技术法律博弈之间：电子取证的实然困境与制度设计
——基于浙江省的抽样调查分析

丁宣尹，袁继红

（浙江大学城市学院，浙江 杭州 310000）

互联网在给人们带来各种便利的同时，也成为了网络犯罪的温床，许多罪犯利用计算机技术直接实施犯罪或使用计算机技术来存储犯罪证据，犯罪活动的线索往往也以电子数据的形式存在，电子数据广泛存在该类犯罪中，已成为打击网络犯罪的有力武器。根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《规定》），电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据①本文电子数据的定义根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第1条第一款（2016年）。。电子数据以数字化信息编码形式存在于由0和1数字信号量构成的虚拟空间，如手机、光盘等，具有其自身特殊性——虚拟空间性，因而对电子取证具有较高的技术要求，侦查人员必须依靠高科技的软硬件电子设备，具备较高的计算机操作水平。除了虚拟空间性，存储内容的海量性和内容的难以直接感知性是电子数据另外两个主要特征。电子数据以字节形式存在，几乎无需占据任何物理空间，一个电子设备中可以存储海量的数据。此外，电子数据隐蔽性强，能被人们直接感知的电子数据十分少，大部分电子数据处于隐藏状态或在后台运行，不少甚至被加密。上述两个特征在无形中又进一步加大电子取证的技术难度。电子取证也有法律层面的要求，取证获得的电子数据要满足三性，即真实性、合法性和关联性。可见，电子取证面临法律纬度和技术纬度的双重阻碍。

一、多维度实证调研：还原电子取证实务现状

（一）多视角实证调研

本文通过以下三种方法进行实证调研：一是对公安、检察院、法院的工作人员、计算机技术专家和律师等45位相关领域的专家进行了面对面访谈，调研对象如表1所示，大部分受访者有着处理多起涉及电子数据案件的实务经验。二是阅读卷宗。详细阅读了公安机关与电子数据有关的案件卷宗20个。三是整理分析刑事判决书，笔者在“中国裁判文书网”中以“诈骗”、“电子数据”为关键词，以“刑事案件”为案件类型查找，“浙江省”为地域筛选条件进行案例检索，显示共有391个相关案件（截至2017年9月1日），以裁判文书作出时间由近及远为顺序进行筛选，再进行人工筛选，将合适样本纳入样本库中，当样本容量达到100时停止继续收集。

表1 访谈人员单位组成

（二）电子取证的实然样态

1.电子数据应用广泛

（1）电子数据凸显关键性作用

电子数据默默地记录着各式各样的 “痕迹”，是“沉默的现场知情人”。从实践情况看，电子数据在提高侦查质量与效率，确保案件顺利侦破等方面起到非常积极的作用，主要体现为以下几方面：一是在初查阶段有助于发现线索，获取犯罪证据并明确侦查方向。二是某些犯罪中，对证明犯罪事实有难以取代的作用。如电信网络诈骗犯罪中对犯罪嫌疑人身份的确认多利用IP地址，但很多IP地址为犯罪分子伪造，中间设置很多跳板环节，人机同一性认定难，这就需要互联网技术的支持，获得电子数据，完整充分地证明犯罪。三是与其他证据（如，书证、鉴定意见和犯罪嫌疑人供述等）相互印证，组合证明案件事实，加强指控。四是起到重要的协助作用，如协助追捕案件逃犯和突破案件审讯等。

（2）电子取证已呈普遍性样态

目前全国公安机关已建成并投入使用的电子数据取证实验室已达700多个，电子数据专业人员近5000多人，部分条件较好的区县也建立了电子数据取证实验室，其余区县网安部门均已配备了电子数据取证设备，仅2016年全国网安部门受理的电子数据取证的案件就达到4万余件，受理的检材有十万以上。从浙江省的侦查现状来看，近年来，全省完成电子数据技术支持种类愈加丰富，主要有计算机硬盘数据恢复、手机通讯录与短信恢复、网络数据搜索与恢复、数字图像对比等，此外，电子数据的复制技术、数据搜索分析技术、手机话单分析技术等获取电子数据的方法更是在浙江省得到广泛运用。可见，电子数据取证已成常态，应用广泛。

