刑辩律师如何对电子数据质证

文：陈亮 l 湖北立丰律师事务所高级合伙人、刑事业务部部长、 刑辩研究中心主任、湖北省律协刑事法律专业委员会秘书长

编者按：

本文根据作者陈亮在智善线上课程《刑辩律师对电子证据的质证》整理而成。课程中，作者从刑辩律师的角度，对实践中电子证据的质证问题进行了经验分享，有兴趣的朋友欢迎扫描下方海报二维码观看讲课视频。

在一个吃热干面用支付宝、谈恋爱靠微信的时代，电脑、手机、网络早已经成为了我们的生活必需品。

每天，我们通过各种电子产品、网络平台、社交媒体产生大量的电子数据，而这些电子数据也在默默地记录着我们的每天。

与此相适应，在刑事案件中，电子数据——这样一个“沉默的证人”也越来越多地被推上了法庭，在大量案件中发挥着越来越重要的证明作用。

而哈希值、区块链、时间戳、原始存储介质……这样一些陌生的技术名词，也正在不断挑战着律师的知识储备。

在我们办理的大量刑事案件中，从较为复杂的金融犯罪、诈骗犯罪、证券期货犯罪，到故意伤害罪、强奸罪这些普通刑事犯罪，已经越来越多地看到电子数据的身影。

那么，在刑事案件中，辩护律师如何对电子数据进行质证，是一个需要引起重视和研究的问题。

一、什么是电子数据

解释定义前，可以先感受一下电子数据有别于传统证据的不同。

比如，将一个网页作为证据提交，如下图：

以上这个网页如果被作为证据提交，就已经属于电子数据。

在以前，如果要证明上面这份电子数据的真实性，可能需要通过公证处进行公证并取得公证文书，以此证明该网页的真实性。

而在网络时代，证明这一网页真实性的方法，已经变得非常方便。比如，可以提供如下的可信时间戳进行证明：

参考材料：

最高人民法院《关于互联网法院审理案件若干问题的规定》第十一条：“当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。”

可信时间戳，是由权威可信时间戳服务中心签发的一个能证明数据电文(电子文件）在一个时间点是已经存在的、完整的、可验证的，具备法律效力的电子凭证，可信时间戳主要用于电子文件防篡改和事后抵赖，确定电子文件产生的准确时间。

从以上规定看，可信时间戳属于法院认可的证明电子数据真实性的方式。那么，对于这一时间戳是否就不能置疑呢？

当然，也不一定。

比如，如果对比上面的网页和时间戳，两者在时间上存在矛盾：

可以看到，网页中新闻时间为2020年4月6日，而时间戳取证时间为：2020年2月7日。

很显然，一个4月6日的网页报道，不可能在2月7日取证。

但是，一个网页新闻报道的事件发生时间，是否就一定是这篇新闻的刊登时间？

答案仍然是不一定。

上图就是前段时间的一个新闻事件，一个发生于1月份的会议，有程序员分析了该会议报道的后台数据，发现这个新闻是2月份登载，而非会议召开当时登载，由此程序员对该会议召开的时间提出了质疑。

在这里，我们并不对以上事例的真实与否作出任何评判，只是通过这些事例，为大家展示，电子数据在举证、质证时，相较于传统证据而言，有着巨大的区别。

那么，让我们回到正题，什么是电子数据？

01电子数据的定义

2016年最高检、最高院、公安部共同出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《规定》）对电子数据给出了定义：“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”

从这个条文本身来理解，可以把握三点：时间、形态、关联。

时间上，《规定》认为，作为一项刑事案件的证据，电子数据是案发过程中形成的。这就排除了案发后形成的电子数据，比如犯罪嫌疑人、被告人讯问的同步录音录像。

形态上，《规定》明确一项证据若要被归类为电子数据，必需是数字化形式，简单说就是0和1的字符。

关联上，《规定》要求电子数据必需是可以证明案件事实的数据。地球上每天都产生海量的电子数据，与本案无关的电子数据，显然不是本案的证据。

当然，对上述定义，也有观点认为《规定》将电子数据限定为“案发过程中”似无必要。不过，此处我们仅就上述条文本身作出归纳，至于《规定》对电子数据的定义是否有需修改之处，今后再详细讨论。

