電子證據(jù)的審查認定

文◎金　果*

電子證據(jù)的審查認定

文◎金果*

［基本案情］被告人周某在互聯(lián)網(wǎng)上經(jīng)營服務(wù)器出租業(yè)務(wù)過程中與王某認識并成為好友，經(jīng)過多次聊天交流，周某發(fā)現(xiàn)王某在計算機網(wǎng)絡(luò)方面的知識比自己精通。2009年5月下旬，周某家購買自備車后，決定參加7月的車牌競拍。周某為確保競拍成功，遂起意對競拍服務(wù)器發(fā)起DDOS攻擊。由于普通的木馬軟件會被大多數(shù)網(wǎng)站的殺毒防護軟件過濾，周某個人不具備散布病毒軟件的能力，于是7月初周某聯(lián)系王某，讓王某幫其在網(wǎng)上發(fā)布能夠控制他人計算機的木馬病毒軟件，同時許諾給王某免費使用兩臺服務(wù)器作為幫忙抓肉雞的報酬。王某在得到周某通過MSN傳給其的木馬惡意軟件客戶端后，利用自己的計算機知識，將該客戶端偽裝成熱門電影BT下載種子文件后上傳至網(wǎng)上進行傳播，從而使周某獲得5000余臺上網(wǎng)用戶計算機的控制權(quán)。其后，周某在參與車牌競拍過程中，利用上述肉雞發(fā)動分布式拒絕服務(wù)攻擊，致使私車額度網(wǎng)上競拍服務(wù)器無法正常運行，使近萬人參與的拍牌活動被迫取消，在社會大眾中形成了種種猜測、謠言，而且該事件經(jīng)電視臺、報刊、網(wǎng)絡(luò)傳播，極大地損害了政府的公信力，造成惡劣社會影響。

一、本案電子證據(jù)的審查內(nèi)容

在本案中，司法機關(guān)提出的證據(jù)主要有：（1）被告的有罪供述；（2）證人（“肉雞”電腦持有人、拍牌投標人、拍賣公司人員、被告人親屬）證言；（3）某信息技術(shù)有限公司出具的網(wǎng)拍服務(wù)器被攻擊的司法鑒定；（4）公安局信安處出具的遠程勘驗工作記錄；（5）公安局出具的對涉案的部分“肉雞”檢查情況和硬盤復(fù)制經(jīng)過的現(xiàn)場勘驗筆錄；（6）拍賣公司提供的監(jiān)控錄像截圖；（7）電信公司提供的IP地址查詢結(jié)果；（8）調(diào)取有關(guān)拍賣事實的證據(jù)和扣押計算機以及相關(guān)設(shè)備清單；（9）抓獲經(jīng)過、身份證明等其他證據(jù)。這之中（3）（4）（5）（6）（7）項均為電子證據(jù)。

審查本案的電子證據(jù)內(nèi)容，主要是從電子證據(jù)的可采性角度出發(fā)，圍繞證據(jù)的關(guān)聯(lián)性、合法性、真實性三個方面加以考察。

關(guān)聯(lián)性要求指證據(jù)必須與需要證明的案件事實或其他爭議事實具有一定的聯(lián)系。在實踐中，要想判斷電子數(shù)據(jù)與案件是否有關(guān)聯(lián)，可從以下方面考察：所提出的電子數(shù)據(jù)證明事實的是什么、該事實是否是案件中的實質(zhì)性問題、所提出的電子數(shù)據(jù)對解決案件中的爭議是問題有無實質(zhì)性的意義。

合法性則要求證據(jù)的主體、形式及收集程序或提取方法必須符合法律的有關(guān)規(guī)定。筆者認為就應(yīng)從兩個方面來審查。一是審查收集電子證據(jù)的主體是否合法，即收集電子證據(jù)技術(shù)人員是否具備資質(zhì)；二是審查電子證據(jù)的收集程序是否合法。通常情況下通過竊取方式獲得的電子證據(jù)，不予認定；通過非法搜查、扣押等方式獲得的電子證據(jù)，情節(jié)嚴重的一般不予認定。［1］

