电子数据证据的立体化审查路径——基于载体、数据与内容的递进性质证模型 | 发现原创

随着信息技术的发展，如今电子数据已逐步从原来的边角料证据形态上升为证据的主体，其证据属性愈发显著，如即时通讯记录、云协同文档、区块链智能合约、物联网传感器日志等均属于此类。但是相较于传统的物证或者书证等证据形式而言，电子证据有以下特点：一是以信息形式存在，需借助设备来解读；二是可以通过精准的方式进行篡改，但并不留下任何痕迹；三是复制件可以做到与原件完全一致，都是几乎可以达到比特级的一致，以至于可能导致“原件”的概念变得非常模糊。在这种情况下，按照传统的线性的证据审查思维极易落入“不敢质”和“胡乱质”的尴尬处境中。

目前法庭上质证电子证据有两种不正常的状况，一种是技术上的“失语”，只说这个真实性不认可的例行公事，缺乏技术法理支持；一种是一刀切，一概说不行，缺乏有重点的针尖对麦芒式的打击，这些根本原因就是缺少这样一种能够涵摄整个电子证据生命周延过程，涵盖每个环节各方面的风险因素的一个整体性的结构化审查机制。如果能使质证范式由“点状质疑”向“体系化审查”转变，并建构出全方位的、涉及一切问题线索的一种环境下的一个全景式的分析路径，那么势必会对如何提高诉讼攻防能力起到决定性的助力作用。

证据能力是证据材料进入法庭调查的通行证。对于电子证据而言，其证据能力的首要关卡便在于载体来源与取证行为的程序合法性。

电子数据附着在储存介质上形成，获取储存介质方式直接影响到电子证据的纯净程度。

1.来源合法性审查：必须追查存储介质最初是如何取得的，是当事人自己提供的还是司法机关依法定职权采取强制措施所得？比如，在劳动争议纠纷中，用人单位在收回离职员工的办公电脑后，擅自从该电脑恢复其之前收到的密件邮件，在这种情况下，则要审查被收回的办公电脑的所有权情况以及用人单位对于电脑的恢复是否有权限以及是否超越界限。如果未经授权，直接进入他人的手机、电脑、私有云盘等获取涉案数据，因手段违法可能涉嫌侵犯公民个人信息罪、非法侵入计算机信息系统罪，根据《刑事诉讼法》第56条及相关司法解释规定，应当坚决予以排除。

2.固定程序合规性审视：载体提取后的即时封存是电子数据的生命线，正常的封存应当包含形成独立的《电子数据封存笔录》，详细记载封存时现状、封存时间、地点、方法（利用专用防静电袋和写保护设备）等细节，并让所有到场人员予以签章。另外，对于封存状态进行影像记录也非常重要，侦查机关如果仅仅是对扣押的服务器硬盘随便放入物证袋保管而不做任何电子数据层面的封装，那么将来再从物证袋内提取出来的服务器硬盘的数据就失去了作为定案证据所需要的真实性的根基。

取证行为应当在法律授权范围内进行，并遵守比例原则。

1.主体资格判断：取证主体应该具有法律授权，私家侦探采取技术手段得到的他方当事人的聊天记录属于违法证据，因为取证主体没有刑事侦查权，不属于法律规定可以使用的证据种类。对于一些当事人个人采用的更过分、违背善良风俗甚至触犯法律规定的极端方式获取的证据，在行政诉讼和民事诉讼中也会出现法院予以排除的情况。

2.手段合法性甄别：每一种取证方式所面对的门槛是不一样的。

3.网络在线提取与远程勘验：差别化与“黑客”的区别是侦查机关进行远程勘验要提供《远程勘验笔录》等法律文书，且勘验范围不可超越已赋予的范围。

4.技术侦查措施：适用罪犯是严重犯罪的，并需要经过严格的市级以上公安机关负责人的审批，并且受期间的限制。

5.公证保全：无需断言公证是保证电子证据合法性的“免死金牌”，必须考察公证全过程客观真实和中立属性是否充足。如果公证员采取以申办方提供且未作清洁性检查的计算机、网络环境保存网页的形式形成保全公证书，则只能够说明“在该环境下看到了某画面”而不是“该画面客观存在于互联网”，其证明力较低。

