电子证据的审查认定

金果

[基本案情]被告人周某在互联网上经营服务器出租业务过程中与王某认识并成为好友，经过多次聊天交流，周某发现王某在计算机网络方面的知识比自己精通。2009年5月下旬，周某家购买自备车后，决定参加7月的车牌竞拍。周某为确保竞拍成功，遂起意对竞拍服务器发起DDOS攻击。由于普通的木马软件会被大多数网站的杀毒防护软件过滤，周某个人不具备散布病毒软件的能力，于是7月初周某联系王某，让王某帮其在网上发布能够控制他人计算机的木马病毒软件，同时许诺给王某免费使用两台服务器作为帮忙抓肉鸡的报酬。王某在得到周某通过MSN传给其的木马恶意软件客户端后，利用自己的计算机知识，将该客户端伪装成热门电影BT下载种子文件后上传至网上进行传播，从而使周某获得5000余台上网用户计算机的控制权。其后，周某在参与车牌竞拍过程中，利用上述肉鸡发动分布式拒绝服务攻击，致使私车额度网上竞拍服务器无法正常运行，使近万人参与的拍牌活动被迫取消，在社会大众中形成了种种猜测、谣言，而且该事件经电视台、报刊、网络传播，极大地损害了政府的公信力，造成恶劣社会影响。

一、本案电子证据的审查内容

在本案中，司法机关提出的证据主要有：（1）被告的有罪供述；（2）证人（“肉鸡”电脑持有人、拍牌投标人、拍卖公司人员、被告人亲属）证言；（3）某信息技术有限公司出具的网拍服务器被攻击的司法鉴定；（4）公安局信安处出具的远程勘验工作记录；（5）公安局出具的对涉案的部分“肉鸡”检查情况和硬盘复制经过的现场勘验笔录；（6）拍卖公司提供的监控录像截图；（7）电信公司提供的IP地址查询结果；（8）调取有关拍卖事实的证据和扣押计算机以及相关设备清单；（9）抓获经过、身份证明等其他证据。这之中（3）（4）（5）（6）（7）项均为电子证据。

审查本案的电子证据内容，主要是从电子证据的可采性角度出发，围绕证据的关联性、合法性、真实性三个方面加以考察。

关联性要求指证据必须与需要证明的案件事实或其他争议事实具有一定的联系。在实践中，要想判断电子数据与案件是否有关联，可从以下方面考察：所提出的电子数据证明事实的是什么、该事实是否是案件中的实质性问题、所提出的电子数据对解决案件中的争议是问题有无实质性的意义。

合法性则要求证据的主体、形式及收集程序或提取方法必须符合法律的有关规定。笔者认为就应从两个方面来审查。一是审查收集电子证据的主体是否合法，即收集电子证据技术人员是否具备资质；二是审查电子证据的收集程序是否合法。通常情况下通过窃取方式获得的电子证据，不予认定；通过非法搜查、扣押等方式获得的电子证据，情节严重的一般不予认定。[1]

证据的真实性是证据能够成为定案依据的本质要求，它要求证据从内容到形式都是真实的，其内容要反映客观事实，其形式能被人们所认识。电子证据真实性可以依照以下两种方法考察：（1）考察电子证据的运行各个环节的真实可靠。从电子证据的生成、电子证据的存储、电子证据的传送、电子证据的收集、电子证据在上述环节是否被删改过多方面加以考察。[2]（2）通过外界相关因素的安全性可靠性的认定来推定电子证据的真实性。从世界范围内电子证据法的规定来看，间接认定电子证据真实性的方法常见的有四种情况：（1）通过认定与某一电子证据有关联者所作的证明，来推定该电子证据具有真实性；A、诉讼当事人双方均认可该电子证据；B、由适格证人通过具结方式证明该电子证据的真实性；C、由适格专家鉴定该电子证据未遭修改；（2）通过认定某一电子证据所依赖的电子系统具有可靠性，而推定该电子证据具有真实性；（3）通过认定某一电子证据的安全保障程序运转正常，来推定该电子证据具有真实性；（4）通过某一电子证据是在正常的业务活动中生成并保管的，来推定该电子证据具有真实性等。[3]

