【副标题】以电子数据证据过程性为视角

【作者】裴炜（北京航空航天大学法学院，荷兰伊拉斯姆斯大学）

【来源】北大法宝法学期刊库《当代法学》2019年第2期。因篇幅较长，已略去原文注释。

【声明】本文仅限学习交流使用，如遇侵权，我们会及时删除。

　　2016年“两高一部”出台《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（下文简称《电子数据规定》），特别强调了电子数据证据在整个刑事诉讼流程中的规则协调统一。这一特征与电子数据证据自身的过程性特性有着密切联系：一方面，可能作为证据使用的电子数据，其形成、存储、处理是一个连续的过程；另一方面，从分散的数据碎片转化为司法意义上的证据，是一个不断进行数据挖掘、分析、拼组的过程。

　　电子数据证据的过程性对现有规则形成了一系列挑战，例如如何理解《刑事诉讼法》第54条第2款之“可以作为证据使用”的规定；如何衔接立案前调查与立案后侦查，以及在此基础上在证据效力最大化与权力专属原则之间进行平衡；行政执法调查与刑事侦查在搜集电子数据证据过程中的程序性差异是否可以构成《刑事诉讼法》第56条规定的“可能严重影响司法公正”且“不能补正”之情形；亦或这种差异是否可以构成电子数据证据真实性的重大瑕疵，进而构成刑事司法意义上的“合理怀疑”；如果构成，应当以何种制度性设计加以补正。

　　这些问题具有紧密的内在逻辑联系，需要在一个系统框架下作答，而这一框架的分析起点是电子数据证据的过程性。本文正是沿着这一思路，从该基本特性入手展开分析，通过对比当前已有的行政执法、初查及犯罪侦查三阶段的电子数据取证规则，为构建刑事诉讼启动前后电子数据调查、侦查活动的规则衔接机制探索路径。

　　《刑事诉讼法》第54条第2款对于行政机关在行政执法过程中收集、提取的电子数据在刑事诉讼中的证据效力予以确认。但在司法实践中，因刑事立案前后证据收集、提取行为不一致所引发的针对电子数据证据真实性、关联性、合法性的质疑屡见不鲜。例如在“快播案”中，作为控方关键证据淫秽视频文件及其载体服务器先后由数个单位经手，证据监管链的不完整和取证过程的不规范成为辩方的主要争点之一。该案不仅反映出实践中以刑事立案为界限的电子数据调查与侦查活动的规范差异，更折射出电子数据取证过程本身对于其证据能力和证明力的重大影响。正是基于对于这一特性的认知，在国际层面，包括数字证据科学工作组（SWGDE）、计算机证据国际组织（IOCE）、数字鉴定研究工作室（DFRWS）等机构纷纷制定了电子数据证据统一取证指引，相关研究项目也开始关注电子数据证据在不同领域间移转时如何“保质”并最终能够在法庭上使用的问题。

　　对于电子数据证据而言，合理衔接刑事立案前后的证据规则，其意义并非在于司法资源节约之考量，而是电子数据之过程性特性使然。这种过程性特性包含两层含义：一是基于电子数据的易变性特征，取证过程构成判断和衡量电子数据证据效力的关键甚至决定要素；二是基于电子数据的碎片化特征，电子数据证据所包含的相对完整和有证据价值的事实内容是通过数据搜集、挖掘、分析、拼组而逐渐显现的过程。第一种过程性可以称之为证据效力之过程性，第二种过程性可以称之为证据内容之过程性。

　　（一）电子数据证据效力之过程性

　　所谓电子数据证据效力之过程性，是指证据的存储、收集、提取、分析等行为过程是否符合相关技术规范，将直接影响电子数据证据本身的真实性和关联性的评价和认定。

　　以2015年吉林省靖宇县董某某贪污案为例。本案中，被告人董某某被控实施贪污罪，一份由电子文档打印而成的账外账是本案的关键证据，争议焦点在于侦查机关未有效封存原始载体的行为是否影响该份证据的可靠性。法院最后通过参考司法鉴定意见、书证等其他证据，对该电子数据证据的效力予以认定，这种补强反映出取证过程瑕疵对于电子数据证据效力的影响。

　　取证活动记录的完整性通常也是法院审查认定电子数据时的关键。以2016年江苏省曾某某盗窃罪一案为例。本案中，辩方认为控方所举电子数据证据缺乏电子数据原始介质情况记录，也没有见证人在场，因此对该电子数据的真实性提出质疑。法院鉴于侦查机关在提取电子数据时制作了电子证据检查笔录，并详细记录了电子数据的提取过程，仍采信了该份电子数据证据。

