電子證據的審查認定

金果

[基本案情]被告人周某在互聯網上經營服務器出租業務過程中與王某認識并成為好友，經過多次聊天交流，周某發現王某在計算機網絡方面的知識比自己精通。2009年5月下旬，周某家購買自備車后，決定參加7月的車牌競拍。周某為確保競拍成功，遂起意對競拍服務器發起DDOS攻擊。由于普通的木馬軟件會被大多數網站的殺毒防護軟件過濾，周某個人不具備散布病毒軟件的能力，于是7月初周某聯系王某，讓王某幫其在網上發布能夠控制他人計算機的木馬病毒軟件，同時許諾給王某免費使用兩臺服務器作為幫忙抓肉雞的報酬。王某在得到周某通過MSN傳給其的木馬惡意軟件客戶端后，利用自己的計算機知識，將該客戶端偽裝成熱門電影BT下載種子文件后上傳至網上進行傳播，從而使周某獲得5000余臺上網用戶計算機的控制權。其后，周某在參與車牌競拍過程中，利用上述肉雞發動分布式拒絕服務攻擊，致使私車額度網上競拍服務器無法正常運行，使近萬人參與的拍牌活動被迫取消，在社會大眾中形成了種種猜測、謠言，而且該事件經電視臺、報刊、網絡傳播，極大地損害了政府的公信力，造成惡劣社會影響。

一、本案電子證據的審查內容

在本案中，司法機關提出的證據主要有：（1）被告的有罪供述；（2）證人（“肉雞”電腦持有人、拍牌投標人、拍賣公司人員、被告人親屬）證言；（3）某信息技術有限公司出具的網拍服務器被攻擊的司法鑒定；（4）公安局信安處出具的遠程勘驗工作記錄；（5）公安局出具的對涉案的部分“肉雞”檢查情況和硬盤復制經過的現場勘驗筆錄；（6）拍賣公司提供的監控錄像截圖；（7）電信公司提供的IP地址查詢結果；（8）調取有關拍賣事實的證據和扣押計算機以及相關設備清單；（9）抓獲經過、身份證明等其他證據。這之中（3）（4）（5）（6）（7）項均為電子證據。

審查本案的電子證據內容，主要是從電子證據的可采性角度出發，圍繞證據的關聯性、合法性、真實性三個方面加以考察。

關聯性要求指證據必須與需要證明的案件事實或其他爭議事實具有一定的聯系。在實踐中，要想判斷電子數據與案件是否有關聯，可從以下方面考察：所提出的電子數據證明事實的是什么、該事實是否是案件中的實質性問題、所提出的電子數據對解決案件中的爭議是問題有無實質性的意義。

合法性則要求證據的主體、形式及收集程序或提取方法必須符合法律的有關規定。筆者認為就應從兩個方面來審查。一是審查收集電子證據的主體是否合法，即收集電子證據技術人員是否具備資質；二是審查電子證據的收集程序是否合法。通常情況下通過竊取方式獲得的電子證據，不予認定；通過非法搜查、扣押等方式獲得的電子證據，情節嚴重的一般不予認定。[1]

證據的真實性是證據能夠成為定案依據的本質要求，它要求證據從內容到形式都是真實的，其內容要反映客觀事實，其形式能被人們所認識。電子證據真實性可以依照以下兩種方法考察：（1）考察電子證據的運行各個環節的真實可靠。從電子證據的生成、電子證據的存儲、電子證據的傳送、電子證據的收集、電子證據在上述環節是否被刪改過多方面加以考察。[2]（2）通過外界相關因素的安全性可靠性的認定來推定電子證據的真實性。從世界范圍內電子證據法的規定來看，間接認定電子證據真實性的方法常見的有四種情況：（1）通過認定與某一電子證據有關聯者所作的證明，來推定該電子證據具有真實性；A、訴訟當事人雙方均認可該電子證據；B、由適格證人通過具結方式證明該電子證據的真實性；C、由適格專家鑒定該電子證據未遭修改；（2）通過認定某一電子證據所依賴的電子系統具有可靠性，而推定該電子證據具有真實性；（3）通過認定某一電子證據的安全保障程序運轉正常，來推定該電子證據具有真實性；（4）通過某一電子證據是在正常的業務活動中生成并保管的，來推定該電子證據具有真實性等。[3]

