电子数据取证中应注意什么?
一、对电子数据的认识
电子数据属于法定的行政处罚证据类别,位列《行政处罚法》第四十六条规定的八大类证据第四位。电子数据不同于物证、书证等传统证据形式,它是以虚拟而非实体形态存储、处理和传输的,极易被悄无声息、不留痕迹地篡改或破坏,并且不易恢复,一般把它定位为弱势证据,不能单独作为定案根据使用,需要与其他证据形成相互印证关系成为证据链才能作为定案根据。与视听资料证据不同,视听资料存在于磁介质上,而电子数据存在电子载体上,且电子数据的信息和载体是可以分开的。如果视听资料是以电子数据形式出现,则适用电子数据的举证规则。
执法实践中如果当事人对电子数据没有异议,可以认定,如果有异议则需要鉴定。这是电子数据作为证据的一个最显著的特征。
正因如此,电子数据的收集、提取应当遵循更为严格的流程,以充分保障其真实性、完整性和有效性。
二、保护电子数据完整性的通用方法
电子数据完整性是真实性的要素之一,甚至是最重要的要素。因此,在电子数据收集、提取过程中,应当采取以下一种或者几种方法保护电子数据的完整性:
1. 收集电子数据原始存储介质。存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。原始存储介质即存储电子数据的原始载体。
2. 计算电子数据完整校验值。实践中要求第一时间计算完整性校验值,并在笔录中注明。当需要验证电子数据是否完整、是否被增加、删除、修改时,便可以采用同一算法对电子数据再计算一次,将两次所得的值进行比较,看是否发生了变化。
3. 制作、封存电子数据备份。具体操作中,可以制作多个备份,封存其中部分备份件,将其余备份件用于进一步的检查分析。
4. 提请公安机关冻结电子数据。即通过公安机关技术手段,锁定相关电子数据,防止对其进行增加、删除、修改等操作。
5. 对收集、提取电子数据的相关活动进行全程视频记录。鉴于录音相较于录像反映的信息量不足,此处要求全过程视频记录,而非录音或者录像。
6. 其他保护电子数据完整性的方法。
三、电子数据取证的技术标准
电子数据的取证方法应当符合相关技术标准。截至2022年2月,国内电子数据取证相关标准包括国家推荐行业标准4项;公共安全行业标准37项;司法鉴定技术标准及规范19项;认证认可行业标准和规范8项。
四、市场监管行政执法电子数据取证的依据和要求
1.总局令第2号《市场监督管理行政处罚规定》第二十六条有明确规定:“收集、调取的电子数据应当是有关数据的原始载体。收集电子数据原始载体有困难的,可以采用拷贝复制、委托分析、书式固定、拍照录像等方式取证,并注明制作方法、制作时间、制作人等。市场监督管理部门可以利用互联网信息系统或者设备收集、固定违法行为证据。用来收集、固定违法行为证据的互联网信息系统或者设备应当符合相关规定,保证所收集、固定电子数据的真实性、完整性。市场监督管理部门可以指派或者聘请具有专门知识的人员,辅助办案人员对案件关联的电子数据进行调查取证。”
2.《最高人民法院关于行政诉讼证据若干问题的规定》第十二条规定:根据行政诉讼法第三十一条第一款第(三)项的规定,当事人向人民法院提供计算机数据或者录音、录像等视听资料的,应当符合下列要求:
(一)提供有关资料的原始载体。提供原始载体确有困难的,可以提供复制件;
(二)注明制作方法、制作时间、制作人和证明对象等;
(三)声音资料应当附有该声音内容的文字记录。
3.《最高人民法院关于行政诉讼证据若干问题的规定》第六十四条规定:以有形载体固定或者显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经对方当事人确认,或者以公证等其他有效方式予以证明的,与原件具有同等的证明效力。
五、市场监管行政执法电子数据取证的原则和方法
1. 以收集原始存储介质为原则。
市场监管部门在调查取证中主要依据《行政处罚法》第五十六条关于证据先行登记保存的规定,以及市场监管实体法律法规关于查封扣押的规定。
在能够登记保存或者查封扣押电子数据原始存储介质的情况下,应当登记保存或者查封扣押原始存储介质,并制作笔录,记录原始存储介质的封存状态。实践中对原始存储介质的封存方法灵活多样,既可以装入取证袋封存,又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。
注意事项:
(1)封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。
(2)封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
(3)封存具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。比如拔出电池,设置为飞行模式且关闭“寻回”功能,或直接装入屏蔽袋。
拆封检查时应当对电子数据存储介质拆封过程进行视频记录,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
2. 直接提取电子数据。
在无法登记保存或者查封扣押原始存储介质的情形下,可以提取电子数据,但应当在笔录中注明不能登记保存或者查封扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值。
适用情形:
(1)原始介质不便封存。如网络服务器一般采取集中存储的方式,其硬盘动辄成百上千T,但其中很多内容与案件无关,不必收集,在这种情况下一般只提取与案件相关的部分数据。
