帮助信息网络犯罪活动罪的电子数据审查
2023-01-24苏琳伟黄怡璇
苏琳伟,黄怡璇
(中共福建省委政法委,福建 福州 350000;福建省漳州市芗城区人民检察院,福建 漳州 363000)
在大数据时代背景下,人类社会生活方式正在潜移默化地发生改变,特别是网络交流方式突破了地理空间对人类行为活动的限制。但是,网络犯罪也随之激增,甚至大有取代传统犯罪的趋势,而目前的科学技术尚未完全能够支撑国家公权力或其他组织在网络空间中建立起类似实体空间对犯罪活动的管控体系。网络犯罪,其呈现猖獗形势的关键要素在于大量犯罪技术支持行为不断衍生,逐渐表现出产业化、专业化发展态势,且伴随犯罪技术的发展,犯罪“服务型”行业开始分化,作为一种新兴的“产业”分支,逐步通过市场化、商业化运作模式将网络技术、工具以商品形式传入流通领域,从而使得许多潜在的犯罪人获得帮助后参与到此类犯罪中来[1]。因此,本文认为当前的数字政法建设不仅应将视角向内关注政法工作的科技运用以实现质效提升,也应同步向外研究应对网络空间犯罪的防控问题。
从2015年开始施行的《中华人民共和国刑法修正案(九)》设置帮助信息网络犯罪活动罪(其案件本文简称“帮信案件”)看,网络犯罪这一问题早已进入决策者的视野,该罪名的设置在某种程度上意味着作为法律最后一道保障的刑事领域对网络犯罪概念的正式接纳,并且从网络犯罪的源头即技术支撑介入治理。与实体法相呼应,刑事诉讼法在实践基础上于2012年正式确立电子数据的证据类型。但是,实务中办理“帮信案件”仍存在诸多挑战,诸如电子数据的提取和审查已成为刑事诉讼的症结与难点,亟待进一步探讨应对。
一、“帮信案件”电子数据审查难点
作为证据形式的电子数据,是指以数字化形式存在并可用于证明案件事实的材料[2]。认定帮助信息网络犯罪活动罪需收集并证明两方面客观行为:一是上游存在的网络犯罪;二是行为人为该犯罪所提供的帮助,支撑这些证明的证据基本是以电子数据的形式存在。实践中,对于这些电子数据的获取问题,其实早于刑事诉讼规制之前,即有学者就刑事诉讼法、电子数据规定和监察法等相关规定进行了分析,且已归纳出电子数据取证活动的主线为“行政调查—初查—侦查”,并认为当前规定并未在实质性规则上双向打通这三个阶段,导致电子数据转化为真正有效的诉讼法意义上的证据存在很大难度[3]。即便经过前两个阶段,此类电子数据进入刑事诉讼程序后也不一定就能作为定案的根据即证据,仍存在诸多审查认定上的困难。
(一)证据形式准入上的困难
1.人工筛选工作量较大
网络犯罪大多涉及“大数据”,其中电子数据不仅总量大、类型多,而且存在着较为杂乱、关联度低、结构性差的特点[4]176。例如,在实务中常见的跨境电信诈骗“帮信案件”,涉案微信虚拟账号往往数百上千个,涉及的群聊过万条,且虚拟微信号数据容易被篡改删除,需要进行巨额流水的统计、大量图片的筛选等众多数据的汇总甄别工作,而筛查单纯依赖人工计算往往耗时较长,不太具有现实的可操作性。
2.智能算法未正式引入
智能算法能够帮助在海量、分散、无形的大数据中获取有价值的证据,但目前司法实践中尚未规范智能算法引入机制,仅存在相关领域个别认同的技术实践,如公安机关使用的“天网系统”[5]。“帮信案件”实践中没有统一的计算标准,且技术处理可靠性和客观性没有权威机构证明,因而整体上依靠人工计算仍占主导地位。
3.专门鉴定机构较稀缺
鉴定所依据的计算判断是一种方法论的判断,与传统的鉴定意见在对象上具有质的差别,实践中控辩双方对于电子数据的鉴定资质、鉴定范围、鉴定方法容易产生不同看法,对鉴定的审查规则也较难形成共识。目前上海辰星电子数据司法鉴定中心(所属公安部第三研究所)及司法鉴定科学研究院是我国在电子数据鉴定领域获得认可的机构[6],专门鉴定机构不多。
(二)证据能力确认上的困境
1.关联性难证实
