作者:尚权律所 时间:2022-06-15
编者按
2022年5月29日,首届刑事辩护专业化论坛暨第100期尚权刑辩沙龙在线上成功举办。本届论坛由中国政法大学刑事辩护研究中心与北京尚权律师事务所联合主办,国内十余家刑事专业律所共同参与。论坛的主题是“刑事诉讼有效质证”。论坛全程对外视频直播,持续11个小时,在线实时收看达2.5万余人次。
与会20余名发言嘉宾,围绕论坛主题,针对“刑事质证基本原理”“言词证据、笔录证据的质证”“鉴定意见的质证”“电子证据、视听资料的质证”以及“行政证据、行政认定的质证”等议题,展开了深入探讨和交流,给全国律师同行奉献了一场庭审质证的盛筵。
以下是河南韬涵律师事务所副主任刘薇薇在论坛上的发言,整理刊发,以飨大家。
今天我们分享的主题是电子数据的质证,在司法实务中,电子数据是我们比较常见也是各位律师持意见比较大的证据类型。
首先谈一谈电子数据的立法沿革。虽然是在2012年修订2013年施行的刑诉法中才正式将电子数据纳入到证据种类,但是在这之前“电子证据”已经散见在各司法解释和文件中,2005年公安部《计算机犯罪现场勘验与电子证据检查规则》、2010年“两高三部”《关于办理死刑案件审查判断证据若干问题的规定》、2010年“两高一部”《关于办理网络赌博犯罪案件适用法律若干问题的意见》、2012年最高检《人民检察院电子证据鉴定程序规则(试行)》)都有电子证据的规定。大家可以看到在这些司法解释和文件里还称之为“电子证据”,2013年我们正式施行的刑事诉讼法,把它叫做电子数据,从这之后的司法解释和文件中都沿用了“电子数据”的名称。关于电子数据的质证我们需要学习的法律、司法解释、司法文件有:2014年“两高一部”《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》、2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》、2016年9月“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称“两高一部”《规定》)、2018年《刑事诉讼法》、2019年最高检《人民检察院刑事诉讼规则》、2019年公安部《公安机关办理刑事案件电子数据取证规则》(以下简称公安部《取证规则》)、2020年公安部《公安机关办理刑事案件程序规定》、2021年最高法《关于适用<刑事诉讼法>的解释》。今天我们主讲的质证内容主要是建立在刑诉法和最高法关于适用刑事诉讼法的解释,以及2016年“两高一部”《规定》和2019年公安部《取证规则》的基础上。
接下来,我们看电子数据的概念和内涵,最完整的概念在“两高一部”《规定》中:电子数据是案件发生的过程中形成的,以数字化形式存储处理和传输的能够证明案件事实的数据。相对于2012年最高检《人民检察院电子证据鉴定程序规则(试行)》中对电子数据的定义“由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物”,2016年的“两高一部”《规定》更加准确。电子数据包括以下证据类型:第一是网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;第二是手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;第三包括用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;第四:文档、图片、音视频、数字证书、计算机程序等电子文件;第五是兜底的其他信息、电子文件。
