网络犯罪中电子数据的甄别与认定.docx
《网络犯罪中电子数据的甄别与认定.docx》由会员分享,可在线阅读,更多相关《网络犯罪中电子数据的甄别与认定.docx(7页珍藏版)》请在冰豆网上搜索。
网络犯罪中电子数据的甄别与认定
网络犯罪中电子数据的甄别与认定
网络犯罪,主要是指行为人利用互联网络所实施的犯罪。
与普通犯罪不同的是,网络犯罪并非存于实体,而是通过操作电子数据这一虚拟的方式予以实施。
一切交由计算机处理的信息都必须转化为二进制的机器语言,电子数据究其本质只是一堆按编码规则处理的“0”和“1”,具有隐蔽性强、智能性高等特性。
有效地打击网络犯罪很大程度上取决于电子数据的甄别与认定,但目前的立法、司法实践中,电子数据的固定、提取、保存和运用仍不尽完善。
本文将通过实践中办理的网络犯罪案例,分析电子数据的特性,总结司法实践对其固定、提取和运用的难点,探索构建更规范、更科学的可操作的证据认定体系,以服务于对网络犯罪行为的准确惩治。
一、网络犯罪中电子数据的特性
(一)存在的必然性、实时性
作案人作为一个物质实体在实施犯罪行为的过程中总是跟各种各样的物质实体发生接触、碰撞、摩擦,从而产生物质交换关系,在信息世界里这一理论仍然成立,只要有行为,必然留下相应的痕迹。
网络犯罪虽是行为人通过虚拟手段实施后才在现实生活中出现犯罪后果,但在利用计算机接入网络实施相关犯罪行为时,无论是用户端还是服务器端或是其他存储介质,都必然会实时、客观地通过各种方式对其实施的各种行为予以记录。
举例而言,某甲通过淘宝网络销售假冒注册商标的商品,那么某甲销售的金额、对象、地址、次数等具体信息均详细、实时地通过电子日志、浏览记录等电子数据记录在淘宝网的服务器端以及某甲使用的电脑用户端。
因此,无论行为人如何试图掩盖,其犯罪痕迹仍有迹可循。
(二)记录的客观性、准确性
排除后续人为破坏、篡改等因素,电子数据一经形成便维持最原始、最客观的状态,不包含任何人为主观的评价,可以全面、真实地反映相关的网络行为。
例如上述淘宝网中记录各个用户销售情况的电子数据,其内容即是对销售情况的事实记录,不包含任何人的主观因素。
因此,一旦电子数据的真实性没有异议,其证明效力是非常强的。
正如专家所言,电子证据是新一代的证据之王。
(三)记录载体的分散性、多样性
一个连续的网络行为,往往会被不同的主体以不同形式记录于不同存储介质上。
例如一个非常简单的通过淘宝的手机话费网络充值行为,用户A通过支付宝账户B向淘宝网店C支付钱款后,整个过程会被淘宝网络的服务器端、A和B的客户端、支付宝的服务器端以及手机运营商、绑定的银行卡电子信息等多个载体对相关信息予以记录。
简而言之,就像是虚拟网络中存在着实时记录的摄像头。
电子数据的这个特性给我们在收集证据的方式上提供了多样化的选择,各个载体在时空上的连续性,也为相互印证的证实犯罪事实提供了可能性。
但是我们也发现,证明一个连续的虚拟行为,需要收集不同载体记录的不同电子数据,这给司法机关在判断证据、认定犯罪上提出了非常高的要求。
(四)内容的易破坏、篡改
电子数据本质上,是一组组按照特定编码规则处理后而存储于特定介质的二进制信息。
一个word文档可以存储于计算机硬盘、U盘、服务器等不同介质。
同时,电子数据非常容易被人为地破坏、篡改。
例如淘宝网络、支付宝网络在其服务器端每天都会自动生成无数的电子日志对其淘宝中的交易行为予以记录。
但是电子日志(*.log文件)是类似于word文档一样可读可修改类型的文件,司法机关在提取该电子数据后,如果保存不当,可以很轻易地被人为地随意篡改电子日志中的内容。
电子数据的这个特性,不仅对我们在甄别其真伪时提出了严格的要求,更要求我们在提取、保全电子数据时必须小心谨慎。
(五)表现形式的多样性
电子数据系修改后的刑诉法新增加的证据形式之一,其在刑事诉讼中予以体现的形式具有多样性。
最高人民检察院制定的《人民检察院电子证据鉴定程序规则(试行)》及上海市人民检察院《上海市人民检察院关于在办案中加强电子证据勘验、检查、审查和鉴定工作的若干意见》均将电子证据界定为“由电子信息技术应用而出现的各种能够证明案件真实情况的材料及派生物。
