芻議電子證據的作用、取證與審查

文◎卞衛兵黃友根謝瑾

芻議電子證據的作用、取證與審查

文◎卞衛兵*黃友根*謝瑾*

我國新《刑事訴訟法》第48條將“電子數據”新增為證據種類，明確了電子證據在實踐中運用的法律地位，從根本上解決了以往實踐中電子證據的不能作為獨立的證據種類存在的尷尬境地。下文通過探討電子證據的作用、取證與審查，以期對司法實踐有所裨益。

一、電子證據在實踐中的作用

隨著信息化、電子化時代的到來，電子證據在司法機關執法辦案中發揮著越來越重要的作用。據統計，近三年來樟樹市人民檢察院公訴部門辦理的刑事案件共有350余件，在對證據進行取證和審查過程中涉及到電子證據的案件有59件，約占辦案總數的16.7％，并且在涉及電子證據的案件中，電子證據的取證和審查往往對案件的定性、是否批捕、是否起訴等起到了至關重要的作用。

例如,2011年8月，樟樹市人民檢察院院自偵部門接到群眾舉報，反映本市商務局相關人員在審核家電下鄉和家電以舊換新工作中涉嫌受賄，經初查發現本市商務局丁某、汪某等涉嫌受賄罪，本市某電器公司負責人周某涉嫌行賄罪。在案件偵查過程中，樟樹市人民檢察院偵查人員發現了案件的一個關鍵情節，即周某故意偽造假身份證、假戶口本等虛假證件騙取國家家電下鄉補貼，而市商務局丁某、汪某明知是虛假信息仍然違規審核，收集證據證實這一情節成為突破案件的關鍵。然而，偵查人員在對涉案物品、賬單、器材等進行審查時卻沒有發現一點蛛絲馬跡，經過偵查人員進一步的縝密調查和對涉案人員做思想工作，周某供認在案發前她已將存貯在電腦硬盤上的虛假信息全部刪除，偵查人員立即將涉案電腦封存并帶回樟樹市人民檢察院辦案區，及時聘請了符合條件的電子技術專家并由樟樹市人民檢察院技術科的干警協助成功地將周某刪除的虛假信息恢復出來，并依法固定了證據。這一關鍵電子證據的收集使得案件的全部證據形成了完整的證據鏈，從而使案件成功告破，并為國家挽回經濟損失200余萬元。

由此可見，對電子證據進行依法取證和審查具有極其重要的作用，同時也是司法機關執法辦案面臨的重大課題。

二、電子證據的取證

（一）取證的原則

電子證據取證的原則，應當在遵循傳統法律原則的基礎上，兼具自己相對獨立的原則。

第一，依法取證原則。這是指取證活動在實體上和程序上都要符合法律的要求。從取證活動的過程來看，應當保證主體、對象、手段和過程四個要素的合法性，只有如此，才能保證獲取的證據合法。

第二，全面取證原則。所謂全面取證原則，是指調查取證過程中應當盡可能地全面調查取證，使獲取的證據相互印證，形成完整的證據鏈條。這就要求，在取證時一定要認真分析電子證據的數據來源，并進行全方位、多角度的取證與司法鑒定，在確保證據與案件事實關聯的基礎上，將獲取的所有電子證據結合案件的其他類型證據，相互印證，排除矛盾證據，最終組成完整的證據鏈。

比如，樟樹市人民檢察院公訴部門于2012年1月辦理的易某詐騙案就很好的把握了這一原則。2010年下半年至2011年5月，犯罪嫌疑人易智非法持有他人信用卡20余張，利用自建的三個網站發布服裝批發等虛假信息，并在網頁和其QQ上留下聯系電話和匯款方式，騙取受害人錢財近29萬元，樟樹市人民檢察院公訴部門審查這一案件時，全面審查了相關網址、QQ聊天記錄、信用卡信息、電話、傳真等的證據，從而使證據形成了完整的證據鏈，案件得到了依法處理。

第三，及時取證原則。該原則的提出，主要是因為相當一部分電子證據都是在系統運行過程中自動、實時生成的，系統經過一段時間的運行很可能會造成信息系統的變化，此時這些數據就不能如實反映案件的事實了。電子證據的獲取受制于一定的實效性，確定獲取對象后，應當盡早的搜集證據，保證其沒受到任何破壞和損失。

比如，樟樹市人民檢察院在2011年8月辦理的一起交通肇事案中，辦案人員及時到相關攝像頭存貯設備提取了相關影像并依法固定證據，使案件得到依法處理，據該攝像頭存儲設備管理人員反映，因為存貯設備容量有限，一段時間后存貯設備將自動刪除之前的信息。

