当前，刑事诉讼中涉及电子数据恢复的案件非常普遍，通说认为，电子数据恢复是技术与法律高度结合的产物，如果不能在技术和法律两个层面上完成内心确认，则很难做到追求案件实体公正与确保程序合法的有机统一。笔者结合实际案例，总结了一些情况，希望能够引起各级办案人员的高度关注。

一、司法鉴定要做事实判断，还是价值判断、法律判断？

司法鉴定本质上是一种判断意见。此处的判断只能定位为“事实判断”，这里的“事实”指的是鉴定人运用科学技术或者专门知识能够认识的客观情况。

案例一：某司法鉴定机构根据委托部门要求，在检材（移动硬盘）中提取淫秽视频83个、淫秽图片10332个。

案例二：某司法鉴定机构根据委托部门要求，在检材（移动硬盘）中提取公民个人信息100000条。

案例三：某司法鉴定机构根据委托部门要求，作出被破坏的计算机系统达到了特别严重程度的意见。

“淫秽视频”“淫秽图片”“淫秽音频”在大众的认知范围上界限并不明显。《刑法》第三百六十七条规定，淫秽物品是指具体描绘性行为或者露骨宣扬色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。国内对淫秽色情音视频的鉴定并没有一套通行的标准，通常通过行政认定的方式进行。通过司法鉴定机构给出“淫秽物品”的数量认定，带有不适当的价值倾向。

同样，根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。能否被评价为“公民个人信息”，要结合信息的实际情况进行认定，严格来讲这属于法律判断的范畴。而“情节严重”“情节特别严重”更是典型的法律判断用语。

上面三个案例的处理方式，一定程度上看似便利了办案，实则后患无穷。在以审判为中心的刑事诉讼制度下，这样的司法鉴定意见极有可能被作为非法证据予以排除。

二、注意区分电子数据“本体”与“呈现”之间的关系

电子数据是以“0”“1”码存储的数字序列集合，不可能被人们直接感知，这里面存在一个当然的解释过程。选择使用适当的解释工具成为必然。举例而言，对于二进制数0x3132，使用不同的字节序，可以得出完全不同的结果。当然，这还只是微观层面的解释。

在宏观层面上，也需要注意电子数据“本体”与“呈现”之间的关系问题。

案例：在一起利用互联网传播淫秽物品案件中，某司法鉴定机构根据办案部门委托要求，提取了服务器硬盘上存储的视频文件数量。有关部门以此作为定案依据。

通过互联网等公开媒介传播淫秽物品，其实存在一个预设的前提。那就是，广大网民必然要通过一个入口（网站、论坛、云盘等）访问这些资源。那么，对于刑事诉讼来讲，就存在一个认定的问题，以存储在服务器硬盘上存储的全部视频文件作为定案依据，还是以公众能够访问到的存储在服务器上的视频文件作为定案依据呢？

两者显然是不同的，区别在哪里呢？一方面，通过网站访问这些视频文件，是需要权限的；另一方面，服务器上的有些视频文件可能并未列入网站管理程序，因而属于“绝对不可能”被公众访问到的。

笔者认为，根据两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》有关规定，这里的“数量”应当理解为“传播”（至少是“可以传播”）的数量，而不应当把存储在服务器上的所有视频文件都列为“数量”构成。

三、鉴定对象与鉴定工具存在混同风险

手机中的电子数据已经成为侦破和指控犯罪的“证据之王”。因此，针对手机电子数据的提取和鉴定是当前电子数据司法鉴定领域最为重要的内容之一。当前市场主流的手机取证工具都能够规范化的提取手机中保存的各类数据信息，但对于保存在云端的手机app数据的处理，还存在一些需要理清的观念。

根据《法庭科学电子物证手机经验技术规范》5.3.1.3规定，“若需通过收集提取手机云端数据等网络数据时，可以在手机数据已固定的前提下连接互联网，使用相关检验软件下载相关数据，或采用照相、录像方法固定相关数据，生成检验报告”，这里明确指出手机取证其实存在着两个过程，当针对手机机身进行数据提取时，手机充当了鉴定对象（即检材）的角色，当针对云端数据进行数据获取时，手机此时充当了鉴定工具的角色。

遗憾的是，很多鉴定人员在实际操作时，往往使用软件同时执行机身数据提取和云端数据下载，而忽视了《规范》中一个重要的限定词——若需。

四、电子数据送检、保管环节存在不一致风险

笔者在辅助检察官审查电子数据工作中，经常发现一些的程度不同的问题，其中在电子数据保管、送检环节发生的风险需要引起高度关注。

案例一：某地侦查机关委托司法鉴定机构对一起“黑客”案件的涉案笔记本电脑进行鉴定，委托书登记的笔记本电脑序列号与扣押清单中的序列号不一致。

案例二：某地侦查机关通过勘验的方式，固定了一起网络传销组织的电子数据。委托司法鉴定机构鉴定时，勘验得到的电子数据与送检电子数据的哈希值不同。

案例三：某地侦查机关办理一起强奸案件，移送审查起诉后，能够证明嫌疑人与被害人之间具有亲密关系的手机中，存储芯片不翼而飞。

案例四：某地侦查机关办理一起非法吸纳公众存款案件，在移送审查的材料中，审查发现扣押的物品照片颜色差异巨大。经核实，一个重要的物证优盘在保管过程中丢失，有关人员为逃避责任，新购一个同品牌型号的优盘替代了原始物证优盘。

