依法搜集提取和審查判斷電子數(shù)據(jù)
插圖/沈欣
隨著現(xiàn)代科學技術(shù)的迅猛發(fā)展,計算機、手機等電子產(chǎn)品已成為人民群眾生活中不可缺少的一部分。從電子產(chǎn)品中提取的電子數(shù)據(jù)能提供其他有形資料無法提供的信息,所以2012年修改的《刑事訴訟法》將電子數(shù)據(jù)列為法定證據(jù)之一。近年來,電子數(shù)據(jù)對刑事案件的偵查起著越來越重要的作用?!缎淌略V訟法》和公安部對電子數(shù)據(jù)的規(guī)定都比較籠統(tǒng),而電子數(shù)據(jù)具有易變性、可復制性、海量信息性,與傳統(tǒng)的物證、書證、人證在性質(zhì)上有明顯不同,所以實踐中搜集、提取證據(jù)還不夠規(guī)范,如何根據(jù)電子數(shù)據(jù)的性質(zhì)進行審查、判斷以確定其證據(jù)能力和證明力也不夠明確。為規(guī)范電子數(shù)據(jù)的搜集提取和審查判斷,提高刑事案件辦理質(zhì)量,2016年9月9日,最高人民法院、最高人民檢察院、公安部聯(lián)合印發(fā)了《關(guān)于辦理刑事案件搜集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》(法發(fā)【2016】22號,以下簡稱《規(guī)定》)。
@清風徐來:什么是電子數(shù)據(jù)?電子數(shù)據(jù)主要包括哪些?
劉警官:根據(jù)《規(guī)定》第一條,電子數(shù)據(jù)是案件發(fā)生過程中形成的,以數(shù)字化形式存儲、處理、傳輸?shù)?,能夠證明案件事實的數(shù)據(jù)。電子數(shù)據(jù)包括但不限于下列信息、電子文件:(1)網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的信息;(2)手機短信、電子郵件、即時通信、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息;(3)用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息;(4)文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。以數(shù)字化形式記載的證人證言、被害人陳述以及犯罪嫌疑人供述和辯解等證據(jù),不屬于電子數(shù)據(jù)。確有必要的,對相關(guān)證據(jù)的搜集、提取、移送、審查,可參照適用《規(guī)定》。
@凱蒂:公安機關(guān)應(yīng)如何依法搜集、提取電子數(shù)據(jù)?
劉警官:根據(jù)《規(guī)定》第二至第十七條,公安機關(guān)應(yīng)遵守法定程序,遵循有關(guān)技術(shù)標準,全面、客觀、及時地搜集、提取電子數(shù)據(jù)。公安機關(guān)有權(quán)依法向有關(guān)單位和個人搜集、調(diào)取電子數(shù)據(jù)。有關(guān)單位和個人應(yīng)如實提供。電子數(shù)據(jù)涉及國家秘密、商業(yè)秘密、個人隱私的,應(yīng)保密。對作為證據(jù)使用的電子數(shù)據(jù),應(yīng)采取以下一種或幾種方法保護電子數(shù)據(jù)的完整性:(1)扣押、封存電子數(shù)據(jù)原始存儲介質(zhì);(2)計算電子數(shù)據(jù)完整性校驗值;(3)制作、封存電子數(shù)據(jù)備份;(4)凍結(jié)電子數(shù)據(jù);(5)對搜集、提取電子數(shù)據(jù)的相關(guān)活動進行錄像;(6)其他保護電子數(shù)據(jù)完整性的方法。初查過程中搜集、提取的電子數(shù)據(jù),以及通過網(wǎng)絡(luò)在線提取的電子數(shù)據(jù),可作為證據(jù)使用。
