文章总结： 本文基于《电子证据审查精义》提出大证据思维，强调数字化时代须真正落实证据裁判主义。作者剖析了司法实践中口供称霸、情况说明泛滥、电子证据被忽视、鉴定审计黑箱化及综合认定异化等六大异象，呼吁法律共同体切实提升电子证据实质性审查能力，构建以客观证据为核心的证明体系。 综合评分： 90 文章分类： 政策法规,网络安全,技术标准,数据安全

---

贰、拥抱已来“海量证据”

“大证据思维”之要义，次在于直视证据“数据化”“海量化”，即“证据海量”。

自从数据以GB、TB、PB计量以来，个案中的电子证据就日益呈现为一种用之不竭的数据原料。它们通常以海量的办公文档数据、图片证据、电子邮件、通信聊天记录、通信数据、资金数据、网页数据、舆情数据、物流数据、轨迹数据以及日志数据等形式出现。在我直接经手办理的案件中，有的案件仅仅资金流水就超过60亿条，有的案件中仅一部手机的微信聊天记录就超过200万条，有的案件中仅电脑日志数据就以亿计，有的案件仅仅视频文件就超过千万部……形形色色的海量数据早就镶嵌进了办案流程，这是不争的事实。是故，侦查机关在实践中早就使用了蓝光刻录及蓝光光盘，或者开展区块链平台存证、大数据分析平台析证等创新做法。

与此同时，办案机关仍然普遍沿袭纸质卷宗流转的老办法。我调研了解到的情况是，一起案件形成的案卷数量动辄数千册，超过2000册、5000册、8000册、12000册的记录在被不断刷新。然而，在纸质卷宗内查找、搜集、分析、整合证据信息的过程十分缓慢，效率低下，前期的证据获取环节、中期的证据复制环节、后期的证据运用环节亦需要投入大量的司法资源。我以律师身份介入的一起非法吸收公众存款罪案件，虽然涉及案卷仅200册，但在检察机关审查起诉环节快结束时才制作好电子卷宗供律师复制。经了解，主要原因是检察机关的案管部门要优先处理审查批捕案件的纸面卷宗电子化的任务。这种单纯依赖纸面卷宗办案的机制是值得反思的。鉴于该案的主要证据之一是一份《专项审计报告书》、且其中有关结论存在重大疑点，我也多次申请检察机关优先提供该《专项审计报告书》及其依据的原始数据，以便进行全面复核。最终，我勉强拿到了《专项审计报告书》的PDF电子版本，原始数据的提供则遥遥无期。这反映了办案人员依赖纸面材料办案的习惯，并无意识也无能力拥抱海量数据。

以电子证据的视角管窥，人类司法已经进入海量证据的时代。那么，办案人员如何有效运用海量证据办案？简答之，办案人员应当直面海量数据，借助算法（数据）模型，开展“机器+人工两步法”的办案理念与技能转变。本书第四章“智能化证据审查”对此有着集中论述。在此结合当下实践中如火如荼的四种探索进行补充。

探索之一是金析为证。它指的是根据案件侦查、调查工作的需要，侦查、监察机关依法对涉案资金数据进行梳理分析，对资金交易的进出账户、金额大小、交易时间、对手信息的关联性和共同性进行梳理，确定账户之间的关系和资金去向，对违法犯罪事实进行分析研判形成的专门报告。其对应的是“鉴计为证”，既包括办案部门委托电子数据司法鉴定机构对涉案单位的后台服务器数据开展鉴定形成的专门鉴定意见书，也包括办案部门委托会计师事务所对涉案单位的纸面或电子会计、审计资料等实施会计审计活动形成的专门分析报告。两相比较，“金析为证”同“鉴计为证”具有天然的承袭关系，但显然前者具有后发优势：其一，“金析为证”指向的是案件中实际发生的涉案金额，“鉴计为证”指向的是案件中记账形成的涉案金额。简言之，前者可归入实际金额，后者可归入账面金额。其二，“金析为证”建立在难以消失的电子数据的基础上，“鉴计为证”往往依据的是容易消失的电子数据。换言之，前者可产生“永不消逝”的证据，后者随着“时过境迁”而难以查证。其三，“金析为证”的结果是法庭易于核对真伪的，“鉴计为证”的结果则在庭上难以核对。这涉及大数据时代新型材料用作证据的一个关键性问题，即相关专业判断是否可得到法庭检验。可见，当下办案机关不能对“金析为证”抱持畏惧感而予以排斥。

这就需要办案机关积极拓展源自商业银行、外汇管理机构及第三方支付机构等资金数据，研发和使用甄别关于追溯资金来源、追查资金去向、理清交易结构的各种数据算法模型，在机器快速得出针对指定账户及其在一定范围内的对手交易账户的资金穿透结果的基础上，进行人工核验并出具专业报告。如在前述王××等组织、领导传销活动罪一案中，办案人员要摒弃披着“金析为证”之皮的不合格“鉴计为证”，重新调取合格的资金数据进行清洗，导入金析为证平台进行专业的检验分析，得出经得起历史经验的非法所得数据。

