一、电子数据司法鉴定的首要内容

随着信息网络的不断发展和运用，电子数据与人们的日子和作业休戚相关，将其作为依据进入法庭的景象也越来越多。一旦对电子数据的实在性、牢靠性等有关问题存在疑问时，常常需求发起司法鉴定程序。依据司法部司法鉴定处理局发布的相关数据，2007年电子数据相关的司法鉴定业务量为819件(其间，电子依据类412件，计算机司法鉴定407件)；2008年为1283件(其间计算机司法鉴定1174件，电子依据鉴定109件)；2009年为1025件(其间计算机司法鉴定649件，电子依据类鉴定376件)；2010年为1647件(其间计算机司法鉴定897件，电子数据鉴定777件)；2011年为1117件(其间计算机司法鉴定711件，电子数据鉴定406件)。全体上说，2010年以前，电子数据相关司法鉴定业务量大致在1000左右，2010年往后，鉴定业务量全体稳中有长，底子保持在1100件以上。依据从事电子数据相关的司法鉴定安排的情况看，电子数据司法鉴定安排在最近五年有比较大的增加，其间2010年从事电子数据的司法鉴定增加幅度达35.7%。

在电子数据鉴定业务稳步增加的同时，电子数据司法鉴定有关的程序规则、技术规范却非常缺少，严重制约着该职业的健康发展。而要拟定科学合理的司法鉴定技术规范，电子数据司法鉴定各项目之间需构成一套科学的体系。过火抽象或过火具体的分类都不利于拟定具有可操作性的科学程序规则和技术规范。从现在实务情况看，对电子数据司法鉴定首要内容，一般通过罗列方法进行规定。例如，在2009年《司法鉴定收费处理方法》中，电子数据鉴定包含了硬盘查验(包含台式机硬盘、笔记本硬盘、移动硬盘)、服务器查验(包含磁盘阵列柜、网络硬盘等)、CD及DVD光盘检测鉴定、U盘及存储卡检测鉴定(含SIM 卡)、软盘检测鉴定、电子设备查验鉴定(包含录音笔、传真机、电子秤等同类电子设备)、存储介质物理缺点扫除(部件包含互换磁头、电机；替换PCB板；坏扇处理等)、手机机身查验、注册表查验鉴定、软件共同性查验鉴定、软件功用查验、文件共同性查验鉴定、数据库电子数据康复、数据库共同性查验鉴定、其他电子数据查验鉴定(包含网络数据包等)、密码破解、现场数据获取、网络数据获取、光盘朔源查验、光盘刻录机查验、电子依据鉴定文证复审等21个项目。

通过罗列方法对电子数据司法鉴定进行分类，难以包含全部的司法鉴定项目，也无法掌握不同司法鉴定项目的共性和差异性特征。应该从理论角度对其进行科学分类。依据电子数据不同形状，能够将电子数据司法鉴定分为静态电子数据司法鉴定和动态电子数据司法鉴定。依据鉴定政策规模，能够将电子数据司法鉴定分为依据网络的电子数据司法鉴定和依据主机的电子数据司法鉴定。上述两种分类方法对研讨不同类别电子数据司法鉴定的具体性质和规则有必定的作用，但关于研讨司法鉴定的具体技术和规范来说又略显粗糙。

因而，应按照新的差异规范进行分类，一方面要克服罗列式方法无法包含全部司法鉴定的缺陷，另一方面又要便于科学和合理地拟定具有可操作性的鉴定方法和技术规范。笔者认为，一种比较合理的分类方法是按照鉴定事项的性质进行差异，将电子数据司法鉴定分为以“发现依据”为政策的司法鉴定和以“点评依据”为政策的司法鉴定，同时对每一类司法鉴定又进一步进行细分，这样可克服上述两种缺陷，便于拟定科学合理又具有可操作性的程序规则和技术规范体系。

(一)两类不同的电子数据司法鉴定

电子数据司法鉴定，广泛运用于案件侦查、审判等环节中。在案件侦查中，电子数据司法鉴定的首要政策是为了找到与案件实际的相关依据，而在审判环节，则首要是对当事人供应的电子数据的实在性和关联性等问题进行分析和点评，以判别电子数据的依据效能。

