计算机经济犯罪案件取证对策研究.docx
《计算机经济犯罪案件取证对策研究.docx》由会员分享,可在线阅读,更多相关《计算机经济犯罪案件取证对策研究.docx(32页珍藏版)》请在冰豆网上搜索。
计算机经济犯罪案件取证对策研究
计算机经济犯罪案件的取证对策研究
(载于《证据学论坛[第十卷]》第433~451页)
摘要:
对于传统的经济犯罪案件,公安机关形成了一套行之有效的侦查方法和措施,而对于计算机经济犯罪案件的侦查,尚存在诸多问题。
以取证为核心,深入研究计算机经济犯罪取证目标的确定、现场勘验、对涉案计算机信息系统的搜查、扣押涉案计算机设备和嫌疑人电子邮件以及对电子证据的审查判断等问题,将为公安、司法机关有效的打击日益猖獗的计算机经济犯罪提供帮助。
关键词:
计算机经济犯罪取证现场勘验搜查扣押
计算机经济犯罪是指以计算机及其网络为主要的犯罪工具或犯
罪手段,利用计算机硬件技术、软件技术和网络技术而实施的经济犯
罪,包括单机经济犯罪和网络经济犯罪。
从本质上说,计算机经济犯
罪是传统的经济犯罪在手段上的翻新,即计算机经济犯罪是传统经济
犯罪在手段上的智能化、复杂化和高科技化。
经济犯罪中计算机工具或手段的运用,使得这类犯罪具有极强的隐蔽性、巨大的社会危害性,加之日新月异的计算机及其网络技术不断的被犯罪分子用于经济犯罪,客观上增加了刑事实体法认定的难度和刑事诉讼中侦查取证的难度。
然而,由于对这类新型经济犯罪缺乏深入的研究,使得公安、司法机关在办案过程中存在诸多错误和偏差,主观上造成了在打击此类犯罪问题上的被动与无奈。
证据是诉讼的灵魂,取证是计算机经济犯罪案件侦查工作的核
心。
纷繁复杂的经济活动和日新月异的计算机技术,为计算机经济犯
罪案件证据的收集提供了很大的选择空间,同时也给经侦民警带来了巨大的挑战。
如何根据计算机经济犯罪案件证据的特点,寻找有效的发现、固定和提取证据的方法,是打击计算机经济犯罪理论与实践中不可回避的问题。
一、计算机经济犯罪案件取证目标的确定[1]
一方面,由于计算机经济犯罪案件的情况十分复杂,有单位犯罪,也有个人犯罪;有涉及一个罪名的犯罪,也有涉及多个罪名的犯罪;
有牵连犯罪,也有想像竞合犯罪;有定性相对容易的犯罪,也有貌似
经济纠纷、计算机事故的定性困难的犯罪。
尤其是在案件侦办初期,
扑朔迷离的案情往往是侦查员很难认定案件是否涉嫌犯罪、涉嫌何种
罪名等,使得不易确定取证目标;另一方面,由于侦查员业务素质低
下,忽视统筹规划而导致取证目标不明确,使得证据链脱节。
因此,
侦查人员应针对计算机经济犯罪的特点,在熟悉案情的基础上,在《刑
法》和《刑事诉讼法》以及相关司法解释允许的框架内,从宏观的角
度把握整个案件的取证目标。
(一)确定对计算机经济犯罪主体的取证目标
计算机经济犯罪主体情况比较复杂,既有单位犯罪和自然人犯罪之分,也有特殊主体和一般主体之别。
而且在许多经济犯罪罪名中,单位经济犯罪与自然人经济犯罪的具体数额标准、处罚尺度和构成犯罪的范围差别很大,从而导致了在现实生活中,许多犯罪分子往往将自然人犯罪行为伪装成单位行为,从而达到逃避刑罚处罚或者减轻罪责的目的。
比如,职务侵占罪、挪用资金罪都是自然人犯罪,不存在
单位犯罪。
而成都某公司的财务主管李某为了逃避刑事追究,私自注册一些虚假的公司(一般采取虚构股东的方式注册成立),与其工作的公司一些签订虚假的业务合同,然后在财务系统中修改往来款数
据,将受害单位的资金划入其自己控制的这些皮包公司中,从而将职务侵占、挪用的个人行为伪装成了一系列的法人之间的违规“拆借”行为。
所以,在确定对计算机经济犯罪主体取证目标之前,要确定涉案主体是单位还是自然人,是特殊主体还是一般主体。
