一份刷新“三观”的电子数据鉴定文书

一、某案涉及的电子数据鉴定文书存在较多瑕疵

电子数据鉴定业务发展不过几年，其实并不特别成熟，加之电子数据鉴定场景多样化，相关法规、标准、技术规范也在不断完善中，一份电子数据鉴定文书出现一些瑕疵在所难免，只要不是实质性的错误，都是可以接受的。

近期某机构出具的刑事案件的电子数据鉴定文书还是刷新了疯人Lau三观，让疯人颇为感慨，接下来我们就来看看这份鉴定文书。

二、主要问题摘录

问题一：检材编号问题

该份鉴定文书中对检材进行了描述，记录了检材（电脑）的名称、PN号、SN号、性状、封装情况等，但并未对检材电脑或者该电脑的硬盘进行编号。可是在检验过程中，直接描述将编号为XXXX的检材……。当然这只是一个小瑕疵，可能是在鉴定文书编辑的时候，忘记在检材描述中声明对检材进行编号。

问题二：委托鉴定要求与鉴定过程、鉴定结论不符

该份鉴定文书明确了检材只有一台电脑，鉴定的委托要求是提取电脑硬盘中与案件有关的文件。而在鉴定过程中，当完成对电脑硬盘的数据提取后，又有如下描述：“通过互联网登陆嫌疑人邮箱，从收件箱中……”，做了对嫌疑人邮箱邮件的提取固定。而在鉴定结论中不但有提取到的检材硬盘中的数据，还有嫌疑人邮箱中提取的数据。委托鉴定要求与鉴定过程、鉴定结论不符。

在鉴定中，参杂了勘验的操作，可以说是一个低级失误。

问题三：鉴定过程描述技术细节存在歧义

该鉴定中对检材制作复制件并进行完整性校验时这样描述：“用XXX取证软件对检材硬盘进行MD5校验，得到校验值为0123456789ABCDEF（32位十六进制数）；用XXX取证软件对检材制作镜像文件，生成镜像文件001.E01，进行数据保全，对001.E01进行MD5校验，校验值为0123456789ABCDEF（32位十六进制数），与检材MD5校验值相同。”这样表述明显是有歧义的：可以理解为镜像文件001.E01释放后其对应的磁盘MD5校验值为0123456789ABCDEF（32位十六进制数），这么理解，该鉴定文书表述就是正确的；但亦可理解为一个检材磁盘对应的001.E01镜像文件的MD5校验值为0123456789ABCDEF（32位十六进制数），那这就是明显错误的，因为一个磁盘的MD5校验值与其对应的E01镜像文件的MD5校验值不可能一样，一样的话，反而说明了镜像文件与检材硬盘内容不一样了！或许在鉴定文书中表述成使用XXX取证软件加载镜像文件001.E01，释放后其对应的磁盘校验值为0123456789ABCDEF（32位十六进制数）才更为准确。

鉴定文书中的歧义性描述，也是要注意避免的。

问题四：使用已声明废止的鉴定方法

该鉴定文书描述使用方法部分写明鉴定过程所有操作均是按照《电子物证数据恢复检验技术规范》（GA/T 826-2009）、《电子物证数据搜索检验技术规范》（GA/T 825-2009）的方法开展，可以确保结果的规范性、准确性。那么问题来了，我们看看问题在哪儿。

该份鉴定文书的出具时间是2018年，而公安部公报（2015年第4期）中发布了“公安部关于废止12项公共安全行业标准的公告”，其中明确声明废止GA/T 825-2009 《电子物证数据搜索检验技术规范》,GA/T 826-2009 《电子物证数据恢复检验技术规范》,GA/T827-2009 《电子物证文件一致性检验技术规范》这三个公共安全行业标准。也就是说该电子数据鉴定过程使用了已废止的行业标准。这明显是存在问题的，而且可以说是重大问题。

其实这一条是附送给广大律师朋友的。

问题五：鉴定过程描述混乱

该鉴定文书记录鉴定过程，当制作完镜像后，用XXX取证软件工具对 检材 镜像文件001.E01进行检验，恢复删除文件多少多少个，可是下一步的描述又是使用XXX取证软件工具对 硬盘 内容进行搜索，检出与案件有关的文件多少多少个。疯人想不通，究竟操作对象是 检材硬盘的镜像 还是 检材的硬盘 。对鉴定文书审核的时候，这种问题发现不了吗？不过，这可以理解为瑕疵，只不过编辑文书的时候太不仔细了。

问题六：电子数据鉴定提取结果没有进行校验固定