引言
受制于邮箱选择、客户端协议选择、邮件收发与备份等多重因素,电子邮件证据的效力难以凭借单一因素判断,不同的电子邮件使用方式将直接影响其证据效力。电子邮件在商事活动中的重要性与其在诉讼程序中作为证据认定的复杂性相伴相生,其中,对电子邮件证据真实性的判断尤为值得探讨。
司法实践对电子邮件证据真实性的考量因素则更加不一而足,就司法实践中对其认可与否的结论及依据,可见本系列文章第一篇(见2023年5月24日文章【电子邮件证据真实性的司法实践分析】)。如该文所述,在部分情况下,即便双方当事人尽力举证依旧难以为电子邮件证据的真实性提供定论,而所涉电子邮件又为案件定分止争起着至关重要的作用。裁判者对于电子邮件是否真实存在、内容是否完整且未经篡改作出认定,除依托双方当事人的充分举证,亦有赖于精准的鉴定程序。
2023年12月1日,《电子邮件鉴定技术规范》(SF/T 0156—2023)正式实施,为电子邮件证据真实性的判断提供重要标准,电子邮件证据的真实性判断愈发重要,也趋于复杂。本文以新规为视角,结合实例详述电子邮件证据的固定与分析,再议电子邮件证据真实性问题。
2023年12月1日,《电子邮件鉴定技术规范》(SF/T 0156—2023》正式实施
由司法部2023年10月7日发布、2023年12月1日起实施的《电子邮件鉴定技术规范》(SF/T 0156—2023,代替SF/Z JD0402001—2014)将为题述问题提供新指引。【点击文末“阅读全文”可获取新规全文PDF】
亮点1——明确标准来源
作为司法行政行业标准,新规通过增加“规范性引用文件”(第2章)及文末附参考文献的方式以其自身向“标准化”靠拢,以上位“电子数据”鉴定与检验规范为电子邮件鉴定技术步骤与结论提供稳定与可靠的来源技术支持,达到每一内容均有依据的目的,可在一定程度上加强电子邮件真实性鉴定技术的科学性与规范性。
亮点2——完善术语定义
尽管“电子邮件真实性鉴定”这一表达乃系沿袭旧规,本次新规首次将其纳入“术语与定义”部分(第3章),明确以“电子邮件真实性鉴定(geunine identification of e-mail)”指代“对电子邮件是否经过伪造/篡改进行检验和鉴别的专门技术。”
此外,因对电子邮件真实性的鉴定通常指向单封EML文件与数量众多的PST容器文件两种情形。本次新规向实践回归,在“术语与定义”部分作明确区分,释明“电子邮件文件(e-mail file)”,即“存储单封电子邮件的文件”,如RFC 2822邮件文件拓展名为.eml,Microsoft Outlook导出邮件文件拓展名为.msg。而“电子邮箱文件(mailbox file)”,则指“存储多封电子邮件及其关联关系的数据文件”,如Microsoft Outlook客户端的PST文件。
在进行电子邮件真实性鉴定时,有时会使用自然情况下形成或通过模拟实验形成的样本邮件进行比较对照,本次新规在术语部分增加并定义“样本邮件”,实际上系为在鉴定分析与准备中明确以样本邮件与检材邮件作对照的方式埋下伏笔。
亮点3——增加设备工具
鉴定技术与鉴定设备和工具具有不可分离性,对鉴定设备工具的要求应包括形式和功能两个方面。
一方面,设备工具本身需形式完好。这一要求类似对证据形式真实性的考量,在公证保全中尤为常见,如对设备清洁性之要求。如《最高人民法院关于知识产权民事诉讼证据的若干规定(征求意见稿)》第四十六条规定,“对信息网络环境下的电子数据进行公证保全,公证员未检查取证设备的清洁性及网络接入情况,且无其他证据证明电子数据的真实性的,该公证证据不能作为认定事实的根据。”司法实践中,亦有诸多判决体现法院因公证书属于“公证机构外办理公证、使用非公证机构设备、未记载清洁性检查、操作人员非公证机构工作人员”等情形而不予认定公证书效力。因此,在鉴定工作中,开始使用设备前进行核查并确保其工作状态的完好、使用设备过程中随时核查设备状态避免因设备问题影响鉴定结果是基础。
