电子数据搜查、扣押的法律规制

2014-10-21陈永生

现代法学 2014年5期

陈永生

摘要：

我国2012年修正的《刑事诉讼法》将电子数据增列为证据的法定种类，这要求我国刑事诉讼法学界对电子数据的相关问题，如电子证据的搜查与扣押，出示与质证，审查判断等问题进行深入研究。与传统证据相比，电子数据具有以下四大特征：存储内容的海量性、形态的易变性、变动的可察觉性以及内容的难以直接感知性。电子数据的以上特征对电子数据的搜查、扣押提出了更加严格的要求：首先，在搜查、扣押之前，侦查机关必须申请司法机关签发令状；在搜查、扣押过程中，无论是对电子设备的搜查、扣押还是此后对电子设备中存储的电子数据的进一步搜查，都必须受到令状原则有关合理根据和特定性要求的约束。其次，侦查机关搜查、扣押电子数据之后，必须允许辩护方对被搜查、扣押的电子数据进行查看、审查和复制，从而防止侦查机关滥用权力，保护辩护方的合法权利。另外，为保障电子数据的客观性和原始性，还必须建立严密的证据保管链制度。我国在以上方面都存在严重问题，在有些方面甚至完全空白，立法机关在未来修正《刑事诉讼法》时必须进行完善与重构。

关键词：电子数据；特征；令状原则；证据展示；证据保管链

中图分类号：DF73

文献标识码：A DOI：10.3969/j.issn.1001-2397.2014.05.10

随着电子信息技术的飞速发展，电子数据已经渗透到人们生活、工作的方方面面。每天，数以十亿计的人使用电脑、手机等电子设备进行即时交流，收发电子邮件，储存、管理、更新数据信息，或者进行各种其他活动，这使得电子数据成为当今人类生活、工作中不可或缺的组成部分。与此同时，电子数据对刑事犯罪也产生了深远影响：不少犯罪分子直接利用电子信息技术实施犯罪，如利用电子邮件传递诈骗、敲诈勒索等犯罪信息，利用因特网散布色情照片，利用病毒软件实施网络攻击，利用窃听软件非法获取他人的隐私、商业秘密等。还有一些犯罪分子，虽然不直接利用电子信息实施犯罪，但利用电子信息技术储存犯罪证据。例如，行贿人利用手机的录音功能秘密记录与受贿人交流的内容，黑社会组织利用电脑记录成员信息、犯罪计划等。可以说，电子数据已经渗透到各种犯罪当中。正如英国高级警察协会（Association of Chief Police Office， ACPO）在其制定的《数据证据良好操作指南》（ACPO Good Practice Guide for Digital Evidence）中所指出的，“数据设备的不断增容以及数据交流的不断发展意味着现在数据证据存在于或者可能存在于几乎每一起犯罪当中。”[1]

电子数据在刑事犯罪中的广泛渗透给侦查活动提出了巨大的挑战，同时也带来了巨大的机遇。在很多案件中，侦查机关能否成功发现和提取电子数据已经成为能否成功破案的关键。可以预见，电子数据在现代刑事诉讼中将扮演越来越重要的角色，对电子数据的搜查、扣押很可能成为未来侦查活动的核心与重点。那么，相对于传统证据，电子数据具有哪些特征？对电子数据实施搜查、扣押应当遵循哪些原则和制度？我国在电子数据的搜查、扣押方面存在哪些问题？未来立法时应当如何修改和完善？本文试图对这些问题进行深入研究。

一、电子数据的特征：规制的基础

需要强调的是，电子数据不同于一般证据，其有着自身的一系列特征，这些特征使得对电子数据的搜查、扣押不同于对一般证据的搜查、扣押。如果不掌握这些特征，在搜查、扣押电子数据时很可能损害电子数据的真实性，侵犯相对人的合法权利，甚至导致刑事诉讼控制犯罪与保障人权两项价值目标同向受损。具体而言，电子数据的以下特征对搜查、扣押提出了特殊要求，必须给予充分重视。

（一）存储内容的海量性

普通物品，如书籍、文件、衣物、刀具等的存储，或多或少都必须占据一定的物理空间，这意味着，一定的物理空间内所能存放的普通物品的数量是有限的。而电子数据完全不同，电子数据以字节（byte，一个字节由8个“0”或“1”二进位数值构成，引者注）的形式存在，几乎无需占据物理空间。这意味着，体积有限的电子设备可能存储大量的甚至海量的电子数据。不仅如此，随着电子信息技术的飞速发展，电子设备的存储能力还在不断地增长。目前，一个超过200G的硬盘所存储的数据如果用A4纸打印出来，将超过1000万页[1]。

由于电子数据存储设备容量巨大，携带方便，同时由于电子数据容易编辑和修改，因而人们越来越喜欢使用电子设备记录、保存和更新自己的工作和生活信息。今天，一个电子设备中存储的数据的信息可能形形色色，多种多样，数量极为惊人。譬如，一台私人电脑中可能包含机主的工作日志、客户信息，可能包含机主的毕业照片、聚会录像，还可能包括机主的私密日记、账户密码，甚至可能包含机主与其律师和私人医生交流的内容等。在实践中，在对电子设备进行搜查、扣押时往往面临这种情形：侦查机关需要获取的犯罪证据只占电子设备存储信息中微乎其微的一小部分，但是侦查人员却能够接触到涉及被搜查人生活和工作方方面面的大量隐私信息，这无疑会对公民隐私权构成巨大威胁。那么，应当构建何种制度和程序，使侦查人员在收集犯罪证据时尽可能避免对公民隐私权造成不必要的侵害？这是构建电子数据搜查、扣押制度时必须解决的一个重要课题。

（二）形态的易变性

电子数据比传统数据更容易发生变化。譬如，当行为人认为一份文档不具有保存价值时，只需用鼠标轻点“删除（delete）”指令，即可将文档删除，几乎不需要耗费任何时间和精力。不仅如此，即使行为人不实施任何操作，电脑程序本身的运行也可能导致电子数据发生变化。正如英国高级警察协会在其《数据证据良好操作指南》中指出的：“操作系统和其他程序频繁地变动，增加和删除电子存储信息的内容，这一现象可能是自动发生的，使用者可能根本就没有意识到数据已经被改变了”[1]。正因为如此，电子数据的证明力长期以来一直受到质疑。在美国早期的判例中，法院对电子数据的真实性提出了很高的要求，要求电子数据的真实性（authentication）建立在一个比其他证据更广泛的基础上（a more comprehensive foundation）。United States v. Scholle， 553 F.2d 1109（8th Cir. 1976）.直到上世纪80年代，随着电子数据在法庭上的使用越来越频繁，法院才开始对电子数据采取与其他证据一视同仁的态度：“计算机数据编辑物（computer data compilations）……应当与其他任何记录一样受到同等对待”。endprint

United States v. Vela， 673 F.2d 86， 90 （5th Cir. 1982 ）.由于电子数据极易发生变动，因而在搜查、扣押时必须采取有效的措施确保电子数据的客观性和原始性。否则，如果搜查、扣押过程中因操作不当导致电子数据发生变化，那么法庭科学专家对电子设备持有人先前操作行为的判断将因为丧失客观性而难以被法庭所接受。正如英国高级警察协会在其《数据证据良好操作指南》中所指出的：“在法庭上展示证据的客观性，如同展示证据的连贯性和完整性一样，都是至关重要的。同样，也有必要展示证据是如何被发现的，要展示获取证据的每一个步骤。证据应当被保存到这种程度：第三方通过重复同样的步骤也能够得到（与控方提交到法庭的证据）同样的结果”[1]。那么，构建何种制度才能有效保障在搜查、扣押电子数据过程中不会导致其发生变动，从而确保电子数据的客观性和原始性？这无疑是构建电子数据搜查、扣押制度时必须解决的又一重要课题。

（三）变动的可察觉性

传统证据，如物品、文件、痕迹等一旦发生变动，尤其是被毁弃后很难查清其原始状况，而电子数据与此不同。电子数据发生变动，甚至被毁弃后，仍然能够，甚至很容易查清其原始状况。以电子数据的删除为例，使用者在电脑上将一份文件予以删除实际上并不意味着该文件真的被删除了。事实上，当使用者对一份文件点击删除指令时，操作系统并不会将该文件的字节系统清零，相反，多数操作系统只是进入主文件表（Master File Table），将该文件的集束空间（cluster）标注为可用。如果在对电脑进行分析鉴定时尚无其他文件使用该集束空间，法庭科学专家将很容易获取该文件。不仅如此，随着电子信息技术的飞速发展，法庭科学专家还可以通过分析元数据（metadata）等方式，发现电子数据的生成、修改和变动等大量信息。例如，“Windows”操作系统可以生成大量的元数据，这些元数据可以准确地显示一台电脑是何时以及怎样被使用的。又比如，“Microsoft Word”文字处理程序可以生成临时文件，使得法庭科学专家能够重建文件的发展过程。此外，“Microsoft Word”文字处理程序还会储存关于文件创建人以及文件历史的数据[2]。这一切都给侦查人员收集犯罪证据提供了无数前所未有的新的方式和手段。

