查方法显然难以应对,基于对海量数据分析所形成的各类报告,成为案件待证事实最简洁、最明确的证明依据。而各种名样的分析报告并不是电子数据,但又与电子数据证据密切联系,是对在案电子数据的综合分析结果,并对待证事实起到证明作用。此时的证明方法已经由电子数据证据—待证事实,演变为电子数据—分析报告—待证事实,其中增加的分析报告,与电子数据检查有相似之处,但又有本质的区别,电子数据检查是通过恢复、破解、统计、关联、比对等方式进行检查,将收集在案电子数据提炼出与待证事实有联系的部分,简单地说,检查是一种筛选,将有证明价值的电子数据从扣押的存储介质或提取的电子数据中找出,它不涉及复杂的数据处理,只是简单的数据甄别。分析报告也不同于电子数据的检验鉴定,检验鉴定是针对电子数据涉及专门性问题难以确定时,由专门机构的专业人员进行检验鉴定,可能是鉴定电子数据有无被污染,也可能是鉴定某一软件是否具有某种功能等,而分析报告并不解决专门问题,它只解决电子数据的分析以及分析数据后能得出的结果。

由电子数据—分析报告—待证事实的证明过程,分析报告起着承上启下的连接作用,因此分析对象、分析依据、分析思路、分析过程、分析结果均成为证据审查的对象,这些环节,无论哪个节点出现失误,都有可能影响分析结论的成立,而基于建模、算法、人工智能等形成的分析论证方法,司法人员不懂,更难发现其中的问题,若这种推演方法轻纵犯罪嫌疑人,显然不会提出异议,但可能出现重罪重刑轻判的后果;若不利于犯罪嫌疑人,当提出异议后,司法人员也无从甄别真伪。为解决分析报告在刑事诉讼中的可采性问题,笔者认为,可设立大区的国家级电子数据证据司法运用专家库,为大数据证据审查提供智力支持。具体而言,由专家充当证据审查辅导人的角色,对作为证据使用的大数据分析报告,从专业技术角度分析可采信性并提供专家意见,若数据分析报告的制作人与专家的意见不一致,办案机关应采取同时听取意见的方式,通过异议双方的相互发问和相互辩论,决定数据分析报告的取舍。

在审查大数据分析报告中,办案机关应当通知辩护律师到场,并允许辩护律师向分析报告制作人和辅助审查的专家发问。犯罪嫌疑人、被告人及其辩护方对分析报告有异议的,可以阐明异议的理由和依据,申请办案机关委托其他机构重新分析电子数据,办案机关可委托专家评估有无重新分析的必要。

总之,在完善电子数据证据制度中,要有一定的前瞻性,既要对新事物、新方法有包容的态度,又不能迷信盲从,通过借助外力、外脑,科学、严谨地审查大数据证据的证据能力和证明力,新的证据制度应当为新事物、新方法的运用,设计规制措施或者提供审查方式,使证据制度充满活力并能够适应发展之需求。

声明:本网部分内容系编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请联系我们,我们将在第一时间处理! 转载文章版权归原作者所有,内容为作者个人观点本站只提供参考并不构成任何应用建议。本站拥有对此声明的最终解释权。

我国电子数据证据制度的若干反思

发布时间:2021-02-01 浏览:345次

《中国刑事法杂志》,2020年第6期。

作者:奚玮,安徽师范大学法学院教授,安徽省律协刑委会副主任,北京盈科(芜湖)律师事务所刑辩中心主任。

摘 要:我国现行电子数据证据制度着眼于收集提取和审查判断两个视角,围绕证据的真实性、完整性、合法性、关联性设计了相关规则。但传统的最佳证据规则在电子数据领域是否仍可以无差别的适用,见证制度面对专业性极强的电子数据提取还能否发挥见证作用,电子数据取证措施未加区分而引发非法证据判断的模糊化,关联性判断尚未充分体现电子数据的证据特点,大数据情形下证据审查的颠覆性变化等诸多值得关注的问题,在现行证据制度下还未能很好地解决。故有必要重新建构取证规则,完善排除规则,建立推定规则、失权规则、咨询规则。

关键词:电子数据 证据规则 电子证据调取 电子证据审查 判断规则

计算机和信息网络技术的迅猛发展,带来了诉讼证明方式的深刻变革,电子数据以一种全新的证据种类进入诉讼领域,并对案件待证事实发挥着越来越重要的证明作用。有论者指出,据不完全统计,刑事案件中使用电子数据证明案件事实的比例已经超过四分之一。在电子数据证据改变着传统诉讼证明方式的同时,与此相伴的证据制度改进与完善也显得尤为迫切。2016年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据证据规定》)、2019年《公安机关办理刑事案件电子数据取证规则》(以下简称《取证规则》)的颁行,为规范电子数据证据的收集提取和审查判断提供了一系列规则。检审运行情况评估效果也显得有所必要。笔者试就此问题进行一些分析探索,为电子数据证据制度的改进与完善献计献策。

一、我国电子数据证据制度体系及其特点

2012年《刑事诉讼法》修改之前,相关的司法解释为了适应电子化的实践需求,对电子证据予以立法上的认可。2012年修订的《刑事诉讼法》将电子证据法定化,2012年12月最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第93条、第94条对电子数据审查判断和排除规则作了规定,形成电子数据证据审查制度的雏形。《电子数据证据规定》和《取证规则》的颁行,进一步完善了电子数据证据制度并促使电子证据制度形成了一定的体系。其特点如下:

(一)电子数据证据制度的基本框架已经形成

《电子数据证据规定》以一般规则、收集与提取、移送与展示、审查与判断、附则共五个部分搭建起制度框架,集取证规则、审查规则、排除规则于一体。其中收集与提取侧重于电子数据的取证,规定了提取对象、固定方式、取证措施、过程要求等,针对电子数据的证据特点,还规定在证据提取之后,需要将数据与待证事实建立联系的措施,因为提取的数据可能是庞杂的,真正与待证事实有联系只是部分,于是规定对非专门问题的可以通过电子数据检查、侦查实验等方式解决证明力问题,对专门性问题可以通过检验、鉴定的方式解决证明力问题。《取证规定》在此基础上又进行了进一步细化。移送与展示部分主要规定证据在办案机关之间的移送以及侦查机关对证据展示的协作要求,此时已经完成取证,但尚未开展审查,故此部分不涉及证据规则的运用。审查与判断部分,从电子数据的真实性、完整性、合法性、关联性四个方面提出审查内容要求,与取证规则前后呼应,其中电子数据完整性审查,是不同于传统证据“三性”审查的独特的内容,数据完整性同时又与真实性紧密相连,只有数据完整,真实性才能有所保证,而数据完整性有疑问,必然会影响到真实性的判断,除非该不完整性本身恰恰是待证事实证明之需要,如证明行为人对电子数据进行了篡改、剪辑,此时数据的不完整性恰能证明数据被篡改、剪辑的事实。

(二)确立了电子数据取证规则

《电子数据证据规定》确立“以扣押原始存储介质为原则,以提取电子数据为例外,以打印、拍照、录像等方式固定为补充”的取证规则。电子数据证据与传统证据的显著差异在于,数据本体的生成、存储、传输需要依赖于计算机系统的硬件、软件环境,这就导致存储数据的原始介质不仅可以证明数据本体的来源,还可以证明数据本体生成、存储、传输中留下的数据痕迹,进而有助于判断数据本体的完整性、真实性,同时还能够实现电子数据与特定人的关联性的证明,即原始存储介质有着“双联性”特点,一方面它承载着数据本体,另一方面它又能与介质的持有人形成关联性,实现由物到人的证明。正因如此,将扣押、封存原始存储介质作为取证原则受到规则制定者的青睐。同时,扣押、封存原始存储介质也似乎是最佳证据规则下的必然选择,依最佳证据规则,书证应当是原件,物证应当是原物,复制件、复制品的证明力受到严格的限制,以避免证据失真风险。扣押、封存原始存储介质正是传统证据法原始证据优先的一种重要体现。

