天津市人民检察院第二分院课题组

（天津市人民检察院第二分院，天津300210）

·司法理论与实践·

论电子数据的刑事司法适用

天津市人民检察院第二分院课题组

（天津市人民检察院第二分院，天津300210）

继2012年中华人民共和国刑事诉讼法修订实施后，电子数据在刑事司法证明中发挥的作用越来越重要。然而，如何提取电子数据、审查电子数据的真实性与合法性、对电子数据进行举证、质证和认证？司法实践中的这些具体问题尚无现成答案。确定电子数据基本范畴，并对电子数据在侦查、起诉、审判中存在的问题进行综合分析，界定电子数据收集、鉴定、审查、认证的具体规则，特别是根据抽象司法程序模型，对电子数据的取证规则进行详细地叙述与论证，为电子数据的刑事司法适用提供切实可行的具有法律性和技术性的操作规程，就成为司法实践和司法理论界急需解决的问题。

电子数据；司法适用；取证规则

科技的发展不仅提升了人的生活质量也影响着司法证明活动。当计算机、手机、互联网成为社会生活密不可分的元素时，电子数据已经在刑事司法中凸显出愈来愈重要的地位，这不单体现在计算机犯罪中，普通刑事案件中电子数据也经常成为认定事实的关键。也许我们还未做好准备，电子证据时代已悄然来临，在不久的将来电子数据必将成为新的“证据之王”。2012年修正的《刑事诉讼法》将虽然将电子数据列为新的证据种类，但在司法实践中如何使电子数据适应刑事司法现实，依然存在诸多疑难和困惑，问题并未因新法原则性的规定而得到解决。本文在界定电子数据基本范畴的前提下，就侦查、起诉、审判中电子数据的适用问题进行阐述，意图为电子数据的刑事司法适用提供切实可行的措施。

一、电子数据的基本范畴

（一）电子数据的概念

可能比电子数据出现频率更多的词是电子证据，二者有何区别？根据公安部公共信息网络安全监察局《计算机犯罪现场勘验与电子证据检查规则》（以下简称《电子证据检查规则》）的规定，电子证据包括电子数据、存储媒介和电子设备。在此，电子证据是电子数据的上位概念。实践中对两个概念常混同使用，不加区分。本文遵照习惯，认为二者在刑事司法中为同一意义的概念，作为证据的电子数据即为电子证据。鉴于新《刑事诉讼法》和《民事诉讼法》均采用电子数据一词，本文亦使用电子数据这一称谓。

电子数据的概念可谓五花八门，本文不一一介绍。一种颇为流行的定义是“电、数字、磁性、无线电、光学、电磁或者类似手段生成、发送、接收或者储存的信息。”按照这一定义，用胶片相机拍摄的照片无疑是以光学、磁性手段生成的信息，此照片是否为电子数据？显然是否定的，脱离信息存在的方式难以对证据进行正确的归类。

证据是证据事实与证据载体的统一[1]。实质上证明案件事实的是符合证据资格要求的载体上记载的信息，即证据事实。信息必然依附于一定的载体，没有了证据载体，证据事实也就成了无源之水。不同种类证据的区分体现在证据载体的差异即信息的物理存在方式的差异，电子数据与传统证据的区分亦然。本文定义电子数据为借助电子设备生成以电子形式存在的信息。电子形式是指，电子数据是由计算机语言“0”和“1”组成的二进制代码进行的数值运算。

定义总是具有抽象性，列举则具有直观性。《关于办理死刑案件审查判断证据若干问题的规定》（以下简称《死刑案件证据规定》）列明电子数据包括：电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名。

（二）电子数据的特征

关于电子数据的特征，各家论述大同小异，本文仅为下文分析之必要，简要介绍四个特征。

特征1：高科技性。电子数据的生成及存在方式决定了其高科技特征。与传统证据相比，电子数据难以被人直接感知且其载体具有海量存储性，其发现、提取、保存和展示过程都需要以技术手段为基础，对人与工具都提出很高的技术要求。

特征:2：派生性。电子数据由内容数据和附属数据构成。内容数据是记载一定社会活动内容的信息，例如手机短信息的内容、MSN聊天记录。附属数据是记录数据自身生成、修改、储存等与内容数据相关的环境和适用条件的信息，是自动生成的，例如WORD文件属性中显示的位置、大小、占用空间、创建时间、修改时间、访问时间、MD5值、SHA1值等[2]。电子数据的派生性即指附属数据不仅证明案件事实同时证明电子数据本身。