因而，能够将电子数据司法鉴定分为以“发现依据”为政策的司法鉴定和以“点评依据”为政策的司法鉴定。在前一类司法鉴定中，委托人往往无法供应鉴定所依据的具体“依据”及说明其所能证明的实际问题，这些问题恰恰是需求鉴定人完结的事项。一般委托人仅仅供应一种或许存在依据的场所或许设备，能否发现相关依据则需求鉴定往后才干知晓。在后一类司法鉴定中，委托人往往供应了能证明某种案件实际的“依据”或材料，要求计算机司法鉴定人就这种依据能否证明某种案件实际，或许对证明这种案件实际的可信度进行点评。这种性质的鉴定常常出现在诉讼中的审判阶段。

(二)两类不同电子数据司法鉴定的具体鉴定项目

依据实务中司法鉴定项目的性质不同，还能够将上述两种不同的司法鉴定进行细分。以“发现依据”为政策的电子数据司法鉴定能够进一步分为：数据检索与固定、电子数据康复、数据来历分析、数据内容分析和数据归纳分析等五类，如图2所示；以“点评依据”为政策的电子数据司法鉴定能够进一步分为：同一鉴定、真伪鉴定、相似性鉴定、功用鉴定和复合鉴定等。

1.数据内容分析

数据内容分析是一种将躲藏的、不知道内容的数据转换为可读的、有意义的信息内容的进程。数据内容分析实际上是分析和发现二进制数据所表达的实在信息内容的技术。因为二进制数据具有信息说明的多样性、感知方法的多样性和依靠性等特色。同样的二进制数据运用不同的说明方法其信息内容或许是不同的。只要找出数据内容不可读的原因，并采取相应的数据说明方法才干正确复原全部或许部分原始信息内容。常见的原因或许是数据在处理或许转移进程中出现过错，产生乱码；或许数据信息被加密；或许信息无法被拜访等。相应地，可釆用的分析方法有乱码分析、加密信息分析、口令破解、躲藏数据发现等。

2.数据检索与固定

数据检索与固定包含两类技术：数据检索技术、数据提取与固定技术。关于数据检索技术，可釆用的具体技术和方法非常多，例如各种不同的数据开掘技术、粗糙集技术等。但依据检索时猜想信息的性质不同，可将其分为依据数据内容的检索技术、依据指纹信息的检索技术、依据痕迹信息的检索技术等三种。前者猜想信息与所检索数据内容或特点直接相关，中者与检索数据内容的数字指纹信息相关；后者则选用间接检索方法找定位电子数据的痕迹信息，然后承认电子数据的方位和内容。关于提取和固定技术，除了选用传统的提取和固定方法外，常运用的技术为电子数据仿制技术。依据案件性质不同，对仿制的技术要求也是不同的。从所提取和固定电子数据的形状不同，可分为静态数据的提取和固定、动态数据的提取和固定。

3.电子数据康复

电子数据康复指的是被体系删去或被损坏的、不能被体系正确辨认和处理的数据信息，通过特殊方法使数据重现并可被体系辨认的技术。电子数据康复的场合或许有以下几种原因：其一，存储设备出现硬件缺点，无法被计算机体系正常拜访；其二，存储设备中数据被删去，或许文件体系被格式化；其三，设备中数据被掩盖，或许设备彻底损坏等。关于以上三种不同情况，顺次选用的是物理缺点修正、软件层面康复、物理信号康复等电子数据康复技术。

4.数据来历分析

数据来历分析指依据现有的材料和信息，承认特定文件、程序、代码和其他数据信息的开始来历或许其来历途径的技术。常见的数据来历分析技术包含文档来历、邮件来历、数据包来历分析等。数据来历分析技术不仅运用于以“发现依据”为政策的电子数据司法鉴定中，在同一鉴定、真伪鉴定等以“点评依据”为政策的电子数据司法鉴定中也常常是必不可少的查验内容之一。

