■ 黄 成，孔 尧

（北京市朝阳区人民检察院，北京 100025）

一、危害计算机信息系统安全犯罪中的技术手段认定

计算机系统已成为当今社会必不可少的重要组成部分，其运行的安全性、功能性、稳定性，不仅关系使用或运营系统的私主体利益，一旦遭恶意行为干扰还可能在更大范围内对社会秩序造成影响。由于此类案件直接涉及对电子数据的改变或干预，电子证据这种证据形式与之产生了天然的关联性。“关联性是电子证据运用的标准之一。只有对案件事实的证明能产生一定的实质性影响，电子证据才被允许用于司法证明。”[1]正是因为与案件事实证明密切相关，关于电子数据的证据成为证明此类案件事实的重要依仗（在此要明确：“电子证据不同于电子数据;电子证据是证据的一个种类,而电子数据只是一种电子形式的材料。”[2]当然，在法定证据形式内，作为证据的电子数据必然就是电子证据）。诸多事实要素中，有两类事实的证明尤其重要：一是损害结果与嫌疑人之间的关系性，即基于何种数据特征，可以认定特定人员要为损害结果的发生负责；二是制造干扰的“技术手段”本身在刑法视角下的性质认定，即该行为对应了刑法第二百八十五条、第二百八十六条或其他法条中的哪一种具体罪名。正是基于这种关联性，对电子数据的获取和审查成为了办理此类案件中的必备环节。

然而电子数据拥有的极高科学技术含量，使之很难通过常规手段进行内容审查，如不具备专门知识、专门设备，几乎不可能对这些电子证据的可采性做出检验[3]。因此，包括涉及危害计算机系统安全案件中的技术手段辨认在内，对电子数据内容的分析研判，一般来说属于诉讼程序中“专门性问题”之列——对此类问题的回应，需凭借科学知识、专业技能、专门领域的工作经验等专门知识，几乎不可能由法官、检察官、侦查人员等凭常识性、日常生活经验作出自行判断[4]，相关规范也由此设置了多种途径来引入这些辅助支持。然而从学界及司法界对待电子证据的一般观点来看，涉电子数据的证据一般而言被认定为具有“易失真”属性，相比于传统书证、物证来说更容易被修改，“眼见不一定为实”[5]。这种易变性长期以来是电子证据使用中的关注和防范焦点，基于这一考虑，针对电子证据设置的鉴定项目和法定证据收集程序一直以来都将重心主要放在了对其证据真实性、合法性的保障上。针对电子证据可以开展的鉴定活动类型在规范上已有明确规定列明范围，当前主要见于《人民检察院电子证据鉴定程序规则（试行）》（以下简称《电子证据鉴定规则》）中，针对电子证据的鉴定在类型上主要集中于电子证据取证环节的专门辅助，以及对电子证据真实性的审查辅助上，唯一可能涉及证据关联性方面的鉴定项目是在第（五）项列出的“计算机程序功能及系统状况的认定”，而这并非针对技术手段的直接鉴定。出台于2016年的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》）作为相关领域内最主要的适用规范，重点也放在了电子数据证据采集、保存等取证过程中的真实性保障问题上；就涉及到电子数据专门性问题难以认定等涉及关联性的方面，规定在第十七条、第二十七条分别设置了“专门性问题报告”以及“有专门知识的人出庭”这两种解决方案，在第十九条还规定：“对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据，应当附电子数据属性、功能等情况的说明”。但相较于其他内容，此处几条规定仍然较为概括和简略，致使相关说明、鉴定在实务中即使出具，也常常在内容上不能帮助审理者对技术手段形成清楚理解。

综上来看，针对电子数据出具鉴定看似是刑事诉讼中的常态，但当前这些针对电子数据或者电子证据做出的鉴定等专门知识辅助工作，更多还是集中在取证和分析程序中的真实性保障上，力图确保此类证据具有基本的证据采信资格。至于直接针对计算机程序的专门性说明，对鉴定机关的资质、级别有特定要求，在实践中也一般耗时较长，若仅依赖此类证据证明事实，办案时间将为此大幅拖延，审理效率随之降低。总体来说，体现在电子证据中的犯罪技术手段尚未被广泛视为一种需要专项鉴定或其他形式专门知识辅助来支持认定的事项，实务中经常无法及时有效地让辅助审查措施跟进案件审理，或是无法提供能够起到实质性辅助作用的支持；在现已被规范承认的专门性问题辅助途径中，也还缺少一些能够与办案实践相结合的具体规范指引。

