電子證據

出自 MBA智库百科(https://wiki.mbalib.com/)

電子證據(Electric Evidence)

　　電子證據是指以電子形式存在的、用作證據使用的一切材料及其派生物。它既包括反映法律關係產生、變更或消滅的電子信息正文本身，又包括反映電子信息生成、存儲、傳遞、修改、增刪等過程的電子記錄，還包括電子信息所處的硬體和軟體環境。本《規定》第29條將電子郵件、電子數據交換、網上聊天記錄、網路博客、手機簡訊、電子簽名、功能變數名稱均視為電子證據。

　　1．表現形式的多樣性

　　電子證據超越了以往所有的證據形式，不僅可以用文字、圖像和聲音等多種方式存儲，還可以以多媒體形式存在。例如，某出版社出版的“大百科圖書光碟”，通過電腦播放，不僅有文字，而且配有圖像、動畫甚至電影片段，還有優美的解說，這種將多種表現形式融為一體的特點是電子證據所特有的。

　　2．存儲介質的電子性

　　電子證據依據電腦技術產生，化為一組組電子信息存儲在特定的電子介質上。例如，電腦硬碟和光碟等，它的產生和重現必須依賴於這些特定的電子介質，而傳統的證據(例如筆錄)則無需依賴於其他介質就可以獨立重現，這點也正是電子證據的弱點，直接削弱了它的證明力度。因為，如果有人在電子介質上做手腳，例如，運用黑客手段入侵電腦網路，就能改變電子證據的本來面目，給證據的認定帶來困難。

　　3．準確性

　　電子信息嚴格按照運行於電腦上的各種軟體和技術標準產生和運行，其結果完全是“鐵面無私”的機器內部對一組組二進位編碼的運行結果，絲毫不會受到感情、經驗等多種主觀因素的影響。因此，如果沒有人為的蓄意修改或毀壞，電子證據能準確地反映整個事件的完整過程和每一細節，準確度非常高。

　　4．脆弱性

　　書面文件使用紙張為載體，不僅真實記錄有簽署人的筆跡和各種特征，而且可以長久保存，如有任何改動或添加，都會留下“蛛絲馬跡”。但電子證據使用電磁介質，儲存的數據修改簡單而且不易留下痕跡，這導致了當有人利用非法手段入侵系統、操作人員誤操作和網路故障等情況發生時，電子證據均有可能被輕易地盜取、修改甚至全盤毀滅而不留下任何證據。電子證據的這種特點，使得電腦罪犯的作案行為變得更輕易而事後追蹤和複原變得更困難。

　　5．數據的揮發性

　　在電腦系統中，有些緊急事件的數據必須在一定的時間內獲得才有效，這就是數據的“揮發性”，即經過一段時間後數據可能就無法得到或失效了，就像“揮發”了一樣。因此，在收集電子證據時必須充分考慮到數據的揮發性，在數據的有效期內及時收集數據。

　　(一)電子證據可靠性、關聯性、完整性的認定

　　運營商承擔主要的舉證責任，因此，對於運營商提供的證據如何進行認定也是一個值得探討的問題，也就是說，運營商提供的證據具有多大的證明力。所謂證明力，是指證據在證明待證事實上體現其價值大小與強弱狀態或程度；考察電子證據的證明力，就是指要認定電子證據本身或者電子證據與案件中其他證據一起能否證明待證事實以及在多大程度上能夠證明待證事實。通常認定證據證明力通過審查其可靠性、關聯性以及完整性來判斷，電子證據也不例外。

　　對於認定可靠性這點而言，由於電子證據的科技含量很高，而且信息技術的不斷發展，使得法官在認定電子證據的可靠性方面存在著很大的難度。很多電子證據，即使請來了電子專家，也難辨真偽。所以光用傳統的認定方法是不夠的，應該採用正面認定和側面認定相結合的方法。電子證據正面認定涉及這樣幾個方面：首先法官要考慮電子證據是由誰收集的、收集的人與案件有無利害關係，是否嚴格遵循了提取證據的規則等一系列問題；接下來需要考慮的是電子證據是自動生成還是人工錄入，自動生成的是否可靠，人工錄入又是否符合操作規程；電子證據存儲的方法是否科學，存儲的介質是否可靠，存儲人員的公正性；電子證據的所用的技術手段或方法是否科學；電子證據在上述環節中是否被刪改過。法官不能以感官來認定，應該聘請專業技術人員進行鑒定。

　　美國《聯邦證據規則》第401條規定：有關聯性證據指具有下述傾向性的證據，即：任何一項對訴訟裁判結案有影響的事實存在，若有此證據將比缺乏此證據更有可能或更無可能。參照這一規定，不難得出關聯性主要是指能否證明或否定待證事實，也就是判斷所提出的電子證據和事實有什麼樣的關係。