2.电子数据实然困境逼近

尽管侦查机关对电子数据的了解逐渐深入，取证能力也有一定提高，但由于电子数据的特殊性，侦查人员总体上还是难以准确把握，在实践中电子取证仍存在不少问题，主要表现在以下几个方面。

（1）数据收集方面

表2 电子取证数据收集程度

笔者通过对22位实务专家进行访谈，得出上述表2。表2显示，有近95%的受访者认为电子数据的收集很依赖网络运营者①本文网络运营者的规定根据《中华人民共和国网络安全法》第76条第3款（2016年），“网络运营者是指网络的所有者、管理者和网络服务提供者。”。原因在于当前网络运营者掌握海量的电子数据。网络运营者通过互联网向用户提供各种服务，如互联网搜索、互联网交易等，在这一过程中，网络运营者往往会在不经意间记录与保存大量与用户有关的个人身份信息、行为轨迹、交易情况、聊天记录等。而这些数据往往是电子取证的重要来源。海量数据在网络运营商手中，侦查机关想要收集、提取电子数据就需要对方的配合。

除了被第三方网络平台所掌握，实务专家们还表示大量的电子数据被存储在境外。互联网的无国界性使很多网络犯罪突破了地理位置、国家疆界的限制，犯罪分子可以控制世界各地电脑对某国目标实施犯罪，电子数据以各式形态越来越多地出现在国际纠纷或跨国诉讼中。例如电信网络诈骗犯罪，这类案件的犯罪团伙通常由台湾人组织策划，初期多将诈骗窝点设在马来西亚、菲律宾、泰国等东南亚国家，后来转移到肯尼亚、乌干达等非洲国家，转取赃款的窝点多设在中国大陆、台湾以及一些东南亚国家，改号平台设在上海、福建、广东等南方省份。[1]

（2）数据分析能力

这里的数据分析能力主要指取证中的数据分析能力，即侦查人员有组织有目的地收集、分析数据，寻找线索和证据的能力。在实地访谈中，我们发现，如何在海量的数据中快速过滤出有价值的电子数据已成为电子取证专家目前颇为头疼的难题。尤其是大数据时代的到来，云计算发展迅猛，进一步提高了电子取证的难度，主要表现在以下几个方面：一是海量数据以指数形式快速增长且混乱。传统电子取证面对的是海量数据，而云计算面对的则是“海量的n次方”。此外，传统电子取证中，电子数据往往存储在单台机器上，在云计算环境下数据是以碎片的形式存储在不同计算机上，数据更混杂。二是大多数云服务提供商都对云端数据存储的原始数据文件进行了加密，不同提供商加密算法、方式都不一样。三是证据更易丢失。云计算环境下的主机会按需求进行分配和回收，若用户使用完虚拟机实例后进行注销服务，则会被相关资源进行回收，重新提供给新的用/租户，那么新的实例数据就会覆盖旧的实例数据。此外，由于移动终端对于云端数据操作的便利性以及数量的不断增加，证据随时可能被污染或消失。

（3）取证方式

笔者对样本库收集到的100个案件进行分析，统计不同电子取证方式出现的次数，同一案例出现多种取证方式则重复统计，得出图1。据实证研究统计，勘验或检查方法使用最多，第二和第三分别是电子数据的调取（包括互联网公司、电商、银行等）和截图，然后是刻录光盘和打印。将取证方式进一步归纳来看，譬如实践中“截图”、“打印”、“拍照”等多数也是在勘验或检查过程中所为的一种行为，可见适用最为广泛的是勘验、检查这两种形式。而“搜查”往往是对电子数据存储介质进行搜查扣押，并不直接对电子数据进行搜查，主要原因在于立法并没有将电子数据纳入“搜查”的范围。有趣的是，图1能从一定程度上印证大量电子数据掌握在第三方网络平台手中，高达65%案例中都出现了“调取”这一方式，尽管这其中包括部分的银行等其他第三方机构。

