论计算机搜查的法律规制（上）

　　内容提要: 计算机搜查是当前司法实践中一种全新的取证措施，在世界范围内得到了日益广泛的运用，同时也引发了一系列的法律障碍。本文从计算机搜查的基本含义切入，采取比较研究的方法，指出我国实务中计算机搜查应当实现由“一步式”向“两步式”的根本性转变。在此基础上，本文阐述了我国的计算机搜查在应否申请令状、如何确定搜查范围以及维护案外人的合法权益、借助第三方的协助等方面遭遇的法律问题，并深入地论证了亟待确立的有关法律规则。

　　一、问题的提出

　　2005年，广西柳州警方接到轶新公司报案称，该公司的软件被杰威特公司盗版并销售，造成重大的经济损失。经查明，该案犯罪嫌疑人是曾与轶新公司签订技术开发合同的博士生赵某。他利用在该公司任职掌握重要商业秘密的便利，与他人合伙成立了杰威特公司，先后四次将该公司委托其开发及升级的软件源代码私自复制，并将其中的两套软件稍做修改与更名，然后以杰威特公司的名义在国家版权局进行版权登记，在国内市场上公开销售。

　　该案的核心证据是计算机软件源代码，取证的专业技术性很强。警方经过反复商量，聘请一位计算机专家协助制定了周密细致的取证方案。行动开始，警方在一家咖啡店里先将赵某控制住，并带着赵某迅速赶往杰威特公司，以防止其同伙毁灭罪证。到该公司后，侦查人员立即切断了外部网线，同时命令所有工作人员立即离开座位，然后让赵某坐到他的电脑前面，开机并按照技术专家的指令进行操作。20分钟后，技术专家找到了署名“杰威特公司”的软件源代码，侦查人员松了一口气。按照取证要求，侦查人员让赵某自行将电脑中的硬盘拆卸后封存，同时对拆卸、贴封等取证过程进行全程摄像。经过10个多小时不间断的搜查，侦查人员在杰威特公司一共扣押了三台笔记本电脑和八块计算机硬盘，后送到有关部门进行鉴定。①

　　毫无疑问，本案中警方顺利的开展计算机搜查取得成效，是成功破案的关键。这只是我国有关计算机搜查的一个普通案例。在当前的侦查实践中，计算机搜查已经得到了越来越广泛的运用，并往往能够产生重大的积极效果。有关的法律争议随之而来：什么是合理合法的计算机搜查？计算机搜查的起止时间、限定范围与基本流程分别是什么？以及它们与现行法律的冲突如何协调？等等。这些成为几年来计算机取证技术与法律峰会的热议话题，更是我国有关主管机关制定计算机取证规则所必需化解的难题。考虑到美国在这一方面处于世界的前沿，本文尝试着以美国为参照，进行一番比较法的研究。

　　二、计算机搜查的含义

　　在当今世界各国，传统意义上的搜查都是一种颇具强制力度的侦查措施。许多国家不仅在刑事诉讼法等法律中加以规范，而且在宪法或宪法性判例中予以调整。例如，我国宪法第37条规定：“……禁止非法搜查公民的身体。”第39条规定：“中华人民共和国公民的住所不受侵犯。禁止非法搜查或者非法侵入公民的住所。”美国《宪法》第四修正案规定，任何人的人身、住所、文件和财产不得被无故搜查和扣押。这里所说的搜查，指的就是对住所、人身等封闭场所的搜查。在我国，具体是指公安机关、国家安全机关、人民检察院的侦查人员为了收集犯罪证据、查获犯罪嫌疑人，依法对犯罪嫌疑人及可能隐藏犯罪嫌疑人或者犯罪证据的人的身体、物品、住处和其他有关场所进行搜索与检查的一种证据调查手段。②由于传统搜查直接影响到公民的人身权利和财产权利，故不难理解各国法律为什么普遍确立了以令状主义和预先审查为核心的程序保障制度。

　　而谈及计算机搜查，目前理论界与实务界并没有趋于统一的界定。从字面上看，它们就是对计算机硬盘与其他电子存储介质的搜查。显然，这种新型的搜查并不针对自然人可进入的物理空间。如果说传统搜查一般表现为侦查人员持证“闯入”某个封闭的场所，“检查”并“带走”某些涉案的物品，那么计算机搜查则完全是另一回事。简单地说，计算机搜查属于计算机法科学的重要组成部分，需要由技术专家来实施，他们将嫌疑人的计算机硬盘等存储介质中的数据复制下来，拿到实验室中分析检验，然后将所发现的涉案数据再复制留存。这一过程短则几天、长则几个月，且始终离不开专家与专门的软件。不难看出，计算机搜查在很大程度上是借喻于传统搜查，这两者的共同之处在于以发现和获取隐匿于封闭场所的犯罪信息为目的。

