信息网络犯罪证明的三重困境及破解路径
2022-04-16劳霈靖
劳霈靖
(华东政法大学,上海 200042)
随着“空间”的概念从自然向观念扩张,网络逐渐被赋予社会属性。公民、法人、其他组织通过信息技术在虚拟空间再次聚合,形成新的社会关系格局。在此背景下,传统犯罪加速向网络空间蔓延,新型网络犯罪又为传统犯罪提供环境条件与技术支持,由此形成网络黑灰产业链的恶性“生态圈”。[1]2021年,我国检察机关共起诉网络犯罪28.2万人,在刑事案件总量下降的背景下同比上升98.5%。①参见最高人民检察院工作报告——2022年3月8日在第十三届全国人民代表大会第五次会议上,载于https://www.spp.gov.cn/spp/gzbg/202203/t20220315_549267.shtml,2022年5月1日访问。网络犯罪已占犯罪总数的1/3,并以每年30%以上的速度增长。遏制网络犯罪的扩张已成为刑事法领域不可回避的问题,从立法与司法两个层面提升依法惩治网络犯罪的效能具有现实的紧迫性。
立法层面,网络社会的风险孕育了涉互联网犯罪立法的预防性特征。一方面,依“预备行为实行化”策略,《中华人民共和国刑法修正案(九)》(以下简称《刑法修正案(九)》)增设“非法利用信息网络犯罪活动罪”,将利用信息网络设立违法犯罪网站及发布违法犯罪信息、为实施违法犯罪活动发布信息的行为纳入刑法规制的范畴;另一方面,循“共犯行为正犯化”思路,《刑法修正案(九)》通过增设“帮助信息网络犯罪活动罪”,将所有利用信息网络实施的广义网络犯罪的帮助行为整体予以正犯化。然而,在网络犯罪刑法罪名体系扩张、逐渐编织起“严而不厉”的实体法网络的同时,理论及实践对司法层面,特别是网络犯罪司法证明领域却少有关注。司法实践中,网络犯罪证明存在三重困境:其一,罪量要素的证明困境。信息网络下游犯罪中“数额”“情节”等要素在大数据领域呈现出海量化的特点,而传统“定性+定量”模式所采用的精确计量已难以适应数据海量化下罪量要素的证明需求。如何简化证明手段完成海量罪量要素的证明成为现实的难题。其二,被追诉人身份的证明困境。网络犯罪横跨虚拟和现实两个空间,实践中往往将注意力集中于追查涉案计算机,而就如何证明被追诉人系犯罪时涉案计算机的实际使用者则易被忽视。不同于传统犯罪“由痕迹到犯罪人”的证明路径,网络虚拟空间成为犯罪人“人身同一性”证明的天然屏障。实践中搭建“涉案计算机—计算机使用者(被追诉人)”通道的证据较为薄弱,案件证据链条易断裂,致使网络犯罪案件证明陷入困境。[2]48其三,主观要件的证明困境。随着犯罪行为人之间分工的细化,信息网络犯罪呈现出“多环节、多层次、上下游结合”的链条型结构。与传统犯罪多个主体之间互相“通谋”不同,隐藏在网络虚拟身份背后的行为人只需要微弱的意思甚至不需要意思联络就能客观上参与到犯罪当中,通过共犯陈述证明主观“明知”要件的难度增大。且在网络帮助行为的“中立”外观下,通过客观行为推导认定行为人主观“明知”也愈发困难。徒法不足以自行,忽视司法层面的证明困境有使得网络犯罪法条沦为“象征性立法”之虞。有鉴于此,本文以网络犯罪构成要件的证明困境作为逻辑起点,梳理司法实践中应对证明困境的理路及存在的问题,并尝试提出网络犯罪证明模式优化的路径构想。
一、信息网络犯罪证明困境的表征
(一)第一重困境:计量对象的海量化致使罪量要素证明困难
案例一:王某侵犯公民个人信息案。被告人王某利用二级密码登录某省工商行政管理一体化系统,使用爬虫软件抓取公民个人信息21万余条,并通过互联网交易等方式出售给他人。案件审理中,被告人及其辩护人对指控事实及罪名没有异议,但称其中一部分属于公开的企业工商信息,此外还有部分信息内容重复。同时,辩护人通过抽样实验指出特定样本数据量中,样本重复率达到4.5%。法院经审理认为,本案涉及个人信息数据过于庞大,对每条信息进行逐一甄别不具可行性。实验中辩护人随机选取数据,该样本具有代表意义,根据有利于被告人原则,可以按照辩护人所做实验记录的4.5%的重复率在总数中予以扣除,最终认定扣除后的信息数量约20万条。①参见辽宁省沈阳经济技术开发区人民法院(2018)辽0191刑初418号刑事判决书。
