2018年6月28日,杭州互联网法院一审宣判中,论证了对采用区块链作为存证方式的电子数据之有效性。从中看到,对于数据获取过程的有效性,比数据本身的有效性,来的困难的多,是否靠谱,颇具争议的。
这个案例也说明,溯源的数据的获取的有效性,比数据本身困难很多。因为,要证明数据的有效性,就必须证明数据获取的有效性;要证明数据获取的有效性,就必须证明数据获取工具的有效性;要证明数据获取工具的有效性,就必须证明组成工具的各个组件的有效性;要证明组件的有效性,就必须证明更小组件的有效性;这么下来,就得不穷分解,到什么层次才是个度呢,到什么度才靠谱呢。这就是获取过程有效性鉴别的困难之处,需要在法律上达成共识。
这个判决书的内容,让我们看到,区块链存证,不像大家相信的那么容易,中间的细节,各种证明,没完没了。可能很难一时用靠谱或是不靠谱来下结论。
(一)关于存证平台的资质审查
经査询,华泰一媒公司的股东为浙江华媟控股股份有限公司。数秦公司自然人股东包括翁远、高航、李侨峰、卢春泉,企业股东包括安吉数秦投资管理合伙企业、杭州数秦投资管理合伙企业、新余优创投资管理中心、杭州水木泽华创业投资合伙企业,数秦公司股东及经营范围相对独立于华泰一媒公司和都市快报社,具有中立性,且通过国家网络与信息安全产品质量监督检验中心完整性鉴别检测,其运营的保全网具备作为第三方电子存证平合的资质。
区块链存证有效,必须证明存证存放的平台是有效的。怎么去证明?现阶段,还只能通过“通过国家网络与信息安全产品质量监督检验中心完整性鉴别检测”的标准来说明“运营的保全网具备作为第三方电子存证平台的资质”的有效性。这么说来,为了证明数据获取的有效性,去中心化是不现实的。这也是很多用区块链来做资产证券化项目的一个痛点,他们还得借助公证机关来保证数据获取的有效性。
(二)关于侵权网页取证技术手段的可信度审查
打开电脑命令窗口,输入命令“ping www.baoquan.com”,返回的IP是112.74.234.54,经查询,该IP的物理位置是阿里云BGP数据中心,故可知保全网网系部署在阿里云中,阿里云作为通用的云平合,能够确保服务器在一般情况下未受病毒和木马感染入侵;且保全网已获得公安部第三研究所与国家网络与信息系统安全产品质量监督检验中心授予的网站安全一级认证证书、信息系统安全等级保护第三级的备案证明。故此,除有相反证据否定之外,应认定该网站具备进行电子数据存储的安全环境。保全网服务器在收到传输过来的侵权网页URL时,会自自动请求互联网环境下的目标地址,目标地址自动返回状态码及网页信息,以确认请求的URL系有效的可访问地址从而确保侵权链接的抓取系在互联网环境下进行。
取证技术手段,就是数据获取的手段,可信度的证明,非常复杂,本案例中还只是一个折衷的选择。前面证明了保全网资质的有效性。这儿还得证明部署的保全网系统的有效性。为了证明,根据保全网IP查出是阿里云,且有安全等级备案,认定网站具备存储数据的安全环境。然后,证明系统能正常服务,保证抓取的侵权链接是正常的。对于阿里云系统,对于保全网系统,对于保全网服务的信任,都是基于资质的可信。还不是区块链本身的验证。
实际上,要证明一个系统的可靠,可信,如果没有公证机构,是一个非常复杂的问题。而且可能是个循环论证的过程。比如,要证明保全网的服务可信,就得证明DNS可信,就得证明中间的路由器和路由系统的可信,就得证明网站使用的webserver可信,就得证明服务器上使用的软件可信,就得证明中间没有被hack,等等,没完没了,所以说,到什么层次是个分界点,就是非常重要的。
保全网通过自动调用谷歌开源程序 puppeteer对目标网页进行图片抓取,同时通过调用curl获取目标网页源码。经查询可知, Puppeteer系谷歌官方出品的通过 Devtools协议控制headless Chrome的Node库,可通过其提供的API作为爬虫访问页面来收集数据。Curl命令系利用URL规则在命令行下工作的文件传输工具,通过模拟HTTP请求,获取页面内容、版本等信息。该种固证系统对所有人都平等开放,任何人都可以使用,且其操作过程是按照取证系统事先设定好的程序由机器自动完成的,取证、固证全过程被人为改相关链接的可能性较小,故该电子数据来源可信性较高;同时,千麦鉴定所对保全网中使用 puppeteer和curl程序进行网页截图和源码调取的技术性进行了鉴别并确认。因此,在没有相反证据推翻的情形下,本院认定保全网通过使用公开版谷歌开源抓取程序对目标网页进行域名解析以生成、储存数据电文的方式,具有可靠性本案中,通过 puppeteer抓取的网页截图显示“第一女性时尚网”于2017年发布的被诉侵权文章与涉案文章基本一致,通过curl获取的目标网页源码网址为“www.ladyfirst.com”。经查询,“www.ladyfirst.com”网站名称为“第一女性时尚网”备案主体是道同公司。
