對「電子資料」證據如何專業化審查

電子資料在刑事訴訟中具有極強證明力，它能夠有效證實傳統證據無法證實的事實，或揭示出與犯罪活動有關的行為、位置、**、關聯、活動以及順序等情況。但是刑事實務人員基本上是技術「小白」。本文對電子資料相關證據規則進行梳理，共同提高對此類證據的審查能力。

2023年《最高人民法院關於適用《刑事訴訟法》的解釋》（以下簡稱《解釋》）、2023年公安部《計算機犯罪現場勘驗與電子證據檢查規則》（以下簡稱《規則》）、2023年最高人民法院、最高人民檢察院、公安部《關於辦理網路犯罪案件適用刑事訴訟程式若干問題的意見》（以下簡稱《意見》）等司法解釋和規範性檔案，對電子資料的取證與審查作出了原則性規定。電子資料從生成到呈現在法庭上的整個過程，都依賴於特定的現代電子技術。由於知識上的缺陷，司法人員對電子資料的審查往往具有盲目性和隨意性。

本文對上述規則梳理、擴充套件、解讀，以期共同提高。

1、電子資料的其他分類方法？

《解釋》第93條規定，電子資料報括：電子郵件、電子資料交換、網上聊天記錄、部落格、微部落格、手機簡訊、電子簽名、網域名稱等。從有效審查電子資料真實性的角度，下面分類方式更具可操作性。

真實性比較：可編輯資料《唯讀資料《不可讀資料《二維資料《多維資料

2、對電子資料的檢查人員有什麼要求？

《規則》第8、9條:計算機犯罪現場勘驗與電子證據檢查，應當由縣級以上公安機關公共資訊網路安全監察部門負責組織實施。電子證據檢查，應當遵循辦案人員與檢查人員分離的原則。

檢查工作應當由具備電子證據檢查技能的專業技術人員實施。比如「快播案」辯護人提出，涉案伺服器被行政機關扣押，隨後轉移到公安機關，但是沒有證據來證明是誰轉移的、程式是否合法、是否有人監督這一過程。

3、獲取電子資料的正確流程？

根據《規則》第14條，固定儲存媒介和電子資料報括以下方式：(1)完整性校驗方式；(2)備份方式；(3)封存方式。同時電子資料的獲取應符合《數位化裝置證據資料發現提取固定方法》（ga／t756—2008）中關於發現提取固定步驟的要求。

對具備複製條件的，應使用電子資料儲存介質複製工具複製原始電子資料儲存介質，將複製生成的轉殖或映象檔案作為檢驗物件；對於具備寫保護條件的，應使用寫保護裝置，將電子資料儲存介質通過寫保護裝置接入檢驗裝置上；對於不啟動被檢驗數位化裝置的作業系統就能發現提取固定的電子資料的，應優先選擇不啟動被檢驗數位化裝置的作業系統的條件下發現提取固定電子資料。網路電子證據收集過程中，在對收集到的資料從目標機器安全地轉移到取證裝置上時，需要採用安全的傳輸技術，如ip加密、vpn 隧道加密、ssl加密等保證電子證據的安全傳輸。

電子資料的取證流程為：記錄現場計算機的連線現狀→固定當前物件計算機的易失性資料→關閉計算機系統→拆卸、取出儲存介質→對儲存介質進行寫保護處理→使用專用裝置對儲存介質複製（或使用唯讀鎖+軟體）進行資料提取、固定→計算原始儲存介質hash值→封存。

4、如何正確封存原始儲存介質？

封存電子證據的目的是保護電子證據的完整性、真實性和原始性。《意見》第14條：收集、提取電子資料，能夠獲取原始儲存介質的，應當封存原始儲存介質。

根據《規則》第13條，封存的原則是：封存前後應當拍攝被封存電子裝置和儲存媒介的**並製作《封存電子證據清單》，**應當從各個角度反映裝置封存前後的狀況，清晰反映封口或張貼封條處的狀況；保證在不解除封存狀態的情況下，無法使用被封存的儲存媒介和啟動被封存電子裝置。

5、電子資料的轉殖與複製有什麼區別？

由於電子資料具有可複製性，為了在提取、檢驗過程中不破壞和修改原有資料的完整性，通過硬碟複製機將電子資料進行轉殖。轉殖不同於我們日常使用的「ctrl+c」和「crtl+v」。轉殖是對整個磁碟，逐磁軌、逐扇區、物理級的資料「位對位」精確複製，因此可以獲得所有檔案，且包括所有的已被刪除或隱藏的檔案、未分配區域、磁碟閒散空間等，這些儲存區域的資料可以通過後期各種處理方法提取成為有效的電子資料或線索。

