公安电子数据取证规范的文本分析

刘 铭

(中国刑事警察学院，辽宁 沈阳 110854)

引言

20世纪40年代第一台电子计算机诞生，五六十年代计算机犯罪初露端倪并随着计算机技术的发展和网络应用的普及急速增加、迅速扩张。自1966年美国破获世界上第一起计算机犯罪案件起，计算机犯罪以及电子数据取证逐渐进入司法视野，并相继在世界各国出现了信息安全、数据保护、电子数据证据等相关立法。时至今日，电子数据取证立法可粗略分为三个时期:电子数据出现初期，相关法律规范集中于处理电子数据这一新生事物能否以及如何在诉讼中使用的纷争，主要的方法是保持原有立法不变，通过扩张解释的方式或者转换证据表现形式的方式将电子数据包容入其他证据种类之中，以变通方式进行电子数据取证，例如，将电子数据纳入书证、物证或者视听资料等证据种类中进行取证规范或者将电子数据以打印、拍照等方式转化取证。第二个时期，随着电子数据在诉讼中出现频率越来越高，电子数据的独特性逐步凸显，立法以更为明确的方式承认电子数据的证据资格，专门规范电子数据证据的立法开始出现。例如，1983年南非通过了世界上首部专门的电子数据证据立法《计算机证据法》；1998年加拿大《统一电子证据法》颁布；2012年起我国修订后的三大诉讼法在证据种类的立法列举中加入了“电子数据”，电子数据取证亟待专门规范。第三个时期，电子数据的法律规范走向精致化，对电子数据可采性、证明力、适用的取证规则等内容不断地进行充实和完善。例如，2005年欧盟启动了对各成员国立法中电子数据可采性规定进行比较并力图使这些分散、杂乱的立法统一化、体系化的研究项目；2016年我国《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(下文简称《电子数据规定》)颁布，这也意味着我国电子数据证据法律规范发展进程步入第三时期，需要在深入研讨的基础上不断审视并完善电子数据规则，回应现实司法实践需求。

仅就我国刑事电子数据取证规范而言，2016年的《电子数据规定》并非刑事诉讼中对电子数据取证的首次规范。为了应对计算机犯罪、网络犯罪取证问题，早在2005年公安部就曾发布《计算机犯罪现场勘验与电子证据检查规则》,并一直指导计算机犯罪公安侦查取证实践。2014年最高法、最高检和公安部联合颁布《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(下文简称《网络犯罪程序意见》)，其中对电子数据的收集和审查判断有所涉及，也是由三部门会签的首份影响较大的涉及电子数据取证的法律规范性文件。目前，我国电子数据侦查取证规范主要来源有三，[注]广义上说，2010年最高法、最高检、公安部、国家安全部和司法部联合发布的《关于办理死刑案件审查判断证据若干问题的规定》,2011年最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,2013年最高法《关于适用<中华人民共和国刑事诉讼法>的解释》等关于电子数据审查判断、计算机犯罪司法认定的内容也间接地对电子数据取证有引导和规范作用。即由最高法、最高检、公安部共同签署的《网络犯罪程序意见》(2014)、《电子数据规定》(2016)以及由公安部发布的《公安机关办理刑事案件电子数据取证规则》(2019，下文简称《公安电子数据取证规则》)。其中，最能体现公安电子数据取证规范基本样态和最新进展的是《公安电子数据取证规则》，因此本文也主要以此为分析评述对象，并兼及对其他刑事电子数据取证规范的讨论。

《刑事诉讼法》仅在证据种类中列举了“电子数据”，承认了电子数据作为独立证据种类，但是对电子数据在侦查中如何取证等内容并未规定，司法实践亟需更为细致的办案指导。以上三部规范性文件突出了电子数据侦查取证规范的可操作性，特别是《电子数据规定》和《公安电子数据取证规则》被侦查实践部门视为具有直接指导性的电子数据取证规则，并作为电子数据取证培训的基本内容。[注]例如，公安部刑事侦查局编写的《电子物证实战手册》(中国人民公安大学出版社2019年版)即将《电子数据规定》和《公安电子数据取证规则》视为“目前对电子数据取证最具可操作性的法规”。尽管近期出台的规范性文件解决了司法实践迫切需要的直接规范指导和可操作性的问题，然而其存在的问题也很明显。《电子数据规定》发布之初，有学者即敏锐地指出其中“强制侦查与非强制侦查区别不明确”“与《刑事诉讼法》侦查程序规范的协调性尚需加强”等电子数据取证规范与《刑事诉讼法》中一般侦查行为规范不协调的问题[1]。随后，电子数据取证规范在学界受到越来越多的关注，特别是更为细致的规定刑事电子数据取证的《公安电子数据取证规则》出台后，针对公安电子数据取证规则的评论以及对其中网络远程勘验、电子数据冻结等具体电子数据取证行为的讨论成为热点。本文在分析公安电子数据取证规范的同时，也将与研究者就共同关注问题中观点的异同予以回应式研讨。

一、公安电子数据取证规范发展历程梳理

1997年《刑法》对于危害计算机信息系统安全犯罪的规定，意味着电子数据刑事取证实践活动的开始，只是那时因涉计算机信息系统犯罪案件体量较小，对电子数据的认识、界定和取证实践尚不足以支撑制定系统的规则。随着信息技术的迅猛发展，各种针对计算机信息系统和网络空间的违法犯罪活动逐步增多，打击网络犯罪的迫切性凸显，“2000年5月，公安部制定了《打击计算机犯罪技术攻关思路》，确立了以办理计算机犯罪案件为主线，以电子证据为核心，以计算机犯罪侦查为主要内容的攻关思路”[2]，电子数据取证司法实践活动也随之较大范围展开。从公安机关管辖分工来看，危害计算机信息系统和网络安全犯罪由网络安全保卫部门负责立案侦查，因而最先出现的比较系统的公安电子数据取证规则《计算机犯罪现场勘验与电子证据检查规则》也是由网安部门牵头制定并主要适用于规范其办案过程中的电子数据取证活动的。[注]《计算机犯罪现场勘验与电子证据检查规则》(公信安〔2005〕161号)第二章“组织与指挥”中首先明确，“计算机犯罪现场勘验与电子数据检查，应当由县级以上公安机关公共信息网络安全监察部门负责组织实施”。我们俗称的“网警”即指公安机关公共信息网络安全监察部门，2008年更名为公安机关网络安全保卫部门。在该规范文件中，较为系统地规范了电子数据原始存储介质的封存、电子数据完整性校验、网络远程勘验、电子数据检查等内容，为后续出台的电子数据取证规范文件初步奠定基础，应被视为电子数据取证规范文件溯源和梳理分析的当然起点。