接下来,我们先聊一聊质证是质给谁听呢?我们的说服对象是法官。那么法官对于电子数据的这个证据类型最关心的是什么?我们看最高人民法院关于适用刑事诉讼法的解释,用五个条文就把法官审查与认定电子数据的重点说清楚了。我们归纳这些条文,会发现裁判者的角度关注的是三个层面:真实性、完整性、合法性。它集中见于刑诉法解释的第110-114条,而这五条最核心的要义是真实性。为什么这样说呢?我对于这几个条文做了几个思维导图,我们先看真实性的审查,包括对原始存储介质,数字签名和数字证书,收集提取的过程是否可以重现、有没有增加删改修改删除,有没有附有说明,完整性能否可以保证等方面的审查。然后关于完整性也有六个要素需要去审查。我们重点看合法性这部分,为什么我们说它其实核心要义在于真实性,虽然第112条也规定了要审查五个方面的合法性问题,但是程序违法后的后果如何,这是我们质证要求法官如何运用证据的明确依据,第113条规定以下情况中电子数据的问题叫“瑕疵”:第一,未以封存状态移送;第二,笔录或者清单上,没有相关人员的签字盖章的;第三,对电子数据的名称、类别、格式等注明不清的;第四,有其他瑕疵。瑕疵是可以补正或者作出合理解释的。如果不能补证或者做出合理的解释的话,是不得作为定案依据的。我们可以看到,即便是不符合法定程序的电子数据,不是必然违法和排除的,那么什么样的电子数据必然排除呢?第114条规定了三种情形:第一,系篡改、伪造或者无法确定真伪的;第二,有增加、删除、修改等情形,影响电子数据真实性的;第三,其他无法保证电子数据真实性的情形。我们可以看出,最高法已经告诉我们法官关心的归根结底还是真实性,因为证据的真实性涉及到是否错案的问题。
接下来我们再看一看电子数据是如何从案件走向法庭。在案发现场,比如说网络诈骗类,服务器上放了一个什么样的数据,首先需要侦查机关去收集他、提取他,提取出来到走向法庭,中间还有一个漫长过程,检查、做实验、打开、移送、封存、备份等等,这个过程就是我们从中去寻找有哪些质证点最关键的依据。我以“两高一部”提取收集电子数据的《规定》以及公安部的《取证规则》为依据,画了三个步骤的思维导图。我们来依次看一下。
先看电子数据的收集、提取有哪些方式。首先,原则是扣押、封存原始存储介质;第二,例外是现场提取;第三,网络在线提取,比如一些数据不是放在电脑的固态硬盘上,而是放在网盘上或者云端,它需要一个网络远程提取;第四种先冻结,然后再慢慢的提取;第五种是持有人提供的调取方式;第六种就是打印、拍照、录像;第七部分我把它分出来一些关于以上的提取方式的通用规定。
我们接下来看看各种取证手段的适用情形和取证程序。首先,我们看为什么说封存、扣押原始存储介质它是一个原则,是因为原始存储介质才是一个电子数据最直观的体现,是电子数据最初应该待的地方。适用情形是具备扣押条件。当不能扣押、封存的时候,才能采取其他的方式。我们封存原始存储介质要求的是什么?第一,不解除封存无法使用或者启用,必要时可以分别封存。第二,封存前后应当拍照,照片应该反映封存前后的状态。封存前什么样子的,封条横着贴竖着贴,封条上的字是什么样子的,下次打开前要保证与上次封存的状态完全一致。第三,封存手机的情况下应当采取屏蔽信号、信号阻断或者切断电源等措施。以上的规定,我们能看出电子数据的提取和收集,核心要义就是要保护它的完整性、真实性,防止被随意篡改。最后就是扣押程序,我们看到规定需要有相应的持有人当场签扣押清单,还需要见证人签字,所以遇到这样的扣押情形,要关注《扣押清单》,关注见证人的签名,以及见证人与本案是否与利害关系,还有扣押的时候他应该注明什么样的情况,这些都是可以质证的要点。
接下来是现场提取,如果无法扣押封存原始存储介质可以现场提取。这是为了从原始存储介质中把相应的电子数据提取另行保存,方便日后诉讼所需。我们可以看到现场提取有严格的适用情形,所以要特别注意在司法实务中遇到一些案件,侦查人员解释说不方便封存原始存储介质,不能轻易的就放过对原始存储介质的审查,公安部《取证规则》明确规定了无法扣押原始存储介质情形消失以后还应当及时扣押封存,不能提取完之后说原始存储介质就丢了,以后能提取也不提取,这是不允许的。这些情形就是我们在实务中去面对案件的时候,发现没有相应的原始存储介质的移送、封存、扣押,我们就要去看本案是否符合公安《取证规则》第16条的这六种情形,也是判断公安做出的解释是否合理的依据。现场提取需要做的保护措施和应当遵守相应的规定,这些是技术层面的,规定在公安《取证规则》第17、18条。提取过程与上述司法文件有所出入的,是可以提出质证的。下面是现场提取的程序,需要制作提取笔录,在关于提取程序的规定中,可以看到一个专业名词——完整性校验值,在《电子数据提取固定清单》中,需要注明完整性校验值;即便是压缩提取,也要注明相应的方法和压缩后的完整性校验值;以及因客观原因无法由符合条件的人担任见证人的,对提取过程进行录像,这录像文件也应当计算完整性校验值。完整性校验值涉及到电子数据提取和移送到法庭中间的整个过程中是否被改动过这一最核心的问题。还有就是持有人保管的相应规则。以上就是现场提取的相关程序规定,质证应当紧扣每一步提取步骤找到问题,发表意见。
