近日，由本团队办理的多起侵犯知识产权刑事案件中，涉及到关于电子数据的检查笔录、勘验笔录等诸多证据问题。本文特将我国刑事诉讼电子数据证据规定梳理分享如下。

2012年刑事诉讼法修改，将电子数据增设为法定证据种类。2012年12月发布的《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》（以下简称《解释》）明确了电子数据审查与认定的基本原则。2016年9月9日，最高人民法院、最高人民检察院、公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《规定》），进一步统一和细化了电子数据证据规则。

经最高人民法院统计，全国范围内，涉及电子数据案件已经接近1/5，个别经济发达地区1/3以上案件涉及到电子数据问题。2016年，北京海淀区法院审理的“快播案”催生了《规定》的出台。该《规定》共30条，自2016年10月1日起施行。《规定》第三十条规定：“之前发布的规范性文件与本规定不一致的，以本规定为准。”

目前，除刑诉法及刑诉法解释外，针对电子数据审查与认定的规范性文件主要有：2005年公安部《计算机犯罪现场勘验与电子证据检查规则》、2005年公安部《公安机关电子数据鉴定规则》、2009年最高人民检察院《电子证据鉴定程序规则（试行）》、《人民检察院电子证据勘验程序规则（试行）》、2010年最高人民法院、最高人民检察院、公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》、2010年最高人民法院、最高人民检察院、公安部、国家安全部、司法部《关于办理死刑案件审查判断证据若干问题的规定》、《关于办理刑事案件排除非法证据若干问题的规定》、2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（以下简称《意见》）、2016年《公安机关执法细则》、2017年最高人民检察院《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》。

此外，还有中华全国律师协会《律师办理电子数据证据业务操作指引》（2017）、江苏省律师协会《江苏省律师电子证据的固定采集与展示业务操作指引》（2009）

电子数据在涉互联网赌博犯罪案件、互联网金融犯罪案件等涉互联网犯罪案件中地位重要，对于指控证实相关犯罪事实具有重要作用。随着互联网技术的不断发展，电子数据的形式、载体出现了许多新的变化，对电子数据的勘验、提取、审查等提出了更高要求，处理不当会对电子数据的真实性、合法性造成不可逆转的损害。

一、电子数据的界定

电子数据是“案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”电子数据的常见形态包括但不限于下列信息、电子文件：一是网络平台发布的信息。包括网页、博客、微博客、朋友圈、贴吧、网盘等网络平台上发布的信息。二是网络应用服务的通信信息。包括手机短信、电子邮件、即时通信、通讯群组等的通信信息。三是记录类信息。包括用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息。四是电子文件。包括各类电子文档、电子图片、音视频、计算机程序、数据库文件、网络抓包文件、数字证书文件等。

《规定》第一条明确了电子数据应当是在“案件发生过程中形成的”的电子数据。讯问同步录音录像和以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据是在案件发生后的侦查阶段形成的，属于对言辞证据的记录，不属于《规定》所称的电子数据。

当电子数据用于证明案件事实时，即为电子数据证据。例如，微信属于“即时通信工具”，属于“基于互联网面向终端使用者提供即时信息交流服务的应用”。微信信息证据，是指利用微信应用软件的功能而产生的一系列电子数据的总称，包括微信聊天记录（包括文字、图片和语音）、微信朋友圈所发送的图片、视频、文字以及所附载的地理位置信息等电子信息。微信信息证据本身即属于通过电子化形式存储、处理、传输的，能够证明案件事实的数据。因此，微信信息证据本身应直接定性为电子证据，而不应该再将其划分到传统的证据种类之中。在刑事诉讼中，微信信息记录作为证据已经经常见于裁判文书。有的微信信息记录直接决定嫌疑人或被告人的主观方面内容，对案件的性质起到决定性的作用。

二、初查过程中收集的电子数据的证据资格

《规定》第六条规定，初查过程中收集、提取的电子证据，可以作为证据使用。

初查是侦查机关（部门）在立案审查阶段采取的专门调查措施，目的是收集必要的证据材料，确定是否有犯罪事实并需要追究刑事责任。

例如，在电信、网络诈骗案件中，仅有部分被害人报案，被骗金额达不到立案标准，在这种情况下，如果对犯罪分子银行账户的交易情况进行查询，就可以查明有无其他被害人，从而认定其是否构成诈骗罪。因此，在立案审查阶段赋予侦查机关（部门）一定的调查权是必要的，但为了保护公民的人身、财产权利，这种立案前的调查措施又必须受到严格的限制，与立案后的侦查措施有所区别。

