网络犯罪案件中电子数据的取证、审查难点及对策思考
2016-02-12解永照
□陈 廷,解永照
(1.中央军委政法委员会侦察技术中心,北京 100081)(2.山东警察学院,山东济南 250014)
○法学研究
网络犯罪案件中电子数据的取证、审查难点及对策思考
□陈廷1,解永照2
(1.中央军委政法委员会侦察技术中心,北京100081)
(2.山东警察学院,山东济南250014)
摘要:近年来网络犯罪频发,电子数据作为认定网络犯罪案件事实的主要证据形式,对于网络犯罪案件侦破的作用日益突显。相对于传统证据而言,电子数据的取证、审查和证据规则存在较大的差异。以网络犯罪案件中电子数据的运用与司法实践为着眼点,针对电子数据取证、审查过程中存在的难点问题进行分析,探究完善电子数据的规则和标准。
关键词:网络犯罪;电子数据;取证;审查
随着电子信息技术和互联网技术的飞速发展,特别是移动终端和移动互联网的普及应用,网络诈骗、盗窃、赌博、危害计算机系统等网络犯罪活动已经成为当前新型犯罪的主要形式,造成人民群众巨大的财产损失,严重危害互联网秩序,对国家的“互联网+”和全民创新、万众创业战略带来了不小的困扰。这些犯罪活动的线索或证据不再以传统物证的方式而是以电子数据的形式存在,侦破这类案件高度依赖获取记录犯罪活动痕迹的电子数据。从办案实践来看,由于网络犯罪的隐蔽性、智能性、跨地域性等特征,以及我国现行法律法规不够完善,大大增加了电子数据收集、审查工作的难度。为有效惩处网络犯罪行为,有必要对电子数据的取证、审查判断问题进行深入探讨。
一、网络犯罪案件中电子数据的取证难点
证据收集是案件侦破的首要环节,对于网络犯罪的打击预防起着至关重要的作用。作为典型的网络犯罪案件,网络DDoS攻击案件和网络电信诈骗案件较为明显地体现了网络犯罪的虚拟性、开放性等特点,反映了网络犯罪在刑法上的复杂样态,侦查机关在查办此类案件遇到的取证困境应该说是比较有代表性的。下面以两类案件为例,对网络犯罪案件取证难点进行分析。
(一)电子数据隐蔽性强,发现线索难。平时,电子数据中能够被人们直接感知到的只是很少一部分,大部分的电子数据信息处于隐藏状态或在后台运行,这些信息只能在程序运行或测试中才能体现出来,有些数据必须通过产生它们的软件才能转化为可以认识的形式,还有些电子数据运用加密、病毒、嵌入技术进行隐藏,利用常规检测方法很难发现。以DDoS攻击为例,据统计,当前大约50%的在线游戏公司和70%的商业公司遭受过攻击;政府部门的情况更为严重,80%都曾受过DDoS攻击。①但由于很难发现这些问题的线索,非法入侵、非法获取或非法控制计算机系统数据这样的犯罪行为难以受到全面打击,实际上真正进入侦查视野的案件比较少。
(二)电子数据极易灭失,固定证据难。电子数据自身稳定性不足,通过各种介质进行存储、传输或者使用过程中受到干扰、破坏,极易发生信息扭曲乃至灭失。一方面,不法分子只需具备一定的网络知识,按下一个删除键就可以将文件删除,点击两三下鼠标就能格式化电脑和存储介质,对罪证进行销毁;另一方面,网络犯罪从实施至案发通常有较长的间隔时间,除非侦查机关在侦查前期已有意识地固定了相关证据,否则案发后大量电子数据极有可能随着时间的流逝而灭失,从而丧失取证的可能性。在很多DDoS攻击案件中,由于犯罪分子较高的计算机应用水平和反侦查意识,以及电子数据的脆弱性、时效性,公安机关很难及时收集相关数据,大量的侵入修改行为、多层服务器代理痕迹等电子数据,或被犯罪分子清除、销毁、更改,或被其他海量信息淹没覆盖,导致证据丢失。
(三)电子数据海量巨大,全面排查难。互联网是一个开放的虚拟空间,违法犯罪实施简便、成本低廉,不法行为无时无刻不在进行,受害人为数众多且分散,往往一起案件中被攻击的网站和受害人就有成千上万。司法实践中,网络案件一般以事主报案为起点,证据认定标准要求事主与每个嫌疑人一一对应;嫌疑人、被害人及涉案金额需要逐一查证。在DDoS攻击案件中,由于攻击需要发起大量的数据流量,操控者经常利用相关软件集合起几十万甚至是数百万台的个人电脑作为“肉鸡”去攻击目标服务器。据CNCERT抽样监测,2015年发现有10.5万余个木马和僵尸网络控制端,控制了我国境内1978万余台主机。②这种情况下,侦查机关若要对所有发起攻击的个人电脑进行开机查证电子数据情况,可以想象将是一个浩大繁重而几乎无法完成的任务。