特征3：脆弱性。一是电子数据本身容易被损坏，而且很多时候一旦遭到损坏便不易逆转。简单的开机、关机都会导致电子数据的丢失或者改变。“一个开机动作会造成近10万个文件的改变。直接断电关机的行为又会导致随机存储内存(RAM)中的数据消失”[3]。二是电子数据容易被修改且难以被察觉。电子数据的脆弱性对取证工作提出很高的要求。

特征4：再生性。再生性是电子数据与传统数据相比差异最大的特征，这也是由其本身的高科技性决定的。物证、书证如果被销毁就无法重生，删除的电子数据通常可以借助专业的数据恢复软件得到恢复。为什么删除的电子数据可以恢复？其实，在删除电子文件的时候并没有真正删除存储于磁盘空间上的数值运算，只是修改了文件分配表（FAT）。文件分配表相当于目录索引，其作用在于记录文件所处的位置，修改文件分配表并不会删除相关数据。

（三）电子数据的分类

如同电子数据的定义，电子数据的分类也是见仁见智。根据下文电子数据取证分析的需要，本部分简要介绍一种分类：根据电子数据取证方式的差异，将电子数据分为静态电子数据和动态电子数据。此分类为业内通行分类，有学者对此提出异议，认为将电子数据分为固态电子数据和易挥发电子数据，更具有实践操作上的意义[4]。本文认为动态电子数据包含了易失数据（即易挥发数据）和受保护数据①，因此，依然采用业内通行分类。

静态电子数据是指电子设备中存储的不发生变化的数据，既包括计算机、手机等电子信息处理设备中存储的电子数据，还包括硬盘、U盘等移动存储设备中存储的电子数据[5]。固定在电子设备中的静态电子数据不发生变化，能够长时间保存，相比于动态电子数据而言，取证难度相对较低。

动态电子数据是指易发生变化及持续发生变化的电子数据，通常在切断电源后会消失。动态电子数据的常见形态为网络传输中的电子数据，如浏览中的网页、下载中的文件等②。动态电子数据的另一常见形态是计算机系统在运行一些应用程序中产生的短暂存储于计算机内存或磁盘中的临时数据[6]，如程序运行的进程信息、内存数据等。内存数据易丢失，通常在关机后十几秒就会消失，原因在于内存只是暂时存放CPU中的运算数据。相比于静态电子数据，动态电子数据对取证工作提出了更高的要求。

二、侦查阶段电子数据适用

（一）当前电子数据的取证困境

一个真实案例：犯罪嫌疑人贾某杀害被害人吴某后，将吴某的手机SIM卡取出放入自己的手机中，随即用该手机给吴某的父亲发出敲诈勒索短信。侦查机关根据该短信运用技术手段将贾某抓获。侦查机关将该短息以拍照方式提取入卷，将案件移送审查起诉。手机短信是确定犯罪嫌疑人的重要证据，拍照提取的方式是否恰当？检察人员认为，手机短信为电子数据，以拍照形式提取的短信即不能反映信息的发送号码也不能反映信息的接收号码，不符合《死刑案件证据规定》第29条对电子数据的要求，要求侦查机关重新提取手机短信这一电子数据。侦查人员竟表示从来没有提取过手机短信这种电子数据，不知如何提取。

上述案例并非偶然。实践中，除了计算机犯罪案件中适用电子数据外，普通刑事案件提取电子数据难得一见。笔者所在地区另外一起提取手机中短信息、照片及视频数据的案件，侦查单位委托公安部物证鉴定中心才提取相关数据。可见，尽管新《刑事诉讼法》将电子数据列为独立的证据种类，尽管《电子证据检查规则》2005年即已实施，但是，司法实践部门对刑事案件中电子数据取证缺少必要的证据规则意识，侦查单位的技术条件也未达到实践的需要，难以应对大量出现的电子数据。电子数据取证任重道远。

（二）电子数据取证原则与规则

本文中的取证包括勘查、提取、保存、鉴定。上文提到电子数据具有高科技性、脆弱性等特征，为保证电子数据的有效性和可信度，电子数据取证必须遵循比传统证据取证更严格、更专业的原则和规范。

