电子取证的法律规制

关键词: 电子 证据/电子取证/ 法律 规制

内容提要: 电子取证在世界范围内得到了日益广泛的运用，同时也引发了一系列的法律问题。本文从电子取证的基本含义切入，采取交叉研究的方法，指出我国的电子取证实务应当遵循一个抽象的司法程序模型。在此基础上，本文阐述了我国的电子取证在规制方式、规制原则与规制内容等方面遭遇的法律挑战，并逐一深入地论证了亟待采取的法律因应措施。
 
 
      一、问题的提出
      马加爵杀人案是新世纪发生的一起引发国人广泛关注的刑事名案。作案人的作案手段是传统的，警方开展缉捕却依赖了新式的电子取证，而其中的破案情节往往为人们所忽略。
      2004年2月23日下午1时20分，昆明市公安局接报，云南大学学生公寓宿舍内发现一具男性尸体。经现场勘查和访问，在该宿舍柜子内共发现4具被钝器击打致死的男性尸体，同宿舍的学生马加爵失踪了。昆明一家银行的录像资料显示，马曾于2月15日下午持其中两名死者的存折到银行取走了4000元钱。种种迹象表明，马有重大犯罪嫌疑。当地公安机关迅速成立了“2·23”专案组开展工作，当日即通过公安部向全国发出通缉令，重金悬赏通缉马加爵。与此同时，调查专家使用技术手段，对马在宿舍内使用过的电脑进行硬盘数据分析，发现他出逃前对硬盘进行过格式化，但硬盘中存储的电子数据仍被恢复出来。Www.11665.com这些电子数据表明，他在出逃前三天基本上都在搜集有关海南省的信息，尤其是有关三亚市 旅游 、 交通 和房地产的信息。根据这一线索，警方调整了通缉重点，很快于3月15日在三亚市将马缉拿归案。[1]
      显而易见，电子取证在本次成功抓捕中起到了非常重要的作用。其实，这并不是当今的司法实践中孤立的个案，电子取证大展身手早已是不争的现实。无论是在打击 网络 色情、网络诈骗、网络赌博等高科技犯罪案件的活动中，还是在调查杀人、爆炸、恐怖等传统犯罪案件的过程中，电子取证已悄然成为一种出奇制胜的武器。当然，电子取证也遭遇到一些法律方面的障碍，所获取的材料往往多用作办案线索而非定案证据。那么，人们究竟应该如何客观认识电子取证这一新生事物？法律又应如何规制这一取证手段呢？要回答这些问题，不妨从电子取证的基本含义谈起。
      二、电子取证的含义
      电子取证是伴随着信息技术的飞速 发展 而出现的一个新事物。迄今为止人们依然众说纷纭，尚不存在大一统的概念。从 英文 表达来看，主要用语有“e-discovery”和“computer forensics”之别。前者又称为“electronic evidence discovery”，是指对电子文件或电子数据的获取；[2]后者又称为“cy-ber forensics”、“digital forensics”，是指对以比特形式存储或传递的数据加以恢复、保存、检查的各种工具或技术。[3]它们之间的区别主要在于由谁具体负责取证工作，前者往往是诉讼各方当事人及其律师，后者则限定为特别聘请或委派的 计算 机专家（包括一些专业公司的技术人员）。从中文表述来看，电子取证、计算机取证、电子证据的收集等术语也常常被混用。其实，它们的含义只是在“大同”的前提下存在“小异”，并没有严格区分的必要。
      关于什么是电子取证，我国学术界亦存在广狭义两种观点。狭义说将电子取证与“computerforensics”等同起来。例如，有人认为，电子取证是“将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼”。[4]取证的主要过程包括保护和勘查现场、获取物理数据、分析数据、追踪源头、提交结果等。也有人认为，电子取证“也称计算机法医学，它是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。[5]”还有人认为，电子取证就是“运用软件技术和工具，按照预定的步骤检查计算机系统和相关外部设备，保护、提取和分析计算机系统和相关外部设备，保护、提取和分析计算机犯罪的痕迹，并产生具有法律效力的电子证据的过程。[6]”