　　毫无疑问，这两者之间的区别是本质上的、显著性的。美国学者克尔概括如下：③（1）搜查的环境不同。前者针对的是住所之类的物理区域，侦查人员要通过“门窗”进入，从一个“房间”走到另一个“房间”，打开一个又一个的抽屉或盒子，搜索与察看各种物品，并取走一些有价值的东西；后者针对的是诸如硬盘、软盘、U盘和ZIP盘之类的数据存储介质，侦查人员不可能破“门”而入，也不可能直接观察那些表现为“0”和“1”代码组合的数据，更不可能从物理意义上移走任何东西，他只能是输入指令操作计算机以解读其中的信息。我国还有学者干脆将传统搜查称为对现实空间的搜查，将计算机搜查归为对虚拟空间的搜查。④（2）搜查的地点不同。前者常常发生在犯罪嫌疑人的住所等，而后者应当远离犯罪嫌疑人的住所或计算机进行。司法实践中为防止原始电子数据的完整性遭到破坏，技术专家总是先要建立完全的镜像复制，⑤将电子数据从原先的存储介质中拷贝到新介质中，变成只读文件；然后，专家们对新制成的介质进行多方位检验分析；也就是说，实际的“计算机搜查”是在侦查机关的计算机系统而非犯罪嫌疑人的计算机系统中完成的。（3）搜查的信息量不同。住所等区域可以放置犯罪嫌疑人的各种实物，但容量毕竟是有限的，犯罪嫌疑人也比较容易控制或销毁涉案物品，因而传统搜查在正常情况下只涉及有限的场所、实物；而计算机硬盘等存储的信息却是海量的，甚至有很大一部分是犯罪嫌疑人不知情或无法控制的（如已经被犯罪嫌疑人删除的部分信息），因而计算机搜查相当于对一座巨型信息库的搜索。（4）搜查的机制不同。前者只涉及物理空间，通常只需要组成一个搜查小组，按照搜查证的范围开展集中式的大搜索；而后者既涉及物理空间也涉及虚拟空间（或逻辑空间），其中对虚拟空间的搜索通常需要交由少数人员来完成，当然需要花更多的时间。按照美国联邦调查局地方计算机法科学实验项目的前主任马克·波利特的说法，计算机搜查的时间取决于专家检验硬盘等介质的时间，假如案件重要或证据复杂，技术专家检索一块硬盘可能要耗费几个星期或几个月的时间，假如案件不重要或证据简单，兴许只需花费专家的几个小时。

　　一种错误的司法观念认为，计算机搜查就是由侦查人员“浏览”计算机并从中提取信息。这不过是一种简单思维。在前述案件中，办案人员的取证从效果上看获得了成功，但仍存在诸多值得商榷之处，如取证时命令犯罪嫌疑人自己操作电脑、直接在犯罪嫌疑人的计算机系统中着手检验等。而且从性质上，它看仍然属于传统搜查，并没有展示真正计算机搜查的任何魅力。如何将传统的搜查切实地升级换代，并在此基础上建规立制，将是新时代的法律命题。

　　三、计算机搜查的程序

　　司法实践中，传统搜查已经形成了基本的程序：侦查人员通常要手持搜查证，强行进入某一个空间，搜索到有关的犯罪物品，妥善扣押之后离开。而对于计算机搜查应该怎么做，理论界众说纷纭，实务中则有不同的探索。美国司法部联邦调查局将之总结为四种可供选择的方案，用作参考：（1）在现场直接搜查计算机，查找到具体电子文件打印成复制件予以保存；（2）在现场直接搜查计算机，查找到具体电子文件后进行电子复制予以保存；（3）在现场对计算机硬盘等存储介质进行完全复制，而后进行现场外检验；（4）在现场扣押计算机硬盘等存储介质，完全取走进行现场外检验。⑥

