論網(wǎng)絡(luò)取證的立法困境與出路

洪 洋

（中南財經(jīng)政法大學(xué)，湖北 武漢 430073）

相較于傳統(tǒng)意義上的“線下犯罪”，具有科技性、智能性、數(shù)字化、跨國化等特點的網(wǎng)絡(luò)犯罪已成為犯罪活動的主力軍。為了收集網(wǎng)絡(luò)犯罪證據(jù)、揭露并證實犯罪行為，應(yīng)將證據(jù)調(diào)查的目光聚焦在“電子證據(jù)”的范疇之中，充分挖掘數(shù)字信號、電磁記錄及其存儲介質(zhì)的證據(jù)能力與證明力。頗為遺憾的是，我國的網(wǎng)絡(luò)取證工作并未緊隨時代發(fā)展的步伐，其立足點依然建立在有效應(yīng)對傳統(tǒng)犯罪的基礎(chǔ)之上。雖然我國《刑事訴訟法》《民事訴訟法》《行政訴訟法》已經(jīng)確立了電子數(shù)據(jù)法定的證據(jù)資格，但這一立法回應(yīng)在推動網(wǎng)絡(luò)犯罪調(diào)查取證的層面上并未譜寫出優(yōu)美的樂章，立法的原則性規(guī)定與注重可操作性的司法實踐之間已經(jīng)出現(xiàn)了愈加明顯的鴻溝。質(zhì)言之，由于“專門知識的人”取證能力規(guī)范存在疏漏、取證程序規(guī)范不明晰、取證方法與標(biāo)準(zhǔn)規(guī)范不合理等立法缺憾，植根于網(wǎng)絡(luò)時代的證據(jù)調(diào)查活動正面臨著日益突顯的困境。職是之故，應(yīng)以完善現(xiàn)階段的立法規(guī)范為核心，探尋證據(jù)調(diào)查的可能出路，改進(jìn)與重構(gòu)證據(jù)調(diào)查的具體操作范式。

一、證據(jù)調(diào)查與網(wǎng)絡(luò)取證的張力

網(wǎng)絡(luò)技術(shù)的發(fā)展為網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)涉毒涉黃涉恐等犯罪行為提供了滋生蔓延的虛擬空間。在網(wǎng)絡(luò)犯罪面前，偵查人員應(yīng)廣泛收集證據(jù)，使證據(jù)達(dá)到確實、充分的程度并排除合理懷疑?？梢哉f，網(wǎng)絡(luò)時代的證據(jù)調(diào)查實際上正是網(wǎng)絡(luò)取證的生動體現(xiàn)。為了較好地展現(xiàn)網(wǎng)絡(luò)取證的價值構(gòu)造與運行模式，應(yīng)對其進(jìn)行概念層面的界定，以探明其與傳統(tǒng)證據(jù)調(diào)查之間存在的張力。

美國計算機安全專家首次提出了“網(wǎng)絡(luò)取證”概念，但或由于網(wǎng)絡(luò)開發(fā)應(yīng)用尚未形成風(fēng)潮，網(wǎng)絡(luò)取證常與計算機取證、電子取證、數(shù)字取證糾纏在一起，內(nèi)涵與外延不甚分明。時至今日，網(wǎng)絡(luò)取證有了更為確切與明晰的定義。如有學(xué)者指出，網(wǎng)絡(luò)取證植根于云計算環(huán)境之中，是記錄與分析網(wǎng)絡(luò)事件以發(fā)現(xiàn)安全攻擊或安全事件的來源，防范因網(wǎng)絡(luò)連接與數(shù)據(jù)傳輸而產(chǎn)生的被非法利用、入侵及其他犯罪行為的活動。[1]另有學(xué)者主張，網(wǎng)絡(luò)取證是指對能夠為法庭接受、足夠可靠與有說服性的，存在于計算機網(wǎng)絡(luò)與相關(guān)設(shè)備中的電子證據(jù)的確認(rèn)、保護、提取與歸檔的過程。[2]還有學(xué)者認(rèn)為，網(wǎng)絡(luò)取證是對電子數(shù)據(jù)等網(wǎng)絡(luò)數(shù)據(jù)資源的提取、存儲與分析，并用于證明各種網(wǎng)絡(luò)違法行為及其造成的損失。[3]雖然上述觀點有所分歧，但其要旨大同小異，均從某一側(cè)面反映了網(wǎng)絡(luò)取證的基本特征。首先，在取證活動的性質(zhì)方面，網(wǎng)絡(luò)取證具有明顯的“事前性”，其是犯罪行為發(fā)生前的積極應(yīng)對，重視犯罪的預(yù)防效果；其次，在取證活動的范圍方面，計算機及其配套設(shè)備固然應(yīng)包含在內(nèi)，而更重要的則是電子數(shù)據(jù)及其存儲介質(zhì)；再次，在取證活動的依據(jù)與標(biāo)準(zhǔn)方面，應(yīng)采取合法的方式進(jìn)行，使獲得的電子數(shù)據(jù)具有證據(jù)資格與較強的證明力；最后，在取證活動的過程方面，主要包括證據(jù)收集的準(zhǔn)備、提取并保全證據(jù)、檢驗并分析證據(jù)、歸檔并提交證據(jù)等階段。

