|
文/喻海松(作者系最高人民法院研究室法官、法學博士,本文僅代表個人觀點) 《刑事電子數據規定》 的特點與重點
日前,最高人民法院、最高人民檢察院、公安部發布《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》(法發〔2016〕22號,以下簡稱《規定》),自2016年10月1日起施行。本文擬概括總結《規定》的特點,系統梳理其中涉及的重點問題,初步探究相關規定的具體適用,以求教于學界方家和實務同仁。 一、《規定》彰顯的特點 近年來,云計算、物聯網等互聯網應用迅猛發展,傳統犯罪快速向互聯網遷移,犯罪手段不斷翻新。各類刑事案件幾乎都涉及電子數據,電子數據廣泛應用于刑事訴訟活動。修改后刑事訴訟法將電子數據增列為新的證據種類,進一步豐富了證據的外延。作為“兩高一部”首次就電子數據制定的專門性文件,《規定》對規范電子數據的收集提取和審查判斷,提高刑事案件辦理質量必將發揮重要作用。本文認為,《規定》的相關條文彰顯了如下特點: 一是規則延續與豐富發展的并進。根據修改后刑事訴訟法的規定,《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》(法釋〔2012〕21號,以下簡稱《解釋》)對電子數據的審查判斷作了專門規定。在此基礎上,最高人民法院、最高人民檢察院、公安部《關于辦理網絡犯罪案件適用刑事訴訟程序若干問題的意見》(公通字〔2014〕10號,以下簡稱《意見》)對電子數據取證人員資質與技術要求、電子數據取證原則、收集提取電子數據的筆錄制作要求、電子數據的移送規則和電子數據的鑒定與檢驗等問題作了進一步明確。然而,關于電子數據的收集提取和審查判斷,刑事訴訟法和相關司法解釋、規范性文件的規定較為原則,操作性不強。基于此,為順利開展電子數據刑事訴訟活動,亟需進一步統一和細化電子數據證據規則。《規定》以刑事訴訟法為依據,沿用了《解釋》《意見》關于電子數據收集、提取、移送、審查的相關規定,同時針對司法實踐出現的新情況、新問題,進一步貫徹證據裁判原則的要求,不斷豐富發展電子數據收集提取和審查判斷的規則。 二是體系完備與問題導向的兼顧。《規定》從“一般規定”“電子數據的收集與提取”“電子數據的移送與展示”“電子數據的審查與判斷”“附則”五個方面,對電子數據刑事訴訟活動作了全面規定。同時,《規定》突出問題導向,深入調研公檢法各部門在電子數據相關刑事訴訟活動中面臨的問題,通過分析典型案例,既總結各地成功的經驗,也剖析其中存在的不足,以規范電子數據的收集提取和審查判斷。例如,《規定》關于見證人、電子數據的凍結、電子數據完整性的保護及審查判斷等條文,均是對司法實踐突出問題作出的針對性規定。 三是懲罰犯罪與保障人權的統一。同其他刑事訴訟活動一樣,電子數據的收集提取與審查判斷應當兼顧懲罰犯罪與保障人權的機能,不可偏廢。基于嚴厲懲治網絡犯罪的現實需要,《規定》根據刑事訴訟法的規定,對在線提取電子數據,采取打印、拍照、錄像等方式固定電子數據,電子數據凍結,電子數據檢查,電子數據偵查實驗等問題作了明確,以進一步方便相關案件的辦理。同時,《規定》突出了人權保障的機能,規定電子數據的收集、調取須依法進行,要求采取技術方法保證電子數據的完整性,嚴格網絡遠程勘驗的適用,細化電子數據的審查與判斷要求,明確電子數據的補正與排除,以有效防范相關偵查活動對隱私權、通信自由等權利的侵犯。 四是法律規則與技術規范的融合。科學技術的發展,使得證明案件事實的材料不斷擴展,不斷有新的證據種類被納入刑事訴訟法之中。在互聯網時代,以計算機和網絡為依托的電子數據在證明案件事實的過程中發揮著越來越重要的作用。電子數據是計算機信息技術發展的產物,電子數據的收集、提取應當符合相關技術標準。同時,電子數據的收集、提取是刑事訴訟的取證活動,自然應當遵從刑事訴訟規則的基本要求。因此,對于收集、提取的電子數據的審查判斷,應當堅持技術與法律的雙重標準。