略議即時通信證據的收集

馬 越

(重慶郵電大學法學院，重慶400060)

略議即時通信證據的收集

馬 越

(重慶郵電大學法學院，重慶400060)

隨著移動互聯網的不斷發展，即時通信也通過互聯網向移動化方向擴張。目前，微軟、AOL、Yahoo、UcSTAR等重要即時通信提供商都提供通過個人電腦、手機等接入互聯網即時通信的業務，即時通信系統本身具有較為完善的管理規則，對使用者所發信息及留言的保存、修改、刪除有一套完整的管理記錄，并通過賦予不同用戶不同的權限來使用即時通信軟件的功能。從即時通信證據收集范圍、收集主體、收集方法和程序等方面論述即時通信證據的收集和形成。

即時通信;證據;屬性;收集

目前互聯網形式的即時通信軟件種類較多，最具代表性的是MSN、Messenger、QQ等。在我國，騰訊QQ占有絕大部分市場份額。即時通訊工具大部分基于TCP/IP和UDP進行通訊，是建立在更低層的IP協議上的兩種通訊傳輸協議。UDP是以數據包的形式傳輸文件的一種協議，對拆分后的數據的先后到達順序不做要求。TCP/IP是將傳輸數據經分割打包后，以數據流的形式通過虛電路進行連續雙向的文件傳輸協議，且要求嚴格保證數據的正確性。

一、即時通信證據的收集范圍

即時通信證據的收集范圍主要包括兩個方面:一是即時通信網絡證據的收集，二是與待證事實相關的傳統證據的收集。

(一)即時通信網絡證據

即時通信證據是網絡證據的一種，反映即時通信系統所發生的待證事實。目前計算機信息技術領域的通說認為，即時通信(Instant Messaging)通常是指應用在計算機網絡平臺上的，利用點對點的協議，能夠實現即時的文本、音頻和視頻交流的一種通信方式。通常一套完整的即時通信系統是由計算機硬件、軟件和用戶共同組成的。其中，硬件部分主要包括服務器、連接系統與用戶的設備、用戶個人電腦三部分。

通過對即時通信運行的基本原理和即時通信系統的組成結構的分析，我們可以根據即時通信證據存儲地址的差異將即時通信證據分為三種:保存在服務器上的即時通信證據、存儲在用戶個人電腦上的即時通信證據和計算機審計信息。這些數據具體包括:行為人專用的文本文件、照片文件、圖像文件、視頻文件、電子郵件、數據庫文件、臨時文件、交換數據文件(.SWP)、審計跟蹤、特定格式的文件等等。計算機審計信息是用以證明收集的待證事實信息未受收集行為影響的信息。比如當我們從計算機里將網絡信息提取出來的時候，實際上是完成了一個復制行為，收集到的網絡證據就是一個復制件。審計技術能夠反映出復制件是否對原件進行了修改，當審計信息顯示復制行為未對原件做變動時，可以相信我們收集到的復制件與原件相差無誤。無論是待證事實信息還是審計信息，都是在系統運行正常的情況下得出的結論，當收集信息時系統運行異常，我們就有理由懷疑所復制信息的真實性，從這點來說系統的運行情況也是一種審計，當然在技術領域系統正常運行是一種默認的情況。由此可見審計信息收集的必要性與重要性。

保留在服務器上的即時通信證據、用戶個人電腦上的即時通信記錄是已經發生的待證事實信息。處于中立第三方地位的即時通信服務器上所記錄的事實信息證明力更強，是收集的重點對象。同時，我們必須注意審計信息的收集，以印證收集到的即時通信信息的真實性和可靠性。

(二)與待證事實相關的傳統證據

有時候有些傳統證據對于糾紛的解決能夠起到關鍵的作用，所以我們不能忽視相關傳統證據的收集。例如:現場的紙張可能記錄有密碼、人名等信息，現場的某些物品，證人證言在確定當事人身份上能起到重要作用。對于在網絡空間中的活動主體，我們都能夠通過一定的方法找到與之相對應的現實生活中的具體的人，證人證言在侵權人身份的確定上就起到了比較重要的作用。

