略议即时通信证据的收集

马 越

(重庆邮电大学法学院，重庆400060)

略议即时通信证据的收集

马 越

(重庆邮电大学法学院，重庆400060)

随着移动互联网的不断发展，即时通信也通过互联网向移动化方向扩张。目前，微软、AOL、Yahoo、UcSTAR等重要即时通信提供商都提供通过个人电脑、手机等接入互联网即时通信的业务，即时通信系统本身具有较为完善的管理规则，对使用者所发信息及留言的保存、修改、删除有一套完整的管理记录，并通过赋予不同用户不同的权限来使用即时通信软件的功能。从即时通信证据收集范围、收集主体、收集方法和程序等方面论述即时通信证据的收集和形成。

即时通信;证据;属性;收集

目前互联网形式的即时通信软件种类较多，最具代表性的是MSN、Messenger、QQ等。在我国，腾讯QQ占有绝大部分市场份额。即时通讯工具大部分基于TCP/IP和UDP进行通讯，是建立在更低层的IP协议上的两种通讯传输协议。UDP是以数据包的形式传输文件的一种协议，对拆分后的数据的先后到达顺序不做要求。TCP/IP是将传输数据经分割打包后，以数据流的形式通过虚电路进行连续双向的文件传输协议，且要求严格保证数据的正确性。

一、即时通信证据的收集范围

即时通信证据的收集范围主要包括两个方面:一是即时通信网络证据的收集，二是与待证事实相关的传统证据的收集。

(一)即时通信网络证据

即时通信证据是网络证据的一种，反映即时通信系统所发生的待证事实。目前计算机信息技术领域的通说认为，即时通信(Instant Messaging)通常是指应用在计算机网络平台上的，利用点对点的协议，能够实现即时的文本、音频和视频交流的一种通信方式。通常一套完整的即时通信系统是由计算机硬件、软件和用户共同组成的。其中，硬件部分主要包括服务器、连接系统与用户的设备、用户个人电脑三部分。

通过对即时通信运行的基本原理和即时通信系统的组成结构的分析，我们可以根据即时通信证据存储地址的差异将即时通信证据分为三种:保存在服务器上的即时通信证据、存储在用户个人电脑上的即时通信证据和计算机审计信息。这些数据具体包括:行为人专用的文本文件、照片文件、图像文件、视频文件、电子邮件、数据库文件、临时文件、交换数据文件(.SWP)、审计跟踪、特定格式的文件等等。计算机审计信息是用以证明收集的待证事实信息未受收集行为影响的信息。比如当我们从计算机里将网络信息提取出来的时候，实际上是完成了一个复制行为，收集到的网络证据就是一个复制件。审计技术能够反映出复制件是否对原件进行了修改，当审计信息显示复制行为未对原件做变动时，可以相信我们收集到的复制件与原件相差无误。无论是待证事实信息还是审计信息，都是在系统运行正常的情况下得出的结论，当收集信息时系统运行异常，我们就有理由怀疑所复制信息的真实性，从这点来说系统的运行情况也是一种审计，当然在技术领域系统正常运行是一种默认的情况。由此可见审计信息收集的必要性与重要性。

保留在服务器上的即时通信证据、用户个人电脑上的即时通信记录是已经发生的待证事实信息。处于中立第三方地位的即时通信服务器上所记录的事实信息证明力更强，是收集的重点对象。同时，我们必须注意审计信息的收集，以印证收集到的即时通信信息的真实性和可靠性。

(二)与待证事实相关的传统证据

有时候有些传统证据对于纠纷的解决能够起到关键的作用，所以我们不能忽视相关传统证据的收集。例如:现场的纸张可能记录有密码、人名等信息，现场的某些物品，证人证言在确定当事人身份上能起到重要作用。对于在网络空间中的活动主体，我们都能够通过一定的方法找到与之相对应的现实生活中的具体的人，证人证言在侵权人身份的确定上就起到了比较重要的作用。

二、即时通信证据的收集主体

证据收集是指为了证明自己的诉讼主张或者查明特定的案件事实，国家专门机关、律师、一般公民、法人或者其他组织通过一定的行为，采取必要的方法获取和汇集证据的活动。即时通信证据不过是这一活动在网络领域中的实现，差别在于引入了网络因素，从而会引起取证手段和方法上的差异，同时需要网络技术人才的协助才能实现。

(一)当事人及其代理律师

一般来说，发生在即时通信上的侵害行为以民事侵权为主，即时通信的基本功能和现实案例也印证了这一事实。由此得知，即时通信侵权纠纷多由当事人主动收集证据，当事人在即时通信证据收集中起着很重要的作用。

(二)专业技术人员

所谓协助主体，指的是即时通信服务提供商和ISP网络服务提供商，所谓专业技术人员主要包括计算机网络技术专家、网络警察。

不同种类证据的特点决定着该证据对取证主体的不同要求。但应当明确取证主体与证据的收集主体是不同的两个概念，证据的不同特点可能导致取证主体的不同，对于特殊的证据来说，证据性质的不同也会对取证主体有所影响。网络证据因其取证方法具有的特殊性，要求具有专业技术知识的取证人员采用特殊的方法来完成网络证据的发现、收集和保全工作。