      广义说则认为电子取证包括但不限于特殊的技术手段。例如，有人认为，电子取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。[7]也有人认为，所谓电子取证是指对存储在计算机系统或网络设备中潜在电子证据的识别、收集、保护、检查、分析以及法庭出示的过程。电子取证不单单是计算机或网络的技术问题，还涉及法律和道德规范。[8]
      笔者赞同广义说。虽然电子证据是带有一定高科技色彩的新型证据，但从司法实践来看，获取电子证据并不限于技术手段，也不限于专家提取，普通的当事人完全可以利用一般知识或经验予以事先保全或事后收集。换言之，尽管专家在电子取证方面作用巨大，但并不能掩盖普通当事人在电子取证方面的特殊作用。特别是从制度建设的角度来看，构建一个国家的电子取证制度绝不应忽略普通人的作为。
      准确把握电子取证的概念，需要注意以下几点：其一，取证手段是借助计算机等电子设备；其二，取证对象主要是处于虚拟空间的电子证据；其三，取证主体呈现多元化的特点，即实施电子取证的人不能局限于某些特殊的群体。无论是侦查人员、司法人员、行政执法人员、诉讼各方当事人及其律师，还是网络服务提供商、民间技术专家等，都有可能在电子取证领域一试身手。
      随着国内外司法实践的日新月异，如今电子取证已经发展为一个庞杂的取证手段群。以证据来源为标准，它可分为单机取证、网络取证与相关设备取证；以取证时刻潜在证据的特性为标准，它可分为静态取证与动态取证；[9]以取证时间为标准，它可分为事后取证与事前取证；以调查人员是否需要亲临证据现场为标准，它可分为临场取证与远程取证；[10]以技术手段为标准，它可分为数据获取、数据恢复、数据分析与数据鉴定等；从诉讼措施的角度划分，它可分为计算机搜查、计算机现场勘查、电子证据鉴定、电子证据保全、电子证据技术侦查、网络通缉、人肉搜索、电子证据开示等。其中，最后一种分类最具有法律特色，围绕其中具体取证手段的正当性问题也引发了一些法律热议。这些电子取证措施的涌现昭示着当今世界司法取证领域正在进行着一场深远的革命。
      三、电子取证的基本程序
      如前所述，电子取证的表现形式是五花八门的。它既可能是新式的技术取证手段，也涵盖各种传统取证方法的电子化。那么，电子取证有无可供普遍遵循的流程呢？这就涉及到电子取证的程序问题。对此，国内外一些学者不约而同地选择从其基本模型切入。这里所说的模型，亦即模式，指的是某种事物的标准形式。它用在电子取证方面具有确定取证步骤的指导意义。
      早在1999年，美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了如下的基本取证流程：第一步，保护现场安全并进行隔离；第二步，对现场进行记录；第三步，系统地查找证据；第四步，对证据进行提取和打包；第五步，建立证据保管链。这一流程又被称为基本过程模型。[11]此后，事件响应过程模型、[12]执法过程模型、[13]抽象过程模型、[14]综合数字取证模型、[15]增强式数字取证模型、[16]基于需求的计算机取证过程模型、多维计算机取证模型、[17]可信计算取证模型[18]以及网络实时取证模型[19]陆续出炉。总的来看，这些模型是分别立足于不同的取证环境或技术的，所反映出来的取证流程也有所差异。其中最大的差异是，有的只适用于某一种或几种电子取证措施，如事件响应过程模型、网络实时取证模型等专门性取证模型，有的则适用于全部的电子取证措施，如基本过程模型、抽象过程模型等通用取证模型。
      笔者认为，电子取证的模型本质上属于技术层面，无需强求一致；但电子取证的程序本质上属于法律制度层面，应当有所统一。否则，一个国家便难以对这种新式取证措施进行有效的法律规制。我国电子取证程序的构建应当既 参考 上述各种模型，又不能受缚于模型理论；应当既参考传统搜查、现场勘查、鉴定、保全、技术侦查或通缉等取证措施的程序，又关注电子取证措施的特殊性。
