“电子证据”概述
兰绍江

今年4月1日，《中华人民共和国电子签名法》开始实施，开创了我国电子证据专门立法的先河，也标志着我国法制适应现代化建设的新的里程。电子证据在我国还属于较新的事物，为此，本人综合若干资料编撰此文，介绍电子证据的几个问题，供初学者入门。
一、“电子证据”定义
随着计算机和网络技术的普及，电子商贸活动和其他许多基于网络的人际交往大量出现，电子文件已经成为传递信息、记录事实的重要载体。在这些方面一旦发生纠纷或案件，相关的电子文件就成为重要的证据。电子证据(Electronic Evidence)就是被作为证据研究的、能够证明案件相关事实的电子文件。　　
“电子文件”(Electronic Records)定义为：“基于电子技术生成、以数字化形式存在于磁盘、磁带等载体，其内容可与载体分离，并可多次复制到其他载体的文件。”这个定义表述了“电子文件”的三个基本特征：①数字化的存在形式；②不固定依附特定的载体；③可以多次原样复制。
“电子文件”可以分为:1）字处理文件：通过文字处理系统形成的文件，由文字、标点、表格、各种符号或其他编码文本组成。不同类型的文字处理软件生成的文件不能兼容（如Word和WPS），使用不同代码规则形成的文件也不能直接读取。所有这些软件、系统、代码连同文本内容一起，构成了字处理文件的基本要素。2）图形处理文件：由计算机专门的软件系统辅助设计或辅助制造的图形数据，通过图形人们可以直观地了解非连续性数据间的关系，使得复杂的信息变得生动明晰。3）数据库文件：由若干原始数据记录所组成的文件。数据库系统的功能是输入和存储数据、查询记录以及按照指令输出结果，它具有很高的信息价值，但只有经过整理汇总之后，才具有实际的用途和价值。4）程序文件：计算机进行人机交流的工具，软件就是由若干个程序文件组成的。5）影、音、像文件：即通常所说的“多媒体”文件，通常经过扫描识别、视频捕捉、音频录入等综合编辑而成。
信息技术的发展，使文件趋向形式的多元化，往往在一种文件形式中又包含其他文件形式的链接功能，这就是超文本或复合文本文件。复合文本文件通过作者定义的链接，使读者可以在各种软件形成的文件交叉路径之间浏览。
　　 当这些电子文件在诉讼中作为证据使用时就是电子证据，例如在电子商务中的电子合同、电子提单、电子保险单、电子发票等；电子证据的证据形式还包括电子文章、电子邮件、光盘、网页、域名等。
　　 二、“电子证据”的法律定位
对于电子证据的法律定位，即它归属于哪一类证据，法学界尚在讨论，主要观点有如下四种：
　　第一、认为电子证据应当归属于 “视听资料”。理由是：电子证据的内容必须在计算机等终端上以图形、数字、符号等形式显示，其使用的存储介质（电磁介质）、再现载体（电子设备）以及表现形式（文字、声音和图象的结合）均与“视听资料”的特点相同。因此可以对“视听资料”进行“扩张式解释”来涵盖电子证据。
第二、认为电子证据应归属于“书证”。理由是：根据《中华人民共和国合同法》第11条规定：“书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式”，已经将“数据电文”这一典型的电子证据形式纳入了“书面形式”范围，实际上已经在立法上明确了电子证据的法律地位。若将电子证据归入“视听资料”一类，将直接影响电子交易的效率或者信任程度。
第三、有学者认为，电子证据既不属于书证，也不属于视听资料，而是独立存在的一种新的证据类型，应当作为单独序列证据。理由如下：
a)电子证据与书证在性质上有着巨大的区别。从载体看，书证中的文字、符号、图形等直接存在于可见载体之上并能直观地显示；而电子证据则以模拟和数字信号形式存在于磁性载体之上，不经过一定的技术手段不能直接显现。两者的储存方式与再现方式都有区别。从特性看，书证具有不易篡改、保真性较好的特点，一旦被涂改很容易被发现；而电子证据易被删改和复制，且不留痕迹、难以恢复。因此，书证具有较强的证明力，一般可作为原始的、直接的证据使用；而电子证据证明力相对较弱，大多只能作为间接证据使用。