《規定》第三條對電子數據的收集、提取明確了“遵守法定程序,遵循相關技術標準”的原則要求,對相關具體條文的規定進一步突出了法律規則與技術規范的融合,以規范電子數據的收集提取與審查判斷,確保相關電子數據的真實、完整。 二、《規定》涉及的重點問題 根據刑事訴訟法及有關司法解釋的規定,結合偵查、起訴、審判實踐,《規定》通過三十個條文對電子數據的收集與提取、移送與展示、審查與判斷作了全面規定。限于篇幅,本文僅圍繞其中涉及的六個重點問題進行探討: 1.電子數據的界定。《規定》第一條采取“概括加例舉”的方式,對電子數據作了明確界定。具體而言,第一款對電子數據作了概括規定:“電子數據是案件發生過程中形成的,以數字化形式存儲、處理、傳輸的,能夠證明案件事實的數據。”之所以限定為“案件發生過程中”,是為了將案件發生后形成的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等電子化的言詞證據排除在外。需要注意的是,對于“案件發生過程中”不應作過于狹義的把握,從而理解為必須是實行行為發生過程中。例如,性侵害犯罪發生前行為人與被害人往來的短信、網絡詐騙實施前行為人設立的釣魚網站等,只要與案件事實相關的,均可以視為“案件發生過程中”形成的電子數據。 根據《規定》第一條第二款的規定,電子數據包括但不限于下列信息、電子文件:(1)網頁、博客、微博客、朋友圈、貼吧、網盤等網絡平臺發布的信息;(2)手機短信、電子郵件、即時通信、通訊群組等網絡應用服務的通信信息;(3)用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息;(4)文檔、圖片、音視頻、數字證書、計算機程序等電子文件。需要注意的是,其一,以數字化形式存儲的音視頻屬于電子數據而非視聽資料,而以模擬信號存儲的磁帶、錄像帶等音視頻仍然屬于視聽資料。其二,上述信息、電子文件雖然都屬于電子數據,但對不同類型的電子數據的取證程序要求可能存在差別,如對于通信信息的收集、提取可能涉及技術偵查措施,應當經過嚴格的批準手續。其三,根據刑事訴訟法第五十二條第一款“人民法院、人民檢察院和公安機關有權向有關單位和個人收集、調取證據。有關單位和個人應當如實提供證據”的規定,《規定》第四條重申了公檢法機關收集調取電子數據的依法原則與有關單位的配合義務,明確:“人民法院、人民檢察院和公安機關有權依法向有關單位和個人收集、調取電子數據。有關單位和個人應當如實提供。”需要注意的是,對于公檢法機關而言,法無授權不可為,具體電子數據的適格取證主體和程序須嚴格遵守相關規定。例如,根據憲法第四十條的規定,對通信進行檢查限于因國家安全或者追查刑事犯罪的需要,且只能由公安機關或者檢察機關依照法律規定的程序進行。 電子數據是新的證據類型。目前,對于如何準確劃分電子數據與其他類型證據的界限存在不同認識。例如,訊問過程的錄音錄像究竟應歸為“犯罪嫌疑人、被告人供述和辯解”,還是應歸為“電子數據”,或者既是“犯罪嫌疑人、被告人供述和辯解”也是“電子數據”?經研究認為,不宜單純依據載體形式區分證據類型。以筆錄形式記載的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等言詞證據,雖然記載形式是筆錄,但在證據分類上應納入言詞證據而非筆錄的范疇。同理,以數字化形式記載的言詞證據,雖然載體是電子數據,但在證據分類上也應納入言詞證據而非電子數據的范疇。更為重要的是,根據刑事訴訟法的規定,不同類型的證據在取證方法、取證程序上有不同的要求,對有關證據審查判斷的要點也不同。例如,對于以錄像形式反映的犯罪嫌疑人口供,不僅要審查錄像提取、保管、移送等是否符合相應要求,更要審查訊問的主體、方法、程序等是否符合法律規定。為更為充分地保護刑事訴訟相關主體的合法權益,《規定》第一條第三款規定:“以數字化形式記載的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等證據,不屬于電子數據。