02电子数据的特征

第一，“大象无形”。

个人认为，电子数据最核心的特点，是数据。

电子数据实质上是一堆二进制代码0和1。通过这些0和1，记载了海量信息。

但，电子数据并不仅仅是一个存储技术，而是科技进步的表现。随着科技的不断发展，电子数据已经深刻改变了我们的生活和工作方式。

同时，电子数据又是无形的，无法直接用肉眼观察。我们所看到的文字、音像、视频等大量信息，都是电子数据的外在表现形式。其基础单元仍然是0和1。

需要注意的是，刑诉法在规定证据种类时，将视听资料与电子数据共同规定在了一起，但并不意味着两者可以混同。把据这两者的区别，也有助于我们进一步理解电子数据的特点。

以照像机为例，分为传统照像机与数码照像机。

传统相机使用胶卷，数码相机则使用内置的存储器。

传统相机通过化学方式将图像记录在胶片上，数码相机则是通过感光原件，将光信号转换为电信号，再存储到存储卡上。

从这两种照像机的成像模式，以及对图像的存储方式，可以看出视听资料与电子数据的区别。

虽然视听资料和电子化的音视频，都是以音像信息来证明案件事实。但视听资料是以物理方式成像，以物理方式保存，通常以磁带、胶卷、CD等方式为存储介质；而电子数据，则是以电子方式成像，以电子数据保存，其存储介质通常是硬盘、U盘等。

第二，表现多样。

正是因为电子数据本身是一串数据，所以其存在形式和表现方式具有多样性。

从其存在形式上看，即包括网页、博客、贴吧里的信息，也包括短信、电子邮箱里的信息，还包括网络平台上的身份注册信息、电子交易记录等等。

其表现方式上看，即可以是文字，也可以是图片，或者是音视频，甚至是一段计算机程序。

可以说，电子数据几乎涵盖了所有的传统证据类型。不过在许多刑事案件中，大量电子数据不过是“传统证据的电子化”。当把电子数据展示出来后，其表现的无非是文字、图片、声音、影像等。

对此，两高一部在《规定》中，也作了专门规定。

参考材料：

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条第二款：“电子数据包括但不限于下列信息、电子文件：

（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；

（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；

（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；

（四）文档、图片、音视频、数字证书、计算机程序等电子文件。”

第三，既分散又连续。

电子数据不能脱离载体独立存在，但可以在载体间传输。

正是因为电子数据的这一特点，才使得我们生活、工作便得更加方便、快捷。

还是以传统像机与数码像机为例。

传统像机拍摄的照片，刚刚拍摄时是看不到的，需要冲洗成照片。

数码像机拍摄的照片，不仅可以马上看到，还可以方便、迅捷地在像机、电脑、手机、网络上进行传输。

因此，电子数据作为一种证据，在很多时候，不会只存在于某一种存储介质里。而是可能同时存在于手机、电脑、网盘、QQ空间中。而这就是电子数据的分散性特点。

同时，我们对电子数据的每一次传输，往往又都有迹可循。

例如，一起网络诈骗案件，一段信息可能分别存在于行为人电脑、受害人手机、QQ群、微信群。而这一信息从形成、到发送、到存储，又都在时间、空间上具有连续性，这段信息虽然分别存储于不同介质中，却又可以相互印证。

第四，既善变又诚实。

电子数据是很容易进行修改的。这一点相信大家都有体会。

抖音上的大妈，可以变成妙龄少女；微信上的不同美女，长相正在变得越来越相同；一个老外的视频，可以很方便给他配上东北口音；更不用说，一份文档在你看到之前，可能已被修改了几十上百次。这些都充分说明了电子数据易被修改的特点。