      按照上述思路，我国的电子取证程序可以概括为四个环节：一是电子取证的准备阶段。这是基础性阶段，主要任务包括对电子取证的技术和设备的研发、取证人员的培训和选择、取证前的信息搜集、取证设备和器材的选择、取证计划的制定等。二是电子证据的收集保全阶段。这是初步的实施阶段，主要任务既包括对物理空间中电子证据的收集与保全，也包括对虚拟空间中电子证据的收集与保全，既包括对计算机主机与其他电子设备的临场取证，也包括网络下载等远程取证。三是电子证据的检验分析阶段。这是深入的实施阶段，它充分体现了电子取证不同于传统取证的特点。一般来说，传统取证多是“现场式”的，即主要活动都集中在证据所在地；而电子取证多是“实验室式”的，即主要实施活动都集中在证据分析实验室，调查人员在证据所在地开展的实施活动基本上是在为实验室分析做准备。为什么电子取证需要采取“实验室式”呢？其实道理很简单，因为计算机硬盘等虚拟空间是电子证据的大仓库，分析海量的电子证据必然要花费很长时间。若直接在犯罪嫌疑人的电脑上分析，既不能保证提取到有用的电子证据，又容易破坏原始证据造成难以弥补的损失。[20]四是电子证据的提交阶段。这一阶段是对取证结果进行汇总提交，主要任务是根据检验分析结果制作电子证据鉴定书、勘验检查笔录及其他书面报告。如果发现电子取证过程中存在问题，还应当提出相应的改进建议或补救措施。
      上述四个环节相互之间是层层推进的关系，在特殊情况下也可以有条件地回溯。例如，调查人员在电子证据的检验分析阶段发现取证有遗漏或者偏差的，不排除重新启动电子证据的收集保全阶段。这样的做法不仅在技术上是必要和可行的，还体现了我国诉讼法所确定的取证原则。如果套用学界推崇的模型理论，上述四个环节所构成的电子取证程序不妨概括为“抽象司法程序模型”（图示如下）。[21]
     
      四、电子取证的法律挑战与因应
      在世界范围内，电子取证登上人类司法舞台已经有些年头，而且发展态势迅猛。自从1991年在美国召开的国际计算机专家会议首次提出了“电子取证”一词[22]后，关于电子取证的实务和理论发展便一直处于快车道。特别是进入21世纪以来，几乎每年都有关于电子取证的重要国际会议召开，一些国家或国际组织也启动了电子取证的制度和平台建设。2001年2月，西方八国集团的司法和内务部长在意大利召开会议，重点研究关于查找和确认网络罪犯的解决方法；美国颁布了一系列法律旨在为打击计算机犯罪提供依据，联邦调查局设立了专门的电子取证实验室负责研究电子取证的标准规范；其他国家也陆续涌现出各种专门的电子取证部门、实验室和咨询服务公司。我国于2005年6月召开了首届

      下面以国外 法律 界极力推崇的 电子 证据保管锁链为例展开说明。所谓证据保管锁链，是传统上针对物证的一项制度，指的是涉及证据的收集、保全和分析各个环节的证据清单和转移手续所构成的保管体系，用以确认物证的真实性。具体来说，如果举证方拿出证据证明一项物证是由何人、何时、何地、如何从其发现处提取、处理、保管、直至提交法庭的，即形成了该物证的保管锁链，那么该物证的真实性就可以得到确认。在当前英美国家的司法实践中，执法人员在扣押物证时已经形成了一套保管锁链的惯例制度。这同样可以为调查人员在收集电子证据时用作保证其真实性的一项措施。美国学者艾琳·科尼利提出， 参考 法庭普遍采用的物证保管锁链之原则、政策和程序，调查人员应当从无损检验等九个方面入手保证电子证据的真实性。[30]显而易见，假如我国建成了电子证据的保管锁链制度，那就能在很大程度上解决电子取证过程中电子证据的保真问题。令人遗憾的是，证据保管锁链制度在我国并未得到正式推行。传统物证如此，更遑论电子证据。
      同样，在电子取证过程中通过技术比对的方式来验证和保证电子证据真实性的做法，虽然已经在一些司法实践中进行了成功的探索，但这远未转化为调查人员的自觉行为，更谈不上形成一条法律层面的刚性要求。因此，今后我国关于电子取证的立法应当明确在电子证据复制或提取过程中实施技术比对的必要性，并为此建立一些具体的规则。
