尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨梁坤:刑事案件电子数据取证规则的理解与适用

作者:尚权律所 时间:2023-08-09

梁坤教授:今天下午的主题是“刑事案件电子数据取证规则的理解与适用”,其实前面有几位非常大牌的专家在讲座中或多或少地谈及了这个话题。不论是“电子数据的相关的规则的理解与适用”,还是具体的一些实务问题,如果不涉及取证的话,可能就失去了基本的根基。如果没有取证,就没有后续的审查认定,当然取证和审查认定本身也是密不可分的,所以今天下午我们会以取证为主,也会适度地涉及后续的审查认定问题。

 

首先做一个简要的介绍,我做这部分内容的研究有比较长的一段时间了,最早的时候是跟着我的师兄——也就是我们培训会第一讲的刘品新教授——一起编写了一本书,是他主编的《电子取证的法律规制》。这都是十多年前了,这也是他做的比较早期的研究,那个时候我其实还处于比较懵懂的状态,主要被分配的任务是去研究“远程勘验”这种当时自己并不太懂的话题。后来,随着学习研究的深入,也跟着刘品新教授做了一些文献的翻译,比如说《国外电子证据适用指南选译》,再后来自己开始独立做一些研究,主编了《信息化时代庭审方式变迁的实证研究》,最新的是2023年1月的《数据主权与安全:跨境电子取证》,集中在电子数据这方面做了一些探索。

 

上午的时候听谢登科老师的讲座,他也讲了关于跨境取证的一些问题,但是内容有限,由我来稍微集中地进行阐释。由于我们要探讨的是“刑事案件电子数据的取证规则的理解与适用”,这个问题的逻辑性前提在于对相应的取证规则有所了解,因此我们首先需要把握刑事案件电子数据的取证规则到底有哪些。我在这里做了一个简要的梳理,据不完全统计,包括《关于办理网络赌博案件适用法律若干问题的意见》《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等等。有关近年来中国刑事证据法的立法发展,我个人认为最突出的体现就在于涉及电子数据方面的篇幅有大量增补。在这我提醒一下各位,在这些司法解释的出台部门当中,但凡有最高人民法院和最高人民检察院(以下简称“两高”),特别是有公安部(以下简称“一部”)参与制定的司法解释,通常都会在靠后的部分专门涉及某类案件的取证规则,因为这些案件都是大量地涉及网络的犯罪,因此大多这种由两高和公安部共同出台的规定,它都有一部分是专门涉及电子数据的收集与认定。大家可以看到PPT,在这我先梳理几个特别重要的规范。首先是2016年开始“两高一部”发布的《关于刑事案件收集提取和审查判断电子数据若干问题的规定》;在此之后,2019年公安部单独出台了《公安机关办理刑事案件电子数据取证规则》。公安部出台了这个文件之后,2021年又有两部重要的司法解释出台,一个是《人民检察院办理网络犯罪案件规定》,以及《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》在“证据”章节也对电子数据做了许多有关审查认定规则方面的补充。

 

2016年当时有一份《关于办理电信网络诈骗刑事案件适用法律若干问题的意见》,然后到了2021年“两高一部”出台了《关于办理电信网络诈骗刑事案件适用法律若干问题的意见(二)》。比较早出台的是2014年的《网络犯罪案件适用刑事诉讼程序若干问题的意见》。2022年,在网络犯罪领域最新的一个司法解释,就是“两高一部”出台的《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》。

 

以上就是关于电子数据的刑事领域方面的规范性文件的一个简要的梳理。具体到文件里的内容,有关电子数据的收集、提取方面的内容有比较集中的规定,也就是在我们前面提到的非常重要的2019年公安部所发布的《公安机关办理刑事案件电子数据取证规则》当中。文件主要是将电子数据的取证规则分成了三类,第一类叫做收集提取电子数据,第二类叫做检查和侦查实验,第三类是检验与鉴定。大家会发现,其实此处罗列的这些具体措施,包括检验、鉴定、侦查实验,它都属于侦查措施。但是在电子数据领域,相应的取证规则对这个部分做出了进一步的细分,这个细分的原因就在于,其中的一些措施例如现场提取、调取,这些措施是属于收集和提取类别的,有了收集和提取,才有之后的检查、侦查实验以及鉴定和检验。换言之,这里的分类强调了有些措施是用于收集提取的,只有经过收集提取之后,再有后面的检验、鉴定等规范上具体的安排。

 

了解措施的构成之后我们再来看,电子数据收集提取之后它会形成一个证据体系,根据刘品新教授在讲座中所说,电子数据的证据体系,它是属于一种“三位一体”结构,什么意思呢?大家知道,对电子数据收集之后,它会形成两类证据:第一种证据叫做“取证报告”,主要体现为各种各样的笔录。如果说是勘验程序、勘验措施它就会形成勘验笔录,如果说是调取,它就形成调取笔录。还有一种叫“司法鉴定意见”,电子数据在收集过程当中,必然产生着各种各样的笔录,但是鉴定意见则不是每个案件都会有。有的案件需要有鉴定意见,有的案件则没有鉴定意见,这也是刘品新老师所说的“鉴-数-取”的证据体系。就是有的案件视情况会出现鉴定意见。尽管公安部的规定有先后之分,先讲收集提取,再有后面的检查、鉴定等后续工作,但是从证据体系来说,它会形成大致的“鉴-数-取”的证据体系。

 

我们接下来再梳理一下基础性的内容。刚才所梳理的关于电子数据一些取证规则,它最终都需要落脚于各种各样的调查取证措施。据不完全统计,我们可以看到从2010年开始,直到现在有12份规范性文件都对调查取证措施进行了规定。其中有对调查取证措施规定得比较多的文件,比如说2016年的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,还有2019年的《公安机关办理刑事案件电子数据取证规则》,还有人民检察院2021年出台的《人民检察院办理网络犯罪案件规定》,都集中地对电子数据的取证作出了相应的规定,当然还有一些零零散散的法律和司法解释,例如2021年的《数据安全法》也有少数篇章专门规定了电子数据的调取。

 

我们此次讲座的主题是讲电子数据的取证规则的理解与适用,但是取证和审查认定是无法截然分开的,因此我们在讨论的时候,不能够完全脱离后续的审查认定规则,这一点从现有的有关电子数据的司法解释都可以体现。关于电子数据的审查认定规则,我们可以看到2021年的《人民检察院办理网络案件的规定》23-39条,此处规定了诸如客观性、真实性、合法性、关联性的审查,其实用到了传统的对证据进行审查的思维,只是移植到了电子数据的审查思路和工作当中。但是,我们知道电子数据是具有特殊性的,我们在对“三性”的认知当中又多出来了一个性——“完整性”。大家可以看到司法解释将其放在第30条:“对电子数据是否客观真实,要注重审查以下内容”,其中包括完整性,我个人认为把完整性放在这里并不合适,因为完整性跟客观性、真实性有些联系,但是它也有一些特殊性。我举一个最简单的例子,比如我这里有一个PPT,我在操作PPT的过程当中,比如我从办公室把 PPT拷贝到今天会场的电脑中,如果我不小心把这个PPT打开之后键入了一个空格号,就这么一个简单的操作会产生什么效果呢?它的真实性发生变化了吗?它内容有没有发生变化?都没有,它还是客观的,它的内容也不会发生真实性方面的疑问,但是它的完整性发生了变化。为什么会发生变化?因为基于我键入空格这样一个操作,它的哈希值就一定发生了变化。所以,完整性还不能够等同于真实性和客观性。只是这个司法解释是把完整性放在里面进行规范。完整性的提出,就表明电子数据不同于传统的实物证据,两者所对应的“完整性”是截然不同的,这一点供大家参考。

 

经过这些年的发展,电子数据取证规则发生了一些变化,这里我也简单梳理了一些变化的趋势:第一,传统的取证措施的相关规则其实是可以直接适用于电子数据的。虽然电子数据有着特殊性,但大家不能忘了,电子数据本身也是一种实物证据,有关传统实物证据的搜查、查封、扣押等等规则,其实也可以直接适用于电子数据。第二,由于电子数据本身比较特殊,所以近些年来电子数据的相关的法律法规出现了一个明显的变化,就是单独地围绕电子数据的特征来建规立制。第三,由线下发展到了远程,其他证据不存在这样一个问题,只有电子数据才会出现所谓的网络远程提取、远程勘验、远程技术侦查。另外,由于电子数据分布的范围特别广泛,甚至涉及境外,而且涉及跨境的问题越来越多,因此,境内取证规则如今发展到跨境取证规则。第四,就是我刚刚所说的,取证和审查规则不能够截然分开。

 

