电子数据取证中的网络远程勘验:规制 实践与完善

  • A+
所属分类:云安全
电子数据取证中的网络远程勘验:规制 实践与完善
电子数据取证中的网络远程勘验:规制 实践与完善


 本文广州市公安局网络警察支队 冯聪老师原创,独家授权,转载请注明。


摘要:网络远程勘验作为电子数据取证措施之一,具有传统勘验和电子取证的双重属性,扮演着为特定涉网案件定性、明确侦查方向和提供线索证据的不可或缺的角色。从近年的探索实践来看,网络远程勘验已逐步形成了相应的规则、流程、方法等规范,但远勘意识不够强烈、工具合法性质疑、证据采信难、缺乏专业见证人队伍等困境也日渐凸显。为有效缓解困境,可通过完善实施细则、制定技术标准、组建专业化队伍和加强沟通协调等措施,切实提升网络远程勘验质量,增强远勘电子数据的可信度。 


关键词:网络远程勘验 电子数据 取证 规制 


近年来,网络犯罪带来的严峻挑战对公安机关的侦查破案提出了更高的要求。当前,公安机关在涉网案件中运用网络远程勘验,将网络空间中的涉案电子数据固定为证据,已经成为不可或缺的电子数据取证措施之一,并呈逐年增长态势。据统计,广州市公安机关2017年运用远勘侦破的案件是29宗,2018年为105宗,2019年为108宗。网络远程勘验在参照借鉴刑事技术现场勘验检查规则的基础上,结合其特殊性和实际工作需要,逐步形成了相应的专门规则、行业标准和操作流程、方法。与此同时,远勘也面临着实际操作中的一系列风险和挑战,并未得到“满分认可”。基于此,准确追溯产生远勘困境的根源,实时动态地修正和完善规则就成为公安机关等执法部门急需解决的现实课题。

电子数据取证中的网络远程勘验:规制 实践与完善

 网络远程勘验特征之解读


早在2005年发布的公安部《计算机犯罪现场勘验与电子证据检查规则》中就作出了相关规定,计算机犯罪现场勘验与电子证据检查包括现场勘验检查、远程勘验和电子证据检查。本调查所称网络远程勘验(以下简称“远勘”),是指具备专业计算机技术民警通过网络对远程目标系统实施勘验检查,以合法、必须为前提,以事实为依据,提取、固定远程目标系统的状态和存留的电子数据,从而判断案件性质,确定案件侦破方向和调查范围,为侦查破案提供线索和证据的勘验手段。远勘在案件定性、协助分析犯罪过程、明确侦查范围和方向、提供线索和有效证据支撑等方面发挥着不可替代的作用。其主要特点主要表现在以下几方面:


(一)远勘主体为具备特定专业背景的侦查部门民警。


远勘涉及到各种各样的网络及计算机专业及新型技术问题,具有较高的技术含量,其主体必须由两名以上具备法律、计算机等专业知识的侦查人员进行,并邀请一名以上符合条件的见证人。因特殊情况无法找到见证人的,要在笔录中写明情况,采取录像的方式对现场活动进行固定。从目前的操作现状来看,一线办案民警对专业操作并不熟练,无法按全套的技术规范来做,通常由网警部门民警承担。随着远勘业务的不断发展扩大,国保、技侦、刑警等其他警种及一线办案单位也将参与其中。


(二)远勘以各类远程目标系统为对象,动态性、隐蔽性、无形性交织。


网络远程勘验对象是各类远程的信息系统和留存的电子数据。这就决定了远勘对象及获取的网络证据是动态的, 因为互联网及产生的数据时刻不停的在变化和更新,一旦证据消失便很难重新获取。其次,远勘对象具有隐蔽性。远勘是网上在线提取的升级和递进,用于提取半隐秘或秘密的网络信息,在犯罪嫌疑人不知情的情况下获取第一手证据资料。另外,远勘的客体往往很复杂,类型多样,包括无法提取原始存储介质的远程计算机信息系统、在线传输的数据及存储于其他无法扣押的计算机系统内的数据。