计算机网络犯罪可以大体分为将计算机网络作为犯罪目标的犯罪和将计算机网络作为犯罪工具的犯罪两类。如果说前者存在技术门槛和犯罪群体的特定性导致犯罪总量不大、受关注度不高状况的话，那么后者则因互联网对人们日常生活、工作等领域的渗透，发案率、涉案人数、涉案金额持续攀升，引发了社会广泛关注。2009年《刑法修正案(七)》对计算机网络犯罪相关内容进行修订后，多部司法解释和规范性文件都直接与网络犯罪相关，例如，《关于办理网络赌博犯罪案件适用法律若干问题的意见》(2010)、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011)、《关于依法惩处侵害公民个人信息犯罪活动的通知》(2013)等。而计算机网络犯罪的激增和2012年《刑事诉讼法》将“电子数据”规定为独立的证据种类，使得如何规范电子数据取证问题凸显，这在电子数据取证规范文件层面表现为《网络犯罪程序意见》对于电子数据取证相关活动的集中规范。从发布文号来看，该规定是由公安部牵头制定的，[注]《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》的发布文号为“公通字〔2014〕10号”。而且参与制定的最高人民法院法官在撰写的《网络犯罪程序意见》的解读文章中也谈及，其是由公安部网络安全保卫局建议，最高人民法院研究室会同最高人民检察院法律政策研究室、公安部网络安全保卫局联合起草的[3]。《网络犯罪程序意见》电子数据取证规范的很多内容与《计算机犯罪现场勘验与电子证据检查规则》具有直接的承继关系，例如取证主体的要求、原始存储介质封存、远程提取电子数据、电子数据检查等。而在2016年《电子数据规定》中确立的“以扣押原始存储介质为原则，以直接提取电子数据为例外” “电子数据鉴定与检验两条腿走路”等原则也在《网络犯罪程序意见》中初具雏形。

随着各种智能终端使用的普及以及网络空间与现实空间的深度融合，不仅在网络犯罪中而且在几乎所有类型的犯罪中，电子数据成为常见且重要的证据种类，对于刑事案件侦查来说，电子数据证据种类不仅在网安部门办案中是主要证据种类，在其他警种管辖的刑事案件侦办过程中也越来越常见。这一现象在公安侦查取证规范中的明显例证表现在《公安机关刑事案件现场勘验检查规则》相关条文的修订之中。2005年的《公安机关刑事案件现场勘验检查规则》对普通犯罪现场的勘验、检查并没有提及电子数据的保护与提取，仅是规定了“勘验、检查与电子数据有关的犯罪现场，应当按照有关规范处置相关设备，保护电子数据和其他痕迹、物证。必要时，可以指派或聘请专业技术人员复制有关电子数据”(第36条)。该条文一方面与《计算机犯罪现场勘验与电子证据检查规则》相衔接，要求计算机犯罪现场勘验、检查应遵循特别规则；另一方面也表明以往普通犯罪现场中存在电子数据证据需要取证的，一般由网警配合进行。2015年修订的《公安机关刑事案件现场勘验检查规则》则增加规定，“勘验、检查人员应当及时采集并记录现场周边的视频信息、基站信息、地理信息及电子信息等相关信息。勘验、检查与电子数据有关的犯罪现场时，应当按照有关规范处置相关设备，保护电子数据和其他痕迹、物证”(第32条)。由此可见，一方面，普通犯罪现场中的电子数据取证已经成为普遍甚至必有状况，要求电子数据取证均应遵循特殊规则，并与后续统一《公安电子数据取证规则》相互呼应；另一方面，因基础的电子数据取证已在各公安专业教育和在职培训中列为基础教学内容，电子数据取证可以由其他警种的侦查人员完成，若遇侦查人员无法解决的涉及专业技术电子数据取证则由网警协助进行。

电子数据在刑事诉讼中的广泛运用使得出台一般性的统一电子数据取证和审查判断规则成为必要，因此《电子数据规定》率先在最高人民法院研究室的倡导下，并会同最高人民检察院法律政策研究室、公安部网络安全保卫局联合起草制定[4]。《电子数据规定》整体意义有二：其一，超越了《网络犯罪程序意见》仅适用于网络犯罪案件办理中的电子数据取证，而是对于刑事诉讼中电子数据取证的一般性规范；其二，不仅限于对电子数据取证的集中规范，囊括了电子数据在刑事诉讼全程中的流转，较以往的电子数据规范增加了较为系统、全面的电子数据移送、展示、审查判断的规定。仅就电子数据取证规范而言，《电子数据规定》确立了“以扣押原始存储介质为原则，以直接提取为例外，以转化提取为补充”的电子数据取证原则，框定了电子数据取证行为种类，首次规定“冻结电子数据”，对电子数据取证从保障电子数据的合法性、完整性等多角度进行较为细致规范[5]。

然而，《电子数据规定》在细致程度及与以往电子数据取证行为规范的衔接方面并不能满足公安侦查电子数据取证的操作性需求，因此为进一步规范公安刑事电子数据取证，《公安电子数据取证规则》应运而生。与《电子数据规定》一致，《公安电子数据取证规则》是适用于各警种刑事案件侦查办案的一般性规定，该规则“综合各个警种电子数据取证工作特点和实际”，“整合了各警种办理刑事案件实际需求”，“坚持同有关法律法规保持一致和衔接”，“进一步统一了电子数据现场取证规范”[6]。《公安电子数据取证规则》在《电子数据规定》框定的电子数据取证行为种类的基础上进行了较为明晰的细化处理，着眼于对公安电子数据取证工作的操作性指导，同时细微调整了《电子数据规定》中争议比较大的内容，例如将网络在线提取的范围限定于“公开发布的电子数据、境内远程计算机信息系统上的电子数据”。随后，2020年修订的《公安机关办理刑事案件程序规定》第66条增补了电子数据取证的一般要求(例如，重申“以扣押原始存储介质为原则，以现场或网络在线提取为补充，以其他方式固定为例外”的电子数据取证原则，强调保证电子数据完整性)，意味着电子数据取证在整体公安刑事办案程序中的进一步融入，然而，其中的缺憾是电子数据取证行为与侦查行为的协调问题依旧没有得到回应式解决。

此外，值得一提的是，电子数据取证是法律规范与技术规范的融合，这也是其区别于传统侦查取证的关键所在，完整的电子数据取证规范考察应兼顾各种电子数据取证行为的相关技术标准，唯有如此才能充分理解电子数据规则中与专业技术密切相关的内容。电子数据取证行为相关的标准包括国家标准、行业标准、司法检验鉴定技术规范、认证认可行业标准和规范等，由于电子数据及其取证技术的更迭迅速，相关标准仍在不断的修订中，同时也在根据取证实践的需要筹划制定增补新的行业标准，例如冻结电子数据的标准。