在对这几种趋势进行梳理之后,我今天讲座的主要内容也会从四个方面展开,我在此归结如下:第一个方面是“传统的和电子的”;第二个方面是“初查的和侦查的”;第三个方面是“线下的和线上的”;最后一个方面是“境内的和跨境的”,我将从这四个方面向各位展开,进行相关规则理解与适用的解读。

 

第一,虽然说今天下午我们聊的话题是“电子数据取证规则的理解与适用”,但是大家千万不要忘记,电子数据本身也是一种实物证据,所以但凡是实物证据的取证措施,都可以适用于电子数据。了解这点之后,我们来看看张波案,这个案子我相信大家都比较关心,特别是重庆本地的朋友应该比较熟悉这个案子了。这个案子因为涉及到了人伦,在网络上讨论比较多。我们今天探讨的是这个案子的二审判决书中所做的一个分析。二审判决对公安机关的取证行为进行了直接的评价。我们来看——“公安机关在扣押手机的时候没有出示《扣押决定书》”,刚才提到,“扣押”本身就是一种关于实物证据的取证措施,这个措施也同样适用于电子数据。因此,这个案子在程序上显然存在违法之处,因为在扣押时没有出示《扣押决定书》。所以,辩护律师在这个问题之上提出了异议当然是有道理的。尽管公安机关没有出示《扣押决定书》,但进行了全程录音录像,因此,二审判决书所用的词汇是非常精准的——“存在瑕疵”,就是程序存在瑕疵,公安机关进行相应的解释。虽然没有这样一个合法的扣押程序,但是进行了录音录像,所以没问题,包括这个扣押,以及后续的对这个手机的取证。

 

今天我们要重点要聊的是,为什么人民法院要采信这个证据?这里,法院在判决书中引用了《最高人民法院关于适用〈刑事诉讼法〉的解释》第126条第1款的规定。可能大家在看新闻报道或者说在读这个二审判决书的时候没有特别去关注所引用的这个法条。我这里想表达什么意思?就是在这个案件里面,不管是公安机关,还是人民法院,他们所关注的点其实还是电子数据背后的实物证据侦查取证措施的相应规定,以及适用于一般性的物证、书证的认证规则。我们进一步来看法院所引这一条款的位置,126条是处于第四章“证据”的第九节“非法证据排除”。也就是说人民法院在进行证据认定的时候,它认定这是一个瑕疵证据,但是引用的是关于“非法证据排除”的条款。我个人在看到这段表述的时候其实是有一些疑问的,因为法院所引用的法条所处的位置可能存在一定问题,我认为它应该引用的是《最高人民法院关于适用〈刑事诉讼法〉的解释》的113条——专门关于电子数据的条款——“电子数据的收集、提取程序有下列瑕疵,经补正或作出合理解释的,可以采用。”这是专门的关于电子数据的瑕疵证据条款。所以我个人对此判决所援引的条款是持一定保留意见的。这也是我之前所说的,在分析电子数据的取证之时也离不开对实物证据的取证和认证规则的一个分析。所以,我们再回过头来看,法院所引述的法条讲的是“物证,书证不符合法定程序,可能严重影响司法公正”,这其实不应该作为对本案件公安机关所实施的取证行为的评价。

 

那么,至于电子数据收集提取到底受不受排除规则的调整呢?对这个问题学界有不同的看法,实际上从2010年《关于办理刑事案件排除非法证据若干问题的规定》,到2017年的《关于办理刑事案件严格排除非法证据若干问题的规定》,所涉及到的实物证据的排除规则只规定了物证和书证,看不到电子数据到底是否受到排非规则的影响。但是在2020年的时候,公安部自己所修订的《公安机关办理刑事案件程序规定》,在物证、书证的基础上加入了视听资料和电子数据。因此从公安部规定的这个角度来说,我们认为电子数据的取证也受到排非规则影响。这里大家要注意,实际上我们在评价公安机关的电子取证规则之时,一定要注意什么叫“排非”,什么叫“非法”,非法和违法是两码事。排非规则关注的重点永远是基本人权,这是我们国家在制定排非规则时的基本考虑。如果说根本不涉及基本人权,那就是一般性的违法,不能够适用于排非规则的调整。所以,我们在规范评价关于电子数据取证活动的时候,就要考虑其是否涉及对基本权利的侵犯或限制。

 

刚才我们说到了第一个方面——“传统取证规则直接适用于电子取证”。但是我们又发现,传统取证措施、取证规范适用于数字时代、数字环境的时候,有时候会让我们感觉到尴尬,感觉到不太好适用。比如我们刚才所提到的扣押,扣押的规则,按照《刑事诉讼法》第143条的规定:“侦查人员认为需要扣押犯罪嫌疑人的邮件、电报的时候,经公安机关或者人民检察院批准,即可通知邮电机关将有关的邮件、电报检交扣押。”在传统的司法环境当中,对常规意义上的实物证据进行关联性判断的时候,进行相应扣押的时候,是比较明确的。但是在网络数字时代,有关的判断就比较复杂。现在公安机关在办理刑事案件的时候,似乎犯罪嫌疑人到案之后,就出现了一个现象——好像他的手机或者相关电子设备就归公安机关了,当然,这会经过一个相应的扣押程序。我们就发现,在数字时代,这个扣押跟常规意义上对传统证据的扣押有着很大的不同。常规的扣押特别强调关联性,与案件无关的不能扣押;但手机不一样,在对进行手机的扣押的时候,我们可能只是怀疑犯罪嫌疑人手机里面某些数据是与案件事实相关的,但实际上在扣押以及对数据进行挖掘、恢复之前,我们无法做出精确的判断。因此,现在对手机的扣押就变得非常泛滥——人只要到案了,手机就归公安机关了。从这个意义上讲,在数字时代,侦查权其实出现了一定程度的扩张。所以,近些年来,理论研究大量都是围绕“侦查权的扩张”在做文章。今天上午可能谢登科老师也给大家讲过原件和复制件的问题。2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第8条规定“应当扣押、封存原始存储介质”,所以说按照相应的规定,公安机关常态性地、成批量地扣押犯罪嫌疑人的电子设备也是合法的。当然,考虑到有些情况不宜直接扣押,也可以采取打印、拍照、录像等方式固定相应的电子证据。所以,公安机关在这个问题上的周转空间就非常大,大范围地扣押电子设备,亦或把大量的电子数据文书化、书面化,都有相应的法律依据。这是关于扣押的一个分析。

 

第二个,调取。调取电子数据,现在随着法律法规的发展,我们会发现传统的调取跟现在的适用于电子数据的调取有些不一样。2021年《数据安全法》里做了一个很有意思的规定,第35条:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”请各位注意这一措辞,什么叫做“经过严格的批准手续”?熟悉《刑事诉讼法》表述的同志应该比较清楚,《刑事诉讼法里面》关于侦查措施的运用,要求“经过严格的批准手续”的只有一处,在技术侦查的有关规定中。《数据安全法》出来之后,如何理解调取数据要“经过严格的批准手续”?有一种观点就认为,既然与技术侦查的规定相同,那么就需要把调取数据拔高到技术侦查的审批程度。另外一种观点,也是我的观点认为,这两者完全不是一回事。这里强调的“经过严格的批准手续”,其实只是对电子数据调取规范性、严格性的一种强调,而不能够认为它就等同于技术侦查的审批手续。所以《数据安全法》出来之后差不多两年时间,并没有看到在第35条的规定之后,关于调取数据和调取其他证据就发生很大的不同,即没有展现出多大的不同。其中最大的不同点是在第48条,第48条为什么特殊?在《数据安全法》出台之前,公安机关调取数据,而相关单位和个人如果拒不提供,特别涉及到企业如果拒不提交,其实没有法律后果,法律中缺乏程序性制裁。但《数据安全法》出来之后,公安和国安调取数据的时候,如果相关单位和个人拒不配合是可以进行处罚的。这就展现出电子数据的调取和调取其他证据的一个很大的不同。调取其他证据没有法律后果,而调取电子数据就会出现行政处罚的后果。这个问题其实目前各个地方我似乎还没有发现现实的案例,但江苏率先出台了这么一个规定,直接把拒不配合公安机关调取数据的情况纳入行政处罚的范围。所以大家可以发现一个很奇特的现象,公安机关本来办理的是一个刑事案件,但是因为某个单位或个人拒不配合,公安机关可就可以适用《数据安全法》的规定,对相关单位和个人施以行政处罚,一个刑事案件里面出现了行政处罚,这在其他的程序里面其实并不常见。当然,有一些零星的规定,比如说证人不出庭的时候,人民法院也可以进行相应的一个处罚。这就出现了调取电子数据和调取常规证据不同的地方。

 

