电子证据是指以电子形式存在的、用作证据使用的一切材料及其派生物。它既包含反映法律关系产生、变更或消灭的电子信息正文本身，又包含反映电子信息生成、存储、传递、修改、增删等历程的电子记录，还包含电子信息所处的硬件和软件环境。本《规范》第29条将电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名均视为电子证据。

1．表现形式的多样性

电子证据超越了以往所有的证据形式，不仅可以用文字、图像和声音等多种方式存储，还可以以多媒体形式存在。例如，某出版社出版的“大百科图书光盘”，通过计算机播放，不仅有文字，而且配有图像、动画甚至电影片段，还有优美的解说，这种将多种表现形式融为一体的特点是电子证据所特有的。

2．存储介质的电子性

电子证据依据计算机技术产生，化为一组组电子信息存储在特定的电子介质上。例如，计算机硬盘和光盘等，它的产生和重现必须依赖于这些特定的电子介质，而传统的证据(例如笔录)则无需依赖于其他介质就可以独立重现，这点也正是电子证据的弱点，直接削弱了它的证明力度。因为，如果有人在电子介质上做手脚，例如，运用黑客手段入侵电脑网络，就能改变电子证据的本来面目，给证据的认定带来困难。

3．准确性

电子信息严格按照运行于计算机上的各种软件和技术标准产生和运行，其结果完全是“铁面无私”的机器内部对一组组二进制编码的运行结果，丝毫不会受到感情、经验等多种主观因素的影响。因此，如果没有人为的蓄意修改或毁坏，电子证据能准确地反映整个事件的完整历程和每一细节，准确度非常高。

4．脆弱性

书面文件使用纸张为载体，不仅真实记录有签署人的笔迹和各种特征，而且可以长久保存，如有任何改动或添加，都会留下“蛛丝马迹”。但电子证据使用电磁介质，储存的数据修改简单而且不易留下痕迹，这导致了当有人利用非法手段入侵系统、操作人员误操作和网络故障等状况发生时，电子证据均有可能被轻易地盗取、修改甚至全盘毁灭而不留下任何证据。电子证据的这种特点，使得计算机罪犯的作案行为变得更轻易而事后追踪和复原变得更困难。

5．数据的挥发性

在计算机系统中，有些紧急事件的数据必须在一定的时间内获得才有效，这就是数据的“挥发性”，即经过一段时间后数据可能就无法得到或失效了，就像“挥发”了一样。因此，在收集电子证据时必须充分考虑到数据的挥发性，在数据的有效期内及时收集数据。

(一)电子证据可靠性、关联性、完整性的认定

运营商承担紧要的举证责任，因此，对于运营商提给的证据如何实行认定也是一个值得探讨的问题，也就是说，运营商提给的证据具备多大的证明力。所谓证明力，是指证据在证明待证事实上体现其价值大小与强弱状态或程度；考察电子证据的证明力，就是指要认定电子证据本身或者电子证据与案件中其他证据一起能否证明待证事实以及在多大程度上能够证明待证事实。通常认定证据证明力通过审查其可靠性、关联性以及完整性来判断，电子证据也不例外。

对于认定可靠性这点而言，由于电子证据的科技含量很高，而且信息技术的不断进展，使得法官在认定电子证据的可靠性方面存在着很大的难度。很多电子证据，即使请来了电子专家，也难辨真伪。所以光用传统的认定方式是不够的，应该采用正面认定和侧面认定相结合的方式。电子证据正面认定涉及这样几个方面：首先法官要考虑电子证据是由谁收集的、收集的人与案件有无利害关系，是否严格遵循了提取证据的规则等一系列问题；接下来需要考虑的是电子证据是自动生成还是人工录入，自动生成的是否可靠，人工录入又是否符合操作规程；电子证据存储的方式是否科学，存储的介质是否可靠，存储人员的公正性；电子证据的所用的技术手段或方式是否科学；电子证据在上述环节中是否被删改过。法官不能以感官来认定，应该聘请专业技术人员实行鉴定。

美国《联邦证据规则》第401条规范：有关联性证据指具备下述倾向性的证据，即：任何一项对诉讼裁判结案有影响的事实存在，若有此证据将比缺乏此证据更有可能或更无可能。参照这一规范，不难得出关联性紧要是指能否证明或否定待证事实，也就是判断所提出的电子证据和事实有什么样的关系。