从取证到出庭，电子证据往往会经由好几轮转存和格式转化，在每一个环节都有可能遗留隐患。

1.移转链条的完整性：应对证据移交过程中是否使用了哈希值校验或者其他完整性校验手段予以验证，确保证据移交后的原始提取物与在庭审中展示的完全相同。

2.展示环境的中立性：在法庭上面对这类事情时所使用的软硬件都要保持中立，在这之中若对方有借口，我们可以主动提出应用法庭或者双方共同认可的干净设备来进行演示，这样就可以消除其对我们所提交的数据在展示过程是否会存在被篡改情况存在的怀疑。

性的验证程序合法仅为电子证据赢得了入场券，其证明力的核心在于数据自生成后是否保持完整、未被篡改。

用哈希函数生成的校验值(如SHA-256)是检验数据是否完整的金标准，质证方可以要求举证方当庭演示，让其把庭审中呈现的数据文件跟《提取笔录》中记载的原始哈希值进行比对，如果两者的数值相吻合，那就在很大程度上说明了该文件在保管期间没有发生任何变化；反之就是根基已经垮掉。例如，在一起软件源代码侵权案中，若原告庭审中展示的源代码文件的哈希值和取证时做第一次提取的那个值不一样的话，那么就说明他之前有可能对原始的源代码做了改动，那么此时如果原告无法做出合理解释的话，就必须认定这份证据不符合真实性的要求。

1.可信时间戳：由国家授时中心负责授时、守时保障工作的联合信任时间戳服务中心签发的时间戳是具有权威性的第三方凭证，能够证明在某一时间点上电子数据确实存在并完整无缺。如果是在著作权权属纠纷案件中的话，经过时间戳固定的原始文件如创作稿可以通过证明本案所诉作品的创设完成时间来对抗对方提出的在先权利主张。

2.区块链存证：通过运用区块链的分布式账本、共识机制和加密算法等特性，可以达到电子数据的去中心化存证以及可溯查目的。质证的时候应当注重存证平台的技术可靠性和程序合规性，但因为《最高人民法院关于互联网法院审理案件若干问题的规定》中已经首次确认了区块链存证的证据效力，所以质证一方可以从数据“上链前”是否清洁、数据生成环境是否可靠、所用区块链是否是“联盟链”以及节点是否有权威性等方面予以质疑。

元数据是“关于数据的数据”，系统日志则是系统活动的忠实记录者。它们是挖掘数据真实生命周期的富矿。

1.内在矛盾剖析

一份声称于2022年撰写的Word文档，其元数据却显示其“创建时间”为2023年，这种内在矛盾是证明文件系后期伪造的强力证据。

2.行为轨迹重建

服务器日志中发现在关键时间点有来自特定IP地址的异常“批量删除”操作记录，则可对相关数据的完整性提出严重质疑，甚至可能反向推导出行为主体。

即便电子证据通过了合法性与真实性的检验，其最终能在多大程度上证明待证事实，仍取决于其内容与案件事实的关联强度及能否融入完整的证据体系。

电子通信内容常因语境缺失而产生多重含义。

1.语境还原

截取的聊天记录片段“我同意。”可能孤立看来是承诺，但在完整对话中可能是“我同意……你的看法是错误的”的前奏。质证时必须要求提供完整的、未经裁剪的通信记录。

2.数字符号释义

网络用语（如“呵呵”）、行业暗语及表情符号（如“吃瓜”）的含义具有高度不确定性和时代演变性。对其解读应结合具体语境、行业惯例、双方交易历史等因素进行综合判断，避免单方主观臆断。

虚拟身份与现实主体的关联是电子证据关联性认定的常见瓶颈。

1.身份绑定

证明微信账号“乘风破浪”属于被告张三，需要一系列旁证形成链条，例如：该账号绑定的手机号为张三实名登记；账号在聊天中提及了唯有张三知晓的个人信息；线下活动中该账号使用者被确认为张三；或对方当事人在诉讼中作出了自认。

