美国法院如何认定网络攻击案件的电子证据？—— 从腾讯最近在美国被提起的诉讼看 IP 溯源、攻击链与跨境取证的法律困境

https://mp.weixin.qq.com/s/VxpK73hRLxoz2paHDVZrsw

一起备受关注的网络安全诉讼案件 ——DarkDeck LLC诉腾讯网络攻击案（案号：1:2026cv03204）。原告 DarkDeck LLC 作为美国国防部注册的国防承包商，指控腾讯云等三实体在 2026 年 1 月 15 日至 28 日期间对其计算机系统实施协同网络攻击。这起案件不仅涉及复杂的技术问题，更触及了跨境电子取证的法律边界，为网络科技企业提供了重要的实务参考。

本文将深入分析美国法院对网络攻击案件电子证据的认定标准，特别是 IP 溯源的法律局限性、攻击链分析的证据要求，以及跨境电子取证面临的法律冲突，为企业应对类似诉讼提供专业指引。

一、DarkDeck 诉腾讯案：案情概述与争议焦点

1.1 案件基本情况

本案原告 DarkDeck LLC 是一家在美国国防部 SAM 系统注册的国防承包商，其负责人 Ehab Allababidi 同时以个人名义参与诉讼。被告包括三家腾讯系实体：Tencent Cloud LLC（腾讯云特拉华州公司）、Tencent Holdings Limited（腾讯控股有限公司）和Aceville Pte. Ltd.（新加坡私人有限公司）。

根据起诉状，2026 年 1 月 15 日至 28 日期间，原告位于芝加哥的受保护计算机系统遭受了多向量网络攻击。原告指控被告通过 IP 地址 43.135.134.127 对其系统进行 "门关"（gates-down）型入侵，构成绝对无授权访问。攻击导致原告主存储设备出现 249 个永久坏块，原告据此认为被告实施了固件级破坏性写入操作（"NAND burn"）以消除取证证据。

1.2 核心争议焦点

本案的争议焦点集中在以下几个方面：

第一，电子证据的真实性和关联性。原告主张通过 IP 地址溯源、网络流量分析等技术手段锁定了腾讯为攻击者，但这些技术证据能否满足美国法院的采信标准仍存在疑问。

第二，跨境电子取证的法律冲突。被告腾讯控股和 Aceville 分别注册于开曼群岛和新加坡，原告要求被告保留并提供服务器日志、租户记录等电子证据，但这涉及中国《数据安全法》与美国证据开示程序之间的根本性冲突。

第三，攻击行为的归因标准。仅凭 IP 地址和技术分析能否证明腾讯实施了攻击？美国法院对网络攻击案件的归因标准有何要求？

二、美国法院对网络攻击案件电子证据的采信标准

2.1 联邦证据规则的基本要求

美国联邦法院审理网络攻击案件时，电子证据必须符合《联邦证据规则》（Federal Rules of Evidence）的要求。根据规则901，电子数据需满足 "真实性（鉴真/Authenticity）、关联性（Relevance）、合法性（Legality/Validity）" 三大原则才能被采纳为证据。

具体而言，规则 901 (a) 规定："作为可采性前提条件的鉴真或识别要求，通过足以支持认定争议事项即为其主张者所声称事项的证据而满足"。这意味着原告必须提供充分证据，使合理的陪审团能够认定电子证据就是其所声称的内容。

2.2 IP 溯源的法律局限性

在 DarkDeck 诉腾讯案中，原告主要依据 IP 地址 43.135.134.127 进行溯源，但美国法院对 IP 地址作为证据的效力持谨慎态度。

首先，IP地址不能直接等同于行为人。美国联邦法院明确裁定："IP 地址不是人"（IP address is not a person）。多位法官因 IP 地址无法识别个人而驳回案件和拒绝传票。2012 年，纽约东区法官 Gary Brown 作出著名裁决，将 IP 地址比作电话号码 —— 它识别的是位置，而非个人。

其次，IP地址定位技术存在显著误差。2014 年，加州中区法官 Dean Pregerson 发现，用于从 IP 地址识别物理地址的地理定位系统存在20%至50%的错误率。这意味着通过 IP 地理定位识别的地址中，每五个就有一个可能不在正确的联邦法院管辖区内。

第三，网络技术的复杂性使得IP溯源困难重重。根据美国网络安全和基础设施安全局（CISA）的报告，威胁行为者可以使用网络隧道和欺骗技术来混淆其位置，仅基于 IP 地址的地理位置无法识别恶意活动的真实物理位置。攻击者经常使用 VPN、Tor 网络、代理服务器等技术隐藏真实身份，使得 IP 溯源变得极其困难。

2.3 攻击链分析的证据要求

美国法院对网络攻击案件的攻击链分析有严格的证据要求。根据美国司法部的指导，网络犯罪调查需要结构化、系统化和合法合规的流程，以确保电子证据在法庭上既可信又可采。

完整的攻击链证据应包括：

攻击入口证据：如异常登录尝试、暴力破解记录、漏洞利用痕迹等。
权限提升证据：攻击者如何从低权限账户提升到高权限，包括使用的工具、脚本等。
横向移动证据：攻击者在网络内的移动轨迹，如从一台服务器到另一台服务器的跳转记录。
数据窃取或破坏证据：包括文件传输日志、数据库查询记录、系统破坏痕迹等。
命令与控制（C2）通信证据：攻击者与控制服务器之间的通信记录。

