电子证据收集的基本方法：法律层面和技术层面的分析＊

张 清

（重庆市人民检察院第二分院，重庆404000）

电子证据收集的基本方法：法律层面和技术层面的分析＊

张 清

（重庆市人民检察院第二分院，重庆404000）

电子证据收集的基本方法包括法律层面和技术层面的方法。电子证据收集应当特别注意对隐私权的保护。我国应当赋予检察机关采用技术侦查方法收集电子证据的权力，扩充网络警察队伍，建立网络警察培训机制，推动电子证据收集工作的顺利开展。

电子证据；证据收集；刑事法律保护

美国学者保罗·罗斯坦教授指出：“20世纪早期是法庭雄辩术时代，而中期是论证证据的时代，晚期出现了高精技术证据时代。随着智能犯罪的增加，大量出现五花八门、令人眼花缭乱的典型案件，使那些高精技术证据成为正确处理这些纠纷的最重要的依据。”［1］现代社会，随着电子信息技术的快速发展，司法实践中利用电子信息技术实施的犯罪也日益增多。然而，由于利用电子信息技术实施的犯罪具有高技术性、高隐秘性和高智能性等特点，侦查机关在打击此类犯罪时往往在电子证据的收集方面遇到一系列难题，“取证难”已经成为打击利用电子信息实施犯罪的“瓶颈”。收集证据是查明案件事实的基础，也是有效打击犯罪的关键所在，收集不到确实充分的证据，打击犯罪也就无从谈起。故此，本文拟就电子证据收集的基本方法进行粗浅探讨，以资有益于立法和实践。

一、电子证据收集的基本方法之一：法律层面的分析

所谓电子证据，从广义上界定，是指以电子形式存在的、用作证据使用的一切材料及其派生物；或者说，借助电子技术或电子设备而形成的一切证据［2］。根据各国的立法和实践，电子证据的收集方法可以分为两个层面：一是法律层面的收集方法。因为针对犯罪行为收集电子证据，首先是法律意义上进行的诉讼活动，刑事诉讼法通常会对侦查机关可以采用哪些法律措施收集电子证据作出规定；二是技术层面的收集方法。由于电子证据具有高技术性特征，收集电子证据较之收集其他证据具有更高的技术要求，专业性较强，较为复杂，因而刑事诉讼法通常不会对技术层面的收集方法作出具体规定［3］。从法律层面而言，电子证据的收集方法主要有以下几个方面：