探索之二是轨迹为证。大数据背后的轨迹分析，通常是指通过对目标对象的位置数据或轨迹数据进行穿透分析，得出其某一时刻或某一时段的活动经历，进而查明其所在位置或活动轨迹。它一直被用作犯罪侦查的线索，现如今面临着继续证据化的问题。

轨迹为证的分析对象是各种位置数据或轨迹数据。位置数据主要指依据定位功能所得的地理位置数据或基站数据；轨迹数据源于某一时段内位置数据的时序排列，主要包括行车/乘车轨迹、飞行轨迹、住宿轨迹、手机轨迹、网络行为轨迹等。[39]轨迹为证的分析方法可以是基于大数据观念的简单分析，如办案人员解析相关电子证据中位置信息进行节点还原，也可以是基于大数据平台的专门分析，如办案人员通过分析RFID轨迹、公安局RFID大数据系统、RFID大数据应用登记系统轨迹分析、大数据轨迹查询单、大数据智能交通综合应用平台车辆轨迹信息等还原轨迹。轨迹为证应当成为办案人员掌握海量证据的新技能。

例如，在本书第十章“造股坊”“油财宝”虚假理财网站诈骗罪一案[40]中，该案系犯罪嫌疑人境外作案、境内抓获，办案人员通过调查嫌疑人在境内使用的手机号码所出现的重要基站位置，锁定了每名犯罪嫌疑人的身份，搭建了犯罪嫌疑人出境前行为轨迹的证据链条。又如，在本书第十章厉××诈骗罪一案[41]中，为甄别被告人是否冒充了某一个虚拟的身份骗取财物，办案人员可以根据向腾讯公司调取的厉××微信号登录日志，揭示案发期间该微信号登录日志显示的轨迹是否同被告人实际位置相一致，揭示案发之后该微信号登录日志显示的轨迹是否同被告人被羁押的事实相矛盾。

探索之三是关系为证。大数据能够反映各种社会关系。办案人员可以在收集和分析社交媒体数据的基础上，运用社交网络分析的方法，调查目标对象的社会关系网络或结构图，从而获得犯罪活动中相关主体的线索。我经调研发现，纪委监委在反腐败中较多使用刻画特定关系人等方法实现案件突破，公安机关在共同犯罪案件查处中也较多使用刻画共同关系来进行案件锁定。这也需要采取一些特殊算法模型，如特殊时段刻画、异常时长刻画、敏感时间刻画以及伴随关系刻画等。从理论上讲，关系刻画可以形成新的证据，这有待于实践突破，更有待于经验累积。

如在本书第十、十一章崔×诈骗罪一案[42]中，一审法院根据口供等言词证据认定涉案平台公司董事长崔×是组织平台女会员诈骗的第一主犯。到二审阶段，辩护律师通过对被告人崔×及房×、田××（系公司高管）同各个女主播的通讯数据进行分析，发现房×、田××背着成立了另一家公司而组织女会员牟利。这就不能将共犯夸大化打击到董事长崔×身上。二审法院改判崔×系组织平台女会员诈骗的从犯。此案的辩护效果取得，昭示了将“关系为证”变为现实的必要性。

探索之四是规律为证。一个个具体数据聚合到一定规模之后，可以通过数据反映背后的规律，这些规律就能够用于还原案件事实。其中，起到证明作用的就是海量数据凝练而成的规律性认识——具体呈现为专业分析报告。这是大数据用作证据的特色及魅力所在。然而，规律能否为证，是一个尚无定论的理论问题。这一问题在大数据时代尤为突出。

如在一起涉税案件中，办案人员调取了涉案的全量资金数据——资金流水数据上亿条、账户数达上万个，聘请技术专家“建立了资金特征分析模型……在很短时间内完成可疑资金网络的刻画，利用关系可视化技术清晰展现可疑资金的来源和去向，并且自动标注账号和主体的类别标签”。[43]这样的分析报告类似于鉴定人或其他专家的意见，但也与之有明显不同，其专业化程度已经超越人类的专家。准确地说，其是借助于机器算法形成的判断。

叁、透视内生“证据结构”

“大证据思维”之要义，三在于立足于证据“结构化”，即更加关注内生的“证据结构”。

美国证据法大师麦考密克的名言是：“一块砖并不等于一堵墙”。[44]展开来说，法官判断一项或一组特定的证据是否与案件相关联是一个问题，而一方当事人出示的证据整体是否已充足地展示于陪审团面前是另一个问题，判断这两个问题的标准是不同的，前者的判断标准不如后者严格。他点出了孤立地看待证据与体系性地看待证据的区别。这是证据法领域的结构思维。

