视点 | 论网络电子数据收集程序的完善

来源：《西南政法大学学报》2014年第5期3年第01期

作者：王志刚  王刘章

关键词：网络犯罪，电子数据收集，实践问题，规范思路

“

内容摘要：电子数据收集程序的规范对于保障网络犯罪案件处理的质量有着重要意义。有别于传统的刑事证据，电子数据具有收集主体多元化、收集范围广泛化、收集方法科技化的特点。从我国当前司法实践情况来看，电子数据在收集过程中存在一系列问题。当前可参照他国立法经验，通过明确第三方的技术协助义务和保密义务、规定全面收集原则、确立快速保护机制、建立提交技术鉴定的标准这四个方面对我国电子数据收集程序予以规范。

截至2013年12月，中国网民规模达6.18亿，互联网普及率为45.8％。其中，手机网民规模达5亿，继续保持稳定增长。而与之相对应的是，2013年网络诈骗、信息泄露等案件频繁发生，仅在下半年，遇到过网络安全问题的网民比例高达74.1％，影响总人数达到了4.38亿。可以说，网络犯罪一直处于变化发展之中，给刑事司法工作带来了严峻的挑战。

 

笔者认为，我国作为一个互联网大国，当前应当继续加大对各类网络犯罪的打击力度，从而营造一个安全、有序的网络环境。同时，我们也必须看到，对网络犯罪的打击面临特殊的证据收集要求，证据收集程序的规范，对于保证相关案件的处理质量具有重要意义。鉴于认定网络犯罪的主要证据种类—电子数据的特殊性，笔者在本文将对电子数据的收集程序略陈管窥之见。

一、

网络电子数据收集的特点

电子数据的收集作为一种新型取证措施，其与传统取证措施存在重合的部分，如传统证据收集中有搜查、扣押，电子取证措施中也有电子搜查、扣押，然而“电子”二字又使两者产生了截然区别，既有的搜查、扣押规则是针对传统实物证据设计的，取证对象指向有体物；电子搜查、扣押针对的是电子证据，取证对象指向无形的电子数据。既有的侦查取证规则中有些可以在电子数据收集中继续适用，有些可能需要进行调整才能适用，而有些则完全不能适用。概言之，电子数据的收集是一种新型、特殊的证据收集方式，主要表现在：

 

（一）收集主体的多元化

 

与传统刑事证据相比，我国当前对于电子数据的法定收集主体并没有特殊规定，仍是审判人员、检察人员、侦查人员以及辩护人、诉讼代理人、刑事自诉案件的自诉人与被告人。但是，由于电子数据所具有的系统依赖性、隐蔽性、高技术性、脆弱性等特点，在收集过程具有较高的技术要求，这就要求证据收集人员必须具备相当水平的计算机知识，且能在取证过程中遵循严格的技术标准和程序，这与传统的证据收集方法就存在较大的区别，而这对于一般的取证人员来说很难达到。因此往往需要借助于专业人员辅助完成。

 

域外立法对此规定不一，但许多国家都成立了专门的计算机取证公司（取证实验室、证据保全实验室），帮助执法机关进行电子数据的收集工作。例如美国的“电子数据发现公司”、“网络侦探”、“数字犯罪现场技术员”以及英国的第一响应人、镜像制作员等。但是，这些技术协助者必须遵守相关准则进行。例如英国规定，第一响应人在任何可能时候“处理数字证据时必须应用一切通用的取证和程序性准则，保护和收集电子数据所采取的措施不应当改变证据；所有关系到数字证据查封、访问、存储和转移的活动都必须被完整记录、保存以备复查”。

 

（二）收集范围的广泛化

 

依据存留状态不同，可将电子数据分为已存储电子数据和传输中电子数据。传统的搜查、扣押等证据收集措施只对已处于存储状态的电子数据（静态电子数据）收集有效，而处于传输状态的电子数据（动态电子数据）在网络系统中保留时间都很有限，需要及时删除、更新，以便通讯持续进行。针对网络动态电子数据的这种特性，当前许多国家都没有明确地规定对其收集的范围，因此只能依据相关规定进行推断。

 

加拿大《统一电子证据法》（CanadianUniformElectronicAct）第1条明确规定：“（a）电子数据由电子记录和电子记录系统构成；（b）电子记录指通过计算机系统或其他类似手段记录或存储的，通过为人或计算机系统或其他类似工具阅读或接受的数据；（c）电子记录系统包括记录或存储数据的计算机系统或其他类似工具及其与记录或存储有关的任何程序。”计算机证据国际组织（InternationalOrganizationonComputerEvidence）受八国集团（G8）委托，在2000年颁布的《国际电子证据处理原则》中规定，“完整地记录对证据的获取、访问、存储或传输的过程，并对这些记录妥善保存以便随时查阅。”