而在刑事案件中，电子数据被篡改、被剪辑、被毁灭，就意味着无法反映真实情况，如果没有可以对照的副本、映像文件，则难以查清、难以判断。而这也正是司法部门特别针对电子数据作出专门规定的重要原因，当然也是我们需要对电子数据进行特别研究、分析的重要原因。

另一方面，电子数据又是客观、真实的。电子数据即可以反映最终的结果状态，也可以记录下整个过程。

一份文档从生成、到修改、到发送、到打印，都会留下痕迹；电脑开关机、U盘的插拨，都会被精确记录。

这一点正如学者所称“电子数据会扮演一个‘沉默的现场知情人’的角色。人为对电子数据的修改、删减，都会留下痕迹，而想完全清除伪造、篡改痕迹，从理论上来说，几乎是不可能的，除非完全破坏该证据，但本地的证据易于破坏，散布在网络各处的证据，却是无法完全破坏的，从这个角度来说，电子证据又是最可靠、最稳定的证据。”

二、电子数据的相关规定

“电子数据”在我国首次作为一个法律术语，是在1998年公安部为贯彻刑诉法所颁布的《公安机关办理刑事案件程序规定》中，随后在多部规范性文件中出现。

不过，在2005年公安部出台的《计算机犯罪现场勘验与电子证据检查规则》（公信安〔2005〕161号）中，又将“电子数据”规定为“电子证据”。规则认为“电子证据包括电子数据、存储媒介和电子设备”，并对电子数据的固定、封存、勘检、检查作了较为详细的规定。

2010年６月“两高三部”《关于办理死刑案件审查判断证据若干问题的规定》（以下简称《证据审查判断规定》）继续延用了“电子证据”的名称，其中第29条对“电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等电子证据”的主要审查内容直接作出了规定，明显是将电子数据作为独立的证据种类加以审查与判断。

2010年８月“两高一部”《关于办理网络赌博犯罪案件适用法律若干问题的意见》（以下简称《网络赌博犯罪意见》），仍然使用“电子证据”的概念，该意见对网络赌博犯罪中的电子证据的收集与保全，进行了规定。

2012年刑诉法第48条对证据种类的规定进行了补充，这次修正改变了之前“电子证据”称呼，而将“电子数据”明确列为法定证据种类，进一步丰富了证据的外延。

2013年最高人民法院《关于适用<中华人民共和国刑事诉讼法>的解释》（以下简称《刑诉法司法解释》）第九十三条对电子数据采用了列举式规定，并对电子数据的审查判断标准进行了详细规定。

2014年５月最高人民法院、最高人民检察院、公安部联合发布《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（以下简称《意见》）专设“关于电子数据的取证与审查”部分，对电子数据的收集、移送和审查作了全面规定。

2016年，最高院、最高检、公安部出台《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《规定》）对电子数据给出了定义，并对电子数据的搜集、提取程序，审查认定标准作了较为详细的规定。

2019年1月2日公安部出台《公安机关办理刑事案件电子数据取证规则》，专门针对公安机关办理刑事案件时对电子数据的收集、提取、冻结、调取、检查、实验、鉴定等，作出了非常详细的规定。

上述规定自然也是辩护律师对电子数据进行质证的主要依据。

三、怎样对电子数据进行质证

从我们办理的案件来看，控方通常会采取如下几种方式对电子数据进行举证：

一是，直接将电子数据中需要举证的信息，传化为纸质打印件，以类似于书证的方式进行举证；

二是，以勘验笔录、检查笔录的方式，对电子数据进行举证；

三是，提交鉴定意见，将电子数据中的信息，通过专家意见的方式进行举证。在有些案件中，还会通过多份鉴定意见，综合证明某一项待证事实。

比如一起案件中，控方就向法庭提交了两份鉴定意见。

A鉴定意见，是由具有电子数据鉴定资质的鉴定机构出具的，用以证明电子数据的真实性；

B鉴定意见，是由会计师事务所出具的，是其根据电子数据的内容，按照司法会计鉴定规则所得出的财务会计结论。

就辩护律师而言，不论是控方以哪种方式举证，对电子数据的质证仍然应当紧紧围绕证据的三性——真实性、合法性、关联性，进行审查、分析。

对此，《规定》第二条，也作了类似规定。

参考资料：

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二条：“……人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。”

