戴士剑

[摘 要]从电子证据的概念入手，通过探讨其内涵与外延，分析了电子证据与传统证据之间的逻辑关联性。通过具体案例，分析论证了信息系统是建立在一整套规则体系下的信息表示系统这一内在本质。作为人类发明创造物的客观存在的信息系统，在司法领域扮演着“沉默的现场知情人”的角色，天然地服务于侦查工作。而电子证据的科学性，正在基于对信息系统规则体系下的数据含义的“解读”，这种“解读”也正是目前有关电子数据的司法鉴定制度所管辖的。

[关键词]电子数据;证据法;现场;检验;鉴定

Abstract：This paper analyzes the logical relationship between electronic evidence and traditional evidence by exploring its connotation and extension based on the concept of electronic evidence. Then the paper analyzes and proves that information system is an information representation system based on a set of rules by a specific case. As the objective existence of human inventions and creations， the information system plays the role of "silent on-site insiders" in the judicial field， serving the investigation work naturally. The scientific nature of electronic evidence is based on the "interpretation" of data meaning under the rule system of information system， which is also under the jurisdiction of the current judicial identification system of electronic data.

Key words： electronic data;evidence law;field;inspection;dentification

一 电子数据概念辨析

“电子数据”这个术语之所以常常让人觉得有些怪异，主要是因为单纯从“电子数据”这四个字来看，它更多的是人们更为熟知的信息领域的术语。最新的百度百科关于“电子数据”词条的前面部分内容如下：

电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。

电子数据（electronic data）是指基于计算机应用、通信和现代管理技术等电子化技术手段，形成包括文字、图形符号、数字、字母等的客观资料。电子数据包括但不限于下列信息、电子文件：

（1）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;

（2）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;

（3）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;

（4）文档、图片、音视频、数字证书、计算机程序等电子文件。

根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，“电子数据”首先是一种信息，只不过它不再是由纸张或其他传统的形式做载体，而是由信号编码组成，存储在信息设备之中，伴随着现代信息技术和信息系统而存在。

人类创造和发展信息系统，是从模拟信号开始的，如传统的电话系统，及主要采用模拟技术和频分多址（frequency division multiple access，FDMA）技术的第一代无线通信系统，处理和使用的都是模拟信号。随着人类科技的进步，目前模拟信号系统越来越少，大都已经数字化甚至全数字化，由此产生的数据，被称为“数字信息”。单纯从信息技术来看，“电子数据”，既包括“数字信息”，也包括“模拟信息”，这不是本文的重点，不再详细讨论。

作为诉讼证据的“电子数据”这种证据，是三大“诉讼法”所规定的。《刑事诉讼法》采用“视听资料、电子数据”的表述形式，《民事诉讼法》《行政诉讼法》则将二者分列为两种证据类型。虽然形式上不完全相同，但实质上三者没有本质区别，都与“视听资料”相对应，且都与其他证据类型地位相同，是一种独立的证据类型。

遗憾的是，三大“诉讼法”只给出了这一证据类型，并没有明确其内涵和外延，也没有采用学术界更早通用的“电子证据”这一术语，加之行业术语目前并没有一个统一的标准，给交流造成了一定的混乱。对于这一问题，笔者一直建议将现在“诉讼法”中的“电子数据”，理解为等同于通常语境下的“电子证据”这一术语。这样做有很多好处：一是符合“诉讼法”中的用语;二是具有延续性，符合约定俗成原则;三是避免了术语上的混乱，不需要再搞出电子证据、电子物证等类似的概念和术语，含义明确，便于理解和使用。类似图1的标准规范，就不是一个好的标准规范。GAT ***-2009，电子物证术语标准（征求意见稿，未能正式发布）[S]

