论电子数据的真实性鉴定

李岩，施少培

（司法部司法鉴定科学技术研究所 上海市司法鉴定专业技术服务平台，上海200063）

论电子数据的真实性鉴定

李岩，施少培

（司法部司法鉴定科学技术研究所 上海市司法鉴定专业技术服务平台，上海200063）

电子数据真实性鉴定是电子数据鉴定中较为常见的一类鉴定，相比电子数据的搜索与恢复鉴定，电子数据真实性鉴定对鉴定的规范性和技术性要求更高：证明电子数据为真需要排除大量假的可能性，而且通常无法穷尽。通过结合在科研和实际鉴定工作中积累的常见电子数据真实性鉴定的经验，从概念和方法体系引入，进一步选取了电子邮件真实性鉴定、数据库数据真实性鉴定、聊天记录真实性鉴定三类典型且需求较多的电子数据真实性鉴定类型进行逐一解读，从鉴定思路和对策、技术方法和手段等角度进行了详细阐述，以期促进行业交流和发展。

电子数据鉴定；电子数据真实性；电子邮件；数据库；聊天记录

随着我国《刑事诉讼法》和《民事诉讼法》进一步确立了电子数据的证据地位，电子数据的真实性作为一个衍生问题越来越多地出现在公众视野中。由于电子数据证据具有易篡改的特性，司法机关在采信时会格外慎重，委托鉴定机构进行真实性鉴定是一种常用的途径。笔者所在的鉴定机构每年受理的电子数据鉴定案件中，近半数为电子数据真实性鉴定。这些鉴定中，以电子邮件真实性、数据库数据真实性、即时通信软件聊天记录或者手机短信数据真实性类案件为多。

1 电子数据真实性鉴定的概念和范畴

从鉴定的申请方来看，最简单直白的诉求是希望对一份电子数据做出“真”或“假”的评断。但从鉴定人视角来看，单纯的“真”或“假”并不能解决电子数据真实性的问题，而且可能引入歧义。例如打开后没有改动就点了保存的电子文档，再如手术之后三天才在电子病历系统中录入的手术记录，虽然从内容角度可能为“真”，但是从电子数据角度往往就会被认为“假”。所以在电子数据真实性鉴定中，还原电子数据的形成过程通常比单纯的真假评判更为重要。

电子数据真实性主要包含两个范畴：“伪造”和“篡改”。“伪造”有无中生有、凭空捏造之意，被伪造出来的电子数据原本是不存在的，可能来源于当事人的想象、日常经验或者类似的电子数据。“篡改”则是在已有的电子数据上添加、改动、删除了部分数据，使其所反映的事实产生改变。此外，一些对于电子数据形成过程的鉴定也可以归入广义的电子数据真实性鉴定范围内。

2 电子数据真实性鉴定的地位和现有方法体系

在中国合格评定国家认可委员会（CNAS）于2015年6月发布的CNAS—AL13《司法鉴定/法庭科学机构认可领域分类》中，将电子物证领域分为三大类，分别为“电子数据的提取、固定与恢复”、“电子数据真实性（完整性）鉴定”、“电子数据同一性、相似性鉴定”。在“电子数据真实性（完整性）鉴定”中又分为五个子类：“01电子签名”、“02电子邮件”、“03即时通信”、“04电子文档”、“05数据库”。

作为电子数据鉴定的三大类之一，电子数据真实性鉴定已经有了较为成熟的方法体系，五个子类中除了电子签名尚未有针对性的鉴定方法之外，其余分类均有已发布或制定中的方法。现有方法体系见表1。

表1 电子数据真实性鉴定方法体系表

2 常见电子数据真实性鉴定类型探讨

电子数据真实性鉴定是电子数据鉴定中难度较高的一类鉴定，“证实”需要考虑的因素通常数倍于“证伪”，对鉴定人综合分析能力有较高的要求。下文将从常见的三类电子数据真实性鉴定逐一进行探讨。

2.1 电子邮件真实性鉴定

电子邮件真实性的需求主要有两类，其一为指定电子邮件是否真实发出或者被实际收到，其二为一封已存在的电子邮件与发送、接收时相比是否有改动。上述两类分别对应鉴定要求中的“伪造”与“篡改”。伪造电子邮件可以理解为电子邮件未经正常的网络传输，整封邮件均为无中生有的；篡改电子邮件则是在一封已有的正常邮件基础上进行的变造，替换了其中的一些关键信息。

站在电子邮件真实性鉴定委托方的角度，对电子邮件真实性的理解有以下几种：电子邮件的实际发送者/接收者是谁，电子邮件是什么时间发出/收到的，电子邮件的正文/附件是否经过添加、修改或删除，电子邮件的操作者及操作环境是怎样的。前三点是容易理解的，最后一点的一个例子是当事人不否认自己的邮箱发送过邮件，但是当时自己不在场无法操作邮箱，需要对邮件的来源进行分析，以确定邮件是否在声称地点之外发送。

