电子数据分类研究*

汪振林

(重庆邮电大学 法学院，重庆400065)

电子数据分类研究*

汪振林

(重庆邮电大学 法学院，重庆400065)

对电子数据进行分类应当考虑电子数据取证实务的需要，据此可以把电子数据分为十二类，其中六种为已有分类，六种为新增分类。新增分类包括存储介质电子数据、电磁辐射数据、线路电子数据；易失性数据、非易失性数据；加密电子数据、非加密电子数据；应用层电子数据、表示层电子数据、会话层电子数据等网络分层数据；看得见的数据、看不见的数据；电子邮件、电子公告牌系统信息、即时通信数据、电子签名、电子数据交换、日志、微博。

电子数据;分类;取证

分类是一种把握事物共性同时辨识事物特性的逻辑手段。分类不仅能使人的认识条理化，而且能实现处置上的目的性与有效性。电子数据作为一种独立的证据形式已为我国诉讼法所确认，在各类涉及计算机和网络的案件中，电子数据将发挥越来越重要的证明作用。但是，电子数据与其他证据形式不同，不仅其来源多种多样，存储介质种类繁多，生成机理差异较大，而且其作用各有不同，因此需要结合电子数据取证实务，对其进行必要的分类，以准确把握各类电子数据的特点，指导电子数据取证的实践。

一、电子数据分类现状

关于电子数据分类问题的研究散见于一些书籍和教材,如皮勇所著《刑事诉讼中的电子证据规则研究》一书根据不同的标准把电子证据分为静态电子证据和动态电子证据；内容信息电子证据和附属信息电子证据；电子设备生成证据、存储证据与混成证据；原始电子证据和传来电子证据。这里的电子证据即电子数据证据。刘家真在其主编的教材《电子文件管理——电子文件与证据保留》中根据数字信息的来源和是否可以形成硬拷贝把数字信息分为原生数字信息和再生性数字信息；绝对数字信息和非绝对数字信息。信息是数据的内容，因此对数字信息的分类，实际上也就是对电子数据的分类。何家弘主编的《电子证据法研究》一书中根据不同标准把电子证据分为模拟式电子证据与数字式电子证据；数字电文证据、附属信息证据与系统环境证据；封闭系统中的电子证据、开放系统中的电子证据与双系统中的电子证据；电子设备生成证据、存储证据与混成证据；原生电子证据和派生电子证据；与传统证据七种形式对应的电子证据(如电子书证、电子物证等)。除去“模拟式电子证据与数字式电子证据”的分类，该书关于电子证据的分类也都是电子数据证据的分类。

对事物进行分类首先要一义性地界定事物本身。新刑诉法没有对“电子数据”的内涵予以明确的界定。学界一般认为,电子数据作为一种超越传统证据形式的新型证据,是指以电子形式生成，以数字化形式存在于磁盘、光盘、计算机等载体,用以证明案件事实的电磁记录物。但也有学者认为，电子数据即电子形式的数据信息，电子形式包括系列电子、数字、电磁、光信号或具有类似性能的存在形式，电子数据信息根据其所承载信息类型，分为模拟数据信息和数字数据信息，即电子数据包括模拟式电子数据和数字式电子数据。笔者认为，在新刑诉法仍然把视听资料规定为法定证据种类的情况下，电子数据包含模拟数据和数字数据并不妥当。因此，笔者认为电子数据仅指电子化数字化的信息，与现代通信技术和计算机技术密切相关，电子证据是电子数据证据的略语。

基于上述笔者对电子数据和电子证据的理解，前述书著中关于电子证据的分类并不完全针对电子数据，剔除与电子数据无关的部分和重复的部分，已有的关于电子数据的分类有以下几种：(1)静态电子数据和动态电子数据；(2)内容信息电子数据和附属信息电子数据(或数字电文数据、附属信息数据与系统环境数据)；(3)封闭系统中的电子数据、开放系统中的电子数据与双系统中的电子数据；(4)电子设备生成数据、存储数据与混成数据；(5)原始电子数据和传来电子数据(或原生电子数据和派生电子数据)；(6)原生电子数据和再生性电子数据；(7)绝对电子数据和非绝对电子数据；(8)电子书证、电子物证、电子证人证言、电子当事人陈述、电子勘验检查笔录、关于电子证据的鉴定结论。以下就上述分类逐一进行讨论，以确定其作为电子数据的分类是否妥当，进而提出新的分类标准以形成较完整的电子数据分类体系。