鉴于以上各种原因，可以把“电子数据”证据的概念规范为：因应用现代信息技术而产生的（主要以电、磁、光等形式存在的），可以用于证明案件事实的材料。需要明确的是：虽然都是“证明案件事实的材料”，但“电子数据”证据是用其“数据内容”来证明案件事实，而“数据内容”是不可能脱离载体而独立存在的。这个载体，往往表现为各种各样的电子设备（或电子产品），既包括计算机、打印机、传真机、工控机、路由器、WIFI设备、空调、冰箱、洗衣机、微波炉、电子手表、手机、电话、电视机、影碟机、录像机、摄录机、收音机、收录机、组合音箱、激光唱机、游戏机、交换机、移动通信基站、光盘、U盘、硬盘、软盘、磁带、磁芯存储器、磁泡存储器、SmartMedia（SM卡）、Compact Flash（CF卡）、PCI-e闪存卡、MultiMediaCard（MMC卡）、Secure Digital（SD卡）、Memory Stick（记忆棒）、XD-Picture Card（XD卡）、微硬盤等通常能想象到的，也包括如打孔卡、打孔带（绳结、用来表示旗语的旗子，如果是由计算机进行编码、识别和控制，则也属于电子数据，如果是靠人来识别，则属于传统范畴）等一般不容易想象到的特别的设备。总之，只要是现代信息技术能够用来存储数据，在这个数据成为诉讼证据之时，就是通常所说的“电子数据”证据，相应的设备自然就是该证据的载体。成为“电子数据”证据的信息数据（使用信息领域的“电子数据”这一术语更为合适，为了与证据领域的“电子数据”相区分，本文使用“信息数据”来指代信息领域的“电子数据”，下同），同样有各种各样的表现形式，如存储设备中存储的数据、网络中传输的数据包、无线电信号携带的信息、WIFI设置信息、光盘上的数据、打孔卡编码信息、激光编码信息，等等，都是电子数据。

二 电子数据内涵与外延

这样定义“电子数据”证据的意义在于：从“可以用于证明案件事实的材料”这一证据的本质属性来看，各种证据本质上都是相同的，都是用于证明案件事实的某种“材料”。这种用于证明案件事实的“材料”，需要具有三个基本属性，即证据的“真实性”“合法性”“关联性”。从人类发展的历史长河来看，司法证明经历了“神证时代”“人证时代”“物证时代”，当前被视为进入到“电子证据时代”，各种证据只是表现形式上的不同，如书证表现为传统的“书面形式”，视听资料证据表现为“声音和视频”形式，而“电子数据”证据则表现为如文档、声音、系统属性、时间属性等等各种形式的信息数据。“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中对其归纳为：

第一条 电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。

电子数据包括但不限于下列信息、电子文件：

（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;

（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;

（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;

（四）文档、图片、音视频、数字证书、计算机程序等电子文件。

以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定。公安部. 最高人民法院、最高人民检察院、公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的通知，法发[2016]22号：最高人民法院 最高人民检察院.《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，中华人民共和国公安部公报，2016年5月.

每种证据都有其内在的规律性，“电子数据”证据需要遵照信息技术的相关规则来进行处理，以保证其作为证据的三个基本属性得以满足，也就是保证其证据能力和证明力。那么，什么材料属于“电子数据”证据，什么材料是传统的物证、书证，以及什么材料是传统证据的电子化表现形式，图2可以清晰地加以区分，从而采取不同的处理手段，以保证其证据能力和证明力。

三 电子数据证据的科学性

人类历史上已经经历了六次信息革命：

第一次信息革命是语言的产生，解决了信息分享问题。

第二次信息革命是文字的出现，解决了信息记录问题。

第三次信息革命是纸和印刷术的出现，解决了信息远距离传输的问题。

第四次信息革命是无线电的发明，解决了信息的远距离实时传输问题。

第五次信息革命是电视的出现，解决了远距离多媒体传输的问题。

第六次信息革命是互联网的出现，完成了信息双向和多向交互的传输。

也有说七次信息革命的，其中更粗线条的可以归纳为两次信息革命：语言文字的出现和现代信息技术的出现。语言文字的出现，让人类有了充分的信息交流和信息利用能力，其标志是建立起一套或数套文字符号系统。这些文字符号系统，不仅描述可见的自然世界，也描述人类的精神世界和意识领域虚幻的想象。正是有了这套文字符号系统，才让人类成为了万物之灵。随着人类科技的不断发展和进步，对信息利用能力的不断加强，经过长年的积累，尤其是工业革命的积累，人类在传统语言文字符号系统的基础之上，建立起了现代信息系统，这个演变过程可以通过《福尔摩斯》中的跳舞的小人和摩尔斯电码形象地展现。

现代信息系统就是建立在二进制基础之上的规则体系，是对传统语言文字符号系统的二次编码。它是人类的发现创建物，按照人类期望和设计的工作模式在工作，并不是什么虚拟的存在。所以，所有认为电子证据的证明要分两步走，需要首先在虚拟世界形成证据链，然后再完成从虚拟世界到物理世界的证明的认识，都是对信息系统工具属性的彻底错误的理解。