传统的规则适用于电子数据的时候,也会出现一些比较新鲜的地方。但是,近些年来,电子取证规则的发展还是集中体现为:根据电子数据的特征形成相应的取证规则。比如说第一个,我们现在可能比较揪心的问题,就是海量证据。办理常规案件的时候,虽然可能也会涉及海量证据,比如说涉及一些刑行交叉案件的时候,有些案件可能是行政机关办理,然后移送给公安机关,行政机关可能就要提前进行抽样取证,而且这样的证据后续的刑事司法机关是可以直接进行使用的,但是这样的情况不是大范围的。数字时代的到来,就导致了电子数据,包括证人证言,特别是电诈案件里面,受害人的量非常大。所以我们会发现以《人民检察院办理网络犯罪案件规定》为例,规定了确因客观条件的限制,如果无法逐一去收集原始证据,就越来越强调要进行“综合认定”。第22条也明确授权,对数量众多的同类证据材料可以进行抽样验证。这里看的是审查规则,我们再来看,涉众型案件里面类似的规定其实也非常多,我简单地梳理了一下,例如2013年的《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》,2014年的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》以及《关于办理非法集资刑事案件适用法律若干问题的意见》,2016年的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,我们可以看到相关的规定写得差不多,我们把2016年的《意见》向大家做一个展示,“办理电信网络诈骗案件,确因被害人人数众多等客观条件的限制,无法逐一收集被害人陈述的,可以结合已收集的被害人陈述,以及经查证属实的银行账户交易记录、第三方支付结算账户交易记录、通话记录、电子数据等证据,综合认定被害人人数及诈骗资金数额等犯罪事实。”这里尽管只规定了被害人陈述,但我个人认为其实涉及海量资金,涉及海量的各种各样的一些其他的信息,也可以参照这样一个条款进行适用。所以,“综合认定”其实就是在授权公安机关在取证的时候可以进行抽样取证。当然,抽样取证问题很多,我这里想向大家分享一个观点,就是我们的取证规则、认证规则实际上是授权了办案单位可以进行抽样取证,但是没有告诉我们怎么样进行抽样取证,所以实务当中爆发出来很多的乱象或者说不规范的地方。比如湖北的这个案子,4578条个人信息,经对8个电子文档分别随机抽样核实,共抽样74条核实,其中62条真实有效。接下来要做的事情很简单,就是用62去除以74再乘以4578,就做这样一个数学题,抽样结果就完成了。至于怎么样把这74条给抽出来,这其实就很考验功夫了。所以我们的律师同行,如果说是对这类案件要对数额进行相应的辩护时要特别小心,特别要注意可以对公安机关进行的抽样,到底是否是能够尽可能的代表全貌进行相应的辩护。当然我这里要提醒一下,由于法律法规已经明确授权进行抽样取证,所以也不用再纠结抽样取证到底是合法的还是不合法的,这显然是合法的,只是说要尽可能地去保证信息的抽样能够代表全貌。

 

既然今天下午的话题叫理解与适用,我们就要重点从相关规则的理解和适用角度来讨论最高司法机关在制定相应规则的考虑——是不是授权抽样之后,就可以比较灵活地进行抽样?其实不是这样的。最高法院的法官出台2016年《意见》的时候写了一篇文章,对于“综合认定”怎么把握,如果要对大范围的被害人进行抽样的话。第一,必须有一定数量的被害人对被害事实作出详细的陈述,这需要挨个去核实。第二,必须高度重视客观证据来认定诈骗金额。就我的理解而言,这里其实就在强调一种印证规则的思维。有一定数量的被害人陈述,同时还要强调这一部分被害人的陈述是有客观证据加以支撑的。因此,把一定的样本抽取出来之后,而这种样本是真实可信的,从而我们才可以得出样本背后的全貌,这是涉及到电子数据取证的一个比较特殊的规定。

 

第二个,涉及电子数据的特有信息的收集,这在常规的实物证据里面也是没有的。我们来看2016年和2019年的这两份规定,我们都可以把它称为叫做关联性规则。在座有的同志可能看过刘品新老师在《法学研究》发了一篇文章叫做《论电子证据的关联性》。他把关联性分为五个层面,包括身份关联性、介质关联性、主体关联性、时间关联性、地点关联性等等。而公安部参与制定的2016年《规定》以及2019年《规则》中,其实都强调了一种思路,即如何判断电子数据的关联性。比如收集提取了一个电子介质之后,如果要判断电子介质的使用者或者所有者,要强调收集证人证言以及犯罪嫌疑人供述和辩解来进行综合认定。就是说你收集一个存储介质,还没有考虑存储介质里边的内容的时候,要判断它和案件事实的关联性,我个人看法是它和常规的物证、书证没有本质性区别,因为收集物证、书证之后,比如物证不能说话,但我们可以让使用、了解这个物证的人来说话,所以物证的关联性很大程度上主要是通过言词证据来锁定他的关联性。当然,也有一些特殊性,比如说物证上面有一些生物痕迹,我们可以进行鉴定,提取DNA,这也是确定关联性的一种方法。但是在不同的案件里边,这个方法的运用就会不同,比如有时候我给纪委监委同志讲课,就说公安机关办理案件,接报警后马上就会派人去现场封锁现场,提取痕迹物证,然后抓到犯罪嫌疑人就去比对,嫌疑人不说话也没关系,至少证明现场留下的指印就是你的,至少说明你是去过现场的。但纪委监委办的案子通常都是时过境迁的案件,这种案件就决定了没有办法去现场提取所谓的痕迹物证,因此他们在职务违法、职务犯罪案件办理过程当中进行关联性判断,很大程度上要依靠言词证据。

 

从这个意义上讲,电子数据的关联性的判断对取证规则的指引和常规实物证据没有区别,但区别在哪里?可以通过核查IP网络活动记录,上网活动终端,通过这种方式来确定关联性。对于此怎么理解?最高人民检察院指导性案例给了我们答案,第十批指导性案例,朱炜明操纵证券市场案中,朱炜明作为一名上海的财经专家,他发现他上节目推荐的股票或唱衰的股票,会对市场产生一定的细微影响。他发现这个规律后,他每次上节目之前会先操作自己的股票账户,通过这种方式来非法获利。到了审查起诉阶段的时候,朱炜明辩称这个账户是他父亲实际控制的,其本人并没有参与相关股票的买卖。像这种情况在司法实践里面非常多,这其实是典型的基于电子数据而对行为进行一种关联性的否认。被告人没有否认这个账号是自己的,但是否认使用这个账号的行为是自己的。这就是典型的一个电子数据的特殊的关联性判断问题。由于在这个案件里边,通过常规的言词证据的取证打不开突破口了,而且他的父亲也这么交代,虽然说有经验的侦查人员都会感觉这个人很大程度上是在撒谎,但是总要拿出证据去进行相应的揭露。所以这个规则其实告诉我们需要核查IP,上海的公安机关办这个案子的时候就去核查了IP地址,结果发现若干次操作股票账户的行为绝大多数都在上海,但有一处IP是在重庆市江北区的一个酒店里面。接下来就查人身轨迹,那天他刚好在重庆出差,但他的父亲没有来到过重庆。结合讯问打开一个突破口,后面的工作就比较顺利了。所以,对于电子数据的关联性判断,常规的就是通过言词证据来锁定关联性,同时也可以通过电子数据本身一些特有信息的收集来确认关联性。当然,我们的辩护工作也可以结合相应的内容来做一些有针对性的安排。

 

近些年来,我们发现电子数据不管在收集提取也好,还是审查认定也好,特别强调完整性校验值。比如去年“两高一部”发布的《关于办理信息网络犯罪适用刑事诉讼程序若干问题的意见》,我们会发现大量的关于完整性校验值的描述,所以,这种话语已经不再是一个技术专家的话语了,已经成为法律层面的明确规定。2021年的《人民检察院办理网络犯罪案件规定》同样强调完整性,强调数据的完整性校验。所以,现在公安机关在一开始时,收集提取电子数据,在规则层面就是在强调哈希值,要判断把电子数据移送到检法两家时哈希值有没有发生变化。所以,很多时候我们的辩护工作其实也就是在核查哈希值有没有发生变化,我相信可能刘品新老师他们做了很多案子,其实大量都是通过这种完整性校验的方式来发现警察在取证过程当中,移送保管的过程当中有没有发生相应的问题。

 