对单位犯罪主体来说,确定证据收集目标时,应围绕单位身份的合
法性,重点从工商注册、税务登记、年检手续、银行帐户等展开调查,
并注意收集其法人代表、业务负责人、经手人等的相关资料,重点调
查他们的计算机水平。
对自然人犯罪主体来说,确定证据收集目标时,
应围绕其户籍证明(包括户口簿和户口底卡)、身份证明、工作证明、
专业或技术等级证明(重点是计算机技术和经济贸易方面的专业或技
术等级证明)、护照等展开调查;对于特殊主体来说,应围绕其特殊
的身份、工作职权展开调查。
(二)确定对计算机经济犯罪嫌疑人主观方面的取证目标
作为犯罪构成要件之一,计算机经济犯罪行为人的主观方面是区分经济纠纷与经济犯罪的关键所在。
然而,对行为人主观方面的认定涉及到司法推定问题,即在具体认定上必须结合行为人的外在表现行
为,并辅之以一定的推理才能实现。
所以在确定计算机经济犯罪案件嫌疑人主观方面的取证目标时,要将重点放在嫌疑人的陈述、各行为之间的关系以及事后行为和态度等方面。
比如,对利用计算机网络在
电子商务中实施合同诈骗嫌疑人,侦查人员应围绕其主观上是否具有“非法占有目的”展开调查,全面收集嫌疑人签订合同时的履约能力和担保真伪、履行合同中有无履约实际行动、对合同标的物的处置情况、未履行合同的原因以及事后行为人的态度等方面证据材料。
(三)确定对计算机经济犯罪犯罪行为的取证目标
行为证据是认定犯罪的重要证据。
计算机经济犯罪的犯罪行为包含
有经济方面和计算机及其网络方面的因素,嫌疑人作案的时间、地点、事实、情节、手段、后果等是确定罪与非罪、重罪与轻罪、此罪与彼
罪的关键。
计算机经济犯罪的行为证据不是单一的,具有高技术性、序列性、差异性的特点。
所以,侦查人员应从嫌疑人的整个犯罪流程
入手,针对不同的案件的犯罪手法特点,确定相应的取证目标。
比如,对利用互联网实施集资诈骗的案件,侦查人员应将以下内容列为对嫌疑人犯罪行为的取证目标:
嫌疑人伪造的集资证件、互联网网页上虚构集资说明书、集资宣传、出现集资宣传的网址、服务器中的关于非法集资内容的电子数据资料及其上传时间、收取集资款的开户银行和帐户、嫌疑人关于集资的帐簿、记帐凭证等、嫌疑人从银行存款、提
款和转款的记录和票据存根、集资款项去向、受害群众的数量和被骗金额等;又如,对嫌疑人修改财务管理信息系统程序而侵吞公司财产的职务侵占案件,对其犯罪行为的取证目标应以该被修改的信息系统为中心,重点调查该财务软件被篡改的时间、被篡改的内容、源代码被篡改后所执行的功能与原功能的差异、嫌疑人所得款物的数额和去向等方面。
二、计算机经济犯罪案件的现场勘验及应注意的问题[2]
一方面,同传统犯罪案件的现场一样,计算机经济犯罪案件的现
场是犯罪活动经过的场所,是犯罪事实客观集中反映的地方,犯罪行
为总离不开一定时间、地点和条件,有它的发展和变化过程,而且遗
留下来的各种不同的状态或与案件同类相似的状态特点,是客观存在
反映。
所以,计算机经济犯罪案件的犯罪现场是获取犯罪证据的重要
来源。
另一方面,计算机经济犯罪案件的现场与传统犯罪现场也有截然不同之处。
它可划分为物理现场和信息现场两部分[3]。
物理现场一般指计算机、网络设备等硬件实物、涉案单位或个人的帐目、各种金融票据、文件资料等;信息现场则指由物理现场中的计算机硬件支撑的、表现为电子数据形式的各类计算机信息。
在计算机经济犯罪的信息现场中,计算机经济犯罪行为都具体体现为各种各样的计算机操作。
公安机关侦查计算机经济犯罪案件,从证据角度来讲,其核心就是围绕着计算机证据展开的,最终,形成以计算机证据为核心内容,结合其他传统证据,形成有效的证据链直至证据体系。