”因此,电子数据既可以通过其最原始的电子文件形式进行演示,亦可以在打印后以传统的物证、书证形式出现,也可以通过公证机关公证或者鉴定机构鉴定后以公证文书、鉴定意见书的形式出现。
部分证据虽然表现为书证、物证、鉴定意见书,但其本质仍为电子数据,其取证、质证仍应作为电子数据来谨慎地对待。
例如各国法律都对证据的表现形式做出了不同程度的要求,最低程度标准就是“证据必须以可视的、可感知的形式存在。
”
二、电子数据审查中的难点
(一)电子数据取证过程的审查
最高人民法院、最高人民检察院、公安部《关于办理网络犯罪适用刑事诉讼程序若干问题的意见》对电子数据的取证、审查做了详细规定,但笔者认为以下几点仍然是取证过程中的难点,应当引起重视。
1.存储介质原始性的认定。
司法机关是否于原始存储介质提取电子数据,直接影响了取得电子数据的可靠性。
前文已经述明了电子数据具有极强的可复制性和易破坏性。
一份来源于非原始存储介质电子数据的真实性必然是值得争议的,其最终的证明力也会大打折扣,这类证据一般而言只能在综合全案证据分析时起到辅助证明的作用。
2.封存介质以及提取的及时性。
司法机关是否及时封存了存储介质以及在封存多久后进行提取,决定了提取的电子数据被污染的可能性,亦影响了该份证据的证明力。
以我院承办的王某盗窃上诉案为例,侦查机关在扣押被告人笔记本电脑三个月后才提取了其中涉案的软件使用记录,这个做法是非常不妥的。
虽然电子数据来源于原始存储介质,但是其提取的电子数据与取得介质的时间间隔过长,导致真实性、合法性有令人合理怀疑之处。
3.介质扣押、电子数据提取人员的专业要求。
司法实践中,侦查机关的办案人员广泛分布于刑侦、经侦、基层派出所等部门,其计算机专业知识参差不齐,因此在存储介质扣押过程以及电子数据提取过程中的规范程度也并不一致。
因此,《关于办理网络犯罪适用刑事诉讼程序若干问题的意见》明确规定了收集、提取电子数据应当由二名以上具备相关专业知识的侦查人员进行。
4.电子数据的保全、固定。
电子数据一旦被提取后,如何固定其形态,并保存在何种介质中,如何保存,如何使用等在现行司法实践中均无明确规定,只能按照一般证据予以类比处理。
但是基于电子数据相关特性,在提取后极易灭失或受到污染,对此应当更加谨慎地对待、处理。
在我院受理的一起销售假冒注册商标的商品案件中,侦查机关至淘宝网络调取了相关用户的销售记录并存储于光盘中,后该光盘几经移送至二审司法机关时,因光盘使用不当,相关数据均灭失。
因此,如何正确保全电子数据也是在司法实践中需要解决的问题。
5.非司法机关提供的电子数据的审查。
司法实践中,电子数据除由侦查、检察、审判人员收集外,被害人、被告人、辩护人亦可以提供证明案件的电子数据,非司法机关收集的电子证据如何审查,是否能作为定案依据,也是我们需要解决的问题。
(二)电子数据内容的审查
1.真实性的审查。
电子数据的相关特性表明需对其所反映内容的真实性予以严格审查。
然而由于电子数据分散性的特性,特定电子数据证实的内容往往是案件的一部分或某一特定内容,仅凭单个证据,很难判断其真实性。
例如我院办理的王某盗窃上诉一案,王某侵入他人计算机软件盗取资金,侦查机关提取的涉案软件服务器端电子日志,记载了实施盗窃行为的计算机IP地址,但仅凭这一个电子日志确实很难判断真实性。
如何甄别其真实性,值得我们讨论。
2.瑕疵电子数据的审查。
电子数据收集、保全工作中,多多少少会存在一定瑕疵。
除了进一步规定取证行为外,现阶段如何审查、认定这些证据,需要我们充分了解这些电子数据取得的背景、方式和瑕疵程度,权衡确定以补正的方式还是综合判断的方式予以认定从而排除瑕疵。
3.综合判断电子证据的规则。
单一的电子数据很难反映网络犯罪行为的全过程,这需要我们将多个电子数据及其他类型证据经过正确的时空排列,并判断是否形成了一个完整的证明体系后,能相互印证地得出一个唯一的结论并排除合理怀疑。
因此,确定电子证据的判断规则很有必要。
4.电子数据的庭审质证。
