电子数据的分类鉴真与规则构建

谢甜甜

一、引言

信息技术的发展给刑事诉讼带来了电子数据这一新兴证据形态，电子数据存在的“常态化”已经使其发展成为很多案件的关键性证据，鉴真问题也日益突出。中国刑事证据规定对鉴真制度的确立，属于借鉴美国证据法的结果。但在鉴真的具体方法上，并没有建立证人当庭辨认规则，也没有要求那些持有、接触、处置、保管过实物证据的人出庭作证，而只是借鉴了一种形式化的证明实物证据“保管链条”方法，要求运用“笔录类证据材料”，从实物证据的来源、提取、收集、保管等各个环节来证明该证据的真实性。〔1〕参见陈瑞华：《实物证据的鉴真问题》，载《法学研究》2011年第5期，第131页。电子数据与物证、书证同属广义实物证据，〔2〕参见谢登科：《电子数据的鉴真问题》，载《国家检察官学院学报》2017年第5期，第52页。因此这种实物证据的形式化鉴真方式，在电子数据中也同样存在。从2010年至2021年，相关部门涉及电子数据的规范性文件主要有六部〔3〕2010年最高人民法院、最高人民检察院、公安部、国家安全部、司法部《关于办理死刑案件审查判断证据若干问题的规定》（以下简称《死刑案件证据规定》）；2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》）；2019年公安部《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据取证规则》）；2020年《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》；2020年《最高人民法院关于民事诉讼证据的若干规定》；2021年《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》（以下简称《刑事诉讼法司法解释》）。，通过这些规范，我国对于电子数据的审查、鉴真规则体系不断完善。2016年《电子数据规定》涉及电子数据完整性（计算完整性校验值）的审查方法、原始介质封存要求、真实性审查判断内容、瑕疵处理以及未能鉴真的排除规则等；2019年修订的《电子数据取证规则》则“极大地充实、丰富了我国电子数据鉴真方法的多层化和立体化程度”〔4〕孔祥伟：《电子数据鉴真规则探析——以证据保管链机制为切入点》，载《东南司法评论》2019年年刊，第452页。。这两部规范的进步虽然很大，但电子数据的鉴真仍存在实物证据的形式化鉴真问题，且由于未对电子数据进行“特征化”的分类，相应的鉴真规则也仅是对于所有类型的电子数据进行笼统的适用，导致司法实践中对于电子数据的取证、存证和审查都依旧处于相对不专业和模糊的状态。

鉴于前述，笔者认为应对电子数据按照一定的标准加以“特征化”分类，构建体系化的鉴真规则。当前，《电子数据规定》中笼统列举了网络平台发布信息、网络应用服务的通信信息、注册交易类信息和电子文件等四种电子数据，但这四种类别几乎适用无差别的物理载体，也没有明显的存储介质差异。因此，要实现“特征化”分类就必须厘清四个问题：一是电子数据的表现形态；二是电子数据的具体分类；三是特征化的鉴真规范；四是鉴真规则的完善。上述问题是电子数据分类鉴真的基础性问题，也是电子数据收集、提取、保管、审查和鉴真规则构建的关键性问题，直接关涉电子数据在司法实践中的适用。为改善实践中的不专业和模糊状态，本文拟从实践中的典型案例出发，对上述问题进行探讨。

二、电子数据的特征化分类

分类是人类把握事物共性，同时辨识事物特性的逻辑手段，不仅可以使人的认识条理化，而且能实现处置上的目的性与有效性。〔5〕参见龙宗智：《证据分类制度及其改革》，载《法学研究》2005年第5期，第86页。随着信息科技的发展和现代技术应用的普及，电子数据的门类越来越丰富，电子数据对于司法的影响也越来越大，因而有许多研究认为电子数据已经成了新的“证据之王”。〔6〕参见刘品新：《电子证据的基础理论》，载《国家检察官学院学报》2017年第1期，第151页；刘品新：《论电子证据的理性真实观》，载《法商研究》2018年第4期，第59页；蒋平：《电子证据的发展历程及应用思考》，载《公安研究》2014年第5期，第41页；谢登科：《论电子数据与刑事诉讼变革：以“快播案”为视角》，载《东方法学》2018年第5期，第47页。信息内容、载体、表现形式都是电子数据的外在形态，同样一篇文档，存储于何种设备上、是否展现在互联网上、以何种形式展现在互联网上等都会影响取证手段、存证方式和鉴真标准，因此，从表现形态的公开性角度考察，《电子数据规定》中列举的几类电子数据，它们的可获得途径显然是“由多到少”，这就决定了电子数据可能是公开的数据、交互性的数据和单一来源的数据。如此，应当从公开性和取证难易程度的角度对电子数据进行分类。

