夜雨聆风
汇聚辩护原创,分发辩护指引;剖析证据运用,研究法律适用。
编者按
公安机关电子数据取证规则建议稿(华东师范版)
说明:第一,《建议稿》是在公安部《公安机关电子数据取证规则(征求意见稿)》的基础上完成的;
第二,我们对公安部《征求意见稿》所修改的部分、建议理由和说明等保留《中华人民共和国著作权法》所赋予的著作权。
第三,该建议稿是华东师范大学法学院佀化强教授与其指导的研究生共同讨论而产生的,过程和分工如下:初步框架和修改要点、修改理由佀化强口授,博士研究生牛梦倩,硕士研究生沈奥、马璟仪、顾严欢、张天依、吕梦欣、詹佳利整理、撰写,最后由佀化强修改统稿。南开大学法学院副教授,北京云证国际司法鉴定中心电子数据鉴定人朱桐辉博士,汕头大学法学院讲师余韵洁博士分别对电子数据勘验、加密电子数据部分提出了有益的建议,在此表示感谢!
公安机关电子数据取证规则建议稿
第一章总则
第一条为了规范公安机关办理刑事案件、行政案件电子数据取证工作,确保电子数据取证质量,保护公民、组织合法权益,提高执法办案效能,根据《中华人民共和国刑事诉讼法》《中华人民共和国行政处罚法》《中华人民共和国治安管理处罚法》《公安机关办理刑事案件程序规定》《公安机关办理行政案件程序规定》等有关规定,制定本规则。
第二条公安机关在办理刑事案件、行政案件过程中,涉及电子数据搜查,扣押、封存原始存储介质,冻结电子数据,调取电子数据,检查电子数据等活动,适用本规则。
第三条公安机关电子数据取证应当依照法定权限,遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取涉案电子数据,确保电子数据的关联性、合法性、真实性。
第四条公安机关电子数据取证包括但不限于以下方式:
(一)搜集公开发布的电子数据
(二)向被害人、证人搜集电子数据
(三)向第三方调取电子数据
(四)搜查电子数据
修改理由和说明:
征求意见稿所列举的取证方式是:(一)电子数据勘验;(二)扣押、封存原始存储介质;(三)冻结电子数据;(四)提取、调取电子数据;(五)电子数据检查与实验;(六)电子数据检验与鉴定。
我们认为,征求意见稿延续了以前的错误,未区分任意侦查和强制侦查,或者说,其延续了任意侦查与强制侦查的错误区分标准。强制侦查与任意侦查的区分是日本在研究英美刑事诉讼中提出来的,但是,日本提出的标准却是错误的,该错误源于日本对英美刑事诉讼的误解。在这里详述原区分标准的错误之处并非适当的地方,仅提出我们认为正确的区分标准,并将该标准在电子数据取证中的运用勾画出来。
我们认为,证据来源的主体是区分强制侦查与任意侦查的标准:只要是从犯罪嫌疑人手中、口中或其间接掌控的地方获取犯罪证据,均为强制侦查;而从犯罪嫌疑人之外的被害人、证人处获取犯罪证据,是任意侦查。除此之外,还有一个灰色地带:因提供服务或承担管理职责而获知的嫌疑人信息的第三方,其兼具证人的特征但又不同于证人,向其调取相关证据属于半强制-半任意的侦查。
整个侦查取证的分类和框架如图所示:
基于上述标准,我们认为:
第一,公安部征求意见稿中所谓的电子数据勘验,其实是从犯罪嫌疑人掌控的空间秘密获取“隐藏”的犯罪证据,这恰恰属于我国刑诉法第136条“可能隐藏犯罪证据”的范畴,且证据来源属于犯罪嫌疑人直接或间接掌控的空间,属于典型的搜查。
在区分现场勘验与搜查上,区分标准不是看公安机关是否物理接触犯罪嫌疑人,也不是看犯罪嫌疑人是否知悉现场被查看,而是看现场这一场域是由被害人掌控还是由犯罪嫌疑人所掌控。犯罪嫌疑人掌控的场域,如其办公室或住宅,即便是公安人员趁其不在场时暗中入侵并从中获取犯罪证据,也是搜查。是否实际接触犯罪嫌疑人或者犯罪嫌疑人是否知情有外人入侵,在法律判断上无任何意义。
同样,在区分电子数据勘验与电子数据搜查上,标准不是看公安机关是否物理上实际接触数据持有人,也不是看数据持有人是否知悉有外人入侵,而是看数据持有人是犯罪嫌疑人还是犯罪嫌疑人之外的其他人。如果是犯罪嫌疑人持有该电子数据,只要该数据被其“隐藏”而不为公众看到,公安机关无论是公然地强行提取、复制还是偷偷窥视、提取、复制,甚至在不被犯罪嫌疑人觉察的情况下远程窥视,其性质就是搜查。相反,如果数据持有人是被害人、证人、第三方,公安机关从其手中搜集、调取,则不是搜查。
真正的电子数据勘验,是从被害人手中或从公开领域获取电子数据,其在性质上属于任意侦查,并且,这种获取电子数据的途径,已可以被其他取证方式所替代或吸纳,并被纳入我们建议稿的框架之下:被害人公开的电子数据,归为对公开发布的电子数据的搜集;未公开的,归为向被害人搜集电子数据。因此,应当彻底放弃“电子数据勘验”作为独立取证类型的制度设计,从而废止实践中“以勘代搜”的现象。
之所以出现这种错误认识,根源在于:学术界对基础研究的缺失,盲目采用日本区分任意侦查与强制侦查的错误标准,对刑诉法第136条所界定的搜查含义缺乏实质性洞见,对“现场勘验”与“搜查”的区分不得要领,结果,对于无需物理接触犯罪嫌疑人、远程秘密入侵犯罪嫌疑人掌控的领域,并从中窥视或暗中搜集“隐藏”的电子数据,想当然地认为是电子数据勘验。
在传统犯罪领域,现场勘验不乏适用场景,例如犯罪现场属于被害人的住宅、办公场所、租住的宾馆房间,公开场所或者废弃的场地。但是,在互联网领域,我们可以大胆地判定,没有电子数据勘验的适用场景。
第二,征求意见稿中将电子数据的“提取”与“调取”并列,并不妥当。这里所言的提取,其实是执行搜查,具体而言是搜查中的现场提取,因此,我们将其规定在第五章“搜查电子数据”中;而“调取”,是刑事诉讼法第54条规定的向第三方调取,完全不同于搜查。正如后面详述,搜查属于强制侦查,证据标准是可能事由,法律文书是搜查证,而调取是介于强制侦查与任意侦查之间的侦查,其证据标准是怀疑,法律文书是调取证据通知书,其调取的证据范围相比搜查的范围要宽泛得多。另外,随着科技发展,第三方服务形式和服务内容越来越丰富,从第三方调取电子数据成为各国较为普遍的取证途径,并且,鉴于调取证据有滥用的趋势,有必要加以规制,因此,我们在建议稿中将其单列。
第三,征求意见稿将电子数据的“检查”与“实验”并列,我们认为不妥。就性质和内容而言,公安部征求意见稿中的“检查”其实是搜查,更准确地说,是相对于当场提取这一搜查形式的另一个搜查形式,即离场检查,是在公安机关或其委托的专业实验室内,对在现场扣押、复制的电子数据的搜查。因此,我们将其归入搜查之下。
而所谓的“实验”、“检验和鉴定”,我们认为不需要规定。理由如下:
电子数据实验和委托鉴定所涉及的内容,均为计算机、互联网、人工智能等涉电子数据的专业知识,随着技术日新月异的发展,这些专业知识的范围越来越多。为避免挂一漏万,不宜做出详细规定。并且,这些属于技术性条款,不属于根本性条款,不涉及人权保障和隐私侵犯,无需详细规定。同时,这些日新月异的电子数据的知识,包括草案所标称的“电子数据实验”等,其性质和范畴均属于刑事诉讼法第146条所规定的“专门性问题”,而涉及的诉讼参与人,也被刑事诉讼法第128条、第146条、第197条第2款规定的“有专门知识的人”所覆盖。因此,“电子数据实验”“电子数据委托检验与鉴定”的规定,不仅有画蛇添足之嫌,还有画地为牢自我设限之虞。
