常见电子证据收集程序探析

2014-03-03杨瑜娴刘显鹏

西南交通大学学报（社会科学版） 2014年1期

杨瑜娴，刘显鹏

(1.武汉大学法学院，湖北武汉430072;2. 中南民族大学法学院，湖北武汉430074)

随着电子信息技术的迅速发展，人们的交流方式更加多元化，电话、短信、邮件、微信、微博等传递信息的电子数据形式日益丰富。为了更好地应对这些新颖、活跃却相对复杂的电子数据，修改后的《民事诉讼法》、《刑事诉讼法》将电子证据列为独立的证据类型，并赋予其法律上的独立地位。但目前立法层面还未进一步制定具体明确的电子证据规则，面对纷至沓来的电子合同纠纷、网络侵权纠纷、计算机犯罪等困扰现代社会的突出难题，司法实践迫切需要立法对电子证据的收集和调查进行具体指引。

一、电子证据收集程序的特殊性

电子证据是指借助电子技术和设备形成的，以数字化的信息编码形式出现的，用以储存并反映有关案件情况、证明案件事实的一切电子化信息、记录及物品。因其技术含量较高，收集电子证据的关键就是要把准电子证据的特点，除遵循证据收集的一般性规则外，在取证主体、取证内容和取证方法上还存在着一定的特殊性。

(一)取证主体需要具有专业技术知识

一般情况下，电子证据的收集主体仍然是当事人、法院或侦察机关。但因电子证据具有高科技特征，为保证数据以最真实、直观的面貌被呈现出来，在收集过程中相应会有较高的技术要求，即往往要求参与取证的人员必须具备一定的管理和操作电子信息的知识和能力，并在取证过程中遵循严格的行为规则和技术标准。同时，电子科技的迅猛发展使得电子技术更新换代的频率非常高，新技术日新月异，导致普通人很难保持对电子技术持续地了解和掌握，故通常不得不委托某方面的专业技术人员协助进行取证。而此处的专业技术人员，专指在相关专业技术部门中具有相关电子知识和电子技术，能胜任特定具体案件的证据收集的人员。

(二)取证内容包括电子证据本身及配套信息

电子证据赖以存在的基础是不稳定的磁性介质，这使得电子证据的收集越来越依赖于各项技术保障。电子证据多使用特定的二进制编码，信息呈现形式多样化，这使传统的证据收集手段不易保证其完整性〔1〕。电子证据的存储地点也往往不易察觉，其既可能存在于特定计算机或外围存储设备中，也可能保存在特定网络服务器中，数据还可能被进一步被隐藏或加密。因此，对电子证据进行收集时应从电子证据本身和相关配套信息两个方面着手。

从电子证据本身来看，应尽量收集原件。作为与案件事实关联性更强的证据形态，电子证据的原件对案件事实的证明效力一般较强，对其进行收集和固定往往能够起到较好的证明效果。同时，因电子证据多数可以精确复制，即复制件与原件高度同一，相关规则一般也认可符合特定条件的电子证据复制件的证明力。如《关于民事诉讼证据的若干规定》第22 条规定:“调查人员调查收集计算机数据或者录音、录像等视听资料的，应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的，可以提供复制件。提供复制件的，调查人员应当在调查笔录中说明其来源和制作经过。”

从电子证据的配套来看，收集电子证据时应一并收集相关运行记录和系统信息。作为电子证据的数据和信息以不可直接读取的电讯代码的形式存储在各类现代化计算、通信和信息处理介质中〔2〕，其对运行环境的依赖性很高，它的整个运行过程都必须借助一定的硬件设备和软件平台。反映特定数据电文生成、存储、变更及传输等过程的电子记录可用来证明数据电文的真实性，运行数据电文的电子设备及其系统可用来证明特定数据电文的完整性和原始性。因而，电子证据的可采性和关联性很大程度上取决于所依赖的系统设备的性能，借助于高性能电子设备一般能获得较强证明力的电子证据，并且，在特定情形下还需要系统操作人员对电子证据存在的系统和技术设备的性能及可靠程度等相关情况予以证实。