（一）公开的数据

在艾某与董某、北京微然网络科技有限公司（以下简称“微然公司”）等一般人格权纠纷一案中，〔7〕参见重庆市第一中级人民法院(2018)渝01民终4451号民事判决书。被上诉人董某未经上诉人艾某同意拍摄了视频，该视频中清晰可见上诉人的肖像、服饰和工作场所，后董某将该视频发布在朋友圈，并被大量播放和转发。“重庆校园君”“腾讯微博×××凌晨资讯”等网络媒体在转发、截屏时也均未把上诉人的肖像进行模糊处理，该视频在短时间内被大量传播、点评，严重干扰上诉人的生活和工作，给上诉人造成严重损害。被上诉人微然公司运营的“梨视频”将案涉视频经过编辑、剪切处理后配上吸引眼球且歪曲事实的标题进行传播，严重侵害了上诉人的名誉权，该视频广泛传播将上诉人塑造为负面形象，还被其他微博用户大量传播、点评。本案视频经网络传播的点击量、播放量、浏览量，对网络提供者均有利润。

根据《电子数据规定》，公开信息〔8〕《电子数据规定》第1条第1款。是指在网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息。该类信息在平常性的上网浏览过程中即可便捷获取。其中网页还应包括操作者在公开网页上操作所留下的相关信息和操作痕迹；微信朋友圈虽仅有好友可见，但其作为现代社交平台的本质决定了发布于朋友圈的信息，易于被大量浏览和传播，具有一定程度上的公开性，所以上述电子数据属于公开数据。本案中涉及朋友圈、重庆校园君、腾讯微博×××凌晨资讯、梨视频等均为网络公开平台。对于这类数据公开，侦查人员只需通过自己的办案电脑即可直接在线获取，不涉及对原始存储介质的扣押，但它又存在易被修改、替换和破坏的特点，结合获取的传闻性，一旦源数据从互联网上消失，侦查人员获取的证据就缺少第一手资料的印证，因此公开数据的鉴真审查重点在于证据的获取过程，侦查机关必须通过严格的程序规范，确证所提交电子数据和提取数据的同一性。在直接提取数据后，通过存储介质、拍照或打印等进行固定；并在保管链构建中重点关注前期的见证人和录音录像，做好后期常规的电子数据移送登记，若存疑，及时通过鉴定加以弥补，确保保管链的完整性。在验证途径方面，除了侦查人员所提取的内容，还可由其他人通过其他设备提取，甚至可以在案件审理现场直接打开网页进行验证，进行多途径验证，增强真实性。

（二）交互性的数据

在刘某某、赖某某盗窃案〔9〕参见上海市奉贤区人民法院（2020）沪0120刑初348号刑事判决书。中，赖某某以13000元的价格收购了刘某某盗窃所得的财物。刘某某与赖某某事先通过微信商量销赃细节，两人手机中包含可以证明赖某某主观上明知涉案财物为盗窃赃物的微信聊天记录。公安机关于2019年10月扣押了涉案手机，但直到12月份才将两部手机送交鉴定。侦查机关扣押现场并未计算完整性校验值，相应的案卷材料中也并未体现相应的特殊封存措施，保管链缺失。除此以外，侦查机关将在赖某某手机中提取的99条通讯录名单、4915条通话记录、422条短信、677张图片、一个微信账号的使用记录，以及在刘某某手机中提取的203条通话记录、687条短信、232张图片、31792条Safari浏览器的历史记录、1个QQ账号使用记录和2个微信号使用记录全部送检，但这其中仅部分微信聊天记录和少数照片与案件相关，鉴定中却将这些数据全部提取、识别和筛查。

