一、电子数据司法鉴定的主要内容
随着信息网络的不断发展和应用,电子数据与人们的生活和工作息息相关,将其作为证据进入法庭的情形也越来越多.一旦对电子数据的真实性、可靠性等有关问题存在疑问时,常常需要启动司法鉴定程序.根据司法部司法鉴定管理局公布的相关数据,2007 年电子数据相关的司法鉴定业务量为 819 件(其中,电子物证类 412 件,计算机司法鉴定 407件);①2008 年为 1283 件(其中计算机司法鉴定 1174 件,电子物证鉴定 109 件);②2009 年为 1025 件(其中计算机司法鉴定 649 件,电子物证类鉴定 376 件);③2010 年为 1647 件(其中计算机司法鉴定 897 件,电子数据鉴定 777 件);④2011 年为 1117 件(其中计算机司法鉴定 711 件,电子数据鉴定 406 件).⑤总体上说,2010 年以前,电子数据相关司法鉴定业务量大致在 1000 左右,2010 年以后,鉴定业务量总体稳中有长,基本保持在 1100 件以上.
根据从事电子数据相关的司法鉴定机构的情况看,电子数据司法鉴定机构在最近五年有比较大的增长,其中 2010 年从事电子数据的司法鉴定增长幅度达 35.7%.⑥在电子数据鉴定业务稳步增长的同时,电子数据司法鉴定有关的程序规则、技术标准却十分缺乏,严重制约着该行业的健康发展.而要制定科学合理的司法鉴定技术标准,电子数据司法鉴定各项目之间需形成一套科学的体系.过分抽象或过分具体的分类都不利于制定具有可操作性的科学程序规则和技术标准.从目前实务情况看,对电子数据司法鉴定主要内容,一般通过列举方式进行规定.例如,在 2009 年《司法鉴定收费管理办法》中,电子数据鉴定包含了硬盘检验(包括台式机硬盘、笔记本硬盘、移动硬盘)、服务器检验(包括磁盘阵列柜、网络硬盘等)、CD 及 DVD 光盘检测鉴定、U 盘及存储卡检测鉴定(含 SIM卡)、软盘检测鉴定、电子设备检验鉴定(包括录音笔、传真机、电子秤等同类电子设备)、存储介质物理故障排除(部件包括调换磁头、电机;更换 PCB 板;坏扇处理等)、手机机身检验、注册表检验鉴定、软件一致性检验鉴定、软件功能检验、文件一致性检验鉴定、数据库数据恢复、数据库一致性检验鉴定、其他电子数据检验鉴定(包括网络数据包等)、密码破解、现场数据获取、网络数据获取、光盘朔源检验、光盘刻录机检验、电子物证鉴定文证复审等 21 个项目.
通过列举方式对电子数据司法鉴定进行分类,难以涵盖所有的司法鉴定项目,也无法把握不同司法鉴定项目的共性和差异性特征.应该从理论角度对其进行科学分类.根据电子数据不同形态,可以将电子数据司法鉴定分为静态电子数据司法鉴定和动态电子数据司法鉴定.根据鉴定对象范围,可以将电子数据司法鉴定分为基于网络的电子数据司法鉴定和基于主机的电子数据司法鉴定.上述两种分类方法对研究不同类别电子数据司法鉴定的具体性质和规律有一定的作用,但对于研究司法鉴定的具体技术和标准来说又略显粗糙.
因此,应按照新的划分标准进行分类,一方面要克服列举式方式无法涵盖所有司法鉴定的缺陷,另一方面又要便于科学和合理地制定具有可操作性的鉴定方法和技术标准.笔者认为,一种比较合理的分类方法是按照鉴定事项的性质进行划分,将电子数据司法鉴定分为以"发现证据"为目标的司法鉴定和以"评估证据"为目标的司法鉴定,同时对每一类司法鉴定又进一步进行细分,这样可克服上述两种缺陷,便于制定科学合理又具有可操作性的程序规则和技术标准体系.