（四）内容的难以直接感知性

传统物证、书证通常能够被侦查人员直接感知，侦查人员通过在现场进行查看和翻阅，一般就能判断其是否与犯罪有关，是否应当扣押，因而能够很快完成搜查、扣押程序。可以说，对一般物品进行搜查、扣押的运作机理是非常简单的，“侦查人员可以从门或者窗户进入，可以从一个房间走进另一个房间。他们可以通过观察房间的物品、打开抽屉以及其他容器并进行查看的方式对一个人的房间进行搜查（普通搜查，引者注）。运作机理是走进物理空间，观察、移动物品以暴露相关财产便于肉眼观察。”[2]531“警察搜查物理空间发现被扣押物之后，搜查活动就结束了”[2]543。可见，对普通物品的搜查多是在搜查现场（如被搜查人住宅内）完成的，只有一个步骤。

而电子数据则完全不同，对电子数据进行搜查很难在搜查现场完成，往往需要经过两个步骤。之所以如此，是因为电子数据无法被人直接感知，侦查人员仅凭视觉、嗅觉和触觉不可能知悉电子设备中储存的电子数据的具体内容，更不可能知晓哪些电子数据与犯罪有关。另外，在侦查实践中，侦查人员发现电子设备时，很多电子设备处于关机状态，如果不开启电子设备，那么侦查人员即使将电子设备拆卸开，也无法知悉其中存储的电子信息的内容。不仅如此，即使电子设备处于开机状态，侦查人员一般也不会在搜查现场对电子设备中存储的数据实施搜查。因为如前文所述，电子数据具有易变性，在电子设备处于开机状态时，更容易发生变化。正如英国高级警察协会在其《数据证据良好操作指南》中所指出的，“进入现场的人员必须特别注意：开机状态的系统需要小心操作，因为如果操作不正确可能导致证据发生意想不到的变化。这样的（开机状态的，引者注）系统只能由受过适当训练的人接触。否则，有证据价值的不稳定数据可能丢失。”[1]因此，除非出现某些特殊情况，如必须即时拦截某些网络数据，侦查人员不会轻易在开启的电子设备上对存储的数据实施搜查。事实上，无论对处于开启状态还是关闭状态的电子设备，为了避免搜查的过程中造成电子数据的变动，有经验的侦查人员一般都不会在原始的电子设备上搜查电子数据，而是对原始电子设备的内容进行备份，然后在备份材料上进行分析和搜索。正如美国学者欧林·S·克尔指出的，“为了确保原始证据的完整性（integrity），计算机法庭科学的第一步通常是生成一个原始存储设备（the original storage device）的完美‘比特流备份（perfect ‘bistream copy）或者‘镜像（‘image），这些‘比特流备份或者‘镜像被标注为‘只读（‘read only），所有的分析都是在‘比特流备份而非原件上进行的。真正的搜查发生在政府（即侦查机关，引者注）的电脑上（governments computer），而非被告方的电脑上（defendants）。”[2]540由于对电子数据的搜查通常不是在原始电子设备上进行的，因而侦查人员没有必要在搜查现场完成对电子数据的搜查。

不仅如此，由于对电子数据实施搜查是一项耗时费力的工作，因而侦查人员也不可能在搜查现场完成搜查。在搜查电子数据时，侦查人员经常面对非常复杂的情况。例如，虽然侦查人员知道所要搜索的文件的特定信息，但是由于这些文件可能被故意贴错标签，被加密，被储存于隐藏目录中，或者被隐藏于文件列表可能忽视的碎片空间（slack space）中，因而侦查人员很难迅速发现这些文件。不仅如此，有罪证据并不总是以文件的形式存在，它可能存在于日志（log）中、操作系统伪影（operating system artifact）中，或者其他记录数据（recorded data）的片段中，如果不花费大量的时间，并借助适当的工具，很难定位和获取。“发现令状中描述的特定信息可能需要花费数天或者数个星期的时间，因为计算机存储设备可能储存数量惊人的信息（extraordinary amounts of information）。”[3]由于搜查电子数据需要花费大量的时间和精力，因而侦查人员不可能在搜查现场（如被搜查人住宅内）完成对电子数据的搜查。endprint

综上所述，由于侦查人员在发现电子设备后，通常既没有必要也没有可能当场完成对电子设备中存储的电子数据的搜查，因而对电子数据的搜查、扣押通常由两个步骤构成：第一，对储存电子数据的物理介质，也就是电子设备进行查找和扣押。这一步骤主要是在搜查现场完成的，在此过程中，可能受到侵犯的主要是被搜查人的财产权。第二，对电子设备中存储的电子数据进行搜查。这一步骤主要是在侦查机关或者侦查机关的实验室中进行的。在这一步骤中，可能受到侵犯的主要是被搜查人的隐私权。如前文所述，由于电子设备中经常存储了涉及其持有人生活、工作等方方面面的大量隐私，因而这一步骤可能对公民的隐私权造成巨大的损害。正如美国联邦最高法院所指出的：“打开和浏览电脑机密文件暗示着尊严和隐私利益（dignity and privacy interest），有些人认为保存于数据存储设备中的思想比身体隐私更值得珍视。”

United States v. Arnold， 454 F. Supp. 2d. 999， 1003-04 （CD. Cal. 2006）.

这样一来，对电子数据的搜查、扣押就涉及一个极为重要、复杂的法律问题：在第一个步骤中，也就是对电子设备进行查找、扣押过程中，侦查机关的行为通常受到了法律的严格规制。譬如，在搜查、扣押电子设备之前必须取得法院签发的令状，并且根据令状的要求对相关的电子设备进行搜查、扣押；搜查、扣押通常必须在被搜查人或者第三人现场见证的情况下实施，制作的笔录必须由见证人签字等。那么，在第二个步骤中，也就是对电子设备中存储的电子数据进行搜查的过程中，侦查机关的行为是不是也应当受到严格的法律规制？譬如，是否必须再次向法院申请签发令状？搜查的对象和范围是否也应当受到严格的限制？是否也必须在被搜查人或第三方在场见证的情况下实施？这无疑是在构建电子数据搜查、扣押制度时必须回答的重要问题。

二、域外的经验：规制的原则与制度

由以上分析可见，电子数据不同于一般证据的特征使得对电子数据的搜查、扣押不同于对一般证据的搜查、扣押，这对刑事侦查提出了全新的课题与严峻的挑战。那么，如何应对这些挑战，确保侦查机关搜查、扣押电子数据的权力受到有效的规制，防止对公民权利造成不必要的侵害，同时确保搜查、扣押不破坏电子数据的客观性和原始性？对这些问题能否正确回答直接决定着我国刑事诉讼能否回应信息时代带来的全新挑战和巨大机遇，能否真正实现刑事司法的现代化。

他山之石，可以攻玉。法治发达国家很早就开始了对计算机法庭科学的研究与立法，在这一领域积累了大量成功的经验，借鉴这些经验有利于我国在构建电子数据搜查、扣押制度过程中少走弯路，最大限度地实现控制犯罪与保障人权的平衡。具体而言，法治发达国家在电子数据搜查、扣押方面，主要通过以下原则和制度来规制国家公权力，保障公民个人权利，确保电子数据的客观性和原始性。

（一）令状原则

令状原则，是指侦查机关在实施可能侵犯公民权利，特别是宪法性权利的侦查行为之前，必须取得司法机关签发的令状，并严格根据令状的要求实施侦查行为。否则，除非符合法定的例外情形，侦查机关实施的行为将被认定为非法，由此收集的证据将被法庭排除。

在搜查、扣押方面，令状原则的作用机理，是从以下两个方面对搜查、扣押进行严格规制，将其可能对公民权利造成的损害降到最低限度：第一，要求搜查、扣押必须存在合理根据（probable cause），防止无根据的搜查、扣押。如美国联邦宪法修正案第4条明确规定：“公民的人身、住宅、文件和财产免受无理搜查和扣押的权利不受侵犯，除非存在合理根据（probable cause），并以宣誓或代誓宣言（oath or affirmation）作保证，不得签发令状”。第二，要求搜查、扣押的对象必须特定化，防止“概括”性搜查。这一要求意味着，司法机关签发的令状必须明确而特定地描述拟搜查、扣押的物品，侦查机关只能根据令状的描述搜查、扣押特定的物品。如美国联邦宪法修正案第4条明确要求，令状必须“特定描述（particularly describing）拟搜查的场所，以及拟逮捕的具体的人，或者拟扣押的具体的物品”。在美国诉厄帕姆（United States v. Upham）案中，美国联邦第一巡回法院对特定性原则的功能进行了诠释：“特定性要求（the requirement of particularity）主要源于对皇室（Crown，殖民地时期的英国皇室，引者注）签发‘概括令状（‘general warrants）的实践的警惕（hostility），‘概括令状授权（侦查人员）为搜查违禁品或者证据对一个人的财产实施大规模的全面翻查（wholesale rummaging）”。United States v. Upham， 168 F.3d 532 （1st Cir. 1999）.

