日前,杭州互聯網法院針對一起著作權的案件的判決引起社會熱議,該案被作為國內首例區塊鏈存證案而被媒體推崇,甚至有人賦予其劃時代的意義。
根據判決書的部分內容顯示,這是一個普通的著作權糾紛,杭州《都市快報》授權杭州華泰一媒公司就深圳“第一女性時尚網”侵犯其文字作品網絡傳播權提起的民事訴訟。其特殊性就在於,侵權證據的保全並未採用傳統方式進行,而是由另外一家叫“保全網”的公司受華泰一媒公司的委託,採用了一種被稱為“錨定區塊鏈”的方式進行電子證據保全。因為區塊鏈和比特幣都是時下熱門話題,所以本案判決中對於新型證據保全方式的肯定,成為業內關注的焦點。
能與時俱進接收新生事物,確是司法的進步,對新領域的探索,從來都是人類進步的原始動力和階梯,但是,司法是不僅需要創新更需要準確,而準確的司法裁判要建立在對新生事物的正確認知基礎上。我們認為,本案的某些重要問題仍存在值得商榷的地方。
一、電子證據保全的可信主體問題
判決書在“關於侵權網頁取證技術手段的可信度審查”一段中,詳細介紹了“保全網”URL取證軟件的運行原理和流程,所處網絡環境和一些軟件檢驗鑑定報告等,試圖說明這種取證方法所得到的證據數據與其他一般瀏覽工具並無本質差別,具備普遍性的證據意義。然而就取證主體而言,其所擁有的工具軟件和特性並非是最重要的,首要問題是該證據的取證主體行為的可信度。換句話說,是證據的獲取過程中,是否獨立客觀符合法律規定,並事實相符,而未受到其他單位、個人的影響或干涉。就本案而言,所述證據中缺失了“保全網”取證過程的可採信依據,即便“保全網”擁有的取證軟件運行是可靠的,但並不等同於其在證據的獲得過程中使用了該軟件。而電子證據本身不具有可以證明其生成方式和生成軟件的能力,所以“保全網”所提供的電子證據無法與任何URL建立證據意義上的關聯關係。至於其取證之後採用何種機制來保護數據不被篡改,並不能彌補這一根本性問題。“保全網”提供的電子證據只能作為證人證言,必須與其他證據構成證據鏈方可使用。
據說,本案被告對被控侵權事實沒有異議,且整個獲取電子數據的清潔性和完整性也得到了鑑定機構的確認。判決書中也提到,“保全網”與原被告和委託方不存在股東主體上的關聯關係,但是主體不關聯不等於實際上的不關聯,“保全網”作為專門從事收費取證服務的商業公司,與本案的原告及原告委託方顯然存在利益合作關係,所有不能認定具有中立性,其所提供的證據效力也非常有限,甚至低於搜索引擎的網頁快照緩存。
正是因為這樣的證據缺少必要的公證審查和監督,一旦得到司法判決的支持,那麼任何網頁證據都可以如此這般地憑空製造出來,被訴人事後均無法提出“相反的證據”。若真如此,互聯網上將人人自危,也許只有關閉服務器、註銷域名才能確保萬無一失,此情景豈不荒謬?
二、單純依賴區塊鏈保存哈希(hash)值的原文認定問題
哈希(hash)算法是一類信息驗證的常用方法,它可將任意長度的信息數據通過單向有損計算處理,得到很小的、固定長度的信息數據編碼(俗稱信息指紋)。大多數情況下,hash算法是輸入敏感的,即修改原文一般都會引起計算結果的改變。同時,hash算法也是不可逆的,無法通過hash結果逆向計算出原文。這種算法的設計初衷是:在網絡信息交互過程中,較長的信息數據在傳輸過程中發生錯誤的概率較大,而較短的信息出錯概率較低,所以密碼學家發明了這種算法,在網絡信息交互時,發送方將信息原文和對應的hash值同時傳遞給接收方,接收方接收到之後,對所接收到的信息原文重新計算hash值,並與接收到的hash值對比,來大致判定接收到的原文是否與發送方發出的原文一致,這是一種比較可靠的驗證方式,目前廣泛應用於網絡交互的安全要求場景。
但是在沒有原文,只有hash值的情況下,是否可以在事後認定參與計算的某個特定原文呢?答案是否定的。從hash算法原理可以得知,它對超過其結果長度的原文數據的處理都是縮短的,例如本案中採用的sha-256算法,是將任意長度的原文數據都轉化為256位的二進制數據。而256位的二進制有2^256種不同的值,這雖然很多,但是與任意長度數據的樣本數比起來微不足道,世界上有無窮多的數據樣本,顯然不是這256個0或1序列所能全部描述的。按照鴿巢原理,m只鴿子飛進n個鴿巢,如果m>n,則至少有一個鴿巢裡面有兩個或兩個以上的鴿子,而本例中,鴿子有無窮多個,鴿巢只有2^256個,每個鴿巢中的鴿子也將是無窮多個。所以,對於每一個固定的hash值來說,與之對應的數據原文也有無窮多個,而認定其中的某一個特定數據即是當時參與計算此hash值的原文,在司法上顯然是不審慎的。
