网络犯罪的电子证据收集与固定
2012-01-28冯予君王强
文◎冯予君王强
网络犯罪的电子证据收集与固定
文◎冯予君*王强**
网络犯罪属于高技术、高智能的新型犯罪,具有隐蔽性强、手段多样性、作案连续性、覆盖面广等特性,与传统的刑事犯罪相比,其产生的社会危害性更大、更广,加大打击网络犯罪力度已是形势所需,但由于我国立法上的不完善及实践中的不成熟,在电子证据的取证方面遇到了极大的困难和问题。而新修订的《刑事诉讼法》在第48条增加了“电子数据”的证据形式,进一步完善了刑事证据分类,明确了网络犯罪新兴证据材料的归属,这对侦查网络犯罪的电子证据收集、运用都具有重要的意义。
一、电子证据的特点
(一)电子证据具有海量存储性。以计算机为代表,电子证据在各种介质中的存储量与普通证据不可同日而语。传统证据中,某个场所、某件物品或某份文件所包含的证据信息是有限的;而电子证据在相同物理范围内所能获取的信息量发生了几何级的膨胀。
(二)电子证据具有高速流转性。不论是模拟信号还是数字信号,都具有高速的传输速度。以网络证据为例,互联网中电子数据的传输速度理论上可以达至光速,而且不受地域空间的限制,举凡互联网覆盖的范围内均可急速传输、信息自由流转。
(三)电子证据具有自动生成性。电子证据以电子设备为存储介质,许多电子设备都具有智能性,在进行设定后可以自动运行程序,并且自动生成电子证据。在整个过程中,只需要完成最初设定,全程都无需人工操作,在很大程度上弥补了人类在生理上的限制。
(四)电子证据具有脆弱性。电子证据因人为或环境因素而易于损毁、修改、灭失,给取证带来诸多问题。
二、电子证据的收集
由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置,要收集到所有的资料是非常困难的。电子证据收集应遵循证据现场的保护原则。取证人员进入现场后,应迅速保护好计算机日志,对数据进行备份,切断远程控制;封存现场的信息系统、各种可能涉及到的磁介质;提取涉案计算机硬盘、移动磁介质、光盘、复印机、传真机中的记忆芯片等,特别应注意对当事人随身携带的电子介质的提取,如手机、MP4/5、导航仪、3G上网卡等,对于硬盘中隐藏文件及被删除信息一并收集。
首先,在取证方法上,电子证据原本可以采用多种取证方式,包括现场搜查、现场输出,对相关证据进行镜像复制,以及对电子设备或载体进行实体扣押,以备后续搜查。镜像复制与将个别计算机文件从一台电脑转移到另一台电脑的普通复制有所不同:普通复制只能复制可识别文件,而镜像复制能够将目标驱动器中的每一个字节都复制下来,包括所有文件、空白空间、主文件表和元数据等;普通复制可以在计算机运行时进行,而镜像复制通常是在数据机器关机状态下进行;普通复制不改变原文件属性,而镜像复制形成的文件都是只读文件,用于分析时不至于发生篡改。
其次,在取证范围上,侦查人员应当在遵循比例原则的前提下保障取证的全面性。不论是在现场对电子存储设备进行搜查还是在镜像拷贝后的后续搜查,都应当以证据的关联性为标准,严格限制取证范围,避免无限制的扩大化,对公民隐私权造成不必要的侵犯。另一方面,对电子取证范围的确定亦应谨慎,因为一旦有所遗漏,相关电子证据很容易遭到毁损,再也无法重现和获取。
再次,电子证据的脆弱性还可能经常在电子取证中造成“紧急情况”,而在电子取证的紧急情况下,侦查人员为了防止证据损毁、修改、灭失的危险,有权在法定程序之外采取一些紧急措施,由此也可能对个人权利造成更大侵犯。
三、网络犯罪中电子证据的固定
电子证据的收集,不仅要收集电子数据,还需收集与系统稳定性及软件的使用等情况的证明,内容涉及电算化的,应当由司法会计专家对提取的资料进行现场检验,通过全面、综合地对电子证据进行收集、保全并进行固定。
(一)电子数据。1、在侦查现场查获时,应制作勘验检查笔录,对主机运行状态进行细致的检查,包括开机运行状态、正运行程序、与案件相关的其他文件或者程序(doc、txt、xls等等);后应当通过专门的软件对相关内容进行备份保存,并对主机及时封存,以免破坏文件的完整性。
2、远程勘验工作记录应对目标网站的模块构成、登陆网站的程序步骤等进行详细的描述,勘验的同时应制作勘验过程的录像,并对目标网站的性质及功能进行界定。