另一方面,设备工具的功能将直接影响鉴定结果。本次新规新增鉴定设备和工具部分(第4章)即主要为对其功能的要求,区分“应具备功能(4.1)”和“宜具备功能(4.2)”。前者均为鉴定过程中的必要分析,如实践中可以使用软件取证大师进行存储介质镜像制作和数据提取。使用软件Intella或者Nuix查看邮件附件文件的时间属性亦为鉴定人员所常用。而后者则为一些建议性补充功能,如取证大师亦可以完成对系统和应用软件的日志分析工作。
亮点4——细化鉴定步骤
对电子邮件真实性的鉴定实际上包含有无和多少两种情形,前者为从无到有的过程,后者系对原始邮件内容的增减。将“鉴定分析”分为“存在性鉴定(5.2)”与“真实性鉴定(5.3)”是本次新规一大核心变化,是对邮件形式真实与实质真实的细化区分,增加“存在性鉴定”的区分亦与司法部关于《声像资料司法鉴定执业分类规定》中有关“电子数据鉴定”的规定一致,第十八条明确,“电子数据存在性鉴定,包括电子数据的提取、固定与恢复以及电子数据的形成与关联分析。”
对于电子数据的存在性鉴定其实由来已久,尤其在刑事案件中,公安机关为侦破犯罪嫌疑人对硬盘等电子数据的毁损,通常会进行电子数据存在性鉴定。民事诉讼领域亦可见类似流程,如在民商事案件中针对被他人故意删除、毁灭公司财务电子数据进行的存在性鉴定。有观点认为该类鉴定可以作为股东起诉高管不尽职履责导致公司利益受损的证据、作为债权人起诉保管公司财务信息的公司股东不积极履行清算义务的,且与公司无法清算有直接因果关系的股东承担责任的主要证据。此次新规对电子邮件真实性鉴定明确分类、增加存在性鉴定,能够为实践中涉电子邮件效力鉴定的复杂情形提供支撑。
在对具体鉴定步骤的罗列中,语言表达更加精炼,并删除了“了解相关情况”等常规准备步骤。在存在性鉴定中详列固定保全、数据恢复和搜索、数据处理和保存三个大块。而对于真实性鉴定,则对鉴定步骤进行细化,从发送接收全路径摘列鉴定中的重点检验内容,具体包括对邮件基本信息、邮件客户端、邮件头、邮件内容、邮件附件、关联邮件、时间线、样本、服务器等的检验与综合分析。
亮点5——限缩鉴定意见
新规对于鉴定意见的四项分类与旧规基本一致(第7.2.1条):a)确定经过伪造/篡改;b)排除经过伪造/篡改;c)未发现经过伪造/篡改;d)无法判断。
对于上述鉴定意见结论,有三个细节值得关注:第一,为避免出现超出上述分类之外的个性化鉴定意见,新规使用“应在以下4类中选择”的表述,是以明确鉴定意见的穷尽性分类。第二,新规以“伪造/篡改”代替“伪造篡改”。这一变化系属回应实践情况,实践中,部分邮件本身即为无中生有,则为伪造。部分邮件本身为真实存在,然而内容却被他人有意更改,譬如对邮件内容进行修改,删去不利信息或增加有利表述;又或是更改邮件来源与去向、增减附件等,此为篡改。第三,就“篡改”的鉴定意见,新规列明:若无法确定改动的性质,可使用“修改”替代“篡改”的表述。根据《辞海》(第七版)对于“篡改”的解释:篡改,指别有用心地改动或曲解。如:篡改经典著作。换言之,“篡改”一词带有刻意曲解之意,套用法律表达可参考“恶意”、“主观故意”等。如在鉴定过程中无法得出这一结论却使用“邮件经篡改”的表述,恐在某些情况下会对法院及当事人产生误导,故在鉴定意见中增加“修改”的灵活化调整能够有效避免其不利影响。
电子邮件证据的固定与分析
典型案例
——该案入选浙江高院防范和打击虚假诉讼第二批典型案例
2022年度宁波法院十大精品案件
【基本案情】
2021年2月,原告广东某通讯公司以股东损害债权人利益责任纠纷向法院起诉占某、宁波某公司等三被告。原告主张其曾向被告宁波某公司出借款项,被告在案件中对款项性质提出质疑并进行诉讼时效抗辩。在该案办理过程中,原告广东某通讯公司在庭后补充提交了其法定代表人谢某某分别于2013年、2015年、2017年、2018年向被告发送的四封电子邮件,用以证明借贷以及催讨事实。该案承办法官进入双方邮箱系统核对后,发现谢某某发件箱中确实存在该四封邮件,且状态为发送成功,但被告坚称从未收到过。