二、案例分析：电子证据专门辅助对技术手段认定的必要性

对于危害计算机系统安全犯罪来说，技术手段的类型是其犯罪构成要件的一部分，对其条文内容的理解必须与计算机网络领域密切结合。同时，现有的多种危害计算机系统安全罪名在要件设置上对行为类型有极为细致的要求，单从危害后果来看其实难以反映出行为人到底实施了什么技术手段：即使能从违法情节方面确证当事人从中非法获利，或者其行为已经影响到了多台计算机、多组计算机数据，对电子数据内容本身开展专业化认定仍旧是无法绕过的关键待证环节。随着网络服务市场不断扩展、各类型应用程序不断普及，一些通过干预计算机网络允许来牟利的非典型、新型计算机危害行为开始被纳入到刑法入罪打击的范围中，对技术手段的证明需求在这些案件中更是尤显重要。

对于这类案件具体在何处体现出非典型性和疑难性，在此试举出一个发生于实务中的实际案例来分析展示。该案被害单位北京某某网络公司开发并运营了一款交友软件，免费提供下载使用，但就特定高级功能需用户付费购买VIP后才能解锁。行为人郭某利用特定技术手段制作了一款“破解助手”程序，用户安装该程序并按一定方式操作后，前述交友软件中必须付费使用的VIP功能就会被强制“解锁”，使用户可以不付费使用其功能。郭某自身以远低于公司收费的价格出售该程序，给网络公司造成可得利益方面的损失。在此案中，郭某开发并提供“破解程序”来帮助其他用户免费使用运营商软件，其行为应当如何定义实际是值得讨论的。虽然被害公司确实蒙受了相当损失，但郭某所开发的软件程序数据大小经比对远远小于原软件，认定其非法复制发行他人软件代码依据不足，只能从危害计算机系统安全方面寻求制裁。随软件功能付费服务在目前的网络服务市场中推广开来，类似郭某的“破解”行为涉及刑事犯罪已非孤例，与之性质相似的行为还有破解付费视频网站后对仅供会员观看内容盗播、破解知名下载软件的加速及存储服务等。此种行为实际上与多年来受到打击的“游戏外挂”行为有极大的相似之处，“以特定手段‘突破技术保护措施’，是包括外挂程序在内的此类破解行为之本质属性”[6]，或者说共同特征。然而，“突破技术保护措施”本身并不是构成侵入行为或非法控制行为的完整要件，同样是所谓对“技术保护”的突破，在原理层面上可能是完全不同的行为。在郭某一案中，整个破解行为涉及到的运作范围包括“破解助手”程序、用户手中的客户端软件以及由网络公司把控的软件服务器，在不对整个数据流程做出全面分析的情况下，郭某实现其破解软件功能的目的，不能排除也同样不能肯定的破解运作模式至少包括：（1）破解助手直接修改了本地客户端软件数据，使用户可以免费使用所有功能；（2）破解助手侵入到网络公司服务器中，对其服务器内的数据进行了盗取、甚至修改，造成客户端受到服务器错误反馈，解锁免费功能；（3）破解助手修改了客户端与服务器之间的数据往来，伪造了“用户已付费”的数据内容，造成服务器出现错误反馈。以上几种行为都能够实现突破软件公司技术保护的目的，但是法律评价会存在本质差别。示例（1）的行为从危害计算机信息系统安全角度看可能不涉及犯罪，因为用户作为掌握客户端的权利人在一般观念下当然可以修改自己的计算机系统；示例（2）中的行为当然无疑构成非法控制计算机系统、非法获取数据，但示例（3）之行为就无法评价为“非法控制”，因为采取一定办法使服务器“上当受骗”无非是一种作弊，不能认为是对系统的非法控制[6]。对此至多能评价为破坏计算机信息系统罪。尤其需要指出的是若总结案例经验及基本的计算机技术原理，基于可行性及成本等因素考虑，上述方案示例（3）一般而言是行为人最有可能采取的手段，但这种盖然的推断在刑事事实认定中毕竟无法取代对合理怀疑的排除，而即使是出于精准量刑的考量，也不能在缺少真正详细分析的前提下径直做出判断。