6、為什麼要對電子資料進行完整性校驗(計算雜湊hash值)

《意見》第14條：收集、提取電子資料應當製作筆錄，記錄完整性校驗值。完整性校驗值即雜湊函式，也被譯作雜湊函式或雜湊函式。

這種函式是將任意長度的輸入數字串，對映成乙個較短的定長的輸出數字串。這種輸出字串也被稱為數字摘要或數字指紋。雜湊函式有下特點：

輸入數字串與輸出數字串具有唯一的對應關係；輸入數字串中任何變化會導致輸出數字串也發生變化；從輸出數字串不能夠反求出輸入數字串。hash值主要有md5和sha兩種演算法。它們可以對任意型別的檔案、硬碟分割槽或整個硬碟進行校驗，分別輸出128位和160位的定長雜湊值。

哪怕是乙個標點符號的更改，都會導致hash值變化。只要hash值不變，就能夠證明提交給法庭的電子資料未經改變。

7、電子資料與原始儲存介質的關係？

刑事訴訟中，不存在「原始電子資料」的概念，而只有「原始儲存介質」的概念。。司法人員對於隨原始儲存介質移送的電子資料，應當重點審查原始儲存介質是否通過唯讀處理以確保資料不被修改。對於通過其他儲存介質予以收集的電子資料，應當重點審查是否記錄完整性校驗值。

8、電子資料的取證工具是否需要驗證？

需要。電子資料的取證工具與傳統證據的取證工具完全不同。取證工具的可靠與否，對於能否收集到準確、全面的電子資料至關重要。

在司法實踐中，採用非專用取證工具的情況大量存在。有些案件只需通過簡單的複製操作便可以將儲存裝置中的電子資料證據進行固定；有些案件只需通過簡單的列印操作便可將這些電子資料證據進行固定，有些案件需要專用的取證工具。一般認為，效能、質量、穩定性經過國家有關權威部門認證的取證工具，取證可靠性最高。

常用的專用取證工具有專用硬碟複製機、專用取證工具箱、utk軟體、encase軟體、winhex軟體、sleuthkit、nti系列軟體等。對於安全性、穩定性、可靠性在取證前、取證後都無法驗證，功能不完備的未知取證工具，取得的電子資料的可靠性得不到保證，證明力較低。

9、如何確定計算機使用者身份？

在網路犯罪案件中，確定計算機使用者身份至關重要。使用者身份分為使用者本地身份和使用者網路身份。使用者本地身份即作業系統使用者，包括普通使用者身份、管理員身份，間接代表使用者有計算機所有權、某個時間段的控制權或使用權。

而使用者網路身份直接的有各種環節的註冊使用者id、口令及資料，間接的有計算機ip位址、mac位址（也稱網絡卡實體地址，是由廠商寫在網絡卡bios裡的一段特徵資訊）。

10、什麼是身份認證資訊？

從兩高《關於辦理危害計算機資訊系統安全刑事案件應用法律若干問題的解釋》第1條的規定來看，非法獲取計算機資訊系統資料罪中的資料，主要包括支付結算、**交易、**交易等網路金融服務的身份認證資訊或者其他身份認證資訊。即並非所有的電子資料都可以成為刑法第285條的犯罪物件。「身份認證資訊」是指用於確認使用者在計算機資訊系統上操作許可權的資料，包括賬號、口令、密碼、數字證書等。

該罪中的身份認證資訊以「組」作為認定其為資料的標準，即賬號、口令、密碼、數字證書共同構成一組資料，只有賬號沒有密碼等不構成本罪中的資料。

11、電子資料的司法鑑定種類有哪些？

電子資料的司法鑑定，主要包括使用者行為鑑定、惡意程式鑑定、電子文件和資料電文鑑定、資料庫鑑定、電子資料相似性鑑定、手機資料鑑定、網路資料鑑定。比如「復旦林森浩投毒案」，偵查機關在林森浩膝上型電腦硬碟中提取了電子資料，後經檢驗鑑定，認定林森浩於2023年3月31日18時許通過百度查詢過「二甲基亞硝胺有味道嗎」等內容；4月1日18時許至23時許，又查詢過「二甲基亞硝胺中毒怎麼辦」、「二甲基亞硝胺怎麼確診」等內容。行為人在某時間段內瀏覽了某個網頁，計算機、瀏覽器中就會儲存瀏覽活動資訊，這就是「使用者行為」鑑定。

12、關於電子資料的行業規範與行業標準

對「電子資料」證據如何專業化審查

校長如何走向專業化

對教師專業化的理解與建構

如何加強小學班主任專業化發展

對「電子資料」證據如何專業化審查

校長如何走向專業化

對教師專業化的理解與建構

如何加強小學班主任專業化發展

相關推薦