證據(jù)的真實性是證據(jù)能夠成為定案依據(jù)的本質(zhì)要求，它要求證據(jù)從內(nèi)容到形式都是真實的，其內(nèi)容要反映客觀事實，其形式能被人們所認識。電子證據(jù)真實性可以依照以下兩種方法考察：（1）考察電子證據(jù)的運行各個環(huán)節(jié)的真實可靠。從電子證據(jù)的生成、電子證據(jù)的存儲、電子證據(jù)的傳送、電子證據(jù)的收集、電子證據(jù)在上述環(huán)節(jié)是否被刪改過多方面加以考察。［2］（2）通過外界相關(guān)因素的安全性可靠性的認定來推定電子證據(jù)的真實性。從世界范圍內(nèi)電子證據(jù)法的規(guī)定來看，間接認定電子證據(jù)真實性的方法常見的有四種情況：（1）通過認定與某一電子證據(jù)有關(guān)聯(lián)者所作的證明，來推定該電子證據(jù)具有真實性；A、訴訟當事人雙方均認可該電子證據(jù)；B、由適格證人通過具結(jié)方式證明該電子證據(jù)的真實性；C、由適格專家鑒定該電子證據(jù)未遭修改；（2）通過認定某一電子證據(jù)所依賴的電子系統(tǒng)具有可靠性，而推定該電子證據(jù)具有真實性；（3）通過認定某一電子證據(jù)的安全保障程序運轉(zhuǎn)正常，來推定該電子證據(jù)具有真實性；（4）通過某一電子證據(jù)是在正常的業(yè)務(wù)活動中生成并保管的，來推定該電子證據(jù)具有真實性等。［3］

二、電子證據(jù)的證明力比較及認定規(guī)則

（一）計算機犯罪中電子證據(jù)證明力比較

證明力是指證據(jù)在證明待定事實上體現(xiàn)其價值大小與強弱的狀態(tài)或程度。證據(jù)的證明力一般是由根據(jù)日常經(jīng)驗自由判斷，也就是按照認定主體自由心證決定。但是這給電子證據(jù)證明力的判斷帶來了難題。一方面，在現(xiàn)代證據(jù)制度下，電子證據(jù)的證明力大小沒有法定的規(guī)則可以遵循，只能根據(jù)自己的經(jīng)驗進行判斷；另一方面，很多司法人員并不是十分熟悉電子技術(shù)，這給刑事證據(jù)判斷帶來難題。在這種情況下，筆者覺得有必要對電子證據(jù)的效力階位做一認定。北京大學(xué)張玉鑲、李文偉在《刑事訴訟中圖像電子證據(jù)的舉證、質(zhì)證和認證》一文中提出的兩方面比較方法筆者認為很有借鑒意義。

1.有效性比較。所謂的效能比較是指應(yīng)當比較電子證據(jù)和待證事實之間的關(guān)聯(lián)程度，一般具有較高證明效能的電子證據(jù)具有較強的證明力。我們可以從電子證據(jù)的來源、分辨率、清晰度等方面來考察。一般來說，原生型電子證據(jù)的證明力要優(yōu)于保存型電子證據(jù)；高解析率的電子證據(jù)的證明力要優(yōu)于低分辨率的電子證據(jù)；清晰度高的電子證據(jù)的證明力要優(yōu)于清晰度低電子證據(jù)。［4］高音質(zhì)的電子證據(jù)證明力要優(yōu)于音質(zhì)低的電子證據(jù)。

2.信度比較。信度比較主要是出于對電子證據(jù)的功能實現(xiàn)從而對電子證據(jù)的品質(zhì)進行比較。對于電子證據(jù)而言，主要表現(xiàn)在未經(jīng)壓縮數(shù)據(jù)處理的電子證據(jù)較之于壓縮過的電子證據(jù)、有可靠加密措施的電子證據(jù)較之于沒有加密措施的電子證據(jù)、未被修改過的圖像電子證據(jù)較之于修改過的圖像電子證據(jù)具有證明的優(yōu)勢。［5］

