刘波
摘要:当电子数据以鉴定意见的形式在法庭出示时,缺乏专业知识的质证者很难对抗这种具有表面可信性的证据,对电子数据鉴定意见的质证尤其困难。而且,随着电子数据相关法律法规的不断发展和完善,以检验报告或者鉴定意见形式出具的电子数据将会更为常见。面对这样的困境,文章从法律和技术结合的角度论述了破解这个难题的五大要点,包括重视及利用庭前证据开示程序取得对原始数据或其准确复制件检验和分析的机会、通过庭前书面质询方式了解鉴定的关键性细节、从专家的适格性问题找出鉴定过程中可能存在的漏洞、重视数据取证部分对鉴定意见结论部分的影响和对数据来源做不同的解读。
关键词:电子证据;鉴定意见;质证
中图分类号:DF7;D918.9文献标识码:A文章编号:16738268(2018)01004409
质证与举证是一个博弈的过程,当举出的证据具有表面的可信性时,质证者需要看似可信的理由或者具体的反驳证据才能降低举证者所举证据的证明力。以打印件形式在法庭出示的普通电子数据证据常常难以跨越真实性的障碍,因此證据反对方仅简单地对打印件的真实性提出异议就可能成功达到质证的目的,但如果以鉴定意见此处所指的鉴定意见包括检验报告和有结论性的鉴定意见。的形式出具,专家的参与为电子数据披上了看似可信的外衣,举证者对证据真实性的证明责任也容易得以满足。此时,如果证据反对方不能进行有力的质疑或者提出其他强有力的反驳证据,很容易在诉讼中处于不利地位甚至是输掉官司。然而在现实中,电子数据鉴定意见证据的质证却存在很大的问题。对此类证据的质证,目前的通常做法,一方面,是依据现有相关司法解释和相关规定包括《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、最高人民法院关于适用《中华人民共和国刑事诉讼法》的解释、《关于办理死刑案件审查判断证据若干问题的规定》《关于办理刑事案件排除非法证据若干问题的规定》《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号)、《计算机犯罪现场勘验与电子证据检查规则》(公信安[2005]161号)、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字[2014]10号)、《公安机关刑事案件现场勘验检查规则》(公通字[2005]54号)、司法部《电子数据法庭科学鉴定通用方法》(GA/T9762012)等。进行,包括从收集主体是否合法、收集程序与证据的保存是否按相关标准或要求进行、相关笔录类证据是否齐全及符合规范等几方面入手;另一方面,是采用鉴定意见质证的通用方法,即对鉴定机构和鉴定人资质、鉴定程序等方面提出质疑。这些质证内容大多是形式性的,虽然必要但作用有限。当然,除此之外还有另一种质证手段,那就是借助于专家的帮助——这或许也是对鉴定意见等科学证据公认的最有效的质证方式。然而,要实现对电子数据证据的有效质证,应该考虑的因素远不止于此。在充分考虑电子数据的证据特性及其背后的技术性问题后,本文就对电子数据鉴定意见质证时应该重视的一些因素提出了几点看法,其中的部分内容与技术相关,而更多的则是质证的方向和思路问题。
一、良好的质证以充分开示为基础
(一)电子数据证据充分开示的意义
证据开示是质证的前提和基础,有利于提高质证的效率,并影响着质证的实际运行效果[1],对于电子数据证据来说,这句话应该加上“充分”两字。充分开示意味着对于那些以数据形式存在的证据,质证方要有对这些数据准确的复制件(比如手机或硬盘的镜像文件)访问和分析的机会,这既不同于法律法规要求举证者出示电子数据的原始存储介质或原件,也不满足于原始数据内容的准确打印件,而是强调对数据进行分析的机会——虽然并不一定要直接取得数据。司法传统已经将强调书证的原件延伸到强调电子数据的原始存储介质,从相关的法律法规和律师对其的解读 指《辩护律师办理刑事案件非法证据排除指引(试行)》提出的“如果没有原始存储介质,律师可以提出强制性排除该电子证据的申请”。可以看出这一点。但基于原始存储介质只是存放数据的一个“容器”,因此关键的问题不是在于这个容器本身,而是容器内的数据。对质证者来说,真正有意义的是有没有分析容器中所存放数据的机会和能力。对数据直接审查的意义在于,除了文件本身所表达的信息外,电子文件还包含一些元数据信息或数据指纹,而这对于验证或者反驳举证者的主张可能非常有用——这一特点与书证原件除了其本身所表达的内容信息外还包含有纸张的特点、书写者的书写习惯、笔迹特征或打印特征等可以对其真伪进行鉴别的特征点的性质一样。即使是以截屏方式保全的电子数据,直接审查这些截屏文件也好过审查其打印件。因此,质证者审查应该以原始数据的准确复制件为主,而不是打印件,这也意味着,电子数据证据充分开示是良好质证的基础。