二、即時通信證據的收集主體

證據收集是指為了證明自己的訴訟主張或者查明特定的案件事實，國家專門機關、律師、一般公民、法人或者其他組織通過一定的行為，采取必要的方法獲取和匯集證據的活動。即時通信證據不過是這一活動在網絡領域中的實現，差別在于引入了網絡因素，從而會引起取證手段和方法上的差異，同時需要網絡技術人才的協助才能實現。

(一)當事人及其代理律師

一般來說，發生在即時通信上的侵害行為以民事侵權為主，即時通信的基本功能和現實案例也印證了這一事實。由此得知，即時通信侵權糾紛多由當事人主動收集證據，當事人在即時通信證據收集中起著很重要的作用。

(二)專業技術人員

所謂協助主體，指的是即時通信服務提供商和ISP網絡服務提供商，所謂專業技術人員主要包括計算機網絡技術專家、網絡警察。

不同種類證據的特點決定著該證據對取證主體的不同要求。但應當明確取證主體與證據的收集主體是不同的兩個概念，證據的不同特點可能導致取證主體的不同，對于特殊的證據來說，證據性質的不同也會對取證主體有所影響。網絡證據因其取證方法具有的特殊性，要求具有專業技術知識的取證人員采用特殊的方法來完成網絡證據的發現、收集和保全工作。

1.計算機網絡技術專家

即時通信證據的收集取證不僅涉及到計算機技術，還與網絡密切相關，因此計算機專家除了具有計算機知識，還必須掌握網絡環境下的相關技術。在對即時通信證據的收集和認定中，必須在偵查人員的領導和配合下進行，接受偵查人員的法律意見，并根據法律的要求，接受偵查機關或相關人員委托，保管、保全與案件相關的即時通信證據。另外，根據法律規定，計算機網絡技術專家由于全程參與即時通信證據的收集工作，應按照程序對有關即時通信證據做出鑒定結論，并可以作為專家證人出庭作證，介紹收集、保全電子證據的技術過程和證據的可靠性，接受法官、檢察官、當事人和律師的質詢等。在網絡證據取證過程中，計算機網絡技術專家與偵查人員的密切配合與相互指導監督就顯得尤為重要，也是保證網絡證據可信度的關鍵。

2.網絡警察

我國安徽省首先出現了網絡警察，他們負責處理“欺詐、挪用公款、色情等犯罪案件”，但這只限于刑事訴訟領域電子證據的收集。筆者認為，在民事訴訟領域應由法定的證據收集主體委托電子技術專家進行收集，這樣才能強化即時通信證據的真實性、可靠性。由于網絡犯罪或侵權相較于傳統來說技術性很強，作案人一般具有較高的計算機知識水平，在犯罪手段上多利用其掌握的高科技知識隱匿相關證據，使取證變得異常困難。而網絡犯罪的行為與結果通常相分離，網絡證據的采集也可能涉及不同的國家或地區，這令傳統的手段鞭長莫及，于是一個專門針對網絡安全的偵查隊伍應運而生。為了適應日益嚴峻的網絡安全保護的需要，我國早在20世紀80年代就成立了計算機管理監察司，承擔全國計算機網絡安全管理等工作，1998年公安部正式成立公共信息網絡安全監察局，隨后各省公安廳和地級市也成立了公共信息網絡安全監察處和網絡偵查總隊，專門負責網絡犯罪案件的查處。

3.協助主體

由于即時通信證據取證技術性較強，當事人及其代理律師在取證時需要專門技術人員的協助以及網絡服務商的積極配合。我國法律雖沒有明確規定網絡服務商協助當事人收集證據的程序，但2000年國務院頒布的《互聯網信息服務管理辦法》第14條明確規定:從事新聞、出版以及電子公告等服務項目的互聯網信息服務提供者，應當記錄提供的信息內容及其發布時間、互聯網地址或者域名;互聯網接入服務提供者應當記錄上網用戶的上網時間、用戶帳號、互聯網地址或者域名、主叫電話號碼等信息。互聯網信息服務提供者和互聯網接入服務提供者的記錄備份應當保存60日，并在國家有關機關依法查詢時予以提供。