　　当过程性瑕疵难以补正时，法院则会拒绝采信该电子数据证据。例如在2016年的四川省陈忠海等盗窃罪一案中，由于作为网安大队勘察对象的“Samsung”手机来源不明，电子证据原始存储介质未依照法定程序进行封存并随案移送，且勘察笔录没有电子数据持有人、见证人的签名，因此法院对控方呈交的电子数据不予采信。

　　以上案例均反映出取证过程在法院审查认定电子数据证据效力过程中的关键作用。美国电子数据专家Eoghan Casey基于对计算机犯罪司法实务的研究，认为即便电子数据的调查、收集并非直接以诉讼为目的，但出于数据本身的脆弱性，相关主体在条件允许时，仍有必要以该证据可能呈交法庭审查这一假设，来合理专业地处理电子数据。同理，以证据最终应用于刑事裁判为前提，对于电子数据证据过程性的审查以及在此基础上对其证据效力的认定，需要以刑事证据规则为准。这意味着对于刑事案件中的包括犯罪构成要件在内的关键事实的证明，在证据调查程序和证明标准上都应当遵守严格证明的要求。

　　（二）电子数据证据内容之过程性

　　相对于传统证据，电子数据证据本身所蕴含的事实并非自始完整存在和呈现，而是一个依托于数据分析逐渐发现、逐渐拼组的过程，此即电子数据证据内容之过程性。该过程性突出体现在两个方面：其一是近些年来在域外特别是美国相关判例中逐渐兴起的对镶嵌论的适用；其二是以预测警务为代表的大数据侦查机制的广泛应用。

　　镶嵌论在刑事司法领域的崛起与数字与网络革命息息相关，典型案例是2012年美国联邦最高法院的合众国诉琼斯案。该案的争议点在于美国宪法第四修正案针对公民隐私权对侦查活动设置的限制，只适用于单个侦查行为，还是适用于侦查活动整体。之所以会产生该争议，在于在形成足以证明案件关键性事实的证据的过程中，侦查机关通常需要采取一系列证据调查活动，其中单个侦查行为均有可能搜集到非隐私的公民个人信息。此时如果独立地评价各个侦查行为，则这些行为基本上均不违反宪法第四修正案；但如果将各个侦查行为获取的个人信息碎片拼组起来，则会形成相对完整的、受到美国宪法保护的个人隐私信息。鉴于此，美国最高法院在琼斯案中以镶嵌论理论为基础，主张对侦查活动进行整体评价，是否违反宪法第四修正案以侦查活动中获取的公民个人信息拼组出的整体为准。

　　镶嵌论的一个更为直接的体现是众包侦查模式的兴起。2013年美国波士顿马拉松恐怖袭击案件将众包侦查推入大众视野，这种以公民特别是网民自动自主参与犯罪线索和证据搜集过程的“全民侦查”，与我国互联网发展早期的“人肉搜索”具有形式上的相似之处，关键区别在于前者是由侦查机关主导的、有明确目标的证据搜查活动。有学者指出，参与众包的主体能否在行动前明确项目目标将直接影响众包执行结果的有效性，进而在此基础上发展出一套以“联接-理解-参与-执行-引导”为框架的众包指引规范。

　　电子数据内容过程性的另一项重要体现，是以大数据分析为核心的预测警务等犯罪治理模式的兴起。预测警务一般被定义为基于相关数据并采用量化分析等技术，协助警察识别犯罪风险并进行犯罪预防或犯罪治理等活动，其包含以下四个关键要件：以识别和预测犯罪风险为主要目的、基于大数据进行分析、主要采用统计学的分析方法、预测结果将引发特定的警务活动。相对于传统的以实际案件为导向的回溯性侦查模式，预测警务以及其他以大数据技术为核心的侦查取证模式的特征在于通过特定的数据收集和分析方式，形成相对明确的主体、行为或事件预判，并在此基础上触发相应的犯罪治理措施。在该模式下，事件基于数据分析而逐渐建构，并最终发展成为能够与现实世界发生交互的具有法律意义的事实。基于该模式，犯罪打击的启动时点实际上已经远远早于刑事立案，由此形成前期预警和预防行为与刑事诉讼活动的衔接问题。

　　自2012年《刑事诉讼法》将电子数据纳入证据材料类型起，关于如何将法律规范与司法实践结合起来的理论与立法探索如火如荼，2016年的《电子数据规定》是重要的阶段性成果。基于电子数据的过程性特征，在明确电子数据取证的阶段的前提下，如何在证据效力与证据行为上形成各个阶段之间的衔接，是电子数据证据规则体系构建的逻辑起点。