在陈某某等破坏计算机信息系统案〔10〕参见上海市徐汇区人民法院（2018）沪0104刑初82号刑事判决书、上海市第一中级人民法院（2019）沪01刑终601号刑事裁定书。中，2016年1月案发时，D公司的陈某某与X公司的朱某某私下商定，以X公司与D公司合作分成的方式，由朱某某利用X公司业务渠道及其他渠道获取相关电信运营商流量服务器的权限并提供给陈某某，陈某某利用该权限，通过设置在阿里云空间的管理平台对DPI程序进行策略布置，并指令田某某在上述相关服务器上部署DPI程序，对上述服务器中监测到的上网用户的http数据包包头进行解析、修改，植入陈某某预先设置的广告推广数据，进行流量劫持。通过上述方式，陈某某等对东方财富信息服务有限公司（简称“东方财富网”）运营的客户端App炒股大赛页面广告位进行劫持操作，于2017年2月13日至23日，劫持App炒股大赛页面次数达408次。一审、二审中被告方均提出本案的电子数据无法证明东方财富网遭到劫持与陈某某的行为之间存在因果关系；不能排除该IP在阿里云平台的登录操作是被告人陈某某本人所为；劫持报告的制作公司博睿公司不具有鉴定资质、鉴定程序违反规定、鉴定方法不符合要求，数据来源不明、提取固定不规范、不能排除硬盘数据被污染的可能性，相应数据计算有误，不能作为定案根据等问题。

交互性的数据包括网络交互通讯信息和第三方平台注册、登录、交易类数据。其中网络交互通讯信息，是指通过即时通讯工具或即时通讯软件等交流过程中所产生的信息数据。根据《电子数据规定》，〔11〕《电子数据规定》第1条第2款。网络交互通讯信息包括手机短信、电子邮件、即时通信、通讯群组等信息，其中最典型的体现是即时消息，又称“即时通信”，如实时在线聊天工具，包括网络聊天室、网络会议系统，以及其他在即时通信服务器控制下的通信工具。〔12〕参见易延友：《证据法学：原则 规则 案例》，法律出版社2017年版，第466页。如刘某某、赖某某盗窃案中的微信聊天记录就是网络交互通讯信息，仅存在于交互双方的手机中。而第三方平台注册、登录、交易类数据是指用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等电子数据，如陈某某等破坏计算机信息系统案中，陈某某等的流量劫持行为，其DPI程序的安装、劫持登录信息等，也仅可见于信息持有者的私人电子设备和第三方网络公司平台后台（也即阿里云平台）中。上述两类信息相较公开信息而言，公开程度更低，侦查人员既可通过扣押嫌疑人设备也可以通过第三方取得该类证据，获取途径较多，取证难度相对低；但在取证过程中，要注重对源代码数据的完整提取和原始性保障，及时计算完整性校验值，对提取过程采取录屏、录像、见证人相结合的多途径确认，以防诉讼过程中发生网页篡改，届时加以验证。在存证方面，对于云平台数据、所扣押服务器的保管以及信号环境的技术性处理等，都体现了很强的专业性要求。在验证途径方面，犯罪嫌疑人彼此间的设备数据可以互为验证，存储于交互服务器中的电子数据也可作为验证项，验证途径较多，程度较强。

（三）单一来源的数据

在台山丽人医院敲诈勒索案〔13〕参见广东省台山市人民法院（2020）粤0781刑初165号刑事判决书。中，台山丽人医院门诊部使用“术中开发”模式运营，在其内部设立“新媒体”部门并组织相关人员冒充貌美女性，以谈恋爱为由诱骗男性至门诊部进行身体检查，实施敲诈勒索和诈骗等行为。案发后，侦查机关从该医院财务室扣押财务电脑，但未进行完整性保全。辩护方在庭审中提出侦查机关没有计算完整性校验值、没有对数据进行备份、扣押证据没有持有人签名、无录像，侦查机关在一个多月后才对数据进行检查、提取，扣押的电脑及其中数据存在被替换和篡改的可能，无法保证该电子数据的完整性和同一性。对于辩护方的这一质证意见，控方当庭无法对该问题作出说明，最终法官依靠公安机关的“情况说明”运用“综合证据审查”的笼统概括采信了该份电子数据。