5.数据归纳分析

数据归纳分析中，发现依据所选用的技术是归纳的，一般从案情动身，要求找出鉴定案件实际和性质的相关电子数据。例如，在或许被黑客不合法侵入的计算机信息体系中，要求侦查人员通过各种方法找出与案件相关的全部电子数据依据。在这一类鉴定中，实际上鉴定人员完结了部分侦查人员的作业，或许需求与侦查人员密切合作，共同完结案件侦查作业。

6.同一鉴定

电子数据司法鉴定中的同一鉴定，指的是比较两文件、代码、信息等是否来历于同一客体的鉴定。它与数据来历鉴定性质不同。前一鉴定中，委托人需求同时供应检材和样本,且检材和样本的信息内容底子相似。后一鉴定中，委托人只需求供应检材，其目的是为了寻找和判别检材的开始来历，或许其生成或运行途径。

7.真伪鉴定

真伪鉴定是指判别被查验材料实在性的鉴定。进行真伪鉴定，需求分析影响查验材料牢靠性的各种要素、查验其是否符合常见伪造方法的特征，归纳评判其牢靠程度，并结合案情最后作出检材是否实在的判别。从鉴定政策看，真伪鉴定包含的事项非常多，任何作为依据供应的材料均或许成为其政策。例如，电子邮件真伪鉴定、聊天记录真伪鉴定、数字图像真伪鉴定等。

8.功用鉴定

功用鉴定首要是对计算机软件(包含具有损坏性的程序、合法程序等)的功用进行分析，判别是否具有某种功用，或许与所描绘的功用是否共同的鉴定。功用鉴定既能够通过源代码进行鉴定，也能够通过政策代码进行鉴定，具体比对政策需求依据案件情况承认。常见的功用鉴定有恶意代码鉴定、软件功用鉴定、技术方法鉴定等。恶意代码鉴定指的是对被查验代码进行分析，判别它是否归于恶意代码，归于何种恶意代码，具有哪些损坏功用等进行鉴定的活动。软件功用鉴定指的是通过查验和分析计算机软件，判别软件是否具有某一项或某几项功用，或许判别软件应具有的某种功用是否到达特定技术目标为目的的鉴定。技术方法性质鉴定是指通过对技术方法的功用分析，判别技术方法的性质，例如，判别其是否具有控制拜访次数功用、是否能够盯梢并收集用户信息、是否能够强制删去用户帐号、是否能够删去竞争对手的程序等。

9.相似性鉴定

相似性鉴定指的是文件或代码在某种性质上的相似程度。在司法鉴定实务中，一般与电子数据相关的知识产权问题密切相关。依据相似性的性质不同，能够将相似性鉴定分为文件内容相似性鉴定、软件代码相似性鉴定等事项。文件内容相似性指的是通过比较两个文件的内容，判别两者是否共同，或许实质上是否相似的鉴定。软件代码相似性指对软件的源代码或可履行程序进行比对和技术分析，判别两者是否实质相似的鉴定。

相似性鉴定与功用鉴定不同。以计算机软件为例，软件功用鉴定注重的是软件功用，仅仅从技术角度分析问题；而软件代码的相似性，则首要从计算机软件著作权角度去分析其相似程度，常比较软件的源代码，但软件完结的功用因为不归于作者思维的表达，或许因为不归于独创性内容，一般情况下不能作为比较的政策。

10.复合鉴定

复合鉴定是指一种相对较凌乱的鉴定，在鉴定进程中触及的事项较多、学科知识广，难以归入到以“点评依据”为政策的其他电子数据司法鉴定，都归于复合鉴定。常见的有资产丢掉鉴定、企业各种运用体系鉴定、数字依据链鉴定、电子数据司法鉴定文书复审等。资产丢掉鉴定指对涉案的计算机软硬件资产和其他无形资产进行点评，判别案件触及的资产丢掉情况。企业的各种运用体系鉴定，是指对企业的运用体系或软件(如ERP、SCM、 OA等)中所存储数据的有用性、实在性及其所反映得公司财务、处理等情况的鉴定。数字依据链是指依据案件中触及的数字依据，以及依据、书证等其他依据，通过归纳分析依据链，判别其是否能够证明某种案件实际。实际上是一种对涉案依据实在性和牢靠性进行判别的归纳鉴定。电子数据司法鉴定文书复审，实际上是通过对电子数据司法鉴定文书的鉴定进程、方法和结论的描绘等内容的分析，结合其他相关材料，判别鉴定文书中鉴定定见是否科学牢靠并出具复审定见的鉴定。

