常見電子證據收集程序探析

楊瑜嫻，劉顯鵬

(1.武漢大學 法學院，湖北 武漢430072;2. 中南民族大學 法學院，湖北 武漢430074)

隨著電子信息技術的迅速發展，人們的交流方式更加多元化，電話、短信、郵件、微信、微博等傳遞信息的電子數據形式日益豐富。為了更好地應對這些新穎、活躍卻相對復雜的電子數據，修改后的《民事訴訟法》、《刑事訴訟法》將電子證據列為獨立的證據類型，并賦予其法律上的獨立地位。但目前立法層面還未進一步制定具體明確的電子證據規則，面對紛至沓來的電子合同糾紛、網絡侵權糾紛、計算機犯罪等困擾現代社會的突出難題，司法實踐迫切需要立法對電子證據的收集和調查進行具體指引。

一、電子證據收集程序的特殊性

電子證據是指借助電子技術和設備形成的，以數字化的信息編碼形式出現的，用以儲存并反映有關案件情況、證明案件事實的一切電子化信息、記錄及物品。因其技術含量較高，收集電子證據的關鍵就是要把準電子證據的特點，除遵循證據收集的一般性規則外，在取證主體、取證內容和取證方法上還存在著一定的特殊性。

(一)取證主體需要具有專業技術知識

一般情況下，電子證據的收集主體仍然是當事人、法院或偵察機關。但因電子證據具有高科技特征，為保證數據以最真實、直觀的面貌被呈現出來，在收集過程中相應會有較高的技術要求，即往往要求參與取證的人員必須具備一定的管理和操作電子信息的知識和能力，并在取證過程中遵循嚴格的行為規則和技術標準。同時，電子科技的迅猛發展使得電子技術更新換代的頻率非常高，新技術日新月異，導致普通人很難保持對電子技術持續地了解和掌握，故通常不得不委托某方面的專業技術人員協助進行取證。而此處的專業技術人員，專指在相關專業技術部門中具有相關電子知識和電子技術，能勝任特定具體案件的證據收集的人員。

(二)取證內容包括電子證據本身及配套信息

電子證據賴以存在的基礎是不穩定的磁性介質，這使得電子證據的收集越來越依賴于各項技術保障。電子證據多使用特定的二進制編碼，信息呈現形式多樣化，這使傳統的證據收集手段不易保證其完整性〔1〕。電子證據的存儲地點也往往不易察覺，其既可能存在于特定計算機或外圍存儲設備中，也可能保存在特定網絡服務器中，數據還可能被進一步被隱藏或加密。因此，對電子證據進行收集時應從電子證據本身和相關配套信息兩個方面著手。

從電子證據本身來看，應盡量收集原件。作為與案件事實關聯性更強的證據形態，電子證據的原件對案件事實的證明效力一般較強，對其進行收集和固定往往能夠起到較好的證明效果。同時，因電子證據多數可以精確復制，即復制件與原件高度同一，相關規則一般也認可符合特定條件的電子證據復制件的證明力。如《關于民事訴訟證據的若干規定》第22 條規定:“調查人員調查收集計算機數據或者錄音、錄像等視聽資料的，應當要求被調查人提供有關資料的原始載體。提供原始載體確有困難的，可以提供復制件。提供復制件的，調查人員應當在調查筆錄中說明其來源和制作經過。”

從電子證據的配套來看，收集電子證據時應一并收集相關運行記錄和系統信息。作為電子證據的數據和信息以不可直接讀取的電訊代碼的形式存儲在各類現代化計算、通信和信息處理介質中〔2〕，其對運行環境的依賴性很高，它的整個運行過程都必須借助一定的硬件設備和軟件平臺。反映特定數據電文生成、存儲、變更及傳輸等過程的電子記錄可用來證明數據電文的真實性，運行數據電文的電子設備及其系統可用來證明特定數據電文的完整性和原始性。因而，電子證據的可采性和關聯性很大程度上取決于所依賴的系統設備的性能，借助于高性能電子設備一般能獲得較強證明力的電子證據，并且，在特定情形下還需要系統操作人員對電子證據存在的系統和技術設備的性能及可靠程度等相關情況予以證實。