第四，無損取證原則。該原則是指在電子取證的全過程中，要盡可能保證電子證據的客觀、真實與完整。［1］如必要時的數據備份，完整性校驗等都是保持數據完整所必需采用的方法。另外，要遠離高磁場、高溫等環境，避免其受到靜電、灰塵等的影響，以保證電子證據的客觀狀態。［2］

（二）取證的程序

電子證據的取證要遵循合法原則，要嚴格的依照法定程序進行。嚴格來說，取證的程序應當是一個法律和技術交叉規制的過程。

首先，電子證據取證的程序是一個法律制度層面上的問題。筆者贊同劉品新先生的四環節說。第一，準備階段。包括取證人員的培訓和選擇、設備和器材的選擇，取證計劃的制定等。第二，收集保全階段。主要任務是對物理空間或虛擬空間中電子證據的收集與保全，包括對計算機主機等電子設備的臨時取證和網絡下載等遠程取證。第三，檢驗分析階段。電子證據的取證活動不同于“一步式”的傳統取證活動，它是“兩階段”，主要的實施活動都集中在實驗室里對證據進行分析。［3］第四，提交階段。根據檢驗分析結果制作電子證據鑒定書、勘驗檢查筆錄等。

2004年轟動全國的“馬加爵案”就是嚴格依照上述程序調取電子證據使案件成功告破的典型案例。案發后，馬加爵出逃。當地公安機關迅速成立了“2·23”專案組，通過公安部向全國發出通緝令。然而，偵查人員對馬加爵的去向和案件的突破口并無把握。為收集證據，刑偵專家決定使用技術手段，對馬加爵在宿舍內使用過的電腦硬盤進行數據分析，偵查人員和技術專家嚴格按照上述四環節對硬盤數據進行恢復，恢復出來的數據顯示，他在出逃前三天搜索的信息基本上都是海南省尤其是三亞市的旅游、交通和房地產的信息。依據這些數據提供的線索，警方調整了偵破方向，于3月15日在三亞市將馬加爵緝拿。［4］案件成功告破。

其次，從技術層面上，筆者贊同基本過程模型。1999年，美國人法默和韋尼瑪在一次電子取證分析培訓班上提出了如下的基本取證過程：第一步，保護現場安全并進行隔離；第二步，對現場進行記錄；第三步，系統地查找證據；第四步，對證據進行提取和打包；第五步，建立證據保管鏈。［5］

三、電子證據的審查

證據的審查判斷是指公安司法人員對現有證據材料的證據能力和證明力進行分析、研究和鑒別，并據此作出認定案件事實結論的一種訴訟活動。［6］與傳統證據相似，對電子證據的審查也主要圍繞證據的關聯性、真實性、合法性三方面來進行。

（一）審查判斷電子證據的關聯性

與傳統證據相同，電子證據必須與案件事實有某種聯系。關聯性是指證據必須與需要證明的案件事實或其他爭議事實具有一定的聯系。電子證據的關聯性，一般是指電子證據必須與案件事實有實質聯系并對案件事實有證明作用。審查電子證據的關聯性主要有以下幾個方面：一是所提出的電子證據欲證明什么樣的待證事實；二是該事實是否是案件中的實質問題；三是所提出的電子證據對解決案件中的爭議問題有多大實質意義。一般來說，某一電子證據對案件爭議問題具有實質性意義，即能確定或否定某一案件事實存在，則應當認定該證據具有足夠的關聯性。

值得一提的是發生在云南巧家的趙登用案。2012年5月10日，云南巧家發生惡性爆炸，爆炸造成4人死亡、16人受傷的嚴重后果。案件發生不久且尚未偵破，當地公安機關負責人楊某情緒激昂地對媒體放言，愿以“前程”來擔保，趙登用就是爆炸案的罪魁禍首，其依據的是趙登用兩年前在QQ空間中的一些比較偏激的言論，比如趙登用在兩年前曾在QQ聊天時發表言論“社會之殘酷越來越讓我要爆亂了。我不知道在我實在混不了的時候會有多少人死于我的手下。”等。時隔三個月，2012年8月7日，云南省昭通市公安局通報：經過近3個月深入偵查，造成4人死亡、16人受傷的“5·10”巧家爆炸案已成功告破，涉案犯罪嫌疑人鄧德勇、宋朝玉因涉嫌爆炸罪已被依法逮捕。這一通報還有另一層意義：趙登用實屬無辜的受害者而非犯罪嫌疑人。

事實上，按照上述審查電子證據的關聯性的要求，我們不難發現趙登用兩年前的QQ偏激言論完全屬于言論自由的范疇，與本案并無關聯性，若當地公安機關當時能意識到這一點并嚴格審查電子證據的關聯性也不至于鑄成今天的大錯。