与传统证据不同,电子数据本身所包含的信息不仅仅是表面上所要表达的信息,其背后所包含的信息可能有助于对证据真实性进行判断,从而会直接影响质证的方案和内容。现以电子文件作为重要证据的某刑事案件为例,在检验报告中没有体现被扣押电脑最后开机时间的情况下,根据被扣押电脑最后开机时间信息,质证方可能采用很不相同的两种质证方案:(1)如果电脑最后开机时间或某些文件的最后打开时间是在电脑被扣押以后,那质证就会围绕数据被篡改或伪造的可能性进行;(2)如果电脑在扣押后没有新的开机记录,则可能会提出是否对最后开机时间进行检查等问题,其目的是要向大家表明控方检验人员在程序上的疏漏,以此削弱该检验人员的可信性。但是,如果质证方只是依靠控方提供的检验报告而没有获得分析电脑镜像文件的机会,那么他可能提不出任何有力的质问,更不用说会如此具有针对性。由此也可见,对电子数据证据进行文本审查通常都难以满足质证的要求,充分开示对于电子数据证据的质证有着重要的意义。
此外,充分开示也能解决电子证据庭上出示的一些问题,如以转化方式出示的电子证据,在对转化环节的审查和计量方面,法庭的保障并未跟进[2]等问题。endprint
(二)电子数据证据充分开示的三个层面
1.获取原始数据准确的复制件或对原始数据访问和分析的机会
有时候获取数据本身就是质证的关键,质证人在得不到相关数据的情况下可能根本就无法进行质证,因此一些国家非常注重证据的开示,在开示不到位时甚至可能撤销原判,发回重审比如在State v. Dingman案(202 P.3d 388)中,上诉法院推翻原判并要求初审法院重新审理此案,原因是初审法院错误地拒绝了被告要求获得从被告家中搜查到的电脑硬盘的访问权和要求获得硬盘镜像的请求。。但在我国,充分开示电子数据证据的重要性显然没有引起足够的重视,不仅没有充分开示电子数据的相关规定,实践中也不注重对数据的开示。有统计表明,刑事诉讼中控方对电子数据证据的举证方式一般是“以摘要打印的方式,将与待证事实相关的部分转化为书证,并简要说明其内容”[3],这种情况下,如果质证者在审前接触不到作为证据的数据本身而只能从举证方准备在法庭上出示的那些打印件中发现漏洞和寻找瑕疵的话,这很难在法庭上进行有效的质证。因此,质证方必须要主动寻求对原始数据进行分析的机会,而不能只满足于在法庭中出示的展示件。虽然对电子数据证据的质疑也可以通过重新鉴定来解决,但鉴于制度上的限制,重新鉴定根本无法与质证人直接聘请专家分析数据的情况相比拟。试想一下,在很多教授和专家对硬盘做完分析后都得出嫌犯有罪的情况下,如果不是自己坚持不懈找专家分析原始数据的镜像文件,那么此案的嫌疑人很可能难逃不白之冤该案中,最后有专家证明,使嫌疑人证明罪名成立的文件和日期都是伪造的,因为硬盘曾经被人从原来的计算机中取出来,再放入了另外一台计算机中更改了该计算机的日期和时间,然后将文件拷贝到证据硬盘中并进行了删除文件操作。(参见Sprite Wendy:《NTFS高级分析取证》,2017年8月1日,http://mp.weixin.qq.com/s/gkO5AkiNJH-I9AKMmsDdWA)。
2.开示完整的数据
经剪辑的数据往往以完整性存在问题而被排除,但检控方只是出示或调取部分相关数据则很可能被采纳,尤其是在其他相关数据不确认是否存在时。比如在某刑事案件参见丁盛职务侵占罪一案二审刑事裁定书,(2013)沪一中刑终字第1180号。中,辩护人要求法院对涉案公司相关年份的电子邮件进行核查及要求第三方对电子邮件进行恢复,但法院以控方展示的部分电子邮件与案发经过及户籍资料等证据相印证为由,维持了原判并驳回了原告的请求。本案中,在部分电子邮件被用作证据的情况下,会不会证明罪轻或无罪的证据隐藏在其他邮件中?这涉及证据的完整性问题,控方出示的证据可能只能反映事实的一部分,二审中辩护人提出开示要求是有一定道理的,且如果证据开示制度运行良好,在一审中这些相关证据就应该被开示以保障被告的质证权。但同时我们也要看到质证人的不足,虽然意识到电子数据的完整性问题,但也应该提出一些更具体的线索,比如大概什么时间段和某人沟通的电子邮件,而不是要求核查和恢复相关时间段的所有电子邮件——充分开示并不等于毫无限制的开示。
3.以看得懂的方式开示
