【专题研究】电子证据的审查技巧（二）

五、电子证据的勘验式审查

刑事诉讼法第128条规定：“侦查人员对于与犯罪有关的场所、物品、人身、尸体应当进行勘验或者检查。在必要的时候，可以指派或者聘请具有专门知识的人，在侦查人员的主持下进行勘验、检查。”“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据若干问题的规定》）第9条第3款规定：“为进一步查明有关情况，必要时，可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验，需要采取技术侦查措施的，应当依法经过严格的批准手续。”公安部发布的《公安机关办理刑事案件电子数据取证规则》第27条规定：“网络在线提取时需要进一步查明下列情形之一的，应当对远程计算机信息系统进行网络远程勘验：（一）需要分析、判断提取的电子数据范围的；（二）需要展示或者描述电子数据内容或者状态的；（三）需要在远程计算机信息系统中安装新的应用程序的；（四）需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的；（五）需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的；（六）其他网络在线提取时需要进一步查明有关情况的情形。”上述法律规范为侦查机关、检察机关运用勘验手段收集提取证据提供了法律依据。

电子证据的勘验式审查是指对案件中含有电子证据的光盘进行勘验，收集、提取有利于本方的电子文件、痕迹等。这种方法能够实现向证据最集中处（如抛尸地点、杀人现场等）“挖矿”的目标。这种审查要求办案人员把含有电子证据的光盘当作二进制现场， 找到有利于证明案件事实的电子文件或者电子痕迹。司法人员、执法人员、辩护律师等开始愈来愈多地使用这种方法，而不再仅仅停留于关注鉴定意见书说了什么的阶段。通过审查光盘，可以发现鉴定意见书没有指明的内容，可以发现侦查人员是否遗漏了数据，这些可以作为后续认罪认罚从宽程序的依据。这种方法对办案人员的证据审查更有实际意义，不仅互联网公司的数据是大数据，侦查机关提供的光盘也可能是大数据，对案件中含有电子数据的光盘等进行勘查，也许能找到大量证实被告人罪行的证据。

在一起网络赌博案件，侦查机关对300多部手机和100多台电脑进行提取，但提取数据刻录的光盘最后没有纳入指控的证据目录里， 因为没有找到有利于指控的证据。笔者接受委托对其中的三份鉴定意见书进行审查， 认为在限定的三份鉴定意见书范围内进行审查的意义仍然不够大， 遂建议以勘验的思维对300多部手机和100多台电脑所复制的电子文档进行审查，比如审查有无设置敏感词不允许其他用户使用它的平台、有无接受公安机关要求协查的请求、有无接受老百姓的举报对账号进行封禁、有没无禁止赌博政策等情形。结果本案中很快找到了几百份这样的证据。它们对于准确认定案件事实、衡量案件性质具有重要意义。

六、电子证据的辅助式审查

我国立法虽未明示，但却以多个具体法条确立了“诉讼中专门性问题由具有专门知识的人来解决”这一基本原则，该原则的确立源自“术业专攻”。［3］2012 年刑事诉讼法第192条第2款规定：“公诉人、当事人 和辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭，就鉴定人作出的鉴定意见提出意见。”这首 次构建了我国刑事诉讼中的专家辅助人制度，有利于解决与案件争点相关的专门性问题。《电子数据若干问题的规定》第17条针对电子证据涉及的专门性问题，规定了由有关机关出具鉴定意见或报告这一“两条腿” 走路方式。该规定第 31条规定了控辩双方向法庭提交的电子数据需要展示的，必要时，可以聘请具有专门知识的人进行操作，并就相关技术问题作出说明。该 规定第26条则对有专门知识的人出庭作证作出了规范。

电子证据的辅助式审查是指在遇到难以依照常规判断电子证据或其相关证据的情形时，请有专门知识的人进行咨询、论证、审查、鉴定和辅助举证、质证、申请等。这一方式有利于司法人员、执法人员、律师等养成专业审查能力。在前述“托福”案件中，因为涉案订单和淘宝数据出现了很多问题，笔者建议聘请专门机构出一份鉴定意见书。这样的鉴定意见书实际上是对侦查机关的勘验笔录是如何形成的、勘验笔录记载的数据和鉴定检材是否一致等进行的专业判断。

电子证据的辅助式审查需要掌握一些技巧。例如， 在提出鉴定申请时，如果只空泛地提出申请鉴定涉案服务器时间是否被修改、某些文件是否被修改及修改时间等，鉴定机构一般会以无法判断为由拒绝接纳这种鉴定请求。此等情形下，可以改为申请鉴定重要文件的形成过程（即判断其何时形成、何时修改），而非直接申请鉴定其真实性。