(三)远勘必须遵循合法、必要、客观和安全原则。


因其自身的隐蔽性和敏感性,远勘必须严格按照规定来操作。合法性原则包括程序合法(经过主管部门审批,严格按照适用对象和期限执行)、实施主体合法(二名及以上侦查人员或经审批的辅助人员、一名以上符合条件的见证人)和结果形式合法(远勘笔录)。必要性原则强调远勘不能滥用,只在犯罪具备一定严重性程度或其他取证措施无法认定案情关键细节的必要时候方能实施。客观性和安全性指的是侦查实验应在防止证据破坏或灭失的情况下,客观真实完整地记录结果,过程必须高度保密。


(四)远勘过程严谨、规范,生成完备的制作文书。


整个远勘过程都是在计算机上完成,网络数据肉眼看不见、摸不着,需要依托特定的软硬件设备,借助特定的技术,完整地记录整个远勘过程才能得以生成、展示。一是根据《GA/T 756-2008 数字化设备证据数据发现提取固定方法》,要对远程勘验过程中提取的目标信息系统状态数据、目标网站内容数据以及勘验过程中生成的其他电子数据,计算其完整性校验值并制作《固定电子数据清单》。二是记录关键步骤。对远程勘验过程中提取和生成电子数据的关键步骤,应当采取录像、照相、截获计算机屏幕内容等方式进行记录。三是制作《远程勘验工作记录》。远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子数据清单》、《勘验检查照片记录表》、《远程勘验记录签名》以及截获的屏幕截图等内容组成。


(五)从法律适用来看,基于实践经验提炼的法律法规为网络远程勘验提供合法有效支撑。


为着力解决相关法律法规较为原则,缺乏细致规定的难题,公安机关坚持“同上位法和相关司法解释协调衔接”的原则,以办案所遇实践问题为导向,打击犯罪与保护人权并重,逐步完善相关法律法规。2005年,公安部《计算机犯罪现场勘验与电子证据检查规则》中,首次提出了远程勘验的定义并制定了工作规则。2013年,新修订的《刑事诉讼法》为进一步查明及获取远程目标电子数据状态和内容而采取必要的搜索、破解等主动侦查操作具备了法律依据。2016年,“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》出台,表示为进一步查明有关情况,必要时可以对远程计算机信息系统进行网络远程勘验;网络远程勘验需要采取技术侦查措施的,应当依法办理严格的审批手续。2018年,公安部《公安机关办理刑事案件电子数据取证规则》中,对远程目标安装新程序、生成新数据等网络远程勘验的六种情形作出明确规定。


电子数据取证中的网络远程勘验:规制 实践与完善

网络远程勘验在司法实践中运行良好,适用案件范围日益扩大


网络远程勘验的基本逻辑在于,通过技术手段获取第一手线索和证据,为后续的案件审理提供依据。在过往的十余年,随着互联网生态的不断发展变化,网络远程勘验面对的目标对象范围不断扩大,不同时期又有着对应的典型案例。


(一)以涉黄论坛网站为目标的传播淫秽物品类案件


网安部门在传播淫秽物品类案件初查阶段,用截图方式在论坛各版块网页上逐一固定数百张涉黄图片,交由治安部门鉴定内容属于淫秽的图片达到四百张以上后方能立案侦查。网络远程勘验在这类案件中首先起到了提供立案依据的关键作用,到了案件后期,远程勘验所固定的淫秽图片又成为定罪量刑的证据。近年来,随着网络直播平台的兴起,此类案件的案情随之发生变化,远程勘验的目标也由静态的网页图片转为动态的流媒体信息。


(二)以赌博网站为对象的赌博案、开设赌场类案件


赌博网上的投注记录是案件的主要证据,这些数据在案件收网后会很快灭失,需要通过远程勘验及时进行固定。远程勘验时,侦查人员根据被抓获的犯罪嫌疑人提供的赌博网站账号及登录密码,登录该账号所在的赌博网站,在见证人的见证下查阅该账号的投注记录,通过选取起始日期生成综合报表,固定相关时间段内对投注金额、代理占成比例、代理佣金比例与数额以及上下家层级等报表式数据,制作远程勘验记录并刻录光盘。


(三)以社交应用平台为远勘目标的寻衅滋事类案件


自2006年脸谱网(Facebook)从美国始创以来,全球范围内的各类社交应用平台便如雨后春笋般出现并迅速成为最热门的网络应用。其中被封堵的脸谱(Facebook)、推特(Twitter)、优兔(Youtube)等境外平台上充斥着大量违法有害的信息,如有国内网民在这些社交平台上发布或转载触犯刑法规定构成犯罪的信息,公安机关需要运用网络远程勘验固定相关信息形成案件证据,主要操作方式同样是屏幕截图,记录特定社交账号所发布的图文内容。