图1 电子数据的取证形式

图2 电子数据取证方式的交叉使用

据图2所示，在同一个案子中，侦查机关使用2种取证方式和3种取证方式分别达到了36%和42%，在案例统计中未发现使用仅使用一种方式提供电子数据的案例。可见，在具体个案中，电子数据这一类别证据往往以不同的形式、种类存在，要提取这些证据，侦查机关要采用不同的方式进行提取。

（4）举证形式

通过对100份裁判文书的整理，统计电子数据不同举证方式出现的次数，得出图3。可见，在一半的案件中，都有打印件的形式存在的电子数据；26%的案件中会存在电子数据的原始载体（如电脑）；高达82%的案件中，电子数据最后完全转换为书面形式（如打印复印件、报告、笔录、工作记录等）呈现的。

图3 电子数据举证形式

在具体个案中，会同时存在使用多种方式提交电子数据的情形。如图4所示，大部分案件使用两种或三种方式提交电子数据，比例分别达到41%和44%。同一个案件使用多种电子数据提供方式反映了一个现象，电子数据的证明力遭到一定的怀疑。尽管新的《刑事诉讼法，确定了电子数据的独立地位，但电子数据在诉讼中的证明力大小仍有待商榷。在使用电脑、光盘、打印复印件等直接形式提供电子数据之外，不少案例中还会以鉴定意见、勘验或检查报告等形式间接提供电子数据，以增强证明力。

图4 电子数据举证形式的交叉运用

（5）庭审争议：取证程序的缩影

如图5所示，在本文的案例样本库中，18%的案例存在与电子数据有关的争议。尽管大部分刑事案件事实清楚，证据确实充分，并不复杂。但是对电信网络诈骗犯罪而言，电子数据是其定罪量刑的重要证据，对于犯罪者、被害者身份的确认、犯罪数额的确认都起到至关重要的作用，近八成多的案件不存在异议，这样的比例未免过高。基于裁判文书的分析揭示出一个值得深思的现象，被告方在法庭中的相对弱势且质证能力存在极大缺陷。被告方面对较为专业的电子数据，往往是质疑意愿强烈但质证能力不足。这和电子数据在法庭上的呈现方式有一定的关系。这种以书面形式呈现的电子数据限制了被告方辩护权的行使，并在一定程度上也影响了法官的判断。

图5 电子数据的庭审争议

据表3所示，争议的18个案件中内容近一半集中在程序的争议，如对电子数据完整性和真实性的质疑等。可见，当前对电子数据的质证重心主要在真实性、合法性方面，反映了电子取证的程序规制方面仍然有待完善，要重视程序正义的价值。

表3 电子数据的庭审争议内容

二、电子取证实然困境之检讨与归因

（一）数据收集的双重壁垒

数据收集有两道壁垒，一道存在于侦查机关和网络运营者之间。尽管在立法层面明确了网络运营者的配合义务，但在实践中还是存在不少问题，主要存在以下三方面问题，一是仍有网络运营者不配合，虽然比例不高，但对侦查工作还是造成了不小的影响。二是取证等待时间长。因为需要取证案件多，所以侦查部门需要排队等候，甚至存在等了半年的情形。三是要去网络运营者总部取证，比如涉及阿里巴巴，就需要来阿里巴巴总部所在地杭州取证，对于非杭州本地公安而言，路途遥远，十分不便。另一道壁垒存在于国家和国家之间。在国际刑事司法协作尚不顺畅的背景下，网络犯罪的跨国性给侦查打击工作带来了很大的难度。由表2可知，侦查人员遇到跨国的案件基本上就是放弃，不过这也和受访者多为基层公安机关和检察机关有一定的关系。专家给出的理由是，国内法的空间效力一般限于国家境内，而网络犯罪的行为地和结果地往往涉及多个不同国家，相关国家出于司法成本的考量和在立法上的差异，致使有效遏制网络犯罪的国际司法协助体系难以形成。

