我今天分享的主题是“从电子数据窥探趋利性司法”，这也是我近一两年跟随刘品新老师学习办案的所思所感，也是我们实践经验的总结。内容主要分为四个部分：首先，弄清楚电子数据能做什么；其次，理解什么是趋利性司法及其表现；再次，重点探讨电子数据如何照见趋利性司法；最后，谈谈对律师能力的要求和启发。

从证据发展史来看，我们经历了从人证、物证到电子证据的时代。正如刘品新老师所言，电子数据已经是新时代的“证据之王”，其在真实性等方面甚至优于物证。

电子数据不是传统物证或言词证据的简单电子化。两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》明确指出，“以数字化形式记载的证人证言、被害人陈述、被告人供述和辩解等，不属于电子数据。”传统的言词证据并不会因为记载形式的变化而自动成为电子数据。

电子数据的表现形式非常丰富：微信聊天记录、数据库数据、程序代码、交易流水、通话记录等等，所有以数字化形式存储、处理、传输的能够证明案件事实的证据，都属于电子数据。

刘品新《电子证据审查精义》

从律师实务的视角，刘品新教授在《电子证据法》中提出了“鉴、数、取”的三重外延框架，我们在诉讼中审查电子数据，这三个步骤缺一不可。

第一，“鉴”——鉴定意见。 这是我们最本能想到的，因为电子数据太专业，律师看不懂，所以它转化成了鉴定意见的形式。我们在质疑鉴定意见时，除了审查鉴定人资质、委托事项等常规内容外，最常遇到的问题就是“数据来源不明”或“不符合常理”。但从书面鉴定意见出发，往往只能提出合理怀疑，很难动摇法官的内心确信。而要验证这些怀疑，就需要通过电子数据本身以及相应的取证笔录来推翻它。

鉴定方法的审查也至关重要。我举一个最近的案例——一个非法控制计算机信息系统的案件。当事人是一家帮助功能机开发软件应用的公司，开发了适用于功能机某些实用app。公诉机关指控这些app相关代码是非法控制计算机信息系统的“木马程序”。鉴定机构做了什么呢？它把软件的源代码提取出来，针对源代码做了一个静态的鉴定，认为代码具备某些功能，足以认定为木马程序。

但我们对照《软件功能鉴定技术规范》发现，对于软件功能性鉴定必须进行动态检验，而非仅做静态源代码分析。静态源代码审查只能说明代码在编写时具备某项功能的设计，不等于在特定操作系统中运转后产生的实际功能，二者完全不能画等号。这个案例说明，在实务中非常有必要对照检验规范逐项对比，继而提出我们的意见。

第二，“数”——数据本身。 这需要运用技术手段对海量电子数据进行深度挖掘分析，看看这些数据能说明什么、能反映什么、我们怎么用才对自己有利。我举两个小例子：

修改日期：任意打开一个word文档，右键属性，会看到创建时间、修改时间、最后访问时间。修改时间能证明文件最后定稿的时间节点。我办过一个侵犯公民个人信息案，司法机关委托鉴定的日期是2018年4月1日。正常来说，提取检材、委托鉴定之后检材不应再有任何变动。但我在鉴定意见所附的检材截图中发现，修改日期显示为4月17日——委托鉴定之后，检材发生了改动。我们当庭申请鉴定人出庭，几轮发问之后，鉴定人当庭承认检材已非原始状态，确实被改动过。

数据清洗/排重：一个侵犯公民个人信息案中，办案机关对被告人手机里的电话号码进行提取和鉴定，结论是2万条。但排重之后，能够对应到姓名和电话号码的只有120条。2万条与120条之间相差160多倍。这种巨大的差异对辩护而言就是很好的帮助。

第三，“取”——取证过程。 这是保证数据合法性和真实性的重要环节。举一个例子：一份 《现场勘验检查笔录》，内容却记载勘验地点是在某个派出所的办公室。这就有矛盾——到底是在被害人公司现场勘验的，还是在派出所办公室远程勘验？

另一个问题是校验值。这确实是规范性的一种有力体现，但实际是否能起到保障数据真实性和完整性的作用，也要分情况而论。规范的做法是：提取数据之前，在原始存储介质上计算一个校验值；提取之后，在存储数据的硬盘上再以相同的算法计算一个校验值，两者一致才能证明数据的真实性。但现在很多情况是提取之前根本没有计算校验值，提取之后补算一个，又没有同步录音录像——这样的校验值对证明数据来源没有任何意义。

我从另外一个案例的取证录屏中看到，侦查人员在提取数据时是把被告人电脑回收站里的文件全部“移动”到在电脑桌面新建的另一个文件夹，“移动”完成之后回收站就清空了。这说明这种“移动”是一个剪切过程，不是复制，更不是镜像复制。镜像复制与复制有根本性区别，我们不能只相信表面上复制的数据，而不去审视底层的信息。