因此,重视和加强计算机经济犯罪案件的现场勘查工作对案侦工作具有重要意义。
计算机经济犯罪与传统的经济犯罪和一般的计算机犯罪案件相比,其现场勘查工作的领域是多时空、多层面的,不仅需要在物理空间寻找犯罪证据,而且需要在涉案计算机信息系统这个虚拟空间中寻找犯罪证据。
它包括现场保护、现场指挥、现场勘验、现场访问、现场评析等一系列的系统工作。
现场勘查是侦破计算机经济犯罪案件的
首要侦查措施和核心所在。
限于篇幅的原因,结合公安机关具体办案过程中存在的主要问题,本文重点讨论计算机经济犯罪的现场勘验和现场访问这两项工作。
(一)计算机经济犯罪案件的物理现场勘验及应注意的问题计算机经济犯罪案件的物理现场勘验的内容与传统经济犯罪的
现场勘验大体一样,即把重点放在对相关书证的发现、提取和固定上。
计算机经济犯罪行为人的最终目的,是获得非法的经济利益,而在这一过程中,除了电子证据之外,必然还会涉及各种证件、印文、名片以及其他文书,特别是所涉及款项的来源及去向,流通过程中所遗留下的帐目、凭证、单据、表册、支票、汇款单、运单、合同、借据、提货单、通知书等[4],都是侦查人员勘验的重点。
比如,对网络金融诈骗案件,侦查人员应将勘验的点放在寻找行为人虚构的证明材料、票据、有价证券、信用卡、身份证件等上面。
当然,在勘验中,也不能忽略了其他痕迹、物证的发现、提取和固定上,比如生产、销售伪劣产品案件中的制假贩假工具、伪劣产品样品等,也是勘验的重点内容。
在此类案件的物理现场勘验中,应注意以下问题:
1、熟悉案情,做好勘验准备。
在进行勘验之前,侦查人员应熟悉
案情,分析嫌疑人的作案手段,明确勘验重点。
比如,如果发现行为
人是通过涂改会计资料而达到偷税目的的,就应当将其帐目作为勘验
的重点;如果发现嫌疑人通过虚列进项税额,偷逃增值税的,就应将
“应交增值税”明细帐的“进项税额”栏作为勘验重点,并注意鉴别用于
抵扣税款的增值税专用发票的真伪[5];
2、严格依法进行勘验工作。
侦查人员对计算机经济犯罪案件的现场勘验,是一项严肃的侦查活动,具有一定的保密性。
根据《刑事诉
讼法》第103条的规定,侦查人员执行勘验、检查,必须持有并出示人民检察院或公安机关的证明文件;
3、注意对预备犯罪现场的勘验。
由于实施经济犯罪一般需要经过
多个步骤和相对较长的作案过程,而预备犯罪现场作为嫌疑人预谋策划和准备实施犯罪的场所,在这里遗留的证据对整个案件证据体系的
形成具有重要作用。
所以,侦查人员不能仅仅将目光局限在嫌疑人实施犯罪的主要现场上,以免取得的证据过于单一,影响证据锁链的形成。
(二)计算机经济犯罪案件的涉案计算机信息现场勘验及应注意的问题
由于计算机经济犯罪的主要犯罪证据往往存在于涉案的计算机信息系统之中,只要没有故意破坏或删除的因素,哪怕时过境迁,这些证据也会完好的保存在系统当中。
即使信息系统中的电子证据被破
坏,侦查人员也可以借助一定的技术手段使其恢复到本来面目。
因此,可以说,计算机犯罪经济案件的涉案计算机信息现场勘验(以下简称信息现场勘验),是侦破此类案件的必不可少侦查措施和取证手段。
1、信息现场勘验所需的主要工具
信息现场勘验是一项相当复杂的工作,为了尽快获取侦查信息和犯
罪证据,实施勘验之前必须根据案件的相关情况和犯罪的形式,制定
周密的勘验计划,明确分工,并根据勘验工作的不断深入,适时灵活的调整勘验计划。
除此之外,侦查人员还必须准备好必要的勘验工具,以最大限度的获取作案法人遗留在信息现场的犯罪信息。
信息现场勘验工具主要包括两类:
(1)硬件工具。