(四)电子数据匿名多变,身份认定难。网络犯罪是利用高科技进行的犯罪,不断革新的网络技术给犯罪分子提供了便利的伪装条件。作案分子经常注册多个虚拟身份实施犯罪,并随时变换身份进行隐匿,以逃避法律的处罚。由于整个犯罪过程都在网络等虚拟的电子空间中完成的,被害人与作案人很多情况下并不相识,甚至都没有现实的接触,导致被害人无法向侦查机关提供作案人真实、有效的信息,给作案人的身份锁定工作造成了巨大的困难。如在某个DDoS案件中,被告人郑某在被攻击的网站上共注册了30多个虚拟身份,其中还用18个身份证号码实名注册虚拟身份,给侦查工作带来了极大的困难。再比如,很多网络电信诈骗往往是多人实施多起犯罪,在团伙整体协同作案的基础上又有交叉作案、单独作案,作案手法相似,很多作案工具和角色具有可替代性,有的作案工具如服务器、IP地址频繁更新、更换,导致侦查此类案件过程中建立相关证据与具体行为人的关联性十分困难。
(五)电子数据跨地域性,异地取证难。由于互联网的无国界性,很多网络犯罪突破了国家、地域限制,利用控制世界各地电脑对他国目标实施犯罪。据英国《每日电讯报》报道,2011年上半年,美国联邦调查局曾破获一起全球性的计算机犯罪案件,该案的犯罪团伙控制全球200多万台计算机组成“僵尸网络”,远程发起大规模网络攻击,获取了一亿多美元的犯罪所得。③我国发生的DDoS攻击事件也呈现此类特点。据CNCERT抽样监测发现,2015年境外6.4万余个木马和僵尸网络控制端非法控制我国境内电脑,较2014年大幅增长51.8%,占全部控制端数量的61.2%,首次出现境外木马和僵尸网络控制端多于境内的现象。④在查处这些DDoS攻击案件时,面对大量的境外服务器或者部分“肉鸡”位于境外,侦查机关即便是不考虑法律管辖障碍,也根本没有足够的时间精力和经费进行调查。这两年查处的网络电信诈骗也带有明显跨国界特点。这类案件的犯罪团伙通常由台湾人组织策划,初期多将诈骗窝点设在马来西亚、菲律宾、泰国等东南亚国家,后来转移到肯尼亚、乌干达等非洲国家,转取赃款的窝点多设在中国大陆、台湾以及一些东南亚国家,改号平台设在上海、福建、广东等南方省份。在国际刑事司法协作尚不顺畅的背景下,网络诈骗的跨国性给该类犯罪的侦查打击工作带来了很大的难度。
二、网络犯罪案件中电子数据的审查难点
2012年修改的《刑事诉讼法》虽然明确了电子数据的法律地位,但司法实践中尚未形成成熟的电子数据适用经验和规则,这就客观上造成了各地电子数据审查标准的差异。侦查机关办案过程中如何贯彻证据的合法性、真实性、关联性要求,确保电子数据的唯一性和不可篡改性,以及电子数据的专业性内容如何让普通人理解,并能与其他证据相印证,成为必须认真研究和把握的问题。
(一)合法性问题。电子数据的合法性,是指电子证据的取证主体、证据形式及取证的方法、程序必须符合相关法律规范的要求。实际工作中,电子数据的合法性认定存在以下困难。
1.法定程序和方法方面。2014年两高和公安部联合出台了《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(下文简称《意见》),对网络犯罪案件的初查、跨地域取证、电子数据取证与审查等问题作出了规定,一定程度上解决了办理网络犯罪案件“无法可依”的问题。但《意见》对于“如何对计算机现场进行勘验”“如何对网络进行有效监听”“如何确定搜查范围”“如何对电子数据进行扣押”“如何对所取得的数据进行备份”等问题缺乏详细具体的规定,使得取证时无法确定是否符合法定程序和方法。
2.法定形式方面。我国采用提交原件、原物的举证规则,即物证提交原物、书证提交原件、证人要求出庭等,但电子数据具有虚拟性,其存在于介质之中,表现为连续的模拟式电子信号或离散状态的数字式数据,必须经过信息技术的处理和识别才能运用。既然要经过处理识别的过程,那就会产生如何判定数据原始性的问题。目前法律法规并未对如何保持数据原始性进行明确,这就使得侦查机关提供的数据经常会被质疑甚至不予认可。