　　相比而言，以上程式各有优劣。第一种方案最为快捷和简便，任何略懂计算机基本知识的警察都能做得到，同时它对网络空间所造成的负面影响也最小，如从电子商务网络中打印电子文件不会影响商务活动的进行；不过，这一方案会损失大量有证据意义的电子信息，包括电子文件的日期、时间戳、路径、历史、添注等元数据。第二种方案比较简单和便捷，也获取到了元数据，不过受限于现场搜查的时间，要做到不遗漏任何电子文件是不可能的，而且现场开机分析与复制容易改变电子文件的时间属性等信息；⑦第三种方案克服了前两者的局限性，一方面完全复制涵盖对存储介质中元数据、系统文件与被删除文件等所有数据的复制，能保证原始数据的完整性，另一方面复制的方法是比特级的镜像复制，能确保原始数据的每个比特都被精确复制下来。不过，由于第三种方案耗时较长，而且将原始介质和电子数据留在了现场，只是在复制件上进行了检验，所以也不为实务人员所认同。第四种方案既扣押了原始介质，又建立了精确的镜像复制，事后只在复制件上离线分析，并以原件加以验证，因而最能为司法人员和技术专家所接受，被称为“最佳选择”。⑧在当前欧美各国的司法实践中，第四种方案已经取得了普遍适用的地位。

　　有学者将传统搜查称为“一步式”，将计算机搜查的第四种方案——“最佳选择”归为“两步式”⑨：第一步是传统搜查，即由侦查人员进入某个空间，进行物理搜查，扣押涉案的计算机硬盘等介质；第二步才是真正意义上的计算机搜查，即由技术专家验证、分析计算机硬盘等介质，从中找出涉案电子数据，并加以扣押。⑩由此可见，计算机搜查其实同传统搜查并不是截然分开的，后者是前者的前奏。

　　那么，为什么计算机搜查应当采取“两步式”呢？为什么侦查人员不能直接在犯罪嫌疑人的电脑上查看、分析与扣押数据呢？其实道理很简单，因为计算机硬盘等空间是电子数据的大仓库，分析海量的电子数据必然要花费很长时间。若直接在犯罪嫌疑人的电脑上分析，既不能保证提取到有用的电子数据，又容易破坏原始数据造成难以弥补的损失。例如，对于犯罪嫌疑人已经删除的电子文件，通常在主文件表没有显示而实际上仍然存在于硬盘中，侦查人员在犯罪嫌疑人电脑的操作系统下是无法发现的，而在实验室中就完全可以恢复出来；又如，世界上流行的Window操作系统会产生大量的重要元数据表明该计算机的使用情况，Word文字处理程序会生成许多临时文件以备恢复，IE等网页程序会记下计算机用户的上网兴趣、习惯、身份和行踪，这些都不是在犯罪嫌疑人的电脑上一下子就能发现的，而要等到实验室里慢慢揭秘；再如，假如侦查人员要搜索犯罪嫌疑人电脑上的色情图片，但犯罪嫌疑人改变了色情图片文件的扩展名（由“。jpg”改为了“。doc”、“。wpd”等），或者进行了加密处理，那么就无法在犯罪嫌疑人的电脑上检索到，必须在实验室里一一破解。显然，“两步式”能够从根本上克服“一步式”的缺陷。

　　注释:

　　①洪露露、张英华：《软件博士涉嫌侵犯商业秘密被公诉》，载《法制日报》2006年1月13日。

　　②何家弘主编：《证据调查》，中国人民大学出版社2005年版，第316页以下。

　　③See Orin S. Kerr， Searches and Seizures in a Digital World， 119 Harv. L. Rev. 531， （2005）。

　　④刘方权：《从现实空间到虚拟空间：两种搜查的比较》，载《江西公安专科学校学报》2005年第3期。

　　⑤镜像复制（bitstream copy）与将个别计算机文件从一台电脑转移到另一台电脑的普通复制有所不同：（1）普通复制只能复制可识别文件，而镜像复制能够将目标驱动器中的每一个字节都复制下来，包括所有文件、空白空间、主文件表和元数据等；（2）普通复制可以在计算机运行时进行，而镜像复制通常是在数据机器关机状态下进行；（3）普通复制不改变原文件属性，而镜像复制形成的文件都是只读文件，用于分析时不至于发生篡改；（4）普通复制完毕后不必进行校验，而镜像复制完毕后必须进行校验，实践中常常采取哈希函数检验数据的完整性。两份不同的文件输入哈希程序，得出的哈希值是不同的；两份完全相同的文件输入哈希程序，才能得出相同的哈希值。

　　⑥U. S. Department of Justice， Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigation pt. II. B. 1 （2002）， //www.cybercrime.gov/s&smanual2002.htm.

　　⑦例如，启动Win NT操作系统的电脑，将有500多份电子文件出现变化。

　　⑧U. S. Department of Justice， supra note 8.

　　⑨See Orin S. Kerr， Search Warrants in an Era of Digital Evidence， 75 Miss. L. J. 85， （2005） .

　　⑩Id.（中国人民大学法学院·刘品新）