二、电子证据的证明力比较及认定规则

（一）计算机犯罪中电子证据证明力比较

证明力是指证据在证明待定事实上体现其价值大小与强弱的状态或程度。证据的证明力一般是由根据日常经验自由判断，也就是按照认定主体自由心证决定。但是这给电子证据证明力的判断带来了难题。一方面，在现代证据制度下，电子证据的证明力大小没有法定的规则可以遵循，只能根据自己的经验进行判断；另一方面，很多司法人员并不是十分熟悉电子技术，这给刑事证据判断带来难题。在这种情况下，笔者觉得有必要对电子证据的效力阶位做一认定。北京大学张玉镶、李文伟在《刑事诉讼中图像电子证据的举证、质证和认证》一文中提出的两方面比较方法笔者认为很有借鉴意义。

1.有效性比较。所谓的效能比较是指应当比较电子证据和待证事实之间的关联程度，一般具有较高证明效能的电子证据具有较强的证明力。我们可以从电子证据的来源、分辨率、清晰度等方面来考察。一般来说，原生型电子证据的证明力要优于保存型电子证据；高解析率的电子证据的证明力要优于低分辨率的电子证据；清晰度高的电子证据的证明力要优于清晰度低电子证据。[4]高音质的电子证据证明力要优于音质低的电子证据。

2.信度比较。信度比较主要是出于对电子证据的功能实现从而对电子证据的品质进行比较。对于电子证据而言，主要表现在未经压缩数据处理的电子证据较之于压缩过的电子证据、有可靠加密措施的电子证据较之于没有加密措施的电子证据、未被修改过的图像电子证据较之于修改过的图像电子证据具有证明的优势。[5]

（二）计算机犯罪电子证据认定规则

电子证据的可靠性是相对的，在具体的认证规则的指引下，对电子证据的可靠性进行判断，电子证据完全可以同传统的证据形式一样成为“强势证据”。由于保障电子证据证明力的技术手段和规范也在不断变换，所以我们对电子证据证明力的认定应该遵循下列规则：

1.经公证机关公证的电子证据具有较高的证明力。基于公证机关的特殊性质和中立地位，我国法律对公证取得的证据承认其预决的真实性，除有相反证据外不得推翻。公正的预决效力当然适用于电子证据。电子证据的公证除了常规的公证方法外，还有网上的“在线公证”。即模拟传统的公证工作，对计算机系统的所有活动实施动态的监视和记录。如计算机受到攻击等，均留下痕迹，形成可供直接收集、提取的有关数据电文证据。计算机公证技术的运用将形成了计算机公证系统，以硬件和软件两种方式实现。该系统具有监视功能和检测功能。其中，监视功能可监视计算机的所有操作，为入侵计算机系统的犯罪侦破及犯罪审查提供线索和证据。检测功能则可检测数据电文的真实性、可靠性和完整性，判断数据电文是否己被篡改，有关程序是否处于正常的运行状态中。为数据电文的认证提供可靠的依据。

2.由可靠系统产生的电子证据具有较高的证明力。所谓可靠系统认定，其一是官方认定的，即由国家颁布法律法规对某种程序运行所需要的资格进行必要认证。比如有些国家，如新加坡，在电子商务系统的认证上采取“核实程序（ApprovedProcess）”，通过一个专门机构按照一定的标准和步骤对公司的电子商务系统进行审核，如果电子证据是由通过审核的电子商务系统产生的，那么其在诉讼中就有相当的证明力。我国电子商务发展较晚，在立法上也没有对使用何种系统做出规定，在目前官方认定非常少的情况下，对可靠系统的认定主要是通过侧面认定，即通过计算机系统的正常运行来推定。在计算机正常运行情况下产生的电子证据可以推定未被非法修改，其内容的真实性可得以保障，因而证明力也较强。加拿大的《统一电子证据法》对可靠系统的侧面认定也有类似规定，即该法第5条第1款规定：“在任何法律程序中，如果没有相反证据，则可以通过那些支持如下裁定的证据，推定记录或存储电子证据的那一电子系统具有完整性，即：裁定该计算机系统或其他类似设备在所有关键时刻均处于正常运作状态，或者，即便不处于正常运作状态，但其不正常运作的事实并不影响电子记录的完整性，并且没有其他合理理由对该电子记录系统的完整性产生怀疑”。