第五条电子数据取证工作由办案的人民警察和指派或者聘请的专业技术人员进行,也可由电子数据持有人及其提供的专业技术人员参与。
办案的人民警察与专业技术人员应当彼此分离、分工负责。办案的人民警察负责电子数据、原始存储介质的扣押、复制、冻结;专业技术人员负责电子数据、原始存储介质的复制、检查,提取、交付目标电子数据。
专业技术人员不得向办案的人民警察披露非目标电子数据。
办案的人民警察、公安机关指派的专业技术人员违反本规则的规定,私自备份目标电子数据之外的电子数据、原始存储介质,应当给予纪律处分。
其他专业技术人员违反前述规定的,应当向其所属的专业技术协会通报。
修改理由和说明:
第一,无需两名办案警察,警察一人即可,并且,警察的职能是扣押、冻结、复制电子数据或原始存储介质,通常不能检查电子数据的内容。两名警察的要求是相互监督确保证据的真实性、同一性,而电子数据的真实性、同一性可由独特的哈希值等数据担保,同时,执法仪成为标配的今天,在警力不足的情况下再行要求两名警察执法,既不现实也无必要。
第二,正如后文指出,电子数据的搜查,要确立整体电子数据与目标电子数据的隔离原则,为确保该原则的实现,坚持整体数据与目标数据在取证主体上予以区分、在职能上予以分工,二者不得交叉、不得混淆。
第三,专业技术人员参与电子数据搜查是世界主流趋势,任何国家的辩护也没有以专业技术人员不具备执法主体资格为由提出反对意见。包括电子数据在内的证据搜查,其合法性不取决于执法主体,而在于是否对犯罪嫌疑人的基本权利造成了不当侵害。
当然,区分执法主体也并非没有法律意义:只有不涉及公权力的纯粹私人执法,才对证据合法性的判断有影响;受公权力雇佣、指派的私人执法,视为公权力执法。
例如,私人技术人员或公司采用黑客技术,事先不掌握“可能事由”,基于怀疑侵入犯罪嫌疑人掌控的隐蔽空间,获取其中的犯罪电子数据,然后将其交给公安机关。在这种情况下,如果存在事后付费行为,或者事先受公安机关指使,则视为公安机关的代理人,属于公权力执法。公权力执法,由于不存在“可能事由”,非法侵入并从犯罪嫌疑人掌控的非开放空间获取“隐藏”的有罪电子数据,属于非法搜查和非法证据。但是,如果是纯粹的私人执法,公安机关可以将私人转交的电子数据作为签发搜查证的“可能事由”,进而进行官方搜查,但是,官方搜查的范围,不得超过私人先前侦查的范围,除非有另外的合法的“可能事由”支撑 。
第六条办案的人民警察与专业技术人员,应当对电子数据取证涉及的国家秘密、工作秘密、商业秘密、个人隐私、个人信息予以保密,遵守本规则规定的交付、退还、销毁制度。
第七条公安机关开展电子数据取证工作,应当向犯罪嫌疑人之外的有关单位和个人告知如实提供电子数据的法律义务,以及伪造、隐匿、毁灭电子数据,提供虚假电子数据应当承担的法律责任。
修改理由和说明:
这是对征求意见稿第六条的修改。相比征求意见稿,我们添加了“向犯罪嫌疑人之外”的表述,法律依据是《刑事诉讼法》第52条。
《刑事诉讼法》第54条规定:“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。⋯⋯凡是伪造证据、隐匿证据或者毁灭证据的,无论属于何方,必须受法律追究。”第62条规定:“凡是知道案件情况的人,都有作证的义务。”
根据以上条款,任何知情的个人、单位,包括被害人、证人、第三方,除了享有免证特权的近亲属、接受委托的律师、接受忏悔的牧师等,都负有如实提供证据的法律义务,违反者将受到法律惩罚,如藐视法庭罪、伪证罪、包庇罪等。
然而,在这些知情人中,最全面知悉案情的犯罪嫌疑人是个特殊的例外。我国刑事诉讼法第52条规定“不得强迫任何人证实自己有罪”,这不仅是符合人性的自卫权利,也符合公认的国际惯例。在性质上,这是专属于被追诉人的一项宪法性特权(privilege),该特权的效果有二:一,程序法层面,严禁对不如实供述的犯罪嫌疑人进行刑讯逼供,犯罪嫌疑人、被告人仅负到庭义务,其既可以保持沉默——审判法官不能就其沉默对其作出不利的推定和猜想——也可以以谎言辩解;二,实体法上的效果则是“不具有期待可能性”,即犯罪嫌疑人“伪造证据、隐匿证据或者毁灭证据”,不受刑法惩罚;其撒谎包庇自己甚至嫁祸于人,根本不构成包庇罪或伪证罪。另一个很好的例子就是我国刑法第一百六十二条所规定的“隐匿、故意销毁会计凭证、会计账簿、财务会计报告罪”,该罪的犯罪主体不得是犯罪嫌疑人、被告人,因为,“行为人为掩盖自己的贪污、职务侵占等罪行而实施本罪行为的,因为缺乏期待可能性,不能以本罪论处”(张明楷:《刑法学》第六版,法律出版社2021年,第973页)。另一方面,为了确保嫌疑人这项特权,刑法规定了刑讯逼供罪。
或许有人以我国刑诉法第120条“犯罪嫌疑人对侦查人员的提问,应当如实回答”的规定来否定这一特权、否定沉默权。这一理由并不成立。我国刑诉法第120条的这个规定源于西方中世纪至17世纪的附条件沉默权,在满足相反条件下,犯罪嫌疑人、被告人拒绝回答的,在德国可以刑讯逼供,在英国可以处以藐视法庭罪。在英国,随着绝对沉默权于17世纪后期建立,附条件的“如实回答义务”就此被移除(佀化强:《“禁止倒果为因”原则:以沉默权的起源、功能为视角》,《法学》2023年第5期)。同样,在我国,第120条所规定的附条件“如实回答”义务,随着2012年刑诉法增设“不得强迫任何人证实自己有罪”,原有的与其相互矛盾的“对侦查人员的提问,应当如实回答”就应当明文废除;即便因办案机关的强烈反对而得以保留,根据新法优于旧法的解释原则,犯罪嫌疑人“应当如实回答”的义务也不复存在。再退一万步,即便刑事诉讼法没有增设“不得强迫任何人证实自己有罪”这一规定,该特权也在我国法律体系中客观存在:毕竟,衡量一国法律承认犯罪嫌疑人该特权的试金石,是看其程序法是否严禁刑讯逼供、实体法是否规定了刑讯逼供罪,看刑法所规定的伪证罪、包庇罪、销毁或伪造证据类的犯罪,其主体是否包括了犯罪嫌疑人、被告人。
法律权利,其中有些是给主张它的人而准备的,也是给睿智的当事人及其委托的合格的律师而准备的。
第八条公安机关搜集加密电子数据,应当区分数据持有人、加密方式和搜集场合,遵守以下规定:
(一)数据持有人为犯罪嫌疑人
1.执行搜查证。人民警察应当出示搜查证、告知目标电子数据范围。以生物特征加密的,可强行解密。
无法解密发现以数字或字母(组合)加密的,应当先行告知其享有拒绝提供密码的权利,征得其同意。遭到拒绝后,借助技术破解密码。
未告知权利,犯罪嫌疑人主动交出密码,人民警察追加权利告知之后,犯罪嫌疑人才做出的同意,为无效同意。
强行解密、技术解密,或同意交出密码并由人民警察提取的,提取范围以搜查证所列目标电子数据为限。