“概括令状”要么在搜查、扣押的问题上赋予执法机关过大的自由裁量权，要么允许执法官员无差别地搜查、扣押有罪证据和无罪的物品[4]，既不利于对侦查权进行规制和约束，也不利于保护公民的合法权利，甚至可能导致令状原则被变相架空，严重违背法治的精神。

那么，在电子数据的搜查、扣押方面，令状原则有哪些特殊要求呢？如前文所述，对电子数据的搜查、扣押实际上包括两个步骤：一是对存储电子数据的物理介质，也就是电子设备进行查找和扣押；二是对电子设备中存储的电子数据进行搜查。少数情况下，电子设备之所以与犯罪活动有关是因为其本身是犯罪所得，但在这种情况下，一般不会涉及第二个步骤的搜查。

在奉行令状原则的国家，第一个步骤，也即对电子设备的查找和扣押，应当受到令状原则的约束是毋庸置疑的。关键问题在于第二个步骤，也就是对电子设备中存储的相关电子数据进行搜查，是否应当受到令状原则的约束，尤其是令状原则有关合理根据和特定性要求的约束。endprint

笔者认为，第二个步骤应当受到令状原则有关合理根据的约束不会引起很大争议。原因在于，在搜查的第一个步骤中已经要求侦查机关对以下事项存在合理根据进行证明：有证据证明发生了犯罪事实；有证据证明有应予扣押的电子设备；有证据证明应予扣押的电子设备存在于拟搜查的场所[5]。上述第二项要件，即“有证据证明有应予扣押的电子设备”，就是要求侦查机关证明电子设备与犯罪有关。绝大多数情况下，电子设备之所以与犯罪活动有关，是因为其中存储了与犯罪有关的文件或者其他数据。在搜查的第二个步骤中，如果要求证明存在合理根据，只需要侦查机关证明以下事实：有证据证明存在可以作为证据使用的电子数据；有证据证明该电子数据存在于拟搜查的电子设备中。实际上，这两个方面的事实已经被上述第一个步骤中合理根据要求的第二项要件——“有证据证明有应予扣押的电子设备”所涵盖。因此，无论立法是否要求第二个步骤满足合理根据的要求，侦查机关实际上在第一个步骤中已经证明存在合理根据，并且法院也已经进行了相应的司法审查。

关键问题在于，第二个步骤是否应当受到令状原则特定性要求的约束。如果不受特定性要求的约束，那么只要侦查机关查获了电子设备，就可以对该电子设备中存储的所有电子数据进行全面搜查，无论是否有合理根据证明某一电子数据与特定的犯罪活动有关。反之，如果第二个步骤受特定性要求的约束，那么即使侦查人员查获了相关的电子设备并对电子设备进行了“比特流”备份，其也只能搜查与特定犯罪有关的电子数据。例如，侦查机关侦查的案件涉嫌儿童色情，法官的令状就只能授权侦查机关对电子设备中存储的可能与儿童色情有关的电子数据，如未成年人性交的影像（image）进行搜查[4]82，侦查机关必须将搜查的范围限定于与儿童色情有关的数据。

应当承认，在电子数据搜查、扣押的法治化方面，美国走在世界前列。在过去几十年里，美国执法部门一直在积极探索电子数据搜查、扣押的规范化操作问题，美国法院更积累了大量的相关判例。从美国的执法和司法实践来看，第二个步骤，也即对已扣押的电子设备中存储的电子数据进行搜查，也必须受到令状原则的约束，尤其是必须符合令状原则在特定性方面的要求。

就执法层面而言，美国执法部门在向法院申请签发搜查、扣押令状时，必须对拟搜查、扣押的电子设备中的电子数据做出具体描述。在侦查实践中，执法部门将搜查、扣押电子数据分为两种情况，在这两种情况下，侦查人员都必须对拟搜查、扣押的电子数据做出具体描述。

第一种情况，侦查人员之所以实施搜查、扣押，是因为电子设备本身是违禁品（contraband），如电子设备中储存了儿童色情照片；或者电子设备是犯罪工具（instrumentality），如犯罪嫌疑人利用电子设备实施网络攻击；或者电子设备是犯罪所得（fruit of the crime），比如盗窃所得、抢劫所得等。在这些情况下，都“应当将电脑描述为搜查对象”[6]。但是，如果侦查人员在查获电子设备之后，还需要对电子设备中存储的电子数据展开进一步搜查，还必须在申请令状的申请书中描述具体的电子数据。由于“多数案件中，侦查人员在搜查的过程中只是简单地扣押硬盘（hardware），然后在计算机法庭科学实验室（computer forensics laboratory）里搜查被告方的电脑以发现违禁文件（等证据）”，因而，“在这些案件中，侦查人员在申请令状的宣誓书（supporting affidavit）中应当明确解释（explain clearly），在电脑被扣押并被搬出搜查场所之后，他们要对电脑中储存的具体证据和违禁品进行搜查”。[3]71

第二种情况，侦查人员之所以搜查电子设备，是为了寻找犯罪证据。例如，侦查机关拟搜查与商业贿赂有关的文件，但未能确定该文件以何种形式存在，侦查人员之所以搜查电子设备，是因为作为证据的文件可能以电子数据的形式存在。在此种情况下，侦查人员更应当对电子数据本身做出具体描述。“当搜查的合理根据（probable cause）全部或部分与电脑中存储的信息，而不是电脑本身有关时，……应当对该信息进行特定，关注的重点在于相关文件的内容，而非可能存储文件的电子设备。”[3]72“应当描述证据是什么，并且要求无论证据以什么形式存在（包括电子形式，including digital），都有权扣押。”[6]

就司法层面而言，美国大量判例更充分表明，对电子设备中存储的电子数据进行搜查，应当符合特定性要求。譬如，在2009年的美国诉奥特罗（United States v. Otero）案中，联邦第十巡回法院阐述了搜查电子证据必须坚持特定化要求的理由，“现代个人电脑不断发展，其储存能力不断提高，一台电脑可以储存一个人的大量（huge array）信息，这就使得执法部门更有能力对个人隐私事务实施大范围的搜查（wide-ranging search），相应地，也就使得特定化要求（particularity requirement）更为重要。”该法院反对对电子设备中存储的电子数据进行概括搜查，“授权广泛搜查电脑的令状是无效的（invalid），因为它允许执法人员搜查‘从儿童色情照片（child pornography），到纳税申报单（tax returns），到私人信件（private correspondence）的所有信息”。事实上，“授权对电脑中储存的‘任何及所有信息和/或者数据（any and all information and/or data）进行搜查的令状是一种广泛搜查（wide-ranging search）令状，违反了特定性要求（particularity requirement）”，也违反了宪法第四修正案的要求。United States v. Otero， 563 F.3d 1127，1132（10th Cir. 2009）.

那么，令状对电子数据的描述必须达到何种程度，才符合“特定性”要求呢？美国多数法院认为，必须将电子数据限定为与特定犯罪有关的文件和信息。例如，美国联邦第九巡回法院在美国诉阿佳妮（United States v. Adjani）案中指出：“由于电脑可以存储大量的数据，我们理解计算机环境（computer context）下特定性问题的高度重要性（heightened specificity concerns）……搜查必须被善意地（in good faith）导向被令状所特定的与指控犯罪相关的文件或物品”。United States v. Adjani， 452 F.3d 1140，1148（9th Cir. 2006）.endprint

正如美国学者玛丽·海伦（Marie Helen）所总结的：“法院（the courts）已经发现，授权扣押所有文档和计算机文件，而不特定指出这些文件是如何与涉嫌的犯罪活动有关的令状是无效的（invalid），也是违反宪法第四修正案的。”[4]82

然而，执法实践中，侦查机关面临的情况往往非常复杂。很多情况下，电子设备不仅存储了有罪的证据，也存储了大量与犯罪无关的信息；不仅存储了此罪的证据，也存储了彼罪的证据。此时，如何确保侦查机关的搜查行为不违反法院令状的特定性要求呢？美国法院指出，在这种情况下，侦查人员应当使用特定的方法，针对令状授权的与特定犯罪有关的证据进行搜查，如果搜查涉及令状没有授权的其他犯罪，侦查机关应当就该其他犯罪申请一份新的令状，否则，由此得来的证据可能被法院排除。如美国联邦第十巡回法院在美国诉凯里（United States v. Carey）案中指出：“当计算机和数据在他们的保管下时，执法官员一般可以采用数种方法避免搜查没有被令状特定的文件：观察目录中列出的文件类型和名称（files types and titles listed on the directory），用关键词搜索相关术语（doing a key word search for relevant terms），或者阅读存储器中文件的部分内容”。在该案中，侦查人员取得了搜查毒品犯罪证据的令状，但是在搜查过程中发现了涉及儿童色情犯罪的证据，“在这一时刻，侦查人员（detective）应当停止搜查（针对毒品犯罪证据的搜查，引者注），并且获取一份令状（a warrant）以搜查作为儿童色情犯罪证据的计算机文件”，由于侦查人员在该案中并没有申请另外一份令状，由此得来的证据应当被排除（suppressed）。United States v. Carey， 172 F3d. 1268（10th Cir. 1999）.