二、電子證據的證明力比較及認定規則

（一）計算機犯罪中電子證據證明力比較

證明力是指證據在證明待定事實上體現其價值大小與強弱的狀態或程度。證據的證明力一般是由根據日常經驗自由判斷，也就是按照認定主體自由心證決定。但是這給電子證據證明力的判斷帶來了難題。一方面，在現代證據制度下，電子證據的證明力大小沒有法定的規則可以遵循，只能根據自己的經驗進行判斷；另一方面，很多司法人員并不是十分熟悉電子技術，這給刑事證據判斷帶來難題。在這種情況下，筆者覺得有必要對電子證據的效力階位做一認定。北京大學張玉鑲、李文偉在《刑事訴訟中圖像電子證據的舉證、質證和認證》一文中提出的兩方面比較方法筆者認為很有借鑒意義。

1.有效性比較。所謂的效能比較是指應當比較電子證據和待證事實之間的關聯程度，一般具有較高證明效能的電子證據具有較強的證明力。我們可以從電子證據的來源、分辨率、清晰度等方面來考察。一般來說，原生型電子證據的證明力要優于保存型電子證據；高解析率的電子證據的證明力要優于低分辨率的電子證據；清晰度高的電子證據的證明力要優于清晰度低電子證據。[4]高音質的電子證據證明力要優于音質低的電子證據。

2.信度比較。信度比較主要是出于對電子證據的功能實現從而對電子證據的品質進行比較。對于電子證據而言，主要表現在未經壓縮數據處理的電子證據較之于壓縮過的電子證據、有可靠加密措施的電子證據較之于沒有加密措施的電子證據、未被修改過的圖像電子證據較之于修改過的圖像電子證據具有證明的優勢。[5]

（二）計算機犯罪電子證據認定規則

電子證據的可靠性是相對的，在具體的認證規則的指引下，對電子證據的可靠性進行判斷，電子證據完全可以同傳統的證據形式一樣成為“強勢證據”。由于保障電子證據證明力的技術手段和規范也在不斷變換，所以我們對電子證據證明力的認定應該遵循下列規則：

1.經公證機關公證的電子證據具有較高的證明力。基于公證機關的特殊性質和中立地位，我國法律對公證取得的證據承認其預決的真實性，除有相反證據外不得推翻。公正的預決效力當然適用于電子證據。電子證據的公證除了常規的公證方法外，還有網上的“在線公證”。即模擬傳統的公證工作，對計算機系統的所有活動實施動態的監視和記錄。如計算機受到攻擊等，均留下痕跡，形成可供直接收集、提取的有關數據電文證據。計算機公證技術的運用將形成了計算機公證系統，以硬件和軟件兩種方式實現。該系統具有監視功能和檢測功能。其中，監視功能可監視計算機的所有操作，為入侵計算機系統的犯罪偵破及犯罪審查提供線索和證據。檢測功能則可檢測數據電文的真實性、可靠性和完整性，判斷數據電文是否己被篡改，有關程序是否處于正常的運行狀態中。為數據電文的認證提供可靠的依據。

2.由可靠系統產生的電子證據具有較高的證明力。所謂可靠系統認定，其一是官方認定的，即由國家頒布法律法規對某種程序運行所需要的資格進行必要認證。比如有些國家，如新加坡，在電子商務系統的認證上采取“核實程序（ApprovedProcess）”，通過一個專門機構按照一定的標準和步驟對公司的電子商務系統進行審核，如果電子證據是由通過審核的電子商務系統產生的，那么其在訴訟中就有相當的證明力。我國電子商務發展較晚，在立法上也沒有對使用何種系統做出規定，在目前官方認定非常少的情況下，對可靠系統的認定主要是通過側面認定，即通過計算機系統的正常運行來推定。在計算機正常運行情況下產生的電子證據可以推定未被非法修改，其內容的真實性可得以保障，因而證明力也較強。加拿大的《統一電子證據法》對可靠系統的側面認定也有類似規定，即該法第5條第1款規定：“在任何法律程序中，如果沒有相反證據，則可以通過那些支持如下裁定的證據，推定記錄或存儲電子證據的那一電子系統具有完整性，即：裁定該計算機系統或其他類似設備在所有關鍵時刻均處于正常運作狀態，或者，即便不處于正常運作狀態，但其不正常運作的事實并不影響電子記錄的完整性，并且沒有其他合理理由對該電子記錄系統的完整性產生懷疑”。