1.计算机网络技术专家

即时通信证据的收集取证不仅涉及到计算机技术，还与网络密切相关，因此计算机专家除了具有计算机知识，还必须掌握网络环境下的相关技术。在对即时通信证据的收集和认定中，必须在侦查人员的领导和配合下进行，接受侦查人员的法律意见，并根据法律的要求，接受侦查机关或相关人员委托，保管、保全与案件相关的即时通信证据。另外，根据法律规定，计算机网络技术专家由于全程参与即时通信证据的收集工作，应按照程序对有关即时通信证据做出鉴定结论，并可以作为专家证人出庭作证，介绍收集、保全电子证据的技术过程和证据的可靠性，接受法官、检察官、当事人和律师的质询等。在网络证据取证过程中，计算机网络技术专家与侦查人员的密切配合与相互指导监督就显得尤为重要，也是保证网络证据可信度的关键。

2.网络警察

我国安徽省首先出现了网络警察，他们负责处理“欺诈、挪用公款、色情等犯罪案件”，但这只限于刑事诉讼领域电子证据的收集。笔者认为，在民事诉讼领域应由法定的证据收集主体委托电子技术专家进行收集，这样才能强化即时通信证据的真实性、可靠性。由于网络犯罪或侵权相较于传统来说技术性很强，作案人一般具有较高的计算机知识水平，在犯罪手段上多利用其掌握的高科技知识隐匿相关证据，使取证变得异常困难。而网络犯罪的行为与结果通常相分离，网络证据的采集也可能涉及不同的国家或地区，这令传统的手段鞭长莫及，于是一个专门针对网络安全的侦查队伍应运而生。为了适应日益严峻的网络安全保护的需要，我国早在20世纪80年代就成立了计算机管理监察司，承担全国计算机网络安全管理等工作，1998年公安部正式成立公共信息网络安全监察局，随后各省公安厅和地级市也成立了公共信息网络安全监察处和网络侦查总队，专门负责网络犯罪案件的查处。

3.协助主体

由于即时通信证据取证技术性较强，当事人及其代理律师在取证时需要专门技术人员的协助以及网络服务商的积极配合。我国法律虽没有明确规定网络服务商协助当事人收集证据的程序，但2000年国务院颁布的《互联网信息服务管理办法》第14条明确规定:从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时予以提供。

三、即时通信证据的收集方法和程序

即时通信证据收集基于以下四点:一是计算机软件和硬件系统处于正常的运行状态;二是即时通信系统对该项活动必须有完整的记录;三是该电子记录必须是活动的当时或即后制作的;四是充分了解各种连网终端，比如应该了解计算机硬件类型、操作系统类型和即时通信系统软件类型及其版本、用户系统登录帐号的管理情况，了解手机、PDA等移动上网终端设备硬件型号、存储能力、操作系统类型、是否属于智能设备、软件功能能否扩展等等。

(一)收集方法

在收集即时通信证据时，可以采取以下方法:一是在接收信息者未将信息删除的情况下，直接将此信息予以储存，作为证据材料。为防止信息被意外删除或丢失，可以将接收信息的时间、内容等用拍照、记录的方法固定下来。二是在与待证事实有关的信息被删除的情况下，可以通过网络运营商来调取即时通信信息的内容。手机中的即时通信软件存储的信息也可作为重要的证据，如手机内存中的聊天记录、发送或者接收的电话号码、照片、视频等，对此也应予以提取。

(二)收集程序

1.收集现场

收集现场包括物理空间和虚拟空间。物理空间就是传统的现场，虚拟空间则指由计算机硬件和软件所构成的电子空间。从学理上说，网络证据所处的虚拟现场分为两种，一种是单一计算机的硬件环境和软件环境，称为单机现场;另一种是由许多计算机组成的网络环境，称为网络现场。对于普通用户来说，其遗留有即时通信信息的场所不仅指用户使用计算机网络的房间，更主要是指从用户使用的计算机开始，一直到登录即时通信系统、浏览过图片、发送或者接收文字以及其他网上活动(如利用视频聊天)的普通网络用户所拥有的整个电子空间，这正是现场调查的主要场所。

2.收集程序

从法律规定看，证据收集的程序是否合法直接影响其证明力。从我国《刑事诉讼法》第43条规定以及《最高人民法院关于民事诉讼证据的若干规定》第68条规定看出，取证人未经同意不得获取系统信息记录;不得以非法侵入他人系统的方法获取信息记录;即时通信证据要由合法的人员收集提供，不具备合法身份的人收集的信息不能作为证据使用;如果证据是由第三人提供，则该第三人应出具保证证据自生成或收到后始终保持原始状态及本人自愿提供该证据的文件或数字签名。