(三)取證過程具有特殊的程序要求

在收集電子證據過程中，傳統的紙質記錄被光盤、磁盤等電子介質所取代，肉眼能識別的記錄追蹤的線索也由于電子設備的自動生成而中斷，收集線索模糊化、隱形化，取證難度大大增加。電子取證的基礎工作和關鍵環節是獲取物理證據，即最大限度地保證原始數據不受到任何破壞。在此階段，取證人員必須遵循的行為準則是任何情況下均不能改變原始記錄，不得執行無關操作，并杜絕他人可能改變數據的機會，取證人員應該詳細記錄取證的全過程，同時妥善保存所取得的數據信息。在特定情形下，對電子證據采取搜查、扣押(包括截取網絡傳輸信息)等措施時可能會涉及受法律保護的隱私或秘密等信息，此時應該事先獲得司法機關的授權或證據持有者的許可。其后，必須由司法人員、當事人和技術人員共同完成對電子數據介質的拆卸、移交、保管、開封等各個環節，每一個過程都應該核實電子證據的完好性和真實性，并制作詳盡筆錄，由參與主體共同簽名。靈活運用電子證據的易存儲特性，將載于原始介質的電子證據存放于專門的證據保存場所由專人保管，同時由取證人員共同制作兩個副本，對復制品進行信息的提取和分析。需要注意的是，存儲電子數據的介質和場所應遠離高磁場、潮濕、高溫、擠壓、灰塵等危險惡劣的環境。如運送易受無線電波影響的電子證據時要關閉無線通訊設備，以免其工作時產生的電磁場破壞數據。

(四)取證方法因電子證據的技術類型而不同

多樣化的技術類型使電子證據呈現出豐富的具體形態，收集不同類型的電子證據所采取的方法也會有所區別。一方面，電子證據的存放方式和地點與傳統的證據有所不同，它往往保存在特定電子設備中(如計算機硬盤、外圍存儲設備或網絡服務器等)并以電子數據的形式呈現出來〔3〕。這種對存儲設備的高度依賴性使得硬件損壞、誤操作、數據加密、隱藏、病毒以及黑客襲擾等諸多原因均可對電子證據的順利收集帶來困擾。在收集電子證據時，應針對各種存儲設備采取不同手段，盡量保證電子證據的完整性，最大程度考慮身份驗證、數據恢復、病毒防范以及黑客入侵等安全因素。另一方面，以數字化信息編程的形式出現的電子證據，其產生、儲存和傳輸的各個步驟均需借助各類電子技術，否則電子證據即成為“無本之木”。盡管在沒有外界蓄意篡改或差錯影響的情況下，電子證據一般能夠較準確地保存并反映案件事實，但技術的失真同樣會對電子證據的收集效果產生“致命”影響，故收集電子證據時一定要甄別不同技術類型，準確應用相應收集技術，從而保證電子證據收集的可靠性和真實性。

總體而言，應根據電子證據的具體類型采取不同的收集方式。而常見的電子證據主要有三種:其一是封閉操作系統中的電子證據，該系統是電子證據存儲的終端平臺，常用系統有計算機、手機等;其二是網絡電子證據，是指在開放網絡中存在的、由網絡語言構成的證據形態，主要形式有網頁、電子郵件、電子聊天記錄等;其三是通訊電子證據，是指在電子通訊過程中由通訊信息構成的證據形態，主要形式有通話、短信等。前兩種是電子證據最重要的組成部分，是電子技術發展的集大成者。但在具體案件中，電子證據的表現形式豐富多樣，應針對具體情形采取相應的收集手段。

二、封閉操作系統中電子證據的收集——以計算機為例

作為單個標準化操作系統中的特定電子數據，其與該系統所有者或使用者的聯系最為緊密也最為直接，故是實踐中最為常見的電子證據，亦是對該系統所有者或使用者所涉案件事實證明力最強的電子證據類型。計算機技術的日新月異帶動了計算機和手機操作系統的快速發展，計算機與手機在收集電子證據時有很多相似性，本文以計算機為例探討常用封閉操作系統中電子證據的收集。