司法机关系电子数据的收集、保全和使用的主要主体,尤其是作为法律监督机关的检察机关,其指控犯罪使用电子数据时应更严格地予以规范。
首先,要求检察机关作为控方在庭审中有效、便捷地对电子数据予以展示。
同时,在庭审质证中需要检察机关对电子数据作出详尽的说明,既要对电子数据收集、保全的合法性作出详尽的说明,也要对证据证明力、与待证事实的关系作出解释。
这有助于提高诉讼效率,实现诉讼双方权益平衡,但也是司法实践中的难点。
三、电子数据收集及审查完善的建议
(一)取证过程的规范化
1.对取证过程进行详细记录。
电子数据的存储形态与有形的书证、物证不同,在扣押、运送、提取的过程中,非常容易受到污染、灭失。
若不对这个过程作出有效、合理、直观的说明,司法机关在办案过程中就很难作出甄别并在质证中对电子数据的合法性、真实性作出充分说明,影响证据的适用。
因此,电子数据取证过程中不仅要严格依照刑诉法制作扣押证、笔录等文书,还要根据《关于办理网络犯罪适用刑事诉讼程序若干问题的意见》规定,有条件时应当对相关活动进行录像。
视频录像可以非常直观地反映整个取证过程,说明电子数据的合法性、真实性,这值得广泛运用。
2.设置专门人员从事电子数据取证工作。
司法机关内部均有专门的技术机构及精通网络的专业技术人员,考虑到办案人员欠缺电子技术专业素养,笔者认为涉及网络犯罪中电子数据的取证,应当由司法机关内部的专业技术人员协同办案人员一起进行,从而逐步规范整个取证过程。
以检察机关为例,其内部设有技术部门,并配备了专门的技术人员。
在检察机关侦查职务犯罪过程中,如果有专业的技术人员协助电子数据介质扣押、文件提取和保全,不仅可以大大减轻办案人员的压力,还能提高办案效率和办案质量。
2009年,鄞州区检察院在查办一起银行工作人员陈某涉嫌受贿一案时,反贪污贿赂局侦查员及时将犯罪嫌疑人的笔记本电脑进行扣押,并要求技术人员勘验取证。
取证过程中,技术人员发现电脑中没有任何有价值的数据,随即通过技术手段恢复数据,并发现了犯罪嫌疑人记录自己受贿金额的文档。
技术人员立即采取了固定保全措施。
该案深刻反映了专业技术人员在电子数据取证过程中的地位。
3.及时提取电子数据。
前面已经论述了设置专门人员取证,但即便是专业人员,也应当对其提取电子数据的及时性做出明确规定,确保提取的电子数据的原始性。
一般而言,电子数据是从扣押的介质上予以提取,有条件的话应该在扣押存储介质后无缝隙、同步地进行提取,从而保证获取电子数据的原始性;同时,部分电子数据系从网络服务器端提取,没有可扣押的有形介质,那么此时应当在司法机关获取电子数据存在的信息后第一时间予以提取,并对相关信息、提取过程予以记录。
4.设置专门机构保全电子数据。
以我市公安机关处理赃款为例,赃款被扣押后24小时内均应转入公安机关内部的物证中心集中保管。
但是司法实践中,存储电子数据的相关介质的保管却没有相应规定,往往是由办案部门自行保管。
笔者认为,基于电子数据易灭失、污染等特性,司法机关在取得后亦应当及时(24小时内)移送专门的技术部门予以专门保管,并建立严格的存取、移送制度。
为了办案需要,在办案部门可以留存副本以供使用。
同时,在各个司法机关进行电子数据移送时,亦应当做好保全工作,并做好相关记录,确保电子数据的完好无损。
以公安机关移送审查起诉为例,应该在随案移送的物品中注明移送电子数据的数量、种类,存储的介质等内容。
(二)借助鉴定机构解决专业难题
司法机关办案人员的计算机、网络专业知识往往较为基础,一旦电子数据涉及的专业程度较高,办案人员往往难以判断。
在这种情况下借助具有专业资质的鉴定机构对电子数据的收集、保全、内容等相关情况予以说明,申请鉴定人员在庭审时出庭作证,可以很好地解决很多难题。
1.对电子数据原始性作出说明。
在现有技术条件下,可修改文档的修改情况是会被记录的,也是可以被调取的。
以WORD文档为例,虽然每次修改的时间、具体内容不得而知,但是在文档属性中会标明其创立日期、最后修改日期。
笔者认为,如果能将上述情况作为委托事项由鉴定机构作出说明,不仅能提高证明数据原始性的权威性,亦省去司法机关作出说明的诉累。
