□赵长江，申梦凡，张 硕

(重庆邮电大学，重庆 400065)

电子数据取证原则是规范和调整取证活动的纲领性准则，严格遵守取证原则是电子数据被法庭认可的基础。我国学者在传统取证原则的基础上，结合相关行业和组织的标准，从技术和法律两个方面进行权衡，提出了电子数据取证的基本原则。随着“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称为《电子数据规定》)和《最高人民法院关于修改<关于民事诉讼证据的若干规定>的决定》(以下简称为《民事证据规定》)的出台，电子数据取证的原则得到了进一步的强化。互联网技术、信息技术及各类智能终端的研究与发展，给电子数据侦查取证带来更多新的挑战；作为电子数据取证的基础性准则，对电子数据取证原则进行新的讨论与解读就显得十分必要。本文主要对电子数据取证“不损坏原件”原则在当前取证技术下遇到的挑战进行讨论，并结合技术和法律提出新的变通途径，使其能够与新的取证技术相适应。

一、“不损坏原件”原则的概念及地位

(一)“不损害原件”原则的概念

1.电子数据和原始载体的关联概述

2012年《刑事诉讼法》修订之后，有学者对电子数据的概念提出了不同的理解。陈瑞华认为电子数据是指电子设备、移动终端等所记载的电子数据资料；[1]赵长江认为电子数据实质上是电子、光学、磁及类似手段生成、传播、存储的数据信息。[2]通过对电子数据的立法定义及理论定义进行分析可以发现，电子数据的生成、存储以及传输总是与电子设备相关联，对其载体具有高度的依赖性。

证据材料欲作为定案的依据必须保证其客观性和真实性。电子数据作为法定证据类型的一种，其实质是存储在介质中的光、电或磁信号，极易受到外界的影响而发生改变；因此对电子数据的提取应当严格遵守相关规定及取证规范，进而保证数据的“原始性”。在实施电子数据取证时，通常采用工具对数据进行镜像备份，后续对电子数据的分析、展示也均只能在电子数据的复制件上进行，以上措施皆是为了保证原始数据的完整无损，使电子分析、鉴定的结果具有可信性，即电子数据取证中所要遵循的“不损坏原件”原则的体现。“不损坏原件”原则是保证电子数据证据能力的基本原则，违反该原则取得的电子数据，真实性和完整性无法得到检验，难以作为定案的依据。

2.“不损坏原件”原则的相关规定

我国当前的法律及司法解释并没有明确对“不损坏原件”原则作出规定，而是通过对保护电子数据完整性的要求，以及对电子数据的提取和搜集的技术规范，间接地体现了“不损坏原件”原则。目前典型的电子数据原件主要有两种体现方式，对于“不损害原件”原则的适用应是对其两者的保护：一是原始存储介质；二是原始电子数据。现行相关规定见表1。

表1 “不损害原件”原则在法律法规中的体现

从现行规定中可以看出，保证电子数据原件的完整性和扣押、封存原始存储介质等事项，不仅是对取证行为的基本要求，也是司法审查的重点。

(二)“不损坏原件”原则的地位

规则制定，原则先行。电子数据取证原则是指导取证工作的核心思想和取证活动的核心准则；其指引取证程序，对于设立和完善电子数据取证制度，有重要的指导性意义。确立“不损坏原件”原则在电子数据取证中的地位，对构建电子数据取证规则体系具有建设性意义。

1.电子数据取证的核心原则

关于电子数据取证原则，目前国际上主要有IOCE(International Organization on Computer Evidence，计算机证据国际组织)提出的“六原则说”和美国司法部提出的电子数据取证“三原则说”两种理论。无论是“六原则说”还是“三原则说”都强调在进行电子数据取证时都要保证不改变其原件。电子数据取证在坚持传统证据原则的基础上应该有自己独立的原则，在技术上则表现为使用完整性校验技术和数据防篡改技术等手段以保障电子证据的原始性。因此，应确立以无损取证原则为核心构建电子数据取证原则，取证过程中尽可能保证电子数据的客观性、真实性和完整性。[3]