七、电子证据的对照式审查

对照式审查是指对案件中证明同一案件事实的两个以上的证据进行比较和对照，审查其内容是否相一致，是否能合理地共同证明案件事实。它主要适用于存在两次以上的鉴定、勘验等的案件中。其优势在于通过将电子证据与其他证据对照审查，有利于从中发现问题，澄清案件事实。

在一起提供侵入、非法控制计算机信息系统程序、工具案中，侦查人员对同一台电脑做了两次勘验，两份勘验笔录记载的时间分别是2018年和2019年，将这两份勘验笔录进行对照，找出其中差别，就知道侦查人员为什么要在2019 年重新做勘验笔录了。2018年勘验笔录记载的是“拆封物证袋”，2019年记载的是“打开物证袋”。这表明，侦查人员在 2019 年进行勘验时，电脑硬盘未处于封存状态，故而不能排除硬盘是 后来放进去的可能性，该证据的证据效力就存有疑问。《电子数据若干问题的规定》第 8 条规定，收集、提取电子数据，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。本案中侦查人员第二次勘验时违背了上述法律规定。

八、电子证据的错位式审查

错位式审查是指将案件中电子证据或电子证据鉴定意见等存在的疑点划分为“可以补正的疑点”和“不能补正的疑点”，结合诉讼策略进行审查和提交。如此审查的优点在于避免实务中可疑伪造证据的情形发生。我国法律规定，侦查人员可以对有疑点的电子证据进行补正或出具情况说明。根据错位式审查， 控辩双方对于进行过补正或出具情况说明电子证据，依然要进行审查，若依然存在疑点的仍然要指出。经过多轮交锋后，电子证据的疑点即很可能属于“不能补正的疑点”，这还会产生有关电子证据被排除的后果。

在某个案子中进行了两次勘验、四次鉴定，可以将每次勘验和鉴定的开始时间、结束时间、刻盘时间、压缩包修改时间、文件最早修改时间、文件最晚修改时间做了个排序表格（见表 1）。为什么本案在第一次勘验后又做了第二次勘验？在第一次鉴定后又做了第二、三、四次鉴定？笔者在参与本案电子证据审查的过程中就使用了错位式审查方式，即在发现电子证据的问题时，没把所有的疑点都提出来，而是逐次提出问题，待对方补证到第四次时依然存在问题。

九、电子证据的递进式审查

在错位式审查的基础上可以进一步提炼出递进式审查技巧。递进式审查指的是对案件中来源不明的电子证据或电子数据鉴定意见等，先行初步审查，待侦查人员补充来源信息后进行后续审查，以此不断地逼近真相。在案卷材料信息不充分的时候，先初步审查校验值，待侦查人员补充证据后，再进一步审查电子证据取证过程，最后通过审查存储介质能够验证判断侦查人员补充的信息是否真实。

以一起网络犯罪案件为例， 鉴定机构对名为“××8085”的软件进行功能性鉴定，发现该软件具有侵入功能。第一步，校验值审查。检察人员要审查鉴定意见书里“××8085”的校验值和勘验笔录中记载的校验值是否一致，发现不一致。说明检材来源不明，检察人员可以要求侦查人员进行补证，方式是重新做一份 勘验，补充勘验的校验值和鉴定意见书的校验值一致。补证后发现鉴定意见书是 2018 年出具的，补充勘验是2019年出具的，检察人员有合理怀疑认为新的勘验是把鉴定意见书中的文件放进了电脑里，对此可以进行下一步审查。第二步，校验值 + 取证过程审查。对 2019 年的勘验过程进行审查，审查的方式是将2018年的鉴定意见书和2019年的勘验笔录进行对比，比对后发现第一行字不同、附件中工作照片完全相同，说明第二次勘验没做。侦查人员又补充了情况说明，说是照片贴错了。第三步，校验值+ 取证过程+ 数据/介质审查。虽然侦查人员勘验时有全程录像，但录像只能证明侦查人员当时进行了勘验，勘验后文件的状态如何等很多信息无法得知，因此需要查看硬盘，那么如何判断硬盘里的数据是否是后来放进去的？最简单的技巧就是在电脑的硬盘里用*.* 搜索所有文件。本案第二次勘验的数据提取时间是自2019年2月27日10时34分开始，至2019年 2 月 27 日 10 时 40分结束，检察人员需要重点审查硬盘里是否有该时间段之后的文件，事实上检察人员找到了大量2019年2月27日之后产生的文件，这表明硬盘没有封存，取证过程不规范，检材来源不明。