无论鉴定要求的提法如何，在电子邮件真实性鉴定中都可以从以下几个步骤来入手：

（1）解析邮件。将邮件客户端的数据文件解析为单个标准格式（如eml格式）的邮件，方便在后续检验中抽取邮件的各个部分进行分析；将服务器上的邮件以标准格式进行保全。

（2）分析邮件头。在接收方的邮件中邮件头包含了反映传输过程的信息，这些信息的组合方式、顺序、编码、历时性变化等呈现出特征可以作为验证电子邮件真实性的依据。例如，从一些邮件客户端生成Message-ID字段可以解析出时间信息[1]。

（3）分析邮件正文和附件。检验正文的编码结构、附件的内容和元数据等信息是否存在异常。

（4）拓展信息广度和深度进行综合分析。通过查找同一邮箱内的同主题邮件、同一邮件被其他收件人接收的版本、存有附件文件的存储介质、邮件服务器等获取更多信息来互相印证；站在整个邮箱、邮件客户端或者邮件服务器的角度对需检邮件进行考察。一些邮件客户端中可以解析出额外的特征信息[2]。在获取了各个层面的信息后，对这些信息的梳理是鉴定的难点，一些异常点可能是客观原因造成，应对其成因进行全面的分析。

在上述检验基础上对电子邮件的真实性做出综合判断，可选用四种鉴定意见之一[3]。总的来说，电子邮件真实性鉴定的分析原则是找矛盾和可疑点，在尽量多的数据来源中进行相互印证；如未发现可疑点，则考虑现有信息的复杂程度是否具有伪造、篡改的可行性。例如经过可信第三方数字签名，且签名方案完备的电子邮件，可认为不具有伪造、篡改的可行性。

2.2 数据库数据真实性鉴定

数据库广泛运用于各种计算机系统中，是计算机系统的核心组件之一。数据库记载了计算机系统的业务信息，也可以反映出系统的功能结构，是电子数据鉴定中重点关注的内容。数据库系统提供了多种操作数据的接口，对数据的访问和修改都较为容易，数据真实性也因此面临挑战。

数据库数据真实性本质上就是追溯数据是否经过修改、修改的时间、修改的内容等信息。这种修改不一定体现在数据库层面，鉴定人需要从整个系统入手，客观反映出数据的产生、修改的过程或者对修改的可能性进行评估。事实上，很多涉及数据库数据真实性鉴定的关键点都不在于针对数据库数据本身的篡改上。

大部分关系型数据库系统自身具备事务日志的功能，可以反映出数据库数据的操作过程；存储重要数据的数据库系统则由数据库管理员定期进行数据备份，数据备份中可以提取到备份时间点的数据状态。虽然在理论上上述两点基本能够解答针对数据库数据真实性的怀疑，但在实践中却会遇到困难。数据库事务日志的内容的详细程度决定了其对存储空间和系统资源的消耗是巨大的，数据库管理员不得不限制事务日志的体积。事实上事务日志的设计初衷是为了修正数据库的内部错误或从崩溃中回滚，而不是用于追溯修改过程。同理，数据库备份的频次和类型都由数据库管理员设定。在鉴定时间距离事件发生时间较久时，从事务日志和数据库备份中获取的有用信息会非常有限。

针对数据库日志和备份的检验不能解决所有问题，在实践中我们可以从系统的本身来入手，从数据的各个层面进行综合比对来确定数据库数据的修改情况。这种方法的思想来自于Locard定律[4]：交互即会留下痕迹。修改数据作为人机交互的一种形式，自然也会存在痕迹。同时，一些应用较为广泛的数据库系统如电子病历系统，在设计之初即有保留关键数据修改记录的功能。检验的目标转化为如何发现这些功能或记录，并采用易于办案机关理解的形式进行呈现。

复杂数据库系统的数据呈现方式通常不是直接通过数据库管理系统查询数据库数据，而是通过前端客户界面的显示或者打印输出的内容。委托方对数据的真实性产生怀疑的依据就是显示或打印的内容与实际情况不符。这种情况下，则需要结合软件功能鉴定的相关技术，对前端数据与数据库中数据的对应关系进行梳理，同时结合数据字典对数据库中对应数据表进行释义，必要时还需对应用系统程序运行流程和算法进行分析以查明前端数据生成的过程，以解释委托方的疑虑。

数据库数据真实性鉴定主要技术由易到难分为四个层次[5]：

（1）获取运行中的服务器中的数据库数据文件、日志、trace记录等。

（2）重构数据库，通过数据库应用软件或数据库管理软件导入导出数据。

（3）使用结构化查询语句对数据库进行数据挖掘。

（4）恢复数据库的删除数据或日志。

即使运用多项技术得出数据的修改过程，仍然无法解决委托方对于数据修改性质和修改原因的疑问，这就不在电子数据鉴定的范畴中了。因此，在数据库数据真实性鉴定的结论表述中，推荐以客观直白的形式展现数据记录[6]。对于委托要求未涉及但影响鉴定结果的重要数据，如用户权限授予不当、系统存在异常登录记录等，也应在检验过程中进行描述。