確有必要的,對相關證據的收集、提取、移送、審查,可以參照適用本規定。”當然,隨著信息技術的進一步發展,關于電子數據與其他類型證據的界分問題,還可以進一步研究探討。 2.保護電子數據完整性的方法。電子數據完整性是真實性的要素之一。基于此,《規定》第五條規定了完整性的保護方法。具體而言,對作為證據使用的電子數據,應當采取以下一種或者幾種方法保護電子數據的完整性:(1)扣押、封存電子數據原始存儲介質。存儲介質,是指具備數據信息存儲功能的電子設備、硬盤、光盤、優盤、記憶棒、存儲卡、存儲芯片等載體。原始存儲介質即存儲電子數據的原始載體。(2)計算電子數據完整性校驗值。完整性校驗值,是指為防止電子數據被篡改或者破壞,使用散列算法等特定算法對電子數據進行計算,得出的用于校驗數據完整性的數據值。實踐中要求第一時間計算完整性校驗值,并在筆錄中注明。當需要驗證電子數據是否完整、是否被增加、刪除、修改時,便可以采用同一算法對電子數據再計算一次,將兩次所得的值進行比較,如果一致則電子數據沒有發生變化,如果不一致則證明電子數據發生了變化。(3)制作、封存電子數據備份。具體操作中,可以制作多個備份,封存其中部分備份件,將其余備份件用于進一步的偵查。(4)凍結電子數據。(5)對收集、提取電子數據的相關活動進行錄像。鑒于錄音相較于錄像反映的信息量不足,此處要求錄像,而非錄音或者錄像。(6)其他保護電子數據完整性的方法。需要強調的是,收集、提取電子數據的情形復雜多樣,實踐中應當靈活掌握相應的完整性保護方法,至少采取一種,有條件的情況下應當采取多種。以本條規定的電子數據完整性保護方法為基礎,《規定》第二十三條進一步規定了審查電子數據完整性的方法。 3.電子數據的取證原則。為確保電子數據的真實性和完整性,《解釋》第九十三條對電子數據的審查判斷作了明確要求,其中確立的規則就是“以收集原始存儲介質為原則,以直接提取電子數據為例外”。《意見》沿用上述原則,并作了進一步明確。《規定》第八條、第九條對此進行了重申,并作了具體細化規定。《規定》第八條第一款規定:“收集、提取電子數據,能夠扣押電子數據原始存儲介質的,應當扣押、封存原始存儲介質,并制作筆錄,記錄原始存儲介質的封存狀態。”實踐中,在可行的情況下,應盡量封存原始存儲介質,以保證其完整性和真實性。同時,《規定》第八條第二款、第三款對原始存儲介質的封存要求作了專門規定,即“封存電子數據原始存儲介質,應當保證在不解除封存狀態的情況下,無法增加、刪除、修改電子數據。封存前后應當拍攝被封存原始存儲介質的照片,清晰反映封口或者張貼封條處的狀況。”“封存手機等具有無線通信功能的存儲介質,應當采取信號屏蔽、信號阻斷或者切斷電源等措施。”需要強調的是,實踐中對原始存儲介質的封存方法靈活多樣,既可以裝入物證袋封存,又可以通過對電源接口以及機箱螺釘處加貼封條達到封存目的。但是,對于手機等具有無線通信功能的存儲介質,除采取普通封存方式(如裝入物證袋封存)外,還應當附加其他保護措施,如拔出電池,設置為飛行模式且關閉“尋回”功能,或者直接裝入屏蔽袋(盒)。 《規定》第九條第二款規定在例外情況下可以直接提取電子數據。具體包括如下情形:(1)原始存儲介質不便封存的。從實踐來看,有些情況下難以將原始存儲介質封存或者全盤復制、提取,比如網絡服務器一般采取集中存儲的方式,其硬盤動輒成百上千T,但其中很多內容與案件無關,不必收集,在這種情況下一般只提取與案件相關的部分數據。(2)提取計算機內存數據、網絡傳輸數據等不是存儲在存儲介質上的電子數據的。內存、網線等介質無法穩定存儲電子數據,不屬于存儲介質的范疇。對計算機內存數據、網絡傳輸數據等必須在開機運行的狀態下獲取,一旦關機或者重新啟動系統,電子數據就會消失,難以再次獲取。故而,對于上述電子數據無法通過封存原始存儲介質的方式加以收集。(3)原始存儲介質位于境外的。