b)电子证据与视听资料在内涵和外延上不能重合。视听资料是通过影像和声音表现、以视觉和听觉来直接感知的。其中声音是通过单一媒体来表现的，影像既有单一媒体形式，也有复合媒体形式。而电子证据则具有多媒体性质，这是其他视听资料所不具备的特点。从这点来看，视听资料不能涵盖电子证据，而电子证据却可以包容视听资料。
c) 建议以电子证据取代视听资料，与书证、物证、证人证言、当事人陈述、鉴定结论、勘验笔录并列，作为一种独立证据系列。理由：诉讼法将证据分为七类，把视听资料与书证、物证等证据并列，是因为当时对电子证据认识有限；随着对电子证据的深入认识，它在证据体系中具有明显区别于其他证据的特点，理应有其独立的位置，以适应时代发展和现代法学的需要，加强电子证据的法律地位，促进电子证据的科学、规范使用。
第四、还有学者认为，不能将电子证据简单地归入哪一类证据，电子证据只是证据的表现形式，我国诉讼法规定的七类证据都有可能以电子证据的形式出现；如：电子书证（电子合同）、电子物证（如侵入计算机系统犯罪时留下的“痕迹”）、电子笔录等。
　　三、“电子证据”的特性
作为一类新型的证据，电子证据具有自身的几个基本特性：
1、技术依赖性。电子证据的形成与存在必须依赖于现代电子技术设备和技术手段而实现；电子证据的调取与再现也必须借助一定的技术设备、通过一定的技术手段来实现。
2、形式复合性。电子证据更多地表现为多媒体形式，集文本、影像、声音等多种形式于一身，在信息的表达上更为丰富、生动。
3、储存与传递的隐蔽性。电子证据以电磁等形式存在于介质之上，它占位和传递的实体是电磁波和二进位数据编码，肉眼无法直接感受这些无形的信号，只有经专门的设备和技术才能显示为肉眼可见的形态。
4、易于变造性。保存于磁性介质上的电子证据是可擦写的数据，在存储、传输和使用过程中，极易遭到截取、篡改、删除等破坏，且可不留痕迹（有人称此为“脆弱性”）。
正因为电子证据的隐蔽性和易于遭到篡改，给证据的审查、认定带来难度，所以一般认为其证明力相对低下。而且对于电子证据来说，“原件”不能为肉眼所见，当它以某种方式显示出来时，已经失去了原件的属性，案件当事人提交的只能是复制品，是“传来证据”。这也影响到电子证据的证明力。
四、“电子证据”证明力的认定
我国诉讼法规定，任何证据都必须经过查证属实，才能作为认定事实（定案）的根据。提交法庭的电子证据是否具有证明力，同样要经过调查后才能认定。
从证据学原理来讲，某一证据要保证其真实可靠，必须在其运行的各个环节都有辅助证据加以证明，即构成证据锁链。一般来说，电子证据需要审查的环节包括以下几个方面:
　　 ①审查电子证据的生成环节：电子证据是否是在正常的活动中按常规程序生成的；生成电子证据的系统是否曾被非法人员控制；系统的维护和调试是否处于正常状态；生成电子证据的程序是否可靠；人工录入电子证据时，录入者是否被有效地监督并按照严格的操作程序合法录入等。这些因素都会影响生成的电子证据的真实可靠性，所以在认证时应一一加以分析判断。
　　 ②审查电子证据的存储环节：存储电子证据的方法是否科学；存储电子证据的介质是否可靠；存储电子证据的人员是否公正、独立；存储电子证据时是否加密；所存储的电子证据是否会遭受未经授权的接触等等。
③审查电子证据的传送环节:经过网络传递、输送的电子证据，其间的任何一个环节都可能发生信息丢失、改变，从而降低电子证据的证明力。因此认证时要调查分析传递、接收电子证据时所用的技术手段或方法是否科学、可靠；传递电子证据的“中间人”（如网络运营商等）是否公正；电子证据在传递的过程中有无加密措施、有无可能被非法截获等。
