基于法庭證據(jù)的數(shù)字檔案信任框架

袁雙云

數(shù)字檔案是需要有效管理的數(shù)字資產(chǎn)，數(shù)字檔案的管理問題歸根結(jié)底就是數(shù)字檔案的信任問題[1]。在數(shù)字環(huán)境中，檔案和數(shù)據(jù)的問題是一致的。今天，個(gè)人和組織在高度網(wǎng)絡(luò)化、易受損害的環(huán)境中開展業(yè)務(wù)，其中用于數(shù)據(jù)存儲(chǔ)和訪問的云計(jì)算變得越來越普遍。在這種新的云環(huán)境下，作為數(shù)據(jù)來源的數(shù)字檔案可信嗎？它們是真實(shí)和完整的嗎？它們是如何產(chǎn)生的，由誰在什么條件下產(chǎn)生的？是否有足夠的上下文信息使它們能夠被理解？它們能作為證據(jù)被法庭采納嗎？這些是在新環(huán)境中的檔案管理者必須考慮的新問題。當(dāng)然，數(shù)字環(huán)境中的信任問題要大得多，包括允許各方在保護(hù)隱私的同時(shí)評估身份的認(rèn)證框架、組織信任和責(zé)任問題，以及更廣泛的可信計(jì)算和可信環(huán)境的問題。本文旨在探討數(shù)字檔案與法庭證據(jù)的結(jié)合，以期對數(shù)字檔案的安全管理提供一定的啟示價(jià)值。

一、數(shù)字檔案的信任

檔案是有保存價(jià)值的原始記錄，檔案的原始性要求決定了檔案不允許被篡改或破壞。然而，新環(huán)境下的數(shù)字檔案對檔案的原始性提出了挑戰(zhàn)，數(shù)字檔案的特點(diǎn)使人們無法或者很難確定其原始性。根據(jù)國家標(biāo)準(zhǔn)《電子文件歸檔與電子檔案管理規(guī)范》,電子文件被定義如下：國家機(jī)構(gòu)、社會(huì)組織或個(gè)人在履行其法定職責(zé)或處理事務(wù)過程中，通過計(jì)算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲(chǔ)的數(shù)字格式的各種信息記錄。數(shù)字檔案是具有憑證、查考和保存價(jià)值并歸檔保存的電子文件。根據(jù)這個(gè)定義，數(shù)字檔案雖已不再要求其原始性，卻對數(shù)字檔案的形成和保管提出了更高的要求。數(shù)字檔案的信任建立在數(shù)字檔案形成過程的完整性和存儲(chǔ)過程的可靠性基礎(chǔ)之上，依賴各參與過程的人員、系統(tǒng)和技術(shù)的控制。

1.數(shù)字檔案形成過程的完整性。檔案是行為和事務(wù)本身的證據(jù)，數(shù)字檔案的形成過程包含了數(shù)字檔案在建立、生成、流轉(zhuǎn)和固化過程中的一系列背景和責(zé)任主體信息。其中，檔案的背景信息是檔案所參與的行為框架，是體現(xiàn)檔案完整性的基本信息。對于數(shù)字檔案，完整的背景信息應(yīng)包括程序背景、文件背景、技術(shù)背景和司法/行政背景。程序背景是數(shù)字檔案形成過程中的工作流程或程序信息；文件背景體現(xiàn)了文件的分類方案、索引或登記冊等信息；技術(shù)背景是關(guān)于硬件、軟件等技術(shù)環(huán)境信息；司法/行政背景體現(xiàn)了形成數(shù)字檔案所使用的相關(guān)法律、法規(guī)和規(guī)范。另外，責(zé)任主體信息是指參與數(shù)字檔案形成過程的一系列主體。例如，在公文形成過程中，這些主體包括文件責(zé)任人、撰稿人、發(fā)起人、收件人和歸檔人。責(zé)任主體是數(shù)字檔案形成的基礎(chǔ)，也在一定程度上決定了數(shù)字檔案形成的質(zhì)量。因此，完整的責(zé)任主體信息同樣是數(shù)字檔案必不可少的信息。