01电子数据真实性审查

（1）审查电子数据的完整性。

《规定》对电子数据的真实性审查，有其特点。

《规定》第二十二条就电子数据真实性的审查、判断，作了5项规定。

分别包括：

（一）是否移送原始存储介质，未封存、移送原始存储介质时，有无说明原因，并注明收集、提取过程及原始存储介质的存放地点或者是电子数据的来源；

（二）电子数据是否具有数字签名、数字证书等特殊标识；

（三）电子数据的收集、提取过程是否可以重现；

（四）电子数据如有增加、删除、修改等情形的，是否附有说明；

（五）电子数据的完整性是否可以保证。

《规定》第二十三条又专门针对电子数据的完整性的验证方法作了规定。

分别包括：

（一）审查原始存储介质的扣押、封存状态；

（二）审查电子数据的收集、提取过程，查看录像；

（三）比对电子数据完整性校验值；

（四）与备份的电子数据进行比较；

（五）审查冻结后的访问操作日志；

（六）其他方法。

从规定的上述两项内容来看，电子数据的完整性是审查电子数据真实性的重要内容。电子数据完整性的验证方法，实际上也是对电子数据真实性判断的重要方法。

而这又是电子数据的技术特点所决定的。

电子数据容易被删、改。因此电子数据完整与否，很大程度上决定了其真实与否。

因此《规定》在规定电子数据真实性审查标准的同时，又专门对电子数据的完整性作了规定。这也就意味着，电子数据真实性的审查、判断，重点在于电子数据完整性。

而完整性的审查，其重点又在于审查电子数据原始存储介质扣押、封存状态；电子数据收集、提取过程；比对电子数据完整性校验值；比较备份的电子数据；审查电子数据冻结后的访问操作日志等方面。

因此，辩护律师可以首先依据上述规定，从电子数据扣押、封存状态开始分析。

比如侦查机关的扣押笔录。

上面这份《查封/扣押财物、文件清单》显示，侦查机关扣押的是“联想牌电脑主机”，其并未按照《规定》扣押电子数据的原始存储介质——电脑硬盘。

同时，其扣押时也未对扣押物品、扣押过程进行拍照、录像，无法反映扣押物品的特点，以及有无采取封存措施。

唯一的一张该电脑主机的照片，无法显示该电脑品牌等特征，无法显示该电脑主机，是否按要求采取了在电脑读写口张贴封条等封存措施。

本案唯一一张关于被扣押电脑主机箱的照片，是鉴定机构对电脑检验时拍摄的照片，出现在检验报告中（见下图）。

这张照片显示，检测时电脑主机箱已处于开启状态。无法判断该电脑机箱开启前后，是否采取封存措施，以及处于何种状态。

因此，辩护律师有理由对该电脑硬盘中电子数据的真实性提出质疑。

这里必须强调一点，电脑并不等同于原始存储介质。

根据《规定》，存储介质，是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。

对于分体式电脑来说，其机箱并没有数据存储的功能，只是安装电脑各种部件的容器。机箱内的硬盘，才是电子数据的原始存储介质。

即便侦查机关因特殊原因，无法将硬盘取出封存，至少也应对电脑机箱读写口采取张贴封条等措施，并对扣押电脑主机箱的过程进行拍照、录像，以保证电子数据不被改动。

参考材料：

《公安机关办理刑事案件电子数据取证规则》第十条：“ 在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据，能够扣押原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。”

第十一条：“对扣押的原始存储介质，应当按照以下要求封存：

（一）保证在不解除封存状态的情况下，无法使用或者启动被封存的原始存储介质，必要时，具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存；

（二）封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况，清晰反映封口或者张贴封条处的状况；必要时，照片还要清晰反映电子设备的内部存储介质细节；

（三）封存手机等具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。”