（二）審查判斷電子證據的真實性

電子證據的真實性審查，較傳統證據而言有更強的技術性特點。由于電子證據具有客觀真實的特性，在沒有人為因素和外界環境的影響下應該推定為真實的。對電子證據的真實性的質疑主要有二類：一是電子證據是否被改動、處理過或在其形成之后被損害過；二是生成電子證據的系統程序是否可靠，進而來質疑電子證據是否可靠。針對以上情況筆者認為審查電子證據的真實性主要應從以下兩個方面進行：

第一,審查電子證據可能受到改動、處理或損害的階段如電子證據的產生、傳輸和存儲過程，審查主要內容有電子數據是否在正常的活動中按常規程序自動生成或人工錄入的，生成或錄入電子數據的系統是否被非法人員控制，系統維護和調試是否處于正常控制下，由人工錄入電子數據時，錄入者是否在嚴格的控制下，按照嚴格的操作規程，采取可靠的操作方法合法錄入；傳遞、接收電子數據時所用的技術手段或方法是否科學、可靠，傳遞電子數據的“中間機構”如網絡運營商等是否公正獨立，電子數據在傳遞過程中有無加密措施，有無被非法截獲的情形存在；存儲電子數據的介質是否可靠，存儲電子數據的實施者是否公正獨立，存儲電子數據的環境是否具備防靜電、防磁場干擾、防高溫、防潮和除塵等條件，存儲電子數據是否加密，所存儲的數據電文是否被改動等。

第二，審查生成電子證據的系統程序是否可靠。對系統程序的審查主要采用推定的方法，如果系統程序是使用者的日常業務活動依賴的程序，一般認為該系統程序是真實可靠的。計算機系統在進行數據處理、傳輸和存儲過程中，由于設備和線路故障、斷電、操作失誤甚至病毒感染，如正在生成數據文件時突然中斷，正在傳輸文件時突然中斷等，都有可能影響數據的真實性。因此，審查電子證據的真實性，要對電子證據從生成至提交法庭的全過程進行周密審查，如果電子證據自形成時起，其內容一直保持實質意義上的完整，則視為具有真實性。

另外，由于電子證據的取證活動對技術和工具的要求極高，對工具的可靠性審查自然也是很重要的一個方面。

（三）審查判斷電子證據的合法性

審查判斷電子證據的合法性，主要從兩方面來考慮：一是電子證據收集主體是否合法；二是電子證據收集程序是否合法。

第一，審查電子證據的取證主體。在刑事訴訟中，偵查人員、檢察官和法官是收集案件證據包括電子證據的法定主體，其中偵查人員又包括公安人員、檢察院自偵人員、國家安全機關人員、監獄偵查人員、軍隊保衛部門工作人員和海關緝私偵察員。對電子技術專家的審查主要審查其是否具有國家認定的專門從事協助收集電子證據的證書，以及鑒定的程序是否合法和結論是否符合法定的形式等。

第二，審查電子證據的取證程序。因為電子證據的取證是“兩步式”的，所以審查電子證據的取證程序也包括兩個方面：一是電子證據的提取過程，這里的程序合法和傳統證據的取證程序合法要求基本是一致的，如審查偵查人員在收集電子證據時，是否取得并出示了搜查證，搜查范圍或對象是否超出了搜查證所確定的界限等，二是電子證據的數據分析階段，這主要在實驗室進行，這里主要審查技術人員是否遵循了相關的技術規范。

第三，非法證據排除的情形。新《刑事訴訟法》明確了非法證據排除的原則，就電子證據而言，凡是生成、取得等環節不合法，且足以影響證據真實性的或足以影響某一重大權益的，則可予以排除。主要包括：第一，公民或個人及未經授權機構或不具有法律資質的專業機構非法侵入他人計算機系統以秘密方式獲得的電子證據；第二，公安司法機關未按法定程序取得法定證件（如搜查證、扣押通知書等）就公然侵入他人計算機系統以非法方式獲取的電子證據；第三，通過非法軟件獲取的電子證據。

綜上所述，電子證據因其法律和技術的雙重屬性決定了對其取證和審查的特殊性和復雜性，筆者認為，必須從以上幾個方面從嚴把握并不斷在理論和實踐中積累經驗才能對電子證據進行全面客觀的收集和審查。

注釋：

［1］劉品新主編：《電子取證的法律規制》，中國法制出版社2010年版，第19頁。

［2］麥永浩等主編：《計算機取證與司法鑒定》，清華大學出版社2009年版，第13頁。

［3］劉品新：《論計算機搜查的法律規制》，載《法學家》2008年第4期。

［4］同注［1］，第2頁。

［5］Computer Forensics Analysis Class Handouts:http: //www.fish2.com/forensics/class.html，2011-4-23。

［6］洪浩主編：《證據法學》（第二版），北京大學出版社2007年版，第263頁。

*江西省樟樹市人民檢察院［331200］