本次分享的主题是《电子数据鉴定意见的质证要点》,以下分享将主要结合实践经验,探讨电子数据鉴定及鉴定过程中存在的问题,并由此出发,分析电子数据鉴定的质证要点。
一、“三位一体”的质证方式与基本概念的厘清
对于电子数据鉴定意见的质证,首当其冲需要建立一个正确的方法论,其中,最易忽视却最为重要的便是“三位一体”的质证方法。所谓“三位一体”是指,对于电子数据鉴定意见的质证,应当结合电子数据本身、电子数据的取得过程、电子数据的鉴定三个方面进行综合审查与质证。其原因在于,电子数据鉴定系以电子数据为对象的专门性问题的分析,因此,电子数据本身以及电子数据取得过程的客观性与合法性成为了电子数据鉴定的基础。故而,不应孤立看待电子数据和电子数据鉴定,在进行质证时,不应局限于鉴定意见本身。概言之,对于辩护人或者律师而言,在审查鉴定意见时,应以同等的方式和标准去分析电子数据及其取证过程,以此挖掘更有有效的质证要点。
具体到实践中,在进行鉴定意见审查时,需要首先审查检材的来源,即电子数据取得的过程,其中可能涉及提取、勘验以及检查,通常会相应体现为电子数据提取笔录、远程勘验笔录、电子数据检查笔录、在线提取笔录等等。而实践中,这类笔录的内容往往存在大量的错误和混同,因此,在具体展开讨论前,有必要先厘清电子数据的提取、勘验及检查。
第一,电子数据的提取。电子数据的提取包含两种方式。其一,改变电子数据储存介质的提取;其二,跨介质的电子数据提取,即将电子数据从原始储存介质之中迁移到其他的储存介质进行备份,包括网络在线提取。需要注意的是,网络在线提取时,电子数据的可靠性和真实性往往存在较大变化,因此质证过程中应予关注。
第二,电子数据的勘验。与提取及检查不同,勘验本身是对取证过程的记录,所形成的载体系对于侦查人员客观所见的痕迹信息进行记载的勘验笔录。故,勘验的本质作用在于通过重现勘验的流程、方式和方法,以验证所取得证据的客观、合法。因而,一项有效的勘验应当具备可重现性,而可重现性便是质证过程中的关键要点。
第三,电子数据的检查。电子数据的检查的核心要义是对于电子数据的一个分析,该分析在实践中也存在诸多问题,下文中将展开论述。
二、电子数据在线提取的质证要点
第一,完整性校验值的一致性问题。电子数据的在线提取的质证涉及电子数据的真实性和完整性,在线提取的过程尤甚。因此,在电子数据的提取过程中,往往通过完整性校验值来确保数据的完整与真实。一般情况下,完整性校验值会被记录于提取笔录,因此,一个惯常的质证思路便是比对提取笔录中所记载的内容与卷宗中所附的电子数据完整性校验值是否一致,若不一致,则需要提出,进而着重审查电子数据是否发生过修改,这也是通常完整性校验值的质证应用。而为比较完整性校验值的一致性,在审查电子数据时,若必要,也可直接计算卷宗所附电子数据的完整性校验值,以进行比对。事实上,实践中,出于各种各样的原因,存在着许多计算所得的完整性校验值与电子数据提取笔录中所记录的完整性校验值不一致的情形,而这是进行质证时,核心的质疑电子数据真实性的要点。