拒绝交出密码但同意交出目标电子数据的,可由犯罪嫌疑人自行提取;自行提取有毁灭、隐匿电子数据风险的,可由专业技术人员按照本规则第二十四条第二款至第六款的规定提取目标数据。
2.无搜查证。人民警察应当首先告知犯罪嫌疑人享有拒绝搜查、拒绝配合解密的权利。在权利告知后、征得其同意前,人民警察不得扣押犯罪嫌疑人的电子设备或原始存储介质。发现电子数据加密,在犯罪嫌疑人明确表示配合解密之前,不得以生物特征或技术解密,也不得以生物特征或技术解密相威胁。
加密电子数据搜查的范围,以犯罪嫌疑人明确同意的为限。
未明确告知权利,犯罪嫌疑人主动交出密码后,人民警察追加权利告知,犯罪嫌疑人做出的同意无效。
先行扣押电子设备、原始存储介质,或以生物特征、技术解密相威胁,或在生物特征、技术手段成功解密之后,犯罪嫌疑人做出的同意无效。
(二)数据持有人为被害人、证人
人民警察应当按照本规则第十四条的规定,告知被害人、证人应当提供的目标电子数据。
以数字或字母(组合)加密的电子数据,被害人、证人拒绝提供的,人民警察可以采取技术手段破解密码。以生物特征加密的电子数据,被害人、证人拒绝协助的,人民警察可以当场强制识别被害人、证人的生物特征。
被害人、证人可以自行解密并提取目标电子数据。
自行提取有毁灭、隐匿电子数据风险的,或证人、被害人反对由办案的人民警察提取的,应当由专业技术人员提取。
由专业技术人员提取的,被害人、证人或办案的人民警察应当向专业技术人员提供密码和解密后的电子数据、原始存储介质,专业人员应当参照本规则第二十六条第二款至第六款的规定提取目标数据。
(三)数据持有人为第三方
人民警察向第三方调取电子数据的,应当由第三方自行解密、自行提供。
因服务合同类型、电子数据管理方式等原因,第三方在技术上无法访问由客户独立管理或加密的电子数据的,应当向公安机关书面说明无法提供目标电子数据的客观情况。
修改理由和说明:
对电子数据加密,这一行为本身在法律上意味着数据持有人对隐私的期待更高,法律应当对其给予更高的保护。但是,这种更高的保护并非同一适用于所有的数据持有人,而是应当区分不同主体。具体而言,对于犯罪嫌疑人来说,其加密行为意味着,其持有的电子数据除了受到刑诉法第136条搜查制度的保护,还要受到刑事诉讼法第52条禁止强迫自证其罪的保护(参见余韵洁:《加密电子数据之搜查》,《清华法学》2024年第4期)。当然,不同的加密方式以及能否破解,是否持有搜查证,针对这些不同情况,法律应当区别保护犯罪嫌疑人持有的加密电子数据。
犯罪嫌疑人持有的加密电子数据,属于强制侦查,对其搜查,如果具有“可能事由”并取得搜查证,且加密方式为生物特征,则可以强制识别;如以数字或字母加密,且无法以技术破解的,则受刑事诉讼法第52条的保护,不得逼取数字或字母密码。在美国,由于实行司法令状,在满足“既定结论”的证据标准下,拒绝配合解密的,可以对犯罪嫌疑人处以藐视法庭罪。但是,在我国,由于搜查证由公安机关自行签发,刑法所规定的拒绝执行判决裁定罪无法适用,因此,对于使用苹果设备以及专业加密软件导致无法技术解密且拒不配合解密的犯罪嫌疑人,法律无法惩罚,公安机关只能放弃。
对于无“可能事由”、无搜查证的,获取犯罪嫌疑人加密电子数据的唯一方式就是同意搜查。无论加密方式是数字字母还是生物特征,刑事诉讼法第52条所提供的保护并无差异,严禁技术解密和强制识别生物特征。
被害人、证人以及第三方的自行加密,在法律上并无意义,其加密的行为并不能消解其如实提供证据的法律义务,也不能免除其隐匿、销毁证据的责任。唯一需要考虑的是其本人犯罪的电子数据,因身份转变为潜在的犯罪嫌疑人,其同样受到刑诉法第52条禁止强迫自证其罪的保护。
最后,第三方因客观原因而无力提供证据,如裸金属服务器之类的服务类型,应当免除第三方的法律责任。
第九条在行政执法、查办案件过程中依法收集的电子数据,符合《刑事诉讼法》及相关规定要求的,可以作为刑事案件的证据使用;以行政执法、查办案件为名,规避刑事侦查措施法定条件取得的电子数据,不得作为刑事案件的证据使用。在刑事案件侦办过程中依法收集的电子数据,可以作为行政案件的证据使用。
公安机关与其他行政机关建立健全电子数据移送机制,明确移送案件的证明要求,加强证据固定和保全,确保电子数据依法转化适用。
修改理由和说明:
第一,犯罪往往是突发事件,无法预料。在行政执法过程中,执法人员可能意外发现既有犯罪的犯罪证据,也可能目击正在发生的犯罪。在这种情况下,只要满足刑事诉讼法所规定的法定条件,行政执法人员均可以采取刑事诉讼法所规定的措施,包括对犯罪嫌疑人的强制措施,也包括对犯罪证据、犯罪工具等采取的强制侦查。因此,行刑衔接的程序法问题是个伪问题。
第二,“刑事立案调查核实”不宜与“行政执法、查办案件”并立。“行政执法、查办案件”常直接针对嫌疑人、干预程度极高。相反,《人民检察院刑事诉讼规则》第168条规定,“调查核实一般不得接触被调查对象”。可见其是从被调查对象之外的来源获取信息的外围调查手段,限于以非强制手段核实报案材料或线索,而不得借机实施强制侦查。征求意见稿第9条将“调查核实”与“行政执法”并列,无疑忽视了二者的实质不同,易导致错误理解,甚至造成“调查核实”范围的不当扩张,应删去。
第三,本条延续《刑事诉讼法》第54条对行刑证据衔接的简略规定,即行政证据“可以”作为刑事案件证据。行政证据既然不是“应当”转化,便应明示“可以”所蕴含的准入条件。具体来说,公权力针对公民进行执法时,不可仅因取证机关或者所属部门不同而对其再作区分。不同类型的取证行为,只是因其对公民的侵害不同,《刑事诉讼法》及相关规定方才对其课以不同程度的程序约束、配置不同层次的启动事由。所以,在行刑衔接条款中,“证据可以转化”并非核心问题,重点在于考察取证行为是否受到相当的程序约束。为免相关条款被不当运用,还应增设禁止性规定,明确以行政执法为名规避约束而取得的电子数据不得作为刑事证据使用。
第十条公安机关开展电子数据取证工作应当有见证人在场。由于客观原因无法由见证人见证的,应当同步录音、录像,并在笔录中注明情况。
公安机关办理刑事案件开展电子数据取证工作,在下列情形下,应当全程同步录像:
(一)严重危害国家安全、公共安全的案件;
(二)社会影响较大的案件;
(三)电子数据作为罪与非罪、罪重罪轻关键证据的案件;
(四)犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件;
(五)由于客观原因无法由见证人见证的案件;
(六)其他需要全程同步录像的重大案件。
第二章 集公开发布的电子数据
第十一条证人、被害人、第三方、犯罪嫌疑人等电子数据持有人公开发布的信息,公安机关可以在线提取。
公开发布的电子数据包括但不限于:
(一)在互联网发布的电子数据;
(二)在社交媒体向特定群体发布的电子数据;
(三)在特定网站向不特定的人经过注册的用户发布的电子数据。
修改理由和说明:
