王小兵:办理刑案必备核心技能之电子数据质证
电子数据证据作为一种类型特殊的证据,其质证方式和言词证据,书证等传统证据有较大区别。司法实践中,裁判者对电子数据往往“重实质而轻形式”,这在一定程度上导致了很多律师在办理刑事案件过程中对于电子数据的质证“心灰意冷”,认为提了似乎也没有多大作用,索性就不提了。但笔者认为,辩护人要有裁判者的思维,但不能有裁判者的立场。对于办案过程中发现的问题不能回避,这既是查明案件事实的需要,也是辩护人职责的要求。
一、电子数据的种类和范围
关于电子数据的种类和范围,公检法三家此前都有过各自的规定,例如公安部《公安机关电子数据鉴定规则》第二条:本规则所称的电子数据,是指以数字化形式存储、处理、传输的数据;最高检《电子证据鉴定程序规则》第二条:电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物;最高法《关于适用刑事诉讼法的解释》第九十三条第一款:电子数据包括电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。上述规定既有区别也有重叠,在一定程度上给准确识别电子数据带来了困扰。但随着2016年9月“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的出台,该问题被予以明确。“电子数据规定”第一条规定:电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。需要特别注意的是,以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。
二、电子数据质证的现实困境
随着信息技术的高速发展,电子数据也在不断更新迭代。数字化存储在带来便利的同时也有其不可避免的硬伤。首先是数据海量存储,难以逐一甄别。这在网络犯罪中最为突出,一些较为疑难复杂的案件,数据信息动辄几十万甚至上百万条,不借助专业工具很难对其筛选;其次是电子数据的的专业性极强,要求律师具有复核知识,不仅要懂法律,更要对技术有所了解。目前实践中在提取电子数据时用到的工具包括但不限于:镜像工具、写保护工具、现场勘验工具、移动终端取证工具、数据恢复工具、取证分析软件、实验室检验平台等等,律师如果对这些工具不了解,很难发现问题所在;最后,关于电子数据的规范性文件和行业标准过于庞杂。据不完全统计,涉及到电子数据取证规范的法规和行业标准有40余种,按照发布机构排列,大致有以下标准:
公安部、最高检、最高法
1、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》
2、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
司法部鉴定技术规范:
1. SF/ZJD0400001—2014《电子数据司法鉴定通用实施规范》
2. SF/ZJD0401001一2014《电子数据复制设备鉴定实施规范》
3. SF/ZJD0402001—2014《电子邮件鉴定实施规范》
4. SF/ZJD0403001一2014《软件相似性检验实施规范》
5. SF/ZJD0401002—2015《手机电子数据提取操作规范》
公安部
1.《计算机犯罪现场勘验与电子证据检查规则》
2.《公安机关电子数据鉴定规则》
3.《公安机关办理刑事案件电子数据取证规则》
最高人民检察院
《人民检察院电子证据鉴定程序规则(试行)》
国家标准
1. GB/T29360—2012电子物证数据恢复检验规程
2. GB/T29361—2012电子物证文件一致性检验规程
3. GB/T29362—2012电子物证数据搜索检验规程
公共安全行业标准
1、GA/T 754-2008 电子数据存储介质复制工具要求及检测方法
2、GA/T 755-2008 电子数据存储介质写保护设备检测方法
3、GA/T 756-2008 数字化设备证据数据发现提取固定方法
4、GA/T 757-2008 程序功能检验方法
5、GA/T 825-2009 电子物证数据搜索检验技术规范
6、GA/T 826-2009 电子物证数据恢复检验技术规范
7、GA/T 827-2009 电子物证文件一致性检验技术规范
8、GA/T 828-2009 电子物证软件功能检验技术规范
9、GA/T 829-2009 电子物证软件一致性检验技术规范
10、GA/T 976-2012 电子数据法庭科学鉴定通用方法
11、GA/T 977-2012 取证与鉴定文书电子签名
