日前,杭州互联网法院针对一起著作权的案件的判决引起社会热议,该案被作为国内首例区块链存证案而被媒体推崇,甚至有人赋予其划时代的意义。
根据判决书的部分内容显示,这是一个普通的著作权纠纷,杭州《都市快报》授权杭州华泰一媒公司就深圳“第一女性时尚网”侵犯其文字作品网络传播权提起的民事诉讼。其特殊性就在于,侵权证据的保全并未采用传统方式进行,而是由另外一家叫“保全网”的公司受华泰一媒公司的委托,采用了一种被称为“锚定区块链”的方式进行电子证据保全。因为区块链和比特币都是时下热门话题,所以本案判决中对于新型证据保全方式的肯定,成为业内关注的焦点。
能与时俱进接收新生事物,确是司法的进步,对新领域的探索,从来都是人类进步的原始动力和阶梯,但是,司法是不仅需要创新更需要准确,而准确的司法裁判要建立在对新生事物的正确认知基础上。我们认为,本案的某些重要问题仍存在值得商榷的地方。
一、电子证据保全的可信主体问题
判决书在“关于侵权网页取证技术手段的可信度审查”一段中,详细介绍了“保全网”URL取证软件的运行原理和流程,所处网络环境和一些软件检验鉴定报告等,试图说明这种取证方法所得到的证据数据与其他一般浏览工具并无本质差别,具备普遍性的证据意义。然而就取证主体而言,其所拥有的工具软件和特性并非是最重要的,首要问题是该证据的取证主体行为的可信度。换句话说,是证据的获取过程中,是否独立客观符合法律规定,并事实相符,而未受到其他单位、个人的影响或干涉。就本案而言,所述证据中缺失了“保全网”取证过程的可采信依据,即便“保全网”拥有的取证软件运行是可靠的,但并不等同于其在证据的获得过程中使用了该软件。而电子证据本身不具有可以证明其生成方式和生成软件的能力,所以“保全网”所提供的电子证据无法与任何URL建立证据意义上的关联关系。至于其取证之后采用何种机制来保护数据不被篡改,并不能弥补这一根本性问题。“保全网”提供的电子证据只能作为证人证言,必须与其他证据构成证据链方可使用。
据说,本案被告对被控侵权事实没有异议,且整个获取电子数据的清洁性和完整性也得到了鉴定机构的确认。判决书中也提到,“保全网”与原被告和委托方不存在股东主体上的关联关系,但是主体不关联不等于实际上的不关联,“保全网”作为专门从事收费取证服务的商业公司,与本案的原告及原告委托方显然存在利益合作关系,所有不能认定具有中立性,其所提供的证据效力也非常有限,甚至低于搜索引擎的网页快照缓存。
正是因为这样的证据缺少必要的公证审查和监督,一旦得到司法判决的支持,那么任何网页证据都可以如此这般地凭空制造出来,被诉人事后均无法提出“相反的证据”。若真如此,互联网上将人人自危,也许只有关闭服务器、注销域名才能确保万无一失,此情景岂不荒谬?
二、单纯依赖区块链保存哈希(hash)值的原文认定问题
哈希(hash)算法是一类信息验证的常用方法,它可将任意长度的信息数据通过单向有损计算处理,得到很小的、固定长度的信息数据编码(俗称信息指纹)。大多数情况下,hash算法是输入敏感的,即修改原文一般都会引起计算结果的改变。同时,hash算法也是不可逆的,无法通过hash结果逆向计算出原文。这种算法的设计初衷是:在网络信息交互过程中,较长的信息数据在传输过程中发生错误的概率较大,而较短的信息出错概率较低,所以密码学家发明了这种算法,在网络信息交互时,发送方将信息原文和对应的hash值同时传递给接收方,接收方接收到之后,对所接收到的信息原文重新计算hash值,并与接收到的hash值对比,来大致判定接收到的原文是否与发送方发出的原文一致,这是一种比较可靠的验证方式,目前广泛应用于网络交互的安全要求场景。
但是在没有原文,只有hash值的情况下,是否可以在事后认定参与计算的某个特定原文呢?答案是否定的。从hash算法原理可以得知,它对超过其结果长度的原文数据的处理都是缩短的,例如本案中采用的sha-256算法,是将任意长度的原文数据都转化为256位的二进制数据。而256位的二进制有2^256种不同的值,这虽然很多,但是与任意长度数据的样本数比起来微不足道,世界上有无穷多的数据样本,显然不是这256个0或1序列所能全部描述的。按照鸽巢原理,m只鸽子飞进n个鸽巢,如果m>n,则至少有一个鸽巢里面有两个或两个以上的鸽子,而本例中,鸽子有无穷多个,鸽巢只有2^256个,每个鸽巢中的鸽子也将是无穷多个。所以,对于每一个固定的hash值来说,与之对应的数据原文也有无穷多个,而认定其中的某一个特定数据即是当时参与计算此hash值的原文,在司法上显然是不审慎的。