（一）搜查和扣押

即为了收集电子证据，侦查机关可以搜查犯罪嫌疑人的计算机信息系统、计算机机房、原始计算机资料的存放场所或与犯罪有关的其他场所，并可以扣押有关的电子资料载体。从各国刑事诉讼立法来看，搜查和扣押是侦查机关收集电子证据的主要方法。如英国《1984年警察与刑事证据法》第19条第4款规定：对于存储在计算机之中且在该场所里即可获取的任何信息，如果警察有合理的理由相信该信息是与他正在侦查的某一犯罪或其他任何犯罪有关的证据；或者是因为实施某一犯罪而取得的并且是为防止其被藏匿、遗失、损坏或毁灭所必需的证据，警察可以要求将其制成有形且可读的、能被带走的形式加以扣押。第20条规定：已经进入房屋的警察有权要求存储在计算机里且可以进入的信息以能够带走且可见、易读的形式展现出来。在美国，规范犯罪侦查中电子证据获取的法律主要有两个来源：其一是美国联邦宪法第四修正案，该修正案是关于美国刑事诉讼中搜查、扣押制度的基本宪法依据；其二是《美国法典》第18编第2510－2522条、第2701－2712条、第3121－3127条等关于隐私权的成文法规定。其中，第2510－2522条被称为《有线窃听法案》（Wiretap Statute），第2701－2712条被称为《电子通讯隐私保护法》（Electronic Communication Privacy Act），第3121－3127条被称为《禁用笔式拨号信息记录器和通讯信号捕获追踪设备法案》（Pen Register and Trap and Trace Statute）。这些法案对侦查人员如何搜查、扣押电子证据进行了规范。此外，美国的其他一些法律也涉及电子证据的搜查、扣押问题，如在“9·11”事件发生后，美国国会通过的《2001美国爱国者法案》（USA Patriot Act 2001）出于打击恐怖犯罪的需要，就在一些方面减少了对执法人员对电子证据进行搜查扣押时的限制。法国2004年6月21日通过的第2004－575号法律第42条规定：凡是可能发现有利于查明事实真相之物件或信息资料的地点均可进行搜查。第43条规定：如在侦查过程中必须寻找某些文件或信息资料，且以侦查需要为保留条件，以及相应场合，在保证遵守有关义务的条件下，预审法官或者由其委派的司法警察警官，有权对这些文件实施扣押。在对查明事实真相所必要的信息资料实行扣押时，得将这些资料的物质依托或者在列席搜查行动的人在场时实现的拷贝置于司法掌管。其他如德国、日本等国家的刑事诉讼法，虽然没有专门针对电子证据的搜查扣押作出规定，但其刑事诉讼法中关于搜查、扣押的规定同样适用于电子证据。此外，在欧洲理事会2001年通过的《关于网络犯罪的公约》（以下简称《公约》）第19条也对搜查和扣押电子证据作出了规定：各缔约方应调整必要的国内法或者规定，授权有权机关搜查或者相似地进入其境内的一个计算机系统或者其中某部分和存储在其中的计算机数据以及可能存储计算机数据的计算机数据存储媒体；应保证如果有权机关搜查或者类似地进入前述特定的计算机或其部分，并有理由相信要搜寻的计算机数据存储在领域内另一计算机系统中或者某部分中，有权机关应能够快速展开搜查或类似地进入其他系统；应授权有权机关可以采取扣押或者使用相似的安全措施保护计算机系统或者计算机数据存储媒体、制作或者获取计算机数据的备份、保持相关的存储的计算机数据的完整性、使其不可访问或者将其从可访问的计算机系统中移走等安全措施保护搜查获取的计算机数据。

我国刑事诉讼立法对于采用搜查、扣押的方法收集电子证据也作出了相应规定。根据《刑事诉讼法》的规定：为了收集犯罪证据、查获犯罪人，侦查人员可以对犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方进行搜查。在勘验、搜查中发现的可用以证明犯罪嫌疑人有罪或者无罪的各种物品和文件，应当扣押。这些规定同样适用于电子证据的搜查和扣押。《人民检察院刑事诉讼规则》第192条规定：“扣押犯罪嫌疑人的邮件、电报或者电子邮件，应当经检察长批准，通知邮电机关或者网络服务机构将有关的邮件、电报或者电子邮件检交扣押。不需要继续扣押的时候，应当立即通知邮电机关或者网络服务机构。”此处的“电子邮件”即是一种常见的电子证据。《公安机关办理刑事案件程序规定》（以下简称《规定》）则对搜查、扣押电子证据作出了相对较为具体的规定。如《规定》第197条规定：计算机犯罪案件的现场勘查，应当立即停止应用，保护计算机及相关设备，并复制电子数据；第215条规定：对于电子邮件的扣押，必须经县级以上公安机关负责人批准，签发扣押通知书，通知邮电机关或者网络服务机构检交扣押。不需要继续扣押的时候，应当经县级以上公安机关负责人批准，签发解除扣押通知书，立即通知邮电机关或者网络服务单位；第218条规定，对于可以作为证据使用的录音、录像带、电子数据存储介质，应当记明案由、对象、内容，录取、复制的时间、地点、规格、类别、应用长度、文件格式及长度等，并妥为保管。这些规定，是我国刑事诉讼中侦查机关搜查、扣押电子证据的基本法律依据。