网络环境突破了传统信息收集、存储、传播的壁垒,极易引发信息数量的“失控”。在互联网“大数据”的背景下,网络犯罪计量对象呈现出海量化的特征。具体表现为:其一,犯罪对象的海量化,例如侵犯公民个人信息犯罪中,非法获取、出售或提供公民个人信息的数量动辄以百万、千万条计算;其二,被害主体的分散化,例如网络诈骗犯罪中,嫌疑人通过基站等设备向不特定的被害人发送海量诈骗信息;其三,危害结果的扩大化,例如网络诽谤案件中,诽谤信息被无数次查看、转载、评论。由于我国刑法采取“定性+定量”的立法模式,部分罪量要素不仅影响量刑档次,甚至决定入罪门槛,因此立法与司法实践往往要求对犯罪数额或数量予以精确计量。具体到网络犯罪的定罪量刑中,犯罪数额,发送信息数,获取、提供、出售的信息数,点击、浏览次数等均作为网络犯罪精确计数的要求在相关司法解释中有所体现。但实践语境下,计量对象的海量化使得罪量要素的精确证明陷入困境。上述案例中,被告人非法获取、销售公民个人信息数量的庞大致使传统“一一对应”的印证模式失灵。“印证证明”的关键在于获得多个相互支持的证据,“利用不同证据内含信息的同一性来证明待证事实”。[3]然而,网络环境虽聚集海量数据信息,但数据信息的来源却极为分散。想要通过追溯每一条数据来源实现证据间的相互印证绝非易事。
(二)第二重困境:犯罪场域的虚拟化致使身份同一认定困难
案例二:郑某、吕某网络盗窃案。被告人郑某、吕某通过IP地址为202.*.144.*的计算机终端侵入某公司在线充值系统,窃得系统内的游戏点卡后在淘宝网上低价出售。案件审理中,被告人吕某的辩护律师提出,控方举证只能证明IP地址为202.*.144.*的计算机终端为作案计算机,且被告人吕某曾使用该计算机,但并无证据证明具体犯罪行为与被告人之间存在必然联系。法院最终以只有吕某知道系统账号密码及吕某曾在IP客户端登录为由,认定吕某为犯罪主体。[2]51
相较于传统犯罪“从犯罪行为到行为人”的证明模式,网络犯罪因其发生在虚拟空间,侦查取证往往需要遵循“案件事实—涉案电子设备—行为人”的思路推进。在此过程中,取证范围必须横跨物理空间与虚拟空间。行为人通过电子设备进入网络领域,并在虚拟空间中对另一端的受害人实施犯罪行为。其中,电子设备作为用户与网络空间的媒介,成为阻隔行为人与犯罪行为的天然屏障,也对网络犯罪人身份的同一性认定造成阻碍。同一性认定是认识活动的基本方法,源于物证鉴定中受检痕迹与样本同一性的比较,其目的在于根据对象的特征判断两次或多次出现的客体是否属于同一客体。[4]痕迹作为客观行为的“反映”,是同一性认定最直接的素材。在传统犯罪中,通过物理场域中勘验得到的指纹、脚印、DNA等可以直接指向特定行为人,身份的同一性认定阻碍较小。但在网络虚拟场域中,犯罪留下的电子痕迹只能指向特定的电子设备,而非直接指向行为人。因此,对身份的同一性认定还必须介入对物理空间中电子设备所反映行为人痕迹的勘验、鉴定,身份同一性认定也就更为困难。
(三)第三重困境:犯罪结构链条化致使主观“明知”证明困难
案例三:温某某帮助信息网络犯罪活动案。张某某依托某科技公司,建立“六合彩”类型的赌博网站。被告人温某某为其提供服务器租赁、托管服务等帮助。一审法院认为,被告人明知张某某等人开设赌博网站,仍为其提供服务器租赁、托管服务,其行为构成开设赌场罪,系帮助犯。二审中温某某及其辩护人称其主观并不知道张某某等人开设赌博网站,不具开设赌场的共同故意。二审法院认为,现有证据无法证明温某某有参与开设赌场的主观故意,但其在经营服务器租赁、托管业务时,明知他人利用信息网络实施犯罪仍提供帮助,其行为已构成帮助信息网络犯罪活动罪。①参见广东省潮州市中级人民法院(2016)粤51刑终154号刑事判决书。
所谓犯罪结构链条化,是指犯罪超越个体与团伙的组织界限,在行为人之间形成精细化的分工与协作。犯罪的各个环节相互衔接、环环相扣,而在不同层级之间又受到一定的隔离与阻断,由此形成“上游—中游—下游”的链条型结构。其“以虚拟网络空间为场所,以中立性技术为依靠,以谋取不正当利益为动机,以非犯罪技术或行为为表象,以实施犯罪行为为实质”。[5]在网络犯罪的链条结构中,下游犯罪实际上是传统犯罪在网络空间的蔓延,只是手段、方法、犯罪场域不同于传统犯罪,但并未超出传统犯罪的张力。相较而言,上游犯罪则更具隐蔽性,其以“技术中立”作为掩护,实际上对下游犯罪起到“加功”的效果。