2.电子数据鉴真的重要依据

鉴真一词源于美国《联邦证据规则》中的“Authentication”，意为认证、证明、鉴定；即申请鉴定或辨认证据以作为法庭采纳的首要条件，其过程是举出足以认定争议对象是申请人所主张的内容证据。电子数据的鉴真应在诉讼中证明所出示的电子数据来源可靠，采集、收集和存储等过程符合法律规定，保证电子数据真实、完整。在司法实践中，应当收集电子数据和原始存储介质，以实现两者的一并鉴真，该收集模式符合最佳证据规则的基本精神。[4]因此，不损害电子数据原件原则是证明电子数据完整性的基础，也即是电子数据鉴真的重要依据。

3.电子数据真实性和合法性判断的重要来源

司法实践中，常在诉讼的最后阶段通过法官的认证活动对证据能力和证明力进行判断。在《电子数据规定》中电子数据的审查判断应针对其真实性和合法性进行；对电子数据真实性的审查应针对：①原始存储介质；②数字签名等特殊标识；③收集及提取过程的重现；④增、删、改或查等情形的记录及其他几个方面进行。电子数据合法性的审查主要是集中在电子数据收集提取的方式和程序这两个方面是否合法。无论是真实性审查中，对电子数据审查其是否存在增加、删除、修改等行为，还是合法审查方法中，严格其侦查取证和固定存证的手段和程序，都要求其存储介质和数据的“原始性”。因此，“不损坏原件”原则是电子数据真实性和合法性审查判断的重要来源。

4.电子数据完整性判断的核心指标

电子数据的完整性是指涉案电子数据产生所包含的信息，能够被确定且被证明的状态，在数据的流转中保持不被篡改、破坏等事项。[5]电子数据完整性的审查方式可以分为直接审查与间接推定两种。直接审查是指将获取的电子数据与数据原件进行对比，判断其是否被增加、删除或者修改，若其与数据原件一致则具有完整性，反之则不具有完整性。间接推定是指通过电子数据所依附系统的运行日志进行分析、第三方存证或者记录、当事人提供不利证据等方式来推断电子数据的完整性。在司法实践中，对电子数据完整的判断主要是通过直接审查的方式来完成，即通过比较提取的电子数据与原始电子数据的MD5值或SHA-1值是否一致来判断电子数据是否与原件中的数据保持一致。电子数据的任何一个字节的损坏或改变都会导致电子数据的完整性审查受到影响，降低电子数据的证明力，甚至丧失证明能力。在电子数据原件被损坏的情况下，通过比对数字指纹的方式对电子数据的完整性进行判断就失去了其意义。

二、“不损坏原件”原则的挑战

(一)智能手机取证必然对原件造成损害

随着智能手机技术的发展，手机厂商为满足用户需求，手机从单纯的通讯工具演变成了一个移动的数据终端，使得犯罪分子借助手机直接实施或间接辅助，以完成其犯罪行为。智能手机取证的常用方法是先拔出手机内置SIM卡，将手机开机，设置为飞行模式，设置屏幕常亮，开启USB调试，关闭USB应用程序验证，然后植入手机取证程序，继而提取手机中的数据。上述方法会存在污染、破坏手机中电子数据的完整性的情况，采用其他镜像下载或对手机APP降级操作则可能导致手机系统的瘫痪或APP数据的完全丢失，更甚则可能导致手机原件的受损。[6]另外，手机系统的加密技术使得对手机的破解难度越来越大，其能够保障用户不受不法分子的侵扰，但同样使得侦查机关难以从犯罪嫌疑人的手机中调取证据。

(二)云计算取证没有传统意义的“原件”