 

2001年11月8日欧洲委员会（CouncilofEurope）通过的《网络犯罪公约》（ConventiononCy-bercrime）则在第19条对计算机数据的收集范围进行了规定，“缔约国应授权其主管当局搜查或以类似方式访问位于其领土范围内的：（a）计算机系统以及存储于其中的计算机数据；（b）计算机存储载体。”在我国，《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》（以下简称《解释》）对电子数据的审查范围做出了规定，这实际上是从另一个侧面限定了电子数据的收集范围。

 

由上可知，电子数据的系统依赖性使得侦查机关在收集电子数据时，不仅需要获取电子数据，还需对与系统稳定性及软件的使用情况以及原始存储介质等相关的材料进行全面收集。此外，对网络动态电子数据存在的系统和技术设备的性能及可靠程度的认定，必要时还需要系统管理人员、证据制作人就相关情况出庭作证。

 

（三）收集方法的科技化

 

有美国学者撰文指出了电子证据收集与传统搜查的四点区别：

 

• “第一，搜查环境不同。传统搜查针对的是物理区域，侦查人员可以实际进人、观察，移动物品；电子搜查针对的是存储着0、1数字组合的计算机，侦查人员只能通过技术操作对数据进行处理才能将其转化为人所识别的文字、符号或图形。

 

• 第二，搜查地点不同。传统搜查通常发生在犯罪嫌疑人住所或身体，搜查的场所和财产与犯罪嫌疑人有合理的联系；电子搜查通常发生在搜查现场之外，在政府部门的电脑中对犯罪嫌疑人的硬盘拷贝副本进行搜查。

 

• 第三，存储机制不同。传统搜查通常只包含数量有限的财产；电子搜查面对的则是具有海量存储性的电脑，大多数用户都不知道信息存储的细节情况，也不知道如何控制。第四，技术和侵犯性不同。传统搜查属于物理性的，需要侦查人员组成队伍在短时间内完成；电子搜查既是虚拟性的也是物理性的，可能不需要太多人但需要更多时间。”

 

由上可以看出，电子数据收集的技术性特征明显，而网络动态电子数据的收集方法的科技含量则更高，比如：网络电子数据的隐蔽性使得犯罪嫌疑人可通过多种方式（如采用哈希函数加密方法）隐藏证据，在云计算环境下，犯罪嫌疑人还可通过隐藏IP、修改MAC地址、利用多层“跳板”、代理等技术手段试图隐匿行踪，给侦查取证制造麻烦，这就需要运用数据搜索技术和数据解密技术来收集证据。而网络电子数据的动态性，又使得需要在其经过的线路上设置各种专用的软硬件工具，这又需要运用动态截获技术来收集证据。

 

总之，网络电子数据的收集主体、收集内容及收集措施与传统证据的收集都存在较大区别，这也决定了对电子数据的取证要有严格的程序予以规范，现有的相关法规虽然在一定程度上解决了电子数据收集的无法可依的状况，但限于其规定的局限性及内容的零散性，无法有效规范电子数据的收集活动。

二、

当前司法实践中存在的几个主要问题

在实践中，如何规范收集和妥善运用电子数据已成为一个新的难题。通过对西部某市的三个基层公安机关和两个基层职务犯罪侦查部门进行走访调研，笔者发现：这些侦查机关很少运用电子数据，即使特殊案件所需不得已收集了电子数据，程序也不尽相同：有些是先根据IP地址控入获取口供，而后再以犯罪嫌疑人的私人电脑硬盘中存取的数据作为对口供的印证而用以案件；有些是将QQ聊天记录、论坛发帖内容、手机短信记录进行屏幕截图后予以打印转化为书证运用。这种现象的出现固然不能排除存在侦查人员面对新兴技术的畏难与回避因素，但笔者认为最重要的原因的还在于缺乏统一明确的电子数据收集程序。

 

具体来看，当前主要存在以下几个问题：

（一）对第三方技术协助的必要性重视不够

如上所述，电子收集的高科技特征使得侦查机关往往需要第三方提供的技术配合和协助。这类第三方又被称之为“潜在证人”，是指虽然对案件事实不能起到证明作用，但是可以对电子证据的真实性及其内容起到一定的证明作用的人。

 

在网络犯罪侦查过程中，有两种情况特别需要第三方的技术支持：

 

• 第一，电子数据被犯罪嫌疑人加密处理或技术性隐藏，这对侦查人员的技术水平要求很高，若侦查人员处置不慎会破坏数据的原始性和完整性；

 