实践中,网络链条型犯罪一般是下游案发后回溯至中游、上游,而上游帮助行为一般具有“中立”的外观,具体表现为“开发赌博网站”“提供爬虫软件”“发布刷单诈骗信息”等多种形式。②参见福建省龙岩市中级人民法院(2019)闽08刑终357号刑事判决书;扬州经济技术开发区人民法院(2019)苏1091刑初157号刑事判决书;江苏省宿迁市中级人民法院(2018)苏13刑终203号刑事判决书。除认定行为客观上对下游犯罪具有帮助作用外,作为主观的构成要件要素,对行为人“明知”的认定还影响上游犯罪成立与否、构成上游犯罪抑或下游犯罪的帮助犯。问题在于,犯罪主观要件作为一种内部心理状态,本身需要通过客观行为推断。在链条化的网络犯罪结构中,每个阶段分工明确、各司其职,易形成一个闭环空间。如何判断行为人主观上是否对下游犯罪“明知”,面临现实的困境。
二、信息网络犯罪证明实践的反思
(一)罪量要素定量证明多元简化的陷阱
网络犯罪计量对象的海量化与司法资源的有限性决定了罪量要素的定量证明不可能采取传统“一事一证,供证合一”的精确计量模式。为解决网络犯罪罪量要素的证明困局,理论与实践逐渐探索出多元简化的证明方法,具体包含抽样取证、底线证明、综合认定等模式。然而,分析相关起诉文书、裁判文书不难发现,实践中简化证明的路径并非毫无瑕疵。
首先,抽样取证存在样本代表性不足,同质性欠缺的问题。刑事诉讼中的抽样取证,是指办案人员依据科学方法,从海量证据中提取具有代表性的样本,并据此证明该类证据整体属性的证明方法。[6]与传统的提取所有证据证明待证事实不同,抽样取证仅提取部分样本以达“见微知著”的目的,因此抽样结果如要反映案件之全面,必须依赖对样本代表性及同质性的确认。实践中,侦控方以少量样本论证对象整体属性的做法并非个例。例如,“指控被告人多次非法购买个人信息2万余条,用于出售获利……网安大队工作人员对涉案公民个人信息随机抽取15条,与公安全国人口信息一致”;③参见北京市顺义区人民法院(2014)顺刑初字第111号刑事判决书。“指控非法获取公民银行卡信息330880条……侦查人员抽取农业银行卡号信息100条、建设银行卡号信息35条、民生银行卡号信息15条比对”。①参见湖北省宣恩县人民法院(2018)鄂2825刑初99号刑事判决书。此外,抽样所得证据的证明力来源于样本的代表性、同质性、抽样方法的科学性,其与事实认定所依赖的证据回溯有本质的差别。将抽样结果与犯罪构成要件或量刑升格标准的数量、金额等直接对应,有违反法治原则之嫌。
其次,底线证明的方式无法真正解决计量对象海量化的难题,因此在司法实践中效果不彰。为解决网络犯罪罪量要素海量化的证明难题,有学者提出底线证明的方法,即在罪量要素证明中,只需按照法定入罪与加重处罚两道“坎”,提供能用以定案的最基本的证据。至于在多大程度上超过了作为底线的数额或数量,则以概要性的证明和展示替代。[7]但若仔细推敲,会发现此种证明方法可能只是“看上去很美”。一方面,底线证明的方法忽视了我国网络经济类犯罪“小额多笔”的特点。例如,在“李某诈骗、破坏计算机信息系统案”中,被告人李某在论坛发帖,引诱他人安装木马程序致手机屏幕锁死,再以10至20元的价格帮他人解锁,从中牟利。②参见广东省惠州市惠阳区人民法院(2017)粤1303刑初506号刑事判决书。按照司法解释的规定,电信网络诈骗犯罪入罪门槛为3000元。即使按照每例20元的标准,办案机关也至少要在全国范围内找到150例犯罪事实及被告人并使得证据相印证才可定罪,遑论“3万元”“50万元”的加重处罚标准。另一方面,固守底线证明的方法存在放纵犯罪的危险。例如,在一起网络售假案中,某市警方对于平台提供的300万交易数据,认为缺少被害人口供及货物鉴定印证而不作为售假金额认定,而现有可供印证的金额又不足20万元的标准,遂对嫌疑人采取取保候审处理。[8]
