电子数据在证据封存中的风险及对策研究
——以智能手机为例

□王灵华，曹赞刚

（1.杭州市公安局拱墅区分局，浙江 杭州 310014）

（2.浙江警察学院，浙江 杭州 310053）

电子数据在证据封存中的风险及对策研究
——以智能手机为例

□王灵华1，曹赞刚2

（1.杭州市公安局拱墅区分局，浙江 杭州 310014）

（2.浙江警察学院，浙江 杭州 310053）

电子数据被新《刑事诉讼法》赋予了法定证据的地位，在司法实践中也越来越得到重视。但是电子数据自身的脆弱性导致其容易被破坏。以智能手机为例分析在司法实践中电子数据证据在证据封存中可能遇到的风险类型，并从增强保管意识、严守操作规范、加强硬件建设、健全法律法规等方面提出相关的对策。

电子数据证据；智能手机；风险；对策

2012年新《刑事诉讼法》第四十八条新增“电子数据”这一证据类型，标志着“电子数据”被赋予了法定证据的身份，拥有独立的证据地位。如今，电子数据证据以其海量性、虚拟性、多媒体性等特征[1]可以很直观地证明犯罪，在司法实践中得到越来越多的重视。

电子数据是案件发生过程中形成的，是以数字化形式存储、处理、传输的，能够证明案件事实的数据。①但是，由于电子数据的特殊性，与传统证据相比，电子数据具有明显的脆弱性，一旦其在存储、传输和使用过程中遭受到外来破坏，就可能使其证据效力完全丧失，进而影响到整个案件的顺利办理。[2]为此，近年来最高人民法院、最高人民检察院、公安部等部门相继针对电子数据的收集取证、检查勘验、保管使用等方面，出台了诸多的规定，如2005年公安部《计算机犯罪现场勘验与电子证据检查规则》和《公安机关电子数据鉴定规则》，2009年最高人民检察院《电子证据鉴定程序规则（试行）》和《人民检察院电子证据勘验程序规则（试行）》，2012年最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》，2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》，2016年公安部《公安机关执法细则》。特别是2016年9月最高人民法院、最高人民检察院、公安部联合颁发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《规定》），对电子数据证据的取证程序、取证方法作了具体规范。但是，由于电子通讯技术的突飞猛进以及新产品和新技术的快速更替，在司法实践中仍然会面临很多不确定的风险。例如，智能手机作为当今最普及的通讯工具，包含了绝大多数电子数据的类型，如最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第九十三条第一款规定的电子数据包括电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。随着智能手机功能和相关软件的日益丰富，智能手机上集成的电子数据种类会越来越多，涉及智能手机的电子数据证据在司法实践中也会越来越常见，在案件办理中的作用也会越来越大。而作为电子数据证据载体的智能手机，在证据封存中同样会面临着很多的风险。

一、智能手机电子数据在证据封存中存在的风险

（一）接触性破坏。电子数据作为依托电子存储设备以数字化形式存储、处理、传输的数据，对存储环境要求很高，静电、磁场、温度、湿度、重压、震动、灰尘等因素都可能使存储器的物理性质发生改变，[3]进而影响数据的真实性，甚至使电子数据毁损。作为电子数据证据的重要载体，在智能手机的封存方面对环境安全要求苛刻，需要采取技术手段防范相关风险。

1.直接接触破坏类风险。常规的打砸、碰撞、火烧、水浸甚至不小心跌摔等接触性物理破坏。这些风险尚可以通过加强物证保管得以防范。

2.隐性接触破坏类风险。由于电子数据的特点，电子数据证据还可能遭受程序病毒、自毁等隐性破坏，且其破坏的隐蔽性很强。

（1）电子病毒：包含专门针对涉案电子数据证据和其他无差别攻击的电子病毒。这类破坏可以在断电断网的情况下避免。

（2）硬件的不可控自损：电子数据是以电子存储设备为依托储存的，然而作为硬件的电子存储设备难免发生故障，在特殊环境下的故障率会明显升高。

（3）不良存储环境对电子数据的隐性破坏：除了要避免常规的高温、高湿等不宜封存电子数据的存储环境，还需要避免静电、磁场、断电脉冲、高强度辐射能量波对存储设备的破坏。