《取证规则》第7条规定的五种取证方法,是获取电子数据的方式,而非侦查措施。虽然扣押、封存带有侦查措施的性质,但在本条规定的语境下,仍然是取证方式,至于每种取证方式能够对应哪一种或哪几种侦查措施,现行证据制度并未明确,由此也带来实践中的一些争议,后文再具体分析。在坚持取证环节原始存储介质优先的同时,现行取证规则从实际出发,规定无法扣押原始存储介质时,以提取电子数据作为替代方案。实际上,能扣押原始存储介质的,应当扣押原始存储介质,只有无法扣押原始存储介质时,才能退而求其次,以提取电子数据的方式替代。从某种意义上来说,也是对以提取方式固定电子数据的限制。至于以打印、拍照、录像等补充固定证据的方式,是针对电子数据可能存在灭失风险或需要及时展示等特定情形的,故而只能作为一种补充形式而存在。

从取证规则看,一是强调数据载体和数据本体必须来源清楚。对此明确以笔录、清单的方式,记明数据载体的特征,尤其是唯一性特征;记明数据本体的特征,尤其是电子数据完整性校验值、数字签名、数字证书等可以识别其唯一性的特征。二是强调获取数据的过程必须清楚,取证的侦查人员、数据的持有人、见证人需要在笔录、清单上签名或盖章,没有见证人的,应当予以录像。根据《取证规则》,除网络在线提取电子数据、冻结电子数据、调取电子数据无须见证人见证外,其他首次获取数据环节,包括扣押、封存原始存储介质、现场提取电子数据、网络远程勘验提取电子数据,均要求有见证人见证。三是强调取证行为既要符合法定程序,又要遵循技术规范。

(三)确立了电子数据审查规则

从数据载体、数据本体、数据内容三个层面设定了相应的审查规则,核心是确保数据的真实性、完整性。从审查规则看,现行证据制度将电子数据的真实性审查作为核心。在审查内容上体现为:一是对原始存储介质的审查,包括来源、特征、使用和保管链条的全面审查,以判明存储介质及其承载的电子数据是否完整、真实。二是对数据本体的审查,同样包括来源、特征、使用和保管链条,判明有无在使用、保管过程中受到污染,数据本体是否真实、完整。三是对数据内容真实性进行审查,即通过与其他在案证据是否相互印证,判明内容真实与否。在审查规则上保留了很深的最佳证据规则印记,突出原始存储介质的证明力,当采取提取电子数据方式固定证据时,必须要注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源。在采取打印、拍照、录像补充方式固定证据时,仍然强调能扣押原始存储介质的应当扣押,能提取电子数据的应当提取。在关联性审查上,采取客观证据与言词证据相结合的综合审查判断规则:一是网络身份与现实身份的同一性认定,即落地查人,可通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断;二是行为人与存储介质的关联性,即由物到人,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。关联性审查规则遵循“电子数据—终端设备(存储介质)—行为人”的证明过程,而终端设备(存储介质)与具体的人能否形成关联性则有赖于言词证据。

(四)确立了电子数据的排除规则

《电子数据证据规定》确立了两条排除规则。其一,真实性存疑的予以排除。真实性是证据具备证明力的首要条件,电子数据未经查证属实不得作为定案根据。查证属实包括两层含义:从形式上看,证据来源是否存疑、证据保管链条是否完整;从实质上看,证据内容是否真实。《电子数据证据规定》将“电子数据系篡改、伪造或者无法确定真伪的;电子数据有增加、删除、修改等情形,影响电子数据真实性”等,明确予以排除。当然,这种排除不属于非法证据排除,而是证据真实性高度存疑、证据不具有证明力而排除。同时对排除的理解应限于不能根据证据内容证明案件的待证事实,若篡改、伪造或增加、删除、修改等污染证据行为,经查证属实,该电子数据对妨害诉讼证明的行为仍有证明价值,不应一律排除。其二,瑕疵未经补正或合理解释的予以排除。用结果证据支撑事实主张之成立,用过程证据确保结果证据之证据能力,是对证据真实性的重要保障。与传统实物证据的排除规则一致,电子数据的来源、收集程序等过程有疑问、不能补正或合理解释的不得作为定案根据。《电子数据证据规定》将“未以封存状态移送的;笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;对电子数据的名称、类别、格式等注明不清的”等列入瑕疵证据范围。此点表明,电子数据取证程序不规范,导致来源有疑问(非来源不清、真伪不明)的;电子数据在形式上识别,唯一性特征不清的;电子数据的保管链条缺乏过程证明的,若不能补正或合理解释,则应予以排除。此类证据被视为证据能力待定的证据,其本质特征在于获取证据的违法情节的轻微性,是否具有证据能力,取决于瑕疵能否得到补正或者作出合理解释,只有补正的合法性和解释的合理性得到实现,方可消弭轻微违法的瑕疵。《刑事诉讼法》在非法证据排除的制度安排上,规定“收集物证、书证不符合法定程序,可能严重影响司法公正的,应当予以补正或者作出合理解释;不能补正或者作出合理解释的,对该证据应当予以排除”。法律条文中物证、书证之后没有“等”字,故从立法上看并没有将非法收集的电子数据作为相对排除的对象,《电子数据证据规定》也未涉及对非法证据的界定及排除规则,从人权保障和程序正当视角考察,应属将来需要改进和完善之处。

二、我国电子数据证据制度运行中的几个问题

与传统的实物证据相比,电子数据的证据形态迥异,传统的实物证据以人能直观感知的形态存在,如书证、物证所呈现的内容或物理特征,但电子数据若不借助于一定的软、硬件环境或通过这种环境以打印、拍照、录像的方式转化,则无法呈现其内容,电子数据不能独立于生成、存储、传输环境而存在,但又可以从其依附的载体中进行精准的镜像复制,这种特点决定了电子数据的收集提取、审查判断、证明方法均与传统实物证据有较大的差异,具体来说:

在收集提取上,传统原件、原物的概念并不适用于电子数据。《电子数据证据规定》第1条第2款列举的电子数据的形态进行了列举,但无论以何种形态出现,其背后都离不开生成、处理、存储、传输等一项或多项操作,以网络平台发布的信息为例,该信息在平台发布之前,必然会有信息编辑行为,即通过电子设备(如计算机、手机、平板电脑等)制作拟发布的信息,在信息生成的过程,电子设备当然地会留下相应的数据痕迹。在信息发布过程中,也必然会伴随数据的传输。如果网络平台发布的信息是需要收集的案件证据,那么发布该信息的注册用户、发布者的网络IP地址等附属数据信息也同样需要收集,并由此追踪该信息来源的电子设备;再通过电子设备的网络IP地址或操作痕迹,确认与发布信息的关联;最后通过设备的操作者,确定待证事实与行为人的关联。这个收集证据过程,实物证据的原件、原物概念已不在重要,取而代之的是对电子数据最终形态以及形成过程的取证。

在审查判断上,最佳证据规则并不适用于电子数据。传统实物证据通过严格限制复制件、复制品的证明力而保证证据的真实性,但电子数据的真实性判断完全可以通过技术方法加以解决。电子数据对待证事实的证明,绝大多数情况下是通过数据表达的内容或数据特有的功能实现的,如文档的内容、软件的功能等,但除去这部分表层信息外,电子数据还包括特有的附属信息(如数据生成、修改、存储、传输的记录)和操作过程留下的数据痕迹(如系统日志),这些信息和痕迹也是电子数据本体的组成部分,且有些是电子设备自动记录的,这一特征决定了对电子数据真实性的判断,完全可以脱离传统实物证据的最佳证据规则,依据电子数据的附属信息、数据痕迹并辅之以必要的技术方法,实现对证据真实性的判断。