充分开示电子数据不仅意味着质证者从举证者手中直接取得其准备作为证据使用的数据或访问这些数据的机会,还意味着以合理可用的形式开示,即为了节约司法成本及在诉讼双方实力悬殊时形成公平对抗的目的,在可能的情况下以方便质证者查阅的形式开示,比如在手机的镜像文件中,QQ或微信聊天记录通常以数据库形式存在,如果举证者已经利用了专业软件对数据库进行了解析,那么开示给对方的证据应该包括解析后的数据报告,而不是简简单单的手机镜像文件。当然,究竟开示些什么内容可以根据质证方的要求来定或双方协商解决,既可能是原始存储介质的镜像文件或者是解析后的文件,也可能是两者都提供。以合理可用的形式开示数据虽然是证据开示中一种新的要求,但也是电子证据开示的必然要求。美国的司法实践就普遍认为,电子数据以无法了解其内容的方式出示时不是真正的证据开示。比如在United States v. Stirling 案参见Case No.1:11cr20792CMA(S.D. Fla. June 5,2012)。中,通过对被告硬盘镜像文件的分析,FBI发现了被告与另一共犯在Skype上的聊天记录并将这些信息(这些信息不是打开文件就能直接查看)转换成了共214页的文字格式。控方没有将该证据开示给被告,也没打算将其作为主要证据使用,但告诉被告如果其作证的话,这些证据将用来弹劾他。后来被告作证,法院认为控方在知道Skype聊天记录的情况下仅提供被告其硬盘的镜像文件是不满足开示要求的,且Skype聊天记录对被告的可信性有着毁灭性的影响,因此法院以司法公正为由,否决了陪审团做出的有罪判决,批准重新审理此案。该案也可以算是电子数据开示形式影响质证方案的一个典型案件。
(三)主动寻求数据开示的方法
对电子数据真实性有怀疑或觉得有可质疑的漏洞时,一定要重视对数据直接审查的机会,作为法律专业人士的律师更应该培养直接审查数据的意识。与传统证据的原件只有1份或少数几份相比,电子数据的无限复制性使得等同于原件的复制件可以有很多,并且不会因为复制件的制作而对原件造成任何的减损也有学者将这种特性称为“无损坏再生性”。(参见赵长江:《刑事电子数据证据规则研究》,博士学位论文,西南政法大学,2014年第29页),因此在有需要的情况下,质证方也要敢于提出对原始数据复制件审查的要求,敢于打破“当事人一方对他方提出的电子数据表示异议的,人民法院‘通知电子数据的制作人到庭接受询问、聘请专家进行鉴定,必要时委托相应的专业人员对相关的计算机或其它电子设备等进行现场勘验”的傳统模式,要求质证前对数据进行检查的权利,从而为质证做好充分的准备。
虽然目前在我国举证者主动开示数据原件或其准确复制件的情况非常少见,但这并不等于不可能实现,理由如下:(1)刑事诉讼相关法律法规要求举证者提供数据的原始存储介质和“电子数据存储磁盘、存储光盘等可移动存储介质与打印件一并提交”参见《〈刑事诉讼法〉司法解释》第九十三条、《关于办理刑事案件收集提取和审查判断电子数据若干问题规定》第八条的规定。,这说明在绝大部分案件中,电子数据原件或其准确的复制件是存在的,只是律师或其他代理人通过普通阅卷方式不能触碰得到或无法复制得到;(2)从第三方调取的数据则要看数据提供方用的是什么方式提供的,不过不难想象,在数据量较大的情况下,应该是以数字形式存放于光盘等存储介质中;(3)对于转化为鉴定意见形式出具的电子数据,可用的数据文件自然不用说,肯定有;(4)民事诉讼中是否存在数据则取决于举证者保全电子数据的方式,此时需要注意的是,不管残留什么样的数据文件(比如截屏的图像、截屏操作时的同步录像等),都可能对质证有帮助。由此可以看出,质证者要想获取作为证据的数据文件,还需要一定的外部条件。endprint
但是,如何才能取得这些数据?在法律法规尚未明确电子数据的充分开示前,只有靠质证方努力向法院争取:(1)尽可能提供充分的开示理由,向法院解释清楚要求开示数据的目的、重要性、必要性,以及准备聘请来审查和分析数据的专家的情况等。从某种意义上来说,这类似于申请重新鉴定,只不过在专家或鉴定机构的选择上是单方面的,而获取原件准确的复制件并不会对原件造成任何减损使这种单方审查成为可能。(2)寻求专家在指定环境分析数据的机会。这主要是指当申请开示的数据涉及敏感性内容、商业秘密、个人隐私或其他不便传播的信息时,当事人或其代理人不直接接触数据,而是由其聘请的专家在指定的场所对数据进行分析和检验数据并提供质证方案的情况。这种由专家而非诉讼代理人或当事人本人接触数据的做法在欧美国家已经非常流行,在当事人诉讼权益与其他主体的利益冲突之间起到了很好的平衡作用在Playboy Enters. v. Welles案(S.D. Cal. 1999)中,法官要求原被告共同指定一位中立专家作为法官助手,对被告的电脑进行镜像并恢复其中删除的电子邮件,以保护被告受特免权保护的文件及隐私,且专家的费用由原告承担。而在Sony BMG Music Entmt v. Arellanes案(2006 U.S. Dist. LEXIS 78399)中,原告请求法庭允许其聘请的计算机取证专家对被告硬盘制作镜像以判断是否存在有关的音乐文件被删除或隐藏,并通过恢复残留文件以获取被告侵犯版权的证据,但被告提出应该是中立第三方的专家来检验其硬盘,以保护其隐私权。法庭采纳了被告的建议,该专家由被告双方共同选定,专家的费用由原告承担。。(3)基于电子数据证据开示可能的高额费用,质证人也要注意开示请求的合理性,并将申请开示的数据限制在尽可能小的范围内。
