辦案人員要儘量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀資訊用於還原案件事實。筆者認為,需要進行二進位制資料檢視,對每一份電子檔案都要分析其檔案頭、檔案中間、檔案尾,對每一份儲存介質都要分析各個分割槽,特別是未分配空間。
■ 辦案人員要儘量將電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑑—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。
中國人民大學法學院教授、博士生導師
刑事法律科學研究中心研究員
劉品新
網路犯罪司法的中心任務是有效使用電子證據進行網路犯罪案件事實的重建。由於電子證據是一種“數字式痕跡”,網路犯罪司法中使用電子證據必須聚焦於“數字式案件事實重建”。這一“重建”也可以稱為“電子證據重建”。簡單地說,電子證據可以被看成一個個資訊“場”,可以還原網路犯罪案件的來龍去脈。它與人類社會出現的“人證重建”“物證重建”是一脈相承的,但展示的效果更為顯著。
基本原理的展開
如何科學處理網路犯罪中超容或巨量的電子證據?原子主義與整體主義證明模式是可以選擇的科學理論,也是不同認識理論在司法領域的呈現。
依照前一理論,辦案人員應當對電子證據儘可能地進行拆解,分解至最小單元“原子”的程度。當然,這是指“邏輯認識的原子”,不等於“物理分析的原子”。於電子證據定案而言,這個“最小的東西”當下通常可以指將電子證據的內在屬性、關聯痕跡、複合內容解析出來,以查明、證明網路犯罪案件事實。
依照後一理論,辦案人員應當儘可能地將不同電子證據、電子證據與其他證據結合起來,構成一個整體,用以查明、證明網路犯罪案件事實。對於電子證據定案而言,當下通常可以將電子證據的組合、印證體系、“鑑—數—取”體系、物理空間—資訊空間拼接起來,以查明、證明網路犯罪案件事實。
基於原子主義證明模式的
實務技巧
當下電子證據用作證明的邏輯原子可以界定為如下三個方面:
以電子證據的“內在屬性”重建案件事實。電子證據的內在屬性是資料生成、儲存、傳遞、修改、增刪而形成的時間、製作者、格式、修訂次數、版本等資訊。其作用在於證明資料的來源和形成過程,即講述關於資料如何得來的“故事”。簡單地說,主要就是用滑鼠點選某電子檔案看到的資訊。當然也有複雜的檢視方法。
在一起破壞計算機資訊系統案中,有較多電子檔案在內在屬性方面出現了異常,筆者對疑點較大的電子檔案進行了“內在屬性”全梳理,特別是對前後一對電子檔案(指先後取證多次形成的對應電子檔案)進行重點梳理。主要技巧是對Word文件的建立內容時間、最後一次修改時間、訪問時間資訊利用專門的取證工具(Winhex)檢視,查到的相關時間可以精確到“百納秒”級別,再匹配尋找疑點。如果前後一對電子檔案的建立內容時間、最後一次修改時間、訪問時間資訊在同一“百納秒”級別是一致的,那就表明它們是同源檔案,即後一Word文件是利用前一Word文件修改而來,而不是另行取證得來。依靠電子證據的“內在屬性”重建案件事實,幾乎是每個法律工作者都能完成的任務,關鍵是要有這一意識。
以電子證據的“關聯痕跡”重建案件事實。關聯痕跡是在電子證據形成之際同時產生的一些獨立“痕跡”。電子證據本身就是“痕跡”,關聯痕跡可以說是電子證據之“痕跡”邊上的專門“痕跡”。通常來說,計算機等裝置在生成、儲存、傳遞、修改、增刪資料時會引發資訊系統環境產生關聯痕跡。它們包括字尾為*.lnk、*.dat、*.identifier、*.sys、*.tmp的各種痕跡檔案,這是資訊科學領域的痕跡檔案;也包括該資料在資料磁碟層的儲存規律,這是物證技術學領域的“痕跡”。後一“痕跡”在理解上有些困難,筆者試舉例說明。我們在電腦中編輯Word文件時,通常會產生快捷方式檔案、臨時檔案、office日誌檔案、軟體防毒記錄檔案等,但假設當我們徹底檢查一臺電腦時,卻沒有發現與所編輯Word文件相關的任何快捷方式檔案、臨時檔案、office日誌檔案、軟體防毒記錄檔案等,這一“發現”就是物證技術學領域的“痕跡”,一如殺人現場的“擦拭血跡”。