計算機取證(Computer Forensics)也稱計算機法醫學，指把計算機看作犯罪現場，運用先進的辨析技術，對電腦犯罪行為進行法醫式解剖，搜尋、確認罪犯及其犯罪證據，并據此提起訴訟〔4〕。以往的司法實踐中，收集計算機證據一般采取復制、打印等簡單取證方式，但隨著計算機硬件和軟件技術的發展，司法人員顯然已無法有效解決一些專業技術問題。鑒此，在特定情形下，對計算機證據的收集需要借助專業技術人員的力量，即采取專業取證的方式。總體而言，對計算機證據的專業取證主要有以下幾種方式。

第一，解密。為了有效保護特定電子數據的私密性，在信息傳輸或存儲中，計算機用戶采用密碼技術對需要保密的信息進行處理，使得處理后的信息不能被非授權者讀懂或解讀，這一過程稱為加密。在加密處理過程中，需要保密的信息稱為“明文”，經加密處理后的信息稱為“密文”〔5〕。加密即是將“明文”變為“密文”的過程。實踐中，加密既可以通過計算機操作系統自帶的程序進行，亦可以借助第三方加密軟件實施。而且根據不同的需要，既可以實現對文件本身的加密，也可以做到對用戶權限的限制。這些被加密的電子數據往往是證明案件事實的關鍵證據，此時，便需要專業人員運用密碼分析、密碼破解、口令搜索、口令提取以及口令恢復等專業技術對信息加以解譯，從而將“密文”變為“明文”，這一過程便是計算機證據收集過程中的解密〔6〕。解密成功后，便可對特定計算機證據進行一般取證。同時，為防范電子數據在解密過程中被丟失或損壞，應備份被解密文件，必要時可通過錄像存檔解密的全過程，保證解密過程的規范性和嚴謹性。

第二，測試。在計算機證據收集過程中，如果涉及到與軟件設計或使用有關的問題時，應由專業技術人員現場使用事先制作的測試文件對特定軟件進行測試〔7〕。該測試是使用人工或自動手段來運行某個系統，從而檢驗其是否滿足規定的需求或預期結果與實際結果之間的差別，根本目的在于鑒定軟件的正確性、完整性和安全性。經過測試后，如果發現軟件存在問題，專業技術人員應對軟件予以檢查或提取固定，并使之成為證明案件事實的相關證據。

第三，恢復。在存儲介質損傷、操作系統故障以及操作人員故意或過失操作等情況下，計算機中的某些數據可能出現看不見、無法讀取或丟失等情形，這會對相關證據的收集造成阻礙。此時便需運用電子數據恢復技術，對保存在計算機硬盤、服務器硬盤和軟盤、移動硬盤、USB 閃存盤或可存儲光盤等移動儲存設備上丟失的電子數據進行搶救和恢復〔8〕。數據恢復技術所恢復的數據主要是應用數據，包括用戶專有的文本、數據表、照片、圖像、視頻、電子郵件以及數據庫文件等，用戶不僅關心文件內容，亦需要文件的完整。一般而言，計算機系統具有對數據自動生成備份和恢復的功能，專業的數據庫安全系統還會為重要數據進行專門的備份。這種系統大多由特定的設備和操作管理模式構成，其中的數據較難被篡改。當相關數據被修改或破壞時，可恢復自動備份數據，通過與已被處理過的數據進行對比來獲取相關證據。如果數據連同備份都被改變或刪除，則可在專業技術人員的協助下，通過計算機系統組織數據的鏈指針進入小塊磁盤空間，從中發現數據備份或修改后的剩余數據并進行比較和分析，進而恢復部分或全部的數據〔9〕。數據恢復技術主要用于把刪除或者通過格式化磁盤擦除的數據恢復出來。刪除文件時，計算機系統只是在文件分配表內在該文件前面加上了一個刪除標志，表示該文件已被刪除，其所占用的空間已被釋放，而其他文件可使用該釋放的空間。故當文件被刪除后又想重新找回時，只需用恢復工具將刪除標志去掉，數據即可被恢復。格式化操作與刪除相似，也僅是操作了文件分配表，只不過是將所有文件都加上了刪除標志或干脆將文件分配表清空，系統將認為硬盤分區上不存在任何內容。從本質上看，格式化操作并未對數據區做任何操作，目錄雖空但內容尚在，借助數據恢復工具即可恢復相應數據。