（二）运用技术侦查手段截取电子信息

即侦查机关利用计算机、网络等设备，通过网络监控、电子监听、电子跟踪、电子邮件检查甚至卫星定位等技术手段，截留收集电子信息。司法实践中，截取电子信息包括两种方式：一是经过信息发送人或者接受人的同意而截取有关信息；二是未经过信息发送人或者接受人的同意而截取有关信息。对于截取电子信息这一电子证据收集方法，不少国家刑事诉讼立法中有明确的规定，如英国《1985年通讯截获法》规定：警察和情报部门依据内政大臣依法签发的令状，可以截留有关的电子信息，从而赋予了侦查机关在一定条件下截留电子通讯信息的权力。日本在1999年通过了专门的《关于犯罪侦查中监听通讯的法律》，对电子监听制度作出了详细规定。法国1991年7月10日第91－646号法律规定：重罪案件与轻罪案件，如果应当处以的刑罚为2年或2年以上监禁刑，在侦查有必要时，预审法官可以命令截留、录制与抄录经电讯渠道发送的通信。预审法官或其委派的司法警察警官，应制作每一项截收与录制活动的笔录。笔录应写明该项截收活动开始及结束的日期和时刻。德国刑事诉讼法第100条a规定：在有一定的事实基础使得有理由怀疑某人作为主犯、共犯犯有反和平罪等罪行时，或者在未遂也可罚的情况中实施未遂，或者以犯罪行为预备实施这些罪行的时候，在以其他方式不能或者难以查明案情、侦查被指控人居所的条件下，可以允许命令监视、截留电讯往来。《公约》第21条也规定：各缔约方应当授权有权机关可以在缔约方境内应用技术手段收集或者记录或强令服务提供商在其技术能力范围内对通过计算机系统传输的特定通信的实时的往来数据和内容数据进行截取。

我国《国家安全法》和《人民警察法》赋予了国家安全机关和公安机关采取技术侦察措施的权力。《国家安全法》第10条规定：国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施；第11条规定：国家安全机关为维护国家安全的需要，可以查验组织和个人电子通信工具、器材等设备、设施。《人民警察法》第16条规定：公安机关因侦查犯罪的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。《国家安全法》和《人民警察法》的前述规定涵盖了采用技术侦查手段截取电子证据信息。目前，司法实践中争议较大的是能否赋予检察机关在自侦案件中采取监听等技术侦查措施。笔者认为，检察机关作为主要的犯罪侦查机关之一，其侦查的犯罪如贪污贿赂犯罪往往具有隐蔽性强等特征，不允许检察机关采取技术侦查措施，不利于贪污贿赂等犯罪案件的查处，刑事诉讼法再修改时应当规定在一定条件下，检察机关拥有采用技术侦查措施的权力。在有关学者提出的《中国刑事诉讼法（第二修正案）学者拟制稿》中已经对此明确提出了立法建议和具体设计［4］173。

（三）要求有关单位或个人协助收集或提供电子证据

即侦查机关在侦查过程中，有权要求网络运营商等有关单位或个人协助、收集或者提供所掌握的与犯罪有关的电子信息、资料或数据文件。这也是侦查机关收集电子证据的方法之一，并在很多国家的立法中都有所体现［5］。如法国1991年7月10日第91－646号法律规定：预审法官或其委派的司法警察警官，可以要求受电讯部长领导或监督的部门或组织中任何有资格的工作人员，或者要求经营需要经过批准的通讯业务的电讯网或服务部门的任何有资格的工作人员予以协助，以安装截收通讯的设备。德国刑事诉讼法第98条a规定：在对实施了重大犯罪行为的特定人员进行数据排查时，数据存储部门应当向追诉机关提供传送排查所需的数据。依检察人员要求，数据存储部门应当支持排查部门的工作。《公约》第18－21条对通过要求有关单位或个人协助或提供的方式来收集电子证据作出了较为详细的规定：各缔约方应授权有权机关可以指令个人在其控制范围内提交个人所有或者控制的特定计算机数据，可以指令提供服务的服务商在其所有或者控制范围内，提交与这些服务相关的用户信息；应授权有权机关指令任何知道计算机系统功能或用于保护其中计算机数据的应用措施的人，提供合法的、必要的信息，确保搜查和扣押存储的计算机数据的实施；应授权有权机关可以强令服务提供商在其技术能力范围内对电子数据进行实时收集和截取。