3.隐私保护方面。证据的合法性要求证据必须有合法的来源。实践中,办理网络犯罪案件时,往往会涉及到大量的个人隐私数据,这些隐私信息应该得到法律保护,可是具体到侦查取证过程中究竟如何进行保护,目前暂无相应的法律规定。这也是司法工作中一个令人困扰的问题。⑤
(二)真实性问题。电子数据的真实性(又称客观性),是指用于证明案件事实的电子证据必须是客观、确凿、真实的,不能是虚构的或者伪造的。由于电子数据具有很高的科技含量,围绕电子数据真实性的审查一直是网络犯罪案件办理的一大重点和难点。
1.证据保护措施方面。目前主要是没有完整的校验、证据保管链等保护电子数据真实性的措施,使得审查电子数据真实性缺乏有效保证。如在周某挂黑链接案件中,侦查机关对涉案计算机设备、硬盘等进行取证时,仍以传统取证方式进行拍照、扣押以及制作扣押清单,未采取防篡改、写保护等措施;后期复制犯罪嫌疑人的电脑硬盘和移动硬盘时仅适用普通的电子勘验程序,未使用MD5进行校验以保证复制件与原始数据的一致性,以致检察机关对电子数据的真实性心存疑虑。
2.瑕疵证据排除方面。电子数据需要借助专业工具和设备进行提取固定,因而技术设备的性能和可靠性对于电子数据的真实性具有一定影响。一般来讲,当设备工具的性能或提取固定等环节的瑕疵程度足以影响到电子数据的真实性时,应考虑加以排除。比如,当工具损坏或取证方式严重失误导致计算机瘫痪或出现数据错误的,应当予以排除,但对于使用有瑕疵的软件或有缺陷的方法提取固定的电子数据,是必须一律予以排除,还是应当具体情况具体分析,尚需在实践中进行探索。
(三)关联性问题。电子数据的关联性,是指作为证据的事实必须与案件中的待证事实有客观的联系,能够证明案件中的有关待证事实。从电子数据进入司法实践之初,就由于其高技术特性致使出现证据关联性审查的困境。为解决电子数据涉及的专业性问题,美国FBI实验室于1984年就开始对电子数据鉴定进行研究。我国最高人民检察院、公安部也出台过电子数据鉴定的相关规则,但我国电子数据鉴定研究探索起步较晚,在司法实践中仍存在不少问题。比如,最高人民检察院《人民检察院电子证据鉴定程序规则(试行)》将电子证据鉴定定义为“对诉讼活动中涉及的电子证据进行检验鉴定,并作出意见的一项专门性技术活动”。该定义没能将鉴定和检验进行有效区分,对电子数据鉴定缺乏明确界定和详细规范,使得司法实践中很难把握“何时应该进行电子数据鉴定”“电子数据鉴定在认定案件事实中应该发挥着何种作用”等问题。
三、完善网络犯罪案件中电子数据审查认定的规则和标准
电子数据作为一种独立的证据类型,具有在审查认定标准与规则等方面加以特殊构建的必要性。为了更好地应对司法实践中日益增多的网络犯罪案件,应借鉴国际先进经验,特别要提炼借鉴两大法系电子数据法律中的经验做法,结合我国实际建立起严密、科学的电子数据审查认定规则和标准。
(一)合理适用证据规则。电子数据是一种新型的证据形式,是科学技术发展在证据领域的产物。其物理形式与采集手段的独特性对传统证据规则提出了挑战,如何在电子数据领域适用畅通的证据规则成为亟需解决的课题。这一点在电子数据的审查认定规则构建方面表现得尤为突出。笔者认为,从我国电子数据立法实践出发,参考国外电子数据认定规则,有必要重点研究适用三个规则,即最佳证据规则、非法证据排除规则以及传闻证据规则。
1.最佳证据规则。最佳证据规则针对的是所谓的原件问题。电子数据的原件是以数字编码形式存在的,在很多情况下是不可视听、不为人直接感知的,因而需要进行转化。电子数据一旦转化为可视听、可感知的形式显然就不是原件了,这就需要进行审查认证。原件问题在电子数据的审查认证中似乎显得不可克服。考察国外有关电子证据的立法和司法实践,笔者认为,最佳证据规则在电子数据的审查认证中应该根据电子数据的输入、存储、输出形式的特殊性而有所变通。如果过于强调电子数据的原件,就会使电子数据的证据资格以及证明力在诉讼过程中出现问题,从而证明力被极大削弱乃至被取消证据资格,损害电子数据作为新证据形式的法律地位。因而,最佳证据规则可以变通为载体的原始性,即不考虑电子数据的表现形式,只要其能够在原始载体中按照该原始载体的工作原理和操作程序直接展示出来,该电子数据就应该被视作原件。
