大数据视阈下的刑事电子数据认定规则

梁子莹

(中国政法大学，北京100088)

随着网络社会的迅速发展，大数据、云计算已逐渐渗透入社会生活的方方面面，现实世界与网络世界实现了即时性的交融。体现在诉讼方面，虚拟化的数据空间向为实物证据而设的传统证据理论提出了新的挑战，产生于数据空间的电子数据也逐步在刑事诉讼证据制度中巩固了自身的一席之地。“真实性”“合法性”“关联性”是传统证据理论中具备证据资格的三个重要特征，在传统证据与新型电子数据之间，通用的证据认定规则无疑为规制新型电子数据的证据能力和证明力提供了牢固的基石。与此同时，随着社会数据化、虚拟化进一步发展，围绕着电子数据衍生出了新的虚拟证据认定规则，这将在本质上影响到传统证据理论的根基。对于大数据背景下活跃的电子数据，笔者认为，不能简单地以传统的“三性”标准作为其认定规则，应当设定符合电子数据的新型证据认定标准，使传统的刑事证据理论能够与大数据背景和谐共融，以此实现刑事证据理论的创新。

一、大数据背景下刑事电子数据的特点

2015年9月5日发布的国务院«关于印发促进大数据发展行动纲要的通知»(国发〔2015〕50号)指出:“信息技术与经济社会的交汇融合引发了数据迅猛增长，数据已成为国家基础性战略资源，大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响”。毋庸置疑，大数据在当今的虚拟世界和现实生活中都具有举足轻重的地位，已经开始全方位地影响刑事司法体制。存在于虚拟世界中的电子数据，不可避免地随着大数据的广泛应用而进入社会生活的各个领域。在大数据背景下，作为刑事诉讼法定证据种类之一的电子数据体现出更为独特、鲜明的特点。

(一)虚拟空间性

与传统的人证、物证不同，电子数据以一种信号量的方式存在。这些信号量是肉眼无法直接观看的无形体，存在于虚拟空间当中。这种虚拟空间依赖于电子设备所营造的特殊环境，是电子数据集中的主要场所。虽然这些信息以信号量的方式存在，但是其可以与载体相互分离，即使经过反复多次的精确复制，完全复制每一个比特的“副本”仍然可以具备与“原件”完全等同的证据功能，并不会影响到其内容的准确性。鉴于电子证据的虚拟空间性，在提取、固定和认定电子数据时，虚拟空间应当作为法律意义上的“现场”，这也扩充了当今关于证据“现场”的概念范畴。

(二)多样性与海量性

大数据时代最显著的特征是庞杂大量的数据随时不断地扩充自己的容量，在互联网中进行数据筛选并追求精确结果已成为当前的难题。落实到刑事电子数据的具体层面上，电子数据被赋予了更为复杂的多样性和海量性特征，这无疑为电子数据的搜集、提取、固定和认定带来了更大的工作量，提出了更高的技术性要求。

从电子数据的复杂性方面来看，在相同的物理空间中，电子数据可以通过一个体积不大的迷你主机、监控器等呈现出惊人的存储量。以应用普及率较高、在当前社会秩序管理和治安防控体系中发挥重要作用的视频监控为例，在连续不断的视频流中，对证明案件事实具有重要价值或者对寻找重要线索起关键作用的视频流可能只有几秒钟或几分钟；而以普通的居民小区为单位，其安全监控的视频流是非常巨大的，每日的数据量、信息量都呈几何增长态势，若想在其中挖掘有价值的线索，真可谓是“大海捞针”。电子数据的多样性超越了固有证据种类的表现形式。电子数据同时囊括了文字、图像、视听资料、数字、代码等内容，并以上述内容的外在特征和表现形式而存在，由此具有“动态连续性”。电子数据的多样性表现形式，有利于直观准确地了解案件情况。