上游网络犯罪所涉及的电子数据浩如烟海,且相当杂乱,第一大障碍便是其关联性问题[4]179。大数据证据除了数据量大,另一个特征是数据价值密度低,依靠远程取证获取的数据之间往往呈现“弱关联”甚至“无关联”状态[4]181。“帮信案件”首先需要证实电子数据与上游网络犯罪存在关联,其次需要证实电子数据与行为人的操作行为存在关联,最后需要证实收集的电子数据能够说明上游网络犯罪与行为人的帮助行为存在关联。实务中大数据证据突破了传统证据强相关性甚至因果性的证据聚焦范围,上述三个关联关系显得较为松散,关联性的证明工作遭遇巨大挑战。
2.合法性尚存疑
我国刑法规定帮助信息网络犯罪活动罪中帮助行为有两类:一是提供网络技术支持,如提供网络储存、通信传输、互联网接入、服务器托管等技术帮助;二是提供支付结算、广告推广等帮助。针对第一种类别的网络技术支持,取证时往往涉及电子数据的原件扣押和接入设备、服务器设备、电脑硬盘、通信设备的封存及相关介质内数据的提取,实务中“帮信案件”的电子数据一般为远程提取,难以扣押原件,异地取证时常出现犯罪嫌疑人恶意损毁设备、封存不及时和提取数据不符合规范等问题,导致电子数据的合法性遭受质疑。针对第二种类别的帮助行为,相关电子数据需要在网络上进行提取收集,面临恢复、提取网站后台数据或从其他平台下载数据的情况,涉及对原始数据的复制、分类,提取电子数据的合法性遭受质疑。
3.电子数据完整性难保证
电子数据完整性审查不同于传统证据“三性”独特内容的审查,数据完整性与真实性紧密相连,电子数据完整性有疑问,必然会影响到真实性的判断[7]16。“帮信案件”的特殊性在于上游网络犯罪的嫌疑人大多未到案,证实网络犯罪的多数证据需要公安机关远程提取,被害人报案后能够提供的证据非常有限,即便通过扣押手机恢复数据的方式能够提取的也只是部分数据证据,考虑到提取远程数据的技术瓶颈及网络犯罪本身的隐蔽性,所提取的数据完整性较难把握。与此同时,在案行为人提供的帮助行为往往也会通过加密技术、及时销毁和更换智能设备等方式规避查处,侦查时需要借助数据恢复、还原技术,这使得实践中获取的电子证据完整性较难保障。
(三)证明标准把握上的困惑
1.证明上游犯罪电子数据是否充分标准难以把握
帮助信息网络犯罪活动罪为打击网络犯罪下游行为的口袋罪,本质属于为帮助行为的正犯化[8]。实务中大部分较容易抓获的人员为出售银行卡、手机卡的下游实名制人员,能够获取的上游网络犯罪电子数据较为有限。根据2019年最高人民法院、最高人民检察院发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(本文简称“2019年两高解释”)规定,确因客观条件限制无法查证被帮助对象是否达到犯罪的程度不影响帮信犯罪的认定。由此可知,对于“帮信案件”上游网络犯罪的证明标准较为宽松,但实践中的适用仍然存在理解上的不同,或认为应当参照掩饰隐瞒犯罪所得罪的认定标准要求上游犯罪“查证属实”,或认为只要求证明对他人实施违法犯罪行为主观上“明知”,等等。
2.证实帮助行为的电子数据印证程度难以把握
在传统证据审查与认定中,印证规则占主导地位,大多要求定案证据形成完整的证明体系,“帮信案件”的特殊性使得所提取的电子数据可能无法符合印证规则要求。一是证据来源单一性。大多为远程提取同一个服务器后台的电子数据,无法符合证据来源多样的要求。二是证据具有同质性。有时只能提取到一段监控视频或一张广告截图,无法符合有罪证据的多元性要求。三是证据之间多不存在事实交叉。一般而言,取得的电子数据价值密度低,多为弱关联甚至模糊关联数据,不符合证据间具有内在联系存在事实交叉要求[9]。同时,电子数据与传统证据的印证程度也较低,多数电子数据中体现的犯罪行为并非被提供帮助的行为人所知晓,总体的印证程度难以把握。
3.主观上“不明知”的合理怀疑界定难以把握
根据“2019年两高解释”对于行为人主观上的“明知”采用推定证明模式,列举了一些属于明知的行为,同时规定兜底条款,行为人只要实施了足以认定为明知的情形即可,除非有相反的证据证实。但是,“帮信案件”中的无罪辩解集中在行为人对上游网络犯罪的不明知,对于“足以认定”的标准实践中未能统一,诸如辩解称将银行卡无偿交给他人不属于提供支付结算帮助的“交易异常”行为,将电子设备借给陌生人属于“不明知”范畴。总之,合理怀疑的界限依旧模糊。