二、质证方式需要适当转变
对于鉴定意见的质证,很多研究者都将目光放在了与鉴定人当庭质证,即法庭中的质证,比如卞建林教授认为,庭审实质化与鉴定意见的有效质证应该“落实鉴定人出庭的规定、明确‘有专门知识的人的法律定位”[4],但对于电子数据鉴定意见的质证来说,只是盯着法庭上的质证是很不够的,应该以书面质询与庭上质问相结合的方式进行。
首先,书面质询有助于实现庭上的实质性质证。电子数据在取证或分析中可能存在很多的漏洞,或者说看起来像漏洞的地方,如果不了解真实情况而凭自己的猜测去质问,即在不知道对方答案的情况下质问,很可能会导致质证过程完全不受发问者的控制,而这种情况是非常危险的。比如,在本文前面所举的有关开机时间的询问中,在不确认对方专家是否有对最后开机时间进行检验的情况下就提出最后开机时间的问题非常危险,而且容易使自己处于被动的状态,因为对方专家对最后开机时间的确认不一定会记录在检验报告中,并且还不排除其为出庭作证做准备又重新对原始镜像文件进行全面分析的可能性。为了解决这样的不确定性问题,最好的方式就是庭前以书面质询的方式取得相关信息。不仅如此,当其前后的证言不一致时,得到的书面回答还有可能用来反驳专家的庭上证言。此外,将所有问题集中在法庭上进行询问,根据得到的回答随机应变进行接下来的提问,势必使整个质证过程繁琐且冗长,从而给法官一种凌乱、难以分清主次等不好的感觉。这种情况下,尽管质证者可能非常努力、询问的问题非常专业且很重要,也不一定能取得很好的质证效果。比如,在深圳市快播科技有限公司涉嫌传播淫秽物品牟利案的一审开庭中,诉讼代理人花了近3分钟的时长来考察涉黄鉴定人鉴定工作的速度和用时情况,其目的可能是为了引出“为什么用时长达6个月的第一次鉴定得出的涉黄视频数会少于后来用时仅3个月得出的数量”这个问题,这种琐碎、冗长且对被质问对象回答内容毫无预知的提问,显然难以达到有效质证的效果。事实上,庭审中法官也指出诉讼代理人提问的内容和方式,告诫他们应该“提前归纳总结并准备好”。因此,在开庭前对鉴定人进行一些书面质询是非常必要的,这不仅能事先解决一些不确定性的问题和一些基础性问题,而且还能为庭上对重点问题集中质证作好充分的准备,做到有的放矢,并使质证有层次、有重点,按预想的方向发展。
其次,以书面质询方式进行庭前质证既有法律依据也有现实需要。司法部《司法鉴定程序通则》第四十条规定:“委托人对鉴定过程、鉴定意见提出询问的,司法鉴定机构和司法鉴定人应当给予解释或者说明。”该规则并没有明确是庭前还是庭上询问,这说明,即使是在开庭前,如果委托人提出与鉴定相关的专业性问题,鉴定人也理应进行解答。其实,与出庭作证相比,很多鉴定人也愿意在庭前以书面的形式回答一些专业性问题,而不是把时间和精力都浪费在出庭的路上或庭审期间的等待之上一些鉴定人反映说庭上出庭作证的时间可能只有10分钟,然而往返于法庭却需要花很多时间,在审判庭外往往也需要等候几小时。。但这里提出书面质证却不是为了鉴定人的利益考虑,而是为了明确质证的重点和提升质证的效果。另外,现在鉴定意见的内容愈发简单,虽然还没到惜字如金的程度,但对于能够帮助理解鉴定意见的鉴定过程的描述和得出鉴定意见的具体依据却少之又少。虽然司法鉴定文书的撰写要求鉴定人写明形成鉴定意见的分析、鉴别和判断的过程,但很多鉴定书对此都语焉不详;虽然《司法鉴定程序通则》要求司法鉴定人应当对鉴定过程进行实时记录,要求载明主要的鉴定方法和过程,检查、检验、检测结果,以及儀器设备使用情况等,并在签名后将其存入鉴定档案,但质证者要获得这些记录却相当困难,甚至可以说基本不能获得。在这种现状下,质证人试图通过对鉴定意见的书面审查而得到较好的质证方案是不现实的,但通过书面质询的方式却有望获得一些与记录相关的信息,这些信息不仅能够帮助质证者更好地理解鉴定意见,而且还可能帮助质证者明确质证的方向和重点。虽然司法部对鉴定人无正当理由拒绝出庭的情况有较为严厉的惩罚措施2005年出台的《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》第十三条和《司法鉴定人登记管理办法》第三十条都规定:“经人民法院依法通知,拒绝出庭作证的鉴定人,由省级人民政府司法行政部门给予停止从事司法鉴定业务三个月以上一年以下的处罚;情节严重的,撤销登记。”,但在刑事诉讼方面,对于出具检验、检查或鉴定报告的侦查机关内部人员却没有与此类似的规定。基于很难要求侦查机关检验人员或专家出庭作证的现状,质证者更应该利用好书面质疑这种方式,要求检控方对其中的一些疑问做出合理的解释,而且这也可以算是督促检控方严格审查电子数据证据的一种可行的方式。endprint
