▲朱桐辉 法学博士、著名法律人

如何用电子数据恢复现场，进行有效审查和质证

文  |  朱桐辉   南开大学

潘金贵教授：各位老师和同学大家晚上好！非常高兴今天晚上有幸邀请到了南开大学法学院的副教授朱桐辉老师，来和大家就“如何用电子数据恢复现场，进行有效审查和质证”这样一个专业性、应用性非常强的话题进行交流。随着国家社会经济的发展和人们生活日益的数据化，在大量地运用电子技术的这种情况下，电子数据产生的电子证据问题已经成为司法实践中必须高度重视的一个问题。从办理案件的角度来说，现在绝大部分的案件都牵扯到电子证据问题，因此无论是老师还是同学都应该加强电子数据方面的研究和学习。以讲促学，即通过讲座促进师生之间的学习，不仅仅是老师给同学们讲授知识，同时老师在讲授相关知识的时候也加强了自己的学习。桐辉老师近年来对于电子证据的研究是非常深入的，是证据法学界，尤其刑诉圈内，少数的对电子证据进行了比较精深研究的专家。他的研究不仅仅涉及相关理论问题，也特别注重司法实务。以后很多同学最终都会走上司法工作岗位，都会接触到大量有关电子数据的问题。所以，今天讲座我个人认为是非常有指导意义的，与此同时，桐辉教授的讲座也是西南政法大学证据法学研究中心所主办的证据刑辩讲堂的第五十一期，同时也是我们设立的证据法学教育基金的第一期讲座；对于中心来说，具有一种开篇性历史性意义，开启了证据刑辩讲堂的后半期。我相信大家将会在讲座中了解到桐辉教授对于电子数据方面的建设性意见。今天还非常荣幸地邀请到了几位与谈嘉宾，都是电子数据方面有一定研究的专家。首先，要给大家隆重介绍的是西南政法大学刑事侦查学院的院长、教授、博士生导师梁坤教授，梁坤教授也是西南政法大学的青年才俊，他所做的刑事侦查方面以及证据方面的研究在国内的影响力是非常高的。除此之外，我们还有幸邀请到了司法实务部门的专家参与，一线办案的实务专家们的实际工作经验对于在校的师生来说，是非常具有参考价值的。今天我们就非常荣幸地邀请到了重庆市公安局刑事侦查总队电子物证大队的郭文举大队长，他是我们公安部的电子物证专家之一。郭队长将会从司法实践的角度，就电子数据恢复现场，尤其是公安侦查工作中如何来用电子证据恢复现场这个专业性的问题，谈谈他的高见。今天我们还邀请到了一位非常优秀的青年刑辩律师，也是西南政法大学刑法学科培养的优秀人才，就是重庆志和智律师事务所的高级合伙人、监委会主任张公典律师。张公典律师是我比较欣赏的重庆刑辩界的少数青年律师之一，张公典律师从刑法专业毕业以后就致力于刑事辩护，而且取得了卓然的成绩。我个人觉得张公典律师的经历可能对在校的研究生们乃至本科生们会有启发，一个人真的要有梦想，如果你愿意献身于刑辩事业，你就要勇敢地去追求它，而且要为此付出你的精力。张公典律师前一段时间成功地把一个申诉案件最后赢得了无罪处理，申诉案件要无罪，本身就非常难了。我经常讲，一个刑辩律师，这一生能够办一两个无罪案件，已经足以让人一生自豪，再加上申诉案件还需要经过漫长的申诉能够实现无罪更是难上加难。申诉路漫漫，有些时候当事人和律师都处于绝望之中，但是律师通过不懈的努力实现还人清白的结果，也正是一个刑辩律师的最大价值。所以我也希望同学们以后如果真正要去从事司法实践工作的时候，要有自己的理想，而且要像张公典律师一样勇敢去追求，这也是我第一次邀请张律师来参加我们证据刑辩的讲堂进行与谈的原因，我希望让我们年轻的同学们看到学习的模范。我相信张律师等会儿也能就今天电子数据的相关问题，从他的辩护实践中给大家提供有益的意见。剩下的时间就交给朱桐辉教授，让我们以热烈的掌声欢迎我们朱教授，就电子数据这个问题谈谈他的意见，大家欢迎。朱桐辉教授：能到西南政法大学来讲课，我特别激动，想了很多开场词。其实几年前我来这里讲过一次电子数据法，那个时候是基础知识的学习，也是在以讲促学的过程中，通过先把题目报出去，然后逼着自己不断看书，不断去请教专家。其实西政团队的电子数据专家也很多，潘老师深厚的证据法理论功底也给电子数据的审查奠定了非常强大的底层逻辑，例如这次在国家法律援助研究院潘老师所提到的问题，就让我对这个题目进行了改动，“如何用电子数据”我写的是恢复现场，起初写的是“现场重建”，为什么改为“恢复现场”？潘老师认为“现场重建”可能会引起人们误解，可能会有另外一种意义上的重建，而现场重建所呈现的事实可能和以前的事实不一样。所以应该提的是“现场恢复”或者“恢复现场”，而不是说重建，因为重建可能按照原先的重建，也可能建起另外一个现场。所以用“电子数据恢复现场”的表达更为准确。另外，潘老师讲到对电子数据完整性术语的一个分析，这是他提出的一个很重要的观点，其实在整个证据法领域里面不能仅讲真实性或者客观性，还得讲完整性，因为有的证据虽然是真的，但是它并不完整。潘老师提出的思考可以帮助我们对证据法的基础理论有一个很好的反思。梁坤老师也是十分厉害，他是关于跨境的电子数据取证的专家。梁老师与龙老师、谢登科老师商榷的这些文章我都是反复阅读的，都是非常经典的文章。郭队长是电子物证专家，我这里面是演示一下如何用电子数据恢复现场，可能就是把工具给大家进行一个展示，但是怎么真的恢复现场，可能就需要郭队长来操作了。切入正题，如何用电子数据恢复现场，进行有效审查质证。我们法律人或者说法科学生存在一种错误的认识，经常认为电子数据法很难，因此不愿意学习，其实并没有那么难，比如我现在就以讲促学，我如果反复遇到一些生僻词或术语，自己捉摸不透就可以请教我们的郭队长和梁坤老师，如果是证据法的疑难术语我可以请教潘老师，这样形成一个良好的互动，在交流中学习，慢慢地就能掌握了。其实我今天讲的课可以算一个导论，只是选择了对电子证据进行法律规制的角度，选择这个角度有几点理由。一方面，因为这门学问存在衔接点，需要对和电子数据相应的计算机知识、侦查学的知识有一定了解，如果是大数据相关的，还需要对统计学知识有一些了解，经过一段时间的学习我对于电子数据相关的一些基本术语有所了解，能够进行区分，进一步的学习。另一方面，作为法学学科以及证据法的研究，对这个问题，在研究的角度来说，如果了解什么是电子数据里面所谓的专业术语镜像，还有完整性校验值，也是有利于数据合规、证据质证、审查的研究。我们有很多电子数据的取证人员和鉴定人员，其实也需要了解我们国内的法律对电子数据现在的规制有哪些。两高一部的电子数据规定里面提到了，如侦查人员的主体情况，取证要遵循相应的程序，要做备份，要做些保护，要计算完整性校验值，要同步录音录像等等，这些看起来繁琐的规定，其实是保障取证人员合法取得证据，能够在法庭上得到更多的认可，最终成为定案的根据，是有利于工作成功地转化的。作为电子数据的鉴定人，也需要了解基本的法律。所以我选择这个题目，实际上是进入一个中间地带，希望能够让大家重视中间地带，就是我们两边都不要畏惧，电子数据鉴定人、电子数据取证人不要畏惧法律，而我们法律人不要畏惧电子数据法，这是我想做的一个最基本的工作，这次题目主旨是说怎么样用电子数据恢复现场进行积极抗辩。我之前在律所曾经讲过一次这类的问题，取证人员比如很多网警看了我这个题目，他们看到这个题目后就问现在律师可以用来电子数据反攻了吗，我说我们偶尔反攻一下。因为现在电子证据是具有偏在性的，大量的电子数据是在公安、检察院手里，而律师是获得不了的，但不排除有些情况下我们能获得原始介质或者获得光盘，此时就可以对这个数据进行一个现场恢复，或者通过检索，或者请专业的鉴定人作为专家辅助人等用各种方法做现场恢复，获得更多有利于辩护人的事实，恢复更全面的现场，或者把事情的另一个版本或者把事情的另外一面讲出来，进而实现积极辩护。当然，借助电子数据进行更全面的实时恢复，是不仅有利于辩护，也有利于指控的。刘品新老师曾经讲过，有很多检察官是直接进入公安移送过来的光盘，或者说原始介质里面对电子数据进行一个相应的查证恢复、分析的，在这一过程中可能会发现更多的传销、诈骗犯罪事实。如果把这些证据展示出来，辩护律师可能就转身去给被告人做工作了，促使其放弃不必要的对抗。所以说借助电子数据进行更全面的实时恢复，对检察官、公安的网警都是有利的。通过请外援对获得的这些光盘、硬盘进行更多的恢复、更多的分析，检察官也能获得更多为指控准备的更有力的证据。所以，这个题目不存在一个立场的偏向。但是现在事实的情况是辩护律师这方面知识掌握得不是特别多，但凡是听过刘老师的课的，就会对电子证据的运用存在这种认识。同时听说现在全国的网警数量较少，而现在大量的案件都是网络化的，有专门针对网络、计算机系统或者通过网络或计算机系统实施犯罪的，有的传统犯罪也在大面积地转化为网络刑事犯罪的，纯正的传统犯罪里面也离不开电子数据了，所以需要网警做大量工作，案多人少导致不可避免地存在一些遗漏。如果我们能掌握更好的方法，有更规范的规则意识，遵循更严格的技术规范，秉持这种数据恢复全面恢复的理念，那么对于网警同志来说，也能够使工作更为出色，这是我题目的一个主旨。下面是这次交流的最主要内容，包括五点。第一点是电子数据疑难关键术语的文科解析，当然还有一些术语需要了解，例如镜像。在了解基础知识之后，基本上就可以跟着鉴定人一起讨论案情了，所以一定要树立信心，然后再有疑难再做进一步的学习。第二是电子数据电子痕迹在哪里？刘老师经常说电子数据法的学习其实更多需要的是侦查的意识和侦查学的知识。在侦查领域里面其实有一个最重要的犯罪现场重建的思路，即要找到痕迹，通过痕迹进行现场重建，再找到更多的痕迹，找到更多的证人，找到各种痕迹来恢复现场，支持个人对现场的一个描述。因此，电子数据的现场重建就是要找到电子数据在哪，这在侦查中非常重要。其实电子数据领域和传统的证据一样，也是凡有接触必有留痕。当然刘老师有一次讲课也讲过，有的情况下不接触也会留痕，例如重庆的网警，去对北京的或者说福建的传销组织的服务器进行查看，这种查看行为也会留下痕迹。举个例子，电脑系统能够做到对曾经有哪些U盘插拔过，并对这个U盘的型号、品牌进行确定，这是非常重要的，一位员工抗辩说自己是在离职之前就把公司的数据拷到电脑里了，现在电脑里面虽然有很多公民个人信息，但都是离职之前拷贝的，不是离职之后翻墙进去偷来的，他说当时用的是一个金士盾的U盘拷的。