电子取证的法律规制

　　关键词：电子证据/电子取证/法律规制

　　内容提要: 电子取证在世界范围内得到了日益广泛的运用，同时也引发了一系列的法律问题。本文从电子取证的基本含义切入，采取交叉研究的方法，指出我国的电子取证实务应当遵循一个抽象的司法程序模型。在此基础上，本文阐述了我国的电子取证在规制方式、规制原则与规制内容等方面遭遇的法律挑战，并逐一深入地论证了亟待采取的法律因应措施。

　　一、问题的提出

　　马加爵杀人案是新世纪发生的一起引发国人广泛关注的刑事名案。作案人的作案手段是传统的，警方开展缉捕却依赖了新式的电子取证，而其中的破案情节往往为人们所忽略。

　　2004年2月23日下午1时20分，昆明市公安局接报，云南大学学生公寓宿舍内发现一具男性尸体。经现场勘查和访问，在该宿舍柜子内共发现4具被钝器击打致死的男性尸体，同宿舍的学生马加爵失踪了。昆明一家银行的录像资料显示，马曾于2月15日下午持其中两名死者的存折到银行取走了4000元钱。种种迹象表明，马有重大犯罪嫌疑。当地公安机关迅速成立了“2·23”专案组开展工作，当日即通过公安部向全国发出通缉令，重金悬赏通缉马加爵。与此同时，调查专家使用技术手段，对马在宿舍内使用过的电脑进行硬盘数据分析，发现他出逃前对硬盘进行过格式化，但硬盘中存储的电子数据仍被恢复出来。这些电子数据表明，他在出逃前三天基本上都在搜集有关海南省的信息，尤其是有关三亚市旅游、交通和房地产的信息。根据这一线索，警方调整了通缉重点，很快于3月15日在三亚市将马缉拿归案。[1]

　　显而易见，电子取证在本次成功抓捕中起到了非常重要的作用。其实，这并不是当今的司法实践中孤立的个案，电子取证大展身手早已是不争的现实。无论是在打击网络色情、网络诈骗、网络赌博等高科技犯罪案件的活动中，还是在调查杀人、爆炸、恐怖等传统犯罪案件的过程中，电子取证已悄然成为一种出奇制胜的武器。当然，电子取证也遭遇到一些法律方面的障碍，所获取的材料往往多用作办案线索而非定案证据。那么，人们究竟应该如何客观认识电子取证这一新生事物？法律又应如何规制这一取证手段呢？要回答这些问题，不妨从电子取证的基本含义谈起。

　　二、电子取证的含义

　　电子取证是伴随着信息技术的飞速发展而出现的一个新事物。迄今为止人们依然众说纷纭，尚不存在大一统的概念。从英文表达来看，主要用语有“E- discovery”和“Computer Forensics”之别。前者又称为“Electronic Evidence Discovery”，是指对电子文件或电子数据的获取；[2]后者又称为“Cy-ber Forensics”、“Digital Forensics”，是指对以比特形式存储或传递的数据加以恢复、保存、检查的各种工具或技术。[3]它们之间的区别主要在于由谁具体负责取证工作，前者往往是诉讼各方当事人及其律师，后者则限定为特别聘请或委派的计算机专家（包括一些专业公司的技术人员）。从中文表述来看，电子取证、计算机取证、电子证据的收集等术语也常常被混用。其实，它们的含义只是在“大同”的前提下存在“小异”，并没有严格区分的必要。

　　关于什么是电子取证，我国学术界亦存在广狭义两种观点。狭义说将电子取证与“ComputerForensics”等同起来。例如，有人认为，电子取证是“将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼”。[4] 取证的主要过程包括保护和勘查现场、获取物理数据、分析数据、追踪源头、提交结果等。也有人认为，电子取证“也称计算机法医学，它是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。[5]”还有人认为，电子取证就是“运用软件技术和工具，按照预定的步骤检查计算机系统和相关外部设备，保护、提取和分析计算机系统和相关外部设备，保护、提取和分析计算机犯罪的痕迹，并产生具有法律效力的电子证据的过程。[6]”

　　广义说则认为电子取证包括但不限于特殊的技术手段。例如，有人认为，电子取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。[7]也有人认为，所谓电子取证是指对存储在计算机系统或网络设备中潜在电子证据的识别、收集、保护、检查、分析以及法庭出示的过程。电子取证不单单是计算机或网络的技术问题，还涉及法律和道德规范。[8]

　　笔者赞同广义说。虽然电子证据是带有一定高科技色彩的新型证据，但从司法实践来看，获取电子证据并不限于技术手段，也不限于专家提取，普通的当事人完全可以利用一般知识或经验予以事先保全或事后收集。换言之，尽管专家在电子取证方面作用巨大，但并不能掩盖普通当事人在电子取证方面的特殊作用。特别是从制度建设的角度来看，构建一个国家的电子取证制度绝不应忽略普通人的作为。

