□吴影飞

(安徽省公安厅警察训练总队，安徽 合肥 230088)

电子数据是2012年修订刑事诉讼法时为适应科技发展的需要新增加的一个证据种类，随着智能手机、互联网的普及，电子数据几乎在每一个案件中都或多或少地存在，已成为一类重要的证据。但因其专业性较强，在侦查取证中有些问题值得深入探讨。本文以“快播”案为视角，结合近期颁布的电子数据取证规范，(1)即2016年“两高一部”印发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)和2019年公安部制定的《公安机关办理刑事案件电子数据取证规则》。对“快播”案电子数据取证工作中存在的问题进行剖析，查找原因，从而为侦查机关规范电子数据取证行为提供参考。

一、案情简介(2) 参见北京市海淀区人民法院刑事判决书(2015)海刑初字第512号和北京市第一中级人民法院(2016)京01刑终592号刑事裁定书。

快播公司通过免费提供QVODPlayer和QSI的方式，为网络用户提供视频服务，网络用户可通过QSI发布其拥有的视频资料。方法如下：网络用户选择要发布的视频文件，使用资源服务器程序生成该文件的特征码，导出包含特征码的链接，用户把链接放到网站上，即可通过快播公司提供的服务器与点播用户分享该视频资源，于是快播公司的中心调度服务器就在用户之间搭建了一个传输平台，快播公司为提高点击量高的视频文件下载速度，通过与运营商合作或自有的方式，搭建以缓存调度服务器为核心的平台，一旦其中某一视频文件被用户点击或播放的次数达到系统设置标准，缓存服务器就会自动抓取、存储这一视频文件，如果这些视频文件被网络用户再次点播时，缓存调度服务器就会自动提供最优解决方案，相关视频文件能够被快速下载，相关淫秽视频文件由于被网络用户多次浏览或下载，就会被缓存服务器自动抓取并进行存储。

2013年上半年，光某公司为解决快播播放器不流畅问题，与快播公司联系解决方案，经协商，由光某公司提供硬件设备，快播公司提供内容数据源并负责对软件系统进行后期维护。2013年8月，光某公司提供4台服务器供快播公司使用，快播公司在该4台服务器安装了操作软件，并设置登录账号和密码进行远程操作。同年11月18日，海淀文委在执法检查时，从光某公司查获该4台服务器。2014年4月11日，海淀公安分局立案侦查，经调查，自2013年8月至被查获时，4台服务器中存储的文件均为用户点击量达到一定次数的视频资料，海淀公安分局从服务器里提取29841个文件委托专门机构进行鉴定，经鉴定21251个文件是淫秽视频。

二、涉案电子数据分析

“快播”案电子数据存在的问题虽然在法院审理期间，经过海淀区人民法院委托的国家信息中心电子数据司法鉴定中心进行鉴定，对相关电子数据的真实性进行了补正，没有影响到相关电子数据作为证据采纳，但是耗费了司法资源，而且对侦查取证的公信力也造成了一定影响。该案存在的证据问题虽然与海淀文委有一定关系，但是这也与刑事案件侦查过程中，电子数据的发现、收集或提取由普通侦查人员进行具有一定的可类比性，分析该案中电子数据取证中存在的问题，对侦查机关以后进行电子数据取证具有警示意义。