（二）計算機犯罪電子證據(jù)認定規(guī)則

電子證據(jù)的可靠性是相對的，在具體的認證規(guī)則的指引下，對電子證據(jù)的可靠性進行判斷，電子證據(jù)完全可以同傳統(tǒng)的證據(jù)形式一樣成為“強勢證據(jù)”。由于保障電子證據(jù)證明力的技術(shù)手段和規(guī)范也在不斷變換，所以我們對電子證據(jù)證明力的認定應(yīng)該遵循下列規(guī)則：

1.經(jīng)公證機關(guān)公證的電子證據(jù)具有較高的證明力。基于公證機關(guān)的特殊性質(zhì)和中立地位，我國法律對公證取得的證據(jù)承認其預(yù)決的真實性，除有相反證據(jù)外不得推翻。公正的預(yù)決效力當然適用于電子證據(jù)。電子證據(jù)的公證除了常規(guī)的公證方法外，還有網(wǎng)上的“在線公證”。即模擬傳統(tǒng)的公證工作，對計算機系統(tǒng)的所有活動實施動態(tài)的監(jiān)視和記錄。如計算機受到攻擊等，均留下痕跡，形成可供直接收集、提取的有關(guān)數(shù)據(jù)電文證據(jù)。計算機公證技術(shù)的運用將形成了計算機公證系統(tǒng)，以硬件和軟件兩種方式實現(xiàn)。該系統(tǒng)具有監(jiān)視功能和檢測功能。其中，監(jiān)視功能可監(jiān)視計算機的所有操作，為入侵計算機系統(tǒng)的犯罪偵破及犯罪審查提供線索和證據(jù)。檢測功能則可檢測數(shù)據(jù)電文的真實性、可靠性和完整性，判斷數(shù)據(jù)電文是否己被篡改，有關(guān)程序是否處于正常的運行狀態(tài)中。為數(shù)據(jù)電文的認證提供可靠的依據(jù)。

2.由可靠系統(tǒng)產(chǎn)生的電子證據(jù)具有較高的證明力。所謂可靠系統(tǒng)認定，其一是官方認定的，即由國家頒布法律法規(guī)對某種程序運行所需要的資格進行必要認證。比如有些國家，如新加坡，在電子商務(wù)系統(tǒng)的認證上采取“核實程序（ApprovedProcess）”，通過一個專門機構(gòu)按照一定的標準和步驟對公司的電子商務(wù)系統(tǒng)進行審核，如果電子證據(jù)是由通過審核的電子商務(wù)系統(tǒng)產(chǎn)生的，那么其在訴訟中就有相當?shù)淖C明力。我國電子商務(wù)發(fā)展較晚，在立法上也沒有對使用何種系統(tǒng)做出規(guī)定，在目前官方認定非常少的情況下，對可靠系統(tǒng)的認定主要是通過側(cè)面認定，即通過計算機系統(tǒng)的正常運行來推定。在計算機正常運行情況下產(chǎn)生的電子證據(jù)可以推定未被非法修改，其內(nèi)容的真實性可得以保障，因而證明力也較強。加拿大的《統(tǒng)一電子證據(jù)法》對可靠系統(tǒng)的側(cè)面認定也有類似規(guī)定，即該法第5條第1款規(guī)定：“在任何法律程序中，如果沒有相反證據(jù)，則可以通過那些支持如下裁定的證據(jù)，推定記錄或存儲電子證據(jù)的那一電子系統(tǒng)具有完整性，即：裁定該計算機系統(tǒng)或其他類似設(shè)備在所有關(guān)鍵時刻均處于正常運作狀態(tài)，或者，即便不處于正常運作狀態(tài)，但其不正常運作的事實并不影響電子記錄的完整性，并且沒有其他合理理由對該電子記錄系統(tǒng)的完整性產(chǎn)生懷疑”。

3.經(jīng)過中立機構(gòu)認證或者使用認證機構(gòu)的證據(jù)具有較高的證明力。證書進行數(shù)據(jù)簽名的電子證據(jù)具有較高的證明力電子證據(jù)生成、存儲、傳送等過程經(jīng)過了一個中立的技術(shù)機構(gòu)的認可的證據(jù)具有較高的證明力。最為典型的是電子商務(wù)中認證機構(gòu)對電子簽名的確認。電子認證與電子簽名都是電子商務(wù)的保障機制，但兩者的手段、功能、目的及運用范圍都有一些差異。電子簽名是一種技術(shù)手段上的、工具性的保障，主要用于數(shù)據(jù)通信本身的安全，使之不被否認或篡改，且主要適用于封閉型和開放性的交易網(wǎng)絡(luò)。而電子認證則主要用于交易關(guān)系的信用安全方面，保證交易主體的真實與可行，是一種組織制度上的保證，適用于開放性的交易網(wǎng)絡(luò)。