(一)两类不同的电子数据司法鉴定
电子数据司法鉴定,广泛应用于案件侦查、审判等环节中.在案件侦查中,电子数据司法鉴定的主要目标是为了找到与案件事实的相关证据,而在审判环节,则主要是对当事人提供的电子数据的真实性和关联性等问题进行分析和评价,以判断电子数据的证据效力.
因此,可以将电子数据司法鉴定分为以"发现证据"为目标的司法鉴定和以"评估证据"为目标的司法鉴定.在前一类司法鉴定中,委托人往往无法提供鉴定所依据的具体"证据"及说明其所能证明的事实问题,这些问题恰恰是需要鉴定人完成的事项.通常委托人仅仅提供一种可能存在证据的场所或者设备,能否发现相关证据则需要鉴定以后才能知晓.
在后一类司法鉴定中,委托人往往提供了能证明某种案件事实的"证据"或材料,要求计算机司法鉴定人就这种证据能否证明某种案件事实,或者对证明这种案件事实的可信度进行评价.这种性质的鉴定常常出现在诉讼中的审判阶段.如图 1 所示.
(二)两类不同电子数据司法鉴定的具体鉴定项目
根据实务中司法鉴定项目的性质不同,还可以将上述两种不同的司法鉴定进行细分.以"发现证据"为目标的电子数据司法鉴定可以进一步分为:数据检索与固定、数据恢复、数据来源分析、数据内容分析和数据综合分析等五类,如图 2 所示;以"评估证据"为目标的电子数据司法鉴定可以进一步分为:同一鉴定、真伪鉴定、相似性鉴定、功能鉴定和复合鉴定等,如图 3 所示.
1.数据内容分析
数据内容分析是一种将隐藏的、未知内容的数据转换为可读的、有意义的信息内容的过程.数据内容分析实际上是分析和发现二进制数据所表达的真实信息内容的技术.
由于二进制数据具有信息解释的多样性、感知手段的多样性和依赖性等特点.
同样的二进制数据使用不同的解释方法其信息内容可能是不同的.只有找出数据内容不可读的原因,并采取相应的数据解释方法才能正确还原全部或者部分原始信息内容.常见的原因可能是数据在处理或者转移过程中出现错误,产生乱码;或者数据信息被加密;或者信息无法被访问等.相应地,可采用的分析手段有乱码分析、加密信息分析、口令破解、隐藏数据发现等.
2.数据检索与固定
数据检索与固定包含两类技术:数据检索技术、数据提取与固定技术.对于数据检索技术,可采用的具体技术和方法非常多,例如各种不同的数据挖掘技术、粗糙集技术等.
但根据检索时预测信息的性质不同,可将其分为基于数据内容的检索技术、基于指纹信息的检索技术、基于痕迹信息的检索技术等三种.前者预测信息与所检索数据内容或属性直接相关,中者与检索数据内容的数字指纹信息相关;后者则采用间接检索方式找到定位电子数据的痕迹信息,从而确定电子数据的位置和内容.对于提取和固定技术,除了采用传统的提取和固定手段外,常使用的技术为电子数据复制技术.根据案件性质不同,对复制的技术要求也是不同的.从所提取和固定电子数据的形态不同,可分为静态数据的提取和固定、动态数据的提取和固定.
3.数据恢复
数据恢复指的是被系统删除或被破坏的、不能被系统正确识别和处理的数据信息,通过特殊手段使数据重现并可被系统识别的技术.数据恢复的场合可能有以下几种原因:
其一,存储设备出现硬件故障,无法被计算机系统正常访问;其二,存储设备中数据被删除,或者文件系统被格式化;其三,设备中数据被覆盖,或者设备完全损坏等.对于以上三种不同情况,依次采用的是物理故障修复、软件层面恢复、物理信号恢复等数据恢复技术.
4.数据来源分析
数据来源分析指根据现有的材料和信息,确定特定文件、程序、代码和其他数据信息的最初来源或者其来源路径的技术.常见的数据来源分析技术包括文档来源、邮件来源、数据包来源分析等.数据来源分析技术不仅使用于以"发现证据"为目标的电子数据司法鉴定中,在同一鉴定、真伪鉴定等以"评估证据"为目标的电子数据司法鉴定中也常常是必不可少的检验内容之一.
