随着线上业务尤其是金融业务线上化的不断发展,如何保管易损毁、易破坏、易篡改的电子数据通过一定的技术手段进行固化、存档、安全存储,使其更满足证据对于关联、固定、直观的一些要求成了电子签名和「互联网+司法」相关领域的一个新的风口,各种厂商开始布局电子证据存证类业务。
自从 2018 年 9 月,最高法颁布了《最高人民法院关于互联网法院审理案件若干问题的规定》,其中第十一条明确了以区块链等技术手段保存电子证据的法律效力。随后区块链存证在北京、杭州、广州等地的互联网法院开始试行,比如北京互联网法院的「天平链」,杭州互联网法院的「司法区块链」,广州互联网法院的「网通法链」。2020 年最高法为了解决各地重复上马司法区块链的问题,开始搭建「人民法院司法区块链统一平台」。
最近有机会和几位从事法律工作和司法取证的朋友聊到这块,从法律和技术两个方面还是聊了很多,在这里总结一下。
大家公认区块链技术的分布式记账、点对点传输、共识机制和加密算法等方面在数据真实性上要比中心化的数据中心有优势。但是在实际操作过程中,则出现了各种问题。
就我的感受而言,「区块链+存证」领域如果从法律层面和技术层面分开来看的话,法律层面上相对明细,但是在技术层面因为其本身的复杂技术特点让没有技术背景的法律工作者理解起来有点困难。
估计最高法也看到这个问题。2020 年 6 月 17 日,最高法发布了《人民法院在线诉讼规则》(以下简称《诉讼规则》),其中对于在线诉讼中的区块链存证效力以及人民法院对于区块链存证审查规则进行了进一步的说明。明确划定了区块链存证的法律边界。
在《诉讼规则》中,区块链存证推动有效的规则有两个层面:
- 上链存储的数据如果没有相反证据足以推翻并经技术核验一致的,可以认定「上链后未篡改」,存证方无需再举证证明。按照「谁主张谁举证」原则,推翻需要异议方提出证明或说明理由;
- 该规则仅限于认定数据「上链后未篡改」,不能证明上链前数据的真实性。
在实际业务过程中,区块链技术本身并不能完全保证数据的真实性保证,很多数据有着在上链前就已经被污染的可能(这一点也是当前区块链不可篡改特性最被人所攻击的一个问题)。
在人民法院报2021 年 8 月5 日的一篇文章(《区块链存证的效力及审查规则》)中对于存整数据生成方式的不同,将存证模式分为:生成型存证和转化型存证两种。这两种存证模式的不同在于:
- 生成型存证的数据生成于区块链系统,存储于区块链系统。其后发生的所有交易均被记录在链上,由权威时间源确保时间可信,形成一个完整的交易周期。区块链系统所存储的电子数据即是原始证据,是产生于虚拟空间的原始记录。
- 转化型存证的数据来源于技术抓取,再备份至区块链上,如果质疑上链前数据的真实性,须通过铺垫性证明,即对于上链存储前的取证过程提供相关过程性证据,以证明上链前数据的真实性。
在《诉讼规则》中就提到,(即使电子数据上链)但当事人不能提供证据证明或者作出合理说明,该电子数据也无法与其他证据相互印证的,人民法院不予确认其真实性。也就是说上链后的数据依旧有被推翻的可能。
在技术角度上看来,目前区块链技术因其本身的「交易延迟、效率低」等缺点并不能完全替代中心化服务,所以大部分的存证数据还是依靠抓取业务系统产生的电子数据的外部特征并备份至区块链服务进行存储。但在实际操作中,如果在业务发生时同步进行了区块链存证,这种情况一般会倾向于认为该数据也属于生成型的存证。
这就容易触发《诉讼规则》的第十七条(当事人对区块链技术存储的电子数据上链后的真实性提出异议)和第十八条(当事人提出电子数据上链存储前已不具备真实性,并提供证据证明或者说明理由的)从而需要人民法院对存证内容进行审查,审查内容主要包括以下几点:
- 存证平台是否符合国家有关部门关于提供区块链存证服务的相关规定;