最后,书面质询有助于合理节约诉讼费用。法官把鉴定人出庭当作是回应证据反对者质询的一种救济,但质证要考虑成本问题,充分利用书面质询有助于帮助质证人节约成本。对于有疑异的鉴定意见,在接触鉴定人之前很难去判断自己的这些疑问是否有道理。如果开庭前能通过书面沟通的方式得到鉴定人的书面答复,然后再根据鉴定人的答复情况来决定是否向法院申请鉴定人出庭作证,这在一定程度上能避免为鉴定人出庭作证而支付必要的费用,同时又解决了质证者心中的疑问,符合公平、高效解决争端的法治理念。
三、专家适格性审查功能的转变
鉴定意见类证据的质证一定会审查鉴定人的适格性作为专家提出的证人具有特别的知识或经验,这使其建立在这种知识或经验基础上的意见有助于法院或陪审团确定有关问题,这是美国《联邦证据规则》第七百零二条对专家适格性提出的要求。(参见王进喜:《美国〈联邦证据规则〉(2011年重塑版)条解》,中国法制出版社2012年版,第212213页)及其所在鉴定机构的资质,在适格性或资质有问题时可以申请直接排除相应的鉴定意见,有瑕疵时也可以削弱其证明力。但是,电子数据质证中强调审查专家的适格性的主要目的还不在此,而是为了另外一层重要的意义:适格与否意味着专家的教育背景、经验知识等是否与其发挥的作用相匹配,不适格或勉强适格则意味着其工作成果(包括检查报告、检验报告和专业意见等)极可能存在着一些或者比较大的漏洞,相应地,质证前就应该仔细审查其工作过程的每一步和得出结论的依据是否合理,然后找准方向驳击其证据能力和证明力。
电子数据鉴定人的适格性是个有些隐蔽的问题。对于传统证据而言,虽然鉴定人的能力、水平与专门性问题之间的匹配性可能会存在问题,但在适格性问题上却不难判断,比如鉴定人执业资格证上写的执业领域是法医物证鉴定人,那么在解决法医病理方面的问题时,该鉴定人就不是适格的专家。就电子数据而言,既存在着专业取证结果与专家意见混杂的情况,还存在着多种不同的技术领域。常见的电子数据专门知识涉及手机取证、数据恢复、大型服务器取证、计算机文件系统分析、伪基站鉴定、软件功能分析、文件的真实性和同一性认定等。这些领域的鉴定人都统称为电子数据鉴定人,这种不区分专业知识的局面使得面对电子数据鉴定意见时,需要对鉴定人的相关背景与其作证内容的适格性问题好好审查。审查的重点主要在那些由知识和经验不足可能造成的证据问题之上,如果其给出的报告超出范围得出了结论性意见,这些结论可能就更经不起考究。
又因为鉴定人必须依附于鉴定机构进行执业,且CNAS即中国合格评定国家认可委员会。将电子数据实验室认可的鉴定项目分得很细,在大类上就有三类,其中各又有几个小类,所以对鉴定人适格性的审查往往与对其所属的鉴定机构的资质审查相结合。以某案件中涉及的微信聊天记录截屏图像的真实性鉴定案情简介:在一民间借贷纠纷案件中,原告提出其与被告的微信聊天记录作为证据,用以证明借贷关系的成立。最初,聊天记录是以截屏打印形式提交法庭,后来原告因手机系统崩溃后已经无法找回原始微信聊天记录,只能提供当时从手機导出的截屏图像。被告否认微信聊天记录的真实性,并且辩称是微信对话生成器所伪造。因此,法院对这些电子数据进行了委托鉴定,要求鉴定机构就这些微信聊天记录截屏图片是否系微信对话生成器所伪造、对话截图是否经过篡改进行鉴定。为例,由于是鉴定电子文件的真实性,相应的鉴定机构就应该至少有电子文档的鉴定资质。由于鉴定过程中涉及手机的取证,虽然法律对于这种情况下鉴定机构是否应该具有手机取证的鉴定资质没有硬性的规定,但手机取证资格审查至少可以作为质证的一个方向,因为没有资质可能意味着鉴定机构取证工具的不足及鉴定人经验的缺乏。所以质证的重点之一是在手机取证这一环节,通过对一些技术性细节的询问达到削弱鉴定人“从手机未恢复出图像说明截屏文件被覆盖”的结论,并强化自己“没有恢复出相应的截屏图像正是因为原本图像根本不存在”的主张。当然,为了保障质证的效果,质证者应该通过庭前书面质询方式充分了解专家所使用的取证工具、取证过程和得出该结论的原因。
审查鉴定人得出鉴定意见的依据是否科学、是否充足是鉴定意见质证的重要内容,对鉴定人适格性的审查提供了明确的方向,而且这些方向大多指向的是对结论有着重要影响的一些中间过程。所以鉴定人的适格性必须要审,而且要转变传统的审查思维,不是为排除该鉴定意见而是为了找准攻击其证明力的入口。
四、重视对数据取证情况的审查
对于电子数据检验报告来说,对取证情况进行重点审查自不必说,然而对于包含主观性意见的电子数据鉴定意见来说,质证者关注的重点往往是鉴定意见本身而对数据的来源不够重视。当数据作为鉴定内容时其来源问题要比传统物证复杂得多。由于电子数据的存在形式并不能被人们所直接感知,除了被污染、被替换等传统证据领域的来源问题外,还包括取证不完全、没有找准核心数据等问题。但与物证一样,如果在来源上存在问题,其鉴定意见也根本不可靠。为避免这些问题,以下有关取证的两个方面必须得以重视。
(一)审查取证方式和取证内容