　　（一）电子数据证据取证三阶段划分

　　《刑事诉讼法》、《电子数据规定》和《监察法》均对刑事立案程序之前的电子数据调查取证活动有所涉及。其中，《刑事诉讼法》第54条第2款对行政执法和查办案件进行了规定，《监察法》第33条对监察调查活动中的取证行为效力予以确认，《电子数据规定》第6条则涉及到犯罪初查阶段。就行政执法和查办案件的范围而言，《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》（下文简称《最高法解释》）和《人民检察院刑事诉讼规则（试行）》（下文简称《最高检规则》）分别将“根据法律、行政法规规定行使国家行政管理职权的组织”和“根据法律、法规赋予的职责查处行政违法、违纪案件的组织”纳入“行政机关”的范畴。就初查阶段而言，《最高检规则》第168条和《公安机关办理刑事案件程序规定》（下文简称《公安部规定》）第171条均对其合法性予以确认。就涉犯罪监察调查而言，其直接衔接的是刑事诉讼的审查起诉阶段，与刑事侦查具有同质性，故在此合并分析。总结以上规定，可以看出以“行政调查--初查--侦查”为主线的电子数据证据取证活动的三阶段已然形成。

　　（二）三阶段电子数据证据效力衔接的立法现状

　　基于当前立法，就刑事立案前获取的证据在刑事诉讼中“可以作为证据使用”，学界一般认为，该表述只涉及证据能力的认定，即该类证据材料具备在刑事诉讼中用于证明案件事实之资格。但立法及相关司法解释并未进一步界定该类认定的具体适用情形或范围。

　　《刑事诉讼法》第50条规定，“可以用于证明案件事实的材料，都是证据”，第52条进一步规定侦查人员必须依照法定程序收集案件的“各种证据”。如果立案前收集的电子数据证据仅仅作为该条意义上的证据，则无需《刑事诉讼法》另行确认其证据资格；无论该证据材料在进入刑事诉讼程序之后是否可被重复调取，只要“可以用于证明案件事实”，自然可以作为刑事诉讼证据使用。从这个角度理解，“可以作为证据”所针对的并不是电子数据以证据身份进入刑事诉讼程序这一阶段，而是其由证据转化为定案根据这一阶段。

　　根据《刑事诉讼法》第50条第3款的规定，证据只有经查证属实后才能作为定案根据。这一规定似乎主要针对的是证据证明力，但纵观《刑事诉讼法》全文，又有多处规定以合法性作为评价证据能否作为定案根据的要素之一。在刑事诉讼语境下，证据合法性既包括取证主体之适格，也包括取证程序合法，还包括最终的证据形式合法。《刑事诉讼法》明确将普通刑事案件的侦查权交由公安机关，后续条文中关于取证手段、方式、形式的要求，均是建立在侦查权专属和法定的基础之上。例如第118条规定的讯问犯罪嫌疑人必须由侦查人员负责进行，是基于取证主体对于取证手段的限制；第122条规定的侦查人员应当在讯问笔录上签名，是基于取证主体对于证据形式的限制。

　　在立案之前，刑事诉讼法意义上的侦查程序尚未启动，因此也无所谓侦查人员取证之说，由此形成行政调查、初查这两阶段与刑事侦查阶段在电子数据证据取证活动上的最直接和显著的差异。鉴于取证主体上的适格性是评价刑事证据合法性的重要要素，适格性的缺失可能成为一份证据构成定案根据的实质性障碍之一。该障碍并非基于证据能否证明案件事实这一考量，而是从刑罚权法定和专属这一基本原则出发，秉持《刑事诉讼法》第2条“尊重和保障人权”之要求而设置。有鉴于此，《刑事诉讼法》第54条第2款的核心功能在于通过取证主体扩张为侦查权外溢提供合法性基础，其与证据内容及其证明力并无必然联系。

　　当然，以上两个条文是否构成对取证程序性要求的豁免，仍然有进一步探讨的必要。如前所述，《刑事诉讼法》第54条第2款的设立，或者基于行政证据与刑事证据的同质性基础避免重复取证浪费司法资源，或者基于查明真相之价值对于不可重复取证之证据材料进行有效利用。究其本质，这两种观点实际上都在承认该规定对取证程序要求的有条件豁免。再进一步分析，这两种观点成立的前提条件均是该证据的证明力不会因取证程序的豁免而被实质性变动。也正是基于这样一种假设，才引发出学界关于第54条第2款是否适用于言词证据的争论，而《最高检规则》第64条第3款也因此作出了重新收集为原则、经补强豁免为例外的言词证据转化规则。但是，就电子数据证据而言，其过程性的本质属性决定了此类证据的证明力确会因取证程序不同而不同。据此，在明确电子数据证据过程性这一基本属性的前提下，《刑事诉讼法》中“可以作为刑事诉讼证据使用”的表述仅能弥补立案前调查取证活动中的主体不适格这一瑕疵，而无法借此绕开取证过程方面的刑事规则。进一步分析，刑事规则在评价整个取证程序时会引发一系列刑事诉讼意义上的法律效果。