第四，截獲。從物理屬性上來看，電子信息的形成和傳播需要借助電磁場的力量，而在電子場作用的范圍空間內，電子信息可能為他人所截獲〔10〕。即便在封閉的介質中傳輸，也難免發生電磁泄漏現象，而這些泄露的電磁信號中即可能包含某些重要的信息。計算機系統在使用過程中也可能發生電磁泄漏的情形，故也可通過一定技術手段對相關電子數據進行截獲。但應注意的是，電磁泄露一般為部分泄露，故對彌散在物理空間中的電磁信息進行截獲也僅能達到部分取證的效果，只有通過在電子數據傳輸所經過的線路上架設各類工具并運用各種程序，才能持續、完整地實現全面截獲的目的。

三、常見網絡電子證據的收集

網絡電子證據的收集主要在開放的網絡上進行，需要通過各種手段對大量具有證明作用的網上信息進行固定和保存。但由于網上信息處于經常性變化狀態，而且極易被不留痕跡地修改，故與封閉操作系統中電子證據的收集相比，網絡證據的收集難度更大。

(一)網絡遭受異常侵入時證據的收集

由于網絡日志是記載網絡信息變化情況的最直接證據，因此當網絡遭受異常侵入時，首先要對網絡日志進行檢查和保存。對此類證據的收集乃需從計算機操作系統的系統日志、應用程序日志和安全日志入手并具體展開。這些日志具體包括操作系統事件日志、操作系統審計日志、網絡應用程序日志、防火墻日志、入侵檢測日志和受損系統及軟件鏡像等〔11〕。為防止這些證據文件在恢復系統備份時丟失，應先使用系統鏡像軟件將整個系統做鏡像保存后再進行恢復。要注意的是，網絡設備當前的工作狀態在斷電后即會消失，因此在系統關閉之前一定要將計算機系統和網絡設備的易失性數據保存下來。

可以使用計算機系統中的事件查看器查看并管理日志。基于主機的檢測器可以檢測到系統類庫的改變或敏感位置文件的添加。當結合所有現有的基于網絡的證據片斷時，就有可能重建特定的網絡事件。大多數的網絡流量在其經過的路徑上均會留下監查蹤跡。路由器、防火墻、服務器、入侵檢測器以及其他網絡設備都會保存日志，記錄網絡突發事件。入侵檢測器可以根據簽名識別或異常的檢測過濾器來捕獲攻擊的一部分〔12〕。取證人員需查找在地理上不同的所有日志，使之關聯，并為每個日志提供保管鏈，從而最終重建特定網絡突發事件。

(二)電子郵件的收集

作為通過網絡進行書寫、發送和接收的信件，每份電子郵件的發送都涉及發送方與接收方。發送方構成客戶端，接收方構成服務器，而服務器又含有眾多用戶的電子信箱。發送方通過郵件客戶程序將編輯好的電子郵件向郵局服務器發送;郵局服務器識別接收者的地址并向管理該地址的郵件服務器發送消息;郵件服務器將消息存放在接收者的電子信箱內并告知接收者有郵件到來;接收者通過郵件客戶程序連接到服務器后就能看到服務器的通知，進而打開自己的電子信箱來查收郵件。因為收件箱中的郵件均為只讀文件，收件人無法修改，因此其可以較真實地反映相關通信內容〔13〕。當然，應保證電子郵件的收集環境安全，未遭受病毒等異常侵襲。當特定電子郵件在系統優良的計算機中展示出來后，可通過打印或復制等方法將其固定起來;同時，在法庭上也可通過計算機系統直接展示電子郵件的相關內容。

(三)電子聊天記錄的收集

通過專門的網絡聊天工具，用戶在互聯網和移動通訊網絡上實時發送文本、圖像和聲音等信息會形成通訊記錄。通過分析這些記錄，可以即時了解聊天參與人的相關情況，故它們也成為一種可證明案件事實的重要的網絡證據。相對于電子郵件而言，電子聊天記錄存在的環境更為開放，收集起來亦更為困難〔14〕。在收集電子聊天證據時最核心的內容是聊天記錄本身，其可由網絡服務商提供;若網絡服務商未予保存，則可從參與者使用的計算機系統中調取，并以打印或復制等方式固定下來。對于被加密或篡改的聊天記錄，可聘請專業技術人員進行解密或恢復處理。此外，為確保聊天記錄的完整性和真實性，尚需收集個人信息證據和系統環境證據，前者是為確定參與人的具體身份(如IP 地址、上網賬號、服務器信息和信息傳遞路徑等)，后者可以輔助證明網絡聊天證據的可靠性。