在证明方法上,有观点认为,电子数据对待证事实的证明有双层印证体系。第一层是物理空间的证据体系,即根据若干份电子证据与传统证据相印证来认定案件事实,从数量上看,这一体系的构成需要两份以上的证据(其一是电子证据);从质量上看,这一体系的构成需要证据之间具有印证性或一致性。第二层是虚拟空间的证据体系。即若干份电子证据相印证,构成虚拟空间的证据锁链,又可进一步划分为网络空间的印证体系与单机空间的印证体系。网络空间的印证体系即为:网络空间中各电子设备被视为不同的节点,行为在不同的节点上留下相关的电子证据,当获取不同节点上的电子证据,且能相互印证的,就构成了虚拟空间的证据体系。单机空间的印证体系即为:数据电文证据所基于的操作软件系统、文档存储系统会同步产生关联痕迹,数据电文证据、附属信息证据、关联痕迹证据是由不同的软件系统或者存储系统产生的,有的附属信息和关联痕迹从技术上讲是不可能伪造或极难伪造的,因此可以根据它们之间的印证来认定某一案件事实。因此,从技术角度分析,电子数据对待证事实的证明有不同于传统证据之处,如能建立虚拟空间的证据体系,同样可以满足诉讼证明的要求,且可以不依赖传统证据的印证。

鉴于电子数据证据完全不同于传统的实物证据,且在刑事案件的证明上发挥着越来越重要的作用,故引起了实务界和学术界的广泛重视和深入研究,并取得了一系列研究成果,如在电子证据的收集方面,有学者提出可从基本权利角度考察初查中取证规则。也有学者对数据取证措施的任意性所导致的扣押门槛降低提出质疑。还有学者提出在大数据背景下算法取证的构想等;在电子数据的审查方面,有学者提出,电子证据真实性的三个层面是指电子证据载体的真实性、电子数据的真实性和电子证据内容的真实性,应针对这一证据特点设计规则。该观点得到实务界专家呼应,认为应根据电子数据自身的特点,确立电子数据真实性审查的“三步法则”,即介质载体真实性、数据载体真实性、内容真实性;有学者提出,电子数据的外在载体“独特性证明”,内在载体“完整性证明”,构成电子数据审查判断的双重鉴真的过程,并对鉴真不能情形提出相应的排除规则。受上述研究的启发,笔者也对相关问题进行了思考。

(一)扣押、封存原始存储介质必要性质疑

在最佳证据规则的影响下,现行电子数据证据规定过分重视原始存储介质的扣押、封存,与电子数据证据的特点和发展趋势有不相适应之处,在网络运用和云储存较普及的情况,可支配的物理存储介质重要性已有所下降,网上购物、网上支付、网上通信等大量数据均由提供服务的第三方存储,若仍将扣押原始存储介质作为原则,不仅难以做到,而且不符合电子数据存储的发展趋势。

1.“原始存储介质”的概念本身模糊不清,难以识别

《电子数据证据规定》引入 “原始存储介质”概念的原因在于:基于保证电子数据真实性和完整性的考虑,有必要使用“电子数据原始存储介质”概念,以表明电子数据是存储在原始的介质之中,而非通过其他存储介质直接从原始介质中提取的电子数据。以此为标准,将电子数据分为两类,即随原始存储介质移送的电子数据和在无法移送原始存储介质的情况下(如大型服务器中的电子数据)通过其他存储介质收集的电子数据。然而,电子数据往往具有生成、修改、存储、传输等多个环节,这些环节也很有可能在多个电子设备或存储空间完成,例如,甲在A电脑上起草一份文档,然后拷贝到U盘,之后又在B电脑上进行修改,又上传到网络云盘分享给乙,乙通过网络下载存储到C手机上,修改后又反馈给甲,在这个过程中,数据有生成、修改、传输、分享的一系列过程,究竟哪一个是原始存储介质实际上已很难界定、很难区分。如果难以界定、难以区分,又如何确定扣押对象?

2.对待证事实发挥主要证明作用的是电子数据,而非存储介质,扣押存储介质有时反而会无谓地加重证明负担

不可否认存储介质对待证事实有一定的证明作用,如特定的手机、U盘、电脑等可能与物的所有人、使用人发生关联,其证明价值与传统物证相类似。但电子数据的证明价值绝不限于此,依附于存储介质之中的数据本体才是证据的核心。按照最佳证据规则的取证要求,原始存储介质能够保全电子数据依附的硬、软件环境,能够保证电子数据的完整性和真实性,但事实并非都如预想的一般,2016年审理的“快播案”成为此判断的例证。“快播案”中存储淫秽视频数据是4台服务器中的硬盘,该4台服务器最初由北京市海淀区文化委员会在行政执法中从北京网联光通技术有限公司处扣押,之后移交北京市版权局进行鉴定,因该案涉嫌刑事犯罪,又由北京市公安局海淀分局从北京市版权局调取该4台服务器,其间北京文创动力信息技术有限公司提供了专业技术服务。截至到法院开庭时,共有150人次进入这四台服务器,却没有笔录、人证、录音录像。一审法院委托国家信息中心电子数据司法鉴定中心对4台服务器及存储内容进行了检验,法院认定,在办案机关扣押、移转、保存服务器的程序环节,文创动力公司为淫秽物品鉴定人提供转码服务等技术支持,没有破坏服务器及其所存储的视频文件的真实性,检材合法有效。该案从表面看,若未扣押服务器及其硬盘,当出现证明僵局时,就无法委托鉴定机构进行检验,更妄论通过鉴定解决争议问题,因此扣押存储介质是必要的。但在仔细分析证明过程后我们会发现,该案扣押存储介质不仅没有必要,而且加重了证明负担。

该案中4台服务器及服务器内的硬盘,即存储介质本身,并未对案件待证事实起到证明作用。因为存储介质不能建立快播公司与案涉淫秽视频之间的关联性,存储介质虽然被扣押,但因为保管链条缺乏证明,故不能保证电子数据完整性、真实性,该案真正发挥证明作用的是存储介质中的电子数据。从判决情况看,电子数据的证明作用突出体现在两点:一是硬盘内的数据由快播公司维护,这是通过IP地址为 218.17.158.115的远程计算机频繁登录维护服务器,而该IP地址为快播公司专用,由此证明硬盘内的数据与快播公司存在关联性;二是硬盘内的数据在2013年11月18日被扣押后,没有发现从外部拷入或修改qdata文件的痕迹,也就是说,虽然无法通过服务器的保管链条去证明数据没有受到污染,但通过检验硬盘数据有无在扣押后有写入或修改的方式,也同样可以证明数据的真实性和完整性。

电子数据是以“数据”形态为表现的证据,在数据中承载了证据信息,而“数据”可以存储或依附于各种类型的电子设备或存储器上(如计算机硬盘、U盘、SD卡等)。并且由于电子数据所具有的“无损再生性”这一特性,电子数据可以实现精确复制,不论在何种电子设备上,复制件与原件可以实现完全一致。因而,基于“复制受损性”、依赖“原始载体”的最佳证据规则在电子数据“复制无损性”面前,明显已经失去了适用的必要性。鉴于电子数据的这一个特点以及当下的技术规范,上述案件中的数据本体,完全可以通过技术方法从原始载体中将数据本体百分之百的完整复制,通过对镜像文件的分析,同样可以固定数据的附属信息、数据生成、修改、存储、传输等痕迹信息,那么扣押原始存储介质,保证数据本体完整性、真实性的前提已不复存在。

该案中,由于执法机关只登记了服务器接入互联网的IP地址,没有记载服务器的其他特征,而公安机关的淫秽物品审验鉴定人员又错误地记载了硬盘的数量和容量,由此导致被扣押的存储介质是否为“原物”产生重大争议,控方不得不通过一系列补正、说明的方式,解释存储介质的来源、出现硬盘数量和容量差误的原因、数据没有被污染的理由等,而这些证明并不触及本案的核心事实,无谓的证明耗费了大量的诉讼资源。如果取证之初就摒弃对原始存储介质必需扣押的要求,而将目光转向核心证据即电子数据本体,并通过规范的技术方法加以提取、固定,本案的证明过程会更加简洁明快。

