依法搜集提取和審查判斷電子數(shù)據(jù)

依法搜集提取和審查判斷電子數(shù)據(jù)

插圖/沈欣

隨著現(xiàn)代科學技術的迅猛發(fā)展，計算機、手機等電子產品已成為人民群眾生活中不可缺少的一部分。從電子產品中提取的電子數(shù)據(jù)能提供其他有形資料無法提供的信息，所以2012年修改的《刑事訴訟法》將電子數(shù)據(jù)列為法定證據(jù)之一。近年來，電子數(shù)據(jù)對刑事案件的偵查起著越來越重要的作用?！缎淌略V訟法》和公安部對電子數(shù)據(jù)的規(guī)定都比較籠統(tǒng)，而電子數(shù)據(jù)具有易變性、可復制性、海量信息性，與傳統(tǒng)的物證、書證、人證在性質上有明顯不同，所以實踐中搜集、提取證據(jù)還不夠規(guī)范，如何根據(jù)電子數(shù)據(jù)的性質進行審查、判斷以確定其證據(jù)能力和證明力也不夠明確。為規(guī)范電子數(shù)據(jù)的搜集提取和審查判斷，提高刑事案件辦理質量，2016年9月9日，最高人民法院、最高人民檢察院、公安部聯(lián)合印發(fā)了《關于辦理刑事案件搜集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（法發(fā)【2016】22號，以下簡稱《規(guī)定》）。

@清風徐來：什么是電子數(shù)據(jù)？電子數(shù)據(jù)主要包括哪些？

劉警官：根據(jù)《規(guī)定》第一條，電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實的數(shù)據(jù)。電子數(shù)據(jù)包括但不限于下列信息、電子文件：（1）網頁、博客、微博客、朋友圈、貼吧、網盤等網絡平臺發(fā)布的信息；（2）手機短信、電子郵件、即時通信、通訊群組等網絡應用服務的通信信息；（3）用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息；（4）文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。以數(shù)字化形式記載的證人證言、被害人陳述以及犯罪嫌疑人供述和辯解等證據(jù)，不屬于電子數(shù)據(jù)。確有必要的，對相關證據(jù)的搜集、提取、移送、審查，可參照適用《規(guī)定》。

@凱蒂：公安機關應如何依法搜集、提取電子數(shù)據(jù)？

劉警官：根據(jù)《規(guī)定》第二至第十七條，公安機關應遵守法定程序，遵循有關技術標準，全面、客觀、及時地搜集、提取電子數(shù)據(jù)。公安機關有權依法向有關單位和個人搜集、調取電子數(shù)據(jù)。有關單位和個人應如實提供。電子數(shù)據(jù)涉及國家秘密、商業(yè)秘密、個人隱私的，應保密。對作為證據(jù)使用的電子數(shù)據(jù)，應采取以下一種或幾種方法保護電子數(shù)據(jù)的完整性：（1）扣押、封存電子數(shù)據(jù)原始存儲介質；（2）計算電子數(shù)據(jù)完整性校驗值；（3）制作、封存電子數(shù)據(jù)備份；（4）凍結電子數(shù)據(jù)；（5）對搜集、提取電子數(shù)據(jù)的相關活動進行錄像；（6）其他保護電子數(shù)據(jù)完整性的方法。初查過程中搜集、提取的電子數(shù)據(jù)，以及通過網絡在線提取的電子數(shù)據(jù)，可作為證據(jù)使用。

搜集、提取電子數(shù)據(jù)，應由2名以上偵查人員進行。取證方法應符合相關技術標準。搜集、提取電子數(shù)據(jù)，能夠扣押電子數(shù)據(jù)原始存儲介質的，應扣押、封存原始存儲介質，并制作筆錄，記錄原始存儲介質的封存狀態(tài)。封存電子數(shù)據(jù)原始存儲介質，應保證在不解除封存狀態(tài)的情況下，無法增加、刪除、修改電子數(shù)據(jù)。封存前后應拍攝被封存原始存儲介質的照片，清晰反映封口或張貼封條處的狀況。封存手機等具有無線通信功能的存儲介質，應采取信號屏蔽、信號阻斷或切斷電源等措施。具有下列情形之一，無法扣押原始存儲介質的，可提取電子數(shù)據(jù)，但應在筆錄中注明不能扣押原始存儲介質的原因、原始存儲介質的存放地點或電子數(shù)據(jù)的來源等情況，并計算電子數(shù)據(jù)的完整性校驗值：（1）原始存儲介質不便封存的；（2）提取計算機內存數(shù)據(jù)、網絡傳輸數(shù)據(jù)等不是存儲在存儲介質上的電子數(shù)據(jù)的；（3）原始存儲介質位于境外的；（4）其他無法扣押原始存儲介質的情形。對于原始存儲介質位于境外或遠程計算機信息系統(tǒng)上的電子數(shù)據(jù)，可通過網絡在線提取。為進一步查明有關情況，必要時，可對遠程計算機信息系統(tǒng)進行網絡遠程勘驗。進行網絡遠程勘驗，需要采取技術偵查措施的，應依法經過嚴格的批準手續(xù)。