(一)静态电子数据和动态电子数据

根据《刑事诉讼中的电子证据规则研究》一书的观点，静态电子数据是指计算机处理、存储、输出设备中存储、处理、输出的数据，例如计算机信息系统中存储的计算机文档、计算机音频、视频文件等。所谓动态电子数据是指计算机网络中传输的电子数据，例如网络中的电子邮件、网络视频、音频文件、正在浏览的网页、正在下载的文件等[1]。区分静态电子数据和动态电子数据的意义在于根据这两类电子数据各自的特征,在相关证据收集措施的设立及其适用上予以区别对待。例如对于静态电子数据可以采取搜查、扣押、命令提交等措施，而对于动态电子数据则只能采取实时收集或称电子监视措施，而且，由于后者可能严重侵犯公民通信自由权利，因此需要采取严格限制的条件。

根据收集措施的不同把电子证据区分为静态电子数据和动态电子数据应该说是妥当的。

(二)数据电文数据、附属信息数据与系统环境数据

依照档案学原理，电子文件的完整性真实性无法通过其本身得到证明，需要通过元数据加以证明。依照鉴定学原理，电子文件的可读性依赖于其原始的系统软硬件环境。因此电子数据特别是与数据电文有关的电子数据可以分为数据电文数据、附属信息数据与系统环境数据。数据电文数据是记载法律关系的发生、变更和灭失的数据，如E-mail 和EDI 正文。附属信息数据是指数据电文在生成、存储、传输、修改、增删这一过程中引起的相关记录，如系统日志、文件属性信息。系统环境数据是指数据电文运行时所处的硬件和软件环境，尤其是指相关硬件规格或软件的版本等信息[2]33-34。

把电子数据分为数据电文数据、附属信息数据与系统环境数据可以明确不同数据的证据作用，在某种意义上还能引发学理上关于证据概念的进一步讨论。因为电子数据并不都是用来证明案件事实的，有些电子数据证据是用来证明其他证据的可信性或提供侦查或证据收集的线索，因此诉讼法对证据概念的界定有很大的局限性。

(三)封闭系统中的电子数据、开放系统中的电子数据与双系统中的电子数据

封闭系统是由独立的一台计算机组成的系统，或多台以局域网方式连接的计算机组成的系统。封闭系统中的电子数据即指在封闭系统中生成、传输和存储的数据。封闭系统不对外界开放，用户相对固定，能够迅速跟踪查明电子数据的来源。如银行、证券业、交通运输业的员工均用自己固定的终端进行内部数据的交换。

开放系统是由多台计算机组成的广域网、城域网、校园网等系统，开放系统的电子数据即指在开放系统中生成、传输和存储的数据。由于开放系统数据通信的相对人并不固定，因此数据来源不易确定。

双系统是封闭系统和开放系统的合称，双系统的电子数据指既能够经常出现于封闭系统又能经常出现于开放系统的电子数据，如EDI证据和电子签名等。

把电子数据区分为上述三种类型的意义在于可以帮助调查人员确定证据调查的思路，明确取证方向。一般而言，封闭系统的数据通信相对人确定，案发以后可直接通过传统查证方法查找作案行为人。开放系统的数据通信行为人不确定，首先应查处在哪台机器上实施了犯罪行为，继而才能在此基础上查处犯罪人。双系统下的数据通信行为人如何确定应视具体环境而定。

(四)电子设备生成的电子数据、电子设备存储的电子数据和电子设备混成的电子数据

这是根据电子数据生成的方式对电子数据所作的分类。不同方式生成的电子数据在真实可靠性上有较大的差异。因此，在判断电子数据证据的证明力时，电子数据的生成方式是非常重要的一个考量因素。