(三)取证过程具有特殊的程序要求

在收集电子证据过程中，传统的纸质记录被光盘、磁盘等电子介质所取代，肉眼能识别的记录追踪的线索也由于电子设备的自动生成而中断，收集线索模糊化、隐形化，取证难度大大增加。电子取证的基础工作和关键环节是获取物理证据，即最大限度地保证原始数据不受到任何破坏。在此阶段，取证人员必须遵循的行为准则是任何情况下均不能改变原始记录，不得执行无关操作，并杜绝他人可能改变数据的机会，取证人员应该详细记录取证的全过程，同时妥善保存所取得的数据信息。在特定情形下，对电子证据采取搜查、扣押(包括截取网络传输信息)等措施时可能会涉及受法律保护的隐私或秘密等信息，此时应该事先获得司法机关的授权或证据持有者的许可。其后，必须由司法人员、当事人和技术人员共同完成对电子数据介质的拆卸、移交、保管、开封等各个环节，每一个过程都应该核实电子证据的完好性和真实性，并制作详尽笔录，由参与主体共同签名。灵活运用电子证据的易存储特性，将载于原始介质的电子证据存放于专门的证据保存场所由专人保管，同时由取证人员共同制作两个副本，对复制品进行信息的提取和分析。需要注意的是，存储电子数据的介质和场所应远离高磁场、潮湿、高温、挤压、灰尘等危险恶劣的环境。如运送易受无线电波影响的电子证据时要关闭无线通讯设备，以免其工作时产生的电磁场破坏数据。

(四)取证方法因电子证据的技术类型而不同

多样化的技术类型使电子证据呈现出丰富的具体形态，收集不同类型的电子证据所采取的方法也会有所区别。一方面，电子证据的存放方式和地点与传统的证据有所不同，它往往保存在特定电子设备中(如计算机硬盘、外围存储设备或网络服务器等)并以电子数据的形式呈现出来〔3〕。这种对存储设备的高度依赖性使得硬件损坏、误操作、数据加密、隐藏、病毒以及黑客袭扰等诸多原因均可对电子证据的顺利收集带来困扰。在收集电子证据时，应针对各种存储设备采取不同手段，尽量保证电子证据的完整性，最大程度考虑身份验证、数据恢复、病毒防范以及黑客入侵等安全因素。另一方面，以数字化信息编程的形式出现的电子证据，其产生、储存和传输的各个步骤均需借助各类电子技术，否则电子证据即成为“无本之木”。尽管在没有外界蓄意篡改或差错影响的情况下，电子证据一般能够较准确地保存并反映案件事实，但技术的失真同样会对电子证据的收集效果产生“致命”影响，故收集电子证据时一定要甄别不同技术类型，准确应用相应收集技术，从而保证电子证据收集的可靠性和真实性。

总体而言，应根据电子证据的具体类型采取不同的收集方式。而常见的电子证据主要有三种:其一是封闭操作系统中的电子证据，该系统是电子证据存储的终端平台，常用系统有计算机、手机等;其二是网络电子证据，是指在开放网络中存在的、由网络语言构成的证据形态，主要形式有网页、电子邮件、电子聊天记录等;其三是通讯电子证据，是指在电子通讯过程中由通讯信息构成的证据形态，主要形式有通话、短信等。前两种是电子证据最重要的组成部分，是电子技术发展的集大成者。但在具体案件中，电子证据的表现形式丰富多样，应针对具体情形采取相应的收集手段。

二、封闭操作系统中电子证据的收集——以计算机为例

作为单个标准化操作系统中的特定电子数据，其与该系统所有者或使用者的联系最为紧密也最为直接，故是实践中最为常见的电子证据，亦是对该系统所有者或使用者所涉案件事实证明力最强的电子证据类型。计算机技术的日新月异带动了计算机和手机操作系统的快速发展，计算机与手机在收集电子证据时有很多相似性，本文以计算机为例探讨常用封闭操作系统中电子证据的收集。