1.取证原则分析

电子数据的取证原则，国际上习惯于遵循英国高级警官协会（ACPO）提出的计算机取证四大基本原则[7]：

原则1：不损害原则。取证人员不能采取任何改变计算机或存储介质中数据的行为。这也是在计算机取证分析时要使用只读锁链接分析存储介质的原因。只读锁是硬盘的写保护装置，能有效的保护存储设备中的电子数据取证的安全性，数据能够从原盘读出来，但不会被修改，从而保证电子数据提取与鉴定的完整性和有效性。不损害原则是公认的电子取证核心原则。

原则2：避免使用原始证据。取证人员要避免使用原始证据进行分析。这也是为什么取证分析一般都是在硬盘副本，并用只读锁分析的原因。

原则3：记录所做的操作。取证过程中，应当完整地记录证据的提取、保存以及传输的过程，并妥善保存这些记录以备随时查阅。第三方应能根据之前记录的操作，取得相同的结果。该原则有助于评判所取得的电子数据的有效性。

原则4：遵循法律法规。取证人员在遵循技术规则的基础上必须遵循当地的法律法规来进行电子数据取证。

2.取证规则分析

前文提到当前电子数据取证工作存在的一个问题是侦查人员不知道如何取证。那么，电子取证有无可供普遍遵循的流程呢?自1999年,美国人法默和韦尼玛率先提出基本取证流程即基本过程模型③后，各种模型层出不穷，本文亦无意雷引，仅简要介绍对实践产生较大影响的抽象司法程序模型。下文亦按照此模型论述具体的取证规范。

根据抽象司法程序模型，电子取证程序包括四个环节：一是电子取证的准备阶段，此阶段任务主要包括对电子取证的人员、技术和设备的准备、取证前的信息搜集、取证计划的制定等；二是电子数据的收集保全阶段，既包括对计算机和其他电子设备的现场取证,也包括网络下载等远程取证；三是电子数据的检验分析阶段，与传统取证多为现场式不同，电子取证主要活动都集中在专门的电子数据分析实验室，原因在于电子数据存储介质具有海量存储性，分析海量的电子数据需要借助专业的工具、花费很长的时间，若直接在原始存储介质上分析,既不能保证提取到有用的信息,又容易违反不损害的取证原则；四是电子取据的提交阶段，主要任务是对取证结果进行汇总提交——根据检验分析结果制作电子证据鉴定书、勘验检查笔录及其他书面报告[8]。

第一，准备阶段取证规则。本部分提到的规则既包括技术规则也包含法律规则，技术规则经过法律确认会上升为法律规则，因此二者并不存在分明的界限。电子取证的发展方向应当为由技术性规则发展为法律性规则，以便于审查起诉阶段和审判阶段对电子数据的审查判断。

准备阶段首先要确定的就是取证主体的问题。根据《电子证据检查规则》的规定，取证人员不得少于二人，且应当具备电子数据检查的专业技能。此外，现场勘验检查还应当由与案件无关的人作见证人，此规定与一般的勘验检查并无区别。

除了明确取证目的——意图获取的电子数据、了解信息载体的详细情况以外，准备阶段还应根据取证对象选择具体的取证工具、软件。例如，从手机中提取电子数据通常准备以下工具：SIM卡读卡器、信号屏蔽设备、手机内存获取设备、芯片编程器、手机取证软件等。

SIM卡读卡器的作用在于，在对SIM卡进行取证的过程中，需要使用SIM卡读卡器进行连接到分析机器。信号屏蔽设备的作用在于，防止因为开机状态下，手机接收到新的来电或者短信而导致将手机内部原有数据覆盖造成证据灭失，常见手机信号屏蔽设备有信号屏蔽盒、信号屏蔽袋等。手机内存获取设备可以通过红外线、蓝牙或数据线的方式来提取数据，其中通过线缆连接来取证的方法是最为可靠的，但有时也可以通过蓝牙或红外线的方式获取通过线缆提取时丢失的一些区域的数据。芯片编程器的作用是，在手机已经损坏或者无法开机，一般的修复工作无效的情况下，可以使用芯片编程器，将芯片中存储的数据读出转储，并对转储的数据进行后期的分析，需要注意的是，这种方式会对手机产生破坏性影响，必须慎重使用[9]。