最后,综合认定方法的规范内涵与运作机理尚待厘清,因而实践适用中存在诸多疑虑。对于网络犯罪综合认定的证明模式,有学者认为其是对印证模式的超越,③例如有学者指出,对于网络犯罪的定量因素,“客观数据不需要通过印证等方式核实,只要数据形成证据链条即可;而且,分析客观数据本身也可以直接得出结论”。参见高艳东:《网络犯罪定量证明标准的优化路径:从印证论到综合认定》,载《中国刑事法杂志》2019年第1期,第137页。也有学者主张综合认定仅仅是印证模式的下位概念,是对印证模式的展开而非背离。④例如有学者认为,“综合认定法”本质上仍是印证,是“通过部分犯罪事实中反映出的犯罪行为的时间、地点、方式等一系列细节,结合电子数据、勘验笔录、书证等证据,形成一整套犯罪轨迹,进而考察大部分案件事实能否被认定……案件完整证据链的形成仍然要依靠大量印证”。参见王彪、易志鑫:《刑事司法中“综合认定法”的解读与反思》,载《司法改革评论》2020年第2期,第308页。在规范层面,《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》中综合认定被害人人数及诈骗金额、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中个人信息数量的认定、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》中对被害人人数、被侵入计算机系统数及涉案资金等均确立了结合全案证据材料“综合认定”的证明思路,足见规则制定者对这一模式的青睐。但在具体案件的办理中,由于综合认定的模式无法消解事实认定偏离客观真实的疑虑,综合认定规则存在“弃用”甚至“虚置”的现象。[9]例如,在“吴某电信诈骗案”中,承办检察官认为除有被害人陈述能够印证的25万元外,认定其他数额存在被法院否定的风险,且现有数额已达到“数额巨大”的标准,因此未采取综合认定的方法,仅对能够认定的数额予以认定,约四分之三的犯罪事实未得到认定。⑤参见重庆市渝北区人民检察院渝北检刑诉(2019)1323号起诉书。
(二)身份同一性认定证据体系的脆弱性
“从涉案电子设备到行为人”的身份同一性证明,是“刺破”虚拟空间的屏障,实现对其背后自由意志者刑事归责的必要步骤。缺乏被追诉人与网络身份的同一性认定,所有有关犯罪事实的证据即使再充分也不过只能证明确有犯罪行为发生。因此,犯罪主体与被追诉人之间不具同一性往往成为网络犯罪辩护中,攻击控方证据链条的重要策略。为回应辩方就网络犯罪身份不具同一性的辩护意见,控方反驳或法院说理时一般会根据现有证据链条对被追诉人身份同一性展开论证。然而笔者发现,裁判文书所体现的网络犯罪身份同一性认定大多围绕被告人的有罪供述完成印证,对电子痕迹所客观反映的行为人特征、特征信息组合的规律性、同一性认定结论的排他性等言之甚少。例如,在“董某网络寻衅滋事案”中,法院认为“上诉人董某始终供述涉案网站系其本人撰写,网贴的内容、行文风格、使用网名与其供述相一致,网络虚拟身份与现实身份的同一性可以得到确认。”⑥参见山东省菏泽市(地区)中级人民法院(2016)鲁17刑终300号刑事裁定书。又如,在“张某某等电信网络诈骗案”中,检察机关认为“涉案笔记本电脑与手机中提取的Skype账户登录信息等电子数据与犯罪嫌疑人供述相互印证,能够确定犯罪嫌疑人的网络身份与现实身份具有一致性。”①参见北京市第二中级人民法院(2017)京02刑初53号刑事判决书。这种单一印证的后果是,据此建立起来的证据链条具有不稳定性与脆弱性。如果此类案件办理中被追诉人拒不认罪或临时翻供,原有的证据链条极易陷入崩溃。
(三)信息网络共同犯罪“明知”认定规范与实践的失调
从犯罪构成的角度出发,客观构成要件是故意的认识对象。行为人如果欠缺对客观构成要件要素的“明知”,也就不可能认识到自己的行为会发生特定的危害后果。[10]具体到网络共同犯罪中,确定帮助者主观上对实行者从事的下游犯罪行为“明知”的范围及程度,从而以具体犯罪的共犯抑或以帮助信息网络犯罪活动罪定罪处罚,是打击网络犯罪上游帮助行为的关键。从诉讼证明的角度,主观要件的证明仅有两条路径:一是依靠直接言词证据,即根据犯罪嫌疑人或被告人的供述辩解,认定其主观心理状态;二是通过间接证据证明及推定,即通过案件发生过程中的一系列客观事实对嫌疑人的心理状态进行回溯。[11]然而,在“流水线”化的网络共同犯罪结构下,一方面帮助者几乎都会提出“不知情”抗辩,即否认其知晓自己正在帮助网络犯罪下游从事犯罪行为;另一方面网络帮助行为的外观具有较强的中立性,因此区分中立业务行为与违法犯罪的分界点最终仍落脚于主观“明知”的判断。鉴于此,司法解释确立了较多推定规则,以弥合实践中对网络共犯“明知”证明存在的漏洞。有学者将这些规则区分为“片面共犯中明知的推定”与“共犯行为正犯化中明知的推定”,[12]前者依托具体罪名展开,例如“两高一部”《关于办理网络赌博犯罪案件适用法律若干问题的意见》第2条对“赌博网站”明知的推定;后者则是起到兜底与补充作用的“帮助信息网络犯罪活动罪”中对“他人利用信息网络实施犯罪”明知的推定,具体表现为“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条列举的7种情形。通过对相关案例的分析可以发现,网络共同犯罪“明知”的认定存在规范与实践、应然与实然间的失调。
