【法学汇】电子证据运用:如何“重建”案件事实
■ 办案人员要尽量“细化”“揉碎”电子证据,“挖掘”不为人知的微观信息用于还原案件事实。笔者认为,需要进行二进制数据查看,对每一份电子文件都要分析其文件头、文件中间、文件尾,对每一份存储介质都要分析各个分区,特别是未分配空间。
■ 办案人员要尽量将电子证据与其他证据进行整合,搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构,以宏观的视角还原案件事实。
中国人民大学法学院教授、博士生导师
刑事法律科学研究中心研究员
刘品新
网络犯罪司法的中心任务是有效使用电子证据进行网络犯罪案件事实的重建。由于电子证据是一种“数字式痕迹”,网络犯罪司法中使用电子证据必须聚焦于“数字式案件事实重建”。这一“重建”也可以称为“电子证据重建”。简单地说,电子证据可以被看成一个个信息“场”,可以还原网络犯罪案件的来龙去脉。它与人类社会出现的“人证重建”“物证重建”是一脉相承的,但展示的效果更为显著。
基本原理的展开
如何科学处理网络犯罪中超容或巨量的电子证据?原子主义与整体主义证明模式是可以选择的科学理论,也是不同认识理论在司法领域的呈现。
依照前一理论,办案人员应当对电子证据尽可能地进行拆解,分解至较小单元“原子”的程度。当然,这是指“逻辑认识的原子”,不等于“物理分析的原子”。于电子证据定案而言,这个“较小的东西”当下通常可以指将电子证据的内在属性、关联痕迹、复合内容解析出来,以查明、证明网络犯罪案件事实。
依照后一理论,办案人员应当尽可能地将不同电子证据、电子证据与其他证据结合起来,构成一个整体,用以查明、证明网络犯罪案件事实。对于电子证据定案而言,当下通常可以将电子证据的组合、印证体系、“鉴—数—取”体系、物理空间—信息空间拼接起来,以查明、证明网络犯罪案件事实。
基于原子主义证明模式的
实务技巧
当下电子证据用作证明的逻辑原子可以界定为如下三个方面:
以电子证据的“内在属性”重建案件事实。电子证据的内在属性是数据生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息。其作用在于证明数据的来源和形成过程,即讲述关于数据如何得来的“故事”。简单地说,主要就是用鼠标点击某电子文件看到的信息。当然也有复杂的查看方法。
在一起破坏计算机信息系统案中,有较多电子文件在内在属性方面出现了异常,笔者对疑点较大的电子文件进行了“内在属性”全梳理,特别是对前后一对电子文件(指先后取证多次形成的对应电子文件)进行重点梳理。主要技巧是对Word文档的创建内容时间、较后一次修改时间、访问时间信息利用专门的取证工具(Winhex)查看,查到的相关时间可以精确到“百纳秒”级别,再匹配寻找疑点。如果前后一对电子文件的创建内容时间、较后一次修改时间、访问时间信息在同一“百纳秒”级别是一致的,那就表明它们是同源文件,即后一Word文档是利用前一Word文档修改而来,而不是另行取证得来。依靠电子证据的“内在属性”重建案件事实,几乎是每个法律工作者都能完成的任务,关键是要有这一意识。
以电子证据的“关联痕迹”重建案件事实。关联痕迹是在电子证据形成之际同时产生的一些独立“痕迹”。电子证据本身就是“痕迹”,关联痕迹可以说是电子证据之“痕迹”边上的专门“痕迹”。通常来说,计算机等设备在生成、存储、传递、修改、增删数据时会引发信息系统环境产生关联痕迹。它们包括后缀为*.lnk、*.dat、*.identifier、*.sys、*.tmp的各种痕迹文件,这是信息科学领域的痕迹文件;也包括该数据在数据磁盘层的存储规律,这是物证技术学领域的“痕迹”。后一“痕迹”在理解上有些困难,笔者试举例说明。我们在电脑中编辑Word文档时,通常会产生快捷方式文件、临时文件、office日志文件、软件杀毒记录文件等,但假设当我们彻底检查一台电脑时,却没有发现与所编辑Word文档相关的任何快捷方式文件、临时文件、office日志文件、软件杀毒记录文件等,这一“发现”就是物证技术学领域的“痕迹”,一如杀人现场的“擦拭血迹”。