　　《最高法解释》第94条规定，电子数据经审查无法确定真伪，或者制作、取得的时间、地点、方式等有疑问，不能提供必要证明或者作出合理解释的，不能作为定案的根据。《最高检规则》第64条规定电子数据证据材料可以作为证据使用的前提是“人民检察院审查符合法定要求”。基于电子数据证据过程性之考量，这里的“必要证明”、“合理解释”和“法定要求”不应当仅判断是否符合证据材料收集行为所处阶段适用的相关法律规定，而有必要进一步去分析立案前各个阶段的取证规则与刑事取证规则的异同，以及规则差异对于电子数据证据效力的影响。

　　电子数据刑事取证的三个阶段是否存在相对稳定一致的取证规则，将直接影响刑事审判环节对此类证据的审查认定。SWGDE和IODE共同提出的数字证据标准与原则首先强调的就是要在不同取证主体之间建立起证据提取与交换的标准化规则，而欧盟正在大力推进的法院和证据信息数据交换框架项目（European Informatics Data Exchange Framework for Courts and Evidence），也反映出电子数据证据过程性属性对于规则一致性的要求。本部分对现有规则进行梳理，筛选出三个阶段各自的代表性法律文件，并以此为分析材料，对三个阶段的现有电子数据证据规则进行比较。

　　（一）三阶段主要电子数据取证规则

　　在刑事侦查领域，《电子数据规定》是目前对于电子数据证据规则规定得最为详尽的一份规范性文件，基本上构建出了刑事电子数据侦查取证的规则框架。这里需要说明的是，2005年公安部出台了《计算机犯罪现场勘验与电子证据检查规则》，2010年“两个证据规定”和2014年《网络犯罪意见》中也涉及到电子数据刑事证据规则，鉴于这些文件尚在生效中，因此在下文分析中如果涉及到《电子数据规定》未决内容，也会参考相关文件中的规定。

　　就初查阶段而言，《电子数据规定》仅一言带过，并未作进一步的规则建构。对此阶段的证据规则有所提及的主要规范性法律文件是《最高检规则》、《公安部规定》和《网络犯罪意见》。其中，《最高检规则》对初查的规定较为详细，因此，就初查规则方面的研究先以该文件为对象，同时参考《公安部规定》和《网络犯罪意见》的相关规定。

　　在行政执法领域，当前规定相对分散，涉及到电子数据证据取证问题的规范性法律文件主要包括2002年最高人民法院《关于行政诉讼证据若干问题的规定》（下文简称《行政诉讼证据规定》）、2011年国家工商行政管理总局《关于工商行政管理机关电子数据证据取证工作的指导意见》（下文简称《工商行政电子数据意见》）、2011年最高人民法院《关于审理证券行政处罚案件证据若干问题的座谈会纪要》（下文简称《座谈会纪要》）等。其中，《行政诉讼证据规定》虽然对于证据行为进行了较为体系化的规则建构，但其仅在第64条中提及电子数据证据的原件审查问题，因此在其他事项上该文件仅作参考。

　　（二）取证主体规则

　　就侦查阶段而言，《电子数据规定》第7条要求“由二名以上侦查人员进行”，但未对侦查人员的专业性进行限制。在《网络犯罪意见》第13条中，电子数据搜集活动“应当由二名以上具备相关专业知识的侦查人员进行”，可见其要求高于《电子数据规定》。《电子数据规定》之所以没有延续《网络犯罪意见》在取证人员专业性上的高要求，很大程度上是对当前司法实践活动的妥协性处理。在初查阶段，《最高检规则》没有针对不同类型的证据材料进行区分，同时也未对初查阶段执行人数和专业性进行规定。《网络犯罪意见》与之相同。在行政执法阶段，《工商行政电子数据意见》第4条规定“电子证据取证工作任务应当至少有2名执法人员参与进行，其中至少有1名人员应当熟练掌握计算机操作知识”。由此可以看出，在取证人员专业性上，行政执法阶段中的工商行政规则要求最高，侦查阶段次之，而初查阶段则出现了规则空白。在取证人数方面，侦查与行政执法规定相一致，要求有两名人员共同进行。

