电子数据取证与认定规则层次化研究
——以电子数据类别划分为视阈

赵 菁

(北京师范大学，北京 100875)

随着电子数据在日常生活中的普及化，刑事案件中的电子数据类证据越来越普遍。电子数据逐渐不再仅仅局限于网络犯罪，而刑事诉讼中大部分案件涉及电子数据。据欧盟委员会报告显示，85%的刑事案件侦查需要电子数据。(1)Questions and Answers: Mandate for the EU-U.S. cooperation on electronic evidence, 2019(2). 2019年7月1日访问欧盟委员会网站https://europa.eu.htm.不仅仅在网络犯罪中，各类案件中的电子数据类证据已逐渐成为定罪量刑之关键。而在司法实践中，电子数据的收集、提取、审查、判定与传统程序的差异也更为明显。据此，为应对司法实践中电子数据收集与提取存在的问题，我国相继颁布了规定、规则。2016年，我国最高人民法院、最高人民检察院、公安部颁布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称为《收集提取规定》)；2018年，公安部颁布《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)。其中，尽管对电子数据收集、提取及认定过程作出了详细规定，但并未对电子数据进行分类。司法实践中，电子数据的类别多种多样，每类电子数据，或者是同种电子数据在不同条件下的收集提取、认定都千差万别，不能一概而论。因此，对电子数据的类别进行研究，并在此基础上构建层次化的电子数据收集、提取和认定规则具有现实意义与理论价值。

一、电子数据取证认定规则层次化研究的意义

(一)我国电子数据研究现状

我国2012年刑事诉讼法中，正式将电子数据类证据列为一种新的证据种类。(2)2012年《中华人民共和国刑事诉讼法》第48条规定，证据包括：(一)物证；(二)书证；(三)证人证言；(四)被害人陈述；(五)犯罪嫌疑人、被告人供述和辩解；(六)鉴定结论；(七)勘验、检查、辨认、侦查实验等笔录；(八)视听资料、电子数据。2018年刑事诉讼法中，电子数据依然是证据种类的一项。(3)2018年《中华人民共和国刑事诉讼法》第50条规定，证据包括：(一)物证；(二)书证；(三)证人证言；(四)被害人陈述；(五)犯罪嫌疑人、被告人供述和辩解；(六)鉴定结论；(七)勘验、检查、辨认、侦查实验等笔录；(八)视听资料、电子数据。同样，在2012年修订的《中华人民共和国民事诉讼法》以及2014年修订的《中华人民共和国行政诉讼法》中，也将电子数据列入立法中。有观点认为，同八种传统证据相比，电子数据有可能来源于传统的七种证据，其实际上将传统证据部分剥离出来而泛称的一种新证据形式，因而不应将之列为新的证据种类。例如，在计算机入侵犯罪案件中产生的电子痕迹，是通过电子信息的存在和状况证明案件事实的物证，同时也是电子证据，也就是电子物证。(4)何家弘,刘品新.证据法学(第5版)[M].北京：法律出版社，2013年。并且，在世界立法范围内，将电子证据单独列为电子数据的国家目前也并不多。我国将电子数据作为一类证据独立于其他类证据，无疑具有前瞻性。有学者认为，“也许，我们即将进入另一个新的司法证明时代，即电子证据的时代。”(5)何家弘,刘品新.电子证据法研究[M].北京：法律出版社，2002年。一方面，随着科技迅猛发展所带来的网络犯罪复杂化、高科技化，必然导致电子证据的重要性不断凸显；另一方面，随着关于电子证据类型以及收集取证、审查判定技术研究的不断完善，将电子证据划作一种独立的证据种类也成为了必然要求。

关于“电子数据”的概念，还有其他表达方式，如“电子证据”等。在理论研究与司法实践中，这些不同称谓往往指代同一概念，本文中这些表述都指同一概念，即“电子数据”。印度将电子证据概括为“由介质、磁性物体、光学设备、计算机存储器或类似设备生成、传输、接收、存储的任何信息的存在形式”。(6)参见1999年印度《信息技术法》第2条第1款第18项。本文研究的对象为以电子形式存在的一切材料及其派生物，或通过电子技术或电子设备形成所有证据。(7)何家弘,刘品新.电子证据法研究[M].北京：法律出版社，2002年。

