論網絡電子數據收集程序的完善

王志剛+王劉章

摘 要：電子數據收集程序的規范對于保障網絡犯罪案件處理的質量有著重要意義。有別于傳統的刑事證據，電子數據具有收集主體多元化、收集范圍廣泛化、收集方法科技化的特點。從我國當前司法實踐情況來看，電子數據在收集過程中存在一系列問題。當前可參照他國立法經驗，通過明確第三方的技術協助義務和保密義務、規定全面收集原則、確立快速保護機制、建立提交技術鑒定的標準這四個方面對我國電子數據收集程序予以規范。

關鍵詞：網絡犯罪；電子數據收集；實踐問題；規范思路

中圖分類號：DF72 文獻標識碼：A DOI：10.3969/j.issn.1008-4355.2014.05.10

截至2013年12月，中國網民規模達6.18億，互聯網普及率為45.8%。其中，手機網民規模達5億，繼續保持穩定增長[1]。而與之相對應的是，2013年網絡詐騙、信息泄露等案件頻繁發生，僅在下半年，遇到過網絡安全問題的網民比例高達74.1%，影響總人數達到了4.38億[2]。可以說，網絡犯罪一直處于變化發展之中，給刑事司法工作帶來了嚴峻的挑戰。

筆者認為，我國作為一個互聯網大國，當前應當繼續加大對各類網絡犯罪的打擊力度，從而營造一個安全、有序的網絡環境。同時，我們也必須看到，對網絡犯罪的打擊面臨特殊的證據收集要求，證據收集程序的規范，對于保證相關案件的處理質量具有重要意義。鑒于認定網絡犯罪的主要證據種類——電子數據的特殊性，筆者在本文將對電子數據的收集程序略陳管窺之見。

一、網絡電子數據收集的特點 電子數據的收集作為一種新型取證措施，其與傳統取證措施存在重合的部分，如傳統證據收集中有搜查、扣押，電子取證措施中也有電子搜查、扣押，然而“電子”二字又使兩者產生了截然區別，既有的搜查、扣押規則是針對傳統實物證據設計的，取證對象指向有體物；電子搜查、扣押針對的是電子證據，取證對象指向無形的電子數據。既有的偵查取證規則中有些可以在電子數據收集中繼續適用，有些可能需要進行調整才能適用，而有些則完全不能適用。概言之，電子數據的收集是一種新型、特殊的證據收集方式，主要表現在：

（一）收集主體的多元化

與傳統刑事證據相比，我國當前對于電子數據的法定收集主體并沒有特殊規定，仍是審判人員、檢察人員、偵查人員以及辯護人、訴訟代理人、刑事自訴案件的自訴人與被告人。但是，由于電子數據所具有的系統依賴性、隱蔽性、高技術性、脆弱性等特點，在收集過程具有較高的技術要求，這就要求證據收集人員必須具備相當水平的計算機知識，且能在取證過程中遵循嚴格的技術標準和程序，這與傳統的證據收集方法就存在較大的區別，而這對于一般的取證人員來說很難達到。因此往往需要借助于專業人員輔助完成。

域外立法對此規定不一，但許多國家都成立了專門的計算機取證公司（取證實驗室、證據保全實驗室），幫助執法機關進行電子數據的收集工作。例如美國的“電子數據發現公司”、“網絡偵探”、“數字犯罪現場技術員”以及英國的第一響應人、鏡像制作員等。但是，這些技術協助者必須遵守相關準則進行。例如英國規定，第一響應人在任何可能時候“處理數字證據時必須應用一切通用的取證和程序性準則，保護和收集電子數據所采取的措施不應當改變證據；所有關系到數字證據查封、訪問、存儲和轉移的活動都必須被完整記錄、保存以備復查”[3]。

（二）收集范圍的廣泛化

依據存留狀態不同，可將電子數據分為已存儲電子數據和傳輸中電子數據。傳統的搜查、扣押等證據收集措施只對已處于存儲狀態的電子數據（靜態電子數據）收集有效，而處于傳輸狀態的電子數據（動態電子數據）在網絡系統中保留時間都很有限，需要及時刪除、更新，以便通訊持續進行[4]。針對網絡動態電子數據的這種特性，當前許多國家都沒有明確地規定對其收集的范圍，因此只能依據相關規定進行推斷。