以光盘为例，光盘通过肉眼无法直接查看上面所记录的信息，实际上光盘是典型的利用物理痕迹来对数据进行编码的具体应用实例，其在光学显微镜下放大到约2000倍时，所看到的这种物理痕迹如图3所示。

在计算机体系中，通常以字节为单位，一个字节是八个二进制位，可以表示256个不同的值。计算机为了处理方便，用来表示实际文字符号的字节，在硬盘内部存储的时候，并不是直接进行存储，而是要加上ECC编码和通道编码，以便于这些物理痕迹的识别（主要是通过牺牲容量来使系统可以设计得更简捷，能够正确识别是几个连续的“0”或“1”），其示意如图5所示。

其他更复杂的层次体系、网络系统等，都是搭建在此基础之上的规则体系。所谓的“伪造、篡改”，都只会是人的行为，而不是机器的行为，机器只会忠实地执行人的指令。

因此，笔者从2011年开始，将信息系统在司法领域的应用定位为“沉默的现场知情人”。从整体来看，其地位和作用并不是简单地表现为一个一个独立的证据，或者一类一类独立的证据，而是一个“现场”，由信息系统生成和记录着各类信息，这些信息往往足以重建“过去发生的事情”。这从以下这个典型案例中可以得到集中体现：

2012年4月，安徽省某市危险驾驶案：王某酒后驾车与他人发生交通事故后，被交警队孙某带到医院进行抽血化验，血检报告显示其酒精含量为213.39 mg/100ml，已經达到醉酒驾驶的刑事立案标准。随后案件具办人孙某又带着王某的血样到省城的一家权威检测机构进行血中酒精含量检测。该检测机构鉴定人陈某出具了一份王某血液中酒精含量为71mg/100ml的血检报告，该报告证明王某的行为未达醉驾标准，其行为不构成犯罪。

陈某完全不承认涉嫌做虚假鉴定。本案在技术部门参与后，将陈某鉴定用计算机扣押回来进行分析，发现陈某于2012年5月11日完成了将原来计算机硬盘的5个分区全部删除、重新分成4个分区、重新格式化并新安装操作系统和相关程序的操作（2月28日做的相关检测），如图6所示。

第二条 电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。

第三条 电子证据鉴定是人民检察院司法鉴定人根据相关的理论和方法，对诉讼活动中涉及的电子证据进行检验鉴定，并作出意见的一项专门性技术活动。

第四条 电子证据鉴定范围：

（一）电子证据数据内容一致性的认定;

（二）对各类存储介质或设备存储数据内容的认定;

（三）对各类存储介质或设备已删除数据内容的认定;

（四）加密文件数据内容的认定;

（五）计算机程序功能或系统状况的认定;

（六）电子证据的真伪及形成过程的认定;

（七）根据诉讼需要进行的关于电子证据的其他认定。

这个规定虽然是根据《人民检察院鉴定人登记管理办法》和《人民检察院鉴定规则（试行）》制订的，但并没有明确指出“电子证据鉴定”的“司法鉴定人”的资格问题。

由此可见，公安系统的“电子数据”司法鉴定人，采用单独的管理制度进行规范，检察系统则还没有明确如何进行规范。

再看看“电子证据”这一术语，最早正式出现在五部委联合发布的《两个证据规定》中，相关内容如下：

第二十九条 对于电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等电子证据，应当主要审查以下内容：

（一）该电子证据存储磁盘、存储光盘等可移动存储介质是否与打印件一并提交;

（二）是否载明该电子证据形成的时间、地点、对象、制作人、制作过程及设备情况等;

（三）制作、储存、传递、获得、收集、出示等程序和环节是否合法，取证人、制作人、持有人、见证人等是否签名或者盖章;

（四）内容是否真实，有无剪裁、拼凑、篡改、添加等伪造、变造情形;