從網(wǎng)絡(luò)取證的概念與特征中可以發(fā)現(xiàn)，其與證據(jù)調(diào)查之間具有不言自明的張力——網(wǎng)絡(luò)取證是證據(jù)調(diào)查的“升級版”，彰顯了證據(jù)調(diào)查網(wǎng)絡(luò)轉(zhuǎn)型的時代風(fēng)貌?？墒牵谀壳暗乃痉▽嵺`中，傳統(tǒng)的證據(jù)調(diào)查思維與取證方法依然是籠罩在網(wǎng)絡(luò)取證上空揮之不去的陰霾，取證思維與方法的錯位不僅使電子數(shù)據(jù)的真實性與合法性游走在不確定性的邊緣，更制約了通過電子數(shù)據(jù)揭露犯罪行為進(jìn)而依法打擊網(wǎng)絡(luò)犯罪這一調(diào)查取證目標(biāo)的實現(xiàn)。申言之，網(wǎng)絡(luò)取證不同于傳統(tǒng)的證據(jù)調(diào)查活動，其擁有自己的運行軌跡與方法論選項，網(wǎng)絡(luò)取證逐漸陷入實踐困境的根源在于，違背客觀規(guī)律與技術(shù)要求的取證行為忽視了證據(jù)調(diào)查的專業(yè)性特征，取證前的準(zhǔn)備、電子數(shù)據(jù)的提取與保全以及檢驗與分析尚無統(tǒng)一的法律規(guī)范標(biāo)準(zhǔn)與行之有效的操作規(guī)則。

二、網(wǎng)絡(luò)取證的立法困境探賾

（一）從電子數(shù)據(jù)的規(guī)范界定看立法困境

若對網(wǎng)絡(luò)取證的主要對象也即電子數(shù)據(jù)的立法定位作一概括分析，那么可以發(fā)現(xiàn)立法對其終持謹(jǐn)慎保守的態(tài)度，作為獨立證據(jù)種類的電子數(shù)據(jù)在我國經(jīng)歷了漫長的演變發(fā)展過程。一方面，電子數(shù)據(jù)是否等同于視聽資料？若不等同，二者是否必然交織在一起？二者的界限應(yīng)作何厘定？為了合理解答上述疑問，我國的法律規(guī)范先將電子數(shù)據(jù)劃分到視聽資料的證據(jù)范疇中，認(rèn)為視聽資料包括電子數(shù)據(jù)，不需刻意區(qū)分二者的界限。伴隨著信息技術(shù)的飛躍，電子數(shù)據(jù)日益超出了視聽資料的涵攝范圍，其走向獨立的腳步更加堅定。因此，我國的《刑事訴訟法》《民事訴訟法》《行政訴訟法》均賦予了電子數(shù)據(jù)獨立的法律地位。另一方面，應(yīng)當(dāng)關(guān)注的是，不同于《民事訴訟法》與《行政訴訟法》，《刑事訴訟法》將視聽資料與電子數(shù)據(jù)并列作為獨立的證據(jù)種類，①我國《刑事訴訟法》第50條第1款規(guī)定了證據(jù)的種類，即“（一）物證；（二）書證……（八）視聽資料、電子數(shù)據(jù)”?？此撇o任何不妥，而若揭開包裹在這一立法安排之上的神秘面紗，出現(xiàn)的問題便會浮出水面——作為“最新也最具開發(fā)潛力的科學(xué)證據(jù)”[4]的電子數(shù)據(jù)會受制于視聽資料間接證據(jù)性質(zhì)的束縛，如此減損了電子數(shù)據(jù)本應(yīng)具有的證明力，根本不利于其證據(jù)作用的充分發(fā)揮。[5]對此，應(yīng)厘清電子數(shù)據(jù)與視聽資料的界限，使其成為《刑事訴訟法》中單列的證據(jù)種類。