　　准确把握电子取证的概念，需要注意以下几点：其一，取证手段是借助计算机等电子设备；其二，取证对象主要是处于虚拟空间的电子证据；其三，取证主体呈现多元化的特点，即实施电子取证的人不能局限于某些特殊的群体。无论是侦查人员、司法人员、行政执法人员、诉讼各方当事人及其律师，还是网络服务提供商、民间技术专家等，都有可能在电子取证领域一试身手。

　　随着国内外司法实践的日新月异，如今电子取证已经发展为一个庞杂的取证手段群。以证据来源为标准，它可分为单机取证、网络取证与相关设备取证；以取证时刻潜在证据的特性为标准，它可分为静态取证与动态取证；[9]以取证时间为标准，它可分为事后取证与事前取证；以调查人员是否需要亲临证据现场为标准，它可分为临场取证与远程取证；[10]以技术手段为标准，它可分为数据获取、数据恢复、数据分析与数据鉴定等；从诉讼措施的角度划分，它可分为计算机搜查、计算机现场勘查、电子证据鉴定、电子证据保全、电子证据技术侦查、网络通缉、人肉搜索、电子证据开示等。其中，最后一种分类最具有法律特色，围绕其中具体取证手段的正当性问题也引发了一些法律热议。这些电子取证措施的涌现昭示着当今世界司法取证领域正在进行着一场深远的革命。

　　三、电子取证的基本程序

　　如前所述，电子取证的表现形式是五花八门的。它既可能是新式的技术取证手段，也涵盖各种传统取证方法的电子化。那么，电子取证有无可供普遍遵循的流程呢？这就涉及到电子取证的程序问题。对此，国内外一些学者不约而同地选择从其基本模型切入。这里所说的模型，亦即模式，指的是某种事物的标准形式。它用在电子取证方面具有确定取证步骤的指导意义。

　　早在1999年，美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了如下的基本取证流程：第一步，保护现场安全并进行隔离；第二步，对现场进行记录；第三步，系统地查找证据；第四步，对证据进行提取和打包；第五步，建立证据保管链。这一流程又被称为基本过程模型。[11]此后，事件响应过程模型、[12]执法过程模型、[13]抽象过程模型、[14]综合数字取证模型、[15]增强式数字取证模型、[16]基于需求的计算机取证过程模型、多维计算机取证模型、[17]可信计算取证模型[18]以及网络实时取证模型[19]陆续出炉。总的来看，这些模型是分别立足于不同的取证环境或技术的，所反映出来的取证流程也有所差异。其中最大的差异是，有的只适用于某一种或几种电子取证措施，如事件响应过程模型、网络实时取证模型等专门性取证模型，有的则适用于全部的电子取证措施，如基本过程模型、抽象过程模型等通用取证模型。

　　笔者认为，电子取证的模型本质上属于技术层面，无需强求一致；但电子取证的程序本质上属于法律制度层面，应当有所统一。否则，一个国家便难以对这种新式取证措施进行有效的法律规制。我国电子取证程序的构建应当既参考上述各种模型，又不能受缚于模型理论；应当既参考传统搜查、现场勘查、鉴定、保全、技术侦查或通缉等取证措施的程序，又关注电子取证措施的特殊性。

　　按照上述思路，我国的电子取证程序可以概括为四个环节：一是电子取证的准备阶段。这是基础性阶段，主要任务包括对电子取证的技术和设备的研发、取证人员的培训和选择、取证前的信息搜集、取证设备和器材的选择、取证计划的制定等。二是电子证据的收集保全阶段。这是初步的实施阶段，主要任务既包括对物理空间中电子证据的收集与保全，也包括对虚拟空间中电子证据的收集与保全，既包括对计算机主机与其他电子设备的临场取证，也包括网络下载等远程取证。三是电子证据的检验分析阶段。这是深入的实施阶段，它充分体现了电子取证不同于传统取证的特点。一般来说，传统取证多是“现场式”的，即主要活动都集中在证据所在地；而电子取证多是“实验室式”的，即主要实施活动都集中在证据分析实验室，调查人员在证据所在地开展的实施活动基本上是在为实验室分析做准备。为什么电子取证需要采取“实验室式”呢？其实道理很简单，因为计算机硬盘等虚拟空间是电子证据的大仓库，分析海量的电子证据必然要花费很长时间。若直接在犯罪嫌疑人的电脑上分析，既不能保证提取到有用的电子证据，又容易破坏原始证据造成难以弥补的损失。[20]四是电子证据的提交阶段。这一阶段是对取证结果进行汇总提交，主要任务是根据检验分析结果制作电子证据鉴定书、勘验检查笔录及其他书面报告。如果发现电子取证过程中存在问题，还应当提出相应的改进建议或补救措施。