第二，收集保全阶段取证规则。此部分为电子取证的关键阶段，处理不当会导致电子数据的丢失或损坏，在此主要介绍计算机取证收集保全注意事项。此阶段简要流程图如下:

下面根据动态、静态电子数据的划分，以计算机数据的提取位列介绍电子数据提取的具体规则。

动态电子数据的提取。如果计算机处于开机状态，不要立即关机。应当首先采取措施提取易丢失数据，如屏幕显示信息、桌面信息等（此类信息通常用拍照或录像的方式即可提取），这些信息在关机后会丢失[10]。正常关机可能导致硬盘中数据被部分覆盖或丢失，应当采取尽可能少丢失数据的方式，通常采用的方式是直接断开电源（前文提到此方式也会导致RAM中信息丢失）。

静态电子数据的提取。如果计算机处于关机状态，不要盲目开机。应当首先记录计算机所有线缆及设备的连接状态。然后开机进入BIOS（基本输入输出系统）④，记录显示的系统日期和时间，如果该时间与标准时间不一致，应记录存在的差异，以备后续的取证分析需要。对于硬盘数据的提取应当遵从取证原则1和取证原则2，使用用硬盘复制机复制(即镜像复制)，以防后续分析中直接分析硬盘数据造成的数据篡改，也可避免硬盘以后可能出现故障导致分析不能。

电子数据保全。证据保全是证据收集的延续。电子数据保全是采取一定的措施将电子数据固定下来并妥善保管,以保护电子数据的完整性、真实性和原始性。根据保全方法的不同,“电子证据保全可分为常规方法保全和特别方法保全,前者包括勘验、扣押、调取、复制等,后者包括网络保全、技术扣押、电子档案管理等”[11]。

几类常见数据的保全：对于移动硬盘、U盘等电子物证,应当复制原件后封存原物并妥善保管；对于网上信息,应当依照动态数据提取规则下载复制后封存存储介质妥善保存；对电脑程序病毒等运用传统方法难以保全的电子数据,应当实施镜像复制、数据隐藏技术等专业技术进行保全[12]。采取任何一种保全措施都应当及时制作电子数据固定笔录、清单。《电子证据检查规则》第十四条对电子数据的完整性校验、制作原始存储介质的备份等电子数据的固定和封存方式做了明确规定。

第三，检验分析阶段取证规则。取证分析指的是对相关存储介质中数据的解析、查看，提取有关的线索或证据。主要涉及数据恢复技术⑤、数据解析技术和密码恢复技术。对电子数据的分析检验应当由专业技术人员运用专门的软件（如Encase、FTK）进行。

数据分析以分析复制件为原则，以在线分析为例外。在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。在线分析具有严格的条件，根据《电子证据检查规则》的规定，除案情紧急不实施在线分析可能造成严重后果、情况特殊不允许关闭或扣押电子设备，且在线分析不会损害目标设备中重要电子数据的完整性、真实性外，一般不得实施在线分析。依据《电子证据检查规则》第20条，在线分析不得将生成、提取的数据存储在原始存储媒介中，原则上不得在目标系统中安装新的应用程序，同时遵循取证原则3准确详实记录实施的操作。

为了防止电子数据被篡改，检验电子数据的真实性，对复制件的检验分析有一个重要的环节是原复件一致性的校验，司法实践中通常使用哈希值校验方法。哈希算法是一种将要比对的电子数据映射为唯一的长度较短、位数固定的数字串来进行比对，以判断比对的数据是否一致。通过该算法得出的摘要信息称为哈希值。目前实践中通常使用MD5（信息摘要算法5）的哈希值校验方法。MD5被称为电子数据的DNA，可以唯一标识2的128次方个事物。其他常见的哈希算法有SHA-1、SHA-2、CRC32。

第四，汇总提交阶段取证规则。此部分简要介绍电子数据的鉴定问题。由于司法人员缺乏足够的电子数据专业知识，电子数据的鉴定显得尤为重要。其实不仅是电子数据的鉴定，尸检鉴定、DNA鉴定、走私案件中海关核税表等专业鉴定在刑事证明中占有重要的位置，而司法者相关专业知识的不足使得对此类证据的审查往往停留于形式上的审查。新刑诉法规定的专家辅助人制度也许可以在一定程度上缓解这一问题。