显然，侦查机关简单扣押电脑主机箱的方法，不符合相关规定的要求，不足以保护电子数据的完整性。

（2）比对电子数据完整性校验值。

审查电子数据的真实性，还有许多技术性措施。

比如：数字签名、数字证书，以及完整性校验值。

数字签名、数字证书，可以通过相关技术手段、包括电子取证存证平台等方式进行。但在我们办理的刑事案件中，更多地是通过专门机构进行电子数据的完整性校验，以证明电子数据的真实性。

在《规定》中对此也反复提到。

《规定》第五条规定，对于作为证据使用的电子数据，应当采取相应方法保护电子数据的完整性，其中就包括“计算电子数据完整性校验值”。

第九条规定，提取电子数据时，必需计算电子数据的完整性校验值。

第十二条规定，冻结电子数据应当采取的方法中，也包括计算电子数据的完整性校验值。

第二十三条则规定，判断电子数据是否完整，应当根据保护电子数据完整性的相应方法进行验证，其中就包括“比对电子数据完整性校验值”。

也就是说，在搜集电子数据时，计算电子数据的完整性校验值，在验证电子数据时，比对电子数据的完整性校验值，是刑事案件中审查、判断电子数据真实性的重要方法。

什么是电子数据的完整性校验值？

实际上计算电子数据的完整性校验值，并不是一个很新的技术。早在2005年公安部出台的《计算机犯罪现场勘验与电子证据检查规则》中，就已经规定固定存储媒介和电子数据的方式，包括计算电子数据和存储媒介的完整性校验值。

而《规定》对此则进一步作了解释：“完整性校验值，是指为防止电子数据被篡改或者破坏，使用散列算法等特定算法对电子数据进行计算，得出的用于校验数据完整性的数据值。”

相关机构在进行电子数据完整性校验时，通常采用的是“哈希值检验法”。

参考材料：

哈希算法（Hash Algorithm），也称为散列算法，是一个公开的函数，可以将任意长度输入通过散列算法，变换成固定长度的输出，该输出就是散列值（哈希值），由于在计算过程中会丢掉部分信息，因此，它是一种单向密码，是一个从明文到密文的不可逆映射，只能加密，不能解密，也就是说给定一个哈希值，使用者无法通过这个哈希值计算出原始输入的数据内容。目前较常使用的是MD5和SHA算法。由于哈希函数为不可逆的单向函数，不同电子数据运用该哈希函数运算得出的哈希值几乎不可能相同，故在文件校验中的哈希函数安全性较高。当前用于特征值检验的常见哈希算法包括MD5、SHA-1和RIPEMD-160，其中国内更倾向于使用MD5和SHA-1算法。

SHA-1（英语：Secure Hash Algorithm 1，中文名：安全散列算法1）是一种密码散列函数，美国国家安全局设计，并由美国国家标准技术研究所（NIST）发布为联邦数据处理标准（FIPS）。SHA-1可以生成一个被称为消息摘要的160位（20字节）散列值，散列值通常的呈现形式为40个十六进制数。

MD5信息摘要算法（英语：MD5 Message-Digest Algorithm），一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特（Ronald Linn Rivest）设计，于1992年公开，用以取代MD4算法。

简单理解，可以把哈希值理解为人的指纹。

一是，指纹通常是唯一的，通过比对指纹可以分辩不同的人，这是哈希函数的比对功能；

二是，指纹不等于人，仅仅知道指纹，无法知道其对应的究竟是何许人，这是哈希函数的保密功能。

哈希值就是电子数据的“电子指纹”。我们可以计算原始电子数据的哈希校验值，再计算一次待验证电子数据的哈希校验值，两个数值如果相同，则证明电子数据是真实的，反之则为虚假。

