區塊鏈存證，真的靠譜嗎？

2018年6月28日，杭州互聯網法院一審宣判中，論證了對採用區塊鏈作為存證方式的電子數據之有效性。從中看到，對於數據獲取過程的有效性，比數據本身的有效性，來的困難的多，是否靠譜，頗具爭議的。

這個案例也說明，溯源的數據的獲取的有效性，比數據本身困難很多。因為，要證明數據的有效性，就必須證明數據獲取的有效性；要證明數據獲取的有效性，就必須證明數據獲取工具的有效性；要證明數據獲取工具的有效性，就必須證明組成工具的各個組件的有效性；要證明組件的有效性，就必須證明更小組件的有效性；這麼下來，就得不窮分解，到什麼層次才是個度呢，到什麼度才靠譜呢。這就是獲取過程有效性鑒別的困難之處，需要在法律上達成共識。

這個判決書的內容，讓我們看到，區塊鏈存證，不像大家相信的那麼容易，中間的細節，各種證明，沒完沒了。可能很難一時用靠譜或是不靠譜來下結論。

（一）關於存證平台的資質審查

經査詢，華泰一媒公司的股東為浙江華媟控股股份有限公司。數秦公司自然人股東包括翁遠、高航、李僑峰、盧春泉，企業股東包括安吉數秦投資管理合夥企業、杭州數秦投資管理合夥企業、新余優創投資管理中心、杭州水木澤華創業投資合夥企業，數秦公司股東及經營範圍相對獨立於華泰一媒公司和都市快報社，具有中立性，且通過國家網路與信息安全產品質量監督檢驗中心完整性鑒別檢測，其運營的保全網具備作為第三方電子存證平合的資質。

區塊鏈存證有效，必須證明存證存放的平台是有效的。怎麼去證明？現階段，還只能通過「通過國家網路與信息安全產品質量監督檢驗中心完整性鑒別檢測」的標準來說明「運營的保全網具備作為第三方電子存證平台的資質」的有效性。這麼說來，為了證明數據獲取的有效性，去中心化是不現實的。這也是很多用區塊鏈來做資產證券化項目的一個痛點，他們還得藉助公證機關來保證數據獲取的有效性。

（二）關於侵權網頁取證技術手段的可信度審查

打開電腦命令窗口，輸入命令「ping www．baoquan．com」，返回的IP是112．74．234．54，經查詢，該IP的物理位置是阿里雲BGP數據中心，故可知保全網網系部署在阿里雲中，阿里雲作為通用的雲平合，能夠確保伺服器在一般情況下未受病毒和木馬感染入侵；且保全網已獲得公安部第三研究所與國家網路與信息系統安全產品質量監督檢驗中心授予的網站安全一級認證證書、信息系統安全等級保護第三級的備案證明。故此，除有相反證據否定之外，應認定該網站具備進行電子數據存儲的安全環境。保全網伺服器在收到傳輸過來的侵權網頁URL時，會自自動請求互聯網環境下的目標地址，目標地址自動返回狀態碼及網頁信息，以確認請求的URL系有效的可訪問地址從而確保侵權鏈接的抓取系在互聯網環境下進行。

取證技術手段，就是數據獲取的手段，可信度的證明，非常複雜，本案例中還只是一個折衷的選擇。前面證明了保全網資質的有效性。這兒還得證明部署的保全網系統的有效性。為了證明，根據保全網IP查出是阿里雲，且有安全等級備案，認定網站具備存儲數據的安全環境。然後，證明系統能正常服務，保證抓取的侵權鏈接是正常的。對於阿里雲系統，對於保全網系統，對於保全網服務的信任，都是基於資質的可信。還不是區塊鏈本身的驗證。

實際上，要證明一個系統的可靠，可信，如果沒有公證機構，是一個非常複雜的問題。而且可能是個循環論證的過程。比如，要證明保全網的服務可信，就得證明DNS可信，就得證明中間的路由器和路由系統的可信，就得證明網站使用的webserver可信，就得證明伺服器上使用的軟體可信，就得證明中間沒有被hack，等等，沒完沒了，所以說，到什麼層次是個分界點，就是非常重要的。

保全網通過自動調用谷歌開源程序 puppeteer對目標網頁進行圖片抓取，同時通過調用curl獲取目標網頁源碼。經查詢可知， Puppeteer系谷歌官方出品的通過 Devtools協議控制headless Chrome的Node庫，可通過其提供的API作為爬蟲訪問頁面來收集數據。Curl命令系利用URL規則在命令行下工作的文件傳輸工具，通過模擬HTTP請求，獲取頁面內容、版本等信息。該種固證系統對所有人都平等開放，任何人都可以使用，且其操作過程是按照取證系統事先設定好的程序由機器自動完成的，取證、固證全過程被人為改相關鏈接的可能性較小，故該電子數據來源可信性較高；同時，千麥鑒定所對保全網中使用 puppeteer和curl程序進行網頁截圖和源碼調取的技術性進行了鑒別並確認。因此，在沒有相反證據推翻的情形下，本院認定保全網通過使用公開版谷歌開源抓取程序對目標網頁進行域名解析以生成、儲存數據電文的方式，具有可靠性本案中，通過 puppeteer抓取的網頁截圖顯示「第一女性時尚網」於2017年發布的被訴侵權文章與涉案文章基本一致，通過curl獲取的目標網頁源碼網址為「www．ladyfirst．com」。經查詢，「www．ladyfirst．com」網站名稱為「第一女性時尚網」備案主體是道同公司。