电子数据的鉴定主要是对信息真实性、一致性以及信息存储设备性能和运行情况的鉴定。实践中通常也将数据信息的提取交由鉴定部门完成。电子数据的鉴定同样必须遵循前文提到的取证四原则。目前规范电子数据鉴定的文件有《公安机关电子数据鉴定规则》和《人民检察院电子证据鉴定程序规则（试行）》。电子数据的鉴定应当遵循一般物证鉴定的规则，比如鉴定人回避义务、鉴定结果的告知义务、检材来源应当清晰真实等。

目前存在的一个宏观问题：鉴定机构的统一管理和标准化建设。由于2005年全国人大常委会颁布的《关于司法鉴定管理问题的决定》未将电子数据纳入司法鉴定的范围,同时缺少电子数据鉴定标准化的规范致使不同部门设立的电子数据鉴定机构缺乏统一的管理，不可避免地出现各自为战的局面。应当将电子数据鉴定纳入司法鉴定的范围统一管理，出台包括电子数据鉴定基础标准、设备标准、鉴定方法标准、鉴定实验室管理标准等方面的电子数据鉴定体系标准[13]，该目标的实现依赖多部门的合作。

三、审查起诉阶段电子数据适用

依据我国证据法理论及司法实践，证据具备合法性、真实性和关联性才能作为定案的根据。和传统证据相比电子数据审查的特殊性主要体现在对合法性和真实性的审查。

（一）电子数据的合法性审查

一方面，对电子数据合法性的审查同样遵循对普通证据审查的要素，即对取证主体、取证程序、和证据本身的形式合法性进行审查。另一方面，本文第二部分取证规则中已详细说明电子数据取证的特有规则。所以，本部分仅就三个具体问题的合法性进行阐述。

问题1：电子专家参与取证的合法性问题。取证的主体应当是侦查机关，专家参与取证是否行使了侦查权？本文认为，由于电子数据具有的高科技性及脆弱性等特征及我国当前侦查机关的人员与设备的现实情况，可以聘请电子专家参与取证。对此，《电子证据检查规则》第8条也规定侦查机关“必要时，可以指派或者聘请具有专门知识的人参加。”当然，指派或聘请专家手续应当完备可查。

问题2：采用技术侦查获取电子数据的合法性问题。例如，侦查人员采用远程监控的方式取证是否合法？通常侦查机关将采用技术侦查获得的信息作为侦查的线索而不移送检察机关作为证据使用。新《刑事诉讼法》对技术侦查作了规定，采取严格措施符合技术侦查要求获得的电子数据具有合法性，应当作为证据使用，以有效打击部分日趋隐蔽化、智能化、新型化的犯罪。在此应当注意区分技术侦查与侦查技术，对于已获取电子数据的技术分析是侦查技术而非技术侦查。对于侦查技术操作无需技术侦查中的严格审批程序。

问题3：用盗版软件获取电子数据的合法性问题。前文提到对电子数据存储设备及运行软件的检测是电子数据鉴定的一种类型。其原因在于电子数据的脆弱性特征使其对存储设备和软件有较高的依赖性。电子数据取证应当采用符合相关标准的设备和软件，提取笔录和鉴定意见中应当列明所使用的设备和软件。通过盗版软件获得的电子数据真实性难以得到保障，其合法性存在问题。

（二）电子数据的真实性审查

电子数据的高科技性、脆弱性、可再生性等特征决定了电子数据的鉴真即真实性的审查具有重要的意义和相当的难度。必须根据电子数据的特点制定相应的规则才可有效审查其真实性。《办理死刑案件证据规定》第29条和最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》（以下简称《关于适用〈刑事诉讼法〉的解释》）第93对电子数据真实性的审查做了规定，现归纳概括如下。

1.审查取证程序。由于电子数据的特性，严格按照程序取证是保证电子数据真实的条件之一。电子数据的取证必须遵循前文阐述的取证原则和规则。例如，应当遵循不损害原则、避免使用原件原则、忠实记录取证过程等原则，特别是忠实记录原则对于审查取证的合法性具有重要意义，通过审查取证过程查看取证是否符合程序，必要时由第三方依照记录的过程重复操作，以是否得出同样的结果检验取证的真实性。确定复制件的真实性时应审查是否对原复件的一致性进行哈希算法校验。