以我院办理的王某盗窃上诉案为例,侦查机关提取了软件服务器端的电子日志,但未对原始性作出说明。
由于电子日志是可修改的文档,辩护人据此对证据的原始性、真实性提出了强烈质疑,幸而在案其他证据能相互印证电子日志的内容,否则侦查机关辛苦取得的电子日志很可能被排除。
如果该案中,侦查机关能够委托鉴定机构对该份电子日志的原始性作出鉴定,说明日志的创建日期,是否有被修改等,那么这份电子数据的证明力将得到大大增强,其自身即可以有效地证实犯罪事实,而不必再由其他证据对其予以补充,为司法机关的活动带来极大便利。
2.对恢复被删除电子数据作出说明。
司法实践中,大量的行为人为了掩饰犯罪痕迹,会主动将记录行为痕迹的电子数据删除。
对于此类行为,很多情况下鉴定机构的专业技术人员均有能力将这些被删除的数据导出恢复。
这类经恢复得到的电子数据对于证实犯罪,震慑犯罪有着极大的积极作用。
但是,由于此类电子数据并非直接从原始存储介质获得,而需经过复杂的恢复步骤,这需要非常专业的计算机、网络知识,应当借助鉴定机构对于这个电子数据的收集过程作出详细、有效的说明。
3.委托鉴定机构对电子数据内容作出说明。
很多情况下,电子数据的内容并非是能为我们所直接理解的文字,而是各类程序代码,命令行等等,亦或是需要通过特定操作才能显示出我们所需要的与犯罪事实相关联的内容。
在我院办理的王某盗窃上诉案件中,王某系利用特定软件的漏洞实施盗窃,这就需要对软件是否存在特定漏洞作出说明。
此时,电子数据并非表现为静态的文档,而是需要动态操作的一组电子数据。
因此,借助鉴定机构对漏洞的存在、以及可加以利用等动态行为作出说明、固定是最好的选择。
4.申请鉴定人出庭说明。
在电子数据的庭审质证中,申请鉴定人出庭可以为诉讼提供极大的便利。
首先,鉴定人可以对电子数据收集、保全、展示的程序合法性作出全面说明,帮助说明电子数据来源的真实性,排除被污染的可能。
其次,鉴定人可以对电子数据的内容与犯罪事实之间的关系作出详细说明。
例如前述的电子日志,其内容表现为最原始的程序代码,很难直观的为我们所认知。
此时就需要鉴定人对其内容作出解释,帮助庭审的顺利进行。
(三)从全案角度,综合、全面分析后认定电子数据
在对确保电子数据的真实性、合法性的规范提出建议后,笔者将就进一步甄别其内容与待证犯罪事实的关联程度进行讨论。
以下是一个真实案件所搜集的电子数据,下文将以其为例探讨电子证据的甄别与认定。
被告人王某使用机器码(机器码系涉案软件记录接入软件计算机身份的一组数据)为A的计算机,以账户B登录特定软件,并利用其漏洞窃取软件内钱款41.6万元。
后王某使用淘宝账户C将软件内钱款对外销售一空。
案发后,公安机关收集了如下电子数据:
1.涉案软件公司提供的账户B登录信息、资金账户明细及捷易通系统屏幕截图,证实B账户的登录IP地址、使用记录以及登录计算机的机器码(该证据最终表现为图片);2.支付宝(中国)网络技术有限公司提供的数据资料证实,支付宝账户C的相关信息,证实账户使用人的真实信息以及使用记录、登录IP地址(该证据系以支付宝自动生成的电子表格文档);3.上海辰星电子数据司法鉴定中心根据公安机关提取的电子日志、软件客户端等电子数据出具的沪辰司鉴中心[2013]计检字第75号《司法鉴定检验报告书》证实,使用B账户计算机的机器码、B账户的使用记录及IP地址和软件确实存在可以利用的漏洞(该证据表现为鉴定意见)。
首先,我们发现电子数据最终的证据表现形式多种多样。
上述三组证据中只有支付宝提供的电子表格文档才是最为纯正的电子数据,因为电子表格文档为系统自动生成,亦其最原始的状态作为证据形态;而其他两组证据本质上虽为电子数据但最终以其他的证据形态出现,如通过截取特定页面表现、通过鉴定机构说明表现等。
笔者认为,司法鉴定检验报告书的形式值得更多适用。
该份报告中,鉴定机关不仅对电子数据的获取状态、原始性情况作出了充分说明,为司法机关省去了说明的诉累;同时,鉴定机关对于电子数据的内容作了充分、细致的分析,并就多份证据的关联情况作出了说明,从而为司法机关梳理案件情况提供了强有力的支持。