當然,對於大多數hash算法來說,從已知的原文數據,在有限時間和算力內得出另外一個具有相同hash值的原文,在計算上非常難。但即使撇開hash碰撞的小概率事件,在實際證據存儲業務中,這種僅將證據hash值存放在區塊鏈上的方式,因侷限於hash算法的自身特點,以及區塊鏈對接入方數據並不進行司法證據意義上的審查,尚有很多漏洞可以加以利用,例如——
1、“原始惡意”:存證方在保存證據hash值之前,就已經刻意修改了證據原文甚至偽造原文,然後再將修改後的證據原文計算hash值傳至區塊鏈,因為這一過程發生在計算機上,可以在很短時間內完成,故基本不影響時間效力,這種情況下,區塊鏈就會成為虛假證據的保護設施。
2、“多版本預留”:存證方可以就某一個事實相關的電子證據(如電子合同等)生成多個版本,對每個版本分別計算hash值並分別傳至區塊鏈保存,將來發生爭議時,選擇其中有利於自己的版本作為證據校驗,而不提供其他對自己不利的版本。
區塊鏈的原始設計目的,是通過分佈式信息共識機制,達到在沒有權威機構背籤的情況下獲取公信力的目的。為了整個系統的穩定性和運行效率,其底層信息共識算法大多數是容錯的(最高可達49%的錯誤容忍度),這與我國司法證據的理念不符。另外,公有鏈的運營方多在境外(本案中兩個公有鏈的信息系統分別位於美國和愛爾蘭),軟件運行的真實情況無法得知,查詢區塊數據時使用的數據來源不明,運營方所宣稱的“去中心化、透明化、防篡改”等等特性也都無從考證和眼見為實,所以,在判決書中將此認定為事實是沒有依據的。
三、其他問題
在不考慮取證主體可信度問題的情況下,“保全網”採用的取證方式也存在問題。根據判決書描述,“保全網通過自動調用谷歌開源程序puppeteer對目標網頁進行圖片抓取,同時通過調用curl獲取目標網頁源碼…”這裡首先有個概念上的錯誤,網頁在瀏覽器中所呈現的視覺效果並不是存儲在目標服務器中的圖片文件,而是瀏覽器下載網頁源碼後渲染呈現所得,其所包含的信息並非一張圖片所能涵蓋的,可能有視覺切換、流媒體播放甚至與前端運行的腳本程序體現的特殊動態效果,puppeteer可以對網頁源代碼做合適的渲染,但轉換成一張靜態圖片後往往會丟失很多原始信息,並非是直接證據,更為直接的證據是curl獲取的網頁源碼,才是遠程服務器返回的最原始的證據。這兩者相互配合形成同一個證據的兩種體現,前者用於證據展示,後者用於證據的深入挖掘。根據判決書描述,puppeteer和curl是分別對目標服務器進行請求的,這產生的並非是同一份證據,遠程服務器完全可能對兩者返回不同的內容,這樣,curl所獲取的網頁源碼的展現並不等同於puppeteer所渲染呈現出的網頁截圖,這一問題,不知千麥鑑定所的鑑定報告中有無提及到。
一家致力於互聯網時代電子存證、取證、公證的創新企業
四、結束語
技術是沒有屬性的,只要使用得當,都能發揮巨大作用。區塊鏈是個新概念,其底層架構卻是由幾個成熟技術構成的,用區塊鏈發幣當然不可取,如果只是將之作為一個遠程的防篡改數據庫,那也只能起到一個時間戳的證明作用,況且使用的是非權威時間戳。所以,對於電子證據服務商來說,正確引入區塊鏈技術的做法,應該是採用其設計理念,使用恰當的信息共識技術將數據和司法權威機構連接在一起,把電子證據的生成、傳輸、提取、保存等等都作為不可或缺的證據屬性,構建成一個全證據生命週期、高司法效力的電子數據提取基礎設施,才是推進司法信息化、科技化的正確方向,而不是攀炎附熱,炒作概念。
綜上,hash算法和區塊鏈信息共識技術都是高效率、低成本解決數據驗證的方式,在電子數據證據化中必將發揮重要作用,杭州互聯網法院積極推廣鼓勵,是促進司法先進化的有力舉措,值得表揚。但是作為法律工作者和電子證據服務商,應該深入理解技術的底層和實質,並結合我國司法實踐和證據認定原則,腳踏實地推進司法進步。
閱讀更多 吳法天的說法 的文章
