电子数据这种证据形式对于我们来说既熟悉又陌生。所谓熟悉，是指现在的工作、生活、学习都离不开电子形式的信息，陌生的是这种证据形式与其他传统证据存在较大差异，正式入法的时间有比较短，在实际的司法运用中相应地引发了一些巨大的争议。远的比如说贯穿2016 年全年的快播涉黄案，在庭审过程中控辩双方就电子数据的收集提取、检验鉴定等环节展开了激烈的争论；近的就是前段时间中山市的一起案件，由于存储介质的扣押手续不全，辩护律师就电子数据的真实性提出了质疑，法院认定电子数据为非法证据予以排除，之后一区检抗诉的案例。

从庭审现场，可以看出律师对电子数据的相关规定非常熟悉，而我们作为司法办案人员，更应该熟悉、理解、消化、吸收电子数据证据的相关文件，才能在庭审过程中取得主动。关于电子数据，比较近的法律规定有2014 年颁布的《网络犯罪案件适用刑事诉讼程序若干问题的意见》（简称《意见》）和2016 年实行的《刑事案件电子数据收集提取与审查判断若干问题的规定》（以下简称《规定》）。这两个文件并不矛盾，《规定》是对《意见》的细化和完善。在此，重点针对《规定》进行说明。

《规定》从产生背景和指导思想、电子数据的界定、电子数据的收集与提取、电子数据的鉴定与检验、电子数据的移送与展示、电子数据的审查与判断等六个方面说明了电子数据相关问题。作为检察机关，可能更为关注的是审查判断环节，但实际上需要审查判断的就是是否属于电子数据、收集提取是否符合相关规定等， 因此重点针对这几个方面予以介绍。

一、电子数据的界定

2012 年电子数据从视听资料中独立出来，以法定证据形式正式入法，但没有明确电子数据的内涵和外延。之前的相关文件对电子数据的界定，或者是定义形式，或者是举例形式，定义方式较为抽象，缺少示例；列举方式无法揭示本质特征，难以概括未来可能出现的证据形式。因此《规定》采取了定义与列举结合的方式。

《规定》中将电子数据定义为在案件发生过程中形成的， 以数字化形式存储、处理、传输的，能够证明案件事实的数据。能够证明案件事实是所有证据都应该具备的属性；数字化形式是电子数据区别于其他证据形式的核心属性，而且不仅包括存储于磁盘上的文档、图片、音视频等文件形式，还包括内存中正在处理的信息，如恶意程序的行为，还有就是网络传输数据，如DDOS 攻击数据。争议较大的是第一句“在案件发生过程中形成”，之前从未出现过类似的定义，为此需要把案件发生过程扩大化理解，要包括犯罪行为预备、实行、掩盖等各个阶段。比如我用自己的真实身份注册了一个邮箱，两年之后开始利用这个邮箱发送勒索邮件，这个邮箱是将注册信息和现实中的人关联起来的关键性电子数据证据，但它却不是传统意义上案件发生过程中形成的，只有将过程概念扩大化之后才可以被纳入电子数据范畴。《规定》起草者已经意识到了这个问题，预计未来该定义将会得到进一步完善。

列举的电子数据包括四类，一是网络平台发布的信息， 主要指常用的网页、博客、朋友圈、网盘、微博客、贴吧。二是网络应用服务的通信信息，即手机短信、电子邮件、即时通信、通讯群组；三是记录类信息，包括用户注册、交易记录、通信记录、登录日志；四是电子文件，主要指存储于磁盘中的文档、图片、音视频、计算机程序、数据库文件。其中，第二和第四种是我们熟悉的电子数据形式，一和三是近几年新出现的， 也是要着重探讨的。

《规定》中还明确了初查中收集提取到的电子数据的证据意义。由于职务犯罪的特点，在立案前往往采取一系列的调查取证措施。对立案前初查阶段收集的电子数据，能否作为证据使用，司法人员的认识一直不统一。此条对检查机关办理自侦案件提供了明确的法律支撑。但要注意的是，初查的原则是不可限制被调查对象人身、财产权利，因此不得扣押存储设备、不能进行技术侦察，只能在线提取。