除此之外，我國的訴訟法律規(guī)范并未涉及電子數(shù)據(jù)取證的具體標(biāo)準(zhǔn)與審查判斷的基本要求?！度嗣駲z察院刑事訴訟規(guī)則》《計算機信息系統(tǒng)安全保護條例》《公安機關(guān)辦理刑事案件程序規(guī)定》《計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查規(guī)則》（以下簡稱《計算機犯罪檢查規(guī)則》）等部門規(guī)定雖然對電子數(shù)據(jù)的收集、扣押、保全等事項進(jìn)行了回應(yīng)，但其要么具有應(yīng)急性的面向，要么帶有零散化的色彩，要么因原則化而難以切實執(zhí)行?？梢哉f，當(dāng)務(wù)之急是建立系統(tǒng)化的電子數(shù)據(jù)法律規(guī)范體系，擬制并細(xì)化法律標(biāo)準(zhǔn)，徹底改變“有立法，無規(guī)則，難落實”的尷尬境地。

（二）從網(wǎng)絡(luò)取證的具體階段看立法困境

1. 網(wǎng)絡(luò)取證的準(zhǔn)備階段，主要包括取證人員與技術(shù)的準(zhǔn)備以及取證監(jiān)督機制的設(shè)立兩個維度。其一，對具有濃厚信息化色彩的電子數(shù)據(jù)的收集需要專門的取證人員與先進(jìn)的取證設(shè)備?！队嬎銠C犯罪檢查規(guī)則》第8條規(guī)定，“計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查，應(yīng)當(dāng)由縣級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)組織實施。必要時，可以指派或者聘請具有專門知識的人參加”。由此可知，參與取證活動的兩類參與主體分別為偵查人員與“專門知識的人”，其也是“人員準(zhǔn)備”的應(yīng)然之意。但是問題在于，“專門知識的人”應(yīng)作何認(rèn)定？是否有劃定統(tǒng)一標(biāo)準(zhǔn)對“專門知識的人”進(jìn)行立法規(guī)范的必要？對此該《規(guī)則》語焉不詳，這也制約著網(wǎng)絡(luò)取證主體取證能力的發(fā)揮。此外，該《規(guī)則》并未規(guī)范取證設(shè)備，“應(yīng)當(dāng)具備計算機現(xiàn)場勘驗與電子證據(jù)檢查的專業(yè)知識和技能”的取證人員必須借助合法有效的取證設(shè)備方可收集具有證據(jù)能力的電子數(shù)據(jù)，可以說，在法律規(guī)范中明確取證設(shè)備的合法性確有必要。其二，在諸多網(wǎng)絡(luò)犯罪案件中，電子數(shù)據(jù)往往兼有合法與非法雙重面向，取證不當(dāng)必然會侵犯他人的合法權(quán)益，造成不必要的損失。為了改變這一被動局面，應(yīng)當(dāng)設(shè)置科學(xué)合理的取證監(jiān)督機制。然而，《公安機關(guān)辦理刑事案件程序規(guī)定》《公安部刑事案件現(xiàn)場勘查規(guī)則》《計算機犯罪檢查規(guī)則》等指導(dǎo)偵查實踐開展的規(guī)范文件對該機制或避而不談，或“輕描淡寫”①如《計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查規(guī)則》第5條規(guī)定，“計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查，應(yīng)當(dāng)嚴(yán)格遵守國家法律、法規(guī)的有關(guān)規(guī)定。不受其他任何單位、個人的干涉”；第7條規(guī)定，“計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查工作，應(yīng)當(dāng)以事實為依據(jù)，防止主觀臆斷，嚴(yán)禁弄虛作假”。，取證監(jiān)督機制的疏漏怎能保障證據(jù)的合法性？