　　（三）证据搜集对象规则

　　就搜集对象而言，核心问题在于是否及如何搜集原始存储介质。在侦查阶段，《电子数据规定》对于原始存储介质和电子数据的搜集分别进行了规定。就介质而言，该《规定》具有以下四个特征：一是以扣押、封存原始存储介质为原则，以不扣押、封存为例外；二是明确了介质扣押、封存的基本原则和方式；三是明确无法扣押介质的情形以及补救措施；四是对具有无线通信功能的介质进行特殊规定（第8条第3款）。《网络犯罪意见》同样对原始存储介质的保存和固定提出了要求。就初查阶段而言，《电子数据规定》第6条仅针对电子数据，并未扩展至原始存储介质。《最高检规则》第173条和《网络犯罪意见》第10条均明确规定初查阶段不得查封、扣押、冻结初查对象的财产。在行政执法阶段，《座谈会纪要》规定仅在无法提取电子数据原始载体或者提取确有困难的情况下，才可以提供电子数据复制件；《工商行政电子数据意见》则在第5条中明确规定，“执法人员应当收集电子证据的原始载体”，并列出了无法收集原始载体时的补救措施。具体对比参见表1：

表1三阶段原始存储介质调取规则比较

　　（四）证据搜集方式规则

　　第三个方面是证据收集的核心，即对电子数据本身的收集。相对而言，侦查、行政执法在规则供给上相对充分，初查阶段则有供给短缺的情形。特别需要注意的是，《最高检规则》不但没有对初查过程设置令状、见证人、笔录、录音录像等要求，更在第172条中强调“初查一般应当秘密进行”，在程序设置上与另外两个阶段差异较大。同时，在是否允许使用技术侦查手段方面，不仅侦查和初查的规定不一致，初查两份文件的态度也不尽相同。此外，就侦查与行政执法两个阶段而言，行政执法阶段的两份文件在取证事项的涉及面以及取证程序规则的严谨性上均不及侦查阶段的相关要求。具体三个阶段的规则比较见表2。

表2 三阶段电子数据收集过程规则

　　（五）证据保全与移送规则

　　基于电子数据证据的过程性特征，自证据材料收集之初到呈交法庭审查整个过程中，需要确保证据材料不因操作不当而发生损毁、篡改等情形。通过对比三个阶段的代表性法律文件，可以看出在电子数据证据保全与移送方面，三阶段的规则差异更加明显，初查阶段与行政执法阶段的规定几乎为空白。与之形成鲜明对比的是，在侦查阶段，两份文件均针对介质的移送以及不同状态的电子数据的移送作了较为细致的规定。特别是《电子数据规定》，对于保管链的完整性也提出了一些审查要素，进而从证据保全的角度加强了数据的可靠性。（表3）。

表3 三阶段电子数据证据移送和保全规则

　　我国目前尚未形成行政执法、初查、侦查三个阶段衔接的证据规则。基于电子数据证据的过程性特征，取证规则衔接上的断裂或错位不可避免地会影响法庭对于电子数据证据的审查认定。不同取证阶段的衔接一方面需要尽可能强化规则的一致性，但另一方面也必须承认各个阶段由于性质差异所导致的内在规则逻辑差异。有鉴于此，电子数据证据不同阶段的取证规则需要在执法资源合理配置和证据效力“保质”之间寻求动态平衡，而信息生命周期理论可以提供一条思路。

　　（一）电子数据证据的信息生命周期

　　信息生命周期理论（information lifecycle）认为，信息与人、生态系统、企业等一样，“都要经历从出生到成熟再到衰退的不同阶段”，信息生命周期的长短，或者信息本身的“保质期”取决于能否采用有效的、符合特定业务需求的信息生命周期管理措施。科技与技术国际理事会（International Council for Scientific and Technical Information）专家Gail Hodge基于信息生命周期理论，将数字信息归档行为划分为六个阶段，包括：创造阶段、获取或收集阶段、识别和分类阶段、存储阶段、保全阶段以及准入阶段。

　　电子数据作为一种特殊但广泛存在的信息形态，同样面临着如何在整个诉讼过程中有效实现其证明案件事实的功能的问题。一般而言，电子取证并不起始于信息创造，而是信息获取；之后进入到第二阶段，即包括分类、识别在内的处理阶段；进而进入第三阶段，即电子数据存储与保全阶段备用；最后进入到电子数据的处置阶段，该阶段决定了电子数据的准入期限。基于该阶段划分，同时结合之前对于侦查、初查和行政执法三个阶段的规则比较，我们可以总结出电子数据证据在规则一致化方面需要综合协调的三个问题：其一是在最初接触电子数据主体不确定的情况下，如何在电子数据证据生命周期伊始尽可能确保其可靠性；其二是在后期变动不可避免的假设下，如何尽可能确保各种变动的可见；其三是在电子数据最终用途无法准确提前预见的前提下，如何合理设定电子数据的收集范围。

　　（二）首次接触规则的衔接

　　对于行政执法与初查阶段而言，由于无法事前明确电子数据未来的可能用途，甚至无法明确在采取初始调查行为时可能搜集到哪些数据，因此难以形成统一的、具有实际操作意义的取证主体资质要求。据此，可行的方案是区分专业取证与首次接触电子数据这两个时点，并通过制定和普及清晰、简明的首次接触者行为指南，一方面确保实质取证过程的科学性与专业性，另一方面尽可能降低专业人员不在场所时取证活动所面临的证据保全风险。