首先,对于司法解释“明知”推定条款具体列举范围以外的案件事实,实践中存在“越过”间接证据综合认定,直接创建法外推定规则的做法,一定程度上可能造成事实推定的滥用。作为“替代证明的方法”,推定通过架构基础事实与推定事实间的逻辑或经验关系实现事实认定上的跳跃。推定一旦为法律所确定,即成为一种法律规则而具有普遍约束力。而那些尚未被法律所确定,却由法官作为逻辑法则或经验法则所运用的推定则属于事实推定的范畴。[13]相较于已为法律或司法解释明文规定的法律推定规则,事实推定是否独立存在,②有观点指出,事实推定独立于间接证据证明而客观存在。参见褚福明:《事实推定的客观存在及其正当性质疑》,载《中外法学》2010年第5期,第667-683页;也有观点认为,事实推定与间接证据证明并无差别,因而其在我国现行法律概念体系中并无存在的必要。参见孙远:《论事实推定》,载《证据科学》2013年第6期,第645-658页。是否具有合法性、正当性,其适用需遵循怎样的规范路径等,均处于不同程度的混乱状态,因此有学者将事实推定总结为“诱惑与困惑并存的司法活动”。[14]笔者无意涉足事实推定在理论层面诸多疑难问题的争论,仅尝试借此引出两点共识:其一,事实推定存在不当转移证明责任、背离合理怀疑证明标准、不当扩大法官自由裁量权的风险,因此事实推定的适用应当具有后置性,即只有在穷尽司法证明及法律推定手段仍无法完成事实认定时才可适用;其二,假设事实推定客观存在,具体适用时控方仍需证明基础事实的成立,且其构建的基础事实与推定事实之间必须具有常态化的联系。实践中,许多裁判文书仅在事实部分说明被告人“明知他人可能进行犯罪”,在司法解释列举的“推定明知”范围之外直接创建法外的事实推定规则。例如,在“段某、潘某帮助信息网络犯罪活动案”中,法院认为“被告人违反相关规定,为获取利益特意以自己或亲属名义办理多张银行卡供他人使用,应当明知开办的银行卡可能用于实施电信网络诈骗。”③参见河南省唐河县人民法院(2021)豫1328刑初255号刑事判决书。本案中,司法机关未说明被告人的行为符合哪一项具体的推定规则,也没有通过间接证据综合认定被告人确有“明知”,而是仅说明其“明知可能用于实施犯罪”。但“明知可能”和“明知”的程度显然存在差异,在被告人没有其他证据可以综合认定其主观“明知”的情形下,直接认定被追诉人主观上“明知”的妥当性存在探讨的空间。
其次,实践中将“应知”义务的证成替代“明知”推定有违罪刑法定的基本立场。所谓“应知”,从文义解释出发是指行为人“应当(去)知道”,但由于各种原因,其事实上可能“并不知道”。而根据《中华人民共和国刑法》第14条,故意的认识因素为“明知自己的行为会发生危害社会的结果”。相对应的,“疏忽大意的过失”系指行为人“应当预见自己的行为可能发生危害社会的结果”。因此,从某种意义上说,行为人“应知”义务的证成至多表明被追诉人主观可能存在过失。将“应知”纳入“明知”的范畴是将过失强行解释为故意,由此不当扩大了明知的认定范围。实践案例中,存在混淆“应知”与“明知”的界限,将“应知”义务的证成作为推定行为人“明知”手段的倾向。例如,在“罗某某、郭某某盗窃、帮助信息网络犯罪活动案”中,法院认为“帮助信息网络犯罪活动罪的明知,不仅包括主观上知道,而且包括主观上应当知道。被告人主观上应当知道所提供的银行卡有可能帮助信息网络犯罪,并放任这种结果发生,可以推定两人主观上明知。”①参见山东省青州市人民法院(2021)鲁0781刑初51号刑事判决书。司法实践中对“明知”的解读很大程度上可能是受到早期司法解释或法律文件的影响,例如1998年颁布的《关于依法查处盗窃、抢劫机动车案件的规定》第17条规定:“本规定所称的明知,是指知道或者应当知道。”然而,一方面,就规范性文件的位阶层级而言,司法解释及部门规章显然不能与法律相抵触;另一方面,自2003年《关于办理假冒伪劣烟草制品等刑事案件适用法律问题座谈会纪要》后,解释性文件再未出现“明知,即知道或应当知道”的相关表述。因此笔者认为,实践中以“办理银行卡签署承诺书,承诺不将银行卡出借”“《银行卡业务管理规范》明确银行卡仅供本人使用”证成行为人“应知”从而推定其“明知”的做法值得商榷。