（二）点对点非接触性破坏。除了上述常规的接触性破坏风险，电子数据的封存还有一种更危险、更隐蔽的点对点非接触性破坏风险。该“点对点非接触性破坏”与上文所述的“隐性接触破坏类”实际上都属于隐性的破坏类型，但两者有区别。“隐性接触破坏”不一定有主观破坏意图，且针对目标不特定，属于无差别攻击和破坏；而“点对点非接触性破坏”具有主观破坏意图，且专门针对已被执法机关作为证据封存的电子数据。最典型的手段是针对智能手机的远程数据删除。这个风险有两个必要的启动条件：一是机主方面的人员启动了“远程删除”操作命令；二是该智能手机处于开机状态并联上了网络，能够接收命令。当然，一些智能手机开机但是进入离网飞行模式，是不会接到外来操作命令的。但是，美国领英公司的数字取证专家芒罗表示，理论上只要手机有信号就可以远程删除数据，但是最初设计该技术的目的是为了让丢失手机的用户能够远程删除隐私数据。针对智能手机实施远程数据删除的典型案例，如英国多赛特警方6个被没收的手机在扣留时被远程删除了数据。②以现在的认知可以明确地判断，这是人为的远程删除手机数据操作造成的，属于警方对证据保管不善的问题。

由于智能手机技术越来越先进，目前越来越多的智能手机电源及内存被内置机身内，甚至部分零部件也能自带电源，人们对智能手机的“关机”操作大多数只是软件上的关机，并未实现硬件上的完全关机，所以，在理论上黑客们和技术高手们仍然可以对他人“关机”状态下的手机进行操作。该问题在1994年就已被美国计算机科学家Matthew Blaze证实。当时32岁的他受雇于美国政府资助的AT&T实验室，负责研制克林顿政府大力倡议研制承载后门技术的Clipper芯片，一种由美国国家安全局设计的加密密钥，允许FBI等其他调查机构访问。由此可见，如果没有把内置电源物理切断，一些“关机”状态的手机还是存在着被秘密侵入的可能。

对智能手机远程删除数据的类型很多。比如，苹果iPhone可以通过iCloud远程自动执行清除数据。苹果手机用户可以设置“寻找我的iphone”来远程控制手机，实现当前手机定位信息提供、远程手机锁屏、远程手机内存数据删除等功能。同时，也可以为苹果手机设置屏幕密码锁实现删除数据。手机设置了屏幕密码锁后，他人如果连续输入屏幕密码错误过多，苹果手机将会进入iphone已停用状态，必须重新刷机。重新刷机意味着手机的所有数据将会丢失，从而达到销毁手机数据的目的。又如，华为手机可以通过系统工具，在“设置＞安全和隐私＞查找我的手机”中，开启“查找我的手机”功能。这个功能包括手机定位、设备锁定和清除数据。华为的设备锁定功能不只是锁定手机，还会连带设定SD卡密码。这样，SD卡插入别的手机时需要输入密码才能使用，确保SD卡里面的个人数据不被盗取。带有安全芯片的华为手机在设备定位失败时，仍可以在网页端发出离线清除数据的命令。当手机再次开机并连接网络，安全芯片将再接收数据清除的命令，清空数据。这个离线清除数据的命令会保留28天，这恰好差不多是公安机关的办案期限。再如，联想手机的“乐安全”功能中，只要发送“密码#XH”即可执行数据销毁功能；小米手机登录云服务可以清除手机所有数据；三星手机的远程控制（DIVE）功能可锁定并删除手机数据；OPPO手机的“云服务”功能可以远程操控清除数据。

除了手机自带功能外，只要安装了“腾讯手机管家”等软件的手机，也可以进行手机定位、远程销毁资料等操作（见下图）。

“腾讯手机管家”软件进行手机定位、手机锁定和远程清空数据操作图

上述这些功能设计之初是为了防止手机在遗失、被盗等意外之后，机主可以远程删除手机的数据，避免隐私外泄。但是，该功能同样也使刑事办案人员在工作中扣押的手机面临着电子数据被他人删除的风险。在刑事诉讼的公安侦查、检察院起诉、法院审判的任何一个环节，只要手机一不小心开机接入网络，就有可能导致手机接收外来命令，使得手机内的数据被远程删除，而侦查人员可能还丝毫没有察觉，前期获取的电子数据证据由此被毁于一旦或失去法律效力。