对于郭某作案使用的“破解助手”程序本身，采取委托鉴定的方式寻求专业辅助在规范而言可行，不过在此类针对计算机网络实施的犯罪中，仅针对作案者所用“程序”这一个环节进行鉴定式分析，仍可能在证据关联性的审查上存在遗漏之嫌。在这种涉及网络运营的危害计算机信息系统犯罪中，软件程序本身在整个计算机危害行为中只是其技术环节的一部分，是技术行为整体事件的一个环节，对环节的认定当然不能代替整体。在运营方控制下的服务器系统状况及其他一些电子数据，作为危害计算机行为发生其危害结果的终端同样需要得到专门性审查。这种全面性审查的必要同样可以实务案件为例。在某涉嫌非法获取个人信息案件中，行为人通过某种方式获取到了某企业系统内部不对外公开的员工个人信息，涉嫌非法获取计算机信息系统数据罪。然而经调查发现，该被害公司计算机系统在信息管控中存有严重漏洞，外部人员通过访问其他门户，可以直接且公开获取上述内部员工信息。虽然行为人通过技术刺探方式获取数据的行为可得初步确认，被害公司内部信息也确实发生泄露现象，但此类管理漏洞的存在，足以对是否存在“侵入”情节的认定产生重要影响。从《危害计算机信息案件解释》的定义来看，“侵入”指的是突破或绕开技术保护措施；因此如果无法证明对保护措施的干扰，即使对方采取了某种技术行为，也不能通过数据泄露的结果推断其行为构成此罪。具有开放性的客户前端，与强调私密性并且在安全性上具有极高要求的服务器端，在专门技术领域的区别就如“户外”与“户内”，不能混同起来[7]。

要对这种辩护意见提出反驳，有效方案便是由受害公司出面，提供其服务器数据内能反映其计算机系统运行状况的电子数据，彻底确认对方实施的干预是否确实进入到了公司私密服务器中。而从最大程度查明事实情况的调查追求来看，也有从被害方手中获得最原始数据资料以求全面还原整个技术行为过程的必要性。电子证据作为一种证据形式总是整体系统中的一个部分，其“产生、出现、变化等都不是孤立的，而是系统性的”[8]。因此，侵害行为无论是以何种形式出现，在其原始发生的计算机系统中，多多少少会留下关联痕迹数据，诸如服务器日志是记录服务器中硬件、软件和系统问题的信息，可以借此监视系统中发生的事件，从中了解到服务器运行状况，并找到非法入侵行为留下的蛛丝马迹，以此佐证系统遭受未授权访问或是数据遭到删改的事实[9]。常理而言，在危害计算机信息系统的案件中受到侵害的被害方是最易察觉危害发生、最能接触和保全原始电子数据以及最有意愿在诉讼中提供电子证据的参与人。这些被害人或者被害单位察觉到危害行为发生的过程和缘由，本身也能在一定程度上反映出犯罪实施的手法，尤其是危害后果并不立即显著的非法获取数据、非法入侵行为，对案件事实的查明可能发挥重要作用。相对于正规的鉴定意见来说，这种由被害一方提供的技术性说明决不能取而代之，但依然能够与鉴定意见一并发挥有效的证据补充功能：此类说明在出具上一般更为快捷，能够帮助司法机关在刑事诉讼审查阶段内及时高效地把握涉案行为的大致判断方向，或是形成初步的认定论断。此外，这种说明和数据提供本身也能为案件取证提供正规方向的指引，有助于在委托鉴定时更有针对性地确认需要查明的技术细节。

三、完善审查方式的方向：探索更多元的专门知识辅助审查

基于“术业有专攻”的学科领域常态，我国立法虽未明示，但确实确立了“诉讼中专门性问题由具有专门知识的人来解决”这一基本原则[4]。在知识专业性本就高于其他证据形式的电子证据中，关于危害计算机系统犯罪的电子证据对专门知识有尤为突出的依赖。就此类专门性问题的解决需求，《电子数据规定》等相关规范其实已经确立有多种寻求协助的途径和专门程序来予以满足。然而通过前文所举出的实务示例可以看出，在当前对危害计算机信息系统案件的办理过程中，技术手段说明等专门性问题并不是欠缺寻求帮助的途径，更主要的是途径在落实细化层面上尚有欠缺之处。除了最常应用的鉴定意见可能实际作为证据参与案件事实证明，其余在规范上本可以动用的辅助手段常常被束之高阁。面对同时存在的多种辅助途径，需要做到的是结合案件审理之需要，对各类型辅助途径做出有可行性和效率的改进和指引。