對位于境外的服務器無法直接獲取原始存儲介質,一般只能通過網絡在線提取電子數據。(4)其他無法扣押原始存儲介質的情形。 《規定》對實踐中存在的既不能扣押原始存儲介質又不能提取電子數據情形下電子數據的固定方法作了補充規定。例如,目前市場上出現了一種“閱后即焚”的通信模式,越來越多的即時通信軟件具備了“閱后即焚”功能,如“支付寶”和“釘釘”即時通信軟件。信息接收者收到信息后,點擊閱讀信息后5秒左右自動刪除,無法及時提取數據,并且難以恢復,即使扣押封存了也毫無意義。再如,就船舶導航系統等工控系統而言,有些只有操作界面,無接口可以導出數據,也無法把整個船舶或者大型系統扣押。基于此,《規定》第十條明確規定:“由于客觀原因無法或者不宜依據第八條、第九條的規定收集、提取電子數據的,可以采取打印、拍照或者錄像等方式固定相關證據,并在筆錄中說明原因。”自此,電子數據取證確立了“以扣押原始存儲介質為原則,以直接提取電子數據為例外,以打印、拍照、錄像等方式固定為補充”原則。 4.電子數據凍結。隨著云計算等信息技術的發展,越來越多的電子數據存儲在云系統或者大型在線系統中,這些情形下原始存儲介質無法封存且數據提取困難,給偵查工作帶來極大的困擾。為適應實踐需要,針對云計算、大數據環境下電子數據取證的問題,《規定》第十一條、第十二條規定了電子數據凍結。 具體而言,具有下列情形之一的,經縣級以上公安機關負責人或者檢察長批準,可以對電子數據進行凍結:(1)數據量大,無法或者不便提取的。如在一起傳播淫穢物品牟利案中,涉案70個網絡云盤涉及淫穢視頻150余萬部,共1000T,按照傳統固定證據方式,需要2T硬盤500塊。(2)提取時間長,可能造成電子數據被篡改或者滅失的。如在一起網絡販賣、傳播淫穢視頻案中,共查扣涉案網盤近千個,按照一條100兆光纖(屬較高級別帶寬)下載速度及運行商能夠提供的最高限速,在全程無中斷情況下,預計時間為15至16個月。(3)通過網絡應用可以更為直觀地展示電子數據的。如在一起非法集資案中,大量電子數據是從云系統提取的,而這些數據只有在云環境下才能方便的查看、篩選。(4)其他需要凍結的情形。 對于凍結電子數據的具體操作,《規定》第十二條明確規定:“凍結電子數據,應當制作協助凍結通知書,注明凍結電子數據的網絡應用賬號等信息,送交電子數據持有人、網絡服務提供者或者有關部門協助辦理。解除凍結的,應當在三日內制作協助解除凍結通知書,送交電子數據持有人、網絡服務提供者或者有關部門協助辦理。”“凍結電子數據,應當采取以下一種或者幾種方法:(一)計算電子數據的完整性校驗值;(二)鎖定網絡應用賬號;(三)其他防止增加、刪除、修改電子數據的措施。” 5.電子數據檢查。電子數據同傳統證據存在不同,傳統物證、書證等在偵查過程中一般只涉及兩個階段,即現場勘驗、搜查、提取、扣押階段以及鑒定檢驗階段,一般工作在現場即可完成,對于專門性技術問題通過鑒定檢驗就可以解決。但是,電子數據僅兩個階段并不能實現所有偵查目的,實踐中電子數據的形式、來源復雜多樣,通過簡單收集、提取的電子數據很難清晰地證明某一犯罪事實,如提取了一個加密文件,需要解密后才能移送;再如在現場制作了某存儲介質的鏡像文件,需要對該文件進一步恢復才能提取被刪除的電子數據,而不是直接移送。對于這些問題,也不宜都作為專門性問題進行鑒定、檢驗。為此,對于電子數據需要在現場取證和鑒定、檢驗之間增加一個階段,即扣押后由偵查人員對電子數據的進一步恢復、破解、統計、關聯、比對等處理。該階段處于現場取證和鑒定、檢驗之間,是現場取證工作的自然延續,不屬于專門性技術問題的檢驗、鑒定。《規定》第十六條將這個過程規定為電子數據檢查,即“對扣押的原始存儲介質或者提取的電子數據,可以通過恢復、破解、統計、關聯、比對等方式進行檢查。必要時,可以進行偵查實驗。”。 需要說明的是,《規定》并沒有明確要求見證人對電子數據檢查進行見證。