二、“帮信案件”电子数据审查分析
“帮信案件”的认定困境可归因于,信息网络技术的迅猛发展使得电子数据以一种全新的证据种类进入诉讼领域,并对案件待证事实发挥着越来越重要的证明作用[10]。电子数据本身具有与传统证据截然不同的特性,且在刑事诉讼证明领域呈现出扩张趋势。2016年最高人民法院、最高人民检察院、公安部发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和2019年发布的《公安机关办理刑事案件电子数据取证规则》,对规范电子数据的收集提取和审查判断提供了标准,然而新形势、新问题、新任务使得重新审视电子数据的特殊性显得十分必要。
(一)证据提取的特殊性
1.数据载体的特殊性
电子数据的原始存储介质具有“多关联性”特点:一是它承载着数据本体,本身能够证明待证事实;二是它能够关联数据生成痕迹,可以证明数据本体的来源以及数据本体在生成、存储、传输过程中留下的电子痕迹;三是它又能与介质的持有人形成关联,能够实现电子数据与特定人的关联性的证明。因此,扣押、封存原始存储介质作为取证的主要原则,也是最佳证据规则的直接体现。
2.数据本体的特殊性
数据本体承载数据内容,其完整性对于待证事实往往更为重要,从取证规则看,一是强调查明数据本体的来源、特征,同时应记录电子数据完整性校验值、数字签名、数字证书识别其唯一性;二是强调获取数据的过程必须清楚,取证的侦查人员、数据的持有人、见证人需要在笔录、清单上签名或盖章,电子数据的提取包括现场提取或网络远程勘验提取均应有第三人在场见证,扣押、封存原始存储介质等首次获取数据环节也应有见证人签名;三是强调取证行为既要符合法定程序,又要遵循技术规范,严格限制除技术人员以外其他人员的操作。
3.数据内容的特殊性
数据内容是电子数据的核心,直接关系到待证事实的证明,确保数据内容的完整、客观、不被篡改是提取数据内容的重点。一是侦查过程需保障数据内容本身完整,未被篡改或变更,不因提取行为导致数据内容上出现偏差,通过与原始数据载体内记载的数据本体内容进行比对,确保数据真实、客观。二是数据内容在应经过数据持有人确认后方可通过打印、拍照、截屏、刻盘等方式输出、保存并由侦查人员签名,持有人无法确认或拒绝确认的应当在笔录中说明,如果能够全程录像则提取,其合法性可以得到更为充分的保障。三是提取的方式可以是现场提取,也可以是网络在线提取,通过计算完整性校验值、远程勘验、录像的方式确保远程提取的数据内容与原始数据一致。
(二)证据审查的特殊性
1.证明能力审查的特殊性
一是关联性重点考察电子数据的多边关联性。考察行为人网络身份与现实身份的同一性,可以通过核查相关IP 地址、网络信息痕迹留存、上网终端归属、网络活动记录、相关证人证言以及犯罪嫌疑人的供述和辨认等证据材料进行综合判断。考察犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查存储介质留下的指纹和相关证人的证言、辨认以及犯罪嫌疑人供述和辩解等方式进行综合判断。二是合法性重点考察调取手段及程序是否合法。结合电子数据提取和保存技术过程,判定是否侵犯他人合法权益,是否违反侦查活动的程序,着重审查的收集程序、方式是否符合法律规定,如是否是通过电子病毒、恶意程序攻击等违反互联网公共秩序的方式获取,是否在没有搜查证或合法手续的情况下强行提取电子数据,是否侵犯他人隐私权、知识产权等,是否使用违法行为[11]。三是客观性重点考察被篡改、污染的可能性,注意审查电子数据的生成过程,考察生成时间及提取方式,因特殊原因无法扣押原始存储介质并且无法提取电子数据的情况可以通过打印、拍照或者录像等方式来进行固定。
2.证据效力审查的特殊性