(一)扣押的4台缓存服务器，没有详细登记、固定

本案的关键证据4台缓存服务器，行政执法机关在扣押时，没有记录4台服务器的特征和唯一识别代码，也没有详细记录4台服务器的型号、数量、容量等特征，甚至扣押4台缓存服务器时没有拍照固定，虽然记录了IP地址，但IP地址不具有唯一性，即使记录的IP地址具有唯一性，也不能代替基本的取证规则。在案件移交侦查机关后仍然没有详细登记4台服务器的特征、型号等，这样的基本常识错误是难以令人理解的，抛开电子数据的专业性不谈，扣押的4台缓存服务器也属于物证，那么收集物证必须严格按照收集、提取物证的程序要求进行拍照固定，详细登记物证的型号、特征、数量、质量等。虽然开始是以行政案件受理的，但是无论办理行政案件程序，还是刑事案件程序，对收集、提取物证都要求拍摄足以反映原物的照片或录像，并在查封、扣押时，对查封、扣押的物品查点清楚，详细写明物品名称、编号、数量、特征及其来源等。“快播”案的电子数据主要来源于这4台缓存服务器，也是电子数据的载体即电子数据的原始存储介质，无论是行政执法机关还是侦查机关必须确保这4台涉案服务器的真实性、完整性。并且扣押、封存前应拍摄4台缓存服务器的照片，完整体现封存前后的状况，并清晰反映封口和张贴封条处的细节特征，照片还要清晰反映它们内部存储介质的细节，以保证被扣押、封存的4台缓存服务器不被变动。同时扣押、封存电子数据的原始存储介质时，要详细注明名称、编号、数量、特征及其来源等，必要时，对扣押、封存的过程进行全程同步录像。

(二)没能保证电子数据的同一性

该案中，由于对扣押的4台缓存服务器没有封存，4台服务器由海淀文委于2013年11月18日扣押，因涉及版权鉴定问题又将其交北京市版权局实施相关鉴定，后又因为鉴定的事项涉及计算机和网络视频问题，又委托某动力公司提供技术服务，这几个流转环节因没有保证存储介质及其电子数据与原在光某公司扣押的电子数据的同一性，难免令人怀疑涉案电子数据是否被增加、删除、修改，相关部门虽然进行了说明，但这种自证的证明力有限。特别是在委托第三方某动力公司对涉案电子数据进行操作的过程，更是无法保证电子数据的同一性。如果对扣押的4台涉案缓存服务器以封存的状态下进行相关的移送工作，就能保证电子数据的同一性，同时在封存现场如果计算出电子数据的完整性校验值，也能保证电子数据的同一性。遗憾的是这些保证电子数据同一性的方法都没有实施，在委托第三方提供服务的过程中，完全可以制作电子数据备份，对备份进行操作，特殊情况下不具备制作备份条件的，也应当对相关的操作活动进行全程同步录像来保证实施操作过程中没有对电子数据进行增加、删除、修改。

(三)相关操作过程，没能保证电子数据的完整性

在鉴定过程中，4台服务器中的文件是快播公司独有的QVOD文件格式，不能直接播放，因此委托某动力公司提供技术支持，该公司研发了QVODDECODE软件，解析出快播文件，使这些文件能够通过一般的播放器进行播放。具体过程为，先从快播服务器中把QVOD文件拷贝到硬盘，然后通过研发的QVODDECODE软件进行解码，生成新的MP4文件，因为QVODDECODE只读取QVOD文件内容，所以这个过程不会改变原文件。这种委托提供技术支持行为是完全可以的，因为侦查机关在收集、提取电子数据过程中，遇到技术难题时可以指派或聘请专业技术人员提供技术支持，该行为不属于鉴定行为，不需要具有鉴定资质。问题的关键是提供转码的过程，不具有重现性，不能证明是否对原电子数据进行增加、删除、修改，而且转码后的文件中，多出来其他类型的文件，虽然不是视频文件，但足以令人怀疑有毁损原文件的可能性，再加上前期没有对4台服务器的电子数据进行备份，并且没有对操作过程进行录像，因此很难保证电子数据的完整性。