(三)双重性

电子数据具有高度精确性但极易受到破坏，这是它本身所具有的双重特征。一方面，电子数据以信号和二进制代码的形式存在，需要以严格的技术标准来运行。在电子数据的复制和再现方面，基于其数字化表现形式和技术性操作标准，电子数据能够精确捕捉所需的关键信息，并储存在相应的设备上，因此，电子数据的复制件与原件并无本质区别，即使将二者数据精确到比特单位，也几乎不会存在误差。基于这一点，适用于电子数据的最佳证据规则应当与传统证据规则有所不同。另一方面，电子数据需要依附于载体而呈现相应内容，较易因外部或人为因素而遭到损毁、篡改甚至灭失，这体现了电子数据的脆弱性。诸如电磁波、电路、电脑病毒、载体碰撞等外在或人为的干扰或破坏都会导致大数据环境中的电子数据遭到可能难以恢复的破坏。另外，在对电子数据进行传递或加工的过程中，也容易使其丢失原本的面貌，如对照片的PS加工、对视频的剪辑、对音频的编辑或转换，都会使电子数据的真实性存疑，从而使认定变得困难。

(四)稳定性

电子数据具有与脆弱性特征完全相背离的另一个显著特征，即电子数据具有稳定性。有观点认为，电子数据是非常脆弱的，在大数据的环境下不容易被发掘，即便发现了但若没有及时通过技术手段予以提取和固定，也很容易致其失真。另一种观点则认为，电子数据与传统的物证、书证的物理属性不同。传统的物证、书证一旦遇到原件被破坏的情形，就会失去其作为证据的能力；电子数据则不一样，由于其具备高度精确性和与载体的可分离性，即使介质受到破坏，也很容易通过跟踪其他系统上的其他位置信息获取数据具体信息或者信息副本，因此“电子证据的脆弱性并非绝对，就某种意义而言，电子证据甚至具有超出传统证据的安全稳定性”[1]。电子数据稳定性的另一个体现是其难以被篡改或删除，即使有意对其进行篡改或造假，也可以通过现有技术手段及时发现并予以恢复。

二、刑事电子数据的司法认定现状

我国法律初次对刑事电子数据所作的规制是2010年出台的«关于办理死刑案件审查判断证据若干问题的规定»(以下简称«死刑证据规定»)，第29条规定了对电子邮件、电子数据、聊天记录、网络博客等电子证据的真实性和关联性审查。2012年，在«中华人民共和国刑事诉讼法»(以下简称«刑事诉讼法»)将“电子数据”纳为一种新的证据种类之后，«最高人民法院关于适用‹中华人民共和国刑事诉讼法›的解释»(以下简称«‹刑诉法›解释»)简单阐述了对电子数据的审查规则。2016年，“两高一部”针对刑事诉讼中的电子数据作出了具有操作性、实践性的具体化规则，即«关于办理刑事案件收集提取和审查判断电子数据若干问题的规定»(以下简称«刑事电子数据规定»)。传统证据的证据能力包括真实性、合法性、关联性，因此我国«刑事诉讼法»及相关司法解释亦从上述三个方面对电子数据的审查加以规制。

(一)刑事电子数据的真实性认定

关于电子数据的真实性认定，英美法系国家和大陆法系国家存在着截然不同的规定。由于对证据真实性的审查机制不同，英美法系国家主要以双方当事人的辩论为中心，以控辩双方提出的理由和材料来认定证据的真实性；大陆法系国家固守自由心证的传统，主要以法官的自由心证来进行司法推定。

