刑事电子数据的规制路径与重点问题
摘要
随着现代科学技术的迅速发展,法定证据种类不断扩充完善。作为2012年《刑事诉讼法》新增的法定证据种类,电子数据在证明案件事实的过程中发挥着越来越重要的作用。针对司法实践中产生的新情况和新问题,最高人民法院、最高人民检察院、公安部等部门,通过司法解释、规范性文件等方式,对电子数据的收集与提取、移送与展示、审查与判断作了全面规定,初步构建起了我国刑事电子数据的规制体系。本文对我国刑事电子数据的规制路径进行了梳理,并在此基础上,针对电子数据收集提取、移送展示和审查判断等环节中的重点问题,特别是司法实务中存有一定争议的取证主体与取证方法要求、取证规则、冻结、检查、专门性问题的判断、备份移送与打印件以及真实性与关联性的审查判断等问题进行探讨分析。
With the rapid development of modern science and technology,the types of legal evidence have been continuously expanded and improved.As a new type of legal evidence in the 2012 Criminal Procedure Law,electronic data plays an increasingly important role in ascertaining the facts of the case.In light of the new situation of and new problems in judicial practice,the Supreme People’s Court,the Supreme People’s Procuratorate,the Ministry of Public Security and other government departments have adopted a series of judicial interpretations and other normative documents that contain comprehensive provisions on the collection,extraction,transfer,display,review and determination of electronic data,thereby establishing a preliminary criminal electronic data regulation system.This paper reviews different approaches to the regulation of criminal electronic data in China and,based on the discussion of such general issues as the definition and integrity of electronic data,analyzes the key issues of collection,extraction,transfer,display,review and determination of electronic data,as well as the controversies in judicial practice over subjects of evidence taking,requirements of forensic methods,rules on the collection,freezing,and inspection of evidence,determination of special issues,backup transfer and printing,and the review and determination of authenticity and relevance.
With the rapid development of modern science and technology,the types of legal evidence have been continuously expanded and improved.As a new type of legal evidence in the 2012 Criminal Procedure Law,electronic data plays an increasingly important role in ascertaining the facts of the case.In light of the new situation of and new problems in judicial practice,the Supreme People’s Court,the Supreme People’s Procuratorate,the Ministry of Public Security and other government departments have adopted a series of judicial interpretations and other normative