• 第二，侦查人员到网络服务商（ISP）处调取数据时，由于对存储系统的陌生，往往必须借助第三方技术人员的协助才能顺利完成取证，这在“云存储”技术广泛运用于民用、商用领域的情况下更为突出。

 

而在实践中，由于侦查人员普遍对电子数据的收集不熟悉，加之法律规定的阙如，使得侦查人员往往因为担心泄密或违反法律规定而不敢求助于第三方，或望“洋”兴叹，或扣下涉案电脑硬盘，漫无目的地进行海量数据检索，侦查工作往往由此而陷入僵局。

（二）证据材料收集不完整

根据记载内容不同，可将电子数据分为内容数据和附属数据。内容数据“是指记录了一定社会活动内容的电子数据，如电子邮件正文、Word文档的内容等”；附属数据“是指记录了内容信息电子数据的形成、处理、存储、传输等信息的电子数据，例如电子邮件的发送、传输路径等”。《网络犯罪公约》将附属信息称为“往来数据”，该数据“揭示了通讯的来源、目的地、路径、次数、日期、规模、持续时间或基本服务的类型”。内容数据可以转化为各类型的电子证据，而附属数据同样具有证明价值，其可用于证实内容数据信息的客观性。因此，内容数据和附属数据都应是证据收集的重点。

 

但从实践情况看，侦查人员主要把注意力放在内容数据信息的收集上，而忽略了附属数据信息的收集。如在“杨某利用网络进行侮辱、诽谤案”中，对于某知名微博平台发布微博内容的收集，除了要收集、固定犯罪嫌疑人所发布微博中的具体内容外，还应当收集发布者的个人信息、IP地址等附属信息，以在证明体系上将微博发布者与某个特定的行为联系起来。而本案中侦查人员却忽视了对附属信息电子数据的收集，从而导致证据材料收集的不完整。从而使得证据链条存在缺失，无法证明内容数据信息的客观性与真实性，从而造成了证明体系的不完整。

（三）未能及时对电子数据进行收集、固定

网络电子数据具有高速流转性，从理论上说，其传输速度可达至光速且不受地域空间的限制，而如上所述，处于传输状态的电子数据（动态电子数据）在网络系统中保留时间非常有限。因此，对于网络电子数据必须迅速进行保护和提取，以避免被犯罪嫌疑人等销毁，而实践中却也正存在由于涉案数据被删除而无法收集的情况。

 

以C市某区公安分局侦办的“余某等网络诈骗案”为例，2011至2012年期间，犯罪嫌疑人余某伙同他人利用互联网络以电子邮件的方式发送虚假中奖广告进行“钓鱼”，涉嫌犯罪。经查询涉案电脑，相关电子邮件已被删除且无法通过技术手段恢复。后经与ISP联系得知，依据互联网相关管理规定，多数邮件因超过时间已经被自动删除，也不具有恢复的可能性，这使得本案定案的关键证据缺失，案件侦查由此陷入被动。

 

（四）缺乏对关键数据的技术鉴定

 

我国有学者指出，电子取证程序可概括为四个环节：

 

• 一是电子取证的准备阶段；

• 二是电子证据的收集保全阶段；

• 三是电子证据的检验分析阶段；

• 四是电子证据的提交阶段。

 

其中，电子证据的检验分析又是电子取证的深入阶段，它充分体现了电子取证不同于传统取证的特点，可以说，在电子数据的收集中，提取电子数据只是第一步，核心环节还在于后续对电子数据的检验和分析。从实践情况来看，电子证据的提取、审查和判定都难以单独由普通侦查人员完成，而是必须通过侦查技术人员或者专门机构进行检验、分析、鉴定后做出司法鉴定意见书，用以指控和证明犯罪。

 

然而在实践中，侦查人员往往“一取了之”，一旦提取到含有犯罪事实的电子数据即宣告取证结束，旋即进入了证据提交阶段，这对后续刑事诉讼程序的顺利进行埋下了隐患。在“唐某等涉嫌盗窃一案”的侦查中，涉案的李某、陶某都供称是利用唐某所提供的VPN登录方式运程登录某公司的服务器实施盗窃行为，但侦查机关却未对这种VPN登录方式及时进行鉴定，从而在后面造成证据链条断裂，案件在审查起诉环节因为真实性难以认定而不得已做了不起诉处理，唐某等人抽身而退。

 

笔者认为，造成上述系列问题，主观上可归因为侦查人员计算机水平不能适应高科技发展的要求而造成的侦查能力不足。而在客观上，则是因为我国当前对电子数据的审查、认定规则不够完善，哪些东西该收集、哪些不用收集，侦查人员难以做到“心中有数，手上不慌”。