3.经过中立机构认证或者使用认证机构的证据具有较高的证明力。证书进行数据签名的电子证据具有较高的证明力电子证据生成、存储、传送等过程经过了一个中立的技术机构的认可的证据具有较高的证明力。最为典型的是电子商务中认证机构对电子签名的确认。电子认证与电子签名都是电子商务的保障机制，但两者的手段、功能、目的及运用范围都有一些差异。电子签名是一种技术手段上的、工具性的保障，主要用于数据通信本身的安全，使之不被否认或篡改，且主要适用于封闭型和开放性的交易网络。而电子认证则主要用于交易关系的信用安全方面，保证交易主体的真实与可行，是一种组织制度上的保证，适用于开放性的交易网络。

电子数据认证机构一般由专业的、独立的不以盈利为目的的第三方担任。联合国贸法会的《统一电子签名规则》和美国的《统一电子交易法》都对电子认证机构的职责和权利义务做了规定。它的主要功能包括签发和管理电子商务证书，产生、管理使用者密钥、CA密钥等。很显然，认证机构的重要作用是保证电子交易的安全，在电子交易中所起到的作用与见证人相似，在进行电子证据收集中，认证机构所提供的原始记录应当是真实和可靠的。如若不然，认证机构则对此承担相应的法律责任。

4.由中立第三方保存的电子证据具有较高的证明力。第三方保管的电子证据，由于其中立性和独立性，它所提供的信息一般更为客观、公正，真实可靠性较高。因此，诸如网络服务中心、网络运营商之类的贸易双方之外的第三方（或称“中间人”）对电子商务纠纷中的电子证据的证明力起到至关重要的作用：在电子商务活动中，网络服务中心，网络运营商通常履行着中间功能或者提供一系列的“增值”服务，即负责数据电讯的格式化、翻译、记录认证、证明、存储及安全等。正常情况下网络运营商将电子数据储存以保护贸易双方的商业秘密；在案件发生或引起纠纷时，公安或司法机关就能方便的从这些网络服务中心收集有关的电子证据，以审查当事人提供的电子证据的可靠程度。为达到上述收集、存储电子证据目的，网络服务中心等的法律地位、权利义务和法律责任都应予以规定，才能保障其提供的电子证据公正、可靠、权威。从各国的法律规定来看，提供证据的运营商应满足以下条件：（1）网络服务中心对电子数据的储存应经过贸易双方一致同意认可。（2）网络服务中心必须具有独立而又中立的地位。（3）网络服务中心应严格遵照其与当事人约定的保密及安全存储等义务，不得对电子证据进行任何未经授权的改动。（4）网络服务商对数据的存储应该达到一定年限，以预防一定时间之内产生的纠纷。如新加坡规定该存储年限为11年。《广东省对外贸易实施电子数据交换暂行规定》就规定，EDI服务中心应有收到报文和被提取报文的回应和记录，凡是法律、法规规定文件、资料必须长期保存的，其电子报文要给予存贮，存贮期最短不得少于5年。

5.由专家出具确认意见或者鉴定结论的电子证据具有较高的证明力。为了鉴定电子证据尤其是从互联网上取得的电子证据是否被篡改过，常常需要借助于专家的力量。有关专家凭借自身的专业计算机技能对某一争议的事实做出说明。但是专家的意见一般来说归于“证人证言”，可以采纳。但是电子证据的鉴定结论则是由电子证据对存在真伪问题的计算机记录进行鉴定，所出具的鉴定书中反映的鉴定结论具有较高的证明力。

6.在正常业务活动中制作的电子证据的证明力，大于为诉讼目的而制作的电子证据的证明力。第一种在正常业务活动中制作的电子证据，系英美法系所说的业务记录，如银行在营业厅拍摄的监控录像、电子商务企业对日常运营制作的电子账簿、电子发票等。业务记录往往拥有可靠的信息来源、计算机存储设备和完善的规章制度保障，它的形成通常经过系统的多方核对，且为人们在实际业务活动中所信赖，因而一般可推定其属实；第二种是为诉讼目的而制作的电子证据，如代理律师为赢得诉讼而秘密录制的与他人直接的电话交谈、为收集有利证据而聘请电子证据发现公司搜索的E-mail证据、为完成举证责任而事后整理的电子证据等。这类证据难以杜绝制造者为胜诉而进行人为选择甚至造假的可能性，故而其可靠性较差。

