论网络取证的立法困境与出路

洪 洋

（中南财经政法大学，湖北 武汉 430073）

相较于传统意义上的“线下犯罪”，具有科技性、智能性、数字化、跨国化等特点的网络犯罪已成为犯罪活动的主力军。为了收集网络犯罪证据、揭露并证实犯罪行为，应将证据调查的目光聚焦在“电子证据”的范畴之中，充分挖掘数字信号、电磁记录及其存储介质的证据能力与证明力。颇为遗憾的是，我国的网络取证工作并未紧随时代发展的步伐，其立足点依然建立在有效应对传统犯罪的基础之上。虽然我国《刑事诉讼法》《民事诉讼法》《行政诉讼法》已经确立了电子数据法定的证据资格，但这一立法回应在推动网络犯罪调查取证的层面上并未谱写出优美的乐章，立法的原则性规定与注重可操作性的司法实践之间已经出现了愈加明显的鸿沟。质言之，由于“专门知识的人”取证能力规范存在疏漏、取证程序规范不明晰、取证方法与标准规范不合理等立法缺憾，植根于网络时代的证据调查活动正面临着日益突显的困境。职是之故，应以完善现阶段的立法规范为核心，探寻证据调查的可能出路，改进与重构证据调查的具体操作范式。

一、证据调查与网络取证的张力

网络技术的发展为网络诈骗、网络赌博、网络涉毒涉黄涉恐等犯罪行为提供了滋生蔓延的虚拟空间。在网络犯罪面前，侦查人员应广泛收集证据，使证据达到确实、充分的程度并排除合理怀疑。可以说，网络时代的证据调查实际上正是网络取证的生动体现。为了较好地展现网络取证的价值构造与运行模式，应对其进行概念层面的界定，以探明其与传统证据调查之间存在的张力。

美国计算机安全专家首次提出了“网络取证”概念，但或由于网络开发应用尚未形成风潮，网络取证常与计算机取证、电子取证、数字取证纠缠在一起，内涵与外延不甚分明。时至今日，网络取证有了更为确切与明晰的定义。如有学者指出，网络取证植根于云计算环境之中，是记录与分析网络事件以发现安全攻击或安全事件的来源，防范因网络连接与数据传输而产生的被非法利用、入侵及其他犯罪行为的活动。[1]另有学者主张，网络取证是指对能够为法庭接受、足够可靠与有说服性的，存在于计算机网络与相关设备中的电子证据的确认、保护、提取与归档的过程。[2]还有学者认为，网络取证是对电子数据等网络数据资源的提取、存储与分析，并用于证明各种网络违法行为及其造成的损失。[3]虽然上述观点有所分歧，但其要旨大同小异，均从某一侧面反映了网络取证的基本特征。首先，在取证活动的性质方面，网络取证具有明显的“事前性”，其是犯罪行为发生前的积极应对，重视犯罪的预防效果；其次，在取证活动的范围方面，计算机及其配套设备固然应包含在内，而更重要的则是电子数据及其存储介质；再次，在取证活动的依据与标准方面，应采取合法的方式进行，使获得的电子数据具有证据资格与较强的证明力；最后，在取证活动的过程方面，主要包括证据收集的准备、提取并保全证据、检验并分析证据、归档并提交证据等阶段。

从网络取证的概念与特征中可以发现，其与证据调查之间具有不言自明的张力——网络取证是证据调查的“升级版”，彰显了证据调查网络转型的时代风貌。可是，在目前的司法实践中，传统的证据调查思维与取证方法依然是笼罩在网络取证上空挥之不去的阴霾，取证思维与方法的错位不仅使电子数据的真实性与合法性游走在不确定性的边缘，更制约了通过电子数据揭露犯罪行为进而依法打击网络犯罪这一调查取证目标的实现。申言之，网络取证不同于传统的证据调查活动，其拥有自己的运行轨迹与方法论选项，网络取证逐渐陷入实践困境的根源在于，违背客观规律与技术要求的取证行为忽视了证据调查的专业性特征，取证前的准备、电子数据的提取与保全以及检验与分析尚无统一的法律规范标准与行之有效的操作规则。