5.数据综合分析
数据综合分析中,发现证据所采用的技术是综合的,通常从案情出发,要求找出判定案件事实和性质的相关电子数据.例如,在可能被黑客非法侵入的计算机信息系统中,要求侦查人员通过各种手段找出与案件相关的所有电子数据证据.在这一类鉴定中,实际上鉴定人员完成了部分侦查人员的工作,或者需要与侦查人员密切合作,共同完成案件侦查工作.
6.同一鉴定
电子数据司法鉴定中的同一鉴定,指的是比较两文件、代码、信息等是否来源于同一客体的鉴定.它与数据来源鉴定性质不同.前一鉴定中,委托人需要同时提供检材和样本,且检材和样本的信息内容基本相似.后一鉴定中,委托人只需要提供检材,其目的是为了寻找和判断检材的最初来源,或者其生成或运行路径.
7.真伪鉴定
真伪鉴定是指判断被检验材料真实性的鉴定.进行真伪鉴定,需要分析影响检验材料可靠性的各种因素、检验其是否符合常见伪造手法的特征,综合评判其可靠程度,并结合案情最后作出检材是否真实的判断.从鉴定对象看,真伪鉴定包含的事项非常多,任何作为证据提供的材料均可能成为其对象.例如,电子邮件真伪鉴定、聊天记录真伪鉴定、数字图像真伪鉴定等.
8.功能鉴定
功能鉴定主要是对计算机软件(包括具有破坏性的程序、合法程序等)的功能进行分析,判断是否具有某种功能,或者与所描述的功能是否一致的鉴定.功能鉴定既可以通过源代码进行鉴定,也可以通过目标代码进行鉴定,具体比对对象需要根据案件情况确定.
常见的功能鉴定有恶意代码鉴定、软件功能鉴定、技术措施鉴定等.恶意代码鉴定指的是对被检验代码进行分析,判断它是否属于恶意代码,属于何种恶意代码,具有哪些破坏功能等进行鉴定的活动.软件功能鉴定指的是通过检验和分析计算机软件,判断软件是否具有某一项或某几项功能,或者判断软件应具有的某种功能是否达到特定技术指标为目的的鉴定.技术措施性质鉴定是指通过对技术措施的功能分析,判断技术措施的性质,例如,判断其是否具有控制访问次数功能、是否能够跟踪并收集用户信息、是否能够强制删除用户帐号、是否能够删除竞争对手的程序等.
9.相似性鉴定
相似性鉴定指的是文件或代码在某种性质上的相似程度.在司法鉴定实务中,通常与电子数据相关的知识产权问题密切相关.根据相似性的性质不同,可以将相似性鉴定分为文件内容相似性鉴定、软件代码相似性鉴定等事项.文件内容相似性指的是通过比较两个文件的内容,判断两者是否一致,或者实质上是否相似的鉴定.软件代码相似性指对软件的源代码或可执行程序进行比对和技术分析,判断两者是否实质相似的鉴定.
相似性鉴定与功能鉴定不同.以计算机软件为例,软件功能鉴定关注的是软件功能,仅仅从技术角度分析问题;而软件代码的相似性,则主要从计算机软件着作权角度去分析其相似程度,常比较软件的源代码,但软件实现的功能由于不属于作者思想的表达,或者因为不属于独创性内容,一般情况下不能作为比较的对象.
10.复合鉴定
复合鉴定是指一种相对较复杂的鉴定,在鉴定过程中涉及的事项较多、学科知识广,难以纳入到以"评估证据"为目标的其他电子数据司法鉴定,都属于复合鉴定.常见的有资产损失鉴定、企业各种应用系统鉴定、数字证据链鉴定、电子数据司法鉴定文书复审等.