公开发布的电子数据的搜集,属于任意侦查,包括人民警察在内的任何人都可以搜集、固定,无需批准。即便第(三)项“在特定网站向不特定的人经过注册的用户发布的电子数据”,也属于公开信息。
例如,在“711 网络赌博案”中,侦查人员在赌博网站上注册账户和密码,然后凭账户和密码进入赌博网站系统内远程勘验筹码兑换规则、赌博流程、下注情况等(该案例参见吴影飞:《论网络在线提取电子数据的性质》,载《人权》2024年第4期,第124页)。
在该案中,赌博网站是向不特定的任何人开放的空间,警察以个人身份或以他人身份注册进入该网站,均不重要。重要的是电子数据是否是每个普通注册用户所能看到、接触到的。只要警察获取的电子数据是每个注册用户均可以看到的犯罪证据,获取此类电子数据,就属于任意侦查,无需搜查证。
假如注册用户为被害人,其授权警察以自己的账号进入该网站,警察搜集每个注册用户都可以看到的电子数据,也属于任意侦查。
但是,如果警察进入后所搜集的电子数据是普通注册用户无法看到的或无法接触的,那么,这部分电子数据就不属于公开信息,而是属于刑事诉讼法第136条所规定的“隐藏”的犯罪证据,并且其源于犯罪嫌疑人掌控的领域,故属于搜查范畴。搜查则需要可能事由和搜查证,没有可能事由和搜查证,这种使用技术手段秘密侵入犯罪嫌疑人掌控的空间并从中获取“隐藏”的犯罪证据,就是非法搜查,所获证据就是非法证据。
第十二条网络在线提取,应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。
第十三条网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息:
(一)提取的日期和时间;
(二)提取使用的工具和方法;
(三)电子数据的网络地址、存储路径或者电子数据提取时的进入步骤等;
(四)计算完整性校验值的过程和结果。
第三章 向被害人、证人搜集电子数据
第十四条公安机关应当书面告知被害人、证人需要提供的证据的内容、性质,以明确目标电子数据。情况紧急的,可以口头告知。
距离较远的,征得被害人、证人的同意,公安机关可以对被害人、证人的计算机信息系统进行远程取证。
第十五条被害人、证人应当按照告知的范围提供完整的目标电子数据。
被害人、证人拒绝提供的,人民警察可以强制取证。
电子数据加密的,按照本规则第八条第(二)项规定执行。
强制取证、远程取证,人民警察仅能提取告知范围内的目标电子数据。
被害人、证人对于本人涉嫌犯罪的电子数据,有权拒绝提供。
单位或法人不得以涉嫌犯罪为由拒绝提供证据。
被害人、证人以自己涉嫌犯罪的电子数据为由拒绝提供的,人民警察应当通过询问证人、被害人,确定原目标电子数据与被害人、证人声称的自己涉嫌犯罪的电子数据是否能够区分,无法区分或二者为同一电子数据的的,人民警察应停止取证;能够区分的,应当由专业技术人员提取。
专业技术人员提取,应当参照本规则第二十四条第二款至第六款的规定提取目标数据。
修改理由和说明:
《刑事诉讼法》第52条禁止强迫任何人自证其罪,第54条第1款:“人民法院、人民检察院和公安机关有权向有关单位和个人收集……证据。有关单位和个人应当如实提供证据。”第4款:“凡是伪造证据、隐匿证据或者毁灭证据的,无论属于何方,必须受法律追究。”
第四章 电子数据的调取
第十六条公安机关在立案后,需要向第三方的单位和个人调取电子数据的,应当根据案情和已有证据材料,对拟调取的电子数据与案件事实的实质关联形成合理怀疑,并经办案部门负责人批准,开具《调取证据通知书》等法律文书,并附上《立案决定书》。《调取证据通知书》应列明目标电子数据的范围和相关信息。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明。
修改理由和说明:
《刑事诉讼法》第54条第1款:“人民法院、人民检察院和公安机关有权向有关单位和个人……调取证据。有关单位和个人应当如实提供证据。”
向第三方调取证据,适用“怀疑”或“合理怀疑”的证据标准,遗憾的是,我国刑事诉讼法对此没有规定。同时,鉴于第三方服务内容越来越丰富,第三方掌握的电子数据越来越多,各国为了规避搜查的高标准要求,普遍求助第三方寻求犯罪证据,而调取第三方电子数据在实践中出现了调取范围泛化的趋势,因此,为了防止调取证据范围不正当地扩大,我们建议写入“怀疑”“合理怀疑”的标准,与立案标准对标,同时,强调目标电子数据应当具有基本的相关性。
正如下一条所写,第三方有权要求公安机关对“合理怀疑”予以说明,或者要求缩小调取范围。
第十七条对于明显超出立案范围或者缺乏合理限定的,第三方有权要求公安机关给予必要解释或缩小目标电子数据的范围。
公安机关应当就据以确定目标电子数据范围的合理怀疑给予书面回复,解释目标电子数据与案件事实的实质关联,也可以重新确定目标电子数据的范围。第三方对公安机关的回复和解释,应当保密。
第三方为自然人或非法人的一人公司,对于目标电子数据中涉及本人犯罪的部分,有权拒绝提供。
第十八条公安机关开具的《调取证据通知书》等法律文书、第三方提供的电子数据等可以采取数据电文形式跨地域调取的,可以通过公安机关信息化系统传输相关数据电文。
第三方采用数据电文形式提供电子数据的,应当保证电子数据的完整性,并制作电子证明文件,载明调证法律文书编号、单位电子公章、完整性校验值等保护电子数据完整性方法的说明等信息。公安机关应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。
第十九条向第三方服务商调取犯罪嫌疑人的电子邮件、服务器所存储的信息等通讯内容以及行踪轨迹的,应当按照本规则第二十条搜查的规定办理;调取非内容信息的,按照本章办理。
修改理由和说明:
对于涉及通信内容的,应当不再适用第三方原则,而是上升到强制侦查的搜查范畴。这是各国的发展趋势,也成为国际通例。
例如,2010年美国联邦第六巡回法院在Warshak案(United States v. Warshak, 631 F.3d 266 (6th Cir. 2010)中判定,政府获取位于第三方通信服务平台的电子邮件内容,必须满足“可能事由”的证明标准并取得搜查令状,不得适用第三方原则。该判决做出迅速成为各司法区判决所遵循的先例。7年后,美国联邦最高法院在Carpenter案
(Carpenter v. United States, 585 U.S. 296 (2018))中判定,犯罪嫌疑人在第三方服务商处的手机基站位置信息,同样属于通信内容,政府获取该信息不得适用第三方原则,而应当满足“可能事由”标准并获得搜查令状。
在欧盟,从第三方获取通信内容也改为搜查性质。
我国刑事法学者也提出,应当区分“用户数据”与“内容数据”,或者区分“一般通信记录”与“核心通信内容”,并适用不同的证据启动标准(参见皮勇:《<网络犯罪公约>中证据调查制度与我国相关刑事程序法比较》,《中国法学》2003年第4期第152、第154页,区分“用户数据”与“内容数据”;艾明:《论刑事侦查中对手机通讯记录的调取及法律规制》,《中国刑事法杂志》2011年第1期,第80-81页)。宪法学者也认为,应当区分“通信内容”与“非内容信息”并给予不同的保护(张翔:《通信权的宪法释义与审查框架》,《比较法研究》2021年第1期,第45-46页)。