(四)对电子数据进行鉴定过程不严谨

电子数据鉴定不仅包括对电子数据本身进行鉴定，还包括电子数据记载的信息进行鉴定。本案中鉴定存在的问题：第一，鉴定人丁某代替赵某在鉴定书上签名。对电子数据进行鉴定时，应遵守鉴定的一般程序规定，鉴定后由鉴定人本人在鉴定意见书上亲自签字，代签是严令禁止的。第二，鉴定的硬盘记载出现矛盾，公安机关于2014年4月11日出具第一份鉴定书，记载的服务器内置硬盘数量为3台内置7块硬盘，1台内置6块硬盘，每块硬盘容量均为2T。第三次淫秽物品鉴定期间，公安机关委托某鉴定所出具一份鉴定意见书，送检材料显示，4台涉案服务器内置硬盘数量和容量是：3台服务器内置硬盘数量6块，一台内置5块，且有一台服务器内的硬盘容量为1T。服务器内硬盘数量、容量前后矛盾，虽然事后进行了说明，但从中可看出鉴定人员进行登记核对时非常随意。鉴定人在对鉴定检材进行登记时，要严格进行审查、登记，切不可随意而为，稍有疏忽大意，可能造成记载的事项与实际不服，无法保证检材在提取、保管、送检、鉴定等流转环节的同一性。第三，在对电子数据内容信息进行鉴定时直接在服务器硬盘上进行。在对电子数据进行鉴定时有条件的一定要制作备份，对备份进行检查、鉴定，因为直接对电子数据进行鉴定可能会造成电子数据发生变化，影响其完整性、真实性。

三、“快播”案对电子数据取证的启示

“快播”案已成为历史，可以肯定的是电子数据在收集、提取、鉴定等过程中确有不规范之处，但是作为一种新的证据种类，技术性较强，不规范之处在所难免。但是，侦查机关从该案中得到启示，规范电子数据取证行为，避免类似失误再次重现，确保电子数据的真实性、完整性、同一性、相关性。

(一)侦查人员掌握电子数据取证的一般常识

电子数据虽然是一种在案件中经常出现的专业性很强的证据，但第一时间接触电子数据的却可能是基层一线的侦查人员，出于侦查取证的紧迫性，若电子数据的专业取证人员不在现场，这就要求侦查人员必须具备发现、收集、提取电子数据的基本常识，否则可能会造成电子数据被破坏或灭失，无法发挥应有的证明作用。因此，《电子数据规定》规定了收集、提取电子数据由侦查人员进行，而不再要求电子数据收集必须由专业技术人员进行收集、提取，但是要求侦查人员取证方法应当符合相关技术标准。笔者在基层调研中发现，一线侦查人员对电子数据收集、提取等环节的基本要求还没掌握，不擅长甚至不知道电子数据的收集、提取常识，造成应该收集的电子数据没有收集，如基层侦查机关在面对电信诈骗案件时，被害人报案称在上网过程中稀里糊涂就被骗了，侦查人员对被害人使用的手机没有收集电子数据意识，不会查找上网浏览记录等，有的侦查人员虽具有一定的电子数据收集、提取意识，但收集、提取的过程不规范，只知道对电子数据进行简单的拍照固定，然后打印附卷，一旦在法庭上应用这些电子数据进行指控犯罪时，又被律师找出很多问题。如电子数据的来源不清楚，无法保证电子数据的真实性等等。面对电子数据在案件中大量出现和网安专业取证人员有限的现实，加强对侦查人员进行电子数据收集、提取的基础知识培训是有效的应对措施。开展培训的方式多种多样，如侦查人员的入职培训、专题培训等方式，让侦查人员掌握基本的电子数据取证常识，如在现场发现电脑、手机等，侦查人员要掌握“开机不关、关机不开”，及时把嫌疑人员与电脑分开，获取登陆密码,保护电子数据现场等涉及电子数据保护的基本知识，这样的培训并不是要把侦查人员培养成电子数据取证专业人员，而是要求侦查人员学会保护电子数据，收集、提取简单的电子数据和养成重视电子数据的意识。