搜集、提取電子數(shù)據(jù),應(yīng)由2名以上偵查人員進行。取證方法應(yīng)符合相關(guān)技術(shù)標準。搜集、提取電子數(shù)據(jù),能夠扣押電子數(shù)據(jù)原始存儲介質(zhì)的,應(yīng)扣押、封存原始存儲介質(zhì),并制作筆錄,記錄原始存儲介質(zhì)的封存狀態(tài)。封存電子數(shù)據(jù)原始存儲介質(zhì),應(yīng)保證在不解除封存狀態(tài)的情況下,無法增加、刪除、修改電子數(shù)據(jù)。封存前后應(yīng)拍攝被封存原始存儲介質(zhì)的照片,清晰反映封口或張貼封條處的狀況。封存手機等具有無線通信功能的存儲介質(zhì),應(yīng)采取信號屏蔽、信號阻斷或切斷電源等措施。具有下列情形之一,無法扣押原始存儲介質(zhì)的,可提取電子數(shù)據(jù),但應(yīng)在筆錄中注明不能扣押原始存儲介質(zhì)的原因、原始存儲介質(zhì)的存放地點或電子數(shù)據(jù)的來源等情況,并計算電子數(shù)據(jù)的完整性校驗值:(1)原始存儲介質(zhì)不便封存的;(2)提取計算機內(nèi)存數(shù)據(jù)、網(wǎng)絡(luò)傳輸數(shù)據(jù)等不是存儲在存儲介質(zhì)上的電子數(shù)據(jù)的;(3)原始存儲介質(zhì)位于境外的;(4)其他無法扣押原始存儲介質(zhì)的情形。對于原始存儲介質(zhì)位于境外或遠程計算機信息系統(tǒng)上的電子數(shù)據(jù),可通過網(wǎng)絡(luò)在線提取。為進一步查明有關(guān)情況,必要時,可對遠程計算機信息系統(tǒng)進行網(wǎng)絡(luò)遠程勘驗。進行網(wǎng)絡(luò)遠程勘驗,需要采取技術(shù)偵查措施的,應(yīng)依法經(jīng)過嚴格的批準手續(xù)。
由于客觀原因無法或不宜依據(jù)上述規(guī)定搜集、提取電子數(shù)據(jù)的,可采取打印、拍照或錄像等方式固定相關(guān)證據(jù),并在筆錄中說明原因。具有下列情形之一的,經(jīng)縣級以上公安機關(guān)負責人批準,可對電子數(shù)據(jù)進行凍結(jié):(1)數(shù)據(jù)量大,無法或不便提取的;(2)提取時間長,可能造成電子數(shù)據(jù)被篡改或滅失的;(3)通過網(wǎng)絡(luò)應(yīng)用可更為直觀地展示電子數(shù)據(jù)的;(4)其他需要凍結(jié)的情形。凍結(jié)電子數(shù)據(jù),應(yīng)制作協(xié)助凍結(jié)通知書,注明凍結(jié)電子數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用賬號等信息,送交電子數(shù)據(jù)持有人、網(wǎng)絡(luò)服務(wù)提供者或有關(guān)部門協(xié)助辦理。解除凍結(jié)的,應(yīng)在3日內(nèi)制作協(xié)助解除凍結(jié)通知書,送交電子數(shù)據(jù)持有人、網(wǎng)絡(luò)服務(wù)提供者或有關(guān)部門協(xié)助辦理。凍結(jié)電子數(shù)據(jù),應(yīng)采取以下一種或幾種方法:(1)計算電子數(shù)據(jù)的完整性校驗值;(2)鎖定網(wǎng)絡(luò)應(yīng)用賬號;(3)其他防止增加、刪除、修改電子數(shù)據(jù)的措施。調(diào)取電子數(shù)據(jù),應(yīng)制作調(diào)取證據(jù)通知書,注明需要調(diào)取電子數(shù)據(jù)的相關(guān)信息,通知電子數(shù)據(jù)持有人、網(wǎng)絡(luò)服務(wù)提供者或有關(guān)部門執(zhí)行。