计算机取证(Computer Forensics)也称计算机法医学，指把计算机看作犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式解剖，搜寻、确认罪犯及其犯罪证据，并据此提起诉讼〔4〕。以往的司法实践中，收集计算机证据一般采取复制、打印等简单取证方式，但随着计算机硬件和软件技术的发展，司法人员显然已无法有效解决一些专业技术问题。鉴此，在特定情形下，对计算机证据的收集需要借助专业技术人员的力量，即采取专业取证的方式。总体而言，对计算机证据的专业取证主要有以下几种方式。

第一，解密。为了有效保护特定电子数据的私密性，在信息传输或存储中，计算机用户采用密码技术对需要保密的信息进行处理，使得处理后的信息不能被非授权者读懂或解读，这一过程称为加密。在加密处理过程中，需要保密的信息称为“明文”，经加密处理后的信息称为“密文”〔5〕。加密即是将“明文”变为“密文”的过程。实践中，加密既可以通过计算机操作系统自带的程序进行，亦可以借助第三方加密软件实施。而且根据不同的需要，既可以实现对文件本身的加密，也可以做到对用户权限的限制。这些被加密的电子数据往往是证明案件事实的关键证据，此时，便需要专业人员运用密码分析、密码破解、口令搜索、口令提取以及口令恢复等专业技术对信息加以解译，从而将“密文”变为“明文”，这一过程便是计算机证据收集过程中的解密〔6〕。解密成功后，便可对特定计算机证据进行一般取证。同时，为防范电子数据在解密过程中被丢失或损坏，应备份被解密文件，必要时可通过录像存档解密的全过程，保证解密过程的规范性和严谨性。

第二，测试。在计算机证据收集过程中，如果涉及到与软件设计或使用有关的问题时，应由专业技术人员现场使用事先制作的测试文件对特定软件进行测试〔7〕。该测试是使用人工或自动手段来运行某个系统，从而检验其是否满足规定的需求或预期结果与实际结果之间的差别，根本目的在于鉴定软件的正确性、完整性和安全性。经过测试后，如果发现软件存在问题，专业技术人员应对软件予以检查或提取固定，并使之成为证明案件事实的相关证据。

第三，恢复。在存储介质损伤、操作系统故障以及操作人员故意或过失操作等情况下，计算机中的某些数据可能出现看不见、无法读取或丢失等情形，这会对相关证据的收集造成阻碍。此时便需运用电子数据恢复技术，对保存在计算机硬盘、服务器硬盘和软盘、移动硬盘、USB 闪存盘或可存储光盘等移动储存设备上丢失的电子数据进行抢救和恢复〔8〕。数据恢复技术所恢复的数据主要是应用数据，包括用户专有的文本、数据表、照片、图像、视频、电子邮件以及数据库文件等，用户不仅关心文件内容，亦需要文件的完整。一般而言，计算机系统具有对数据自动生成备份和恢复的功能，专业的数据库安全系统还会为重要数据进行专门的备份。这种系统大多由特定的设备和操作管理模式构成，其中的数据较难被篡改。当相关数据被修改或破坏时，可恢复自动备份数据，通过与已被处理过的数据进行对比来获取相关证据。如果数据连同备份都被改变或删除，则可在专业技术人员的协助下，通过计算机系统组织数据的链指针进入小块磁盘空间，从中发现数据备份或修改后的剩余数据并进行比较和分析，进而恢复部分或全部的数据〔9〕。数据恢复技术主要用于把删除或者通过格式化磁盘擦除的数据恢复出来。删除文件时，计算机系统只是在文件分配表内在该文件前面加上了一个删除标志，表示该文件已被删除，其所占用的空间已被释放，而其他文件可使用该释放的空间。故当文件被删除后又想重新找回时，只需用恢复工具将删除标志去掉，数据即可被恢复。格式化操作与删除相似，也仅是操作了文件分配表，只不过是将所有文件都加上了删除标志或干脆将文件分配表清空，系统将认为硬盘分区上不存在任何内容。从本质上看，格式化操作并未对数据区做任何操作，目录虽空但内容尚在，借助数据恢复工具即可恢复相应数据。