综合全案证据及庭审情况,法院认为案件存在疑点:
一方面,被告邮箱中保留了与谢某某的历年邮件,却唯独缺少该四封邮件;而谢某某邮箱中删除了与被告的其他邮件,唯独保留了该四封邮件。
另一方面,该四封邮件的发送时间、发送内容与被告答辩内容高度一致,紧扣诉讼时效与催讨借款事宜,仿佛“量身打造”。
【案件处理结果】
法院在咨询鉴定机构以及公安相关部门后,决定向邮箱运营商公司调查取证,最终确认四封邮件系伪造。获得调查结果后,原告承认其利用自身技术优势伪造了电子邮件并申请撤回起诉。
最终,经宁波市鄞州区人民法院审理,法院裁定不予准许,并判决驳回原告全部诉讼请求,并对该公司罚款10万元。
该案系典型的通过伪造电子邮件证据并提起虚假诉讼情形,在类似案件中,如对案涉电子邮件证据的真实性判断错误,将直接导致案件当事人权益受损。对此,如本系列文章(一)所述,结合司法实践,为证明电子邮件证据真实性,当事人在提交证据时,可以着重关注以下几点:
  • 尽可能提供原始邮件,或进行当庭演示
  • 采取公证或可信时间戳等存证方式进行证据固定
  • 将邮件抄送至其他无利害关系的第三方邮箱
  • 提交其他补强证据进行佐证
  • 关注证据提交的特殊要求
  • 必要时可委托真实性鉴定
  • 注意邮件协议对真实性的影响(POP3、IMAP、HTML)
然则具体到上述案件,承办法官在登陆邮箱系统核对后发现确实存在发送成功的邮件,依照审判实践及证据规则实际上较难否认该四封电子邮件证据的真实性。此时,对电子邮件证据真实性的审查与判断将对该案被告是否需要履行债务产生直接影响。反映到案件办理中,除了关注以上几点外,本文将补充论述如何在复杂环境下固定与分析电子邮件证据。
(一)电子邮件证据的固定
  • 通过导出孤立EML文件的方式固定
  • 通过孤立的容器文件固定(PST)
  • 整盘介质固定
电子邮件作为典型的电子证据,必然与其他电子数据共同存储(如文档、电子图片等)。除了对单独的电子邮件进行篡改/伪造,直接销毁电子证据存储设备的情况时有发生,尤其针对仅有本地存储的电子证据,存储介质的遗失将使得证据认定更加复杂。此时,选择对包含电子邮件在内的所有电子数据进行整盘介质固定亦为方法之一。
  • 使用爬虫固定
在部分交易活动中,电子邮件往来数量庞大,如笔者所在团队曾为案件办理固定七千余封电子邮件作为证据。此时,如果采用传统的证据固定方式,将极大增加举证成本。并且,在部分封闭的邮件系统中,如“oracle aconex”,由于没有邮件导出功能,甚至无法进行人工逐一导出,此时采用爬虫固定的方式,既能解决邮件无法导出的问题,也能够提高取证效率。
(二)电子邮件证据的分析
常见电子邮件伪造/篡改情形
情形一:伪造发件人——第三人伪装为邮箱管理员发送钓鱼邮件
下图一则名为“【安全通知】:近期钓鱼邮件频发,请马上更新安全证书(重要)”的邮件为笔者所在团队合伙人邹律师曾真实收到过的钓鱼邮件,如图所示,从表面来看,该邮件为邮箱管理员“admin”发送,以警告提示的方式附加一个跳转URL按钮“备案保持账户”,发件人并试图以“重要”、“警告”、“请不要忽略”等措辞引导收件人点击钓鱼链接。如收件人未意识到该邮件为被伪造的钓鱼邮件,而点击跳转则存在信息泄露的巨大风险。实践中,类似的邮件并不鲜见,如伪造提示修改密码的邮件,若收件人点击链接填写账户密码信息则将存入实际发件人设置的收件系统中,而非表面的管理员系统,进而导致收件人密码泄露。
在电子邮件真实性分析中,通过查看“mail from”信息和“mail”能够辨别邮件来源是否经伪造,“mail from”系指该封电子邮件的实际发件人,而“from”则是显示发件人,通常即为我们平时在电子邮箱中所看到的发件人。“Return to”为回复邮件时的接收邮箱,通常情况下直接回复邮件时,回复邮箱即为发件人邮箱。