（五）该电子证据与案件事实有无关联性。对电子证据有疑问的，应当进行鉴定。

对电子证据，应当结合案件其他证据，审查其真实性和关联性。

也有个别地方从事电子数据司法鉴定人的执业资格上写的是“电子证据”，或者“声像资料（限电子证据）”。

2009年发改委与司法部的文件《司法鉴定收费管理办法》，在声像资料类下设置了“电子数据鉴定”和“声像资料鉴定”两个术语。

另外，CNAS也对电子物证的认证认可进行了规范和说明，在“关于发布《司法鉴定/法庭科学认可领域分类》（试行）及其实施安排的通知”中，明确说：2005年2月28日全国人民代表大会常务委员会通过《全国人民代表大会常务委员会关于司法鉴定管理的决定》，要求从事法医、物证和声像资料（简称“三大类”）司法鉴定应当“有在业务范围内进行司法鉴定所必需的依法通过计量认证或者实验室认可的检测实验室”。为全面推进司法鉴定/法庭科学领域认可工作的开展，CNAS组织制定了《司法鉴定/法庭科学认可领域分类》（试行），对“三大类”和电子物证等领域进行了分类。电子物证虽不在“三大类”范围内，但在实践中，公安、司法、检察等系统的机构开展该类检验的很多，而且认可的需求很迫切，为此分类表中增加了电子物证领域。

司法部网站上的“鉴定业务”分类，则采用了“声像资料鉴定”“计算机司法鉴定”的说法，如图10所示。

2000年版的《司法鉴定执业分类规范》中对计算机司法鉴定规定为：依法取得有关计算机司法鉴定资格的鉴定机构和鉴定人受司法机关或当事人委托，运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。

目前有关电子数据鉴定的国标有三个（不包括相应安全标准），公安部行标32个，司法鉴定技术规范13个。

虽然通过这些标准和规范，让电子数据的鉴定工作有了依据，但实际应用中，仍然经常面临没有合适规范可用的局面。原因非常简单，作为人类迄今为止最伟大的发明创造物的现代信息系统，其无比的复杂性和广博性，让运用过程中大量术语的含义都发生了明显的变化，如“功能”“授权”“入侵”“破坏”等，都与传统意义上的内涵外延不同，所以经常出现技术专家与法律专家讨论得很热烈，说的却不是同一件事的现象，不少术语在信息技术领域的含义与在司法领域的会有不同。

另外，鉴定标准规范也是原则性规定多，以国标《电子物证数据恢复检验规程 GB/T 29360-2012》为例，“5.4.4 根据检验要求，使用软件工具进行数据恢复”，如图11所示。

实际工作中就遇到鑒定报告使用通用数据恢复软件，没有检测出删除的文件，但根据文件头来进行检测，成功恢复5个重要的删除的文件。其原因就在于文件有多种类型，通常相同类型的文件（或编码文件）会有一个同样的头来标识这种类型，也称文件签名（与RSA体系中的签名不是一个概念），很多时候通过这个文件头来识别一个文件的开始，本例中之所以数据恢复软件没有恢复出这5个删除的文件，只是因为该文件头比较特殊，使用的数据恢复软件“不认识”这种文件头。

显然，电子数据证据的应用，能解决的问题有限。当前信息技术与司法活动的融合越来越深，但由于信息系统的复杂性与庞杂性，如何评价电子数据证据，仍然是一个难题。其中最为突出的是，对电子数据取证以及检验、鉴定的原理、方法和工具的科学性和规范性尚难以进行精准的描述，还未能以科学的范式向公众展现电子数据的科学性与可靠性。为此，中国政法大学特成立了“电子取证工具产品测评认证与大数据侦查研究中心”，拟对相关工具产品的科学性、准确性、可靠性、稳定性等方面进行全面综合的评测和分析，为电子数据证据的科学应用提供基础性保障。长远来看，仍建议将其划分为检测和专家意见两个层次，限于篇幅，这里不展开论证。

五 结 论

通过上述分析，可以得出以下几个主要结论：

1. 电子数据鉴定不属于《决定》所规范的范围，这是毋庸置疑的。

2. “声像资料”执业资格，涵盖不了电子数据鉴定工作。

3. 电子数据证据的应用，宜划分为检测和专家意见两个层次。

4. 电子数据是人类创造的信息系统所形成的数据，具有确定性和可验证性，因而也具有科学性。

5. 电子证据的科学性如何评价，需要更进一步的分析和探讨，特别是，它就是电子数据，既不是书证，也不是物证。

6. 由于信息系统的复杂性，电子数据证据的科学性需要加以细分和深入研究，以探讨什么条件下的电子数据才具有科学性，而不是笼统地说其是否具有科学性。