（三）执法部门在主观认识与客观硬件方面的不足。相对于信息技术的进步，执法部门现有的电子数据封存技术的安全性可靠性有待加强。一方面，信息软件技术的飞速发展使得电子数据的安全面临严峻挑战；另一方面，执法办案部门在实际工作中的执法规范的落实、执法习惯的完善和硬件设施的配备还存在欠缺。

尽管《规定》已就封存手机等具有无线通信功能的存储介质应采取的措施作出了规定，③但基层执法部门对该规定的落实还存在差距，体现在执法办案中对电子数据封存没有明确具体操作要求，或者有规定但宣传落实没有到位。比如，实际工作中民警会被要求切断智能手机电源，但很少会被要求“采取信号屏蔽、信号阻断”。同时，也有硬件配备方面的问题，除了有些地方配置了较为专业、先进的物证管理中心，能够符合这方面规定之外，绝大多数物证管理中心尤其是基层办案部门均没有符合要求的硬件装备。手机封存在高标准的物证管理中心内部时能够做到“信号屏蔽、信号阻断”，可是一旦离开了物证中心，在诸多环节中还是很难保证达到相关规定要求，尤其是全程的“信号屏蔽、信号阻断”更难做到，主要有以下两方面情况。一是硬件配备不足。无论是固定的物证管理中心建设，还是移动便携式的普通物证袋，均没有考虑到电子数据保管的特殊要求。目前，各地的物证管理中心大多数是普通房间放几个柜子加一道漂亮的门禁，“信号屏蔽、信号阻断”的功能性要求很少有考虑，存放智能手机的也多为普通信封式物证袋，而不是有屏蔽通讯信号功能的专用物证袋。二是安全意识不足。对于手机类电子数据可能被远程破坏的危险性认识不足，手机暴露在网络中并被随意开机也很常见。一些办案部门也尚未明确规定对手机类的扣押、暂存、封存等保管措施要实现“信号屏蔽、信号阻断”。在一些基层执法过程中，涉案的手机被信息采集人员、办案人员、检察人员随意开机查验，从未被明确要求开启飞行模式、放入屏蔽物证袋。

（四）电子数据被加密、删除或损毁后，对其解密、恢复难度大。目前，虽然有很多黑科技支持电子数据的恢复，但是恢复后的电子数据在证据的合法性、真实性方面会大打折扣，能否被法庭采纳认可是个问题。而且，有些手机制造商出于保护顾客个人隐私，拒绝向警方提供解锁技术。如苹果公司从2014年发布iOS8系统起就已宣布不再给FBI等调查机构提供解锁技术，即便警方有搜查证也不行。iOS8系统利用一种叫做AES的强大算法，给每一台手机加上了由256字节的0和1组成的密钥，加密后的数据只能通过用户自己的密码才能解锁。在手机离开工厂后，苹果也不保留密钥的副本，如果FBI非要穷尽密钥序列“暴力破解”，即使是地球上现有计算机同时运算，可能也需要几十年时间。此外，新系统还有一个保护数据的擦除功能，在FBI尝试几百万次后解锁成功之前，手机可能会自动启动保护程序擦除所有数据。④可见，在执法过程中提取的电子数据应及时做好保护工作，防止遭受后续的加密或破坏，否则电子数据的恢复将变得极为困难。

以上分析的是智能手机作为电子数据证据时面临的风险，同样，其他类似手机的电子数据证据在证据保管时也面临相似风险。

二、智能手机作为电子数据证据载体的安全对策

对于证据，必须保证其真实性、关联性、合法性，电子数据也同样如此。考虑到电子数据的特殊性，《规定》第二十八条对电子数据的审查做了特别规定。⑤在司法实践中，证据自被收集至提交法庭期间，存在多个环节：侦查人员收集和提取证据——侦查人员将证据运送至侦查机关——侦查机关保管证据——侦查机关将证据移送至鉴定机构——鉴定机构鉴定证据——鉴定机构将证据返还给侦查机关——侦查机关保管证据或将证据移交给检察机关——侦查机关或检察机关将证据提交至法庭。以现有的电子数据证据封存工作现状，很难保证每个保管环节之间都实现无缝对接，在上述诸多流转过程中极有可能出现差错。所以，“全程屏蔽”是电子数据保管工作中一个最基本要求。