(二)网络犯罪的高科技性与复杂性

网络犯罪的概念是随着网络技术的发展与网络犯罪自身的不断演变与发展，从而得以逐步建立的。网络的发展经历了1.0，2.0时代，如今是3.0时代。伴随着网络的发展，网络犯罪的手段与方法也在不断“升级”，可以说，网络技术每次微小的革新，网络犯罪都会衍发出新的犯罪模式。从整体阶段而言，网络犯罪经历了计算机犯罪、传统犯罪的网络异化，以及网络作为犯罪空间的犯罪阶段。目前，三种阶段性的网络犯罪类型共同存在于我国与国际范围内，共同构成网络犯罪。三种网络犯罪分为网络作为“犯罪对象”的网络犯罪、网络作为“犯罪工具”的网络犯罪，以及网络作为“犯罪空间”的网络犯罪。(8)于志刚.网络犯罪的代际演变与刑事立法[J].青海社会科学，2014，(2).三种类型的网络犯罪目前的态势是：以网络为“犯罪对象”的网络犯罪已较少；以网络为“犯罪工具”的网络犯罪的比例相对较大，但基本稳定；而以网络作为“犯罪空间”的网络犯罪已有势头发展。从国际角度来看，“犯罪空间”类网络犯罪是一种发展趋势。例如，传统的利用网络进行信用卡欺诈，尽管案发数量仍然很高，但已趋于稳定；而与之相对的国际上网络商业间谍和勒索却逐渐兴起。这表明，网络犯罪分子正逐渐摒弃传统的“低端”的留下线索较多的网络犯罪，而正在向着更为“高端”的方向发展。

(三)电子数据的多样性与复杂性

电子证据的概念也是随着网络技术与网络犯罪的演变与发展而逐渐确立起来的。网络犯罪其本身的案发现场难以确定等特点，决定了网络犯罪定罪的关键落到电子证据上。而在网络犯罪的新态势下，网络犯罪分子逐渐摒弃传统的留下线索较多的网络犯罪，对电子证据的收集与认定提出了更高要求。网络犯罪愈演愈烈并呈现出新的特点，使得案件更加不易察觉，案发现场更难以确定。传统的信用卡欺诈最终还是会留下痕迹，而网络商业间谍和勒索类犯罪却不容易留下痕迹，隐秘性更强，从而造成取证的困难。网络犯罪的“专业化”越来越不可避免地对电子证据的提取与认定，提出了更高要求。

电子证据具有多样性，各种电子证据从其来源、外在形式到收集提取、审查判断等方面都有不同特点。因其类型的多样化，我们应对其种类进行界定与划分，一方面能够更准确地对电子数据内涵进行更为深入了解；另一方面更准确、有效地对电子证据进行收集提取与审查判断。本文通过总结国内外专家学者的研究，根据各类电子证据的不同特点从不同角度进行了分类：

1.根据外在形式，可将电子数据分为四类。我国关于电子数据的规定中，按照不同的形式将电子证据归纳为——由网络平台发布的信息、Web应用服务的通信信息、用户信息、电子文档。(9)参见最高人民法院、最高人民检察院、公安部2016年颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。

2.根据所依存信息技术的不同，可将电子证据分为电子通信证据、计算机证据、网络证据和其他。电子通信证据主要包括电传资料、传真资料、手机录音证据等；计算机证据主要包括电子计算机文件证据、计算机输出物等；网络证据主要包括电子邮件、电子数据交换、电子聊天记录、电子签名、域名、网页及网络痕迹等；此外，还有广播技术、电视技术和电影技术等。

3. 依据内容和功能，电子数据可分成3种。数据电文证据指数据电文正文本身，即记载法律关系发生、变更与灭失的数据，如E-mail，用于证明待证事实；附属信息证据是指对数据电文生成、存储、增删而引起的记录，如电子系统的日志记录、电子文件的属性信息，后者主要用于证明数据电子证据的真实可靠；系统环境证据是指数据电文运行所处的硬件和软件环境，即某一电子数据在生成、存储、传输、修改、添加、删除，及删除过程中生成电子数据的计算机环境。(10)何家弘,刘品新.证据法学(第5版)[M].北京：法律出版社，2013年。