　　对此，国际上已经形成较多探索，例如在美国就已经有马萨诸塞州数字证据联合会制定的《首次接触者数字证据指南》、国家司法研究会的《电子犯罪现场侦查：首次接触者指南》、国土安全部制定的《电子证据扣押最佳方案：首次接触者口袋书》等多部取证指引；欧盟2016年7月生效的《网络与信息系统安全指令》要求成员国建立计算机安全突发事件回应小组以确保电子数据的突发处理符合规定的程序；英国网络安全中心等部门联合发布的《突发接触管理十个步骤》将建立数据偶然接触机制列为首要步骤。

　　建立电子数据首次接触规则，其前提假设是该接触者具备相关权限，但并不必然具备电子数据操作所需要的专业知识。此时该接触者的行为具有两个核心目的：一是保护物理和数字现场以在专业人员到场前避免数据损毁或污染；二是在条件允许的情况下，对原始数据进行提取和保全。据此，针对数据首次接触者的行为规则应当至少包含以下五项内容。首先，首次接触者应当立即联系本部门或相关职权部门的专业执法人员，并请求附近的专业人员协助现场保护。其次，首次接触者应当对现场情况进行记录，条件允许的情况下进行拍照或录像，记录的事项包括电子数据载体的位置、性能指标、数据基本信息等。第三，首次接触者应当对相关操作人员或者载体、数据的所有人、占有人等进行询问，了解数据和数据载体信息。第四，首次接触者应当避免采用关闭电脑系统、切断电源等操作，同时尽可能区分出目标数据属于稳定或持久数据还是动态数据；对于动态数据，例如网页浏览信息等，首次接触者应当确保相关操作行为不会对数据内容造成实质性影响。第五，首次接触者如果不具有完整的法律授权，例如搜查权，则原则上不应当实施查看数据内容等可能侵犯数据所有人或相关主体隐私或秘密信息的行为，并等待适格行为主体进行相关操作。

　　（三）保管与传输规则的衔接

　　基于不同取证阶段的性质和任务差异，取证规则的设计不可能要求隶属不同部门的执法人员在电子数据证据收集、提取过程中完全遵守同一套操作流程，或者在证据生命周期伊始就杜绝任何外界接触。更易实施并且更有助于后期电子数据证据可靠性评价的方案是建立一体化的电子数据保管规则，使得任何数据变动对外可见并具有可评估性。

　　建立电子数据保管链是电子数据证据取证过程中的一个通行要求，例如SWGDE与IOCE提出的电子证据操作原则明确要求以书面方式记录于针对电子数据的各种扣押、存储、检验、移交等行为，并确保该记录能够用于未来可能发生的庭审质证活动；英国警长协会制定的《电子证据示范指南》同样将制定数据处理记录作为电子数据证据取证的四项基本原则之一。我国最高检在2009年制定的《人民检察院电子证据鉴定程序规则（试行）》中不仅要求对检验鉴定过程进行详细的工作记录（第十六条），还制定了《使用和封存记录》，以统一记录格式。在刑事电子数据取证的三阶段中，侦查阶段和行政执法阶段的相关文件均涉及到对取证行为制作笔录，但在规则衔接上存在两个主要问题：一是在记录的内容和格式上不尽相同；二是对于初查行为可能造成的数据变动，在规则上没有体现。

　　据此，要建立有效的、可以前后衔接并可以在事后审查的电子数据证据保管链，需要识别出数据记录的核心内容，这些内容通常被描述为“5Ws+1H”，即：是什么样的电子数据（what）、谁处理了该数据（who）、什么时间处理了该数据（when）、在什么场所处理并移交了该数据（where）、为什么处理该数据（why）、以及该数据的具体处理方式（how）。

　　首先，记录“what”的关键在于数据固定。对此，最高院《关于互联网法院审理案件若干问题的规定》第11条罗列了诸如电子签名、可信时间戳、哈希值校验、区块链等固定和防篡改技术。但正如哈希值的校验算法不断被攻破，在准确描述和记录电子数据内容完整性与一致性时，规则制定者需及时公布已有措施的缺陷并予以更新。同时，即便电子数据没有经过哈希值计算等方式保全，并不意味着该电子数据就不是真实的或完整的。电子司法鉴定还可以通过其他方式验证其真实性。

　　其次，“who”解决的是数据操作主体身份核实的问题，相对于以签章为代表的传统身份记录方式，一个更为可靠也更容易与电子数据的其他数字记录衔接配套的主体记录方式是生物信息记录，并与实际处理电子数据的人员的身份信息相匹配，形成完整且准确的行为主体信息记录，缩短实际操作与身份记录之间的时间差，并有助于后期证据审查认定过程中对操作人员专业资质的准确审查。