二、两类电子数据司法鉴定差异比较

以“发现依据”为政策和与以“点评依据”为政策的电子数据司法鉴定因为两者鉴定政策不同，在鉴定定见片面性、鉴定风险和鉴定程序方法、依据查看上都存在差异。

(一)前者以发现依据为政策，后者以点评依据为政策

以“发现依据”为政策的电子数据司法鉴定中，首要任务是发现虚拟现场是否存在与案件实际相关的依据。此类鉴定所供应的查验材料或许触及某个或几个计算机网络体系、计算机及相关设备，或许相关电子数据副本。但查验资猜中是否存在与案件实际相关电子数据，或许存在哪些相关电子数据，在查验鉴定前是不承认的。

而以“点评依据”为政策的电子数据司法鉴定首要任务是点评相关电子数据#据的关联性和实在性。此类鉴定所供应的查验材料触及到电子数据所要证明的案件实际在查验前是承认的，但能否能够证明该案件实际正是有待鉴定的。

因为上述两类司法鉴定性质不同，它们出现的诉讼阶段一般也是不同的。以“发现依据”为政策的电子数据司法鉴定首要出现在刑事诉讼中侦查阶段，以及民事诉讼和行政诉讼中依据沟通之前。而以“点评依据”为政策的电子数据司法鉴定更多出现在审判阶段。

(二)前者鉴定定见片面性较少，后者鉴定定见片面性较强

任何司法鉴定定见均带有必定的片面性。但因为鉴定进程中所依据的仪器设备、评判规范、人员判别进程对鉴定定见构成的影响程度等不同，其片面性程度也是不同的。一般情况下，以“发现依据”为政策的电子数据司法鉴定中包含的片面要素较少，而以“点评依据”为政策的电子数据司法鉴定中包含的片面要素较强。

以“发现依据”为政策的电子数据司法鉴定，是运用必定技术方法找出与案件实际相关的依据。其查验效果是所发现的电子数据，触及到对发现电子数据进程、方法和效果的描绘。其间包含的司法鉴定人的片面定见较少，鉴定定见客观性较强。

以“点评依据”为政策的电子数据司法鉴定，其效果是鉴定人依据自己的技术和阅历，通过对被鉴定政策查验和分析，对依据牢靠性与否所出具的鉴定定见。判别进程中触及到司法鉴定人的个人阅历和片面判别。并且，假设构成鉴定定见依靠的评判规范缺少或许不可具体，则鉴定定见带有很强的片面性。

因为两类司法鉴定包含的片面性要素不同，出具的鉴定定见书也不同。前者符合司法鉴定查验报告书的出具范畴；后者符合司法鉴定定见书的出具范畴。

(三)前者鉴定程序相对较凌乱，后者鉴定难度相对较大

以“发现依据”为政策的电子数据司法鉴定其任务是收集与案件相关的电子数据依据，许多情况下需求到案件现场进行取证。因为对案件现场的计算机网络、计算机及相关设备等具体情况不必定了解清楚，因而在实施鉴定前有必要科学地分配各种人力、物力和财力资源，以应对各种或许出现的不承认性情况。因而，拟定具体的举动方案非常重要。

另一方面，该类司法鉴定活动常常与侦查机关侦查活动严密地联络在一起，实施断守时还需求与侦查人员相互配合。因为触及较多的人、财、物分配，鉴定程序相对比较凌乱。但以“发现依据”为政策的电子数据司法鉴定可釆用的技术多种多样，相对来说鉴定难度不高。即便完结相同的鉴定事项，可选择的具体鉴定技术和方法也可不同，它们都能够完结相同的鉴定政策。