4. 根据电子证据的证明机制，可将其分为以电子形式所记载的意思来证明案件真实情况的电子证据；以电子信息的存在或状况来证明案件真实情况的数码片段证据；以可视电话作为形式的陈述证据；以数码相机拍摄的现场照片的证据等。(11)谢安平,郭华.证据法学(第2版)[M].北京：法律出版社，2014年。

5. 根据计算机系统是否封闭，电子数据可分为两类。一种是封闭式计算机系统中的电子数据，主要有单个电子文件、数据库、传统电子数据交换等。例如，计算机自动生成的电话费单。另一种是开放计算机系统中的电子数据。主要为因特网中的电子证据，如电子邮件、网络聊天室等。(12)徐燕萍,吴菊萍,李小文.电子证据在刑事诉讼中的法律地位[J].法学,2007，(12).

6. 从电子证据的生成角度可将其分为三类。第一类是包含一人或数人所写内容的记录，如电子邮件内容、文档处理、即时讯息。此类电子证据须证明文件内容是人类真正的真实表达。第二类是由计算机自己生成，无人工输入的记录，如数据记录、电话之间的接线、ATM机交易。此类电子数据须证明产生数据的计算机在当时仍在继续工作。第三类混合了人为输入以及由人类写的软件所产生和存储的运算，如包含人为结算清单的金融试算表。此类电子证据须弄清楚到底是输入数据的人，还是写软件的人，创造了记录的内容，以及输数据的人创造了多少内容，写软件的人又创造了多少内容。(13)Stephen Mason. Electronic evidence: dealing with encrypted data and understanding software, logic and proof[J]. ERA Forum, 2014(15),25-36.

此外，从电子证据属于传统证据的革新形式角度，又可将电子证据列出以下类别：电子书证、电子物证、电子视听资料、电子证人证言、电子当事人陈述、关于电子证据的鉴定结论与电子勘验检查笔录等。

电子证据的分类技术和方法具有多样性，也处在更新与探索阶段。一方面，随着网络犯罪与电子证据的发展与演变，人们对于电子证据的认识也经历了由浅入深，由单一笼统化到精细化的过程。在梳理电子证据类型当中，根据一种标准进行的分类也处在发展变化中。另一方面，随着司法实践中，收集提取、审查判断电子数据的经验不断丰富，必然要求针对不同类型证据采取不同的具体扣押、封存、收集、提取以及审查判定方式。电子证据从外在形式、计算机系统封闭与否、构成角度以及生成角度等多个方面，对其种类进行界定具有很大价值与意义。不仅在学理上让我们对电子证据有了更准确地认识，更能从实践角度指导我们对电子证据进行收集提取与审查判断。

二、电子数据取证规则分层化研究

随着网络犯罪的发展，犯罪分子留下的电子痕迹逐步变得越来越隐蔽，给司法人员收集提取以及审查电子数据类证据带来了不小的难度。司法实践中，电子数据的收集、提取方式亟需特别规定。那么，如何来应对电子数据取证规则带来的挑战呢？一方面，电子数据取证应遵守传统取证原则。尽管电子数据对传统的证据收集、提取程序产生了巨大冲击，但只要其取证规则符合证据的取证原则，那么它就是合理的。我国传统取证原则包括及时取证原则、全面取证原则、合法取证原则等。电子数据作为证据的一种，取证时也须遵循传统的取证原则，但是在具体取证与保全中应当采取符合其特点的特殊程序与措施。那么，如何规定电子证据取证与保全的具体程序与措施呢？笔者认为，一切都应该基于确保电子数据的客观性、真实性、完整性和合法性的原则。《关于电子数据收集提取判定的规定》中有关电子数据收集、提取过程中的具体技术性规定，也是为了确保电子数据的客观性、真实性和完整性。另一方面，应当在类型化研究的基础上，进一步对收集、提取电子数据做出具体规定。目标系统中的电子数据复杂隐蔽、千变万化，稍有不慎便有丢失数据的风险。因此，应根据电子数据的类别来设定具体的收集、提取规则，在确定其类别及特性后再适用适当的方法对电子数据进行收集与提取。