完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。目前通常采用哈希值的验证算法,哈希值又称散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。运用到电子数据的提取中,通过记录证据的哈希值,相当于把电子数据的内容固定了下来,一段数据哪怕修改了一个字母或者多出一个空格,得出的哈希值都是不一样的;相反一个数据如果从未被篡改,在今后的任何时间和地点都可以通过相同的算法求得相同的哈希值。
接下来我们看网络在线提取这种方式,它适用的是公开发布的电子数据和境内远程的计算机信息系统,不是在固定的介质上,是在网络云上的证据。如果是在线提取时也应当计算完整性校验值。应当采取录像拍照截取计算机屏幕内容的方式记录关键信息,及时固定保护这些网络上在线的电子数据。公安《取证规则》第26-35条详细规定了网络在线提取和远程勘验的程序和要求,我们遇到网络提取和远程勘验的案件,对照这些程序去质证。
下面就是冻结电子数据的手段。对于数据量大,无法或者不便提取的,提取时间长,可能造成电子数据被篡改或者灭失的和通过网络应用可以更为直观地展示电子数据,就需要进行冻结。所谓冻结,就像我们的银行账户冻结一样,冻结之后就是它不能有所动作。协助冻结的主体包括电子数据持有人、网络服务提供者或者有关部门。有几种冻结方式,如计算电子数据的完整性校验值,冻结时计算现下的完整性校验值,有一天需要打开展示,打开时完整性校验值又是多少,期间没有变化代表电子数据没有改动;还包括锁定网络应用账号、写保护措施等,这就是最高法所关注的真实性、完整性的问题。
关于调取电子数据,特别要提醒大家,我们在司法实务中可能会见到一些明明我们认为应该是电子数据,公安呈现出来的是一个调取通知书,证据打印出来持有人签上字就提交了,是否属于按调取方法提取的证据?并不是的。电子数据的调取和书证的调取是不一样的,我们看,电子数据的调取除了常规的有调取证据通知书、持有人要签字盖章之外,大家一定要注意,提交人必须附完整性校验值等保护电子数据完整性方法的说明。你提交过来的需要是电子数据的表现形式,要附这个说明,方便侦查机关验证完整性校验值,保持电子数据的完整性。还有就是必要的时候应当采用录音录像等方式固定内容及取证过程。还有,公安机关应当协助因客观条件限制无法保护电子数据完整的单位与个人进行电子数据完整性的保护。总之以上的行为都是要严防死守,保护电子数据的真实性和完整性的。
最后还有打印、拍照、录像的取证方式,这是咱们司法实务中最常见的方式,但是只有在符合特定条件时才可以采取打印、拍照、录像的方式提取电子数据,并不是所有的电子数据都可以用这些方式固定。
以上是收集提取的过程的解读,鉴于时间关系,检查、侦查实验的程序不再赘述,思维导图分享给大家课后学习。
刚才我在讲电子数据如何收集提取过程中,已经多多少少的谈到了如何运用司法解释、司法文件对电子数据进行质证。我收集了一些国标网上的与电子数据的提取、搜索等相关的技术规范,有一些事国家标准,有一些是行业标准,结合关于收集、提取、检查、侦查实验整个过程的相应规定,去审查电子数据是否按照专业的、规范的方法进行收集、提取和展示。
下面我们谈谈电子数据的整个质证路径。首先要学透程序规定,紧扣法条去寻找程序瑕疵和程序违法之处。然后落到对电子数据的真实性、完整性的质疑,电子数据是否来源于案发现场的真实证据,源头是否被伪造、污染,流转过程有没有可能被篡改过,是不是解封过,中间有没有再做完整性校验值的记录,前后是否一致,这些都可以用以质疑真实性、完整性。另外还要结合其他证据提出合理的怀疑,比如说结合本案的被告人供述、证人证言提到的对电子数据内容的描述,对照电子数据看有无出入。还有电子数据在结论上、表现形式上是否符合常理,为什么不符合常理。通过上述步骤发现问题,接下来可以要求对最初提取的原始存储介质,或者现场提取、网络提取的相应证据,进行检验、对照,是否保持原状,对照前后完整性校验值是否一致。通过以上路径,引导法官质疑在卷电子数据的真实性和完整性,才可能达到“不作为定案依据”的质证目的。