三、信息网络犯罪证明路径的优化
(一)罪量要素定量证明的类型化构建
网络犯罪计量对象海量化的证明困境促使理论与实践探索出定量证明的多元简化方法。然而,试图通过其中某一种方法应对实践中所有的计量对象证明难题则不切实际。不同罪量要素定量证明简化方法诞生于不同的适用情境中,其最终目的仍是达到“事实清楚、证据确实充分”的证明标准。因此,引入类型化的思维,以实践中具体的案件类型为导向综合运用不同的简化证明方法,是解决罪量要素定量证明难题的可行方案。有鉴于此,笔者将具有计量对象海量化特征的网络犯罪划分为“印证对象少且易达到法定罪量”的案件与“印证对象多且难达法定罪量”的案件,前者宜适用底线证明模式,在保持现行证明标准不变的情况下降低证明难度;后者宜采综合认定模式,辅之抽样验证,在承认认知局限性的同时尽可能保证认定结论的准确性。
1.“印证对象少且易达罪量标准”的案件
印证证明,要求不同证据材料之间所含信息能够相互证明、彼此符合,共同指向待证事实,因此,孤证不立——单一的证据不成立印证。具体到网络犯罪罪量要素证明中,犯罪数额、情节应得到被告人口供、被害人陈述、证人证言、鉴定意见等证据的印证方可作为定案依据。对于印证对象少且能够完成印证证明的数额、情节易达到法定罪量标准的案件,司法实践中可采用“底线证明”的方式。举例来说,根据司法解释规定,利用电信网络技术手段实施诈骗,数额在3万元以上应当认定为“数额巨大”。在“王某、刘某诈骗案”中,② 参见辽宁省葫芦岛市中级人民法院(2018)辽14刑终125号刑事判决书。被告人利用伪基站大范围发送诈骗短信,致使部分被害人被骗。法院认为,虽无法查清全部被害人,但根据已知的5名被害人陈述、转账记录等可供印证的诈骗金额达到6.0079万元,已经超过3万元的标准,应按照“数额巨大”的标准予以处罚。本案中,需要印证证明的对象少且通过证据之间的印证易达到司法解释明确的罪量标准,通过底线证明的方式完全可以在不降低证明标准的前提下准确、便捷地完成案件罪量要素的证明。
2.“印证对象多且难达法定罪量”的案件
相较而言,对于印证对象多且能够完成印证证明的数额、情节难以达到法定罪量标准的案件,宜通过综合证明辅之以抽样验证的方式完成罪量要素的认定。传统印证证明模式注重证明的“外部性”而忽视“内省性”,外部检验标准的缺失将导致裁判者不敢或不愿据以作出判决,而网络犯罪海量数据显然超出了传统证明模式所能承受的范围。例如,在“袁某某等侵犯公民个人信息案”中,被告人通过软件批量扫描邮箱,获取他人邮箱账号及密码23亿余条。①参见安徽省利辛县人民法院(2016)皖1623刑初830号刑事判决书。在“黄某某等侵犯公民个人信息案”中,被告人通过爬虫程序读取Cookie并获取淘宝用户交易订单数据1亿余条。②参见浙江省杭州市余杭区(市)人民法院(2014)杭余刑初字第1231号刑事判决书。上述案件中,按照传统的证明模式,应确定每一位被害人,逐一核实每条个人信息,排除存在虚假、重复信息的可能性。即使按照底线证明的方法,也至少需要对构成入罪底线以及构成加重处罚底线个人信息逐一查实,其同样超出了司法证明的极限。对于此类案件,应首先考虑结合现有证据对罪量要素予以综合认定。
罪量要素“综合认定”的方法已在一些司法解释中“崭露头角”。例如,“两高一部”联合颁布的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》就明确:“办理电信网络诈骗案件,确因被害人人数众多等客观条件的限制,无法逐一收集被害人陈述的,可以结合已收集的被害人陈述,以及经查证属实的银行账户交易记录、第三方支付结算账户交易记录、通话记录、电子数据等证据,综合认定被害人人数及诈骗资金数额等犯罪事实。”在该种事实认定模式下,海量化计量对象的证明可以跳脱出待证事实“一事一查”“人证合一”的桎梏,以部分案件事实的充分证明结合证据间的逻辑规律,使裁判者对其余大部分案件事实形成内心确信。