例如，我们输入“123456abc”，计算出的哈希值为：

而当我们将“123456abc”改动一个字符，将“c”改为大写“C”时，其哈希值会变得完全不相同。如下图：

在刑事案件中，侦查人员将电子数据完成提取固定工作后，先运用特定哈希函数对其进行运算。

哈希函数会将该电子数据压缩成数据量较小的摘要形式，重新创建一个由随机字母和数字组成的特定长度独一无二的比特串，作为该电子数据独特的哈希值（又称散列值）。

接着，将该哈希值加以记录，并与相应电子证据一并移送至后续接收证据的分析保管机构。

在法庭调查环节，只需将电子证据与原始电子数据的哈希值一并出示和比对即可。

如：下图既为鉴定机构对采用哈希算法，对一块U盘中的电子数所进行的完整性校验。

在我们办理的另一起诈骗案件中，侦查机关在扣押某一电子数据时，计算的MD5值为：

e76acadde76fd56frcvbcc4cac2a577。

鉴定机构对送检材料计算的哈希值为：

MD5:AvgdD335467ZCS7A4FCB6514342592E,

SHA1:A1QQA2C786g994EEDE913CB3CD1AAA9F4DA4BD35。

以上两组哈希值明显不同，显示该电子数据存在删改、破坏，不应做为定案依据。

（3）对电子数据内容进行分析。

电子数据本身具有无形性和高技术性。在许多案件中，控方往往通过专业的勘验、检查报告或是鉴定意见来证明电子数据的真实性。

但这并不意味着辩护律师就不能对电子数据本身的内容进行分析，并提出有力的质证意见。

比如一起案件中，控方提交了一份录音文件作为电子数据，并对电子数据的完整性校验值进行了计算和比对。鉴定意见显示，该电子数据的完整性校验值是完全相同的。

上面就是这份电子数据检验情况的部分内容，从表格可以看到电子数据共有6份，为MP3音频文件，6份音频文件的物理大小、哈希值（SHA-256值）全部相同。

对于这一份电子数据，如果仅从检验结论入手，几乎提不出质证意见，但辩护律师却在录音文件的修改时间上发现了问题。

务压力的信号。

从表格中可以看到，这6份音频文件的修改时间均相同，均为2012年4月5日。但结合案件其他证据可以确定的事实是，这6份音频文件所对应的谈话时间为2014年。

由常理得知，一段对话的录音，只能产生于对话当时，不可能早于对话出现。因此，该音频文件的形成和修改，与案件事实明显矛盾，不合常理，其真实性严重存疑。

这一案件提示我们，面对高深莫测的电子数据，并不一定就不能分析。

对于控方提交的电子数据，辩护律师的探寻脚步不应被其较强的专业性所阻却。对电子数据的审查、分析，不应仅仅停留在对检验结论、鉴定结论的审查上。辩护律师完全可以对电子数据检验过程及其内容本身进行审查，并提出专业、细致的意见，以得出有利于辩护观点的质证意见。

02电子数据合法性审查

从《规定》内容来看，对电子数据合法性的审查，重点集中在电子数据的收集、提取、检查过程。这些规定的最终目的，仍然是为了保障电子数据的真实性。

参考材料：

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十四条：“对收集、提取电子数据是否合法，应当着重审查以下内容：

（一）收集、提取电子数据是否由二名以上侦查人员进行，取证方法是否符合相关技术标准；

（二）收集、提取电子数据，是否附有笔录、清单，并经侦查人员、电子数据持有人（提供人）、见证人签名或者盖章；没有持有人（提供人）签名或者盖章的，是否注明原因；对电子数据的类别、文件格式等是否注明清楚；

（三）是否依照有关规定由符合条件的人员担任见证人，是否对相关活动进行录像；

（四）电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备；有条件的，是否制作电子数据备份，并对备份进行检查；无法制作备份且无法使用写保护设备的，是否附有录像。”

（1）收集、提取电子数据是否由二名以上侦查人员进行，取证方法是否符合相关技术标准。

我们办理的案件中，就出现过非侦查人员参与电子数据收集、提取工作的情况。

此外，由于电子数据的收集、提取具有较强的技术性，审查取证的方法是否符合有关技术规范的要求，也是电子数据合法性审查的重要内容。

具体而言，目前我国对电子数据取证的国家标准有3个，包括：《电子物证数据恢复检验规程》（GB/T 29360-2012）、《电子物证文件一致性检验规程》(GB/T 29361-2012)、《电子物证数据搜索检验规程》（GB/T 29362-2012）。