搜集、提取電子數(shù)據(jù),應(yīng)制作筆錄,記錄案由、對象、內(nèi)容、搜集、提取電子數(shù)據(jù)的時間、地點、方法、過程,并附電子數(shù)據(jù)清單,注明類別、文件格式、完整性校驗值等,由偵查人員、電子數(shù)據(jù)持有人(提供人)簽名或蓋章;電子數(shù)據(jù)持有人(提供人)無法簽名或拒絕簽名的,應(yīng)在筆錄中注明,由見證人簽名或蓋章。有條件的,應(yīng)對相關(guān)活動進行錄像。搜集、提取電子數(shù)據(jù),應(yīng)根據(jù)刑事訴訟法的規(guī)定,由符合條件的人員擔任見證人。由于客觀原因無法由符合條件的人員擔任見證人的,應(yīng)在筆錄中注明情況,并對相關(guān)活動進行錄像。針對同一現(xiàn)場多個計算機信息系統(tǒng)搜集、提取電子數(shù)據(jù)的,可由一名見證人見證。
對扣押的原始存儲介質(zhì)或提取的電子數(shù)據(jù),可通過恢復、破解、統(tǒng)計、關(guān)聯(lián)、比對等方式進行檢查。必要時,可進行偵查實驗。電子數(shù)據(jù)檢查,應(yīng)對電子數(shù)據(jù)存儲介質(zhì)拆封過程進行錄像,并將電子數(shù)據(jù)存儲介質(zhì)通過寫保護設(shè)備接入到檢查設(shè)備進行檢查;有條件的,應(yīng)制作電子數(shù)據(jù)備份,對備份進行檢查;無法使用寫保護設(shè)備且無法制作備份的,應(yīng)注明原因,并對相關(guān)活動進行錄像。電子數(shù)據(jù)檢查應(yīng)制作筆錄,注明檢查方法、過程和結(jié)果,由有關(guān)人員簽名或蓋章。進行偵查實驗的,應(yīng)制作偵查實驗筆錄,注明偵查實驗的條件、經(jīng)過和結(jié)果,由參加實驗的人員簽名或蓋章。對電子數(shù)據(jù)涉及的專門性問題難以確定的,由司法鑒定機構(gòu)出具鑒定意見,或由公安部指定的機構(gòu)出具報告。
@萬象:公安機關(guān)在向檢察院報捕和移送審查起訴時,如何移送電子數(shù)據(jù)?
劉警官:根據(jù)《規(guī)定》第十八至第二十條,搜集、提取的原始存儲介質(zhì)或電子數(shù)據(jù),應(yīng)以封存狀態(tài)隨案移送,并制作電子數(shù)據(jù)的備份一并移送。對網(wǎng)頁、文檔、圖片等可直接展示的電子數(shù)據(jù),可不隨案移送打印件;檢察院因設(shè)備等條件限制無法直接展示電子數(shù)據(jù)的,公安機關(guān)應(yīng)隨案移送打印件,或附展示工具和展示方法說明。對凍結(jié)的電子數(shù)據(jù),應(yīng)移送被凍結(jié)電子數(shù)據(jù)的清單,注明類別、文件格式、凍結(jié)主體、證據(jù)要點、相關(guān)網(wǎng)絡(luò)應(yīng)用賬號,并附查看工具和方法的說明。對侵入、非法控制計算機信息系統(tǒng)的程序、工具以及計算機病毒等無法直接展示的電子數(shù)據(jù),應(yīng)附電子數(shù)據(jù)屬性、功能等情況的說明。對數(shù)據(jù)統(tǒng)計量、數(shù)據(jù)同一性等問題,公安機關(guān)應(yīng)出具說明。公安機關(guān)報捕或?qū)刹榻K結(jié)的案件移送檢察院審查起訴的,應(yīng)將電子數(shù)據(jù)等證據(jù)一并移送檢察院。檢察院在批捕和審查起訴過程中發(fā)現(xiàn)應(yīng)移送的電子數(shù)據(jù)沒有移送或移送的電子數(shù)據(jù)不符合相關(guān)要求的,應(yīng)通知公安機關(guān)補充移送或進行補正。公安機關(guān)應(yīng)自收到通知后3日內(nèi)移送電子數(shù)據(jù)或補充有關(guān)材料。
@星空:公安機關(guān)對電子數(shù)據(jù)應(yīng)如何進行審查判斷?