電子數(shù)據(jù)認證機構(gòu)一般由專業(yè)的、獨立的不以盈利為目的的第三方擔任。聯(lián)合國貿(mào)法會的《統(tǒng)一電子簽名規(guī)則》和美國的《統(tǒng)一電子交易法》都對電子認證機構(gòu)的職責(zé)和權(quán)利義務(wù)做了規(guī)定。它的主要功能包括簽發(fā)和管理電子商務(wù)證書，產(chǎn)生、管理使用者密鑰、CA密鑰等。很顯然，認證機構(gòu)的重要作用是保證電子交易的安全，在電子交易中所起到的作用與見證人相似，在進行電子證據(jù)收集中，認證機構(gòu)所提供的原始記錄應(yīng)當是真實和可靠的。如若不然，認證機構(gòu)則對此承擔相應(yīng)的法律責(zé)任。

4.由中立第三方保存的電子證據(jù)具有較高的證明力。第三方保管的電子證據(jù)，由于其中立性和獨立性，它所提供的信息一般更為客觀、公正，真實可靠性較高。因此，諸如網(wǎng)絡(luò)服務(wù)中心、網(wǎng)絡(luò)運營商之類的貿(mào)易雙方之外的第三方（或稱“中間人”）對電子商務(wù)糾紛中的電子證據(jù)的證明力起到至關(guān)重要的作用：在電子商務(wù)活動中，網(wǎng)絡(luò)服務(wù)中心，網(wǎng)絡(luò)運營商通常履行著中間功能或者提供一系列的“增值”服務(wù)，即負責(zé)數(shù)據(jù)電訊的格式化、翻譯、記錄認證、證明、存儲及安全等。正常情況下網(wǎng)絡(luò)運營商將電子數(shù)據(jù)儲存以保護貿(mào)易雙方的商業(yè)秘密；在案件發(fā)生或引起糾紛時，公安或司法機關(guān)就能方便的從這些網(wǎng)絡(luò)服務(wù)中心收集有關(guān)的電子證據(jù)，以審查當事人提供的電子證據(jù)的可靠程度。為達到上述收集、存儲電子證據(jù)目的，網(wǎng)絡(luò)服務(wù)中心等的法律地位、權(quán)利義務(wù)和法律責(zé)任都應(yīng)予以規(guī)定，才能保障其提供的電子證據(jù)公正、可靠、權(quán)威。從各國的法律規(guī)定來看，提供證據(jù)的運營商應(yīng)滿足以下條件：（1）網(wǎng)絡(luò)服務(wù)中心對電子數(shù)據(jù)的儲存應(yīng)經(jīng)過貿(mào)易雙方一致同意認可。（2）網(wǎng)絡(luò)服務(wù)中心必須具有獨立而又中立的地位。（3）網(wǎng)絡(luò)服務(wù)中心應(yīng)嚴格遵照其與當事人約定的保密及安全存儲等義務(wù)，不得對電子證據(jù)進行任何未經(jīng)授權(quán)的改動。（4）網(wǎng)絡(luò)服務(wù)商對數(shù)據(jù)的存儲應(yīng)該達到一定年限，以預(yù)防一定時間之內(nèi)產(chǎn)生的糾紛。如新加坡規(guī)定該存儲年限為11年。《廣東省對外貿(mào)易實施電子數(shù)據(jù)交換暫行規(guī)定》就規(guī)定，EDI服務(wù)中心應(yīng)有收到報文和被提取報文的回應(yīng)和記錄，凡是法律、法規(guī)規(guī)定文件、資料必須長期保存的，其電子報文要給予存貯，存貯期最短不得少于5年。