(2)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据。这些信息必须在开机运行的状态下获取,一旦关机或者重新启动系统,电子数据就会消失,难以再次获取。
(3)原始存储介质位于境外。对位于境外的服务器无法直接获取原始存储介质,一般只能通过网络在线提取电子数据。
(4)其他无法收集(登记保存或者查封扣押)原始存储介质的情形。如:①案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;②关闭电子设备会导致重要信息系统停止服务的;③需通过现场提取电子数据排查可疑存储介质的;④正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的。
但当无法收集(登记保存或者查封扣押)原始存储介质的情形消失后,应当及时登记保存或者查封扣押原始存储介质。
3. 通过打印、拍照或者录像等方式收集电子数据。
(1)无法收集(登记保存或者查封扣押)原始存储介质并且无法提取电子数据的情形下,目前全国大多数市、县市场监管部门没有配备专业取证设备,无法提取电子数据,当事人也不愿意提供或者不配合提供电子数据原始载体,采取打印、拍照或者录像等方式收集电子数据。
(2)存在电子数据自毁功能或装置,需要及时固定相关证据:对于一些具备“阅后即焚”功能的即时通信软件,信息接收者收到信息后,点击阅读信息后5秒左右自动删除,无法及时提取数据,并且难以恢复,即使收集原始存储介质也毫无意义,采取打印、拍照或者录像等方式收集电子数据。
4.委托第三方电子数据鉴定机构或司法部门进行鉴定。
电子数据取证属于行政执法现场检查中的一个环节,属于一项行政职权活动,由行政执法人员进行,涉及电子数据提取和鉴定等专门性问题,市场监管部门可以委托具有资质的第三方电子数据鉴定机构或司法部门进行鉴定,鉴定包括电子数据提取、固定与恢复及电子数据的形成与关联分析。委托第三方专业机构或司法部门分析时,执法人员应填写委托书,同时提交封存的计算机存储设备或相关设备清单。第三方专业机构按规定程序、标准和要求分析设备中包含的电子数据、提取与案件相关的电子证据,并制作鉴定意见。
需要注意的是,委托法定的具有资质的第三方电子数据鉴定机构进行电子数据取证,属于一致行政委托,第三方电子数据鉴定机构辅助执法人员进行电子数据取证和鉴定活动,本质上属于技术服务活动,不具有行政属性,电子数据取证主体属于市场监管部门。
六、电子数据取证注意事项
1. 严格依法取证。
(1)取证主体方面,市场监管执法人员均不得少于二人。对于技术性较强的电子数据取证活动,应当选派具备相关专业知识的调查人员,必要时也可邀请专业技术人员予以辅助。
(2)取证程序方面,市场监管部门必须严格按法定程序,区分不同阶段采取相应调查措施,同时要依法制作有关法律文书材料。电子数据的取证,主要涉及检查、提取、登记保存或者查封扣押、勘验检查和鉴定等措施。
(3)取证内容方面,执法人员进行电子数据取证时,应注意分析信息内容与案件事实的关联性,依法调取与案件相关的材料,避免导致取证范围扩大;对于涉及国家秘密、工作秘密、商业秘密、个人隐私的,依法应当予以保密;对于获取的材料与案件无关的,应当及时退还或者销毁。
2. 全面及时取证。
电子数据往往依附于一定的存储介质或网络环境而存在,容易因外部载体或环境的变化而变化甚至灭失,具有易改变性和易灭失性的特点,这就要求执法人员全面、及时地进行收集和固定电子数据。
(1)全面收集和固定原始存储介质及电子数据信息。为了能够更全面地还原案件事实,不仅要收集当事人涉案电脑、光盘、硬盘、U盘等原始存储介质及静态数据,还要注意收集内存数据和网络传输的动态数据,以及用户注册信息、身份认证信息、日志记录、系统运行情况等附属信息。
(2)注意收集被修改或删除的隐藏数据及痕迹。当事人可能会为了对抗调查、掩盖事实而故意删除或修改某些电子数据,执法人员要注意寻找这些隐藏的关键数据及痕迹,并利用技术进行恢复。
(3)收集、固定电子数据一定要及时。对于调查发现的涉案电子数据原始存储介质要及时采取登记保存或者查封扣押措施;对于计算机内存数据、网络传输数据等动态电子数据,尤其是不立即提取电子数据可能会造成电子数据灭失等后果的,要第一时间进行现场提取、固定;对数据量大、无法或不便提取,或者提取时间长且可能造成电子数据被篡改或者灭失的,及时申请司法部门对电子数据进行冻结。
3. 全过程记录。
(1)为保证电子数据的完整性、真实性,依法采取检查、登记保存或者查封扣押电子数据原始存储介质,收集、提取以及勘验检查电子数据等措施,要制作现场检查笔录。记录检查对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由执法人员、电子数据持有人(提供人)签名或者盖章,电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。并应当对相关活动进行全过程视频记录。
(2)对电子数据取证全过程视频记录。电子数据的证据属性,决定了其取证活动的法定程序要求和技术标准要比一般物证、书证更为严格,属于重要取证活动,收集和固定电子数据,均要对全过程进行同步录音录像,让执法人员习惯在“镜头”下取证。
(3)网络远程勘验。为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,必要时需要提请公安机关采取技术侦查措施。
(4)制作询问笔录。对于现场检查记录、打印书证、拷贝复制文件时已经取得的电子证据内容,应专门询问案件当事人,并详细记载回答内容,使询问笔录与其他证据相互印证。