我国《刑事诉讼法》第110条规定：“任何单位和个人，有义务按照人民检察院和公安机关的要求，交出可以证明犯罪嫌疑人有罪或者无罪的物证、书证、视听资料。”可见，我国侦查机关在侦查网络犯罪和侵犯知识产权犯罪等犯罪时是有权要求有关单位和个人协助收集或提供电子证据的，有关单位和个人负有协助收集或提供电子证据的义务。对此，在我国已经公布的有关计算机信息网络安全保护管理的相关行政法规中也有所规定。如1997年国务院公布的《计算机信息网络国际联网安全保护管理办法》规定：从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。发现有利用国际联网进行违法犯罪活动的，应当保留有关原始记录，并在24小时内向当地公安机关报告。而根据2000年公安部《关于执行＜计算机信息网络国际联网安全保护管理办法＞中有关问题的通知》的解释，所谓“有关安全保护的信息、资料及数据文件”主要包括：（1）用户注册登记、使用与变更情况（含用户账号、IP与EMAIL地址等）；（2）IP地址分配、使用及变更情况；（3）网页栏目设置与变更及栏目负责人情况；（4）网络服务功能设置情况；（5）与安全相关的其他信息。所谓“有关原始纪录”，是指有关信息或行为在网上出现或发生时，计算机记录、存贮的所有相关数据，包括时间、内容（如图像、文字、声音等）、来源（如源IP地址、EMAIL地址等）及系统网络运行日志、用户使用日志等电子证据。此外，国务院2000年公布的《互联网信息服务管理办法》第16条也规定：互联网信息服务提供者发现其网站传输的信息明显属于禁止传输的内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。

二、电子证据收集的基本方法之一：技术层面的分析

对于如何从技术层面收集电子证据，理论界和实务界都进行了一定的探讨。如有的论者认为根据电子证据的技术要求，电子证据的收集通常应当经过数字鉴别、数字检查、数字筛选、数据保护、数据分析、证据抽取等步骤［6］；有的论者认为从技术层面可以将电子证据的收集分为简单取证和复杂取证，前者是指不需要专业技术人员协助进行的数据证据的收集和固定活动，后者是指需要专业技术人员协助进行的电子证据的收集和固定活动，并对收集电子证据的具体方法进行了较为详细的论述［7］；还有的论者针对不同形式的电子证据如电子邮件、网络聊天、手机短信等如何收集分别进行了论述［8］；等等。实际上，随着信息网络技术的不断发展，电子证据的收集也愈来愈复杂、困难，其技术要求越来越高，所采用的方法也不断更新，如目前收集电子证据在技术上主要采用的是静态方法，即在事件发生后对数据进行提取、分析，抽取有效的证据，这种方法具有事后性、被动性、消极性等弱点，随着网络信息技术的发展，单凭这种方法取证已经无法适应现实要求。发展趋势是将电子证据的收集结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证，而动态取证的技术要求较之静态取证要高得多。以动态取证为主，静态取证为辅，动静结合的取证方法将是电子取证的发展方向。鉴于无论技术如何革新，搜查和扣押都是收集电子证据的基本法律方法，以下主要介绍技术上如何对电子证据进行搜查和扣押的具体方法［9］：