　　 ④审查电子证据的收集环节。电子证据是由谁收集的，收集证据者与案件有无利害关系；收集电子证据的过程中是否遵守了法律的有关规定；收集、提取电子证据的方法(如备份、打印输出等)是否科学、可靠；收集者在对证据进行重组、取舍时是否客观公正，所采用的方法是否科学可靠等等。
⑤电子证据是否被删改过。法官可以指派或聘请具有专门技术知识的人对证据进行鉴定。若将电子证据与其曾经由第三方保留的原件或备份进行比较核实，则是实践中可行的捷径。所以，事先公证无疑是最有效的措施；北京市高级人民法院颁行的《关于办理各类案件有关证据问题的规定(试行)》规定:“用有形载体固定或者表现的电子数据交换、电子邮件、电子数据等电脑贮存资料的复制件，其制作应经公证或者经对方当事人确认后，才具有与原件同等的证明力。”
以上的审查实际包含了对电子证据完整性的认定。
　　完整性(Integrality)是考察电子证据证明力的一个特殊指标。完整性共有两层意义:一是电子证据本身的完整性，指数据内容保持完整和末予改动（不包括不影响内容完整性的一些必要的技术添加）；二是电子证据所依赖的计算机系统的完整性，主要表现为:第一，记录该数据的系统必须处于正常的运行状态；第二，在正常运行状态下，系统对相关过程必须有完整的记录；第三，该数据记录必须是在相关活动的当时或即后制作的。计算机系统的完整性实际上同电子证据的完整性密切相关，前者是为了保证后者而设置的一项标准。
从理论上讲，电子证据所遭到的篡改往往是难以察觉的，如果一味强调举证方必须证明其真实可靠，有时是过于苛求的；因此对电子证据可靠性的认定可以转向对相关否定因素的排除，如果电子证据所依赖的计算机系统的软硬件是可靠的，该系统有防止出错的监测或稽核手段，而且其运行过程是正常的，那么该电子证据就己经具备了足够的可靠性保障，应当推定其真实可靠，除非另有相反的证据。
电子证据的证明力认定是电子证据认证的核心，对于电子证据证明力高低的比较，学者们一般认为：
　　 (一)经过公证的电子证据的证明力大于未经公证的电子证据；
(二)在正常业务活动中制作的电子证据的证明力大于为诉讼目的而制作的电子证据；
(三)由不利方保存的电子证据的证明力最大，由中立的第三方（如ISP服务商、EDI服务中心）保存的电子证据的证明力次之，由有利方保存的电子证据的证明力最小。（笔者对此不完全赞同，我认为中立方保存的证据最客观，当事人双方提供的证据都应当受到质疑。）
五、“电子证据”的收集与检验
（一）收集电子证据的基本程序。
当不涉及专门的计算机检查与维护技术时，侦察和司法人员可以采取简单的取证方式：首先由提供证据的操作人员打开计算机找到所需收集的证据；然后由取证人员确认该文件及该文件的形成时间，采用打印或拷贝的方式予以提取固定。如现场打印文件时，取证人员必须监督打印过程，防止计算机操作人员在打印过程中修改文件。如采用拷贝方式取证，取证人员应当自备计算机，拷贝后，将软盘或光盘插入自备计算机中进行检查。在查找证据过程中，如遇技术问题，应及时邀请专家予以协助。
无论采取那种取证方式，在固定证据后，应当现场制作检查（取证）笔录。笔录主要包括：①案由；②参加检查的人员姓名及职务；③检查的简要过程（检查时间、检查地点及检查顺序等）；④检查中出现的问题及解决方法；⑤取证方式及取证份数，注明数据信息在计算机中的位置（如存放于那个文件夹中等）；⑥参与检查的人员签名。
对于涉及计算机技术问题的复杂情况取证，需要专业技术人员协助进行电子证据的收集和固定。一般是：先由计算机专家检查硬件设备，切断可能存在的其他输入、输出设备，保证计算机储存的信息在取证过程中不被修改或损毁；与此同时，侦查人员应当进行现场访问：询问计算机是否设置密码及密码的组成，使用的软件及软件的来源，谁负责软件的维护、调整，对软件作过哪些修改，计算机的日常管理情况，是否出现过故障（如病毒感染等）及如何解决的，案件所涉及的资料存放于存储设备的什么位置，有无备份等。