在针对专门性问题的各类型辅助途径中，鉴定意见是最为常用、也最能得到司法实务认可的方法，《电子证据规定》也在第十七条规定了“专门性问题报告”制度——这种报告不是传统意义上鉴定机构出具的“鉴定意见”，可以认为是一种能够突破鉴定意见范围限制、更具变通和灵活性的专门性说明。然而在目前对危害计算机案件的处理过程中，单纯依赖鉴定意见（或特定机构出具的报告），对审查技术性专门问题尚存在一定局限性。首先，鉴定机构针对电子证据做出鉴定，不能在法定鉴定事项外出具鉴定意见，否则将有违反鉴定程序规范、导致证据失格之虞；而能够对计算机技术手段的内容做出辨认的鉴定类型，目前看来只有“计算机程序和系统状况”这一项。这种鉴定在识别非法侵入、控制类程序工具，以及计算机病毒等破坏性程序上较为有效，但随计算机技术在网络互动中的复杂化，仅仅针对作案程序自身的鉴定已开始出现证明力度不足、不能清楚认定涉案事实的情况。如果仅仅扩大鉴定项目包含的范围，而不为其做出详细的委托指引，将无疑对鉴定机构带来巨大的工作压力。鉴定机构依仗的专业知识有其限度，对提出的鉴定需求过于空泛的，鉴定机构一般也会以无法判断为由拒绝接纳这种鉴定请求[10]。同时，对于涉及计算机台数、数据量较大的案件，全部纳入鉴定委托范围，必将会耗费巨大的时间和精力。而如果考虑以“专门性问题报告”的形式来出具说明，虽然能够突破法定鉴定范围局限，但同样需要经指定授权的专门机构来进行，在能够制作的主体上依然受到较大限制；普通鉴定在时间、技术方面会遇到的问题，并不能通过这类限制主体的专门报告来规避。总而言之，在这诸多客观因素的作用下，办案委托鉴定的需求与鉴定能力的承载量之间长期处于供不应求的关系中，需要鉴定机构满负荷工作。凡涉计算机、网络案件即提出实质化审查电子证据的委托要求，仅仅依赖这一两种途径为案件审查寻求专门辅助，在效率上与刑事司法机关尽快实现“案结事了”的应然服务目标必然相悖。

化解技术手段审查问题需要另寻他路，对此可以考虑的一个落脚点是《电子证据规定》第十九条中的明确规定：对无法直接展示的计算机程序等电子数据，应当附有对电子数据属性、功能等情况的说明。这里的说明并不一定是一种鉴定意见，虽然在证据效力上可能会有所偏弱，但因此带来的极大的灵活性，使其可以被用于一种高效引入专门知识辅助的法定途径。而要使附属说明发挥更有力的解释功效，可以考虑引入更多元的专门性知识人员作为说明主体；前文已经论及，对于危害计算机信息系统案件来说，由被害人或被害单位设法提供数据、出具被害情况说明，在案件办理和审查中是具有多种实践性优势的做法，因此在针对危害计算机信息系统犯罪的侦查和审理过程中，可以考虑常态化地与被害单位加强沟通引导，由被害方提供系统电子数据作为客观证据的同时，对其指控受到侵害的数据依据做出说明解释。

向被害方寻求对电子数据类证据的内容说明，不仅在相关数据提取环节可以期待其保持配合，在证据反映事实的关联性上也有其优势。被害方作为侵害过程的第一手经历者，能够对案件事实提供最直接和相对全面的供述。同时，危害计算机系统犯罪的常见受害主体为组织机构，很多时候有能力对自身计算机系统的受害情况给出有专门知识背景的意见。当然这种由被害一方出具的“说明”，从法定证据类型上看一般应当归于普通书证或被害陈述，且在证据效力上必然具有利害相关带来的主观性局限，作为独立证据的真实性并不完全可靠。但在有经依法提取固定的电子数据证据从旁佐证的情况下，可以通过证据间的相互印证来强化证明效力。此外，这种被害方提供的说明可用作开展真正专门辅助审查的针对性基础材料，审理机关可以直接寻求有规范资格的专门知识人员，对此种说明材料的真实性、准确性发表意见。也可以以此为据，有针对性地整理出待验证内容，更为具体、全面地委托鉴定机构做出鉴定。相比于完全脱离辅助审查而彻底放弃事实认定，或是在繁多涉案数据中直接开始“大海捞针”式审查，这当然是更为可取的办案方法。

四、总结

随着互联网技术和智能手机普及及相关产业的不断发展，危害计算机信息系统安全犯罪不仅会在数量上有所增加，其犯罪过程中涉及的作案手法，即“技术手段”也会日趋复杂多变。针对电子证据这种特殊的证据形式，当前规范及鉴定实践上主要关注其作为证据真实性、合法性的侧面，但对于危害计算机信息系统犯罪，仍需明确其技术手段的详细本质，而相关诉讼程序实践还存在无法有针对性提供专门知识辅助、效率不高等疑难问题。有鉴于此，要加强对危害计算机信息系统安全案件中电子证据的审查，势必需要加强专门知识说明的辅助作用。由于《电子数据规定》已经提出了对此类数据类证据应当附有说明的程序要求，办案机关除了委托鉴定、寻求专门知识人员参与辅助办案之外，还可以扩展更多元的专门知识辅助途径，包括更常态化地引入来自被害人、被害单位一方的情况说明，以此更有针对性地审查电子证据、清楚辨认危害计算机信息系统犯罪中采用的技术手段。