相同内容的数据可能以不同形式存在于不同位置,获取这些数据可能需要不同的方式。在涉及大数据环境下的分布式存储时,更难在一个位置找到所有的相关数据。因此,质证者应该对案件中相关数据的位置和存储方式有所了解,并确认用于鉴定的核心数据是否能够反应案件的全貌。以某案件中的电子病历鉴定参见(2013)朝民初字第12569号判决书。为例,在此类案件中,得出鉴定意见的数据来源是关键。由于电子病历归档前的修改会直接呈现在用户界面,但归档后的修改却只是在日志文件中进行记录,因此,判断电子病历的真实性时,归档前和归档后的取证或固定方式是不同的。除此之外,还要区分只是检查是否存在医生修改电子病历的情况还是需要考虑是否存在医院信息中心或服务器管理员故意伪造数据或掩盖某些不当行为的情况。本案中,假设案件要查验的是归档后电子病历的真实性,那么日志表中日志记录文件及其相应的元数据信息是判断的依据,这涉及到对医院病历数据库服务器的取证问题——与患方共同封存与电子病历内容相同的纸质病历。由某公司在医院将电子病历予以锁定等手段均不能替代这一服务器数据的取证过程,因为锁定可以理解为是为了确保该患者的电子病历在日后不能进行改动,但在封存之前是否发生过改动、发生过哪些改动,这就不得而知,这是要通过分析服务器数据才能解决的问题。如果在数据取证的方式和内容上有问题,那么,鉴定人得出鉴定意见的基础就存在严重的问题。质证者如果没能认清这一点,就会被案件中所谓的专业人士牵着鼻子走。endprint
此外,在数据传递或保存的过程中也可能在别处留下电子痕迹,如U盘的插拔记录等,这些电子痕迹有助于验证或者反驳举证者有关数据来源的主张,当证据链条中缺失这些“不起眼”的电子痕迹的取证和举证时,质证者要懂得利用。
(二)审查取证工具的取证能力
虽然技术发展到今天,硬盘、存储卡及U盘等单纯的存储介质取证技术日趋成熟,主流软件在这方面的功能及准确率都越来越完善,操作也趋于简单化,可质疑的地方越来越少,但对于不断变化的电子设备(比如手机、车载电脑、导航仪等)来说,取证工具的能力还是值得审查的曾经作为行业主流软件的EnCase,在早期也曾遭遇大量的质疑,包括硬盘镜像的准确性(State v. Cook, 777 N.E 2d 882, Ohio App. 2002)、检验结果的证据资格(Mathew Dickey v. Steris Corporation, No.992362KHV)、未能满足Frye规则所要求的“普遍接受”原则(Washington v. Leavell, Okanogan County, Cause no. 00100268; People v. Rodriguez, Sonoma County, California Superior Ct. no. SCR28424)、时间戳的准确性(United States v. Habershaw, 2001 WL 1867803, 2002 D. Mass)等。。现以手机取证为例,不同品牌的手机取证软件在其宣称的取证功能上虽然差别不大,但在取证能力上却相差甚远,不仅对破解手机应用程序数据库的能力不同,而且对删除数据的恢复能力也很不相同,甚至对手机现有文件的统计数量都不同。不同品牌的手机取证软件在对同一手机进行提取后得到的文件数量肯定非常不同,其中录音和图像文件的提取也有较大差别,因为有的会过滤系统文件,只留下用户产生的图像和音频视频文件,而有的取证工具会全部显示出来,有的甚至还包括许多互联网临时图片。虽然这些信息可能对案件有证明作用,但也可能会引起误导,需要仔细甄别。有的取证软件也可能对存在不同位置的同一数据文件重复计算,使检验者得出不准确结论。利用“签名恢复”文件签名即是不同格式文件的唯一特征信息,就像人的DNA,具有唯一性和独特性。“签名恢复”指利用预先存储的文件签名信息库到文件系统或二进制内容中进行比对,当比对出相同唯一标识的文件签名时便认为其间内容为一个文件,最后通过相对应的文件恢复技术恢复该文件。的方式恢复数据时,也可能发生同一文件重复计算的情况。基于此,在相关文件数量对案件的认定有重要影响的案件中,取证软件的这些特点是应该要考虑的。比如在持有型犯罪中,质证人考虑的重点之一就应该包括控方提供的证据是否是浏览器自动保存的非法音视频文件等情况。软件的取证能力不仅可能造成電子数据的真实性问题,还可能对数据的完整性有影响,比如检控方对手机进行了逻辑提取,但却没能用物理镜像的方式获得对嫌疑人有利的已删除数据。
不过,对取证软件进行审查,通常需要借助专家的帮助或者质证者本人对取证软件的功能特性有一定的了解,然后结合电子设备使用者有关其操作行为的证言对数据文件的情况做一个总体的评估。在必要的时候可以向法院申请获取对原始镜像文件进行分析和检验的机会,甚至可以在接受监督的环境下对原始存储介质(比如手机)进行直接访问,利用能力更强或更合适的取证软件进行数据的重新提取和固定,或者是提出取证工具得到的可直接查看的、完整的取证报告的证据开示申请。 这又回到文中第一点的内容,即良好的质证以充分开示为基础。
