刑事电子数据规定解读.docx

刑事电子数据规定解读 1.电子数据的界定。规定第一条采取“概括加例举”的方式，对电子数据作了明确界定。具体而言，第一款对电子数据作了概括规定：“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”之所以限定为“案件发生过程中”，是为了将案件发生后形成的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等电子化的言词证据排除在外。需要注意的是，对于“案件发生过程中”不应作过于狭义的把握，从而理解为必须是实行行为发生过程中。例如，性侵害犯罪发生前行为人与被害人往来的短信、网络诈骗实施前行为人设立的钓鱼网站等，只要与案件事实相关的，均可以视为“案件发生过程中”形成的电子数据。 根据规定第一条第二款的规定，电子数据包括但不限于下列信息、电子文件：网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；文档、图片、音视频、数字证书、计算机程序等电子文件。需要注意的是，其一，以数字化形式存储的音视频属于电子数据而非视听资料，而以模拟信号存储的磁带、录像带等音视频仍然属于视听资料。其二，上述信息、电子文件虽然都属于电子数据，但对不同类型的电子数据的取证程序要求可能存在差别，如对于通信信息的收集、提取可能涉及技术侦查措施，应当经过严格的批准手续。其三，根据刑事诉讼法第五十二条第一款“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据”的规定，规定第四条重申了公检法机关收集调取电子数据的依法原则与有关单位的配合义务，明确：“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”需要注意的是，对于公检法机关而言，法无授权不可为，具体电子数据的适格取证主体和程序须严格遵守相关规定。例如，根据宪法第四十条的规定，对通信进行检查限于因国家安全或者追查刑事犯罪的需要，且只能由公安机关或者检察机关依照法律规定的程序进行。 电子数据是新的证据类型。目前，对于如何准确划分电子数据与其他类型证据的界限存在不同认识。例如，讯问过程的录音录像究竟应归为“犯罪嫌疑人、被告人供述和辩解”，还是应归为“电子数据”，或者既是“犯罪嫌疑人、被告人供述和辩解”也是“电子数据”？经研究认为，不宜单纯依据载体形式区分证据类型。以笔录形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等言词证据，虽然记载形式是笔录，但在证据分类上应纳入言词证据而非笔录的范畴。同理，以数字化形式记载的言词证据，虽然载体是电子数据，但在证据分类上也应纳入言词证据而非电子数据的范畴。更为重要的是，根据刑事诉讼法的规定，不同类型的证据在取证方法、取证程序上有不同的要求，对有关证据审查判断的要点也不同。例如，对于以录像形式反映的犯罪嫌疑人口供，不仅要审查录像提取、保管、移送等是否符合相应要求，更要审查讯问的主体、方法、程序等是否符合法律规定。为更为充分地保护刑事诉讼相关主体的合法权益，规定第一条第三款规定：“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定。”当然，随着信息技术的进一步发展，关于电子数据与其他类型证据的界分问题，还可以进一步研究探讨。 2.保护电子数据完整性的方法。电子数据完整性是真实性的要素之一。基于此，规定第五条规定了完整性的保护方法。具体而言，对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：扣押、封存电子数据原始存储介质。存储介质，是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。原始存储介质即存储电子数据的原始载体。计算电子数据完整性校验值。完整性校验值，是指为防止电子数据被篡改或者破坏，使用散列算法等特定算法对电子数据进行计算，得出的用于校验数据完整性的数据值。实践中要求第一时间计算完整性校验值，并在笔录中注明。当需要验证电子数据是否完整、是否被增加、删除、修改时，便可以采用同一算法对电子数据再计算一次，将两次所得的值进行比较，如果一致则电子数据没有发生变化，如果不一致则证明电子数据发生了变化。制作、封存电子数据备份。具体操作中，可以制作多个备份，封存其中部分备份件，将其余备份件用于进一步的侦查。冻结电子数据。对收集、提取电子数据的相关活动进行录像。鉴于录音相较于录像反映的信息量不足，此处要求录像，而非录音或者录像。其他保护电子数据完整性的方法。需要强调的是，收集、提取电子数据的情形复杂多样，实践中应当灵活掌握相应的完整性保护方法，至少采取一种，有条件的情况下应当采取多种。以本条规定的电子数据完整性保护方法为基础，规定第二十三条进一步规定了审查电子数据完整性的方法。 3.