二、网络取证的立法困境探赜

（一）从电子数据的规范界定看立法困境

若对网络取证的主要对象也即电子数据的立法定位作一概括分析，那么可以发现立法对其终持谨慎保守的态度，作为独立证据种类的电子数据在我国经历了漫长的演变发展过程。一方面，电子数据是否等同于视听资料？若不等同，二者是否必然交织在一起？二者的界限应作何厘定？为了合理解答上述疑问，我国的法律规范先将电子数据划分到视听资料的证据范畴中，认为视听资料包括电子数据，不需刻意区分二者的界限。伴随着信息技术的飞跃，电子数据日益超出了视听资料的涵摄范围，其走向独立的脚步更加坚定。因此，我国的《刑事诉讼法》《民事诉讼法》《行政诉讼法》均赋予了电子数据独立的法律地位。另一方面，应当关注的是，不同于《民事诉讼法》与《行政诉讼法》，《刑事诉讼法》将视听资料与电子数据并列作为独立的证据种类，①我国《刑事诉讼法》第50条第1款规定了证据的种类，即“（一）物证；（二）书证……（八）视听资料、电子数据”。看似并无任何不妥，而若揭开包裹在这一立法安排之上的神秘面纱，出现的问题便会浮出水面——作为“最新也最具开发潜力的科学证据”[4]的电子数据会受制于视听资料间接证据性质的束缚，如此减损了电子数据本应具有的证明力，根本不利于其证据作用的充分发挥。[5]对此，应厘清电子数据与视听资料的界限，使其成为《刑事诉讼法》中单列的证据种类。

除此之外，我国的诉讼法律规范并未涉及电子数据取证的具体标准与审查判断的基本要求。《人民检察院刑事诉讼规则》《计算机信息系统安全保护条例》《公安机关办理刑事案件程序规定》《计算机犯罪现场勘验与电子证据检查规则》（以下简称《计算机犯罪检查规则》）等部门规定虽然对电子数据的收集、扣押、保全等事项进行了回应，但其要么具有应急性的面向，要么带有零散化的色彩，要么因原则化而难以切实执行。可以说，当务之急是建立系统化的电子数据法律规范体系，拟制并细化法律标准，彻底改变“有立法，无规则，难落实”的尴尬境地。

（二）从网络取证的具体阶段看立法困境

1. 网络取证的准备阶段，主要包括取证人员与技术的准备以及取证监督机制的设立两个维度。其一，对具有浓厚信息化色彩的电子数据的收集需要专门的取证人员与先进的取证设备。《计算机犯罪检查规则》第8条规定，“计算机犯罪现场勘验与电子证据检查，应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。必要时，可以指派或者聘请具有专门知识的人参加”。由此可知，参与取证活动的两类参与主体分别为侦查人员与“专门知识的人”，其也是“人员准备”的应然之意。但是问题在于，“专门知识的人”应作何认定？是否有划定统一标准对“专门知识的人”进行立法规范的必要？对此该《规则》语焉不详，这也制约着网络取证主体取证能力的发挥。此外，该《规则》并未规范取证设备，“应当具备计算机现场勘验与电子证据检查的专业知识和技能”的取证人员必须借助合法有效的取证设备方可收集具有证据能力的电子数据，可以说，在法律规范中明确取证设备的合法性确有必要。其二，在诸多网络犯罪案件中，电子数据往往兼有合法与非法双重面向，取证不当必然会侵犯他人的合法权益，造成不必要的损失。为了改变这一被动局面，应当设置科学合理的取证监督机制。然而，《公安机关办理刑事案件程序规定》《公安部刑事案件现场勘查规则》《计算机犯罪检查规则》等指导侦查实践开展的规范文件对该机制或避而不谈，或“轻描淡写”①如《计算机犯罪现场勘验与电子证据检查规则》第5条规定，“计算机犯罪现场勘验与电子证据检查，应当严格遵守国家法律、法规的有关规定。不受其他任何单位、个人的干涉”；第7条规定，“计算机犯罪现场勘验与电子证据检查工作，应当以事实为依据，防止主观臆断，严禁弄虚作假”。，取证监督机制的疏漏怎能保障证据的合法性？

2. 网络取证的提取与保全阶段。电子证据的提取与保全应认定为是同一过程，或者说二者是网络取证的一体两面——第一，提取电子证据是对其进行保全的前提，电子数据的不稳定性、易篡改性急切呼唤固定保全事宜；第二，唯有及时保全电子证据才能保障其完整性与真实性。[6]由于提取与保全同步进行的取证意识缺失，《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》对收集、提取电子证据进行了较为详尽的规范，而对证据的封存、固定与保全程序只作了“应当以封存状态随案移送，并制作电子数据的复制件一并移送”的简要规定。可想而知，在司法实践中网络证据的提取与保全很难保持同步性与统一性。此外，不同于传统实物证据的封存方式，电子数据必须依赖一定的存储介质方可存在，对存储介质的封存其实充满技术挑战性。如电子数据被加密处理后，只能在特定的设备与电磁环境中才能使用，这对封存方式提出了新的挑战：以物理方式封存仍有潜在风险——证据部分或全部灭失以至其真实性无法判断。纵观我国现阶段的法律规范与网络取证实践，最大的问题即是采取何种技术性手段进行封存保全。