所谓电子设备生成的电子数据，是指完全由计算机等设备自动生成的数据。其特点在于它的生成基于计算机的内部命令，不掺杂个人的意志，具有较高的准确性且自身的证明力大小主要取决于其准确度的高低，如ATM机数据等。

所谓电子设备存储的电子数据，是指单纯由计算机等设备所录制的有关信息得来的数据。此种数据应考虑计算机设备的准确性和影响录制的其他因素。

所谓电子设备混成的电子数据，是指计算机存储兼生成的数据，是由计算机设备录入信息以后再由其内部运行而得来的数据。它具有上述两种数据的性质特点，对其真实可靠性的判断比较复杂。

(五)原始电子数据和传来电子数据(或原生电子数据和派生电子数据)

根据传统的证据原件规则，所谓证据原件也称原始证据，是指直接来源于案件事实或原始出处的证据，而复制件则是指经过复制、复印、传抄、转述等中间环节形成的证据，是证据原件的复制品。判断证据是否为原件以该证据是否直接来源于案件事实或原始出处为标准，这一标准基本上为我国证据法学界所公认。如果把该标准适用于电子数据证据，那么电子数据原件即指最初确定性生成的电子数据，除此之外，据此转换而来的任何电子数据均属于复制件。而按照最佳证据规则，原则上应向法庭提交最初确定性生成的电子数据——电子数据原件[3]。但是，由于电子数据的特性，提交上述标准的电子数据原件既不可能也没有必要。因此不必把电子数据分为原始电子数据和传来电子数据。

(六)原生电子数据和再生性电子数据

原生电子数据是指以数字形式创建(如办公系统、传感器、显微照相机、科学仪器)并以数字格式存在的电子数据。如数据库数据、以文字处理软件创建的文本文档数据、以数字媒介记录的音像数据，以及软件数据、网页数据、超文本数据和数码艺术数据等。

所谓再生性电子数据也可称数字拷贝，它是物理存在实体的一种数字表现形式。

这种分类方式的目的在于揭示哪些电子数据在物理世界不存在原件或原物，亦即一旦丢失是无法再现的。随着科技的发展，将有越来越多的电子数据属于原生电子数据，如各种数字作品。在原生电子数据成为证据时，需要采取比再生性电子数据更为严格的保管保护措施。

(七)绝对电子数据和非绝对电子数据

绝对电子数据是指所含信息目前无法完全进行硬拷贝的电子数据，它只能在数字环境下运行才能表达该电子数据的思想内容，例如多媒体产品、网页、3D图像等。

非绝对电子数据是指所含信息可以完全进行硬拷贝的电子数据，如以PDF格式、Word格式等形成的文件。

本文将选取《报告》中与China搭配的名词、形容词/副词以及动词这三类词作为量化统计范畴，参照出现频率及重要性，识别出每个范畴的主要词汇项目（见表2）；通过《报告》中涉华话语的词汇分析，确立“China”在时间、空间和情态三个轴上的位置，分析和比较“China”在三份报告中的话语空间定位情况。

将电子数据按其所含信息是否可以完全形成硬拷贝分为绝对电子数据和相对电子数据，其目的在于方便电子数据收集保全后的保管。因为绝对电子数据只能以电子方式在法庭上出示，非绝对电子数据既能够以电子方式出示，也能够以纸质方式出示，因此，两者收集保全后的保管措施并不相同。所以把电子数据分为绝对电子数据和非绝对电子数据是有意义的。

(八)电子书证、电子物证、电子证人证言、电子当事人陈述、电子勘验检查笔录、关于电子证据的鉴定结论

我国现行刑事诉讼法、民事诉讼法与行政诉讼法对证据的分类虽略有不同，但均大概可以分为物证、书证、视听资料、证人证言、当事人陈述、鉴定结论以及勘验检查笔录等七种。因此，有学者认为电子证据也应分为七种，即(1)电子物证：系指电子形式存在的“实在证据”，以电子信息的存在和状况来证明该案件的事实。(2)电子书证：系指电子形式的“书面证据”，记载了当事人之间的书面意思表示。典型的如电子邮件和EDI 方式签订的合同。(3)电子视听资料：系指电子形式的音像证据，和纸面形式的音像证据相对。主要是各种数码摄、录材料。(4)电子证人证言：系指以电子方式存在的言词证据，如网聊的纪录、电话录音等。(5)电子当事人陈述：与电子证人证言相似，无非陈述的主体有所不同。(6)有关电子证据的鉴定结论：系指由专家对存在问题(主要是真伪)的计算机记录进行鉴定后出具的鉴定结论。(7)电子勘验检查笔录：系指司法人员与行政执法人员在办案过程中以电子形式作出的勘验、检查笔录[2]27-29。