数据获取的过程,获取中使用的工具,都需要证明有效性。使用什么工具采集的数据,那怎么证明工具是可信的?这里,只是由于是Google,且是开源的,有源代码,最后通过第三方鉴定,才勉强认为是有效的。可见,要证明一个存证的获取过程,是多么的困难。
对于其它的物理世界的证据的采集,可能会更困难。你说你有一个视频的证据,怎么证明没有被PS,怎么证明摄像机照相机是没有被改装的,怎么证明内部的数字系统是没有被hack的,怎么证明每个元器件都是正常工作的,等等。
(三)关于区块链电子证据保存完整性的审查
保全网将网页截图、源代码和调用信息打包压縮计算出SHA256值后上传至 FACTOM区块链、比特币区块链中中以保证电子数据未被修改。要审查该种保持内容完整性方法的可靠性,应当首先对区块链技术予以分析判断。
区块链作为一种去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。具体来说,区块链网络是由多个机构或公司服务器作为节点所构成的网络,该网络上某节点会对一个时间段内所产生的数据打包形成第一个块,然后将该块同步到整个区块链网络。网络上的其他节点对接收到的块进行验证,验证通过后加到本地服务器。之后,某节点会将新产生的数据及本地服务器内已有块的信息放在一起打包形成第二个块,其他节点接收该块并验证通过后,将第二个块加到本地服务器,第一个块与第二个块想连,之后的网络内部的数据均经上述相同方式打包成块,块首尾相连形成链,该链即为区块链。若需要修改块内数据则需要修改此区块之后所有区块的内容,并将区块链网络所有机构和公司备份的数据进行修改。因此,区块链有难以篡改删除的特点,在确认诉争电子数据已保存至区块链后,其作为一种保持内容完整性的方法具有可靠性。本案中,为确认电子数据确已上传至区块链,本院将从电子数据是否真实上传和上传的电子数据是否系诉争的电子数据两方面进行审查。
数据上传到区块链之后,数据是不能篡改和可信,这个,至少现阶段,大家都有共识,技术上保证了不可篡改,是可以信赖的。但是,必须要证明数据是否真实上传,也就是说,上传的过程中,是不是没有被篡改,是可靠的。还必须要证明,诉争双方提供的证据,是否和区块链上的数据一致。
1.审查电子数据是否真实上传判断案涉电子数据是否真实上传,可根据华泰一媒公司提供的交易哈希值,在 FACTTOM区块链中进行搜索,以查看该条交易哈希存放的内容以及生成的时间。根据华泰一媒公司提交的区块高度,在该区块高度中可查询到前述交易哈希中存放的内容存入该区块高度中以及该条内容上传的时间,且上传的时间和使用 puppeteer和curl自动获取网页截图和源码的调用日志中显示的时间具有合理性,区块高度生成时间符合调用日志生成时间和 FACTOM打包规则二者间的时间逻辑。
根据该区垬高度鎖定到比特币区块链的交易哈希值,在比特币区块链中查询到该区块节点中包含的内容和 FACTTOM中存放的内容hash值一致,故本院确认保全网已将电子数据上传至 FACTOM区块链和比特币区块链中。
通过查看哈希值,和对比当初内容上传的时间,来证明上传的过程是否真实。这个,正是区块链技术和系统擅长的,而且普遍认可的。
2.审查是否为诉争的电子数据将在保全网中下载的网页截图、源代码和调用信息打包压缩文件进行hash值计算,经比对,该数值与华泰一媒公司所提交的进行区块链保存的电子数据hash值一致致,故可确认涉案电子数据已经上传至 FACTON区块链和比特币区块链中,且从上链至今保存完整、未被修改。
诉争方提供的数据,和区块链上保存的数据一致。所以提供的证据是可信的,有效的。这个,也是相对容易证明的部分。
综上,本院认为,对于采用区块链等技术手段进行存证固底的电子数据,应秉承开放、中立的态度进行个案分析认定。既不能因为区块链等技术本身属于当前新型复杂技术手段而排斥或者提高其认定标准,也不能因该技术具有难以篡改、删除的特点而降低认定标准,而应根据电子数据的相关法律规定综合判断其证据效力;其中应重点审核电子数据来源和内容的完整性、技术手段的安全性、方法的可靠性、形成的合法性,以及与其他证据相互印证的关联度,并由此认定证据效力。
结论告诉我们,对于区块链存证,不能全盘否定,也不能全盘相信;既不能提高认定标准,也不能降低,应该综合判断。至于靠谱不靠谱,就看大家怎么共识,在什么层面上,能达成共识。
区块链存证的难点,是,数据来源的可信性,内容的完整性,技术手段的安全性,方法的可行性,形成的合法性,证据相互印证性。所以,区块链真正能用于法庭的存证证据,没有那么容易。