但在实践当中,现在又出现了另外一个情况,在去年我参与了最高检理论所组织的“知识产权刑事案件电子数据收集审查”的论坛,当时我和北京的一位检察官做了一个对话,这位检察官提到了一个问题——在知识产权案件中运用区块链存证的方式,现在不仅在民事案件里面越来越多,而且在刑事案件里面也出现了。例如作为被害方的公司,可能会提交一份由公证部门出具的公证书,而这份公证书的内容是他们进行了相应取证,而且把相应的数据上链了。所以区块链存证现在在刑事案件里面也可能会有一个更为广阔的空间。而区块链存证以及以哈希值校验为代表的取证和认证的活动,反映出刑事诉讼活动正越发地迈向数字化,在取证过程和运用证据过程当中,就高度强调这种以哈希值校验为代表的方式去判断电子数据在整个收集、提取、审查判断过程当中有没有发生相应的变化。

 

在座有一些做学术研究的同志,特别是做刑事证据研究的同志,可能知道北大的陈瑞华教授写过一篇经典的文章,叫做《案卷笔录中心主义》。公安机关收集提取的一个物证、书证到后面有没有发生变化,很大程度上靠笔录来展现;但是在数字时代,笔录当然也需要,但未来如果更为广泛地运用区块链存证,还有数据的校验,我个人判断笔录可能就没有那么重要了。这是一个发展趋势,供大家参考。

 

第二个方面,初查和侦查的一个对比。我们先来看一个案子,这是《中国检察官》登载的一个真实案例,一个敲诈勒索案。公安机关接到报案之后,对初查对象的QQ进行了远程技术监控,这是一个典型的技侦措施。这个案子为什么典型?他们在这篇文章里面集中探讨并分析这个就是一个非法取证。所以我刚才讲了一个观点,非法证据排除规则尽管现在在两高的司法解释层面还没有由物证、书证扩张到电子数据,但是实务当中我们就是要比照物证、书证的收集,去判断某一个电子数据是不是非法。所以,非法证据排除规则是可以适用于电子数据的。通过这样一个案子,我们来分析一下初查和侦查在电子取证方面到底有什么区别。实际上2014年以及2023年这两份司法解释都做出了相应的规定:初查过程当中涉及人身、财产的相应的调查取证措施,都涉及到初查规则的调整。而由于这些措施多数都适用于电子数据,因此电子数据的取证也涉及初查的相应规范。这就会引出一定的问题,比如初查当中到底可以用哪些措施去收集提取电子数据。虽然今天主要是立足公安的取证,实际上纪委监委的办案规定也有相应的规则,比如《中国共产党纪律检察机关监督执纪工作规则》,这部党内法规集中地规定了在初查里面,初步核实阶段可以干什么以及不可以干什么,但通过翻看《监察法》反而找不到答案。有的同志会讲是不是《监察法》在这个问题之上有缺失?我认为其实并没有,因为在监察立案之前,执纪审查程序和监察调查的初步核实是含混在一起的,《监察法》没有必要对这个问题进行重复的规定,所以初步核实阶段是直接适用党内法规关于初步核实的规定。这里边就有相应的两个内容,比如说调取,我刚才讲相关人员、相关单位拒不配合调取的时候,不能够强制性地去把某一个东西拿走,或者说除了公安、国外可以作出处罚外,其他机关不能够去做这样一个处罚。所以调取这个措施为什么在初核以及在侦查的调取程序里面可以用,因为它是不具有强制性的。更有意思的规定是暂扣。初步核查里面有一个暂扣,同时,在监察立案之后以及或者说执纪审查的程序立案之后,也是有一个暂扣。那么此暂扣和彼暂扣到底是不是一回事呢?答案是否定的,所以2017年《监督执纪工作规则》试行版本,没有对初步核实里面可以干什么作出规定,但是2019年就规定了初步核实可以暂扣,但是有一个前提,叫被调查人或相关人员主动上交,这就意味着被调查人或者相关人员不是主动上交的,那就不能进行暂扣,相应的暂扣就不具有合法性。当然,立案之后就不存在这个问题了。所以,通过调取和暂扣这两个程序,我们可以看出初步核实以及初查(现在一般叫做调查核实)的一个共同的特征就是不具有强制性。

 

2020年的时候,我写过一篇文章叫《论初查中收集电子数据的法律规制——兼与龙宗智、谢登科商榷》,因为我看了他们两个的观点之后有一些不同的看法,特别是龙老师前面有一篇文章,说是2016年《收集审查判断电子数据若干问题的规定》的第1条把电子数据罗列为四种,实际上到了2021年就更多了,《人民检察院办理网络犯罪案件规定》将电子数据的类型变成了七种。追根溯源,“两高一部”以及最高检自行制定这样一个规则,将电子数据进行分类的目的主要是便于大家把握确定电子数据主要有哪些类型。有了这样的判断后,当时龙老师提了一个观点——第一种电子数据主要是公共信息,所以理论上可以叫做任意侦查,不具有强制性;另外第二、三、四种就必然包括部分强制侦查,尤其是主动侦查。其实总体上我还是认可龙老师的观点的,去细分的话你会发现,涉及第二、三、四种电子数据,如果说通过相应的措施去收集信息都称之为强制侦查的话,我个人认为还是有问题。所以,现在可以说中国的刑事程序里对电子数据有相应的分类,但是还不能够简单地根据这个分类去判断相应的侦查活动的合法性,以及是否可以适用相应的强制措施。比如说搜查、扣押、查封,这恐怕是两码事。

 

我国目前虽然有数据的分类,但是我个人认为整体上还没有数据的分级。但是也有例外。2021年《数据安全法》生效,这里边有一个极其重要的规定,就是把数据进行分类和分级——先对数据进行分类,然后再进行分级。《数据安全法》中把相应的数据分为国家核心数据、行业重点数据以及一般数据。在进行了相应的分类之后,然后进行分级保护。但是我要提醒各位,主要是对于从事实务的同志来说,《数据安全法》里面对数据的分类和刑事程序里面对数据的分类它是两码事。《数据安全法》里面的分类不能够直接地照搬到刑事程序里面来。刑事程序法里,2016年的这份规定把数据分为了四种类型,2021年《人民检察院办理网络犯罪案件规定》把数据分为了七种类型。这只是便于我们去把握有哪些数据,而不具有分级保护的特征。我个人判断,目前中国的刑事程序里边其实也有一丁点的、不多的关于数据的分级保护。这不仅只对于侦查,同时对于后续的检察和审判来说,都具有重要的意义。这一点主要是体现于措施使用的合法性判断。比如说以通讯数据为例,通讯数据是一种静态的数据,在某一个平台上或者APP后面的一个公司,不管是腾讯也好,阿里也好,都有用户的注册信息。这种数据在收集的时候适用的措施叫调取。但是通讯信息不仅只是这种信息,通讯信息也包括用户的内容信息。比如说用户通过网络平台跟好友进行了一个对话,这种数据叫做内容数据。而如果说要实时收集内容数据的话,一定是采取通讯监控措施,也就是技术侦查措施。目前中国刑事程序里对于数据在进行分类之后,也做出了一定程度的分级,但是不多,仅此而已。所以与《数据安全法》的保护完全是两码事。这点供大家参考。

 

第三部分是,电子数据的侦查取证措施既涉及线下的,也涉及远程的。我们来看这样一个判断,2016年的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》集中规定了三种调查取证措施,分别是网络远程提取、网络远程勘验以及技术侦查。此规定出来之后,学界有很多同志都集中研究过这种远程的调查取证措施,我也专门写过一篇文章发表在《环球法律评论》,专门研究远程取证的相应法律问题和实务问题。有些实务同志也做过一些总结,比如说《检察日报》在2013年有一篇文章对调查取证措施作出了归纳,包括远程的询问、讯问、勘验、检查、鉴定,还有这里面请大家注意它的措辞,叫“远程搜查”。这是检察机关的同志在写这篇业务文章的时候做出了这样一个判断——远程取证也应该有远程搜查。但是我在这里要很负责任地告诉大家,现行规范层面不存在“远程搜查”。这就出现一个很奇怪的现象——在实体空间里面有搜查,包括对电子数据和电子设备有搜查,进入一个场所,对场所里面的电子设备,甚至包括服务器都可以进行搜查。但是,在远程空间里面没有搜查,只有网络远程提取、远程勘验以及技术侦查。目前该怎么样看待这个问题?这里出现了很多学者所批判的一个现象——电子数据侦查取证的规范在一定程度上脱离于作为上位法的《刑事诉讼法》的表征。因为《刑事诉讼法》中规定了搜查,但为什么到了远程空间里面就没有搜查?而且在实体空间里面对勘验和搜查,不管是场所本身还是涉及的基本权利保护,都有相应的比较明确的判断。但是在网络空间里,远程状态下取证就只有勘验,没有搜查。

 