2.审查保管程序。“电子数据的保管锁链要清晰、完整”[14]，“在电子证据被正式提交法庭时，必须能够审查该电子证据从最初的获取状态、分析检验的手段及检验结论、移交公诉部门提起公诉时的状态直至在法庭上出现的状态之间的任何变化”[15]。任何对电子数据的操作都可能引起电子数据的变化，因此，对电子数据的收集、检查、鉴定、移送等每一个环节的操作都应当记录在案、有据可查。具体而言，收集过程中应制作《现场勘验检查笔录》、《固定电子数据清单》、《封存电子数据清单》、《勘验检查照片记录表》等记录，检查过程中要制作《电子数据检查笔录》、《提取电子数据清单》、《封存电子数据清单》和《原始证据使用记录》等记录，鉴定过程中需填写《受理鉴定检材清单》、《原始证据使用记录》、《提取电子数据清单》、《封存电子数据清单》等单据。各清单应当形式完备，无遗漏取证人、制作人、持有人、见证人签名或盖章。有条件的可以对取证全程录音录像。通过检查上述电子数据保管清单，审查电子数据的完整性、真实性。

3.审查转化程序。由于电子数据不能为人直接感知，提交电子数据不仅要移送可移动存储介质而且要提交打印件等转化材料。因此必须审查转化材料与原始数据的一致性。审查转化的主体、程序和方式是否符合法律和技术规范，以确保转化内容真实完整，无剪裁、拼凑、篡改、添加等伪造、变造行为。侦查机关将电子数据转化为书面等有形载体表现的材料应当严格依程序操作并作详细记录以备查验，如果条件允许，此项工作可交由中立的第三方制作。

对于电子数据，还可以通过与其他证据的印证情况审查其真实性。如果采用上述措施依然对电子数据的真实性存疑，则应进行（或重新进行）鉴定或检验。经过鉴定或检验仍无法证明真实性的电子数据不具备证据资格。

四、审判阶段电子数据适用

本部分主要介绍审判环节电子数据的举证、质证和认证。

（一）电子数据的举证、质证

未经举证、质证的证据不得作为定案的根据，因此，电子数据必须在法庭上举证、质证。

1.举证——电子数据的出示问题

电子数据无法为人直接感知，如何出示？习惯上将（可以打印的）电子数据以打印输出的方式向法庭出示。此种方式是否合法？证据的出示以最佳证据规则即出示原件为原则，《关于适用〈刑事诉讼法〉的解释》也规定对于电子数据原则上随案移送原始存储介质。但电子数据的原件是无形虚拟的数字无法直接出示，对此司法实践中采“拟制原件说”。

何谓电子数据的原件？依据《电子签名法》第5条规定，能够有效表现所载内容可以随时调取查用并且能够保证自最终形成时起内容完整未被更改的电子数据，满足法律规定的原件形式要求。同时，依据该规定，电子数据在交换、储存和显示过程中发生的形式变化不影响完整性。

何谓电子数据的拟制原件？“电子证据能以人们可读取形式准确、客观、全面地反映电子证据真实内容的应视为原始证据或原件”[16]。根据拟制原件说，直接源于电子数据的打印输出物或其他可感知的输出物（如播放的视频资料），只要能够准确反映电子数据的内容，即视为电子数据原件。当然对于打印输出物，如上文真实性审查部分所述，应当详细记录转化输出过程，必要时交中立第三方操作，同时，如存在原始存储介质并便于移送应当移送人民法院，以备对拟制原件真实性存疑时核实真伪。

2.质证——特洛伊辩护问题

特洛伊辩护源于特洛伊木马（程序），特洛伊木马是计算机领域的后门程序，是黑客盗用其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或骗取目标用户执行该程序，已达到盗取密码等各种数据资料的目的。

大部分电子数据是用于证明被告人实施了特定的行为，庭审中辩护方经常采用特洛伊辩护，对电子数据的关联性产生质疑，即要求公诉方确定出示的电子数据是被告人本人操作计算机行为所生成的电子数据，而非他人利用黑客技术实施相应行为所致。

确定被告人与电子数据的关联性可以对获取电子数据的电子设备进行技术鉴定，如果没有被特洛伊等病毒感染且该设备一直在被告人控制之下，则不能否认该电子数据的关联性。对于非被告人控制下的电子设备（如网吧中的计算机）提取的电子数据，应当更为严格的审查电子数据的关联性，比如采取查询该机器上网记录、调取网络服务商处相关数据等措施。