2. 網(wǎng)絡(luò)取證的提取與保全階段。電子證據(jù)的提取與保全應(yīng)認(rèn)定為是同一過程，或者說二者是網(wǎng)絡(luò)取證的一體兩面——第一，提取電子證據(jù)是對其進(jìn)行保全的前提，電子數(shù)據(jù)的不穩(wěn)定性、易篡改性急切呼喚固定保全事宜；第二，唯有及時保全電子證據(jù)才能保障其完整性與真實性。[6]由于提取與保全同步進(jìn)行的取證意識缺失，《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》對收集、提取電子證據(jù)進(jìn)行了較為詳盡的規(guī)范，而對證據(jù)的封存、固定與保全程序只作了“應(yīng)當(dāng)以封存狀態(tài)隨案移送，并制作電子數(shù)據(jù)的復(fù)制件一并移送”的簡要規(guī)定。可想而知，在司法實踐中網(wǎng)絡(luò)證據(jù)的提取與保全很難保持同步性與統(tǒng)一性。此外，不同于傳統(tǒng)實物證據(jù)的封存方式，電子數(shù)據(jù)必須依賴一定的存儲介質(zhì)方可存在，對存儲介質(zhì)的封存其實充滿技術(shù)挑戰(zhàn)性。如電子數(shù)據(jù)被加密處理后，只能在特定的設(shè)備與電磁環(huán)境中才能使用，這對封存方式提出了新的挑戰(zhàn)：以物理方式封存仍有潛在風(fēng)險——證據(jù)部分或全部滅失以至其真實性無法判斷?？v觀我國現(xiàn)階段的法律規(guī)范與網(wǎng)絡(luò)取證實踐，最大的問題即是采取何種技術(shù)性手段進(jìn)行封存保全。

3. 網(wǎng)絡(luò)取證的檢驗與分析階段。網(wǎng)絡(luò)取證的檢驗是對電子數(shù)據(jù)進(jìn)行的技術(shù)性審查，分析是將數(shù)據(jù)中的信息予以重新整合，以形成一個合理的結(jié)論來回溯案發(fā)的經(jīng)過，這一過程的主要任務(wù)是確認(rèn)電子數(shù)據(jù)收集的完整程度及其證據(jù)能力與證明力。證據(jù)完整性的檢驗與分析聚焦在電子數(shù)據(jù)的整體連貫性場域之中，主要包括三項審查任務(wù)：一是電子數(shù)據(jù)本身記載內(nèi)容的完整性；二是負(fù)載電子數(shù)據(jù)內(nèi)容信息的完整性；三是電子數(shù)據(jù)依附系統(tǒng)的完整性。[7]不容回避的是，我國的法律規(guī)范并未過多關(guān)注網(wǎng)絡(luò)取證的檢驗與分析。如《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》（以下簡稱《辦理網(wǎng)絡(luò)犯罪案件的意見》）第17條第4款只從側(cè)面規(guī)定了“對數(shù)據(jù)統(tǒng)計數(shù)量、數(shù)據(jù)同一性等問題，公安機關(guān)應(yīng)當(dāng)出具說明”，《關(guān)于電子數(shù)據(jù)收集提取判斷的規(guī)定》第19條第2款“對數(shù)據(jù)統(tǒng)計量、數(shù)據(jù)同一性等問題，偵查機關(guān)應(yīng)當(dāng)出具說明”的規(guī)定如出一轍，均未對何為電子數(shù)據(jù)的完整性作出任何說明解釋，“數(shù)據(jù)統(tǒng)計數(shù)量”的模糊用語根本無法表達(dá)出數(shù)據(jù)的完整性之意。《計算機犯罪檢查規(guī)則》雖然規(guī)定了“檢查電子證據(jù)的完整性”的三項原則，①《計算機犯罪現(xiàn)場勘驗與電子證據(jù)檢查規(guī)則》第26條規(guī)定，“（一）對于以完整性校驗方式保護的電子數(shù)據(jù)，檢查人員應(yīng)當(dāng)核對其完整性校驗值是否正確；（二）對于以封存方式保護的電子設(shè)備或存儲媒介，檢查人員應(yīng)當(dāng)比對封存的照片與當(dāng)前封存的狀態(tài)是否一致；（三）存儲媒介完整性校驗值不正確、封存狀態(tài)不一致或未封存的，檢查人員應(yīng)當(dāng)在《電子證據(jù)檢查筆錄》中注明，并由送檢人簽名”。但其側(cè)重點在于對存儲媒介完整性校驗值的檢驗，忽視了完整性的其他維度以及電子數(shù)據(jù)本身的合法性與真實性的審查與檢驗。由此便在司法實踐中埋下了隱患——出于偵查破案的迫切需要，取證人員帶上了“有色眼鏡”，專門收集有罪證據(jù)，將罪輕乃至無罪證據(jù)排除在取證范圍之外，人為地割裂了懲罰犯罪與保障人權(quán)的聯(lián)系。