主要有笔记本电脑或移动PC、移动硬盘、优盘、打印机、光盘刻录机、USB连接线、其他必要的通信传输电缆,以及机器的拆卸工具;
(2)软件工具。
包括主要用于分析被勘验系统的运行情况、信息
资料的完整等况的操作系统软件、工具软件和应用软件,比如:
killsvr(键盘杀手配置查看器,用于查看是否被人安装了键盘杀手这种盗取操作人员键盘操作内容的软件)、IpLocate30(用于IP地址与物理地址的双向查询)、NetView(TCP/IP协议监测软件,用于检测区域内
的网络连线情况,检测是否有外界入侵以及入侵者的IP地址以及入
侵方式)、ghost备份工具、EasyRecover、Norton等磁盘恢复工具
(该工具可以在一定程度上恢复磁盘中被删除、破坏或者格式化之前的数据)等软件,以便及时恢复被破坏和被删改的数据信息、诊断和清除病毒、备份被调查系统的数据信息。
对于计算机信息系统受到外
界入侵攻击的案件,还应该准备好一些常用的扫描软件和IP地址追
踪软件,比如:
NSS网络安全扫描软件(NSS可执行匿名FTP、NFS出口、TFTP、Xhost等常规检查)、Strobe超级优化TCP端口检测软件(它是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快速识别指定机器上正在运行什么服务)、XSCAN扫描工具
(XSCAN可以扫描网络中主机的软件和硬件信息、管理员的名称及
其弱口令等,根据其弱口令,可以远程操作和控制该主机)、
NeoTracePro追踪软件(可以根据IP地址确定主机的物理地址)。
这
些软件一般事先都应该安装在侦查人员的手提电脑或移动PC中。
2、信息现场勘验中应注意的问题
由于计算机经济犯罪在许多方面与传统犯罪不同,所以侦查人员一定要突破习惯思维和经验的束缚,掌握此类高技术经济犯罪的规律,灵活应变,以有效地打击犯罪。
具体而言,在勘验过程中应该重点注意以下问题:
(1)绝对不能轻易的关机或者重新启动计算机,这样有可能破坏原始信息,造成不可挽回的损失;
(2)不能轻易的接触键盘,以免破坏机器内的信息和键盘上遗留的手印等痕迹物证;
(3)信息勘验,要尽可能的一次性完成,有必要时一定要请有关计算机专家指导技术问题。
如果遇到确实不能一次完成勘验工作的情况,要考虑扣押被调查物品,并选择适当的时间和方法继续勘验,但是一定要注意严格履行法定程序,以免造成不必要的被动;
(4)侦查人员一定要用备份工具备份系统中存储的所有信息,以
便为以后的物证技术分析提供检材。
必须注意的是,备份时必须用完全空白的新磁盘、新格式化的移动硬盘或一次性写入光盘,以防止旧盘上原有的信息对物证的干扰;
(5)不要轻易搬动作为犯罪工具或受到侵害的计算机系统,确需
要搬动的话,应先录像和拍照,并且备份计算机内所有信息,并且在每根导线的连接处贴上标签标明导线的连接方式;
(6)侦查人员到达现场以后应立即采取有效措施提取用户计算机存储的数据,保证案发后机器内的文件和程序的形成日期不被改变,以免被重新写入或者删除数据;
(7)对于远程入侵实施计算机经济犯罪的案件,要注意不能打草惊蛇。
既要控制受害单位损失的进一步扩大,还要利用犯罪行为人继续实施攻击的特点,在电信等相关部门的配合下,搜集证据,确定作
案地点,做到人赃俱获;
(8)对银行、证券等不能停止运行的系统,要在短时间完成对系统现场数据的备份工作,恢复系统运行(如果受害单位有备用系统,可以先启用备用系统)。
这种备份不是文件一级的备份,而是硬件级的备份,即将硬盘中所有数据按其物理存放格式逐扇区(包括坏扇区)
进行备份。
(9)对于固定的IP地址,当地ISP服务商都有相应记录,可以找
出其对应的地理位置。