2.數(shù)字檔案存儲(chǔ)過程的可靠性。在計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)過程中，具有固定形式和穩(wěn)定內(nèi)容的數(shù)據(jù)被認(rèn)為是可靠的數(shù)據(jù)。可靠的數(shù)字檔案同樣要求其在存儲(chǔ)過程中能保持檔案形式的固定和內(nèi)容的穩(wěn)定。數(shù)字技術(shù)的特點(diǎn)之一是數(shù)字材料可以很容易地生成、改變、組合和共享。固定的形式是指相同的內(nèi)容只能以預(yù)先確定的一系列可能性呈現(xiàn)，即如果數(shù)字檔案的二進(jìn)制內(nèi)容被存儲(chǔ)，即使它的數(shù)字表示已經(jīng)更改，例如從“.doc”更改為“.pdf”，它所傳遞的內(nèi)容也只能以它第一次保存時(shí)在屏幕上的內(nèi)容顯示來呈現(xiàn)，則表明該數(shù)字檔案具有固定的形式。在這種情況下，可以對同一存儲(chǔ)檔案進(jìn)行不同的文檔表示。內(nèi)容穩(wěn)定意味著檔案數(shù)據(jù)或內(nèi)容不能被有意或無意地更改、覆蓋或刪除。盡管數(shù)字檔案會(huì)由于不同操作系統(tǒng)或應(yīng)用程序，產(chǎn)生不同顯示效果，但是只要在受到固定規(guī)則的控制時(shí)，相同的查詢或交互總是產(chǎn)生相同的結(jié)果，則內(nèi)容被認(rèn)為是穩(wěn)定的。

二、數(shù)字檔案證據(jù)的信任

世界權(quán)威取證科學(xué)家Jason Jordaan將數(shù)字取證定義為“數(shù)字證據(jù)的識別、保存、檢查和分析，使用經(jīng)過科學(xué)認(rèn)可和驗(yàn)證的過程，并在法庭上最終呈現(xiàn)該證據(jù)以回答某些法律問題”[2]。據(jù)此定義，數(shù)字取證是使數(shù)字記錄能夠成為法庭證據(jù)的技術(shù)驗(yàn)證過程。數(shù)字檔案能否作為法庭證據(jù)，也需要經(jīng)過數(shù)字取證的過程。在數(shù)字取證中，真實(shí)性意味著數(shù)字記錄中的數(shù)據(jù)或內(nèi)容是它們聲稱的，以及由它們聲稱的來源所產(chǎn)生的?！霸础笔侵敢粋€(gè)人，一個(gè)系統(tǒng)、軟件，或一塊硬件。真實(shí)性意味著完整性。在數(shù)字取證中，完整性有四種類型：基于位的完整性、副本完整性、計(jì)算機(jī)系統(tǒng)完整性和過程完整性。

1.基于位的完整性。數(shù)據(jù)完整性是指在沒有適當(dāng)授權(quán)的情況下，數(shù)據(jù)不會(huì)被有意或無意地修改?；谖坏耐暾?，不僅是位的保真度，也是位的順序的保真度。在數(shù)字世界中，原始的位是有序的，如果位的順序改變，那么相同的位就具有不同的值。例如“100”，所傳遞的值是4，如果順序改成“010”，值是2。要證明真實(shí)性，必須證明數(shù)據(jù)位的完整性沒有丟失。通過權(quán)限和訪問控制可以防止故意更改，而要避免意外更改則需要有額外的防護(hù)硬件或軟件。除此之外，還需要有更多方法以檢驗(yàn)數(shù)據(jù)位的完整性，例如審核日志并使用校驗(yàn)算法（如校驗(yàn)和、散列算法等）。