举例说明,在徐某某涉嫌诈骗罪一案中,公安机关进行了涉案债券的提取,而在公安机关出具的电子数据在线提取的工作记录中,其提取的内容系以截图形式呈现。基于这一情况,我们在审查起诉阶段向检察院提出质疑,认为其提取形式不规范,并非原始数据。为此,公安机关到阿里云进行二次提取,然而,待我们再次核验时发现,公安机关提取过程中记录的完整性校验值与我们针对卷宗中光盘里的数据所计算的完整性校验值不一致,进而提出重新调取证据。此时,我们发现由于侦查机关在取证过程之中操作不规范,没有对相应的数据进行及时冻结和保存,以至于阿里云根据自身处理规则,在账户未续费的时候将相关数据自动散失了,导致本案中所在案的数据真实性存疑,既造成完整性校验值不一致,同时也没有对数据进行核对。基于上述情况,我们提出质疑,法院最终亦未按照此电子数据来进行认定,这是我们提出的一个质证方案。
第二,电子数据的文件修改时间不一致的问题。事实上,电子数据背后的修改日志,以及流转过程,是可以通过文件属性进行有效查看,其中包括修改时间。而若存在电子数据文件中所显示的修改时间与其提取笔录的时间不符的情况时,甚至修改时间晚于提取笔录所记载的时间,则有理由怀疑案卷中的电子数据与原来提取的电子数据不一致,而这同样是一个关键的质证要点。
第三,电子数据在线提取的口令来源问题。除了上述对比时间与内容以进行质证外,对于远程在线提取证据,应核查在线提取的访问权和口令的来源,是否使用电子数据持有人或网络服务提供者提供的数据(访问口令、ID),不应以公安机关自身的账号进行访问。其根本原因在于应确保公安机关所保存下的数据系涉案当事人可能访问的数据。
三、电子数据远程勘验的质证要点
第一,电子数据远程勘验的可重现性问题。如上所述,对于电子数据远程勘验的质证,最重要的便是审查勘验是否能重现,也即是否还可通过远程勘验工作记录所载的方式方法,得出相应的电子数据。实践中,许多远程勘验是以OA记录的,通常会以截屏这个方式作为远程勘验展示一种手段,此时便可通过打开相关页面以审查该远程勘验的可重现性。
第二,电子数据远程勘验的方式合法性问题。在电子数据远程勘验的过程中,经常会涉及通过技术手段进行勘验的,此时,应当审查该技术手段是否经过了相应的批准手续,若无,则该远程勘验证据的合法性存疑。
举例说明,在李某某被判盗窃罪二审案件中,为了证明涉案当时涉案的虚拟币在某境外交易所的交易价格,公安机关出具了一份远程勘验工作记录,还委托其他机关出具了一份所谓的数字货币最终报告。在审查上述证据材料时,我们按照其远程勘验笔录的方式,在一模一样的环境下,用同样的浏览器访问其所指定的网站,出现了两种情况:一种是网站出现404错误,根本不能打开;另一种是访问的网站虽然能打开,但是经过人机验证后跳转后跳转至某境外区块链博彩网站。我们对相应的核验过程进行了记录,并且以录屏的方式提供给法院以质疑这份检验的真实性、合法性和有效性。我们向法院提出:远程勘验及追踪报告中相关的信息是来自于被国家网络安全防火墙所屏蔽的网站或明显的非法网站。对于防火墙屏蔽的网站是需要通过翻墙的方式进行访问的,而相应的远程勘验工作记录中并未没有相关翻墙的记录,因此,我们认为上述勘验方式是一种技术侦查的方式所进行的相应的远程勘验,而根据法律规定,若采取技术侦查措施进行远程勘验,必须要有相应的批准手段,显然本案中并不存在相应的审批,故而相应远程勘验的合法性存疑。
四、电子数据检查的质证
电子数据检查的质证多发于侵犯公民个人信息的案件。在此类案件中,辩护律师所取得的电子数据多为Excel表单,其往往有多达几十万甚至是上百万条电子数据。同时,案卷中会附带一份电子数据检查记录,以表明经过公安机关的检查,涉案的电子数据中有多少条属于个人信息。对于这类证据的质证,辩护律师容易受限于技术手段,因此,应借助相应的技术手段,寻找专家的支持,寻找专门的数据分析插件和工具,进行数据分析,以验证侦查机关的分析方式的真实性、准确性,进而质疑其检查方法的有效性,在此不作赘述。