三、網(wǎng)絡(luò)取證的立法出路展望

由于“電子數(shù)據(jù)技術(shù)無限性與法律有限性的沖突”[8]愈加嚴(yán)重，對法律有限性的克服亟需予以重點關(guān)注?；诖?，應(yīng)統(tǒng)籌兼顧、立足現(xiàn)實、著眼長遠(yuǎn)，從基本原則與具體規(guī)則兩個方面完善現(xiàn)階段的立法，最大限度地緩和網(wǎng)絡(luò)時代證據(jù)調(diào)查面臨的沉重壓力。

（一）確立網(wǎng)絡(luò)取證的基本原則

電子數(shù)據(jù)是證據(jù)的獨立種類，理應(yīng)符合客觀性、關(guān)聯(lián)性、合法性的要求，我國三大訴訟法確立的諸如合法取證原則、全面取證原則與及時取證原則對于電子數(shù)據(jù)依然適用。[9]當(dāng)然，不同于傳統(tǒng)的取證方式，網(wǎng)絡(luò)取證需遵循一定的特殊原則。如有學(xué)者指出，網(wǎng)絡(luò)取證應(yīng)“盡早收集證據(jù)防止其受到破壞、保證證據(jù)的連續(xù)性、取證過程必須受到監(jiān)督”[10]；另有學(xué)者將特殊原則歸納為“對于含有電子證據(jù)的媒體至少應(yīng)制成兩個副本原則、環(huán)境安全原則、取證管理過程原則”[11]?？紤]到立法完善的便捷性，筆者更傾向于以“原始存儲介質(zhì)優(yōu)先收集、專業(yè)人員共同參與、取證監(jiān)督與合法權(quán)益保護”作為網(wǎng)絡(luò)取證的特殊原則。

1. 原始存儲介質(zhì)優(yōu)先收集原則。電子證據(jù)具有介質(zhì)依賴性，其本質(zhì)上正是存儲于某一介質(zhì)之中的數(shù)字化信息。有學(xué)者援引美國的網(wǎng)絡(luò)取證經(jīng)驗，指出諸多美國法院已經(jīng)把電子證據(jù)的存儲介質(zhì)當(dāng)作傳統(tǒng)取證中的“容器”，脫離了“容器”的保護其很可能“變質(zhì)”。[12]此外，優(yōu)先收集原始存儲介質(zhì)還可以滿足法庭認(rèn)證過程中的“原件青睞”，即向法庭提交的證據(jù)應(yīng)為原件，在原件無法提交的情況下才允許提交復(fù)制件。為了使該原則能夠較好地指導(dǎo)網(wǎng)絡(luò)取證活動，不妨在第三方認(rèn)證的前提下運用電子簽名、哈希值校驗等電子手段收集電子數(shù)據(jù)。如有學(xué)者主張，由于我國并無“電子數(shù)據(jù)最佳證據(jù)規(guī)則”，立法理應(yīng)確認(rèn)“原件是原件”：提交的電子數(shù)據(jù)須有原件價值；經(jīng)過認(rèn)證的電子數(shù)據(jù)才能擁有原件價值；認(rèn)證的內(nèi)容為同一性認(rèn)證、制作者真實身份認(rèn)證、制作時間認(rèn)證；認(rèn)證通常由第三方進(jìn)行，第三方可以是法院、公證機構(gòu)、電子認(rèn)證單位；若只進(jìn)行“自我認(rèn)證”應(yīng)得到對方當(dāng)事人的認(rèn)可。[13]