（一）对电子证据进行搜查、扣押的共同原则

对电子证据进行搜查、扣押的共同原则包括：（1）搜查中视野应当开阔，目标不应只限于计算机；（2）注意在现场寻找有关硬件、软件的使用说明或某类特殊应用的安装盘，以方便侦查人员使用，提高工作效率；（3）如果计算机在搜查时处于工作状态，则在关机前应该用照相、摄像的方法记录下屏幕上的内容，在搜查中应当对证据采取多种收集方式；（4）对于复制的证据，要用信息摘要和数字签名来确保证据不被改动；（5）对于收集的证据，要及时标注提取的时间、来源、提取过程、使用方法、提取人员，以证明电子证据是否属实；（6）不要忽视对传统证据如计算机周围的记录数据、书证等的提取；（7）应切断计算机与外界的联系，不允许犯罪嫌疑人触碰计算机。

（二）对整个计算机硬件的扣押

主要方法包括：（1）必要时，停止计算机的运行。对此，学术界有主张关机和不主张关机两种看法，侦查机关应当根据不同的实际情况，灵活采取相应的对策。（2）用无毒的备用操作系统重新开机，应尽可能地提取计算机内存储的信息。（3）在移动硬件之前，把被提取设备在现场中的相对位置、具体外观、产品用照相、录像、文字的形式记录下来，用图示的形式将计算机端口和相应的连线标明，未使用的端口应注明“未用”。在软驱中插入软盘，保护软驱。（4）用胶带把硬件、相应的计算机外设捆绑在一起，并设置醒目标志。一方面可以警示他人不得随意开启机器，另一方面保证证物在运输、保存的过程中不发生丢失。（5）在保存过程中要注意磁、热、温度、湿度、重压等因素，避免证据被人为破坏。

（三）提取所有的计算机数据

其具体步骤包括：（1）停止计算机应用；（2）用无病毒的备用系统开机，采用镜像复制的方式尽可能复制更多的数据；（3）采用镜像复制的方式将所有的数据备份两份；（4）记录复制过程的日期、使用操作系统、内容、提取人等；（5）进行数字签名和信息摘要；（6）作好提取过程的技术报告。

（四）仅提取所需的信息

其具体步骤包括：（1）停止计算机应用；（2）用无病毒的备用系统开机，采用镜像复制的方式尽可能复制更多的数据；（3）采用镜像复制的方式将所有的数据备份两份；（4）记录下当前时间与机器时间的差异，用文字、照相的方法记录屏幕上显示的被提取信息的创建、修改时间、最近的浏览时间、作者等相关信息；（5）进行数字签名和信息摘要；（6）作好收集过程的技术报告。

三、电子证据收集的制度完善

电子证据收集既是一个法律问题，也是一个技术问题。司法实践中，之所以出现电子证据“取证难”的现象，主要有两个方面的原因：一是法律规定不完善。我国对电子证据收集的法律规范散见于一些法律、司法解释、行政法规之中，虽然在一定程度上解决了电子证据收集无法可依的状况，但总体看规定极不完善而且缺乏系统性，导致侦查人员在实务操作中很多时候无所适从；二是侦查人员的电子技术知识水平总体相对较低。这在很大程度上影响了打击利用电子信息进行犯罪的侦查工作的开展①如司法实践中，就发生过在办理涉嫌盗窃计算机侵犯商业秘密的犯罪案件中，侦查人员由于技术原因无法从遭到机械性破坏的笔记本电脑中提取被盗窃软件这一关键证据而导致检察机关作出了不批准逮捕决定；侦查人员在办理贩毒案件过程中，发现一台正在运行的计算机显示的内容中有关于毒品分销渠道的情况和销毒人员名单，但由于不知如何取证，就将计算机拆卸运回。然而在侦查人员拆卸、运送过程中，磁盘文件已经被损坏，重要的证据得而复失等案例。参见：皮勇：电子商务领域犯罪研究.武汉大学出版社2002年版第288页。。针对前述问题，我国电子证据收集制度应当主要从以下几方面加以改革完善。