由于法院持这一态度，因而美国法律职业人员法律教育行政办公室（legal education executive office for United States Attorneys）在其发布的《刑事侦查中搜查和扣押电脑以及获取电子证据》（Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations）的指导性文件中提醒执法人员注意：“如果执法人员遇到了有关另一个犯罪的证据，而该犯罪没有被令状特定化（not identified by the warrant），那么保险的操作是去申请第二份令状（a second warrant）。”[3]90

（二）证据展示制度

证据展示制度，要求控诉方在扣押电子数据之后，应当允许辩护方接触该电子数据，对电子数据的备份材料甚至原始电子数据进行查看、审查和复制。

1.建立电子数据证据展示制度的价值

允许辩护方对侦查机关搜查、扣押的电子数据进行查看、审查和复制具有极为重要的诉讼价值。

（1）有利于发现对辩护方有利的证据，减少被告人被错误定罪的可能。

如前文所述，电子设备中存储的电子数据数量庞大，纷繁复杂。在这些电子数据中，既有不利于辩护方，证明被告人有罪、罪重的证据；也有有利于辩护方，证明被告人无罪、罪轻的证据。受诉讼立场、职业习惯等因素的影响，侦查机关在搜查电子数据时，经常有意或无意地忽视，甚至忽略有利于被告人的证据。退一步说，即使侦查人员能够秉持客观公正的立场，但由于电子数据的数量过于庞大，而侦查人员的精力是有限的，因而其不可能毫无遗漏地发现每一份对被告人有利的电子数据。特别是当有利于辩护方的电子数据是以元数据（metadata）或者伪影（artifact）等非直观的形式存在时，侦查人员更难以发现这些证据。在此情况下，确保辩护方能够查看、审查和复制电子数据至关重要。辩护方的诉讼立场与控诉方截然不同，其关注的重点是无罪和罪轻的证据，因而更可能发现被侦查机关忽视的信息。不仅如此，由于辩护方与诉讼结果有着切身的利害关系，因而无论电子数据的数量有多大，也无论电子数据是以文档、图片等直观形式存在，还是以元数据或者伪影等非直观的形式存在，辩护方都会竭尽全力，查找所有有利于被告人的信息。这显然有利于保障对被告人有利的证明其无罪、罪轻的证据都进入诉讼轨道，尤其是法官视野，避免被告人被错误定罪。

（2）有利于通过辩护方的审查，保障电子数据的客观性和原始性。

如前文所述，保障电子数据的客观性、原始性是电子数据搜查、扣押制度面临的一项重要课题，而保障辩护方对电子数据的知悉权则是保障电子数据客观性、原始性的一个重要途径。道理很简单，如前文所述，电子数据极易发生变动，在搜查、扣押、保管的过程中，侦查机关任何一个细微的疏忽都可能导致电子数据发生变化，甚至严重影响其真实性。对于这些变化，有些侦查机关可能意识到了，但是基于职业利益，他们在法庭上可能不会主动说明；还有些变化，侦查机关可能根本没有意识到，因而更不可能向法庭做出说明。

而法官通常是计算机科学技术的外行，很难仅凭自己的知识审查电子数据的真伪。虽然根据理论以及立法，法官可以通过鉴定等途径审查电子数据的真伪以及是否发生变化，但由于在很多案件中，侦查机关提交法庭的电子数据数量极其庞大，如果全部委托鉴定，鉴定的数据分析工作可能非常复杂，旷日持久，因而实际上，法官不可能对每一份电子数据都委托鉴定。在这种情况下，对于法官来说，最现实、最有效的选择是尊重辩护方的判断能力：如果辩护方对某一电子数据的真实性提出质疑，法官可以委托对该电子数据进行鉴定；如果辩护方未对电子数据的真实性提出异议，则法官可以视其为真实。这样有利于在确保电子数据真实的前提下最大限度地提高诉讼效率，降低诉讼成本。然而，这一功能的实现有一个基本前提：辩护方对电子数据真实性的判断是可靠的。endprint

而如果没有有效的机制确保辩护方能够对侦查机关扣押的电子数据进行查看、审查和复制，就很难保证辩护方对电子数据真实性的判断是可靠的。对被侦查机关扣押的电子数据的有些信息，如某一份文档的关键内容、某一张照片的大致轮廓，被告人可能大体记得，因而如果控诉方当庭出示的电子数据与其记忆存在明显出入，被告人能够及时提出异议。但是，对于多数电子数据的内容，如每一份文档创建、修改、删除的具体时间，每一浏览器的使用次数、时间，每次浏览的网页的内容、网址等，被告人通常不可能都清楚记得，因而即使控诉方向法庭展示的内容与原始内容有一定的出入，被告人也不一定能察觉，以致错过向法庭提出异议的机会。为避免出现这种情况，必须确保辩护方能够接触侦查机关扣押的电子数据。被告方在查看侦查机关扣押的电子数据时，可以自己审查，也可以聘请专家进行分析和鉴定，从而详细了解相关文档、照片，甚至元数据的具体情况。这样一来，一旦控诉方向法庭出示的电子数据与原始数据存在出入，辩护方就能及时、有效地向法庭提出异议，这对于保障电子数据的客观性、原始性无疑具有极为重要的意义。

此外，确保辩护方能够查看、审查和复制侦查机关扣押的电子数据，还有利于发现侦查机关在搜查、扣押、保管、鉴定电子数据过程中可能存在的违法情形，这在客观上将对侦查机关形成巨大的压力，促使其在收集和审查、运用电子数据时更加小心谨慎，保障电子数据的客观性和原始性。

2.电子数据证据展示的立法例

基于以上原因，不少法治发达国家都赋予辩护方对侦查机关扣押的电子数据以知悉权。如美国联邦司法部在其发布的《法庭中的数据证据：执法部门及检察官操作守则》（Digital Evidence in the Courtroom： A Guide for Law Enforcement and Prosecutor）中明确要求，应当“给被告方提供数据证据备份（duplicate digital evidence）或者给被告方提供检查数据证据的机会”。“被告方有权视情况不同接触到原始证据（actual evidence）或其影像（image）或其备份（copy）。”“被告方也有权在执法机构检查电子数据”；在此情况下，执法机构应当“给被告方提供一台没有其他案件残留的电脑（no remnants from other cases should remain on that computer）以检查电子数据”；此外，执法机关还应当“给被告方提供合适的空间查阅（review）数据证据”[6]。

英国也赋予辩护方对电子数据以先悉权。英国高级警察协会制定的《数据证据良好操作指南》要求，“无论材料是根据《刑事诉讼与侦查法》（Criminal Procedure and Investigation Act，CPIA）第3条……还是根据该法第8条被披露的，披露的形式都可以是给被告方提供有异议的材料（material in question）的一份或数份备份（a copy or copies）。也可以允许被告方（或者是被告方委托的合适的专家）接触到原始材料（actual material）”[1]。英国《证据展示守则》（Disclosure Manual）第30章“数据证据展示指导”（Digital guidance）第12条规定：“有时为了便于展示程序的开展，展示官员还可以允许被告方的法庭科学专家（forensic expert）在受到监督的情况下接触数据（supervised access）”[7]。