（二）数据分析能力缺乏软硬件支持

1.软件的欠缺，取证主体质量和数量难以满足实践要求。办案单位普遍反映，一方面，在应然层面，电子取证人员应当同时具备侦查能力与计算机专业知识，但实然层面，大多数取证人员专攻于政法专业，计算机专业知识较为缺乏，难以满足电子取证要求的技术性。另一方面，网络犯罪的数量以惊人的速度快速增长。不管是技术水平还是人员数量，我国现有的侦查队伍都难以应对这一现状，因此迫切需要对取证主体进行扩充。软件欠缺的原因首先是取证人员受传统证据观念影响大，对电子数据往往不知所措甚至存在畏难情绪，仍保留传统思维方式和工作方法。其次是侦查部门出于保密的考虑，很少邀请技术专家参与,取证时易遗漏收集相关电子数据，电子取证效果不佳。

2.硬件的欠缺。工欲善其事，必先利其器。电子取证工作的开展需要专业设备。比如，现场勘验需要配备计算机、手机快速提取设备、硬盘复制设备；远程勘验要有远程勘验设备；实验室分析有综合分析工作站等。而当前，基层侦查部门在电子取证专业设备配备方面还是难以满足现实办案的需求，往往财力、人员、办公场所有限，甚至部分基层侦查部门配备多为一些常规的办案设备，如笔记本电脑、打印机、摄像机等，在电子数据种类繁多的情况下，缺少专业的相对应的电子取证装备，如计算机现场快速提取设备、硬盘复制设备以及基本的综合分析软件等。

（三）以“勘验、检查”之名行“搜查”之实

在应然层面，由于电子数据具有海量性和内容的难以直接感知性，对其搜查扣押多采用“二阶段搜索模式”进行，首先搜查扣押电子数据存储介质，然后在存储介质内搜索电子数据。但实然层面，我国遵循的仍是搜查扣押程序的传统模式，规制的对象是电子数据存储介质这种有体物的搜查扣押，电子数据这种无体物的搜查扣押程序则付之阙如。[2]因为我国仅把电子数据存储设备纳入到搜查的范围，并未把电子数据纳入搜查的范围，所以公安机关、检察机关多遵循工作规定，以勘验、检查、鉴定程序来替代搜查以收集电子数据。从《计算机犯罪现场勘验与电子证据检查规则》中，第三条对电子证据勘验与检查的定义看，包括现场勘验检查和扣押设备后的检查等，其目的都在于发现、提取或固定与犯罪相关的电子数据，以 “发现证据”为目标的鉴定类型同样如此，就发现和收集证据的功能上看，与搜查没有本质区别。搜查是以发现物或人为目的而对一定场所、物或人身采取的强制处分。[3]搜查能探知相对人具有“隐私合理期待”的物品、空间或信息。由于电子设备中往往存储着海量的电子数据，侦查机关在这个虚拟空间开展侦查活动能接触到大量的隐私信息，可能还涉及第三人的隐私。而其需要获取的犯罪证据只占电子设备存储信息中及其微小甚至微乎其微的一小部分。为获取电子数据而进行的勘验、检查成立实质意义上的搜查。因为搜查更容易侵害权利，所以法律对其规定更为严苛。而以电子数据勘验、检查等方式代替搜查，使公民的隐私权面对宽松、任意、低层级的审批，降低电子数据的收集门槛，不利于人权保障。

此外，相较于传统搜查，电子数据的搜查更容易侵害公民的隐私权。侦查人员往往将电子存储介质带回侦查机关再进行对电子数据的搜查活动，因为电子设备中往往存储着海量与犯罪无关的信息并且电子数据容易被加密、隐藏，侦查人员经常需要花费大量的时间、精力才和适当的工具才能获取所需证据，难以当场直接开展搜查活动。这就意味着电子搜查成本更低，无需侦查机关出动大量警力，封锁并控制犯罪现场，只需要少量侦查人员对数据进行搜索、分析，并且这种搜索几乎没有受到时间和次数的限制，侦查人员可以在一段相当长的时间里对电子数据随时进行搜查，接触到大量涉及被搜查人隐私的信息。

（四）实为“电子数据”，形为“书面材料”