3. 网络取证的检验与分析阶段。网络取证的检验是对电子数据进行的技术性审查，分析是将数据中的信息予以重新整合，以形成一个合理的结论来回溯案发的经过，这一过程的主要任务是确认电子数据收集的完整程度及其证据能力与证明力。证据完整性的检验与分析聚焦在电子数据的整体连贯性场域之中，主要包括三项审查任务：一是电子数据本身记载内容的完整性；二是负载电子数据内容信息的完整性；三是电子数据依附系统的完整性。[7]不容回避的是，我国的法律规范并未过多关注网络取证的检验与分析。如《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（以下简称《办理网络犯罪案件的意见》）第17条第4款只从侧面规定了“对数据统计数量、数据同一性等问题，公安机关应当出具说明”，《关于电子数据收集提取判断的规定》第19条第2款“对数据统计量、数据同一性等问题，侦查机关应当出具说明”的规定如出一辙，均未对何为电子数据的完整性作出任何说明解释，“数据统计数量”的模糊用语根本无法表达出数据的完整性之意。《计算机犯罪检查规则》虽然规定了“检查电子证据的完整性”的三项原则，①《计算机犯罪现场勘验与电子证据检查规则》第26条规定，“（一）对于以完整性校验方式保护的电子数据，检查人员应当核对其完整性校验值是否正确；（二）对于以封存方式保护的电子设备或存储媒介，检查人员应当比对封存的照片与当前封存的状态是否一致；（三）存储媒介完整性校验值不正确、封存状态不一致或未封存的，检查人员应当在《电子证据检查笔录》中注明，并由送检人签名”。但其侧重点在于对存储媒介完整性校验值的检验，忽视了完整性的其他维度以及电子数据本身的合法性与真实性的审查与检验。由此便在司法实践中埋下了隐患——出于侦查破案的迫切需要，取证人员带上了“有色眼镜”，专门收集有罪证据，将罪轻乃至无罪证据排除在取证范围之外，人为地割裂了惩罚犯罪与保障人权的联系。

三、网络取证的立法出路展望

由于“电子数据技术无限性与法律有限性的冲突”[8]愈加严重，对法律有限性的克服亟需予以重点关注。基于此，应统筹兼顾、立足现实、着眼长远，从基本原则与具体规则两个方面完善现阶段的立法，最大限度地缓和网络时代证据调查面临的沉重压力。

（一）确立网络取证的基本原则

电子数据是证据的独立种类，理应符合客观性、关联性、合法性的要求，我国三大诉讼法确立的诸如合法取证原则、全面取证原则与及时取证原则对于电子数据依然适用。[9]当然，不同于传统的取证方式，网络取证需遵循一定的特殊原则。如有学者指出，网络取证应“尽早收集证据防止其受到破坏、保证证据的连续性、取证过程必须受到监督”[10]；另有学者将特殊原则归纳为“对于含有电子证据的媒体至少应制成两个副本原则、环境安全原则、取证管理过程原则”[11]。考虑到立法完善的便捷性，笔者更倾向于以“原始存储介质优先收集、专业人员共同参与、取证监督与合法权益保护”作为网络取证的特殊原则。

1. 原始存储介质优先收集原则。电子证据具有介质依赖性，其本质上正是存储于某一介质之中的数字化信息。有学者援引美国的网络取证经验，指出诸多美国法院已经把电子证据的存储介质当作传统取证中的“容器”，脱离了“容器”的保护其很可能“变质”。[12]此外，优先收集原始存储介质还可以满足法庭认证过程中的“原件青睐”，即向法庭提交的证据应为原件，在原件无法提交的情况下才允许提交复制件。为了使该原则能够较好地指导网络取证活动，不妨在第三方认证的前提下运用电子签名、哈希值校验等电子手段收集电子数据。如有学者主张，由于我国并无“电子数据最佳证据规则”，立法理应确认“原件是原件”：提交的电子数据须有原件价值；经过认证的电子数据才能拥有原件价值；认证的内容为同一性认证、制作者真实身份认证、制作时间认证；认证通常由第三方进行，第三方可以是法院、公证机构、电子认证单位；若只进行“自我认证”应得到对方当事人的认可。[13]