在国际通行的电子数据“真实性”认定上，主要有“原件等同”和“功能等同”两种认定标准，即只要该电子数据基本等同于书面原件或者具有等同的功能，就可以将其视为与“原件”有同等的证据能力。菲律宾«电子证据规则»规则3明文表述:“电子文件同纸质文件功能相同”[2]。英美法系国家对电子数据的真实性作出了一些较为具体的证据规则性规定，包括最佳证据规则和传闻规则等。关于与“原价等同”的最佳证据规则，美国«联邦证据规则»(Federal Rules of Evidence 2016)规则1001(d)规定，“对于电子形式存储的信息而言，‘原件’是指准确反映该信息的任何打印输出，或者其他可以目读的输出”[3]。也就是说，只要是准确来源于计算机数据的打印输出物，就符合“原件等同”的要求。对于传闻证据规则，英国1984年«警察与刑事证据法»(Police and Criminal Evidence Act 1984)第68条规定，计算机输出打印物作为书面传闻的一种，亦可具有证据资格；基于其带有电子数据的特殊属性，因此第69条对其提出了一些附带性条件。后来上述条款被«1988年刑事审判法»(Criminal Justice Act 1988)第23－28条所取代。在大陆法系国家中，德国、法国、日本等国家都没有统一的证据法典或单行法规，有关证据法的规范散见于其他法律文件当中。对电子数据的真实性判断，大陆法系国家一般采用推定的方式对其加以认定。如日本«电子签名与认证服务法»第3条规定:“如果某人以电子签名表明记录于电磁纪录之信息属其所为，则该用于表达信息之电磁记录得推定为真实”[4]。具体到刑事诉讼领域中，大陆法系国家会更加注重对电子数据的收集、提取过程予以规范。

从电子数据真实性的实质性认证来看，对刑事诉讼中电子数据的真实性判断包括三方面标准:“电子数据是否可以重现、是否附有说明及证据的完整性等要求”[5]。«‹刑诉法›解释»第93条规定，对电子邮件、电子证据交换、网上聊天记录、博客、短信等电子数据，应当着重于审查其是否随着原始介质移送并保持其完整性，以及内容是否真实且有无发生删改、增加等情形。对于电子证据而言，电子数据完整性是真实性审查中尤为关键的部分，若电子数据的完整性受损，其真实性则无法得以保证。因此，2016年«刑事电子数据规定»除了进一步规范电子数据真实性的审查要求外，突出强调对电子数据完整性的审查。«刑事电子数据规定»第5条针对电子数据的收集、提取过程，提出了保护电子数据完整性的具体方法，以期为后续的真实性审查提供最大程度保障。在真实性审查中，存储电子数据的原始介质是至关重要的角色，因此，«刑事电子数据规定»第8条明确了原始介质的应有状态；第22条规定了电子数据真实性的具体审查内容；第23条对真实性中最重要的完整性审查规定了更为细致的标准。不断细化的法律规定无疑说明在我国刑事诉讼中，电子数据的真实性审查判断占据着越来越重要的地位。需要强调的是，侦查机关为了方便审查在电子数据读取过程中进行的必要增加和删改，属于对电子数据的修复，而非损害其真实性的行为。

(二)刑事电子数据的合法性认定

证据合法性是刑事诉讼实现程序公正所应遵循的基本要求，也是人权保障在证据认定过程中的具体体现。合法性是刑事电子数据的核心，决定了该电子数据是否能够取得证据资格并用以认定本案案情。

对于电子数据而言，其收集、提取、固定的整体程序和具体过程是否遵守了法律所规定的要求，即是“合法性”的体现。在英美法系国家的证据制度中，证据是否具备相应并充足的法律要件，具有十分重要的作用。与“合法性”直接相关的规则为非法证据排除规则。1967年，美国联邦最高法院在卡茨诉合众国一案中[6]确立了著名的“卡茨原则”①参见王玉薇:«大数据背景下电子数据的审查与认定»，载«中国司法鉴定»，2017年第6期。卡茨原则:(1)监控对象必须坚信在公开的环境中他的活动是受隐私权保护的；(2)监控对象对隐私权坚信的理由必须是令人信服的。，将排除非法证据的范围从有形的物理证据拓展到无形的电子数据上；英国1984年颁布的«警察与刑事证据法»第20条规定了扣押计算机化信息的权利范围:本条所适用的情形是已经进入房屋的警察能够行使法条所赋予的扣押权，其有权要求被贮存在计算机里的，且从房屋来看属于可以进入读取的信息，以能够被带走且可见、易读的形式加以展现[7]。大陆法系国家的证据制度中亦有类似的规定。德国«刑事诉讼法»第100条规定，只有法官和检察官有权命令扣押邮件，扣押的最终决定权和扣押邮件开启权都由法官行使[8]。