上文实证研究表明，大多数案件中检控方最后将电子数据完全转化为书面材料的形式呈现。这表明实践中并未严格遵照执行《规定》中对电子数据举证形式的要求。检察机关在相当大的程度上仍把电子数据作为传统的证据形态来收集，这不仅为法官的当庭认证制造了障碍，也极大地影响了被告方辩护权的行使。原因在于无论是将电子数据转化为书面材料，还是将其刻录为光盘，都是对电子设备中存储的电子数据进行筛选、转化后的结果，是变形的、残缺的电子数据复制品。这不仅无法让被告方仔细研究分析，发现有利于被告人的证据，提出有效质证意见，而且容易因为本身公信力不足，提升了被告方质疑的可能性。这在对五位律师的访谈调研中也得到一定的印证，五位律师均表示：“当前电子数据比较混乱，有很多原始介质和备份无法看到，往往看到选择性摘录的一部分材料，所以对电子数据的真实性、合法性质疑较多。”不仅检察院习惯将电子数据转化为书证，公安机关同样如此，实践中，对于案件中的电子表格、电子文档、电子邮件以及聊天记录等数字文档文件，公安机关侦查人员仍然还是习惯将其打印出来，作为书证进入案卷，随案移送。原因在于公安、检察机关受诉讼立场、职业习惯的影响，过于注重犯罪的追诉职能，忽视律师执业权利的保障。

（五）取证规范化：程序存大量瑕疵

通过上文对电子数据的庭审争议进行实证分析，可以发现被告方对电子数据的争议内容主要集中在程序方面，这说明我国电子取证的规范化尚存在较大的提升空间。取证程序不合规范主要表现在以下三个方面。一是从实际情况看，侦查人员往往更重视收集蕴含着案件信息的电子数据本身，忽视附属信息数据的提取。附属信息数据是指数据电文生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息，如电子邮件的制作人、发件人、收件人、传递路径、日志记录、文档本身的属性等。[4]虽然附属信息数据不能证明案件主要事实，但其能证实内容信息数据的真实完整。二是证据保管链不完整。证据保管链是指与物证或者电子数据的收集、保管、控制、转移、分析、保存以及最终处理有关的书面记录、证据日志，或者其他形式的文献记录。[5]在笔者统计的18例涉及电子数据争议的案例中，其中有3例质疑“没有鉴定人员签名”、4例质疑“送检人显示为无”等取证程序不符合规范，存在瑕疵。三是鉴定机构资质问题，有2例质疑“鉴定机构没有国家司法鉴定资质”等。此外，实践中不少鉴定机构设置于公安机关内部，公安机关“自侦自鉴”容易被诟病。程序不规范的原因主要还是在于侦查人员在实务中只注重办案效率，忽视合法程序。

三、地方司法探索与域外经验总结：构建制度理性的电子取证制度

（一）构建数据共享及协作机制

1.构建分等级的数据共享机制

如今，不少网络运营者发展得越来越大，有的“巨无霸”富可敌国，掌握着海量巨大的网络数据，参与甚至主导网络空间的治理，已成为互联网领域举足轻重的重要角色。因此网络运营者也有参与网络空间治理的责任。这需要它们为协助国内甚至各国司法机关的合理取证要求，让渡必要的商业利益（主要是取证投入等）。网络运营者应按照个人信息保护原理，对数据进行分级管理，对于私密程度不同的数据采取不同的管理方法和共享机制，不能忽视对个人隐私权的保护和满足公权力需求之间的矛盾。

2.构建电子取证国际协作机制

各国在主张网络空间主权的同时，还需在深化跨境、跨国共同打击犯罪及司法协助机制等领域达成共识。要加强合作，尤其在跨境协助调取及移交证据、送达司法文书等方面加强协作，此外，要进一步细化协作内容，完善司法协作模式。一国若想获取域外电子数据，首先需要本国愿意给他国提供协助，无法将期望寄托于在自己不给他国提供帮助的情形下他国提供协助，也无法只仰仗先进的技术手段或国内法许可的方式进行自行取证 （实质上是直接的域外取证），因为这一方式存在被另一个国家起诉的风险。可以由大国牵头主导，不同国家共同商定关于电子数据国际协作的条件、程序、手段或规则等。