五、从数据解读的角度进行质证
电子数据来源于一个看不见摸不着的世界,它们的存在或许并不像举证者所主张的那样,而是需要系统论证后才能得出准确的结论,即数据的解读。解读数据的能力是电子数据专家能力的最高层次英国法庭科学委员会认为,电子证据的专家能力应该分为三个层次:基本的数据恢复和检索能力、分析能力和解读数据的能力。(参见Eoghan Casey, Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet (3rd), Orlando: Academic Press Inc., 2011,p.13),一般的鉴定人不具备这样的能力。实践中尤其是在刑事诉讼中存在很多数据应该解读而没有解读的现象,所以,从数据解读的角度进行质证这种方法应该受到质证者的重视。
现以一案件为例说明数据解读的必要性及质证的一些方法。在某盗窃案中有两个犯罪嫌疑人,嫌疑人A承认了犯罪事实,而嫌疑人B却不承认,为证明A与B是直接共犯关系,检控方希望通过电话号码的关联关系来证明数据间的关联关系已逐渐成为一种流行的分析方法,且有专门的数据挖掘和分析工具,比如某款手机画像工具能对手机取证的数据利用语义分析等分析方法挖掘出数据蕴藏的深层次信息以及数据间的关联关系,进而以表格和图形两种方式详细刻画出机主的属性特征、社会关系、行为习惯、行为轨迹、经济行为、视频图像、行为倾向、涉案嫌疑等各方面信息及多个机主间的相互关系。。于是,检控方对B使用的手机进行了检验,证明其曾用过某电话号码(案发后B已经改换新号码)。检验人员对B的手机进行了镜像提取,然后用IMSI串号根据该IMSI号,检控方还需要到相应的服务商处查询才能得知与其对应的手机号码。进行搜索,检索到了旧手机卡的信息,且该信息中含有IMEI号(即嫌疑人手机的手机串号)。在检验报告中,检验人员给出了此搜索结果的截图(内含IMEI、IMSI号等信息),但却并没有给出手机文件中出现这两串数字意味着什么:既没有直接指出嫌疑人B的手机曾经使用过这张旧卡的结论,也没有给出倾向性意见,而只是将数据检验的客观结果留给法官自己去解读。但结果似乎显而易见,肯定就是嫌疑人B曾经在其手机上使用过旧卡。如果嫌疑人直接针对此结论去质证,势必会很困难,且对质证者的专业知识要求也较高。遇到这种情况或类似情况,质证不妨从以下两种角度出发。endprint
第一,利用内部数据进行论证,审查与特定数据相同或相似数据的情况如何,从而找出是否存在一些无法解释的情况。在上述案例中,因为存在新旧两张电话卡,所以在手机系统文件中至少应该存在新旧两个手机卡的IMSI。为确认该事实,建议要求控方提供手机镜像文件中所有IMSI号码及其相关信息。事实上,该案中,手机镜像文件中共存在3个IMSI串号:新旧卡的两个号码及一个未知卡的号码。那现在问题就产生了,未知卡的串号所对应的手机号码是多少?其信息又是如何来到本手机中的?检控方能证明嫌疑人B也曾经使用过该手机卡吗?如果不能,则旧卡信息出现在手机中的证据就不能充分证明嫌疑人曾经使用过该卡。即使是这些问题能得到肯定性答案,也难以回答嫌疑人使用的时间段是什么时候,是否属于案发期间等问题。
第二,利用系统分析法,查找相关数据的情况,从而为数据的存在做出不同的解释。即电子数据的产生、出现、变化等都不是孤立的,而是系统性的,是由若干个元素组成的系统整体[5]。以电脑中只存在某非法宣传材料的打印文件缩略图为例,由于在打印文件时通常需要打开该文件,由此很可能在缓存文件、最近打开的文件记录等地方存在一些痕迹,如果该文件曾拷贝至电脑或编辑过,留下的痕迹则会更多,这些痕迹将共同指向嫌疑人的明知和故意。要做到只有缩略图而没有其他痕迹是相当困难的,不排除其他来源的可能性。
一方面,相关的权威理论不一定跟得上数据领域技术的快速发展,从而使数据的解读缺失强有力的理论支撑,再加上鉴定人自身的知识结构还存在缺漏,出具鉴定意见的风险意识使鉴定人尽量避免出具具体的鉴定结论,而只提供提取到的具有客观性的数据;另一方面,由于使用鉴定意见的人——法官缺少技术背景,有相关知识的人又不出庭解释,所以法官只能按照自己的猜想或者直接遵从鉴定报告所暗含的意思去认定证据,或者是通过私下向鉴定人或其他专家请教的方式解决自己心中的疑问。在这种情况下,不能让数据表面暗含的意思成为法官认定事实的依据就成了质证者的责任。对于那些不能不證自明的数据不证自明的数据既包括手机中的通话记录,即使是删除的通话记录,其存在也表示该手机有过这样一次通话,还包括有关当事人清晰可辨的录像资料或者照片等。,质证者应该树立起从数据解读的角度进行质证的质证观。
六、结论