　　上述四个环节相互之间是层层推进的关系，在特殊情况下也可以有条件地回溯。例如，调查人员在电子证据的检验分析阶段发现取证有遗漏或者偏差的，不排除重新启动电子证据的收集保全阶段。这样的做法不仅在技术上是必要和可行的，还体现了我国诉讼法所确定的取证原则。如果套用学界推崇的模型理论，上述四个环节所构成的电子取证程序不妨概括为“抽象司法程序模型”（图示如下）。[21]

　　四、电子取证的法律挑战与因应

　　在世界范围内，电子取证登上人类司法舞台已经有些年头，而且发展态势迅猛。自从1991年在美国召开的国际计算机专家会议首次提出了“电子取证”一词[22]后，关于电子取证的实务和理论发展便一直处于快车道。特别是进入21世纪以来，几乎每年都有关于电子取证的重要国际会议召开，一些国家或国际组织也启动了电子取证的制度和平台建设。2001年2 月，西方八国集团的司法和内务部长在意大利召开会议，重点研究关于查找和确认网络罪犯的解决方法；美国颁布了一系列法律旨在为打击计算机犯罪提供依据，联邦调查局设立了专门的电子取证实验室负责研究电子取证的标准规范；其他国家也陆续涌现出各种专门的电子取证部门、实验室和咨询服务公司。我国于2005年 6月召开了首届中国计算机取证技术峰会，此后该峰会每年举办一次（2008年改名为中国计算机法证技术峰会）。与此相应，国内有关电子取证的研究课题纷纷立项，如电子物证保护与分析技术（国家863项目子课题）、网络安全入侵取证系统（国家网络安全课题）、打击计算机犯罪侦查技术研究（国家“十五”重点项目）、电子物证检验系统的研究（公安部应用创新计划项目）等等，它们极大地提高了我国在此领域的科研水平。

　　无论是从国外还是国内的现状来看，电子取证都面临着技术提升和法律规制的重要问题。一方面，电子取证必须朝着取证技术综合化、取证范围扩大化、取证工具专业化以及取证过程标准化的方向努力，以更好的技术能力回应日益增加的司法实践要求；另一方面，电子取证本质上属于国家取证制度的重要组成部分，必须接受法律的规制迈上法治的轨道，特别是要满足法律有关证据采用标准的基本要求。鉴于本文的写作主旨，下面将重点针对电子取证所遭受的法律挑战及相关因应措施展开论述。

　　（一）电子取证的规制方式

　　回到前述马加爵案件中，应该说电子取证对缉拿作案人起到了至关重要的作用。然而，这一重要作用仅仅体现在办案线索方面，并没有延伸为定案证据。这并非个别现象，而是普遍的司法现实：在许多诸如此类的案件中，电子取证所获取的电子证据往往没有被最终提交法庭——它们要么是只被用于侦查阶段，要么是被转化为鉴定结论、勘验检查笔录、口供、证人证言等“转化型”证据提交法庭。好一个奇怪而尴尬的中国司法现象！究其原因，当今中国电子取证普遍缺乏必要的法律规则与制度难辞其咎。具体来说，调查人员在多数情况下并不知道实施电子取证的法律界限在哪里，更不知道所获取的电子证据能否直接送上法庭、以及如何送上法庭。

　　围绕电子取证该如何规制的第一个争议是，前述的准备阶段、收集保全阶段、检验分析阶段与提交阶段究竟应当主要接受技术的规制还是法律的规制？前者是从技术角度推动电子取证的标准化，后者是从法律角度促进电子取证的合法化，它们之间显然存在着鲜明的界限。譬如，1999年10月电子证据科学小组在伦敦举办的国际高科技犯罪和取证会议上指出，为使电子证据能够以一种安全的方式进行收集、保存、检查和传输，以确保其准确性和可靠性，法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程（Standard Operating Procedures，SOP）。所有进行获取和检查电子证据的机构必须提供一份SOP文件，所有该机构的政策和操作规程都必须在SOP文件中明确写出，并获得权威管理机构的认可。这一标准化操作规程，实际上对于所有国家开展的电子取证活动都具有指导意义，属于技术规制的范畴。

　　与之相反，法律规制显然不是放诸四海而皆准的公理性规则，它必然带有不同国家法律制度的传统特点。举例来说，有的国家开展传统搜查必须申领搜查令状，有的国家则不一定需要，而是允许有条件的无证搜查；在申领搜查令状的国家，有的是由警察机关审批的，有的是由检察机关审批的，有的则是由审判机关审批的。相应地，在不同国家开展计算机搜查的活动中，是否需要申领专门令状、如何审批令状则因国而异。诸如此类的问题便是电子取证中法律规制的主要问题。总之，不同国家拥有不同的证据法律规范，它们对电子取证所提出的法律规制也不可能相同。

　　如果说电子取证的技术规制是世界性标准，已经相对成熟，那么电子取证的法律规制则是地方性标准，亟待建设。在我国如火如荼地建设社会主义法治国家的今天，法律理当是衡量各种行为正当性与否的基本标尺。具体到电子取证方面，我国调查人员理应主动接受法律规制，以确保所收集的电子证据在法庭上具有可采性和证明力。换言之，我国建设电子取证制度建设的当务之急是如何构建符合国情的法律规则。