保持物证的原始性是刑事诉讼中很重要的一项任务。上述案例一和案例二决定了该证据能否进入该案件的证据门槛，案例三和案例四则潜藏着有关人员故意违法或者重大过失行为。上述四个案例均存在证据断裂的现实风险，那么接下来的法庭审理中，检察机关将不可避免的面临被动。如果律师聘请了资深专家团队并提出合理怀疑，轻则带来案件反复，重则作出无罪判决，那将是司法难以承受之重。

五、重鉴定轻取证的司法办案理念急需转变

2013年修订后刑诉法实施以来，电子数据成了法定证据形式。此次修法还有一个更大的变化，“鉴定结论”改为了“鉴定意见”，这是司法实践领域的一次重要调整。

但是，广大司法人员希望通过鉴定确定某些专门问题，甚至达到一锤定音的想法还没有得到有效消除，换句话说，司法人员对“鉴定结论”的依赖并没有及时得到调整。在电子数据的问题上，这一点尤其明显。侦查机关通过现场勘验获取的电子数据、通过第三方调取的电子数据、通过实施检查等技术手段得到的电子数据……，这些都是电子数据，都已经是法定的证据形式。但有些检察人员对侦查部门不辞辛苦获取的电子数据不做详查、不做分析，有的听之任之，有的甚至要求办案部门去做个鉴定。在所谓“旧理念”的指导下，有些鉴定意见不伦不类。

案例：某地侦查机关办理一起网络传销案件，根据有关办案人员的要求，鉴定机构出具了“该组织运行模式符合传销组织特征”的鉴定意见。

在这个案例中，司法鉴定机构仍然越权做出了“法律判断”，但显而易见，这里面包含着一种错误的倾向，有关办案人员仍然希望通过司法鉴定的形式对有关法律问题进行认定。

六、信息加密成为制约电子数据取证和鉴定的一道门槛

密码破解一直是电子数据恢复取证和鉴定中需要面对的问题。信息加密技术在为用户提供数据安全的同时，也对电子数据取证人员提出了更高的要求。从BIOS密码、操作系统用户密码到Android全盘加密、文件级加密再到iOS加密，电子数据取证面临着越来越高的取证门槛。下面对当前常见的信息加密方式进行介绍，并将其对电子数据取证的影响进行说明。

难点一：BitLocker是内置于WindowsVista及其之后系统的全盘加密功能，通过对磁盘卷进行加密来保护数据。它使用128位或256位密钥的AES加密算法加密数据，加密强度很高。

当前破解Bitlocker的技术除了通过社会工程学等手段直接获取密码外，主要有以下方式：一是通过对BitLocker加密设备的内存或Windows休眠文件进行提取，在其中搜索Bitlocker密钥，二是在获取用户的微软账户和密码后通过微软账户查询BitLocker恢复密钥，三是利用Bitlocker使用固态硬盘进行硬件加密的漏洞，从固态硬盘中获取Bitlocker密钥。上述方法在实践中都有一定的局限性，导致对Bitlocker加密卷的破解成功率无法保证。

难点二：Android在4.4版中引入了全盘加密（FDE），并在5.0中对全盘加密功能进行了优化。全盘加密是使用密钥（密钥本身也经过加密）对Android设备上的所有用户数据进行编码的过程。设备经过加密后，所有由用户创建的数据在存入磁盘之前都会自动加密，并且所有读取操作都会在将数据返回给调用进程之前自动解密数据。

Android7.0及更高版本支持文件级加密（FBE）。采用文件级加密时，可以使用不同的密钥对不同的文件进行加密，并且可以对加密文件进行单独解密。文件级加密会对文件名和文件内容进行加密。

对于Android系统加密，除了获取密码或使用指纹、人脸识别解锁外，主要是通过屏蔽锁屏密码和暴力破解的方式进行解密。其中暴力破解的方式因为速度限制（系统运算能力和Gatekeeper请求次数限制），导致不知道原密码情况下破解时长无法控制。

难点三：从iPhone3GS开始，苹果使用硬件对iOS设备进行数据加密，这被称为数据保护（DataProtection）。重要的iOS系统应用，比如信息、邮件、日历、通讯录、照片和健康数据会默认被数据保护加密。而从iOS7开始，第三方应用数据也会自动被数据保护加密。iOS设备的硬件加密方式导致直接对芯片进行提取数据后无法进行解密。