西南政法大學學報王志剛，王劉章：論網絡電子數據收集程序的完善加拿大《統一電子證據法》（Canadian Uniform Electronic Act）第1條明確規定：“（a）電子數據由電子記錄和電子記錄系統構成；（b）電子記錄指通過計算機系統或其他類似手段記錄或存儲的，通過為人或計算機系統或其他類似工具閱讀或接受的數據；（c）電子記錄系統包括記錄或存儲數據的計算機系統或其他類似工具及其與記錄或存儲有關的任何程序。”[5]計算機證據國際組織（International Organization on Computer Evidence ）受八國集團（G8）委托，在2000年頒布的《國際電子證據處理原則》中規定，“完整地記錄對證據的獲取、訪問、存儲或傳輸的過程，并對這些記錄妥善保存以便隨時查閱。”[6]2001年11月8日歐洲委員會（Council of Europe）通過的《網絡犯罪公約》（Convention on Cybercrime）則在第19條對計算機數據的收集范圍進行了規定，“締約國應授權其主管當局搜查或以類似方式訪問位于其領土范圍內的：（a）計算機系統以及存儲于其中的計算機數據；（b）計算機存儲載體。”[7]在我國，《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》（以下簡稱《解釋》）對電子數據的審查范圍做出了規定《解釋》第93條規定：“對電子郵件、電子數據交換、網上聊天記錄、博客、微博客、手機短信、電子簽名、域名等電子數據，應當著重審查以下內容：（一）是否隨原始存儲介質移送……有無提取、復制過程及原始存儲介質存放地點的文字說明和簽名；（二）收集程序、方式是否符合法律及有關技術規范；……遠程調取境外或者異地的電子數據的，是否注明相關情況；對電子數據的規格、類別、文件格式等注明是否清楚。”，這實際上是從另一個側面限定了電子數據的收集范圍。

由上可知，電子數據的系統依賴性使得偵查機關在收集電子數據時，不僅需要獲取電子數據，還需對與系統穩定性及軟件的使用情況以及原始存儲介質[8]等相關的材料進行全面收集。此外，對網絡動態電子數據存在的系統和技術設備的性能及可靠程度的認定，必要時還需要系統管理人員、證據制作人就相關情況出庭作證。

（三）收集方法的科技化

有美國學者撰文指出了電子證據收集與傳統搜查的四點區別：“第一，搜查環境不同。傳統搜查針對的是物理區域，偵查人員可以實際進入、觀察，移動物品；電子搜查針對的是存儲著0、1數字組合的計算機，偵查人員只能通過技術操作對數據進行處理才能將其轉化為人所識別的文字、符號或圖形。第二，搜查地點不同。傳統搜查通常發生在犯罪嫌疑人住所或身體，搜查的場所和財產與犯罪嫌疑人有合理的聯系；電子搜查通常發生在搜查現場之外，在政府部門的電腦中對犯罪嫌疑人的硬盤拷貝副本進行搜查。第三，存儲機制不同。傳統搜查通常只包含數量有限的財產；電子搜查面對的則是具有海量存儲性的電腦，大多數用戶都不知道信息存儲的細節情況，也不知道如何控制。第四，技術和侵犯性不同。傳統搜查屬于物理性的，需要偵查人員組成隊伍在短時間內完成；電子搜查既是虛擬性的也是物理性的，可能不需要太多人但需要更多時間。”[9]

由上可以看出，電子數據收集的技術性特征明顯，而網絡動態電子數據的收集方法的科技含量則更高，比如：網絡電子數據的隱蔽性使得犯罪嫌疑人可通過多種方式（如采用哈希函數加密方法）隱藏證據，在云計算環境下，犯罪嫌疑人還可通過隱藏 IP、修改 MAC 地址、利用多層“跳板”、代理等技術手段試圖隱匿行蹤，給偵查取證制造麻煩[10]，這就需要運用數據搜索技術和數據解密技術來收集證據。而網絡電子數據的動態性，又使得需要在其經過的線路上設置各種專用的軟硬件工具，這又需要運用動態截獲技術來收集證據。

總之，網絡電子數據的收集主體、收集內容及收集措施與傳統證據的收集都存在較大區別，這也決定了對電子數據的取證要有嚴格的程序予以規范，現有的相關法規雖然在一定程度上解決了電子數據收集的無法可依的狀況，但限于其規定的局限性及內容的零散性，無法有效規范電子數據的收集活動。

二、當前司法實踐中存在的幾個主要問題 在實踐中，如何規范收集和妥善運用電子數據已成為一個新的難題。通過對西部某市的三個基層公安機關和兩個基層職務犯罪偵查部門進行走訪調研，筆者發現：這些偵查機關很少運用電子數據，即使特殊案件所需不得已收集了電子數據，程序也不盡相同：有些是先根據IP地址控人獲取口供，而后再以犯罪嫌疑人的私人電腦硬盤中存取的數據作為對口供的印證而用以案件；有些是將QQ聊天記錄、論壇發帖內容、手機短信記錄進行屏幕截圖后予以打印轉化為書證運用。這種現象的出現固然不能排除存在偵查人員面對新興技術的畏難與回避因素，但筆者認為最重要的原因的還在于缺乏統一明確的電子數據收集程序。