　　诚然，电子取证的法律规制与技术规制泾渭分明，但并不意味着这两者之间不存在转化的可能性。人类社会的立法经验告诉我们，技术标准经过法律认可就可能转化为法律标准，技术规制经过法律确认便成为了法律规制。这在各种科学证据的收集与运用方面，早已成为一种普遍的规律。以鉴定结论（或专家证言）为例，司法人员应当如何判断它们是否可采呢？简单地从鉴定主体的资格合法、鉴定过程合法、鉴定结论合格等方面进行形式审查是不够的。司法人员还必须判断鉴定专家所使用的鉴定方法是否科学可靠，如一项鉴定结论所依据的原理和方法的科学可靠性是否已经在该学科领域得到了普遍的承认。这实际上就是将技术规制提升为法律规制。电子取证的规制所面临的这一项任务实际上更为艰巨。由电子取证的技术规制提升而来的法律规制也带有一定的全球色彩。

　　当前一些国家的法律学者在建构不同国家均适用的法律规制方面做出了有益的尝试。例如，巴西学者在该国立法的基础上，提出了用于指导电子取证的20项全球标准或规则[23]显而易见，这些标准既有源于法律要求的，也有源于技术要求的，它们立足于巴西法律，同时对于其他国家亦具有重要的参考价值。具体来说，“巴西标准”中关于电子取证主体的规则，包括取证主体应当具有资格证书、至少两人以上以及实行利益回避等，完全可以引进到我国的司法实践中。

　　综上可见，电子取证的技术规制与法律规制不可偏废。法律理当是衡量各种行为正当与否的基本标尺，但仅仅将现有法律规则同电子取证结合在一起，还是远远不够的。我国的电子取证立法也要将一些有益的技术标准吸收为法律规则。惟有如此——今后我国调查人员在开展电子取证时要主动接受传统法律的规制，更要接受受到法律认可的技术标准的规制，才能确保所收集电子证据在法庭上运用的效力。

　　（二）电子取证的规制原则

　　规则制定，原则先行，因为原则是规则的规则。那么，我国应当确立什么样的电子取证的规制原则呢？一条重要的思路是，既要参考我国传统的取证原则，也要援引外国或国际组织的先进立法例以资借鉴。

　　从有关国际文献来看，迄今为止具有代表性的相关思想是“六原则论”和“三原则论”。前者为计算机证据国际组织于2000年12月4日在八国集团的会议上提出：（1）在处理电子证据时，各种普遍性的法科学原则和程序原则必须得到遵守；（2）扣押电子证据时必须保证其不发生改变；（3）任何需要接触原始电子证据的人员必须经过专业的培训；（4）对电子证据进行扣押、接触、存储或转移的一切行为，都必须完整记录，并加以归档备查；（5）有关人员在保管电子证据时，对其上所实施的一切操作负责；（6）任何负责扣押、接触、存储或转移电子证据的机构，均有责任落实上述原则。[24]后者为美国司法部于2001年在《计算机现场勘查指南》中颁布。其中规定，处理电子证据时应当遵循以下普遍性的法科学原则和程序原则：（1）固定和收集电子证据时不能改变该证据；（2）对电子证据实施检查的人员必须经过专业的培训；（3）对电子证据进行扣押、检查或转移的一切行为，都应当完整记录，并加以归档备查。[25]不难看出，这两种思想在电子取证的规制原则方面是基本一致的（“六原则论”相比“三原则论”只是在数量上多了责任方面的规则），它们都是主要基于电子取证的技术角度、兼顾考虑电子取证的法律程序而设立规制的标准。

　　在我国学术界，学者们则习惯于从法律角度提出电子取证的规制原则。如有人主张，以下几条原则可以作为规范和调整（刑事）电子证据取证活动的纲领性准则：（1）任意侦查原则，即“对于任意侦查，法律没有特别限制，即使法律没有明文规定，原则上也可以采取适当的方式进行；对于强制侦查，则只要刑事诉讼法上没有具体的规定，就不得进行”；（2）相称性原则，即侦查机关在进行实时数据收集与截获等任意侦查活动时，保持必要之谨慎，以适度技术手段，将对公民隐私权、财产权的侵犯降至可容忍的限度，从而实现维护网络公共秩序与网络空间公民权益保障的平衡；（3）令状原则，即侦查人员实施强制侦查中的搜查、扣押电子资料需以申领和签发令状为前提；（4）合法性原则，即刑事电子证据取证中必须主体合法、程序方法；（5）及时性原则，即刑事电子证据取证必须及时，反对不当的迟延。[26]还有人认为，电子取证的原则应当包括：（1）及时性原则，即要求计算机证据的获取有一定的时效性；（2）取证过程合法的原则，即要求电子取证过程必须按照法律的规定公开进行；（3）多备份的原则，即对于含有计算机证据的媒体至少应制作两个副本，原始媒体应存放在专门的房间由专人保管，复制品可以用于电子取证人员进行证据的提取和分析；（4）环境安全的原则，即存储计算机证据的媒体或介质应远离高磁场、高温、灰尘、挤压、潮湿、腐蚀性化学试剂等；在包装计算机设备和元器件时尽量使用纸袋等不易产生静电的材料，以防止静电消磁，防止人为地损毁数据；（5）严格管理过程的原则，即含有计算机证据的媒体的移交、保管、开封、拆卸等过程必须由侦查人员和保管人员共同完成，每一个环节都必须检查真实性和完整性，并拍照和制作详细的笔录，由行为人共同签名。[27]