documents that contain comprehensive provisions on the collection,extraction,transfer,display,review and determination of electronic data,thereby establishing a preliminary criminal electronic data regulation system.This paper reviews different approaches to the regulation of criminal electronic data in China and,based on the discussion of such general issues as the definition and integrity of electronic data,analyzes the key issues of collection,extraction,transfer,display,review and determination of electronic data,as well as the controversies in judicial practice over subjects of evidence taking,requirements of forensic methods,rules on the collection,freezing,and inspection of evidence,determination of special issues,backup transfer and printing,and the review and determination of authenticity and relevance.
引文
[1]《网络赌博犯罪意见》规定:“侦查机关对于能够证明赌博犯罪案件真实情况的网站页面、上网记录、电子邮件、电子合同、电子交易记录、电子账册等电子数据,应当作为刑事证据予以提取、复制、固定。侦查人员应当对提取、复制、固定电子数据的过程制作相关文字说明,记录案由、对象、内容以及提取、复制、固定的时间、地点、方法,电子数据的规格、类别、文件格式等,并由提取、复制、固定电子数据的制作人、电子数据的持有人签名或者盖章,附所提取、复制、固定的电子数据一并随案移送。”
[2]具体而言,《意见》主要对电子数据取证人员资质与技术要求、电子数据取证原则、收集提取电子数据的笔录制作要求、电子数据的移送规则和电子数据的鉴定与检验等问题作了明确规定。
[3]正如有论者指出的,“同七种传统证据形式相比,应该说电子证据来源于七种证据,是将各种传统证据部分地剥离出来而泛称的一种新证据形式。”参见何家弘、刘品新著:《证据法学》(第四版),法律出版社2011年版,第185页。
[4]例如,有论者认为:“视听资料是载有能够证明有关案件事实的内容的录音带、录像带、电影胶片、电子计算机的磁盘等,以其所载的音响、活动影像和图形,以及电子计算机所存储的资料等来证明案件事实的证据。”参见陈光中主编:《刑事诉讼法》(第三版),北京大学出版社、高等教育出版社2009年版,第205页。在这一界定中,至少有一部分电子数据,即电子计算机所存储的资料,被纳入到视听资料的范畴。
[5]当然,基于实践需要,对于“案件发生过程中”不应作过于狭义的把握,从而理解为必须是实行行为发生过程中。例如,性侵害犯罪发生前行为人与被害人往来的短信、网络诈骗实施前行为人设立的钓鱼网站等,只要与案件事实相关的,均可视为“案件发生过程中”形成的电子数据。
[6]参见《刑事电子数据规定》第22条。
[7]参见《刑事电子数据规定》第23条,这几项内容与第5条规定收集提取电子数据应当采取的完整性保护方法相对应。
[8]参见《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第13条。
[9]当前,随着公安机关对电信诈骗等网络犯罪的办理经验愈加丰富,吸收相关网络技术人员参与案件侦查的现象日益多见。需要注意的是,此种情形下仍然是侦查人员作为取证主体,相关网络技术人员只是提供协助。
[10]参见陈瑞华著:《刑事证据法学》(第二版),北京大学出版社2014年版,第114-115页。
[11]需要注意的是,这一论断的前提是,随着电子数据成为独立的证据种类,以电子数据形式存在的视听资料是电子数据,不再属于视听资料的范畴。
[12]参见《刑事电子数据规定》第8条第1款。
[13]具体而言,《刑事电子数据规定》要求“封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。”“封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。”当然,实践中封存原始存储介质的方法灵活多样,既可以装入物证袋封存,又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。但是,对于手机等具有无线通信功能的存储介质,除采取普通封存方式(如装入物证袋封存)外,还应当附加其他保护措施,如拔出电池,设置为飞行模式且关闭“寻回”功能,或者直接装入屏蔽袋(盒)。