3.不扣押原始存储介质,仍然可以实现功能同等的证明目的

《电子数据证据规定》第9条和《取证规则》第8条虽然确立了以扣押、封存原始存储介质为原则的取证规则,但也规定了在无法扣押、封存原始存储介质情形下,可以通过提取方式固定电子数据证据,或者通过打印、拍照、录像等方式固定电子数据证据,这些规定从正面看,依然强调必须要扣押原始存储介质,只有扣押了原始存储介质,电子数据证据的形式要件才齐备,只有在确实无法扣押时,才能退而求其次。但从反面看,这些取证规则也肯定了在原始存储介质缺失的情形下,仍然能通过功能相同的替代方案解决对待证事实的证明,换言之,规则的制定者也认可,没有原始存储介质也同样能满足证明的需求。由此可以推导出,即便原始存储介质未扣押、封存,但所提取的电子数据本体真实性、完整性有证据证明,也完全能够满足诉讼证明的需要,因此,当电子数据本体能百分之百地从原始存储介质中精确复制时,还一味地将扣押、封存原始存储介质作为取证原则就显得过于僵化了。

  1. 扣押、封存原始存储介质与公民财产权保障可能产生冲突,易引发程序正当的争议

无论是手机、电脑,还是U盘、硬盘等,原始存储介质都具有一定的经济价值和物的使用价值,虽然为追查犯罪的需要,司法机关可以对涉案财产采取一定的强制性侦查措施,但也需要遵循比例原则和程序正当原则,即确有必要和依法批准。然而,《电子数据证据规定》和《取证规则》更多地关注追查犯罪,而未能兼顾各方的利益平衡。具体表现在:

一是对扣押存储介质的必要性未作区分,前文已经论及,如果提取电子数据完全能满足诉讼证明要求,扣押存储介质已非必需,在此情形下,比较适宜的做法是遵循比例原则,即以最经济节约的方式,达到同等的证明目的。

二是对扣押存储介质的范围未作区分,对犯罪工具的存储介质和被害方、案件第三方所有或持有的存储介质同等对待,实际已构成对公民合法财产权利的不当限制,同时,只要能证明案件事实的证据材料都予以扣押的取证原则,也会造成证据量的无谓重复,如手机即时通信工具中产生的电子数据,甲乙用手机互发微信信息,由于双方既发送信息,同时又接受对方信息,如果遵循原始存储介质扣押的原则,势必要对甲乙两人的手机都予以扣押,而从实际证明要求上看,扣押一部手机,再提取另一部手机中的电子数据加以印证,也完全能够达到证明要求。

三是对不属于依法应当没收的存储介质是否需要返还、何时返还未作要求,同时对限制公民存储介质财产的权利也未规定适当的补偿,由此也会引发证据持有方不愿意提供证据的制度缺陷。

此外,由于存储介质具有一定的财产属性,而扣押是一项强制性侦查措施,一味地强调扣押原始存储介质,势必会造成立案前排查犯罪线索的障碍,如果不扣押,将会形成该取的证据没有及时调取,进而对数据本体有无受到污染产生疑问;如果扣押,又会形成强制性侦查措施适用于立案之前的诟病,扣押存储介质的原则反而会贻误办案时机。

反思扣押、封存原始存储介质的取证原则,笔者认为,基于电子数据证据的特点,最佳证据规则已不能简单套用,同时扣押存储介质也并非诉讼证明目的实现的唯一路径。

(二)取证环节见证人见证制度有虚置可能

刑事见证蕴含着对侦查权力的监督功能,也体现着对侦查行为合法化证明的价值,作用不容小觑。在电子数据取证环节,涉及需要见证人见证的侦查活动有:(1)扣押、封存原始存储介质(《取证规则》第 12条);(2)收集、提取电子数据(《电子数据证据规定》第15条、《取证规则》第19条、第21条、第30条),根据《取证规则》的规定,提取电子数据又分为现场提取电子数据、网络远程提取电子数据、网络远程勘查提取电子数据,由于网络远程提取电子数据主要是机器下载,故《取证规则》未要求见证人见证,只强调对于重大案件、电子数据是关键证据等案件,应当全程录像;要求有见证人见证的是现场提取电子数据和网络远程勘查提取电子数据。

然而,由于电子数据证据取证的专业性要求较高,见证人能否起到监督和证明侦查活动合法的作用,确实存在不小的疑问。

首先,在见证人的选择上,并没有专业认知程度的要求。最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第67条规定: 下列人员不得担任刑事诉讼活动的见证人:(1)生理上、精神上有缺陷或者年幼,不具有相应辨别能力或者不能正确表达的人;(2)与案件有利害关系,可能影响案件公正处理的人;(3)行使勘验、检查、 搜查、扣押等刑事诉讼职权的公安、司法机关的工作人员或者其聘用的人员。因此,根据司法解释的规定,只将辨别、表达有缺陷和公正立场有疑问的人排除在见证人之外,其他任何公民都可以承担见证人,但在特定的电子数据取证领域,不具有专业认识程度,实际上难以起到见证作用。

其次,电子数据的取证除了遵守法定程序外,还需要遵循相关技术标准,因此,从见证侦查活动的内容看,既包括取证是否合法,也包括取证是否合规。如果认为见证仅仅只对取证程序是否合法,反不涉及技术标准层面,那么见证的目的将被虚设。在扣押、封存原始存储介质环节,由于不需要有太多的专业认识,只须准确全面记载存储介质的唯一性识别特征,此时对见证人的要求与扣押普通物证大体接近。而在现场提取电子数据和远程勘查提取电子数据时,由于存在一系列技术规范要求,同时也存在一系列人机交互的提取方式,若将技术层面的要求剔除在见证范围之外,实际上也就无法回应对证据真实性的质疑。

最后,见证人对取证过程的全程参与,存在无法避免的时间障碍。在一些网络犯罪中,往往电子数据提取量巨大,与传统的勘查、搜查、扣押等侦查活动相比,部分案件需要耗费大量的提取时间,见证人是否有时间、有精力全程参与,也是不可回避的现实问题。

因此,在电子数据取证环节中,基于现有见证制度无法改进的缺陷,可以通过全程录像的方式加以取代,且这种客观、不间断的视频记录,能够重现取证的完整过程,也能更好的接受司法审查。

(三)任意侦查措施与强制侦查措施未作区分

任意侦查与强制侦查之区分,源于日本刑事侦查限制理论。《日本刑事诉讼法》第197条规定“为实现侦查的目的,可以进行必要的调查。但除本法有特别规定的以外,不得进行强制处分”。日本的法学理论从该条文引申出主导侦查进行的两条基本原则:强制侦查法定原则与任意侦查原则。强制侦查的实施以必要时为限。我国学者提出区分任意侦查与强制侦查的三个认识角度:其一,以立案为时间分界点,立案前不能适用强制侦查措施。其二,以具体侦查措施进行分类。包括查询、勘验、检查、鉴定和调取在内的“授权性措施”被划分到了任意侦查的措施体系,从而在初查及侦查阶段均可以运用;查封、扣押、冻结、技术侦查等则被定性为强制侦查措施,因此归入“禁止性措施”而不能在初查中运用。其三,以“基本权利干预”作为深层次理论标准,而且也是前述两点认识能够成立的基础,“侵犯重要法益说”得到了更多人的接受,“基本权利干预”转而成为了核心标准。