2.副本完整性。副本完整性是指在給定數(shù)據(jù)集的情況下，創(chuàng)建數(shù)據(jù)副本的過程不會(huì)有意或無意地修改數(shù)據(jù)，副本是原始數(shù)據(jù)集的精確位副本。這種完整性非常重要，因?yàn)槿藗冎荒芡ㄟ^復(fù)制來保存數(shù)字記錄。在數(shù)字取證中，這種“復(fù)制”指的是包含磁盤映像的完整圖像復(fù)制。磁盤映像是存儲(chǔ)介質(zhì)的逐位復(fù)制，是存儲(chǔ)設(shè)備所有扇區(qū)（包括索引文件、已刪除文件和閑置空間）的完整磁盤副本。創(chuàng)建磁盤映像在取證中非常重要，它可以確保磁盤信息不會(huì)在無意中更改，可以在原始證據(jù)上重現(xiàn)取證測試結(jié)果，還可以捕獲操作系統(tǒng)在使用時(shí)通常不可見的信息（包括內(nèi)存、頁面文件、引導(dǎo)扇區(qū)、BIOS）。由于人們每次訪問電腦時(shí)文件系統(tǒng)的一些元數(shù)據(jù)就會(huì)改變，因此數(shù)字取證專家還會(huì)利用時(shí)間戳將副本完整性與時(shí)間聯(lián)系起來。

3.計(jì)算機(jī)系統(tǒng)完整性。計(jì)算機(jī)系統(tǒng)完整性意味著當(dāng)使用和操作正確時(shí)，計(jì)算機(jī)會(huì)產(chǎn)生準(zhǔn)確的結(jié)果。這表明所涉及的系統(tǒng)將以不受損害的方式執(zhí)行其預(yù)期的功能，并不受各種有意或無意的未經(jīng)授權(quán)的操縱。計(jì)算機(jī)系統(tǒng)完整性包括硬件完整性和軟件完整性。硬件的完整性需要驗(yàn)證兩個(gè)方面的內(nèi)容：一是采取足夠的安全措施，防止未經(jīng)授權(quán)或未被跟蹤的對計(jì)算機(jī)、網(wǎng)絡(luò)、設(shè)備和存儲(chǔ)的訪問；二是具備穩(wěn)定的物理設(shè)備，保存可靠的系統(tǒng)信息，包括用戶權(quán)限、密碼、防火墻和系統(tǒng)日志。其中，系統(tǒng)日志是一組自動(dòng)創(chuàng)建的文件，包括Web日志、訪問日志、事務(wù)日志和審計(jì)日志等，用于跟蹤所采取的操作、服務(wù)運(yùn)行、訪問或修改的文件、時(shí)間、用戶和地點(diǎn)。例如，法庭越來越多地要求利用系統(tǒng)日志證明計(jì)算機(jī)系統(tǒng)的完整性。當(dāng)系統(tǒng)配置正確時(shí)，系統(tǒng)日志能夠捕捉發(fā)生的錯(cuò)誤，提供事件的即時(shí)通知，監(jiān)視系統(tǒng)和設(shè)備，確定人員責(zé)任，為不可預(yù)知的事件提供必要的“黑匣子”。計(jì)算機(jī)軟件的完整性可以根據(jù)可重復(fù)性、可驗(yàn)證性、客觀性和透明性來推斷。在計(jì)算機(jī)領(lǐng)域，如果理論、程序或過程正確，就可以基于系統(tǒng)的設(shè)計(jì)要求對軟件系統(tǒng)的完整性進(jìn)行推斷。系統(tǒng)的完整性設(shè)計(jì)要求通常包括：一是經(jīng)過檢測或不能篡改；二是經(jīng)過同行評審或遵循標(biāo)準(zhǔn)；三是已知或潛在的錯(cuò)誤率可接受；四是被相關(guān)科學(xué)界普遍接受。

4.過程完整性。過程完整性是指尊重收集、恢復(fù)、解釋和提交數(shù)字證據(jù)的正式法律要求。過程完整性的評估基于不干涉原則和識別干涉原則。不干涉原則是指用于收集和分析數(shù)字?jǐn)?shù)據(jù)或數(shù)字檔案的方法不改變數(shù)字實(shí)體；識別干涉原則是指，如果使用的方法確實(shí)更改了實(shí)體，則可以識別更改。這些原則體現(xiàn)了數(shù)字取證專家的道德和專業(yè)立場，與檔案人員的傳統(tǒng)公正立場相一致，也與他們作為中立第三方或受信任的保管者的責(zé)任相一致。