接下来我们谈一下司法实务中常见的几个问题。我相信排在各位律师心目中第一位的突出问题就是以书证的形式展示电子数据。我在PPT中列出的前四个案例是我们办理的真实案例,后面的省略号是留给各位律师填充的,相信各位律师有很多共鸣。比如说一些网络诈骗、网络赌博案件,给你个光盘,里面是各种Excel表格,侦查人员称这是从网络后台提取的,但是没有任何加密的提取方式,甚至打开这个表格发现我们可以自行操作增减内容。再比如微信聊天记录,直接截屏打印提交,有的上面有嫌疑人签字确认,有的甚至都没有嫌疑人的签字。再比如微信转账记录甚至连转账截屏都不放了,公安机关不知根据什么自行制作很多表格,说是嫌疑人之间的微信转账记录。遇到以上这些问题,有些律师会疑惑,好像看着书证表现形式也行,尤其那种嫌疑人签字的,我们应当如何说服法官这个证据属于电子数据,一定要用电子数据的方式来提取,不能以书证的方式打印提交呢?他们的核心区别是什么?我认为,核心区别在于篡改是否有痕迹。我们看,书证是形成于案件发生过程中的书面证据,无论什么时候去提取,你敢在上面去涂改,一定是有痕迹的,是很容易识别出来的。但是电子数据不一样,如果不采用专业的写保护措施或者采取严格的封存措施,不论是在现场还是从现场到法庭的过程中,这里面的数据谁都可以任意改动并且没有任何痕迹。比如微信聊天记录,明明有一百条的聊天记录,如果删除了重要的能证明无罪的证据,我们连删除痕迹都看不到,就像从来没有过这些聊天内容一样,但实质上证据已经被改动了,即便是以截屏的方式展示,也是改动后的记录。这就是电子数据的特性,极易篡改并且不着痕迹,这也是为什么必须要以电子数据的方式检验和提取,以保证其真实、完整性。先从根上说清两者的区别,接下来的质证意见就更加容易被法官所理解了。
第二个表现,就是提取、移送过程中疑似篡改证据,最典型的是快播案,这个案件大家都非常熟悉了,在诉讼过程中,通过专业鉴定,发现其中有两台涉案服务器在被扣押之后创建了新的文件,那么这就是辩方可以抓住实证说明电子数据确被篡改过。这个案件很具有典型意义,各位同仁可以多搜集一些材料学习一下。
第三个表现形式,我称之为“牛头不对马嘴的电子数据司法鉴定”,这是我们律所做的真实案例。某计算机司法鉴定机构(业务范围:电子数据鉴定),受侦查机关委托,就公安机关提供的检材光盘中6名嫌疑人在网络赌博平台上的下线情况、在网络赌博平台担任代理的违法犯罪数据进行鉴定。鉴定材料:公安机关提供的光盘一张(光盘中为excel电子表格)。依据:《电子数据法庭科学鉴定通用方法》《电子物证数据搜索检验规程》和《电子数据司法鉴定通用实施规范》。使用仪器设备:使用计算机进行检验,使用软件为哈希值计算工具HashMysFiles 2.36版、光盘镜像制作工具UltraISO9.7版和分析工具Microsoft Excel 2016版。鉴定过程:制作镜像(即复制一份副本)——文件提取(即打开复制的excel文档)——佣金信息统计——下级会员统计——经销商信息统计——数字保存及数字签名(即将上述统计表格保存于光盘中一个txt格式的文件中,该txt文件SHA256值(即哈希值)为......。我们会发现这个电子数据的鉴定意见书中出现了很多专业名词,鉴定规范很专业、鉴定仪器很专业、鉴定过程很“专业”。但是事实上我们我们透过表面看本质,会发现这是一个电子数据的司法鉴定机构在干司法会计鉴定的事情,什么镜像、提取、哈希值,都只是打着电子数据专业的幌子,掩盖不了它实质上是司法会计鉴定的本质。遇到这样的情况,我们就从根本上质证,显然电子数据鉴定机构没有资格从事司法会计统计鉴定的,主体就违法。并且把公安没有经过严格程序取证,没有完整性校验值记录,甚至没有对取证过程进行录像而提供出来的Excel表格计算哈希值也没有任何意义,也掩盖不了电子数据调取、收集过程违法的事实。