3.經過中立機構認證或者使用認證機構的證據具有較高的證明力。證書進行數據簽名的電子證據具有較高的證明力電子證據生成、存儲、傳送等過程經過了一個中立的技術機構的認可的證據具有較高的證明力。最為典型的是電子商務中認證機構對電子簽名的確認。電子認證與電子簽名都是電子商務的保障機制，但兩者的手段、功能、目的及運用范圍都有一些差異。電子簽名是一種技術手段上的、工具性的保障，主要用于數據通信本身的安全，使之不被否認或篡改，且主要適用于封閉型和開放性的交易網絡。而電子認證則主要用于交易關系的信用安全方面，保證交易主體的真實與可行，是一種組織制度上的保證，適用于開放性的交易網絡。

電子數據認證機構一般由專業的、獨立的不以盈利為目的的第三方擔任。聯合國貿法會的《統一電子簽名規則》和美國的《統一電子交易法》都對電子認證機構的職責和權利義務做了規定。它的主要功能包括簽發和管理電子商務證書，產生、管理使用者密鑰、CA密鑰等。很顯然，認證機構的重要作用是保證電子交易的安全，在電子交易中所起到的作用與見證人相似，在進行電子證據收集中，認證機構所提供的原始記錄應當是真實和可靠的。如若不然，認證機構則對此承擔相應的法律責任。

4.由中立第三方保存的電子證據具有較高的證明力。第三方保管的電子證據，由于其中立性和獨立性，它所提供的信息一般更為客觀、公正，真實可靠性較高。因此，諸如網絡服務中心、網絡運營商之類的貿易雙方之外的第三方（或稱“中間人”）對電子商務糾紛中的電子證據的證明力起到至關重要的作用：在電子商務活動中，網絡服務中心，網絡運營商通常履行著中間功能或者提供一系列的“增值”服務，即負責數據電訊的格式化、翻譯、記錄認證、證明、存儲及安全等。正常情況下網絡運營商將電子數據儲存以保護貿易雙方的商業秘密；在案件發生或引起糾紛時，公安或司法機關就能方便的從這些網絡服務中心收集有關的電子證據，以審查當事人提供的電子證據的可靠程度。為達到上述收集、存儲電子證據目的，網絡服務中心等的法律地位、權利義務和法律責任都應予以規定，才能保障其提供的電子證據公正、可靠、權威。從各國的法律規定來看，提供證據的運營商應滿足以下條件：（1）網絡服務中心對電子數據的儲存應經過貿易雙方一致同意認可。（2）網絡服務中心必須具有獨立而又中立的地位。（3）網絡服務中心應嚴格遵照其與當事人約定的保密及安全存儲等義務，不得對電子證據進行任何未經授權的改動。（4）網絡服務商對數據的存儲應該達到一定年限，以預防一定時間之內產生的糾紛。如新加坡規定該存儲年限為11年。《廣東省對外貿易實施電子數據交換暫行規定》就規定，EDI服務中心應有收到報文和被提取報文的回應和記錄，凡是法律、法規規定文件、資料必須長期保存的，其電子報文要給予存貯，存貯期最短不得少于5年。

5.由專家出具確認意見或者鑒定結論的電子證據具有較高的證明力。為了鑒定電子證據尤其是從互聯網上取得的電子證據是否被篡改過，常常需要借助于專家的力量。有關專家憑借自身的專業計算機技能對某一爭議的事實做出說明。但是專家的意見一般來說歸于“證人證言”，可以采納。但是電子證據的鑒定結論則是由電子證據對存在真偽問題的計算機記錄進行鑒定，所出具的鑒定書中反映的鑒定結論具有較高的證明力。

6.在正常業務活動中制作的電子證據的證明力，大于為訴訟目的而制作的電子證據的證明力。第一種在正常業務活動中制作的電子證據，系英美法系所說的業務記錄，如銀行在營業廳拍攝的監控錄像、電子商務企業對日常運營制作的電子賬簿、電子發票等。業務記錄往往擁有可靠的信息來源、計算機存儲設備和完善的規章制度保障，它的形成通常經過系統的多方核對，且為人們在實際業務活動中所信賴，因而一般可推定其屬實；第二種是為訴訟目的而制作的電子證據，如代理律師為贏得訴訟而秘密錄制的與他人直接的電話交談、為收集有利證據而聘請電子證據發現公司搜索的E-mail證據、為完成舉證責任而事后整理的電子證據等。這類證據難以杜絕制造者為勝訴而進行人為選擇甚至造假的可能性，故而其可靠性較差。