通过他对U盘的描述，海淀检察院的检察官和技术人员分析了被告人电脑里面的U盘插拔记录，发现他的电脑从来没有一个叫金士盾的U盘插拔过，只有一个叫闪迪的U盘插了，这就恢复了相关的痕迹，进而还原出一个基本的事实，被告人电脑的U盘的插拔痕迹与被告人口供是存在不一致的。所以，电子数据、电子技术很重要，再打个比方，聊天记录也可以通过技术手段还原，被告人和谁聊过天，跟谁打过电话，给谁支付过，都可以还原。按照沉默权的理论，“你有权保持沉默，但你所说的话可能成为呈堂证供”，但现在变成了什么？被告人每发的一个朋友圈，每一次扫码支付记录都会成为指控被告人的证据，通过电子数据来确定案件的事实，因为数据本身就会留下痕迹。这些痕迹能够让我们按图索骥来找到更多的事实，就像现场的血迹一样，血迹的所属、血迹的喷溅形状等等，通过分析能够知道当时的搏斗情况。当然有人会说电子数据可以修改、可以删除使得不被发现，但是需要注意，电子数据领域里面有个特殊地方，凡是修改删除电子数据，也必然会留下修改删除的痕迹。比如，如果是一个打印出来的20万的博士论文，改一个标点符号或者甚至改几个错别字是很难发现的，但如果是电子版的word文档，虽然改很多标点符号通过肉眼不容易立即发现，但是因为电子数据有一个同一性校验值，只要计算一下校验值就能够立即知道这两个word文档是不是一样。如果改了，通过判断校验值就能直接发现文档已经被修改了。所以如果要恢复现场，我们既要看电子数据，也要看电子痕迹。第三是如何借助电子痕迹以及通过电子数据进行现场恢复。这里面主要是三个典型案例，最典型的是刘老师的一个案例，同时我又专门准备了一个高老师在西政讲过的案例，这个案例我跟他从文科生的角度进行了请教和交流，今天上午好好地学习了一下，一会我也把这个案例讲一下，我认为在电子数据进行取证分析的时候，包括检查、鉴定、检验，还有侦查实验，也是在恢复现场。另外那么刘老师在另一场讲座上讲了一个勘验式审查的案例，我通过那个案例发现这其实也在表明律师已经在利用电子数据进行反攻了，律师也可以通过对光盘里的数据，对电脑里的数据，对手机里的数据进行数据检索、数据统计、数据分析，还原更多的事实，从而进行进攻性辩护，这个想法也得到了刘老师的认可。第四点是法律工作者在对电子数据案件进行审查、分析时，应当有数据恢复的意识、数据侦查实验的意识、数据全面分析的意识，在此基础上对数据进行一个演绎反推案件事实是否合理，是否全面。这是非常有益，对检察官、法官、律师同志都是有益的，例如，如果法官通过电子数据重建进行现场恢复，对电子数据进行实质审查，就能够得到全面事实，保证判案的准确性，避免冤假错案。上述工作也有利于律师进行有效辩护。我今天讲的主要内容，从表面来看是给律师服务的，律师如果能获得数据，尽管数据有限、电子数据信息不对称的情况下也不要放弃，比如说通过对光盘的审查，硬盘的审查或者 U盘的审查，都有可能为反攻辩护提供机会，所以在这里我要再推荐一下刘老师的《电子证据法》。第一个内容是电子数据疑难概念的文科解析。电子数据、电子证据、数字信息、视听资料，这些都不作为重点了，因为不是特别难，在不同的语境下来理解和使用就行了。电子证据和电子数据更多规范的是电子数据，现在很多法律解释里面已经有数据这个词了，从法学的角度来说它是一种证据，数据现在《个人信息保护法》里面讲得比较多，个保法里面对数据的认定指的是对信息的一个书写或者一个记录，但其实在使用这个数据的时候，对数据的理解其实就是电子证据，就是数字化的证据，包括记录也包括信息本身。举个例子，例如现在我跟张公典律师微信聊天，那么微信聊天里面的内容、微信聊天记录，可以说是一种信息，同时也可以说是一个电子数据，因为是数字化形式生成存储和传输的。如果我拍张照片或者一段视频发给他，这个照片或视频是数字化形式生成、存储和传输的，因此是一种电子数据记录，同时又表达了一些信息，可以认定为电子证据。所以，如果是在强调数据安全法个人信息保护的时候，我们可以用“数据”这个词，当然在电子数据领域里更多的是用电子数据这个概念，西政更多是用电子证据，也是没有问题的；但如果以后想对自己的业务和研究领域进行扩展时，就不仅要研究电子数据和电子证据，还要研究数据合规，对电子数据的研究到达一定境界以后，可以接着做数据合规的研究。我以前用“电子证据”比较多，后来想到这一点，就更多用“电子数据”了，现在的法律也更多用的是“电子数据”。总之，只要是以数字化形式生成、处理、传输的证据都是电子证据，因此现在的视听资料绝大部分都是电子数据。同时，视听资料也可以是被告人的供述和辩解，这个就跟证明对象有关，在归属于不同的类别以后，相应的质证方法、检验方法、鉴定方法也有区别。但需要注意的是，电子数据鉴定在声像资料鉴定囊括的范围当中，所以现在很多声像资料的鉴定方法，用的也是电子数据的鉴定方法，以后可能会有重合，分类会颠倒过来，或者视听资料分类会取消，对视听资料的质证或者分析审查，将遵循电子数据有关规定。但是对视听资料里面的部分信息是否完整，这个人的声音是不是线下那个人的声音等，可能还是要进行专门的声像资料鉴定。所以如果是想用同步录音录像的内容来证明案件事实的话，它就是被告人的供述和辩解。如果是想证明讯问过程合法，那么它就是视听资料。同时它又都是电子数据，在生成、存储、处理、传输中要注意计算哈希值，剪辑分析的时候，要做好备份工作。第一个概念是完整性校验值，这其实是一个错误的翻译，正如刘品新老师的论文里面提到，其实应当称为电子数据的同一性校验值。举一个例子，所有的电子数据有两个特征，第一个特征是无论电子数据有多大，都可以算出它的哈希值，其中最有代表性的就是 MD5值，即无论多大还是多小，都能算出32位的MD5值。第二个特征是如果对这个数据稍有修改，它的MD5值就会完全不一样。大家可以看到，多了一个小白点后，整个数据的排列都完全不一样。这个就告诉我们一个原理，古代讲踏雪无痕，反过来就是说很多人踏雪是留痕的，电子数据完整性校验值其实也是这样的，这个用处就特别大。例如我们从某人的电脑里面找到了这张图片进行分析以后，发现照片里面的老虎是用日历上的照片ps上去的。此人就可以提出一个抗辩，即进行质证的图是p上去的，而不是他所拍的图片。如果他提出这样一个抗辩，我们的检察官可以怎么做？可以当场再算一遍图片的MD5值，如果MD5值是一样的，这张照片就反而会成为一个有力的指控。相应的，如果网警从阿里云把所有传销组的数据调出来以后，送到南方的一个鉴定机构去鉴定，进行数据库分析以后，得出一个传销组织有108层，涉案资金是26个亿等等，这当然是一个非常有力的指控，但是有可能会遭遇一个问题，辩护律师会提出来，鉴定机构虽然对这两个压缩包进行了层级分析，但是怎么能够证明鉴定机构鉴定的这两个压缩包确实是来自阿里云的员工从池子里捞出来的两个压缩包？正确的做法就是，阿里云的人根据警方提供的账户，把他的公司的所有的数据都提取出来，形成两个压缩包。同时，计算一下它的MD5值或者哈希值，算完以后交给警方，警方再交给南方的鉴定机构，鉴定机构在鉴定之前，需对着内部录屏和外部录像再算一次MD5值。如果这两个压缩包的MD5值和阿里云当时算出来MD5值是一样的，说明就是同一个文件。警官、检察官就可以拿着这个证据去指控他了，这就能起到很大的作用。在实践中，如果网警忘记了计算MD5值，这就很麻烦，或者阿里云的人当时没有计算MD值，那么后面即使再计算也没有机会了，也没法比对是不是同一个人了。我想起在证据法学论坛的时候，有一位王志刚老师，他在提到MD5值检验的时候，提出了一个质疑，说这个值没有局限，如果是在深度伪造后才得到DNA的话，或者说得到的是深度伪造之前的DNA的话，也是没法进行比对的，我觉得非常有道理。总之电子数据完整校验值是非常有用的。第二电子数据完整性校验值还可以用于进行数据的搜索。在硬盘里面或者库里面有很多电子数据，但是如果我知道某一个特定的，例如淫秽图片的MD5值是多少，就可以用 MD5值或者哈希值进行检验，库里面哈希值一样的就一定就是我们要找的。在扫黄打非过程中网络巡逻的时候，知道一些特定视频的MD5值，就可以用 MD5值的检索来找。另外，哈希值翻译成完整性校验值其实是错误的。从我刚才举的例子可以看出来，准确的其实应该为电子数据可靠性校验值，或者电子数据同一性校验值。张洪铭的一篇文章中对完整性进行解释的时候提到了一个英文，我把它放进翻译软件翻译后，认为还可以翻译为完好性，这种翻译既强调电子数据要完整，还可以强调没有经过增删改。当然最准确的术语其实就是刘老师说的电子数据的同一性校验值。第二个概念是镜像。这里要说明一下，电子数据鉴定人或者取证人员，需要把犯罪嫌疑人里面的电子数据复制出来，在复制的备份上进行检验和检查，这样能够保证始终有个原件在，还可以避免在检验鉴定或者分析的时候出现数据崩溃，所以一定要在复制件上或备份上做。好比说对以前的PPT进行修改，那么我就会复制一个PPT，然后把新的内容加进去，因为如果在原件上做，可能这次修改好了，但是以前的删掉了后就找不到了。在现实世界中更完美的复制或者备份，其实不是Windows下的复制，专业人员一定用的是镜像，镜像这个词其实也是个不准确的翻译，因为对我们学法律的人来说，镜像是针对“实的”嫌疑人电脑里面聊天记录，而复制了一个“虚的”。但这种其实不对，如果我们对传销组织的电脑里面现场培训的视频做了一个镜像，那就意味着他们完全一模一样。如果电脑里面对应的视频是无数个0和1组成的，那么镜像出来的也是同样的。所以这是真正的复制，而Windows下的复制的有可能主要内容是一样的，但属性有变化，不能保证是完全一样的。所以大家看到镜像这个词一定要知道它就是最好的复制，最好的克隆。第三个概念是可信性时间戳，其实这个术语也很简单，举个例子，很早以前的作家写完自己的作品以后，为了防止产生版权争议，想要证明是他先写的小说或者先作了这个诗，他写完以后就会密封起来，装到信封里面寄给他自己。为什么要做这个工作？