完整性是考察电子证据证明力的一个特殊指标,具备两层含义：一是电子证据本身的完整性，二是电子证据所依赖的计算机系统的完整性。对电子证据完整性的认定紧要是看该证据所载明的内容是否遭受了非必要的添加或删改。

(二)比较多份证据

比较多份电子证据的证明力有这样一些原则：第一，电子证据原件的证明力，大于复印件的证明力。但是在电子证据中，电子证据有时无法以原件方式保存，如何才能达到与原件一样的证明力?北京市高级人民法院颁行的《关于办理各类案件有关证据问题的规范(试行)》第5条规范：用有形载体固定或者表现的电子证据交换、电子邮件、电子数据等电脑贮存资料的复印件，其制作应经公证或者经对方当事人确认后，才具备与原件同等的证明力。第二，经公证电子证据的证明力，大于非经公证的电子证据。从实践中看，对电子证据的收集历程实行公证的更有限的方式是开展网络公证。网络公证不仅需要公证员懂得计算机技术，而且要有一套适合对虚拟的计算机空间实行监控的公证软件。第三，由不利方保存的电子证据的证明力最大，由中立的第三方保存的电子证据的证明力次之，由有利方保存的电子证据的证明力最小。由于主体的身份区别，他们同案件的利害关系也区别，这就导致他们对证据的处理可能大相径庭。从情理上讲，当事人往往会隐匿对自己不利的证据，而第三方则可能较为客观地保管证据。相比而言，凡是某一电子证据是有对其不利的那一方当事人所保管的，则其可靠性要大一些，甚至可以直接推定其真实性。反之，凡是某一电子证据是由对其有利的那一方当事人所保管的，则此人出于对计算机系统的熟悉及便利条件，更容易伪造或变造电子证据，故其可靠性最差。至于由第三方保管的电子证据，因为较为客观，所以其证明力居中。

随着各类电子设备的广泛应用，电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、各类可移动的扩展存储卡、加密狗等；网卡、路由器交换机等连网设备；IDS、防火墙、系统审计记录等网络安全设备或软件；数码相机、摄像机、视频捕捉卡等，个人数字助手、手机等设备中可能包含有通信地址簿、电话号码簿、个人文档和书写笔迹等信息；还有打印机、扫描仪、复印机、传真机、全球定位仪和带有记忆存储功能的家用电器等。

在这些存储介质中应检查的应用数据包含：

(1)用户自建的文档，如地址簿、E-mail、视／音频文件、图片影像文件、日程表、hternet书签／收藏夹、数据库文件和文本文件等。

(2)用户保护文档，如压缩文件、改名文件、加密文件、密码保护文件和隐藏文件等。

(3)计算机创建的文档，如备份文档、日志文件、配置文件、Cookies、交换文件、系统文件、隐藏文件、历史文件、各种软件聊天记录文件、临时文件等。

(4)其他数据区中的数据证据，如硬盘上的坏簇、其他分区、计算机系统时间和密码、被删除的文件、软件注册信息、自由空间、隐藏分区、系统数据区、丢失簇和未分配空间。

(5)ISP计算机系统创建的文档、FTP文件等。

1．电子数据的证据效力

在目前实际受理案件的历程中，电子数据一般需要通过鉴定才能成为诉讼的直接证据，公安机关在办理涉及电子数据的案件时，需要对提取的电子数据实行检验解析，找出电子数据与案件事实的客观联系，从而确定电子数据的真实性和可信性。

电子数据能否作为证据?目前各个国家都持肯定态度。鉴于我国有关法律规范：“证明案件真实状况的一切事实，都是证据”，我国法律也赋予电子数据证据地位，，目前，关于电子数据的证据效力紧要有7种观点：视听资料说、书证说、物证说、鉴定结论说、独立证据说、混合证据说、证据形式说。

2．电子数据的认定和采信

电子数据的采信涉及到何种证据能够进入诉讼程序或者其他证明行为的问题。我国学界的主流意见是，电子数据必须经过关联性、合法性与真实性的检验，才能作为定案的根据。电子数据的采信要求遵循非歧视原则和“先归类，后认定”原则。