在一起DDOS攻擊(分散式拒絕服務攻擊)案中,犯罪嫌疑人對某網站進行DDOS攻擊導致網站崩潰,公司因賠付數千萬元而倒閉,犯罪嫌疑人所使用的電腦硬碟是主要證據。該案的特別情節是犯罪嫌疑人使用了虛擬機器技術。在辦理該案過程中,為了查清犯罪嫌疑人是如何攻擊、敲詐勒索被害公司的,鑑定人員透過取證工具分析虛擬磁碟,發現其中存在大量的資料互動記錄,證明犯罪嫌疑人向被害公司所使用IP地址發動DDOS攻擊;在電腦空餘空間中發現犯罪嫌疑人敲詐勒索的聊天記錄碎片檔案,證明其曾於發動網路攻擊後向被害公司實施敲詐勒索行為;在電腦底層資料中發現犯罪嫌疑人所使用的VPS伺服器(用於搭建VPN,發動網路攻擊所使用的中轉伺服器)。最終,鑑定人員基於這些痕跡製作了DDOS攻擊與敲詐勒索案大事表,包括犯罪嫌疑人開始學習駭客攻擊技術、鎖定被害公司、對被害公司實施DDOS攻擊行為、對被害公司實施敲詐勒索行為、被逮捕等環節。這個大事表就是直接、完整的案件事實重建。
以電子證據的“複合內容”重建案件事實。“複合內容”是受“複合文件”的啟發而形成的一個概念。複合文件不僅包含文字,還包括圖形、電子表格資料、聲音、影片影象以及其他資訊。這是當前電子證據內容的普遍承載方式。
在另一起破壞計算機資訊系統案中,最重要的電子證據是警方抓獲犯罪嫌疑人之後,使用犯罪嫌疑人賬號、密碼登入其郵箱獲得的幾百封電子郵件。這些郵件能夠證明犯罪嫌疑人推廣某非法軟體及獲利的情況。對於這些電子郵件,辦案人員要關注的內容不僅包括每封郵件的正文,也包括郵箱收件夾、傳送夾等資料夾中有多少郵件(即郵件列表),還包括該郵箱“最近登入”(也稱為“上次登入”)形成的時間、地點資訊。
以上就是原子主義證明機制的辦案技巧。辦案人員要儘量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀資訊用於還原案件事實。那麼,具體需要對電子證據“細化”“揉碎”到什麼程度?筆者認為,需要進行二進位制資料檢視,對每一份電子檔案都要分析其檔案頭、檔案中間、檔案尾,對每一份儲存介質都要分析各個分割槽,特別是未分配空間。這是一種理想狀態,要達到這一理想狀態還有很長的路要走。
基於整體主義證明模式的
實務技巧
整體主義證明模式的邏輯要求:一份特定證據作為分析物件的證明價值,從根本上取決於其他所有證據。這一理論很容易同我國的證據組合、體系、鎖鏈和印證等說法勾連起來。這樣的聯想是有道理的。值得注意的是,電子證據遵循整體主義證明模式的改造,會碰撞出獨特的火花。
以電子證據的“證據組合”重建案件事實。證據組合是將能夠支撐或反駁某一個案件事實的不同來源證據結合在一起的思路。對電子證據而言,構成證據組合還有新的優勢和切入點,同一份電子證據往往可以在不同層面進行呈現,辦案人員可以打造不同層面的證據組合。
如在一起破壞公用電信設施案中,犯罪嫌疑人於2014年12月8日至10日在公眾場所使用簡訊群發裝置向周圍手機使用者強行推送簡訊,後被刑事拘留。警方對犯罪嫌疑人的偽基站裝置(電腦)送檢後,發現其在被抓獲前將系統時間歸零,導致無法確定哪些推送簡訊記錄是犯罪嫌疑人在案發過程中留下的。對於這樣重要的案件事實,無法依靠電子證據(日誌檔案)及相關鑑定意見證實。對此,辦案人員一方面對犯罪嫌疑人進行補充訊問,另一方面調整鑑定請求,改為偽基站裝置中推送上述內容簡訊的日誌記錄“造成了多少部手機通訊中斷”。這樣一來,電子證據、鑑定意見與訊問筆錄(供述)就構成了一個有效的證據組合。