更重要的是,“行踪轨迹”在我国现有法律制度框架下也被视为强制侦查即技术侦查的内容。《公安机关办理刑事案件程序规定》第264条:“技术侦查措施是指由设区的市一级以上公安机关负责技术侦查的部门实施的记录监控、行踪监控、通信监控、场所监控等措施。技术侦查措施的适用对象是犯罪嫌疑人、被告人以及与犯罪活动直接关联的人员。”
同样,《中华人民共和国个人信息保护法》第28条将“行踪轨迹”列为“敏感信息”,第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
基于上述理由,我们将第三方持有的电子邮件、服务器所存储的信息以及电子行踪轨迹,归为电子数据的搜查之列(我国刑诉法所称的技术侦查其实就是搜查)。
至于跨区域调取电子数据,我们认为应当删除。理由:跨区域调取证据的,不涉及权利,无需规定,按照公安部《公安机关办理刑事案件程序规定》执行即可。
第五章 搜查电子数据
第一节 原则
第二十条为了搜集犯罪证据,公安机关可以对犯罪嫌疑人可能隐藏电子数据的地方进行搜查。
《呈请搜查报告书》应当详细列举支持可能事由成立的证据材料,写明可能隐藏目标电子数据的具体位置,列举已掌握的表明该位置可能隐藏目标电子数据的所有证据材料,详细列明该位置可能隐藏的目标电子数据的种类、内容,列举已掌握的能够表明目标电子数据种类、内容的所有证据材料。
搜查证应当根据批准的《呈请搜查报告书》制作。
搜查证无需列明支持可能事由的证据材料,但应当列明涉嫌的罪名,指明目标电子数据所处的位置,详细列举目标电子数据的内容和种类。
存储位置、目标电子数据较多的,可添加附件。
附件是搜查证的组成部分,应当在执行搜查时一并向被搜查人出示。
涉嫌下列犯罪的,搜查证可以将所有电子数据或原始存储介质整体列为目标电子数据:
(一)危害计算机信息系统安全犯罪案件;
(二)非法利用信息网络的犯罪案件;主要业务为信息网络犯罪提供服务的犯罪案件;
(三)主要行为通过信息网络实施的诈骗、赌博、侵犯公民个人信息等其他犯罪案件。
修改理由和说明:
一、关于搜查电子数据的搜查的定义,依据是《刑事诉讼法》第136条:“为了收集犯罪证据、查获犯罪人,侦查人员可以对犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方进行搜查。”
二、搜查“可能事由”的双具体要求。搜查是最为严重的强制侦查种类,并且,证据来源是犯罪嫌疑人所“隐藏”的空间,隐私期待最高,最需要法律保护。正是这个原因,刑事诉讼法为搜查设定了“可能事由”的法定证据标准。该标准仅次于定罪的“排除合理怀疑”或“事实清楚、证据确实充分”或“内心确信”,高于“怀疑”标准。
根据我国法律制度体系,“怀疑”标准适用于刑事立案,以及人民警察法第9条所规定的当场盘问、当场检查。其实,从第三方调取证据也采用“怀疑”标准,遗憾的是,我国刑事诉讼法对此没有规定,我们在这次的建议稿中增设了调取第三方电子数据应当满足“合理怀疑”的证据标准。
“可能事由”与“怀疑”有本质区别,二者的试金石是:“可能事由”是“双具体”(double special),而怀疑则是“单具体”。具体到搜查,其合法的可能事由是:隐藏犯罪证据的地点是具体的;该地点所隐藏的证据之种类和内容是具体的。相比之下,怀疑则是“单具体”,即一个具体的地点隐藏了什么犯罪证据并不清楚,或者,一个具体的犯罪证据藏在何处并不清楚。具体到拘捕,其可能事由是:一个具体的人,所做的行为是犯罪。相比之下,怀疑则是:一个人鬼鬼祟祟,其到底干了什么违法犯罪的事情并不清楚,或者,一个人被谋杀,属于刑事案件,但作案人是谁并不清楚。
根据“因果对价”原则,搜查、拘捕应当采用“可能事由”标准,不能采用“怀疑”标准(因果对价原则,见佀化强:《发现与识别》,《师大法学》2021年第2辑,第44-45页;佀化强:《重庆幼童坠亡案二审辩护词》,北大法律信息网,2023年4月17日发布)。《公安机关办理刑事案件程序规定》第一百九十三条“公安机关侦查犯罪,应当严格依照法律规定的条件和程序采取强制措施和侦查措施,严禁在没有证据的情况下,仅凭怀疑就对犯罪嫌疑人采取强制措施和侦查措施。”这就是“因果对价”原则的体现之一。
怀疑无法让搜查地点和搜查目标物双双具体化。“可能事由”的目的就是让搜查的目标物事先确定,防止搜查A证据时顺手牵羊扣押搜查B证据。
就刑事搜查而言,法律保护的不仅是无辜信息,而是没有“可能事由”支撑的犯罪信息;其不予保护从而准许搜查的是有“可能事由”支撑的犯罪信息,在我们的建议稿中称为“目标电子数据”。
非法(实物)证据排除的公式“无因之果不可采”就是排除的“无可能事由支撑的犯罪证据”
这就是传统搜查和“可能事由”的含义、目的。
三、数据时代区分目标数据与整体数据的必要性。在电子数据时代,一部智能手机、个人电脑几乎承载了一个人大部分人生的所有信息。同样,一个企业的电子数据,几乎囊括了其全部的营业信息,并且,其掌控的信息还包括了数以万计的客户信息。相比之下,一个人或一个企业的犯罪信息,其数量就显得微乎其微了;而与这些犯罪信息相比,有“可能事由”支持的犯罪信息,就更少了。
获得更多犯罪电子数据的方法就是,以一个“可能事由”扣押一个人的所有电子数据或原始存储介质,慢慢翻看,从中找出并无“可能事由”支撑的其他有罪证据。
在传统的搜查制度中,这种整体扣押、整体搜查是非法的,所获的额外犯罪证据要作为非法证据予以排除。
要维护搜查制度的存在,在电子数据搜查中,有“可能事由”支持并明确列举在搜查证中的目标电子数据,要与整体电子数据或原始存储介质区分开来,以防止警察顺手牵羊发现“无可能事由”的犯罪电子数据。这是在电子数据时代,电子数据搜查需要解决的首要问题或者说唯一的实质性问题。
四、特殊犯罪案件可以“整体”搜查扣押。在传统搜查中,可以对所有在场的物证书证扣押搜查的特殊案件是:专门从事欺诈犯罪的企业。这是因为,该企业的成立和主业就是从事欺诈犯罪,其文件和档案的绝大部分是该罪的犯罪证据。在普通案件中,禁止搜查证将“全部文件”列为搜查扣押目标物,但是,在上述特殊案件中,法律允许将该企业的全部办公文件列为搜查、扣押的目标物。这就是搜查扣押制度中著名的例外规定(该例外的产生、发展及其在电子数据搜查中的运用,在此不赘)。
该例外规定同样适用于电子数据。在我国,最早做出类似规定的是2005年公安部《计算机犯罪现场勘验与电子证据检查规则》,其规定的措施是对所有原始存储介质、电子设备、电子数据进行整体性的扣押、复制、检查。需要强调的是,公安部规定的这一整体搜查扣押模式,正如其标题所示,仅适用于“计算机犯罪”。随着网络犯罪的发展,2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》,也采用了“整体搜查扣押”的模式,并且,其第一条明确限定了网络犯罪案件:
(1)危害计算机信息系统安全犯罪案件;
(2)通过危害计算机信息系统安全实施的盗窃、诈骗、敲诈勒索等犯罪案件;
(3)在网络上发布信息或者设立主要用于实施犯罪活动的网站、通讯群组,针对或者组织、教唆、帮助不特定多数人实施的犯罪案件;
(4)主要犯罪行为在网络上实施的其他案件。
可以说,在这类案件中采用整体搜查扣押模式具有正当性、合法性。
然而,2016年最高法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,将这一仅适用于计算机网络犯罪的整体搜查扣押模式套用到所有涉及电子数据的普通案件。这一错误扩张也被2019年公安部《公安机关办理刑事案件电子数据取证规则》继承;2026年公安部发布的《公安机关电子数据取证规则(征求意见稿)》,也延续了这一模式。
我们认为,整体搜查扣押模式仅能适用于特殊的网络犯罪案件,凡是主业不是从事网络犯罪的,均不能采取整体搜查扣押模式。
鉴于电子数据几乎出现在每一个普通的非网络犯罪案件,鉴于电子数据的易删除性和远程可操控性,我们建议,遇有紧急情况,可以采取证据保全的方法,即紧急情况下电子数据的冻结与拘留逮捕场合的随附性扣押,前者适用于特殊网络犯罪案件中尚达不到搜查条件但亟需证据保全的情况,后者适用于所有案件的证据保全。这两项措施仅仅是证据保全措施,对电子数据内容的查看、访问、检查,必须取得独立的搜查证。
第二十一条搜查扣押电子数据必须具有可能事由并获批搜查证,下列情形除外:
(一)同意搜查
征得电子数据持有人同意的,可进行搜查。
征得同意之前,人民警察必须告知对方享有拒绝的权利以及同意的法律后果。未告知或事后补告知的,同意无效。
征得同意之前,人民警察不得扣押电子设备、原始存储介质,不得以语言、肢体动作相威胁,也不得以对其从轻从宽处理引诱,否则同意无效。
同意必须在搜查之前做出。向电子数据持有人展示从其电子设备搜查、提取的电子数据,之后征得的同意无效。
征得未成年人同意之前,应当有未成年人的监护人或父母在场。监护人或父母不在场,未成年人做出的同意无效。
加密电子数据的同意搜查,按照本规则第八条第(一)项第2目执行。
同意搜查的范围,以同意的范围为限。
涉及恢复已删除电子数据的,必须事先征得书面同意。
修改理由和说明:
同意搜查的法律渊源是《刑事诉讼法》第52条“不得强迫任何人证实自己有罪”之规定。
同意搜查不是任意侦查,而是一种特殊的强制侦查。相比普通的有证搜查,同意搜查是让一项原本非法的搜查,即不具有可能事由,也不具有搜查证的搜查,变得合法化。其之所以合法,是自愿同意替代了可能事由而成为搜查的合理事由。但是,同意搜查依然是强制侦查,其应当符合以下规则:1,自愿性;2,同意先于搜查,禁止倒果为因;3,同意范围决定搜查范围。违反上述任一规则就是非法搜查。
至于恢复已被犯罪嫌疑人删除的电子数据,这通常是公安机关事后恢复,超出了犯罪嫌疑人当初的预料,犯罪嫌疑人之所以同意搜查,通常是因为其已删除了不安全的信息,因此,这些删除的信息不属于其同意的范围(“删除即不同意”,见佀化强:《重庆幼童坠亡案二审辩护词》,北大法律信息网,2023年4月17日发布)。
(二)随附性扣押
执行拘留、逮捕时,基于以下目的,可对随身携带的电子设备进行物理检查与扣押:
(1)为保护执法人员及现场安全,可对电子设备的物理外观进行检查,以排除爆炸物的可能;
(2)为防止当场销毁电子数据,防止被远程擦除或销毁,可当场扣押该电子设备。
当场扣押电子设备,按照本规则第二十八条、第二十九条的规定办理。。
搜查、检查被扣押的电子设备,应当另行取得搜查证。
修改理由和说明:
我国的随附性搜查制度规定在《刑事诉讼法》138条第2款:“在执行逮捕、拘留的时候,遇有紧急情况,不另用搜查证也可以进行搜查。”《公安机关办理刑事案件程序规定》224条对其作出细化解释,即,执行拘留、逮捕的时候,遇有下列紧急情况之一的,不用搜查证也可以进行搜查:(一)可能随身携带凶器的;(二)可能隐藏爆炸、剧毒等危险物品的;(三)可能隐匿、毁弃、转移犯罪证据的;(四)可能隐匿其他犯罪嫌疑人的;(五)其他突然发生的紧急情况。
两个法条结合来看,我国随附性搜查制度的目的是为了保护执法人员及现场的安全、防止证据的毁损灭失。
然而,我国司法实践中对随附性搜查制度有普遍滥用的趋势,尤其是在拘捕时扣押犯罪嫌疑人的智能手机,扣押后随意翻看、检查其中的电子数据,这其实是非法搜查。为了杜绝这一现象,我们将其命名为随附性扣押,让随附性搜查回归本意,并明确规定,检查其中的电子数据,必须另行取得搜查证。
(三)紧急情况下冻结电子数据
对于本规则第二十条第七款规定的犯罪案件,在立案之后、未取得搜查证之前,电子数据有被篡改或者灭失风险的合理怀疑的,经县级以上公安机关负责人批准,可以冻结电子数据。
冻结电子数据,应制作《公安机关冻结电子数据通知书》(见附件3),注明冻结电子数据的网络账号等信息,送交电子数据持有人、互联网服务提供者或者有关部门协助办理。
冻结电子数据,应当采取以下一种或者几种方法:
1.计算电子数据的完整性校验值;
2.锁定网络账号;
3.采取写保护措施;
4.其他防止增加、删除、修改电子数据的措施。
公安机关办理刑事案件冻结电子数据的期限不超过三个月。有特殊原因需要延长期限的,应当在冻结期限届满五日前办理继续冻结手续,每次延长期限不得超过三个月。
继续冻结电子数据的,应当重新办理冻结手续。逾期不办理继续冻结手续的,自动解除冻结措施。
在侦查过程中,公安机关发现案件不属于本规则第二十条第七款规定的犯罪,应当在发现之日起三日内解除冻结措施。
对冻结的电子数据进行检查,应当另行取得搜查证。
修改理由和说明:
如前所述,这是对特殊的网络犯罪而采取的证据保全措施,采用“怀疑”“合理怀疑”的证据标准,并对接立案的“怀疑”标准,因此,其性质类似于随附性扣押,要对其内容进行检查,必须满足“可能事由”标准并获得搜查证。
第二十二条 公安机关持有搜查证执行搜查、扣押、冻结电子数据,应当遵守“最小必要”原则,按照以下顺序进行:
(一)现场提取目标数据
(二)现场复制
现场复制电子数据,应当符合下列情形之一:
1.电子数据量大,目标数据与非目标数据混杂,现场提取耗时过长,给被搜查企业或个人造成困扰,且被搜查企业或个人同意复制的;
2.被搜查的个人或企业拒绝协助,导致现场识别、提取目标电子数据无法完成。
(三)扣押原始存储介质。扣押原始存储介质,应当符合下列情形之一:
1.受技术条件限制,现场复制不具备可行性;
2.原始存储介质有损坏、灭失的现实风险。
(四)冻结电子数据
冻结电子数据,应当符合下列情形
1.无法扣押原始存储介质;
2.电子数据存在被篡改或者灭失的风险。
修改理由和说明:
(一)现场提取优先