在司法实务中我们会见到各种各样的电子数据的表现形式,以上只是举例说明,万变不离其宗,只要紧紧掌握质证的路径,紧扣取证程序是否合法,引导法官对真实性、完整性的怀疑,包括关联性,今天没有多讲这一部分,但是也很重要,最终达到引起法官对电子数据的质疑,影响证据的采纳,为辩论去服务,才真正达到我们质证的目的。
以上是今天与大家分享的内容,有不到之处,欢迎大家批评指正。
❖
今天我们分享的主题是电子数据的质证,在司法实务中,电子数据是我们比较常见也是各位律师持意见比较大的证据类型。
首先谈一谈电子数据的立法沿革。虽然是在2012年修订2013年施行的刑诉法中才正式将电子数据纳入到证据种类,但是在这之前“电子证据”已经散见在各司法解释和文件中,2005年公安部《计算机犯罪现场勘验与电子证据检查规则》、2010年“两高三部”《关于办理死刑案件审查判断证据若干问题的规定》、2010年“两高一部”《关于办理网络赌博犯罪案件适用法律若干问题的意见》、2012年最高检《人民检察院电子证据鉴定程序规则(试行)》)都有电子证据的规定。大家可以看到在这些司法解释和文件里还称之为“电子证据”,2013年我们正式施行的刑事诉讼法,把它叫做电子数据,从这之后的司法解释和文件中都沿用了“电子数据”的名称。关于电子数据的质证我们需要学习的法律、司法解释、司法文件有:2014年“两高一部”《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》、2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》、2016年9月“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称“两高一部”《规定》)、2018年《刑事诉讼法》、2019年最高检《人民检察院刑事诉讼规则》、2019年公安部《公安机关办理刑事案件电子数据取证规则》(以下简称公安部《取证规则》)、2020年公安部《公安机关办理刑事案件程序规定》、2021年最高法《关于适用<刑事诉讼法>的解释》。今天我们主讲的质证内容主要是建立在刑诉法和最高法关于适用刑事诉讼法的解释,以及2016年“两高一部”《规定》和2019年公安部《取证规则》的基础上。
接下来,我们看电子数据的概念和内涵,最完整的概念在“两高一部”《规定》中:电子数据是案件发生的过程中形成的,以数字化形式存储处理和传输的能够证明案件事实的数据。相对于2012年最高检《人民检察院电子证据鉴定程序规则(试行)》中对电子数据的定义“由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物”,2016年的“两高一部”《规定》更加准确。电子数据包括以下证据类型:第一是网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;第二是手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;第三包括用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;第四:文档、图片、音视频、数字证书、计算机程序等电子文件;第五是兜底的其他信息、电子文件。
接下来,我们先聊一聊质证是质给谁听呢?我们的说服对象是法官。那么法官对于电子数据的这个证据类型最关心的是什么?我们看最高人民法院关于适用刑事诉讼法的解释,用五个条文就把法官审查与认定电子数据的重点说清楚了。我们归纳这些条文,会发现裁判者的角度关注的是三个层面:真实性、完整性、合法性。它集中见于刑诉法解释的第110-114条,而这五条最核心的要义是真实性。为什么这样说呢?我对于这几个条文做了几个思维导图,我们先看真实性的审查,包括对原始存储介质,数字签名和数字证书,收集提取的过程是否可以重现、有没有增加删改修改删除,有没有附有说明,完整性能否可以保证等方面的审查。然后关于完整性也有六个要素需要去审查。