(1)电子数据的证据能力

为保证电子证据的证据能力，首先要将电子证据能够转换为法定证据形式。中国现行的刑事诉讼法法定的证据方式分成七类，即物证与书证、证人证言、被告人供述、被害人陈述与辩解、鉴定结论、勘验报告和视听材料。在实际应用中，通常可以将电子证据转换为书证、鉴定结论、勘验报告和视听材料四种证据方式，建议在实行转换时可以依循以下原则实行转换：

①需要认定信息的存在性时应当以勘验报告的形式提给数字化证据。比如在存储媒介中存放淫秽电影，可以通过现场勘验、检查生成勘验报告，在勘验报告中指明通过勘验证实在存储媒介中存储有多少数量的电影。简单地说，勘验报告在电子数据取证历程中发挥的作用紧要是证实嫌疑人的主机上存储有什么内容。

②需要通过解析才能形成结论时应当以鉴定结论的形式提给数字化证据。比如需要通过证据解析证明系统入侵案的攻击者是谁，或者需要通过证据解析证明嫌疑人编辑过某个文档，或者需要通过跟踪解析证实某个木马的功能或来源，这些都是需要通过解析才能够得到结论，因此，一般都需要以鉴定结论的形式提给数字化证据。这时候，电子数据本身可以作为鉴定结论的附件形式提交。

③需要展示电子数据表达的内容时应当将这些内容转换为书证和视昕材料。比如需要展示电子文档中的内容时可以将这些内容打印出来，由证人或者嫌疑人在这些内容上签字形成书证材料。再比如，以电子文件形式存储的视听材料也应当直接以视听材料的形式提给作为证据。再比如，用户在网站上的登录El志也可以转换为书证。

(2)电子数据的证据力

所谓证据力是指证据的合法性，这就要求证据提取、形成历程依循规范程序。取证人员在实际工作中应依照规则实施调查取证，以保证数字化证据的证据力。为了保证电子数据的证据力，应当从以下几个方面加以保证：

①电子证据的原始性。原始性的证明可通过自认方式；证人具结方式；推定方式；鉴定方式。

②电子数据的完整性。完整性是考察电子数据证明力的一个特殊指标，完整性有两层含义：一是电子数据本身的完整性；二是电子数据所依赖的计算机系统的完整性。电子数据完整性是指在现场采集获得的数据没有被篡改，这可通过对数据计算完整性校验码或者对原始证物封存加以保证。

③技术手段的科学性。也就是要求在实施电子数据勘验、检查时使用的软硬件以及相应的勘验、检查流程符合科学原理。这就要求取证时使用的软硬件应当经过科学方式的检测，也要求勘验、检查流程能够经得起现实的考验。

④勘验、检查人员操作的可再现特性。为了保证数字化证据的真实性和完整性，这就要求勘验、检查人员对数字化证据实施的操作应当是可再现的，也就是应当对勘验、检查人员对数字化证据的提取、处理、存储、运输历程有详细的审计记录。

(3)电子数据的证明力

保证证明力就是要保证证据与待证事实之间的关联性，也就是证据与结论之间是否符合逻辑。为了保证证据的证明力，这就要求保证：

①证据解析原理的科学性和逻辑性。也就是对电子证据事实解析所依赖的软硬件、技术原理符合科学原理，并且能够经受事实的考验。同时也要求从证据到结论这一历程符合逻辑，“任何科学都是应用逻辑”，“甚至形式逻辑也首先是探询新结果的方式，由已知进到未知的方式”，是否符合形式逻辑的一般准则，是推断证据运用是否科学的重要依据。

②解析历程的可再现特性。也就是指根据相同的解析原理、在相同的数字化证据集合上实行解析，不管任何人只要依循相同的解析规则都能够得到相同的结论。在实际操作中，这一方面要求数字化证据鉴定人员应当对直接的解析历程提给详细的审计记录，另一方面要求任何其他人根据其提给的审计记录实施相同的操作能够得到相同的解析结论。总之，科学的证据必须尊重事实，尊重事物之间的内在联系，强调对事物本质特征的认识与发掘，强调对客观规律的解释与说明。强调证据的科学立场，首先应当重视证据的试验性。能够通过试验来检验证据，检验的结果是否具备稳定不变的特性，是证据科学的首要原则，因此，要求数字化证据解析历程的可再现特性本身也是解析原理科学性的一个必然要求。