2.3 聊天记录真实性

聊天记录是当事人“亲笔”文字性陈述借助电子形式的外在表现[7]，客观存在于计算机、电子设备、服务器内的存储介质中。在这种意义下，手机短信也应归于广义的聊天记录中。

聊天记录所承载的信息对于还原案情具有不可或缺的作用，但是存在于计算机或者电子设备中的聊天记录在作为证据呈现时存在一定局限性，通常的方式是导出为文档之后打印，或者直接截图打印。相比聊天记录本身，对文档或截图的修改要容易许多。更有甚者，一些不严密的即时通讯软件的聊天记录（如MSN Messager）可以直接采用文本编辑器进行修改，也有一些专门用于伪造短信的手机应用软件。

理论上，任何通过服务器中转的聊天记录都会在服务器上留下副本，但是由于用户成员多、信息流量大等特点，在服务器上并不会长期保留用户的聊天记录；即使在聊天记录的保留期限内，从服务商处直接获取服务器上临时保留的记录也存在相当大的困难，通常需要行政力量且手续复杂，服务商可能会以保护用户隐私的缘由拒绝提供。在聊天记录真实性鉴定中，这种存在于第三方服务器上的记录可信度较高，在无法直接获取的情况下可尝试采用变通的手段获取。

聊天记录真实性鉴定所采用的技术主要有以下几种：

（1）即时通讯数据解析技术。即如何从存储介质中提取聊天记录文件或数据，并将数据解析为聊天记录的技术。不同载体、不同平台、不同版本的即时通讯工具有不同的解析方式，这项工作通常由取证工具完成，但需要鉴定人对各种即时通讯工具的处理方法和各类工具的特性有针对性了解，在检验时选取合适的工具。

（2）数据解密技术。目前较为常见的即时通讯工具中，大部分都采用了加密等技术手段保护聊天记录文件。将数据文件中的聊天记录数据解析并展现是整个鉴定环节中的难点。由于即时通讯工具版本更新频繁，其数据格式和保护措施也会或多或少发生改变。加密方式的改变往往需要数年时间才会有成熟的解密技术方法出现。数据的解密也依赖于取证工具。

（3）关键信息的人工分析。人工分析技术主要为了弥补取证工具功能的不足，在已有相关技术但无成熟工具的情况下需要人工分析，挖掘更多有用的数据。例如笔者所使用的取证工具在删除短信的提取上均无法做到100%准确，存在遗漏和重复的现象，这种情况下应从保存短信的SQLite数据库结构入手进行验证。再如目前很热门的微信红包，由于涉及多个数据表的关联，现有工具无法很好地解析和呈现，也需要采用仿真等技术手段进行人工分析。

（4）信息的关联分析。这一点与电子邮件的综合分析类似。除了发送方和接收方之外，从其他渠道获取聊天记录或用于印证的信息也是必要的。即便是聊天的同一方，也可能在多处存在聊天记录，例如QQ的PC版和手机版可以同时在线，只提取一处的聊天记录可能是不完整的。前文提到获取服务器聊天记录的困难性，但QQ会员具有漫游聊天记录至服务器一定期限的功能，这种记录获取相对容易，在检验中应加以利用。

3 结语

电子数据真实性鉴定的主导思想是发现痕迹，找出矛盾。鉴定人不仅需要持续关注相关鉴定技术的发展，而且要对针对特定电子数据的伪造篡改方法有所了解，做到知己知彼。在检验过程中应关注检验的全面性，从多角度多渠道寻找痕迹。在鉴定意见的表述上应注意客观和全面。

[1]郭弘，金波.利用邮件头分析电子邮件的真伪[J].中国司法鉴定，2010，（3）：63-68.

[2]李岩，施少培，杨旭，等.电子邮件真实性鉴定方法探索[J].中国司法鉴定，2012，（4）：94-99.

[3]SF/Z JD0402001电子邮件鉴定实施规范[S].2014.

[4]James N.Gilbert，Criminal Investigation[M].Upper Saddle River，NJ：PrenticeHall，1998：26.

[5]刘浩阳，李锦，刘晓宇.电子数据取证[M].北京：清华大学出版社，2015：678.

[6]SF/Z JD0402002.数据库数据真实性鉴定规范[S].2005.

[7]何家弘.电子证据法研究[M].北京：法律出版社，2002：242.

（本文编辑：卢启萌）

D918.9

B

10.3969/j.issn.1671-2072.2016.06.015

1671-2072-（2016）06-0085-04

2016-08-08

科研院所公益研究专项（GY2016G-6）；上海市司法鉴定专业技术服务平台资助项目（16DZ2290900）

李岩（1985—），男，工程师，助理研究员，主要从事电子数据、声像资料鉴定研究工作。E-mail：liyan@ssfjd.cn。通信作者：施少培（1962—），男，高级工程师（正高级），主要从事刑技术研究工作。E-mail：shisp@ssfjd.cn。