接下来我们就来分析一下,该如何去理解和分析判断远程取证措施的相应规则?这里我给大家看一篇文章,文章标题叫作《公安机关办理刑事案件电子数据取证规则的理解与适用》。这篇文章发表在一个很不起眼的刊物,叫《派出所工作》,大家平时肯定很少关注这样一个刊物。由于作者没有标注他的身份,我们今天也不作介绍,有兴趣的话可以去查查。这一篇文章中的观点其实是比较权威的,这是我个人的判断。这篇文章里面对网络远程提取、远程勘验以及远程的技术侦查做出了相应的说明。我们首先来聊一聊该如何理解网络远程提取和远程勘验。有的同志可能读过2019年由公安部发布的《公安机关办理刑事案件电子数据取证规则》,其表述为“进行网络远程提取,需要进一步收集有关信息,查明有关情况的,需要进行远程勘验”。所以,目前即使在座的有一部分是做学术研究的同志可能会有这样一个判断,即认为网络远程提取是远程勘验的前提,是在“进一步需要”的时候才进行网络远程勘验。我认为这种判断是错误的。如果你看了这篇文章,再结合文章的内容,你就可以理解制定规则的人员是怎么理解网络远程提取和远程勘验的。其实先不说远程,就说实地的提取和勘验,会形成类似的两种笔录,但有的时候两种笔录是合在一起的。比如说举个简单的例子,公安机关的侦查人员在追捕犯罪嫌疑人的时候,我们这里设立一个场景——追捕犯罪嫌疑人,比如是一个贩毒案件,在追捕嫌疑人的时候,嫌疑人把随身携带的毒品包装扔掉了,可能扔到河里面去,然后我们把它打捞起来。实际上在这个过程当中,侦查人员做的不是勘验,只需要有一个《提取笔录》就可以。所以,我们有些时候在卷宗里面会发现《提取笔录》并没有在《勘验笔录》里面。当然,《勘验笔录》里面当然也会有《提取笔录》。我看了这篇文章之后,结合传统证据收集提取会发现提取和勘验的关系在于:勘验有的时候是需要提取证据的,有的时候不需要提取证据。比如说,公安机关的同志来到现场进行现场勘验,甚至是重复的现场勘验,他可能只是需要去了解和记录现场的情况,不需要去提取证据,这个时候只需要做一个《勘验笔录》,而不需要附提取的物证、书证据清单。当然,有的场景不是在做勘验的时候,单独进行相应的提取,这个时候就是单纯地提取。顺理成章地我们就可以理解什么是网络远程提取和远程网络远程勘验。因此,这篇文章里面告诉我们第一个信息,就是网络远程提取并不是要去取代网络远程勘验;第二个信息,网络远程提取并不当然的是网络远程勘验的前提性措施,因为有时候进行网络远程勘验并不需要提取证据,你只需要判断相应的系统构架、相应的数据信息就可以了。所以,这是这两种措施基本的联系,虽然其区别也非常的明显。

 

接下来,远程勘验和远程搜查,以及远程技术侦查有何区别?我刚才介绍过其背景,目前电子数据的相应规则只规定了远程勘验,而没有规定远程搜查。但这样的做法实际上受到了学界很多研究电子取证的专家的批评,他们认为为什么只规定远程勘验,没有远程搜查,这是不对的。2015年北京市公安局制定的《关于电信诈骗案件的指导意见》规定:“远程勘验除了调取涉案网站的前台数据,还要收集‘后台数据’,具体而言需重点获取域名、IP、伪造文书信息、木马等恶意程序和登录维护日志。”大家看了之后会发现,其实远程勘验涉及的内容很丰富。再到2019年,公安部制定的《公安机关办理刑事案件的电子取证规则》第27条规定了公安机关在进行网络远程勘验的时候需要查明的内容。重点来看看第三、四项,“需要在远程计算机信息系统上安装新的应用程序的”以及“需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的”。我们认为第三点中所说的安装一个应用程序,程序的主要功能是进行取证,在这个地方符合远程勘验的特征,但是取证的目的涉及安装的程序到底在干什么?规定里面也没有说明,因此导致操作空间比较广泛,这个程序安装之后甚至还包括实时取证,这和技术侦查之间又有什么区别?近几年来,特别是2019年公安部这个规定出来之后,学界有很多不同的声音,认为远程勘验的规定其实模糊了远程搜查以及远程技术侦查。搜查的对象往往是犯罪嫌疑人的场所——对其居住地,或者说他所掌握的某一个空间,或者说有关的地方进行搜查。但是公安机关的办案人员采取某种方式进入了犯罪嫌疑人所掌握的网络空间,这个时候就不叫搜查了,而叫勘验。再进一步来看,假如说安装应用程序,目的不仅仅限于比如说第五点中所说的“收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构”等等,如果说这种收集是实时取证的话,这和技术侦查有什么区别?技术侦查在《刑事诉讼法》里面没有作出相应的规定明确其实施方式,《公安机关办理刑事案件程序规定》第264条将其分为四大类监控,分别是记录监控、行踪监控、通讯监控和场所监控,特别是场所监控和通讯监控,我个人理解其实应该是适用于网络空间的。因此,目前在规范层面的一个很大矛盾就在于远程勘验和远程搜查很难进行明确区分,以及远程勘验和技术侦查也很难得到明确区分。所以,有的时候会发现公安机关有时甚至会说要在内部申请进行远程技术侦查,但如果感觉申请比较困难的话,就换一种方式,即申请远程勘验,程序要求就降低了,并且生成的证据形式就不是技术侦查的报告,而是远程勘验笔录。这是目前规范层面存在的一些问题。

 

我这里介绍一个案例,也是刘品新老师书里面的一个案例。某案的侦查人员在进行远程在线提取的时候,使用了“***wangan2018”密码登录,密码一看就是拼音的“网安”。为什么出现这种状况?其实这在公安机关实务里面极其常见,为什么要这么做?因为在犯罪嫌疑人或者证人提供了一个用户名账号之后,公安机关登录之后要做的第一个事情,很可能就是修改密码,因为要防止在取证或者说后续的取证过程当中,防止有人又用这一个用户名密码登录了,然后去修改甚至删除系统里面的数据。这个工作我们是可以理解的,也可以从中揣测公安机关为什么要这么干。但是,公安机关侦查人员能否使用这类数据去进行取证?以及辩护律师能否针对这样的取证行为提出相应的意见?因为2019年《公安部办理刑事案件电子数据取证规则》第33条明确规定:“网络远程提取或网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。”如果说是通过正常的措施,不管是调取,还是讯问、询问等措施,在合法地获取到一些用户名密码之后,根据该规定的要求,就应该使用原始的用户名和密码进行取证。但有的时候取证具有急迫性,取证的过程当中也为了要防止相应人员可能会用同样的用户名和密码去修改、删除系统内的数据,所以公安机关同志经常这样做。这个问题我也咨询过重庆相关的业务专家,也跟公安的同志交流过,我提出经过修改账户密码后收集到的证据能否提交给检察机关?因为按照公安部的规定明显是违法的。相关专家回答说,其实工作当中我们确实经常做,但是为了慎重起见,我们多数情况下只把它作为一个线索。所以,也要提醒在座很多辩护律师注意,公安机关但凡通过这种方式收集证据,并且作为呈堂证据进行审核的时候,一定是违法的。但是违法之后,可能会有不同的看法。有人认为这属于瑕疵证据,因为程序存在瑕疵;另外一种观点认为这是非法证据。同志们,此行为违法之后到底属于非法还是瑕疵证据,我相信不同的人一定是有不同的看法。那么,这一条款我们怎么去理解它?它为什么要做这样一个规定?其实它最主要的目的是防止公安机关采用一种侵入的、破解的方式进入某一个系统开展取证,不是去防范公安机关改密码这件事本身。如果说公安机关采取一些破解的、侵入的方式去进入一个系统去开展取证,且采取破解的方式去收集电子数据,这显然就可以根据非法证据排除规则来进行调整。但是目前来看,如果说公安仅仅只是修改了密码,我个人认为,可能还达不到非法证据排除规则所调整的范围和高度。因此,在实务当中,如果说要采取非法证据排除规则去进行辩护,我个人判断可能成功率不高。而且在取证过程中,公安机关如果比较规范的话,可能还有笔录作详细说明,甚至还有全程录音录像。如果公安机关采取了这些完备的做法,我个人判断如果辩护律师引用非法证据排除规则反而行不通;如果采取瑕疵证据申请排除的话,可能难度也很大。当然,还是有辩护的空间,问题就在于公安机关在改变了密码之后,有没有做相应记录,有没有做必要性、可行性的说明,以及有没有全程录音录像?如果说没有的话,可能才有辩护的空间,这也是我个人的观点,不代表实务当中普遍的看法,仅供同行们参考。

 