与传统证据相比,电子数据的证据效力基本上着力于完整性的考察。一是针对目标数据,即直接承载案件事实所包含的法律关系和文档、图片、音频、视频、交易记录、手机短信等内容数据,重点审查是否进行过非必要的添加或删除,确定其内容上的完整。二是针对衍生数据,即附随于目标数据的生成,属于源头数据生成中所留下的电子痕迹,包括文件和记录生成、存储、转移、变动所形成的时间、格式、制作人等新的数据,重点审查格式调整、存储位置变化、制作人修改等更改,确定其形式上的完整。三是针对关联数据,即记载目标数据的周边环境,包括储存位置数据、IP 地址数据、数据传输路径等情况,重点审查是否保持生成之时的原状,排除被伪造的可能性。
3.证明规则审查的特殊性
电子数据对待证事实的证明较传统证据印证模式复杂,因为虚拟空间中尚可分解出网络空间与计算机单机空间的痕迹印证模式。一是网络空间中各电子设备、IP 地址、访问痕迹被视为不同的路径节点,获取不同节点上行为留下相关的痕迹能相互印证的,这就构成了虚拟空间的证据体系。二是电子数据所基于的内外部环境如操作软件系统、文档存储系统会同步产生关联痕迹,附属信息和关联痕迹从技术上极难伪造,因而可以根据它们之间的印证来认定某一案件事实,从而形成单机空间印证体系[12]。建立虚拟空间的证据体系,同样可以满足诉讼证明的要求,而不仅仅依赖于传统证据的印证。
(三)排除规则的特殊性
1.真实性存疑的排除
真实性是电子数据具备证明力的首要条件。从内容上看,只要无法确定电子数据是否存在篡改、伪造、增加、删除、修改情形,无法确定真伪等影响电子数据真实性的情况均应当排除。从形式上看,证据来源存疑、证据保管链条无法确定是否完整等影响数据提取真实性的应当排除。从开示范围上看,除了数据内容外,还应当开示的范围包括数据的完整性校验值、数字签名、数字证书等唯一性标识,以及数据存在的特殊环境情况,数据在生成、存储、传输过程中形成的附属信息和数据痕迹,这些对判断电子数据证真或证伪有着极高的价值,如不提供数据本体溯源访问机会,就无法全面地审查证据,无法保障真实性、完整性,可以考虑予以排除。
2.非法证据的排除
取证过程和取证结果两个方面都可能涉及非法性。一是取证过程严重违法,如刻意篡改、伪造、增加、修改数据内容,或违法使用强制侦查措施收集的电子数据,违法通过强制侦查措施从犯罪嫌疑人配偶、父母、子女处获取的电子数据,违法使用技术侦查措施收集的电子数据等侵犯他人基本权利的取证手段[7]18。二是取证结果严重侵犯被取证对象的人身、财产权利,或造成数据污染、关键数据被破坏等后果。
3.瑕疵证据的排除
此类证据违法情节较轻微,被视为证据能力待定的证据。是否具有证据能力,取决于瑕疵能否得到补正或者能否做出合理解释。一是电子数据取证程序不规范,导致来源有疑问、唯一性特征不清,可能对证据的完整性、真实性产生疑问。二是无法补正或做出说明,唯有补正的合法性和解释的合理性得到实现,方可消弭轻微违法的瑕疵。
三、“帮信案件”电子数据审查规制考量
为充分有效打击网络犯罪,考虑到电子数据的特殊性,针对帮助信息网络犯罪活动罪认定中存在的诸多问题,在此认为可从以下方面健全电子数据审查规则。
(一)客观取证的审查规范
1.规范关联性审查标准
考虑实务中远程取证的难度,同时考虑制约网络犯罪帮助行为的高效性,可考虑规范对“弱关联”证明效力的认可。一是从数据内容上看,“帮信案件”的电子数据能够从侧面印证上游可能存在网络犯罪情况,且能确认其信息载体在身份、行为、介质、时间、地址方面同案件中当事人或其他诉讼参与人有联系的,即可认为这属于“弱关联”,也应当认定其具有关联性。二是从数据载体上看,除非有证据证实行为人合理、合法持有存储介质,解释使用相关设备的正当性,或提出反证证明与涉案数据载体无关,否则可认定行为人与所持有的存储介质存在关联。
2.探索智能算法的引入
随着人工智能理论和技术的不断发展,理论和实践中已经探索出一些算法模型帮助解决实物问题,如贝叶斯模型的衍化使得认定案件从定性研究走向定量研究,为法官提供了精确化参考[13]。侦查机关与互联网企业合作共同打击网络犯罪的实践逐渐增多,如2018年浙江省政法部门和阿里巴巴集团安全部探索成立的越城区网络生态治理中心,更多运用大数据技术来查明事实真相[14]。