具體來看，當前主要存在以下幾個問題：

（一）對第三方技術協助的必要性重視不夠

如上所述，電子收集的高科技特征使得偵查機關往往需要第三方提供的技術配合和協助。第三方一般包括：使用計算機及外設記錄其活動狀況的人，監視數據輸入的管理人，對計算機及外設的硬件和程序編制的人等。這類第三方又被稱之為“潛在證人”，是指雖然對案件事實不能起到證明作用，但是可以對電子證據的真實性及其內容起到一定的證明作用的人[11]。

在網絡犯罪偵查過程中，有兩種情況特別需要第三方的技術支持：第一，電子數據被犯罪嫌疑人加密處理或技術性隱藏，這對偵查人員的技術水平要求很高，若偵查人員處置不慎會破壞數據的原始性和完整性；第二，偵查人員到網絡服務商（ISP）處調取數據時，由于對存儲系統的陌生，往往必須借助第三方技術人員的協助才能順利完成取證，這在“云存儲”技術廣泛運用于民用、商用領域的情況下更為突出。

而在實踐中，由于偵查人員普遍對電子數據的收集不熟悉，加之法律規定的闕如，使得偵查人員往往因為擔心泄密或違反法律規定而不敢求助于第三方，或望“洋”興嘆，或扣下涉案電腦硬盤，漫無目的地進行海量數據檢索，偵查工作往往由此而陷入僵局。

（二）證據材料收集不完整

根據記載內容不同，可將電子數據分為內容數據和附屬數據。內容數據“是指記錄了一定社會活動內容的電子數據，如電子郵件正文、Word文檔的內容等”；附屬數據“是指記錄了內容信息電子數據的形成、處理、存儲、傳輸等信息的電子數據，例如電子郵件的發送、傳輸路徑等”[12]。《網絡犯罪公約》將附屬信息稱為“往來數據”， 該數據“揭示了通訊的來源、目的地、路徑、次數、日期、規模、持續時間或基本服務的類型”[13]。內容數據可以轉化為各類型的電子證據，而附屬數據同樣具有證明價值，其可用于證實內容數據信息的客觀性。因此，內容數據和附屬數據都應是證據收集的重點。

但從實踐情況看，偵查人員主要把注意力放在內容數據信息的收集上，而忽略了附屬數據信息的收集。如在“楊某利用網絡進行侮辱、誹謗案”中，對于某知名微博平臺發布微博內容的收集，除了要收集、固定犯罪嫌疑人所發布微博中的具體內容外，還應當收集發布者的個人信息、IP 地址等附屬信息，以在證明體系上將微博發布者與某個特定的行為聯系起來。而本案中偵查人員卻忽視了對附屬信息電子數據的收集，從而導致證據材料收集的不完整。從而使得證據鏈條存在缺失，無法證明內容數據信息的客觀性與真實性，從而造成了證明體系的不完整。

（三）未能及時對電子數據進行收集、固定

網絡電子數據具有高速流轉性，從理論上說，其傳輸速度可達至光速且不受地域空間的限制，而如上所述，處于傳輸狀態的電子數據（動態電子數據）在網絡系統中保留時間非常有限。因此，對于網絡電子數據必須迅速進行保護和提取，以避免被犯罪嫌疑人等銷毀，而實踐中卻也正存在由于涉案數據被刪除而無法收集的情況。

以C市某區公安分局偵辦的“余某等網絡詐騙案”為例，2011至2012年期間，犯罪嫌疑人余某伙同他人利用互聯網絡以電子郵件的方式發送虛假中獎廣告進行“釣魚”，涉嫌犯罪。經查詢涉案電腦，相關電子郵件已被刪除且無法通過技術手段恢復。后經與ISP聯系得知，依據互聯網相關管理規定，多數郵件因超過時間已經被自動刪除，也不具有恢復的可能性，這使得本案定案的關鍵證據缺失，案件偵查由此陷入被動。

（四）缺乏對關鍵數據的技術鑒定

我國有學者指出，電子取證程序可概括為四個環節：一是電子取證的準備階段；二是電子證據的收集保全階段；三是電子證據的檢驗分析階段；四是電子證據的提交階段[14]。其中，電子證據的檢驗分析又是電子取證的深入階段，它充分體現了電子取證不同于傳統取證的特點，可以說，在電子數據的收集中，提取電子數據只是第一步，核心環節還在于后續對電子數據的檢驗和分析。從實踐情況來看，電子證據的提取、審查和判定都難以單獨由普通偵查人員完成，而是必須通過偵查技術人員或者專門機構進行檢驗、分析、鑒定后做出司法鑒定意見書，用以指控和證明犯罪。