二、电子数据的收集与提取

方法要求方面，《规定》强化了技术标准要求，取消了设备标准的要求。人员要求方面，鉴于目前电子数据收集提取已经成为基础性、普遍性工作，《规定》不再要求侦查人员具备相关专业知识背景，由两名（含） 以上侦查人员进行即可。

在收集提取的规范方面，《规定》针对传统取证对象形成了：“以扣押电子数据原始存储介质为原则，以直接提取电子数据为例外，以打印、拍照、录像等方式为补充”的一般性规则。

电子数据依赖于存储介质而存在。在侦察过程中，是否获取原始存储介质，对于审查判断电子数据是否全面、真实、完整，具有重要意义。因此，如果能够扣押电子数据的原始存储介质，就要尽量进行扣押。扣押封存方法灵活多样，对于主机介质可以装入物证袋，也可以通过对电源接口以及机箱螺钉处加贴封条；手机则需要采取信号屏蔽、信号阻断或切断电源等措施，如放入屏蔽袋。封存前后应当拍照，清晰反映封口或张贴封条处的状况。

在原始存储介质不便扣押的情况下，如存储介质位于境外或核心证据为内存数据与网络传输数据，可以执行提取电子数据操作。为保证证据链条完整，要注明采取提取操作的原因、介质存放地点与来源。最重要的是，由于无法依托原始存储介质还原数据提取过程，因此需要对提取出的电子数据计算完整性校验哈希值，以提供检验电子数据完整性的途径。

军控或工控信息系统既无法扣押原始介质，又不提供接口以提取数据；支付宝、钉钉等应用程序开发了阅后即焚功能，阅读后5 秒左右即被自动删除， 且采用的是覆盖删除方式，扣押和提取方式均无法有效实施。此时，就可以采用打印、拍照、录像等方式予以固定。另外，大量的轻微刑事案件由基层派出所侦办，没有设备或受技术条件限制，必要时可以采取此种方式固定证据。

随着云计算等信息技术的发展，越来越多的电子数据存储在云系统中或存放于大型数据环境下。此类数据具有“数据量大、无法或者不变提取”、“提取时间长，可能造成数据被篡改或者灭失”或“通过网络应用可以更为直观展示”等特点，并不适用于收集提取的一般性规则。由此，《规定》创造性地提出了电子数据冻结方法。冻结的目的是在一定时间内（通常是在讼诉期间）使电子数据不被增加、删除或修改，甚至不能被未经授权的人员查看。目前，冻结的主要方式是计算电子数据的完整性校验值或锁定网络应用账号等。需要指出的是，如果电子数据涉及虚拟财产，就要相当的慎重，尽量在立案后冻结。云平台与大数据环境的使用正在逐步普及深化，可以预见电子数据冻结的方式方法也将日益具体完善。

三、电子数据的审查与判断

作为法定的证据类型，电子数据的审查判断依然要按照《规定》围绕真实性、关联性与合法性进行。相关要点在第二节已做说明，在此不再赘述，仅就个别关键问题进行说明。20

作为电子数据，如果出现增删改情况，是否一定导致不真实？对于这个问题应当具体情况具体分析。如果是为了便于展示或深入挖掘电子数据而做出的技术处理（如检验手机时常用的root 操作），应当不影响其真实性与合法性；但如果是有意篡改并影响所承载的内容或证明的事实，就应当予以排除。

《规定》中还明确了瑕疵证据的可以补正的情形，在“笔录或清单上没有侦查人员、持有人、见证人签名或盖章”、“未以封存状态移送”、“对电子数据的名称、类型、格式等注明不清”等情况下，可以通过合理方式补充完善证据链条。需要指出的是，瑕疵证据补正不可弄虚作假，而是解释能否解决影响证据的真实性、来源等的问题。比如，存储介质扣押但并未封存，辩护律师对完整性提出质疑，补正说明就应该着重解释现场有见证人证明没有接触进行修改，或通过移交记录说明证据保管有人监督且负责任。