所谓结构思维，就是用系统、结构、要素、层次的观点，将纷繁复杂的事物视为一个整体，强调从系统的结构去认识客观事物，并从中寻找最优结构，以获取最佳系统效能的思维模式和思维方法。[45]它是从结构的视角分析事物的一种科学思维方式，在司法证明领域有着根深蒂固的地位。办案人员以结构思维处理案件，主要是要搭建不同类型的证据组合、证据体系或证据结构。这三个词语大同小异，均反映了“孤证不能定案”的道理。以证据组合为例进行阐释，它“不是简单的拼接、堆积，而是将部分组合成整体，将元素组合为系统，将个体组合为组织”，包括“组织成为整体和整合内在关系”。[46]传统上，证据组合是由办案人员靠逻辑论证搭建的。一般来说，关于同一案件事实出现了多份证据，如人证、物证、书证以及带有混合特点的电子证据，它们指向一致、可以印证且不存在不能排除的矛盾，就可能被搭建为证据组合。这在整体上是一种外在性结构。

电子证据出现后充实了司法证明中的结构思维，催生了形形色色的新证据组合、证据体系或证据结构。它们既是理论创新的机会，也是实践突破的契机。

新证据组合之一是电子证据“内容——属性——痕迹”的三位一体。电子证据是寓存于信息空间的证据。任何行为人均不能直接闯入信息空间形成证据，而必须是由软件、硬件等构成的机器形成证据。这就形成了电子证据“内容——属性——痕迹”的内在构造。在这里，电子证据“内容”指的是可在电脑屏幕上便宜显示、可打印成文稿的部分，如WORD文档中以十六进制显示时的中间部分；电子证据“属性”指的是通过文档属性方式展示的时间、时长、作者、软件名称、版本号、大小等通用属性，有时也包括特定类型文档的专用属性，如JPG文件的光圈值、曝光时间、ISO速度、焦距、最大光圈、测光模式等EXIF信息，主要表现为以十六进制显示时的头尾部分；电子证据“痕迹”既包括信息系统产生的各种痕迹文件，如WINDOWS日志文件，也包括电子证据映射到不同信息系统层级的痕迹特征，如打印材料、上网材料等。在依靠电子证据定案的案件中，电子证据必须“三位一体”才能有效发挥证明作用。

如在本书第一、三、六、十三章黎×侵犯商业秘密罪一案[47]中，主要争议问题之一是涉案的××.xls文件是否为事后伪造移植进电脑中去的。在这种情况下进行专业判断，办案人员可以分析该××.xls文件的内容信息（包括几十万客户名单等“商业秘密”内容）是否为被告人所获取或掌握，是否为被害人或其他人知晓。仅此是不够的，办案人员还需要厘清该××.xls文件的属性信息，包括常规“属性信息”项下的“创建时间”“最后修改时间”“最后访问时间”、“详细信息”项下的“创建内容的时间”“最后一次保存的日期”“最后一次打印的时间”“总编辑时间”；办案人员也需要厘清该××.xls文件的痕迹信息，包括系统文件、系统日志、用户历史记录、临时日志文件、聊天日志、会话日志、应用程序日志、用户身份验证日志、数据库日志、cookie等。在该案中，最具有突破价值的电子证据是名为$J的日志痕迹，它能够直观显示该××.xls文件系在2019年1月30日后被人将电脑时钟改为2015年8月6日再植入的。但显而易见的是，该案中发挥证明作用的是关于该××.xls文件的内容、属性、痕迹等信息的整体架构。

新证据组合之二是“鉴——数（介）——取”三位一体。电子证据是需要借助技术转化才能读取的证据，且日益呈现出庞大体量的特征，这就使得办案人员通常不能直接查看电子证据或其介质来认定案件事实。实践中，电子证据（简称为“数（介）”）需要转化为鉴定意见（简称为“鉴”），如以“寻找涉案的电子证据”为鉴定请求，转由专家形成鉴定意见书。这就形成了初步的“鉴——数（介）”架构。同时，用作鉴定检材的电子证据缘何得来，办案人员需要形成现场勘验笔录、远程勘验笔录、网络在线提取笔录等法律文书（简称为“取”），以文字笔录+录音录像笔录+附件光盘等形式加以佐证。这也形成了初步的“数（介）——取”架构。它们组合在一起，就形成了完美的“鉴——数（介）——取”三位一体架构。它是一种完美的、内生的证据组合。

如在前述××公司、杨××等提供侵入、非法控制计算机信息系统程序、工具罪一案中，证明案件主要事实——被告人开发提供的涉案软件属于侵入、非法控制计算机信息系统程序、工具的证据是一份鉴定意见书，其意见表述为“送检程序具有侵入功能、属于侵入程序的鉴定报告”。如何审查该鉴定意见是否有效呢？办案人员不能就“鉴”论“鉴”，必须厘清其鉴定使用的检材。这就找到了源自嫌疑人周×杰电脑硬盘的源代码文件，以及源自证人功能机中手机文件、源自侦查机关开展侦查实验形成的侦查实验文件、源自被害人公司提供的一种特殊的压缩文档。这各类电子文件被刻制在不同光盘中，而判断这各类电子文件及光盘是如何得来的，办案人员还要制作电子证据清单、侦查实验笔录等。经过如此梳理之后，本案很快得出鉴定意见不可靠的基本判断。这一判断的得出，办案人员没有什么火眼金星，诀窍在于“鉴——数（介）——取”三位一体的思维。