是因为寄信的时候，邮局会盖一个戳，这封信寄回来以后他一直不会打开的，另外一个就用来寄给出版商发表等等，假如后面有人抄了他的作品，发生了争议，就可以拿出这封信来证明他已于更早的时候就写了这封信，而对方可能就拿不出这样的证据。电子数据也是这样，如果说我拍完了照片或写了作品，把它打包发给这些区块链公司，或者电子数据的校验公司，这些公司会跟位于陕西的国家天文台对一下时间然后盖章，证明这个作品确实是这时候发给我的，认可在此时间点有了此作品。以后如果有人用了作品没有付费，我就可以证明在那时候就拍了这张照片。虽然实践中这个做法更多地用于民事案件中，但其实现在刑事案件也在用了，一些培训教材里面也要求网警做完工作后不仅要计算电子数据同一性校验值，也有些步骤要求要给自己做的数据盖一个可信性时间戳，把时间记录下来。第四个是注册表，电子数据取证人员到电脑里面肯定要查注册表，会去看电脑的开关机的日志，电脑的操作系统日志，或者说office应用的日志，还有浏览器的日志等等。其实注册表就相当于电脑的议程表，电脑要开机的时候，是按照一个议程来进行的，就跟我们开会一样。所以从文科生角度，这个词就相当于议程表，比如一台电脑，它在开机的时候是按照议程表进行的，所以我们找到犯罪分子的电脑，去看他的议程表，就知道他做过什么事情，或者是这个电脑是什么配置，他用过哪些软件，这些在注册表里面就能找到，这就是一个电子证据的溯源。注册表其实是一种数据，还不算痕迹。看这个注册表就可以知道电脑有哪些配置，配置上的一些软件，以及上一次是怎么配置的，那么就能获得很多信息，这是第一点。第二点是日志。日志就好比会议按照议程进行时，同时会有一个会议记录人员在记录会议正常进行。日志是非常重要的，而且数据日志在Windows系统开始是没有的，大概是从Win95还是之后，一个工程师发现需要对电脑所有的动作进行记录才产生。这类似于古代的史官，史官基本上只要有公务活动的时候是跟着皇帝，皇帝去到哪儿，去接见哪个大臣，又去哪视察，都有一个史官记录下来，电脑也是。电脑的每一个动作都有一个“史官”在记录。这个操作系统什么时候开机，然后是用哪个用户名，开机以后先调用操作系统，可能还调用了邮件系统，同时还打开了微信、QQ，有可能还进行了付款等等，日志都会有记录。同时每一个应用程序也会有自己的日志，但是有的记得多，有的记得少，这是有区分的。像我们前几天在鉴定公司遇到的，要用犯罪嫌疑人的电脑里面的财务管理软件，来分析他有没有做某一个动作，就找财务管理软件的数据库里面有没有日志，如果能找到日志，我们就能知道财务管理软件曾经做过什么动作，所以日志也是很重要的。还有一个是进程，也就是随时有个指挥中心来指挥会议进行的情况。假如现在要了解这个会议从上午9点到10点之间发生了什么，看进程的话可以看到整个过程。而如果打开电脑的进程，你可以知道哪个软件在跑，比如什么杀毒软件也在运作等等。所以如果说我们能录下来进程，我想也是一种痕迹，也能够证明案件事实，所以它是非常有意义的。第五个疑难术语是网络拓扑，网络拓扑很简单，其实就是网络架构。例如学生宿舍，每一个寝室里面都有自己的电脑或者供电脑接入的端口。如果有传销组织，电子数据取证人员到了现场以后，第一件工作当然先要保障不能断电，然后要做一个断网，断网进去以后，首先做的事情要人机分离，同时要做人机对应。如果有一台电脑里是传销组织最核心的指挥系统，那么这个电脑是谁操作的就应该算主犯。而如果没有对应的话，有可能这个人不承认，可能会找一个马仔来顶包，那么我们需要确定人机对应。在这种情况下还要立即问他的账号和密码，因为他刚开始被包围还没反应过来，如果再过段时间问，他反应过来就不给你说了，工作量就大了，如果是苹果的系统可能你还破解不了，所以要人机对应。更重要的一方面是一定要了解传销组织的服务器在哪，有几个服务器，这几个服务器是用什么线来连接的，其中一个服务器连接哪些大电脑，然后这些大电脑又跟哪些小电脑连接。如果不做这个工作，只是把所有的电脑放在一起后一车装走，等回到实验室就无法恢复了，它的网络架构也不知道了。当然在现实中更重要的是虚拟的网络架构，所以一定要在现场就确定下来。以文科的语言来说，网络拓扑其实就是网络架构，所以如果有大型的现场取证，一定要知道网络架构。第二个问题是电子数据和电子痕迹在哪里？第一，当然在电脑硬盘里，比如现在经常可以看到的固态硬盘，把它连接在专门的取证设备上，提取里面的数据。如果是以前那种机械硬盘，同样也可以把它插在相应的取证设备上。第二，电脑和手机的内存里也会有信息，所以侦查人员到达犯罪现场后，如果是开着的电脑不要关，关着的电脑就不要开。因为电脑内存里会留一些数据，如果把开着的电脑关了，那里面的数据就会消失。最典型的内存数据，就是粘贴板里的内容，因为如果相关人一直没粘贴，那复制的内容就会一直保留在粘贴板里。但如果把电脑关机，那里面的数据就会消失，取证人员就无法知道粘贴板的具体内容。如果是一个非常重要的密码或公式，就会阻碍侦查取证进程，所以内存数据是非常有意义的。当然，保持电脑的原态是侦查的原则，但也存在例外。另一方面，内存还能获得很多数据，如果把电脑连接到效率源等设备上，它就能把硬盘及内存里的数据全部展示出来。除此之外，U盘、手机、穿戴设备等都会存储数据，还包括数码相机、打印机等。举例来说，现在无论是无线连接还是有线连接的打印机都会备份曾经打印过的文档等，如果犯罪分子删除了电脑里的数据，但不知道还要删除打印机里的数据，此时侦查人员就能通过打印机存储的数据获取相关证据。第三，注册表、日志和进程都有助于恢复电子数据。第四，电脑的文件夹里也会有很多数据，手机的资源管理器里也可以看到很多存储的视频、照片、文档等。另外，很多应用软件里有数据库，比如QQ或者微信里有专门存储所有聊天记录的地方，这就是数据库。再比如一个传销组织租的阿里云服务器，让所有会员在这里注册、交钱返利、互相汇款等，那么在阿里云服务器里也会形成一个数据库，这个数据库也是非常有意义的。侦查人员可以让阿里云的取证人员把数据库以及虚拟服务器端过来，然后侦查人员对其进行分析，就能够知道该传销组织涉及多少资金，这也为侦破案件打下非常好的基础。当然，磁盘编码层中也存在一些有利痕迹。刘品新老师经常讲16进制，在16进制下电子数据的生成时间精确到了百纳秒，也就是 0.0001秒，这是真实的电子数据的创建时间。但如果用修改软件对电子数据的创建时间进行修改，是无法精确到这个程度的。所以，从磁盘编码层或者说从16进制的角度来看的话，如果能用专门分析电子数据的软件来看某一电子数据16进制下的0和1的话，就能分析该电子数据是不是伪造的，也能知道两个数据是不是同一个。例如，两位同学的作业相似，我们就可以通过创建时间来检验是否存在抄袭，因为就算两份作业内容相似，创建时间也不可能完全一样。相应地，所有电子数据的分析都要注意它的时间属性，创建访问时间非常有意义。第五，操作系统里也会有电子痕迹。首先，操作系统里的日志会留下操作痕迹，登录时间等数据；其次，系统本身也能说明问题。比如电脑安装了可以远程连接的虚拟机，说明相关人可能用虚拟机干过什么，这也能说明一些事实问题。还有应用操作系统也会有电子痕迹，因为它往往自带日志，取证人员可以通过分析日志去了解相关软件的操作记录及用途等。这里给大家讲一个刘品新老师曾经讲的案例，甲把一份矿产资源文件打印出来后，通过邮箱发送给境外机构，然后获得了一笔报酬。他事后删除了相关Word文档，但司法机关依然指控成功了，依据在于：第一，存在原始的书面国家秘密文件；第二，取证人员在甲的腾讯通里发现，他曾经给同事发消息告知自己即将离职，并表明自己干了票大的；第三，取证人员发现他曾经在某时某刻从邮箱发了一封邮件出去，之后通过相关邮件服务商找到，这两个邮箱在彼时彼刻有收发的过程。但由于邮箱里的内容已被删除，国外的邮箱又无法勘验，所以这时证据还是不充分的。后来取证人员又有所发现，也就是本案的第四个依据，这时我们就认为证据已经确实、充分了。具体来说，甲在电脑里安装了操作系统，也有邮件系统，更重要的是他安装了一个输入法，这个输入法的数据库里保留着他输入时使用的主要短语。我们发现原始国家秘密文件是由180个短语构成的，然而在甲电脑里的输入法数据库中也找到了对应的180个短语，例如某个煤矿、坐标纬度等，这就能证明他的电脑曾经输入过该国家秘密文件的相关内容。如此一来，本案的证据证明程度就很高了，检察官敢起诉，法官也敢定案。刘老师讲的另一案件是，某员工另创了一个公司，同时成立了隐名投资协议，然后到那个公司里去，跟自己所在的正式公开公司进行同业竞争。之后，他把隐名投资协议通过邮件方式发给他的同伙在外面又成立一个公司。取证人员就在他的电脑里找到了隐名投资协议，而且还在他电脑的浏览器缓存里找到了，但嫌疑人不承认，认为浏览器不会缓存文件。而刘老师就用电子数据侦查实验的方式来证明了IE浏览器确实会缓存一部分邮件，嫌疑人电脑的浏览器缓存里也确实存在隐名投资协议。这就能证明嫌疑人确实有隐名投资协议，且把它发送出去了。我想这就是知道电子数据和电子痕迹在哪里的意义。同时，大家需要注意的是，当时《个人信息保护法》讲典型案例的时候就讲到搜狗公司在未经同意的情况下，对用户输入的文字进行保存，实际上侵犯了公民的个人信息，违反了个保法。另外，其实现在很多犯罪集团刚开始都是合法的，比如P2P刚开始就是被允许的，只是由于之后资金链断裂等原因才变成非法公司的，所以它刚开始一定有自己的正式网页，因此我们要去找它相关的网页网站、数据库等电子数据。还有一个问题就是，如前所述，现在很多传销组织的交易活动、会员信息等都存储在云上。从这个角度来说，阿里云、华为、百度云等云服务器都应当负有数据监管义务，当然，部分情况下还存在用户个人信息和国家安全的权衡问题。在云取证方面，我还要讲的问题是，专业取证人员在进行数据调取时，不用到阿里云公司或者嫌疑人从阿里云租的服务器里去取证，而可以给阿里云公司发送证据调取通知书，让他把相关公司的云、服务器、虚拟服务器里的数据都捞出来，再交给取证人员进行分析，或者取证人员再找专业鉴定机构分析。还要提醒一点的是，由于实践中经常出现调取书不规范或不详细导致调取内容不完整的现象。