「陈永生:电子数据搜查、扣押的法律规则」正文
内容提要: 我国2012年修正的《刑事诉讼法》将电子数据增列为证据的法定种类,这要求我国刑事诉讼法学界对电子数据的相关问题,如电子证据的搜查与扣押,出示与质证,审查判断等问题进行深入研究。与传统证据相比,电子数据具有以下四大特征:存储内容的海量性、形态的易变性、变动的可察觉性以及内容的难以直接感知性。电子数据的以上特征对电子数据的搜查、扣押提出了更加严格的要求:首先,在搜查、扣押之前,侦查机关必须申请司法机关签发令状;在搜查、扣押过程中,无论是对电子设备的搜查、扣押还是此后对电子设备中存储的电子数据的进一步搜查,都必须受到令状原则有关合理根据和特定性要求的约束。其次,侦查机关搜查、扣押电子数据之后,必须允许辩护方对被搜查、扣押的电子数据进行查看、审查和复制,从而防止侦查机关滥用权力,保护辩护方的合法权利。另外,为保障电子数据的客观性和原始性,还必须建立严密的证据保管链制度。我国在以上方面都存在严重问题,在有些方面甚至完全空白,立法机关在未来修正《刑事诉讼法》时必须进行完善与重构。
关键词: 电子数据,特征,令状原则,证据展示,证据保管链
随着电子信息技术的飞速发展,电子数据已经渗透到人们生活、工作的方方面面。每天,数以十亿计的人使用电脑、手机等电子设备进行即时交流,收发电子邮件,储存、管理、更新数据信息,或者进行各种其他活动,这使得电子数据成为当今人类生活、工作中不可或缺的组成部分。与此同时,电子数据对刑事犯罪也产生了深远影响:不少犯罪分子直接利用电子信息技术实施犯罪,如利用电子邮件传递诈骗、敲诈勒索等犯罪信息,利用因特网散布色情照片,利用病毒软件实施网络攻击,利用窃听软件非法获取他人的隐私、商业秘密等。还有一些犯罪分子,虽然不直接利用电子信息实施犯罪,但利用电子信息技术储存犯罪证据。例如,行贿人利用手机的录音功能秘密记录与受贿人交流的内容,黑社会组织利用电脑记录成员信息、犯罪计划?等。可以说,电子数据已经渗透到各种犯罪当中。正如英国高级警察协会(Association of Chief Police Office,ACPO)在其制定的《数据证据良好操作指南》(ACPO Good Practice Guide for Digital Evidence)中所指出的,“数据设备的不断增容以及数据交流的不断发展意味着现在数据证据存在于或者可能存在于几乎每一起犯罪当中。”{1}
电子数据在刑事犯罪中的广泛渗透给侦查活动提出了巨大的挑战,同时也带来了巨大的机遇。在很多案件中,侦查机关能否成功发现和提取电子数据已经成为能否成功破案的关键。可以预见,电子数据在现代刑事诉讼中将扮演越来越重要的角色,对电子数据的搜查、扣押很可能成为未来侦查活动的核心与重点。那么,相对于传统证据,电子数据具有哪些特征?对电子数据实施搜查、扣押应当遵循哪些原则和制度?我国在电子数据的搜查、扣押方面存在哪些问题?未来立法时应当如何修改和完善?本文试图对这些问题进行深人研究。
一、电子数据的特征:规制的基础
需要强调的是,电子数据不同于一般证据,其有着自身的一系列特征,这些特征使得对电子数据的搜查、扣押不同于对一般证据的搜查、扣押。如果不掌握这些特征,在搜查、扣押电子数据时很可能损害电子数据的真实性,侵犯相对人的合法权利,甚至导致刑事诉讼控制犯罪与保障人权两项价值目标同向受损。具体而言,电子数据的以下特征对搜查、扣押提出了特殊要求,必须给予充分重视。
(一)存储内容的海量性