第四个方面,境内的电子取证和跨境的电子取证问题。我在2019年的时候在《法学研究》写了一篇文章,其中引用了2016年的一个案件,当时这种情况其实还非常多,而且我当时写文章的时候,还特意找了一家比较有代表性的公安机关,是某省会城市的公安机关,具有一定的代表性。大概案情是,服务器在美国,然后当时网安的同志直接采取跨境取证的方式,由于嫌疑人提供了IP、用户名和密码,所以公安人员就直接使用用户名和密码,登录了境外服务器进行取证,而且将这种证据直接作为呈堂证据提交给法庭。为什么说后来类似的案件就比较少了,而且如果打算去查阅公开的裁判文书,这类案件也不太好找。这其实是因为相关的取证规则出现了一定的变化。

 

首先我们来看第一种方案——直接跨境远程提取电子数据。现在越来越多的服务器在境外,电子数据位于境外,采用什么样的方式收集是合法的?以及辩护律师怎么样去质疑公安机关的取证可能是不合法的?我从三个方面来展开:第一个方式就是公安机关直接以远程的方式去收集GPS数据。最高检的一位专家赵向伟处长之前写过一篇文章叫《海量电子数据审查的实现路径》,其中有一句话:“当前大部分的后台服务器都部署在境外,公安机关运用技术手段获取的后台数据难以转化为法庭证据。”这句话说明了司法机关的同志其实对这种情况还是非常谨慎的。以前确实是比较粗放的,但是现在在跨境取证方面,特别是直接跨境提取收集电子数据方面发生了一定的变化,在规则层面有所收紧。2014年的时候,《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》其中第15条规定:“对于原始介质位于境外而无法获取的,可以提取电子数据”。换句话说,此时介质在境外很难拿回,如果申请刑事司法协助的话,非常费时费力。我不知道在座各位同志有没有搞过刑事司法协助程序?比如你需要调取特斯拉的数据,如果这个数据是存储于美国的,依据美国司法部给出的数据,平均大概需要10个月的时间才能成功调取。有一次我去华东政法大学作报告的时候,有名检察官告诉我们,不要说是跨国,他们有一次与香港特别行政区进行警务合作,调取位于香港的数据都花了10个月。所以我们能够看出,一旦跨境了,在侦查过程中采用常规的警务合作方式就会非常麻烦,因此,网络空间就给警察的跨境取证提供了一个快捷的办法。

 

2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》具体规定了可以网络在线提取,以及网络远程勘验和技术侦查。按照这样的立法逻辑,当原始存储介质位于境外的时候,根据2016年的规定,网络远程提取需要进一步地收集,如计算机信息内部的一些结构、数据的时候,侦查人员就可以搞远勘,甚至还可以搞技术侦查。这就意味着原始存储介质位于境外的时候,根据2014年和2016年的规定,都可以进行跨境技术侦查。因此,2019年公安部的规则发生了一个大转弯,它变成“对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。”我们先看后半段,法条规定的是“境内远程计算机信息系统上的电子数据”,但我觉得这里应该将“上”改为“内”,也就是系统内的电子数据。如果内部数据在境内跨越了侦查管辖区,它可以进行远程勘验,甚至远程技术侦查。但是,我们又回去看前半段“公开发布的电子数据”——法条没有明确是在境内还是境外的数据。所以2019年这个规定出台后,业内普遍认为对境外非公开电子数据就不能再进行远程勘验和技术侦查了,这就是一个基本的判断。因此,在法律规则适用层面,现在最为关键的问题就是要理清什么是公开的,以及什么是非公开的。如果把某数据界定为是公开的,那么就可以进行远勘和技术侦查,直接提取就可以了;如果说是非公开的,且存储介质位于境外,那就不能再进行远勘,也不能再使用相应证据作为合法证据。在这里我做一个注解,现在公安机关普遍不再把通过跨境远程勘验获取的证据作为合法证据使用。有的同志可能不理解为什么不用,是因为它是非法证据吗?比如说原始存储介质位于境外,公安部门采用远程勘验去收集位于境外的非公开数据,辩护律师当然可以质疑,而人民法院、检察院也可以去否定该证据的证据能力,但否定它的理由是什么呢?我个人认为,这可能不是非法证据的问题,而是国家主权的问题。所以这点要特别提醒在座以及线上的公安机关的同志,要特别注意这个问题。部分案件看上去好像是一个普通案件的形态,但如果操作不慎的话甚至可能会成为外交上的纠纷。

 

所以,2019年这个规定出台后,问题的关键就在于如何去理解公开数据和非公开数据。刚刚提到的《公安机关办理刑事案件电子数据取证规则的理解与适用》这篇文章,里面论及的境外非公开数据有四种情况:一是“需通过国际条约或者合作机制、刑事司法协助、国际警务合作渠道调取证据。”但其中并没有说明到底是哪些数据。二是“需通过勘验境内访问、下载过该信息的终端、间接获取该电子数据。”这点的意思就是,比如说我作为境内某系统的用户,登录相应系统下载了某个信息在我这里的终端,而且这个终端介质就在境内,那侦查人员在扣押之后提取,或者再进行数据恢复都没有任何问题,因为这就可以理解为境内数据。三是“需通过技术侦查措施获取有关电子数据。”四是“需转化为其他类型的证据。”这里一看就比较清楚,因此我们对文章的内容就不再过度地展开。

 

接下来,根据我对实务的观察,分享一下我的想法供大家参考。目前对于提取境外非公开数据的有些实践方式特别重要。第一,现实中可能还是存在跨境远程勘验,但此时不宜直接将收集提取到的电子数据用作合法证据,作为办案线索使用是可以的。第二,通过讯问或其他方式,获得用户名和密码后,调查人员可能是直接远程登录。那么远程登录之后会不会有问题?是不是视为跨境取证?会不会涉及国家主权问题?关于这些问题我等会儿再谈自己的观点。第三,这也是在实务中操作比较多的,即不管是证人还是犯罪嫌疑人到案后,由他本人实际登录境外的非公开系统,其登录及下载相应数据的过程,实际上就是公安机关的间接取证过程。第四,实践中还存在委托第三方进行取证的情况。就像刘品新老师在某次讲座中提到的“配侦公司”,也就是当前实务中存在的一类配合侦查的公司,这类公司实际做的事非常多,由于这个问题比较复杂,我们今天就不过多地展开,只是告诉大家实践中存在这些非公开的数据提取方式。

 