我们重点看合法性这部分,为什么我们说它其实核心要义在于真实性,虽然第112条也规定了要审查五个方面的合法性问题,但是程序违法后的后果如何,这是我们质证要求法官如何运用证据的明确依据,第113条规定以下情况中电子数据的问题叫“瑕疵”:第一,未以封存状态移送;第二,笔录或者清单上,没有相关人员的签字盖章的;第三,对电子数据的名称、类别、格式等注明不清的;第四,有其他瑕疵。瑕疵是可以补正或者作出合理解释的。如果不能补证或者做出合理的解释的话,是不得作为定案依据的。我们可以看到,即便是不符合法定程序的电子数据,不是必然违法和排除的,那么什么样的电子数据必然排除呢?第114条规定了三种情形:第一,系篡改、伪造或者无法确定真伪的;第二,有增加、删除、修改等情形,影响电子数据真实性的;第三,其他无法保证电子数据真实性的情形。我们可以看出,最高法已经告诉我们法官关心的归根结底还是真实性,因为证据的真实性涉及到是否错案的问题。
接下来我们再看一看电子数据是如何从案件走向法庭。在案发现场,比如说网络诈骗类,服务器上放了一个什么样的数据,首先需要侦查机关去收集他、提取他,提取出来到走向法庭,中间还有一个漫长过程,检查、做实验、打开、移送、封存、备份等等,这个过程就是我们从中去寻找有哪些质证点最关键的依据。我以“两高一部”提取收集电子数据的《规定》以及公安部的《取证规则》为依据,画了三个步骤的思维导图。我们来依次看一下。
先看电子数据的收集、提取有哪些方式。首先,原则是扣押、封存原始存储介质;第二,例外是现场提取;第三,网络在线提取,比如一些数据不是放在电脑的固态硬盘上,而是放在网盘上或者云端,它需要一个网络远程提取;第四种先冻结,然后再慢慢的提取;第五种是持有人提供的调取方式;第六种就是打印、拍照、录像;第七部分我把它分出来一些关于以上的提取方式的通用规定。
我们接下来看看各种取证手段的适用情形和取证程序。首先,我们看为什么说封存、扣押原始存储介质它是一个原则,是因为原始存储介质才是一个电子数据最直观的体现,是电子数据最初应该待的地方。适用情形是具备扣押条件。当不能扣押、封存的时候,才能采取其他的方式。我们封存原始存储介质要求的是什么?第一,不解除封存无法使用或者启用,必要时可以分别封存。第二,封存前后应当拍照,照片应该反映封存前后的状态。封存前什么样子的,封条横着贴竖着贴,封条上的字是什么样子的,下次打开前要保证与上次封存的状态完全一致。第三,封存手机的情况下应当采取屏蔽信号、信号阻断或者切断电源等措施。以上的规定,我们能看出电子数据的提取和收集,核心要义就是要保护它的完整性、真实性,防止被随意篡改。最后就是扣押程序,我们看到规定需要有相应的持有人当场签扣押清单,还需要见证人签字,所以遇到这样的扣押情形,要关注《扣押清单》,关注见证人的签名,以及见证人与本案是否与利害关系,还有扣押的时候他应该注明什么样的情况,这些都是可以质证的要点。
接下来是现场提取,如果无法扣押封存原始存储介质可以现场提取。这是为了从原始存储介质中把相应的电子数据提取另行保存,方便日后诉讼所需。我们可以看到现场提取有严格的适用情形,所以要特别注意在司法实务中遇到一些案件,侦查人员解释说不方便封存原始存储介质,不能轻易的就放过对原始存储介质的审查,公安部《取证规则》明确规定了无法扣押原始存储介质情形消失以后还应当及时扣押封存,不能提取完之后说原始存储介质就丢了,以后能提取也不提取,这是不允许的。这些情形就是我们在实务中去面对案件的时候,发现没有相应的原始存储介质的移送、封存、扣押,我们就要去看本案是否符合公安《取证规则》第16条的这六种情形,也是判断公安做出的解释是否合理的依据。现场提取需要做的保护措施和应当遵守相应的规定,这些是技术层面的,规定在公安《取证规则》第17、18条。提取过程与上述司法文件有所出入的,是可以提出质证的。下面是现场提取的程序,需要制作提取笔录,在关于提取程序的规定中,可以看到一个专业名词——完整性校验值,在《电子数据提取固定清单》中,需要注明完整性校验值;即便是压缩提取,也要注明相应的方法和压缩后的完整性校验值;以及因客观原因无法由符合条件的人担任见证人的,对提取过程进行录像,这录像文件也应当计算完整性校验值。完整性校验值涉及到电子数据提取和移送到法庭中间的整个过程中是否被改动过这一最核心的问题。还有就是持有人保管的相应规则。以上就是现场提取的相关程序规定,质证应当紧扣每一步提取步骤找到问题,发表意见。