(二)规范电子数据存储介质的扣押、封存程序

电子数据的虚拟性决定了其自身不能单独存在，必须依附于某种存储介质。[1]所以，对电子数据应当以扣押、封存原始存储介质为原则，这就要求规范扣押、封存的过程，“快播”案就是因为扣押、封存原始存储介质不规范造成后续一连串的问题出现。电子数据的原始存储介质是电子数据的载体，是保证电子数据真实性、完整性、同一性、合法性的根基，可以说如果原始存储介质的真实性、完整性、同一性无法保证，则难以保证电子数据本身的真实性、完整性、同一性。电子数据的原始存储介质既具有物证的属性，又具有电子数据的属性，所以扣押、封存原始存储介质时就要从物证和电子数据两个角度按程序规范进行。扣押、封存原始存储介质应同原始存储介质持有人和见证人当场查点清楚，详细记录名称、编号、数量、特征及其来源等，特别是能够反映原始存储介质的唯一性识别代码更要记录清楚，并拍摄足以反映外形特征的照片及拍摄封存前后的照片，必要时进行同步录像。对于扣押、封存手机等具有通信功能的存储介质，应当采取信号屏蔽或信号阻断的方式进行，必要时切断电源。

(三)确保电子数据的真实性、完整性

电子数据具有易发生变动的特点,一个简单的操作就可能使电子数据发生变化,进而影响到电子数据的原始性、真实性、完整性。电子证据的收集、审查判断面临的核心问题是真实性问题。[2]因此保证电子数据的真实性、完整性对电子数据取证来说至关重要，电子数据的真实性、完整性要求从发现到固定、收集、提取、保管、移送、鉴定等过程都要有充分的证据，能够证明后期应用的电子数据就是现场发现的，这对电子数据取证提出了较高的要求，这是由电子数据本身的属性决定的。保证电子数据的真实性、完整性应从以下几个方面来实现。

第一，现场发现的电子数据，能够提取原始存储介质的应及时进行固定提取，并计算出电子数据的完整性校验值。电子数据的完整性校验值相当于电子数据的身份证号码，具有唯一性特征。计算完整性校验值有助于防止电子数据被篡改或被破坏，一旦电子数据发生篡改、破坏，其完整性校验值就会发生变化。

第二，电子数据是计算机内存数据或是网络传输的数据，因条件限制确实无法扣押原始存储介质的，可采用现场提取电子数据或网络在线提取电子数据的方式进行，但应当现场计算完整性校验值。原则上现场提取或网络在线提取电子数据不能在目标系统中安装新的应用程序，否则会破坏提取电子数据的完整性，使提取的电子数据真实性无法保证，如因提取电子数据的特殊情况，确实需要在目标系统中安装新的应用程序，应在提取笔录中详细记录所安装的程序及目的，同时对相关操作过程进行同步录像，提取完成后，计算提取电子数据的完整性校验值和同步录像的完整性校验值。

第三，对提取的电子数据进行移送过程中，必须是以封存的状态进行，确保不解封时无法进行操作，同时对制作的备份也应当一并进行移送。

第四，在确定电子数据内容信息时，必须对电子数据进行检查，但在对电子数据进行检查前要认真核对完整性，查看是否是以封存的状态下进行移送，查看封存的照片与当前的封存状态是否一致，并核对电子数据的完整性校验值是否正确。在对电子数据进行检查时应制作电子数据备份，对备份进行检查或通过写保护设备接入到检查设备进行检查，如因特殊情况无法写保护或者制作备份的，应对检查的过程进行同步录像，检查完毕后对电子数据进行封存。

第五，对电子数据进行鉴定时，鉴定人员要核对电子数据的完整性，查看是否以封存的状态进行移送，查看封存的照片与当前的封存状态是否一致，并核对电子数据的完整性校验值是否正确，然后对电子数据进行鉴定，对电子数据进行鉴定时尽量制作备份，对备份进行鉴定，如需添加应用程序进行鉴定的应当详细记录鉴定添加的程序，并对整个鉴定过程进行同步录像。