电子数据对律师办案的作用，经历了三个层次的跃升：

第一步，辅助办案，作为配角。 质疑证据“三性”的方法，包括核对检材完整性、校验哈希值一致性、验证取证过程合法性。哈希值的校验工具有不同算法——MD5、SHA1、SHA256等，算法不同，不能互通也不能倒推。我们不能只看“有没有校验值”，还要看用的是哪种算法、算法是否固定。

第二步，引导办案，作为向导。 深入挖掘数据价值，分析文件修改时间、登录IP地址、关联账号及用户行为规律，运用“逆侦查”思维打破辩护僵局。

我在一个开设赌场案中从数据层面发现了诸多问题。比如授权书：一个公司的技术员工授权鉴定机构登录公司数据库后台提取数据。这个授权有效吗？法律规定，数据所有权人才有权授权，要么是法人，要么是实际控制人。一个技术员工，他有这个权利吗？其次，授权对象也有问题——可以直接授权给第三方吗？在刑事案件中，提取数据的合法主体只能是办案机关。如果办案机关技术能力不足，《司法鉴定程序通则》给了空间：可以委托鉴定机构，但鉴定人提取数据时必须有办案人员在场见证。技术员工单方授权第三方登录数据库，完全不具有合法性和有效性。

再比如备份文件。自动备份能够保证数据完整性，可以认可；但手动备份的过程是可以挑选备份文件的，其真实性和原始性就无法保障了。

第三步，穿透审查，成为主角。从“被动质证”跨越到“主动举证”，利用客观、真实的电子数据直接构建案件客观事实，有效反驳控方证据体系。比如报案人笔录的真实性——报案人说某年某月某日登录了某个游戏平台、开了盲盒、遭受了损失。如果不是审查电子数据，我们几乎无法推翻这份言词证据的真实性但我们现在可以通过后台数据库日志来验证：那个时间他到底有没有登录？有没有充值记录？是不是真的有损失？

趋利性司法，简单说就是司法机关在办案过程中，并非完全基于事实和法律，而是受到地方保护、部门利益、经济指标等非法律因素的不当影响，导致司法目的从“公正司法”异化为“追逐利益”。它是对法治原则的背离，破坏了法律的权威性与公信力。

趋利性司法有四大典型表现：

第一，管辖权争夺。滥用“密切联系原则”，刻意制造管辖连接点，争抢案件管辖权，实质是争抢案件背后附带的巨大经济利益。比如芜湖诈骗案——被告人向全国各地出售收藏品，只有芜湖市无为县的一个被害人报案，就确定了管辖权。你说它错了吗？好像没有。但从是否有利于查清事实、是否有利于诉讼效率的角度看，这种管辖连接点可能并不充分，类似情况在网络犯罪案件中更为突出。可喜的是，2025年3月公安部发布的《公安机关跨省涉企犯罪案件管辖规定》已经明确：“对于犯罪地分散、主要犯罪地不明确的网络犯罪，由企业所在地公安机关管辖。”

第二，财产权侵犯。对涉案财物不作甄别，滥用没收型罪名，将经济纠纷刑事化处理，借助刑事手段没收财产。典型如“抓商引资”式的非法控制计算机信息系统案——A省公安把B省企业家抓到A省，要求企业家在A省投资办企业就释放。结果投资了、放人了；但一年后又把企业家抓回来了。

第三，入罪与没收财产倾向。在罪与非罪的模糊地带，倾向于作有罪认定；在此罪与彼罪之间，倾向于选择能够没收违法所得或附带财产刑的罪名。

第四，配侦公司介入。利用外部技术公司提取、固定甚至鉴定电子证据，可能存在程序违法、适用范围不当扩大等合法性问题。前面已述，除了公安机关委托鉴定机构提取检材的情形之外，对于外部技术公司配合公安机关提取、固定数据是否合法，可参照《刑事诉讼法》第一百二十八条及《公安机关办理刑事案件程序规定》第二百一十三条规定：“侦查人员对于与犯罪有关的场所、物品、人身、尸体应当进行勘验或者检查。在必要的时候，可以指派或者聘请具有专门知识的人，在侦查人员的主持下进行勘验、检查。”

上述规定虽然不针对电子数据，但是如果在“勘验”“检查”的范围内参照适用，至少是可以容忍和理解的。问题出现在，实务中这类外部技术公司所配合的工作，很多时候不再局限于勘验、检查等数据提取，而是延伸到鉴定、审计等侦查之外的工作，甚至与办案机关查扣冻的资产数额有利益关联。这就是为了定罪而办案、为了利益而办案的直接体现！

司法现实：司法机关更关注实体是否构罪。如果实体构罪，即便存在趋利性司法的问题，也可能只是对有关办案人员内部处理，对案件结果不容易产生根本性影响；即便移送管辖，移送之后依然要面临实体审判（当然，公正性的保证可能有所改善）。因此任何时候，我们在关注程序问题的同时，一定要与实体问题同时考量。