在笔者看来,从理论上研究任意侦查措施与强制侦查措施的意义在于确保侦查程序正当,体现打击犯罪与保障人权并重的刑事诉讼目的。然而,在《电子数据证据规定》中,任意侦查措施与强制侦查措施却有着极其模糊的一面。2020年修改的《公安机关办理刑事案件程序规定》(以下简称《公安程序规定》)第174条规定,对接受的案件,或者发现的犯罪线索,公安机关应当迅速进行审查。发现案件事实或者线索不明的,必要时,经办案部门负责人批准,可以进行调查核实。调查核实过程中,公安机关可以依照有关法律和规定采取询问、查询、勘验、鉴定和调取证据材料等不限制被调查对象人身、财产权利的措施。但是,不得对被调查对象采取强制措施,不得查封、扣押、冻结被调查对象的财产,不得采取技术侦查措施。该条规定从侦查措施的种类上区分了立案前后可以采取的措施,背后的法理也包含了“基本权利干预”。即立案前的调查核实阶段,不得对人、对物采取强制侦查措施。《电子数据证据规定》第6条规定:“初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。”结合《公安程序规定》,立案前若收集、提取电子数据,以及网络在线提取电子数据,不得限制被调查对象人身、财产权利,但现有的调查核实方法确有限制,甚至侵犯被调查对象人身、财产权利之嫌。

收集、提取电子数据方法,根据《取证规则》第7条的规定包括:扣押、封存原始存储介质,现场提取电子数据,网络在线提取电子数据,冻结电子数据,调取电子数据等五种,这其中扣押、封存原始存储介质是明显对物采取强制侦查措施,冻结电子数据在《取证规则》中明确应当经县级以上公安机关负责人批准,其他三种提取都可以通过勘验、调取等方式获取,如果从有形财产角度去判断,似乎并没有限制财产权利,更没有限制人身权利。但仔细分析后,我们会发现这些取证方式和取证结果,很可能会触碰公民的宪法权利。

在调取电子数据上。《宪法》第40条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密”。与其相对应的《刑事诉讼法》第143条规定,侦查人员认为需要扣押犯罪嫌疑人的邮件、电报的时候,经公安机关或者人民检察院批准,即可通知邮电机关将有关的邮件、电报检交扣押。《刑事诉讼法》是在查封、扣押物证、书证部分中予以规定的,显然已将这一侦查活动列入强制侦查范畴。但如果在立案前,侦查机关持《调取证据通知书》向电信部门或者网络服务提供者调取有关人员的通话记录、短信或即时通信内容等,还能不能理解为一种任意侦查措施,此时侦查行为已经触碰到公民的通信自由和通信秘密的宪法权利。

在现场提取电子数据上。必然是针对特定的数据载体进行,而数据载体的背后是数据的持有人,这就涉及调查对象是否同意提取数据问题,如果征得同意后提取,则不会对数据持有人的权利产生影响;若不同意,此时基于不得限制被调查人的人身、财产权利的禁令,不宜实施强制侦查;对持有数据的第三方则更不宜实施侦查强制,《电子数据证据规定》对此均未涉及。

在网络远程勘查提取电子数据上,《电子数据证据规定》对网络远程勘查的定义是:通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。可见网络远程勘查与物理空间的现场勘查既有共性,也有区别,前者是进入他人的计算机信息系统收集涉嫌犯罪的证据,而后者仅仅是在特定的物理空间进行,但《电子数据证据规定》并未明确网络远程勘查需要依法批准方可实施,使得这一侦查措施能否在立案前使用含糊不清。

此外,电子数据本体是否具有财产属性也是需要关注的问题,最高人民法院(2020)最高法知民终683号《民事判决书》认为:在发生存储数据丢失或删改情况下,数据的财产价值会遭到一定程度的毁损。正是基于对信息互联网时代数据价值重要性的认识,我国现行法律体系尤其是在侵权法领域,对侵害电子数据所导致的财产利益损失的救济作出了一些规定。由此可见,不限制人身、财产权利,也包括对数据本体的合法财产权利不得因侦查活动而予以限制或剥夺。

综上,由于《电子数据证据规定》在任意侦查措施和强制侦查措施上未细加考量,由此造成侦查取证与人权保障的时有冲突,故而改进、完善也显得必要。

(四)电子数据与行为人相关联的认定规则滞后于技术发展

传统的实物证据并不是案件的直接证据,不能独立地证明案件事实,而只能作为间接证据,和其他证据相结合,共同完成对待证事实的证明。电子数据也有相似之处,尽管电子数据可以独立地建构虚拟空间的证据体系,但依然要与特定的行为人进行关联,方可完成何人做了何事的证明。为此《电子数据证据规定》第25条提出,对网络身份与现实身份的同一性认定、行为人与存储介质的关联性认定,要结合相关证人证言和犯罪嫌疑人、被告人的供述与辩解进行综合审查判断,这一步是实现由电子数据到具体行为人的证明过程。现行的证据判断规则深受证据印证主义的影响,即电子数据与特定人的关联必须借助于两个以上具有独立信息源的证据方可认定,但这种判断方式并没有很好地结合电子数据的证据特点,因分散在网络的不同节点的电子数据以及在特定硬、软件环境下的电子数据,可以根据数据的附属信息和痕迹信息,形成对待证事实的证明而无须依赖其他传统证据的印证。

在网络身份与现实身份是否同一的认定上,《电子数据证据规定》指出相关IP地址、网络活动记录、上网终端归属也属实核查内容,这是从逆向的角度审视,即客观的信息或痕迹能够证明,操控网络身份的上网时间、上网地点和上网终端设备,当时间、地点、设备确定后,使用该设备的具体行为人也会随之浮出。从正向的角度审视,行为人首先要使用电子设备,其次通过该电子设备登录特定的网络账号,最后进行相关操作。这个过程中,使用电子设备可能面临解锁,登录特定的网络账号会面临再次验证,登录后的操作会留下数据痕迹,而人脸识别、指纹识别、声纹识别等技术方法的运用,或者特定通讯设备接收的验证码方式,基本可以排除他人冒用的可能,因此,即便没有言词证据佐证,基于虚拟空间电子数据环环相扣的印证,特别是生物识别技术的运用,完全可以做到网络身份与现实身份的同一认定。

行为人与存储介质关联性的认定,可能存在两种类型,一类是独立的存储介质,如U盘、存储卡、移动硬盘等,此时的关联性判断与传统物证并无太大区别,但如果存储介质设有密码或需要指纹等识别解锁,则可以更直接建立存储介质与行为人的关联;另一类是电子设备中的存储介质,如计算机、手机等,若存在特定的登录或解锁方式,则同样可以证明与特定的行为人关联。

上述情形中,缺乏言词证据并不导致同一性或关联性不能认定,因而结合言词证据进行综合审查判断并非都确有必要,但从排除合理怀疑的角度考察,若依据电子数据直接作出认定,亦应当允许犯罪嫌疑人、被告人提出相反的证据,并对其辩解进行必要的查证,现行证据审查规则对此有所缺失。

(五)证据开示不充分可能形成控辩双方信息不对称

现行 《电子数据证据规定》对于电子数据证据开示并未涉及,也许在制定者看来,这并不是问题,因为《刑事诉讼法》第40条已经规定,辩护律师自人民检察院对案件审查起诉之日起,可以查阅、摘抄、复制本案的案卷材料。其他辩护人经人民法院、人民检察院许可,也可以查阅、摘抄、复制上述材料。电子数据作为法定证据种类,当然在开示之列,然而现实并不尽然。

一方面,办案机关并不主动开示电子数据本体。对于已经扣押、封存的原始存储介质,基于保管的要求,并不向辩护方开放数据访问权限;对于提取的电子数据,通常也不提供数据访问或电子数据的复制件。为便于检察官、法官对案件证据的审查,侦查机关往往以打印、拍照的方式呈现电子数据的内容;无法以纸质方式呈现的证据内容,如视频数据、软件数据等,一般以光盘刻录方式随案移送复制件;对于一些网站运行环境数据,如网络诈骗的平台运行环境、手机应用软件等,在打掉犯罪团伙的同时,也摧毁了网络运行环境,之后的证明往往靠言词加以描述。鉴于辩护方可通过纸质案卷材料知悉证据内容,故办案机关并不主动开示数据本体;对于视频等不能通过纸质方式呈现的证据内容,一般也是在辩护方申请后安排观看或提供复制件;而一些无法恢复的网络运行环境,则成为电子数据取证的盲区,更遑论证据开示。

