电子证据开示参考模型EDRM

image-20231007080248470

电子证据开示

英美澳等资本国实行当事人主义诉讼模式,诉讼的发动、继续和发展主要依赖于当事人,诉讼过程由当事人主导,法官仅处于消极中立的裁判者地位。

当事人要进行证据的调查、准备、提出、和证据价值的陈述工作,法官不能在当事人指明的证据范围以外依职权主动收集证据。

证据开示是指在上述诉讼过程中,各方当事人必须分享其拥有的与案件相关的证据,以确保各方对案件相关证据充分了解。

美国把证据开示制度称为Discovery,意思是披露所隐藏的事物。eDiscovery全称Electronic Discovery,是对电子证据的披露,指的是在民事或者刑事案件中寻找、定位、保全、搜索电子数据,并将其用作证据的全过程,是Discovery在21世纪的升级版本。

除了诉讼以外,eDiscovery还可以用在组织内部调查、合规性审计等其他法律场景中。

电子证据开示参考模型

电子证据开示参考模型EDRM(Electronic Discovery Reference Model)是一个指导eDiscovery的过程框架,是电子数据成为可被使用的证据的标准,下图是2023年3月版的模型,公众号私信EDRM获取原版PDF。

image-20231007080644453

这个模型说明了eDiscovery的九个阶段,海量电子数据从模型的“Left Side”被处理后精炼出案件的关键数据到达“Right Side”,为诉讼提供相关信息。

信息治理和识别阶段(Information Governance & Identification)

2023年信息是爆炸式增长的,日常业务中产生的数据是前所未有的,管理这些数据最好的方式是信息治理,即通过设定的步骤、流程和策略对数据进行全面管理。策略中可能涉及到数据创建和处理,数据访问权限,数据存储位置,存储时间以及信息记录和可搜索性等一些其他的考虑因素。比如一家公司的业务有存储个人信息(滴滴打车的行程、美团外卖存储的地址、行程码等)就可以采用信息治理来应对信息泄露。

image-20231007202301759

信息治理的参考模型IGRM在EDRM的最前面,这个模型大概可以分成三个部分,第一部分是IGRM最内层的信息治理核心需求部分,即创建/接收、使用、传输、保护、保留以及最后处置信息。第二部分是IGRM最外层的利益相关者,包括公司的业务部门、IT部门、信息安全部门、法务等,第三部分是IGRM中间层的内部政策和流程,它们是由利益相关者根据不同国家地区的隐私和信息管理法规而创建的,例如澳大利亚要求数据保留期至少为七年,那么该地区的企业就要制定符合这一点的内部政策和流程。

因此信息治理是一种提前的预防手段,这个阶段不由诉讼触发,而是在针对他们提起的诉讼或进行内部调查时,可以让他们更轻松的进行第二阶段:识别(Identification)与案件可能相关的人和数据位置,没有进行信息治理可能会花费大量时间和资源来调查相关数据位置。例如上述个人信息泄露时,可以很快识别到哪些信息受到影响以及责任人。

保留阶段(Preservation)

组织有法律义务保留电子证据,防止证据被破坏,以此来应对以后可能发生的诉讼或者内部调查。毁坏证据会减弱在法庭上为自己辩护的能力,如果发现了任何破坏证据行为,法院可以对组织实施制裁。例如案件中的关键人物发现诉讼是针对他提起的,第一时间可能就把对他不利的电子邮件或文件删了。

如果证据毁坏是无意的或丢失的数据与案件无关,可以对当事人酌情处罚;如果判定证据毁坏是故意的,法官可以实施轻微制裁,例如罚款或律师赔偿。如果毁坏的证据与案件高度相关,法官可以施加严厉的制裁,例如缺席判决,法院自动裁定一方犯有诽谤罪,或向陪审团发出不利的指示。

综上所述,各组织都非常积极地确保妥善保存证据并避免破坏,而且他们的保存工作不能在实际提起诉讼时才开始,如果诉讼是可预见的,那么组织要在可能被诉讼时立即开始保存数据。

保存证据的最安全方法是下一阶段的收集(Collection)电子数据,以便组织和法律团队有一份关键参与者无法篡改的相关文件的副本。但在诉讼的开始阶段,案件的范围通常不能确定,如果过度收集,效率极低且成本过高 ,并且有些证据最终可能根本不会用于案件,这时就需要合法保留(Legal Hold)流程发挥作用。

image-20231009022119244

合法保留是组织的法律团队向该组织的员工发送的通知,告诉他们不要删除或修改任何可能与案件相关的电子数据。由于合法保留是法院所要求的,因此组织需要一种能够避免侵权,还能有充分记录的合法保留方式。

标准法律保留做法是:

1、阐明注意事项,如上图邮件

2、通过电子邮件分发给员工

3、要求接收者对通知通过回复的方式确认收到

4、对所有收件人进行后续访谈,保证他们已收到通知,理解且会遵循通知内容。

5、按月或每季度发送一次提醒,表明合法保留还在执行

6、法律保留最终解除时,邮件通知员工他们的保留义务已经结束

7、通过电子邮件或者合法保留相关工具记录追踪合法保留的过程

上述保留过程可以在Relativity的服务自动实现

收集阶段(Data Collection)

收集阶段就是我们喜闻乐见的取证阶段,这个大家已经很熟悉了,就像回家了一样,包括从本地计算机硬盘、移动设备、云上的Office365和Google Drive等数据、物联网设备固定其中的数据。