三、即時通信證據的收集方法和程序

即時通信證據收集基于以下四點:一是計算機軟件和硬件系統處于正常的運行狀態;二是即時通信系統對該項活動必須有完整的記錄;三是該電子記錄必須是活動的當時或即后制作的;四是充分了解各種連網終端，比如應該了解計算機硬件類型、操作系統類型和即時通信系統軟件類型及其版本、用戶系統登錄帳號的管理情況，了解手機、PDA等移動上網終端設備硬件型號、存儲能力、操作系統類型、是否屬于智能設備、軟件功能能否擴展等等。

(一)收集方法

在收集即時通信證據時，可以采取以下方法:一是在接收信息者未將信息刪除的情況下，直接將此信息予以儲存，作為證據材料。為防止信息被意外刪除或丟失，可以將接收信息的時間、內容等用拍照、記錄的方法固定下來。二是在與待證事實有關的信息被刪除的情況下，可以通過網絡運營商來調取即時通信信息的內容。手機中的即時通信軟件存儲的信息也可作為重要的證據，如手機內存中的聊天記錄、發送或者接收的電話號碼、照片、視頻等，對此也應予以提取。

(二)收集程序

1.收集現場

收集現場包括物理空間和虛擬空間。物理空間就是傳統的現場，虛擬空間則指由計算機硬件和軟件所構成的電子空間。從學理上說，網絡證據所處的虛擬現場分為兩種，一種是單一計算機的硬件環境和軟件環境，稱為單機現場;另一種是由許多計算機組成的網絡環境，稱為網絡現場。對于普通用戶來說，其遺留有即時通信信息的場所不僅指用戶使用計算機網絡的房間，更主要是指從用戶使用的計算機開始，一直到登錄即時通信系統、瀏覽過圖片、發送或者接收文字以及其他網上活動(如利用視頻聊天)的普通網絡用戶所擁有的整個電子空間，這正是現場調查的主要場所。

2.收集程序

從法律規定看，證據收集的程序是否合法直接影響其證明力。從我國《刑事訴訟法》第43條規定以及《最高人民法院關于民事訴訟證據的若干規定》第68條規定看出，取證人未經同意不得獲取系統信息記錄;不得以非法侵入他人系統的方法獲取信息記錄;即時通信證據要由合法的人員收集提供，不具備合法身份的人收集的信息不能作為證據使用;如果證據是由第三人提供，則該第三人應出具保證證據自生成或收到后始終保持原始狀態及本人自愿提供該證據的文件或數字簽名。

首先，我們可以通過MAC地址確認用戶具體使用的是哪臺電腦，因為在局域網內的即時通信系統內部，MAC地址直接與網絡適配器相關，每臺計算機會有固定的、不同的MAC地址。其次，現場勘驗必須制作勘驗筆錄。在物理空間發現與待證事實相關的紙張或者物品，可以一并收集;對于正在使用的移動存儲設備以及特殊上網設備，如果與待證事實相關，必要時也可以予以扣押。搜查扣押必須由法定機關依法進行，列出清單，還應對實物拍照記錄。再次，我們可以通過即時通信系統服務商查詢侵權行為人的注冊信息，同時在服務商的服務器上用只讀存儲器、U盤等復制拷貝下相關的侵權事實信息，查詢到的注冊信息以及從服務器上下載的文件需要制作文件記錄，由工作人員簽字并加蓋印章。對于存儲工具，要采取一定的方式當場封存并加以妥善保管，以免其遭受不必要的損害，影響其證明力。另外，用攝像機將整個取證過程錄制下來，以印證整個取證過程的合法性;還可以邀請公證人員對收集過程進行公證。