另一方面,辩护方也很少要求办案机关开示电子数据。对于证据量少的,可以阅看打印件、拍照件,对于证据量大的,如电信网络诈骗案件的平台数据、后台数据、用户数据、资金流动数据以及相关涉案人员使用的手机、电脑等,由于数据量巨大,如果完全复制需要的存储介质资金成本就相当高,办案机关难以免费提供,辩护方也没有自费解决存储介质的意愿,进而形成了只审查电子数据呈现内容,不审查电子数据本体完整性、真实性的现状。这种模式下,很难发现电子数据存在的问题,也很难在法庭上进行充分的质证。

从电子数据对待证事实的证明看,数据表层呈现的内容仅仅是证据的部分信息,如果只截取此部分内容,电子数据无异于是传统证据种类的数字化,换言之,就是将书证、视听资料等转化为数字形式而已,但电子数据的信息量绝不止这一层,它还包括数据存在的软、硬件环境,数据在生成、存储、传输过程中形成的附属信息和数据痕迹,数据的完整性校验值、数字签名、数字证书等唯一性标识等,这些证据信息对判断电子数据的完整性、真实性,证真或证伪有着极高的价值,因而,对电子数据的审查判断和法庭质证只停留于表层表达的信息是远远不够,但现有的证据制度并没有针对电子数据的特点,创设不同于传统证据的证据开示路径,进而影响质证的质量。

(六)大数据背景下电子数据检验鉴定方法的有待变革

《电子数据证据规定》虽然注意到电子数据与传统证据的一些差异,将着眼点定位到数据载体、数据本体、数据内容三个层面,并通过制定一系列审查判断规则来解决证据能力问题,但对大数据背景下电子数据证明方式可能出现的变革,现行的电子数据证据制度还有“信息孤岛”的痕迹,换言之,还是将案件的电子数据仍当成传统证据,先通过逐份审查,检视单个的电子数据的证据能力和证明力,再通过综合审查判断,确认对待证事实的证明。如果案件的电子数据量不大,传统的审查方法尚可以应对;但如果案件中有海量的电子数据,再按照现行的方式去审查判断证据,几乎没有可行性。刘品新教授曾调研并提出大数据证据的概念,认为从技术原理上讲,大数据变身证据通常要经过三个环节:第一步是汇总数据并进行数据清洗,第二步是建构分析模型或机器算法,第三步是进行运算形成分析结论。这一过程结束后,就会产生大数据证据。

由此可见,在大数据背景下,将收集的电子数据作为整体,再运用一定技术方法,从数据中抽取出有证明价值的信息,并形成分析报告,是对现行证明方法的一种颠覆性变革。与传统的人工审查和分析对比不同,这种证明方式是由机器完成的,人的智慧贡献只体现建模和确定算法上,现行《电子数据证据规定》仅在第26条第4款规定:对电子数据涉及专门性问题的报告,参照适用前三款规定。即将此问题纳入检验鉴定范围,试图参照鉴定意见的审查方式解决大数据分析报告问题,然而分析报告与鉴定意见所适用的规则和依据完全不同,参照鉴定意见的审查方案存在不合理的因素。

三、完善我国电子数据证据制度的建议

(一)重构电子数据取证规则

在检视扣押原始存储介质的必要性后,笔者认为,将电子数据的取证原则修改为 “以提取电子数据为原则,以扣押存储介质为补充,以打印、拍照、录像等方式固定为例外”更为妥当,理由是:

1.电子数据以提取数据本体为取证原则、以提取载体为补充,符合证据特点

从取证的实际操作看,与犯罪有关的电子数据基本上都需要在提取后再分析,而分析是禁止在原始存储介质上直接进行的。目前,提取电子数据主要使用获取的方法,分为镜像获取和特定数据获取两种。镜像获取是对源存储介质的逐比特位的复制。镜像获取是一种静态获取,可以提取到所有的数据,包括已被删除或隐藏的文件,实现对原始驱动器每一个比特的精确镜像。由此可知,即便扣押了原始存储介质,也需要提取电子数据后再进行分析比对,同时镜像获取技术也完全能够做到精准复制,从而保证数据的完整性、真实性。当技术不成为障碍时,电子数据取证的重心应放在依法、规范、及时收集电子数据本体上,而不应固守载体优先的旧观念。

当然,舍弃以扣押存储介质为原则,也意味着在部分案件中只有提取的电子数据作为证据,一旦取证的法定程序或技术方法出现失误,会造成证据灭失的风险。为防止风险的发生,一方面,需要完善取证规范。例如对提取电子数据的源介质的唯一性特征要通过笔录和录像记载,并由数据持有人签名确认;提取过程既要遵循法定要求,又要遵循技术规范,同时以录像或录屏的方式记载,确保发生争议时能够证明数据的来源和再现提取过程,确保获取数据的完整性、真实性;对已提取的电子数据在后续的保管、使用过程中要有记录,确保数据不被污染。等等。另一方面,需要完善瑕疵证据的范围,以提高侦查人员的取证规范意识,笔者将在后文中专门探讨。

2.在特定情形下扣押存储介质可以成为法定要求

现行取证规则使用的 “原始存储介质”概念,笔者认为不甚严谨,也与现实情况相悖。“原始存储介质”往往意味着最初存储数据的介质,也往往只有一个,对于复制件、经网络传输后接收的转发件等能否归于“原始存在介质”可能产生认识上的分歧,尤其是网络环境下,多人共同参与完成的电子数据,每个人对数据都有贡献,此时原始存储介质已变得十分模糊。因此,对于存储介质扣押不宜突出必须是原始的,事实上有时也难以区分原始存储介质。

对是否需要扣押存储介质,笔者认为应坚守法定主义立场,不宜突破现行法律的规定而在证据制度中越界授权。法定扣押存储介质的情形包括:根据《刑法》第64条规定,违禁品和供犯罪所用的本人财物,应当予以没收。鉴此,犯罪嫌疑人用于犯罪的相关电子设备,包括设备的存储介质都属于依法应当没收的范围,对此类设备、存储介质予以扣押,既便于判决后依法没收,同时也给诉讼证明提供了双重保障。实践中,电子数据作为核心证据的案件,犯罪工具必然与数据生成、存储、传输存在关联,因而,即便以提取电子数据为取证原则,在绝大多数案件中也会扣押电子设备及存储介质,不会对诉讼证明产生任何不当的影响。根据《刑事诉讼法》第141条的规定,在侦查活动中发现的可用以证明犯罪嫌疑人有罪或者无罪的各种财物、文件,应当查封、扣押。此时存储介质具有双重证据性质,一是案件的物证,二是电子数据的载体。在其作为物证扣押后,电子数据载体的性质也不会发生变化。

除法定扣押之外,笔者认为,收集电子数据证据不宜任意拓宽扣押存储介质的范围,因为这涉及对公民财产权利的限制,如确有必要,也应当在立案后经批准方可实施,同时还应当明确返还的相关要求。

3.电子证据的固定方法需留有必要的空间

现行取证原则将打印、拍照、录像等方式作为补充固定证据的形式,与扣押或提取并存。但笔者认为,从逻辑关系上看并不协调,如果有电子数据已经收集在案,那么打印、拍照、录像只是电子数据的一种呈现形式,即使打印、拍照、录像在前,提取电子在后,其本源仍是电子数据,现行电子证据取证原则混淆了证据固定方式与证据呈现方式的界限,这极易造成数据本体取证不到位的后果,因为将打印、拍照、录像作为固定证据的方式,就意味着该电子数据证据已经获取并固定在案,电子数据本体还取不取,要不要规范的取,可能已不受重视了。事实上这种呈现方式并不能反映电子数据证据信息的全貌,因而并不是最理想的获取。打印、拍照、录像的固定证据方式,是在极端情形下,不得已而采取的取证措施,如电子数据有自毁功能或装置,电子数据在内存或网络传输中的数据等,这些极端情形下,一旦关闭设备或断网,电子数据就可能灭失,如果不采取打印、拍照、录像的方式,就难以将证据呈现的内容及时固定,因而,当电子数据以打印、拍照、录像的方法呈现时,也就意味着数据本体是无法获取的。