公安部于2012年12月发布的《公安机关办理刑事案件程序规定》第一百七十一条规定：“对接受的案件，或者发现的犯罪线索，公安机关应当迅速进行审查。对于在审查中发现案件事实或者线索不明的，必要时，经办案部门负责人批准，可以进行初查。初查过程中，公安机关可以依照有关法律和规定采取询问、查询、勘验、鉴定和调取证据材料等不限制被调查对象人身、财产权利的措施。”

《人民检察院刑事诉讼规则（试行）》（以下简称《诉讼规则》）第一百七十三条规定：“在初查过程中，可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制初查对象人身、财产权利的措施。不得查封、扣押、冻结初查对象的财产，不得采取技术侦查措施。”

根据上述规定，初查过程不得扣押电子数据原始存储设备，也不得采取技术侦查措施，只能在勘验的过程中提取电子数据，或者通过网络在线提取电子数据，或者向有关单位和个人调取电子数据。

《解释》第六十五条规定：“行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料，在刑事诉讼中可以作为证据使用；经法庭查证属实，且收集程序符合有关法律、行政法规规定的，可以作为定案的根据。”

据此，公安机关在立案前开展的初查活动属于行政机关的行政执法和查办案件活动，因此在初查过程中收集的物证、书证、视听资料、电子数据等证据材料，在刑事诉讼中可以作为证据使用。需要特别注意的是，强制侦查措施、技术侦查措施只有在刑事立案后才能采取。故而，初查过程中采取上述侦查措施收集、提取的电子数据不具有合法性，应当依法排除。

三、电子数据的收集与提取

《规定》在《解释》《意见》基础上，确立了电子数据取证“以扣押原始存储介质为原则，以直接提取电子数据为例外，以打印、拍照、录像等方式固定为补充”的原则。

（一）对取证人员和取证方法的要求。关于电子数据取证人员，《规定》第七条规定：“收集、提取电子证据，应当由二名以上侦查人员进行。”《刑事诉讼法》第一百二十六条规定：“侦查人员对于与犯罪有关的场所、物品、人身、尸体应当进行勘验或者检查。在必要的时候，可以指派或者聘请具有专门知识的人，在侦查人员的主持下进行勘验、检查。”按照上述规定，在勘验、检查现场收集、提取电子数据时，可以在侦查人员的主持下指派或者聘请具有专门知识的人参与，这能够在一定程度上弥补侦查人员自身专业知识的不足。关于电子数据取证方法，《规定》第七条没有对取证设备的技术标准作出要求，仅要求 “取证方法应当符合相关技术标准。”实践中，对相关取证设备有疑问的，一般通过出具说明、侦查实验、程序功能检验或鉴定予以验证。

（二）扣押电子数据原始存储介质。针对实践中办案机关对电子数据原始存储介质的封存有不规范的问题。《规定》要求，封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

（三）直接提取电子数据和通过网络在线提取电子数据。《规定》第九条第一款规定，无法扣押原始存储介质的，可以提取电子数据，但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况，并计算电子数据完整性校验值。无法扣押原始存储介质的情形主要有：

（1）原始存储介质不便封存的；

（2）提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的；

（3）原始存储介质位于境外的；

（4）其他无法扣押原始存储介质的情形。

司法实践中，通过网络在线提取电子数据已经成为重要的侦查取证方式。对于原始存储介质位于境外或者远程计算机信息系统上的电子数据，可以通过网络在线提取。

（四）网络远程勘验和技术侦查措施。《规定》第九条第三款规定：“为进一步查明有关情况，必要时，可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验，需要采取技术侦查措施的，应当依法经过严格的批准手续。”

什么是网络远程勘验？网络远程勘验，是指通过网络对远程计算机信息系统实施勘验，发现、提取与犯罪有关的电子数据，记录计算机信息系统状态，判断案件性质，分析犯罪过程，确定侦查方向和范围，为侦破案件、刑事诉讼提供线索和证据的侦查活动。