5.由專家出具確認意見或者鑒定結(jié)論的電子證據(jù)具有較高的證明力。為了鑒定電子證據(jù)尤其是從互聯(lián)網(wǎng)上取得的電子證據(jù)是否被篡改過，常常需要借助于專家的力量。有關(guān)專家憑借自身的專業(yè)計算機技能對某一爭議的事實做出說明。但是專家的意見一般來說歸于“證人證言”，可以采納。但是電子證據(jù)的鑒定結(jié)論則是由電子證據(jù)對存在真?zhèn)螁栴}的計算機記錄進行鑒定，所出具的鑒定書中反映的鑒定結(jié)論具有較高的證明力。

6.在正常業(yè)務(wù)活動中制作的電子證據(jù)的證明力，大于為訴訟目的而制作的電子證據(jù)的證明力。第一種在正常業(yè)務(wù)活動中制作的電子證據(jù)，系英美法系所說的業(yè)務(wù)記錄，如銀行在營業(yè)廳拍攝的監(jiān)控錄像、電子商務(wù)企業(yè)對日常運營制作的電子賬簿、電子發(fā)票等。業(yè)務(wù)記錄往往擁有可靠的信息來源、計算機存儲設(shè)備和完善的規(guī)章制度保障，它的形成通常經(jīng)過系統(tǒng)的多方核對，且為人們在實際業(yè)務(wù)活動中所信賴，因而一般可推定其屬實；第二種是為訴訟目的而制作的電子證據(jù)，如代理律師為贏得訴訟而秘密錄制的與他人直接的電話交談、為收集有利證據(jù)而聘請電子證據(jù)發(fā)現(xiàn)公司搜索的E-mail證據(jù)、為完成舉證責(zé)任而事后整理的電子證據(jù)等。這類證據(jù)難以杜絕制造者為勝訴而進行人為選擇甚至造假的可能性，故而其可靠性較差。

本案中證據(jù)（3）某信息技術(shù)有限公司出具的網(wǎng)拍服務(wù)器被攻擊的司法鑒定，是由中立第三方保存的電子證據(jù)，其來源可信度較高，并且主要目的是證明行為人行為危害性，是和案件實質(zhì)問題直接相關(guān)，因此其真實性、合法性、關(guān)聯(lián)性都沒有問題；證據(jù)（6）拍賣公司提供的監(jiān)控錄像截圖是在正常業(yè)務(wù)活動中制作的電子證據(jù)，該類證據(jù)的形成通常經(jīng)過系統(tǒng)的多次驗證，且為人們在實際業(yè)務(wù)活動中所信賴，因而也具有比較高的證明力，可以采信；證據(jù)（7）電信公司提供的IP地址查詢結(jié)果其來源是可靠系統(tǒng)產(chǎn)生的電子證據(jù)，它所提供的信息客觀、公正，真實一般可以得到認可。而對證據(jù)（4）公安局信安處出具的遠程勘驗工作記錄和證據(jù) （5）公安局出具的對涉案的部分“肉雞”檢查情況和硬盤復(fù)制經(jīng)過的現(xiàn)場勘驗筆錄。這兩個證據(jù)都是公安機關(guān)從信息系統(tǒng)中提取的，其依賴的電子系統(tǒng)具有可靠性，且該電子證據(jù)的安全保障程序運轉(zhuǎn)正常，一般可以推定該電子證據(jù)具有真實性。因此，本案的證據(jù)具有關(guān)聯(lián)性、合法性、真實性，并且有較強的證明力。

三、本案電子證據(jù)的審查流程

本案中，我們需要如下完整的證據(jù)鏈來證明行為人的行為是犯罪行為：以“某信息技術(shù)有限公司出具的網(wǎng)拍服務(wù)器被攻擊的司法鑒定+拍賣公司提供拍賣流拍事實+參拍人登陸網(wǎng)站參拍遭受拒絕服務(wù)攻擊的證人證言”證明行為的危害后果；以“上網(wǎng)設(shè)備特征+傳輸設(shè)備特征（公安局出具的遠程勘驗筆錄）+IP地址”確定被告人實施行為的“空間”；以“電腦用戶人登陸系統(tǒng)的時間+被告人在場證明”確定被告人實施行為的 “時間”，而后兩者確定了被告實施犯罪行為的可能性和唯一性。以“公安機關(guān)勘驗筆錄顯示的計算機日志+上網(wǎng)時間”排除其它人“盜用”IP地址的可能性。［6］這樣通過大量證據(jù)的互相印證，排除了一切可能的疑點。也就是說與案件相關(guān)的 “行為危害后果”、“行為實施空間”、“行為實施時間”的證據(jù)是審查的重點。