　　完整性是考察電子證據證明力的一個特殊指標,具有兩層含義：一是電子證據本身的完整性，二是電子證據所依賴的電腦系統的完整性。對電子證據完整性的認定主要是看該證據所載明的內容是否遭受了非必要的添加或刪改。

　　(二)比較多份證據

　　比較多份電子證據的證明力有這樣一些原則：第一，電子證據原件的證明力，大於複印件的證明力。但是在電子證據中，電子證據有時無法以原件方式保存，如何才能達到與原件一樣的證明力?北京市高級人民法院頒行的《關於辦理各類案件有關證據問題的規定(試行)》第5條規定：用有形載體固定或者表現的電子證據交換、電子郵件、電子數據等電腦貯存資料的複印件，其製作應經公證或者經對方當事人確認後，才具有與原件同等的證明力。第二，經公證電子證據的證明力，大於非經公證的電子證據。從實踐中看，對電子證據的收集過程進行公證的更有限的方式是開展網路公證。網路公證不僅需要公證員懂得電腦技術，而且要有一套適合對虛擬的電腦空間進行監控的公證軟體。第三，由不利方保存的電子證據的證明力最大，由中立的第三方保存的電子證據的證明力次之，由有利方保存的電子證據的證明力最小。由於主體的身份不同，他們同案件的利害關係也不同，這就導致他們對證據的處理可能大相徑庭。從情理上講，當事人往往會隱匿對自己不利的證據，而第三方則可能較為客觀地保管證據。相比而言，凡是某一電子證據是有對其不利的那一方當事人所保管的，則其可靠性要大一些，甚至可以直接推定其真實性。反之，凡是某一電子證據是由對其有利的那一方當事人所保管的，則此人出於對電腦系統的熟悉及便利條件，更容易偽造或變造電子證據，故其可靠性最差。至於由第三方保管的電子證據，因為較為客觀，所以其證明力居中。

　　隨著各類電子設備的廣泛應用，電子證據幾乎無所不在。如電腦中的記憶體、硬碟、光碟、移動存儲介質、各類可移動的擴展存儲卡、加密狗等；網卡、路由器交換機等連網設備；IDS、防火牆、系統審計記錄等網路安全設備或軟體；數位相機、攝像機、視頻捕捉卡等，個人數字助手、手機等設備中可能包含有通信地址簿、電話號碼簿、個人文檔和書寫筆跡等信息；還有印表機、掃描儀、複印機、傳真機、全球定位儀和帶有記憶存儲功能的家用電器等。

　　在這些存儲介質中應檢查的應用數據包括：

　　(1)用戶自建的文檔，如地址簿、E-mail、視／音頻文件、圖片影像文件、日程表、hternet書簽／收藏夾、資料庫文件和文本文件等。

　　(2)用戶保護文檔，如壓縮文件、改名文件、加密文件、密碼保護文件和隱藏文件等。

　　(3)電腦創建的文檔，如備份文檔、日誌文件、配置文件、Cookies、交換文件、系統文件、隱藏文件、歷史文件、各種軟體聊天記錄文件、臨時文件等。

　　(4)其他數據區中的數據證據，如硬碟上的壞簇、其他分區、電腦系統時間和密碼、被刪除的文件、軟體註冊信息、自由空間、隱藏分區、系統數據區、丟失簇和未分配空間。

　　(5)ISP電腦系統創建的文檔、FTP文件等。

　　1．電子數據的證據效力

　　在目前實際受理案件的過程中，電子數據一般需要通過鑒定才能成為訴訟的直接證據，公安機關在辦理涉及電子數據的案件時，需要對提取的電子數據進行檢驗分析，找出電子數據與案件事實的客觀聯繫，從而確定電子數據的真實性和可信性。

　　電子數據能否作為證據?目前各個國家都持肯定態度。鑒於我國有關法律規定：“證明案件真實情況的一切事實，都是證據”，我國法律也賦予電子數據證據地位，，目前，關於電子數據的證據效力主要有7種觀點：視聽資料說、書證說、物證說、鑒定結論說、獨立證據說、混合證據說、證據形式說。

　　2．電子數據的認定和採信

　　電子數據的採信涉及到何種證據能夠進入訴訟程式或者其他證明活動的問題。我國學界的主流意見是，電子數據必須經過關聯性、合法性與真實性的檢驗，才能作為定案的根據。電子數據的採信要求遵循非歧視原則和“先歸類，後認定”原則。