3.规范专业机构的鉴定行为
一是对公安机关取证过程的鉴定,建议由公安机关之外的专门机构进行,专门机构通过对原始存储介质的比对或对取证过程的复盘来证实侦查人员提取电子数据的完整性。二是对电子数据本身真实性、完整性的鉴定,可由公安机关内部鉴定部门或其他鉴定机构对数据本身进行评判,利用一定的数据恢复模型或日志核查方法对数据的完整性进行考量。三是对电子数据能够推导出待证事实证明过程的鉴定[15]。对于鉴定的过程、计算方法进行相应规范,可以借助第三方力量来构建专家辅助办案机制和交流平台,为取证过程中涉及专业技术鉴定问题的解决提供专家咨询和专业支持。
(二)主观“明知”的审查规则
1.推定“明知”的审查规则
一是可参照对网络知识产权犯罪帮助行为主观推定的“红旗”规则[16],即当为网络犯罪提供帮助的行为显而易见,就像是红旗一样飘扬,行为人则不能以主观上不明知的理由来推脱责任。二是适用“大半数”规则[17],即根据网络数据、流量显示,对犯罪活动的中性业务行为比例超过所有业务活动半数以上的,应当据此推定信息网络技术帮助者知道或者有充分的理由怀疑其业务行为所支持的对象利用信息网络实施犯罪。对于提供帮助行为的“交易价格或者方式明显异常”及“其他足以认定行为人明知的情形”的证据把握,有必要根据上述两个规则进行细化探讨。
2.部分举证责任倒置
“帮信案件”中确实存在着犯罪分子与侦查机关技术力量“不对称”的情况,考虑到电子数据的特殊性,可以考虑在有限的范围内适用举证责任倒置规则。一是根据行为人本身所具备的专业计算机知识水平来让其承担相应的证明责任;二是行为人本身为技术设备的所有者,则应当承担某些技术问题的证明责任;三是行为人作为管理人员或在涉案事实中具有一定影响力的主体在特定情况下承担在其职责范围内的简单说明责任。
3.合理怀疑的必要限制
“帮信案件”中对上游网络犯罪帮助行为的多样态导致提供帮助人员和被帮助者之间的联系可能多种多样,对“不明知”合理怀疑应当设置必要限制,防止行为人逃脱法律制裁。下列事实不能作为“合理怀疑”的依据:一是辩解理由随意性较大,笔录中不能稳定供述,无法解释细节的;二是辩解理由不符合行为人一般日常行为规律,无法提供反证的;三是辩解理由涉及不知名的陌生人员,所陈述事实无法证伪的。另外,其他有悖常识、常理、常情的行为,除非有相反的证据支持,否则不认为属于“合理解释”范畴。
(三)定案证明规则的调整
1.最佳证据规则的适度调整
对“帮信案件”而言,依附于存储介质之中的数据本体才是证据的核心,只要提取的数据能够说明来源,保障数据本体不被破坏即可视为“最佳证据”。实践中“帮信案件”可采取以下规则保障数据本体、内容不被破坏。一是不操作规则,即在提取电子数据本体后,尽量不对数据本体的原件进行操作,而是制作相关复印件后进行分析;二是精确复制规则,即对离线电子数据的精确复制采用单条网络数据全面获取的精确复制技术;三是防篡改及可校验规则,即应使用“只读”设备锁定数据,确保电子数据不会被污染、破坏和更改[18]。
2“.印证主义”规则的调整
“帮信案件”中大多电子数据来源单一、种类单一、数量较少,上游网络犯罪与下游帮助行为并非紧密联系,实践中要求此类案件的证据与传统证据形成完整的链条且充分印证难度较大,且考虑到电子数据的特殊性,孤证禁止的原则可能被突破。建议充分运用经验法则,只要电子数据能够同时证明以下三点内容即可认为证明完成:一是证明上游可能存在网络犯罪;二是证明行为人对网络犯罪提供了帮助行为;三是行为人主观上不存在“不明知”的合理怀疑。
3.排除规则的适度调整
建议对“帮信案件”电子数据仅在真实性存疑且不能合理说明时考虑绝对排除,存在以下情况的不予排除:一是真实性未遭到实质的影响,如违反电子数据操作技术规范等不规范行为,但能通过鉴定确定其真实性,或取证不规范但并未对数据造成污染的;二是真实性无法确定,如电子数据操作违反技术规范,无法通过鉴定确认真实性,但侦查人员通过合理说明解释能够排除证据作假可能性的。