在一起DDOS攻击(分布式拒绝服务攻击)案中,犯罪嫌疑人对某网站进行DDOS攻击导致网站崩溃,公司因赔付数千万元而倒闭,犯罪嫌疑人所使用的电脑硬盘是主要证据。该案的特别情节是犯罪嫌疑人使用了虚拟机技术。在办理该案过程中,为了查清犯罪嫌疑人是如何攻击、敲诈勒索被害公司的,鉴定人员通过取证工具分析虚拟磁盘,发现其中存在大量的数据交互记录,证明犯罪嫌疑人向被害公司所使用IP地址发动DDOS攻击;在电脑空余空间中发现犯罪嫌疑人敲诈勒索的聊天记录碎片文件,证明其曾于发动网络攻击后向被害公司实施敲诈勒索行为;在电脑底层数据中发现犯罪嫌疑人所使用的VPS服务器(用于搭建VPN,发动网络攻击所使用的中转服务器)。较终,鉴定人员基于这些痕迹制作了DDOS攻击与敲诈勒索案大事表,包括犯罪嫌疑人开始学习黑客攻击技术、锁定被害公司、对被害公司实施DDOS攻击行为、对被害公司实施敲诈勒索行为、被逮捕等环节。这个大事表就是直接、完整的案件事实重建。
以电子证据的“复合内容”重建案件事实。“复合内容”是受“复合文档”的启发而形成的一个概念。复合文档不仅包含文本,还包括图形、电子表格数据、声音、视频图像以及其他信息。这是当前电子证据内容的普遍承载方式。
在另一起破坏计算机信息系统案中,较重要的电子证据是警方抓获犯罪嫌疑人之后,使用犯罪嫌疑人账号、密码登录其邮箱获得的几百封电子邮件。这些邮件能够证明犯罪嫌疑人推广某非法软件及获利的情况。对于这些电子邮件,办案人员要关注的内容不仅包括每封邮件的正文,也包括邮箱收件夹、发送夹等文件夹中有多少邮件(即邮件列表),还包括该邮箱“较近登录”(也称为“上次登录”)形成的时间、地点信息。
以上就是原子主义证明机制的办案技巧。办案人员要尽量“细化”“揉碎”电子证据,“挖掘”不为人知的微观信息用于还原案件事实。那么,具体需要对电子证据“细化”“揉碎”到什么程度?笔者认为,需要进行二进制数据查看,对每一份电子文件都要分析其文件头、文件中间、文件尾,对每一份存储介质都要分析各个分区,特别是未分配空间。这是一种理想状态,要达到这一理想状态还有很长的路要走。
基于整体主义证明模式的
实务技巧
整体主义证明模式的逻辑要求:一份特定证据作为分析对象的证明价值,从根本上取决于其他所有证据。这一理论很容易同我国的证据组合、体系、锁链和印证等说法勾连起来。这样的联想是有道理的。值得注意的是,电子证据遵循整体主义证明模式的改造,会碰撞出独特的火花。
以电子证据的“证据组合”重建案件事实。证据组合是将能够支撑或反驳某一个案件事实的不同来源证据结合在一起的思路。对电子证据而言,构成证据组合还有新的优势和切入点,同一份电子证据往往可以在不同层面进行呈现,办案人员可以打造不同层面的证据组合。
如在一起破坏公用电信设施案中,犯罪嫌疑人于2014年12月8日至10日在公众场所使用短信群发设备向周围手机用户强行推送短信,后被刑事拘留。警方对犯罪嫌疑人的伪基站设备(电脑)送检后,发现其在被抓获前将系统时间归零,导致无法确定哪些推送短信记录是犯罪嫌疑人在案发过程中留下的。对于这样重要的案件事实,无法依靠电子证据(日志文件)及相关鉴定意见证实。对此,办案人员一方面对犯罪嫌疑人进行补充讯问,另一方面调整鉴定请求,改为伪基站设备中推送上述内容短信的日志记录“造成了多少部手机通信中断”。这样一来,电子证据、鉴定意见与讯问笔录(供述)就构成了一个有效的证据组合。