综上，公安电子数据取证规范从《计算机犯罪现场勘验与电子证据检查规则》的颁布为起点至新近的《公安电子数据取证规则》《公安机关办理刑事案件程序规定》的增订条款形成了连续的演进过程，体现了前后相继的取证规范之间较为明显的承继与发展关系，也体现了从网安部门专有取证领域的特殊规则向各警种电子数据侦查取证通用的统一规则的发展过程。研究者以近期的《电子数据规定》和《公安电子数据取证规则》这一电子数据取证规范的“截面”为直接评论对象关注电子数据统一取证规则无可厚非，然而个别评论忽略了前后相继的电子数据取证规则间的关系却值得进一步商讨。例如，有研究者认为，电子数据检验为《公安电子数据规则》的新增取证行为[7]。如果追溯到《网络犯罪程序意见》可见，“对电子数据涉及的专门性问题难以确定的，由司法鉴定机构出具鉴定意见，或者由公安部指定的机构出具检验报告”(第18条)，由此确立了电子数据“鉴定和检验两条腿走路”的原则。《电子数据规定》中“或者由公安部指定的机构出具报告”(第17条)所指即为电子数据检验出具的检验报告。因此，电子数据检验并非2019年新增的电子数据取证行为。又如，有研究者将在线提取、网络远程勘验和网络技术侦查解释为逐步缩限的关系，并建议未来整体取消远程勘验，只保留普通在线提取和网络技术侦查两种手段[8]。然而，从电子数据取证规则的发展历程来看，网络远程勘验承载着与在线提取、网络技术侦查不同的取证任务和取证功能，不能相互取代。

二、电子数据取证规范的架构检讨

2016年《电子数据规定》是对电子数据取证、移送展示、审查判断等的统一规范，尽管有对电子数据取证较为全面、系统的规范，其中关于电子数据取证的条文也是占比最多的，但是电子数据取证行为的区分并不是很明晰。2019年《公安电子数据取证规则》在总则部分即明确电子数据取证行为范围，首次明确了电子数据取证行为的范围和种类，奠定了公安电子数据取证规范的基本架构，然而却加剧了电子数据取证行为与侦查规范体系不协调的状况，出现了电子数据取证行为与侦查行为体系的偏离、交错。

取证是侦查的任务之一，侦查机关取证行为应与侦查行为具有一致性，即取证行为即是侦查行为，例如言词证据的取证行为包括讯问、询问等，实物证据的取证行为包括搜查、查封、扣押等。但是，依据《公安电子数据取证规则》第3条的规定，电子数据取证行为主要包括三类：收集、提取电子数据；电子数据检查和侦查实验；电子数据检验与鉴定。如果说后两类尚能从名称上与侦查行为呈对应、衔接关系的话，第一类“收集、提取电子数据”则有待进一步明确与侦查行为的关系。从字面含义上看，“收集、提取”本就与“取证”有同义反复之嫌，无法界分电子数据取证行为及其内部层次，并且容易与法律文本中的“提取”相混淆，[注]《刑事诉讼法》中出现过“提取”，用于人身检查时“提取指纹信息”(第132条)；《公安机关办理刑事案件程序规定》除对人体生物样本的“提取”外，还涉及笔录类证据中列举的“提取笔录”(第56条)，个别地方涉及“提取物证”(第208条)、“提取财物、文件”(第226条)等。由此可见，“提取”在《刑事诉讼法》中并非独立的法定侦查行为，而是人身检查或现场勘验(提取指纹等痕迹物证)中的具体取证措施，然而在《公安机关办理刑事案件程序规定》中出现了扩大化，即由痕迹物证到财物、文件，使扣押、调取等侦查行为与提取有混同之嫌。在电子数据取证中，“提取电子数据”的使用出现了进一步与搜查、扣押等侦查行为的混同。模糊法定侦查行为与取证措施以及具有强制侦查性质的电子数据取证与任意侦查性质的电子数据取证的界限。此外，“提取”无论是在传统侦查之中还是电子数据取证行为之中，都并非侦查技术，仅是尚未明确界分的侦查取证行为。有研究者认为“提取”属于侦查技术，应视为侦查措施的构成要素[9]，笔者认为其误用了“侦查技术”一词，偏离了“提取”的指涉范围。侦查技术指刑事科学技术或刑事物证技术，至少要与技术性、专业性内容有关方能称为“技术”，而“提取”无论是字面含义还是现实指涉都没有侦查技术的内容。“提取痕迹”“提取指纹”“提取电子数据”可能要运用刑事科学技术，然而并不必然运用侦查技术，无论是对电子数据还是对痕迹、物证不运用侦查技术的取证行为也可称为“提取”。

从同情式理解的角度，《公安电子数据取证规则》中电子数据取证行为分类是基于取证技术操作的难易、复杂程度进行的：第一类的取证由普通侦查人员进行即可，必要的时候才需要专业技术人员参与，通常在现场即能处置；第二类的取证需由具有专业技术资质的侦查人员进行，并应符合相应技术标准、操作规程，一般需要离开现场在独立的工作环境中进行；第三类的取证涉及专门技术问题，应基于指派或委托，由鉴定人员而非侦查人员依据或者参照鉴定规则进行。然而，公安电子数据取证规范作为《刑事诉讼法》的下位法律应保持与上位法的一致性与对应性，不仅取证行为应与侦查行为规范体系保持一致与对应，而且应回应法律授权、令状授权的要求，在取证行为规范中投射出电子数据的合法性与真实性。因此，本文建议对第一类电子数据取证行为复归与搜查、扣押等侦查行为的对应，也即与侵扰权益的轻重程度、范围大小相对应而非与操作方式的异同相对应。

再看第一类电子数据取证行为的具体展开，《公安电子数据取证规则》第7条的列举及第二章从第二节至第六节的节标题可视为对第3条中第一类电子数据取证行为内部的细化分类，即将“收集、提取电子数据”具体分为：通过扣押、封存原始存储介质提取；现场提取；网络在线提取；冻结；调取。在此需要申明的是，如何理解“以扣押原始存储介质为原则，以直接提取为例外，以转化提取为补充”，严格地说其并非对电子数据取证行为的概括，而是对电子数据固定、保全方式的概括，即电子数据根据不同情况可以通过扣押原始存储介质的方式固定、保全，也可以通过直接提取、打印、拍照、录像等方式固定、保全。如同侦查讯问一样，无论是讯问笔录、自书供述还是讯问录音录像都属于基于讯问侦查行为取得的犯罪嫌疑人、被告人供述和辩解的组成部分，只不过固定、保全方式不同而已。电子数据取证行为应与侦查行为对应并保持一致，而非依固定、保全方式进行基本划分，因此仅是原始存储介质和电子数据一并提取或电子数据单独提取并不能视为对电子数据取证行为的划分。此外，侦查取证行为的合法性问题是判断证据是否为非法证据的关键，而证据固定、保全方式问题主要影响证据的真实性，因此，很多论者将电子数据拍照、打印等固定、保全方式的质疑直接归类为证据的合法性问题有待斟酌，多数情况应视为与电子数据真实性有关的取证瑕疵。