[14]对于原始存储介质不便封存的,可以提取电子数据。从实践来看,有些情况下难以将原始存储介质封存或者全盘复制、提取,比如网络服务器一般采取集中存储的方式,其硬盘动辄成百上千T,其中很多内容与案件无关,不必收集,在这种情况下一般只提取与案件相关的部分数据。
[15]对于计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据,自然无法封存原始存储介质。而且,这些信息必须在开机运行的状态下获取,一旦关机或者重新启动系统,电子数据就会消失,难以再次获取。当然,此处的“存储介质”以稳定存储为前提,如果不作此限定,则传输电子数据的网线也可能瞬间存储电子数据,可以成为存储介质。这有悖于一般人的认知,明显不妥。
[16]对位于境外的服务器无法直接获取原始存储介质,一般只能通过网络在线提取电子数据。对于远程计算机信息系统上的电子数据,也可以通过网络在线提取。
[17]例如,实践中数额较小的网络侵财类案件不仅数量大、而且涉及老百姓切身利益,社会广泛关注。这类案件大部分由派出所管辖,往往没有专业取证设备,无法提取电子数据,而受害人即使报案也不愿将手机交给公安机关。又如,目前市场上出现了一种“阅后即焚”的通信模式,越来越多的即时通信软件具备了“阅后即焚”功能(比如“支付宝”和“钉钉”的即时通信软件)。信息接收者收到信息后,点击阅读信息数秒后自动删除,无法及时提取数据,并且难以恢复,即使扣押封存了也毫无意义。再如,船舶的导航系统等部分工控系统,只有操作界面,无接口可以导出数据,也无法把整个船舶或者大型系统扣押。
[18]参见陈光中主编:《刑事诉讼法》(第六版),北京大学出版社、高等教育出版社2016年版,第303页。
[19]数据量大,无法或者不便提取的,可以冻结电子数据。例如,在一起传播淫秽物品牟利案中,涉案70个网络云盘涉及淫秽视频150余万部,共1000T,按照传统固定证据方式,需要2T硬盘500块,是该市电子数据取证过去十年消耗硬盘的总和。
[20]提取时间长,可能造成电子数据被篡改或者灭失的,可以冻结电子数据。例如,在一起网络贩卖、传播淫秽视频案中,共查扣涉案网盘近千个,按照一条100兆光纤(属较高级别带宽)下载速度及运行商能够提供的最高限速,在全程无中断情况下,预计时间为15至16个月。又如,四川绵阳“12·21”云盘传播淫秽物品案也反映了云盘案件中对电子数据采用传统方式提取存在的困难。据介绍,涉案的一个“母盘”账号就是5T内容,电脑工作24小时也需要下载整整五天时间。参见《四川破坏网络云盘传播淫秽视频案》,《法制日报》2016年4月12日第8版。
[21]通过网络应用可以更为直观地展示电子数据的,可以冻结电子数据。例如,在一起非法集资案中,大量电子数据是从云系统提取的,这些数据只有在云环境下才能方便查看、筛选,为提取后查看、筛选这些数据,侦查机关不得已耗费了大量人力物力又搭建了一个相同的云环境,增加了不必要的办案成本。
[22]参见《刑事电子数据规定》第12条第1款。
[23]参见《刑事电子数据规定》第12条第2款。
[24]参见《刑事电子数据规定》第16条第1款。
[25]参见《刑事电子数据规定》第15条。
[26]《刑事诉讼法》对于见证人对侦查活动进行见证的规定,主要有第133条、第139条第1款、第140条以及第142条。
[27]与之相呼应的是,如前所述,《刑事电子数据规定》第8条第2款针对电子数据的存储介质作出了“封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况”的规定。
[28]2016年1月,最高人民法院、最高人民检察院、司法部和环境保护部就环境损害司法鉴定实行统一登记管理和规范环境损害司法鉴定工作作出明确规定。这是《关于司法鉴定管理问题的决定》施行以来,就“其他应当对鉴定人和鉴定机构实行登记管理的鉴定事项”作出的唯一具体规定。
[29]对于法医类鉴定、物证类鉴定、声像资料鉴定“三大类鉴定”以外的鉴定事项,部分地方司法行政机关赋予了其司法鉴定资质,实际上也有违《关于司法鉴定管理问题的决定》的规定。因为对于三大类鉴定以外的鉴定事项,系“由国务院司法行政部门商最高人民法院、最高人民检察院确定的其他应当对鉴定人和鉴定机构实行登记管理的鉴定事项”,并不应当由司法行政机关直接予以确定。
[30]参见最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》第4条第1款第1项。此处的“委托估价机构估价”,实际上就是由价格认证机构对价格进行认证,而这也不是司法鉴定,所出具的价格认证报告也不是鉴定意见而是报告。
[31]参见《解释》第87条第1款。
[32]司法实践中,对于电子数据鉴定是否属于《关于司法鉴定管理问题的决定》规定的三大类鉴定事项,也存在不同认识。
[33]参见《刑事电子数据规定》第18条第2款。
[34]参见《刑事电子数据规定》第19条第1款。
[35]数字签名是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
[36]数字证书是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
[37]并非所有的电子数据都有数字签名或者数字证书,自然不能因为相关电子数据没有数字签名或者数字证书就认为其不真实。
