淺談電子數據取證的原則和鑒定的合法性

高虎　孫偉焜

近年來，電子計算機和互聯網技術得到迅猛地發展，滲透到了社會生活的方方面面，極大地改變了人們的生活方式。電子計算機和互聯網技術在為人們提供便利的同時，也成為了實施犯罪行為的工具。網絡詐騙、網絡淫穢、網絡賭博等新型涉網案件層出不窮；分布式拒絕服務（DDOS攻擊）、高級持續威脅（APT攻擊）等新型網絡攻擊愈演愈烈；木馬病毒、釣魚網站等網絡安全威脅有增無減。網絡犯罪手段和危害后果遠超一般概念上的傳統犯罪。因此，電子數據取證作為網絡安全的重要組成部分，在獲取犯罪證據、打擊網絡犯罪方面起到了不可替代的作用，成為形式訴訟中不可缺少的證據。

電子證據，是以電子數據的方式保存，伴隨著電子信息的普及而出現，并且能夠在審判中證明案件真實情況的所有電子數據材料，也就是信息數字化過程中形成的以數字形式存在的能夠證明案件事實情況的數據。所有通過電子郵件、電子數據交換、網上聊天記錄、博客、微博客、手機短信、電子簽名、域名等形成或者儲存在電子介質中的信息均為電子數據。1991年，在美國召開的第一屆國際計算機調查專家會議上，首次提出“計算機證據”（computer evidence）的概念，我國在2012年3月修訂的《刑事訴訟法》第四十八條第八項，將“電子數據”與“視聽資料”并列為一類證據類型。2012年8月修訂的《民事訴訟法》第六十三條第五項規定證據包括“電子證據”。2014年12月修訂的《行政訴訟法》第三十四條第四項規定證據包括“電子數據”。從立法上，將“電子數據”明確為證據種類之一。

一、電子數據取證的原則

2000年，計算機證據國際組織頒布了計算機取證的基本原則：取證過程必須符合規定和標準；獲取電子證據時，不得改變證據的原始性；接觸原始證據的人員應該得到培訓；任何對電子證據進行獲取、訪問、存儲或轉移的活動必須有完整記錄；任何人接觸電子證據時，必須對其在該證據上的任何操作活動負責；任何負責獲取、訪問、存儲或轉移電子證據的機構須遵從上述原則。

時至今日，電子存儲介質已發生很大變化，不僅僅局限在計算機設備，且與我國法律實踐相結合，提取電子數據取證的基本原則如下：

（1）取證流程須符合中國的法律、法規；

（2）采取完全可靠的取證方法來保證電子數據的完整性、連續性。即在作為證據使用的電子數據被正式提交給法庭時，必須能夠說明在數據從最初獲取狀態到在法庭上出現狀態之間的任何變化；

（3）從事取證的執法人員需得到法律授權，從事取證的執法人員必須經過專業取證培訓；

（4）針對數據的獲取、存儲、運輸、分析檢查的活動都必須記錄在案，存檔待查；

（5）取證人員應該配備符合要求的取證工作。

二、電子數據鑒定的合法性

電子證據的合法性，是指證據的形式、來源、收集的程序要合乎法律的明文規定，并且應當經過法定的查證程序，鑒定和檢驗的法律要求主要體現在主體合法；送檢材料合法；提取過程合法等方面，電子數據鑒定和檢驗活動必須嚴格遵守國家法律、法規的規定。法律性是評判鑒定和檢驗過程合法和鑒定結論具備證據效力的前提。

（一）鑒定主體合法

電子數據鑒定人必須獲得鑒定人執業許可證。根據《中華人民共和國刑事訴訟法》第八十七條，也可以指派、聘請有專門知識的人進行檢驗。電子數據鑒定和檢驗是一種高度專業化的鑒定活動，鑒定主體必須取得法律授權、且有專業知識，從接受委托、分析論證到出具鑒定意見，都要遵循相關的方法標準，出具的鑒定材料才具有科學性、專業性、法律權威。

（二）送檢材料合法

電子數據一般保存在固態硬盤、虛擬硬盤中，以文字、圖標、照片、視頻、數字的形式存在，送檢材料的真實性和完整性是鑒定和檢驗客觀真實的基礎，送檢材料的提取和委托必須符合法律程序規定，確保原始電子介質沒有被篡改和污染過。

（三）提取過程合法

在數據提取過程中，必須使用專業設備（比如廈門美亞柏科的FL-800取證塔）在只讀區讀取和分析，避免數據在提取過程中發生改變，對原始數據要進行哈希值計算，保證電子物證的原始性。在使用數據復原技術、數據復制技術、密碼破譯技術、日志分析技術、攻擊源追蹤技術、數字摘要技術等分析提取數據時，必須按照操作程序規定，保證電子物證沒有刪除、修改、增加等情形出現。

只有遵從上述取證原則和堅持鑒定的合法性要求，才能維護法制權威，體現司法公正，最大限度的保證當事人的利益，也能夠有效約束取證人員。

作者簡介：

高虎（1983.3-）男，陜西省延安市人，畢業于中國人民公安大學，本科，研究方向：電子物證檢驗。

孫偉焜（1984.11-）男，江蘇省淮安市人，畢業于江蘇省警官學院，本科，研究方向：電子物證檢驗。

（作者單位：蘇州市公安局吳中分局網警大隊）