所以网警在写证据调取通知书时，一定要术语规范，并且要写清楚相关公司账户以及具体、全部调取内容，比如：需要调取账户对应的虚拟服务器、数据库，以及账户对应的其他虚拟服务器及里面的数据。接下来，第三个问题是如何借助电子痕迹，通过电子数据进行现场恢复。这就涉及网警经常做的工作。第一，现场取证。如果要对传销组织进行取证，肯定至少要找到该传销组织的总部，再把它所有的服务器、电脑、手机全部收集到实验室里进行重新架构，再逐一分析。还有一种方法是，如果电脑正处于开机状态，取证人员可以直接在现场连接取证设备，把云或者数据库里的数据直接导入自己带去的云服务器、硬盘等载体上，这就是现场单独提取和现场一并提取。当然，2016年两高一部出台的《电子数据规定》，明确最好现场一并提取，即不仅要收集相关数据，还要收集数据自身的载体。但特殊情况下也可以进行现场单独提取，也就是携带设备在现场提取，尤其像内存数据、开机状态的电脑数据等。当前，网警在更多情况下是不需要去现场提取证据的，比如有个真实案例是武汉网警直接到美国服务器进行取证。但现在已经不允许跨境勘验了，2019年出台的《公安机关办理刑事案件电子数据取证规则》规定只能对境内的服务器进行远程勘验，也就是在线提取。在线提取包括了对公开数据的下载和复制，即取证人员在公司公开的网站上对公开数据的下载和复制，这是狭义的在线提取。广义的在线提取还包括，通过他的账号和密码进入公司后台，查明该公司有多少员工，有多少客户，发展了多少会员以及管理人员的邮箱、聊天记录等，这就是远程勘验。另一方面，如果取证人员在无法获得账号密码的情况下，用黑客技术进入公司后台，那这就是技术侦查，包括长时间对相关邮箱、聊天记录的观察也属于网络技术侦查。但是现在的法律是如何区分远程勘验和在线提取的？凡是通过账号和密码的就是远程勘验，如果没有账号密码的就是网络技术侦查。这是我看到一些内部培训教材上这么写的，但我了解的情况不一定准确，其实可能很多远程勘验是没有获得账号密码，而是用技术手段获取的，就是利用了网络技术侦查支持，用的文书是远程勘验，这个不一定对，也只是个别现象。但是，总之我们可以发现，如何通过电子数据进行现场恢复首先要获得证据。怎么获得证据？可以把嫌疑人的手机、电脑、手表、相机、打印机等拿来看，还有我可以坐在我的办公室里面，进入到他的邮箱，进入他的微信聊天里面，进入到它公司的管理系统里面去获取数据，或者我可以把这些数据“捞”来，把这“鱼”“捞”来，无论是我去那“捞”来的，还是我远程“捞”来的，我都可以进行检查，进行比对分析，其中最主要的是数据库分析，很多情况下我们都以为是对大数据进行分析，其实就是简单的数据库分析。刚才所讲的传销组织，我可以用特定的词语，特定的办法知道谁是几层会员，以及它下面一层是谁，形成一个树状图，最原始的会员是1个人，下面有4个人，这4个人下面又分别对应的某些人，进而形成1个树状图。然后我可以进行数据库分析。还可以进行检验鉴定，电子数据鉴定现在主要分为存在性、真实性、功能性和相似性鉴定。我能够鉴定出来你电脑里面有没有隐名投资协议，有没有打印过一个国家秘密文件，有没有淫秽图片，这是存在性鉴定。电脑里面数据是不是真实的，邮箱里面邮件是不真实的，word文档是不是真实的，有没有经过增删改，这是真实性鉴定。电脑里面这个软件有没有侵入功能，有没有破坏功能，这是功能性鉴定。电脑里面的软件、word文档等等，是不是抄袭的另外一个公司，你的这个作品是不是抄自另外一个公司，这可以做一个相似性鉴定。当然最简单的方法是算一下哈希值，如果哈希值完全一样就是抄的。这是最低级的抄，可能就是前面封面换了一下，里面每一章每一节就是从人家另外一个网站复制来的，我把它里面的每一章每一节的数据做一个MD5值鉴定一下，然后把另外一个其他人有著作权的网站的文学作品的每一章每一节也分别做MD5值，如果MD5值相似，就判断是抄的。这是最简单的方法，当然还有别的方法。总之如果是电子作品，不可能一页一页地去翻，这些文学作品的阅读量是非常大的，但是恰恰因为它是电子版的，所以我们可以根据电子数据的规定，在某些情况下很快地通过MD5值等很快知道它是不是相似的。如果是文字我可以用软件很快比对出来，如果是图片我就要把图片里面的文字提取出来，然后进行比对。如果是声音文件的话，可能是把声音文件也转化成文字，两边都转化为文字进行比对，有这么一个鉴定流程，大家可以去看一看。下面，怎么进行电子数据的现场恢复要进行侦查实验，这是这次课要重点讲的一个内容。其实现在的工作很简单，很多情况下网警在一定程度上是运用取证软件的，靠一些软件进行数据提取和数据分析，我们不仅有取证软件，还有分析软件。分析软件我给大家简单介绍一下，比如月光宝盒、火眼金睛，这是南京一个公司开发的，取证大师是非常有名的，能干很多活。取证航母是很多公司都有这个东西，它是综合取证。这个领域里面最有名的其实是德国的Xways，是专门进行数据分析的，然后他开发了一个简版是专门给取证人员的，能够在保证不影响数据的真实性、原始性，不修改数据的情况下，对数据进行分析和展示，还有FTK，往往是进行数据镜像、数据复制的时候用这个东西，FTK还是一个专门进行镜像的软件，就是如果要把朱老师的课件点右键进行复制，复制出来也许一样，也许不一样或者大部分一样，但是属性就不一样了，如果要精确复制的话，你可以用FTK的软件进行复制，就是完全一样。所以刘老师建议每个人可以给自己的电脑安装一个FTK这样的软件，到检察院阅卷的时候可以通过这个方式获得的数据，完全是一模一样的。那么比较有名的鉴定公司第一个推荐的是刘品新老师的人大司法鉴定所，有很多疑难的案件，发现在嫌疑人的电脑里面没有发现有远程连接痕迹，控方却指控他发动了攻击，但如果没有远程连接的痕迹，怎么去抓取成千上万个数据攻击别人的服务器呢，这个鉴定就是失败的。但是把电脑交给人大的鉴定机构以后，就发现他用了虚拟机，他在自己的电脑里面架了一个另外的操作系统，这个操作系统与他自己正式的、对外公开的操作系统是不一样的，是他自己悄悄地加一个隐蔽的操作系统，但是功能完全是一模一样，他通过这个操作系统攻击了一个地下黄金交易平台的服务器。人大的司法鉴定机构就在电脑里面找到了他用过虚拟机的痕迹，架起虚拟机找到了远程连接的痕迹。第二个推荐是我自己所在的云证国际，做过很多经典的、避免冤假错案的案件。第三个信诺司法鉴定所是北京的第一家，有一个网络业协会司法鉴定所稍微比他早一点，但是现在业务发展很成熟且完备的是信诺司法鉴定所。第四个是徐晓东的法大司法鉴定所也很不错了，时间关系其他的不再介绍。关于电子数据的侦查实验，如何通过电子数据恢复现场，在我们的电脑里面有四种技术是专门做这件事情的。第一，系统仿真。我们获得嫌疑人的电脑或者犯罪集团的数据，即他的“鱼”都“捞”过来了，但这些“鱼”只有在那个系统里面才能活下来，才能够活灵活现地展现出来。所以，我们是把犯罪集团的数据“捞”过来了，但是如果没有这个系统，就是鱼捞过来但是如果没有鱼缸的话，这鱼是不能展现的，我们无法进行统计分析到底有多少违法的数据，有多少能够证明他是犯罪的电子证据。怎么办？我们需要搭建一个与犯罪集团系统一模一样系统。这个系统包括三个层次，第一个是计算机信息系统，就是操作系统，如果嫌疑人用的Windows，我们要用Windows，发现嫌疑人用的Unix我们也要用Unix，嫌疑人如果用的是MAC，我们也要用MAC。服务器也有服务器相应的系统，我们要跟他做的一样的。第二个是网络环境，就是用现在这台电脑我们可以做一个和另外一台电脑一模一样的操作系统，里面的APP也是一模一样的，这是第一层面，第二个层面，这个电脑是怎么上网的，如果电脑不仅可以上网，它可以控制其他网络，那么我们在另外一个地方要搭建一个完全一样的系统。我印象中有这么一个说法是当年公安机关为了对e租宝案件进行数据恢复、数据取证和数据分析，就在公安系统内部搭建了一个和e租宝公司一模一样的网络云环境，然后把e租宝公司的数据放进来，这些“鱼”开始流动了才可以进行下一步的工作。第三个是手机仿真，如果犯罪集团主要是通过手机联系、手机交易，以此来删除或发展会员等等，我们就要做一个手机系统仿真。第二，应用重构。如果我做一个完全一样的计算机信息系统，这就是计算机信息系统仿真，但有的时候不需要做到完全一样，只需要部分一样，某一个APP是一样的就可以。例如对方装的是IE浏览器6.0，我就同样安装一个IE浏览器6.0，这就是我们说的系统仿真和应用重构。这里我还要讲一下虚拟技术或者系统仿真技术，这是鉴定人以及取证人员经常使用的，因为有的情况下，如果我要鉴定这个程序里面是否有恶意代码，如果我用我真的取证电脑或者电子数据分析电脑运行恶意程序，其中如果有恶意代码，我的电脑就直接崩溃了，怎么办？恶意代码会影响我的系统而无法得出准确数据，怎么办？此时我在我电脑里面搭建一个或者在我电脑里重新开一个虚拟系统，也是Windows系统，在这个系统里面也装一些取证软件，然后我用虚拟系统、仿真系统运行恶意程序，在运行过程中如果出现了恶意代码，由于我前面随时在进行进程保留或者固定，出现恶意代码时我就把电脑关闭，然后把虚拟机里面所有的系统恢复到没有出现恶意代码的时候，便可以接着做鉴定。简单来讲最主要的一个功能就是，如果怀疑某一个软件或者某一个程序里面有恶意代码，可以用虚拟机技术，当我们要用电脑来分析某一个软件，要防止这个软件具有破坏功能，就不要用我的主要电脑，比如正在写博士论文、硕士论文的电脑，可以用以前的旧电脑去分析这个程序。但是在实务中不需要，可以在一台电脑里做三个系统，这三个系统是三个窗口，有三个Windows的界面，有时候我想让三个电脑进行数据交互，我也可以用虚拟技术。很多公司为了节约成本，在一台电脑里面或者一个服务器里面用很多虚拟机，它不需要买那么多电脑，还有阿里云百度云其实也是很多虚拟机，当然有很多犯罪集团也是这样。并不需要买很多电脑、显示器、硬盘、服务器等等。其中主要是服务器和硬盘，这些硬盘由不同的虚拟机去操作，你如果要使用我的硬盘的话，我就给你一个虚拟机系统，你来操作其中一部分硬盘就行，这类似一种出租。所以，取证人员在阿里云提出取证申请的时候，会说我们希望你能把虚拟服务器以及其他数据给我们。