（三）证据保管链制度

根据布莱克法律词典的解释，所谓证据保管链（chain of custody），是指“从获取证据时起至将证据提交法庭时止，关于实物证据（real evidence）的运动和位置（movement and location）的基本情况，以及保管证据的人员的沿革（history）情况”[8]。按照美国立法，证据保管链制度要求，对每一份证据，从其被发现时起，至被提交法庭时止的整个时间段内，一直都有可以被特定的人（an identifiable person）对其进行实物保管（physical custody）[9]。并且，执法机关应当建立自证据收集时起至提交法庭时止的连贯而完整的记录体系。如美国学者李·勒纳（Ed. K. Lee Lerner）和布伦达·威尔莫斯·勒纳（Brenda Wilmoth Lerner）所言，“证据保管链通常是指，与物证或者电子数据的收集（无论是通过采样或者扣押的方式收集）、保管、控制、转移、分析、保存以及最终处理有关的书面记录、证据日志，或者其他形式的文献记录”。“如果证据保管链在任何一个环节出现断裂，证据可能将不被采纳，或者丧失法律价值。”[10]

实践中，自证据被收集至提交法庭期间，可能存在多个环节：侦查人员收集和提取证据——侦查人员将证据运送至侦查机关——侦查机关保管证据——侦查机关将证据移送至鉴定机构——鉴定机构鉴定证据——鉴定机构将证据返还给侦查机关——侦查机关保管证据或将证据移交给检察机关——侦查机关或检察机关将证据提交至法庭。证据保管链制度要求以上每一个环节都有特定的人员对证据进行实物保管，并且能够实现上一个保管环节与下一个保管环节之间的无缝对接。在法庭上，如果辩护方提出证据保管链存在断裂的地方，控诉方必须提供证言对以下三个方面的问题进行证明：第一，提交法庭的证据就是案件所涉及的证据；第二，自收集时起至提交法庭时止，一直都有相关人员对证据进行连续保管（continuous possession）；第三，在每一个保管人员保管证据期间，证据都处于实质上的相同状态（substantially the same condition）。如果控诉方不能证明这些问题，该证据很有可能被法庭排除[11]。

以著名的O·J·辛普森（O.J.Simpson）案件为例，美国著名前橄榄球明星辛普森被指控杀害了其前妻妮可儿·布朗·辛普森（Nicole Brown Simpson）以及其前妻的男友罗纳德·戈德曼（Ronald Goldman）。在该案侦查过程中，侦查机关在证据保管链问题上出现了多个严重失误，致使多份重要的证据被法庭排除，并最终导致控诉方败诉。例如，在勘验现场的时候，一名叫作富尔曼（Fuhrman）的侦查人员在大门背后发现一枚清晰的血指纹并在笔记本上对该血指纹做了记录，然而事后，富尔曼没有对该证据拍照，也没有告知其他侦查人员现场有该血指纹，更没有向上级报告该证据的存在。“因而没有建立关于该证据的证据保管链，不能证明该证据存在，最终该证据被法庭排除。”[4]209endprint

证据保管链制度能够有效规制侦查人员的行为，避免证据因客观原因或者侦查人员在收集、保管过程中出现错误而发生变动。如前文所述，证据保管链制度要求侦查机关证明对证据的保管是连续的，这意味着侦查人员在提取或者接受证据之后，应当亲自妥善保管证据，如果有特殊原因不能亲自履行保管义务，必须及时委托他人进行保管，并办理相关交接手续。这有利于避免出现证据无人监管的现象，防止证据因受外界因素的影响而发生变动。不仅如此，证据保管链制度还要求，自发现证据时起，就必须对证据的基本情况进行记录，此后，每一次交接时也都必须对证据的基本情况做出详细记录，这有利于避免因侦查人员主观方面的原因导致证据发生改变。道理很简单，一旦侦查人员实施了不当行为，如故意篡改证据或者因操作失误导致证据发生变化，那么最终提交法庭的证据必然和证据保管链中记录的收集证据时的状态存在出入，这有利于法庭对证据是否真实做出准确的判断。不仅如此，如果侦查人员实施了不当行为，那么当其将证据移交给下一位保管人员时，下一位保管人员对证据基本状态的记录很可能与该侦查人员的记录存在出入。据此，很容易追查究竟是谁的行为导致证据发生了变化，这有利于督促侦查人员善尽职守，避免因其主观方面的原因导致证据发生变化。

由于证据保管链制度有利于防止证据在诉讼过程中发生变动，从而确保其客观性与原始性，而在对电子数据进行搜查、扣押过程中，确保其客观性、原始性至关重要，因而不少西方法治发达国家都要求，在搜查、扣押电子数据时必须建立证据保管链。

如英国高级警察协会在其制定的《数据证据良好操作指南》中规定了操作电子数据的四项原则，其中第三项原则明确要求，“应当建立和保存有关数据证据所有操作过程的流水记录（audit trail）或者其他记录。一个独立的第三方（an independent third party）应当能够检查那些过程，并得出相同的结论”[1]。不仅如此，该《操作指南》第2.2.2条还进一步要求，“证据登记主义（doctrine of documentary evidence）可以被这样解释：控诉方有责任向法院证明，执法部门自最初占有证据之后，其对证据的操作既没有导致证据的增加，也没有导致证据的减少（no more or and no less）”[1]。

与此相比，美国更加重视电子数据搜查、扣押过程中证据保管链的建立。由于考虑到对电子数据的搜查、扣押实际上由两个环节构成，美国侦查实践要求，在搜查、扣押电子数据过程中，控诉方有义务建立两条证据保管链。美国司法部在其发布的《法庭中的数据证据：执法部门及检察官操作守则》中明确规定，“扣押之后，确保传统证据保管链（traditional chain of custody）不出现断裂是必要的，但是这并不足以证明数据，或者经法庭科学检验得来的证据的真实性。除传统的证据保管链之外，在处理电子证据时，还需要采取附加的预防措施（auxiliary precautions）”。在有关电子数据的案件中，“涉及两条证据保管链（two chains of custody are involved）：物理载体（physical item）本身，以及与之相关的数据（associated data）。应当意识到，除了有关物理介质的证据保管链问题之外，还存在有关数据的证据保管链问题。”[6]

三、我国的问题及解决路径：反思与重构

在我国，随着电子信息技术在日常生活中应用的普遍化，涉及电脑、网络、手机等电子设备的刑事案件也急剧增多。在此背景下，对电子数据的搜查、扣押已成为我国刑事侦查的重要手段，在有些案件中甚至是关键措施。为了应对这一趋势，我国有关部门出台了一些规范电子数据的提取、审查和鉴定的规范性文件。譬如，公安部于2005年颁布了《公安机关计算机犯罪现场勘验与电子证据检查规则》（以下简称公安机关《勘验与检查规则》）和《公安机关电子数据鉴定规则》（以下简称公安机关《鉴定规则》）；最高人民检察院于2009年颁布了《人民检察院电子证据鉴定程序规则（试行）》（以下简称检察院《鉴定规则》）。2010年6月13日，最高人民法院、最高人民检察院、公安部、国家安全部、司法部联合发布的《关于办理死刑案件审查判断证据若干问题的规定》第29条对电子证据的审查判断也做出了一些规定。

不仅如此，2012年修正的《刑事诉讼法》还将电子数据作为一种法定证据种类做出了规定。此后于2012年底修正的公安机关《办理刑事案件程序规定》（以下简称公安机关《规定》）第227条将电子邮件与普通邮件、电报等并列，明确规定为查封、扣押的对象。于2012年底修正的人民检察院《刑事诉讼规则（试行）》（以下简称检察院《规则》）第9章第6节更将电子数据明确规定为侦查机关提取、查封、扣押的对象。于2012年底修正的最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》（以下简称最高法《解释》）第93条、第94条还对电子证据的审查判断做出了具体规定。

应当承认，这些司法解释和规范性文件考虑到电子数据的特殊性，对其做出特别规定，并设置一些特殊机制保障其客观性和原始性，是值得肯定的。例如，公安机关《勘验与检查规则》第30条规定，除特殊情况外，“不得直接检查原始存储媒介，应当制作、复制原始存储媒介的备份，并在备份存储媒介上实施检查”。检察院《鉴定规则》第15条规定：“检验鉴定应当对检材复制件进行”。这些规定要求对电子数据的检查和鉴定通常应当在复制件上进行，有利于保障电子数据的客观性和原始性，值得肯定。又如，根据公安机关《鉴定规则》和公安机关《勘验与检查规则》的规定，在对电子数据的存储媒介进行复制、检查、鉴定、封存等操作时，应当在《封存电子证据清单》等文件上注明相关操作。这些规定在一定程度上体现了证据保管链制度的基本要求，值得肯定。

然而，我国目前对电子数据搜查、扣押的立法尚处于起步阶段：对电子数据搜查、扣押的许多问题都没有做出规定；对有些问题虽然做出了规定，但存在不少问题。立法的空白与疏漏导致侦查人员在搜查、扣押电子数据时不仅极易侵害相对人的合法权利，而且极易损害电子数据的客观性和原始性。那么，我国电子数据搜查、扣押存在哪些问题？应当如何进行改革与完善？本文以下部分试图对这些问题进行深入探讨。endprint