新证据组合之三是证据多版本、连续体的体系审查。电子证据朝向巨量化转型后，多版本、连续体现象伴随而至。电子证据的多版本指的是电子证据及其关联证据以多个版本呈现，如电子证据的原始文件与镜像文件、原始数据与备份数据、初级数据与次生数据等，又如电子证据的勘验检查笔录、司法鉴定意见书的延续份数等；电子证据的连续体指的是电子证据及其关联证据以连续形式呈现，如WORD文档在生成过程中形成的单一文件、压缩文档、发送邮件、转发邮件及归档文件等，又如关于电子证据的勘验检查笔录、扣押清单、鉴定委托协议、鉴定意见书、鉴定告知书等。它们分别构成了电子证据生命周期中的横向结构与纵向结构，为开展电子证据的比对式审查奠定了天然的基础。

如在前述董××等侵犯公民个人信息罪一案中，侦查机关两次提取了被害人公司提供的两份数据库文件，并送交同一鉴定机构进行了四次鉴定。这就形成了电子证据多版本与连续体。前者既包括公（网安）勘【2019】040101号、【2019】050601号现场勘验检查笔录，也包括京××【2019】声像鉴字第339号、第360号、第376号（旧）、第376号（新）《司法鉴定意见书》；后者主要包括侦查机关制作的工作说明、事主提供的数据材料、勘验检查笔录、司法鉴定意见书、询问笔录等。我按照两次勘验和四次鉴定的时间节点，进行比对式统计，就发现了现场勘查及鉴定过程中的虚假及违法问题。

新证据组合之四是不同空间、不同节点的连属证据簇。电子证据主要是信息空间的证据，它在案发过程与办案过程中均涉及物理空间。这就出现了信息空间的电子证据与物理空间的关联证据相组合的现象，相当于人体不同组成部分形成连属关系。一般来说，只要它们在内容上一致、且所处空间分立，就构成位于不同空间的连属证据簇。电子证据还普遍存在着在多个信息系统、多个网络节点并存的现象，更类似于人体不同组成部分形成的连属关系。同样，只要操作系统与应用文件系统的数据系同一机器行为产生的，只要不同网络系统的数据系同一网络交互行为产生的，即构成位于不同节点的连属证据簇。

例如，在本书第八、九章吴××组织、领导传销活动罪一案[48]中，指控的关键证据是声称由××电子数据司法鉴定中心的鉴定人通过远程方式提取的美国服务器中数据，鉴定意见书表明鉴定人启动电子物证检验工作站、同步启动录像、打开涉案的服务器网址、输入账号密码、进行数据下载。这就出现了数据下载行为、数据固定行为与录像行为的连属关系，该鉴定行为形成的下载数据与录像文件构成连属证据簇。经过两个空间的连属审查，比较容易发现虚假鉴定的各种疑点。又如，在本书第九章甲公司与乙公司、丙公司买卖纠纷一案[49]中，涉案的重要证据就是一封声称源自丙公司员工的担保邮件，该邮件的真实性在庭上产生了激烈争议。该邮件的异常点包括印章印文存在套印的可能、附件图片的EXIF信息不完整、附件转发存在着替换的可能等。在这种情况下，办案人员应当另外搜索收发邮件使用的另一端电脑、两端服务器及可能转发邮件的电脑，找到对应的邮件版本构成一个连属关系，进行发送过程的完整审查。

新证据组合之五是不同角度的证据链。证据链是关于间接证据定案的基本理论。《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第140条规定，间接证据必须符合“全案证据形成完整的证据链”的条件，才可以认定被告人有罪。这里说的证据链，是非常形象的说法，即用不同间接证据搭建而成的链条闭环。电子证据虽然不全是间接证据，但它在搭建证据链方面具有天然优势。本书第十章阐述了电子证据在搭建证据链方面具有独特的优势。这突出表现为它可以自然或人为地形成多维度证据链，继而推动形成专门的链条式审查之初高阶技巧。

初阶技巧包括基于不同阶段与同一主体的证据链条搭建。如本书第十章郭××等29人诈骗罪一案[50]发生在境外，办案人员既按照诈骗的主要步骤——“电脑手推送语音包”“一线冒充香港入境处工作人员”“二线冒充公安机关工作人员”“三线冒充检察官”，梳理出各步骤的“语音包”“通话记录”“户籍信息、通缉令、起诉书、网站登录痕迹”“假冒的最高检网站、Skype聊天记录”等，又按照不同被害人将被害人身份信息、转账记录、被害人陈述、聊天记录等电子证据组成链条。高阶技巧包括基于手段挖掘、关系刻画、身份识别、轨迹确定与时地框定的证据链条搭建。如在崔×诈骗罪、廖××等诈骗罪、李××诈骗罪等案中，办案人员通过关键词搜索搭建“行为链/手段链”，通过通讯数据分析搭建“关系链”，通过手机服务上查询搭建“轨迹链”，通过手机登录日志搭建“时地关系”……这些证据链的复杂多样，契合电子证据内在成链的天然特点。