2. 专业人员共同参与原则。网络取证固然应收集、保全原始存储介质，而若介质被犯罪嫌疑人恶意破坏或意外灭失，仅通过数据拷贝则难以完成取证事宜。因此，应把突破口放在专业人员共同参与之上，这也是侦查工作“群众路线”的应有之义。详言之，可从如下两个方面进行立法规制。其一，规划定期的培训学习与实践演练，提高侦查人员的信息技术水平。在信息主导警务的洪流不可逆转的前提下，侦查人员尤其是取证人员理应获得遏制“信息犯罪”的主动权，理应具备网络取证的基本技能。其二，把规制的重点放在“专门知识的人”之上。“专门知识的人”包括但不限于具有相关资质与中立属性的人或第三方机构，其往往精通计算机、通信等技术知识，可以洞察电子取证的现实需求，能够提供先进的软硬件设施与技术支持，与侦查人员形成良性互动。[14]鉴于《互联网信息服务管理办法》与《计算机犯罪检查规则》已有“专门知识的人”的相关规定，使其有序参与网络取证的条件已经成熟，目前需要改进的是规范其准入门槛。首先，应赋予中立的人或第三方机构以取证权能，使其有权利协助侦查人员进行网络取证。其次，应设置督促机制，依法要求其义务提供相应的网络数据。①我国《刑事诉讼法》第54条第1款规定，“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据”，这从法律上肯定了网络服务者如实提供电子数据的义务。最后，应仿照鉴定人职业资格考试、法律职业资格考试等职业化的考试制度，建立适用于“专门知识的人”的考试标准，要求其参加考试以获得协助侦查人员取证的准入资格，使其既谙熟法律知识，又能在网络服务与数据监管等专业化知识层面更上一层楼。

3. 取证监督与合法权益保护原则。网络取证是公私权力的博弈场，该原则是防止网络取证活动越轨、逾矩的良方妙药，在取证的准备阶段即应设立监督机制，并贯穿取证过程始终。电子数据具有海量储存性、分散储存性、高速流转性等特征，其常与合法的存储数据相混同，如果不加区别径自收集证据，很可能会侵犯他人的隐私权等合法权益。[15]为了平衡公权力与私权利、侦查权与隐私权之间的紧张关系，应区分情形对取证的范围进行必要的限制。若不可避免地侵犯了第三方的权利与正当利益，应采取可行的措施降低损失并给予适当补偿。[16]对取证人员行为的监督极易理解，但笔者认为对取证设备也应予以合法性监督、备案型监管。其一，应运用合法的取证设备收集证据，杜绝非法取证的出现；其二，应制作完备的网络取证设备清单；其三，应由专业人员定期或不定期对设备进行维护，并记录详细的维护情况。这些皆可大幅降低取证过程中的突发风险，使收集的电子数据远离“毒树之果”的侵蚀。

（二）确立网络取证的具体规则

1. 网络取证的准备阶段。第一，设立多元化的取证主体。应积极推进电子取证平台建设，尽早组建“侦技合一”的电子取证专门队伍，[17]使经过专业学习与系统培训的网侦、技侦人员主导网络取证的开展。为了节省侦查资源、提高取证效率，具备网络取证准入资格的“专门知识的人”亦是合法的取证主体，应使“专门知识的人”参与取证工作成为常态，扩大其在网络取证范畴内的生存空间。第二，对现场予以全面保护。网络犯罪的现场基本上包括物理现场与虚拟现场两部分。《公安机关刑事案件现场勘验检查规则》对保护程序进行了规范，①《公安机关刑事案件现场勘验检查规则》第15条规定：“负责保护现场的人民警察应当根据案件具体情况，划定保护范围，设置警戒线和告示牌，禁止无关人员进入现场。”但该规定挂一漏万，难以满足电子取证现场保护的需要。对此，应作如下补充规定：首先，封锁可疑的犯罪现场，防止无关人员破坏现场环境；其次，封锁整个计算机区域，包括通信线路、电磁辐射区，重点保护好计算机系统与日志、应用软件备份以及数据备份；[18]再次，及时复制计算机内的数据信息资料，完整记录有关的犯罪活动，防止电子数据的篡改与灭失；最后，务必切断远程控制，并对存储介质、网络部件等涉案物品进行查封。概言之，两种现场应分别保护，保护物理现场设置警戒线与告示牌即可，保护电子现场必须断开网络链接，断开电子设备与其他设备的连接，切断电子设备的电源。第三，现场勘查不放松。取证人员应对案发地点的电脑、手机、网络及相关存储介质进行勘验、检查，通过文字、绘图、录音、录像等方式全面记录与犯罪有关联的客观事实。