电子数据的高科技特性是一把双刃剑，其技术性、便捷性和风险性并存，利用好了可大大方便执法工作，但一旦使用保管不慎，反而极易给执法工作带来麻烦。为防止电子数据在执法环节尤其是保管封存环节出现影响证据真实性有效性的情况，需要从以下几个方面加以完善。

（一）严格落实相关法律法规对电子数据保管的程序规定。依法办事不仅体现在执法的结果上，也要体现在执法的过程中；它不仅是对执法工作的要求，更是执法工作的保障。有关电子数据的采集取证、扣押封存、保管移送等工作，法律法规已经有明确要求的，执法部门必须严格遵照落实。如果是人为主观方面的不足，可以通过加强宣传学习予以补足；如果是硬件方面的问题，则可以通过制定硬件标准予以补上。

鉴于电子数据证据的特殊性，当前智能手机作为最常见的电子数据证据，除了收集过程中要遵守《刑事诉讼法》的原则性规定外，还要及时制定严格的有关保管程序、收集封存方法和措施等方面的规章制度，使电子数据证据的采集有完整的规范，采集后的流转也有章可循，防止因操作不规范而致证据灭失，同时这也有助于保护执法者的执法安全。⑥

（二）要提高执法办案人员的证据保管意识。

基层执法机关要加强对办案人员的相关培训，提高电子数据证据的封存保管安全意识。同时，要制订简洁明了的保管流程，比如“进飞行模式、关电源、进屏蔽袋”等规范操作，并通过教育培训使所有办案人员都明确规范操作的基本原理和意义，以及如果不按照规范进行操作有可能给办案工作带来的后果，从而形成高度的自觉性。

智能手机时代已经来临，基层执法人员不能把自己的意识停留在老年机时代。要加强对电子数据知识的学习研究，提高电子数据取证、保管的方法和技术，熟悉电子数据的相关恢复、加密、解密、隐藏等工具，具备相应的信息技术能力。

（三）围绕“全程屏蔽”的电子数据封存要求，加强相关硬件建设。“全程屏蔽”是对电子数据证据在封存保管中的要求，也包含了对智能手机的保管要求。在上述英国多赛特警方的扣留手机被远程删除数据的案例中，手机被远程删除数据这个操作有两个必要的启动条件：一是手机机主方面的人员对该手机启动了“远程删除”操作命令；二是该手机开机并联上了网络，接收到了相关命令。机主的远程启动是警方无法控制的，但只要警方做好“全程屏蔽”，即使机主方面人员发出了“远程删除”指令，手机还是无法接收到指令，从而保证了证据的安全。所以，在对基层执法人员的证据采集、封存移送等操作中，可围绕“全程屏蔽”制定一些简洁明了的工作要求，以此来规范电子数据证据的封存操作。比如，明确要求“扣押采集嫌疑人手机后，应打开涉案手机的飞行模式，关闭电源保存，放进屏蔽功能的物证袋；涉案手机的查验操作应在屏蔽环境中进行；涉案手机离开屏蔽环境应打开飞行模式”等，以避免接收外来指令，防止手机里的电子数据被破坏。

围绕“全程屏蔽”，需要加强两方面的硬件建设。一是固定的标准化物证管理中心建设，尤其是基层的物证管理中心。物证管理中心的存储环境应当绝对安全，除了常规的防火、防潮、防尘、防虫、避光、避压、避震等方面的硬性要求，还应特别强调电子数据“全程屏蔽”的特殊保管环境要求，诸如防强磁、防脉冲、防辐射、防屏蔽等要求，以保证电子数据资料的物理载体与数据内容安全、可靠。二是配发携带便捷的电子数据物证封存袋，以适应电子数据在物证保管中心以外环境里的保存需求。电子数据不同于普通物证，它不仅要求流程操作上的合法合规，更要求技术上的严丝密缝，以保证从侦查到审判期间的全过程安全。所以，为执法部门配备方便移动携带，又能确保电子数据封存安全的屏蔽式电子数据证据封存装备是很必要的。比如最常见的手机，在作为普通物证时，可以使用常规物证袋；但是作为电子数据证据使用时，就必需采用能够“信号屏蔽、信号阻断”的专用电子数据物证封存袋。当涉案手机需要离开物证管理中心时，可以利用电子数据物证袋进行操作，以保证电子数据不被破坏，确保证据的法律效力。