2. 專業(yè)人員共同參與原則。網(wǎng)絡(luò)取證固然應(yīng)收集、保全原始存儲介質(zhì)，而若介質(zhì)被犯罪嫌疑人惡意破壞或意外滅失，僅通過數(shù)據(jù)拷貝則難以完成取證事宜。因此，應(yīng)把突破口放在專業(yè)人員共同參與之上，這也是偵查工作“群眾路線”的應(yīng)有之義。詳言之，可從如下兩個方面進(jìn)行立法規(guī)制。其一，規(guī)劃定期的培訓(xùn)學(xué)習(xí)與實踐演練，提高偵查人員的信息技術(shù)水平。在信息主導(dǎo)警務(wù)的洪流不可逆轉(zhuǎn)的前提下，偵查人員尤其是取證人員理應(yīng)獲得遏制“信息犯罪”的主動權(quán)，理應(yīng)具備網(wǎng)絡(luò)取證的基本技能。其二，把規(guī)制的重點放在“專門知識的人”之上。“專門知識的人”包括但不限于具有相關(guān)資質(zhì)與中立屬性的人或第三方機構(gòu)，其往往精通計算機、通信等技術(shù)知識，可以洞察電子取證的現(xiàn)實需求，能夠提供先進(jìn)的軟硬件設(shè)施與技術(shù)支持，與偵查人員形成良性互動。[14]鑒于《互聯(lián)網(wǎng)信息服務(wù)管理辦法》與《計算機犯罪檢查規(guī)則》已有“專門知識的人”的相關(guān)規(guī)定，使其有序參與網(wǎng)絡(luò)取證的條件已經(jīng)成熟，目前需要改進(jìn)的是規(guī)范其準(zhǔn)入門檻。首先，應(yīng)賦予中立的人或第三方機構(gòu)以取證權(quán)能，使其有權(quán)利協(xié)助偵查人員進(jìn)行網(wǎng)絡(luò)取證。其次，應(yīng)設(shè)置督促機制，依法要求其義務(wù)提供相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)。①我國《刑事訴訟法》第54條第1款規(guī)定，“人民法院、人民檢察院和公安機關(guān)有權(quán)向有關(guān)單位和個人收集、調(diào)取證據(jù)。有關(guān)單位和個人應(yīng)當(dāng)如實提供證據(jù)”，這從法律上肯定了網(wǎng)絡(luò)服務(wù)者如實提供電子數(shù)據(jù)的義務(wù)。最后，應(yīng)仿照鑒定人職業(yè)資格考試、法律職業(yè)資格考試等職業(yè)化的考試制度，建立適用于“專門知識的人”的考試標(biāo)準(zhǔn)，要求其參加考試以獲得協(xié)助偵查人員取證的準(zhǔn)入資格，使其既諳熟法律知識，又能在網(wǎng)絡(luò)服務(wù)與數(shù)據(jù)監(jiān)管等專業(yè)化知識層面更上一層樓。

3. 取證監(jiān)督與合法權(quán)益保護原則。網(wǎng)絡(luò)取證是公私權(quán)力的博弈場，該原則是防止網(wǎng)絡(luò)取證活動越軌、逾矩的良方妙藥，在取證的準(zhǔn)備階段即應(yīng)設(shè)立監(jiān)督機制，并貫穿取證過程始終。電子數(shù)據(jù)具有海量儲存性、分散儲存性、高速流轉(zhuǎn)性等特征，其常與合法的存儲數(shù)據(jù)相混同，如果不加區(qū)別徑自收集證據(jù)，很可能會侵犯他人的隱私權(quán)等合法權(quán)益。[15]為了平衡公權(quán)力與私權(quán)利、偵查權(quán)與隱私權(quán)之間的緊張關(guān)系，應(yīng)區(qū)分情形對取證的范圍進(jìn)行必要的限制。若不可避免地侵犯了第三方的權(quán)利與正當(dāng)利益，應(yīng)采取可行的措施降低損失并給予適當(dāng)補償。[16]對取證人員行為的監(jiān)督極易理解，但筆者認(rèn)為對取證設(shè)備也應(yīng)予以合法性監(jiān)督、備案型監(jiān)管。其一，應(yīng)運用合法的取證設(shè)備收集證據(jù)，杜絕非法取證的出現(xiàn)；其二，應(yīng)制作完備的網(wǎng)絡(luò)取證設(shè)備清單；其三，應(yīng)由專業(yè)人員定期或不定期對設(shè)備進(jìn)行維護，并記錄詳細(xì)的維護情況。這些皆可大幅降低取證過程中的突發(fā)風(fēng)險，使收集的電子數(shù)據(jù)遠(yuǎn)離“毒樹之果”的侵蝕。