（一）在司法审查方面存在的问题及解决路径

我国2012年修正的《刑事诉讼法》及相关解释对搜查的审批机关、搜查理由和搜查范围等没有做任何修改。对于搜查的审批机关，1996年和2012年《刑事诉讼法》都没有做出明确规定。根据公安机关《规定》第217条以及检察院《规则》第220条，只要经县级以上侦查机关负责人批准，侦查人员就可以实施搜查，包括对电子数据实施搜查，无须接受司法机关的审查。在搜查的实体条件方面，《刑事诉讼法》第134条规定：“为了收集犯罪证据、查获犯罪人，侦查人员可以对犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方进行搜查。”根据这一规定，在我国，搜查的理由，包括对电子数据搜查的理由非常简单，只要主观上是“为了收集犯罪证据、查获犯罪人”即可。由于正常情况下，侦查人员只要实施搜查，主观目的都是“为了收集犯罪证据、查获犯罪人”，因而可以说，我国《刑事诉讼法》对搜查的理由实质上几乎没有做出任何限制。譬如，侦查机关要实施搜查，必须对与犯罪有关的哪些事项进行证明？必须证明到何种程度？法律和司法解释都没有做出规定，实践中都由侦查机关自由判断。此外，根据该条的规定，搜查的范围是犯罪嫌疑人以及所有可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关地方。这意味着，在我国，搜查令不需要对搜查的对象和范围做出具体描述和严格限制。譬如，就对场所的搜查而言，只要是侦查人员认为可能隐藏罪犯或犯罪证据的地方，侦查人员都可以进行搜查。很显然，这极易导致侦查人员随意扩大搜查的范围，侵犯相对人的财产、隐私等合法权利。就对电子数据的搜查、扣押而言，如果搜查的对象和范围不受司法权的审查和制约，对公民权利造成的损害可能比对普通物品的搜查更为严重。

首先，如前文所述，在运作机理方面，对电子数据的搜查与对一般物品的搜查有所不同。对一般物品的搜查通常只包含一个步骤：侦查机关在对搜查现场进行查找，发现应予扣押的物品后，将该物品予以扣押并制作相关手续，搜查、扣押程序即告终结。由于在对一般物品实施搜查时，侦查机关客观上不可能将搜查现场所有的物品都予以扣押，而只可能将其认为与犯罪有关的物品予以扣押，然后运回侦查机关做进一步检查，因而即使对搜查的对象和范围不做严格限制，相对人的权利可能受到的损害也是相对有限的。譬如，侦查机关要查找被非法猎捕、杀害的珍贵、濒危野生动物的尸体，其客观上不可能搜查和扣押犯罪嫌疑人子女的文具等物品。又如，侦查机关要查找犯罪嫌疑人盗窃的汽车，其客观上不可能到犯罪嫌疑人的卧室实施搜查。换言之，对普通物品的搜查、扣押通常会受到客观环境和外在条件的限制，因而即使不对搜查的对象和范围做出严格限制，其对相对人权利造成的损害也是相对有限的。而对电子数据的搜查、扣押则完全不同。如前文所述，对电子数据的搜查、扣押由两个步骤构成：侦查人员先在犯罪现场搜查、扣押电子设备，然后再在侦查机关对电子设备中存储的电子数据进行搜索和分析。由于电子设备中存储的电子数据数量庞大，甚至包罗万象，因而侦查机关可能接触到犯罪嫌疑人各个方面的隐私。例如，犯罪嫌疑人涉嫌的是商业贿赂犯罪，但是侦查人员在搜查电脑时可能查看到犯罪嫌疑人的家庭照片、私密录像，可能了解犯罪嫌疑人的医疗记录、婚恋情况，甚至可能知晓犯罪嫌疑人子女的学习成绩、在校表现等。事实上，由于电子设备及其存储的所有电子数据均被扣押至侦查机关，因而在上述对一般物品的搜查过程中可能存在的客观制约在对电子数据的搜查活动中不复存在，侦查机关一旦滥用搜查权，可能对公民权利造成极为严重的损害。

其次，在诉讼成本方面，对电子数据的搜查与对一般物品的搜查也存在很大差别。在对普通物品实施搜查时，侦查机关必须出动一定的警力，封锁和控制犯罪现场，并且必须有被搜查人或者其家属、邻居或其他人在场见证。由于上述活动需要付出较高的成本，因而无论立法是否对搜查的次数和时间做出严格限制，基于控制侦查成本等方面的考虑，侦查机关都会尽量在有限的时间和次数内完成搜查，这在客观上有利于限制搜查的范围，保证对相对人权利的损害被控制在一定的限度内。然而，对电子数据的搜查则完全不同，“与传统物理搜查（physical searches）相比，电脑搜查（computer searches）成本更低，时间压力也更小（less expensive and less time-pressured）”[2]569。在搜索和分析电子数据时，无须组织庞大的搜查队伍，也无须对搜查现场进行封锁和控制，只需要一两名，或几名侦查人员对数据进行搜索，而且这种搜索基本上不受时间和次数的限制，技术人员可以在数周，甚至数个月的时间内随时对电子设备中存储的电子数据展开搜索，这将导致公民的隐私权长期暴露在毫无限制的公权力的威胁之下。基于这一原因，美国学者奥林·S·克尔（Orin S. Kerr）指出：“计算机取证的现实（与普通搜查相比，引者注）截然不同，意味着概括搜查（general search）的高度风险”[2]568。正因为如此，对电子数据的搜查比对一般物品的搜查更需要来自外部力量，特别是来自司法权的审查和控制。

基于以上原因，笔者认为，我国在未来修改刑事诉讼法时必须建立对搜查、扣押，特别是对电子数据搜查、扣押的司法审查机制。首先，在程序要件上，应当规定侦查机关在实施搜查、扣押之前必须取得司法机关签发的令状，否则，除非符合法定的例外条件，由此获得的证据不具有证据能力。就司法审查的主体而言，从理想目标来说，应当是中立的法院，当然考虑到中国的现实情况，在初级阶段，也可以借鉴检察机关审查批捕的做法，先建立由检察机关对搜查、扣押进行审查的机制，等到将来各方面条件具备之后，再建立法院对搜查、扣押进行审查的机制。其次，在实体要件上，应当要求侦查机关在申请搜查、扣押，以及司法机关签发搜查、扣押令状时都必须对搜查的理由和范围做出明确限定。在搜查理由方面，立法应当规定，只有侦查机关的申请符合以下条件，司法机关才能签发搜查令：有合理根据证明有犯罪事实发生；有合理根据证明拟搜查、扣押的物品有助于证明案件事实；有合理根据证明应予扣押的物品存在于拟搜查的场所。就对电子数据的搜查、扣押而言，侦查机关还必须提供证据证明电子设备中可能存储有应予扣押的文件或其他电子数据。就搜查的范围而言，立法应当要求侦查机关的搜查申请以及司法机关签发的搜查令状必须对拟搜查的场所和物品等做出明确而特定的描述。就对电子数据的搜查而言，搜查申请以及搜查令状必须明确规定侦查机关有权对谁的、何种电子设备（譬如是电脑、手机，还是其他电子设备）中存储的涉嫌何种犯罪的文件和数据进行搜查。endprint

（二）在证据展示方面存在的问题及解决路径

我国2012年修正的《刑事诉讼法》大幅度扩大了审查起诉和审判阶段辩护律师阅卷的范围，建立了类似英美法系的证据展示制度。修正后的《刑事诉讼法》第38条规定：“辩护律师自人民检察院对案件审查起诉之日起，可以查阅、摘抄、复制本案的案卷材料。”然而，美中不足的是，根据该条的规定，辩护律师可以查阅、摘抄、复制的只是本案的“案卷材料”，既非《刑事诉讼法》第43条规定的“案件材料” 《刑事诉讼法》第43条规定：“人民检察院自收到移送审查起诉的案件材料之日起三日以内，应当告知被害人及其法定代理人或者其近亲属、附带民事诉讼的当事人及其法定代理人有权委托诉讼代理人。”，也非《刑事诉讼法》第172条规定的“案卷材料、证据”。《刑事诉讼法》第172条规定：“人民检察院……向人民法院提起公诉，并将案卷材料、证据移送人民法院。”按照文理解释，“案卷材料”的范围比“案件材料”和“案卷材料、证据”的范围小得多。因为根据《现代汉语词典》，“案卷”是指“机关或企业等经过分类、整理后保存以备查考的文件材料”。[12]而“文件”，通常是指“公文、信件”[12]1427。这意味着，如果严格按照字面含义适用《刑事诉讼法》第38条，辩护方只能查阅案件的书面材料，而无权查阅其他形式的证据材料，如物证、视听资料、电子数据等。