与之相关的行业标准有19个，包括：GA/T 754-2008《电子数据存储介质复制工具要求及检测方法》、GA/T 755-2008《电子数据存储介质写保护设备要求及检测方法》等。

（2）收集、提取的电子数据，是否附有笔录、清单，并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章；没有持有人(提供人)签名或者盖章的，是否注明原因；对电子数据的类别、文件格式等是否注明清楚。

为了确保电子数据的真实性、完整性，《规定》要求以笔录形式记录现场提取电子数据的过程，以清单形式记录提取电子数据的结果。审查经侦查人员、电子数据持有人(提供人)、见证人签名的相关笔录或者清单，是核实电子数据取证过程合法性的必要手段。

（3）是否依照有关规定由符合条件的人员担任见证人，是否对相关活动进行录像。

审查见证人签名或者录像，是核实电子数据取证过程合法性的重要手段。需要强调的是，只有在相关规定要求需见证人见证的情况下，才应审查是否由符合条件的人员担任见证人，只有在没有见证人的情况下，才需要审查是否对相关活动进行了录像。

（4）电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备；有条件的，是否制作电子数据备份，并对备份进行检查；无法制作备份且无法使用写保护设备的，是否附有录像。

电子数据是非常脆弱的，对其进行检查，需要同时采取相应的保护措施。这些保护措施包括，不能直接对原始电子数据进行检查，而应通过写保护设备，以及对电子数据进行备份，对电子数据复制件进行检查等。

如前所述，对电子数据取证程序的合法性审查，目的还是为了保障电子数据的真实性。当侦查机关的取证程序违反如下规定时，辩护人可对电子数据的真实性（同一性）提出质疑。

而在公安部出台的《公安机关办理刑事案件电子数据取证规则》中，对电子数据的收集、提取更是作出非常详尽的规定。

这些要求，都是辩护律师对电子数据收集、提取进行审查、分析的依据。

比如一起诈骗罪案件。

公诉人为证明被告人的电子交易记录，向法庭举证了一个U盘和鉴定机构对该U盘中电子数据所做的《司法鉴定意见》，拟通过U盘中导出的电子交易记录证明被告人交易金额。

对该U盘和《司法鉴定意见》研究后，我们提出：

第一，U盘来源不明。无调取知书，无被调取单位签章，无完整性校验值。

第二，《接受清单》无U盘特征记载，无实物照片，无保管人签字。

第三，无侦查机关保管、送检证明材料，无保护U盘内电子数据完整性的相关措施。

第四，鉴定意见中U盘照片，显示该U盘未采取贴封条等任何保护措施。

第五，鉴定机构于12月5日作出意见，但《接受清单》反映U盘为次年1月15日提交，先有鉴定后交U盘。

以上质证意见，并不涉及电子数据本身的技术性问题，完全依据《规定》中的程序性审查规定进行分析，同样能发现电子数据真实性所存在重大瑕疵，同样能引起法庭的高度重视。

03对电子数据关联性的审查

面对电子数据质证，我们往往首先想到的是电子数据的真实性和合法性问题。但电子数据的关联性更是电子数据审查认定的一个难点。

《规定》仅在第二十五条，对电子数据的关联性作了规定。

参考资料：

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十五条：“认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性，可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。认定犯罪嫌疑人、被告人与存储介质的关联性，可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。”

归纳上述法律规定，有三点需引起重视：“虚实同一”、“人机关联”、“综合判断”。

大多数人都上网，都使用的是微信名、QQ名等网络身份。通过证据，锁定这些网络身份与案件中犯罪嫌疑人、被告人的现实身份，就是“虚实同一”。

侦查机关收集、提取的通常是手机、电脑、硬盘、U盘等电子数据的载体或者说是存储介质。证明这些存储介质就是犯罪嫌疑人、被告人使用的或是与其有关联的存储介质，就是“人机关联”。