单一来源的数据是指仅存储于信息持有者私人电子设备中的电子数据，一般存储于离线设备、局域网内设备或不具有公开性、交互性的服务器上，属于隐私性强、不公开的信息，仅有唯一的可获得途径。如在本案中，侦查机关所扣押电脑中的电子数据，仅仅存储于被扣押的电脑中，侦查机关只能通过对扣押电脑的检查、提取才能获得，也正是由于缺少验证途径，与一般实物性物证一样，其鉴真审查的重点在于证据获取的合法性以及保管链的完整性。因此，在取证上，最大的难度是对于证据线索的获取。在存证上，需要重点关注的是原始介质的物理保护，防止原始数据的损毁和绝对灭失；同时技术上还需要进行信号屏蔽、信号阻断〔14〕对于如手机等电子数据载体的信号屏蔽的技术手段，现有的法律中并没有进行相应的说明，但司法部2015年发布的《手机电子数据提取操作规范》第2、3条规定，信号屏蔽容器是指，“可完全隔离手机所具备的3G、GSM、Wifi、红外和蓝牙等通信信号的容器，如信号屏蔽袋”。相应的信号屏蔽器在适用前应先进行相应的信号屏蔽测试，以确保能够实现屏蔽。参见谢甜甜、叶青：《关于电子数据搜查扣押权的“规范化”规制探析》，载《海峡法学》2021年第2期，第115页。等技术性处理，确保电子数据内容的完整性。

三、电子数据特征化分类下的鉴真重点

在传统上，鉴真一般是适用于实物证据的形式真实性审查，即验真/鉴真是举出证据的一方在出示证据之前，应当首先证明其拟出示的证据就是他所声称的东西。〔15〕参见易延友：《证据法学：原则 规则 案例》，法律出版社2017年版，第426页。本文采“鉴真”一词是为了对电子数据本身的真实性、完整性进行说明。结合电子数据的特点，涉及电子数据的来源、制作过程、诉讼程序中的各个环节以及内容真实性等四个方面，〔16〕参见陈瑞华：《实物证据的鉴真问题》，载《法学研究》2011年第5期，第133页。不同类型的电子数据，在存储形态、提取难度、保管方法和验证途径上都存在很大的差异，由此涉及不同类别电子数据的取证、存证和审查程序的规范性问题。

（一）现行电子数据鉴真规范分析

关于电子数据的鉴真，有学者认为电子数据的实质性保障和审查措施应该是技术性的，而法官、检察官、律师一般都不具备专业知识，因而难以进行实质性的审查、质证，〔17〕参见褚福民：《电子证据真实性的三个层面——以刑事诉讼为例的分析》，载《法学研究》2018年第4期，第125页。电子数据的鉴真方式同其他证据相比没有什么两样；〔18〕参见刘品新：《电子证据的鉴真问题：基于快播案的反思》，载《中外法学》2017年第1期，第96页。也有学者认为法官对于电子数据的认证有盲目性和随意性，原因主要在于举证和质证环节留有隐患、法官的认证依据不科学以及制度上缺乏明确的认证标准。〔19〕参见李学军、朱梦妮：《电子数据认证问题实证研究》，载《北京社会科学》2014年第9期，第60页。笔者通过梳理《电子数据规定》和公安部《电子数据取证规则》等相关规定，归纳当前存在“20种”基本的电子数据鉴真手段。