与国内取证不同的是,收集阶段中的一个关键考虑因素是元数据,例如文件创建时间、创建者、编辑时间、文件权限等,而元数据在日常业务中并不重要,但它是电子取证调查的关键,因为它可以提供一个联系来让法律团队深入了解时间线和关键参与者的信息。不用说的是,取证过程中用哈希值校验文件的完整性,证明没被修改。

取证的过程需要一个报告支撑,并且需要包含对证据的所有操作,以此证明证据链的完整,取证方式的正确。

处理阶段(Processing)

数据收集完成后,需要对收集来的数据进行处理(Processing),使下一阶段使用的审查平台能够查看各种文件格式并对其进行操作。

image-20231009043907901

处理作业将不同的文档数据汇集在一起并标准化,以便可以将其整齐地排列到审查平台中的字段中,该平台可用于执行诸如分组、过滤、设置标签和文档报告之类的操作。

处理作业首先将例如ZIP压缩包和PST邮件格式中的文件释放出来,并对每个单独的项目进行编号,以便进行审查,然后从所有文件中提取元数据和文本,将此数据映射到审查平台中的相应字段,最后要手工解决处理作业中出现的问题。

每个证据文档的内容可能对于理解案例细节至关重要,因此处理作业使用的工具需要支持OCR来对非文本的文档进行文本提取。

团队需要提前确定标准字段集,对于下一阶段的审查过程来说,法律团队能够按文档创建日期进行过滤通常非常重要,但不同的应用程序可能会生成不同的日期格式,导致文档集内的元数据格式不一致,处理作业会标准化格式,以便可以轻松地将其引入审查平台,然后根据需要进行过滤和操作。

因为处理工具需要逐个访问证据文档并尝试检测其内容,遇到错误并不罕见,例如密码保护和文档损坏,这时就需要手动进行故障排除。

处理作业前,还需要选择处理哪些文件。在大多数情况下,处理作业后的审查阶段是整个EDRM流程中成本最高、最耗时的部分,因为它必须要人工通读大量文档并给出结果,锁业我们可以通过以下方式减少Processing的文档数量

1、De-NISTing:根据NIST的国家软件参考库的项目,去掉已知的系统文件,例如Windows系统文件,这些文件大部分时候不是案件的重点。

2、过滤:过滤掉某些确定不是案件相关的文件,例如案件时2023年10月开始的,那之前的文件都可以过滤掉。

3、去重:例如四个人收到了同一个人发的某个邮件附件,那么这个文件可能在PST邮件文件中被重复释放四次,我们通过去重操作就可以把这些重复文件去掉,节省成本。

审查阶段(Review)

证据审查阶段是电子证据开示的核心,法律团队在审查平台查看多组处理好的证据文件,确定哪些文件可能成为当前案件的证据。

审查阶段非常昂贵,通常是成本最高的,因为所有文件内容都需要人工查看理解内容,并决定内容是否与案件相关。因此会制定一些高效率的审阅方法,例如分批次、降低重复性、根据律师等级分配不同难度等。

审查阶段还需要做的是审查特权和机密文件。律师与客户之间的通信可以不参与交换,例如,如果文档中包含员工与其公司内部法律顾问之间的电子邮件,这些电子邮件中的所有信息可能会被视为特权,并且不应移交给对方。

审查平台有特权和机密信息的遮盖功能,第一步是将文档转换为图像,将修订框放在图像的敏感信息上,并在之后的生产阶段中去掉这些内容。

分析阶段(Analysis)

EDRM的分析阶段被放在审核后面,但实际上整个 edrm 流程中都可以使用分析来帮助律师识别最相关的数据,更快的了解真相。

eDiscovery中存在的分析类型包括结构化分析、概念分析等,同时也有许多分析工具。

结构化分析是指机器能够在元数据和特定文字或文字组合上执行的数据分析,例如结构化分析中的电子邮件线程识别,处理引擎在处理作业期间检测电子邮件元数据,电子邮件线程引擎利用结构化分析将元数据与电子邮件文本组织到线程中 然后在审阅过程中,可以将这些线程作为一个整体进行查看和通读,以便审阅者从整个邮件对话获取信息。

概念性分析能够根据上下文确定文本的实际含义,它不仅告诉审阅人员文档主要包含哪些词汇,还告诉他们文档内容。电子发现中常见的概念性分析工具包括查找相似文档、概念搜索、概念聚类和关键词扩展。

image-20231009074422591

技术辅助审查TAR可以通过审查少量相关文档来让AI进行学习,从而来执行审核员的工作,人工智能永远无法充分取代对人类,但它可以大大加快审查速度,功能包括自动文档为文档提出建议,自动筛选文档等。

生产和提交阶段(Productions & Presentation)

当审查团队完成了对文档集中相关文件的识别,并删除了任何特权或机密信息,根据法律要求必须向对方提供与案件相关的所有文件,任何未提供给对方的关键信息都不能作为证据提交用于审判,这就是生产过程发挥作用的地方。

image-20231009081803191

生产是将已审查的文件转换为可与其他方共享的格式的过程。在诉讼开始时,各方必须就如何向对方生产文件达成一致。首先是为确保证据文件的引用一致,要对所有文件进行编号。然后是生产证据文件的格式,各方必须以原始本地格式或合理可用的格式向对方提供文件,通常为的是原始文件生成的图片,对于文档和文档内的多个页面还要分配清晰的编号,任何以图像形式生产的图像都必须附带包含原始文件元数据的LoadFile。

最后就是提交阶段,在法庭上展示生产的电子证据,阐述事实并利用技术来促进沟通和提高辩护能力。

小结

需要注意的是,EDRM并不是一个线性的流程,他的各个模块可以组合,重复使用来达到目的。