十、电子证据的体系式审查

根据结构主义，只有在证据的相互解释和相互界定的结构中，证明才有价值。电子证据的体系式审查即指“鉴、数、取”一体式审查：“数”是指电子证据，通常其不能孤立地发挥证明作用；“取”是指各种来源笔录；“鉴”是指电子证据司法鉴定意见等，用于证明案件事实。

与单独审查电子数据、来源笔录、鉴定意见相比， 将三者构成一个体系加以审查往往能起到意想不到的效果。任何电子证据要发挥作用，通常是数、取、鉴结合在一起，审查的时候若单独看某一个，会出现看不懂的问题。“鉴、数、取”一体式审查可以产生奇效，这要求办案人员首先要审查清楚鉴定检材。检材来源是否清楚不能只看鉴定意见，还要看来源笔录和光盘。光盘中记载的数据会有创建、修改、访问时间， 如果这些时间与勘验笔录对得上，说明确实做了勘验。如果数据的校验值和鉴定意见书里的校验值一致，说明鉴定的确实是该数据。

十一、电子证据的关联式审查

关联性审查有三层含义，一是指将指向同一案件事实的电子证据同其他证据进行关联审查；二是指将指向同一案件事实的不同电子证据进行关联审查；三是指将电子证据的内容、属性、痕迹进行关联审查。

在一起侵犯著作权案中，被告人系于 2010 年 4 月从 A 公司离职到 B 公司工作，涉嫌侵犯著作权。本案争议事实是源代码是什么，鉴定机构对侦查人员提交的游戏软件进行源代码鉴定，表明被告人从 2011 年离职后到了 B 公司开发的新软件很多源代码与原公司的一致，构成侵犯著作权。把鉴定意见书、不同的游戏软件源代码、询问笔录、讯问笔录这四份材料结合在一起审查，发现鉴定意见书记载的游戏软件程序源代码系 2011 年 8 月之后修改形成，而本案指控的事实是被告人盗窃了 2010 年离职之前的源代码，这表明作为比对的鉴定检材是不当的，其他部分材料也存在来源不明等问题，据此得出的鉴定意见不具有证据资格。检察人员在提起公诉时难以将之作为证据使用。

十二、电子证据的组合式审查

组合式审查要求考察是否构成电子证据定案的完整证据体系：其一，若干份电子证据同传统证据如物证、书证、证人证言等相印证，构成一个虚拟空间与物理空间证据相结合的锁链；其二，若干份电子证据相印证，构成一个虚拟空间证据相结合的锁链。这需要尽可能围绕电子证据的形成过程收集取证，将电子证据衍生出来的各种附属信息证据组合起来共同证明案件事实。组合式审查是对印证证明模式和证据体系理论的进一步发展。

在一起入侵计算机信息系统案中，被告人是否存在入侵行为、入侵的社会危害性大小等需要通过IP地址证据证明。公安部的情况说明记载，“对 ××考试报名网站被攻击中涉及我市的30000余条共计100多个相关网络IP进行落地核查，发现100多个相关网络IP均为：ADSL：877 ……使用”，而鉴定意见书里有 3000多个IP 地址，很多IP地址与被告人无关。另外，讯问笔录里特别强调入侵会留下IP地址，表明IP地址要对应起来，也说明没有对IP地址进行匹配分析。特别是有许多证人证言也涉及IP地址，被害人单位的人提供的IP 地址还涉及到天津外的IP 地址，这些证据组合起来存在疑问， 检察人员在办案时要警惕由此导致的证据瑕疵问题。

结论

本文提出的十一种有效审查的技巧均源自实践， 有大量的案例支撑，更重要的是有法学理论支撑。过去证据审查特别强调专业的审查方法：先单独审查， 再比较审查，最后进行综合审查。这是具有专业范式的审查三阶段。本文提出的聚焦式审查、还原式审查、实验式审查、勘验式审查、辅助式审查可以归结为单独审查阶段；对照式审查、递进式审查、错位式审查可以归结为比较审查阶段；体系式审查、关联式审查、组合式审查可以归结为综合审查阶段。这些审查方法是对传统证据学理论的一种推陈出新。

注释：

［1］内蒙古自治区赤峰市中级人民法院刑事裁定书，（2019）内04刑终第126号。

［2］杨东亮：《侦查实验笔录简论》，《证据科学》2011 年第 5 期。

［3］参见李学军：《诉讼中专门性问题的解决之道——兼论我国鉴定制度和法定证据形式的完善》，《政法论坛》2020年第6期。

作者：刘品新，中国人民大学法学院教授、博士生导师，中国人民大学刑事法律科学研究中心、未来法治研究院研究员。

    来源：《国家检察官》2021年第7月。