3、电子证物检查工作笔录中应有所采用的取证软件的简介及功能介绍等,对检查的过程进行详细的描述,突出没有破坏原始硬盘的数据,保持证据的完整性。与现场勘验检查笔录相比,其性质为对硬盘中涉案内容的更细致、全面的检查。另外,自犯罪嫌疑人处提取的所有电脑硬盘均应制作电子证物检查工作笔录(即使当时查获时没有发现某一电脑硬盘有涉案内容,但仍要对该硬盘进行检查)。
4、犯罪嫌疑人有手机、平板电脑等设备时,应对该电子设备进行涉案内容的提取,制作提取笔录;有关的涉案内容应通过拷贝、拍照等方式及时固定,此处注意注明出处、犯罪嫌疑人签字确认等程序性问题。
(二)相关的其他几种电子证据。1、书证。(1)网络犯罪嫌疑人往往较多,在收集书证时,要注意收集犯罪嫌疑人之间的QQ、百度hi等聊天软件的聊天记录,以期证实与犯罪事实相关的内容。
(2)在办理私彩类网络赌博案件中,犯罪嫌疑人往往通过注册域名的方式设立某一私彩网站;同时,官方会存在某一彩种的正规网站。这种情况下,应出具该官方网站的相关证明,证实私彩网站的非法性质。
(3)自犯罪嫌疑人的电脑主机等存储介质提取数据作为书面证据时,应注意证据来源等程序性问题,确保证据的合法性、有效性(要注明该份证据的出处、提取日期、犯罪嫌疑人签字确认等)。
2、鉴定结论。对网络犯罪案件的涉案数额(包括非法经营数额、违法所得数额等等),对于证实涉案数额的交易明细、交易记录等证据不明确的,应当委托有相关资质的会计师事务所等进行对涉案数额的审计报告。此时审计报告的性质应属鉴定结论。
3、视听资料。制作远程勘验工作记录过程中形成的勘验过程的录像、制作电子证物检查工作笔录过程中形成的光盘应当同时附案移送,作为视听资料予以审查并举证示证。
4、证人证言。网络犯罪案件中,由于无真实姓名、地域分散等原因,证人证言获取难度大。在此种情况下,还是应该通过网站后台账户、IP地址查询等方式,获取尽量多的证人证言,以期更好地构建犯罪构成要件体系。若最终追查无果,则需侦查机关出具证明。
5、犯罪嫌疑人供述和辩解。(1)由于网络犯罪涉及资金来往的次数、人数往往较多,有时犯罪嫌疑人记忆模糊或者存在侥幸心理,这使得涉案数额往往不能有效地确定。所以,要注意犯罪嫌疑人对于涉案数额、违法所得数额的前后供述一致性,同时注意与支付宝、财付通、网上银行等资金通道的支付明细、交易记录的一致性(可结合审计报告进行综合认定)。
(2)关注涉案数额性质的问题,在网络犯罪中是一个易出问题的环节。原因是除了犯罪嫌疑人供述和辩解、相关证人证人之外,难以再有其他证据证实涉案数额的违法性。基于此,要将犯罪嫌疑人供述这一关键证据固定好。具体而言,需做到:具体数额的准确、前后数额的一致、办案程序的合法。
四、电子证据收集中应注意的问题
(一)充分认识电子证据的范围。在网络犯罪案件中,大量的证据表现为电子数据形式,但目前有关司法解释及规范性文件对电子数据的收集、保全和采信缺乏规定,导致有的电子证据收集、保全不规范或者难以被采信。笔者认为,应当对作为刑事证据予以提取、复制、固定的电子证据的范围予以明确。具体应该包括能够证明网络犯罪案件真实情况的网站页面、上网记录、电子邮件、电子合同、电子交易记录、电子账册等。
(二)注重电子证据提取程序的合法化。侦查人员应当对提取、复制、固定电子数据的过程制作相关文字说明,记录案由、对象、内容以及提取、复制、固定的时间、地点、方法,电子数据的规格、类别、文件格式等,并由提取、复制、固定电子数据的制作人、电子数据的持有人签名或者盖章。基于网络犯罪中的特殊性,对于网站存在于境外,不存在电子数据持有人签名的可能性,或者有的网站留存数据时间很短,多数数据是在抓捕犯罪嫌疑人之前通过远程勘验提前固定的,不存在犯罪嫌疑人签名的可能性。对于以上情形,应当由能够证明提取、复制、固定过程的见证人签名或者盖章,记录有关情况。
(三)加强对电子证据的保全。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的,因此,在收集电子证据的过程中一定要保证原始数据不受任何破坏,在任何情况下,都应注意:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。
*河南省荥阳市人民检察院[450100]
**河南省郑州市人民检察院[450000]