结合上述要点,我们对该封钓鱼邮件进行分析可见,该邮件显示发件人为[email protected],然而实际发件人其实为[email protected]。同时经过分析可见,该钓鱼邮件发送者还将回复邮件时的接收邮箱设置为了其他第三方邮箱[email protected]
情形二:篡改邮件正文内容
邮件往来在商事活动中的重要性自不待言,其原因在于邮件通常被交易双方作为关键信息的确认记录环节,在诉讼中常被用作重要信息的证据提交。如下图所示,我们模拟某矿物发货订单确认场景(图中信息均为虚拟),通过邮件将待发货货物名称及数量以邮件的方式供交易双方确认,邮件显示发货人广西源联金属有限公司计划实发铁矿石500吨、生铁500吨,共计1000吨货物至收货方上海洪达之有限公司。
此时,该封电子邮件作为载有交易双方主体、货物名称、数量、单据编号、双方确认日期等基本信息的重要电子邮件,能够为关键待证事实提供参考。而如若双方或其他第三人因该信息涉及其个人利益而有意篡改之,将轻易得到一封不真实的电子邮件。下图为该邮件的eml格式文本,可见图中货物数量被篡改,铁矿石数量由500吨被改为1500吨,合计总数由1000吨被改为2000吨。如在原始邮件遗失又缺乏其他证据佐证的情况下,该封不真实的电子邮件将为案件结果带来极大风险。
在电子邮件真实性分析中,可以通过多种途径检验邮件内容是否经篡改。本文以数字签名技术为例提供思路以供参考,数字签名是实践中对信息真实性的有效证明,无法篡改的数字签名能够有效解决电子邮件易篡改的特性。其中,DKIM(DomainKeys Identified Mail)即为一种常见的数字签名,对添加有DKIM签名的邮件进行验证能够判断一封邮件是否为原始邮件。我们将上图篡改货物数量后的邮件进行验证可以发现,修改货物数量后的邮件无法通过DKIM验证,表明该邮件并非发件人的原始邮件,而篡改前的原始邮件则能通过DKIM验证。
常用电子邮件证据真实性技术分析方法
  • 使用爬虫分析
在海量电子邮件证据情形下,爬虫技术除了可以解决证据固定的难题,还能够进行证据分析,使用爬虫技术分析能够实现如下两种分析目标:选取特定数量邮件查看与浏览、选取特定内容邮件查看与浏览。
  • 使用软件分析
软件分析是电子邮件真实性判断的重要方法之一。如实践中可以使用软件取证大师进行存储介质镜像制作和数据提取,该软件亦能实现对系统和应用软件的日志分析工作。使用软件Intella或者Nuix查看邮件附件文件的时间属性亦为电子邮件真实性鉴定人员所常用。在司法实践中,对于简单的电子邮件伪造/篡改情形,使用软件进行分析基本能够获得初步结论。
  • 向网络服务提供商调查取证
电子邮件证据真实性判断困难,一方面是基于其本身的易篡改性,另一方面是由于当事人受到案件取证权限、个人信息保护、技术存储等困难的限制,难以从第三方获取中立证据。对此,中立的网络服务提供商能够发挥重要作用,如我国已在北京、上海、广州等地建立了一批EDI电子数据交换标准,此时,网络服务提供商出具的证据证明力更高。求助于具有中立地位的网络服务商提供原始数据电文存储介质能够帮助当事人及法院进行技术分析。如在文首所述宁波市鄞州区人民法院审理一案中,承办法官通过向电子邮箱运营商进行调查取证,经过技术论证、数据抓取、解析代码,最终核实案涉邮件系伪造。
  • 委托真实性鉴定
除了依靠当事人尽力举证、法院综合审理认定外,向专业机构申请鉴定为电子邮件证据真实性的判断提供权威参考。《电子邮件鉴定技术规范》作为司法行政行业标准新规,对电子邮件真实性鉴定的鉴定步骤、鉴定结论均进行了深入细化的规定,为电子邮件证据鉴定提供权威参考。
当然,实践中验证电子邮件证据是否经篡改的方式多样,且通常必须结合全案信息综合判断,在实践中如欲为电子邮件证据真实性判断助益,应尽可能挖掘更多信息与材料,以证观点。
结语
囿于电子邮件的易篡改性,电子邮件证据真实性的判断愈发重要,本文以新规为视角,通过切入电子邮件证据的固定与分析为证据真实性问题进行补充,并通过实例展示实践中常见的电子邮件伪造和篡改情形,以飨读者。
查看近期文章,请点击以下链接:
继续阅读
阅读原文