随着云计算技术的发展，电子数据原件与复制件的界限愈发模糊，甚至没有原件。云计算系统通常由大批矩阵服务器组成，采取分布式存储(存储在不同位置的数据中心，存在跨司法管辖范围的情况)的方式存储数据(包括被分割的数据)，通过数据的多副本、多实例技术进行数据的容错和计算节点的同步，以数据同构/互换等技术措施保障数据的可靠；因此，上述技术的利用，则会导致存在难以对数据进行定位和提取的困境。[7]云计算环境下，电子数据从产生起便以信息碎片化的形态将数据分布在多个服务器之中；通常情况下只有在用户进行请求/访问的时候，被请求的数据才会从不同的服务器上汇总成一条完整的数据。从技术角度上看，云平台中的数据从产生起就不同于传统的物证书证，其没有唯一确定的原件。云计算系统本身因数据迁移、冗余备份和快速响应等一系列的操作，即便一开始存在数据存储原件，后期也随着系统的优化、迁移而成为复制件，在该情况下“原件”已不复存在。

(三)虚拟机取证技术的问题

虚拟机(Virtual Machine)被定义为硬件设备的软件模拟实现；[8]其利用计算机虚拟化技术，在计算机系统内部虚拟出“计算机硬件环境”，将计算机操作系统运行在虚拟出的硬件环境中，以达到真实“计算机”的效果。在当前的技术背景下，对虚拟机的取证主要是热克隆技术和冷克隆技术。[9]以原始物理磁盘的镜像文件为数据来源(即对母机的物理磁盘进行按位复制，生成DD或E01格式的镜像文件，不会加入任何其他数据或者改变原始磁盘数据)，利用取证软件如取证大师、取证先锋等将物理磁盘镜像进行分析，找出其中所对应的虚拟机文件并分离，然后使用常用的VMware Workstation或Virtual Box软件对虚拟机文件进行仿真和取证分析。虚拟机中出现的虚拟磁盘同样可以挂载在取证软件中按照物理磁盘的方式进行分析，但是虚拟机本身的操作系统及其所处的系统环境都是动态变化的，且可能存在“加密”和“重组(Raid)”等情况，在对磁盘进行镜像制作时不可避免的要丢失部分原始虚拟机运行环境的系统信息/文件。

三、“不损坏原件”原则的对策

随着科学技术的不断发展和日常生活的刚性需求，电子数据在诉讼中的应用愈发广泛，取证场景亦更加的多样。在电子数据侦查取证中坚持不损坏原则已经不能满足诉讼的需要，甚至在某种程度上已经束缚了电子数据取证技术的发展，为了更好地打击犯罪，应当对不损害原件原则做出一定的变通及相应的对策，以适应技术的发展。

(一)最佳证据规则的变化

最佳证据规则的产生，其核心目的是为司法活动提供“最恰当的证据”。传统证据原件是证据数据/信息首次产生并依附的载体，其具有原始性且可信度最佳；其复制件则是数据的再次传输和传递，亦存在一定的失真风险；因而，适用最佳证据规则的实质是通过证据原件以保障证据本身或信息的真实性。

最佳证据规则应用于电子数据取证中，电子数据是以二进制数据“0”和“1”形态为外在的表现，具有“无损复制再生性”特征，可以进行精确复制。基于依赖证据原件以适应最佳证据规则，对于电子数据的“复制无损性”而言，已失去了适用的必要。《民事证据规定》中规定，当事人以电子数据作为证据的，应当提供原件；“(原始)电子数据”的制作者制作的与原件一致的副本，视为电子数据的原件；此中可看出一些最佳证据规则的变化，在实务当中对于非原件(复制件)同“最佳证据”具有相同的证明能力和证明力。