检查时，应当注意对隐蔽文件的查找。有备份的，应由计算机专家同时检查备份文件，查明备份文件与原文件是否一致。然后按照前述方法打印和拷贝计算机文件，固定电子证据。
固定证据后，制作检查笔录。除前述检查笔录的内容外，对解密、数据测试等过程也应当作出详细的记录。
考虑到计算机操作人员可能不提供密码，计算机专家应当携带解密工具；对可能需要进行数据测试的，专家应当携带事相应的测试软件；必要时，可以对整个取证及软件测试过程进行录像。
收集和固定电子证据时应当把握如下二点：
①及时封存设备。由于电子证据容易损毁，在侦查和诉讼活动中应当及时封存储有电子文件的硬盘、软盘或CDROM。为了防止意外，可以将整个存储器拆卸下来，然后聘请专门人员对数据进行还原处理。另外还可借助一种专门设备，在公证员或中立的证人监督下对目标存储器进行镜像复制，从而解决对大型网络公司或专业数据公司进行证据封存将危害多数人的合法权益和数据安全的问题。
②证据收集应当根据电子证据种类的不同，采取不同的方式进行收集，不能千篇一律。譬如收集电子邮件，除对当事人的计算机留存和下载的电子邮件进行收集外，还应该向电子邮件服务器提供商收集证据，电子邮件服务器一般都如实记录了电子邮件的内容以及收发和提取日期时间。
我国《互联网信息服务管理办法》规定：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。” 记录备份的保存时间为60日，并在国家有关机关依法查询时，予以提供，违者将受行政处罚。这为司法机关收集案件线索和证据提供了保障。
（二）电子证据的检验
电子证据检验的目的主要在于认定作为证据使用的电子文件的原始性和真实性。
目前，电子证据检验的方法主要有：
①利用专门的仪器、设备，通过运行特定的程序对电子证据的形成过程进行检查及验证。包括对形成和存储电子文件的技术设备的质量和性能的可靠性检查，和对电子证据的形成过程进行技术检验。
②利用技术设备对电子证据所反映的内容真伪进行鉴别。作为电子证据的数据以电信号代码形式贮存于计算机各级存贮介质中，输出的数据和信息多以不可直接读取的形式出现，必须用相应的电子设备和技术方法方可被反映、被感知。
如上两项检验应当聘请有关专家进行检验或指导。
③利用证据间的逻辑关系来判明电子证据的原始与真实性。结合整个案情进行综合分析，运用多种或多个证据之间存在的逻辑关系，进行推理判断；作为电子证据的信息和数据，与其他证据之间是否一致，与案件发生的时间、地点、原因、结果等有无联系与矛盾，从而认定电子证据的原始性和内容形式的真实性。
六、“电子证据”的公证保全
由于互联网上的内容可以随时间推移而不断变更，利用互联网进行的违法犯罪案件，例如：互联网上的侵犯著作权案、造谣诽谤案、利用互联网泄露国家机密、煽动民族仇恨等，必须及时下载相关证据，并且为了证明真实性，应当通过公证将证据予以保全。一般是在公证员亲自在场监督的情况下，从电脑上下载作为证据的电子文件，由公证处进行公证，并应当采取录像手段保留下载的全过程；最好同时请专家或借助专门技术保存与该文件相关的电子信息。
此外还有一种“网络公证” (Cybe Notary Authority简写CNA)，指由特定的网络公证机构，利用计算机和互联网技术，对互联网上的电子身份、电子交易行为、数据文件等提供增强的认证和证明，以及证据保全、法律监督等公证行为的一个系统。网络公证，是为网络和电子商务服务的，是公证全面介人网络世界的标志。网络公证保全电子证据必须借助先进的网络技术和特定的软件程序进行，它具有快捷与远程保全的优势。当事人双方只需在自己的电脑中下达指令，数据电文就会被加密传送到网络公证（认证）机构。网络公证员对双方的数据核实无误后，加上自己的数字公证，并存档备查，公证就完成。网络公证需要法律和技术两个方面的完善，所以我国法律规定,从事网络公证（电子认证）服务，应当向国务院信息产业主管部门提出申请，并提交相关材料，经国务院信息产业主管部门依法审查和决定批准。