關于檢查過程電子數據的真實性、完整性的保護,《規定》第十六條第二款規定:“電子數據檢查,應當對電子數據存儲介質拆封過程進行錄像,并將電子數據存儲介質通過寫保護設備接入到檢查設備進行檢查;有條件的,應當制作電子數據備份,對備份進行檢查;無法使用寫保護設備且無法制作備份的,應當注明原因,并對相關活動進行錄像。”第三款進一步規定:“電子數據檢查應當制作筆錄,注明檢查方法、過程和結果,由有關人員簽名或者蓋章。” 6.電子數據真實性的審查與判斷。鑒于對電子數據真實性的審查具有一定的技術性,為給司法實務提供更具操作性的指引,《規定》第二十二條規定從五個方面審查判斷電子數據的真實性: (1)是否移送原始存儲介質;在原始存儲介質無法封存、不便移動時,有無說明原因,并注明收集、提取過程及原始存儲介質的存放地點或者電子數據的來源等情況。 (2)電子數據是否具有數字簽名、數字證書等特殊標識。數字簽名,是指利用特定算法對電子數據進行計算,得出的用于驗證電子數據來源和完整性的數據值。數字證書,是指包含數字簽名并對電子數據來源、完整性進行認證的電子文件。實踐中,可以通過對電子數據附帶的數字簽名或者數字證書進行認證,以驗證電子數據的真實性。例如,從某黑客教學網站通過網絡在線提取了一個公開下載的木馬程序,當審查該程序的真實性時,一般可以通過重復提取進行驗證,但是可能出現該程序已經被網站刪除而無法重復提取的情況。如果最初提取該程序時同時提取了該程序附帶的數字簽名(通常包含數字簽名和網站證書,一般網站均帶有證書),即使網站上程序已被刪除的情況下,通過驗證數字簽名仍然可以證明該程序來自該網站。實踐中,對數字簽名、數字證書的驗證既可以通過簡單的軟件工具進行驗證,也可以請具有專門知識的人幫助驗證,還可以請有關偵查人員進行驗證演示。需要強調的是,并非所有的電子數據都有數字簽名或者數字證書,不能因為電子數據沒有數字簽名或者數字證書就否定其真實性。 (3)電子數據的收集、提取過程是否可以重現。電子數據即使已經被提取,其提取過程仍然可以被完全、準確、一致的重現,審查電子數據時,也可以充分利用該特性通過復現收集、提取過程進行審查,比如審查電子數據檢查過程中從扣押的原始存儲介質中恢復的電子數據真實性時,除了審查扣押時的有關筆錄和原始存儲介質的封存狀態外,還可以再次進行數據恢復,并比較兩次數據恢復的內容是否相同。鑒于此,《規定》提出了復現性審查來判斷電子數據真實性的相應規則。需要強調的是,實踐中并非所有的電子數據收集、提取過程都可以復現,比如拒絕服務攻擊案件中從網絡截取的攻擊數據包,或者從計算機內存中提取的電子數據,這些數據在拒絕服務攻擊結束或者計算機關機后就會消失,收集、提取過程無法復現,不能因收集、提取過程不能重現就否定電子數據的真實性。 (4)電子數據如有增加、刪除、修改等情形的,是否附有說明。一般情況下,電子數據發生增加、刪除、修改,其真實性必然受到質疑。但是,電子數據發生增加、刪除、修改的,并不必然導致其不真實,例如:為了使部分損壞的視頻文件能夠正常播放,在視頻文件的文件頭增加某些信息;為了查看亂碼電子文檔,修改文檔文件頭的某些字節;或者為了打開部分損壞的電子圖片,對文件錯誤的字節進行修改(通常修改的數據很少,目的是為了正常展示圖片,不會影響圖片的內容)。為此,在審查電子數據真實性時,當發現電子數據存在增加、刪除、修改的情形時,應當作進一步審查:如果增刪改是為了順利展示或者分析電子數據,對電子數據所承載的內容或者證明的事實沒有影響,可以認為其是真實的;如果故意篡改或者保管不當導致的增刪改,則無法保證電子數據所承載的內容不受影響,也就無法保證其真實性。 (5)電子數據的完整性是否可以保證。電子數據完整性是保證電子數據真實的重要因素,如果電子數據完整性遭到破壞,則意味著電子數據可能被篡改或者破壞,其真實性也無法保證。鑒于此,《規定》在審查電子數據時,仍然從證據的三性出發,從真實性、合法性、關聯性地角度提出審查要點。同時,將電子數據完整性納入了真實性范疇,在進行真實性審查時必須進行完整性審查。 |
|
|