以“点评依据”为政策的电子数据司法鉴定需选用归纳分析方法进行鉴定，鉴定难度相对较高。因为该类鉴定首要任务是判别电子数据依据的实在性，而影响依据实在性的要素多种多样，单单依据电子数据本身信息难以对其实在性作出科学的判别。一般情况下，需求考虑电子数据本身信息，构成进程，构成环境、存储和保管情况、人员运用和接触情况等多种要素。这些归纳要素分析不仅仅触及计算机科学技术，有时候还触及其他学科知识，以及与计算机运用相关的阅历等，因而评判规范有必定迷糊性，构成鉴定定见的难度也进一步加大。

(四)前者鉴定难易度难以事前掌握，后者能够事前掌握。

传统司法鉴定对检材要求较高，在司法鉴定受理时，假设供应的查验材料不充分，或许鉴定要求不符合相关鉴定技术规范的，应不予受理。在鉴定进程中，还能够依据实际情况要求弥补新的查验材料和样本。因而在鉴定前，对是否能够构成清晰性定见有必定预期。但是以“发现依据”为政策的电子数据司法鉴定在发起断守时无法猜想能否收集到与案件相关的电子数据，因而风险控制难度较大。而以“点评依据”为政策的电子数据司法鉴定在实施鉴定前对查验材料所反映的信息有必定的了解，因而对能否作出清晰性鉴定定见有必定猜想，对鉴定进程的难易度能够较好的掌握，因而能够有用控制鉴定风险。

也就是说，以“发现依据”为政策的电子数据司法鉴定活动中，假设通过一次鉴定，未发现与案件实际相关的电子数据，并不意味着违法实际不存在，或许虽发现了与案件实际相关的电子数据，也并不意味着被发现和收集的电子数据全面、完好。它与事前釆用的战略、技术、方法存在必定的相关性。因而，这类鉴定难易度难以掌握，一次鉴定进程完结后，还应依据具体案情调整鉴定的战略、技术和方法，然后有用控制风险。而以“点评依据”为政策的电子数据司法鉴定与传统司法鉴定的实在性鉴定相似，其难易度相对较容易掌握，一般一次鉴定完结后，便能够构成鉴定定见。

(五)前者重在依据保管链(Chain of Custody)的完好性查看，后者重在鉴定方法和技术的牢靠性查看。

依据我国法令中依据分类方法，以“发现依据”为政策的电子数据司法鉴定触及到两种不同的依据种类：一为出具的司法鉴定定见；二为所收集的电子数据依据。在这一类司法鉴定中，出具的司法鉴定定见片面性要素较少，在依据查看时关键查看依据收集进程中的程序和方法。其间，电子数据在不同载体上转移或许由不同主体保管时，数据的完好性保护是至关重要的。因而在这一类司法鉴定中，触及的电子数据依据查看应关键注重数据完好性问题，即要对依据保管链(Chain of Custody)的完好性进行查看。

以“点评依据”为政策的电子数据司法鉴定仅触及到司法鉴定定见依据，且司法鉴定定见一般触及的片面性要素较强。对这一类依据的查看相似于美国专家证言的查看。关于专家证言一般包含两方面的查看：其一，相关性查看；其二，专家证言的科学性查看。在相关性规则方面包含三方面问题：争议的问题与案件实际相关；争议问题触及专门的、非常识性的阅历和知识；对专门问题供应定见的专家证人有必要具有专家资格。专家证言的科学性查看，首要有弗赖伊规则、道伯特规则等。我国司法鉴定人与美国专家证人不同，实施的不是“无固定资格”原则，因而法庭对这类依据的查看，除了法定的程序性事项外，最重要的是鉴定方法和技术的牢靠性查看。承认技术和方法的牢靠性与否，需求分析其是否依据相关规范和规范实施，假设没有相关规范和规范，则要分析所依据方法的科学性、可重复性、潜在过错率、依据理论的承受程度等方面进行具体分析。