网络远程勘验类似于对犯罪现场的勘验。在传统犯罪中，犯罪嫌疑人会在犯罪现场留下指纹、足迹、DNA、凶器等痕迹和物证。而在网络犯罪中，犯罪嫌疑人使用计算机、网络、手机等智能终端设备时，在虚拟空间中也会留下相关的犯罪痕迹和侦查线索，与传统犯罪现场相比，遗留的线索和证据材料多是以电子数据的形式存在。网络犯罪现场可能是一台计算机、一台手机、一个局域网甚至是一个大型网络，可能涉及多个领域。犯罪嫌疑人的物理活动范围和涉案电子设备的物理地址有可能是分离的，比如，犯罪嫌疑人在国内，赌博网站、淫秽色情网站的服务器托管地却在国外。网络远程勘验的目的就是进入特定计算机信息系统去寻找与犯罪相关的证据，判断案件性质，分析犯罪过程。

由于一些技术侦查措施也能够通过网络完成，因此，利用计算机网络实施的技术侦查措施和网络远程勘验可能存在交叉。

什么是技术侦查措施？根据《公安机关办理刑事案件程序规定》，技术侦查措施是指由设区的市一级以上公安机关负责技术侦查的部门实施的记录监控、行踪监控、通信监控、场所监控等措施。技术侦查措施的适用对象是犯罪嫌疑人、被告人以及与犯罪活动直接关联的人员。

根据刑事诉讼法第一百四十八条规定，公安机关在立案后，对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件，检察机关在立案后，对于重大的贪污、贿赂犯罪案件以及利用职权实施的严重侵犯公民人身权利的重大犯罪案件，经过严格的批准手续，可以采取技术侦查措施。

按照上述规定，侦查人员未经授权，采取侵入或者控制他人计算机信息系统的手段，对他人的记录、行踪、通信等进行监控的，应当认定为技术侦查措施，必须符合刑事诉讼法规定的条件，并依法经过严格的批准手续，方可实施。

（五）采取打印、拍照或者录像等方式固定证据。《规定》强调了收集、提取电子数据应当以扣押原始存储介质为原则，以直接提取电子数据为例外。但是，实践中存在既无法扣押、封存原始存储介质，又不能提取电子数据的情况，例如，某些自动删除信息的即时通信工具，即使扣押、封存通讯设备也无法恢复数据。因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的，《规定》明确可以采取打印、拍照或者录像等方式固定相关证据，并在笔录中说明原因。

（六）冻结电子数据。随着云计算、大数据等信息技术的发展，越来越多的电子数据存储在云系统中，无法扣押原始存储介质，直接提取海量电子数据的难度非法大，不仅耗时、耗力、低效，难以保证提取过程中电子数据不会被篡改和灭失，并且在提取后不便展示。例如，“E租宝”案中大量电子证据是从云系统提取的，这些数据只有在云环境下方便查看、筛选。

为了解决上述问题，《规定》第十一条、第十二条规定了冻结电子数据的证据保全措施，明确了在四种情形下，经县级以上公安机关负责人或者检察长批准，可以要求电子数据持有人、网络服务提供者或者有关部门协助侦查机关（部门）对数据进行冻结。

冻结电子数据的目的是在一定时间内（通常是诉讼期间内）使电子数据不被增加、删除或者修改，甚至不能被未经授权的人员查看。冻结电子数据的方法应当采取以下一种或者几种方法：一是计算电子数据的完整性校验值；二是锁定网络应用账号，如设置相应的访问控制权限；三是其他防止增加、删除、修改电子数据的措施。实践中，大部分网络服务提供商已经面向用户开展冻结服务，并且具备了内部的技术操作规范，能够保证在技术上安全可行。关于冻结和解除冻结电子数据的程序，《规定》明确，冻结电子数据应当制作协助冻结通知书，注明冻结电子数据的网络应用账号等信息，送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的，应当在三日内制作协助解除冻结通知书，送交电子数据持有人、网络服务提供者或者有关部门协助办理。