2.行为归因

间接证据像是IP地址，在网络侵权案中想要证明被告发布某篇诽谤贴文，仅因为这个诽谤贴文所对应的IP地址与被告所使用家庭宽带的IP地址相同这一点就认为该贴文为被告所发是不可能的，还要考虑到在这一段时间内，并非只有该IP地址的所有者（被告）才会使用该地址，另外也无法排除他人的无线网络使用了被告账户这一可能性。对于这种仅仅基于单一IP地址属性的证据应当和其他证据（例如账号登陆时间地点记录、终端设备信息、行为习惯分析等）相结合才能最终形成高度盖然性认定。

对于诸如计算机司法鉴定意见、数据库源代码审计、加密算法破解等运用了高科技专业领域的电子证据而言，应用《民事诉讼法》第八十二条所规定的专家辅助人制度，请专家辅助人在庭审中对鉴定的方法是否科学合理、分析判断的理由是否充分等提出意见，是律师反驳趋利型趋技术化的控方或对方电子证据的主要利器之一，有利于在质证环节实现对控方、对方技术型证据的深技术法理式的博弈而获得辩护目的。比如，就质证一份系统操作日志时，通过请专家辅助人就系统时钟同步机制方面存在的漏洞进行举证，证明日志的时间是可以被恶意偏移的，并以此颠覆日志与重要事件之间的时间联系。

为将上述理论模型转化为法庭上的有效攻防，建议遵循以下“四阶十步”质证法：

第一步，溯源：“尊敬的法庭，该电子数据存储介质源于私自恢复，未获授权，系违法取得，依据《刑诉法解释》第一百二十一条，应予排除。”

第二步，审程：“该公证保全全程使用申请方设备与网络，环境可控，清洁性存疑，无法排除数据预先植入或展示欺诈的可能，故对其关联互联网客观事实的证明力不予认可。”

第三步，核验：所谓“举证方未能完成当庭哈希值校验，无法证明数据自固定后未受篡改，对其持续性真实状态我方不予确认。”

第四步，析微：这份文件元数据存在“该份关键文档元数据存在创建时间晚于最后修改时间的逻辑悖论，强烈提示其为后期伪造生成。”的问题，说明这份关键文件的元数据可能为后期伪造。

第五步，索全：“对方出示的系片段化截图，我方现申请调取自某年某月某日起的完整、连续、包含元数据的云端通信记录。”

第六步，辨链：也就是说，“该区块链存证仅能证实上链后状态，对于数据从上链前到生成瞬间的原始性与完整性，举证方并未提供任何保障。”。

第七步，锁身：“该社交媒体账号未完成实名认证，聊天内容亦不涉及任何可识别身份的信息，与本案当事人缺乏起码的关联性。”

第八步，归因：“涉案IP地址为公共咖啡馆Wi-Fi，在事发时段内有数十名不特定用户连接，据此无法唯一性地指向我方当事人。”

第九步，解意：“对方对‘OK’手势表情的单方解读过于武断，结合上下文语境，它更可能表示‘收到’而非‘同意’。”

第十步，借力：“鉴于该电子数据鉴定意见涉及高度专业的数据库知识，我方申请通知有专门知识的人出庭，协助法庭厘清相关技术争议。”

电子证据的质证从某种意义上说是一场融会着法律思辨和技术分析的复合型竞技，笔者提出的“载体—数据—内容”的质证层次递进式模型是希望突破以往传统的线性思维模式而形成的具有多元、全面视野的多角度、多层面的审查方式，并通过技术规范、程序性规范和实体性规范的内在交融对司法人员指引其由表到里、由形到实地看待电子证据。只有用这种精细化的、体系化法庭攻防才能去伪存真，才能做到在大量的电子证据中仔细甄别出哪些才是真正的可作为认定事实的依据，在技术日新月异的今天为我们留住公正的生命线。 

[1]刘品新：《电子证据法》，中国人民大学出版社，2022年版。

[2]最高人民法院《关于互联网法院审理案件若干问题的规定》，法释〔2018〕16号。

[3] 公安部《公安机关办理刑事案件电子数据取证规则》，公通字〔2019〕21号。

[4] 张卫平：《民事证据制度现代化的转型逻辑》，《法学研究》，2020年第5期。

[5] 谢登科：《电子数据区块链存证的法律规制》，《法学论坛》，2021年第2期。

[6] 王燃：《时代变迁中的证据法学》，《中国法学》，2023年第1期