- 当事人与存证平台是否存在利害关系,并利用技术手段不当干预取证、存证过程;
- 存证平台的信息系统是否符合清洁性、安全性、可靠性、可用性的国家标准或者行业标准;
- 存证技术和过程是否符合相关国家标准或者行业标准中关于系统环境、技术安全、加密方式、数据传输、信息验证等方面的要求。
总结起来,就是存证凭条的主体是否合法和妥当,存证系统的软硬件是否清洁安全、可靠可用,存整技术和过程是否规范有效。这些审查的技术专业性非常强,司法实践中一般会安排举证质证、司法鉴定、专家证人等方式来进行。
不过这里有一个很坑的点,在于审查内容的第一条:存证平台是否符合国家有关部门关于提供区块链存证服务的相关规定。不同于电子认证机构依据《中华人民共和国电子签名法》和工信部《电子认证服务管理办法》以及国密局的《电子认证服务密码管理办法》而获得资质认可。目前现行的法律和行政法规并无对电子存证服务行业划定准入门槛,也并没有设定准入资质许可。如何判断这一条,则法官的自由裁量权就很大了,比如 2019 年(当时还没有《诉讼规则》)四川中级人民法院在一起判例中就以存证服务商没有《电子认证许可证书》不认可服务商具备电子认证服务能力,从而不认可其存证数据的有效性。(emm,这和电子认证有啥关系,不过这也在一定程度上说明了电子存证服务的技术复杂性让「可爱」的法官不知道电子认证和电子存证不是周树人和鲁迅的关系~如果按照这个判例,国内能做存证的服务商=CA 机构=不到 50 家)
不过我查看了四十个左右关于「第三方电子存证平台」的相关案例(查案例的时候,怀念无讼可用的日子,现在还可用的几家感觉不如无讼好用,此处无讼请打广告费),只有四川中级人民法院在(2019)川01民终1050号的判决不认可第三方存证服务商的资质,其他判决均基于:
- 独立于原被告双方;
- 区块链设施通过通过国家互联网信息办公室的境内区块链信息服务登记备案
- 通过权威机构的技术认证(比如公安部安全与警用电子产品质量检测中心(公安部一所)检验认证,国家网络与信息安全产品质量监督检验中心(公安部三所)完整性鉴别检测)。
关于通过权威机构的技术认证,我觉得并不是一定要认证,但是你总得给法官一个相信你的理由。总不能你说对就对吧,有个第三方认证更容易让法官接受。(比如:我就从来不说我帅,都是让小爱同学每天早上叫我起床时告诉我。这是基于大数据和人工智能的反馈,我觉得一定是真的~)
在区块链存证项目实施过程中参考司法部2020 年 5 月 29 日发布实施的《电子数据存证技术规范》我整理了思路可以供大家借鉴:
- 前置工作要做好:对于区块链存证平台本身的安全性要求、电子证据存取证审查规则等和法务同事前置沟通,前置梳理。将容易涉诉的高风险领域/模块进行摸排,并制定对应的存证规范、数据抓取字段等;
- 区块链基础服务需要通过国家互联网信息办公室的境内区块链信息服务登记备案(依据:网信办《区块链信息服务管理规定》);
- 存证系统和业务系统过信息安全等级保护(依据《网络安全法》,且信息安全等级保护是目前最被公认的、最具权威性的信息系统安全测评),其中存证系统应通过等保三级(司法部规范要求);
- 使用国密算法加密(国家密码管理主管部门认证核准的密码技术);
- 存证平台运营公司独立于原被告更有助于存证数据的认可度(「技术中立」和「平台中立」,当事人与存证平台是否存在利害关系,并利用技术手段不当干预取证、存证过程)。但这一点不是说就不要自己搞,直接去买第三方服务了。如果不能完全达到平台中立的要求,可以通过引入满足国家资质认可的 CA 机构、时间戳机构等方式辅助增加平台存证信息的技术中立性。
不过目前的一些服务商还是存在夸大区块链存证的证据效力等问题,各位在实际操作过程中还是要慎重慎重再慎重。