接下来,我们需要进行合法性判断,即如何理解公开发布的电子数据?对此问题存在两种观点:观点一,这也是来自前面提到的《公安机关办理刑事案件电子数据取证规则的理解与适用》这篇文章。什么是公开数据?有人理解公开数据是个很狭义的概念,即通过互联网能够搜索到、能够直接打开的这种网络数据就是公开数据。理解计算机术语、网络术语的同志可能会听说一个词叫“深网”,根据这篇文章的观点,“深网”里在一定范围内向不特定对象公开,甚至在注册登录之后就可以访问的这些数据,都属于公开数据。因此,对此类数据,就可以直接远程登录进行相应的提取,而不认为是跨境取证。这是目前存在的一种观点,我在这里只是给大家作观点介绍,供大家自己去做相应的合法性判断,并不代表这个观点就是权威观点。观点二,以“数据控制者”,而非“数据存储地”为侦查取证的管辖模式。最近我跟部分专家聊到这个话题,说我们现在网络犯罪的管辖好像变得特别复杂。传统刑事犯罪的管辖,就是犯罪发生地或行为人居住地,这些管辖方面的常规连接点一到了网络犯罪中就变得非常复杂。但不管它如何复杂,其基本的发展逻辑还是跟着数据所依托的服务器或者说存储介质的所在地为连接点。但现在有些专家又提出,在进行网络犯罪管辖时,要以“数据的控制者而不是数据的存储地”为管辖模式。境内如此,跨境也是如此。所以在2018年,美国出台了一部很厉害的法律叫《云法》(cloud act)。我们每个人都是云用户,我们的大量数据其实并不掌握在我们的终端里,而是上传到网络空间的“云”里面。所以现在就有人主张,包括美国的这部《云法》,实际上就是主张谁掌握数据,谁能够控制这个数据,那么管辖就根据这个来。美国《云法》的出台背景就是微软的一个案件:美国查一起缉毒案件,FBI需要调取犯罪嫌疑人所掌握的一个邮箱账户数据,于是要求微软公司提供,但微软公司拒不提供,因为这个数据并没有存储在美国境内,而是在其欧洲运营中心爱尔兰。这个案子一直打到美国联邦最高法院,而且爱尔兰政府还出具了一份官方意见,说美国相关部门不能这么做,因为数据存储地是在爱尔兰,而且它不是一个公开数据,所以只能通过刑事司法协助程序来提取该数据。于是,美国2018年就出台了《云法》,授权执法部门可以直接通过网络服务提供者提供他所掌握的,哪怕是所谓的“在境外”的数据,这就是美国《云法》的厉害之处。所以为什么这几年像《数据安全法》《国际刑事司法协助法》等都采取了一种比较强硬的抵御态势来否定我国境内的公司也好、个人也好,在未经批准的情况下对外提供包括执法数据在内的一些数据,目的是捍卫我国的司法主权。因此,对于有的专家说以“数据控制者”而非“数据存储地”为侦查取证的管辖模式,我个人认为在境内可以这么去提,但跨境了就会变得非常复杂。为什么说很复杂?我要向各位提出的是,哪怕公安机关取得了某个人,甚至包括犯罪嫌疑人所提供的用户名和密码,远程登录境外服务器提取相应数据,都是有合法性危机的。在2001年,以欧洲国家为主,还有美国、日本、南非等国,共同制定了《网络犯罪公约》,这也是目前全世界范围内参与国家最多的一个网络犯罪公约。其中第32条a款规定“公众能够获得的存储于计算机中的数据”,这其实类似于我国2019年规定里面的“公开发布的数据”。但是b款就很有意思,你只要成为缔约国,就可以通过一方境内的计算机信息系统提取另外一方。意思就是说,只要取证一方获得了拥有法定权限的主体披露的数据,那就可以进行相应的取证。所以我们把刚才所说的案例对接到《网络犯罪公约》第32条b款上,其实它就是这一条款所规范的对象,并不存在实质性区别。所以,我要提醒现场的公安机关的同志,如果犯罪嫌疑人或者证人给你提供了用户名、密码,由于他就是拥有法定权限的主体,且他有能力向你提供,所以这时直接远程登录进行取证实际上是《网络犯罪公约》所授权的条款,但中国并没有参与这部公约。中国为什么没有参与这部公约?2011年的时候,我国外交系统的同志在国际场合发言称:“《网络犯罪公约》第32条b款实际上就是域外取证。”可以说,我国到现在都没有加入这部《网络犯罪公约》,其中的第32条b款构成了一个重大障碍,而且该条款还无法提出法律保留,即只要加入这个公约,这个条款就要适用,也就是说,任一缔约国就可以根据第32条b款对中国境内的数据进行远程提取。所以包括中国、俄罗斯、印度等很多国家都强烈反对加入《网络犯罪公约》。到了2013年的时候,外交系统的同志又说:“目前大多数国家尚无此实践。”所以我要提醒大家,特别是公安机关的同志,既然外交系统的同志都说目前大多数国家是没有这个实践的,那么我们当然就不能这么干了,否则会与国家(通过外交系统)所表达的意思相悖。

 

这就是刚才说的第一种情况,直接远程收集提取境外的数据可能存在哪些法律风险。第二种情况,直接调取境外数据,这种方式可以吗?大家先看一个新闻,虽然这个新闻是几年前的,但实际上现在的情况并没有发生什么变化。苹果公司发布过一个业务公告,称从2013年年终到2017年年终,该公司收到了中国当局发出的176项数据披露请求。中国的执法机关,不仅是侦查机关,也包括行政执法机关,向苹果公司去调取数据。但苹果公司说相关数据并不在大陆境内,所以他们无法提供,就让我们去走刑事司法协助程序。苹果公司在此期间从未向我国提供过数据,所以对外调取数据这个方法行不通。我刚才也讲到一个背景,为什么《数据安全法》第36条第2款会规定:“未经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这其实很大程度上跟美国《云法》有密切的关系,因为美国的《云法》直接授权它的执法机关可以通过网络服务提供者收集存储在境外的数据。比如说美国的一个跨国公司在其他某个国家运营,在它的运营过程中就可能在当地有服务器,那么由于这个公司是跨国公司,它当然可以掌握在当地所存储的数据,所以美国就可以直接根据《云法》的规定,要求该公司直接提供其在境外的数据,这也就可以直接绕开刑事司法协助程序了。所以,我们可以理解《数据安全法》所体现出来的一种防御和抵御,是对美国《云法》的不认同。现在不仅是中国,很多国家都有这样的防御性法律,这种情况下,最难受的其实就是那个公司。一方面,如果这些公司不遵守美国的执法要求,他就会受到美国的处罚。但另一方面,如果他遵守了美国的执法要求,那他又会受到我们中国主管部门的处罚。我相信我们在座的律师同行近几年来非常关心企业的合规,跨境数据流动就也是合规当中的一个重点问题,即执法数据的跨境流动。因此,请在座各位一定要严格按照国家网信办出台的规范性文件以及《数据安全法》的相关规定,进行数据的出境申报。包括重庆市网信办前段时间也出台了一个关于数据出境的细则,明确什么样的数据出境需要进行申报,以经过出境的安全评估,否则擅自出境就会受到相应的处罚。

 

对于跨境的数据调取现在的争议可以说是非常大,我给大家介绍一些前沿问题。目前,在联合国层面,由中国为首的部分国家正大力推动重新制定一份有关网络犯罪的公约。这份公约中有相当多的条款是刑事实体法的规定,还有一部分是刑事程序法的规定。其中对于“是否要授权缔约国要求某一跨境开展业务的公司直接提交其位于境外的数据”是各方争议的焦点问题。有些国家认同,有些国家则是不认同。我们再来看,今年1月份,《联合国打击网络犯罪公约》的官方文本已经出来了,其中草案的第45条就规定了所谓的“提交令”,第45条中的b款规定:“在本缔约国领域内提供服务的服务提供者提交其所拥有或控制的与此类服务有关的用户信息。”也就是说,目前中国正在大力推动这个公约成为联合国层面的国际法文件,那么加入其中就要受到约束这是毫无疑问的。加入之后,其中第45条就明确了,作为一个缔约国,可以要求某个服务提供者,提供他所掌握的位于境外的数据。但这里需要强调一下,并非全部数据,而只是“用户信息”。“用户信息”就相当于用户的注册信息,绝对不包括通讯的内容数据。所以,在国际公约层面,实际上各国之间是在相互博弈,甚至要相互妥协——绝对的跨境调取,大家觉得是侵犯主权,不同意;但绝对地不允许跨境调取,似乎又跟这个时代有所脱节。所以《联合国打击网络犯罪公约》草案中规定的调取制度其实是打了一定的折扣,它不是所有的调取,而只是部分的调取,是只适用于“用户信息”的调取。这就是最新的国际法层面的跨境调取规定,但现在还没有成为一个正式的国际公约。

 

跨境电子取证的第三个方面,就是刑事司法协助程序,也就是最正规的程序。我先给大家作一个简单的解读。近几年来,中国的法律法规,在刑事程序方面,对通过刑事司法协助程序取证,包括跨境电子取证,都做出了很多规定。其中就包括2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》以及2020年《办理跨境赌博犯罪案件若干问题的意见》。在今天下午的分享过程中,我给大家介绍了大量的除《刑事诉讼法》以外的涉及电子取证的司法解释,其中不乏很多关于跨境电子取证的规定。但是通过对比前面的跨境调取数据,其实现在我国立法实际上是没有突破的,实务中的执法机关、公安机关也不能跨境调取电子数据,只是说跨境远程地直接去收集电子数据目前仅有一个空间——如果说是公开发布的电子数据,就可以直接远程提取了。因此在适用法律的过程中,争议的焦点其实就在于能否把某些数据界定为公开发布的数据。对于将刑事司法协助程序作为第三种方案去收集境外电子数据,相应司法解释对此的重点规范对象,其实就是学界比较熟悉的词汇,即“鉴真”。鉴真其实就是强调证据的收集、提取、保管、移送是一个流程,而且这个流程必须保证证据没有发生变化,比如说没有被调包,没有发生影响完整性的相关问题。因此,它强调一个流程性的把控,而且在实务中主要还是依靠各个程序所产生的笔录形式来进行展现。所以,涉及跨境电子取证,在刑事司法协助的程序中所体现出的思路并没有实质性的变化。我们看到2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》和2020年《办理跨境赌博犯罪案件若干问题的意见》的规定都是高度强调对于来源、提取时间、提供人员等进行了详细的说明。这两份司法解释都是取证层面的,而我们把视角放到后端,也会发现,相关规范的特征同样强调程序链条对接审查的要素,比如《最高法刑诉法解释》第93条中的“远程调取境外数据”,当然,包括刑事司法协助程序,强调了是否注明有关情况。什么叫注明有关情况?注明有关情况是靠什么来实现的?这就靠笔录。所以,不管是境内还是跨境,在对笔录的强调和运用方面不存在实质性区别。有了这样一个背景性的知识之后,我们就会发现跨境电子取证在涉及利用刑事司法协助程序去收集、提取和运用电子数据方面,对于程序链条的重视是非常明显的。