　　第三，“when”旨在确认电子数据变动真实的发生时间。对于以过程性作为基本属性的电子数据而言，“时间”是构成证据完整性的关键要素，据此，Chet Hosmer在其研究中提出了建立数据可信时间戳的三步骤：首先，将数据时间戳与包括协调世界时（UTC）等各国广泛认同的计时标准相匹配；其次，针对该时间戳建立稳定、抗攻击、连续的时间分布；第三，采取计算环境保障、计时校准、即时监控等方式保全该时间戳。

　　第四，“where”解决的是电子数据的具体操作场所问题。与数据操作主体所面临的问题相类似，传统记录方式可能对物理记录与数据操作的匹配性造成风险。相对而言，以地理标记技术为基础，在电子数据上加载数据处理行为发生地的位置信息，从而动态追踪电子数据的传输记录，更易保持记录的完整性与及时性。

　　第五，“why”针对的是电子数据操作行为的必要性。无论是SWGDE还是《电子数据司法鉴定通用实施规范》都在原则上要求尽可能避免电子数据变动，电子数据的过程性特征要求任何后期操作仅应当在必要的情形下实施。同时，明确操作原因也有助于证据审查者判断操作手段与操作目的之间的匹配性，在实践中可以构成判断侦查取证行为是否符合比例原则要求的依据。要实现以上目标，对于操作原因的记载不能过于笼统，而是需要尽可能详细描述操作目标。

　　最后，对于“how”的记录旨在与合法合理的电子数据专业操作记录进行比对，进而判断数据操作行为的正当性与合理性。一般而言，操作结果的有效性依赖于操作工具、采用的技术和具体过程符合相关技术要求，因此就此项内容而言，操作主体需要对工具、技术和程序均进行记录。原则上操作步骤应当详细准确记录，并且确保在后续的审查过程中，重复该记录步骤可以获得相同的操作结果。

　　（四）审查认定规则的衔接

　　不同阶段电子数据取证规则在尽可能统一的同时，也需要考量各个阶段各自的性质和任务，后者意味着取证规则的差异不可避免。基于此，有必要从程序法的角度出发，对取证三阶段中的程序性差异在证据效力审查认定方面加以区分。

　　从前文的分析可以看出，基于电子数据首次接触与后续专业处理的区分，后续程序中的审查认定规则也应当有所区别。就专业处理而言，无论在国际层面还是国内层面都逐渐发展出体系化的专业电子数据取证规范，其中国际标准化组织（International Organization for Standardization， ISO）与国际电工技术委员会（International Electronical Commission， IEC）联合制定并持续更新“ISO27k”系列标准，旨在规范和统一电子数据的实践操作和司法鉴定程序，例如《数字证据识别、采集、占有、保全指南》（ISO/IEC 27037：2012）、《数字证据分析与解释指南》（ISO/IEC 27042：2015）、《事件侦查手段适当性与充分性确保指南》（ISO/IEC 27041：2015）、《事件侦查原则与程序》（ISO/IEC 27043：2015）、《电子数据展示》（ISO/IEC 27050：2016）等。

　　与之相类似的，中国司法部司法鉴定管理局也已经制定出一系列具体化的取证规范，例如《手机电子数据提取操作规范》（SF/Z JD0401002-2015）、《数据库数据真实性鉴定规范》（SF/Z JD0402002-2015）、《破坏性程序检验操作规范》（SF/Z JD0403002-2015）、《录音设备鉴定技术规范》（SF/Z JD0301002-2015）、《计算机系统用户操作行为检验规范》（SF/Z JD0403003-2015）、《即时通讯记录检验操作规范》（SF/Z JD0402003-2015）、《电子数据证据现场获取通用规范》（SF/Z JD0400002-2015）等。

　　以上文件的制定均基于当前电子数据领域的技术标准和操作经验形成。从专业性与科学性的角度来看，这些规范对于三阶段而言均可适用，也因此更容易在三者之间形成稳定的规则衔接。基于此，行政执法、初查和犯罪侦查三个阶段需要调整目前表1、表2、表3呈现出的具体规则差异。首先，应当将目前以具体执法事项为核心的取证规范构建模式，转化为以取证对象或取证活动为核心的规则构建模式，针对不同的电子数据载体（例如手机、服务器或云端）、取证活动（例如固定、搜查、提取、保全、传输、展示等）、数据性质（易变或不易变）形成细化的行为规范指南体系。其次，明确侦查前阶段电子取证行为违反专业规范的后果，例如规定如果侦查前的专业取证过程严重违反以上规范，或在首次接触之后仍未引入专业操作，则该证据即便能够进入刑事诉讼程序，其在原则上不能单独作为定案的根据。再次，基于初查行为的刑事诉讼属性，从保障公民基本权利的价值出发，初查阶段在可以采用的证据搜集手段方面受到严格限制，如果想要采用更具有强制性的取证手段，初查必须转化为侦查。