(二)完善和建立证据排除规则、推定规则和失权规则

完备的证据排除规则不仅是证据制度的组成部分,而且对证据收集提取、审查判断起到规制作用。现行《电子数据证据规则》只有两条排除规则,即第27条瑕疵证据不能补正或合理解释的排除规则,涉及3种具体情形;第28条证据真实性存疑的排除规则,涉及2种具体情形,排除规则存在很大的局限性,一些空白地带亟待改进。

1. 明确非法电子数据证据的范围

《刑事诉讼法》第56条规定的非法证据排除规则,对言词证据和客观证据采用了不同的排除标准,非法收集的言词证据绝对排除,收集的书证、物证采相对排除,即只有在不能补正或者作出合理解释时才予以排除。然而第56条中列举的客观证据未包含电子数据,那么电子数据是否也可以参照书证、物证设定相应的排除规则,司法实务界的观点是:强制侦查措施、技术侦查措施只有在刑事立案后才能采取,故而,初查过程中采取上述侦查措施收集、提取的电子数据不具有合法性,应当依法排除。2020年9月修正的《公安机关办理刑事案件程序规定》第71条第2款也持相同看法。在确立可以参照书证、物证作相对排除的前提,则需要界定非法证据的具体情形。

非法证据的非法性,主要体现取证过程和取证结果两个方面,即取证过程不符合法律规定,取证结果严重侵犯被取证对象的人身权利、财产权利。在电子数据证据的收集上,从获取对象看,可以分为从被调查对象或犯罪嫌疑人处获取和从被害人或者第三方数据持有人处获取;从获取时间看,可以分为立案前获取和立案后获取;从获取手段看,可以分为通过任意侦查措施获取和通过强制侦查措施获取。

对于从被害人或者第三方数据持有人处获取的电子数据的,笔者认为,在立案后,原则上可使用强制侦查措施获取。《刑事诉讼法》第54条规定,人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。就如同凡知道案件情况的人都有作证义务一样,持有案件证据的第三方(包括被害人)都有提供证据的义务。刑事诉讼法已经明确,除被告人的配偶、父母、子女外,对其他证人可以强制其出庭作证,同理,对于电子数据的持有方,如拒绝提供,也可以采取扣押措施,《刑事诉讼法》第141条规定的应当查封、扣押的物证、书证也并没有限定于系犯罪嫌疑人所有的物证或书证。但可以适用强制侦查措施不意味着可以不分对象、不加限制地使用。其一,基于被告人的配偶、父母、子女可免除强制作证的义务,那么同样也应当免除其提供电子数据证据的义务,若使用强制侦查措施而获取,应判定为非法证据。其二,对强制侦查措施种类应当限制,电子数据的取证方式包括扣押存储介质、提取电子数据(包括现场提取、网络在线提取、网络远程勘验提取、技术侦查提取)、冻结电子数据、拍照、打印、录像方式固定等,笔者认为,对以网络远程勘验、技术侦查方式获取的电子数据应列入非法证据,因此类强制侦查措施严重会侵犯调取人的人身和财产权利,具体理由后文分析。其三,使用强制侦查措施应当在刑事立案后,立案前应当禁止使用,举重以明轻,对于犯罪嫌疑人若采取强制侦查措施都需要在立案后才能实施,更何况针对证据的持有人。若立案前采取侦查强制措施而调取电子数据的,应判定为非法证据。

对于从被调查人或犯罪嫌疑人处获取电子数据的,笔者认为,需要结合立案的时间、强制侦查措施的种类、对人身财产权利的限制,综合判断是否属于非法证据。

第一,立案前获取的电子数据,若属强制侦查方式收集,应判定为非法证据。如通过扣押被调查对象存储介质而获取的电子数据,由于扣押属对被调查人财产权利的限制,电子数据系违法扣押而获取,故应认定为非法收集。实践中,争议较大的是对强制侦查措施种类的界定,在电子数据取证中,有些侦查方式是任意措施还是强制措施,确有一定的模糊性,如勘验措施,《公安机关办理刑事案件程序规定》第71条将其列入任意侦查措施范围,电子数据取证方式也包括网络远程勘验,但从网络远程勘验的定义看,已是对远程计算机系统的进入和数据提取,这种勘查方式,表面上没有构成对人身、财产权利的限制,实际上已经在被调查对象不知不觉控制或提取了电子设备及其数据。笔者认为,网络远程勘验应归入强制侦查措施为宜,现实中,若要获取被调查对象的电子数据通常有两个路径,第一种是进入被调查人员的住所,在电子设备中提取电子数据,这种方式会涉及宪法对公民住宅权利的保护,无疑会被作为强制侦查措施对待;第二种是通过网络方式进入公民的计算机系统,表面看没有破门而入,实际上比破门而入更具有对公民权利的侵犯,此时的网络连接就好比是进入住宅的秘密通道,计算机指令就好比是打开通道的钥匙,人虽然没有进入被调查对象居住的物理空间,但计算机和网络已经作为肢体的延伸进入到该空间,而且实现了与进入物理空间相同的效果,此时从保障公民住宅不受侵犯看,此种侦查措施应归入强制侦查措施范围,未经依法批准不得实施。故若在立案前实施网络远程勘验获取电子数据,应判定为非法证据。

第二,在刑事立案前,虽然未使用强制侦查措施,但获取的电子数据已构成对公民宪法权利的侵犯,此时基于程序正当和保障人权,应判断该电子数据为非法证据。比较典型的是以调取或查询方式在立案前收集公民通信信息,由于通信自由和通信秘密是公民宪法权利,未经法定程序不得检查和收集,此时即便采用任意侦查措施也应加以禁止。

第三,未经批准实施技术侦查措施获取的电子数据应判定为非法证据。《刑事诉讼法》第150条规定,采取技术侦查措施,需要经过严格的批准手续。《公安机关办理刑事案件程序规定》第174条规定,调查核实中不得使用技术侦查措施,因此,在立案前使用,和立案后未经批准使用,所获电子数据证据均为非法证据。

综上,笔者认为,调取电子证据的诉讼行为如果有下列情形之一的,视为非法电子数据证据予以排除:(1)刑事立案前,收集提取的电子数据侵害被调查人宪法权利的。(2)刑事立案前,使用强制侦查措施收集的电子数据;网络远程勘验视为强制侦查措施。(3)无论立案前后,通过强制侦查措施从犯罪嫌疑人配偶、父母、子女处获取的电子数据证据。(4)违法使用技术侦查措施收集的电子数据。上述非法证据若不能补正或者作出合理解释,则不能作为定案根据。

2.明确瑕疵电子数据证据的范围

电子数据从收集提取到向法庭出示有一定的时间间隔,作为案件证据期间也必然涉及其证据能力、证明力的审查判断,涉及电子数据检查或侦查实验、涉及专门问题的检验鉴定等,因此,电子数据的来源、特征、使用和保管链条均要有清晰的记载,以利鉴真。现行电子数据证据对瑕疵证据范围的设定总体可行,只是在电子数据提取环节的制度安排上稍有不足。

从存储介质或者网络环境中提取电子数据,既有法定程序的要求,也有技术规范的要求,而现有的见证人制度很难起到见证作用,因为专业性强,有时还存在取证时间长,见证人很难对电子数据的特征和完整性、真实性表达见证所见,因此,对于提取电子数据的过程应以全程录像的方式替代见证人见证,以确保电子数据来源清楚,数据特征记载明确,提取过程能够重现。对于提取的电子数据,若无提取过程全程录像,或者录像不全面、不完整,应列入瑕疵证据范围。