笔者认为，电子数据不外乎是指作为证据本质的事实信息表现为计算机数据，对于传统的七种证据来说是一种完全不同的证据表现形式[4]。而法定证据分类的主要依据是证据的表现形式，因此，将电子数据分别归为七种不同的传统证据形式并不妥当[5]。

二、电子数据新分类

电子数据分类的目的在于更好地指导电子数据的证据实务——包括电子数据的发现、收集、保全、鉴定、调查和判定等。现有电子数据分类并没有完全囊括对电子取证有意义的分类，因此，笔者提出几种新的补充性分类并做适当说明。

(一)存储介质电子数据、电磁辐射数据、线路电子数据

这是根据电子数据的来源对电子数据进行的分类[6]。电子数据可以从存储介质中获取，可以从电磁辐射中获取，还可以从线路中获取。不同来源的电子数据其获取方法和技术也不同，且获取的程序也有各自的特点。

1.存储介质电子数据

2.电磁辐射电子数据

电磁辐射数据是指从电磁辐射中获取的电子数据。计算机电磁辐射主要包括四个部分：显示器的辐射、通信线路(连接线)的辐射、主机的辐射及输出设备(打印机)的辐射。计算机是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。辐射的电磁波会把计算机中的信息带出去，电子数据搜集人员只要准备相应的接收设备，就可以将电磁波接收，从中获取电子数据证据。

3.线路电子数据

所谓线路电子数据，是指从计算机联网后的传输线路中获取的电子数据。由于计算机网络结构中的数据是共享的，主机与用户之间、用户与用户之间通过线路联络，必然存在许多泄密漏洞。不过通信线路虽然存在数据被截取的安全隐患，但侦查人员也可以利用通信线路的这种弱点，对犯罪嫌疑人的通信线路进行监听，必要时对传输的电子数据进行截获，收集有用的电子数据。或者采用蜜罐、蜜网技术收集攻击数据。

(二)易失性数据、非易失性数据

运行中的计算机系统存储的数据是有寿命的，不同数据的生存期差别很大，短的只有几纳秒，长的有几年。寄存器、外围设备内存、缓存等存储的数据寿命只有几纳秒，主内存中的数据约十几纳秒，表示网络状态的数据有几毫秒，表示运行进程的数据寿命为几秒，磁盘数据有几分钟的寿命，软盘、备份设备中的数据寿命可达几年。因此，电子数据可按生存寿命的长短进行分类。易失性数据是指生存寿命较短的电子数据，非易失性数据是指生存寿命较长的电子数据。收集数据的方法最好是按照数据的预计寿命有顺序地进行，即先收集易失性数据[7-8]。

(三)加密电子数据、非加密电子数据

根据电子数据是否加密对电子数据所作的分类。加密电子数据是利用各种加密技术(如对称加密技术、非对称加密技术)对明文数据加密后形成的不可读数据(密文)，刑事案件中犯罪分子利用加密软件对数据进行加密的情况越来越普遍。加密电子数据的分析首先需要解密，有时需要专门的解密工具。非加密电子数据是指没有利用加密技术加密的明文数据。由于没有加密，因此分析非加密数据相对简单，不需要专门的解密工具。

(四)应用层电子数据、表示层电子数据、会话层电子数据等

OSI(Open System Interconnect)参考模型是ISO(国际标准化组织)在1985年研究的网络互联模型。国际标准化组织ISO发布的最著名的标准是ISO/iIEC 7498，又称为X.200协议。该体系结构标准定义了网络互连的七层框架，即物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。 各个层次都存在电子数据，但各层电子数据的证据意义并不相同，因此，可以把网络中的电子数据按层次分类，即应用层电子数据、表示层电子数据、会话层电子数据、传输层电子数据、网络层电子数据、数据链路层电子数据和物理层电子数据[9-10]。