（七）收集、提取电子数据的程序要求。《规定》第十四条要求，收集、提取电子数据，应当制作笔录，记录案由、对象、内容，收集、提取电子数据的时间、地点、方法、过程，并附电子数据清单，注明类别、文件格式、完整性校验值等。实践中，尤其需要注意的是，为了确保电子数据的真实性和完整性，应当在第一时间计算完整性校验值，并在笔录中记录下来，以便在之后的诉讼阶段可以通过比对完整性校验值来验证电子数据是否被篡改。收集、提取电子数据的笔录应当由侦查人员、电子数据持有人或者提供人签名或者盖章；电子数据持有人或者提供人无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。有条件的，应当对相关活动进行录像。需要注意的是，在收集、提取电子数据的笔录中，一般只需要电子数据持有人（提供人）签字盖章即可，只有当持有人（提供人）无法签名或者拒绝签名的情况下，才应由见证人签名或者盖章。在电子数据持有人（提供人）和见证人均不在场的情况下，必须对收集、提取电子数据的过程进行录像。

（八）对见证人的要求。《规定》第十五条对见证人作了集中规定，要求收集、提取电子数据，应当根据 刑事诉讼法的规定，由符合条件的人员担任见证人。根据刑事诉讼法第一百三十一条、第一百三十八条、第一百四十条的规定，侦查人员进行勘验、检查、搜查、查封、扣押时，应当有见证人在场。勘验、检查、搜查笔录和查封、扣押清单应当由见证人签名或者盖章。在案件审理过程中，相关笔录、清单是否有见证人签名或者盖章是审判人员着重审查的内容之一。

下列人员不得担任刑事诉讼活动的见证人：

（1）生理上、精神上有缺陷或者年幼，不具有相应辨别能力或者不能正确表达的人；

（2）与案件有利害关系，可能影响案件公证处理的人；

（3）行使勘验、检查、搜查、扣押等刑事诉讼职权的公安、司法机关的工作人员或者其聘用的人员。

法律明确不允许辅警、保安人员等作见证人。对于案件涉及国家秘密和违法信息的情形，刑事诉讼法并未明确规定可以没有见证人在场，不安排见证人没有法律依据，但可以采取必要的保密措施。针对同一现场的多个计算机信息系统收集、提取电子数据的，可以由一名见证人见证。

对确实由于客观原因，无法由符合条件的人员担任见证人的，应当在笔录中注明情况，并对相关活动进行录像。《规定》第十五条要求与刑事诉讼法要求一致。需要注意的是，没有符合条件的见证人的，不仅应当在笔录中注明情况，同时必须对相关活动进行录像，二者缺一不可。仅出具工作说明，而无录像记录的，该侦查活动收集、提取的证据不具有合法性，应当依法排除。

四、电子数据的鉴定与检验

在实践中，对专门性问题难以确定时，往往需要由司法鉴定机构出具鉴定意见。刑诉法解释规定：“对案件中的专门性问题需要鉴定，但没有法定司法鉴定机构，或者法律、司法解释规定可以进行检验的，可以指派、聘请有专门知识的人进行检验，检验报告可以作为定罪量刑的参考。” “对电子数据有疑问的，应当进行鉴定或者检验。”首次确立了电子数据鉴定和检验并行的原则。

《规定》第十七条规定：“对电子数据涉及的专门性问题难以确定的，由司法鉴定机构出具鉴定意见，或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件，也可以由最高人民检察院指定的机构出具报告。具体办法由公安部、最高人民检察院分别制定。”该项要求对电子数据鉴定和检验并行的原则作了扩展。

五、电子数据的移送规则

《规定》第十八条、第十九条、第二十条规定了电子数据移送的具体要求，明确了以下规则：

一是对收集、提取的原始存储介质或者电子数据，应当以封存状态随案移送，并制作电子数据的备份一并移送，以防止对电子数据进行人为篡改。

二是对文档、图片、网页等可以直接展示的电子数据，可以不随案移送电子数据打印件，但应当附展示方法说明和展示工具；法院、检察机关因设备等条件限制无法直接展示电子数据的，侦查机关（部门）应当随案移送打印件。

三是对冻结的电子数据，应当移送被冻结电子数据的清单，注明类别、文件格式、冻结主体、证据要点、相关网络应用账号，并附查看工具和方法的说明。

四是对入侵、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据，应当附电子数据属性、功能等情况的说明。

五是对数据统计、数据同一性等问题，侦查机关（部门）应当出具说明。

六、电子数据的审查与判断

（一）对电子数据真实性和完整性的审查。对电子数据的真实性，应当着重审查五个方面的内容：一是是否移送原始存储介质；在原始存储介质无法封存、不便移动时，有无说明原因，并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况。二是电子数据是否具有数字签名、数字证书等特殊标识。三是电子数据的收集、提取过程是否可以重现。四是电子数据是否真实，如有增加、删除、修改等情形的，是否附有说明。五是电子数据的完整性是否可以保证。