2. 网络取证的提取与保全阶段。电子数据的提取包括两项相互衔接的步骤，其一是搜查、扣押存储介质，其二是对存储介质中的电子数据进行收集。《办理网络犯罪案件的意见》与《计算机犯罪检查规则》对证据的提取进行了规范，但其尚有明显的疏漏之处，即见证人或许被边缘化。《办理网络犯罪的案件》给予了见证人可有可无的形象，即只有在提取以及封存原始存储介质时原始存储介质持有人无法签名或拒绝签名，才能由见证人签名或盖章。而《计算机犯罪检查规则》直接规定，“现场勘验检查，应当邀请一至两名与案件无关的公民作见证人”。见证人不仅是程序合法性的必备要素，更是监督取证活动不可或缺的一员，应统一其法律地位：提取电子数据，应由二名以上具备相关专业知识的侦查人员和与本案无关的个人或第三方机构进行，同时应邀请一至两名与本案无关的公民担任见证人。出于维护取证程序公正性的现实考量，侦查人员应依据相关法律规范予以回避。

在提取电子数据的过程中，证据的保全应如影随形，并应把重点放在介质的信息保全之上。获得原始存储介质后，最稳妥的保全方式是对电子数据进行备份，如此不仅可以固定原件，还可以防止其遭受任何污染与破坏。还应注意的是，电子数据原件的保全无法脱离特殊的存储环境，应使其远离高温、高磁场、潮湿、灰尘密布的空间。在保全的程序方面，取证人员首先应记录案由、证据内容、复制的时间与地点、文件的规格与类别等信息；其次是进行复制，复制的过程应全程录像并接受见证人的监督；最后是复制件的保存，应将复制件一式三份，取证人员一份，原始存储介质持有人一份，与案件无关的辅助取证人员一份，原始存储介质持有人应以签名或盖章的方式予以确认。除此之外，一种应运而生的保全——以“公证云”为平台的网络公证亦颇有值得参考借鉴之处。当传统意义上的公证制度脱胎换骨之际，为网络与电子商务服务的网络公证渐渐映入人们的眼帘。网络公证通过在实体上对电子数据进行实质性审查，能够以不偏不倚的公证程序、公开透明的公证过程保障电子数据的证据资格。[19]当事人双方只需在计算机中输入指令，数据电文便会以加密的形式传送到网络公证机构，在网络公证员对当事人的数据核实无误后，加上自己的数字签章并存档备查公证即宣告完成。[20]可以说，公证与网络世界的完美融合已成为提高电子数据保全效率的最佳出路，其理应获得立法的支持。

3. 网络取证的检验与分析阶段。对收集的电子数据进行检验与分析主要是为了审查其证据能力与证明力，如果具有证据能力，得归档并向法庭提交。通常情况下，检验与分析的客体应为原始存储介质的复制件。为了弥补我国现阶段的立法困局，应从如下方面探索网络取证检验与分析的应然出路。首先，取证人员应检验存储介质的来源是否具有合法性，具体包括取证主体是否合法、取证设备是否合法、取证程序是否合法等。其次，电子数据是数字化的电磁记录，其易被篡改、毁灭，更何况由于反取证技术的发展，网络犯罪嫌疑人常会运用科技手段无痕地修改涉案数据，这对完整性的分析鉴定提出了更高的要求。在数据恢复或修复技术尚未完全发展成熟的时代背景下，或许可以要求拥有信息技术优势的网络服务提供者承担起更多的完整性审查的义务：及时检验电子数据中待证事实信息与审计信息是否有删改迹象，并整合两种数据信息，尽可能地还原案件的本来样貌。最后，取证人员还应检验存储介质的真实性。原始存储介质“生存”在一定的设备与系统中，其真实性会受到设备与系统状态的影响，对于出现异常且运行不稳定的设备与系统应予以重点检验。唯有如此，网络时代的证据调查活动才会永保青春与活力，获得更多的与网络犯罪博弈的筹码。