數據獲取的過程，獲取中使用的工具，都需要證明有效性。使用什麼工具採集的數據，那怎麼證明工具是可信的？這裡，只是由於是Google，且是開源的，有源代碼，最後通過第三方鑒定，才勉強認為是有效的。可見，要證明一個存證的獲取過程，是多麼的困難。

對於其它的物理世界的證據的採集，可能會更困難。你說你有一個視頻的證據，怎麼證明沒有被PS，怎麼證明攝像機照相機是沒有被改裝的，怎麼證明內部的數字系統是沒有被hack的，怎麼證明每個元器件都是正常工作的，等等。

（三）關於區塊鏈電子證據保存完整性的審查

保全網將網頁截圖、源代碼和調用信息打包壓縮計算出SHA256值後上傳至 FACTOM區塊鏈、比特幣區塊鏈中中以保證電子數據未被修改。要審查該種保持內容完整性方法的可靠性，應當首先對區塊鏈技術予以分析判斷。

區塊鏈作為一種去中心化的資料庫，是一串使用密碼學方法相關聯產生的數據塊，每一個數據塊中包含了一次網路交易的信息，用於驗證其信息的有效性（防偽）和生成下一個區塊。具體來說，區塊鏈網路是由多個機構或公司伺服器作為節點所構成的網路，該網路上某節點會對一個時間段內所產生的數據打包形成第一個塊，然後將該塊同步到整個區塊鏈網路。網路上的其他節點對接收到的塊進行驗證，驗證通過後加到本地伺服器。之後，某節點會將新產生的數據及本地伺服器內已有塊的信息放在一起打包形成第二個塊，其他節點接收該塊並驗證通過後，將第二個塊加到本地伺服器，第一個塊與第二個塊想連，之後的網路內部的數據均經上述相同方式打包成塊，塊首尾相連形成鏈，該鏈即為區塊鏈。若需要修改塊內數據則需要修改此區塊之後所有區塊的內容，並將區塊鏈網路所有機構和公司備份的數據進行修改。因此，區塊鏈有難以篡改刪除的特點，在確認訴爭電子數據已保存至區塊鏈後，其作為一種保持內容完整性的方法具有可靠性。本案中，為確認電子數據確已上傳至區塊鏈，本院將從電子數據是否真實上傳和上傳的電子數據是否系訴爭的電子數據兩方面進行審查。

數據上傳到區塊鏈之後，數據是不能篡改和可信，這個，至少現階段，大家都有共識，技術上保證了不可篡改，是可以信賴的。但是，必須要證明數據是否真實上傳，也就是說，上傳的過程中，是不是沒有被篡改，是可靠的。還必須要證明，訴爭雙方提供的證據，是否和區塊鏈上的數據一致。

1．審查電子數據是否真實上傳判斷案涉電子數據是否真實上傳，可根據華泰一媒公司提供的交易哈希值，在 FACTTOM區塊鏈中進行搜索，以查看該條交易哈希存放的內容以及生成的時間。根據華泰一媒公司提交的區塊高度，在該區塊高度中可查詢到前述交易哈希中存放的內容存入該區塊高度中以及該條內容上傳的時間，且上傳的時間和使用 puppeteer和curl自動獲取網頁截圖和源碼的調用日誌中顯示的時間具有合理性，區塊高度生成時間符合調用日誌生成時間和 FACTOM打包規則二者間的時間邏輯。

根據該區垬高度鎖定到比特幣區塊鏈的交易哈希值，在比特幣區塊鏈中查詢到該區塊節點中包含的內容和 FACTTOM中存放的內容hash值一致，故本院確認保全網已將電子數據上傳至 FACTOM區塊鏈和比特幣區塊鏈中。

通過查看哈希值，和對比當初內容上傳的時間，來證明上傳的過程是否真實。這個，正是區塊鏈技術和系統擅長的，而且普遍認可的。

2．審查是否為訴爭的電子數據將在保全網中下載的網頁截圖、源代碼和調用信息打包壓縮文件進行hash值計算，經比對，該數值與華泰一媒公司所提交的進行區塊鏈保存的電子數據hash值一致致，故可確認涉案電子數據已經上傳至 FACTON區塊鏈和比特幣區塊鏈中，且從上鏈至今保存完整、未被修改。

訴爭方提供的數據，和區塊鏈上保存的數據一致。所以提供的證據是可信的，有效的。這個，也是相對容易證明的部分。

綜上，本院認為，對於採用區塊鏈等技術手段進行存證固底的電子數據，應秉承開放、中立的態度進行個案分析認定。既不能因為區塊鏈等技術本身屬於當前新型複雜技術手段而排斥或者提高其認定標準，也不能因該技術具有難以篡改、刪除的特點而降低認定標準，而應根據電子數據的相關法律規定綜合判斷其證據效力；其中應重點審核電子數據來源和內容的完整性、技術手段的安全性、方法的可靠性、形成的合法性，以及與其他證據相互印證的關聯度，並由此認定證據效力。

結論告訴我們，對於區塊鏈存證，不能全盤否定，也不能全盤相信；既不能提高認定標準，也不能降低，應該綜合判斷。至於靠譜不靠譜，就看大家怎麼共識，在什麼層面上，能達成共識。

區塊鏈存證的難點，是，數據來源的可信性，內容的完整性，技術手段的安全性，方法的可行性，形成的合法性，證據相互印證性。所以，區塊鏈真正能用於法庭的存證證據，沒有那麼容易。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！