拔号上网的用户被分配的是动态IP地址,每次连接上网后被分配的IP地址都不一样,但是可以及时确定其范围,再通过其ISP服务商找到其地理位置。
局域网内部的主机通过提供对
外连接服务的主机连接上因特网后,上网的主机将得到一个仿真IP地址,对外显示的则是提供对外连接服务主机的IP地址,但是对外主机对该主机的上网活动一般都会进行记录,通过对提供对外连接服务主机的IP地址追踪,同样可以找到局域网内上网的主机。
(10)勘验时,应当用摄像机记录下取证的全过程,以在法庭上更好的发挥视听资料的作用。
尤其是在利用EasyRecover等数据恢复软件的时候,利用摄影机把整个恢复过程记录下来,可以增加证据的
硬度。
因为这类软件恢复出来的文件的访问时间变成了恢复时的时
间,而且对被损坏的磁盘所恢复出的文件将不是原来的文件名称(恢复出的文件只是file1、file2
、file3的一个文件列表),失去了原始证据的特征,只能作为间接证据使用,必须依靠其他证据的支撑方能为法庭所采信。
(11)进行现场勘验时要邀请两名与案件无关、为人公正的人做见证人,侦查人员必须制作现场勘查笔录,基本的格式和内容和传统犯罪现场勘查笔录一样,但是还应该注意详细记录计算机网络的拓扑结构、工作环境、取证的方式方法等,从而为为诉讼提供可靠的证据。
三、对涉案计算机信息系统的搜查及应注意的问题
搜查是侦查部门依据《刑事诉讼法》的规定,为收集犯罪证据,查获犯罪人,对犯罪嫌疑人及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关地方进行的搜索和检查。
其作用是能够发现作案工具、赃款、赃物,可以获取与犯罪有关的痕迹,能够搜出罪证,甚至可以直接查获罪犯。
无论是单机经济犯罪还是网络经济犯罪,涉案计算机信息系统中
或多或少都储存着我们侦办案件所需要的证据或者线索,所以,侦查员在办案中绝对不能忽略涉案计算机信息系统的搜查这个环节。
然
而,搜查作为一种强制侦查措施,其对公民的潜在威胁是警察在搜查
过程中对公民人身权、财产权和个人隐私权的侵犯。
如何合法、有效
的搜查涉案计算机信息系统,从中提取有用的电子证据,是经侦民警
必须面对的新课题。
由于《刑事诉讼法》及其相关的司法解释中没有专门的关于“电子
证据”的取证要求,而《公安机关办理刑事案件程序规定》中也没有
具体的规定。
但是,“电子证据”在本质上是物证、书证等传统证据的“数
字”表现形式,结合传统的搜查原则和相关的计算机技术知识,侦查
人员在搜查时应注意以下问题[6]:
(一)搜查嫌疑人使用的计算机信息系统之前,应该事先了解嫌疑
人的计算机水平
为了避免盲目行动,搜查嫌疑人使用的计算机信息系统之前,侦
查人员应该从嫌疑人的学历、工作经历等方面或者通过其同事、朋友等知情人了解其计算机水平,以便制定搜查方案、确定搜查的重点、准备相关的硬件、软件工具。
比如,如果了解到嫌疑人的计算机水平很高,则可以考虑用EasyRecover、Norton等磁盘恢复工具恢复磁盘中被删除、破坏或者被格式化的数据。
比如,1998年,某市发生的“5.26”百花集团特大集资诈骗案中,主要嫌疑人携款潜逃,所有帐目表被烧毁,使侦查陷入僵局。
而正是由于侦查员在搜查过程中发现了该公司的一台硬盘被重新分区和格式化的计算机,技侦人员利用恢复软件将存储有百花集团集资人数、金额等数据资料的文件碎片恢
复,为案件的侦破提供了准确的集资人数和集资金额等数据,为打击犯罪提供了科学的证据;如果行为人的计算机水平一般,则我们可以
通过查看“系统日志”确定其登录计算机信息系统的时间(因为精通计