第三，功能测试。这里有一个案例，某一个犯罪集团生产的手机是在硬件层面上能够运行恶意代码，能够吸存周围手机的话费，我们不可能去做一个电子数据鉴定，但可以做一个功能测试。他做了一个相对简单的工作，把一部手机旁边再放一些手机，然后让这些手机运行，看这个手机能不能吸存周围手机的话费。这个功能很神奇，我们还不知道原理是什么，但是我们可以通过测试看看它有没有这个功能。功能测试可以运用于很多情况，比如犯罪集团电脑到底有没有侵入功能，能不能翻越到国外去，有没有与国外的服务器进行连接，有没有装VPN，VPN能不能用等等。第四，网络行为溯源和验证。通过他留下的IP地址、他的日志来看他有哪些行为，一会儿在提到的案例中可以讲一下。下面我们讲一些案例。第一个案例来自刘品新老师，有一个公司被指控为一个赌博平台，辩护律师团队请刘老师帮助审查，当时的证据有三份司法鉴定意见书，鉴定书得出结论这个平台是一个网络赌博平台，如果我们仅判断传统的见、数、取，看鉴定意见，看数据，看取证，其实比对不了什么，因为鉴定机构鉴定出来的数据一定是有赌博痕迹的，然后取证笔录也一定是规范的。这时候刘老师发现这个案件有个特别好的地方，就是300多台电脑、100多个手机的数据，是由网警移送给检察院再移交给法院，法院是愿意提供给律师的，所以刘老师就建议律师团队转换思路，进行了相当于警察做的工作。对这些资料，300台电脑、100个手机所形成的电子数据，在1个光盘里面，进行无罪挖掘，罪轻挖掘。不是已经从这些数据中得出结论说这个平台有赌博痕迹吗？那我们就对这个数据进行勘验，发现它其实是一个合法平台。这里面最关键的是，怎么从海量数据里面找到它是合法公司的痕迹，或者说他履行了对赌博进行监管的风控，所以刘老师就找出很多关键词，他用的第一个关键词是封禁，因为它所有发布的文件，聊天记录，以及公告文书都在这里，于是输入封禁这个关键词以后，就发现该网站会对不法的小房间进行封禁的文件公告，接下来要看他日志，日志里面有没有封禁等等记录。其次，还有进行监管的一些软件，这个平台会随时看这些底下这些小房间到底是在打游戏还是在赌博，打游戏的时候有没有压筹等等。然后用这些监管行为发生的时间段、地点、账号和行为特征，作为高级搜索条件，又陆续发现了大量的有利于辩护的证据，包括这个平台曾经接受用户投诉，有专门的用户投诉处理官，还有我接受了公安的指令记录，比如公安有一些指令要求我封禁某一个账户，同时也找到了大量的封禁这些小房间的这些记录，对异常聊天群进行监管的记录，限制不法转账的记录，处理涉赌的群组照片的记录。刘老师说这些证据展现了勘验式审查的巨大威力，显然有利于全面准确地认定案件事实，我认为这其实不仅是一个勘验，实际上是一个现场重建式的审查。我对电子数据进行勘验，然后用更多的证据来进行一个现场恢复，然后进行进攻性辩护。第二个案例，有一个公司为了上市，就发送了一个漂亮的财务报表发给投资人，投资人一看还不错，就给投资，但是投资人收到了另外一个内部管理系统的录屏，这个录屏上显示这个公司的财务数据并不怎么样，这个公司就很生气，要找出是谁录的屏，就委托鉴定机构想找出这个人。这时候我们发现录屏底下有个时间，这个时间就非常有意义了，可以根据这个时间段找公司电脑后台中的时间日志，然后从这些日志来看是谁在这个时间段登录了这个公司的后台，便可以知道是哪个账号登录了。后来发现是一个公共账号在登录，在相应的时间段内可以知道是哪个IP地址来登录的。接着就发现是内部员工通过虚拟机登录的，并录下了公司的财务数据。但是到底是不是这名员工做的，这时候就显现出高老师的厉害之处了，这个IP地址是一个公司的内部IP，有一个常识是公司的内部IP是不能够登录到公司本机的，正常情况下远程桌面是没有办法用本机的IP连接的，也就是说远程桌面是在某一台电脑上，然后电脑自己连接网络是有个IP，然后这个IP是内部IP，在当时显示是内部IP连接了远程桌面或虚拟机，然后进去之后录了很多数据出来，但是按照原理来说，自己的IP不能登录自己的远程桌面，这就产生了疑问，但是高老师不仅懂单机取证、电脑取证，他也懂网络取证，他本身就是网络安全专家，所以他了解一些黑客手段，他说有一种情况可以实现，就是通过把内部IP弹射到境外，而在这个案件里面是弹射到美国去了，跟美国的IP对应上了，然后黑客就通过美国的IP再进入到这个公司虚拟机的远程桌面上，就可以进入此公司的服务器，录取他的财务数据了，录完以后拷贝出来，发给投资人。所以并不是员工的账号登录的，也不是这个公司员工的账号对应的IP登录的，只是表面上是这个公司员工的账号，但其实是有人借刀杀人，从外部连接到这个IP，然后进入这个系统记录了这个数据。这就避免了一个错案的发生，一种可能是一个竞争对手，另外一个类似的公司，第二种可能是这个公司另外的员工，对这个公司有仇，他借用了其他员工的IP去录的。还有第三种可能，就是账号员工自己录的，但是他不想暴露自己的IP，他跳到外面去，用外面的IP进入到公司里面，然后显现出来好像是内部的IP来录的。如果你技术不好的话，你不会再去查外部IP的。高老师是如何来恢复这个事实的呢，他在镜像里面进行了查找，发现它有反弹的VPN程序，也就是说犯罪现场重建的时候一定要大胆猜想，你要猜想到这里面可能有黑客攻击，可能有IP反弹。在传统的犯罪现场证据分析的时候，要想到这个人可能伪造了现场，就要通过寻找证据来看他没有伪造现场，我想这是一样的原理。第三个案例，对Word的创建修改访问时间的审查也是有异议的，有异议在什么地方？举个例子，有一个人想证明自己并没有侵犯对方的商业秘密，对方的文件配方是2004年的，但是自己在2003年就有配方了，然后交了一个光盘的 Word文档。刘品新老师及其团队教了一招，对着 word文档点右键，看它的属性，发现如果这个配方确实是2003年写的，但是这个文件的创建、修改、访问时间全部是在2013年，这也说明这个文件是后来写的。接着他说光盘拿错了又拿了一张光盘，然后刘老师或者刘老师所指导的专家指出，要么点右键，要么用专门的软件来看一下，发现这次的Word文档里面是写的创建时间是2003年，但是最后访问时间是2013年，这个人的狐狸的尾巴还是露了出来。到他拿出所谓的第三张光盘，就做得更好了，Word文档里面写的这是某某配方，配方写于2003年，然后这个文件的属性、创建修改访问时间全部都是2003年，怎么办呢？刘老师还有一个办法，发现 word文档的版本是WPS word，有这种版本的序列号，然后去金山网站的公司去查 WPS的word文档这个版本，它的序列的发布时间是2014年12月4日，结果文件的创建修改访问时间全部是2013年，这岂不是很荒唐吗？于是又再次揭露了对方的矛盾之处。我认为，这也算恢复了部分真相，也算是一个现场恢复。下面的部分其实完全是另外一个课，也能讲三个小时，由于时间关系这里我就不再展开。以可能的事实为引导，以聚焦的事实为引导，进行大胆猜测，小心求证，其次要大胆探索关键词，从主体虚拟身份设备、软件、主观时间、工具、后果、行为等等角度进行电子数据的分析。包括对证据内容本身的审查，对网络的审查，对原始介质的审查等等。另外一课最主要的是关于审查电子数据的时候，在要件引导下进行聚焦审查，要审查电子数据的本体以及关联痕迹，要审查日志，要审查注册表。并且要纵向审查电子数据，包括整个流程的来龙去脉，还有横向聊天记录、鉴定意见、取证笔录等等。最后，我刚才所讲的课件主要是来自刘品新老师的审查体系，他都有专门的文章阐述，所以我这次讲座等于是把同学带入了“电子数据”的学海。我就讲到这里，谢谢大家。潘金贵教授：非常感谢朱桐辉教授两个多小时的精彩讲授，电子数据问题非常复杂，它实际上既牵涉到法律问题，更多的还牵涉到技术问题。大家会感受到在朱教授讲授的过程中涉及一些技术性的术语知识，我们作为法科学生不一定能够完全了解。刚才我在和梁坤教授交流心得的时候谈到一个基本观点，其实我们并不奢望也不要求我们的同学们和老师们一定要对电子技术上的问题特别清楚，但更多的是需要通过这样的课堂唤起大家对电子证据的重视，此外，一些基础性的基本知识也需要大家了解，而且要破除电子数据的神秘感。在了解了电子证据方面的基础知识以后，当遇到具体的案件处理时，我们才能够发现初步的问题，在此基础上请教相关的技术专家来解决案件中的问题。所以我为什么要举办关于电子证据方面的讲座，就是要让同学们重视电子证据方面的学习，这是关键所在。关于如何用电子数据恢复现场，进行有效的审查和质证，刚才朱教授已经用非常详尽的术语进行解释，并指出相关的一些重要的手段以及案例，还包括国内比较权威的专家的一些观点，他们操作的一些具体的案例等等，给大家做了一个介绍，我相信也使同学们对于电子数据也有了初步的了解。那么下面我们就有请来自西南政法大学的电子数据专家梁坤教授，就今天的主题进行交流，大家欢迎。梁坤教授：感谢潘老师的再次邀请，潘老师每次召唤，我都是召之即来，从不退却。因为我觉得潘老师做的事情我是功德无量的。我刚才看了一个数据，线上现在有6000多人在听这个讲座。在潘老师的组织之下，这么多人一起探讨这个话题，一个时代无法回避的这么一个话题。听了朱桐辉老师的讲座，我谈三点感想。第一个感想是，完整性校验值这个词语到底对不对？我刚才又特意翻阅了一下加深了印象。在2021年的时候出台了《人民检察院办理网络犯罪案件规定》，第三十条表述为：“对电子数据是否客观真实，要注意审查以下内容。”其中最后一个小点是“电子数据完整性是否可以保证”，也就是说，从司法解释的体系来看，完整性被当作客观性真实性的一个组成部分予以审查，我一直觉得这是不对的，因为完整性既不是一个客观性问题，也不是一个真实性问题。但是我们可以看出，实际上在传统的合法性、客观性以及关联性的这个基础之上，现在冒出了一个词语叫做完整性，传统的证据三性审查现在已经可以扩展到四性审查了，这是我一个看法。对于完整性校验值，首先完整性的表述到底对不对？四性的审查结构到底对不对？我认为这些是值得商榷的，我也同意刚才朱老师的观点，即不宜用完整性，而适宜用比如说同一性，甚至还有说完好性，但是相比之下，我更倾向于用同一性。