三、法庭上數(shù)字檔案證據(jù)的信任

信任是法庭接受文件材料作為證據(jù)的根本。數(shù)字檔案通過數(shù)字取證可作為法庭證據(jù)，但在法院的審理過程中，為證明證據(jù)的可采性，需要按照法律的認(rèn)定規(guī)則來確定，例如鑒定規(guī)則、最佳證據(jù)規(guī)則、傳聞規(guī)則等。根據(jù)鑒定規(guī)則，作為法庭證據(jù)，提供的數(shù)據(jù)、文件、記錄必須能夠被證明是真實(shí)的。在庭審舉證過程中，認(rèn)證是通過權(quán)威聲明的方式來證明真實(shí)性。該聲明通常由舉證人就記錄的存在性、實(shí)質(zhì)內(nèi)容作證。證據(jù)鏈?zhǔn)峭茢嗾鎸?shí)性和驗(yàn)證記錄的基礎(chǔ)，法庭上數(shù)字檔案信任的基礎(chǔ)是要形成數(shù)字檔案保管鏈，即保存有關(guān)記錄及其變化的信息，表明特定的數(shù)據(jù)在給定的日期和時(shí)間處于特定的狀態(tài)。舉證人負(fù)責(zé)建立證據(jù)的真實(shí)性基礎(chǔ)。反對方有權(quán)對證據(jù)的可信度提出質(zhì)疑，他們有權(quán)懷疑證據(jù)并不是舉證人所聲稱的那樣。一些法律專業(yè)人士質(zhì)疑，鑒于數(shù)字材料及其制作和存儲(chǔ)系統(tǒng)的復(fù)雜性，反對者有可能對數(shù)字證據(jù)的真實(shí)性提出合理的質(zhì)疑[3]。對數(shù)字材料真實(shí)性的質(zhì)疑，可能要求訪問生成信息的系統(tǒng)，以確定在生成證據(jù)時(shí)該系統(tǒng)是否在正常運(yùn)行。一些專業(yè)人士主張，有必要將受理規(guī)則的重點(diǎn)從數(shù)字檔案轉(zhuǎn)向數(shù)字檔案系統(tǒng)。事實(shí)上，現(xiàn)行的法規(guī)和證據(jù)規(guī)則已經(jīng)導(dǎo)致有的法律學(xué)者認(rèn)為存在“真實(shí)性危機(jī)”[4]，這也對現(xiàn)行的數(shù)字檔案系統(tǒng)提出了更高要求。

四、基于法庭證據(jù)的數(shù)字檔案信任框架

數(shù)字檔案能否作為證據(jù)被法庭采納，通常需要經(jīng)過三個(gè)過程的信任檢驗(yàn)。首先，數(shù)字檔案自形成之日起就面臨信任問題，要證明其可信就是要檢驗(yàn)檔案形成過程中檔案信息的完整性以及檔案存儲(chǔ)過程中檔案數(shù)據(jù)的可靠性。其次，作為計(jì)算機(jī)數(shù)據(jù)來源的數(shù)字檔案，需要通過數(shù)字取證技術(shù)以檢驗(yàn)其作為數(shù)字檔案證據(jù)的可信度。數(shù)字取證是一種計(jì)算機(jī)技術(shù)聲明，以證明該記錄是它在某一特定時(shí)刻所聲稱的內(nèi)容。最后，數(shù)字檔案證據(jù)能否被法庭采納，還需要依據(jù)現(xiàn)行法律的認(rèn)定規(guī)則?；诜ㄍプC據(jù)的數(shù)字檔案信任框架如下圖1所示。

圖1 基于法庭證據(jù)的數(shù)字檔案信任框架

總之，信任問題往往很難孤立，而且常常與隱私、安全和管理權(quán)限問題聯(lián)系在一起[5]。基于云計(jì)算的存儲(chǔ)和管理可以減輕檔案管理許多財(cái)務(wù)負(fù)擔(dān)，但是在這個(gè)過程中會(huì)產(chǎn)生許多新的令人不安的問題。如果要相信云中的數(shù)字檔案，就必須回答信任問題。新環(huán)境下的數(shù)字檔案已經(jīng)出現(xiàn)信任危機(jī)，也對現(xiàn)行法規(guī)提出了質(zhì)疑。技術(shù)不會(huì)停滯不前，需要法律和監(jiān)管體系迎頭趕上。