当然,对于大多数hash算法来说,从已知的原文数据,在有限时间和算力内得出另外一个具有相同hash值的原文,在计算上非常难。但即使撇开hash碰撞的小概率事件,在实际证据存储业务中,这种仅将证据hash值存放在区块链上的方式,因局限于hash算法的自身特点,以及区块链对接入方数据并不进行司法证据意义上的审查,尚有很多漏洞可以加以利用,例如——
1、“原始恶意”:存证方在保存证据hash值之前,就已经刻意修改了证据原文甚至伪造原文,然后再将修改后的证据原文计算hash值传至区块链,因为这一过程发生在计算机上,可以在很短时间内完成,故基本不影响时间效力,这种情况下,区块链就会成为虚假证据的保护设施。
2、“多版本预留”:存证方可以就某一个事实相关的电子证据(如电子合同等)生成多个版本,对每个版本分别计算hash值并分别传至区块链保存,将来发生争议时,选择其中有利于自己的版本作为证据校验,而不提供其他对自己不利的版本。
区块链的原始设计目的,是通过分布式信息共识机制,达到在没有权威机构背签的情况下获取公信力的目的。为了整个系统的稳定性和运行效率,其底层信息共识算法大多数是容错的(最高可达49%的错误容忍度),这与我国司法证据的理念不符。另外,公有链的运营方多在境外(本案中两个公有链的信息系统分别位于美国和爱尔兰),软件运行的真实情况无法得知,查询区块数据时使用的数据来源不明,运营方所宣称的“去中心化、透明化、防篡改”等等特性也都无从考证和眼见为实,所以,在判决书中将此认定为事实是没有依据的。
三、其他问题
在不考虑取证主体可信度问题的情况下,“保全网”采用的取证方式也存在问题。根据判决书描述,“保全网通过自动调用谷歌开源程序puppeteer对目标网页进行图片抓取,同时通过调用curl获取目标网页源码…”这里首先有个概念上的错误,网页在浏览器中所呈现的视觉效果并不是存储在目标服务器中的图片文件,而是浏览器下载网页源码后渲染呈现所得,其所包含的信息并非一张图片所能涵盖的,可能有视觉切换、流媒体播放甚至与前端运行的脚本程序体现的特殊动态效果,puppeteer可以对网页源代码做合适的渲染,但转换成一张静态图片后往往会丢失很多原始信息,并非是直接证据,更为直接的证据是curl获取的网页源码,才是远程服务器返回的最原始的证据。这两者相互配合形成同一个证据的两种体现,前者用于证据展示,后者用于证据的深入挖掘。根据判决书描述,puppeteer和curl是分别对目标服务器进行请求的,这产生的并非是同一份证据,远程服务器完全可能对两者返回不同的内容,这样,curl所获取的网页源码的展现并不等同于puppeteer所渲染呈现出的网页截图,这一问题,不知千麦鉴定所的鉴定报告中有无提及到。
一家致力于互联网时代电子存证、取证、公证的创新企业
四、结束语
技术是没有属性的,只要使用得当,都能发挥巨大作用。区块链是个新概念,其底层架构却是由几个成熟技术构成的,用区块链发币当然不可取,如果只是将之作为一个远程的防篡改数据库,那也只能起到一个时间戳的证明作用,况且使用的是非权威时间戳。所以,对于电子证据服务商来说,正确引入区块链技术的做法,应该是采用其设计理念,使用恰当的信息共识技术将数据和司法权威机构连接在一起,把电子证据的生成、传输、提取、保存等等都作为不可或缺的证据属性,构建成一个全证据生命周期、高司法效力的电子数据提取基础设施,才是推进司法信息化、科技化的正确方向,而不是攀炎附热,炒作概念。
综上,hash算法和区块链信息共识技术都是高效率、低成本解决数据验证的方式,在电子数据证据化中必将发挥重要作用,杭州互联网法院积极推广鼓励,是促进司法先进化的有力举措,值得表扬。但是作为法律工作者和电子证据服务商,应该深入理解技术的底层和实质,并结合我国司法实践和证据认定原则,脚踏实地推进司法进步。
閱讀更多 吳法天的說法 的文章