实践中,应厘清罪量要素综合认定模式的内涵与运作机理,防止事实认定者因存有疑虑导致综合认定的“弃用”。首先,综合认定不能等同于推定。综合认定建立在对大量间接证据综合研判的基础上,即使这些间接证据难以一一印证,但至少也应形成相对完整的证据链条足以使法官产生内心确信。相较而言,推定对于基础事实的证明需要达到“事实清楚、证据确实充分”的标准,但其不需要在此之外构建完整的逻辑链条。因为随着基础事实的证明,推定事实已经自动成立。其次,综合认定强调以论证结构替代单向的证据推论,注重证据的“内省性”而降低对证据“外部性”的要求。综合认定模式下,单一的电子数据若经过真实性、完整性的检验与论证,完全可以成为综合认定罪量的依据之一。例如,在某起网络售假案中,被告人辩称认定的犯罪数额中存在“刷单”交易的情形但无法提供相关证据。对此,法院完全可以通过分析买家IP、销售时间、来款账号、空包快递记录等判断是否存在刷单及对应的款项。此外,为保障综合认定结果的准确性及可接受性,实践中可以通过抽样取证的方式对综合认定的结果予以验证。值得注意的是,抽样取证结果的正当性来源于抽取样本的代表性、同质性、抽样方法的科学性等诸多因素,应严格限定抽样的实施主体,制定相应的抽样取证规范,保障抽样结果的正当性与合理性。
(二)基于数据挖掘的同一性认定作为补强
“虚拟空间就如同物理空间一样,亦存在反映客体特征的痕迹。”[15]所谓数据挖掘,系指根据现有的数据特征,从海量电子痕迹中识别、分析并挖掘出具有相关性、可能有价值的信息。[16]数据挖掘常见于商业领域,如网购平台或商家通过对用户性别、年龄、生活区域、生活习惯等数据进行深度挖掘分析,构建人物特征模型以有针对性投递广告信息。其本质上是一种大数据的运用,即通过一切可供参考的数据,运用数学模型和分析方法对海量数据进行计算以得出最终结论。在对网络犯罪行为人身份同一认定时,亦可以通过数据挖掘的方式构建嫌疑人在互联网环境下的数据特征模型,再将该模型与现实中的人进行对比,从而完成身份同一性的认定。基于数据挖掘的身份同一性认定结果,可以作为传统证据认定被告人身份的补强证据,以强化传统电子数据与言词证据的证明力。引入基于数据挖掘的身份同一性认定作为补强证据的正当性可从三个方面展开论证。其一,司法解释明确规定了网络犯罪身份识别“综合认定”的方法。“两高一部”颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第25条规定:“认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。”其充分运用补助证据辅助身份同一性认定的内涵与数据挖掘结果作为补强证据相契合。其二,基于数据挖掘的身份同一性认定结果本质上属于大数据证据。大数据证据以海量电子数据凝练的规律性认识发挥证明作用,其主要以分析结果与分析报告的形式呈现。理论与实践中,对于大数据证据的定位存在鉴定意见说、专家辅助人意见说、证人证言说、其他证据说之争,但基本共识是将其纳入法定证据种类以赋予其合法性外观。[17]其三,基于数据挖掘的身份同一性认定结果符合补强证据的形式要件。我国1979年刑诉法确立了口供补强规则,在此基础上衍生出的孤证不能定案规则。随着刑事证明理论的发展,“孤证不能定案”的内涵和外延出现了扩张趋势。具体而言,孤证之“孤”已由数量意义上的“孤”转变为证明意义上的“孤”。囿于对数据系统的依赖,电子证据会因系统、载体单一,证据数量不足等形成孤证,而口供本身又存在极大的不稳定性与脆弱性。因此,基于两者组合而成的认定同一性的证据便具有补强的必要。而要成为补强证据,必须符合三方面的形式要件:第一,补强证据所证明的事实与案件具有关联性;第二,补强证据具有独立的信息来源或信息渠道;第三,补强证据本身是可靠且值得信赖的。基于数据挖掘的身份同一性认定结果来源于对行为人电子痕迹数据的研判分析,以确定行为人与被追诉人具有身份同一性为目标,其与案件的关联性及来源的独立性毋庸置疑。而就认定结果可靠性来说,单个数据虽具有被篡改的可能,但大数据足以掩盖单个数据的偏差。况且,补强证据旨在补充孤证的证明力,其本身对证明力仅作最低限度的要求。因此,基于数据挖掘的身份同一性认定结果符合作为补强证据的要件。
(三)网络共同犯罪“明知”认定机制的完善