我现在的工作是在西南政法大学刑事侦查学院，在侦查学基本理论里有一个“同一认定”，“同一认定”讲究的是检材要有样本，而且检材要反映客体的特征，样本也要反映客体的特征。联系此理论，我认为刚才朱老师讲案件里有两幅图片，也就有两个Md5值，我认为第一个图片里面的MD5值，就相当于是一个检材，一个客体，第二个图片里面的MD5值相当于一个样本。另一个客体。从侦查学的基本理论来出发，我认为这是比较好理解的。这是我的第一个学习体会。第二点学习体会，即需注重电子数据与传统证据的多层面审查与综合运用。我特别赞同朱老师刚才讲的，我们作为法学出身的老师也好，学生也好，不要忘记本行。我指导论文的时候，会喜欢跟学生聊天。我问他最近在关心什么事情，举一个实际的案例。他说他关心的是一个具体的场景，因为电子数据在运用过程当中，很多时候被转化为书面材料来运用了，我回答那题目应是这一方面的合法性问题。因为在实务当中处理运用的电子数据更多，但都只是一个书面化的形式。在法庭的审判当中，甚至把它变成书证了，一会儿又是电子数据，一会儿变成了物证了，但其实本质上还是电子数据，只是说变成了电子数据的一种传来形式。实务当中电子数据也确实是以类似于书证的方式来进行运用和审查的。所以，我们学电子数据用电子数据，但是不能忘了在证据法体系里面进行思考。除了电子数据本身表现出书面化特征之外，从规范层面在进行电子数据的审查运用过程当中，也不能忽视传统证据层面的审查。比如说，我这里举两个例子，人民检察院、公安机关办理刑事案件时，程序规定在进行关联性审查的时候，就特别强调存储介质和案件事实的关联性处理，并强调要结合证人证言、被告人供述和辩解来进行综合认定，但却只字不提电子数据相关的一些问题，完全是以言词证据的特征来进行关联性审查的。同样在2016年的时候，两高和公安部所发布有关电子证据规定强调在认定网络身份与现实身份同一性的时候，同样也是强调了要结合原始证据。所以，我刚才就说特别赞同朱老师这个观点。无论是作为一个法学生，还是研究者，不能够忘记本行，不能够因为现在用电子数据越来越多了，就遗忘了在这个时代还有传统证据的运用，这是第二个学习体会。第三个学习体会，是有关网络远程勘验的性质争议。上次刑侦学院请郭老师来做讲座，后面我在做总结的时候，总结之前我还问了您这个问题，但是我今天想把这个问题再发散一下。今天我们潘老师组织讲座系列名为“证据与刑辩”，那我就从辩护的角度来提出我的思考。很多辩护律师会提出公安机关在取证的时候违法，比如没有使用用户名和密码就进行登录了被告人的账号。上次郭大队已经给了我们一个答案，他分享实务中只是把用户名和密码作为一个线索进行使用，而没有直接作为一个证据使用。但是据我了解，全国范围也并非都是如此。有些地方就直接放在卷宗里作为一个证据进行使用，或者说按刘老师书中有一个案例提到，侦查机关会在登录之后把密码给改了，改密码也是为了防止同伙修改。从辩护的角度来说，有一些非常常见的思路，例如非法证据或者瑕疵证据。对此，我想谈一下我的观点，这到底是非法证据还是瑕疵证据？在判断其法律性质时，我们需要对获取的途径追根溯源，而作为远程勘验，它又到底是什么样一种性质的侦查措施？刚才我在台下的时候，和潘老师讨论过。我认为从性质上讲，这种行为就不应该是远程勘验。如果说没有获取用户名和密码的有效途径的情况之下，以一种侵入性的方式进入系统所获取的电子数据，就不应该被定性为一种任意侦查措施，而应该定性为是一种搜查措施。我在2018年的时候就发现了这个问题，专门在《中国刑警学院学报》里面发了一篇小文章，字数不多，12000多字，题目就叫做《论远程搜查措施在侦查程序规范当中的定位》。我刚刚还翻了一下，到现在下载了六百多次，然后被引用了29次，其实数据还可以，这说明我可能发现了一个真问题。从侦查程序规范里面来看，于实体空间之中有搜查予以规范，但是在远程空间里没有类似搜查的措施。这种程序应该被定性为搜查。因为，在所谓的远程勘验过程当中，在没有获取用户名和密码的有效途径情况之下，采取一种嵌入式的方式进入系统，而系统内部其实涉及了公民的财产权、隐私权、通信自由权和通信秘密权等基本权利，而但凡涉及这些基本权利的限制和侵犯，在侦查程序法和刑事程序里面，都应该将其定性为是一种强制性侦查行为。在此基础之上，套用非法证据排除规则。综上，我不认同将其作为一种远程勘验措施予以看待，从辩护的角度来说，就应该选择非法证据的角度去辩护。但是问题在于，我国现行的侦查程序法，没有将其定义为搜查，而只是定义为“勘验”，这仅仅是一种浮于表面的规定，而应该从表象深入到实质判断侦查行为的本性。以上就是我的一些不成熟的简短学习体会，请诸位老师批评指正，谢谢。潘金贵教授：非常感谢梁坤教授精彩的点评。我上周在中国政法大学法律援助研究院参加了一个讲座，讲座题目是电子证据运用的疑难问题分析，实际上我讲的疑难问题分析更多地就像梁坤教授讲的，是从法学角度去思考，我并没有讲太多的技术性问题。对于电子数据问题，如果从法学以及证据学的角度去审视它，会得到很多不同的答案，而且有很多问题就值得进一步地琢磨和研究。刚才梁坤教授讲到的三个问题，第一个是关于完整性的问题，我其实也不赞同梁教授的观点，我认为完整性问题要么是真实性问题，要么是合法性问题，也就是说如果电子数据它不完整，有可能其内容就不真实了，或者有可能不完整就是因为不合法的行为造成的。但并不改变对证据三性的审查。将完整性问题扩大来看，举个例子，从物证、书证乃至证人证言，口供等言词证据，都有一个基本要求，要基本上能够完整展现案件情况，不能掐头去尾，或从中间半路出家。实际上，完整性在所有证据种类的审查过程中都可以有此要求，而不是说电子数据就该单独强调它的完整性，确实是值得探讨的。第二个是关于电子数据的转换问题。电子数据，实际上是个虚拟的东西，看不见、摸不着，必须以某种方式展现出来，但展现出来的证据形式不同，适用的规则可能就不一样了。举个例子，如果要把它认定为转化为书证、物证，那就牵扯到非法证据排除的问题。但是，如果不认为它是物证书证，而仅仅作为电子数据的一种展现方式，那需要大家注意了，因为按照现有的非法证据排除规则，非法电子数据是没办法去适用非法证据排除规则的，严格意义上的非法证据排除规则，在刑事诉讼层面上仅限物证书证，所以说一系列问题就来了，所以说大家可以从法学的角度来思考这样一些问题，所以研究电子证据可以多角度地切入。这是一些所谓的法学上的探讨。那么下面还是有请，来自侦查一线的郭文举队长，请他从实践工作的角度来说，谈一谈怎么样用电子数据来恢复现场的一些经验。郭文举队长：首先非常感谢梁院长和潘教授的邀请，有机会到西南政法大学来交流，有机会听朱教授来讲课。每次来西政收获很多，感觉政法系统的教授学者用语严谨并且法律知识渊博，技术知识也很丰富，最关键一点每个人都很幽默风趣，都是非常优秀的脱口秀演员。每次这点体会特别深刻，今天我谈一下我的几点学习心得。第一个心得，来之前我对“如何用电子数据进行现场恢复”这个话题很是期待，因为恢复现场是整个刑事侦查的追求。每次发生案子以后，不管杀人也好，还是其他什么案子也好，肯定是已发生的状态，需要到现场都是通过各种物证痕迹，分析怎么杀人的，是自杀还是他杀等等情况。但是听完这次讲座以后，我感觉现场这个词用得有点大。现场应该包括很多物证，各种痕迹物证、生物物证、书证都有的，足迹脚印都有的。网络案件也包括很多因素，但一个电子数据只是其中证据的一小部分，无法诠释现场究竟什么情况。但我大概做了一个构想，即电子数据能做什么，如何刻画行为。现场是个名词，行为是个动词，电脑数据绝对是能做到行为刻画的。还有一点就是，电子数据其实是能反映犯罪嫌疑人的心理特征的。例如，有些人打开电脑可能先开机，再打QQ，然后再打开工作文档，不同的人操作顺序不一样的，甚至相同的人在不同状态下也有不同的顺序。但是这些都能反映出一个人的心理特征。第二点心得就是关于电子数据的审查判断标准。补充一下刚刚梁老师的发言，全国最标准、最权威的部门就是电子物证标委会，其中包括高检、司法部、公安部。最初的标准是各个社会鉴定机构还有机关的鉴定都在用。对电子数据或者电子证据的定义，刚开始还有分歧，但现在大家做出了统一。电子证据定义就很广义，具备三个特征，一是具有证据价值和提供线索两个作用的，二是借助电子存储或传输设备，三是电子信息和派生物。电子数据的外延就小一些了，数据那么多，有些作为线索处理，有些当作证据。电子物证就是集中在物上面，因为大部分公安机关送的都是实物，肯定存在介质。可能有些网络案件存在镜像文件，那就是一个电子数据了。第三点心得就是关于完整性校验值的概念之争。梁教授提出是同一性校验值的概念，但我还是尊重之前的完整性校验值这个概念。首先，从文字角度来理解，完整性校验值就是强调证据本身有没有被篡改，同一性就是指两个对象进行比较的时候。比如说，法庭诉讼的时候，检察官、法官、律师和当事人，他们会关心证据有没有被篡改，这只是在讨论它的完整性。如果完整性校验值没有人质疑的话，也就没有必要再做一次重新认定。全国刑侦系统，包括检察院和海关的侦查人员都参加的刑侦能力大比武，在我出题当组长的时候，连续4年我的评分标准之一就是保全备份。在保全备份的时候，一般也不叫镜像，而是保全备份件，但是比武的时候都出的是一个镜像，否则全国六七百个鉴定机构都发送实物也发不起。U盘镜像我们要求先做校验值，校验值分扣得很重的，总分100分这项内容就10分，错了就扣十分了。各地公安机关鉴定的时候，如果是委托镜像，那也是先做校验值，实物是保全备份，备份完了以后也有镜像文件，也有校验值。第四点是有关远程取证的问题。一般现场是不敢断网的，比如犯罪嫌疑人正在远程登录服务器，如果断网了那是不可能再登录进去的。在很多暴恐案件中，有时候爆炸物品到现场的这一段出于防止爆炸的目的就需要断电。但是，首先需要人机分离，做好保护措施。是否断网也需要根据前期案件侦查情况以及现场真实情况综合分析，如果摸排到有可能被人远程控制的话，此时要断网，但大部分应该是没那种情况。所以，肯定要先判断一下，而不能武断决定。有关打印机取证标准，打印机取证标准是我牵头起草的，去年正式发布。