□喻 宇，江鹏飞

(重庆海关缉私局，重庆 401147)

一、电子证据的法律地位及特点

在当前的信息技术时代，伴随网络技术以及电子信息技术的迅猛发展，各种电子物证经常在刑事犯罪作案中出现[1]。电子证据不同于普通物证，普通物证以其外部特征、物质属性、所处的位置以及状态来证明案件事实，而电子物证存在于介质载体中，主要以电磁或光电的形式存储下来，具有非直观的特性，但它与普通物证一样，同样可以用来证明案件事实，法律明文规定使电子物证成为刑事领域的证据之一[2]。美国等国都通过立法方式对电子证据有效性进行确认。美国先后在已经颁布实施的《统一电子交易法》《国际国内电子签章法》等法规中增加了电子证据的内容，同时欧洲部分国家也在本国刑诉法当中加入了电子证据的描述[3]。我国在刑事诉讼法修正案当中也对证据种类进行了调整，在物证、书证、证人证言等传统证据基础上增加了“电子数据”这一新的证据类型。至此，电子物证可以名正言顺地作为证据来使用。最常见的电子证据有硬盘与手机，手机数据检验属于小型电子设备检验工作中的一个主要分支，小型电子设备英文统称 SSDD。

目前，对电子物证的收集和提取，就是对存储电子信息数据的物理实体进行扣押或者封存，再采用电子物证鉴定方法对这些电子信息数据进行提取和固定，最终形成电子物证。电子物证鉴定是中国合格评定国家认可委员会(英文缩写：CNAS)对司法鉴定法庭科学机构的认可领域之一。

走私犯罪不同于普通经济犯罪，其犯罪团伙具有国际化、规模化、智能化的特点，案件涉及的电子证据不但数据量大、关联性高而且时效性强，成功的使用电子证据能直观、真实、全面的反应出走私案件的全貌，而提取使用不当可能造成证据被遗漏、损坏、销毁。可以说，在走私案件的侦办过程中，电子数据的提取与使用情况往往决定了案件的成败。

二、缉私办案中使用电子物证遇到的问题

海关缉私部门在办理走私案件时使用的电子证据大多来自于检验鉴定机构出具的鉴定文书及随附光盘的数字报告。鉴定文书及数字报告在使用中一般会遇到以下问题：

(一)时效性低

按照标准流程进行电子物证送检、检验鉴定、文书制作及反馈，需耗费大量的时间。一般来说，一个专案规模的电子物证送检到收到报告的周期在一个月左右，这就丧失了根据已有电子物证的分析挖掘进行下一阶段取证的时机，同时导致了电子物证往往仅用于后期组织证据而非前期的侦查破案。

(二)可读性弱

鉴定机构出具的电子物证报告规范性强、内容全面但缺乏针对性，可读性较低。比如硬盘的电子报告中所罗列出检材中存放有的几十万份文件，其中真正与案件相关的或许只有几份，这几份有用的文件混在几十万份文件中让办案人员很难将之找出。

(三)使用率低

由于检验鉴定报告缺乏时效性、针对性、关联性，导致对报告的使用方法简单(大多是打印了直接引用)，缺乏深度的挖掘和应用。

三、电子证据溯源法

电子证据溯源法是我们在探索电子取证技术并结合办案实践归纳总结出的一种获取、分析电子证据的方法，简单来说包括三点，及：“前期快速提取、追踪溯源挖掘、证据引导办案”。

(一)前期快速提取

在开案初期，一经查扣到手机、电脑等电子设备立即通过《电子数据检查笔录》《远程勘验笔录》及随附数据的形式快速固定重要的电子证据。为后续的分析挖掘打下基础。

(二)追踪溯源挖掘

“电子证据溯源法”的核心就是对提取到的电子物证进行追踪溯源挖掘。

1.对本机生成文件的分析挖掘。本机生成文件比较常见的有计算机中的原始文档及手机中拍摄的照片：

(1)原始文档。对于原始文档我们分析的重点一是确认其原始性，及该文档确实是在本机上生成并编辑的，这往往对机主犯罪的主观故意性有直接的证明。这一点可以通过对临时文件的恢复和分析来进行证明。二是修改痕迹分析。有的嫌疑人制作文件时往往会进行部分修改以针对不同的对象(比如内部记账和向海关申报)，通过对相似文件的对比分析也可充分证明其修改的故意性。三是文件去向追踪。制作的电子文档可能是用于打印后签字存档(这也为搜查工作提供了目标)，也可能是通过邮件、QQ、微信等发送给相关人员，通过对通讯软件的关键字搜索，很容易确定收件人的邮箱或QQ、微信号，进一步发现新的嫌疑对象，扩展侦查范围。