[38]实践中并非所有的电子数据收集、提取过程都可以复现。例如,拒绝服务攻击案件中从网络截取的攻击数据包,或者从计算机内存中提取的电子数据,这些数据在拒绝服务攻击结束或者计算机关机后就会消失,收集、提取过程无法复现。因此,不能因收集、提取过程不能重现就否定电子数据的真实性。
[39]例如,为了使部分损坏的视频文件能够正常播放,在视频文件的文件头增加某些信息;为了查看乱码电子文档,修改文档文件头的某些字节;或者为了打开部分损坏的电子图片,对文件错误的字节进行修改。
[40]这实际上也是有论者所概括的电子数据的“双联性”,即内容关联性与载体关联性。前者是指“电子证据的数据信息同案件事实之间的关联性”,后者是指“电子证据的信息载体同当事人或其他诉讼参与人之间的关联性”。参见刘品新:《电子证据的关联性》,《法学研究》2016年第6期,第175页。
[41]参见《刑事电子数据规定》第25条第1款。
[42]参见《刑事电子数据规定》第25条第2款。
[43]2018年12月,公安部印发《公安机关办理刑事案件电子数据取证规则》(公通字[2018]41号),自2019年2月1日起施行。该规则实际上就是根据《刑事电子数据规定》的相关要求,对公安机关办理刑事案件收集、提取涉案电子数据作出的进一步细化规定。
[2]具体而言,《意见》主要对电子数据取证人员资质与技术要求、电子数据取证原则、收集提取电子数据的笔录制作要求、电子数据的移送规则和电子数据的鉴定与检验等问题作了明确规定。
[3]正如有论者指出的,“同七种传统证据形式相比,应该说电子证据来源于七种证据,是将各种传统证据部分地剥离出来而泛称的一种新证据形式。”参见何家弘、刘品新著:《证据法学》(第四版),法律出版社2011年版,第185页。
[4]例如,有论者认为:“视听资料是载有能够证明有关案件事实的内容的录音带、录像带、电影胶片、电子计算机的磁盘等,以其所载的音响、活动影像和图形,以及电子计算机所存储的资料等来证明案件事实的证据。”参见陈光中主编:《刑事诉讼法》(第三版),北京大学出版社、高等教育出版社2009年版,第205页。在这一界定中,至少有一部分电子数据,即电子计算机所存储的资料,被纳入到视听资料的范畴。
[5]当然,基于实践需要,对于“案件发生过程中”不应作过于狭义的把握,从而理解为必须是实行行为发生过程中。例如,性侵害犯罪发生前行为人与被害人往来的短信、网络诈骗实施前行为人设立的钓鱼网站等,只要与案件事实相关的,均可视为“案件发生过程中”形成的电子数据。
[6]参见《刑事电子数据规定》第22条。
[7]参见《刑事电子数据规定》第23条,这几项内容与第5条规定收集提取电子数据应当采取的完整性保护方法相对应。
[8]参见《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第13条。
[9]当前,随着公安机关对电信诈骗等网络犯罪的办理经验愈加丰富,吸收相关网络技术人员参与案件侦查的现象日益多见。需要注意的是,此种情形下仍然是侦查人员作为取证主体,相关网络技术人员只是提供协助。
[10]参见陈瑞华著:《刑事证据法学》(第二版),北京大学出版社2014年版,第114-115页。
[11]需要注意的是,这一论断的前提是,随着电子数据成为独立的证据种类,以电子数据形式存在的视听资料是电子数据,不再属于视听资料的范畴。
[12]参见《刑事电子数据规定》第8条第1款。
[13]具体而言,《刑事电子数据规定》要求“封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。”“封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。”当然,实践中封存原始存储介质的方法灵活多样,既可以装入物证袋封存,又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。但是,对于手机等具有无线通信功能的存储介质,除采取普通封存方式(如装入物证袋封存)外,还应当附加其他保护措施,如拔出电池,设置为飞行模式且关闭“寻回”功能,或者直接装入屏蔽袋(盒)。
[14]对于原始存储介质不便封存的,可以提取电子数据。从实践来看,有些情况下难以将原始存储介质封存或者全盘复制、提取,比如网络服务器一般采取集中存储的方式,其硬盘动辄成百上千T,其中很多内容与案件无关,不必收集,在这种情况下一般只提取与案件相关的部分数据。
[15]对于计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据,自然无法封存原始存储介质。而且,这些信息必须在开机运行的状态下获取,一旦关机或者重新启动系统,电子数据就会消失,难以再次获取。当然,此处的“存储介质”以稳定存储为前提,如果不作此限定,则传输电子数据的网线也可能瞬间存储电子数据,可以成为存储介质。这有悖于一般人的认知,明显不妥。
[16]对位于境外的服务器无法直接获取原始存储介质,一般只能通过网络在线提取电子数据。对于远程计算机信息系统上的电子数据,也可以通过网络在线提取。
[17]例如,实践中数额较小的网络侵财类案件不仅数量大、而且涉及老百姓切身利益,社会广泛关注。这类案件大部分由派出所管辖,往往没有专业取证设备,无法提取电子数据,而受害人即使报案也不愿将手机交给公安机关。又如,目前市场上出现了一种“阅后即焚”的通信模式,越来越多的即时通信软件具备了“阅后即焚”功能(比如“支付宝”和“钉钉”的即时通信软件)。信息接收者收到信息后,点击阅读信息数秒后自动删除,无法及时提取数据,并且难以恢复,即使扣押封存了也毫无意义。再如,船舶的导航系统等部分工控系统,只有操作界面,无接口可以导出数据,也无法把整个船舶或者大型系统扣押。