第四，截获。从物理属性上来看，电子信息的形成和传播需要借助电磁场的力量，而在电子场作用的范围空间内，电子信息可能为他人所截获〔10〕。即便在封闭的介质中传输，也难免发生电磁泄漏现象，而这些泄露的电磁信号中即可能包含某些重要的信息。计算机系统在使用过程中也可能发生电磁泄漏的情形，故也可通过一定技术手段对相关电子数据进行截获。但应注意的是，电磁泄露一般为部分泄露，故对弥散在物理空间中的电磁信息进行截获也仅能达到部分取证的效果，只有通过在电子数据传输所经过的线路上架设各类工具并运用各种程序，才能持续、完整地实现全面截获的目的。

三、常见网络电子证据的收集

网络电子证据的收集主要在开放的网络上进行，需要通过各种手段对大量具有证明作用的网上信息进行固定和保存。但由于网上信息处于经常性变化状态，而且极易被不留痕迹地修改，故与封闭操作系统中电子证据的收集相比，网络证据的收集难度更大。

(一)网络遭受异常侵入时证据的收集

由于网络日志是记载网络信息变化情况的最直接证据，因此当网络遭受异常侵入时，首先要对网络日志进行检查和保存。对此类证据的收集乃需从计算机操作系统的系统日志、应用程序日志和安全日志入手并具体展开。这些日志具体包括操作系统事件日志、操作系统审计日志、网络应用程序日志、防火墙日志、入侵检测日志和受损系统及软件镜像等〔11〕。为防止这些证据文件在恢复系统备份时丢失，应先使用系统镜像软件将整个系统做镜像保存后再进行恢复。要注意的是，网络设备当前的工作状态在断电后即会消失，因此在系统关闭之前一定要将计算机系统和网络设备的易失性数据保存下来。

可以使用计算机系统中的事件查看器查看并管理日志。基于主机的检测器可以检测到系统类库的改变或敏感位置文件的添加。当结合所有现有的基于网络的证据片断时，就有可能重建特定的网络事件。大多数的网络流量在其经过的路径上均会留下监查踪迹。路由器、防火墙、服务器、入侵检测器以及其他网络设备都会保存日志，记录网络突发事件。入侵检测器可以根据签名识别或异常的检测过滤器来捕获攻击的一部分〔12〕。取证人员需查找在地理上不同的所有日志，使之关联，并为每个日志提供保管链，从而最终重建特定网络突发事件。

(二)电子邮件的收集

作为通过网络进行书写、发送和接收的信件，每份电子邮件的发送都涉及发送方与接收方。发送方构成客户端，接收方构成服务器，而服务器又含有众多用户的电子信箱。发送方通过邮件客户程序将编辑好的电子邮件向邮局服务器发送;邮局服务器识别接收者的地址并向管理该地址的邮件服务器发送消息;邮件服务器将消息存放在接收者的电子信箱内并告知接收者有邮件到来;接收者通过邮件客户程序连接到服务器后就能看到服务器的通知，进而打开自己的电子信箱来查收邮件。因为收件箱中的邮件均为只读文件，收件人无法修改，因此其可以较真实地反映相关通信内容〔13〕。当然，应保证电子邮件的收集环境安全，未遭受病毒等异常侵袭。当特定电子邮件在系统优良的计算机中展示出来后，可通过打印或复制等方法将其固定起来;同时，在法庭上也可通过计算机系统直接展示电子邮件的相关内容。