算机的人士可能通过改动系统时间等方法来修改“系统日志”);
(二)搜查嫌疑人使用的计算机信息系统,必须出示“搜查证”
对涉案计算机信息系统的搜查,本质上是在“数字空间”进行的取
证工作。
由于计算机信息系统这个“数字空间”中包含着嫌疑人的个人
隐私,任何非法的搜查都是对人权的侵犯。
所以,与在传统物质空间
的搜查一样,对涉案计算机信息系统进行搜查之前,必须经过县级以
上公安机关负责人的批准,开具“搜查证”,写明被搜查的计算机名称,
并注明协助搜查的计算机专家,同时必须在进行搜查之前向被搜查人
出示搜查证;
(三)对计算机信息系统的搜查、取证过程应该全程录像,对显示
器上的重点信息应拍照固定
由于“电子证据”在本质上是存储在电磁介质中的、不为人类肉眼
所识别的一些二进制数字,所以无论是复制出来的备份还是打印出来
的文档,都不是传统意义上的“原件”。
为了增强我们所取得的这些“电
子证据”的“复制品”的证明力就,应该对计算机信息系统的搜查、取证
过程全程录像,对显示器上的重点信息应拍照固定,以便在法庭上更
好的发挥视听资料的作用;
(四)必要的时侯要请网监部门的侦查人员和聘请计算机专家协助
搜查
在计算机经济犯罪案件中,如果嫌疑人的计算机水平比较高,在
搜查中可能会遇到比较复杂的技术性问题。
公安机关经侦部门应当邀
请网监部门的侦查人员和聘请计算机专家协助搜查,依靠他们相对熟
练的取证技术和取证方法将损失和风险降低到最小。
比如,涉及到解
密问题时,不依靠密码专家的帮助而贸然搜查,很可能破坏系统,造
成无法弥补的损失;
(五)必须坚持“多备份原则,”绝对不能在涉案计算机信息系统内直
接打开文件进行检查
由于计算机信息系统本身的运行规律所决定,任何电子文件被打开
之后,其属性就会发生改变。
如果我们贸然打开涉案计算机信息系统
中的文件进行检查,就会破坏了该文件的属性,导致其证明力降低,
甚至破坏了证据。
所以,侦查人员必须坚持“多备份原则”,一份用于
附卷,其余的用于侦查员检查、操作。
对于有证据价值的文件,应该
打印出来,并注明该文件存于嫌疑人计算机的哪个磁盘分区、哪个文
件夹;
(六)注意查看被搜查系统的时间设置
系统的时间设置直接影响到文件的属性和系统日志的记录等内容。
如果计算机信息系统的实践与实际时间存在差异而侦查人员没有引
起注意的话,将导致所取得的电子证据上显示的时间与现实时间的不
一致,给嫌疑人以逃脱处罚的空间。
比如,计算机信息系统的时间是
2004年1月20日,而实际时间是2003年1月20日,如果侦查人
员忽略这一点而将取得的电子证据提交法庭,嫌疑人到法庭上(即被
告人)肯定会说,他2004年1月20日的时侯处于羁押期间,计算
机已经被公安机关扣押,故他根本不具有作案时间,从而使上述证据
失去效力。
所以,侦查人员在搜查涉案计算机信息系统的时候,要注
意查看其系统的时间设置,弄清系统时间与实际时间的差异,并用录
像、照相和文字记录的方式予以固定;
(七)注意发现犯罪行为人在电子邮件中对IP地址的伪装
比如FakeMail工具可以假冒他人的名字和邮件地址发信。
但是,
伪造者发信时的IP地址是MTA(报文传送代理,Message
Transfer
Agent)自动加入的,仍可以通过查看邮件的头信息来鉴别邮件的
真伪,根据其真实的IP地址来确认发信人,从而准确判断行为人伪
造电子邮件的动机和目的。
所以仅仅通过E-mail表面上的地址或者
路径信息并不一定能够准确认定犯罪行为人,还需其他相关证据佐证
其真实性,或与之相互印证,形成严密的证据锁链方可定案;
(八)注意搜索后缀为“DOC、”“EXL、”“TXT、”“WPS”
升级会员 