不过，值得注意的是，最高人民检察院注意到了《刑事诉讼法》的这一措词可能造成的问题，在检察院《规则》第47条中对“案卷材料”做出了扩大解释，明确规定，这里的“案卷材料包括案件的诉讼文书和证据材料”。按照这一规定，辩护律师不仅可以查阅书面材料，而且可以查看实物证据，包括电子数据。然而，遗憾的是，检察院《规则》虽然对“案卷材料”做出了扩大解释，但是并没有针对不同证据材料各自的特点，对展示的方式做出不同的规定，尤其是没有针对电子数据的特殊性，对其展示方式做出不同规定，这极可能导致辩护方很难查看和审查控方收集的电子数据。道理很简单，根据检察院《规则》第49条的规定：“辩护人复制案卷材料可以采取复印、拍照等方式”。这意味着，在检察机关看来，证据展示的方式主要有两种：一是“复印”；二是“拍照”。其中，“复印”主要适用于书面材料；“拍照”主要适用于实物证据。而就电子数据而言，是很难采用这两种方式进行复制的。正由于司法解释没有对电子数据的展示方式做出专门规定，导致司法实践中各地检察机关做法不一：多数检察机关都是将用作证据的电子数据转化为书面材料，纳入案卷，允许辩护方复印，对于其他电子数据，则不允许辩护方查阅和复制；只有少数检察机关，不仅允许辩护方复印转化为书面材料的电子证据，而且将重要的电子数据刻录成光盘，允许辩护方复制该光盘。虽然相较于本次修正《刑事诉讼法》之前，辩护方无法查看任何电子数据，检察机关的现行做法使辩护方能够查看控方的部分，甚至大部分电子数据，因而具有进步之处，但现行做法仍然存在很多问题。

第一，无论是检察机关将电子数据转化为书面材料，还是将其刻录成光盘，其中包含的信息都是不全面的。首先，检察机关转化为书面材料的通常是其准备在法庭上出示的电子数据，显然，其中主要是能够证明被追诉人有罪、罪重的电子数据，而很少，甚至不会包含能够证明被追诉人无罪、罪轻的电子数据。其次，检察机关刻录为光盘的电子数据通常是其认为较为重要的电子数据，而不是全部电子数据。光盘中虽然可能包含一些有利于被追诉人的信息，但是不可能包含电子数据中所有能够证明被追诉认无罪、罪轻的信息。道理很简单，电子设备中存储的电子数据数量庞大，包罗万象，检察机关受制于其作为控诉方的诉讼立场，在审查这些电子数据时重点关注的是能够证明被追诉人有罪、罪重的信息，而很难毫无遗漏地发现和记录所有有利于被追诉人、能够证明其无罪、罪轻的信息，特别是当电子数据是以元数据或者操作系统伪影等非直观形式存在时，检察机关更难以注意到这些数据。

第二，无论是由电子数据转化的书面材料还是刻录的光盘，都不是对原始电子设备中存储的所有电子数据的完整的“比特流备份”，而是对原始数据进行筛选、转化后的结果，这极可能破坏电子数据的原始形态，导致很多有证明价值的电子数据被破坏或者灭失，以致辩护方很难，甚至无法获得对犯罪嫌疑人、被告人有利的数据信息。不仅如此，如前文所述，被追诉人对电子设备中存储的电子数据的记忆是非常有限的，通常只能记住某些关键文档的重要内容，对于其他许多信息，如每一文档创建、修改的时间，文件的格式、大小等，不可能都清楚记得。对于元数据或者操作系统伪影等非直观信息，甚至可能毫不知晓。从实践来看，通常只有获得了电子数据完整的“比特流备份”，并对这些数据进行详尽的研究和分析，才能够发现控方电子数据中的不真实、不完整之处，从而提出质疑。如果辩护方只能获得经过转化的书面文件或者光盘，仅凭这些变形的、残缺不全的电子数据复制品，辩护方很难对控方电子数据的客观性和真实性提出有力质疑。

事实上，正由于电子数据有着不同于传统证据的特殊性，如前文所述，美国联邦司法部专门就电子数据问题发布了《法庭中的数据证据：执法部门及检察官操作守则》（Digital Evidence in the Courtroom： A Guide for Law Enforcement and Prosecutor），对电子数据的展示问题做出专门规定。英国更在其《证据展示守则》（Disclosure Manual）中专设一章《数据证据展示指导》（Digital guidance），对电子数据的展示问题做出专门规定。

因此，笔者认为，我国在未来修改刑事诉讼法时，也应当对电子数据的证据展示问题做出专门规定。具体而言，立法应当规定，侦查机关在搜查、扣押电子数据之后，应当就电子设备中存储的电子数据制作一个完整的“比特流备份”，并将该备份材料交给辩护方。

（三）在证据保管链方面存在的问题及解决路径

我国虽然有些司法解释、规范性文件的规定体现了证据保管链制度的某些要求，但总体而言，我国还没有建立完善的证据保管链制度。立法的疏漏导致实践中证据保管存在不少问题，有些公安司法机关对证据的保管非常混乱，结果导致因保管不善以致证据发生变化，甚至灭失的现象屡屡出现。近年，媒体报道了许多类似案件。如在2003年至2006年轰动全国的湖南黄静案中，法院尚未对被告人姜俊武是否构成强奸罪做出认定，被害人黄静的尸体就严重腐败，作为尸检对象的黄静的内脏丢失，被害人的衣物，包括内裤神秘失踪[13]。再如，2009年，河南省汝南县公安机关在侦办一起1994年发生的故意杀人案件时因案卷丢失，导致检察机关被迫“降格”处理，以故意伤害罪对三名被告人提起公诉[14]。又如，自1996年至2003年，海南省三亚市公安机关在侦办一起故意杀人案时，因案卷丢失，导致犯罪嫌疑人6年逍遥法外[15]。那么，从司法解释以及相关规范性文件的规定来看，我国在证据保管链制度的建构方面存在哪些问题？endprint

1.关注证据提取、鉴定环节保管链的建构，忽视证据运输、储存等环节保管链的建构。

我国1996年和2012年《刑事诉讼法》对证据保管链基本上都没有作出规定。2012年《刑事诉讼法》第138条对搜查的记录只是简单规定：“搜查的情况应当写成笔录”；第140条对查封、扣押的记录只是简单规定：“对查封、扣押的财物、文件”，应当“开列清单”。对于“笔录”和“清单”中应当记载哪些内容，譬如，是否应当记载每一证据收集的具体时间、地点和方式，收集证据时证据的基本形态，如位置、形状、颜色等，《刑事诉讼法》都只字未提，完全没有体现证据保管链制度的要求。

初步体现证据保管链制度要求的是公安机关《规定》和检察院《规则》。公安机关《规定》第225条规定，对于查封、扣押的财物和文件，应当开列清单，“写明财物或者文件的名称、编号、数量、特征及其来源等”信息。检察院《规则》第236条和第238条也有类似规定。这些规定要求侦查人员在收集证据时对证据的基本特征做出描述，有利于建立证据收集阶段的保管链。但遗憾的是，无论是公安机关《规定》，还是检察院《规则》，对于在运输、储存、鉴定等环节应当采取何种方式妥善保管证据，譬如，在这些阶段是否也应当记录证据的基本形态、保管人员、交接的手续等，均只字未提，这显然不利于建立完整的证据保管链制度。

不过，如前所述，公安机关和检察机关就电子数据的提取和鉴定问题专门制定的几个规范性文件——公安机关的《勘验与检查规则》以及《鉴定规则》、检察院的《鉴定规则》——有些规定都在一定程度上体现了证据保管链制度的要求。譬如，公安机关《勘验与检查规则》第21条规定：“现场勘验检查结束后”，侦查人员应当及时制作《固定电子证据清单》、《封存电子证据清单》等文件；第29条规定：“复制、制作原始存储媒介的备份”之后，应当“重新封存原始存储媒介，并制作、填写《封存电子证据清单》”。公安机关《鉴定规则》第44条规定，鉴定结束之后，对于原始存储媒介和电子设备，应当“重新封存，并填写《封存电子证据清单》”。以上规定意味着，公安系统要求侦查人员自电子数据收集环节即建立证据保管链，并采用封存的方式保管原始存储媒介，此后如果因为复制、鉴定等原因破坏了封存状态，侦查人员应当重新封存并做出相应记录。应当说，这些规定非常合理，完全符合证据保管链制度的要求。然而，这些规定并不意味着我国建立了完整的证据保管链制度。道理很简单，负责勘验现场、复制和鉴定电子数据的侦查人员在对原始存储媒介进行封存之后不可能一直保管这些证据，那么，在封存之后由谁负责保管？应当在何种场所保管？应当由谁将证据运送到保管场所？证据被运送到保管场所之后是否需要办理交接手续？对证据保管场所有无温度、湿度等方面的要求等？对这些问题，上述规定都没有涉及。应当强调的是，虽然封存对于保障证据的客观性和原始性具有极为重要的意义，但这并不意味着证据经封存之后不会发生任何变化，有些证据，特别是电子设备，对于运输条件，以及储存场所的温度、湿度等条件有着非常严格的要求。如果侦查人员在运输电子设备时野蛮装卸，或者将其随意放置于过冷、过热或者过于潮湿的场所，电子设备以及其中储存的电子数据都有可能发生变化，甚至灭失。可见，我国司法解释及相关规范性文件只关注电子数据收集和鉴定环节保管链的建构，而不关注电子数据运输、储存等环节保管链的建构，既不要求在这些环节确定专人对证据进行保管，也不要求在交接时办理严格的手续，这极可能导致电子数据在这些环节处于无人监管的状态，对于确保电子数据的客观性和原始性非常不利。