由第一类电子数据取证行为的细化分类可见，这里再一次重复了电子数据取证行为无法与侦查行为规范体系对应的问题。首先，其中虽提及了部分法定侦查行为的名称，但是除对原始存储介质的扣押[注]需要说明的是，原始存储介质的扣押与传统法定侦查行为对应是因为其本身就是传统扣押在电子数据取证中的体现，而实质上原始存储介质的扣押并不是电子数据取证的全部，仅是其中的第一步，即有研究者所谓“两步式”搜查的第一步传统搜查扣押，而后才是更为实质性的第二步计算机搜查(See Orin S. Kerr, Search Warrants in an Era of Digital Evidence, 75 Miss. L. J. 85, 2005)，也就是说，严格意义讲原始存储介质扣押的目的与传统法定侦查的预期是不同的。总体而言，电子数据取证都应在虚拟空间的视角去重新审视传统法定侦查行为。与法定侦查行为可以对应之外，其他电子数据取证行为有必要重新厘定。例如，网络远程勘验虽然从规范内容看与现场勘验同源，可以视为现场勘验的一种，但是显然以物理空间为基础的传统现场勘查规范在网络空间的延伸尚需探讨，直接适用无法实现对网络远程勘验行为的实质规制。其次，有些取证行为虽非法定侦查行为，在传统侦查行为中可视为任意侦查行为无须专门规范，但在电子数据侦查取证中却涉及重要权益的保护亟待法律规制。例如，调取电子数据之“调取”传统意义上是有关单位、个人依据配合刑事司法的义务向公安机关、人民检察院、人民法院等移交与案件相关的证据，这些证据主要是指不涉及财产权强制处分内容的物品、信息清单等，而电子数据的调取则要比传统调取更为复杂，仅依据现有对“调取”的简单规范无法实现对相应权益的有效保障，亟待在网络安全、数据安全、数据分级等法律法规健全的基础上重新厘定电子数据调取规范。再次，即便第一类电子数据取证行为名为“收集、提取电子数据”，但是相关取证行为所获得的证据种类并非仅是电子数据，而是含有电子数据、物证、勘验笔录等多个证据种类，这进一步加深了《公安电子数据取证规则》在基本架构上的模糊性和含混性，很容易造成侦查取证行为规范、证据审查判断实践以及相关理论研讨的混淆。

从公安电子数据取证规范架构来说，取证行为规范架构和侦查行为规范架构保持一致性、协调性、对应性是必要的，因为公安机关侦查取证行为本就是侦查行为的一部分，取证行为仅关注证据的取得措施、取得方式是不够的，还应考虑通过侦查行为规范平衡打击犯罪和保障人权的关系，进而调整证据效力、约束违法取证。而目前《公安电子数据取证规则》架构中取证行为体系与侦查行为体系偏离、厘定不清的问题与承继2016年《电子数据规定》忽略了电子数据取证与侦查行为规范体系的协调有关，也与基于物理空间设定的传统侦查行为规范无法涵摄电子数据取证行为有关。电子数据取证规范的窘迫现状是司法实践走在了理论研究的前面，理论亦步亦趋却无力进行前瞻性构设；低位阶法律规范常有发挥实践智慧的创新性突破，虽有利于指导司法实践操作，应急性地解决了实践问题，然而逐渐侵蚀、打乱了法律规范体系的基本框架、基本构设。宏观而言，调整的应然路径，一方面需要理论研究者从整体上探索电子数据取证行为与传统侦查行为的衔接，而不能局限于某一类电子数据取证行为的点对点式突破，需要考虑体系协调、对接的方法和路径。这就涉及对基于物理空间设计的传统侦查行为规范进行可以融入虚拟空间规范内容的整体革新或者创新适用于虚拟空间的独立侦查行为及其规则。[注]早在电子数据进入侦查视野的初期就有研究者敏锐地捕捉到电子数据取证与传统侦查行为的差异，然而在对电子数据取证行为与侦查行为衔接方面立法却发展缓慢。参见：刘方权.从现实空间到虚拟空间：两种搜查的比较[J].江西公安专科学校学报，2005(3).另一方面，需要在《刑事诉讼法》法典层面或者电子数据单行法层面考虑电子数据取证规范架构的纠偏。低位阶法律规范更为关注操作问题无可厚非，因而对于《公安电子数据取证规则》的架构混乱问题不应过分苛责。应考虑的进路是在狭义法律层面协调电子数据及其相关侦查行为、审查判断、庭审调查等内容，拓展刑事诉讼法规范对虚拟空间的整体适应性、兼容性，基础法律规范的框架理顺后，低位阶的法律规范再进行相应细化。就此可以参考大陆法系国家的立法，增加以电子数据为适用对象的侦查行为作为特殊条款。

三、电子数据取证规范的分解讨论

(一)公安电子数据取证规范中所涉证据种类

《公安电子数据取证规则》虽是电子数据取证规范，然而其中依取证行为所获证据种类并不仅是电子数据，而是以电子数据为核心和主要对象的多个证据种类。具体来说，电子数据检验与鉴定所获证据种类是鉴定意见和参照鉴定意见审查判断的检验报告；电子数据检查所获证据种类是《电子数据检查笔录》，需要提取电子数据时还包括与案件有关的电子数据；电子数据侦查实验所获证据种类是《电子数据侦查实验笔录》，即电子数据检查和侦查实验主要获取的是《刑事诉讼法》第50条第7项规定的笔录类证据；收集、提取电子数据这类取证行为所获的证据种类，如前所述比较复杂，需要细致区分。其中，“扣押、封存原始存储介质”措施所获证据种类包括电子数据和物证，但主要是电子数据，物证仅是作为载体的存储介质，个别时候涉及存储介质的外部特征、存在状态、物质属性等的证明作用发挥、存储介质上的指纹等生物信息的提取等，这种状况下属于物证。“现场提取电子数据”“网络在线提取电子数据”“冻结电子数据”“调取电子数据”所获证据种类也主要是电子数据，但是需特别注意的是：第一，《电子数据现场提取笔录》《远程勘验笔录》《网络在线提取笔录》[注]在此本文认为电子数据提取笔录属于笔录类证据，即部分赞同王志刚教授的观点(参见王志刚：《论电子数据提取笔录的属性与适用》，载《证据科学》2014年第6期)，赞同电子数据提取笔录与证人证言、书证、物证等的区分，但不认为电子数据提取笔录也独立于笔录类证据构成单独的证据种类。此外，本文认为电子数据提取笔录反映电子数据的提取过程，不仅对电子数据的原始性、完整性的判断有重要的审查判断意义，所记录的电子数据提取侦查行为有独立于电子数据的证明价值，因此应将其视为有别于被提取的电子数据的独立证据。而且，随着区块链存证技术的发展，电子数据提取作为存证的前端，电子数据提取笔录将更突显其客观、综合记录侦查取证行为的功能。由此延伸，传统物理空间的提取笔录也是如此，例如痕迹物证的提取笔录对提取部位、提取环境、提取方法等都有相关记载，随着对提取的技术要求、专业性要求越来越高，提取笔录也将发挥越来越重要的证明作用。属于笔录类证据；第二，《电子数据提取固定清单》《登记保存清单》《协助冻结电子数据通知书》《解除冻结电子数据通知书》《调取证据通知书》等属于电子数据的附随文件，是进行电子数据鉴真的重要参考依据，但并非独立的证据种类；第三，电子数据的获取并不以占有为必要，冻结、侦查笔录(含其同步录像)等不占有电子数据的取证方式在电子数据取证未来发展的过程中将发挥越来越重要的作用。