作为我国首次规制电子数据审查内容的法律文件，«死刑证据规定»强调了制作、储存、传递、获得、收集、出示等各个程序环节中的合法性，注重审查相关司法人员在执行过程中的签名或盖章是否符合法律规定的形式。而“收集程序、方式是否符合法律及有关技术规范”，是«‹刑诉法›解释»所明确的电子数据合法性的要求。从电子数据合法性认证的角度，采用非法方法收集的电子数据一般不予以采纳，其强调的是电子数据的形式合法性和实质合法性。实质合法性指获取电子数据的手段、方式的合法性。«刑事电子数据规定»第24条对电子数据实质合法性进行了细化，对侦查人员的人数、取证方法、清单记录、相关人员的签名或盖章、录像过程、备份检查等内容均予以明确，以便侦查人员或技术人员在收集、提取电子数据时能够防止因不合规程的行为而导致该证据无效的情形。

(三)刑事电子数据的关联性认定

电子数据的关联性指该电子数据与待证事实之间联系的紧密程度。通常情况下，关联性的有无及大小决定了该电子数据能否具有证据资格及其证明力大小。与案件的待证事实联系得越紧密，其证明力则呈正相关的态势不断增长。印度«1872年证据法»在电子证据部分规定了关于自认、财务账簿、因履行职责而形成的公共记录、数字签署意见等电子数据形式中的“关联性”。如关于数字签署意见的认定，当法庭需要对某人所作的数字签署意见作出认定或决议时，发出数字签署证书的认证机构的意见则属于关联性事实。

在英美法系国家所规定的关联性理论中，强调的是证据的证明性，即电子数据能够作为证据证明待证事实的实际能力。我国证据理论中的关联性更为强调客观上的关联性，注重判断电子数据与待证事实内容上的联系，这属于证明力判断的范畴，而非证据资格的判断。

电子数据的形式关联性主要是指电子数据间的物理关联，是一种外在形式上的关联性问题；电子数据的实质关联性主要指电子数据间的内容关联，亦是我国在判断和审查电子数据时更为强调的一点，其直接对案件内容的性质起重要的决定性作用。«死刑证据规定»第29条规定，对电子数据的审查需要审查该电子数据与待证事实之间的关联性。除了实质性的内容关联外，对在大数据环境下的电子数据进行认定，更注重的是其与生成、存续的网络环境间的动态关联性。在大数据环境下，人与物之间具备即时联络的特征，这就对电子数据的认定提出了更高的要求，需要其他环境证据加以佐证。«刑事电子数据规定»第25条明确了对网络身份与现实身份同一性和犯罪嫌疑人、被告人与存储介质关联性的审查，为解决实践中的“人机对应”问题提供了可操作的规则。该规定明确了侦查人员可通过核查IP地址、网络活动记录、上网终端归属、证人证言以及犯罪嫌疑人、被告人的供述来确认是否“人机对应”。对存储介质的关联性审查，则主要从证人证言和犯罪嫌疑人、被告人的供述等言词证据入手。

三、重构刑事电子数据的认定新标准

“真实性”“合法性”“关联性”是传统证据的固有属性。与传统的物证、书证相比，处于大数据环境下的电子数据具有即时性、互通性以及更易被篡改等特性。对于新的证据形式，在秉持与传统证据相同的证据标准的同时，还需要考虑电子数据的上述特性。笔者认为，应当在认定电子数据的过程中，在原有的“三性”基础上，采用更为具体、细化的新“三性”标准来判断电子数据的证明力强弱，即从真实性中抽离出的“完整性”与“合法性”“关联性”。当前司法实践中，在上述的新“三性”适用方面仍有许多尚待解决的问题。