电子数据的取证原则。为确保电子数据的真实性和完整性，解释第九十三条对电子数据的审查判断作了明确要求，其中确立的规则就是“以收集原始存储介质为原则，以直接提取电子数据为例外”。意见沿用上述原则，并作了进一步明确。规定第八条、第九条对此进行了重申，并作了具体细化规定。规定第八条第一款规定：“收集、提取电子数据，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。”实践中，在可行的情况下，应尽量封存原始存储介质，以保证其完整性和真实性。同时，规定第八条第二款、第三款对原始存储介质的封存要求作了专门规定，即“封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。”“封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。”需要强调的是，实践中对原始存储介质的封存方法灵活多样，既可以装入物证袋封存，又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。但是，对于手机等具有无线通信功能的存储介质，除采取普通封存方式外，还应当附加其他保护措施，如拔出电池，设置为飞行模式且关闭“寻回”功能，或者直接装入屏蔽袋。 规定第九条第二款规定在例外情况下可以直接提取电子数据。具体包括如下情形：原始存储介质不便封存的。从实践来看，有些情况下难以将原始存储介质封存或者全盘复制、提取，比如网络服务器一般采取集中存储的方式，其硬盘动辄成百上千T，但其中很多内容与案件无关，不必收集，在这种情况下一般只提取与案件相关的部分数据。提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的。内存、网线等介质无法稳定存储电子数据，不属于存储介质的范畴。对计算机内存数据、网络传输数据等必须在开机运行的状态下获取，一旦关机或者重新启动系统，电子数据就会消失，难以再次获取。故而，对于上述电子数据无法通过封存原始存储介质的方式加以收集。原始存储介质位于境外的。对位于境外的服务器无法直接获取原始存储介质，一般只能通过网络在线提取电子数据。其他无法扣押原始存储介质的情形。 规定对实践中存在的既不能扣押原始存储介质又不能提取电子数据情形下电子数据的固定方法作了补充规定。例如，目前市场上出现了一种“阅后即焚”的通信模式，越来越多的即时通信软件具备了“阅后即焚”功能，如“支付宝”和“钉钉”即时通信软件。信息接收者收到信息后，点击阅读信息后5秒左右自动删除，无法及时提取数据，并且难以恢复，即使扣押封存了也毫无意义。再如，就船舶导航系统等工控系统而言，有些只有操作界面，无接口可以导出数据，也无法把整个船舶或者大型系统扣押。基于此，规定第十条明确规定：“由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的，可以采取打印、拍照或者录像等方式固定相关证据，并在笔录中说明原因。”自此，电子数据取证确立了“以扣押原始存储介质为原则，以直接提取电子数据为例外，以打印、拍照、录像等方式固定为补充”原则。 4.电子数据冻结。随着云计算等信息技术的发展，越来越多的电子数据存储在云系统或者大型在线系统中，这些情形下原始存储介质无法封存且数据提取困难，给侦查工作带来极大的困扰。为适应实践需要，针对云计算、大数据环境下电子数据取证的问题，规定第十一条、第十二条规定了电子数据冻结。 具体而言，具有下列情形之一的，经县级以上公安机关负责人或者检察长批准，可以对电子数据进行冻结：数据量大，无法或者不便提取的。如在一起传播淫秽物品牟利案中，涉案70个网络云盘涉及淫秽视频150余万部，共1000T，按照传统固定证据方式，需要2T硬盘500块。提取时间长，可能造成电子数据被篡改或者灭失的。如在一起网络贩卖、传播淫秽视频案中，共查扣涉案网盘近千个，按照一条100兆光纤下载速度及运行商能够提供的最高限速，在全程无中断情况下，预计时间为15至16个月。通过网络应用可以更为直观地展示电子数据的。如在一起非法集资案中，大量电子数据是从云系统提取的，而这些数据只有在云环境下才能方便的查看、筛选。其他需要冻结的情形。 对于冻结电子数据的具体操作，规定第十二条明确规定：“冻结电子数据，应当制作协助冻结通知书，注明冻结电子数据的网络应用账号等信息，送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的，应当在三日内制作协助解除冻结通知书，送交电子数据持有人、网络服务提供者或者有关部门协助办理。”“冻结电子数据，应当采取以下一种或者几种方法：计算电子数据的完整性校验值；锁定网络应用账号；其他防止增加、删除、修改电子数据的措施。” 5.电子数据检查。电子数据同传统证据存在不同，传统物证、书证等在侦查过程中一般只涉及两个阶段，即现场勘验、搜查、提取、扣押阶段以及鉴定检验阶段，一般工作在现场即可完成，对于专门性技术问题通过鉴定检验就可以解决。