2.未将对证据保管链的审查规定为法院审查证据的内容，辩护方很难从证据保管的角度质疑控方证据的证据能力和证明力。

（1）辩护方很难援引非法证据排除规则质疑保管程序不当的电子数据的证据能力。

我国2012年《刑事诉讼法》第54条从基本法层面确立了对非法证据，包括非法物证的排除规则。该条规定：“收集物证、书证不符合法定程序，可能严重影响司法公正的，应当予以补正或者做出合理解释；不能补正或者做出合理解释的，对该证据应当予以排除。”然而，如果侦查机关收集的电子数据在保管程序方面存在问题，辩护方很难以该条为依据申请法院予以排除。首先，按照我国《刑事诉讼法》第48条的规定，物证、书证属证据法定种类的第一种，电子数据属证据法定种类的第八种。如果将《刑事诉讼法》第54条中的“物证”理解为狭义的物证，也即《刑事诉讼法》第48条所规定的八种证据的第一种，那么电子数据根本不在非法物证排除的范围之内。其次，按照该条的规定，只有“收集物证、书证不符合法定程序”，才可能将该证据予以排除。而按照一般理解，“保管”与“收集”是两种不同的程序，因而就从文理的角度而言，电子数据保管程序违法，也不属非法证据排除的范围。最后，从该条规定的排除的条件来看，只有当控方收集证据的程序严重违法，严重影响司法公正时，才可能将该证据予以排除。通常认为，只有控方非法收集实物证据的行为严重侵犯了公民的财产、隐私等宪法权利时，才可能被认为严重影响司法公正，因而应当予以排除。侦查、起诉机关保管电子数据的程序违法很难被认为严重影响司法公正，因而辩护方几乎不可能以此为由否定电子数据的证据能力。

（2）辩护方也很难援引有效法律依据质疑保管程序不当的电子数据的证明力。

最高法《解释》第93条，第94条对电子数据证明力的审查判断做出了专门规定，这些规定初步体现了证据保管链制度的要求。然而，与公安机关、人民检察院制定的规范性文件一样，最高法《解释》也只关注证据收集环节保管链的建构，而没有对证据运输、储存等环节保管链的建构给予应有的重视。譬如，根据最高法《解释》第93条第1款第2项和第94条的规定，法院审查电子数据时，应当重点审查“收集程序、方式是否符合法律及有关技术规范”以及“勘验、检查、搜查”等证据收集环节是否制作了笔录并由相关人员签名；如果电子数据“制作、取得的时间、地点、方式等有疑问，不能提供必要证明或者做出合理解释的”，该电子数据“不得作为定案的根据”。这些规定进一步表明，最高法《解释》只要求法院审查证据收集的程序是否符合法律规定，而不要求审查证据运输、储存等保管程序是否存在问题；不要求审查是否建立完整的证据保管链，更不要求审查证据保管链是否实现无缝对接。这意味着，只要控诉方对证据的收集环节进行了记录，建立了保管链，那么即使此后的运输、储存等保管环节都没有特定的人员负责保管证据，也没有相应的笔录记载证据在运输、储存等保管环节的基本状态，辩护方也很难以此为由申请法院否定证据的证明力。这无疑不利于督促侦查、检察机关恪尽职守，妥善保管证据。endprint

基于上述原因，笔者认为，我国在未来修改刑事诉讼法时，应当建立完整的证据保管链制度：侦查、检察机关自收集证据（包括电子数据）时起至将证据移送法庭时止，对于运输、储存、鉴定证据的每一个环节，都必须确定专人负责保管，并且在每次交接证据时都进行记录，对交接的人员、时间、证据的基本形态等予以记载，以实现证据保管链的无缝对接。不仅如此，法院在对证据进行审查时必须对证据保管链的完整性进行审查，对于证据保管链出现断裂，或者证据在保管期间没有保持实质上的相同状态，并且控诉方不能做出合理解释的，应当将该证据予以排除。ML

参考文献：

[1] ACPO Good Practice Guide for Digital Evidence，（March 2012）[EB/OL]. [2014-06-12].http：//www.acpo.police.uk/documents/crime/2011/201110-cba-digital-evidence-v5.pdf.

[2] Orin S · Kerr. Searches and Seizures in a Digital World[J]. Harvard Law Review， 2005，（119）： 531-532.

[3] H · Marshall Jarrett， Michael W · Bailie， Ed Hagen. Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations[EB/OL]. [2014-06-12]. http：//www.justice.gov/criminal/cybercrime/docs/ssmanual2009.pdf.

[4] Marie-Helen Maras. Computer Forensics——Cybercriminals， Laws， and Evidence[M]. Sudbury： John & Bartlett Learning， LLC， 2012： 82.

[5] 林钰雄. 刑事诉讼法[M]. 北京：中国人民大学出版社，2005：302.

[6] U.S. Department of Justice. Digital Evidence in the Courtroom： A Guide for Law Enforcement and Prosecutors[EB/OL]. [2014-06-12]. https：//www.ncjrs.gov/pdffiles1/nij/211314.pdf.

[7] Disclosure Manual， chapter30， 30.11&30.12[EB/OL]. [2014-06-12]. http：//www.cps.gov.uk/legal/d_to_g/disclosure_manual/disclosure_manual_chapter_30/.

[8] Bryan A. Garner. Blacks Law Dictionary[K]. 9th ed. Eagan： West， a Thomson business， 2009： 260.

[9] Wikipedia. Chain of Custody[EB/OL]. [2014-06-12]. http：//en.wikipedia.org/wiki/Chain_of_custody.

[10] Ed. K. Lee Lerner， Brenda Wilmoth Lerner. World of Forensic Science[M]. Independence： Gale， 2005： 548.

[11] The Free Dictionary. Chain of Custody[EB/OL].[2014-06-12]. http：//legal-dictionary.thefreedictionary.com/chain+of+custody.

[12] 中国社会科学院语言研究所词典编辑室. 现代汉语词典[K]. 5版. 北京：商务印书馆，2005：11.

[13] 龚春霞. 法治社会和司法公正——从黄静案说开[J]. 法制与社会， 2007，（3）：520-522.

[14] 石玉. 警方丢失案卷杀人嫌犯难定罪[N]. 南方都市报， 2010-11-01（AA17）.

[15] 江舟，友政. 谁之过？杀人案卷宗材料丢失嫌疑人六载逍遥法外[J]. 今日海南， 2005，（7）： 44-45.

[HT]

Legal Regulation on Search and Seizure of Electronic Data

CHEN Yongsheng

（Law School of Peking University， Beijing 100871， China）

Abstract：

The Criminal Procedure Law amended in 2012 added electronic data to the types of evidence admitted by law， which requires the criminal procedural law academics to conduct an intensive study on the relevant issues about electronic data， such as search and seizure， introduction and cross examination， review and judgment of electronic data. Compared with traditional evidences， electronic data has four major characteristics as follows： capacity of massive storage， volatility of form， detectability of alteration and difficulty of perception. The above characteristics raise strict requirements on the search and seizure of electronic data. Firstly， investigation organs must get the warrants issued by judicial organs before search and seizure， besides， no matter the search aimed at electronic devices， or the search aimed at electronic data stored in the electronic devices， it should be bound by the probable cause requirement and particularity requirement of the writ principle. Secondly， in order to protect the legal rights of the defendants and to prevent the investigation power being abused， the investigation organs must offer opportunities for the defendants to check， examine and copy electronic data after search and seizure. Thirdly， for the sake of objectivity and originality of the electronic data， rigorous system of custody chain must be established. There exist serious problems in all of the above aspects， and even deficiency in some aspects in our system. The legislation organ must reform and reconstruct the relevant system in the future.

Key Words： electronic data； characteristics； writ principle； evidence discovery； chain of custody

本文责任编辑：周玉芹endprint