然而在實踐中，偵查人員往往“一取了之”，一旦提取到含有犯罪事實的電子數據即宣告取證結束，旋即進入了證據提交階段，這對后續刑事訴訟程序的順利進行埋下了隱患。在“唐某等涉嫌盜竊一案”的偵查中，涉案的李某、陶某都供稱是利用唐某所提供的 VPN 登錄方式運程登錄某公司的服務器實施盜竊行為，但偵查機關卻未對這種 VPN登錄方式及時進行鑒定，從而在后面造成證據鏈條斷裂，案件在審查起訴環節因為真實性難以認定而不得已做了不起訴處理，唐某等人抽身而退。

筆者認為，造成上述系列問題，主觀上可歸因為偵查人員計算機水平不能適應高科技發展的要求而造成的偵查能力不足。而在客觀上，則是因為我國當前對電子數據的審查、認定規則不夠完善，哪些東西該收集、哪些不用收集，偵查人員難以做到“心中有數，手上不慌”。

三、網絡電子數據收集程序的規范 從我國司法情況來看，當前電子數據的收集面臨著技術提升和法律規制的雙重任務。從技術方面來看，電子數據的收集必須朝著取證技術綜合化、取證范圍擴大化、取證工具擴大化以及取證過程標準化的方向努力，以更好的技術能力回應司法實踐的需求。但另一方面，我們也必須看到，電子數據的收集是我國刑事司法取證的組成部分，必須受到法律的規范，特別是隨著證據裁判原則在我國新《刑事訴訟法》中的初步確立，這種趨勢更加明顯。筆者認為，當前需要做好以下幾個方面的工作：

（一）明確第三方的技術協助義務和保密義務

如上文所述，電子證據的收集不同于傳統搜查，很多時候都離不開第三方的支持和參與。因此，我國有必要在立法層面明確規定第三方的技術協助義務，幫助偵查人員及時有效的收集電子數據，從而使偵查人員敢于理直氣壯地請求技術人員的幫助，避免“諱疾忌醫”的情況出現。

在明確第三方的技術協助義務后，另一個需要解決的問題是：第三方如何開展協助？這個問題在美國也產生過廣泛爭議，但隨著“合眾國訴米勒案”和類似判例的出現，美國司法實踐中形成了所謂的“第三方搜查原則”，即：假如犯罪嫌疑人的電子信息為第三方合理地持有或獲知，則第三方在協助警察開展計算機搜查時無須以申領令狀為前提[15]。這種立法趨勢值得我國借鑒，筆者認為，只要偵查機關認為有必要取得第三方的技術支持進行電子證據收集，在取得書面文書告知后，第三方就應當予以配合取證。同時，也必須明確第三方的保密義務以及泄密的法律責任，以保證偵查過程的保密性。

（二） 規定全面收集原則

電子數據的全面收集原則，是指在網絡犯罪取證時，不僅要收集內容數據，還要注重收集包括附屬數據在內的全案數據資料，從而使電子數據本身形成一個完整的證據鏈條[16]。如果某一證據是由某種電腦程序或系統運作而得，對該證據的證真和識別，則需要用描述該程序或系統的證言來進行[17]。實踐中，內容數據信息通常易遭到修改且不易發現，如果沒有相應的附屬數據予以佐證，證據鏈條將存在重大缺失，電子數據的真實性將受到質疑。

因此，有必要確立全面收集的原則，就現階段而言，應當依據《解釋》第93條中對電子數據的審查要求來明確電子收據的收集范圍，確保相關電子數據能夠全面、完整收集。

（三）確立快速保護機制

解決電子數據收集的時效性問題，除了強化偵查人員及時收集電子數據的緊迫感之外，還應當參照國外立法實踐，在我國建立起電子數據快速保護機制。電子數據快速保護是指快速保存已經以靜態形式存在的計算機數據，防止由于外部原因而改變或滅失，從而維持現存計算機數據的安全。《網絡犯罪公約》第16、17條創立了“現存計算機數據的快速保護制度”，并成為電子取證的新的方式。電子數據快速保護的作用體現在：第一，有利于迅速保護容易被偽造、更改的犯罪證據。第二，有利于發現犯罪蹤跡。第三，有利于犯罪證據的獲取。第四，有利于國際司法協助的有效進行。