劉警官:根據(jù)《規(guī)定》第二十二至第二十八條,對電子數(shù)據(jù)是否真實,應(yīng)著重審查以下內(nèi)容:(1)是否移送原始存儲介質(zhì);在原始存儲介質(zhì)無法封存、不便移動時,有無說明原因,并注明搜集、提取過程及原始存儲介質(zhì)的存放地點或電子數(shù)據(jù)的來源等情況;(2)電子數(shù)據(jù)是否具有數(shù)字簽名、數(shù)字證書等特殊標識;(3)電子數(shù)據(jù)的搜集、提取過程是否可以重現(xiàn);(4)電子數(shù)據(jù)如有增加、刪除、修改等情形的,是否附有說明;(5)電子數(shù)據(jù)的完整性是否可保證。
對電子數(shù)據(jù)是否完整,應(yīng)根據(jù)保護電子數(shù)據(jù)完整性的相應(yīng)方法進行驗證:(1)審查原始存儲介質(zhì)的扣押、封存狀態(tài);(2)審查電子數(shù)據(jù)的搜集、提取過程,查看錄像;(3)比對電子數(shù)據(jù)完整性校驗值;(4)與備份的電子數(shù)據(jù)進行比較;(5)審查凍結(jié)后的訪問操作日志;(6)其他方法。
對搜集、提取電子數(shù)據(jù)是否合法,應(yīng)著重審查以下內(nèi)容:(1)搜集、提取電子數(shù)據(jù)是否由2名以上偵查人員進行,取證方法是否符合相關(guān)技術(shù)標準;(2)搜集、提取電子數(shù)據(jù),是否附有筆錄、清單,并經(jīng)偵查人員、電子數(shù)據(jù)持有人(提供人)、見證人簽名或蓋章;沒有持有人(提供人)簽名或蓋章的,是否注明原因;對電子數(shù)據(jù)的類別、文件格式等是否注明清楚;(3)是否依照有關(guān)規(guī)定由符合條件的人員擔任見證人,是否對相關(guān)活動進行錄像;(4)電子數(shù)據(jù)檢查是否將電子數(shù)據(jù)存儲介質(zhì)通過寫保護設(shè)備接入到檢查設(shè)備;有條件的,是否制作電子數(shù)據(jù)備份,并對備份進行檢查;無法制作備份且無法使用寫保護設(shè)備的,是否附有錄像。
認定犯罪嫌疑人的網(wǎng)絡(luò)身份與現(xiàn)實身份的同一性,可通過核查相關(guān)IP地址、網(wǎng)絡(luò)活動記錄、上網(wǎng)終端歸屬、相關(guān)證人證言以及犯罪嫌疑人供述和辯解等進行綜合判斷。認定犯罪嫌疑人與存儲介質(zhì)的關(guān)聯(lián)性,可通過核查相關(guān)證人證言以及犯罪嫌疑人供述和辯解等進行綜合判斷。
電子數(shù)據(jù)的搜集、提取程序有下列瑕疵,經(jīng)補正或作出合理解釋的,可采用;不能補正或作出合理解釋的,不得作為定案的根據(jù):(1)未以封存狀態(tài)移送的;(2)筆錄或清單上沒有偵查人員、電子數(shù)據(jù)持有人(提供人)、見證人簽名或蓋章的;(3)對電子數(shù)據(jù)的名稱、類別、格式等注明不清的;(4)有其他瑕疵的。電子數(shù)據(jù)具有下列情形之一的,不得作為定案的根據(jù):(1)電子數(shù)據(jù)系篡改、偽造或無法確定真?zhèn)蔚?;?)電子數(shù)據(jù)有增加、刪除、修改等情形,影響電子數(shù)據(jù)真實性的;(3)其他無法保證電子數(shù)據(jù)真實性的情形?!?/p>