根據(jù)對此案件的分析，我們可以進行以下歸納下述證據(jù)審查流程：

1.在審查計算機犯罪證據(jù)時首先應(yīng)該看串聯(lián)在一起的證據(jù)鏈各個證據(jù)證明方向是否一致，能否排除其他可能，從而查看本案證據(jù)是否充分。我們可以有這樣的思維路線：首先應(yīng)該考察收集的證據(jù)與待證事實之間的關(guān)聯(lián)性、合法性、真實性問題，進而認定哪些證據(jù)可以被采性。之后根據(jù)能夠證明損害事實發(fā)生的證據(jù)證明犯罪行為以及產(chǎn)生的危害后果，通過空間和時間證據(jù)確定行為系犯罪人實施，并排除一切合理懷疑，從而還原出較為精準的案件事實。見下圖。

計算機犯罪證據(jù)審查的一般思維過程

2.電子證據(jù)必須和其他證據(jù)相互印證考察。由于一個案件的多種或多個證據(jù)之間存在著橫向與縱向的復(fù)雜關(guān)系，所以必須把電子證據(jù)納入到案件的整個證明體系中去，即把電子證據(jù)與案件中的其它證據(jù)結(jié)合起來考察，分析電子證據(jù)與其它證據(jù)之間、多個電子證據(jù)之間有無矛盾，各自證明的結(jié)論是否一致，是否形成完整的證據(jù)鏈條，與案件發(fā)生的時間、地點等案件要素邏輯上是否統(tǒng)一等。［7］例如我們都熟知的IP地址的證據(jù)效力問題。單純的IP地址是不能來證明其對應(yīng)的電腦的，因為隱藏、偽造和冒用IP地址的情況時有發(fā)生，同時IP地址只可以確認行為所在地，但是不能鎖定行為人，比如網(wǎng)吧可能是多個人使用同一IP地址，但是如果我們把IP地址和其他證據(jù)相互印證，上網(wǎng)賬號或者是計算機日志等等，就會有一個比較完整的比較有證明力的證據(jù)鏈。［8］

注釋：

［1］在我國尚未制定電子證據(jù)收集程序的規(guī)范之前，偵查人員搜查、扣押電子證據(jù)主要應(yīng)遵守《刑事訴訟法》關(guān)于搜查、扣押的一般規(guī)定以及《公安機關(guān)辦理刑事案件程序規(guī)定》第215、216、217條專門規(guī)定扣押電子郵件、電報的規(guī)定，即應(yīng)經(jīng)縣級以上公安機關(guān)負責(zé)人批準、簽發(fā)扣押通知書并派專人看管等。如果違反上述規(guī)定的，應(yīng)當立即糾正；情節(jié)嚴重的，不予認定。

［2］參見李學(xué)軍：《電子數(shù)據(jù)與證據(jù)》，載何家弘主編 《證據(jù)學(xué)論壇》第二卷，檢察出版社2001年版，第462-463頁。

［3］參見何家弘主編：《電子證據(jù)法研究》，法律出版社2002年版，第149頁。

［4］參見張玉鑲、李文偉：《刑事訴訟中圖像電子證據(jù)的舉證、質(zhì)證和認證》，載《山東警察學(xué)院學(xué)報》2008年第2期。

［5］同［4］。

［6］參見寧勇：《電子證據(jù)的基本問題與取證初探》，載《中國知網(wǎng)》，訪問日期：2015年7月19日。

［7］參見冷玉：《刑事訴訟中電子證據(jù)研究》，載《中國知網(wǎng)》，訪問日期：2015年7月21日。

［8］同［7］。

*中國人民大學(xué)刑法學(xué)博士研究生［100872］