当然，在做好硬件安全方面工作以外，还需要重视物证管理中心软件方面的安全防护技术的应用，如常规的隔离设备、加密防护技术、访问权限控制、防火墙、病毒防治、数据备份等技术，防止电子数据的损坏。

（四）制定并严格执行电子数据证据管理方面的操作规范，以避免种种危及电子数据安全的行为。[4]在实际操作中，可以将一些行之有效的实践经验加以总结提炼并予以推广，如前文所述的“进飞行模式、关电源、进屏蔽袋”操作流程，在提取涉案手机后第一时间将手机调整到飞行模式，以拒绝接收网络信息，再将手机关机，放入屏蔽袋，实现“信号屏蔽、信号阻断”。当涉案手机需要查验时，只能在物证管理中心内开机查验；在物证管理中心以外查验时，也必须在屏蔽袋中操作，以避免接收外来指令，防止手机上的电子数据证据被破坏。

另外，如果在办案中仅仅需要手机中的部分电子数据，则应该及时将需要的电子数据做好备份，或及时转化成其他介质存储。电子数据已经有备份的，最好分开两地存储；同时，若电子数据的内容转化为其他介质的证据能够更直观合适的，则尽可能转化，比如将聊天记录直接打印成文字图片会更便于保存和使用。

注释：

①2016年9月20日，最高人民法院、最高人民检察院和公安部联合下发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条，对电子数据作了详细的规定：“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。电子数据包括但不限于下列信息、电子文件：（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；（四）文档、图片、音视频、数字证书、计算机程序等电子文件。以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定。”

②2014年10月9日英国广播公司（BBC）报道，英国多赛特警方表示，有6个被没收的手机在被扣留时被远程删除了数据，但他们却不知其中奥秘。还有一名来自德比郡警方的发言人同样证明确有其事。根据英国剑桥郡、德比郡等地警方的调查得知，犯罪嫌疑人可远程删除被警方扣留手机上的相关数据，以销毁其犯罪证据。在美国的克利夫兰也发生了一起类似事件，警方无法确定数据是在什么时候被删除的。

③《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第八条规定：“封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。”

④2017年11月发生的造成26人死亡的美国德州教堂枪击案中，美国联邦调查局（FBI）获取了嫌犯凯利持有的iPhone，但因苹果的保密机制，破解工作难有进展。FBI也抱怨，苹果装置一旦上锁，则很难调取其中资料，因为其编密系统很难破解，若解锁失败数次后，所有资料便可能自动删除。

⑤《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十八条规定：“电子数据具有下列情形之一的，将不得作为定案的根据：（一）电子数据系篡改、伪造或者无法确定真伪的；（二）电子数据有增加、删除、修改等情形，影响电子数据真实性的；（三）其他无法保证电子数据真实性的情形。”

⑥目前，关于电子数据的保管封存工作的法律法规包括以下方面。

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十八条：“收集、提取的原始存储介质或者电子数据，应当以封存状态随案移送，并制作电子数据的备份一并移送。”第八条：“封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。”

《电子签名法》（2015年修正）第八条：“审查数据电文作为证据的真实性，应当考虑以下因素：（一）生成、储存或者传递数据电文方法的可靠性；（二）保持内容完整性方法的可靠性；（三）用以鉴别发件人方法的可靠性；（四）其他相关因素。”

《公安机关执法细则》（2016年修订）第七章：“封存的方法。封存电子设备和存储媒介的方法是：（1）采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储媒介和启动被封存电子设备。（2）封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》，照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况。”

[1]张渊，张博.电子数据证据的概念界定与特征分析[J].湖北警官学院学报，2015（9）.

[2]高明，瞿文婷.关于电子证据相关新规定的解读[J].环球法律评论，2015（3）.

[3]王虎.电子数据证据在民事审判中的运用问题研究[EB/OL].（2014-09-04）[2017-08-11].华律网，http://www.66law.cn/domainblog/74283.aspx.

[4]罗涛.关于完善电子证据效力的几点思考[EB/OL].（2013-12-20）[2017-08-11].中国法院网，http://www.chinacourt.org/article/detail/2013/12/id/1165771.shtml.

D631

A

1674-3040（2017）06-0055-05

2017-09-11

王灵华，浙江省杭州市公安局拱墅区分局民警，副主任科员，主要研究方向为公安科技信息；曹赞刚，浙江警察学院法律系讲师，主要研究方向为民商法。

金 石）