应用层的电子数据比较多，由于应用层离计算机网络用户最近，因此也最容易被破坏。

表示层、会话层的电子数据很少，证据意义不大。

传输层和网络层的电子数据中最有证据价值的是IP地址。IP地址虽不能直接认定电子数据的制作人，但可以缩小查证范围。

数据链路层和物理层中的电子数据最为丰富也最有价值。数据链路层中的MAC地址要比网络层中的IP地址精确，可以绑定一台特定的计算机。获取物理层的电子数据主要通过网络监听的手段，需要特定的侦查机关依法定程序进行。

(五)看得见的数据、看不见的数据

这是根据是否被标记为已删除记号所作的分类。凡是没有删除标记的数据就称为看得见的数据，凡是已有删除标记的数据就称为看不见的数据。看得见的数据可以利用识别软件直接解读，看不见的数据需要先使用数据恢复工具进行恢复，然后再利用识别软件进行解读，且恢复数据时有可能不能完全恢复看不见的数据。

(六)电子邮件、电子公告牌系统信息、即时通信数据、电子签名、电子数据交换、日志、微博

这是根据电子数据的功能作用所作的分类。其类别会随着互联网服务的发展呈现不断增加的趋势，并不仅限于标题所列种类。

所谓电子邮件，是指在计算机上书写，然后通过网络邮寄的函件。电子邮件的工作机制是模拟邮政系统，使用“存储—转发”的方式将用户的邮件从用户的电子邮件箱转发到目的地主机的电子邮件箱。电子邮件的最大特点是每个电子信箱均对应一个唯一的注册用户(它可能是一个人，也可能是一些人)，其用户名、账户名、密码均是唯一的。任何人只要掌握了某一注册用户的用户名、密码，就可在任何地方，使用任意一台联网的计算机在该用户名所对应的电子信箱上收发、删除电子邮件。电子邮件还有一个特点是传输过程的复杂性，尤其是跨国界传递的邮件要辗转经过多个服务器才能到达目标服务器。因此，如需收集跨国服务器中有关电子邮件的元数据还要得到国际司法的协助。

电子公告牌系统(BBS)的英文名称是“Bulletin Board Systems”。《微软英汉双解计算机百科词典》将其定义为：“是配备有一个或多个调制调解器或其他网络访问手段的计算机系统，用作远程用户的信息和信息传递的中心。”BBS信息是指通过BBS交流的信息。BBS信息的存储载体可以分为两大部类：一是存储在用户个人电脑磁盘中的BBS信息；二是存储于BBS服务器上的相关信息。由于用户有可能删改自己电脑中的信息，相对而言，BBS服务器上存储的信息真实性较高。规范和完善对BBS的管理，对于正确地收集与保全网络证据，具有极为重要的意义。

即时通信又称实时通信，是一个终端联网的即时通信网络服务。该服务允许两人或者多人使用网络即时地传递文字、文件、语音与视频等信息。即时通信数据是指电脑和服务器中存储的即时通信中当事人通信的电子信息。存储在服务器中的即时通信的相关电子信息，用户一般无法加以更改，因此诉讼中要着重收集服务器中的即时通信信息。

电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据[11]。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。电子签名主要有三个作用：一是证明文件的来源，即识别签名人；二是表明签名人对文件内容的确认；三是构成签名人对文件内容正确性和完整性负责的根据。与传统商务活动中的签名盖章作用相同，具有认可和证明文件内容真实性的法律效力。

手机短信(Short Message Service)，即移动电话短消息。它是指用户之间基于移动网络，通过移动手机传播的文本等信息。其工作原理就是：短信发送人将编辑好的短信发送出去，通过短信服务提供商(SP)的短信平台，将我们可识别的文本、声音、图像转化为电子数据信号传送到接收人的手机。接收人打开短信，电子数据流又转化成可识别的文字、声音、图像。在这个过程中，当数据流被短信服务提供商的平台接收时，平台会以电子数据的形式将其信息储存。短信发送人编写的短信内容在未转变成电子数据前的形式是最原始的形式。