以上各种内生的证据结构，事实上构成极富想象力的电子证据大体系。这远超传统证据的体系。办案人员开展电子证据审查，应当循此方向的导引。

肆、铺开类人“证明模型”

“大证据思维”之特征，四在于以类人化思维模型分析证据，即类人“证明模型”。

办案人员是如何认识案件的？一般来说，这一群体有着独特的思维方式。柯南道尔在《福尔摩斯探案集》中借福尔摩斯之口说过：“对一个逻辑学家而言，整个生活就像是一条巨大的链条，只要见到其中的一环，整个链条的情况就可推想出来了。”[51]这是以形式逻辑的视角评析办案人员的思维魅力。影响更广的说法是“魔法水晶球”之喻。拉·别尔金说过：“侦查员的‘魔法水晶球’……有许多晶面，透过它们，侦查员可以看到案情的‘烟雾弥漫的远方’。一个晶面是技术武库，另一个晶面是逻辑学，第三个晶面是心理学的各种原则，尤其是犯罪心理学”[52]这说明办案人员要融技术知识、逻辑知识与心理知识于思维活动中。人们常说“办案人员是知识的杂家”，讲的就是知识融合的重要性。

在海量数据的当下，办案人员如何利用机器的智慧面对海量数据？这就需要将人力办案经验机器化、智能化，即教会机器像办案人员一样思考。而这里的诀窍在于铺开类人的“证明模型”。所谓证明模型，在这里可以理解为将办案人员司法证明方法抽象化得出的框架。其中很大一部分是可以数据化、智能化实现的。它是办案智能化的重要钥匙。可以说，随着各种办案知识的模型化乃至智能化，辅助办案工具所产生的新质生产力就像从地底下源源不断地冒出来一样。这一过程正在并将持续不断地发生。

类人“证明模型”的大类之一是数据碰撞类模型。数据碰撞指的是从不同数据库中选取一种或几种数据为标识数据进行碰撞比对，从而发现批量案件存在的监督线索。数据碰撞类模型是将两个或以上数据集进行自动比对分析，发现其中的异同之处，以此证明案件事实的数据模型。它是办案人员比对审查的大规模化、机器化。当下常用软件中Word软件可以自动比较两个文档的异同，Excel软件可以比较和核对不同列或不同工作表中的数据，一些专业级的数据碰撞软件或平台能够实现跨域数据的横向联接、纵向筛选。这就为个案中选择数据碰撞类模型高效率地进行证据审查奠定了基础。

如在前述吴××组织、领导传销活动罪一案中，最重要的指控证据是一份鉴定意见书，判断涉案平台发展会员达62818人、构成推广层级46级。为了甄别这一专业判断是否对应法律规定的“30人、三级”的入罪门槛，辩护律师团队将涉案数据库中会员登录IP地址（包括用户注册IP地址、最后登录IP地址）进行了数据碰撞分析，得出结论是最后一次登录IP仅有116个、下过单的用户共计60个IP地址，并可以结合ID号进行多维排重，在此基础上进一步证明鉴定意见书中的“推广层级46级”不等同于返润层级。这里使用的数据碰撞分析方法，抽象出来就是数据碰撞类模型。

类人“证明模型”的大类之二是数据画像类模型。数据画像指的是从办理个案中发现规律性问题，通过归纳案件的异常特征、要素等情况进行深入分析，构建可监督案件的形象。数据画像类模型是将多个数据集按照多维度进行自动分析，构建行为人或行为的特征形象，以此证明案件事实的数据模型。数据画像在商业推广中影响广泛，大数据杀熟是一个典型例子。数据画像在司法办案中的运用，一般认为源起于职务犯罪查处中对不法官员的数据画像，通常涉及到刻画身份信息、家庭情况、工作履历、社会关系、活动轨迹、资产情况及其他异常情况等。现如今数据画像已经蔓延到司法办案的各种场景以及具体角落。可以说，凡是需要了解当事人或其他诉讼参与人同案件事实关系的，数据画像就有良好的用武之地。

如在本书第十一章陈×开设赌场罪一案[53]中，争议重点是当地是否抢夺管辖权进行“远洋捕捞”。为此，辩方需要刻画当地会员注册成为平台会员及运用平台的情况。这可以按照当地IP地址、手机号进行过滤，对命中的会员按照平台记录进行数据刻画。结果发现，包括接受报案的警察在内的几十名警察均是所谓涉赌平台的注册会员，均有使用平台的行为；而两名报案人报案所述信息同其平台记录不一致，同接受报案的警察的平台记录一致……这一发现可以被理解为对当地会员的一次数据画像，抽象乃成数据画像类模型。