普通物品,如书籍、文件、衣物、刀具等的存储,或多或少都必须占据一定的物理空间,这意味着,一定的物理空间内所能存放的普通物品的数量是有限的。而电子数据完全不同,电子数据以字节(byte,一个字节由8个“0”或“1”二进位数值构成,引者注)的形式存在,几乎无需占据物理空间。这意味着,体积有限的电子设备可能存储大量的甚至海量的电子数据。不仅如此,随着电子信息技术的飞速发展,电子设备的存储能力还在不断地增长。目前,一个超过200G的硬盘所存储的数据如果用 A4纸打印出来,将超过1000万页{1}。
由于电子数据存储设备容量巨大,携带方便,同时由于电子数据容易编辑和修改,因而人们越来越喜欢使用电子设备记录、保存和更新自己的工作和生活信息。今天,一个电子设备中存储的数据的信息可能形形色色,多种多样,数量极为惊人。譬如,一台私人电脑中可能包含机主的工作日志、客户信息,可能包含机主的毕业照片、聚会录像,还可能包括机主的私密日记、账户密码,甚至可能包含机主与其律师和私人医生交流的内容等。在实践中,在对电子设备进行搜查、扣押时往往面临这种情形:侦查机关需要获取的犯罪证据只占电子设备存储信息中微乎其微的一小部分,但是侦查人员却能够接触到涉及被搜查人生活和工作方方面面的大量隐私信息,这无疑会对公民隐私权构成巨大威胁。那么,应当构建何种制度和程序,使侦查人员在收集犯罪证据时尽可能避免对公民隐私权造成不必要的侵害?这是构建电子数据搜查、扣押制度时必须解决的一个重要课题。
(二)形态的易变性
电子数据比传统数据更容易发生变化。譬如,当行为人认为一份文档不具有保存价值时,只需用鼠标轻点“删除(delete)”指令,即可将文档删除,几乎不需要耗费任何时间和精力。不仅如此,即使行为人不实施任何操作,电脑程序本身的运行也可能导致电子数据发生变化。正如英国高级警察协会在其《数据证据良好操作指南》中指出的:“操作系统和其他程序频繁地变动,增加和删除电子存储信息的内容,这一现象可能是自动发生的,使用者可能根本就没有意识到数据已经被改变了”{1}。正因为如此,电子数据的证明力长期以来一直受到质疑。在美国早期的判例中,法院对电子数据的真实性提出了很高的要求,要求电子数据的真实性(authentication)建立在一个比其他证据更广泛的基础上(a more comprehensive foundation)。 [1]直到上世纪80年代,随着电子数据在法庭上的使用越来越频繁,法院才开始对电子数据采取与其他证据一视同仁的态度:“计算机数据编辑物(Computer data compilations)应当与其他任何记录一样受到同等对待”。 [2]由于电子数据极易发生变动,因而在搜查、扣押时必须采取有效的措施确保电子数据的客观性和原始性。否则,如果搜查、扣押过程中因操作不当导致电子数据发生变化,那么法庭科学专家对电子设备持有人先前操作行为的判断将因为丧失客观性而难以被法庭所接受。正如英国高级警察协会在其《数据证据良好操作指南》中所指出的:“在法庭上展示证据的客观性,如同展示证据的连贯性和完整性一样,都是至关重要的。同样,也有必要展示证据是如何被发现的,要展示获取证据的每一个步骤。证据应当被保存到这种程度:第三方通过重复同样的步骤也能够得到(与控方提交到法庭的证据)同样的结果”{1}。那么,构建何种制度才能有效保障在搜查、扣押电子数据过程中不会导致其发生变动,从而确保电子数据的客观性和原始性?这无疑是构建电子数据搜查、扣押制度时必须解决的又一重要课题。
(三)变动的可察觉性