打印机取证中有两个情况，一个就是三五百块钱的打印机和一两千块钱的打印机，他们芯片存储的内存不同，里边是二进制还是6进制，提出来也解析不了。另一个就是硬盘存储，但怎么判断现场看到的打印机的芯片存储情况。首先可以直接到购物网站上搜型号，能直接看到其配置清单，再看硬盘存储，分析打印的、扫描的记录，比如传真一页大概是两兆空间，接着算一个硬盘如果200个g，就是几十万个一页的。一般很多打印机没有删除功能，这个数据是很多的，并且还附有相应的可信时间戳。在委托鉴定中，所有委托鉴定出具鉴定文书的数据一定要在委托当天以后生成，否则就会影响证据效力。今天的分享就是这些。潘金贵教授：郭队长从实际操作的角度分享了很多重要的知识，尤其是技术性的知识。我相信对这些对于我们了解电子数据在侦查实践中的运用很有帮助，也相信会对桐辉教授下一步怎么样把这个课讲得更精彩大有启发。一般的证据专家，如果不是从事一线侦查工作的，不是像郭队长这种在一线侦查办案的同志，是不会有这种感受，发现不了上述问题的。我觉得郭队长刚才谈到的一些技术性问题，包括一些法律问题上的思考都非常有见地。就电子数据的完整性，也希望待会朱教授可以做一个回应。在证据刑辩讲堂，我既会请理论的专家，也一定会邀请实务专家参与。否则理论专家有些时候是空对空，只有在面对实际操作的同志，学者才会知道这些相关问题在实践中是什么样的情况，这也才有利于同学既学习理论也能够了解实际的情况。下面就有请张公典大律师从辩方角度谈谈你是怎么样对电子数据有效审查和质证的，大家欢迎。张公典律师：很感谢潘老师的邀请，尤其是刚才潘老师在介绍我的时候，用了大量的溢美之词，我觉得很惭愧。我在今天晚上我们讲座里边是最年轻的嘉宾，资历也最浅，尤其是对于朱教授所讲的主题，说实在话确实以前基本没有太多的接触，所以今天主要是来参加学习。我做了8年的刑辩律师的工作，就我个人的感受来讲，电子数据未来是越来越重要，但是就整体的司法实践来讲，确实还是有一些我觉得比较困惑的地方，在此就这些困惑和我的思考跟大家做一个分享。第一点就是，在庭审当中对于电子数据如何去质证，首先要解决的此证据到底是什么？我的感受是电子数据是多面孔的，有些时候检察官说它是个书证，有些时候就说它是电子数据，用电子数据质证规则的时候，他又说他是书证，你用书证的质证规则的时候，他又说的时候是电子数据，所以又属于电子数据了。总体上来讲，尤其是涉及聊天记录、通话录音的时候，公诉机关举证很多时候他还要把聊天记录和原件展示出来，或者把通话录音当庭播放，还会让公安机关再做一个纸质版的。实际上也是刚才梁老师谈到这个问题，一些聊天记录或者是通话录音的原始的载体，通过传来方式做成纸质版，然后说这是一个书证，实践中有这样的举证方式，我们也遇到过。所以，我觉得在证据种类上，在司法认定当中还是有一些困惑。我个人的理解是，还是要归根到底从它所展现的内容来看，有时候我认为确实存在是竞合，既是书证，又是一个电子数据。第二点就是在司法实践当中，公安检察院法院可能都对电子数据的取证与保管存在一些漠视，尤其是取证和保管过程中存在一些不科学的做法。尤其是我们到检察院或者法院去阅卷，存在保管不规范的问题。例如，律师在阅卷的时候直接接触到电子数据原件，在法院书记员等工作人员不注意的情况下是存在替换或篡改的空间的，到那个时候再去恢复也很难。而且可能从法官和检察官的视角来看，可能一辈子也发现不了这个问题。所以我觉得电子数据的取证和保管还是有一些不科学的地方。第三点是在司法实践中存在辩护律师对于电子数据的阅卷存在介入晚、数量大等困难。例如，我们在检察院去阅卷的时候，有可能知道的时候检察院说这个东西已经要到法院了，火急火燎地去找，打开电脑人傻了，面对的可能是几千张照片，10个g或者20个g的内容，阅卷时间极为有限，还不能复制带回去看，这么多材料也很难抓到重点或疑点，以上是我在阅卷方面的问题。第四点是刚刚才几位嘉宾都谈到完整性的问题。我接触到的案件中也辩论过MD5值统一性的问题。实际上有些案件公安机关做得确实不是很规范，不是在每个环节都会做。我们遇到一个外地的案子很有意思，一个人委托外地公安去取证，外地公安取证了之后就刻到一张光盘里，邮寄回来给重庆公安，重庆公安就自己把一张光盘导到两张光盘里去了，在这个过程当中实际上没有做MD5值的鉴定。到鉴定的时候，鉴定人想起来了，但是已经无法证明二者的同一性了。所以说，我感觉到司法实践中确实存在一些不规范的问题。第五点就是远程勘验。我注意到，有些时候确实存在一个勘验主体的问题，这个还不是个例，我确实发现好多地方的公安机关不是自己做，而是委托给外地公安去做。我们也没搞懂为什么，到底能不能授权委托给其他公安去做是值得思考的。第六点我想谈一点理论上的，就是电子数据的质证跟我们《刑诉法》第五十六条的排非规则怎么去结合的问题。《刑诉法》对非法证据排除的规定，它讲的是物证和书证，没有谈到电子数据的问题。虽然说2016年有电子数据的相关规定，归纳了对于哪几种情况电子数据不能作为定案根据，而且这是两高一部的文件是有法律效力的，但是确实它还存在一个什么问题？毕竟从《刑诉法》的角度上来讲，它确实还没有把电子数据给纳入到排非规定里面去，这个问题到底是如何去解决？就凭两高一部的意见来解决吗？我觉得可能在效力层级上也存在问题。从理论上来探讨的话，是不是“电子数据不能作为定案的根据”与《刑诉法》第五十六条的排非规则，两者是不是还是有些区别？因为我们在《刑诉法》第五十六条关于排非我们是讲物证、书证它严重影响到了司法公正，从这个角度来讲，我个人的理解是可能它更多谈的是一个证据能力的问题，而电子数据的规定，关于电子数据哪几种情况不能作为定案的根据，它主要是基于电子数据的真实性、同一性不能确定的问题，这个可能更多的是从证明力这个角度把它给排除掉的。所以我想两者的出发点可能还是有些区别。第七点感受是，我觉得现在的电子数据给辩护工作带来了特别大的一个挑战。一是控方和辩方在对于电子数据的举证、质证、认识以及专业能力上存在一个巨大差异，尤其是在一些很大型的网络犯罪案件，比如说像快播这一类的案件当中，像这一类的案件，包括很大型的开设赌场、电诈案件（尤其是缅北那些电诈案件）等等，这些案件涉及的电子数据是海量的。从辩护人的角度来想的话，如果让辩护人去用充分的时间去看几十个G的材料，很困难也很不现实。二是辩护人更多是具有法学的专业基础，但是实际上在侦查，尤其是我觉得电子数据可能比较偏侦查技术，辩护人这一块能力是比较欠缺的。这一块能力公安本身它具备，而检察官不具备，但他可以随时去请教鉴定人，去请教公安的专家。对于辩护律师来讲，实际上他就很难。我就想以后如果我们遇到这样的障碍的时候，我觉得就像刚才朱老师后来介绍我们国内的比较专业的几个机构，我们律师也应该从这个角度去思考，遇到自己搞不定的、自己不专业的领域，要善于去向专家去求助，由专家进行一个会诊。最后一点，我从理论上谈一下电子数据的侦查、取证和个人信息保护的问题。因为这个确实是自己的亲身经历。我们在阅卷的时候，我记得很清楚，大概是在2019年的时候有一个网络套路贷的案件，我们当时在法院去阅电子数据，拷过来之后我在电脑上一看有几万张照片，我反正就翻，慢慢看就发现可能其中应该是2/3的内容跟这个案件毫无关系，实际上就是各个被告人的电脑、手机里面的全部数据，公安把它打包了全部给过来，全部都作为电子数据来提交，也不告诉里面哪些是跟这个案子有关系，哪些没关系。反正律师在这几万张照片里边自己去找关联内容，找来找去发现2/3的内容都没关系，而且全部是这些人生活上的一些的个人信息和个人隐私，比如说他跟女朋友的一些亲密照片都有。那么，公安在对电子数据取证的时候，对于公民个人信息的保护也要做考虑，比如案卷里几万张照片但一看都是生活上的无关内容，公安把数据取出来也不进行任何的区分就移送过来，实际上在某种程度上也侵犯了当事人的个人隐私。同时我也很感慨，对于电子数据我觉得质证还不是最困难的，最困难的是检索，一下移过来那么多的证据，也不给分门别类或编个号，就不知道哪些证据是跟这个案子有关系的，导致工作量特别巨大。这是我结合自己工作所谈的一点心得体会，说得不对的请大家批评指正，谢谢。潘金贵教授：好，谢谢年轻的张公典大律师，一位非常优秀的刑辩新秀。张律师结合自身的辩护实践，谈到了对于电子证据有关问题的一些感受。我听了以后也深有同感，因为我实际上在辩护的实践中也经常遇到一些有关电子数据的让人很头疼的问题。但是如果从辩护律师的角度来说，张公典律师刚才谈到的有几点，我有必要提醒一下：第一点，就是关于在司法机关拷贝相关涉及电子数据证据的时候，基于保管原因，如果人家法院、检察院信任性地让你去拷贝相关数据，辩护律师千万不要去动脑筋，当然，我知道张公典律师刚才说的一种情况是一种可能性，就是比如说这个数据我拿了我就把它毁了，我是开句玩笑，但是实际上这个事情大家要注意，这是一个触犯法律的问题，还不是说是他的保管问题，比如说检察官助理、法官助理疏于对你从某种意义上叫对你在拷贝证据过程中的看管或者是监视，让你自己去处理这个问题，一旦动了脑筋，顺手就把数据抹掉了，严格地讲这涉嫌毁灭证据，有可能负刑事责任的。所以说，辩护律师这个脑筋是不能动的。这是第一点，我算是一个善意的提醒，因为我认为辩护人最大的一个忌讳就是帮助当事人毁灭证据。在证据问题上千万不要去动脑筋，以我多年之经验，技术问题怎么说都可以，但你要在证据上动脑筋，你看为什么说很多辩护人因为妨害作证，就是让辩护人、诉讼代理人妨碍作证罪被抓了，就是因为证据发生了改变。这是第一点我要善意提醒的。第二点，张公典律师刚才讲的里面有一点是辩护律师要重视的，就是我们在进行电子数据的审查和质证的时候，我们都不是技术专家，所以说要更多地借助于所谓的专家辅助人制度。举个例子，就像刚才几位专家也谈到了一个问题，电子数据仅仅是证据之一，综合全案证据进行分析、审查的时候，现在电子数据的审查判断相关司法解释非常强调综合认定，不能仅凭电子数据就认定案件事实。那么，如果在综合其他证据对这个案件的事实认定产生疑问的时候，一定要借助技术专家的力量，比如说通过申请鉴定，通过申请专家辅助人出庭这样一些方式，来帮助辩护人来对电子数据进行审查和质证。