类人“证明模型”的大类之三是数据挖掘类模型。数据挖掘指的是面对海量数据，按照一定的条件，利用算法挖掘出几条指向犯罪的直接数据。数据挖掘类模型是将一个数据集进行自动显微分析，挖掘出一条或多条指向犯罪的隐蔽证据，以此证明案件事实的数据模型。大数据就是一个数据海洋，挖掘就是淘宝。这需要将办案人员的火眼金星交给数据模型去实现。一般来说，办案人员根据发现的特定证据特征来识别异常情形，数据模型则需要结合这些经验来优化分析逻辑。最彻底的数据挖掘一般认为是在十六进制层面寻找犯罪留下的同犯罪有关的、字节意义上的“微量证据”。

如在本书第六章DDos攻击犯罪一案[54]中，嫌疑人对涉案硬盘（虚拟机）进行了数据处理。为了找到嫌疑人开展DDos攻击留下的蛛丝马迹，办案人员对嫌疑人的虚拟机数据进行了十六进制下的底层数据挖掘，找到其同被害单位服务器进行数据交互的痕迹信息、运行VPN的痕迹信息、敲诈被害单位的数据碎片。本案成功突破的背后经验是十六进制下关键词的查找。这可以发展成为一系列数据挖掘类模型。

类人“证明模型”的大类之四是数据穿透类模型。数据穿透指的是穿透案件合法表面，深入审查关联案件背后的异常问题。数据穿透模型是对不特定数据集进行自动穿透分析，洞穿表面的案件事实，解释内在的资金关系、股权关系、社交媒体关系、物流规律、位置规律、通讯规律等，以此证明案件事实的数据模型。相比于前述各种数据模型而言，数据穿透类模型更需要大模型思维。

如在冯×等非法吸收公众存款罪一案中，审计报告做出的判断是涉案平台非法吸收公众存款145亿元，其中重复投资金额22.1亿元。为了核实这一判断是否准确，辩护律师团队申请拷贝了会计师事务所做出审计报告所使用的检材数据，结果发现会计师事务所实际上是根据平台后台数据中既带的注资表格做出的鉴定，既缺少起码的提取笔录，也缺少必要的鉴真去伪步骤。特别明显的错误是，会计事务所将巨额投资重复计算超过几十亿元，将已归还资金漏算十几亿元。在此基础上，辩护律师团队要寻求专业力量的支撑，穿透后台数据，以客观发生的资金流水作出真实非法吸金数量的判断。

以上数据模型在司法证明中的引入，给法律共同体创新证据法原理提出了时代要求。创新任务包括如何认可新证据样态、证明模型定位、举证质证方法以及数据模型支撑下的综合认定理论等。

伍、追求高超“智能办案”

“大证据思维”之要义，五在于奔向“智能化”证据审查。

加拿大著名冰球运动员韦恩·格雷茨基说过一句意味深长的话：“奔往冰球所向，而非冰球所在”。这已然成为当今人们思考大数据智能驱动社会改变的名言警句。电子证据审查的“冰球所向”为何？这就是以内生“证据结构”+类人“证明模型”为依托的高超“智能办案”。

这一审查方式的转变不仅是解放办案人员的双手、双脚，更是解放办案人员的大脑。这形成的不是人工办案，而是高超的智能办案；不是完全基于人类智慧的办案，而是带有人工智能色彩的办案。诚然，以机器完全替代法官、检察官、警察、律师或鉴定人还是比较遥远的事情（不排除在互联网法院审理简单案件时会出现极小众的司法人工智能），机器人法官、检察官、警察、律师或鉴定人也不可能马上实现（因为司法办案存在着价值考量等复杂挑战）。但无论如何，走向高超“智能办案”，是电子证据审查工作中的一种追求。这就需要期待科技创新源源不断地推出智能化审查产品的同时，办案人员自力更生进行配套加持。

加持之一是辅以专门的技战法。当前实践中，电子证据审查可以采取时间段过滤、时间戳验证、伴随线串并、关键词检索、字典库检索、高频度提炼等技战法。它们的共性在于通过技术手段极大地提高电子证据初审的效率，以及缩短人工审查的投入时间。这就在坚持办案人员审查电子证据本体的基础上，走上了智能化的道路。它对电子证据审查的提速，虽非百分之百地替代办案人员的人力付出，但也产生了明显的效果。在海量资金分析、通讯数据穿透等探索中，更展示出不可或缺的显著改进效果。

如在本书第四章谢××等诈骗罪一案[55]中，指控证据很多是从扣押的电脑手机中不规范提取的电子证据。辩护律师团队以取证过程的时间同所提取数据的时间进行匹配，就能精准地甄别出部分在案发过程后形成的，特别是在一二审阶段才出现的电子证据；以涉案WORD文档的时间戳为依据可以自动过滤出异常的WORD文档，以关键词或字典库检索可以清楚梳理涉案企业各个部门是否存在虚构或隐瞒事实的诈骗行为……这是二审补充开庭阶段辩方质证取得突破效果的原因。令人遗憾的是，本案中辩护律师团队对电子证据进行智能化审查的时间太短，未能明确甄别出背后可能存在的配侦公司不当介入案件办理以及引发的证据造假问题。在当前的司法环境下，该案辩护律师团队的证据审查工作仍有自我检讨的空间。