      此外，需要特别指出的是，即便我国立法有效地落实了前述两条规则，也不可能化解关于电子取证保真的全部问题。司法实践复杂，个案中电子取证工作如何保证电子证据的真实性依然会遇到一些难以克服的困难。例如，远程取证是由调查人员通过技术下载等方式获取证据的，这种取证既难以通过比对方式判断真伪，也难以构成严密的证据保管链，因而其证据的真实性问题就需要在个案中具体判断。又如，为保证电子证据不失真，一般开展电子证据鉴定是在复制盘上进行的，但在特殊情况下电子证据无法复制，这时能否在电子证据的原始载体上进行类似化学物证鉴定中的“有损检验”就存在一个如何确保其真实性的问题。换言之，在遵循“无损取证”原则前提下，在特殊情况下能否实施不得已的“有损取证”，诸如此类的问题都需要人们从司法实践中去寻觅答案。
      再次，我国关于电子取证的法律制度缺失，如何保障所获取电子证据的合法性值得深思。当前我国关于电子取证的法律法规不多，主要是公安部、最高人民检察院所颁行的一些内部规章或工作规定，如《公安机关电子数据鉴定规则》、《 计算 机犯罪现场勘验与电子证据检查规则》和《人民检察院电子证据鉴定程序规则（试行）》等。它们针对的只是部分电子取证措施，并不能涵盖全部。即便是那些针对部分电子取证措施的法律规定也非常原则，难以直接用作判断电子证据合法性的依据，例如，在什么情况下通过 网络 监控、网络过滤、网络搜索、网络公证得来的电子证据可以采纳？网络人肉搜索和网络通缉如何用作有效的取证手段？计算机搜查是否需要办理搜查令？搜查或勘查电子证据时，能否停止整个网络服务器的运行？电子证据鉴定的规范化流程是什么？……诸如此类的问题都需要法律的规制。特别值得一提的是，在我国当前开展电子取证的实践中，调查人员经常面临能否使用未经核准的计算机软件（如自行开发的软件或未经合法授权的盗版软件）进行取证的情况，它们与所获取电子证据的合法性的关系也值得关注。
      要解决上述问题，一方面有赖于我国有关部门的专门性规定进一步充实，另一方面也寄希望于我国三大诉讼法修正时针对电子取证做出必要的规定。其中，前一任务涉及到《计算机搜查规则/工作规定》、《电子数据扣押规则/工作规定》、《电子档案管理规则/工作规定》、《网络公证规则/工作规定》、《网络监控规则/工作规定》、《网络过滤规则/工作规定》、《网络通缉规则/工作规定》以及《网络搜索规则/工作规定》等的出台，它们不仅是公安部、最高人民检察院的职能所在，同司法部、国家安全部、 工业 和信息化部等主管部委也存在密切的关系；后一任务正好与我国十一届全国人大常委会立法规划相吻合，按照该规划修改刑事诉讼法、民事诉讼法和行政诉讼法的任务将在近五年内完成。总之，为电子取证这一重要而高效的取证手段立法正名是具备“天时”条件的，能否取得重大突破关键在于“人和”，即学术界与立法界应当对电子取证立法的重要性形成清晰的认识，并协力做出关键性的推动。
      五、结　　语
      在信息技术飞速 发展 的21世纪，传统取证的电子化是一个不以人的意志为转移的 规律 ，各种新型电子取证技术的出现也是一个必然的趋势。如今这一变革已然发生，并将继续下去！在这个大背景下，计算机技术、网络技术、 现代 通信技术等信息技术给人类司法带来了翻天覆地的变化，同时也向各国证据调查实践提出了重大挑战。本文尝试着对电子取证这一新事物从概念、程序、原则与规则等方面做了梳理，特别提出了将电子取证的技术规制转化为法律规制的基本思路、以及基于该思路的主要应对措施。当然，本文所论及的只是一种初步的理论构想，期待各位方家的批评指正，更有待于国家有关立法实践的检验与具体化。
 
 
 
注释:
  [1]参见关非：《小荷才露尖尖角——国内计算机取证技术市场面面观》，载《信息网络安全》2005年第9期。
  [2]hon.shira a.scheindlin&jeffrey rabkin，“electronic discovery in federal civil litigation：is rule 34 up to thetask？”，41boston college lawreview（2000），p.333.