这个是大家在辩护实践中一定要注意的。在刚才在我作为主持人穿插了我个人的一些看法，以及几位专家，包括理论专家和实务专家都谈到关于电子数据的情况下，有一些问题我觉得还可以继续探讨。因此我们想请朱我们的朱桐辉教授做一个简要的回应。需要说明一下，以前我们证据刑辩讲堂本来有一个师生互动的环节，同学们一般会给老师提两三个问题进行现场的互动，但是因为今天这个时间关系，师生的互动环节我们就省略了，然后主要由朱桐辉教授针对几位与谈嘉宾谈到的一些问题做一个回应，大家欢迎。朱桐辉教授：第一方面，电子数据的多面孔。张公典律师说的其实是个多面孔问题，这个问题就好办，如果说是物证书证，就按物证书证来质证。但问题是如果说是电子数据的时候，你得具备对电子数据的质证能力，你得知道什么是同一性校验值，什么是MD5值，什么叫备份，怎么去通过创建、修改、访问的时间来发现有修改的地方。所以，我觉得这个地方你不能怪别人，当然，这个问题很好，他是控方，你是辩方，他一定要想办法让你不舒服，你要兵来将挡、水来土掩，你要具备对电子证据质证的能力，要么借助专家，要么借助跟网警的学习。第二方面，电子数据的保管规范。这个方面最重要的问题是，如果说有修改了，我可以用MD5值检验很快能发现。再一个，尽量也不要去修改，因为修改也会留下痕迹，这也是我今天要重点讲的一个内容。修改会留下痕迹，并且删除的数据还能恢复，法院案卷也是有备份的，删了这个地方的别的地方还有，所以尽量不要干这事，我就呼应刚才潘老师所讲的。第三方面，关于阅卷不容易。海量阅卷，辩护律师也要相应地聚焦式阅卷，要善于找焦点问题解决。在此过程中需要有一些技巧，例如刘老师在某一个非常有名的案件，40多个被告的案件里面，采取的方法就是对word文档的时间属性进行审查，结果发现那些word文档全部是关于强制措施的，什么时候逮捕、什么时候搜查、什么时候取保候审，这些文书全部是一夜之间做出来的，而且是晚上做出来的，这个案件不就是假案吗？这就是有的时候不要用死办法，要找巧方法，使用巧方法进行海量阅卷。关于阅卷，现在有自动化的方法。因为如果是电子卷宗，可以用自动化的方式来阅卷，很多机构也在研发，欲提供怎么让检察官快速阅卷的方法，律师其实一样也能用。第四方面，电子数据的排除规则。当前非法证据排除规则是针对传统证据，电子数据排除规则更多的是需适用传统证据规则里面，也有不具备真实性而被不予采信的。就排除规则，包括非法证据排除和其他例如不具关联性，不具真实性证据的排除。而在电子数据领域里面，最主要是非真实证据的排除，不真实的、真实性难以保障的、增删改的就要排除。但同时电子数据规则里面也有合法性排除规则，但是合法性排除规则是附条件排除，如果有瑕疵但能对瑕疵做补正或者做合理解释，就是不排除的，如果不能做出也是要排除的，所以电子数据规则里面其实是有排除规则的存在空间。其中有一条关于附条件排除，其实就是非法证据排除规则，只不过是附条件的。另外一方面，实际上最高法院的2021年司法解释里面也涉及这个问题，所以它的效力层级也很高了。所以现在只能说非法电子数据没有非常纯正的直接排除的规则，但是有附条件的，即不能给予补正和合理解释的排除。第五方面，个人信息保护。这确实是一个值得注意的问题，但这个问题涉及梁坤教授所关心的一个问题，如果把电子数据的勘验、取证，包括后面的网络技术侦查，理解为是一种搜查，那么搜查和技术侦查都是要有令状的，有令状的话，它是有严格的控制范围的，那么控制范围就可以通过令状来实现。我国的搜查的控制范围要明确规范一点，搜查证要写范围，但勘验没有的话，那就要更差一点。所以，这里面回到我们的第一个问题，就是梁坤教授讲的，就是电子数据的勘验如果是侵入式的，那么其实它应当归入技术侦查，但是依然把它叫做没有账号密码的勘验，这实际上是有问题的。那么现在有两条途径，就是把勘验要么归入搜查，还有网络取证都归入搜查，用令状来控制，这是梁老师提出的观点，也是非常正确的。另外一个是把所有的勘验中如果是黑进去的，是侵入式的，那么应该归入技术侦查，我国现在技术侦查的审批层级和搜查的层级是一样的，甚至技术侦查层级更高，是市级以上的公安机关局长审批才可以。所以，如果归入技术侦查是更好的。但问题是，更多的勘验虽名为勘验，实际上是搜查，是用技术手段，这个问题如果要规制的话，其实就要彻底把勘验给拿掉，因为勘验的话就应该归入到搜查或者技术侦查中。当初为什么把它叫勘验，是因为最早是有现场勘验，网络案件可以很便利地把所有涉及的场合都理解为现场，所以就扩大了勘验这个措施。这个措施目的是降低审批层级，为侦查提供了方便，也一直没纠正。因此当时龙老师提出2016电子数据规定要立即停止，龙老师主要是认为这违反令状规则，架空了《刑诉法》，在法学里面这是违宪的。第六方面，梁坤教授说到“不能忘记传统的学术”，这非常重要。我补充一点，电子数据审查的时候不要老想着区块链、哈希值这些技术性东西，其实电子数据很多情况下是通过传统方法中的言词证据，还有电子数据和言词证据的结合，这个很重要。很多时候怎么确定网络身份，两个原被告都在时，根据他手机上写那个号码，打电话过去验证就是原被告双方的；然后，该号码所绑定的微信号，微信也能显示绑定的手机号，那网络身份得以验证，你再怎么辩解也无效，法官直接知道了，这也是一种传统方法。还有，有一个人否认此微信是他的，然后法官就找了他的6个高中同学，6个同学纷纷指证这个头像以及微信号就是他的。这种传统方法是很有效的。那么传统的DNA检查鉴定，也可以用电子数据的介质鉴定。第七方面，有关打印机取证规范。第一，郭队长说的时间戳用法就是正确的时间戳用法，能证明确实接受了鉴定，而不是紧急情况加完班，然后再写鉴定请求。第二，断电和断网，我指的是相对于断电而言，不要轻易断电，断网偶尔可以用。总之，原理是相通的，具体情况具体分析，尤其要注意，不能轻易断电；当然，断网有一个问题，即容易打草惊蛇，所以要慎重使用，这是郭队长说的问题。第八方面，电子数据的电子物证现在用的很少，如果是有原始介质时候才用。所以，区分起来难度不大，当然刚开始确实把电子证据理解为一个物证，此角度来看，如果把信息理解为是物质的话，那么其实是最准确的。但现在来说理解为数码证据，或者说郭队总结的只要是数字化方式生成、存储、传输的信息，就是电子数据，我觉得这些点就足够。其次，郭队长说的现场问题，我要说明一点，我这里说的是通过电子数据恢复电子现场，是指通过这个人在网络上的行为，例如高老师的案子是最典型的电子数据现场恢复，然后刘品新教授案子，通过检索词恢复出平台当年是怎么监管的，也算一种电子线上恢复，我主要是讲这个。电子数据和其他证据结合起来进行现场恢复，实际案例也非常多，我的课程后面也有线上证据和线下证据结合，比如人住在医院，但怎么他的淘宝账户显示所在手机还在移动，就说明不是他。实际上，我后面的课件也有专门讲，要注意电子数据和传统证据的结合，尤其不能忽略传统证据，就是物证、书证、言词证据这些。再一个是通过电子数据了解犯罪嫌疑人的心理特征。聊天记录以及被删除甚至是未发送的记录也可以体现一个人的心理活动，总结其心理特征。例如，有一个人说他在高铁上看到旁边的人给一个女生发微信，一路上四个小时，无数次打了一段话，但无数次删掉，始终没有发出去，这就是他的心理。他对这个女性一定是想表达爱慕，或者想表达歉意等等，但是又觉得机会不合适等等。所以，通过电子数据了解心理特征，也是恢复现场的一种方式。第九方面，回到讨论的最终问题，即电子数据的完整性问题，证据的完整性一定要增加。传统证据里面，如果是物证、书证一定要增加完整性，这是没问题的。仅有传统三性是不够的，一定要再加个完整性。有的案件里面，看着好像在骗别人给发红包，好像骗别人钱了，但再把整个聊天记录都看完，发现他们真就是在谈恋爱，这个女的就是喜欢这个男的，就是迷他，就不能认定是一种诈骗，完整性也很重要。电子数据法里面的电子数据完整性校验值对hash这个词的翻译是错误的，因为hash是两个证据比对时用，两个证据比对的时候就是看是不是同一。所以，这就和郭队长说的一样，两个证据来比对就是同一性。我跟梁坤教授观点是一样的，更赞成同一性的说法。其实司法解释中电子数据完整性校验值的准确翻译，汉语就是“电子数据同一性校验值”。我们不是说它本身的完整性，如果表达出来它是完好的，没有增删改的，那我同意可以把它叫完好性或者完整性，但是它用到整个证据语言里面就会跟普通证据法里面表达的完整性就相混了，反而没有强调哈希值本身想表达的用来验证的两个证据是否一致，所以应该叫同一性校验，我觉得这么翻译更为准确，用“完整性校验值”不能完全表达。但是这误打正撞对于传统证据的三性提出应该增加一个完整性更好一点。当然，也可以从属在真实性之下，不仅要真实而且要完整，真实客观是指不仅要好，而且要全面的好，要完整的好，我觉得也是可以表达的。但是最好加一个完整性，因为在实践中可以提醒法官、检察官去看更多的证据。最后，我觉得电子数据里面应该增加一个科学性。就是电子数据取证和审查的时候，要特别注意科学规范。最后，有关电子数据的关联性审查，我和吴国章主任文章中的观点一致，要求线下证据和线上证据一起审，还有常识常情常理一起审。我就对问题回应到这里。潘金贵教授：非常感谢朱桐辉教授所做的回应，证据法学研究中心组织专业角度的专题式讲座，就是希望同学们包括一线的办案的同志们，能够加强对电子证据的学习了解，我们虽然没有办法成为电子技术专家，但是作为法律人应该了解电子证据的基本知识，这就是本中心的初衷所在。以后西南政法大学的证据法学研究中心的证据刑辩讲堂将会更多地采取专题式讲座的方式，不仅仅是电子证据，包括其他的物证、书证、口供等等，每一个专题都会有两三个专家连续地进行讲授，加深大家对它们的认识和了解，这比散打式的讲座更有意义。也希望同学们、老师们，包括线上的朋友们，继续关注支持西南政法大学证据法学研究中心，也希望各位朋友能够更多地、积极地参与到证据法学的研究之中来。今天的讲座就到此结束，我们再次以热烈的掌声感谢朱桐辉教授。

原载：证据与刑辩论坛，转载自公众号：刑辩书院，转载仅用于学习交流，特次致谢！