（二）確立網(wǎng)絡(luò)取證的具體規(guī)則

1. 網(wǎng)絡(luò)取證的準(zhǔn)備階段。第一，設(shè)立多元化的取證主體。應(yīng)積極推進(jìn)電子取證平臺建設(shè)，盡早組建“偵技合一”的電子取證專門隊伍，[17]使經(jīng)過專業(yè)學(xué)習(xí)與系統(tǒng)培訓(xùn)的網(wǎng)偵、技偵人員主導(dǎo)網(wǎng)絡(luò)取證的開展。為了節(jié)省偵查資源、提高取證效率，具備網(wǎng)絡(luò)取證準(zhǔn)入資格的“專門知識的人”亦是合法的取證主體，應(yīng)使“專門知識的人”參與取證工作成為常態(tài)，擴大其在網(wǎng)絡(luò)取證范疇內(nèi)的生存空間。第二，對現(xiàn)場予以全面保護。網(wǎng)絡(luò)犯罪的現(xiàn)場基本上包括物理現(xiàn)場與虛擬現(xiàn)場兩部分?！豆矙C關(guān)刑事案件現(xiàn)場勘驗檢查規(guī)則》對保護程序進(jìn)行了規(guī)范，①《公安機關(guān)刑事案件現(xiàn)場勘驗檢查規(guī)則》第15條規(guī)定：“負(fù)責(zé)保護現(xiàn)場的人民警察應(yīng)當(dāng)根據(jù)案件具體情況，劃定保護范圍，設(shè)置警戒線和告示牌，禁止無關(guān)人員進(jìn)入現(xiàn)場。”但該規(guī)定掛一漏萬，難以滿足電子取證現(xiàn)場保護的需要。對此，應(yīng)作如下補充規(guī)定：首先，封鎖可疑的犯罪現(xiàn)場，防止無關(guān)人員破壞現(xiàn)場環(huán)境；其次，封鎖整個計算機區(qū)域，包括通信線路、電磁輻射區(qū)，重點保護好計算機系統(tǒng)與日志、應(yīng)用軟件備份以及數(shù)據(jù)備份；[18]再次，及時復(fù)制計算機內(nèi)的數(shù)據(jù)信息資料，完整記錄有關(guān)的犯罪活動，防止電子數(shù)據(jù)的篡改與滅失；最后，務(wù)必切斷遠(yuǎn)程控制，并對存儲介質(zhì)、網(wǎng)絡(luò)部件等涉案物品進(jìn)行查封。概言之，兩種現(xiàn)場應(yīng)分別保護，保護物理現(xiàn)場設(shè)置警戒線與告示牌即可，保護電子現(xiàn)場必須斷開網(wǎng)絡(luò)鏈接，斷開電子設(shè)備與其他設(shè)備的連接，切斷電子設(shè)備的電源。第三，現(xiàn)場勘查不放松。取證人員應(yīng)對案發(fā)地點的電腦、手機、網(wǎng)絡(luò)及相關(guān)存儲介質(zhì)進(jìn)行勘驗、檢查，通過文字、繪圖、錄音、錄像等方式全面記錄與犯罪有關(guān)聯(lián)的客觀事實。

2. 網(wǎng)絡(luò)取證的提取與保全階段。電子數(shù)據(jù)的提取包括兩項相互銜接的步驟，其一是搜查、扣押存儲介質(zhì)，其二是對存儲介質(zhì)中的電子數(shù)據(jù)進(jìn)行收集?！掇k理網(wǎng)絡(luò)犯罪案件的意見》與《計算機犯罪檢查規(guī)則》對證據(jù)的提取進(jìn)行了規(guī)范，但其尚有明顯的疏漏之處，即見證人或許被邊緣化?！掇k理網(wǎng)絡(luò)犯罪的案件》給予了見證人可有可無的形象，即只有在提取以及封存原始存儲介質(zhì)時原始存儲介質(zhì)持有人無法簽名或拒絕簽名，才能由見證人簽名或蓋章。而《計算機犯罪檢查規(guī)則》直接規(guī)定，“現(xiàn)場勘驗檢查，應(yīng)當(dāng)邀請一至兩名與案件無關(guān)的公民作見證人”。見證人不僅是程序合法性的必備要素，更是監(jiān)督取證活動不可或缺的一員，應(yīng)統(tǒng)一其法律地位：提取電子數(shù)據(jù)，應(yīng)由二名以上具備相關(guān)專業(yè)知識的偵查人員和與本案無關(guān)的個人或第三方機構(gòu)進(jìn)行，同時應(yīng)邀請一至兩名與本案無關(guān)的公民擔(dān)任見證人。出于維護取證程序公正性的現(xiàn)實考量，偵查人員應(yīng)依據(jù)相關(guān)法律規(guī)范予以回避。