以電子證據的“印證體系”重建案件事實。印證體系是指同一網路行為產生了若干份電子證據,特別是不同網路節點的多份電子證據,它們相互印證構成虛擬空間中的一種獨特證據鎖鏈。這些電子證據往往是同一行為或關聯行為產生的。如在傳送電子郵件時會在發件人電腦、收件人電腦、郵件商的伺服器等多點留下電子郵件;傳送簡訊、微信等都會產生構成印證的網路證據。將這些網路證據匹配起來,審查其內容是否一致,特別是審查其相關時間資訊、地址資訊等是否正常,就可以還原整個網路行為事實。
以電子證據的“鑑—數—取”體系重建案件事實。網路犯罪司法的主打證據體系往往表現為一種獨特的電子證據結構,即由電子證據、“來源筆錄”與鑑定意見組成的三位一體構造。在“鑑—數—取”體系中,“數”是指電子證據,通常不能孤立地發揮證明作用;“取”是指各種“來源筆錄”;“鑑”是指電子資料司法鑑定意見,用於證實案件爭議事實。它們三者結合形成一個穩定的架構,用於證明網路犯罪的主要案件事實。其中,直接證明案件事實的往往是“鑑”,而“鑑”是否可靠有效取決於“取”的支撐和“數”的驗證。
以“物理—資訊兩個空間對接”重建案件事實。一般來說,電子證據對應虛擬空間(資訊空間),傳統證據對應物理空間。如果能夠基於電子證據還原虛擬空間的軌跡,基於傳統證據還原物理空間的軌跡,將兩個空間的人員軌跡對接起來,就能有效還原案件事實。這就是“兩個空間對接”的技巧。
最高人民檢察院釋出的指導性案例朱煒明操縱證券市場案(檢例第39號),是一個非常有價值的“兩個空間對接”案例。2013年2月1日至2014年8月26日,朱煒明在任國開證券營業部證券經紀人期間,先後多次在其擔任特邀嘉賓的《談股論金》電視節目播出前,使用實際控制的三個證券賬戶買入多隻股票,於當日或次日在《談股論金》節目播出中,以特邀嘉賓身份對其先期買入的股票進行公開評價、預測及推介,並於節目首播後一至二個交易日內拋售相關股票,人為地影響前述股票的交易量和交易價格,獲取利益。經查,其買入股票交易金額共計人民幣2094.22萬餘元,賣出股票交易金額共計人民幣2169.7萬餘元,非法獲利75.48萬餘元。審查起訴階段,朱煒明辯稱,涉案賬戶系其父親朱某實際控制,其本人並未建議和參與相關涉案股票的買賣……檢察機關審查認為,犯罪嫌疑人與涉案賬戶的實際控制關係,公開推介是否構成“搶帽子”交易操縱中的“公開薦股”以及相關行為能否被認定為“操縱證券市場”等問題,有待進一步查證。上海市檢察院第一分院先後兩次將案件退回上海市公安局,要求補充查證犯罪嫌疑人的淘寶、網銀等IP地址、MAC地址(硬體裝置地址,用於定義網路裝置的位置),並與涉案賬戶證券交易IP地址做篩選比對;將涉案賬戶資金出入與犯罪嫌疑人個人賬戶資金往來作關聯比對;進一步對其父朱某在關鍵細節上做針對性詢問,以核實朱煒明的辯解。兩個空間的對接表明,在朱煒明出差期間涉案賬戶使用了其出差城市IP地址做證券交易,在朱煒明不出差期間涉案賬戶使用了其辦公室IP地址做證券交易,而這些地址是朱煒明父親不可能到達的。
以上就是整體主義證明機制的辦案技巧。辦案人員要儘量將電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑑—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。
犯罪形式在資訊時代的網路變異給傳統司法治理帶來巨大沖擊,電子證據是打擊網路犯罪的關鍵證據。網路犯罪案件的數字式事實重建可循沿原子主義和整體主義兩種證明模式進路。以電子證據為突破口破解網路犯罪難題順應了資訊科技發展趨勢,是推進國家治理體系和治理能力現代化的重要視窗。
(本文節選自《人民檢察》2021年第19期)
來源:檢察日報