区分所获证据种类的意义首先在于，不同证据种类有不同的取证行为要求，更有不同的审查判断侧重。既然证据种类并非单纯的电子数据，还包括笔录类证据、鉴定意见等其他证据种类，所以不能以围绕电子数据的证据资格、证明力判断为已足，近来学界拓展了电子数据鉴真研究，[注]具体内容详见：谢登科：《电子数据的鉴真问题》，载《国家检察官学院学报》2017年第5期；刘译矾：《论电子数据的双重鉴真》，载《当代法学》2018年第3期；郭金霞：《电子数据鉴真规则解构》，载《政法论坛》2019年第3期。却少有对与电子数据取证密切相关的其他证据种类审查判断的研讨，在此仍需补足。借助郭金霞教授依电子数据经历阶段划分的源电子数据、目标电子数据和呈述电子数据概念，[注]参见郭金霞：《电子数据鉴真规则解构》，载《政法论坛》2019年第3期，第59页。该文中，将电子数据从生成到法庭出示，经历的电子数据生成阶段、收集提取阶段、阐释表述阶段概括为源电子数据、目标电子数据和呈述电子数据。源电子数据指直接来源于案件事实的电子数据，即在案件发生、发展过程中产生的电子数据。目标电子数据指由合法主体依法将源电子数据收集提取而得到的电子数据，实质上就是依法收集的源电子数据的存储与传送。呈述电子数据是对目标电子数据进行分析、检验、鉴定，形成法庭能读懂的分析报告，即电子数据的阐释表述。本文对呈述电子数据的解释进行了拓展：呈述电子数据不仅限于法庭出示时的阐释，在侦查过程中即存在呈述问题，要通过分析、检查、检验、鉴定等方式将电子数据或单纯的代码转化为可以发挥证明作用的相应证据种类。电子数据虽应注意各阶段的审查判断问题，但重在对源电子数据转移为目标电子数据、呈述电子数据的鉴真活动，即要求是原原本本的源电子数据进入诉讼中成为法庭上的呈述电子数据，但是与电子数据相关的笔录类证据(例如《远程勘验笔录》《电子数据检查笔录》)和电子数据鉴定意见、检验报告则侧重于呈述电子数据的审查判断，因为在这些证据种类之中加入了更多侦查人员的行为介入和主观判断性操作，而实质发挥证明作用的也是笔录本身所记载的侦查感知和发现、对专门问题的意见等。即对后者的审查判断尽管也需考虑作为勘验、检查等活动基础的源电子数据的真实性等问题，但更应关注侦查人员的勘验、检查、侦查实验、鉴定活动是否合法、是否规范、是否符合操作要求等。而针对电子数据的勘验、检查、侦查实验等侦查活动如前所述，与传统以物理空间为基础的侦查活动在指涉内容、行为方式、活动范围等方面大为不同，亟待重塑传统侦查行为融入以电子数据取证行为为代表的新型侦查行为。另一方面，要注意电子数据相关笔录类证据的双重证明功能。多数论及电子数据鉴真的研究者将与电子数据相关的笔录类证据忽略或者将其视为电子数据鉴真的一部分(附属于电子数据的印证功能)。电子数据相关笔录类证据作为独立的证据种类，应关注其独立的证明功能。笔录类证据的制作主体为侦查人员，是对侦查人员感官所体察到的现场状况、物品情状、侦查人员侦查行为方式、手段、环境等的客观记录，作为证据与其他种类证据相较具有鲜明的综合性特征，对证明关联性、案件事实中的环境信息、状况信息以及联结和组织物证、书证、电子数据等综合证明案件事实具有突出优势。因此，对基于电子数据的侦查行为形成的笔录类证据，不仅要重视其印证功能，更要重视其特有证明功能的运用和审查。

区别所获证据种类的意义还在于逆推侦查取证行为要求，探讨分析对侦查取证行为法律规范的不同解读。例如，网络远程勘验尽管是2005年就已出现，然而得到研究者较为集中的关注还是在2016年《电子数据规定》和2019年《公安电子数据取证规则》出台后，对于网络远程勘验的解读不仅要从新近规范字面角度，还要从侦查行为、相关规范历史发展以及所形成的证据角度进行阐释。从侦查行为发展视角，最初是现实空间现场的勘查，然后延伸到与现实空间现场密切相关的虚拟空间现场(通常为现场载体中的单机虚拟空间)，再到网络远程现场。即勘验检查行为依循场所和空间概念的不断延伸，将勘验检查适用的场所范围不断扩展，随之也将勘查内容、勘查手段、勘查笔录进行了相应延展。从相关规范历史发展视角，网络远程勘验首先出现于网安部门制定的规则之中，网警将计算机信息系统犯罪、网络犯罪的虚拟空间视为其犯罪侦查现场，使用“网络勘验” “远程勘验”等称谓便于侦查人员理解和适用，也符合侦查人员工作思维；后来的《网络犯罪程序意见》因主要是网安部门起草就沿用了“勘验”，而忽略了比较法研究中所熟知的“搜查”及二者关系的厘清。这里需要注意一个微小的调整，2005年《计算机犯罪现场勘验与电子证据检查规则》中现场勘验检查与公安机关刑事案件现场勘验检查的规范框架、基本流程是保持一致的，并且传统现场形成《现场勘验检查工作记录》、远程勘验制作《远程勘验工作记录》；[注]按照该规则的解释，“《现场勘验检查工作记录》由《现场勘验检查笔录》《固定电子证据清单》《封存电子证据清单》和《勘验检查照片记录表》等内容组成”(第21条)；“《远程勘验工作记录》由《远程勘验笔录》《固定电子证据清单》《勘验检查照片记录表》以及截获的屏幕截图等内容组成”(第24条)。而2019年《公安电子数据取证规则》则进行了分别处理和笔录名称调整，区分为现场提取和网络在线提取电子数据，现场提取电子数据制作《电子数据现场提取笔录》并附《电子数据提取固定清单》，网络在线提取根据不同的情况制作《网络在线提取笔录》《远程勘验笔录》并附《电子数据提取固定清单》。这一方面体现了现实空间现场与虚拟空间勘验检查一定程度的合并(例如，现实空间现场勘查时一并进行以现实空间犯罪现场存在的存储载体为基础的虚拟空间现场延伸勘查和现场电子数据提取，使电子数据现场提取、《电子数据现场提取笔录》与现实空间现场的勘查和痕迹物证等的提取及相应的提取笔录等对应)，同时突出网络远程勘查的特殊性，具有一定合理性。但是，另一方面也以“提取”模糊了“搜查”“扣押”的界限，以《电子数据现场提取笔录》减损了《现场勘查笔录》中本应体现的综合性内容。因而，本文赞同研究者提出的厘清远程搜查与远程勘查等的关系[10]的必要，但建议慎重处理是否取消远程勘查的观点，毕竟勘查有其独特的侦查行为要求和综合性证据内容提供，无法用“搜查”“扣押”或“提取”代替。如果远程勘查中涉及技术侦查内容，当然应遵循技术侦查的授权和执行规定，从而进入网络技术侦查行为规范视野。