(一)“完整性”标准的完善

“完整性”是传统的真实性标准中的重要内容之一，对于网络化、海量性的电子数据而言，其完整性应当作为证据认定的核心内容。只有当电子数据的收集内容是完整的，才能进一步考虑真实性的判断，亦能更为容易地判断其真实性程度。加拿大«1998年统一电子证据法»第4条规定，只要能够证明该电子记录所处系统的完整性，即满足了最佳证据规则的适用条件，也即符合了证据真实性要件。我国«刑事电子数据规定»第9条规定，在无法扣押原始介质而需要提取电子数据时，应当注重计算电子数据的完整性校验值，从而在收集、提取电子数据的环节中事先确保该电子数据的真实性；第23条规定，对电子数据的完整性进行审查，需要采用保护其完整性的方法进行验证。

然而，大数据环境所带来的电子数据即时性、易变性、海量化等特性尚未受到相关立法的制约。«刑事电子数据规定»所设置的检验电子数据完整性的方法，仍旧以传统证据理论为基点，着重审查其介质与备份数据等实物形式和提取、保存程序是否符合规定，实际上是将电子数据与书证、视听资料等传统证据材料相等同，并未考虑到电子数据本身特点及网络空间瞬息万变可能导致的电子数据变更、消失甚至湮灭的情况。在网络空间中，电子数据主要由代码所构成，具有虚拟性，电子数据在采集并认定的过程中经过合法转化会形成一份新的文件，与上文提及的存储介质、备份数据不同。现行法律在对该类型文件的认定中缺少具体化的操作规程。在司法实践中，对电子数据的完整性认定主要通过其存储介质进行，但在大数据环境中的电子数据难以被精准识别并捕捉于某一个特定的介质中。这恰好要求我们在面对电子数据完整性认定的问题上，应明确采取“原件等同”标准和“功能等同”的客观量化标准。首先，采用“原件等同”标准，强调审查电子数据的原始形态信息，只要侦查人员所获取的电子数据与其全部原始形态信息一致，就应认定其具有完整性。也即，无论其在数据空间的何处被下载或保存，均可以被视为原件，具有与原件相同的证明力。其次，采用“功能等同”的标准，即建立适用于电子数据的传闻规则。对传闻形式的电子数据的推定，需要遵循其在大数据环境中的新型属性和客观表征，创设关于电子数据“孤证绝对否定”“不同节点印证”“属性痕迹补强”[9]的瑕疵补强规则，并且可以通过自认、推定、辨认与鉴真、专家鉴定等方式予以补强。

(二)“合法性”标准的完善

电子数据的合法性，是一项电子数据能否被成功赋予证据资格的关键要素。在大数据的网络环境中，纷繁的电子数据主要由0和1的代码所组成，因此很容易遭到删改或恶意破坏。基于这一点，在电子数据的认定中，侦查人员往往以该电子数据与待证事实之间的关联程度来判断其证明力，而忽视了电子数据本身即为一种法定证据形式。在司法实践中，侦查人员多数情况下把客观存在的电子数据转换为传统的书证、视听资料等证据形式，对电子数据本身的证据能力不予以采信，这样做可谓买椟还珠，失去了将电子数据划分为一种独立证据的法律意义。

为了打破这样的僵局，笔者认为应当对电子数据的合法性认定加以完善。首先，应在刑事诉讼的各阶段都落实电子数据作为独立证据的法律地位，即使电子数据具有虚拟化和海量化的特点，亦应承认其以独特形式成为证据。此处所说的“合法性”主要建立在如何提取和保存电子数据以维护其独特形态的问题上。在“快播案”中辩护人提出，对涉案淫秽视频的认定并无明确标准，而且涉案视频的鉴定方式、手段和材料并无实际的客观载体予以固定；涉案服务器被行政机关扣押后转移到公安机关，其转移程序是否合法、原始数据是否遭到破坏均使人存疑；复制数据的法律效力问题(证明力是否等同于原始数据)也成为双方争议的焦点。由此可以看出，实践中需要对电子数据的收集、提取、保存和审查等各个环节制定出更为细化的操作规则，并建立适用于大数据网络的刑事程序规则；应当对法官提出更高的知识水平要求，培养法官以专业知识去认定案件，为法官提供与信息化、大数据相关的证据采集过程，使其能在法治化思维与信息化思路中更好地认定电子数据的合法性。亦有学者进一步提出，需要“建立电子搜查、扣押的司法审查机制”[10]，通过司法责任进行约束，以期提高侦查机关和审判人员认定和判断证据的责任心与认真度，从而使电子数据的认定在刑事诉讼过程中得以规范化。