但是，电子数据仅两个阶段并不能实现所有侦查目的，实践中电子数据的形式、来源复杂多样，通过简单收集、提取的电子数据很难清晰地证明某一犯罪事实，如提取了一个加密文件，需要解密后才能移送；再如在现场制作了某存储介质的镜像文件，需要对该文件进一步恢复才能提取被删除的电子数据，而不是直接移送。对于这些问题，也不宜都作为专门性问题进行鉴定、检验。为此，对于电子数据需要在现场取证和鉴定、检验之间增加一个阶段，即扣押后由侦查人员对电子数据的进一步恢复、破解、统计、关联、比对等处理。该阶段处于现场取证和鉴定、检验之间，是现场取证工作的自然延续，不属于专门性技术问题的检验、鉴定。规定第十六条将这个过程规定为电子数据检查，即“对扣押的原始存储介质或者提取的电子数据，可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时，可以进行侦查实验。”。 需要说明的是，规定并没有明确要求见证人对电子数据检查进行见证。关于检查过程电子数据的真实性、完整性的保护，规定第十六条第二款规定：“电子数据检查，应当对电子数据存储介质拆封过程进行录像，并将电子数据存储介质通过写保护设备接入到检查设备进行检查；有条件的，应当制作电子数据备份，对备份进行检查；无法使用写保护设备且无法制作备份的，应当注明原因，并对相关活动进行录像。”第三款进一步规定：“电子数据检查应当制作笔录，注明检查方法、过程和结果，由有关人员签名或者盖章。” 6.电子数据真实性的审查与判断。鉴于对电子数据真实性的审查具有一定的技术性，为给司法实务提供更具操作性的指引，规定第二十二条规定从五个方面审查判断电子数据的真实性： 是否移送原始存储介质；在原始存储介质无法封存、不便移动时，有无说明原因，并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况。 电子数据是否具有数字签名、数字证书等特殊标识。数字签名，是指利用特定算法对电子数据进行计算，得出的用于验证电子数据来源和完整性的数据值。数字证书，是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。实践中，可以通过对电子数据附带的数字签名或者数字证书进行认证，以验证电子数据的真实性。例如，从某黑客教学网站通过网络在线提取了一个公开下载的木马程序，当审查该程序的真实性时，一般可以通过重复提取进行验证，但是可能出现该程序已经被网站删除而无法重复提取的情况。如果最初提取该程序时同时提取了该程序附带的数字签名，即使网站上程序已被删除的情况下，通过验证数字签名仍然可以证明该程序来自该网站。实践中，对数字签名、数字证书的验证既可以通过简单的软件工具进行验证，也可以请具有专门知识的人帮助验证，还可以请有关侦查人员进行验证演示。需要强调的是，并非所有的电子数据都有数字签名或者数字证书，不能因为电子数据没有数字签名或者数字证书就否定其真实性。 电子数据的收集、提取过程是否可以重现。电子数据即使已经被提取，其提取过程仍然可以被完全、准确、一致的重现，审查电子数据时，也可以充分利用该特性通过复现收集、提取过程进行审查，比如审查电子数据检查过程中从扣押的原始存储介质中恢复的电子数据真实性时，除了审查扣押时的有关笔录和原始存储介质的封存状态外，还可以再次进行数据恢复，并比较两次数据恢复的内容是否相同。鉴于此，规定提出了复现性审查来判断电子数据真实性的相应规则。需要强调的是，实践中并非所有的电子数据收集、提取过程都可以复现，比如拒绝服务攻击案件中从网络截取的攻击数据包，或者从计算机内存中提取的电子数据，这些数据在拒绝服务攻击结束或者计算机关机后就会消失，收集、提取过程无法复现，不能因收集、提取过程不能重现就否定电子数据的真实性。 电子数据如有增加、删除、修改等情形的，是否附有说明。一般情况下，电子数据发生增加、删除、修改，其真实性必然受到质疑。但是，电子数据发生增加、删除、修改的，并不必然导致其不真实，例如：为了使部分损坏的视频文件能够正常播放，在视频文件的文件头增加某些信息；为了查看乱码电子文档，修改文档文件头的某些字节；或者为了打开部分损坏的电子图片，对文件错误的字节进行修改。为此，在审查电子数据真实性时，当发现电子数据存在增加、删除、修改的情形时，应当作进一步审查：如果增删改是为了顺利展示或者分析电子数据，对电子数据所承载的内容或者证明的事实没有影响，可以认为其是真实的；如果故意篡改或者保管不当导致的增删改，则无法保证电子数据所承载的内容不受影响，也就无法保证其真实性。 电子数据的完整性是否可以保证。电子数据完整性是保证电子数据真实的重要因素，如果电子数据完整性遭到破坏，则意味着电子数据可能被篡改或者破坏，其真实性也无法保证。鉴于此，规定在审查电子数据时，仍然从证据的三性出发，从真实性、合法性、关联性地角度提出审查要点。同时，将电子数据完整性纳入了真实性范畴，在进行真实性审查时必须进行完整性审查。