1.合法性要求。电子搜查的目标数据仅是被搜查者电子数据的一部分,而非目标数据包含了被搜查者、注册用户等第三人的个人私生活隐私和其他违法犯罪的信息,这些是与当前指控罪行无关的数据,超出了搜查证及其附件所涵盖的范围。对此,公安机关不得搜查扣押。
2.某些电子数据唯有在现场可以获得。正如公安部草案指出:“提取计算机内存数据、网络传输数据等非存储于存储介质上的电子数据的;”此外还存在电子数据毁损、灭失等风险要求。在大部分情况下,被搜查者可能销毁、隐匿电子数据,正如公安部草案指出,“不立即提取电子数据可能会造成电子数据灭失或者其他严重后果。”
3.加密数据不可再次获得。为电子数据加密是个人保护隐私的常见方式,同样,从事犯罪的单位和个人几乎无一例外地使用复杂、高难度的专业方式为其犯罪的电子数据加密。这种特殊或专业的加密方式,例如苹果手机和苹果电脑,以及第三方专业加密,根本无法破解,并且,一旦手机锁屏、电脑合盖或者电源中断,重启设备就需要输入密码,而此类加密根本无法破解。公安部草案也意识到这种风险,其指出:“正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;”“关闭电子设备会导致重要信息系统停止服务的;”
4.原始存储介质可能无法扣押。
基于以上原因,为了确保搜查证的执行、即时获取目标电子数据,现场提取是优先采用的方式。
(二)第二顺序是复制
1.保护被搜查企业或个人的营业权和社交便利。就大部分企业而言,经营业务离不开计算机、互联网;就个人而言,衣食住行、工作、社交等与智能手机、个人电脑密不可分。如果径直扣押其电子设备,将给企业带来重大损失,给个人带来重大不便。这不仅违背《民营经济促进法》第62条“不得超权限、超范围、超数额、超时限查封、扣押、冻结财物”的立法精神,也违背了无罪推定原则。因此,在现场提取不可行的情况下,需要采取的搜查扣押方式是复制。
2.复制确保了电子数据的完整性,是扣押原始存储介质的替代方式。从技术层面而言,复制是对计算机内存储的全部数据制作电子 “镜像” 文件,包含所有隐藏扇区与已删除文件。通过镜像取证,执法人员无需扣押计算机硬件,即可获取设备存储数据的完整精准副本。
(三)最后的选择是扣押原始存储介质、冻结电子数据。
第二节 现场提取
第二十三条现场提取电子数据之前,可以采取以下措施保护相关电子设备和电子数据:
(一)及时将犯罪嫌疑人、违法行为人以及其他相关人员与电子设备进行分离;
(二)在未确定是否易丢失数据的情况下,不能关闭正处于运行状态的电子设备;
(三)对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施;
(四)保护电源;
(五)对具备恢复条件的已经删除的电子数据,进行电子数据恢复。
开展电子数据恢复工作应当符合技术标准、规范,确保电子数据恢复的客观性。
(六)其他有必要采取的保护措施。
第二十四条现场提取电子数据,应当遵守以下合法性要求:
(一)被搜查人或被搜查单位的主管人员可按照搜查证及附件所列主动识别、提取目标电子数据。
(二)如果有理由认为被搜查人、被搜查单位不可信、存在销毁电子数据风险的,由双方一致选择的第三方专业技术人员按照搜查证及其附件识别、提取目标电子数据。
(三)被搜查人或被搜查单位拒绝配合的,由公安机关指派或聘请的专业技术人员按照搜查证及其附件识别、提取目标电子数据。
(四)识别目标电子数据、隔离非目标电子数据,应当由被搜查人、被搜查单位或专业技术人员进行,识别、隔离可以采用关键词搜索、哈希值识别、安装识别软件等方法。
(五)专业技术人员提交目标电子数据时,不得向办案部门或办案警察披露目标电子数据之外的任何信息。
(六)办案部门或办案警察仅能保存专业技术人员提取的目标电子数据。
对于本规则第二十条第七款规定的犯罪案件,不受前款规定的限制。
修改理由和说明:
哈希值在国内主要用来确保电子数据的同一性、真实性。其实,哈希值还有另一项功能在西方国家的电子数据搜查中普遍使用:识别同类的电子数据,类似于文档关键词搜索。
我们将这一技术功能写入对目标电子数据的识别和提取之中。
第二十五条现场提取电子数据,应当遵守以下技术性规定:
(一)识别、提取目标电子数据,专业人员或相关人员应当制作《电子数据提取记录》,说明其采用的关键词搜索、哈希值识别、安装识别软件等必要措施的种类,分析该措施的可行性,描述采取上述措施的识别效果,记录目标电子数据的识别过程、存储位置和提取的时间、方法。
(二)专业技术人员向办案警察交付目标电子数据,应当有见证人、电子数据持有人在场,制作《电子数据提取、交付清单》,注明类别、文件格式、完整性校验值等,由专业技术人员、办案民警、电子数据持有人、见证人签名或者盖章;电子数据持有人、见证人无法或者拒绝签名、盖章的,应当在笔录中注明情况。
由于客观原因无法由见证人见证的,应当同步录音、录像,并在《电子数据提取、交付清单》中注明情况。
(三)对提取的电子数据进行数据压缩的,应当在《电子数据提取、交付清单》中注明相应的方法和压缩后文件的完整性校验值。
第三节现场复制
第二十六条复制电子数据应当遵守以下技术性规定:
(一)制作完整的电子镜像,包括隐藏区和已删除的电子数据。
(二)制作《电子数据复制笔录》,记录电子数据的来源、位置、复制时间、复制过程、数据类别、文件格式、完整性校验值等,由专业技术人员、办案民警、电子数据持有人、见证人签名或者盖章;电子数据持有人、见证人无法或者拒绝签名、盖章的,应当在笔录中注明情况。
第四节 扣押原始存储介质
第二十七条扣押、封存原始存储介质,应当了解以下情况:
(一)原始存储介质及应用系统管理情况,网络拓扑与系统架构情况,是否由多人使用及管理,管理及使用人员的身份情况;
(二)原始存储介质及应用系统管理的账号密码情况;
(三)原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其他移动存储介质,是否曾进行备份,备份数据的存储位置等情况;
第二十八条扣押原始存储介质应当有见证人在场,由于客观原因无法由见证人见证的,应当同步录音、录像,并在有关笔录中注明情况。
对扣押的原始存储介质,应当会同见证人和原始存储介质持有人进行查点,当场开列扣押清单一式三份,写明原始存储介质名称、编号、数量、特征、序列号及其来源等,由办案民警、原始存储介质持有人和见证人签名或者盖章,一份交给原始存储介质持有人,一份交给公安机关保管人员,一份附卷备查。
第二十九条对扣押的原始存储介质,应当按照以下要求进行封存,并记录封存状态:
(一)保证在不解除封存状态的情况下,无法使用或者启动被封存的原始存储介质;必要时,对具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质,可以分别进行封存;
(二)封存前后应当拍摄被封存原始存储介质的照片,照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况;必要时,还需清晰反映电子设备的内部存储介质细节;