完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。目前通常采用哈希值的验证算法,哈希值又称散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。运用到电子数据的提取中,通过记录证据的哈希值,相当于把电子数据的内容固定了下来,一段数据哪怕修改了一个字母或者多出一个空格,得出的哈希值都是不一样的;相反一个数据如果从未被篡改,在今后的任何时间和地点都可以通过相同的算法求得相同的哈希值。
接下来我们看网络在线提取这种方式,它适用的是公开发布的电子数据和境内远程的计算机信息系统,不是在固定的介质上,是在网络云上的证据。如果是在线提取时也应当计算完整性校验值。应当采取录像拍照截取计算机屏幕内容的方式记录关键信息,及时固定保护这些网络上在线的电子数据。公安《取证规则》第26-35条详细规定了网络在线提取和远程勘验的程序和要求,我们遇到网络提取和远程勘验的案件,对照这些程序去质证。
下面就是冻结电子数据的手段。对于数据量大,无法或者不便提取的,提取时间长,可能造成电子数据被篡改或者灭失的和通过网络应用可以更为直观地展示电子数据,就需要进行冻结。所谓冻结,就像我们的银行账户冻结一样,冻结之后就是它不能有所动作。协助冻结的主体包括电子数据持有人、网络服务提供者或者有关部门。有几种冻结方式,如计算电子数据的完整性校验值,冻结时计算现下的完整性校验值,有一天需要打开展示,打开时完整性校验值又是多少,期间没有变化代表电子数据没有改动;还包括锁定网络应用账号、写保护措施等,这就是最高法所关注的真实性、完整性的问题。
关于调取电子数据,特别要提醒大家,我们在司法实务中可能会见到一些明明我们认为应该是电子数据,公安呈现出来的是一个调取通知书,证据打印出来持有人签上字就提交了,是否属于按调取方法提取的证据?并不是的。电子数据的调取和书证的调取是不一样的,我们看,电子数据的调取除了常规的有调取证据通知书、持有人要签字盖章之外,大家一定要注意,提交人必须附完整性校验值等保护电子数据完整性方法的说明。你提交过来的需要是电子数据的表现形式,要附这个说明,方便侦查机关验证完整性校验值,保持电子数据的完整性。还有就是必要的时候应当采用录音录像等方式固定内容及取证过程。还有,公安机关应当协助因客观条件限制无法保护电子数据完整的单位与个人进行电子数据完整性的保护。总之以上的行为都是要严防死守,保护电子数据的真实性和完整性的。
最后还有打印、拍照、录像的取证方式,这是咱们司法实务中最常见的方式,但是只有在符合特定条件时才可以采取打印、拍照、录像的方式提取电子数据,并不是所有的电子数据都可以用这些方式固定。
以上是收集提取的过程的解读,鉴于时间关系,检查、侦查实验的程序不再赘述,思维导图分享给大家课后学习。
刚才我在讲电子数据如何收集提取过程中,已经多多少少的谈到了如何运用司法解释、司法文件对电子数据进行质证。我收集了一些国标网上的与电子数据的提取、搜索等相关的技术规范,有一些事国家标准,有一些是行业标准,结合关于收集、提取、检查、侦查实验整个过程的相应规定,去审查电子数据是否按照专业的、规范的方法进行收集、提取和展示。
下面我们谈谈电子数据的整个质证路径。首先要学透程序规定,紧扣法条去寻找程序瑕疵和程序违法之处。然后落到对电子数据的真实性、完整性的质疑,电子数据是否来源于案发现场的真实证据,源头是否被伪造、污染,流转过程有没有可能被篡改过,是不是解封过,中间有没有再做完整性校验值的记录,前后是否一致,这些都可以用以质疑真实性、完整性。另外还要结合其他证据提出合理的怀疑,比如说结合本案的被告人供述、证人证言提到的对电子数据内容的描述,对照电子数据看有无出入。还有电子数据在结论上、表现形式上是否符合常理,为什么不符合常理。通过上述步骤发现问题,接下来可以要求对最初提取的原始存储介质,或者现场提取、网络提取的相应证据,进行检验、对照,是否保持原状,对照前后完整性校验值是否一致。通过以上路径,引导法官质疑在卷电子数据的真实性和完整性,才可能达到“不作为定案依据”的质证目的。