2.非法证据排除规则。根据《刑事诉讼法》和“两个证据规定”⑥的非法证据排除的有关规定,非法证据排除规则对所有证据形式皆应适用,电子数据的取证、认证也不例外。但我国非法证据排除规则并不完善,适用水准不高,有待于继续充实,其中对于电子数据的直接规定付诸阙如。笔者认为,对于某些电子数据取证有瑕疵的,可通过补正或者说明的方式加以弥补,如未附搜查笔录、扣押清单而扣押的计算机里存储的电子数据。但对于违反法律程序比较明显或者存有违法故意而获取的电子数据,如未经法定程序或者执法程序存在较大瑕疵,擅自侵入他人计算机系统或者互联网络系统中获取的电子数据是否应当予以排除?权衡取与舍的利弊,笔者倾向于予以排除。
3.传闻证据排除规则。就电子数据而言,传闻一般是指所提出的电子数据并非采用电子设备本身自行产生的原始形式,而是经过了有关技术人员的转化和转述,以诊疗报告、纳税记录、销售记录等形式表现出来。总体而言,传闻证据规则在我国很大程度上被传来证据对冲掉了。因此,笔者认为在电子数据能够查证属实的情况下,按照我国法律对于传来证据的审查、认定要求,电子数据是否系传闻证据,这个问题不论在法理上还是事理上并不能最终影响电子数据的可采性。在我国证据学说中,更多关注的是直接证据和间接证据的划分。由于电子数据容易被伪造、篡改,再加上电子数据由于人为的原因或环境和技术条件的影响容易出错,不能单独、直接地证明待证事实,依我国学界的通常说法应属于间接证据的范畴。对间接证据来讲,司法机关最主要的工作应是如何审查判断电子数据的真实可靠,以及如何与其他证据结合起来认定案件事实。
(二)科学完善证据标准。按照传统刑事案件定罪量刑的证据要求来认定网络犯罪案件中的电子数据,不利于打击惩处网络违法犯罪。笔者建议,可根据电子数据新特点对相关标准进行完善。
1.司法机关通过司法解释的形式,专门明确网络犯罪案件证据标准,即达到何种程度才算满足证据确实充分的要求。网络犯罪形式多样、数量巨大,每一起案件都要像杀人案件那样排除一切合理怀疑是不现实的,只有明确网络犯罪案件的证据采集标准,才能指导侦查机关如何采集证据,采集哪些方面的证据,证据到了何种程度符合定罪要求。
2.证据体系上不能过分追查犯罪行为是否属于被告人发起。比如在网络攻击案件中,司法人员往往要求侦查机关证明攻击是由被告人发起的,但是从取证过程中发现,由于电子数据的易破坏性,要查清攻击来源是相当耗费司法资源且收效极其微小的任务。笔者认为需要搜集以下证据:一是被害人确实遭受到了网络攻击;二是被告人主观上有网络攻击的犯罪故意;三是被告人有找过技术黑客的行为,且有证据证实技术黑客曾在被害人受攻击的时间段内实施了网络攻击行为;四是被告人电脑中有用于黑客攻击的软件且在被害人受攻击的时间段内有攻击的记录。其中,第一、二项是必须具备的证据,这两项说明被告人有网络攻击的意图,且由于某种原因被害人事实上受到了攻击。第三、四项证据只需择一具备即可,该两项证据把被告人主观上的行为落实到了实际行动,不管被害人受害程度如何,至少证明被告人也是其中的参与分子,理应承担相应的刑事责任。举一个例子进行类比,一群人对一个被害人实施殴打,其中只有一名被告人抓获,只要这名被告人被证实有参与动手殴打的事实,不论被害人被鉴定的伤势是否属于该被告人直接造成,由于被告人和他人形成了共同伤害的犯罪故意和犯罪事实,因此一样能构成犯罪。同样,笔者认为不必要一味去追查被告人有无控制攻击服务器或攻击他人电脑,可以跳过追查攻击来源,从上述几项证据去认定被告人有攻击的行为,这既符合法律的规定,又能化解侦查机关取证困境和司法认定之间的矛盾。
(三)细化规范取证过程。借鉴国外电子数据司法运用的规则和经验,对我国电子数据取证过程进行具体规范,可将电子数据的形成划分成收集、检验、扣押、提交等四个层层递进且可追溯的不同阶段,侦查人员在取证全过程中建立完善的反查机制,全程详细记录,从而保证电子数据的客观、真实与完整。