电子数据是揭示上述问题的“利器”，我总结出三个核心审查场景：

应用一：审查“是否应当立案”——构建“立案前后大事表”

通过时间轴梳理立案全流程中的关键动作。立案前，关注网络巡查记录、涉案数据库是否有异常注册或登录、有无异常数据生成或修改；立案后，关注抓捕日电脑、手机等设备的扣押过程和电子数据提取情况。横向对比、纵向溯源，从源头确认案件受理的正当性。

应用二：审查“是否应当追诉”——构建“鉴定前后大事表”

署名的鉴定人是否亲自做了鉴定？IP地址、文档作者都是线索。鉴定意见的核心审查包括：鉴定过程是否符合操作规范、鉴定方法是否具有科学依据及是否可复现、鉴定检材是否客观真实来源合法。同时要关注鉴定前后数据库后台的操作记录——注册日志、登录日志、修改日志，从异常中寻找问题。

应用三：审查“是否应当查扣冻或罚没”——捍卫合法财产权

首先，审查程序合法性——查封、扣押、冻结的法律文书出具日期是否合规，手续是否完备，通知是否到位。其次，梳理财物权属——充分利用银行流水、业务合同、人事关系、财务报表等数据，清晰界定业务真假、资金来源及实际权属。我们有一个开设赌场案，作为案外人的代理律师，我们到外省做了大量调查取证工作，证明案外人与涉案公司确有真实、合法的业务往来，案外人不是为了获得赃款而设立的公司。

这里有一个司法机关常见的认识误区：查扣冻与执行的财产对象不完全相同。查扣冻的范围只能严格限制在违法所得范围之内，不能查封合法财产；而执行的范围可以是合法财产（在赃款已挥霍或无法追缴的情况下）。有的法官认为：“我现在不冻结他的合法财产，将来会不会导致无法追赃？”但法官的这种担心是没有法律依据的，即便是审判阶段对财产查扣冻，也只能针对涉案财产、违法所得、赃款赃物；法官的这种“担心”显然是忽视了被告人的合法财产权益。执行是后续阶段的问题，对应的财产属性也不同，其与查扣冻不能混同。

第一，审查的意识。保持通过电子证据对案件程序和实体问题进行审查的意识，尤其是在处理可能存在趋利性司法风险的案件时。这是今天研讨会最重要、最有价值的一点——让大家意识到电子数据能够发挥的强大作用，不仅仅是“三性”问题，更是还原客观事实的问题。

第二，怀疑的精神。不盲从案卷笔录，不轻信控方证据。发现哪儿不对劲的时候——数据不符合常理、数据来源不明——要进一步挖掘，不能仅仅停留在“不符合常理”的层面。

第三，适当的方法。我们不需要做到像专业鉴定人那样精通，但至少要有基础的思维。比如，勘验需要多长时间？开一部电脑需要多长时间？30分钟能完成吗？如果说一台电脑的勘验只花了十分钟，那我们就需要进一步去审查——到底做了什么工作？有没有作假？再比如，镜像复制需要的时间，也绝不是三五分钟就能完成的。

电子数据之所以是“证据之王”，在于其客观真实、难以篡改，即便篡改也会留下痕迹。但真相不会自动浮现，需要律师以技术思维去主动挖掘。新时代刑辩律师的核心竞争力，早已不再局限于口头辩论，而更依赖精细化的数据辩护能力。深耕电子数据细节，穿透程序迷雾，既能守住当事人合法权益，也能制衡趋利性司法偏差，守护司法公正。

北京星来律师事务所主任

创始合伙人

北京星来律师事务所主任、管委会主任，中国政法大学刑司院&星来所民刑行一体化研究基地执行主任，星来职务犯罪业务中心主任。华中科技大学本科、硕士。第十二届北京市律师协会刑事诉讼法专业委员会委员、女律师工作委员会委员，南方财经法律研究院高级研究员。入选2026年度LEGALBAND中国顶级律师排行榜“白领与商业犯罪”领域榜单，ALB法律大奖“NARA年度管理合伙人大奖”，LEGALBAND中国女律师15强、新锐合伙人15强，商法The Visionaries 睿见领袖”，LexisNexis律商联讯精英榜等多个奖项。

多次在《人民检察》《中国律师》等核心期刊发表专业文章，荣登中华文化出版社《与法同行》书籍封面人物。系国际信息科学考试学会(EXIN)数据保护官(DPO)&数据保护官(DPOPIPL)双认证律师。办理过多起无罪辩护成功的刑事案件，有丰富的刑民交叉类案件及财产刑辩护的实务经验，擅长职务犯罪和网络犯罪案件的辩护，尤其在电子数据审查方面积累了丰富的实务经验。