(三)封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断等措施。
第三十条对无法扣押的原始存储介质,经登记、拍照或者录音、录像后,可以封存后交其持有人保管,并开具登记保存清单一式两份,由办案民警、持有人和见证人签名或者盖章,一份交给持有人,另一份连同照片或者录像资料附卷备查。
持有人应当妥善保管原始存储介质,不得转移、变卖、毁损,不得解除封存状态,不得未经办案部门批准接入网络,不得对其中可能用作证据的电子数据进行增加、删除、修改等操作。必要时,应当保持处于开机状态。
对登记保存的原始存储介质,应当在七日以内作出处理决定,逾期不作出处理决定的,视为自动解除。
第五节 电子数据冻结
第三十一条在执行搜查过程中,具有下列情形之一的,经办案部门负责人批准,可以对电子数据进行冻结:
(一)原始存储介质设有密码保护,嫌疑人拒绝透露密码,技术无法破解密码;
(二)原始存储介质设有自毁功能,可能造成电子数据灭失;
冻结电子数据,应当采取本规则第二十一条第三项规定的方法。
第三十二条冻结电子数据的期限不超过30日。
第三十三条不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日以内制作《公安机关解除冻结电子数据通知书》(见附件3),通知电子数据持有人、互联网服务提供者或者有关部门执行。
第六节 电子数据的离场检查与提取
第三十四条公安机关对依据本章第三节、第四节、第五节的规定复制、冻结、扣押的电子数据和原始存储介质,应当及时检查并在合理期间内完成。
公安机关对依据本规则第二十一条第二项、第三项规定扣押、冻结的原始存储介质、电子数据进行检查,应当事先取得搜查证,并遵守本节规定。
检查电子数据和原始存储介质,应当经过办案部门负责人批准。
第三十五条电子数据、原始存储介质的检查,应当以识别、提取目标电子数据为目的,由专业技术人按照本规则第二十四条第二项至第六项规定执行。
对于本规则第二十条第七款规定的案件,不受前款规定的限制。
第三十六条电子数据检查时需要提取电子数据的,应当制作电子数据提取固定清单,记录该电子数据的来源、提取方法和完整性校验值。
第三十七条专业技术人员进行电子数据检查,应当保护电子数据、原始存储介质以及目标电子数据在移交过程中的完整性。移交时,应当办理移交手续,并按照以下方式核对电子数据:
(一)核对其完整性校验值是否一致;
(二)核对封存的照片与当前封存的状态是否一致。
对于移交时电子数据完整性校验值不一致、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,电子数据检查人员应当在有关笔录中注明。
第三十八条接受移交的目标电子数据后,公安机关及其办案的人民警察仅可以对专业人员移交的目标电子数据予以备份;对于依据本规则第二十二条第二项至第三项、第二十六条至第三十一条的规定复制、冻结、扣押的电子数据、原始存储介质,应当在三日内销毁、归还。
对无法确定原始存储介质持有人的,应当封存并同步录音、录像,不得检查。
公安机关补充侦查,需要现场提取、复制、冻结、检查电子数据、原始存储介质的,应另行取得搜查证,并遵守本规则第四章、本章的规定。
公安机关补充侦查未遵守本条第三款规定,不得提交本条第一款规定的应予归还、封存、销毁的电子数据,有独立来源的除外。
对于本规则第二十条第七款规定的案件,不受前款规定的限制。
修改理由和说明:
严禁办案机关备份、留存非目标电子数据,是贯彻目标数据与非目标数据隔离原则的必要措施,是涉及到根本性的合法性问题,不是技术性规定。
实践中,公安机关及其办案人员可能私下备份、留存非目标电子数据,并从中找出其他的有罪电子数据。在这种情况下,必须证明该电子数据有独立的来源,否则不得作为证据使用。
第三十九条 本规则第二十条第七款规定的案件,
对于数量特别众多且具有同类性质、特征、功能的电子数据,确因客观条件限制无法逐一取证的,经县级以上公安机关负责人批准,可以按照一定比例或者数量进行抽样取证,并对选取情况作出说明和论证。
开展电子数据抽样取证,应当遵循客观、科学的原则,依据有关国家标准、行业标准进行;尚未制定相关标准的,应当采用能够保证样本具有代表性的随机抽样等通用统计学方法,并对样本选取的科学性作出说明。
开展电子数据抽样取证,应当制作检查笔录并全程同步录像,详细记录电子数据来源、抽样方法、样本选取过程及结果。
修改理由和说明:
电子数据的采样取证,仅可能发生在专门从事网络犯罪的特殊案件中,不可能发生在普通案件中,并且,采样取证对于犯罪事实的证明具有相当的影响,因此,有必要对采样取证给予合理限定。
第六章附则
第四十条 公安机关电子数据取证涉及关键信息基础设施的,在采取扣押、封存、冻结等取证措施前,应当评估对关键信息基础设施可能造成的影响,采取有效措施保护关键信息基础设施安全。
第四十一条本规则所称“电子数据”,是指在案事件发生过程中形成的,以数字化形式存储、传输的能够证明案事件事实的信息、数据,包括但不限于:
(一)网页、论坛、微博客、朋友圈、公众号、直播间、短视频等网络平台发布的信息;
(二)用户注册信息、身份认证信息、数字证书等用户身份信息;
(三)登录日志、系统日志、应用程序日志、网络流量日志等日志信息;
(四)源代码、工具软件等计算机程序;
(五)文档、图片、音视频等信息、文件;
(六)用户操作记录、交易记录、通联记录等行为信息;
(七)手机短信、电子邮件、即时通信私聊等个人通讯内容。
第四十二条本规则所称“目标电子数据”,是指公安机关事先确定的并分别向犯罪嫌疑人搜查、向证人被害人搜集、向第三方调取的电子数据。
第四十三条本规则所称“以上”,包括本数、本级。
本规则所称“人民警察”,在办理刑事案件中是指“侦查人员”。
本规则所称“录像”,包括录屏等方式。
第四十四条本规则自2026年X月X日起施行。公安部2018年12月13日发布的《公安机关办理刑事案件电子数据取证规则》(公通字〔2018〕41号)同时废止。
佀化强,华东师范大学法学院教授,兼职律师,中国刑事诉讼法学研究会理事、中国法学会刑事执行法学研究会理事,中国政法大学博士后,美国Fordham大学法学院、纽约大学法学院访问学者,浙江大学人文高等研究院驻访学者。学术兴趣聚焦于基督教神学与法学的交叉学科研究,主要包括:基督教与国体、国家理性的关系及其对宪法、刑事诉讼、证据制度、司法制度的影响,近年来,研究兴趣转向基督教对审前讯问、搜查、拘捕、非法证据排除规则的影响。
代表作:《形式与神韵:基督教良心与宪政、刑事诉讼》,上海三联书店2012年7月出版;《“禁止倒果为因”原则:以沉默权的起源、功能为视角》,《法学》2023年第5期;《国体的起源、构造和选择:中西暗合与差异》,《法学研究》2016年第5期。