三、

网络电子数据收集程序的规范

从我国司法情况来看，当前电子数据的收集面临着技术提升和法律规制的双重任务。从技术方面来看，电子数据的收集必须朝着取证技术综合化、取证范围扩大化、取证工具扩大化以及取证过程标准化的方向努力，以更好的技术能力回应司法实践的需求。但另一方面，我们也必须看到，电子数据的收集是我国刑事司法取证的组成部分，必须受到法律的规范，特别是随着证据裁判原则在我国新《刑事诉讼法》中的初步确立，这种趋势更加明显。笔者认为，当前需要做好以下几个方面的工作：

（一）明确第三方的技术协助义务和保密义务

如上文所述，电子证据的收集不同于传统搜查，很多时候都离不开第三方的支持和参与。因此，我国有必要在立法层面明确规定第三方的技术协助义务，帮助侦查人员及时有效的收集电子数据，从而使侦查人员敢于理直气壮地请求技术人员的帮助，避免“讳疾忌医”的情况出现。

 

在明确第三方的技术协助义务后，另一个需要解决的问题是：第三方如何开展协助？这个问题在美国也产生过广泛争议，但随着“合众国诉米勒案”和类似判例的出现，美国司法实践中形成了所谓的“第三方搜查原则”，即：假如犯罪嫌疑人的电子信息为第三方合理地持有或获知，则第三方在协助警察开展计算机搜查时无须以申领令状为前提。这种立法趋势值得我国借鉴，笔者认为，只要侦查机关认为有必要取得第三方的技术支持进行电子证据收集，在取得书面文书告知后，第三方就应当予以配合取证。同时，也必须明确第三方的保密义务以及泄密的法律责任，以保证侦查过程的保密性.

（二）规定全面收集原则

电子数据的全面收集原则，是指在网络犯罪取证时，不仅要收集内容数据，还要注重收集包括附属数据在内的全案数据资料，从而使电子数据本身形成一个完整的证据链条。如果某一证据是由某种电脑程序或系统运作而得，对该证据的证真和识别，则需要用描述该程序或系统的证言来进行。实践中，内容数据信息通常易遭到修改且不易发现，如果没有相应的附属数据予以佐证，证据链条将存在重大缺失，电子数据的真实性将受到质疑。

因此，有必要确立全面收集的原则，就现阶段而言，应当依据《解释》第93条中对电子数据的审查要求来明确电子收据的收集范围，确保相关电子数据能够全面、完整收集。

（三）确立快速保护机制

解决电子数据收集的时效性问题，除了强化侦查人员及时收集电子数据的紧迫感之外，还应当参照国外立法实践，在我国建立起电子数据快速保护机制。电子数据快速保护是指快速保存已经以静态形式存在的计算机数据，防止由于外部原因而改变或灭失，从而维持现存计算机数据的安全。《网络犯罪公约》第16、17条创立了“现存计算机数据的快速保护制度”，并成为电子取证的新的方式。电子数据快速保护的作用体现在：

• 第一，有利于迅速保护容易被伪造、更改的犯罪证据。

• 第二，有利于发现犯罪踪迹。

• 第三，有利于犯罪证据的获取。

• 第四，有利于国际司法协助的有效进行。

 

我国当前对网络服务提供者保留电子数据的义务有所规定，但上述规定存在法律效力弱、执行效率不高等缺陷，不能有效保障侦查机关电子数据收集活动的顺利进行。而国外的司法实践证明，快速保护电子数据机制在网络犯罪的侦查中具有关键作用，这点值得我国借鉴。

（四）设计提交技术鉴定的标准

笔者认为，立法层面应确立电子数据收集过程中提交技术鉴定的标准，将需要由具备专门知识的人加以分析判断、形成佐证材料的情形尽可能详尽规定，从而给侦查取证人员一个明确的指引。这样一来，在涉及病毒、木马类电子数据时，侦查人员就必须对其提交进行技术鉴定。同时，应对整个鉴定过程进行同步录音录像，保障整个过程都有据可查。

 

除了上述方面，最重要的还是应当提升侦查人员的计算机侦查能力，加强其对电子数据的认识，这是提升网络犯罪侦查能力的关键所在。正如有学者所指出：“开展电子取证离不开侦查知识、证据知识和技术知识，其中侦查知识与证据知识比技术知识更为重要。就这一点而言，普通的侦查人员从事电子取证工作不仅不处于弱势，而且具有先天的优势。因此，侦查人员更应该学习和掌握电子取证知识，而不应当坐等鉴定人员、技侦人员或外聘专家的帮助。”

• 注：为便于排版，省去文章注释