1.电子数据的收集阶段。如果说传统证据的收集过程是“一步式”的,那么电子数据的收集过程至少应该是“两步式”的。由于电子数据特殊的虚拟性、脆弱性,取证过程的第一步应该进行现场保护,如封锁现场,进行人、机、物品之间的隔离,保证配电设备的正常运转,避免发生突然断电导致系统运行中各种电子数据损坏或者丢失,保护现场以及现场周围的各种电信终端设施,消除现场及周围强磁场对电子设备的干扰,移除可以产生强磁场的物品,避免各种磁介质被各种磁场消磁,等等;第二步才是真正意义上的勘验取证。
2.电子数据的检验分析阶段。应做到以下几点:一是保持电子数据的完整性,尽可能不直接对原始的电子数据进行检验分析。二是使用洁净的存储设备对原始的电子数据进行只读式精确复制,同时制作多个备份并进行校验,确保每个复制件均与原始数据一致。为了保证精准复制,应该采用镜像复制的方式。三是对电子数据进行检验分析的计算机系统、辅助软件系统和分析方法必须安全可信,侦查人员检验分析电子数据时应当使用经过核准、符合标准的计算机设备、软件和方法。四是应使用技术手段如时间戳、数字签名证等方法保证原始数据的完整性。
3.电子数据的扣押、保管、运输阶段。目前对于电子数据的扣押、保管、运输,尤其是对于电子数据的保管,在纯粹的技术领域已经形成了一套完整、正规、科学、有效的操作规程和技术程序。许多国家对电子数据的保管在立法和实务上形成了一套严格的操作锁链,即对电子数据在诉讼中涉及到的从发现、提取、保全、检验、使用直至提交法庭的各个环节,都实施了严格的反篡改、写保护措施,以确保电子数据不出现过程性改变。参考国外物证保管锁链之原则、政策和程序,应当从以下方面保证电子数据的真实性:一是严禁在收集、提取、传递、存储和分析过程中改变原始的电子数据,例如只能在电子数据的复制件上进行信息分析、对电子数据原件采取防篡改加密措施等;二是在收集、提取、传递、存储和分析电子数据的过程中要严格制作书面记录,记录的内容包括“收集了何种证据,在何处收集到的电子数据,在收集之前、存储之际和检验之后何人接触过电子数据,电子数据是如何被收集和存储的,电子数据在何时被收集”等;三是对电子数据的任何改变都要作出书面记录和解释,必要时应建立稽核程序;四是对有争议的电子数据进行完全复制;五是尽可能采取安全措施,如采取防干扰存储措施、写保护措施等;六是正确标注各个环节的时间、日期和来源;七是限制接触电子数据的人员,并进行记录,等等。⑦
4.电子数据的提交阶段。这一阶段的主要任务是根据检验分析结果制作电子数据鉴定书、勘验检查笔录及其他书面报告。在电子数据的检验分析结果作为证据提交时,可以通过哈希函数、数字签名等比对技术手段,确保所获取的电子数据复制件同原件在内容上具有一致性,切实消除电子数据真实性的疑虑。
注释:
①刘静:《江苏网安童瀛:80%政府部门曾遭受DDoS攻击》,电子信息产业网,http://www.cena.com.cn/2015-07/17/content_2853 01.htm,访问日期:2015年12月20日。
②④CNCERT:《2015年我国互联网网络安全态势综述》,国家互联网应急中心网,http://www.cert.org.cn/publish/main/46/2016/20160421153645275634722/20160421153645275634722_.html,访问日期:2016年04月25日。
③沈臻懿:《触目惊心的计算机犯罪》,《检察风云》2014年第2期。
⑤刘品新:《电子取证的法律规制》,《法学家》2010年第3期。
⑥2010年7月,最高人民法院、最高人民检察院、公安部、国家安全部和司法部联合制定了《关于办理死刑案件审查判断证据若干问题的规定》和《关于办理刑事案件排除非法证据若干问题的规定》,简称“两个证据规定”。
⑦杨爽:《论电子证据鉴定的法律规制》,《山东警察学院学报》2009年第5期。
(责任编辑:刘鹏)
中图分类号:D918
文献标识码:A
文章编号:1674-3040(2016)03-0031-05
收稿日期:2016-05-06
作者简介:陈廷,中央军委政法委员会工程师,法学博士,主要研究方向为侦察学;解永照,山东警察学院讲师,中国人民大学法学院博士研究生,主要研究方向为刑事诉讼法学。