首先，我们可以通过MAC地址确认用户具体使用的是哪台电脑，因为在局域网内的即时通信系统内部，MAC地址直接与网络适配器相关，每台计算机会有固定的、不同的MAC地址。其次，现场勘验必须制作勘验笔录。在物理空间发现与待证事实相关的纸张或者物品，可以一并收集;对于正在使用的移动存储设备以及特殊上网设备，如果与待证事实相关，必要时也可以予以扣押。搜查扣押必须由法定机关依法进行，列出清单，还应对实物拍照记录。再次，我们可以通过即时通信系统服务商查询侵权行为人的注册信息，同时在服务商的服务器上用只读存储器、U盘等复制拷贝下相关的侵权事实信息，查询到的注册信息以及从服务器上下载的文件需要制作文件记录，由工作人员签字并加盖印章。对于存储工具，要采取一定的方式当场封存并加以妥善保管，以免其遭受不必要的损害，影响其证明力。另外，用摄像机将整个取证过程录制下来，以印证整个取证过程的合法性;还可以邀请公证人员对收集过程进行公证。

类似MSN、QQ、E－mail的即时通信软件是应用在计算机网络平台上的，利用点对点的协议，实现即时的文本、音频和视频交流的一种通信方式。在“聊天”的过程中，所有的聊天内容均可以被保存在聊天记录中。对于当事人来说，在进行即时通信活动时要有收集证据的意识，必要时可以第一时间保存相关的即时通信信息，以免错过最佳的证据收集时间。通常客户通过访问即时通信软件的相关信息会存储在客户端电脑的内存中，如即时通信软件中的聊天记录、即时通信软件的系统日志记录的系统动态(用户登陆、退出系统的时间，地点等)。该信息具有暂时性、可复制性，当事人可以用上传记录到网络服务器等方式记录保存这些信息，以备不时之需。当然，用户自己收集的证据可能没有相应的在即时通信服务商的服务器上收集制作的证据的证明力强，但是能够与前面的证据相互印证，起辅助证明作用。此外，我们不能忽视审计信息的收集。计算机审计技术就是对计算机系统的活动进行监视和记录的一种安全技术，运用计算机审计技术的目的是对计算机系统的各种访问留下痕迹，使计算机犯罪行为留下证据。

四、即时通信证据的形成

(一)原始存储载体的收存

直接存有即时通信信息的软件是最直接的证据载体。在对所有收集信息进行鉴别后，对存储有待证实信息的存储材料予以编号并保存。另外要制作证据标签，其内容包括:信息来源(地点和持有人)，信息是否需要许可才能调查，信息的描述，获得信息的时间和日期，最早接收人的姓名和签字，与信息相关的其他信息。对于未发现待证事实信息的存储设备一般不宜立即退还，以备信息遗漏重新收集时查验。

(二)书面文件和解读信息的形成

将发现的即时通信信息中的待证事实信息予以固化，从而形成书面材料。书面文件内容主要包括:即时通信信息发送和接受时间，是指即时通信信息在通信服务商那里存储的明确记载的发送和接受时间，它是可有效证明信息收发的时间;发信人和收信人的注册信息，指即时通信软件用户在通信服务商的注册信息，可进一步明确即时通信信息收发人的相关信息;即时通信信息的正文内容，是即时通信信息发送人传递给接收人的主要文字信息。

［1］王刚.计算机网络犯罪及其取证初探［J］.四川警官高等专科学校学报，2006，(4):52－58.

［2］文伯聪.计算机证据与计算机审计技术［J］.政法学刊，1999，(3).

［3］卞建林.证据法学［M］.北京:中国政法大学出版社，2007.

［4］熊志海，王莉.诉讼证据存在形式的信息解读——兼论电子证据的性质及其归属［J］.重庆社会科学，2006，(1).

［5］李明.即时通信痕迹发现与线索综合［D］.上海:同济大学，2006.

［6］张彦来.浅议即时通讯在侦查中的应用［J］.江西公安专科学校学报，2008，(5).

Discussion on Instant Messaging Evidence Collection

MA Yue
(School of Laws，Chongqing University of Posts and Telecommunications，Chongqing 400060，China)

With the development of mobile Internet，Internet instant messaging expands mobile.At present，Microsoft，AOL，Yahoo，UcSTAR major IM providers are offering personal computers，mobile phones and the Internet instant messaging business，users through mobile phones and other already installed client software for mobile phones or computers send and receive messages.Instant communications system itself has better information management rules to receive，modify and delete information，to give different users different.Through information collection range，main body，method and procedure，the instant messaging evidence collection and formation are analyzed.

instant messaging;collection;evidence;property

D915.13

A

1674－0297(2012)02－0044－03

2011－12－01

马 越(1985－)，男，重庆市人，重庆邮电大学法学院2009级硕士研究生，主要从事诉讼法学、网络信息司法认证研究。

(责任编辑:张 璠)