(四)云服务器应用系统日益成为主要远勘对象


近年来,随着云存储和云服务器租赁价格变得大众化,现已成为架设网络应用系统的首选渠道。而在公安机关办理的诈骗、传销、非法吸收公众存款、侵犯公民个人信息等类型案件中,犯罪团伙为了躲避法律制裁而将运行有核心业务应用系统服务器架设在境外的云平台上。为支撑案件侦查,公安机关对此需要运用网络远程勘验去固定云服务器应用系统中的大量涉案数据,取证过程中往往还需要采取一些专门技术方法。此类远程勘验主要围绕获取相关云服务器应用系统的数据库开展,如无法直接获取数据库内容,只能退而求其次地用屏幕截图将目标平台上各个涉案用户的数据逐一浏览展示并记录,则工作量会倍增。


电子数据取证中的网络远程勘验:规制 实践与完善

当前网络远程勘验现实困境的具体表现形式


远勘能否切实发挥预设功能,很大程度上取决于具体的办案实践过程。当前,由于网络远程勘验涉及许多专业技术操作,公安部对实施主体暂时限定在县级公安机关层级,未能在各类案件中广泛开展远程勘验,在实际工作仍存在诸多问题有待解决。因此,有必要对相关问题进行系统梳理、全面检视,进而有的放矢提出完善意见。


(一)部分办案人员未树立及时固定证据的意识,初期远勘意识不够强


在瞬息万变的互联网上,上分钟看到的信息可能在下一分钟就产生变化。一些案件的初查阶段所发现掌握的网上线索,如果不及时、完整、规范地固定成为证据,一旦灭失后就会使案件侦办陷入被动。在实践中,有的办案人员仍未树立证据链意识,利用初查时零星的屏幕截图等线索信息便开展后续侦查工作,错失最佳时机,临近收网抓捕才实施远程勘验固定网上涉案数据,此时数据已经被删除或发生改变,导致电子证据灭失,或是使作为证据的电子数据存在一些瑕疵。


(二)对证据转化过度依赖,网络远程勘验的证据依然存在采信难问题


2013年修订的《刑事诉讼法》将电子数据纳入法定证据,电子数据无需再转化为书证等其他证据形式。然而,部分办案人员和审查人员仍抱有陈旧的思维模式或“白纸黑字”的证据理念,认为网络远程勘验所做的屏幕截图需要打印出来由犯罪嫌疑人或数据持有人签名确认才算是完整有效的证据。这种不到位的认识将直接导致办案实践的不可操作性。例如,某宗案件中远程勘验固定了成百上千张屏幕截图,都要逐一打印签认的话则不切实际,浪费大量人力和时间。在现行法律背景下,犯罪嫌疑人确认截图中的网络账号为其本人使用,制作问话笔录进行说明即可。


(三)缺少专业固定的网络远程勘验见证人队伍


根据相关规定,网络远程勘验应当有符合条件的人员作为见证人,由于客观原因无法由符合条件的人员担任见证人的,应当对勘验过程进行录像。在实际工作中,网络远程勘验的情形与现场勘验取证的情形还是存在较大区别,要求见证人见证整个勘验过程存在以下问题:首先,网络远程勘验通常是在公安机关的电子数据取证实验室进行的,在内部办公场所内除了公安民警和聘用人员,难以找到符合条件的见证人;其次,部分远程勘验耗时较长,很难有见证人愿意配合。在网络带宽有限的情况下,远程勘验下载数据所需时间可能是现场勘验的十几倍甚至上百倍,大多数时间是无人工干预的数据传输时间,见证人日以继夜看守难以实现;再次,对于电子数据远程勘验涉及国家秘密、淫秽色情、宗教极端、民族分裂、暴力恐怖等内容时,存在泄密或者违法信息、敏感信息传播等问题。在案件初查阶段进行的远程勘验涉及案件侦查等警务工作秘密,寻找能保守秘密又可靠的见证人实属不易。因此,远程勘验的过程监督往往难以找到见证人,多数是用录像来记录过程,并在笔录中注明情况。