(一)封闭计算机系统与开放型计算机系统下证据的取证

电子证据种类千差万别，每种电子证据的特性也各不相同，在收集、提取过程中稍有不慎，就有可能破坏电子证据的完整性。我国相关部门对收集、提取电子数据作出了具体规定，但是在是否封存原始介质的问题上，仅笼统规定了无法获取原始存储介质的，可提取电子数据。(14)参见2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》；2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。因此，有必要在对电子数据类型研究的基础上进一步作出规定。

首先，应当根据计算机系统封闭与否，判定电子证据属于封闭计算机系统的证据还是开放型计算机系统的证据。如果是开放型计算机系统中的证据，除非在不得已要进行远程现场勘查的情况下，应当及时迅速切断其网络。因为网络犯罪分子有可能通过网络远程或后门程序对电子证据进行篡改。其次，在封存电子数据原始存储介质与现场提取电子数据之间的取舍问题上应当进行权衡。本规定及司法实践中的通常做法是现场封存原始存储介质，仅在一些情形导致无法进行封存的情况下才进行数据的现场提取。这是由电子数据提取的高技术性决定的，先将原始存储介质封存，到专业的实验室再来完成电子数据的提取，的确更能保证提取的完整性。然而，这种做法也有可能丢失掉未写入硬盘数据和网络流动数据。面对此种困境，可以先对数据提取的系统环境及难度系数进行评估，并且将电子证据的类型进行判定。对于较为简单且未遭到病毒侵袭的网络环境中通过下载、保存的方式即可提取的电子数据，应当进行现场提取，例如，数字视频片段等证据证明案件的真实情况。此种做法一方面，可节约封存存储介质所耗费的司法资源；另一方面，也可完全避免封存、移送等程序上出现差错的风险。通过判断系统环境是否运行完毕，对于可能存在未写入硬盘数据的情况，也应当进行现场提取。然而，现场司法工作人员往往面临复杂而不同的网络环境，很难判断提取数据难度系数及风险系数，在此种困境下还是应当遵循原始存书介质封存为原则的方法。(15)秦志红.网络犯罪现场电子证据提取的技术要点分析[J].法制与社会，2016，(3).

此外，在整个电子证据收集提取的过程中，为保证其真实性、完整性与合法性，应当在必要时采取以下措施：计算电子数据完整性校验值，制作、封存电子数据备份，冻结电子数据，对收集、提取电子数据的相关活动进行录像等。(16)参见最高人民法院、最高人民检察院、公安部2016年颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。总而言之，电子证据的取证措施只要符合证据的取证原则，保证证据的真实性、完整性，那么取证措施就是合理的。

(二)保持各类电子数据原始性

1. 在电子数据的取证过程中，为什么要特别注意保持各类电子数据原始性？这是由电子数据的特性决定的。当电子数据成为一种新的证据类型时，其从形式到特点都与传统证据大相庭径。形式上，电子证据区别于传统证据的重要特征是其无形性。传统的证据可分为言词证据与实物证据。传统的实物证据都是有形的，诸如杀人时留下的刀、带血迹的衣服等。笔者认为，电子数据据也是物证，电子数据是由特定二进制代码处理的“0”和“1”的数据，一切信息由看不见的无形编码组成。正是电子数据的无形性这一特性，决定了它的其他特点，例如介质依赖性、易破坏性、易复制性以及难以确定原始制作人等特点。