　　如前所述，在承认电子数据过程性特征的前提下，对技术侦查的使用以及原始存储介质的扣押等取证手段的限制本身就足以削弱电子数据的可靠性。从这个角度讲，规则制定者只有两个选项：或者在电子数据证据领域扩大初查阶段可以采用的取证手段；或者维持严格的初查手段范围限制，并明确进入立案阶段的线索标准。两种对策毫无疑问都有缺陷，前者在社会数字化的背景下，有架空当前刑事诉讼规则在侦查阶段设置的各种公民权利保障机制之嫌；后者则在很大程度上可能架空初查程序本身。当然，立法者也可以考量将公民权利保障规则引入初查阶段，但这一方面会与初查的“秘密进行”要求冲突，另一方面初查与侦查阶段的实质性差异也被削弱。

　　基于以上因素衡量，笔者认为，初查仅仅构成侦查活动的一个“引子”，其本身并无必要拓展成为一个相对独立的环节。目前立法与司法解释中对初查的规定也主要旨在定性。因此应当维持对初查活动的严格限制，如果需要采用的电子数据取证手段超出该限制，且该手段属于专业取证指南或规范规定的必须手段时，侦查机关如果计划推进取证，应当立案。

　　在多数情况下，首次接触电子数据的主体并不具备专业知识和技能，因此难以形成像专业操作阶段那样统一、严格的审查标准，进而产生电子数据可靠性风险。笔者认为，就电子数据的首次接触而言，除进行定期且不断更新的技能培训之外，规则的设置仍然需要以电子数据首次接触者不具备专业技能为假设。据此，一方面需要行政机关和侦查机关采纳经由专业机构制定并发布的首次接触规范，并将其作为评价其取证人员首次接触行为合规程度的依据。另一方面，电子数据后续专业操作过程中，其所形成的记录或报告应当包含对首次接触行为性质及影响的专业评估。

　　这里需要额外补充说明的一点是，与本部分伊始提出的各阶段以电子数据最终可能被呈交法庭审查来规范和指导取证行为这一原则相呼应，《刑事诉讼法》不应止步于对立案前阶段证据搜集行为的效力确认，而是应当进一步明确相应的审查机制。英国众议院科学与技术委员会（United Kingdom House of Commons Science and Technology Committee）曾在其报告中对审前阶段缺乏统一的有关科学技术效力的认定体系提出质疑，并认为在没有科学专家辅助的情况下，法官难以做出符合科学规律的裁决。同时，在案件事实认定之外附加科学技术效力认定无疑会加重庭审负担。

　　基于此，笔者认为未来电子数据证据审查规则构建可以考虑以下四个方面。首先，在审查认定时区分首次接触与后续专业处理，并在此基础上，对各自是否符合科学技术要求分别进行审查；其次，关于技术合规性的审查可以考虑放置在庭前会议阶段，双方如无争议则无需再在庭审阶段对技术手段的合规性进行审查；第三，在立法允许立案前获取的证据进入刑事诉讼的前提下，有必要明确电子数据首次接触者与后续专业操作人员的出庭答辩义务；第四，有必要推广和强化适用《电子数据规定》中关于引入有专门知识的人就电子数据证据取证的过程性协助法官进行审查判断的规则，而非仅仅限于对鉴定意见发表意见。　

　　网络与数字革命毫无疑问正在深刻转变社会形态及其运行范式，同时也在转变着人们的思维方式和认知模式。这些变革不可避免地会折射到法律规范之上。目前刑事司法领域出现的电子数据证据方面的立法与司法困惑，恰恰是这一“技术--认知--法律”三联动的具体体现。电子数据之所以在国内层面和国际层面都成为证据法领域讨论的新热点，并非仅仅因为它对个别证据规则的适用形成了挑战，而是此类证据所具有的特性本身会对人对事物的认知过程形成影响，甚至造成根本性的范式转化。电子数据证据的过程性正是这样一种特性。基于该特性，人们对于证据内容的理解以及在此基础上形成与待证事实之间的逻辑及经验层面的对应，已经难以在行为伊始便形成相对明确或完整的认知。全然依据传统的规则、遵循传统的认知模式、依赖传统的取证思维，无疑会造成电子数据转化为法律意义上的证据过程中的困难，而这正是未来规则制定者需要特别予以警惕的。

欢迎扫码获取法宝介绍和试用

—更多内容—