资产损失鉴定指对涉案的计算机软硬件资产和其他无形资产进行评估,判断案件涉及的资产损失情况.企业的各种应用系统鉴定,是指对企业的应用系统或软件(如 ERP、SCM、OA 等)中所存储数据的有效性、真实性及其所反映得公司财务、管理等情况的鉴定.数字证据链是指根据案件中涉及的数字证据,以及物证、书证等其他证据,通过综合分析证据链,判断其是否能够证明某种案件事实.实际上是一种对涉案证据真实性和可靠性进行判断的综合鉴定.电子数据司法鉴定文书复审,实际上是通过对电子数据司法鉴定文书的鉴定过程、方法和结论的描述等内容的分析,结合其他相关材料,判断鉴定文书中鉴定意见是否科学可靠并出具复审意见的鉴定.
二、两类电子数据司法鉴定差异比较
以"发现证据"为目标和与以"评估证据"为目标的电子数据司法鉴定由于两者鉴定目标不同,在鉴定意见主观性、鉴定风险和鉴定程序方法、证据审查上都存在差异.
(一)前者以发现证据为目标,后者以评估证据为目标
以"发现证据"为目标的电子数据司法鉴定中,主要任务是发现虚拟现场是否存在与案件事实相关的证据.此类鉴定所提供的检验材料可能涉及某个或几个计算机网络系统、计算机及相关设备,或者相关电子数据副本.但检验材料中是否存在与案件事实相关电子数据,或者存在哪些相关电子数据,在检验鉴定前是不确定的.
而以"评估证据"为目标的电子数据司法鉴定主要任务是评估相关电子数据证据的关联性和真实性.此类鉴定所提供的检验材料涉及到电子数据所要证明的案件事实在检验前是确定的,但能否能够证明该案件事实正是有待鉴定的.
由于上述两类司法鉴定性质不同,它们出现的诉讼阶段通常也是不同的.以"发现证据"为目标的电子数据司法鉴定主要出现在刑事诉讼中侦查阶段,以及民事诉讼和行政诉讼中证据交换之前.而以"评估证据"为目标的电子数据司法鉴定更多出现在审判阶段.
(二)前者鉴定意见主观性较少,后者鉴定意见主观性较强
任何司法鉴定意见均带有一定的主观性.但由于鉴定过程中所依据的仪器设备、评判标准、人员判断过程对鉴定意见形成的影响程度等不同,其主观性程度也是不同的.通常情况下,以"发现证据"为目标的电子数据司法鉴定中包含的主观因素较少,而以"评估证据"为目标的电子数据司法鉴定中包含的主观因素较强.
以"发现证据"为目标的电子数据司法鉴定,是利用一定技术手段找出与案件事实相关的证据.其检验结果是所发现的电子数据,涉及到对发现电子数据过程、方法和结果的描述.其中包含的司法鉴定人的主观意见较少,鉴定意见客观性较强.
以"评估证据"为目标的电子数据司法鉴定,其结果是鉴定人依据自己的技术和经验,通过对被鉴定对象检验和分析,对证据可靠性与否所出具的鉴定意见.判断过程中涉及到司法鉴定人的个人经验和主观判断.而且,如果形成鉴定意见依赖的评判标准缺乏或者不够具体,则鉴定意见带有很强的主观性.
由于两类司法鉴定包含的主观性因素不同,出具的鉴定意见书也不同.前者符合司法鉴定检验报告书的出具范畴;后者符合司法鉴定意见书的出具范畴.
(三)前者鉴定程序相对较复杂,后者鉴定难度相对较大
以"发现证据"为目标的电子数据司法鉴定其任务是收集与案件相关的电子数据证据,很多情况下需要到案件现场进行取证.由于对案件现场的计算机网络、计算机及相关设备等具体情况不一定了解清楚,因而在实施鉴定前必须科学地调配各种人力、物力和财力资源,以应对各种可能出现的不确定性情况.因此,制定详细的行动方案十分重要.
另一方面,该类司法鉴定活动常常与侦查机关侦查活动紧密地联系在一起,实施鉴定时还需要与侦查人员相互配合.由于涉及较多的人、财、物调配,鉴定程序相对比较复杂.
但以"发现证据"为目标的电子数据司法鉴定可采用的技术多种多样,相对来说鉴定难度不高.即使完成相同的鉴定事项,可选择的具体鉴定技术和方法也可不同,它们都可以实现相同的鉴定目标.