接下来我们谈一下司法实务中常见的几个问题。我相信排在各位律师心目中第一位的突出问题就是以书证的形式展示电子数据。我在PPT中列出的前四个案例是我们办理的真实案例,后面的省略号是留给各位律师填充的,相信各位律师有很多共鸣。比如说一些网络诈骗、网络赌博案件,给你个光盘,里面是各种Excel表格,侦查人员称这是从网络后台提取的,但是没有任何加密的提取方式,甚至打开这个表格发现我们可以自行操作增减内容。再比如微信聊天记录,直接截屏打印提交,有的上面有嫌疑人签字确认,有的甚至都没有嫌疑人的签字。再比如微信转账记录甚至连转账截屏都不放了,公安机关不知根据什么自行制作很多表格,说是嫌疑人之间的微信转账记录。遇到以上这些问题,有些律师会疑惑,好像看着书证表现形式也行,尤其那种嫌疑人签字的,我们应当如何说服法官这个证据属于电子数据,一定要用电子数据的方式来提取,不能以书证的方式打印提交呢?他们的核心区别是什么?我认为,核心区别在于篡改是否有痕迹。我们看,书证是形成于案件发生过程中的书面证据,无论什么时候去提取,你敢在上面去涂改,一定是有痕迹的,是很容易识别出来的。但是电子数据不一样,如果不采用专业的写保护措施或者采取严格的封存措施,不论是在现场还是从现场到法庭的过程中,这里面的数据谁都可以任意改动并且没有任何痕迹。比如微信聊天记录,明明有一百条的聊天记录,如果删除了重要的能证明无罪的证据,我们连删除痕迹都看不到,就像从来没有过这些聊天内容一样,但实质上证据已经被改动了,即便是以截屏的方式展示,也是改动后的记录。这就是电子数据的特性,极易篡改并且不着痕迹,这也是为什么必须要以电子数据的方式检验和提取,以保证其真实、完整性。先从根上说清两者的区别,接下来的质证意见就更加容易被法官所理解了。
第二个表现,就是提取、移送过程中疑似篡改证据,最典型的是快播案,这个案件大家都非常熟悉了,在诉讼过程中,通过专业鉴定,发现其中有两台涉案服务器在被扣押之后创建了新的文件,那么这就是辩方可以抓住实证说明电子数据确被篡改过。这个案件很具有典型意义,各位同仁可以多搜集一些材料学习一下。
第三个表现形式,我称之为“牛头不对马嘴的电子数据司法鉴定”,这是我们律所做的真实案例。某计算机司法鉴定机构(业务范围:电子数据鉴定),受侦查机关委托,就公安机关提供的检材光盘中6名嫌疑人在网络赌博平台上的下线情况、在网络赌博平台担任代理的违法犯罪数据进行鉴定。鉴定材料:公安机关提供的光盘一张(光盘中为excel电子表格)。依据:《电子数据法庭科学鉴定通用方法》《电子物证数据搜索检验规程》和《电子数据司法鉴定通用实施规范》。使用仪器设备:使用计算机进行检验,使用软件为哈希值计算工具HashMysFiles 2.36版、光盘镜像制作工具UltraISO9.7版和分析工具Microsoft Excel 2016版。鉴定过程:制作镜像(即复制一份副本)——文件提取(即打开复制的excel文档)——佣金信息统计——下级会员统计——经销商信息统计——数字保存及数字签名(即将上述统计表格保存于光盘中一个txt格式的文件中,该txt文件SHA256值(即哈希值)为......。我们会发现这个电子数据的鉴定意见书中出现了很多专业名词,鉴定规范很专业、鉴定仪器很专业、鉴定过程很“专业”。但是事实上我们我们透过表面看本质,会发现这是一个电子数据的司法鉴定机构在干司法会计鉴定的事情,什么镜像、提取、哈希值,都只是打着电子数据专业的幌子,掩盖不了它实质上是司法会计鉴定的本质。遇到这样的情况,我们就从根本上质证,显然电子数据鉴定机构没有资格从事司法会计统计鉴定的,主体就违法。并且把公安没有经过严格程序取证,没有完整性校验值记录,甚至没有对取证过程进行录像而提供出来的Excel表格计算哈希值也没有任何意义,也掩盖不了电子数据调取、收集过程违法的事实。
在司法实务中我们会见到各种各样的电子数据的表现形式,以上只是举例说明,万变不离其宗,只要紧紧掌握质证的路径,紧扣取证程序是否合法,引导法官对真实性、完整性的怀疑,包括关联性,今天没有多讲这一部分,但是也很重要,最终达到引起法官对电子数据的质疑,影响证据的采纳,为辩论去服务,才真正达到我们质证的目的。
以上是今天与大家分享的内容,有不到之处,欢迎大家批评指正。