(四)保证电子数据的相关性

由于电子数据是一种特殊类型的证据,有时电子数据存储位置与犯罪嫌疑人、被告人不在一起，甚至远隔千山万水，如云系统等的存储。怎样证明获取的电子数据与犯罪嫌疑人具有相关性，这对侦查取证提出了新的挑战。电子证据运用于法庭攻防和司法裁判中的特色，其实正在于关联性。[3]如“快播”案中,在光某公司扣押的4台缓存服务器，不在快播公司内查获的，如何证明包含有淫秽物品的4台缓存服务器是快播公司控制的，就成为侦查机关必须证明的事项，后通过信息鉴定中心进行检验，证明了快播公司的8个专用IP地址频繁远程登录过4台缓存服务器，从而确立了快播公司与4台缓存服务器的相关性。电子数据相关性包含载体相关性和内容相关性，证明电子数据与犯罪嫌疑人的相关性要综合运用传统和现代的证明方法进行证明。证明载体的相关性，对扣押、封存电子数据的原始存储介质时要注意收集传统的痕迹物证，如现场硬盘、电脑、U盘等，注意提取手印、DNA等物证，通过鉴定、辨认等方式证明与犯罪嫌疑人的相关性；证明内容的相关性，对证明网上提取电子数据与犯罪嫌疑人之间的相关性，犯罪嫌疑人出于反侦查的目的会使用虚拟身份进行作案，侦查取证过程中要注意从虚拟身份中提取到有价值的照片、网络名称等与真实身份具有相关性的证据，使犯罪嫌疑人与电子数据建立起联系，还可以通过核查IP地址、上网终端归属以及相关的证人证言、犯罪嫌疑人供述等进行判断内容的相关性。

(五)规范电子数据鉴定程序

电子数据鉴定的种类较多，不仅包括对电子数据本身进行鉴定，还包括对电子数据所记载的内容进行鉴定，电子数据内容信息包括淫秽物品、知识产权、国家秘密等，如“快播”案中的淫秽物品鉴定就属于对电子数据所包含的内容信息的鉴定。无论是对电子数据自身进行鉴定，还是对电子数据包含的内容进行鉴定，都要遵守刑事诉讼程序关于鉴定的要求。鉴定机构及其鉴定人员要具有相关的资质，并严格遵守回避的规定，因电子数据专业人员流动性强等因素的客观存在，涉及回避的事项应认真进行审查。电子数据鉴定一般要求鉴定人具有鉴定人专业资质并制作鉴定意见，因电子数据的专业性较强，没有符合条件的法定司法鉴定机构及专业鉴定人员的，可由公安部或最高人民检察院指定机构出具报告。无论是鉴定人作出的鉴定意见或专业人员出具的检验报告都是一种证据材料，都要接受质证，如果辩护人等对检验报告或鉴定意见有异议，检验人、鉴定人也可能要出庭接受控辩双方的询问，甚至还要接受电子数据领域专家的挑战。所以，对电子数据进行鉴定、检验要严格遵照工作规定，并审慎地进行鉴定，使作出的鉴定能够经得起检验。

电子数据在刑事案件侦查中的作用越来越重要,侦查工作中不仅要重视收集这类证据,还要遵守法定的程序进行电子数据取证,严格按照电子数据相关取证规则进行收集、提取,确保电子数据的真实性、合法性、关联性、完整性，否则有违程序法定原则，导致获取的电子数据被作为非法证据排除，使侦查获得的电子数据发挥不了证明作用，进而导致有罪的人受不到应有的惩罚。由于电子数据专业性较强，侦查人员和电子数据专业技术人员都容易出现专业上的障碍，侦查人员不懂电子数据技术，技术人员不掌握取证规范，从侦查取证的角度就要求侦查人员为确保案件的有效诉讼，必须掌握基本的电子数据取证知识才能胜任科技时代的取证要求，这不仅是侦查取证的需要，也是以审判为中心的必然要求。