　　笔者认为，电子取证既要遵循传统的法律原则，也要有自己相对独立的原则。前者应限定为三大诉讼法所确立的一些基本原则，如及时取证原则、全面取证原则与合法取证原则；后者是今后诉讼法修订时要专门针对电子取证制定的原则，主要应当是一些上升到法律层面的技术规制标准。从这个角度来说，笔者赞同以无损取证原则（简称为无损原则）为核心构建电子取证的原则。[28]也就是说，在电子取证的全过程中要尽可能保证电子证据的客观、真实与完整，这理当成为一条黄金法则。具体而言，无损取证至少要做到以下几个方面：第一，不能直接对原始电子证据进行分析、检验和鉴定；第二，对电子证据进行复制时，要使用洁净的存储设备实施精确复制，同时制作多个备份并进行校验，确保每个复制件均与原件一致；第三，以防篡改技术手段保障电子证据的原始性；第四，分析数据的计算机系统、辅助软件和分析方法必须安全可信；第五，整个取证过程，包括检验鉴定过程，都必须详细记录并受到监督。

　　（三）电子取证的规制内容

　　电子取证的规制原则确定后，下一步是将这些原则细化为可操作性规则。这就涉及到电子取证的规制内容问题。从学理上讲，电子证据在我国运用的标准同传统证据是一样的，即可采性与证明力，而其运用难题则有所不同，电子证据的运用障碍集中体现在如何保证其原始性、真实性与合法性方面。相应地，无论是哪一种具体的电子取证在我国均应当接受证据之原始性、真实性与合法性标准的具体规制。这三个方面是我国电子取证的主要法律规制内容。

　　首先，诉讼中要求提交原件、原物是世界上一条古老的证据法则，这一规则为电子取证设置了第一道法律障碍。我国法律中就有提交原件或者原物的要求。例如，我国《刑事诉讼法》第53条规定：“收集、调取的书证应当是原件。只有在取得原件确有困难时，才可以是副本或者复制件。收集、调取的物证应当是原物。只有在原物不便搬运、不易保存或者依法应当返还被害人时，才可以拍摄足以反映原物外形或者内容的照片、录像。”《民事诉讼法》第68条规定：“书证应当提交原件。物证应当提交原物。提交原件或者原物确有困难的，可以提交复制品、照片、副本、节录本。”但是，在电子取证过程中什么是电子证据的原件呢？是原始载体吗？还是满足一定条件的电子数据？以我国打击网络色情犯罪的实践为例，侦查人员获取到电子证据后，常常是通过一定方式转化后再提交法庭的。有的是打印出来，有的是拷贝存盘，有的是刻录成数据光盘，还有的是适当进行编排整理……其目的在于保障诉讼顺利进行和提高诉讼效率，因为存储在计算机硬盘等介质中最原始的电子数据是肉眼看不见的，必须通过机读方式进行二进制转化。那么，这些转化是否会改变电子证据的原始属性呢？如何明确电子证据的原件与复制件之间因取证方式不同而呈现的差异？

　　关于这些问题，虽然我国现行法律规范有所涉及，但仍然存在可操作性缺失等问题。一种立法例是最高人民法院《关于民事诉讼证据的若干规定》，其第22条规定：“调查人员调查收集计算机数据或者录音、录像等视听资料的，应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的，可以提供复制件……”这似乎要求电子取证必须获取有关电子数据的原始载体，然而该要求并不总能付诸实践。另一种立法例是我国《电子签名法》，其第5条规定：“符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容并可供随时调取查用；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”这是将具有传统原件基本功能（即具有最终完整性和可用性等功能）的数据电文纳入“原件”之列。不过，对于何为“数据电文的完整性”，立法语焉不详。总之，如何确保所获取电子证据的原始性亟待立法的进一步明确。[29]