加持之二是总结主要的新实践。我国开展电子证据智能化审查主要成绩体现为形式审查方面，如以校验值核验、时间戳核验、区块链核验、电子签名核验、数字水印核验等方式甄别电子证据是否具有形式真实性。相比而言，我国开展电子证据智能化审查在实质审查方面仍有明显不足，主要表现为办案人员缺乏进行简单文本搜索、复杂文本分析的意识和能力。因此，实质审查方面的不足是改进的重点，其突破口在于深入结构分析和丰富模型建设。不仅如此，我国的智能化证据审查新实践还可以按照办案人、平台等不同实施者进行类型化总结。

如在前述王××等组织、领导传销活动罪一案中，关键性的证据之一是电子数据鉴定的检材。办案人员要想快速核对，方法之一是计算各个检材的校验值并自动同相关文书进行匹配，方法之二是提取各个检材校验值的时间信息并自动同相关文书进行匹配，方法之三是提取操作系统的开关机记录信息并自动同相关取证活动进行比对……这样能够很快确定涉案硬盘被违规扣押造成数据污染的事实。这些方法可以不断地提升为智能化的水平。

代结语

综上可见，在大数据智能的新时代，办案人员开展电子证据审查，应当从理念、数量、结构、模型、智能等方面进行全面重塑。对此，我尝试着提出一份关于电子证据有效审查的学术主张：“方向导引”囊括实质性审查、聚焦式审查、显微式审查、智能化审查等；“原理推新”覆盖还原式审查、映射性审查、比对式审查、体系式审查、连属式审查、链条式审查等；“制度依托”涉及勘验式审查、实验式审查、鉴定式审查、辅助式审查、排非性审查等。这幅专业图景如何，有待法律共同体的品评指正。

未来已来，大证据思维必将孵化一种全新的办案方式！

[1]何家弘主编：《电子证据法研究》，“前言部分”第4页，法律出版社2002年版。

[2]樊崇义、李思远：《论电子证据时代的到来》，载《苏州大学学报》（哲学社会科学版）2016年第2期，第106页。

[3]大数据元年通常被认为是2013年，标志着全球正式步入了大数据时代。自此，大数据技术被认为是其他新型信息技术的基石，宣告了大数据在各个领域的重要性。

[4]Evidence is the basis of justice. (Bentham, Rationale of Judicial Evidence, Part III, Chapter 1)

[5]【美】本杰明·卡多佐著：《司法过程的性质》，苏力译，商务印书馆1998年版，第80页。

[6]【前苏】安·杨·维辛斯基：《苏维埃法律上的诉讼证据理论》，法律出版社1950年版，第78页。

[7]Actions speak louder than words.

[8]参见「日〕松尾浩也：《日本刑事诉讼法》下卷，中国人民大学出版社2005年版，第4页；亦可参见〔日〕土本武司：《日本刑事诉讼法要义》，董瑙典、宋英辉译,台湾五南图书出版公司1994年版，第310-311页。转引自陈光中、郑曦：《论刑事诉讼中的证据裁判原则——兼谈<刑事诉讼法>修改中的若干问题》，载《法学》2011年第9期，第7页。

[9] “Article 317  Facts are established on the basis of evidence”. See Code of Criminal Procedure of Japan, Law number: Act No. 131 of 1948, Law number: Amendment of Act No. 74 of 2011, http://www.japaneselawtranslation.go.jp/law/detail/?id=3364&vm=02&re=02.

[10] “Article 307 (No Evidence No Trial Principle)  (1)    Fact finding shall be based on evidence.” See

CRIMINAL PROCEDURE ACT of South Korea, https://elaw.klri.re.kr/eng_service/lawView.do?hseq=52939&lang=ENG.

[11]台湾地区五南法学研究中心编辑：《简易小六法》，五南图书出版股份有限公司2011年版，第7-26页。

[12]这一方面的主要法律条文包括：（1）《人民检察院刑事诉讼规则》第61条：“人民检察院认定案件事实，应当以证据为根据。”（2）《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第69条：“认定案件事实，必须以证据为根据。”（3）《关于办理死刑案件审查判断证据若干问题的规定》第2条：“认定案件事实，必须以证据为根据。”（4）《最高人民法院关于建立健全防范刑事冤假错案工作机制的意见》第235条规定：“坚持证据裁判原则。认定案件事实，必须以证据为根据。应当依照法定程序审查、认定证据。认定被告人有罪，应当适用证据确实、充分的证明标准。”（5）《最高人民法院关于印发“三项规程”（试行）》第1条规定：“法庭应当坚持证据裁判原则。认定案件事实，必须以证据为根据。“

[13]张军主编：《刑事证据规则理解与适用》，法律出版社2010年版，“绪论”部分第7页。

[14]参见程荣斌：《建设口供制度要走法制化道路》，载《中国刑事法杂志》2001年第3期，第13页；崔敏：《三次大规模逼供信的回顾与反思》，载《刑事司法论坛》2010年第1期，第79页。