在取证技术层面,若未遵循技术规范,或遵循的技术规范错误,或技术规范已被修改,或遵循的技术规范与实际操作不符,由此可能对证据完整性、真实性的产生疑问,此类情形也应归入瑕疵证据范围,不能补正或合理解释的,不能作为定案的根据。

3.结合电子数据的证据特点,建立相关的推定规则 

推定是一种根据所证明的基础事实来认定推定事实成立的方法。其中,基础事实的成立,是认定推定事实成立的前提;而推定事实的成立,并不是根据基础事实所直接推导出来的结论,而是法官运用推定规则所作的法律认定;在基础事实与推定事实之间,并没有建立必然的因果关系,而可能存在一种逻辑推理上的跳跃。在电子数据与行为人关联性的认定上,有必要建立相应的推定规则。

对于存储介质中的电子数据,该存储介质的实际操控人即与电子数据具有关联性。如果对该存储介质的操控还需要进行验证的话,那么非行为人而不得知的验证方法以及通过验证的手段,即可以直接证明行为人与数据的关联,此种情形下已经完成司法证明而无须推定。但操控存储介质若无须验证或验证方式、手段不具有秘密性、唯一性,此时存储介质的实际控制人与电子数据有无关联就存在不确定性,若无其他证据证实,往往会陷入证明僵局,笔者认为,可从数据载体与数据内容两个层面设定推定的基础事实,在数据载体上,需要证明存储介质由行为人控制或持有;在数据内容上,通过证明行为人的文化水平、认知范围、既往经历、从业状况等,判明行为人与数据内容是否具有盖然性联系,进而推定行为人与电子数据是否具有关联。当然在适用推定证明待证事实中,要允许犯罪嫌疑人、被告人提供反证或进行辩解,以排除合理怀疑。

对于网络环境中的电子数据,一般而言,能够操控电子数据的网络用户与该数据具有关联性,即网络身份与现实身份的同一认定,是通过对网络数据来源追踪而认定的,从证明要求看须具备:(1)网络电子数据被已查获;(2)能够操控该电子数据的上网终端已查明;(3)上网终端设备的操控人员已查明;(4)网络用户的注册信息已查明;(5)设备操控人员与网络用户之间的关系已查明。当这些事实得到证明后,网络电子数据的操控人与现实中的行为人才能作出同一认定。但笔者认为,若已查明操控网络数据的终端设备,或已查明能操控数据的用户注册信息,此时,可以按照上述的思路确定证明方式和推定规则。

4.改进电子数据证据的开示方式,建立证据失权规则

提供数据本位或电子数据访问机会,是电子数据证据开示的应有之义,不提供数据本体或数据访问机会,就无法全面地审查证据,更难以保证质证的效果,即便证据有重大问题,也难以发现和纠正。在证据开示方式上,可根据证据量大小和被告人数多少而有所区别。

对于电子数据证据量小、被告人数少的案件,办案机关可将电子数据精确复制,向辩护方提供只读光盘的复制件,这样不会增加太多的工作量和办案成本,符合诉讼的经济和效率要求。

对于电子数据证据量大、被告人数多的案件,可以通过购买网络服务或者自行建立网络服务的方式,将电子数据证据存放于网络服务器,向辩护方开放数据访问。在技术措施上,可借鉴冻结数据的办法,只提供数据访问和查看,不提供数据写入。这样既保障辩护方能够全面查阅案件的电子数据证据,又不过多地增加办案的成本。

为确保电子数据证据的充分开示,可考虑设计证据失权制度。即未在庭前向辩护方开示案件电子数据证据,禁止该证据在法庭上出示,除非该证据有利于被告人。由此改进目前开示不理想、质证不充分的问题,推进证据裁判原则的落实。

(三)建立大数据证据审查的咨询规则

实务中出现的一些海量电子数据证据的案件,按传统的证据审查方法需要耗费大量的时间和精力,如某检察机关指控的一起涉案金额达1亿元的电信诈骗案,公安机关在抓获现场依法扣押若干台涉及电脑、手机,随后提取了上T规模的电子数据,形成了对三个方面待证事实的证明:第一,证实该诈骗集团的组织框架和人员分工;第二,证实各被告人具体参与事实以及欺骗对象;第三,证实资金的非法占有和转移。该案被提起公诉的共有32名被告人(不包括分案处理人员),且部分被告人拒绝供述,为查明各被告人的参与事实和参与金额,案件承办人对获取的电子数据进行了全面审查,以查清数据的内容,数据与数据之间的关系,数据与行为人的关联,案件从侦查到开庭审理历时2年有余。

近年来类似较大规模的网络犯罪已非个例,而海量的电子数据已成为核心证据之一,若仍采用传统的审查方法显然难以应对,基于对海量数据分析所形成的各类报告,成为案件待证事实最简洁、最明确的证明依据。而各种名样的分析报告并不是电子数据,但又与电子数据证据密切联系,是对在案电子数据的综合分析结果,并对待证事实起到证明作用。此时的证明方法已经由电子数据证据—待证事实,演变为电子数据—分析报告—待证事实,其中增加的分析报告,与电子数据检查有相似之处,但又有本质的区别,电子数据检查是通过恢复、破解、统计、关联、比对等方式进行检查,将收集在案电子数据提炼出与待证事实有联系的部分,简单地说,检查是一种筛选,将有证明价值的电子数据从扣押的存储介质或提取的电子数据中找出,它不涉及复杂的数据处理,只是简单的数据甄别。分析报告也不同于电子数据的检验鉴定,检验鉴定是针对电子数据涉及专门性问题难以确定时,由专门机构的专业人员进行检验鉴定,可能是鉴定电子数据有无被污染,也可能是鉴定某一软件是否具有某种功能等,而分析报告并不解决专门问题,它只解决电子数据的分析以及分析数据后能得出的结果。

由电子数据—分析报告—待证事实的证明过程,分析报告起着承上启下的连接作用,因此分析对象、分析依据、分析思路、分析过程、分析结果均成为证据审查的对象,这些环节,无论哪个节点出现失误,都有可能影响分析结论的成立,而基于建模、算法、人工智能等形成的分析论证方法,司法人员不懂,更难发现其中的问题,若这种推演方法轻纵犯罪嫌疑人,显然不会提出异议,但可能出现重罪重刑轻判的后果;若不利于犯罪嫌疑人,当提出异议后,司法人员也无从甄别真伪。为解决分析报告在刑事诉讼中的可采性问题,笔者认为,可设立大区的国家级电子数据证据司法运用专家库,为大数据证据审查提供智力支持。具体而言,由专家充当证据审查辅导人的角色,对作为证据使用的大数据分析报告,从专业技术角度分析可采信性并提供专家意见,若数据分析报告的制作人与专家的意见不一致,办案机关应采取同时听取意见的方式,通过异议双方的相互发问和相互辩论,决定数据分析报告的取舍。

在审查大数据分析报告中,办案机关应当通知辩护律师到场,并允许辩护律师向分析报告制作人和辅助审查的专家发问。犯罪嫌疑人、被告人及其辩护方对分析报告有异议的,可以阐明异议的理由和依据,申请办案机关委托其他机构重新分析电子数据,办案机关可委托专家评估有无重新分析的必要。

总之,在完善电子数据证据制度中,要有一定的前瞻性,既要对新事物、新方法有包容的态度,又不能迷信盲从,通过借助外力、外脑,科学、严谨地审查大数据证据的证据能力和证明力,新的证据制度应当为新事物、新方法的运用,设计规制措施或者提供审查方式,使证据制度充满活力并能够适应发展之需求。

声明:本网部分内容系编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请联系我们,我们将在第一时间处理! 转载文章版权归原作者所有,内容为作者个人观点本站只提供参考并不构成任何应用建议。本站拥有对此声明的最终解释权。