(二)不损害原件原则的变通

1.允许有限损害原则

有限损害原则，即在不影响证据真实性的情况下，在法律允许的范围内对一定程度上损坏原件而取得的电子数据予以采纳。基于电子数据的技术依赖性，在讨论有限损害原则时，可将其与电子数据的存储原理联系起来。以计算机存储为例，计算机对硬盘进行读写操作时，操作系统设计者出于存储效率的考虑，通常以簇(设定若干个大小为512个字节的扇区构成簇)为基本单位进行数据的读写操作；计算机若需要存储5个字节(假定一簇由4扇区组成，即2048字节)数据，也必须一次性把该簇中的2048字节全部读入内存(浪费了2043个字节)；由于二进制数据相互各自“独立”，对于一个占用多个簇的文件进行读写操作时，某一个簇的数据发生改变并不会对其他簇的数据产生影响。

允许有限损害原则是针对于非涉案的电子数据(通常是系统环境数据)，其指的是对于提取涉案电子数据时的手段、程序或方式方法，可能导致非涉案电子数据遭到破坏，而该破坏不影响涉案电子数据的真实性和完整性。因此，在电子数据取证过程中某一部分数据的损坏并不必然地对全部电子数据的真实性造成损害。例如，利用种植取证、降级取证等技术获取电子数据时，取证过程中会对数据所处的系统环境造成污染，但对涉案数据的真实性并未造成损失，这种电子数据污染属于可以接受的损坏。

2.忠实记录损害原则

在电子数据取证时，对取证行为、取证方法及可能造成的影响进行忠实的记录，可使得法官在对电子数据进行审理时，能够对电子数据的真实性及是否采纳为定案依据作出科学的判断。在司法鉴定领域中，鉴定机构要求鉴定人员取证鉴定整个流程操作的每一步都进行如实记录，其材料可以提升CNAS对实验室的认可，亦是忠实记录的一种体现。忠实记录可采取现场录音、录像或拍照等方式进行，并对每一步的操作及产生的结果进行文本记录，这主要是为后期的审查或质证等做出应对；其作用一是保证操作流程的合法性，二是便于电子数据完整性审查，三是便于专家辅助人对其操作进行判断预测以判断其电子数据的完整性和真实性。忠实记录损害原则同允许有限损害原则相结合，将两者的结果进行相互印证。在对电子数据进行司法鉴定和侦查取证实务中，都需要对其操作步骤和流程进行详细记录，其本质上就是遵从了忠实记录损害原则。

3.单条数据完整性评判

在对电子数据的取证过程中，受制于取证软件和取证手段，难以全面地将涉案的电子数据进行获取，存在一定的遗漏、损坏和丢失等情况。对于获取的部分/单条数据，应进行完整性审查和评判。在信息系统中，每一个电子数据都可以看做是人与计算机之间或者计算机与计算机之间的交互结果；每一次交互都包含多个交互行为，这些交互行为会产生各自相应的数据(创建word文档这一交互，包含系统中生成文档、分配文档空间、文件系统中记录文档创建的附加信息等交互行为)；交互数据可以被认为是多个会话信息的集合。电子取证过程中，在不能保证所取电子数据完整的情况下，可以查询文件系统中的信息，来证实所提取的单条数据的完整性和真实性。例如，对于一个只恢复出部分内容的word文档，可以根据文件系统记录的信息，得出该文档的大小、时间以及存储位置等信息，继而保证这单一数据的完整性和真实性。

(三)电子数据印证

证据的印证是指两个以上的证据材料所包含的信息在某种程度上存在重合或交叉，使得其中某证据的真实性可以通过其他证据给予佐证。[9]证据之间的相互印证并非对案件事实的证明，而是对多个证据的相互验证的关系描述。

1.电子数据间的印证

在电子数据进行取证时，还应当注意到电子数据之间往往存在着关联信息。电子数据从产生、显现、传输以及变化等都不是孤立存在，而是具有关联性和系统性，是由系统操作的若干个元素/对象组成的关联性整体。[10]电子数据的原始存储介质中会记录涉案数据、附属数据和环境数据。涉案数据是案件信息的正文；附属数据是涉案信息的痕迹信息，即对涉案信息的增、删、改等操作的日志记录；环境数据则是整个涉案数据产生所依附的环境信息，即数据产生的平台。[11]前两者是用户自主操控，后者则是系统自动生成并掌控，以保持自身的运行。因此，可以通过附属信息对其内容数据进行对照分析，来获得某些电子数据的修改信息，以实现两者的相互印证。