　　(1)電子數據的證據能力

　　為保證電子證據的證據能力，首先要將電子證據能夠轉換為法定證據形式。中國現行的刑事訴訟法法定的證據方法分成七類，即物證與書證、證人證言、被告人供述、被害人陳述與辯解、鑒定結論、勘驗報告和視聽材料。在實際應用中，通常可以將電子證據轉換為書證、鑒定結論、勘驗報告和視聽材料四種證據方法，建議在進行轉換時可以依循以下原則進行轉換：

　　①需要認定信息的存在性時應當以勘驗報告的形式提供數字化證據。比如在存儲媒介中存放淫穢電影，可以通過現場勘驗、檢查生成勘驗報告，在勘驗報告中指明通過勘驗證實在存儲媒介中存儲有多少數量的電影。簡單地說，勘驗報告在電子數據取證過程中發揮的作用主要是證實嫌疑人的主機上存儲有什麼內容。

　　②需要通過分析才能形成結論時應當以鑒定結論的形式提供數字化證據。比如需要通過證據分析證明系統入侵案的攻擊者是誰，或者需要通過證據分析證明嫌疑人編輯過某個文檔，或者需要通過跟蹤分析證實某個木馬的功能或來源，這些都是需要通過分析才能夠得到結論，因此，一般都需要以鑒定結論的形式提供數字化證據。這時候，電子數據本身可以作為鑒定結論的附件形式提交。

　　③需要展示電子數據表達的內容時應當將這些內容轉換為書證和視昕材料。比如需要展示電子文檔中的內容時可以將這些內容列印出來，由證人或者嫌疑人在這些內容上簽字形成書證材料。再比如，以電子文件形式存儲的視聽材料也應當直接以視聽材料的形式提供作為證據。再比如，用戶在網站上的登錄El志也可以轉換為書證。

　　(2)電子數據的證據力

　　所謂證據力是指證據的合法性，這就要求證據提取、形成過程依循規定程式。取證人員在實際工作中應依照規則實施調查取證，以保證數字化證據的證據力。為了保證電子數據的證據力，應當從以下幾個方面加以保證：

　　①電子證據的原始性。原始性的證明可通過自認方式；證人具結方式；推定方式；鑒定方式。

　　②電子數據的完整性。完整性是考察電子數據證明力的一個特殊指標，完整性有兩層含義：一是電子數據本身的完整性；二是電子數據所依賴的電腦系統的完整性。電子數據完整性是指在現場採集獲得的數據沒有被篡改，這可通過對數據計算完整性校驗碼或者對原始證物封存加以保證。

　　③技術手段的科學性。也就是要求在實施電子數據勘驗、檢查時使用的軟硬體以及相應的勘驗、檢查流程符合科學原理。這就要求取證時使用的軟硬體應當經過科學方法的檢測，也要求勘驗、檢查流程能夠經得起現實的考驗。

　　④勘驗、檢查人員操作的可再現特性。為了保證數字化證據的真實性和完整性，這就要求勘驗、檢查人員對數字化證據實施的操作應當是可再現的，也就是應當對勘驗、檢查人員對數字化證據的提取、處理、存儲、運輸過程有詳細的審計記錄。

　　(3)電子數據的證明力

　　保證證明力就是要保證證據與待證事實之間的關聯性，也就是證據與結論之間是否符合邏輯。為了保證證據的證明力，這就要求保證：

　　①證據分析原理的科學性和邏輯性。也就是對電子證據事實分析所依賴的軟硬體、技術原理符合科學原理，並且能夠經受事實的考驗。同時也要求從證據到結論這一過程符合邏輯，“任何科學都是應用邏輯”，“甚至形式邏輯也首先是探詢新結果的方法，由已知進到未知的方法”，是否符合形式邏輯的一般準則，是推斷證據運用是否科學的重要依據。

　　②分析過程的可再現特性。也就是指根據相同的分析原理、在相同的數字化證據集合上進行分析，不管任何人只要依循相同的分析規則都能夠得到相同的結論。在實際操作中，這一方面要求數字化證據鑒定人員應當對直接的分析過程提供詳細的審計記錄，另一方面要求任何其他人根據其提供的審計記錄實施相同的操作能夠得到相同的分析結論。總之，科學的證據必須尊重事實，尊重事物之間的內在聯繫，強調對事物本質特征的認識與發掘，強調對客觀規律的解釋與說明。強調證據的科學立場，首先應當重視證據的試驗性。能夠通過試驗來檢驗證據，檢驗的結果是否具有穩定不變的特性，是證據科學的首要原則，因此，要求數字化證據分析過程的可再現特性本身也是分析原理科學性的一個必然要求。