又如，一般网络在线提取、网络远程勘验、远程技术侦查三者间的关系，研究者们多认为是“层层递进”[10]“逐步限缩”[8]的关系，然而本文认为根据不同类型的侦查行为及所获证据种类的分析，三者之间关系是并列和递进关系，而且在实际适用三者时存在交错。首先，《公安电子数据取证规则》“网络在线提取电子数据”一节中的一般网络在线提取、网络远程勘验、远程技术侦查都可以获得电子数据，因而均可制作《电子数据提取固定清单》。但是，网络远程勘验和技术侦查不以获取电子数据为必然目标，网络远程勘验主要产生的证据种类是笔录类证据《远程勘验笔录》，网络技术侦查则根据不同情况可能获得不同种类的证据。一般在线提取、网络远程勘验可以根据不同的侦查需求同时或者分别适用，但是远程技术侦查因属于技术侦查应遵循严格适用原则，只能作为递进适用的最后备用选择且只能适用于法定范围、遵循法定规则进行。其次，2016年《电子数据规定》第9条第3款规定“为进一步查明有关情况，必要时”可进行网络远程勘验，对其中“必要时”的理解，本文认为并非研究者所谓比例原则的体现、在适用上与其他常规侦查措施有顺位关系[11]或者“若能通过其他常规网络在线提取方式收集电子数据，则不能使用远程勘验”[9]。“必要时”仅是表述基于不同的侦查需求和取证效果采取相适宜的侦查行为，即有此需要或需求时。具体而言，2016年《电子数据规定》第9条第3款的“必要时”指的是该规定附则第29条第三项对网络远程勘验的用语含义解释中的有必要“通过网络对远程计算机系统实施勘验，发现、提取与犯罪有关的电子数据，记录计算机信息系统状态，判断案件性质，分析犯罪过程，确定侦查方向和范围”之时，也是《公安电子数据取证规则》第27条分项列举的情形出现时，这些情形不以提取电子数据为必要，但属于需要进行勘验的情形。法律对“必要时”的理解未必都意味着比例原则的适用或者依权利保障设置的顺位关系，如《刑事诉讼法》第135条第1款规定“为了查明案情，在必要的时候，经公安机关负责人批准，可以进行侦查实验”，显然我们不能将此条文理解为其他侦查行为用尽后仍不能实现侦查目标时才能进行侦查实验。网络远程勘验也是如此，法律规范中的“必要时”没有确立当然的顺位关系，仅是强调网络远程勘验需结合适用情境、侦查需求、侦查行为特点，在符合适用情形时进行。再次，《公安电子数据取证规则》第33条强调网络在线提取或者网络远程勘验都应使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限，而网络技术侦查则应履行严格的批准程序，显然从涉及的基本权利和授权规则方面看是分网络一般提取、网络远程勘验和网络技术侦查两级对待的，网络一般提取、网络远程勘验是并列的，网络技术侦查是二者基础上的递进。而从侦查行为具体实施方面看，网络一般提取、网络远程勘验、网络技术侦查可以单独或者交错适用。可以为了实现侦查目的根据不同的适用条件和授权规则独立实施；也可以在网络一般提取或者网络远程勘验时，若涉及技术侦查措施适用，则启动技术侦查程序，网络技术侦查与一般提取或远程勘验交错适用。

(二)公安电子数据取证规范中的取证主体要求

电子数据侦查取证的主体规范主要涉及三方面内容：取证人员人数要求、专业资质以及如何定位取证中的非侦查人员技术协助。

龙宗智教授在评析2016年《电子数据规定》时论及电子数据取证主体人数问题，认为两名以上侦查人员的电子数据取证主体人数要求“不太符合侦查实践情况及现实需要”[1]。从公安机关对侦查行为的整体要求来看，一直以来遵循两名以上侦查人员开展侦查行为的原则，尽管有的侦查行为在《刑事诉讼法》中未明确人数要求，但在公安机关的规范文件中都会补充要求两名以上侦查人员的人数限制。例如勘验、检查，尽管《刑事诉讼法》第128条并没有对侦查人员人数设立要求，但《公安机关刑事案件现场勘验检查规则》第24条第1款则明确要求“公安机关对刑事案件现场进行勘验、检查不得少于二人”。因此，在对电子数据取证行为进行规范时也就沿袭一般性要求，需两名以上侦查人员进行。其实，龙宗智教授所提出的侦查人员数量限制性要求不符合侦查实践和现实需要的问题并非电子数据取证行为所独有，很多侦查行为主体人数法定限制的必要性都需要在新背景下重新考虑。特别是在现场执法记录、同步录音录像等硬件措施、规范执法要求逐步完善的今日，以及针对那些侦查人数无实质性影响的特别侦查行为(例如电子数据提取等)，需要在审慎考量的基础上放宽法定人数的限制。回到电子数据取证行为，其合法性、规范性以及电子数据提取的完整性、真实性主要不是依靠取证人员的身份和人数等传统方式来保障，而是更多地依靠技术手段(例如完整性校验、电子数据的附随数据、取证工具和取证流程的标准化、区块链存证等)维系。可以考虑在电子数据取证行为中尝试变通侦查人员人数的强制性规定，但变通的前提是对电子数据侦查取证行为进行细分，而后在类型化的基础上调整变通。例如，根据证据种类形成对侦查人员参与程度依赖的不同进行区分，单纯的电子数据提取、冻结电子数据、调取电子数据等不必严格要求侦查人员数量，而要形成笔录类证据的网络远程勘查、电子数据检查和侦查实验维持两名以上侦查人员的要求为宜。

相比对人数的要求，更为重要的是如何理解和规范不同的电子数据侦查取证行为中取证主体的身份和专业资质要求。前文已述，从《公安电子数据取证规则》对电子数据取证基本框架的设定可见，收集、提取电子数据，电子数据检查和侦查实验，电子数据检验与鉴定的三分法中考虑到了取证主体身份和专业资质要求的不同。从取证主体身份要求观察，收集、提取电子数据，电子数据检查和侦查实验是由侦查人员进行或者在侦查人员主持下进行；电子数据检验与鉴定是基于指派和聘请、委托，由侦查人员以外的公安技术人员或者第三方鉴定人员进行。从取证主体专业资质要求观察，三类取证行为都可能涉及专业技术的运用，但是对专业技术的参与度要求不同，这也导致了对取证主体专业资质的要求不同：收集、提取电子数据一般无须取证人员有专门技术资质，但是如有需要可以指派或聘请专业技术人员在侦查人员主持下进行协助(第6条)；电子数据检查和侦查实验应当由具有专业技术的侦查人员进行，必要时指派或者聘请有专门知识的人参加(第44条)，其中后者也是处于协助地位的取证人员；电子数据检验与鉴定则要求由有专门知识的人进行(第55条)，是由公安系统内部相对独立的鉴定部门或者公安系统外部的第三方鉴定机构进行。