以电子证据的“印证体系”重建案件事实。印证体系是指同一网络行为产生了若干份电子证据,特别是不同网络节点的多份电子证据,它们相互印证构成虚拟空间中的一种独特证据锁链。这些电子证据往往是同一行为或关联行为产生的。如在发送电子邮件时会在发件人电脑、收件人电脑、邮件商的服务器等多点留下电子邮件;发送短信、微信等都会产生构成印证的网络证据。将这些网络证据匹配起来,审查其内容是否一致,特别是审查其相关时间信息、地址信息等是否正常,就可以还原整个网络行为事实。
以电子证据的“鉴—数—取”体系重建案件事实。网络犯罪司法的主打证据体系往往表现为一种独特的电子证据结构,即由电子证据、“来源笔录”与鉴定意见组成的三位一体构造。在“鉴—数—取”体系中,“数”是指电子证据,通常不能孤立地发挥证明作用;“取”是指各种“来源笔录”;“鉴”是指电子数据司法鉴定意见,用于证实案件争议事实。它们三者结合形成一个稳定的架构,用于证明网络犯罪的主要案件事实。其中,直接证明案件事实的往往是“鉴”,而“鉴”是否可靠有效取决于“取”的支撑和“数”的验证。
以“物理—信息两个空间对接”重建案件事实。一般来说,电子证据对应虚拟空间(信息空间),传统证据对应物理空间。如果能够基于电子证据还原虚拟空间的轨迹,基于传统证据还原物理空间的轨迹,将两个空间的人员轨迹对接起来,就能有效还原案件事实。这就是“两个空间对接”的技巧。
较高人民检察院发布的指导性案例朱炜明操纵证券市场案(检例第39号),是一个非常有价值的“两个空间对接”案例。2013年2月1日至2014年8月26日,朱炜明在任国开证券营业部证券经纪人期间,先后多次在其担任特邀嘉宾的《谈股论金》电视节目播出前,使用实际控制的三个证券账户买入多只股票,于当日或次日在《谈股论金》节目播出中,以特邀嘉宾身份对其先期买入的股票进行公开评价、预测及推介,并于节目首播后一至二个交易日内抛售相关股票,人为地影响前述股票的交易量和交易价格,获取利益。经查,其买入股票交易金额共计人民币2094.22万余元,卖出股票交易金额共计人民币2169.7万余元,非法获利75.48万余元。审查起诉阶段,朱炜明辩称,涉案账户系其父亲朱某实际控制,其本人并未建议和参与相关涉案股票的买卖……检察机关审查认为,犯罪嫌疑人与涉案账户的实际控制关系,公开推介是否构成“抢帽子”交易操纵中的“公开荐股”以及相关行为能否被认定为“操纵证券市场”等问题,有待进一步查证。上海市检察院第一分院先后两次将案件退回上海市公安局,要求补充查证犯罪嫌疑人的淘宝、网银等IP地址、MAC地址(硬件设备地址,用于定义网络设备的位置),并与涉案账户证券交易IP地址做筛选比对;将涉案账户资金出入与犯罪嫌疑人个人账户资金往来作关联比对;进一步对其父朱某在关键细节上做针对性询问,以核实朱炜明的辩解。两个空间的对接表明,在朱炜明出差期间涉案账户使用了其出差城市IP地址做证券交易,在朱炜明不出差期间涉案账户使用了其办公室IP地址做证券交易,而这些地址是朱炜明父亲不可能到达的。
以上就是整体主义证明机制的办案技巧。办案人员要尽量将电子证据与其他证据进行整合,搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构,以宏观的视角还原案件事实。
犯罪形式在信息时代的网络变异给传统司法治理带来巨大冲击,电子证据是打击网络犯罪的关键证据。网络犯罪案件的数字式事实重建可循沿原子主义和整体主义两种证明模式进路。以电子证据为突破口破解网络犯罪难题顺应了信息技术发展趋势,是推进国家治理体系和治理能力现代化的重要窗口。
(本文节选自《人民检察》2021年第19期)