在提取電子數(shù)據(jù)的過程中，證據(jù)的保全應(yīng)如影隨形，并應(yīng)把重點放在介質(zhì)的信息保全之上。獲得原始存儲介質(zhì)后，最穩(wěn)妥的保全方式是對電子數(shù)據(jù)進(jìn)行備份，如此不僅可以固定原件，還可以防止其遭受任何污染與破壞。還應(yīng)注意的是，電子數(shù)據(jù)原件的保全無法脫離特殊的存儲環(huán)境，應(yīng)使其遠(yuǎn)離高溫、高磁場、潮濕、灰塵密布的空間。在保全的程序方面，取證人員首先應(yīng)記錄案由、證據(jù)內(nèi)容、復(fù)制的時間與地點、文件的規(guī)格與類別等信息；其次是進(jìn)行復(fù)制，復(fù)制的過程應(yīng)全程錄像并接受見證人的監(jiān)督；最后是復(fù)制件的保存，應(yīng)將復(fù)制件一式三份，取證人員一份，原始存儲介質(zhì)持有人一份，與案件無關(guān)的輔助取證人員一份，原始存儲介質(zhì)持有人應(yīng)以簽名或蓋章的方式予以確認(rèn)。除此之外，一種應(yīng)運而生的保全——以“公證云”為平臺的網(wǎng)絡(luò)公證亦頗有值得參考借鑒之處。當(dāng)傳統(tǒng)意義上的公證制度脫胎換骨之際，為網(wǎng)絡(luò)與電子商務(wù)服務(wù)的網(wǎng)絡(luò)公證漸漸映入人們的眼簾。網(wǎng)絡(luò)公證通過在實體上對電子數(shù)據(jù)進(jìn)行實質(zhì)性審查，能夠以不偏不倚的公證程序、公開透明的公證過程保障電子數(shù)據(jù)的證據(jù)資格。[19]當(dāng)事人雙方只需在計算機中輸入指令，數(shù)據(jù)電文便會以加密的形式傳送到網(wǎng)絡(luò)公證機構(gòu)，在網(wǎng)絡(luò)公證員對當(dāng)事人的數(shù)據(jù)核實無誤后，加上自己的數(shù)字簽章并存檔備查公證即宣告完成。[20]可以說，公證與網(wǎng)絡(luò)世界的完美融合已成為提高電子數(shù)據(jù)保全效率的最佳出路，其理應(yīng)獲得立法的支持。

3. 網(wǎng)絡(luò)取證的檢驗與分析階段。對收集的電子數(shù)據(jù)進(jìn)行檢驗與分析主要是為了審查其證據(jù)能力與證明力，如果具有證據(jù)能力，得歸檔并向法庭提交。通常情況下，檢驗與分析的客體應(yīng)為原始存儲介質(zhì)的復(fù)制件。為了彌補我國現(xiàn)階段的立法困局，應(yīng)從如下方面探索網(wǎng)絡(luò)取證檢驗與分析的應(yīng)然出路。首先，取證人員應(yīng)檢驗存儲介質(zhì)的來源是否具有合法性，具體包括取證主體是否合法、取證設(shè)備是否合法、取證程序是否合法等。其次，電子數(shù)據(jù)是數(shù)字化的電磁記錄，其易被篡改、毀滅，更何況由于反取證技術(shù)的發(fā)展，網(wǎng)絡(luò)犯罪嫌疑人常會運用科技手段無痕地修改涉案數(shù)據(jù)，這對完整性的分析鑒定提出了更高的要求。在數(shù)據(jù)恢復(fù)或修復(fù)技術(shù)尚未完全發(fā)展成熟的時代背景下，或許可以要求擁有信息技術(shù)優(yōu)勢的網(wǎng)絡(luò)服務(wù)提供者承擔(dān)起更多的完整性審查的義務(wù)：及時檢驗電子數(shù)據(jù)中待證事實信息與審計信息是否有刪改跡象，并整合兩種數(shù)據(jù)信息，盡可能地還原案件的本來樣貌。最后，取證人員還應(yīng)檢驗存儲介質(zhì)的真實性。原始存儲介質(zhì)“生存”在一定的設(shè)備與系統(tǒng)中，其真實性會受到設(shè)備與系統(tǒng)狀態(tài)的影響，對于出現(xiàn)異常且運行不穩(wěn)定的設(shè)備與系統(tǒng)應(yīng)予以重點檢驗。唯有如此，網(wǎng)絡(luò)時代的證據(jù)調(diào)查活動才會永保青春與活力，獲得更多的與網(wǎng)絡(luò)犯罪博弈的籌碼。