　　其次，如何保证电子证据的真实性是电子取证无法回避的难题。电子证据对电子系统具有依赖性，其生成、存储和传递都必须借助电子系统，任一方面的差错都有可能导致电子证据出现不为人们所觉察的改变；加之电子系统还容易受到外部攻击，有关电子证据有可能遭受修改且不留痕迹，因此人们普遍对电子证据的真实性心存疑虑。司法实践中一种普遍的法律争议是：从最初被收集到最终被提交法庭之间，电子证据是否受到过潜在的污染或破坏。从技术规制的角度上讲，要想百分之百地保证不出现伪造电子证据的情况是过于理想化的，即便通过专家采用法庭科学技术鉴定手段也有力不能及之处。这样就需要在电子取证的环节通过特别手段保证电子证据的真实性：一是严格形成电子证据的保管锁链，即从发现、提取、保全、检验、使用直至提交法庭的各个环节，都有严格的反篡改环节，以确保所获取的电子证据不出现改变；二是通过技术比对的方式，如哈希函数、数字签名等，以确保所获取的电子证据复制件同原件在内容上是一致的。

　　下面以国外法律界极力推崇的电子证据保管锁链为例展开说明。所谓证据保管锁链，是传统上针对物证的一项制度，指的是涉及证据的收集、保全和分析各个环节的证据清单和转移手续所构成的保管体系，用以确认物证的真实性。具体来说，如果举证方拿出证据证明一项物证是由何人、何时、何地、如何从其发现处提取、处理、保管、直至提交法庭的，即形成了该物证的保管锁链，那么该物证的真实性就可以得到确认。在当前英美国家的司法实践中，执法人员在扣押物证时已经形成了一套保管锁链的惯例制度。这同样可以为调查人员在收集电子证据时用作保证其真实性的一项措施。美国学者艾琳·科尼利提出，参考法庭普遍采用的物证保管锁链之原则、政策和程序，调查人员应当从无损检验等九个方面入手保证电子证据的真实性。[30]显而易见，假如我国建成了电子证据的保管锁链制度，那就能在很大程度上解决电子取证过程中电子证据的保真问题。令人遗憾的是，证据保管锁链制度在我国并未得到正式推行。传统物证如此，更遑论电子证据。

　　同样，在电子取证过程中通过技术比对的方式来验证和保证电子证据真实性的做法，虽然已经在一些司法实践中进行了成功的探索，但这远未转化为调查人员的自觉行为，更谈不上形成一条法律层面的刚性要求。因此，今后我国关于电子取证的立法应当明确在电子证据复制或提取过程中实施技术比对的必要性，并为此建立一些具体的规则。

　　此外，需要特别指出的是，即便我国立法有效地落实了前述两条规则，也不可能化解关于电子取证保真的全部问题。司法实践复杂，个案中电子取证工作如何保证电子证据的真实性依然会遇到一些难以克服的困难。例如，远程取证是由调查人员通过技术下载等方式获取证据的，这种取证既难以通过比对方式判断真伪，也难以构成严密的证据保管链，因而其证据的真实性问题就需要在个案中具体判断。又如，为保证电子证据不失真，一般开展电子证据鉴定是在复制盘上进行的，但在特殊情况下电子证据无法复制，这时能否在电子证据的原始载体上进行类似化学物证鉴定中的“有损检验”就存在一个如何确保其真实性的问题。换言之，在遵循“无损取证”原则前提下，在特殊情况下能否实施不得已的“有损取证”，诸如此类的问题都需要人们从司法实践中去寻觅答案。

　　再次，我国关于电子取证的法律制度缺失，如何保障所获取电子证据的合法性值得深思。当前我国关于电子取证的法律法规不多，主要是公安部、最高人民检察院所颁行的一些内部规章或工作规定，如《公安机关电子数据鉴定规则》、《计算机犯罪现场勘验与电子证据检查规则》和《人民检察院电子证据鉴定程序规则（试行）》等。它们针对的只是部分电子取证措施，并不能涵盖全部。即便是那些针对部分电子取证措施的法律规定也非常原则，难以直接用作判断电子证据合法性的依据，例如，在什么情况下通过网络监控、网络过滤、网络搜索、网络公证得来的电子证据可以采纳？网络人肉搜索和网络通缉如何用作有效的取证手段？计算机搜查是否需要办理搜查令？搜查或勘查电子证据时，能否停止整个网络服务器的运行？电子证据鉴定的规范化流程是什么？……诸如此类的问题都需要法律的规制。特别值得一提的是，在我国当前开展电子取证的实践中，调查人员经常面临能否使用未经核准的计算机软件（如自行开发的软件或未经合法授权的盗版软件）进行取证的情况，它们与所获取电子证据的合法性的关系也值得关注。