  [3]erin kenneally，“computer forensics”，27 magazine of usenix&sage（2002），p.8.
  [4]王彩玲、陈贺明：《浅析计算机犯罪取证与反取证》，载《吉林公安高等专 科学 校学报》2007年第2期。
  [5]张斌、李辉：《计算机取证有效打击计算机犯罪》，载《网络安全技术与应用》2004年第7期。
  [6]苏成：《计算机取证与反取证的较量》，载《计算机安全》2006年第1期。
  [7]参见王玲、钱华林：《计算机取证技术及其发展趋势》，载《软件学报》2003年第9期。
  [8]参见赵小敏、陈庆章：《计算机取证的研究现状及趋势》，载《网络安全技术与应用》2003年第9期。
  [9]静态取证所收集的是存储在未运行的计算机系统、未使用的存储器或独立的磁盘、光盘等媒介上的静态数据，这些数据不会随着计算机电源的切断而消失；动态取证所收集的是切断计算机电源后就会消失的各类易失性数据，如计算机当时运行的进程信息、内存数据、网络状态信息、网络数据包、屏幕截图和交换文件拷贝等等。参见张新刚、刘妍：《计算机取证技术研究》，载《计算机安全》2007年第1期。
  [10]远程取证是指通过远程连接的方式，从正在运行的计算机系统中获取电子证据的方式。see erin kenneally,“confluence o fdigital evidence and the law:on the forensic soundness of live-remote digital evidence collection”，5ucla journal oflaw and technology（2005），p.1.
  [11]farmer d.& venema w.，“computer forensics analysis class handouts”（1999），available at http：///forensics/class.html.
  [12]chris prosise&kevin mandia,incident response:investigating computer crime，osborne/mcgraw-hill，2001，pp.87-130.
  [13]technical working group for electronic crime scene investigation,“electronic crime scene investigation:a guide for first responders”2001,available at /eijiansuo/" target="_blank" title="">eith，clint carr&gregggunsch,“an examination of digital forensicmodels”，3 international journal of digital evidence（2002），p.8.
  [15]brian carrier&eugene h.spafford，“getting physical with the digital investigation process”，2 international journal of digital evidence（2003），pp.5-12.
  [16]转引自丁丽萍、王永吉：《多维计算机取证模型研究》，载《计算机安全》2005年第11期。
  [17]同注[16]。
  [18]参见李炳龙、王清贤、罗军勇、刘镔：《可信计算环境中的数字取证》，载《武汉大学学报》2006年第5期。
  [19]参见郝桂英、刘凤、李世忠：《网络实时取证模型的研究与设计》，载《计算机时代》2007年第4期。
  [20] 参见刘品新：《论计算机搜查的法律规制》，载《法学家》2008年第4期。
  [21]这里所谓的“抽象”，是指该模型适用于各种电子取证方法；所谓的“司法程序”，是指该模型立足于我国现行的司法程序制度。
  [22]当时使用的是" computer forensics" ，即狭义的电子证。