2014年《网络犯罪程序意见》要求电子数据取证主体是“具有相关专业知识的侦查人员”；2016年《电子数据规定》放宽了电子数据提取主体的专业资质要求，对收集、提取电子数据不再有明确的专业资质要求；2019年《公安电子数据取证规则》承继了《电子数据规定》的做法，但同时也规定电子数据检查人员应“具有专业技术”，从而区分了不同电子数据取证主体的技术要求，实现了前述电子数据取证主体专业资质从一般提取到检查和侦查实验再到鉴定和检验三级递进式要求。值得注意的是，《公安电子数据取证规则》在专业资质方面引入了一个区分，即“具有专业技术”和“有专门知识”(第44条)，从日常用语来理解二者差别不大，但是我们所熟知的是法律一般使用“有专门知识”一词，[注]例如，《刑事诉讼法》第128条：“侦查人员对于与犯罪有关的场所、物品、人身、尸体应当进行勘验或者检查。在必要的时候，可以指派或者聘请具有专门知识的人，在侦查人员的主持下进行勘验、检查。”而非“具有专业技术”。对此的解释是，“具有专业技术”侧重于公安机关内部技术人员资质，实践中一般以公安机关警务技术任职资格为条件；“具有专门知识”侧重于刑事诉讼活动的辅助人员资质[6]。由此，引出一个电子数据取证主体中值得关注的问题，即非侦查人员的取证协助。

广义而言，电子数据取证中的非侦查人员协助可以分为三类：第一，最为典型的，狭义的电子数据取证协助，即在侦查人员主持下“有专门知识的人”参与电子数据提取、勘验、检查、侦查实验等法律规定只能以侦查人员为取证主体的侦查行为；[注]目前，《公安电子数据取证规则》对电子数据提取、检查均有明确的取证协助规定，但是对勘验、侦查实验尚无明确规定，但是从对勘验和侦查实验的一般规定和理论解读，必要时应允许非侦查人员协助。第二，电子数据检验和鉴定，尽管明确由独立第三方机构依委托开展或者公安机关内相对独立的鉴定部门和鉴定人员进行，但是侦查阶段的鉴定属于广义的侦查行为，因而也可视为协助的一类，同时鉴定部门可能也会因涉及的专门问题力所不及需要鉴定部门之外的专家协助；第三，调取、冻结电子数据，其实质上是侦查人员要求相关的数据持有人、网络服务提供者或者有关部门协助取证和存证，而且随着数据确权、数据交易、数据安全等法律法规和实践活动的不断发展，此为电子数据取证中值得关注的新领域。后两类取证协助涉及更为广泛的诉讼外领域且需随着立法和司法实践的发展不断进行观察和思考，当前发起研讨本文力所不逮，因而后文仅就狭义电子数据取证协助进行简要分析和回应。

对狭义电子数据取证协助的方式和定位有少数研究者进行过研讨和建言。例如，龙宗智教授建议参照《刑事诉讼法》第128条之规定，“实行侦查人员与专业技术人员相配合的取证方法”[1]。这与《公安电子数据取证规则》规定(第6条)的方式是一致的，本文也比较赞同以侦查人员为主有专门知识的人协助的方式。原因是，电子数据提取、检查、侦查实验、勘验等毕竟是侦查行为，应遵守刑事诉讼法律中的法律授权、适用条件、执行规则等规范内容，保障侦查行为合法进行和所获证据的合法性，也需要结合案件侦办需要判断取证范围、取证方式等，保障取证活动的全面性、有效性和所获证据的关联性、真实性、完整性，而这些必须由侦查人员来判断实施，有专门知识的人只是在侦查人员主持、指挥、监督下进行技术指导、操作和辅助。

更为深入的协助方式探讨还涉及可否进行强制协助和协助人员是否需资质认证管理。通常的协助并非强制性的，或者是基于聘请、委托、指派产生，或者是由于其他需求而主动配合，例如提取电子数据若耗时很久就会给相关合法经营者或者其他合法使用者带来经济负担，他们更愿意协助提取工作尽快完成。但是，有时强制协助义务的设定是必要的，若操作系统比较特殊、数据量庞大等因素使得系统管理人员、数据库专职技术人员比侦查人员能更有效率地获得电子数据且更能实现相关电子数据证明价值的保全，则强制协助规范就是必需的。对于此种强制协助规范，本文认为：在立法设定时，需权衡刑事犯罪预防、追诉权与数据主体、数据控制者权益之间的关系，依循比例原则设定侦查权强制协助的范围；在司法适用时，需权衡拟被强制协助者的义务责任和协助负担之间的关系，不能强加负担过重的义务。我国虽在此未见典型的强制协助案例公布，但美国在强制协助手机解锁方面的判例给我们的启示值得思考。例如，在苹果公司能否被强制要求提供手机解锁协助时，法官认为需要考虑苹果公司与犯罪行为联系是否紧密、提供解锁协助是否使苹果公司承受了不合理的负担、是否有损苹果公司通过长期经营所树立的“保护客户权益的引领者”之商业形象等因素[12]。

协助人员需要具有相关专业技术能力且能解决侦查人员所不能解决的技术问题，这是协助的基本要求，但问题是是否需要如鉴定人制度那样设立专门的技术协助专家选任制度。有研究者细分协助类型、规范选任标准和技术协助专家职责[13]，为电子数据取证技术协助提供了很好的规范设计思路，但是，其中如何类型化是前置性问题，而电子数据取证领域的日新月异发展为选任标准增加了不确定性和难度，专家职责设定的抽象化以及与侦查人员职责、不同类型专家职责的区分也有较大的复杂性。技术协助类型化首先应考虑与鉴定人制度和专家辅助人制度的融合，即狭义的技术协助应参考专家辅助人制度，因此关于选任标准和管理制度就遇到了专家辅助人制度建立的共有难题，例如与鉴定人制度的异同。本文认为，广义技术协助中的检验和鉴定应根据或参照鉴定人制度进行规范；电子数据提取等狭义技术协助应根据或参照专家辅助人制度，目前不宜过早建立资格准入制度，但应增强侦查取证行为中侦查人员的主持、指挥、监督职能发挥；电子数据调取、冻结中的技术协助，实质上是专业技术人员独立提取或冻结相关电子数据，应考虑对从事此类活动的技术人员进行资质认证，特别是对大型互联网平台企业中结合现有沟通机制设立专职部门、联络官、取证人员制度。

(三)公安电子数据取证规范中的取证对象分类

公安电子数据取证行为获取的证据种类包括电子数据、笔录类证据、鉴定意见等多种，然而，无可否认的是各种侦查取证行为直接作用的对象是电子数据，例如，《电子数据检查笔录》《电子数据侦查实验笔录》中检查、侦查实验行为针对的对象都是电子数据。因而，此处取证对象的分类是指电子数据的分类。