12、GA/T 978-2012 网络游戏私服检验技术方法
13、GA/T 1069-2013法庭科学电子物证手机检验技术规范
14、GA/T 1070-2013法庭科学计算机开关机时间检验技术规范
15、GA/T 1071-2013法庭科学电子物证Windows操作系统日志检验技术规范
16、GA/T 1770-2014 《移动终端取证检验方法》
17、GA/T 1771-2014 《芯片相似性比对检验方法》
18、GA/T 1772-2014 《电子邮件检验技术方法》
19、GA/T 1773-2014 《即时通讯记录检验技术方法》
20、GA/T 1774-2014 《电子证据数据现场获取通用方法》
21、GA/T 1775-2014 《软件相似性检验技术方法》
22、GA/T 1776-2014 《网页浏览器历史数据检验技术方法》
三、对电子数据审查重点
电子数据证据虽然是一种特殊的证据种类,但对其的质证仍然万变不离其宗,需要紧紧围绕合法性、真实性和关联性进行。在这三者当中,笔者认为合法性的重要程度首当其中,应作为律师质证的重点。取证合法性的核心,总结一句话为:在法庭上展现出来的证据,能不能完整的再现电子数据取证全过程。
(一)取证主体是否合法
1.侦查人员是否具有资质
是否是县级以上公安机关网络安全监察部门;办案人员和检查人员是否分离;检查人员是否具备相应技能;是否有见证人。
2.见证人是否适格
侦查人员(包括协警)不能作为见证人;没有见证人的,有没有对相关活动进行录像。在笔者办理的一起诈骗案件中,经过查阅案卷发现,在不同时间、不同地点的提取笔录上出现了同一名见证人,经公开途径查找发现,该见证人为办案单位某派出所的辅警,且参与了该案的侦办,这种做法显然是违法的。
(二)取证过程是否合法
1.现场保护是否到位
《公安机关刑事案件现场勘验检查规则》规定,案发地公安机关接到报警后,应迅速派员赶赴现场,进行现场保护,负责保护现场的警察除保护物证等紧急情况外,不得进入现场、不得触动现场痕迹与物品。从发现刑事案件现场开始,至现场勘验、检查结束。
2.现场勘验过程是否符合规范
收集、提取电子数据应当制作笔录,记录案由、对象、内容,收集、提取电子数据的时间、地点、方法、过程,电子数据的清单、规格、类别、文件格式、完整性校验值等,并由收集、提取电子数据的侦查人员签名或者盖章。实践中应当重点关注以下几项:
(1)现场拍摄照片有无制作《勘验检查照片记录表》;
(2)封存设备和存储媒介有无制作《封存电子证据清单》,能否从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况;
(3)提取、固定易丢失数据和在线分析有无制作《固定电子证据清单》;对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤有无录像并编号封存;
(4)《现场勘验检查笔录》有无详细记录勘验过程;
(5)最终有没有形成完整的《现场勘验检查工作记录》。
3.数据提取方法是否符合规范
按照规定,侦查人员原则上不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查。但是有下列情形例外:
1、情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;
2、已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介存储的数据的;
3、因技术条件限制,无法复制原始存储媒介的。
实践中对该问题应当重点关注以下几项:
(1)有没有直接从原始存储介质上复制、读写数据信息;
(2)复制、读写信息时有没有使用写保护设备接入专门的检查仪器;
(3)如果直接在原始存储介质上复制、提取了数据,有没有同步录像;
(4)有没有及时制作《电子证据检查工作记录》。包括《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》。
4.数据提取过程中需要重点关注的两个问题
1、在线分析,指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据(不关机操作)。数据的不稳定性决定了原则上不允许在线分析。实践中应重点关注以下几项:
(1)是否具备不在线分析就会造成紧急后果的严重情况;
(2)是否具备不能关闭电子设备的特殊情况;
(3)在线分析有没有损害到重要电子数据的完整性和真实性;