四、常見通訊電子證據的收集

通訊電子證據的收集主要在通訊設備上進行，與網絡電子證據一樣，需要通過各種手段對大量具有證明作用的通訊信息進行固定和保存。更為重要的是，由于通訊方式具有時效性、直接性，需要滿足確認通訊人身份、通訊時間等要求。

(一)通話信息的收集

雖然目前學界在錄音等證據資料的獲取途徑和效力等問題上存在不同的認識，但不可否認，通話記錄和通話內容等信息在審判實踐中的運用越來越廣。對于通話記錄而言，當事人憑有效證件一般可較為順利地從電信運營商處獲取;而通話內容的收集則要通過錄音方式取得。因條件和環境等各方面因素的影響，錄音材料的順利獲取并非易事，因此應明確對通話內容錄音的相關要求。

第一步，準備條件。為確保通話的順利進行，在錄音前應從三個方面進行準備:其一，檢查錄音設備，防止通話過程中因技術問題影響錄音效果。其二，選擇合適場合。一般來講，越早交談，對方的防范心理就越弱，此時錄音的效果就越理想，若在對方防范心理增強后再錄音，效果可能不盡如人意。同時，應盡可能選擇環境較好的地方錄音，從而保證錄音質量。

第二步，確定身份。錄音時首先要明確各方當事人的身份信息等情況，如姓名、職業等，只有主體身份先確定下來，才談得上通過錄音證明雙方存在的事實。發問時要注意方式，盡量使用全名或全稱，同時要避免引起對方的防范。

第三步，表明時間。錄音的時間應在通話過程中有所體現，雖不必表述非常清楚，但至少應能確定大致時間或能通過邏輯推斷出時間，至少能夠根據錄音內容明確事件發生的先后順序。這一點在涉及證明事件未過訴訟時效時尤為重要。如在借款糾紛中，債權人若無證據證明其通過持續催款的方式延續訴訟時效，則在債務人作時效抗辯的情況下，法院很難支持債權人的訴訟請求。鑒此，債權人可通過同債務人談話錄音的方式證明債權人持續催款的事實。

第四步，把握節奏。錄音者應提出話題或提出質疑問題以便引導、促使被錄音人自己說出事實真相。不要在錄音中說一些無關緊要的事情(必要的發問技巧除外)，一定要控制通話的節奏，必要時應書面羅列下來以免遺漏。錄音者要銘記錄音的目的，注意控制自己的情緒，堅持錄音者少說話，讓被錄者多說話(被錄者沉默并不視同其承認)，避免用較大的聲音和激烈的言詞去壓制對方。同時，錄音過程不能有間斷，不要因被錄者表述與案件無關的事情就暫時停錄，否則可能會使法院認為錄音有處理嫌疑從而導致對錄音者不利。

第五步，保存原件。錄音材料的可變性使得對錄音進行修改、剪輯和添加等處理非常容易。這就要求一定要保存好錄音原件，不能隨意移動、復制或刪除。同時，錄音者應將錄音內容整理成書面材料，在向司法機關遞交錄音時一并提交。

(二)短信內容的收集

作為借助無線通訊網絡技術、通過手機發送和接受的方式在移動網絡上儲存和轉寄的簡短信息，短信這一表述社會主體思想內容的載體以其簡潔、便利和即時性強等諸多優點成為當今人們溝通和交流的重要手段。每個手機用戶的手機號碼和入網證號都是唯一的，短信發出后，接受者手機又能顯示對方的手機號碼。尤其是在手機實名制的情況下，手機用戶身份和所用手機“綁定”在一塊，這就意味著短信一旦生成，只要不被刪除，其即可被固定在發送方和接收方的手機上，進而確定雙方的真實身份;這就可以較為有效地被收集和保全，從而成為證明案件特定事實的重要利器。具體而言，對短信證據的收集要注意三點:其一，短信內容必須是與傳遞信息主體行為相關的思想內容的表述;其二，能夠明確知悉或查明相應手機使用人或信息接發主體的真實身份;其三，短信內容必須能夠被知悉并固定。如果不能全面地收集這些資料，則涉案短信不一定能夠作為法院認定案件事實的依據。