在 DarkDeck 案中，原告指控的 "249 个 NVMe 永久坏块" 和 "固件级破坏性写入操作" 需要提供详细的技术分析报告，包括：硬盘原始镜像和哈希值验证、坏块分布模式的技术分析、与正常硬件磨损的对比分析、破坏性写入操作的技术证据等。

然而，原告在起诉状中并未提供这些关键的技术细节，这可能成为其证据链的致命弱点。

2.4 电子证据的鉴真标准

美国法院对电子证据的鉴真有严格要求。根据规则 902 (13) 和 902 (14)（2017 年新增），某些电子记录在附有适当认证时可自鉴真。

鉴真要求包括：

1.数据完整性验证：美国法院要求电子数据必须保持原始状态，未经篡改。取证时需通过哈希值校验、时间戳等技术手段证明数据未被修改。

2.保管链条（Chain of Custody）：从证据收集到法庭出示的完整记录，包括：收集证据的日期和时间、收集证据人员的姓名和徽章号码、证据的描述和位置、证据的处理、存储和传输过程

3.系统可靠性证明：需要证明用于收集和分析证据的技术系统是可靠的。

4.专家证言：复杂的技术证据通常需要数字取证专家的证言来解释和认证。

三、跨境电子取证的法律冲突与应对策略

3.1 中美法律体系的根本性冲突

DarkDeck 诉腾讯案面临的最大挑战是中美两国在电子数据跨境流动方面的法律冲突。

中国法律的规定：

1.《数据安全法》第 36 条明确规定："中华人民共和国主管机关有权对外国司法或者执法机构关于提供数据的请求进行审查。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据"。

2.《个人信息保护法》第 40 条要求关键信息基础设施运营者将境内收集的个人信息存储在境内。

3. 中国在加入《海牙取证公约》时对第二章（除第 15 条外）全部作出保留，不允许外国司法机关直接向位于中国境内的证人取证。

美国法律的要求：

1.美国法院通过证据开示（Discovery）程序强制要求当事人提供相关证据。根据《联邦民事诉讼规则》第 26 条，任何与诉求或抗辩相关的非保密特权事项都可成为证据开示的内容。

2.美国法院可对不履行证据开示义务的当事人认定为 "藐视法庭"，后果包括高额罚款、驳回上诉或抗辩，以及就无法查明的事项直接支持请求方的主张。

3.2 美国法院的平衡测试

面对这种法律冲突，美国法院发展出了 "平衡测试"（balance test）方法。美国最高法院确立的评判规则是：当存在域外法或国际公约阻却证据提交时，既不应一概否认域外法效力，也不应一概优先遵从域外法，而是由审理法院根据案件具体事实、外国法所保护的主权利益、适用外国法能否有效进行证据提交等因素进行衡量评估。

然而，实践中美国法院倾向于维护本国利益。研究显示，1990年至2024年间，中国对美国强制开示境内数据的抗辩成功率不足10%。美国法院的态度呈现以下特点：

1.管辖权的扩张倾向：美国法院倾向于认定对域外主体具有管辖权，90% 以上的案件明确认定或默示具备管辖权。

2.对中国法律的曲解：美国法院往往对中国数据立法作出有利于美国利益的解释。例如，美国法院认为中国《个人信息保护法》第 13 条第 1 款第 3 项所指的 "法定义务" 并未限定是中国法律规定的义务还是外国法律规定的义务。

3.国家利益优先：美国法院认为美国国家利益始终与国际金融活动深度捆绑，显著优先于其他国家的保密义务。

四、结论：在法律与技术的双重挑战中寻求平衡

DarkDeck 诉腾讯案为我们揭示了网络攻击案件在法律和技术层面的复杂性。美国法院对电子证据的采信标准日益严格，IP 地址单独作为证据的时代已经过去。企业需要提供完整的攻击链证据、严格的鉴真程序和可靠的保管链条，才能满足法院的要求。

同时，跨境电子取证面临的法律冲突不容忽视。中美两国在数据主权、国家安全等问题上的分歧，使得跨境证据交换变得异常困难。企业需要在遵守本国法律的前提下，积极寻求与国际规则的对接，探索可行的解决方案。

对于网络科技企业而言，这起案件提供了宝贵的经验教训。在数字化时代，网络安全不仅是技术问题，更是法律问题和战略问题。只有建立完善的网络安全体系、加强合规管理、提升诉讼应对能力，才能在日益复杂的国际环境中保护企业的合法权益。

面对网络攻击诉讼的挑战，企业需要以专业的态度、科学的方法、审慎的策略来应对。通过加强技术防护、完善证据体系、深化法律理解、提升合规水平，企业可以在法律与技术的双重挑战中找到平衡点，实现可持续发展。

ㄧ延伸阅读：

西方隐私，跪了佐证：

EarthVPN 的一位代表表示：用户被执法部门利用数据中心日志被抓，而 VPN 提供商对此毫不知情—"公司从未存储过任何识别日志"，但服务器被查封的数据中心保留了 IP 传输日志。
2021年 ProtonMail IP 泄漏事件：2021年9月，ProtonMail 因瑞士警方依据欧洲刑警组织的请求，并通过瑞士审批，依法存储并提交了特定用户的 IP 地址及相关登录元数据（详见官方说明）。该事件虽然仅涉及 ProtonMail，但引起全球隐私关注。Proton 官方随后加强了隐私政策透明度，并调整登录追踪为极端法定情况下的临时启用。ProtonVPN 保持独立无日志架构，未受影响。 → 未查证1 / 2 / 3 / 4-4 / 5 / 6 / 7 / 8 / 9 / 10 / 11 / 12 / 13 / 14 / 15 / 16 / 17 / 18 / 19 / 20 / 21 / 22 / 23