值得注意的是,本案的一项鉴定内容具有很强的借鉴意义,即对软件存在漏洞作出了说明。
软件漏洞从本质上而言是编程人员在编写代码过程中存在的欠缺之处,外在表现为实施特定行为会导致软件运行不正常。
因此,漏洞的展示、感知是一个动态的过程,而不是一个单纯的、静态的电子数据。
本案中,明确涉案软件确实存在漏洞是一个必须证明的事实。
现有证据形式中,通过专业机构对此进行演示说明,进行鉴定应该是最好的选择。
其次,我们也发现如果将上述三组证据分割开来,每一组证据均仅能证实整个盗窃事实的一部分。
同时,上述证据单个来看,其内容的真实性、关联性确实值得推敲。
但是一旦将三组证据综合起来,其就能相互印证地对待证犯罪事实予以证实。
以IP地址为例,上述3份证据均记录了涉案实施盗窃的计算机的IP地址。
单看各个证据,直接认定其记录的IP地址在内心确认上确实有所欠缺,但是一旦整体地看,软件客户端、服务器端以及支付宝网络提供的电子数据均一致地记录了同一个IP地址,此时我们完全可以对内容的真实性、关联性做确认。
由以上观之,笔者认为案件办理过程可以从以下几个步骤审核电子数据:
1.对电子数据的合法性作出判断。
电子数据的合法性指电子数据的取证主体、形式、手段、程序、来源符合法律规定的要求、条件,是电子数据证据能力不可或缺的构成要素,同时也是评判电子数据资格的重要标准。
判断合法性,应当详细审阅电子数据的整个取证过程,包括存储介质的来源和扣押、介质内电子数据的提取、电子数据的后续存储、保全情况等等。
重点审核该过程是否符合刑诉法及相关法律的规定,有无制作相关笔录并出具了相关单证。
如从被告人处进行搜查并扣押计算机时,是否出具了搜查证、扣押证,邀请了见证人,制作了扣押清单、笔录等等。
同时也要注意到,司法机关在收集电子数据的权力、能力上要远大于辩方,对于辩方收集电子数据不应做过多限制,但是对其收集、提供的电子数据应当要求说明情况,并做严格的审核。
2.对电子数据的真实性作出判断。
判断真实性,应当将重点放在电子数据是否有被污染、篡改的可能性。
首先审查电子数据的来源,如上述案例中从支付宝网络调取的电子表格文档有支付宝网络公司出具的证明,文档亦保存于印有支付宝公章的光盘中,其对电子数据来源做出了明确的说明,这种来源非常可信,其真实性有保障。
其次,要审查电子数据的提取、保全过程情况。
如果整个取证过程均符合法律规定,且保存过程亦符合规定,就排除了电子数据被污染篡改的可能性。
比如上述鉴定意见中,对于电子日志的提取、文件是否被使用等等情况均作出说明,后续亦采取了良好的保全措施,就此完全排除了证据被污染的可能性。
当然,我们也不能对电子证据过于苛求,对其证据三性的质疑应当在合理怀疑的范围内。
在美丽坚合众国诉惠特克一案中,就要求要有具体地证据才能质疑电子数据是否遭到篡改,否则仅仅由于毫无根据的臆测就质疑电子数据的真实性是不能被接受的。
3.对电子数据的关联性作出判断。
判断关联性,在于判断电子证据所反映的内容与待证犯罪事实存在联系。
此不做赘述。
4.对于电子数据的综合判断。
电子数据的证明力并不能单纯地从其本身去考量。
对于电子数据的最后认定,不仅在于将各个电子数据综合认定,还要与在案的其他证据一起做综合判断。
电子数据所证明的事实会与在案其他证据证实的事实相互交叉,如果其相互之间能够互相一致、予以印证,那么电子数据的证明力就大大提升了。
也就是说在案证据之间相互提升了其证实事实的证明力。
因此,我们在审查电子数据关联性的时候,关键在于把握电子数据与事实的“连接点”。
电子数据的信息量非常大,除了主体文字、图像、视频、录音外,还要注意附属信息,注重从这些大量的信息中,寻找与案件事实相交叉的那个联系点,就能很明确地将在案的电子数据与案件相互印证地关联起来。
司法实践将电子数据作为一种新型证据进行运用,顺应了信息科技的发展,深刻影响着刑事诉讼的事实发现。
作为信息科技发展的产物,电子数据运用的逐步完善需要法律适用的进步,也需要科学技术的支持,这必然会经过长时间的尝试、摸索与总结。
同时,我们亦需不断努力,建立、完善、充实电子数据的法律运用机制。
升级会员 