　　要解决上述问题，一方面有赖于我国有关部门的专门性规定进一步充实，另一方面也寄希望于我国三大诉讼法修正时针对电子取证做出必要的规定。其中，前一任务涉及到《计算机搜查规则/工作规定》、《电子数据扣押规则/工作规定》、《电子档案管理规则/工作规定》、《网络公证规则/工作规定》、《网络监控规则/工作规定》、《网络过滤规则/工作规定》、《网络通缉规则/工作规定》以及《网络搜索规则/工作规定》等的出台，它们不仅是公安部、最高人民检察院的职能所在，同司法部、国家安全部、工业和信息化部等主管部委也存在密切的关系；后一任务正好与我国十一届全国人大常委会立法规划相吻合，按照该规划修改刑事诉讼法、民事诉讼法和行政诉讼法的任务将在近五年内完成。总之，为电子取证这一重要而高效的取证手段立法正名是具备“天时”条件的，能否取得重大突破关键在于“人和”，即学术界与立法界应当对电子取证立法的重要性形成清晰的认识，并协力做出关键性的推动。

　　五、结 语

　　在信息技术飞速发展的21世纪，传统取证的电子化是一个不以人的意志为转移的规律，各种新型电子取证技术的出现也是一个必然的趋势。如今这一变革已然发生，并将继续下去！在这个大背景下，计算机技术、网络技术、现代通信技术等信息技术给人类司法带来了翻天覆地的变化，同时也向各国证据调查实践提出了重大挑战。本文尝试着对电子取证这一新事物从概念、程序、原则与规则等方面做了梳理，特别提出了将电子取证的技术规制转化为法律规制的基本思路、以及基于该思路的主要应对措施。当然，本文所论及的只是一种初步的理论构想，期待各位方家的批评指正，更有待于国家有关立法实践的检验与具体化。

　　注释:

　　本文系2008年度最高人民检察院检察理论研究课题“电子证据收集和运用问题研究”（GJ2008C07）的研究成果。本文的写作承蒙最高人民检察院信息技术研究中心戴士剑高级工程师的技术支持，特此致谢。

　　[1]参见关非：《小荷才露尖尖角——国内计算机取证技术市场面面观》，载《信息网络安全》2005年第9期。

　　[2]Hon.Shira A.Scheindlin&Jeffrey Rabkin，“Electronic Discovery in Federal Civil Litigation：Is Rule 34 Up to theTask？”，41Boston College LawReview（2000），p.333.

　　[3]Erin Kenneally，“Computer Forensics”，27 Magazine of Usenix&Sage（2002），p.8.

　　[4]王彩玲、陈贺明：《浅析计算机犯罪取证与反取证》，载《吉林公安高等专科学校学报》2007年第2期。

　　[5]张斌、李辉：《计算机取证有效打击计算机犯罪》，载《网络安全技术与应用》2004年第7期。

　　[6]苏成：《计算机取证与反取证的较量》，载《计算机安全》2006年第1期。

　　[7]参见王玲、钱华林：《计算机取证技术及其发展趋势》，载《软件学报》2003年第9期。

　　[8]参见赵小敏、陈庆章：《计算机取证的研究现状及趋势》，载《网络安全技术与应用》2003年第9期。

　　[9]静态取证所收集的是存储在未运行的计算机系统、未使用的存储器或独立的磁盘、光盘等媒介上的静态数据，这些数据不会随着计算机电源的切断而消失；动态取证所收集的是切断计算机电源后就会消失的各类易失性数据，如计算机当时运行的进程信息、内存数据、网络状态信息、网络数据包、屏幕截图和交换文件拷贝等等。参见张新刚、刘妍：《计算机取证技术研究》，载《计算机安全》2007年第1期。

　　[10]远程取证是指通过远程连接的方式，从正在运行的计算机系统中获取电子证据的方式。See Erin Kenneally,“Confluence o fDigital Evidence and the Law:On the Forensic Soundness of Live-Remote Digital Evidence Collection”，5UCLA Journal ofLaw and Technology（2005），p.1.

　　 [11]Farmer D.& Venema W.，“Computer Forensics Analysis Class Handouts”（1999），available at http：//www.fish2.com/forensics/class.html.

　　[12]Chris Prosise&Kevin Mandia,Incident Response:Investigating Computer Crime，Osborne/McGraw-Hill，2001，pp.87-130.

　　[13]Technical Working Group for Electronic Crime Scene Investigation,“Electronic Crime Scene Investigation:A Guide for First Responders”2001,available at //www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.

　　[14]Mark Reith，Clint Carr&GreggGunsch,“An Examination of Digital ForensicModels”，3 International Journal of Digital Evidence（2002），p.8.

　　[15]Brian Carrier&Eugene H.Spafford，“Getting Physical with the Digital Investigation Process”，2 International Journal of Digital Evidence（2003），pp.5-12.