首先，电子数据需依赖于光盘等物质，严重依赖于计算机等介质，离开了介质电子数据将无法发挥功效。因而犯罪分子可通过网络利用黑客手段入侵存储电子证据的计算机等介质进行篡改伪造毁灭，而且由于电子数据以“比特”的形式非连续存在，很难留下人为损坏的痕迹。而传统的物证其一具有独立性，一般并不依赖于介质；其二对其的篡改及毁灭通常在物理空间进行，很难在无形无影中将其篡改毁灭。其次，电子数据具有易复制性。电子数据是以计算机可变性的储存媒介作为记录器的，在内容不变的情形下具有可重复利用性。电子数据的内容完全不变，可以在不同媒介进行转换，其变化仅仅是媒介的变化，一般无内容的变化。如微博的转发，只要未遇到媒介的障碍或者被篡改，复制本与原本相同，甚至毫无差异，具有同等的法律效力。(17)谢安平,郭华.证据法学(第2版)[M].北京：法律出版社，2014年。而传统证据的复制一方面并不像电子数据这样快速，另一方面很难做到与原本完全相同。再次，电子证据难以确定原始制作人，尽管网络中的传输可以确定网址(IP)及其代号，但因存在冒用可能，以网址(IP)及其代号还不能确定制作人。而传统证据，例如合同书证，其具有可读性，确定原始制作人只需证明合同制定时双方签字即可。电子数据与传统证据之间还存在许多其他差异。对于这些不同点研究的初衷并不是为了将电子证据“异化”，将之与传统证据区别开来，而是为了更好地了解电子证据，从而根据其特性应对复杂的高科技网络犯罪所带来的取证难、认证难等问题。不论电子证据有多少不同于传统证据的特征，其作为证据种类的一种，仍然符合客观性、关联性和合法性三方面特征。

2. 在电子数据取证过程中，应当注意保护证据的原始性。首先，在硬件移动前，以拍摄、绘画和文本记录现场提取设备的相对位置、具体外观和连接状态。整个检查和分析过程由摄像机记录，特别是解除封锁状态的主要步骤，检查过程的关键操作，以及重新存储应该是多角度视频记录。其次，有必要在不破坏原始介质的情况下，分析获得的数据，以便提取有效的证据。为了确保原始媒体数据的完整性，必须在数据分析之前镜像原始数据，然后分析副本。对于原始数据要进行冗余备份，电子数据在保存时应该有两个或更多的副本。这样做的必要性在于，其一，鉴于电子数据类证据本身的不稳定性，冗余备份可避免造成备份数据的丢失。其二，冗余备份能够提高取证与认定效率，在认定过程中能够同时对多个备份进行分析。再次，在备份和复制过程以及备份硬盘或映像文件的数据分析，恢复和验证过程中，应使用安全的只读接口并使用写保护技术进行操作。重要证据文件还应采用必要的加密技术和数字签名技术。应记录分析过程中使用的设备型号和序列号、软件的多个名称、版本号、特定操作程序、检查结果等，生成相应的工作记录或检查文档。最后，为确保证据的连续性，应对整个取证过程进行详细记录。电子数据自提取到提交法庭整个过程中产生的变化，都应当进行记录和说明。

三、电子数据认证规则层次化研究

通过对电子证据的概念以及类型的梳理，我们不难看出电子证据从其形式、生成到收集取证与审查判断，都与传统的证据有着截然不同的特点。网络技术、网络犯罪和电子数据的发展给传统证据理论与证据规则带来了巨大影响。

(一)人工输入型证据与非人工输入型证据的认定

虽然审查电子数据的具体方法与传统证据不同，但仍然是为了确保证据的真实性、完整性和合法性。审查的内容主要包括电子数据本身，原始存储介质的占用，存储状态以及电子数据收集和提取过程。完整性检查值，与备份电子数据的比较以及冻结访问操作日志的审查等，不同于传统的证据审查。但是，仍有必要审查电子数据是否具有证明力和证据能力。为确定电子证据是否具有证据资格及其证据的强度，应根据其不同类型进行设置。以电子表示形式显示案件真实状态的电子数据，以电子信息的存在或状况来证明案件真实情况的数码录像片段证据，以可视电话作为形式的陈述证据，以及以数码相机拍摄的现场照片的证据等电子证据，应当分别适用不同的证明机制与标准。例如存储在电脑里的照片数据的丢失导致照片有所缺失或模糊，但只要其反应的内容能够证明犯罪事实，证明力就不受影响；然而，对于需要通过计算机程序而生成的电子证据，如数据遭到破坏，其证明力就会大大降低。对于以上电子证据表面上看似乎采用了不同的标准，但实际上是为了确保证据的真实性和完整性。