五、电子数据鉴定意见的质证
对电子数据鉴定意见进行质证,需先了解电子数据鉴定意见的类型,类别这一基础性问题影响着对于鉴定意见后续的质证。依据2020年《声像资料司法鉴定执业分类规定》电子数据鉴定包括:存在性鉴定、真实性鉴定、功能性鉴定和相似性鉴定。也即,电子数据鉴定的鉴定资质是依附于声像资料司法鉴定执业分类下的资质,即除了这四种鉴定门类,凭借电子数据鉴定的资质,不能够做出其他类别的鉴定。而实践之中普遍存在不断套用电子数据鉴定资质做出其他专门性鉴定的问题,这是进行电子数据鉴定意见质证时应当予以注意的。
第一,对于电子数据的存在性鉴定。存在性鉴定大多是以恢复数据为目的所进行的鉴定。目前,实践之中尚未遇到存在性鉴定相关的实际案例,因此不过多展开。实际上,通俗而言,存在性鉴定本身就是数据被删除后的复原工作,生活中非常常见,但是问题不多。
第二,对于电子数据的真实性鉴定。真实性鉴定主要的领域是一些电子邮件、电子文档修改情况的鉴定,更多应用于民商事诉讼,刑事诉讼中应用的较少。对于司法机关而言,一般性的电子数据固定提取当然的要求电子数据是真实的,而主动提起进行真实性鉴定的多为辩护律师。然而,实践中同意进行真实性的鉴定的情形相对较少,故而,刑事辩护的角度,真实性鉴定在刑事诉讼中的应用并不多。对于后面的两类鉴定,司法实践中存在的问题较大。
第三,对于电子数据的功能性鉴定。依据《声像资料司法鉴定执业分类规定》第二十条的规定,电子数据的功能性鉴定包括了对于软件、电子设备、计算机信息系统和破坏性程序的功能性鉴定。需要强调的是,电子数据功能性鉴定的资质所限定的鉴定对象是电子数据本身,通常鉴定的是计算机软件的代码。而计算机软件代码非具有专门知识的人是无法读懂或理解的,因而,电子数据功能性鉴定的核心是一个翻译的过程,将电子数据的代码功能翻译为一般理性人能够理解的功能步骤和流程图。然而,实践中存在许多以功能性鉴定为噱头,直接作为得出相应结论的依据,例如:经鉴定该程序具有侵入或者非法控制计算机系统功能,经鉴定该程序属于破坏性程序。这类结论是明显的无资质的鉴定错误。若需要得出上述结论,则需要通过计算机软件、计算机信息系统程序的破坏性或者危害性的鉴定,此类鉴定为计算机司法鉴定,而并非电子数据鉴定。
换言之,电子数据鉴定属于四大类鉴定之一,也即通用鉴定。然而,对于特定的专门性问题,如某一程序是否具有侵入的或者是破坏计算机信息系统的功能,必须要有专门性鉴定,包括计算机司法鉴定,这便是电子数据鉴定与计算机司法鉴定之间的区别。目前,由于计算机司法鉴定的专业性程度要求,具有计算机司法鉴定资质的鉴定机构,全国仅23家。而能够做电子数据鉴定的鉴定机构,实际上只要具备声像资料司法鉴定的资质即可,相应具有资质的鉴定机构数量较多。因此,事实上,电子数据功能性鉴定本质上是对程序功能的描述,表现形式为记录相应程序代码的工程、流程,完完整整描述了这个程序代码的工程、流程,而并非对功能的定性。所有带有定性的电子数据功能鉴定,都是超越其鉴定资质的,该点应当在质证过程中进行强调。同样,在计算机网络犯罪司法解释里面也明确规定了,对于电子数据的功能是否具有侵入性、破坏性有争议的,要通过省级以上网安主管部门进行检验,检验或进行计算机司法鉴定。显然,单一功能性鉴定是不可以取代对于功能是否具有侵入性和破坏性的鉴定,因其所涉及的内容更为复杂。