在表1列明的20种鉴真方式中，带“*”的方式属于实质性的审查，实践中较少涉及；其他方式常被使用，即通过形式审查，实现对电子数据的真实性审查。因此，综合对基本鉴真手段的适用，当前形式化审查泛滥和实质审查偏离的原因有三：其一，我国现有的法律规定中对于电子数据的审查偏重于形式审查，而非实质性审查；其二，正如有学者在对2016年快播案中电子证据的鉴真进行检讨时所指出的，快播案中法官采信涉案服务器及其淫秽视频主要依靠的是起到补强作用的鉴定意见，并兼及情况说明、证人证言、书证等，〔22〕参见刘品新：《电子证据的鉴真问题：基于快播案的反思》，载《中外法学》2017年第1期，第100页。因此，结合前述案例和现有法律规定可知，当前我国对于电子数据的鉴真以鉴定意见为主的情况仍然普遍存在；其三，当前法律规定对电子数据的分类笼统，在鉴真方式上也是笼统地适用于各类电子数据，并未在分类基础上构建分类鉴真规则，而这是导致实践中审查不专业、审查形式化以及审查认定混乱的根本原因。因此，要根据公开、交互性和单一来源数据的分类特点，有针对性地分类适用鉴真手段。当前我国法律规定中对于鉴真手段的规定较为完善，但鉴真规则体系的科学性亟须重构。因此，笔者通过梳理、对照《电子数据规定》《电子数据取证规则》等相关规定，对其中的重点鉴真手段加以考察，归纳出重点鉴真手段（详见表2）。

表1 基本的电子数据鉴真手段

表2 重点鉴真手段归纳

（二）电子数据特征化分类下的鉴真

1．公开数据的鉴真规范

首先，在取证手段上，因其公开性和可获取平台的多样性，直接借助侦查人员办案的工作电脑即可直接提取、保存，因此主要适用的是“网络在线提取电子数据”。其次，在存证规范上，主要是保管链因素的规范化要求。其中，录像中的“取证行为的录像机录像、电子数据的证据录像、网络在线提取的录屏录像”这三类录像证据和见证人，是侦查人员证明自身取证行为规范性的重要方式，也是电子数据真实、完整性保管链条的核心要素，因此在公开数据的存证保管链条构建中，必须加强对二者的关注，有条件的情况下，应当进行取证全过程的同步录音录像，选取可靠、符合资质的见证人，对电子数据的前期取证进行全程跟踪见证。最后，在审查规范上，一是一般真实性的审查中，着重审查相应电子数据的收集、提取过程是否可以重现；收集、提取过程中是否对数据进行过增加、删除、修改等处理；是否规范制作数据副本备查；是否采取打印、拍照或者录像方式辅助固定相关证据；是否遵循相应的程序性和技术性操作规范的要求等；二是完整性的审查重点是完整性校验值的比对审查。

2．交互性数据的鉴真规范

首先，在取证手段上，因存在于交互沟通的双方和第三方数据交换服务器中，因此当所提取的是存在于当事人手持设备中的数据时，主要适用“扣押、封存原始存储介质”；但当涉及交互服务器中的数据，可直接扣押服务器的情形就直接扣押存储介质，如在陈某某等破坏计算机信息系统案中，不便扣押阿里云服务器时，可适用现场和网络在线提取，若涉及数据数量过大，可配合适用冻结的手段。其次，在存证规范上，结合所适用的取证手段，在扣押、封存原始存储介质时，见证人和扣押后的信号屏蔽处理手段是该类数据保管链条的重要因素，应重点关注见证人是否见证完整的搜查、扣押、封存过程，封口、封条和封存照片等是否反映规范的封存状态；在现场或在线提取时，如前所述，录像证据和见证人是重要的保管链因素。最后，在真实性审查规范上，一是一般真实性的审查，扣押原始存储介质的，着重审查对于原始存储介质的封存情况、来源的说明；不便扣押原始介质时，关注对原始存储介质不便移动以及固定措施的说明；对于能够连接网络的设备，审查扣押后是否采取及时恰当的信号屏蔽、阻断措施，是否在现场清楚标注数字签名、数字证书等特殊标识；对于现场和在线提取的情形，关注现场提取的电子数据是否遵守相关规定和网络在线提取的注明事项。二是完整性审查上，着重审查完整性校验值、封存笔录和记录以及后期存储状态的“保管链条”跟踪记录、备份电子数据的比对等。