收集短信證據時，取證者應將短信連同存儲該手機短信證據的電子信息設備(手機)或電子信息介質(手機卡)一起收集〔15〕。在獲取原始電子信息設備(手機)或電子信息介質(手機卡)不方便的情況下，取證者可以利用手機轉發功能將特定手機上的短信轉發到其他手機上，并用記錄資料記錄下原手機短信的發送方、接收方、發送時間以及短信息服務中心號碼等相關信息。取證者還可借助專用軟件將手機短信存儲到計算機或其他存儲設備中，并用記錄資料記錄下計算機沒有存儲到的與短信生成及傳輸等有關的信息。

在短信證據收集過程中，首先要確定信息發送者的真實身份。在信息發送者與手機登記用戶一致的情況下，可通過運營商來確定信息發送者的身份;在兩者不一致的情況下，則可通過保留通話錄音或保存即時照片的方式來確定信息發送者的身份〔16〕。就傳輸信息的時間而言，用戶必須設置時間功能，這樣發送和接收才能有記錄，否則無法證實發送和接收時間;就發送情況而言，用戶可設置信息回復功能，從而掌握信息發送的狀態;就信息內容而言，用戶一定要完整地保存信息內容，不要出于各種原因進行修改或變動。此外，在接受信息者未將短信刪除的情況下，取證者可直接將此信息予以儲存，并將手機封存;在與案件有關的短信被刪除的情況下，取證者可通過手機短信運營商來調取短信內容。具體而言，取證者可持合法證件通過運營商的儲存信息將對應的手機短信的發送時間、雙方手機號以及內容等信息打印出來，并由在場的運營商工作人員簽字蓋章以證實出處。

〔1〕虞磊浩.論電子證據對刑事搜查的挑戰〔J〕.中國刑事法雜志，2009，(6):52 -57.

〔2〕張 睿.論民事訴訟中的電子證據〔J〕.中州學刊，2009，(3):24 -29.

〔3〕李 哲.電子證據若干問題探討〔J〕. 西南政法大學學報，2007，(6):58 -63.

〔4〕高 嵐.計算機取證有效遏制網絡犯罪〔N〕. 中國計算機報，2002-11-11(21).

〔5〕楊永川，李 巖.電子證據取證技術的研究〔J〕.中國人民公安大學學報(自然科學版)，2005，(1):55 -62.

〔6〕葉 紅.電子取證點中網絡犯罪死穴〔N〕. 中國計算機報，2007-05-21(22).

〔7〕徐燕平，吳菊萍，李小文.電子證據在刑事訴訟中的法律地位〔J〕.法學，2007，(12):47 -53.

〔8〕葉 紅.電子取證:打擊計算機犯罪的利器〔N〕.中國計算機報，2007-07-30(7).

〔9〕王笑強.數據恢復技術成為電子取證的核心技術〔N〕.中國計算機報，2009-11-23(41).

〔10〕梅賢明，何曉慧. 構建電子證據采信規則迫在眉睫〔N〕.人民法院報，2007-08-03(3).

〔11〕熊志海，吳映穎.網絡證據淺析〔J〕.重慶郵電大學學報(社會科學版)，2007，(1):91 -95.

〔12〕吳建蓉.巧妙收集入侵Windows 系統的證據〔J〕.信息化建設，2005，(9):42 -44.

〔13〕周明強.電子郵件證據的保全〔N〕.人民法院報，2006-08-09(5).

〔14〕盧金增，呂亞洲. QQ 犯罪猖獗，打擊卡在“取證難”〔N〕.檢察日報，2011-01-12(8).

〔15〕侯 丹，陳 靜. 手機短信可否作為本案直接證據〔N〕.人民法院報，2010-04-01(7).

〔16〕焦婷婷. 短信作為證據的“糾結”與“破解”〔N〕. 人民法院報，2010-12-13(6).