　　[16]转引自丁丽萍、王永吉：《多维计算机取证模型研究》，载《计算机安全》2005年第11期。

　　[17]同注[16]。

　　[18]参见李炳龙、王清贤、罗军勇、刘镔：《可信计算环境中的数字取证》，载《武汉大学学报》2006年第5期。

　　[19]参见郝桂英、刘凤、李世忠：《网络实时取证模型的研究与设计》，载《计算机时代》2007年第4期。

　　[20] 参见刘品新：《论计算机搜查的法律规制》，载《法学家》2008年第4期。

　　[21]这里所谓的“抽象”，是指该模型适用于各种电子取证方法；所谓的“司法程序”，是指该模型立足于我国现行的司法程序制度。

　　[22]当时使用的是" Computer Forensics" ，即狭义的电子证。

　　[23] 参见许榕生：《国际计算机取证的操作规程标准化动态》，载《金融电子化》2003年第9期。这20项标准或规则如下：（1）取证分析与检查规程和协议的研究和评估一样，应当由持有资格证书的人员操作。他应当胜任取证工作，具有技术和科学方法，其道德品质也应当是无可置疑的；（2）无论何时设计出一种新的取证检查规程，使用前都应先对它进行鉴定和测试；（3）取证的最低要求应当提前制定并作准确说明；（4）技术标准应当保证获得最低要求的证据；（5）取证的操作规程应当与所制定的标准相符；（6）取证的操作规程和标准应当得到相关科学团体的认可，并应进行定期的复查；（7）取证工具应当获得许可证或授权才能使用，这些工具应当得到业界的认可或能通过科学评测；（8）应当确立对私人数据的访问权限（如在取证过程中，允许取证专家访问所有的私人数据），检查规程应当保障这些相关的权限；（9）取证检查应当根据某种标准模型得出结论；（10）取证专家应当对其检查结果和获得的证据负法律责任；（11）当某位取证专家在法律上不允许执行取证检查时（如当该取证专家与犯罪者有血缘关系时），应当提前通知；（12）为减少个人因素对结果的影响，取证检查人员应当不少于二人；（13）为确保取证专家准确而高效地工作，应当保证有一个良好的取证环境，特别是取证检查所需的设备和材料；（14）取证专家必须以科学的态度得出结论，即结论不能存在其他可能性；（15）无论何时对证据进行分析，取证检查都应当作为调查工作中必不可少的一部分；（16）应当保存取证证据，以进行第二次分析；（17）在取证专家到来之前，应当对现场进行保护。任何发生的变动都应当作出报告；（18）可以使用照片、图纸、图表等，以使检查结果尽可能地详尽；（19）应当事先获得对计算机的搜查证；（20）要确立在没有计算机搜查证的情况下取证的规章制度。

　　[24]IOCE ，“G8 Proposed Principles For The Procedures RelatingTo Digital Evidence”，available at //www.ioce.org/core.php？ID=5.

　　[25]同注[13]。

　　[26] 参见乔洪翔、宗森：《论刑事电子证据的取证程序——以计算机及网络为主要视角》，载《国家检察官学院学报》2005年第6期。

　　[27]参见丁丽萍、王永吉：《计算机取证的相关法律技术问题研究》，载《软件学报》2005年第2期。

　　[28]参见何家弘主编：《证据调查》（第二版），中国人民大学出版社2005年版，第162页。

　　[29]关于我国应当建立的电子证据原件规则，参见刘品新：《论电子证据的原件理论》，载《法律科学》2009年第5期。

　　[30] See supra note[10]，p.10.这九个方面具体包括：（1）严禁在收集、存储和分析过程中改变原始的电子证据（包括只在电子证据复制件上分析、对电子证据原件进行防篡改加密等）；（2）在收集、存储和分析电子证据的过程中严格作书面记录，记录的内容要特别包括收集到了何种电子证据，在何处收集到的电子证据，在收集之前、存储之际和检验之后何人接触过电子证据，电子证据是如何收集和存储的（包括所使用的工具和方法），电子证据是在何时收集的，等等；（3）对电子证据的任何改变作书面记录和解释，必要时建立稽核程序；（4）保持电子证据的连续性；（5）对有争议的电子证据进行完全复制；（6）复制电子证据的方法必须足够可靠（如可借助独立的哈希函数进行验证）；（7）尽可能采取安全措施（如采取防干扰存储措施、写保护措施等）；（8）正确标注各个环节的时间、日期和来源；（9）限制接触电子证据的人员，并进行记录。

　　【主要参考文献】

　　1.Hon.Shira A.Scheindlin&Jeffrey Rabkin，“Electronic Discovery in Federal Civil Litigation：Is Rule 34 Up to the Task？”，41 Boston College LawReview（2000）.

　　2.Erin Kenneally，“Computer Forensics”，27 Magazine of Usenix&Sage（2002）.

　　3.Brian Carrier&Eugene H.Spafford，“Getting Physical with the Digital Investigation Process”，2 International Journal of Digital Evidence（2003）.

　　4.李炳龙、王清贤、罗军勇、刘镔：《可信计算环境中的数字取证》，载《武汉大学学报》2006年第5期。

　　5.刘品新：《论计算机搜查的法律规制》，载《法学家》2008年第4期。

　　6.许榕生：《国际计算机取证的操作规程标准化动态》，载《金融电子化》2003年第9期。

《法学家》2010年第3期