传统证据,如物品、文件、痕迹等一旦发生变动,尤其是被毁弃后很难查清其原始状况,而电子数据与此不同。电子数据发生变动,甚至被毁弃后,仍然能够,甚至很容易查清其原始状况。以电子数据的删除为例,使用者在电脑上将一份文件予以删除实际上并不意味着该文件真的被删除了。事实上,当使用者对一份文件点击删除指令时,操作系统并不会将该文件的字节系统清零,相反,多数操作系统只是进入主文件表(Master File Table),将该文件的集束空间(duster)标注为可用。如果在对电脑进行分析鉴定时尚无其他文件使用该集束空间,法庭科学专家将很容易获取该文件。不仅如此,随着电子信息技术的飞速发展,法庭科学专家还可以通过分析元数据(metadata)等方式,发现电子数据的生成、修改和变动等大量信息。例如,“Windows”操作系统可以生成大量的元数据,这些元数据可以准确地显示一台电脑是何时以及怎样被使用的。又比如,“Microsoft Word”文字处理程序可以生成临时文件,使得法庭科学专家能够重建文件的发展过程。此外,“Microsoft Word”文字处理程序还会储存关于文件创建人以及文件历史的数据{2}。这一切都给侦查人员收集犯罪证据提供了无数前所未有的新的方式和手段。
(四)内容的难以直接感知性
传统物证、书证通常能够被侦查人员直接感知,侦查人员通过在现场进行查看和翻阅,一般就能判断其是否与犯罪有关,是否应当扣押,因而能够很快完成搜查、扣押程序。可以说,对一般物品进行搜查、扣押的运作机理是非常简单的,“侦查人员可以从门或者窗户进入,可以从一个房间走进另一个房间。他们可以通过观察房间的物品、打开抽屉以及其他容器并进行查看的方式对一个人的房间进行搜查(普通搜查,引者注)。运作机理是走进物理空间,观察、移动物品以暴露相关财产便于肉眼观察。”{2}531“警察搜查物理空间发现被扣押物之后,搜查活动就结束了”{2}543。可见,对普通物品的搜查多是在搜查现场(如被搜查人住宅内)完成的,只有一个步骤。
而电子数据则完全不同,对电子数据进行搜查很难在搜查现场完成,往往需要经过两个步骤。之所以如此,是因为电子数据无法被人直接感知,侦查人员仅凭视觉、嗅觉和触觉不可能知悉电子设备中储存的电子数据的具体内容,更不可能知晓哪些电子数据与犯罪有关。另外,在侦查实践中,侦查人员发现电子设备时,很多电子设备处于关机状态,如果不开启电子设备,那么侦查人员即使将电子设备拆卸开,也无法知悉其中存储的电子信息的内容。不仅如此,即使电子备处于开机状态,侦查人员一般也不会在搜查现场对电子设备中存储的数据实施搜查。因为如前文所述,电子数据具有易变性,在电子设备处于开机状态时,更容易发生变化。正如英国高级警察协会在其《数据证据良好操作指南》中所指出的,“进入现场的人员必须特别注意:开机状态的系统需要小心操作,因为如果操作不正确可能导致证据发生意想不到的变化。这样的(开机状态的,引者注)系统只能由受过适当训练的人接触。否则,有证据价值的不稳定数据可能丢失。”{1}因此,除非出现某些特殊情况,如必须即时拦截某些网络数据,侦查人员不会轻易在开启的电子设备上对存储的数据实施搜查。事实上,无论对处于开启状态还是关闭状态的电子设备,为了避免搜查的过程中造成电子数据的变动,有经验的侦查人员一般都不会在原始的电子设备上搜查电子数据,而是对原始电子设备的内容进行备份,然后在备份材料上进行分析和搜索。正如美国学者欧林? S ?克尔指出的,“为了确保原始证据的完整性(integrity),计算机法庭科学的第一步通常是生成一个原始存储设备(the original storage device)的完美‘比特流’备份(perfect ‘bistream’ copy)或者‘镜像’(‘image’),这些‘比特流’备份或者‘镜像’被标注为‘只读’(‘read only’),所有的分析都是在‘比特流’备份而非原件上进行的。真正的搜查发生在政府(即侦查机关,引者注)的电脑上(government's Computer),而非被告方的电脑上((defendant's)。