 

这是一个大家耳熟能详的案例,就是最高检的第18批指导性案例,张凯闵等52人电信网络诈骗案。这个案子应该在很多不同的场合都提到过,今天我们把视角放在电子取证方面。北京市人民检察院第二分院提出了这样一个异议,说是电子数据无污染鉴定意见的鉴定起始基准时间晚于犯罪嫌疑人归案时间近11个小时。这个案子涉及跨境警务合作,我们知道现在电诈案件中会涉及人在境外,窝点、服务器等也在境外的情况。现在,随着疫情缓解,国门逐步打开之后,这类案件也相应地增多了。疫情放开之后,公安机关又可以出境去进行打击,去窝点抓人了,所以其中又涉及境外电子数据在当地的扣押、勘验等一系列程序。这个案件是中国警方和肯尼亚官方合作的一个案件,我们要知道这种案件,我国公安人员在境外是没有执法权的,在没有执法权的情况之下,相关的扣押和笔录的制作等,在相当多的案件里都是由境外的警方去实际操作的。比如说这个案件里面就是由肯尼亚的警方实际去操作的,包括制作相应的笔录,提取相应的物证,以及将电子数据、电子设备移交给中国的检察机关。现在出现了这个问题,无污染鉴定的起始基准时间晚于嫌疑人归案11个小时,因此辩护律师提出可能在这11个小时之内有人做过手脚。对电子取证感兴趣的同志可能都听说过全国著名的“快播案件”,案件中辩护律师提出这样一个异议,在数据的保管、移送过程当中,实际上主管机关是失位的,因此不能排除在这个过程中有大量的淫秽视频是中间加进去的可能。所以这个案件到后面就只能做鉴定,鉴定结果表明没有做过手脚。但是快播这个案件为什么会招致辩护律师提出这样的法律意见,而且后来我们发现至少在这个问题上辩护没有获得成功。我们再回到张凯闵这个案件,后来怎么去解决这11个小时的缺口呢?同样也是通过鉴定。这里表现出一个问题,即有的时候鉴定工作是在弥补当初程序链条运行的不规范。如果整个程序链条做得比较完备,就不涉及后续的鉴定了。快播这个案件如此,张凯闵等52人电诈案件也是如此。所以,侦查人员要高度重视,在取证过程当中,不管是张凯闵案中的11个小时也好,还是快播案件中的很多天甚至几个月时间也好,这其中出现的诸多问题归根结底就是程序链条没有达到相应的规范性要求,导致两个案件最后使用同样的方式处理。因此,近年来大量的取证规则以及审查认定规则,无论是跨境取证还是境内取证规则,都是围绕这个程序链条来强调的。

 

但是,刑事司法协助程序有其特殊性。这个特殊性集中体现在2021年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》当中,我们对其中的第14条进行一个解读:“确因客观条件限制,境外警方未提供相关证据的发现、收集、保管移交情况等材料的,公安机关应当对上述证据材料的来源、移交过程以及种类、数量、特征等作出书面说明,由两名以上侦查人员签名并加盖公安机关印章。”这其实说明了一个现象,我们警方在境外没有执法权,在这个过程当中实际收集、提取、扣押设备和电子数据的不是中国的警察,而是外国的警察。如果不是特别了解跨境取证实际困难的同志可能会提出异议,认为跨境取证做得并不规范,存在许多的漏洞。然而,跨境的警务合作实际上是极其困难的,其艰难之处是我们外界的同志很难想象的,公安的同志在境外甚至是在冒着生命危险在保护人民的财产安全。因此,对这个问题我们要客观地去看待。2021年《意见(二)》为什么会加入第14条?实际上就说明了电诈案件的办理有它的特殊性。对《意见(二)》出台的背景情况我还是比较了解的,一开始检法的同志对此其实有很大意见,认为这样一个规定实际上是降低了取证的要求。客观来讲,这的确降低了取证要求,但是中国的公安机关在没有执法权的情况之下,在境外开展这样的警务合作困难重重,虽然境外警方有时可能为了保护我国警察,不让我国警察入境参与抓捕行动等。但是另外一方面来说,境外警方也可能有他们自己的考虑,比如说他们先介入以后,最终交给我们的东西就可能不全是之前存在的那些东西了。所以,有的时候跨境电子取证没有做到很规范,这里我要向一些律师和检法的同志们做这样一个说明。因此,对于《意见(二)》的第14条,我个人的理解是,相比在境内对于证据链的要求其实是有所降低的。但是,如果我们完全不顾跨境执法的实际情况,盯着这个问题不放,这就会和国家反电诈工作的实际需求和现状就会出现脱节。当然,为了避免取证程序过于粗放,第14条后面还有一句话:“经审核能够证明案件事实的,可以作为证据使用。”这里,一方面最高检和最高法共同制定的这部司法解释认同警方确因客观条件限制,没有办法完全对照境内的取证程序做好相应的取证工作;另一方面还是要强调经审核能够证明案件事实的,可以作为证据使用,这说明虽然有所放宽要求,但没有绝对放宽要求。

 

今天下午我用了两个多小时的时间,向线上和线下的各位老师,公检法律行业的朋友们,以及部分学生做了一个简要的汇报,供大家作业务参考或者理论研究的素材,不当之处请大家批评指正,谢谢大家。

 

孙道萃教授:现在我们进行交流,大家有没有问题,请梁老师给我们解答一下。

 

提问人:梁老师您好,我想请教一下,您在讲座当中提到抽样取证,这在实践当中争议还是比较大的,我想请教一下,按照怎样的抽样比例才比较合适?比如一个电信网络诈骗案件,到底是要找到2000多个被害人还是找20多个被害人做询问笔录。希望梁老师能给我们提供一些思路,包括在不同的情况下是否应该抽取不同的比例,能不能给一点具体的思路,谢谢。

 

梁坤教授:谢谢您的提问,这个问题很好。刚才确实因为时间关系没有在讲座中详细地展开。目前刑事程序也好,或者行政执法程序也好,关于抽样取证到底该怎么抽?按照怎样的比例抽取?完全没有明确的规定。比如有4578个样本,到底抽取几十个还是抽取几个呢?怎么才具有代表性呢?以及这样的一个抽取,会不会忽视掉一些非常重要的样本?确实存在这些问题。当然,我刚才讲了,没有任何一部法律和司法解释告诉我们怎么去抽样,按照我个人的看法,首先是对行政执法人员和公安机关负责侦查的同志去提一个建议,在没有一定之规的情况之下,要尽可能保证抽样是经得起检验的,或者是能够说明它是具有合理性的。抽样有多种方式,有些叫随机抽样;但在实务以及理论研究当中,也有所谓的分层抽样,以电诈案件为例,其中涉及的每一阶段数额的都需要抽取一部分,比如上千万的抽取一部分,九百万到一千万的抽取一部分,按照这样的分布抽取,它相对来说就具有合理性和代表性。也就是说,有多种多样的抽样方法,包括社会调查其实也会利用样本抽样,能够尽可能地让抽样样本反映出其精确性和可信度。比如说在电话抽样的过程当中,为什么抽到你了?它的抽样过程可能很简单,就是利用你的尾号进行取样,比如1和6,为什么这就具有代表性?因为它能够如实反映尾号为1和6的代表整体样本里面的20%。尽可能让你的样本具有可信度和科学性,我们可以参考学术研究里面或者类似民意调查之中对样本的抽取方法。以上是对于执法机关——无论是行政机关还是公安机关——的一个建议。那么对于辩护律师来讲的话,我个人建议在法律法规和司法解释没有明确说明如何去抽取更具代表性的情况之下,我们就要抓住抽样的科学性去做文章,特别是涉及数额犯罪的时候,比如说界定罪与非罪的时候,以及对量刑产生重大影响的问题,这是我们可以重点把握的方向。但是我再次说明,即使没有一定之规,也要尽可能做到抽样取证的科学和规范,让抽样能够最大程度得到大家的认可。这是我的回答,谢谢。

 

孙道萃教授:好的,同志们,时间已经到了。根据课程的安排,同时也是受潘金贵老师还有吴宏耀老师的委托,我简单地总结一下三天的公益培训活动。千言万语化为三个感谢:第一,感谢六位主讲嘉宾,不辞辛苦为我们奉上知识盛宴。第二,感谢潘金贵教授,为这次培训工作作出了卓越贡献,我们要给潘老师及其学术团队致以最诚挚的感谢。第三,感谢在座的各位同仁,三天里坚持学习、坚持陪伴,也特别感谢线上的各位同仁对我们公益活动的关心和关注,使我们公益培训的目的得以实现,使我们法治宣传的想法得以实现。谢谢大家。