（二）电子数据的认证

“取证、举证和质证都是为认证服务的。离开认证这个环节，司法证明就成了一句空话，司法证明的任务就无法完成。”[17]认证是法官基于对证据能力和证明力的考察做出证据是否作为定案依据的判断。证据能力的判断主要是对证据真实性、合法性的判断，在本文第二、三部分已充分论述，此部分只介绍证明力问题和非法证据排除问题。

1.电子数据的证明力问题

关于电子数据证明力的大小学界认识不一。有学者认为电子数据的证明力强，依据是电子数据存储介质的海量存储性[18]。有学者认为电子数据的证明力弱，原因是电子数据具有易删改、易毁损的脆弱性[19]。本文认为证明力的大小取决于证据与待证事实之间的联系，不能概括地确定某一类证据的证明力强弱，而应当对证据进行具体的判断，电子数据的证明力也不例外。

法官对电子数据证明力大小的认定是采法定证据主义还是自由证明主义在学界亦有争论。本文认为对证明力大小的认定应以自由证明为原则，当然可以司法解释的形式设立指导性参考准则。最高人民法院《关于行政诉讼证据若干问题的规定》对电子数据复制件的证明力问题做了规定：以有形载体固定或者显示的电子数据“其制作情况和真实性经对方当事人确认，或者以公正等其他有效方式予以证明的，与原件具有同等的证明效力”。

学者给出的电子数据证明力参考标准可以概括为以下几点：一是与原件内容一致的复制件其证明力与原件等同；二是由系统自动生成的信息证明力优于人工录入的信息；三是已经公证的电子数据证明力优于未公正的电子数据；四是由第三方系统生成的电子数据证明力一般优于当事人提供的电子数据；五是不利方保存的电子数据证明力优于有利方保存的电子数据[20]。应当指出以上规则只能为司法者提供参考，证明力的判断依然是对单个证据的具体的判断。一般而言，直接证明案件事实的电子数据证明力自然大，间接证明案件事实的电子数据则需要有其他证据印证才能作为定案的依据。

由于法官通常不是电子数据专家，在对电子数据进行认证时可能需要专家的协助，这一点类似于侦查中的专家辅助人。鉴于电子数据在刑事诉讼中日益重要，公检法机关有必要联合聘任电子数据专家参与刑事诉讼，设立统一的专家人才库，规范高效地发挥专家的作用，保障刑事诉讼的顺利进行。

2.电子数据的非法证据排除问题

证据的非法证据排除问题存在于侦查、审查起诉和审判三个阶段，任何一个阶段发现非法证据都应当依法予以排除，不得作为起诉意见、起诉决定和判决的依据。新《刑事诉讼法》第54条确立了对非法言词证据的绝对排除和对非法物证书证的裁量排除规则。问题是电子数据已经成为独立的证据种类，不再属于物证、书证的范畴，对于电子数据是否存在非法证据排除问题？

本文认为新《刑事诉讼法》对非法证据排除范围做了明确规定，对于电子数据不适用非法证据排除规则。不符合合法性的电子数据只能参照《关于适用〈刑事诉讼法〉的解释》第94条的规定，不得作为定案的根据。该条司法解释规定，视听资料、电子数据具有下列情形之一的，不得作为定案的根据:(一)经审查无法确定真伪的;(二)制作、取得的时间、地点、方式等有疑问，不能提供必要证明或者作出合理解释的。此处的“不得作为定案的根据”不同于《刑事诉讼法》第54条中的“应当予以排除”。

注释：

①关于受保护数据的提取，读者可参考徐志强、张雪峰、马丁、陈兴文主编《电子数据勘查取证与鉴定（电子证据提取与分析）》第八章动态数据提取及分析相关内容.

②“这类电子证据在取证时还处于网络传输的状态，没有固定在某一电子设备中，无法立即确定其所在的准确位置，不能采用搜查、扣押等方式直接收集;其传输的形式是先将信息分解为不同的数据包，根据传输时网络通信带宽的使用情况而临时决定各自不同的传输路径，先后到达目的点后再行拼装完整，因此仅从中间拦截也无法收集完整的证据信息，必须对其起始点与目的点等相关节点均采取技术拦截才能完整取证。”参见钟夏.电子证据研究——以刑事诉讼为视角[D].西南政法大学,2009.