三、电子数据司法鉴定在司法鉴定学科中的定位

电子数据司法鉴定相似术语有许多，如电子依据司法鉴定、电子依据司法鉴定、计算机司法鉴定等。一般它们用来指同一概念，一般不加以差异。在鉴定实务中，有的专家认为应将电子数据作为独立的鉴定类型，其包含规模比计算机司法鉴定广；也有认为应将计算机司法鉴定作为独立的鉴定类型，其鉴定内容包含电子数据司法鉴定。笔者附和后者的观点，因为从术语的字面意义上分析，电子数据司法鉴定是从鉴定政策动身界定概；而计算机司法鉴定则按照专门知识类别进行界定概念。依据我国司法鉴定学科分类体系和鉴定实务情况，应将计算机司法鉴定应设置为司法鉴定(学科)中的新类别，而电子数据司法鉴定从归于计算机司法鉴定。

其理由可归纳为以下几点：

1.司法鉴定学科分类是按照专门知识所属学科进行的

从司法鉴定概念上看，它是运用科学技术或许专门知识对诉讼触及的专门性问题进行辨别和判别并提出鉴定定见的活动。从概念界说看，它并非从鉴定政策角度进行界定，而是侧重“科学技术”、“专门知识”、“专门性问题”。因而对司法鉴定进行细分，从“专门知识”等角度进行进一步差异更加合理。而“专门”知识或问题一般依据不同学科类别细分，例如从从法医学、依据技术学、计算机科学、会计学、建筑工程学等角度差异更加清楚和清晰。从司法鉴定学科分类看，也是按照不同的学科进行分类的，没有按照鉴定政策或许依据类别进行分类的景象。

2.司法鉴定实务的差异全体上是按照学科类别差异的

从司法鉴定实务情况看，我国司法鉴定业务的差异全体上也是按照学科不同进行差异的。法医类司法鉴定中首要运用医学知识，它是法学与医学结合的交叉学科；依据类司法鉴定首要运用依据技术学原理和技术；声像材料司法鉴定首要运用语音学、电子学等学科知识；而其他类别司法鉴定也能够找到相对应学科类别。计算机司法鉴定首要运用计算机科学的原理和技术，它与其他司法鉴定釆用的原理和方法均存在差异，是法学与计算机科学的交叉学科，因而应与这些司法鉴定类别处于平等的位置。

3.按照鉴定政策进行一级差异在实践中不具有可行性

假设按照查验政策或许客体对司法鉴定进行一级差异，委托人有或许无法承认鉴定所属学科，很或许不利于鉴定活动的正常运行。某一种依据材料或许被查验政策，因为在诉讼中触及的可疑点不同，或许归于不同的鉴定类别。以印有人像的书面文件为例，它能够作为依据类鉴定的查验政策(如判别书面文件的真伪)，也能够作为法医类鉴定的查验政策(如判别人像中特定人的伤残情况)，还能够作为声像材料类鉴定的查验政策(如判别人像与特,人是否同一人)。因而，从逻辑层次上看，只要事前按学科对鉴定进行了分类，才干够进一步按照客体或依据材料不同进行差异。

4.电子数据司法鉴定为计算机司法鉴定首要类型之一

假设按照查验政策对司法鉴定进行一级差异难以直接表现鉴定人的“专业性”特征。只要在某一学科内部按照鉴定政策进行差异才有实际意义。按照鉴定政策不同，计算机司法鉴定可分为电子数据为首要政策和以电子设备为首要政策的鉴定。当然，电子设备中或许包含电子数据，电子数据也依靠于存储设备，差异依据看哪一政策起首要作用。也就是说，应将计算机司法鉴定设置为司法鉴定的一种新鉴定类别，它与法医司法鉴定、会计司法鉴定、依据类司法鉴定归于同一层次。

四、结论

以“发现依据”为政策和与以“点评依据”为政策的电子数据司法鉴定两者在鉴定政策，鉴定定见片面性、鉴定风险和鉴定程序方法、依据查看上都存在差异。依据鉴定性质不同，将电子数据司法鉴定分为上述两种不同类别的电子数据司法鉴定，并按照这个方向进一步细分，便于从法令和技术交叉视角对其更深化地展开研讨，也更加有利于科学拟定电子数据司法鉴定相关程序规则和技术规范。