（二）提高数据分析能力

为解决取证中数据分析能力薄弱这一问题，实务中已有了一定的探索。

1.面对“海量的n次方”数据，要加强本地数据和传统数据的收集。云计算环境下的各类操作，不管是各类存储服务，都离不开本地客户端软件（桌面CS架构软件、手机终端）或浏览器的参与，因此本地留下的一些痕迹数据就显得尤为关键，侦查取证人员应最及时最大程度的提取本地数据，如：账号、COOKIE、浏览历史、缓存数据、系统日志等，以此得到案件嫌疑人的相关信息，方便进一步的取证分析活动。此外，也要加强传统证据的收集，如物证、书证、犯罪嫌疑人、被告人供述和辩解等。

2.加强软硬件的建设。提高侦查人员对电子数据重要性的认识并加强侦查队伍专业化建设，提高电子取证的整体业务水平。可以采取专题式培训或专家授课等方式，邀请电子数据理论研究与取证实务专家，对侦查人员进行系统的专业培训，普及与侦查工作、犯罪行为紧密相关的网络知识并讲解相关法律规定与操作规范。同时，加强电子取证装备建设，根据犯罪侦查工作的实际需要，及时采购一批专业的技术软件和硬件设备，并不定期做好相关软件版本、设备的升级换代工作。

（三）构建电子搜查正当程序性的控权机制

表4 中美在电子数据搜查制度方面的设计差异

通过表4的对比分析，可知美国在电子数据搜查制度方面有较长的实践历史，主要从程序正义的角度出发，严格电子搜查的任意实施，发挥宪法上基本人权对电子搜查的防御功能，其经验值得我们借鉴。首先要将电子数据纳入搜查制度调整的范围。另外，未来可通过立法或司法解释列举“勘验、检查、鉴定”这几种实质性“搜查措施”并辅之概括说明方式纳到“电子数据搜查”项下，受到搜查制度的规制。[6]

其次，建立对搜查“令状许可”的司法审查制度。具体可从以下几个方面进行规定。一是司法审查的主体规定。结合我国具体情况，检察机关具有法律监督职能，在过渡阶段，可先由其审查批准电子数据的搜查申请，等将来各方面条件成熟之后,再由法院对电子数据的搜查进行审查，进而摆脱目前侦查机关“自己为自己法官”的内部批准状况。二是令状要求。明确要求对电子数据及其存储介质的搜查、扣押要受到令状原则的约束。三是严格限制搜查理由。侦查机关的申请必须能对“有犯罪事实发生；拟搜查、扣押的电子设备能证明案件事实；应扣押的电子设备存在拟搜查的场所；电子存储原始介质中可能有应扣押的电子数据”这四个事项提供合理根据证明，否则司法机关可以拒绝签发搜查令。四是明确限定搜查的范围。我国可以规定，搜查申请和搜查令状必须对拟搜查的场所和电子设备做出明确、特定的描述，必须明确规定侦查机关有权对谁的、何种电子设备中存储的涉嫌何种犯罪的电子数据进行搜查。

（四）健全电子数据“原件”机制

表5 中美对原件制度的构建差异

通过表5，不难发现，美国对电子数据的展示方式作出专门规定，以赋予辩护方对电子数据的知悉权，并适用最佳证据规则规范电子数据的证据能力以保障其真实性。这对我国完善电子数据原件制度给予了一定的启发。首先，应建立电子数据展示制度。我国立法可以明确规定侦查机关在搜查、扣押电子数据之后，应就电子原始存储介质中的电子数据制作一个完整的“比特流备份”，并将该完整备份材料交给辩方；或者规定检察机关在其获取电子数据之后应当允许辩护律师接触该电子数据原始载体或完整备份，可以进行查看、复制和审查。其次，确立电子数据的最佳证据规则。最佳证据规则被认为有两方面的意义，防止因故意或过失而出现与原件不同的副本，有利于确保电子数据准确性。

技术发展远超制度的跟进。虽然这与法律自身属性——滞后性有关，但这并不意味着法律无动于衷，法律应该尽可能的跟上技术发展的步伐，一方面利用技术，寻求法律领域的自我整合，另一方面规制技术发展过程中带来的问题。利用法律人的智慧，将复杂的技术问题转化为法律人所擅长的规范判断问题。尤其是对刑法而言，无论任何情况下，都必须在保障人权和打击犯罪中尽可能实现一个平衡。