电子数据对传统的证据规则产生着很大冲击，以英美法系传闻证据规则为例。传闻证据规则 (the rule of Hearsay evidence)是英美法系国家古老而重要的证据规则。传闻证据表明指证人并未陈述自己亲身经历的事实，而只陈述他人在审判外的陈述，代为提出以作自己之供述者而言(包括口头、文书或其他方式)。(18)刁荣华主编.比较刑事证据法各论[M].台湾:汉林出版社,1984年。根据传闻证据规则，如果传闻某人的陈述，除非是法律例外，否则应予以排除。但是，当网络犯罪中的电子证据使用此规则时，就会产生问题。首先，难以判断它是否是传闻证据，且难以保证电子数据的可靠性。电子数据的产生不同于人类语言形成的过程，电子记录系统本身不能为电子记录的生成行为提供证明。当电子记录通过计算机传输时，原始信息通常已经几易其手，其内容可能已经改变，人们又无法通过交叉查询的方式来询问计算机。(19)刘颖，李静.加拿大电子证据法对英美传统证据规则的突破[J].河北法学，2006，(1).而在法庭上提出电子数据的人往往对信息并不亲身所知。其次，如果根据传统证据的处理方式将传闻证据规则运用于电子数据，则将会对其进行排除，而在网络犯罪中电子数据往往又是定罪的关键依据，如将其排除将对定案造成极大困难。对此，有学者认为应当采取“原则加例外”的方式，将电子证据作为传闻证据规则的例外情形进行设定。其他国家已对传闻证据规则的一些例外情况作出规定，美国《联邦证据规则》803条、804条及807条，列举了30多项传闻证据规则的例外情形。例如市场报告、商业出版物等。出于同样的原因，应当将电子数据也列为传闻证据的例外情况。笔者认为并不能一概而论，然参照国外列举式例外规定也不明智，如按照电子证据的不同类型来设定即可一目了然。我们可以从电子数据生成的角度将电子数据分为三类：人类撰写内容的记录，如电子邮件内容，文档处理和即时消息；由计算机自己生成，无人工输入的记录，如数据记录、电话之间的接线、ATM机交易；第三类混合了人为输入以及由人类写的软件所产生和存储的运算，如包含人为结算清单的金融试算表。计算机自己生成的数据，因其没有受到人为的干扰，应当规定为传闻证据规则的例外情况。

(二)数据电文证据与附属信息证据的认定

在定案上，应当将电子证据以传统证据来对待，因此关于电子证据定案的证明标准并不能降低，依然是“事实清楚，证据确实、充分”，即达到“排除合理怀疑”；电子证据也仍应遵循传统证据规则。但电子证据由于高科技性，相较于传统定案，相关技术专家的鉴定意见对定案影响重大。在此基础上，法庭科学和鉴定行为可以对证据进行技术分析，确定要比较的证据的技术参数和类型差别，并为法官比较证明力提供法庭科学的支持。(20)刘广三，李文伟.刑事诉讼中的图像电子证据初论[J].法学论坛，2009，(1).我们应当对不同类型的电子数据进行分类后，根据不同类别电子数据的特征设定如何达到“排除合理怀疑”标准的具体规则。

存在电子证据的案件的定案规则尽管看似更为复杂，但实质上仍然遵循传统的定案规则。例如，关于证据的相互印证规则，电子数据也应遵循相互印证的规则。但与传统证据的印证规则相比，它有自己的特点。我们需要在电子证据类型研究的基础上进行研究。例如，电子证据可以分为数据电子证据，附属信息证据和系统环境证据，具体取决于内容和功能。三者所起的证明作用是不同的。前一种主要证明待证明事实，后两种主要用于证明数据消息证据的真实性。后者与用于证明传统证据保管的证据类似，必须构成一个完整的证据链，表明每一条数据信息证据都是从形成到提取，再到最终提交给法院，每个环节都有详细记录，构成了完整的证据保管链。它阐明了电子数据的构成和功能，理解了虚拟空间的证据体系，并依靠电子数据成为现实。来自不同计算机的数据消息证据属于来源独立的电子数据，因为它们是不同计算机 CPU操作的产物。如果它们是一致的，并且它们的支持信息证据可以相互核实，司法人员可以用它来确定案件的事实。(21)刘品新,杨爽.电子证据与传统证据相比的特有规则[J].检察日报，2010，(1).