由于客觀原因無法或不宜依據(jù)上述規(guī)定搜集、提取電子數(shù)據(jù)的，可采取打印、拍照或錄像等方式固定相關證據(jù)，并在筆錄中說明原因。具有下列情形之一的，經縣級以上公安機關負責人批準，可對電子數(shù)據(jù)進行凍結：（1）數(shù)據(jù)量大，無法或不便提取的；（2）提取時間長，可能造成電子數(shù)據(jù)被篡改或滅失的；（3）通過網絡應用可更為直觀地展示電子數(shù)據(jù)的；（4）其他需要凍結的情形。凍結電子數(shù)據(jù)，應制作協(xié)助凍結通知書，注明凍結電子數(shù)據(jù)的網絡應用賬號等信息，送交電子數(shù)據(jù)持有人、網絡服務提供者或有關部門協(xié)助辦理。解除凍結的，應在3日內制作協(xié)助解除凍結通知書，送交電子數(shù)據(jù)持有人、網絡服務提供者或有關部門協(xié)助辦理。凍結電子數(shù)據(jù)，應采取以下一種或幾種方法：（1）計算電子數(shù)據(jù)的完整性校驗值；（2）鎖定網絡應用賬號；（3）其他防止增加、刪除、修改電子數(shù)據(jù)的措施。調取電子數(shù)據(jù)，應制作調取證據(jù)通知書，注明需要調取電子數(shù)據(jù)的相關信息，通知電子數(shù)據(jù)持有人、網絡服務提供者或有關部門執(zhí)行。

搜集、提取電子數(shù)據(jù)，應制作筆錄，記錄案由、對象、內容、搜集、提取電子數(shù)據(jù)的時間、地點、方法、過程，并附電子數(shù)據(jù)清單，注明類別、文件格式、完整性校驗值等，由偵查人員、電子數(shù)據(jù)持有人（提供人）簽名或蓋章；電子數(shù)據(jù)持有人（提供人）無法簽名或拒絕簽名的，應在筆錄中注明，由見證人簽名或蓋章。有條件的，應對相關活動進行錄像。搜集、提取電子數(shù)據(jù)，應根據(jù)刑事訴訟法的規(guī)定，由符合條件的人員擔任見證人。由于客觀原因無法由符合條件的人員擔任見證人的，應在筆錄中注明情況，并對相關活動進行錄像。針對同一現(xiàn)場多個計算機信息系統(tǒng)搜集、提取電子數(shù)據(jù)的，可由一名見證人見證。

對扣押的原始存儲介質或提取的電子數(shù)據(jù)，可通過恢復、破解、統(tǒng)計、關聯(lián)、比對等方式進行檢查。必要時，可進行偵查實驗。電子數(shù)據(jù)檢查，應對電子數(shù)據(jù)存儲介質拆封過程進行錄像，并將電子數(shù)據(jù)存儲介質通過寫保護設備接入到檢查設備進行檢查；有條件的，應制作電子數(shù)據(jù)備份，對備份進行檢查；無法使用寫保護設備且無法制作備份的，應注明原因，并對相關活動進行錄像。電子數(shù)據(jù)檢查應制作筆錄，注明檢查方法、過程和結果，由有關人員簽名或蓋章。進行偵查實驗的，應制作偵查實驗筆錄，注明偵查實驗的條件、經過和結果，由參加實驗的人員簽名或蓋章。對電子數(shù)據(jù)涉及的專門性問題難以確定的，由司法鑒定機構出具鑒定意見，或由公安部指定的機構出具報告。