传统证据的证据能力包括真实性、合法性、关联性。对电子数据来说，电子数据的完整性是真实性的重要内容。如果完整性无法保证，则意味着电子数据可能被篡改或者破坏，其真实性也难以保证。《规定》第五条列举了六种保护电子数据完整性的方法。相应地，《规定》第二十三条规定了对电子数据完整性的审查方法。

对电子数据是否完整，应当根据保护电子数据完整性的相应方法进行验证：一是扣押、封存电子数据原始存储介质，应当审查原始存储介质的扣押、封存状态。二是对收集、提取电子数据的相关活动进行录像，应当审查电子数据的收集、提取过程，查看录像。三是计算电子数据的完整性校验值，应当比对电子数据完整性校验值。四是对制作、封存的电子数据进行备份，应当与备份的电子数据进行比较；五是对于冻结的电子数据，一般均会由计算机信息系统自动记录被冻结电子数据的访问操作日志，应当审查冻结后的访问操作日志。

（二）对电子数据合法性的审查。收集、提取电子数据是否合法，应当着重审查以下内容：一是收集、提取电子数据是否由二名以上侦查人员进行、取证方法是否符合相关技术标准。二是收集、提取电子数据是否附有笔录、清单，并经侦查人员、电子数据持有人（提供人）签名或者盖章；没有持有人（提供人）签名或者盖章的，是否注明原因，对电子数据的类别、文件格式等是否注明清楚。三是是否依照有关规定由符合条件的人员担任见证人，是否对相关活动进行录像。需要强调的是，只有在刑事诉讼法规定需要见证人见证的情况下，才应审查是否由符合条件的人员担任见证人，只有在没有见证人的情况下，才需要审查是否对相关活动进行了录像。四是电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备；有条件的，是否制作电子数据备份，并对备份进行检查；无法制作备份且无法使用写保护设备的，是否附有录像。

（三）对网络身份与现实身份同一性和犯罪嫌疑人、被告人与存储介质关联性的审查。身份同一性的认定和“人机对应”是排除合理怀疑的必然要求，也是实践中认定的难点。《规定》第二十五条明确，认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性，可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。认定犯罪嫌疑人、被告人与存储介质的关联性，可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。

（四）非法证据排除规则。《刑事诉讼法》第54条以法律条文的形式对我国非法证据排除规则进行了系统规定，正式确立了排除规则的框架。在实践中，这一规则可以从三大排除规则进行把握：一是绝对排除规则，对于犯罪嫌疑人、被告人供述、证人证言、被害人陈述等言辞证据的绝对排除规则；二是相对排除规则，主要适用于物证、书证；三是可补正排除规则，主要适用于瑕疵证据。

《规定》中的排除性规则主要体现在第二十七条和第二十八条。第二十七条列举了四种收集、提取电子数据存在瑕疵的情形：一是未以封存状态移送的；二是笔录或者清单上没有侦查人员、电子数据持有人（提供人）、见证人签名或者盖章的；三是对电子数据的名称、类别、格式等注明不清的；四是有其他瑕疵的。例如，制作、取得的时间、地点、方式等有疑问，不能提供必要证明或者作出合理解释，来源不明的电子数据，在真实性方面存在疑问，不能作为定案的根据。对于具有上述情形之一的电子数据，经补正或者作出合理解释的，可以采用；不能补正或者作出合理解释的，不得作为定案的根据。

以下三种情形的电子数据不得作为定案的根据：一是电子数据系篡改、伪造或者无法确定真伪的。结合证人证言、被告人供述、被害人陈诉等其他证据材料，以及通过庭外调查核实，鉴定或者检验等方法综合审查后，能够认定电子数据确系篡改、伪造或者无法确定真伪的，应当排除。二是电子数据有增加、删除、修改等情形，影响电子数据真实性的。但是，出于展示证据的客观技术需要而对电子数据进行增加、删除、修改等技术处理，不影响电子数据真实性的，对该电子数据不应予以排除。三是其他无法保证电子数据真实性的情形。对于电子数据应当着重审查其真实性，如果通过综合审查判断，仍然无法保证真实性的，则应当排除。

 

作者：商业刑事法律研究中心