网络公证建设主要包括三个方面：①涉及身份认证（包括资格，信用等）的CA中心；②数据信息（电子合同、交易记录、电子文件、审核记录等等）保全；③解决电子商务中支付环节的安全信任问题的网络提存（Escrow），即通过第三方监管契约完成，或债务的标的物由第三方保管并向债权人履约偿债的服务。在电子商务活动中，网络公证可以减少了网上商务欺诈行为，特别是对身份识别和电子数据备份以及电子支付的安全性有了一定程度的保障。
我国于2000年9月，由司法部组织北京、上海、广州等地的法律界、电子商务界、IT技术及银行、证券等相关行业的专家学者，在南京组成“网络公证研究课题组”。经深入探索研究，开发了中国公证网身份审核系统、在线招投标公证应用系统，可在网上实现了身份确证、证据保全、安全交易、法律监督等公证业务；课题组专家还将网络公证研究拓展到大型电子商务B－B交易网、大型企业自建电子商务网、行业性的专业电子商务交易网以及网上证券等多方面的应用领域。
专家们认为，网络公证是一项新兴的法律服务事业，应以立法为先导，以信息安全技术为基础，采取边升级完善，边试点推广的方法，促使其在实践中应用提高。
七、“电子证据”立法概况
由于电子商务活动的普及，在商务活动纠纷中启用电子证据的情况日益增多。因此，相关于电子证据的立法成为现实问题。在这方面，较早进行立法的主要是英美法系国家，如：南非《1983年计算机证据法》；英国《1995年民事证据法》；加拿大《1998年统一电子证据法》； 印度《1998年电子商务支持法》；新加坡《1998年电子交易法》； 马来西亚《1997年数字签名法》； 菲律宾《2001年电子证据规则》等。联合国国际贸易法委员会1996年通过了《电子商务示范法》，充分肯定了“数据电文”的诉讼证据地位；该委员会2000年又通过《电子签名示范法》。
我国对于电子证据的立法起步较晚，2004年之前，国家没有单独的相关立法，但是在我国若干法律法规中都曾列举和肯定了有关电子证据的内容。如《中华人民共和国合同法》第11条认可“数据电文（包括电报、电传、传真、电子数据交换和电子邮件）”可以作为合同书的表现形式；最高人民法院《关于民事诉讼证据的若干规定》（2001）、最高人民检察院《人民检察院刑事诉讼规则》（1998）等文件中都规定了电子邮件、计算机数据等证据形式。有的先发达地区也曾自行通过地方性电子证据立法，如上海市1999年《国际经贸数据交换管理规定》。
2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过《中华人民共和国电子签名法》（2005年4月1日起施行），标志着我国电子证据立法的新阶段开始。《中华人民共和国电子签名法》明确“当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。” “本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。” “可靠的电子签名与手写签名或者盖章具有同等的法律效力。”这都同国际《示范法》精神一致。该法还对电子认证服务和电子认证机构资格与管理作了详尽规定，这一点已经走到世界前列。