(三)电子聊天记录的收集

通过专门的网络聊天工具，用户在互联网和移动通讯网络上实时发送文本、图像和声音等信息会形成通讯记录。通过分析这些记录，可以即时了解聊天参与人的相关情况，故它们也成为一种可证明案件事实的重要的网络证据。相对于电子邮件而言，电子聊天记录存在的环境更为开放，收集起来亦更为困难〔14〕。在收集电子聊天证据时最核心的内容是聊天记录本身，其可由网络服务商提供;若网络服务商未予保存，则可从参与者使用的计算机系统中调取，并以打印或复制等方式固定下来。对于被加密或篡改的聊天记录，可聘请专业技术人员进行解密或恢复处理。此外，为确保聊天记录的完整性和真实性，尚需收集个人信息证据和系统环境证据，前者是为确定参与人的具体身份(如IP 地址、上网账号、服务器信息和信息传递路径等)，后者可以辅助证明网络聊天证据的可靠性。

四、常见通讯电子证据的收集

通讯电子证据的收集主要在通讯设备上进行，与网络电子证据一样，需要通过各种手段对大量具有证明作用的通讯信息进行固定和保存。更为重要的是，由于通讯方式具有时效性、直接性，需要满足确认通讯人身份、通讯时间等要求。

(一)通话信息的收集

虽然目前学界在录音等证据资料的获取途径和效力等问题上存在不同的认识，但不可否认，通话记录和通话内容等信息在审判实践中的运用越来越广。对于通话记录而言，当事人凭有效证件一般可较为顺利地从电信运营商处获取;而通话内容的收集则要通过录音方式取得。因条件和环境等各方面因素的影响，录音材料的顺利获取并非易事，因此应明确对通话内容录音的相关要求。

第一步，准备条件。为确保通话的顺利进行，在录音前应从三个方面进行准备:其一，检查录音设备，防止通话过程中因技术问题影响录音效果。其二，选择合适场合。一般来讲，越早交谈，对方的防范心理就越弱，此时录音的效果就越理想，若在对方防范心理增强后再录音，效果可能不尽如人意。同时，应尽可能选择环境较好的地方录音，从而保证录音质量。

第二步，确定身份。录音时首先要明确各方当事人的身份信息等情况，如姓名、职业等，只有主体身份先确定下来，才谈得上通过录音证明双方存在的事实。发问时要注意方式，尽量使用全名或全称，同时要避免引起对方的防范。

第三步，表明时间。录音的时间应在通话过程中有所体现，虽不必表述非常清楚，但至少应能确定大致时间或能通过逻辑推断出时间，至少能够根据录音内容明确事件发生的先后顺序。这一点在涉及证明事件未过诉讼时效时尤为重要。如在借款纠纷中，债权人若无证据证明其通过持续催款的方式延续诉讼时效，则在债务人作时效抗辩的情况下，法院很难支持债权人的诉讼请求。鉴此，债权人可通过同债务人谈话录音的方式证明债权人持续催款的事实。

第四步，把握节奏。录音者应提出话题或提出质疑问题以便引导、促使被录音人自己说出事实真相。不要在录音中说一些无关紧要的事情(必要的发问技巧除外)，一定要控制通话的节奏，必要时应书面罗列下来以免遗漏。录音者要铭记录音的目的，注意控制自己的情绪，坚持录音者少说话，让被录者多说话(被录者沉默并不视同其承认)，避免用较大的声音和激烈的言词去压制对方。同时，录音过程不能有间断，不要因被录者表述与案件无关的事情就暂时停录，否则可能会使法院认为录音有处理嫌疑从而导致对录音者不利。

第五步，保存原件。录音材料的可变性使得对录音进行修改、剪辑和添加等处理非常容易。这就要求一定要保存好录音原件，不能随意移动、复制或删除。同时，录音者应将录音内容整理成书面材料，在向司法机关递交录音时一并提交。