其次，非法证据排除规则是“合法性”认定中的重要证据规则。2017年出台的«关于办理刑事案件严格排除非法证据若干问题的规定»(以下简称«排除非法证据规定»)只对传统的证据类型作出了排除规范，其中包括犯罪嫌疑人、被告人的供述，证人证言，被害人陈述及实物证据等。可以看出，虽然电子数据被赋予作为法定证据的独立法律地位，但其本身在证据规则中尚未受到重视。因此，应当参照«刑事电子数据规定»和«排除非法证据规定»等规范性文件中有关非法证据、瑕疵证据的规定，设定独立、具体的非法电子数据排除规则。其主要内容应当包括以下三个方面。其一，以非法方法获取的电子数据，或故意篡改、增删电子数据的信息，或在收集、提取、审查过程中故意删改电子数据并已超出合理范围的，则该电子数据不得作为定案的依据，应当予以排除。上述第三种情形主要是指侦查人员或技术人员在读取电子数据的修复过程中，故意篡改或做过多增删以损坏电子数据真实性的行为。同时，可以参照«刑事电子数据规定»第28条的规定，设置具体的类型化标准:①电子数据系篡改、伪造或者无法确定真伪的；②电子数据有增加、删除、修改等情形，影响电子数据真实性的；③其他无法保证电子数据真实性的情形[11]。其二，具有瑕疵的电子数据通过多种网络化、信息化方式都不能修复或作出专业化合理解释的，不得作为定案的依据。其三，基于大数据网络的即时性、互通性、海量性特点，每一项电子数据都不可能孤立存在，或多或少都会与关联数据、关联介质以及关联环境共同构成一个独立的单元化数据空间，所以网络孤证的情形是绝对不存在的。也即，孤立的电子数据必须予以排除。

(三)“关联性”标准的完善

电子数据的关联性在大数据背景下显得较为复杂，每一项电子数据都可能与海量的未知信息存在着关联。虽然立法已开始关注网络空间的特殊语境，但与日新月异的大数据环境相比，立法仍处于较为落后的位置。以微信、微博等新兴媒体用户为例，用户每天都在浏览并使用海量信息，并可以随时随地自由保留或删除有关信息；被删除的信息通常情形下无法被轻易恢复，甚至有可能就此湮灭。当侦查工作需要相应的电子数据予以佐证时，因这类电子数据流动性非常强，捕捉及固定数据的难度较大，因而往往具有瑕疵，司法实践中难以被运用到认定案情上。

达到电子数据的关联性标准，要从形式关联性与实质关联性两方面出发。从客观关联的角度出发，不能一味采用传统证据理论中的关联性法则来认定大数据环境中的电子数据，其许多新型特质是无法用实物或书面的方式加以认定的。«刑事电子数据规定»较为粗略地设定了认定犯罪嫌疑人网络身份与现实身份的同一性方法以及与存储介质的关联性，笔者认为，这只是一个原则性、纲领性的简单规定，需要进一步设定相关的具体细则以符合实践所需。例如，可以建立统一的网上电子数据鉴证平台，其囊括海量数据并需要实时更新信息。在关联性认定中，可以通过各种相关的关键词搜索到该电子数据的关联信息，并设置科学的数据筛选系统，从而实现电子数据信息的完整性和系统性。实践中，不能仅凭少量数据片段就对相关信息的有效性下定论。

在当前司法实践中，证据认定权主要掌握在审判人员手里，由审判人员通过庭审质证对电子数据的有效性加以认定。从证据实质关联的角度出发，需要改变审判人员一贯以传统经验办案的审判思路，强化其知识结构的数据化、网络化，提升审判人员对电子数据的认知和把控能力。审判人员对电子数据关联性的把握程度，直接影响电子数据对待证事实的证明力:认定的电子数据与待证事实联系得越紧密，其实质证明力越大，认定相关事实的法律效力越强。