(2)原始照片。对手机上拍摄的照片通过专用工具分析后有可能确定其拍摄点位置，通过与手机定位软件的关联分析，可对其行为轨迹进行勾画。对照片传输去向的追踪分析，也可为梳理嫌疑对象间的关系，确定嫌疑人相貌提供依据。

2.对外来文件的溯源挖掘。外来文件一般包括两种，一是通过网络传输的文件，二是从外部存储介质拷贝的文件：

(1)通过网络传输的文件一般来源有邮件的附件，聊天工具(如微信、QQ等)传输的附件与网盘下载的文件等。通过对目标文件存放位置、命名特点、格式进行分析，可以找出其来源渠道，如百度云盘的默认目录为：“BaiduYunDownload”，又如微信下载图片默认文件名为“mmexport+数字”而QQ下载图片文件名为“QQ图片+年月日+时间”。通过对文件来源的追踪，我们有可能发现更多可能存储有证据文件的位置(如网络上的云盘)，也有可能发现与嫌疑人相关的重要联系人(微信、QQ)，还有可能发现新的邮箱地址(可成为下一步进行远程勘验的对象)。

(2)外部存储介质拷贝的文件一般有从移动硬盘(U盘、光盘等)中拷贝的文件，手机中拷贝的文件等。这种文件的特征是查看文件属性会发现文件的“创建时间”可能晚于“修改时间”。这是因为文件“创建时间”记录的是文件拷贝到本地的时间，而“修改时间”是之前文件打开编辑时的时间(当然如拷贝到本地后由进行了编辑修改则修改时间会较晚)。将文件的“创建时间”集合取证软件获取的接口插拔的记录信息进行分析，就能发现文件的来源是什么存储介质。通过对文件来源的追溯，我们有可能发现尚未掌握的存储介质及手机等重要物证。

(三)证据引导办案

电子证据溯源法的根本目标是通过对电子证据的快速获取和分析来为侦查办案工作服务。具体的说就是通过分析挖掘已获取的电子证据来达到三个目的：一是发现存在但尚未找到的电子证据，为下一步的搜查、审讯提供方向。二是将离散的、孤立的电子证据梳理为有关联性，有针对性，可读性强的电子证据，来反映案件的事实真相。三是刻画出嫌疑人间的关系，发现新的嫌疑对象，为下一步侦查工作提供引导。

四、电子证据溯源法在案例中的应用

2017年6月，某缉私分局接到线索：某公司涉嫌低报价格进口服装、奢侈品等商品。由于案发时间较早，涉案公司(人员)变动较大，想全面收集涉案的纸质资料存在困难，于是侦查人员将案件侦破的重点放在了电子物证的收集分析上。据嫌疑人交代，合同、发票等重要文件都是通过电子邮件的形式进行传递，故对电子邮箱的勘验就作为了本案的一个重要突破口。缉私局派出了多位经验丰富的同志对五名嫌疑人的邮箱实施了六次远程勘验，提取到电子邮件2万余封，为案件的侦办打开了突破口。

有了远程勘验得来的电子邮件作为基础数据，办案人员立即对重要的邮件进行分析。很快，一封附件为压缩文件的邮件进入了勘验人员的视线，该附件为打包的“报关资料.zip”，侦查人员将其解压后发现里面是几十份整理好的清关发票与装箱单。按照侦查人员分析：既然邮件中有一封整理过的含有清关发票的压缩文件，至少说明两个问题：1.某嫌疑人用过的电脑上曾经存放过完整的清关发票。2.这些数据近期被使用过，并且在某种存储介质上进行过压缩打包。基于以上两点，侦查人员迅速行动，对锁定的嫌疑人住处进行了突击搜查，在其家中搜查到一台笔记本电脑和两个U盘。从其中一块U盘中，勘验人员恢复、提取出大量的合同、发票、台账等涉案文件，为案件的进一步深入创造了有利的条件。为了获取更完整的资料，办案人员将目光锁定在该嫌疑人曾使用过的办公电脑上，由于该嫌疑人已离职多年，电脑也已报废两年多，和数十台废旧电脑一起堆放在库房中。本着绝不放弃一丝可能的精神，办案人员将几十个电脑的硬盘卸下进行了扣押，使用电子物证实验室的取证塔一次对八个硬盘同时进行恢复、搜索。经过三个昼夜的紧张工作，最终确认了该嫌疑人的办公电脑，并从该电脑中提取了完整的真假合同、发票、清单，为案件的顺利侦办提供了有力的指引。