本案中證據（3）某信息技術有限公司出具的網拍服務器被攻擊的司法鑒定，是由中立第三方保存的電子證據，其來源可信度較高，并且主要目的是證明行為人行為危害性，是和案件實質問題直接相關，因此其真實性、合法性、關聯性都沒有問題；證據（6）拍賣公司提供的監控錄像截圖是在正常業務活動中制作的電子證據，該類證據的形成通常經過系統的多次驗證，且為人們在實際業務活動中所信賴，因而也具有比較高的證明力，可以采信；證據（7）電信公司提供的IP地址查詢結果其來源是可靠系統產生的電子證據，它所提供的信息客觀、公正，真實一般可以得到認可。而對證據（4）公安局信安處出具的遠程勘驗工作記錄和證據（5）公安局出具的對涉案的部分“肉雞”檢查情況和硬盤復制經過的現場勘驗筆錄。這兩個證據都是公安機關從信息系統中提取的，其依賴的電子系統具有可靠性，且該電子證據的安全保障程序運轉正常，一般可以推定該電子證據具有真實性。因此，本案的證據具有關聯性、合法性、真實性，并且有較強的證明力。

三、本案電子證據的審查流程

本案中，我們需要如下完整的證據鏈來證明行為人的行為是犯罪行為：以“某信息技術有限公司出具的網拍服務器被攻擊的司法鑒定+拍賣公司提供拍賣流拍事實+參拍人登陸網站參拍遭受拒絕服務攻擊的證人證言”證明行為的危害后果；以“上網設備特征+傳輸設備特征（公安局出具的遠程勘驗筆錄）+IP地址”確定被告人實施行為的“空間”；以“電腦用戶人登陸系統的時間+被告人在場證明”確定被告人實施行為的“時間”，而后兩者確定了被告實施犯罪行為的可能性和唯一性。以“公安機關勘驗筆錄顯示的計算機日志+上網時間”排除其它人“盜用”IP地址的可能性。[6]這樣通過大量證據的互相印證，排除了一切可能的疑點。也就是說與案件相關的“行為危害后果”、“行為實施空間”、“行為實施時間”的證據是審查的重點。

根據對此案件的分析，我們可以進行以下歸納下述證據審查流程：

1.在審查計算機犯罪證據時首先應該看串聯在一起的證據鏈各個證據證明方向是否一致，能否排除其他可能，從而查看本案證據是否充分。我們可以有這樣的思維路線：首先應該考察收集的證據與待證事實之間的關聯性、合法性、真實性問題，進而認定哪些證據可以被采性。之后根據能夠證明損害事實發生的證據證明犯罪行為以及產生的危害后果，通過空間和時間證據確定行為系犯罪人實施，并排除一切合理懷疑，從而還原出較為精準的案件事實。見下圖。

2.電子證據必須和其他證據相互印證考察。由于一個案件的多種或多個證據之間存在著橫向與縱向的復雜關系，所以必須把電子證據納入到案件的整個證明體系中去，即把電子證據與案件中的其它證據結合起來考察，分析電子證據與其它證據之間、多個電子證據之間有無矛盾，各自證明的結論是否一致，是否形成完整的證據鏈條，與案件發生的時間、地點等案件要素邏輯上是否統一等。[7]例如我們都熟知的IP地址的證據效力問題。單純的IP地址是不能來證明其對應的電腦的，因為隱藏、偽造和冒用IP地址的情況時有發生，同時IP地址只可以確認行為所在地，但是不能鎖定行為人，比如網吧可能是多個人使用同一IP地址，但是如果我們把IP地址和其他證據相互印證，上網賬號或者是計算機日志等等，就會有一個比較完整的比較有證明力的證據鏈。[8]

注釋：

[1]在我國尚未制定電子證據收集程序的規范之前，偵查人員搜查、扣押電子證據主要應遵守《刑事訴訟法》關于搜查、扣押的一般規定以及《公安機關辦理刑事案件程序規定》第215、216、217條專門規定扣押電子郵件、電報的規定，即應經縣級以上公安機關負責人批準、簽發扣押通知書并派專人看管等。如果違反上述規定的，應當立即糾正；情節嚴重的，不予認定。

[2]參見李學軍：《電子數據與證據》，載何家弘主編《證據學論壇》第二卷，檢察出版社2001年版，第462-463頁。

[3]參見何家弘主編：《電子證據法研究》，法律出版社2002年版，第149頁。

[4]參見張玉鑲、李文偉：《刑事訴訟中圖像電子證據的舉證、質證和認證》，載《山東警察學院學報》2008年第2期。

[5]同[4]。

[6]參見寧勇：《電子證據的基本問題與取證初探》，載《中國知網》，訪問日期：2015年7月19日。

[7]參見冷玉：《刑事訴訟中電子證據研究》，載《中國知網》，訪問日期：2015年7月21日。

[8]同[7]。