2.电子数据和其他数据的印证

同传统证据相比，电子数据具有自身的系统性，来源于网络的电子数据其系统性更容易被说明或展现。当电子数据在网络中的多台设备之间传输时要经过一系列的路由并经过相应的服务器。以电子邮件的首发为例，一封电子邮件从发送到对方接收，需要经过发件人设备、发件人邮件服务商服务器、接收人邮件服务商服务器、接收人终端等节点，每个节点都会留下相应的电子信息；即使收件人从自己的终端删掉了收到的邮件，我们依然可以通过路由信息、邮件服务商服务器信息来确定其收到的电子邮件的内容和时间。电子数据的系统性保证了其可以从两个或两个独立的信息源中获得数据，他们的真实性可以通过相互间的佐证来证明，满足了证据印证规则的基本要求。该情形使得在原件损坏的情况下，所获取的电子数据依然可以通过印证的方式来证明其真实性。

(四)引入辅助证据

对于证据的分类，从证据材料与待证事实的关系这一角度考虑，可以将证据分类为实质证据和辅助证据。待证事实直接生成的证据为实质证据，独立于待证事实之外并由其他事实直接生成的证据即为辅助证据；两者是否存在生成关系是两者的区分方式。[12]辅助证据并非直接证明待证事实，是用来证明实质证据的可靠性和真实性，若能够证明，其任务即告完成。对违反“不损坏原件”原则所提取的电子数据，对其真实性产生质疑时，可以通过引入辅助证据来加以证明。相对于传统证据，电子数据在引入辅助证据时具有天然的优势，在电子数据所处的虚拟空间中，依赖其运行的系统环境，在相同的系统环境中进行对应的操作，方可产生相同的结果；因此，可以通过实验来得到预期的结果，该数据或结果的可重现性，即可作为辅助证据，以帮助其更好的还原和证明待证事实。在电子数据原件不易取得或者原件损坏的情况下，引入辅助证据，从外部来证明电子数据的真实性。

(五)专家辅助人

在司法实践中引入专家辅助人制度，允许法官主动邀请专家辅助人参与诉讼，对案件中所涉及的专业问题进行分析答疑。专家辅助人的工作应当除了向法官解读鉴定意见书外，还应当对该电子数据所涉及的其他专业问题，向法官进行分析解答，向法官解释其所代表的意义，帮助法官来判断这些信息对于证明实体事实的影响。专家辅助人的职责不应该局限于对鉴定意见的评判上，还应当协助法官对电子数据的证明力进行综合性的考量。比如，对于取得的有限损害证据，可以利用忠实记录原则的数据向法官解释有限损害所带来的影响。以上面提到的种植取证为例，在实施种植取证时需向目标设备种植取证木马，在这种情况下难免会对电子数据所处的系统环境造成污染；但是，这种污染是否会对目标数据造成改变，会不会影响其真实性，法官自身很难做出判断。此情况下就需要专家辅助人从技术的角度向法官来解释木马取证的原理，以及取证措施可能会对电子数据造成哪些影响，是否会对电子数据的真实性产生威胁等；协助法官判断这些取证程序所获得的电子数据对案件事实证明的可靠程度，有助于法官对电子数据证明力的判断并最终做出是否对该电子数据予以采纳的决定。

四、结语

电子数据取证的目的就是为发现事实真相，保证诉讼公正。因此，在实施电子数据取证时，我们应把握其核心价值，不局限于传统的取证规则。针对电子数据取证“不损坏原件”原则，适用允许有限损害、忠实记录损害、确保单条数据的完整等方式进行变通，引入辅助证据、专家辅助人、电子数据印证等措施进行应对，在保证电子数据真实的基础上，使技术更好地服务于法律，成为我们追求公平正义的工具。