3．单一来源数据的鉴真规范

首先，在取证手段上，单一来源的电子数据主要适用的是扣押、封存原始存储介质。其次，在存证规范上，对于单一来源的电子数据，结合取证手段，存证保管链的重点因素是扣押后的信号屏蔽处理和原始存储介质的物理完整性保障，具体的情形参照前述交互性数据原始介质的保管要求。最后，在审查规范上，一是一般真实性的审查，应重点关注原始存储介质不便移动的说明和固定措施的说明。单一来源的电子数据与交互性电子数据的原始存储介质不同，仅单一存在，没有可替代扣押对象，因此其不便移动的情形和现场的数据固定措施对于电子数据的真实性会造成“绝对性”影响，在审查时，应予重点关注。二是完整性审查上，着重审查完整性校验值、封存笔录和记录以及后期存储状态的“保管链条”跟踪记录、备份电子数据的比对等。

四、电子数据特征化分类下的鉴真规则

电子数据分类鉴真的核心是电子数据的真实性问题，因此鉴真是否实现，直接关乎电子数据的证据能力。我国当前法律规定的鉴真后果有积极和消极两类〔23〕参见谢登科：《电子数据的鉴真问题》，载《国家检察官学院学报》2017年第5期，第52页。，鉴真的积极后果是电子数据的真实性得到确证，可以作为定案根据，增强对案件事实的证明；鉴真的消极后果，是电子数据的真实性和完整性无法得到确证，应对证据进行“补正”或“排除”。对此，通过对《电子数据规定》《刑事诉讼法司法解释》等有关规定的归纳可得出电子数据的主要排除情形，如表3所示。当前存在3种电子数据的瑕疵情形和5种电子数据不得作为定案根据的情形。对于瑕疵证据，规定表述的是“经过公安机关补正或者作出合理解释可以采信”，即对于此类电子数据并非自始就不适用，而是在公安不能补正或无法作出合理解释时才不予适用；但“不得作为定案根据”的情形则是自始就直接否定电子数据的证据能力。因此，对于违反规范搜查、提取的电子数据并非一律适用强制性排除，而是区分“瑕疵情形”和“不得作为定案根据”两种情况，分情形适用。但如前述学者指出的，我国司法人员较多地依赖司法鉴定的方式进行鉴真，可从性质上讲，鉴定鉴真是一种事后鉴真，付出的代价很大，效果也不尽好。因此，鉴定意见不得作为定案根据的9种排除情形也适用于电子数据鉴真。但综合考察，电子数据鉴真的规则体系仍存在两个方面的问题：一是规定不完善，缺失事前鉴真的相关规定；二是规定的针对性不强。笔者认为根据前述分类，对于各类电子数据鉴真失效的程序性后果，亟须在完整性、关联性和专业性的基础上进行有针对性的重构。

表3 电子数据排除情形对比

（一）完整性规则

电子数据的完整性直接影响电子数据的真实性，因此当电子数据存在“篡改、伪造或者无法确定真伪”等情形将从根本上破坏电子数据，导致电子数据“补正不能”的情形，应予以强制排除。电子数据搜集、扣押、保管、提取和鉴定过程中对电子数据完整性造成影响的情形包括两类：一是侦查人员对电子数据搜集和扣押时，扣押、封存原始存储介质不当；未计算电子数据完整性校验值；未按相应技术要求制作、封存电子数据备份；应冻结的相关电子数据未予冻结；对收集、提取电子数据的相关活动未进行录像等情形，应予强制排除。二是鉴定人员对电子数据进行鉴定过程中，对被鉴定的电子数据副本未计算散列值、未进行完整性校验；对不能复制的电子数据，在操作过程中未采取写保护措施且未以拍照、录像等方式记录对检材的操作行为，导致无法确定电子数据的完整性；未经委托人同意擅自对电子数据进行修改，导致电子数据的完整性受到影响；未严格遵守设计方案所选择的鉴定方法，未合理使用设备仪器进行鉴定，导致电子数据完整性受到破坏等情形，应予以强制排除。