本案中证据（3）某信息技术有限公司出具的网拍服务器被攻击的司法鉴定，是由中立第三方保存的电子证据，其来源可信度较高，并且主要目的是证明行为人行为危害性，是和案件实质问题直接相关，因此其真实性、合法性、关联性都没有问题；证据（6）拍卖公司提供的监控录像截图是在正常业务活动中制作的电子证据，该类证据的形成通常经过系统的多次验证，且为人们在实际业务活动中所信赖，因而也具有比较高的证明力，可以采信；证据（7）电信公司提供的IP地址查询结果其来源是可靠系统产生的电子证据，它所提供的信息客观、公正，真实一般可以得到认可。而对证据（4）公安局信安处出具的远程勘验工作记录和证据（5）公安局出具的对涉案的部分“肉鸡”检查情况和硬盘复制经过的现场勘验笔录。这两个证据都是公安机关从信息系统中提取的，其依赖的电子系统具有可靠性，且该电子证据的安全保障程序运转正常，一般可以推定该电子证据具有真实性。因此，本案的证据具有关联性、合法性、真实性，并且有较强的证明力。

三、本案电子证据的审查流程

本案中，我们需要如下完整的证据链来证明行为人的行为是犯罪行为：以“某信息技术有限公司出具的网拍服务器被攻击的司法鉴定+拍卖公司提供拍卖流拍事实+参拍人登陆网站参拍遭受拒绝服务攻击的证人证言”证明行为的危害后果；以“上网设备特征+传输设备特征（公安局出具的远程勘验笔录）+IP地址”确定被告人实施行为的“空间”；以“电脑用户人登陆系统的时间+被告人在场证明”确定被告人实施行为的“时间”，而后两者确定了被告实施犯罪行为的可能性和唯一性。以“公安机关勘验笔录显示的计算机日志+上网时间”排除其它人“盗用”IP地址的可能性。[6]这样通过大量证据的互相印证，排除了一切可能的疑点。也就是说与案件相关的“行为危害后果”、“行为实施空间”、“行为实施时间”的证据是审查的重点。

根据对此案件的分析，我们可以进行以下归纳下述证据审查流程：

1.在审查计算机犯罪证据时首先应该看串联在一起的证据链各个证据证明方向是否一致，能否排除其他可能，从而查看本案证据是否充分。我们可以有这样的思维路线：首先应该考察收集的证据与待证事实之间的关联性、合法性、真实性问题，进而认定哪些证据可以被采性。之后根据能够证明损害事实发生的证据证明犯罪行为以及产生的危害后果，通过空间和时间证据确定行为系犯罪人实施，并排除一切合理怀疑，从而还原出较为精准的案件事实。见下图。

2.电子证据必须和其他证据相互印证考察。由于一个案件的多种或多个证据之间存在着横向与纵向的复杂关系，所以必须把电子证据纳入到案件的整个证明体系中去，即把电子证据与案件中的其它证据结合起来考察，分析电子证据与其它证据之间、多个电子证据之间有无矛盾，各自证明的结论是否一致，是否形成完整的证据链条，与案件发生的时间、地点等案件要素逻辑上是否统一等。[7]例如我们都熟知的IP地址的证据效力问题。单纯的IP地址是不能来证明其对应的电脑的，因为隐藏、伪造和冒用IP地址的情况时有发生，同时IP地址只可以确认行为所在地，但是不能锁定行为人，比如网吧可能是多个人使用同一IP地址，但是如果我们把IP地址和其他证据相互印证，上网账号或者是计算机日志等等，就会有一个比较完整的比较有证明力的证据链。[8]

注释：

[1]在我国尚未制定电子证据收集程序的规范之前，侦查人员搜查、扣押电子证据主要应遵守《刑事诉讼法》关于搜查、扣押的一般规定以及《公安机关办理刑事案件程序规定》第215、216、217条专门规定扣押电子邮件、电报的规定，即应经县级以上公安机关负责人批准、签发扣押通知书并派专人看管等。如果违反上述规定的，应当立即纠正；情节严重的，不予认定。

[2]参见李学军：《电子数据与证据》，载何家弘主编《证据学论坛》第二卷，检察出版社2001年版，第462-463页。

[3]参见何家弘主编：《电子证据法研究》，法律出版社2002年版，第149页。

[4]参见张玉镶、李文伟：《刑事诉讼中图像电子证据的举证、质证和认证》，载《山东警察学院学报》2008年第2期。

[5]同[4]。

[6]参见宁勇：《电子证据的基本问题与取证初探》，载《中国知网》，访问日期：2015年7月19日。

[7]参见冷玉：《刑事诉讼中电子证据研究》，载《中国知网》，访问日期：2015年7月21日。

[8]同[7]。