当前可行的iOS提取方法只有通过获取或破解iOS锁屏密码来解决，主要方法包括：通过Lockdown文件绕过锁屏密码进行提取；通过硬件对密码进行暴力破解；通过指纹或人脸识别解锁。上述方法在实际检验中有着各种限制，Lockdown文件不一定能够找到，即使找到也有可能已经过期无法使用；暴力破解或者有iOS版本限制，或者为商业技术，成本高昂。

七、数据恢复实践面临挑战

电子数据取证和司法鉴定中的数据恢复，是指通过软件工具对检材（样本）进行数据恢复操作的过程。删除电子数据文件时，操作系统只对文件系统中被删除文件的记录项进行修改，其真正的数据区域并不会被直接修改，而是做为未分配空间供后续使用。换句话说，数据恢复的前提是，删除的数据未被修改。

随着存储技术的发展，新型存储设备开始出现。固态硬盘因其低功耗、高读写速度、无噪音、体积小等优点，随着价格的下降使用者越来越多。但固态硬盘与传统机械硬盘在存储原理、方式上有着根本不同，对电子数据取证中的电子数据恢复工作造成了很大影响。与机械硬盘顺序写入受到块碎片和坏扇区的影响，机械硬盘并不完全是顺序存储。不同，固态硬盘不使用顺序写入。在固态硬盘中，数据会被分成不同的数据块，同时写入到不同的NAND存储芯片中，这种平行写入的方式使固态硬盘的写入速度远高于机械硬盘。

即便是单NAND存储芯片的固态硬盘也不会使用顺序写入的方法存储数据[可能只有全新的，从未写入过数据的固态硬盘会使用顺序存储的方式]。存储芯片中每个块对应的逻辑地址LBA都是动态分配的，便于主控进行损耗平衡。这导致了从NAND存储芯片中直接读取到的数据就好像拼图一样，将数据打散成碎片后随意的组合在一起。如果没有固态硬盘主控的帮助，想要通过芯片提取的方式恢复一个文件是非常困难的。

除了数据存储方式的不同之外，固态硬盘还设置了后台垃圾回收机制。当删除存储在固态硬盘上的文件时，操作系统会执行trim指令，以告知固态硬盘该文件将不会再被使用。只要处于通电状态，固态硬盘就会启动后台的垃圾回收机制，擦除已经trim的数据块。即使使用只读接口连接固态硬盘也无法阻止这一过程，这导致了固态硬盘上删除数据的恢复变得十分困难。

当然实际情况可能会有所不同。如果操作系统、固态硬盘（或者闪存存储器）以及它们之间的传输协议中有不支持trim的部分，那么trim以及后续的垃圾回收机制将无法运作，使得情况可能有所好转。但因为NAND存储芯片写入和擦除大小不同等问题，使得trim成为了固态硬盘所必须的一部分，因此未来对于固态硬盘的数据恢复形势仍然并不乐观。

机械硬盘数据恢复未来的情况也并非一片光明。随着叠瓦式磁记录技术（ShingledMagneticRecording）的运用，机械硬盘也面临着和NAND存储芯片同样的问题。当前市场上已经出现了支持trim指令的使用叠瓦式磁记录技术的机械硬盘，对于这种硬盘进行数据恢复也将会面临着固态硬盘一样的问题。

八、海量电子数据的处理陷入困境

海量电子数据的运用，是当前司法实践中不得不考虑的重要问题。涉案电子数据载体数量爆发式增长，单个载体的数据容量爆发式增长，这两个因素导致在任何一个案件中，都可能收集到海量的电子数据恢复。

案例一：某地侦查机关在办理一起非法集资案件中，查封扣押涉案电脑200余台，从阿里云空间勘验数据40TB。如此规模的电子数据，给有关部门使用证据带来巨大压力。

案例二：某地侦查机关办理一起网络电信诈骗案件，经核实仅确定了1名受害者。移送审查起诉后，在技术人员的辅助下，从100余万条微信记录中，追加确定了70余名受害者以及相应的转账记录。其中的排查工作量相当大。

海量电子数据是一个比较完整的虚拟空间，是另一种形式的“犯罪现场”。该“犯罪现场”给深挖犯罪提供了广阔空间，却也带来了很多技术处理上的挑战。如果说案例一仅仅是技术人员数量上的捉襟见肘，案例二则对海量数据的分析工作提出了更高的要求。事实上，公检法机关现有的技术力量根本无法应对海量电子数据，具有成熟数据分析技术的人员更是严重缺少。此外，契合实际的海量数据处理工具也是一个严重的短板。

截至目前，针对海量电子数据恢复的处理，依然没有很好的解决办法。