侦查人员对电子数据的搜查、扣押行为对不同种类电子数据的完整性关注重点有所不同：一是对公开的电子数据而言，完整性的关注重点是取证过程中是否及时计算完整性校验值、是否对相关数据的提取过程进行同步录音录像，否则在电子数据完整性存在合理怀疑时，无法加以补正，无法满足完整性的鉴真要求，即应予排除。二是对交互性的电子数据而言，该类电子数据信息量大，在完整性上需要重点关注的情形是：一类是电子数据是否存在“篡改、伪造或者无法确定真伪”等从根本上破坏电子数据，导致电子数据“补正不能”的情况。另一类是侦查人员对电子数据在搜集和扣押时，是否存在扣押、封存电子数据原始存储介质不当；是否计算了电子数据完整性校验值；是否按相应的技术标准要求制作、封存电子数据备份；是否未冻结相关电子数据，导致无法确定电子数据完整性的；对收集、提取电子数据的相关活动是否进行录像；删除信息的恢复及相应的恢复情况、恢复技术等是否符合技术规范等情形。三是对单一来源的电子数据而言，关注重点是完整性校验值的计算和原始存储介质的物理介质完整和数据内容完整。其中，物理介质完整以一般物证的完整性检验方式加以验证；数据内容的完整性，则通过鉴定方式加以检验。

（二）关联性规则

《电子数据规定》第2条规定：“……人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。”由于电子数据的存在依赖于载体，因而对电子数据的关联性审查必须同时满足内容和载体上的关联性，〔24〕参见刘品新：《电子证据法》，中国人民大学出版社2021年版，第31页。所以电子数据关联性缺失就包含两种情况：其一，电子数据载体的关联性缺失，电子数据的载体一般是有形电子设备，如电脑、手机、平板电脑、移动硬盘等，此类排除情形同普通物证的排除情形相似，不再赘述；其二，电子数据的内容关联性缺失，主要是指电子数据无法同被指控者之间实现身份同一性认定。一是就公开的数据而言，主要是身份的同一性认定问题。侦查人员在提取公开平台数据的同时，应将平台数据的发布者和被指控者进行身份同一性认定，确保数据关联性。二是就交互性的数据而言，如扣押了原始存储介质，必须对原始存储介质和设备持有者进行身份同一认定；对于网络在线提取或第三方公司服务器中的数据，需要进行操作者身份同一性的认定，防止出现“一号多用”，导致主体身份存疑，关联性缺失。三是就单一来源的数据而言，在关联性上主要是原始存储介质和使用者之间的关联性确定，应尽量在扣押现场对关联性进行确定并签署书面记录。

（三）专业性规则

专业性的缺位会直接影响电子数据的完整性、真实性和关联性，进而影响合法性。电子数据的专业性要求体现在电子数据的取证和电子数据的鉴定两个方面，在电子数据的取证专业性上，取证人员因专业性缺失，电子数据搜集、扣押封存的完整性受到影响，电子数据受到污染影响电子数据真伪等，对相关电子数据应予以强制排除；在电子数据鉴定的专业性上，对检材未进行符合技术性规范的保存、鉴定的操作过程未严格遵守方案选择的鉴定方法、未合理使用设备仪器、未配备合理的实验室环境等直接导致电子数据受到污染的，对相关电子数据和鉴定意见均应予以排除。一是就公开的电子数据而言，专业性问题主要体现在前期取证阶段。如网络在线提取，应关注是否由具备资质的侦查人员加以提取，提取所适用的技术手段是否足以保障电子数据的真实性等。二是就交互性的电子数据而言，专业性问题主要体现在取证和鉴定过程中，如扣押服务器等复杂机器设备的，在鉴定过程中应关注是否遵循相应的鉴定技术规范，鉴定人员是否符合相应的鉴定资质要求，鉴定所适用的数据解析软件、技术等是否能够确保电子数据的完整性等。三是就单一来源的数据而言，取证扣押的是原始存储介质，因此专业性问题主要体现在鉴定过程对电子数据的提取和分析上。