所谓日志(Log)，是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源[12]。

网页(Web page)，是用HTML语言编写的，通过WWW(万维网)传输，并被Web浏览器翻译成可以显示出来的集合文本、图片、声音和数字电影等形式的页面文件。网页的本质就是HTML源代码，它通过服务器上传后，利用浏览器显示在电脑屏幕上。网页证据的最大特点在于所含信息的多媒体性，因此其只能在数字环境下运行，才能显示网页的思想内容。

三、结 语

电子数据已经成为法定证据种类之一，其在诉讼中的使用将越来越频繁。本文对现有电子数据分类作了较为具体的介绍,并指出其中意义不大或没有必要的分类。鉴于已有分类尚不完备，笔者在文中提出了几种新的分类，如存储介质电子数据、电磁辐射数据、线路电子数据；易失性电子数据和非易失性电子数据；加密电子数据、非加密电子数据；看得见的电子数据和看不见的电子数据等。分类的目的在于对分类对象的把握和运用。在网络犯罪案件、网络侵权案件以及其他网络纠纷案件多发的今天，通过分类准确把握各类电子数据的特点，有效地收集、保全和运用电子数据，是正确解决各类案件，遏制网络犯罪、网络侵权和预防、处理各种纠纷的关键。

[1] 皮勇.刑事诉讼中的电子证据规则研究[M].北京：中国人民公安大学出版社，2005：9-10.

[2] 何家弘.电子证据法研究[M].北京：法律出版社,2002.

[3] 汪振林.电子数据原件问题研究[J].重庆邮电大学学报：社会科学版，2012(5):33-38.

[4] 张清.电子证据收集的基本方法：法律层面和技术层面的分析[J].重庆邮电大学学报：社会科学版，2012(1)：22-27.

[5] 汪振林.网络证据认定问题研究[J].重庆邮电大学学报：社会科学版，2010(1):21-26.

[6] 蒋平，杨莉莉.电子证据[M].北京：清华大学出版社，中国人民公安大学出版社，2010：21.

[7] FARMER D, VENEMA W.计算机取证[M].何泾沙,译.北京：机械工业出版社,2007:4-7.

[8] MANDIA K,PROSISE C,PEPE M.应急响应amp;计算机司法鉴定[M].汪青青,付宇光,译.北京：清华大学出版社,2004:81.

[9] 刘品新.电子取证的法律规制研究[M].北京：中国法制出版社,2010:62-65.

[10] CASEY E.数字证据与计算机犯罪[M].陈圣琳,译.北京：电子工业出版社，2004:304-347.

[11] 李扬.论电子证据在我国新修《民事诉讼法》中的法律地位[J].重庆邮电大学学报：社会科学版，2012(6)：38-42.

[12] 殷联甫.计算机取证技术[M].北京：科学出版社,2008:9.

(编辑：刘仲秋)

ClassificationofElectronicData

WANG Zhenlin

(CollegeofLaw,ChongqingUniversityofPostsandTelecommunications,Chongqing400065,China)

To classify electronic data, we should consider the needs of the electronic forensics practice, and accordingly, electronic data can be divided into twelve categories. The six of them already exist, and the other six are newly added. The newly added include storage medium data, electromagnetic radiation data, electronic line data; volatile data, nonvolatile; encryption electronic data, non-encrypted electronic data; application layer electronic data, the presentation layer electronic data, session layer electronic data and the other layers’data; visible data, invisible data; E-mail, BBS(Electronic bulletin board system information), IM(Instant Message), electronic signature, EDI(Electronic Data Interchange), log, microblog.

electronic data; classification; forensic

10.3969/j.issn.1673-8268.2013.03.005

2012-12-10

重庆市教育委员会人文社会科学研究项目:电子数据证据化保管问题研究(2012SKF03)

汪振林(1965-)，男，安徽安庆人，副教授，法学博士，主要从事诉讼法学、证据法学研究。

D915.13

A

1673-8268(2013)03-0021-06