類似MSN、QQ、E－mail的即時通信軟件是應用在計算機網絡平臺上的，利用點對點的協議，實現即時的文本、音頻和視頻交流的一種通信方式。在“聊天”的過程中，所有的聊天內容均可以被保存在聊天記錄中。對于當事人來說，在進行即時通信活動時要有收集證據的意識，必要時可以第一時間保存相關的即時通信信息，以免錯過最佳的證據收集時間。通常客戶通過訪問即時通信軟件的相關信息會存儲在客戶端電腦的內存中，如即時通信軟件中的聊天記錄、即時通信軟件的系統日志記錄的系統動態(用戶登陸、退出系統的時間，地點等)。該信息具有暫時性、可復制性，當事人可以用上傳記錄到網絡服務器等方式記錄保存這些信息，以備不時之需。當然，用戶自己收集的證據可能沒有相應的在即時通信服務商的服務器上收集制作的證據的證明力強，但是能夠與前面的證據相互印證，起輔助證明作用。此外，我們不能忽視審計信息的收集。計算機審計技術就是對計算機系統的活動進行監視和記錄的一種安全技術，運用計算機審計技術的目的是對計算機系統的各種訪問留下痕跡，使計算機犯罪行為留下證據。

四、即時通信證據的形成

(一)原始存儲載體的收存

直接存有即時通信信息的軟件是最直接的證據載體。在對所有收集信息進行鑒別后，對存儲有待證實信息的存儲材料予以編號并保存。另外要制作證據標簽，其內容包括:信息來源(地點和持有人)，信息是否需要許可才能調查，信息的描述，獲得信息的時間和日期，最早接收人的姓名和簽字，與信息相關的其他信息。對于未發現待證事實信息的存儲設備一般不宜立即退還，以備信息遺漏重新收集時查驗。

(二)書面文件和解讀信息的形成

將發現的即時通信信息中的待證事實信息予以固化，從而形成書面材料。書面文件內容主要包括:即時通信信息發送和接受時間，是指即時通信信息在通信服務商那里存儲的明確記載的發送和接受時間，它是可有效證明信息收發的時間;發信人和收信人的注冊信息，指即時通信軟件用戶在通信服務商的注冊信息，可進一步明確即時通信信息收發人的相關信息;即時通信信息的正文內容，是即時通信信息發送人傳遞給接收人的主要文字信息。

［1］王剛.計算機網絡犯罪及其取證初探［J］.四川警官高等專科學校學報，2006，(4):52－58.

［2］文伯聰.計算機證據與計算機審計技術［J］.政法學刊，1999，(3).

［3］卞建林.證據法學［M］.北京:中國政法大學出版社，2007.

［4］熊志海，王莉.訴訟證據存在形式的信息解讀——兼論電子證據的性質及其歸屬［J］.重慶社會科學，2006，(1).

［5］李明.即時通信痕跡發現與線索綜合［D］.上海:同濟大學，2006.

［6］張彥來.淺議即時通訊在偵查中的應用［J］.江西公安專科學校學報，2008，(5).

Discussion on Instant Messaging Evidence Collection

MA Yue
(School of Laws，Chongqing University of Posts and Telecommunications，Chongqing 400060，China)

With the development of mobile Internet，Internet instant messaging expands mobile.At present，Microsoft，AOL，Yahoo，UcSTAR major IM providers are offering personal computers，mobile phones and the Internet instant messaging business，users through mobile phones and other already installed client software for mobile phones or computers send and receive messages.Instant communications system itself has better information management rules to receive，modify and delete information，to give different users different.Through information collection range，main body，method and procedure，the instant messaging evidence collection and formation are analyzed.

instant messaging;collection;evidence;property

D915.13

A

1674－0297(2012)02－0044－03

2011－12－01

馬 越(1985－)，男，重慶市人，重慶郵電大學法學院2009級碩士研究生，主要從事訴訟法學、網絡信息司法認證研究。

(責任編輯:張 璠)