（一）对电子证据收集的相关问题在立法上作出明确系统的规定

这有三个思路可以考虑：一是借鉴其他一些国家或地区的做法，制定统一的“电子证据法”，其中设专章对刑事诉讼中电子证据的收集作出具体规定。这个方案存在的主要问题是立法难度较大。二是由最高人民检察院、最高人民法院、公安部、国家安全部等机关联合发布关于电子证据收集、认定等方面的解释性文件，其中对电子证据的收集作出详细规定。这个方案的优点是立法难度小，但存在的主要问题是法律效力的位阶相对较低。三是在刑事诉讼法中增设专章或增加法条对电子证据的收集作出详细规定。如在学者拟定的《中国刑事诉讼法（第二修正案）学者拟制稿》第三编第二章“侦查行为”中，就已经对收集电子证据的基本程序、有关单位和个人的协助义务、侦查人员在收集电子证据过程中的维权责任、违法收集电子证据的法律责任等有关问题作出了较为详细的立法设计［4］142－144。由于刑事诉讼法即将进行再修改，这个方案将更为现实可行。

（二）扩充电子警察队伍，建立电子警察培训机制

目前的当务之急是吸收电子专业技术人才加入到侦查人员队伍中，壮大电子警察队伍，提高收集电子证据的能力。此外，由于计算机犯罪的犯罪手段、作案工具的技术含量不断提高，侦查人员就必须与时俱进，跟上电子技术发展的潮流，从而不断提高其收集电子证据的能力［10］。因此，应当建立电子警察的培训机制，及时对其进行新技术的培训。除了技术培训外，还应当对电子警察进行犯罪学、侦查学、证据学等方面的培训，提高他们分析证据、重建现场的能力。只有电子犯罪侦查人员队伍的不断壮大和素质的不断提高，才能推动电子证据收集工作的顺利开展，加大对电子信息犯罪的打击力度，遏制此类犯罪的发生。

［1］ 马进保，刘祁宪.智能诉讼［M］.北京：群众出版社，

1990：43.

［2］ 熊志海，王静.网络证据之形式问题研究［J］.重庆邮电大学学报（社会科学版），2011（4）：48－51.

［3］ 汪振林.网络证据证明原理解析［J］.重庆邮电大学学报（社会科学版），2011（1）：22－27.

［4］ 徐静村.中国刑事诉讼法（第二修正案）学者拟制稿及立法理由［M］.北京：法律出版社，2005.

［5］ 吴映颖，周璐，陈婵.电子签名证据及其应用［J］.重庆邮电大学学报（社会科学版），2010（6）：37－41.

［6］ 彭文华，徐继超.浅论电子取证［J］.佛山科学技术学院学报（社会科学版），2006（1）：70－74.

［7］ 于朝.检察机关电子证据的收集与固定［EB／OL］.（2002－08－23）［2011－07－16］.http：／／www.law－lib.com／lw／lw＿view.asp？no＝1137＆page＝2.

［8］ 刘晓明.刑事诉讼视野中的电子证据［J］.大众科技，2004（5）.

［9］ 何家弘.电子证据法研究［M］.北京：法律出版社，2002：68－72.

［10］ 汪振林.网络证据认定问题研究［J］.重庆邮电大学学报（社会科学版），2010（1）：21－26.

Basic Method of Electronic Evidence Collection：Analysis of Legal and Technical Aspects

ZHANG Qing
（The Second Chamber，People's Procuratorate of Chongqing，Chongqing404000，China）

The basic methods of collecting electronic evidence include the legal aspect and technical aspect.The protection of the individual privacy should be paid special attention to in the process of gathering electronic evidence.In order to promote the collection of the electronic evidence successfully，the author suggests that the procuratorates should be authorised to apply the technical investigative methods，the networking police force should be expanded and the training system of the networking police should be established.

electronic evidence；evidence collection；criminal legal protection

10.3969／j.issn.1673－8268.2012.01.005

2011－09－07

张 清（1971－），女，安徽蒙城人，法律硕士，重庆市人民检察院第二分院公诉一处处长，主要从事刑法和刑事诉讼法研究和实务工作。

D915.13

A

1673－8268（2012）01－0022－06

（编辑：刘仲秋）