以"评估证据"为目标的电子数据司法鉴定需采用综合分析方法进行鉴定,鉴定难度相对较高.由于该类鉴定主要任务是判断电子数据证据的真实性,而影响证据真实性的因素多种多样,单单依据电子数据自身信息难以对其真实性作出科学的判断.一般情况下,需要考虑电子数据自身信息,形成过程,形成环境、存储和保管情况、人员使用和接触情况等多种因素.这些综合因素分析不仅仅涉及计算机科学技术,有时候还涉及其他学科知识,以及与计算机使用相关的经验等,因此评判标准有一定模糊性,形成鉴定意见的难度也进一步加大.
(四)前者鉴定难易度难以事先把握,后者能够事先把握
传统司法鉴定对检材要求较高,在司法鉴定受理时,如果提供的检验材料不充分,或者鉴定要求不符合相关鉴定技术规范的,应不予受理.在鉴定过程中,还可以根据实际情况要求补充新的检验材料和样本.因而在鉴定前,对是否能够形成明确性意见有一定预期.
但是以"发现证据"为目标的电子数据司法鉴定在启动鉴定时无法预测能否收集到与案件相关的电子数据,因而风险控制难度较大.而以"评估证据"为目标的电子数据司法鉴定在实施鉴定前对检验材料所反映的信息有一定的了解,因此对能否作出明确性鉴定意见有一定预测,对鉴定过程的难易度能够较好的掌握,因而能够有效控制鉴定风险.
也就是说,以"发现证据"为目标的电子数据司法鉴定活动中,如果通过一次鉴定,未发现与案件事实相关的电子数据,并不意味着犯罪事实不存在,或者虽发现了与案件事实相关的电子数据,也并不意味着被发现和收集的电子数据全面、完整.它与事先采用的策略、技术、方法存在一定的相关性.因而,这类鉴定难易度难以把握,一次鉴定过程完成后,还应根据具体案情调整鉴定的策略、技术和方法,从而有效控制风险.而以"评估证据"为目标的电子数据司法鉴定与传统司法鉴定的真实性鉴定类似,其难易度相对较容易把握,通常一次鉴定完成后,便可以形成鉴定意见.
(五)前者重在证据保管链(Chain of Custody)的完整性审查,后者重在鉴定方法和技术的可靠性审查
根据我国法律中证据分类方法,以"发现证据"为目标的电子数据司法鉴定涉及到两种不同的证据种类:一为出具的司法鉴定意见;二为所收集的电子数据证据.在这一类司法鉴定中,出具的司法鉴定意见主观性因素较少,在证据审查时重点审查证据收集过程中的程序和方法.其中,电子数据在不同载体上转移或者由不同主体保管时,数据的完整性保护是至关重要的.因此在这一类司法鉴定中,涉及的电子数据证据审查应重点关注数据完整性问题,即要对证据保管链(Chain of Custody)的完整性进行审查.
以"评估证据"为目标的电子数据司法鉴定仅涉及到司法鉴定意见证据,且司法鉴定意见一般涉及的主观性因素较强.对这一类证据的审查类似于美国专家证言的审查.对于专家证言一般包括两方面的审查:其一,相关性审查;其二,专家证言的科学性审查.在相关性规则方面包括三方面问题:争议的问题与案件事实相关;争议问题涉及专门的、非常识性的经验和知识;对专门问题提供意见的专家证人必须具有专家资格.专家证言的科学性审查,主要有弗赖伊规则、道伯特规则等.我国司法鉴定人与美国专家证人不同,实行的不是"无固定资格"原则,①因而法庭对这类证据的审查,除了法定的程序性事项外,最重要的是鉴定方法和技术的可靠性审查.确定技术和方法的可靠性与否,需要分析其是否依据相关标准和规范实施,如果没有相关标准和规范,则要分析所依据方法的科学性、可重复性、潜在错误率、依据理论的接受程度等方面进行具体分析.
三、电子数据司法鉴定在司法鉴定学科中的定位.