认定电子数据的上述关联性，仅仅运用技术手段是不够的，还得通过供述、证言等传统证据来进行综合判断。

这就涉及到技术手段与传统证据等的综合运用、综合证明，还必需达到刑诉法所规定的排除合理怀疑的证明标准，自然会成为电子数据审查认定的难点问题。

因此，辩护律师在分析电子数据时，应当对电子数据的关联性给予充分重视。

比如，一起案件中，控方提交了大量被告人与上千位被害人的微信聊天记录，用以证明被告人如何欺骗被害人。

但，控方提交的被害人陈述反映，他们根本不知道与其在微信中聊天的人员的现实身份。控方也没有提供其他证据证明，这些微信中人员的真实身份，就是本案的被告人。

此外，从被害人微信聊天记录中所反映的时间段看，在微信上实施欺诈行为的时间段，根本与起诉指控的案发时间段不符。

也就是说，上述电子数据无法与案件中的被告相对应，并未做到“虚实同一”。

另一起案件中，侦查机关扣押了犯罪嫌疑人的手机，并对手机中的内容进行了鉴定。庭审时，控方通过手机中的微信聊天记录来证明，被告人与同案其他共犯之间进行了商议，以证明被告人的犯罪故意。

比对手机所有人的证言发现，该手机在案发当天，由其交给了他人使用，且其微信曾被他人登陆。

由此，可以得出该案“人机不能关联”的结论，该微信聊天内容已与本案缺乏关联性，不能得出其中的聊天内容，为机主本人进行的结论。

以上这些质证观点，都需要辩护律师除对电子数据的鉴定结论、检验结论等方面审查、分析外，还需要对电子数据内容本身进行大量深入细致的分析，并把电子数据与案件中其他传统证据相互对应，才有可能从中发现用以支持辩方或是反驳控方的依据，有时工作量是非常巨大的。

04瑕疵证据与排除证据

除上述重点外，辩护律师还需注意电子数据审查时的瑕疵证据与直接排除证据的区别。

这一点与非法证据类似，并不是所有违反程序规定的证据都会当然地被排除在定案证据之外，而是存在“可补正”和“直接不得作为定案证据”的区别。

《规定》第二十七条列举了四种电子数据收集、提取程序存在瑕疵的情形:

1.未以封存状态移送的；

2.笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的；

3.对电子数据的名称、类别、格式等注明不清的；

4.有其他瑕疵的。

对上述瑕疵证据，《规定》并未将其直接排除，而是规定可以进行补正或作出合理解释，只有在不能补正或不能作出合理解释的情况下，才不得作为定案依据。

《规定》在第二十八条则规定了不得作为定案根据的三种情形：

1.电子数据系篡改、伪造或者无法确定真伪的。

2.电子数据有增加、删除、修改等情形，影响电子数据真实性的。

3.其他无法保证电子数据真实性的情形。

就这三种情形来看，主要还是关系到电子数据真实性的问题。这一点也充分说明，由于电子数据易被删改、破坏的特点，司法部门对其真实性是高度重视的。但从辩护的解度而言，辩护律师仍然需要从证据的三性角度出发，对电子数据进行深入、细致的分析。

总的来说，电子数据相较于传统证据而言，在技术层面有其新颖性、复杂性，但在表现形式、司法认定等方面也有相似性。随着科学技术的进步、社会的发展，电子数据作为一项证据种类，必定会越来越多地出现在刑事案件中。

辩护律师不应被其高技术性的外表所迷惑，而应充分把握其法律属性和技术属性，通过对电子数据提取、收集、检验、鉴定程序的审查，通过对电子数据内容的研究与比对，包括聘请专家作为专家辅助人等方式，对电子数据进行细致的分析，完全可以提出高质量的质证意见。

作者简介

陈亮律师一直专注于刑事法律服务，包括：金融犯罪辩护、毒品犯罪辩护、经济犯罪辩护及刑事法律风险合规与防范等，办理的刑事案件数百件，并为多家大型企事业单位和政府部门提供法律服务。