[15]许身健：《共同犯罪分案审理问题研究》，载《国家检察官学院学报》2022年第1期，第123页。

[16]主导案例8-1、辅助案例15-4。

[17]秦宗文、叶巍：《认罪认罚案件口供补强问题研究》，载《江苏行政学院学报》2019年第2期，第123页。

[18]参见谢登科:《论刑事简易程序中的证明标准》，载《当代法学》2015年第3期，第142－143页。

[19]参见高通:《刑事速裁程序证明标准研究》，载《法学论坛》2017年第2期，第111页。

[20]参见孙远:《论认罪认罚案件的证明标准》，载《法律适用》2016年第11期，第17页。

[21]主导案例15-2、辅助案例4-10。

[22]黄维智：《刑事案件中“情况说明”的适当定位》，载《法学》2007年第7期，第153页。

[23]《刑事诉讼法》第175条规定：“人民检察院审查案件，可以要求公安机关提供法庭审判所必需的证据材料；认为可能存在本法第五十六条规定的以非法方法收集证据情形的，可以要求其对证据收集的合法性作出说明。”

第56条规定：“……收集物证、书证不符合法定程序，可能严重影响司法公正的，应当予以补正或者作出合理解释；不能补正或者作出合理解释的，对该证据应当予以排除。”

[24]《刑事诉讼法》第59条第2款规定：“现有证据材料不能证明证据收集的合法性的，人民检察院可以提请人民法院通知有关侦查人员或者其他人员出庭说明情况；人民法院可以通知有关侦查人员或者其他人员出庭说明情况。有关侦查人员或者其他人员也可以要求出庭说明情况。经人民法院通知，有关人员应当出庭。”

[25] Calling a tail a leg doesn’t make it one.

[26]这是笔者2021年10月16日在北京市周泰律师事务所研究院成立暨《网络犯罪与电子数据研讨会》上的发言观点。

[27]主导案例1-1、15-1；辅助案例6-1、8-1、11-1。

[28]邵俊武：《论专门性问题的诉讼证明》，载《现代法学》2000年第6期，第98页。

[29]李学军：《诉讼中专门性问题的解决之道——兼论我国鉴定制度和法定证据形式的完善》，载《政法论坛》2020年第6期，第40页。

[30]主导案例4-1、5-1。

[31]如《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第139条第1款规定：“对证据的真实性，应当综合全案证据进行审查。”

[32]何邦武：《“综合认定”的应然解读与实践进路》，载《河北法学》2019年第8期，第96-97页。

[33]主导案例7-2。

[34]《人民法院诉讼文书立卷归档办法》第21条。

[35]辅助案例13-5。

[36]李帅：《司法改革视角下法院副卷公开研究》，载《云南社会科学》2018年第5期，第123页。

[37]法院在判决书中的具体论证是：“根据《人民检察院刑事诉讼规则》第三百四十条规定，人民检察院对公安机关移送的案件进行审查后，在人民法院作出生效判决之前，认为需要补充提供证据材料的，可以要求公安机关提供；第四百二十二条规定，在审判过程中，对于需要补充提供法庭审判所必需的证据或者补充侦查的，人民检察院应当自行收集证据和进行侦查，必要时可以要求侦查机关提供协助。故本案中的部分证据系公诉机关要求侦查机关协助侦查取得，可以作为证据使用。本院对该辩护意见不予采纳”。

[38]韩旭：《庭审阶段补充侦查制度合理性省思——以审判中心主义为背景》，载《法商研究》2022年第1期，第71页。

[39]有学者指出，与电子痕迹具有静态、孤立、片段的特点相比，个人在现实生活中通过GPS、手机、市民卡、网络等的使用无形中生成的行动轨迹，即“电子轨迹”是运动和相对完整的。见王羽佳：《“大数据”时代背景下电子轨迹在侦查工作中的应用研究》，载《中国科技信息》2016年第13期，第35页。

[40]辅助案例10-7。

[41]辅助案例10-8。

[42]主导案例10-2、辅助案例11-7。

[43]何家弘等：《大数据侦查给证据法带来的挑战》，载《人民检察》2018年第1期，第54页。

[44] A brick is not a wall. See McCormick on Evidence, P436.

[45]熊建生：《结构思维：当代思想的新范式》，载《江汉论坛》2007年第11期，第65页。

[46]元轶、杨佳瑜：《证明力评判视角下证据组合论问题研究》，载《北京警察学院学报》2022年第3期，第17页。

[47]主导案例3-1、6-1；辅助案例1-9、13-7。

[48]主导案例9-1、辅助案例8-3。

[49]辅助案例9-1。

[50]主导案例10-1。

[51]In the view of a logician, the whole life is just a huge chain. If you see one ring of it, all the things of the whole chain could be supposed.

[52]【前苏】拉·别尔金《刑事侦察学随笔》，李瑞勤译，群众出版社1983年版，第48页。

[53]主导案例11-2。

[54]辅助案例6-3。

[55]主导案例4-2。

（开卷有益，购书参考网址；有学有术，奔向冰球所向）

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安杂谈 刘品新 刘品新《【转】大证据思维：读《电子证据审查精义》的方法》