电子数据司法鉴定相似术语有很多,如电子物证司法鉴定、电子证据司法鉴定、计算机司法鉴定等.通常它们用来指同一概念,一般不加以区分.在鉴定实务中,有的专家认为应将电子数据作为独立的鉴定类型,其涵盖范围比计算机司法鉴定广;也有认为应将计算机司法鉴定作为独立的鉴定类型,其鉴定内容包含电子数据司法鉴定.笔者赞同后者的观点,因为从术语的字面意义上分析,电子数据司法鉴定是从鉴定对象出发界定概念②;而计算机司法鉴定则按照专门知识类别进行界定概念.③根据我国司法鉴定学科分类体系和鉴定实务情况,应将计算机司法鉴定应设置为司法鉴定(学科)中的新类别,而电子数据司法鉴定从属于计算机司法鉴定,两者关系如图 4 所示.
其理由可归纳为以下几点:
1.司法鉴定学科分类是按照专门知识所属学科进行的从司法鉴定概念上看,它是运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提出鉴定意见的活动.从概念定义看,它并非从鉴定对象角度进行界定,而是强调"科学技术"、"专门知识"、"专门性问题".因而对司法鉴定进行细分,从"专门知识"等角度进行进一步划分更加合理.而"专门"知识或问题一般依据不同学科类别细分,例如从从法医学、物证技术学、计算机科学、会计学、建筑工程学等角度划分更加清晰和明确.从司法鉴定学科分类看,也是按照不同的学科进行分类的,没有按照鉴定对象或者证据类别进行分类的情形.
2.司法鉴定实务的划分总体上是按照学科类别划分的从司法鉴定实务情况看,我国司法鉴定业务的划分总体上也是按照学科不同进行划分的.法医类司法鉴定中主要利用医学知识,它是法学与医学结合的交叉学科;物证类司法鉴定主要利用物证技术学原理和技术;声像资料司法鉴定主要利用语音学、电子学等学科知识;②而其他门类司法鉴定也可以找到相对应学科门类.计算机司法鉴定主要利用计算机科学的原理和技术,它与其他司法鉴定采用的原理和方法均存在差异,是法学与计算机科学的交叉学科,因而应与这些司法鉴定类别处于同等的地位.
3.按照鉴定对象进行一级划分在实践中不具有可行性如果按照检验对象或者客体对司法鉴定进行一级划分,委托人有可能无法确定鉴定所属学科,很可能不利于鉴定活动的正常运行.某一种证据材料或者被检验对象,由于在诉讼中涉及的可疑点不同,可能属于不同的鉴定类别.以印有人像的书面文件为例,它可以作为物证类鉴定的检验对象(如判断书面文件的真伪),也可以作为法医类鉴定的检验对象(如判断人像中特定人的伤残情况),还可以作为声像资料类鉴定的检验对象(如判断人像与特定人是否同一人).因而,从逻辑层次上看,只有事先按学科对鉴定进行了分类,才可以进一步按照客体或证据材料不同进行划分.
4.电子数据司法鉴定为计算机司法鉴定主要类型之一如果依照检验对象对司法鉴定进行一级划分难以直接体现鉴定人的"专业性"特征.
只有在某一学科内部按照鉴定对象进行划分才有实际意义.按照鉴定对象不同,计算机司法鉴定可分为电子数据为主要对象和以电子设备为主要对象的鉴定.当然,电子设备中可能包含电子数据,电子数据也依赖于存储设备,划分依据看哪一对象起主要作用.也就是说,应将计算机司法鉴定设置为司法鉴定的一种新鉴定类别,它与法医司法鉴定、会计司法鉴定、物证类司法鉴定属于同一层次.
四、结论
以"发现证据"为目标和与以"评估证据"为目标的电子数据司法鉴定两者在鉴定目标,鉴定意见主观性、鉴定风险和鉴定程序方法、证据审查上都存在差异.根据鉴定性质不同,将电子数据司法鉴定分为上述两种不同类别的电子数据司法鉴定,并按照这个方向进一步细分,便于从法律和技术交叉视角对其更深入地开展研究,也更加有利于科学制定电子数据司法鉴定相关程序规则和技术标准.