我國當前對網絡服務提供者保留電子數據的義務有所規定我國《互聯網信息服務管理辦法》第14條規定，從事新聞、出版以及電子公告等服務項目的互聯網信息服務提供者，應當記錄提供的信息內容及其發布時間、互聯網地址或域名；互聯網接入服務提供者應當記錄上網用戶的上網時間、用戶賬號、互聯網地址或者域名、主叫電話號碼等信息。互聯網信息提供者和互聯網接入服務提供者的記錄備份應當保存60日，并在國家有關機關依法查詢時予以提供。《互聯網電子公告服務管理規定》第14條對電子公告服務提供者也規定了前述相似的規定。，但上述規定存在法律效力弱、執行效率不高等缺陷，不能有效保障偵查機關電子數據收集活動的順利進行。而國外的司法實踐證明，快速保護電子數據機制在網絡犯罪的偵查中具有關鍵作用[18]，這點值得我國借鑒。

（四）設計提交技術鑒定的標準

筆者認為，立法層面應確立電子數據收集過程中提交技術鑒定的標準，將需要由具備專門知識的人加以分析判斷、形成佐證材料的情形盡可能詳盡規定，從而給偵查取證人員一個明確的指引。這樣一來，在涉及病毒、木馬類電子數據時，偵查人員就必須對其提交進行技術鑒定。同時，應對整個鑒定過程進行同步錄音錄像，保障整個過程都有據可查。

除了上述方面，最重要的還是應當提升偵查人員的計算機偵查能力，加強其對電子數據的認識，這是提升網絡犯罪偵查能力的關鍵所在。正如有學者所指出：“開展電子取證離不開偵查知識、證據知識和技術知識，其中偵查知識與證據知識比技術知識更為重要。就這一點而言，普通的偵查人員從事電子取證工作不僅不處于弱勢，而且具有先天的優勢。因此，偵查人員更應該學習和掌握電子取證知識，而不應當坐等鑒定人員、技偵人員或外聘專家的幫助。”[19]

參考文獻：

[1] 中國互聯網絡信息中心.第33次中國互聯網絡發展狀況統計報告[EB/OL].[2014-08-03].http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201401/t20140116_43820.htm.

[2] 中國互聯網絡信息中心.2013年中國網民信息安全狀況研究報告[EB/OL] .[2014-08-03].http：//www.cnnic.cn/hlwfzyj/hlwxzbg/mtbg/201312/t20131219_43475.htm.

[3] 杰拉爾德·科瓦契奇，安迪·瓊斯.高技術犯罪調查手冊：建立和管理高技術犯罪防范計劃[M].吳渝，萬曉榆，等，譯.北京：科學出版社，2009：137.

[4] 戴瑩.刑事偵查電子取證研究 [M].北京：中國政法大學出版社，2013：163.

[5] Canadian Uniform Electronic Act [EB/OL] .[2014-08-03].http：//cryptome. org/jya/ eueea.htm.

[6] 麥永浩.電子數據司法鑒定實務[M].北京：法律出版社，2011：48.

[7] Explanatory Report of Covention on Cybercrime [EB/OL].[2014-08-03].http： //conventions .coe.int /Treaty/ en/Reports/ Html/ 185.htm.

[8] 劉品新.論電子證據的原件理論[J].法律科學，2009，（5）：119-127.

[9] Orin S.Kerr. Searchers and Seizures in a Digital World [J]. Harvard Law Review， 2005，（119）：531-569.

[10] 欒潤生.面向云計算的計算機網絡犯罪偵查取證的思考[J].網絡安全與技術運用，2011，（12）：168-170.

[11] 周曉燕.電子證據檢察實務研究[J].中國刑事法雜志，2011，（1）：58-65.

[12] 皮勇.刑事訴訟中的電子證據規則研究[M].北京：中國人民公安大學出版社，2005：13.

[13] Explanatory Report of Covention on Cybercrime[EB/OL]. [2014-08-03].http：//conventions.coe.int/Treaty/en/Reports/Html/185.htm.

[14] 劉品新.電子取證的法律規制[M].北京：中國法制出版社， 2010： 89.

[15] 徐燕平.刑事證據運用[M].北京：中國檢察出版社，2008：83.

[16] 陳界融.美國聯邦證據規則（2004）譯析[M].北京：中國人民大學出版社，2005：141-142.

[17] 皮勇.新刑訴法實施后我國網絡犯罪相關刑事程序立法的新發展[J].法學評論，2012，（6）：116-125.

[18] 劉品新.職務犯罪偵查信息化與電子取證[J].國家檢察官學院學報，2013，（6）：165-178.

On the Improvement of Network Electronic Data Collection Procedure

本文責任編輯：桑 林