“明知”作为构成要件主观方面的认识因素,来源于行为人内在的心理活动,其“无法捉摸、不易把握,也很容易遭到行为人事后否认。”[18]而网络环境下,犯罪对象的不特定、帮助行为的中立外观、网络交往行为的隐蔽性等进一步增加了网络共同犯罪“明知”认定的难度,致使规范与实践存在结构性失调,突破规则界限创建“法外推定规则”成为网络共同犯罪主观要件认定中惯常的做法。有鉴于此,有必要从以下方面对网络犯罪“明知”认定予以完善。
1.“明知”推定规范内涵的协调
首先,应厘清作为推定事实的“明知”在规范层面的外延和内涵。司法实践中存在以“明知可能”或“应当知道”的证成替代“明知”认定的做法,这些做法不当增加了行为人在日常生活中的注意负担,存在客观归罪的嫌疑。只有明确“明知”的推定实际上是从逻辑、经验法则出发,通过客观行为推导出行为人明确知道,才能使网络犯罪主观认识因素的认定不至突破罪刑法定的界限。质言之,对于网络共同犯罪“明知”的认定不宜作泛化的解释,因为刑事推定本身已对主观要件的证明进行了简化,将推定的内容再作泛化的理解实际上是在此基础上进行“二次简化”,其存在不当扩张刑罚适用,损害被追诉人权益的风险。
其次,应根据信息网络犯罪的特点,在司法解释中增设具有“技术性”特征的推定规则。囿于当前刑事立法未将信息网络犯罪从传统犯罪行为的单一化、固定化、直观化特点中区别开来,网络犯罪证明也缺少顺应时代发展趋势、具有技术性特征的规范指引。[19]推定最初都是以个案认定事实的经验法则形式存在,只有个案中具体的经验法则被不断检验、抽象、提炼才能最终为规范性文件所确立。在法律推定规则确立过程中,尤其应当关注实践中认定网络灰黑产业利用暗网实施违法犯罪的特点,在推定规则中增设符合实践经验,具有“技术性”特征的规则。例如,以“频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查”推定行为人主观“明知”的基础事实,其着眼于网络犯罪“技术性”特征,使得规范与实践中网络犯罪的具体特征能够相契合。
2.“明知”综合认定模式的引入
司法解释确立的推定规则的确在很大程度上降低了网络共同犯罪“明知”认定的难度,但明示条款列举的具体情形多是规则制定者按照经验法则、结合经典案例将实践中足以认定行为人明知情形的类型化,其以演绎而非归纳的逻辑保障司法实践中具体规则的可操作性。因此,司法解释所确立的明示推定条款必然无法周延司法实践中的全部情形,而在“明知”具体列举条款之外如何认定行为人主观认识因素就成为值得探讨的问题。为防止条文过度僵化,缓解司法实践中具体困境的考量,司法解释“明知”推定多设有兜底条款,具体表述为“其他足以认定行为人明知的情形”或“其他有证据证明行为人明知的”。兜底条款作为一项刑事立法技术,在一定程度上弥合了规范的有限性与社会生活无限性之间的鸿沟,但同时也带来了在实践中被恣意扩大适用的危险。一般认为,规范的兜底条款应受到明确性原则的制约,具体而言在解释兜底条款时应遵循“同质性”原则,保障解释结论与上文列举成体系。但司法解释中“明知”推定规则本身是依靠经验的类型化而非逻辑的归纳,对于何为“同质”难以形成统一的标准,因此极易引发裁判者自由裁量的扩张。笔者认为,在司法解释明示条款外,应引入主客观因素综合认定的模式,结合行为人认知能力、既往经历、与实施网络犯罪行为人之间的关系等诸多因素予以综合研判。一方面,在缺乏直接证据又不符合司法解释列举的具体推定规则时,依靠间接证据搭建完整的“明知”证明锁链存在现实的困境。网络共同犯罪上下游之间的意思联络微弱,且司法解释已有限度地承认片面共犯,在此背景下,通过证据间的印证形成完整的证明体系,得出唯一、可以排除一切合理怀疑的结论往往难以实现。相较而言,综合补助证据、情状证据,立足个案特点及裁判者经验综合认定行为人主观认识因素则可在一定程度上缓解核心证据印证不充分的困境,具有更强的灵活性及可操作性。另一方面,相较于事实认定者在个案中完全依据自由裁量权创设法外推定规则,主客观综合认定的方式要求其在一定客观证据的基础上展开论证说理,可以防止裁判者不当扩大刑罚权的适用。综上,在犯罪的危害明显存在,而犯罪证据收集存在现实困难时,综合认定的方法能够有效地平衡事实认定过程中的秩序维护、人权保护与司法效率,在网络共同犯罪“明知”推定外引入综合认定的方法具有必要性及可行性。