作为侦查取证对象的电子数据分类的目的和意义在于：一方面，基于不同的涉案电子数据分类适用不同的侦查取证行为或同一侦查取证行为中的不同类型化侦查取证措施；另一方面，基于不同的涉案电子数据分类划分权利保护边界、法律授权范围、取证规则内容等。《公安电子数据取证规则》显然侧重的是前者，即主要考虑因涉案电子数据获取技术难易的不同而采用不同的侦查取证行为，同时兼顾基于电子数据占有控制情况、取证权限范围等内容对侦查取证行为的影响。具体而言，该规则中框定的三类基本取证行为(第3条)采用的是基于涉案电子数据发现、识别难易程度的分类：可以直接发现、识别并提取的涉案电子数据适用“收集、提取电子数据”相关规范；需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式获取涉案电子数据的适用电子数据检查；发现识别更为复杂、困难，需要作为专门性问题指派、聘请有专门知识的人进行的适用电子数据鉴定和检验。此外，电子数据由持有人、网络服务提供者等数据控制主体提供更为方便的则选用调取等方式。

与2016年《电子数据规定》不同的是，《公安电子数据取证规则》网络在线提取电子数据中对基于取证权限范围的电子数据分类略有涉及：其一，改变《电子数据规定》中“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据，可以通过网络在线提取”的内容，规定网络在线提取的电子数据范围为“公开发布的电子数据、境内远程计算机信息系统上的电子数据”(第23条)，这与我国刑事取证管辖模式[14]态度和选择是相关的；其二，要求一般网络在线提取、网络远程勘验，“使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限”，涉及技术侦查的“严格依照有关规定办理批准手续”(第33条)。在此需提及的是，有研究者认为网络在线提取限于公开发布的电子数据、境内远程计算机信息系统上的电子数据导致境内境外“差别化待遇”[9，11]，本文认为，该规定是基于国家司法主权和数据取证管辖原则的设定，并不涉及差别待遇或权利保障不平等的问题。我国出于数据存储地模式、网络空间主权主张[15]、取证的国际刑事司法协助等考虑，要求境外存储的电子数据不得直接通过侦查人员网络在线提取，而应基于国际刑事司法协助或者根据双边或多边协议由“对象国协助开通国际端口接入涉案计算机，完成对涉案计算机、电子设备等的远程勘验及电子数据的收集提取”[16]。在电子数据提取的权利保障方面，有些国家比我国法律规定的全面、细致，有些国家保障则要弱于我国，如同其他侦查行为规范在打击犯罪和保障人权之间平衡一样，不同国家立法基于诉讼传统、价值观念等形成的取舍以及基于司法主权原则存在不同的侦查行为授权模式和授权内容，不能简单解释为“差别化待遇”。有研究者认为，网络在线提取的“梯级设计”[注]此处，对于一般网络在线提取、远程勘验、网络技术侦查本文并不赞同该研究者提出的“逐步限缩”的三级递进关系，而是如本文三(一)中所论述的一般网络在线提取和远程勘验是并列关系，二者与网络技术侦查形成两级递进关系，三者可以交错适用。“可能导致实践人员不仅对网络技术侦查的条件及程序控制进行规避”，“更多地使用最狭义的普通在线提取进行实际上的远程勘验或者网络技术侦查”[8]。本文认为，目前的网络在线提取行为设计并不是导致个别违法取证操作的原因，即便是采用如该研究者建议的“只保留普通在线提取和网络技术侦查两种手段”[8]，也并非减少违法操作的有效措施，遏制违法取证操作的关键是明晰涉案电子数据的边界、细化涉案电子数据分类，进而区分不同侦查取证行为的授权、规范侦查取证行为。

细化涉案电子数据分类是区分电子数据侦查取证行为的基础和前提。我国在规范取证行为的电子数据分类方面以关注取证技术难易为主的现状，无法满足司法人权保障需求对电子数据取证行为的规范要求，很多研究者已尝试在此方面进行分析。梁坤教授以初查为切入点，在宪法基本权利的基础上对电子数据的分类以及强制侦查和任意侦查行为的细致区分[17]，为电子数据分类与电子数据侦查取证行为的区分提供了范例。然而，如前文所述初查的取证规范分析的视域略显狭窄，应适当拓展为对电子数据取证规范的框架的整体反思。本文认为，基于电子数据分类的侦查取证行为区分关键有二：其一，电子数据分类的多样化，特别是对基本权利保障视角的电子数据分类的明晰化；其二，在电子数据分类基础上对应侦查行为授权、适用规则的区分。梁教授的文章显然在此两方面进行了分析细致且理路清晰的研究工作，略显缺憾的是，在现实的立法和司法操作中如何落实有待深入，否则仅是空中楼阁。也以初查为例，梁坤教授以宪法基本权利为基础的电子数据和取证行为区分强制侦查和任意侦查没有问题，但是在立法中如何明晰的区分完全不涉及基本权利、部分涉及基本权利、绝对涉及或推定涉及基本权利的电子数据及初查措施界限并赋予不同的授权和取证规则，特别是在司法实践中侦查人员如何简单、快捷的判断涉及不同基本权利保护的电子数据并执行不同的取证授权和取证规则，如何通过侦查监督、证据审查有效发现侦查人员的违法取证行为等，是更为切实的需求，也是有待深入研讨之处。

总体而言，电子数据取证行为的规范应鼓励电子数据多样化分类尝试及其在取证行为规范中的投射，正是电子数据分类分级的多维性、多元化、多样化方能保证电子数据侦查取证行为的全面兼顾；电子数据多样化分类应密切关注网络安全、数据安全、数据分类分级等相关领域、相关立法的发展，兼顾宏观法律体系的相互融通和刑事司法领域的电子数据分类特性；重视电子数据、网络空间与传统实物证据、现实空间的差异性，妥善平衡和处理信息时代背景下通讯自由、一般人格权保障、隐私权保护、个人信息自决与国家安全、公共安全、人身自由安全有效保障之间的紧张关系。显然，在此方面无论是理论研究还是立法、司法实践都要经历漫长而艰辛的探索之路。

结语

以《公安电子数据取证规则》为代表的公安电子数据取证规范虽然法律位阶层级不高，然而对刑事司法实践中的电子数据取证却有最为直接的指导和规范作用，因此也引起了司法实践和理论研究的普遍关注。历史发展视野之中，世界范围电子数据取证规范已经从无到有并趋向精细化，我国公安刑事电子数据取证规范也从网警专属领域发展为对刑事侦查各警种的取证要求。面向未来的电子数据取证规范发展，较为迫切的问题是宏观上如何将电子数据取证规范融入整体侦查取证行为体系之中，使电子数据取证行为能够与侦查行为相对应、衔接；而在电子数据取证规范的细致处又需精研细剖，在准确理解取证规范本义的基础上更多引入法解释研讨，最大限度发挥现有规则的规范作用，审慎前瞻和推进法律规范修订和重构。电子数据取证规范不同于传统取证规范之处在于需要兼顾法律和技术，既要从共性方面汲取传统取证法律规范的精义，以此审视崭新的电子数据取证行为，也要从电子数据取证行为的特殊性方面调整传统取证法律规范对于电子数据的不适之处，同时，还要回应科技、社会发展对电子数据取证规范不断提出的新问题和新挑战。电子数据取证的研究者和实践者任重而道远。