[18]参见陈光中主编:《刑事诉讼法》(第六版),北京大学出版社、高等教育出版社2016年版,第303页。
[19]数据量大,无法或者不便提取的,可以冻结电子数据。例如,在一起传播淫秽物品牟利案中,涉案70个网络云盘涉及淫秽视频150余万部,共1000T,按照传统固定证据方式,需要2T硬盘500块,是该市电子数据取证过去十年消耗硬盘的总和。
[20]提取时间长,可能造成电子数据被篡改或者灭失的,可以冻结电子数据。例如,在一起网络贩卖、传播淫秽视频案中,共查扣涉案网盘近千个,按照一条100兆光纤(属较高级别带宽)下载速度及运行商能够提供的最高限速,在全程无中断情况下,预计时间为15至16个月。又如,四川绵阳“12·21”云盘传播淫秽物品案也反映了云盘案件中对电子数据采用传统方式提取存在的困难。据介绍,涉案的一个“母盘”账号就是5T内容,电脑工作24小时也需要下载整整五天时间。参见《四川破坏网络云盘传播淫秽视频案》,《法制日报》2016年4月12日第8版。
[21]通过网络应用可以更为直观地展示电子数据的,可以冻结电子数据。例如,在一起非法集资案中,大量电子数据是从云系统提取的,这些数据只有在云环境下才能方便查看、筛选,为提取后查看、筛选这些数据,侦查机关不得已耗费了大量人力物力又搭建了一个相同的云环境,增加了不必要的办案成本。
[22]参见《刑事电子数据规定》第12条第1款。
[23]参见《刑事电子数据规定》第12条第2款。
[24]参见《刑事电子数据规定》第16条第1款。
[25]参见《刑事电子数据规定》第15条。
[26]《刑事诉讼法》对于见证人对侦查活动进行见证的规定,主要有第133条、第139条第1款、第140条以及第142条。
[27]与之相呼应的是,如前所述,《刑事电子数据规定》第8条第2款针对电子数据的存储介质作出了“封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况”的规定。
[28]2016年1月,最高人民法院、最高人民检察院、司法部和环境保护部就环境损害司法鉴定实行统一登记管理和规范环境损害司法鉴定工作作出明确规定。这是《关于司法鉴定管理问题的决定》施行以来,就“其他应当对鉴定人和鉴定机构实行登记管理的鉴定事项”作出的唯一具体规定。
[29]对于法医类鉴定、物证类鉴定、声像资料鉴定“三大类鉴定”以外的鉴定事项,部分地方司法行政机关赋予了其司法鉴定资质,实际上也有违《关于司法鉴定管理问题的决定》的规定。因为对于三大类鉴定以外的鉴定事项,系“由国务院司法行政部门商最高人民法院、最高人民检察院确定的其他应当对鉴定人和鉴定机构实行登记管理的鉴定事项”,并不应当由司法行政机关直接予以确定。
[30]参见最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》第4条第1款第1项。此处的“委托估价机构估价”,实际上就是由价格认证机构对价格进行认证,而这也不是司法鉴定,所出具的价格认证报告也不是鉴定意见而是报告。
[31]参见《解释》第87条第1款。
[32]司法实践中,对于电子数据鉴定是否属于《关于司法鉴定管理问题的决定》规定的三大类鉴定事项,也存在不同认识。
[33]参见《刑事电子数据规定》第18条第2款。
[34]参见《刑事电子数据规定》第19条第1款。
[35]数字签名是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
[36]数字证书是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
[37]并非所有的电子数据都有数字签名或者数字证书,自然不能因为相关电子数据没有数字签名或者数字证书就认为其不真实。
[38]实践中并非所有的电子数据收集、提取过程都可以复现。例如,拒绝服务攻击案件中从网络截取的攻击数据包,或者从计算机内存中提取的电子数据,这些数据在拒绝服务攻击结束或者计算机关机后就会消失,收集、提取过程无法复现。因此,不能因收集、提取过程不能重现就否定电子数据的真实性。
[39]例如,为了使部分损坏的视频文件能够正常播放,在视频文件的文件头增加某些信息;为了查看乱码电子文档,修改文档文件头的某些字节;或者为了打开部分损坏的电子图片,对文件错误的字节进行修改。
[40]这实际上也是有论者所概括的电子数据的“双联性”,即内容关联性与载体关联性。前者是指“电子证据的数据信息同案件事实之间的关联性”,后者是指“电子证据的信息载体同当事人或其他诉讼参与人之间的关联性”。参见刘品新:《电子证据的关联性》,《法学研究》2016年第6期,第175页。
[41]参见《刑事电子数据规定》第25条第1款。
[42]参见《刑事电子数据规定》第25条第2款。
[43]2018年12月,公安部印发《公安机关办理刑事案件电子数据取证规则》(公通字[2018]41号),自2019年2月1日起施行。该规则实际上就是根据《刑事电子数据规定》的相关要求,对公安机关办理刑事案件收集、提取涉案电子数据作出的进一步细化规定。