虽然电子证据的取证、举证和认证同样存在很多问题,但相对来说,质证或许要容易些,有理有据地提出合理的怀疑就可能达到质证的目的。对证据进行质证的重中之重是做好庭前准备,而提升质证的质量可以倒逼电子数据取证和举证的完善。因此,基于电子证据开示和书面质询是最有效的庭前准备的方式,司法应该为其提供有利条件。而在具体质证内容上,对电子数据鉴定意见的质证是一门技术活,或者说是法律指引下的技术活。除了那些鉴定意见质证的通用方法外,充分利用法律程序获取质证准备所需要的信息,从鉴定人的背景入手,同时审查数据的取证情况并对数据的出现做其他不同的解读,这些方法都有助于帮助质证者找准质证的方向。从这些方法来看,律师应该在质证中起主导作用,与专家相互配合,才能实现对电子数据鉴定意见的有效质证。如果完全依赖于专家,难免使案件陷入质证准备不足或者片面质证的境地。
参考文献:
[1]尚华.论质证[D].北京:中国政法大学证据科学研究院,2011:7980.
[2]刘文魁,刁胜先.电子证据出示的法庭保障义务研究[J].重庆邮电大学学报(社会科学版),2016(5):5660.
[3]韩旭,王剑波.刑事庭审质证运行状况实证研究——以100个庭审案例为样本[J].法治研究,2016(6):46.
[4]卞建林,谢澍.庭审实质化与鉴定意见的有效质证[J].中国司法鉴定,2016(6):3.
[5]刘品新.电子证据的基础理论[J].国家检察官学院学报,2017(1):151159.
The Solutions of Effective Crossexamination to Expert
Opinions of Electronic Evidence
LIU Bo
(School of Cyber Security and Information Law, Chongqing University of Posts and Telecommunications,
Chongqing 400065, China)
Abstract:When exhibited in court in the form of expert opinion, electronic evidence possesses prima facie validity, which the opponents would find it hard to refute due to the lack of specialized knowledge, so it is particularly difficult to crossexamine electronic evidence involving expert opinions. In addition, with the developments of relevant legislations and regulations, electronic evidence shows a growing tendency to be exhibited in the form of examination reports or expert opinions. Facing such dilemma, this article discusses five key points to help achieve effective crossexamination from the perspective of combining legal issues with certain necessary techniques, including making use of disclosure procedure to obtain the opportunity so as to examine and analyze the original data or its forensic copies, using written interrogatories to capture critical details, examining the eligibility of the experts to find out potential vulnerability in examination process and conclusions, paying attention to the impact of data acquisition on the expert conclusion, and interpreting data sources in different ways.
Keywords:electronic evidence; expert opinion; crossexamination(编辑:刘仲秋)endprint