③刘品新.电子取证的法律规制[M].法学家,2010(3)

④BIOS是英文“Basic Input Output System”的缩写，直译为”基本输入输出系统“，它是一组固化到计算机内主板上一个ROM（只读内存）芯片上的程序，它保存着计算机最重要的基本输入输出程序、系统设置信息、开机后自检程序和系统自启动程序。

⑤“数据恢复是指对非物理损坏的硬盘、U盘、各类存储卡等存储介质，根据数据存储原理，利用相关数据恢复软件，通过整理、重建文件系统结构、文件目录结构等方法，恢复存储介质中未被覆盖的已删除或丢失的文件信息。数据存储设备随着容量的不断增大及使用时间的不断延长，不可避免地会出现数据丢失、磁盘损坏等情况，数据恢复技术是数据安全的最后一道防线，数据恢复技术对于数据取证具有重要的意义。”参见刘洋洋.硬盘数据恢复技术研究[J].技术研究, 2013(2).

[1]陈瑞华.刑事证据法学[M]，北京：北京大学出版社, 2012.63.

[2]樊崇义，戴莹.电子证据及其在刑事诉讼中的运用[N].北京：检察日报,2012-05-18.

[3][4][15]薛城.刑事司法电子证据研究[D].复旦大学, 2011.

[5]皮勇.刑事诉讼中的电子证据规则研究[M].北京:中国人民公安大学出版社,2005.9.

[6][7]10]徐志强、张雪峰、马丁、陈兴文.电子数据勘查取证与鉴定（电子证据提取与分析）[M].北京:中国人民公安大学出版社,2012,166，1-2，165.

[8]刘品新.电子取证的法律规制[M].法学家,2010(3).

[9]孙奕、杨璞、腾达、李正祥、马丁.电子数据勘查取证与鉴定（手机取证技术）[M].北京:中国人民公安大学出版社,2012.15-24.

[11]刘品新.电子证据的收集与运用——以“两个证据规定“为解读[J].证据法论坛,第十六卷.

[12]王琳、刘建杰.推进刑事电子证据取证行为规范化[J].人民论坛,2013(1).

[13]金波、黄道丽、夏荣.电子数据鉴定标准体系研究[J].中国司法鉴定,2011(1).

[14]古芳.论刑事诉讼中的电子数据[J].中国司法鉴定, 2013(2).

[16][20]翁里、张晨田.侦查与审判中的电子证据问题初探[J].法制与社会,2012(8).

[17]何家弘主编.刑事审判认证指南[M].北京：法律出版社,2002.1.

[18]梁静.电子证据在刑事诉讼中的收集与认证[J].河南财经政法大学学报,2012(4).

[19]王春.论电子证据补强规则确立及补强机制建构[J].湖北社会科学,2012(8).

On Criminal Judicial Application for Electronic Data

Research Group ofthe Second Branch ofTianjin People's Procuratorate
(The Second Branch of Tianjin People's Procuratorate,Tianjin 300210,China)

Since Criminal Procedure Lawof the People's Republic of China was revised and implemented in 2012,the electronic data in the criminal judicial proof has played an increasingly important role.However, there is noready-made answers tothese specific problems in judicial practice such as howtocollect electronic data,howtoexamine the authenticityand legitimacyofelectronic data,howto carry out the burden of proof, cross-examination and authentication of electronic data.The group introduces the basic categories of electronic data,the proposed electronic data collection,identification,examination and certification of specific rules.In particular,according to the abstract model of judicial proceedings,detailed description of electronic data collection rules which can provide electronic data criminal justice with applicable legal and technical procedures becomes the problems needed solvingin judicial theoryand practice.

electronic data;judicial application;rules ofevidence collection

D925.2

A

1674-828X（2014）02-0084-08

（责任编辑：郭鹏）

2013-10-27

张谊山，男，天津市人民检察院第二分院副检察长，法学学士，主要从事刑事法学和检察实务研究；

边学文，男，天津市人民检察院第二分院公诉处处长，法律硕士，主要从事刑事法学研究；

谢景春，男，天津市人民检察院第二分院公诉处助理检察员，法律硕士，主要从事刑事法学研究；

冯文智，男，天津市人民检察院第二分院技术处助理工程师，法学学士，主要从事检察技术研究。