举例说明:在翁某某涉嫌提供侵入、非法控制计算机信息系统程序、工具罪一案中,涉及一款外挂软件的功能认定问题。对于该外挂软件公安机关进行了非常规范的电子数据鉴定,鉴定意见之中载明了相应外挂的运作流程。司法机关将该电子数据鉴定作为认定涉案软件具有侵入性的依据。对此,在辩护过程中我们提出重现鉴定申请,我们认为,该电子数据功能性鉴定仅仅是对软件运作过程的描述,而该运作是否属于计算机司法领域中“侵入”的认定,需要进行额外独立的鉴定。在我们提出上述观点后,考虑到案件其他的因素,司法机关并未进行额外的鉴定,而是以折中的方式,对当事人判处了缓刑。因而,对于电子数据功能性鉴定,应当重视其结论或其是否成为了软件具有“侵入性”“破坏性”的依据,不能让电子数据的通用性鉴定替代专门性鉴定。
第四,对于电子数据的相似性鉴定。电子数据的相似性鉴定与功能性鉴定在质证思路上是类似的。依据《声像资料司法鉴定执业分类规定》,电子数据的相似性鉴定包括对于软件、代码、数据库、电子文档等相似程度的鉴定,对集成电路、工程设计的相似程度的鉴定。通常,电子数据的相似性鉴定适用于计算机软件著作权侵权的案件中。而与前述一样,实践之中普遍存在以相似性鉴定来替代知识产权著作权鉴定的问题。相似性鉴定的检材通常为需要进行比较的两份电子数据,而所比较的是电子数据之间的文本相似性,无法直接用以判断软件的相似性。电子数据相似性鉴定仅仅是数据文本之间的比较,并非两个计算机软件之间的比较,其可以作为参考,但不能作为依据。而许多鉴定机构越俎代庖,以数据的相似性鉴定资质去进行计算机软件代码是否实质相似的判断。类似于论文查重,其所检查的仅仅是相关代码本身的重复率。
事实上,电子数据鉴定在判断计算机软件相似性中是具有一定作用的,在检材及范围合适的情况下,如果电子数据相似性鉴定中得出出两个代码的电子数据的文本本身在电子数据层面就已经实质相似,那可能并不需要再进行更加专业的著作权侵权实质相似的鉴定,如果鉴定不出实质相似,则有必要进一步鉴定。在这过程中,检材的比对就非常重要了。
举例说明,在张某某涉嫌侵犯著作权案中,涉案外挂的部分制作原理是利用反编译技术完成,故存在套用原有的软件代码的情况。然而,外挂是一个载量非常小的程序,如果将它的程序的代码字段与源程序的特定字段进行比较,相似程度是极高的。但若与整个源代码进行比较,则相似程度微乎其微。类似于在写论文时,某一段话完全是从某一本书上复制粘贴过来的,作为这本书的引用,但并不能依据我们对书本中某一内容的应用认定完全抄袭该书。因而,此时需要进一步确认什么样的行为构成复制、发行,需要判断比对的检材是整个源程序还是片段的代码。一般而言,片段代码的相似性是无法构成侵犯知识产权的复制、发行。也因此,电子数据相似性鉴定的鉴定过程、检材选取和比对方案是质证过程同样需要引起重视的。
综上所述,对于电子数据的鉴定,作为辩护人需要真正走入电子数据中,鉴定只是一种参考性的意见,整个的提取过程是它的辅助性文件。对于电子数据鉴定的审查,核心永远是电子数据本身。结合相应的规范,我们应尽可能重现鉴定、检验和分析的过程,进而实现对电子数据和相关的附带文件以及结论性鉴定意见的有效质证。
(注:本文系陈沛文于首届刑事辩护专业化论坛暨第100期尚权刑辩沙龙的发言实录,分享以供参考。)
发表评论