@萬象：公安機關在向檢察院報捕和移送審查起訴時，如何移送電子數(shù)據(jù)？

劉警官：根據(jù)《規(guī)定》第十八至第二十條，搜集、提取的原始存儲介質或電子數(shù)據(jù)，應以封存狀態(tài)隨案移送，并制作電子數(shù)據(jù)的備份一并移送。對網頁、文檔、圖片等可直接展示的電子數(shù)據(jù)，可不隨案移送打印件；檢察院因設備等條件限制無法直接展示電子數(shù)據(jù)的，公安機關應隨案移送打印件，或附展示工具和展示方法說明。對凍結的電子數(shù)據(jù)，應移送被凍結電子數(shù)據(jù)的清單，注明類別、文件格式、凍結主體、證據(jù)要點、相關網絡應用賬號，并附查看工具和方法的說明。對侵入、非法控制計算機信息系統(tǒng)的程序、工具以及計算機病毒等無法直接展示的電子數(shù)據(jù)，應附電子數(shù)據(jù)屬性、功能等情況的說明。對數(shù)據(jù)統(tǒng)計量、數(shù)據(jù)同一性等問題，公安機關應出具說明。公安機關報捕或對偵查終結的案件移送檢察院審查起訴的，應將電子數(shù)據(jù)等證據(jù)一并移送檢察院。檢察院在批捕和審查起訴過程中發(fā)現(xiàn)應移送的電子數(shù)據(jù)沒有移送或移送的電子數(shù)據(jù)不符合相關要求的，應通知公安機關補充移送或進行補正。公安機關應自收到通知后3日內移送電子數(shù)據(jù)或補充有關材料。

@星空：公安機關對電子數(shù)據(jù)應如何進行審查判斷？

劉警官：根據(jù)《規(guī)定》第二十二至第二十八條，對電子數(shù)據(jù)是否真實，應著重審查以下內容：（1）是否移送原始存儲介質；在原始存儲介質無法封存、不便移動時，有無說明原因，并注明搜集、提取過程及原始存儲介質的存放地點或電子數(shù)據(jù)的來源等情況；（2）電子數(shù)據(jù)是否具有數(shù)字簽名、數(shù)字證書等特殊標識；（3）電子數(shù)據(jù)的搜集、提取過程是否可以重現(xiàn)；（4）電子數(shù)據(jù)如有增加、刪除、修改等情形的，是否附有說明；（5）電子數(shù)據(jù)的完整性是否可保證。

對電子數(shù)據(jù)是否完整，應根據(jù)保護電子數(shù)據(jù)完整性的相應方法進行驗證：（1）審查原始存儲介質的扣押、封存狀態(tài)；（2）審查電子數(shù)據(jù)的搜集、提取過程，查看錄像；（3）比對電子數(shù)據(jù)完整性校驗值；（4）與備份的電子數(shù)據(jù)進行比較；（5）審查凍結后的訪問操作日志；（6）其他方法。

對搜集、提取電子數(shù)據(jù)是否合法，應著重審查以下內容：（1）搜集、提取電子數(shù)據(jù)是否由2名以上偵查人員進行，取證方法是否符合相關技術標準；（2）搜集、提取電子數(shù)據(jù)，是否附有筆錄、清單，并經偵查人員、電子數(shù)據(jù)持有人（提供人）、見證人簽名或蓋章；沒有持有人（提供人）簽名或蓋章的，是否注明原因；對電子數(shù)據(jù)的類別、文件格式等是否注明清楚；（3）是否依照有關規(guī)定由符合條件的人員擔任見證人，是否對相關活動進行錄像；（4）電子數(shù)據(jù)檢查是否將電子數(shù)據(jù)存儲介質通過寫保護設備接入到檢查設備；有條件的，是否制作電子數(shù)據(jù)備份，并對備份進行檢查；無法制作備份且無法使用寫保護設備的，是否附有錄像。

認定犯罪嫌疑人的網絡身份與現(xiàn)實身份的同一性，可通過核查相關IP地址、網絡活動記錄、上網終端歸屬、相關證人證言以及犯罪嫌疑人供述和辯解等進行綜合判斷。認定犯罪嫌疑人與存儲介質的關聯(lián)性，可通過核查相關證人證言以及犯罪嫌疑人供述和辯解等進行綜合判斷。

電子數(shù)據(jù)的搜集、提取程序有下列瑕疵，經補正或作出合理解釋的，可采用；不能補正或作出合理解釋的，不得作為定案的根據(jù)：（1）未以封存狀態(tài)移送的；（2）筆錄或清單上沒有偵查人員、電子數(shù)據(jù)持有人（提供人）、見證人簽名或蓋章的；（3）對電子數(shù)據(jù)的名稱、類別、格式等注明不清的；（4）有其他瑕疵的。電子數(shù)據(jù)具有下列情形之一的，不得作為定案的根據(jù)：（1）電子數(shù)據(jù)系篡改、偽造或無法確定真?zhèn)蔚?；?）電子數(shù)據(jù)有增加、刪除、修改等情形，影響電子數(shù)據(jù)真實性的；（3）其他無法保證電子數(shù)據(jù)真實性的情形。■