(4)提取的数据存储位置以及是否在目标系统中安装新的应用程序。
2、远程勘验,指通过网络对远程目标系统实施勘验并提取数据,例如对云盘进行的勘验,对境外服务器进行的勘验。实践中应重点关注以下几项:
(1)是否对远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生产的其他电子数据,计算其完整性校验值;
(2)远程勘验过程中提取、生成电子证据等关键步骤是否进行录像、照片及截屏。
(三)流转过程是否符合规范
电子数据的流转过程包括数据的固定、提取、检查以及最终呈现到法庭上等各个环节,实践中应当重点关注提取和检查两个环节。
1.是否扣押原始存储介质
根据两高一部“电子数据规定”的要求,提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质。辩护人在这个环节应当重点关注以下两项:
(1)封存证据是否达到了不拆封无法使用的程度;
(2)原始存储介质是否随案移送,介质流转、封存情况是否有扣押、提取笔录进行固定。
以下情况可以不用扣押原始存储介质:
不便封存存储介质、内存数据,计算机网络传输数据等不是存储在存储介质上的、存储介质位于境外的。在没有扣押原始存储介质的情况下,辩护人应重点关注是否在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况,并由侦查人员、电子数据持有人、提供人签名或者盖章。
2.检查过程是否符合规范
(1)对存储介质的拆封过程是否录像;
(2)有无制作备份;
(3)是否制作检查笔录,笔录中是否写明了检查的方法,过程和结果。
四、对电子数据真实性的审查
电子数据由于其易篡改和易丢失的特性,对其真实性的审查是建立在取证过程合法性的基础之上的,在确保了取证过程合法的前提下,在对其真实性审查时应重点关注以下几项:
(一)是否经过完整性校验
完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。目前的校验方法有:奇偶校验法、CRC校验法、哈希值校验法等,其中哈希值校验法最为常用。
(二)打印件/复印件的问题
根据“电子证据规定”第十八条的要求,人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。但同时该规定第十条又讲到:由于客观原因无法或不宜依据第八条、第九条的规定搜集,提取电子数据的,可以采取拍照、打印或者录像等方式固定证据,并在笔录中说明原因。因此辩护人在对以复印件形式提交的电子数据进行真实性审查时,应重点关注以下几项:证据搜集过程合法这一前提是否满足;是否属于设备限制无法展示;笔录中是否说明因何种客观原因导致只能拍照或者打印。
五、对电子数据关联性的审查
实践中,对电子数据的关联性审查应重点关注网络身份与真实身份的认定问题,也有学者提出,电子测谎也属于电子数据证据的一种,但笔者认为,鉴于目前我国《刑事诉讼法》并未将电子测谎取得的证据作为法定证据种类之一,因此对于此类证据可暂不予讨论。对于网络身份与真实身份的认定问题,应重点从IP地址;活动轨迹;通信基站;相关证人证言及供述、辩解等方面综合认定。
以笔者办理的某诈骗案为例,嫌疑人的支付宝账户在短时间内购买了数十万的游戏点卡,机主报警称支付宝账户被盗刷,案发时间段内自己没有使用手机。辩护人在梳理了上万条的交易记录和手机数据后发现,从支付账户的时间,地点来看,嫌疑人的辩解存在一定道理,遂向司法机关申请调取手机支付时间段的IP信息,通信基站信息等,与嫌疑人的行动轨迹做对比,并向其工作单位调取了工作交接记录,请假单,医院病历等材料,认为无法排除案发时间段内涉案手机被盗刷的合理怀疑。
六、电子数据不得作为证据使用的情形
根据现行法律规定,电子数据的排除规则可以分为相对排除和强制性排除两种。一般来说,程序上存在的瑕疵问题可以允许补正或合理解释,为相对排除,包括没有以封存状态移送;笔录或者清单上没有侦查人员、电子数据持有人(提供人)见证人签名或者盖章的;对数据的名称、类别、格式等注明不清的。但涉及到电子数据真实性不明的问题,一律直接排除,不能补正或解释,主要包括电子数据被篡改、伪造或者无法确认真伪;电子数据有增加、删除、修改等情形,影响真实性的;制作、取得的时间、地点、方式等有疑问,不能提供必要证明或者作出合理解释等情形。
结语
重实体轻程序是目前电子数据取证的最大问题,同时也是律师辩护的重要突破口,这并非是在吹毛求疵,而是基于辩护人职责必须要重视的问题。维护被告人合法权益不是一句口号,它体现在你所承办的每一起案件中。