(二)短信内容的收集

作为借助无线通讯网络技术、通过手机发送和接受的方式在移动网络上储存和转寄的简短信息，短信这一表述社会主体思想内容的载体以其简洁、便利和即时性强等诸多优点成为当今人们沟通和交流的重要手段。每个手机用户的手机号码和入网证号都是唯一的，短信发出后，接受者手机又能显示对方的手机号码。尤其是在手机实名制的情况下，手机用户身份和所用手机“绑定”在一块，这就意味着短信一旦生成，只要不被删除，其即可被固定在发送方和接收方的手机上，进而确定双方的真实身份;这就可以较为有效地被收集和保全，从而成为证明案件特定事实的重要利器。具体而言，对短信证据的收集要注意三点:其一，短信内容必须是与传递信息主体行为相关的思想内容的表述;其二，能够明确知悉或查明相应手机使用人或信息接发主体的真实身份;其三，短信内容必须能够被知悉并固定。如果不能全面地收集这些资料，则涉案短信不一定能够作为法院认定案件事实的依据。

收集短信证据时，取证者应将短信连同存储该手机短信证据的电子信息设备(手机)或电子信息介质(手机卡)一起收集〔15〕。在获取原始电子信息设备(手机)或电子信息介质(手机卡)不方便的情况下，取证者可以利用手机转发功能将特定手机上的短信转发到其他手机上，并用记录资料记录下原手机短信的发送方、接收方、发送时间以及短信息服务中心号码等相关信息。取证者还可借助专用软件将手机短信存储到计算机或其他存储设备中，并用记录资料记录下计算机没有存储到的与短信生成及传输等有关的信息。

在短信证据收集过程中，首先要确定信息发送者的真实身份。在信息发送者与手机登记用户一致的情况下，可通过运营商来确定信息发送者的身份;在两者不一致的情况下，则可通过保留通话录音或保存即时照片的方式来确定信息发送者的身份〔16〕。就传输信息的时间而言，用户必须设置时间功能，这样发送和接收才能有记录，否则无法证实发送和接收时间;就发送情况而言，用户可设置信息回复功能，从而掌握信息发送的状态;就信息内容而言，用户一定要完整地保存信息内容，不要出于各种原因进行修改或变动。此外，在接受信息者未将短信删除的情况下，取证者可直接将此信息予以储存，并将手机封存;在与案件有关的短信被删除的情况下，取证者可通过手机短信运营商来调取短信内容。具体而言，取证者可持合法证件通过运营商的储存信息将对应的手机短信的发送时间、双方手机号以及内容等信息打印出来，并由在场的运营商工作人员签字盖章以证实出处。

〔1〕虞磊浩.论电子证据对刑事搜查的挑战〔J〕.中国刑事法杂志，2009，(6):52 -57.

〔2〕张睿.论民事诉讼中的电子证据〔J〕.中州学刊，2009，(3):24 -29.

〔3〕李哲.电子证据若干问题探讨〔J〕. 西南政法大学学报，2007，(6):58 -63.

〔4〕高岚.计算机取证有效遏制网络犯罪〔N〕. 中国计算机报，2002-11-11(21).

〔5〕杨永川，李岩.电子证据取证技术的研究〔J〕.中国人民公安大学学报(自然科学版)，2005，(1):55 -62.

〔6〕叶红.电子取证点中网络犯罪死穴〔N〕. 中国计算机报，2007-05-21(22).

〔7〕徐燕平，吴菊萍，李小文.电子证据在刑事诉讼中的法律地位〔J〕.法学，2007，(12):47 -53.

〔8〕叶红.电子取证:打击计算机犯罪的利器〔N〕.中国计算机报，2007-07-30(7).

〔9〕王笑强.数据恢复技术成为电子取证的核心技术〔N〕.中国计算机报，2009-11-23(41).

〔10〕梅贤明，何晓慧. 构建电子证据采信规则迫在眉睫〔N〕.人民法院报，2007-08-03(3).

〔11〕熊志海，吴映颖.网络证据浅析〔J〕.重庆邮电大学学报(社会科学版)，2007，(1):91 -95.

〔12〕吴建蓉.巧妙收集入侵Windows 系统的证据〔J〕.信息化建设，2005，(9):42 -44.