  [23] 参见许榕生：《国际计算机取证的操作规程标准化动态》，载《 金融 电子化》2003年第9期。这20项标准或规则如下：（1）取证分析与检查规程和协议的研究和评估一样，应当由持有资格证书的人员操作。他应当胜任取证工作，具有技术和科学方法，其道德品质也应当是无可置疑的；（2）无论何时设计出一种新的取证检查规程，使用前都应先对它进行鉴定和测试；（3）取证的最低要求应当提前制定并作准确说明；（4）技术标准应当保证获得最低要求的证据；（5）取证的操作规程应当与所制定的标准相符；（6）取证的操作规程和标准应当得到相关科学团体的认可，并应进行定期的复查；（7）取证工具应当获得许可证或授权才能使用，这些工具应当得到业界的认可或能通过科学评测；（8）应当确立对私人数据的访问权限（如在取证过程中，允许取证专家访问所有的私人数据），检查规程应当保障这些相关的权限；（9）取证检查应当根据某种标准模型得出结论；（10）取证专家应当对其检查结果和获得的证据负法律责任；（11）当某位取证专家在法律上不允许执行取证检查时（如当该取证专家与犯罪者有血缘关系时），应当提前通知；（12）为减少个人因素对结果的影响，取证检查人员应当不少于二人；（13）为确保取证专家准确而高效地工作，应当保证有一个良好的取证环境，特别是取证检查所需的设备和材料；（14）取证专家必须以科学的态度得出结论，即结论不能存在其他可能性；（15）无论何时对证据进行分析，取证检查都应当作为调查工作中必不可少的一部分；（16）应当保存取证证据，以进行第二次分析；（17）在取证专家到来之前，应当对现场进行保护。任何发生的变动都应当作出报告；（18）可以使用照片、图纸、图表等，以使检查结果尽可能地详尽；（19）应当事先获得对计算机的搜查证；（20）要确立在没有计算机搜查证的情况下取证的规章制度。
  [24]ioce ，“g8 proposed principles for the procedures relatingto digital evidence”，available at /core.php ？id=5.
  [25]同注[13]。
  [26] 参见乔洪翔、宗森：《论刑事电子证据的取证程序——以计算机及网络为主要视角》，载《国家检察官学院学报》2005年第6期。
  [27]参见丁丽萍、王永吉：《计算机取证的相关法律技术问题研究》，载《软件学报》2005年第2期。
  [28]参见何家弘主编：《证据调查》（第二版）， 中国 人民大学出版社2005年版，第162页。
  [29]关于我国应当建立的电子证据原件规则，参见刘品新：《论电子证据的原件理论》，载《法律科学》2009年第5期。
  [30] see supra note[10]，p.10.这九个方面具体包括：（1）严禁在收集、存储和分析过程中改变原始的电子证据（包括只在电子证据复制件上分析、对电子证据原件进行防篡改加密等）；（2）在收集、存储和分析电子证据的过程中严格作书面记录，记录的内容要特别包括收集到了何种电子证据，在何处收集到的电子证据，在收集之前、存储之际和检验之后何人接触过电子证据，电子证据是如何收集和存储的（包括所使用的工具和方法），电子证据是在何时收集的，等等；（3）对电子证据的任何改变作书面记录和解释，必要时建立稽核程序；（4）保持电子证据的连续性；（5）对有争议的电子证据进行完全复制；（6）复制电子证据的方法必须足够可靠（如可借助独立的哈希函数进行验证）；（7）尽可能采取安全措施（如采取防干扰存储措施、写保护措施等）；（8）正确标注各个环节的时间、日期和来源；（9）限制接触电子证据的人员，并进行记录。

 
  【主要参考 文献 】
  1.hon.shira a.scheindlin&jeffrey rabkin，“electronic discovery in federal civil litigation：is rule 34 up to the task？”，41 boston college lawreview（2000）.
  2.erin kenneally，“computer forensics”，27 magazine of usenix&sage（2002）.
  3.brian carrier&eugene h.spafford，“getting physical with the digital investigation process”，2 international journal of digital evidence（2003）.
  4.李炳龙、王清贤、罗军勇、刘镔：《可信计算环境中的数字取证》，载《武汉大学学报》2006年第5期。
  5.刘品新：《论计算机搜查的法律规制》，载《法学家》2008年第4期。
  6.许榕生：《国际计算机取证的操作规程标准化动态》，载《金融电子化》2003年第9期。

本文链接：http://www.qk112.com/lwfw/fxlw/minfa/115546.html