专家认为，这部《电子签名法》重点解决了五个方面的问题：确立了电子签名的法律效力；规范了电子签名行为；明确了认证机构的法律地位及认证程序；规定了电子签名的安全保障措施；明确了电子认证服务行政许可的实施机关。上述规定既明确了电子签名具有与手写签名或者盖章同等的法律效力，也明确了有效电子签名、数据电文应当具备的条件，为签名人身份识别、签署认可、电子文件证据使用等方面提供了法律依据。上述规定还设立了电子认证服务市场准入制度，明确了电子认证服务行政许可实施机关，解决了以往电子认证服务无法律依据、无标准规范、无主管部门的“三无”问题。同时，上述规定还明确了有关各方在电子签名活动中的权利、义务，为责任纠纷的评判确立了法定标准。
八、损坏电子文件的补救
前文介绍，电子文件容易遭到意外的或非法的篡改、删除，这不仅使它的证明力大大降低，更为严重的是可能因丢失证据而放纵犯罪，因此人们从技术角度积极探讨补救的措施。一般来讲，在计算机中篡改文件内容会在计算机中自动生成记录，人们可以从“元数据”中发现痕迹，或是由计算机专家利用专门的手段查找相关记录。如果文件被无意或恶意删除，一般来说，只是把文件的首字节改变，人们仅仅是从目录索引中找不到该文件，而并未破坏文件本身，因此可以使用技术方法恢复。但如果重新输入新的文件，先前“删除”的文件在硬盘上的位置被新文件占据，那么，原文件就可能真的丢失或变成无法识别的不连续文件，恢复工作难以成功。根据这些原理，专家们开发设计了一些专用工具和软件，用来对被篡改、删除的电子文件进行恢复。譬如，“问鼎FinalData”就属于专业级的数据恢复工具。FinalData具有强大的数据恢复功能：当文件被删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后，专业版FinalData也可以将剩余部分文件恢复出来。高版本的FinalData软件还可以通过TCP/IP网络协议对网络上的其他计算机上丢失的文件进行恢复，从而为整个网络上的数据文件提供保护。此外，“Norton Utilities”、“RECOVERNT”等工具，都是文件恢复的利器。文件恢复已经列入“电子文件检验（鉴定）”的重要项目。国外关于电子文件检验的研究与实践工作已经开展了近二十年，一些国家组建了专门的鉴定机构，规范鉴定活动的标准。我国公安部物证鉴定中心从1999年开始对电子文件检验鉴定工作进行研究，2001年开始受理案件。目前，其检验内容主要涉及:电子数据中特定数据的检验、计算机数据库中大量数据记录的对比检验、计算机软件程序功能的检验、对已经删除的数据的检验(即数据恢复)、对电子设备的检验、网上电子证据检验等。此外，上海、深圳、昆明、天津等地还有一些专业的“电子数据恢复中心”，可以为社会提供服务。需要特别提醒的是，在发现电子文件数据丢失后，应尽快封存硬盘乃至嫌疑计算机；千万不能在本机再安装什么程序或输入新的文件。

主要参考资料：
1、冯惠玲《电子文件的双重鉴定》
//archives.yingkou.net.cn/LUNYUAN/dzwjscjd.htm
2、吴晓玲《电子商务中的电子证据》
//www.luxinlaw.com/cs/(24) cs1.htm
3、《电子证据体系及法律定位》作者：夜鹰
//www.law-walker.net/detail.asp?id=972
4、白雪梅　孙占利《电子证据中的法律问题》
//www.luxinlaw.com/cs/(16) cs1.htm 　　　　　　　
5、《亡羊补牢未为晚---细说数据恢复》
//gsf.sina.com.cn/ryjs.htm
6、刘强《网络司法中电子证据的收集和检验》
//www.gzjd.gov.cn/jindun/da01/db03/200205050027.htm
7、郑州大学计算机中心，杨晨光《电子商务中的电子证据及其法律地位》1999年12月21日
8、《电子证据法研究》　何家弘　法律出版社　２００２年２月
11、《证据法学》　刘金友　　中国政法大学出版社　２００１年７月