电子数据取证中的网络远程勘验:规制 实践与完善

完善网络远程勘验的路径分析


随着电子数据取证实务的推进,网络远程勘验不断的修正、调整和完善,取得了长足发展。为进一步理清概念、解决远勘结果认证难问题、明确远勘操作主体,针对上述存在问题,公安机关网安部门必须坚持“内外联动、形成合力”原则,逐步完善实施细则、充实远勘侦查人员和见证人两支队伍,并寻求有效取证与保证权力的有效平衡。


(一)厘清建构理念,完善远勘实施细则。


当前,关于网络远程勘验的上位法及标准方法尚未明确,可能增加实际操作中的随意性和不确定性,引发社会公众对电子数据的担心。对此,公安机关网安部门应会同刑侦、法制部门,结合勘验工作特点,坚持下位法不得突破上位法的法治原则,在《刑事诉讼法》的边界内理解、实践网络远程勘验。明确规定初查阶段不得采取妨碍公民人身、财产权利的方法收集、提取电子数据。针对网络远程勘验中关于邀请见证人、采用技术侦查措施等专门问题,结合具体案情继续完善网络远程勘验的流程细节要求,制定出台合理可行的实施细则和适用条件,结合实践摸索解决方案,形成行业标准。


(二)制定技术标准,构建专业的远勘工具体系。


《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》理解与适用没有对取证设备的技术标准作出要求。实践中,网络远程勘验需要用到各种各样的专业网络工具,这些点对点传输软件、下载加速软件、加密匿名通讯软件等工具都必须合法合规。现行规则下,如对相关取证设备有疑问,只能通过出具说明、侦查实验、程序功能检验或鉴定予以验证。公安机关应对远程勘验所要用到的网络取证工具进行收集汇总,择优建立远程勘验专用工具体系。纳入体系的工具都应经过公安机关的检测认证,制定技术标准,对远勘工具的来源、合法性、使用程序等予以规范,并根据不断升级变化的办案需要实时作出调整和修改。此外,需要实现特殊功能的工具也应以体系标准去定制开发。


(三)强化初期侦查意识,组建专业化远勘取证队伍


按照习近平对政法工作的指示要求,要自觉把专业化摆在更加突出的位置来抓。因此,公安机关应该抓住历史机遇,建立专业化远勘取证队伍,将侦查经验丰富的侦查人员、网络技术过硬的技术人员、通过司法考试的法制人才组建成职业化、专业化电子数据侦查取证队伍,统一管理、系统培训,提升办案人员办案过程特别是初查阶段远勘取证意识,及时固定、冻结相关证据,主动适应办案新形势新需求,保持与最新科技和案件形势同步,提升网勘取证本领和实战水平。同时,建立远勘资格认证制度,设立电子数据取证专家库,完善人才培养和储备机制。


(四)明确勘验见证人的资质要求、适用条件及权利义务,形成较为完整、系统的见证人制度


鉴于远程勘验的半隐秘或全隐秘性,见证人在整个过程中发挥着不可替代的作用,直接决定结果的可信度和可靠性。在现有基础上,要完善见证人制度并在实践中真正发挥效用。一是明确见证人资质要求。为确保远勘过程的公平公正,建议邀请具备相关计算机技术的人员参与远勘侦查活动的见证。不具有相应辨别能力、与案件有厉害关系或公安、司法机关工作人员或聘任人员均不得担任见证人。二是明确见证范围。针对案件或提取电子数据涉及国家秘密和国家安全的情形,安排见证人在场可能会造成泄密和违法信息传播的后果。应采取必要的保密措施,仅对勘验过程进行见证,不得向见证人展示电子数据内容。三是完善见证人邀请程序。从确保远勘结果客观公正的角度看,公安机关作为实施远勘等侦查活动的主体,不适宜直接邀请见证人。建议侦查部门委托与案件无关的第三方机构,采用正式通知的形式,指定具备相关资质的人员见证远勘过程。


(五)积极沟通协调,形成共识,解决远勘数据采信难问题。


 “两高一部”联合下发的司法解释自施行以来,检察院、法院对公安机关移送的电子证据及相关笔录等证据审查越来越严格,这就要求网络远程勘验等电子数据取证工作必须不断细化规范。实践中,公安机关、检察机关和审判机关对于电子数据应当符合哪些条件才能作为定案根据有不同的认识和标准。网安、法制部门要主动与检察院、法院沟通协调,统一证据标准和要求,规范取证流程,明确法律适用,结合案例对网络远程勘验的运用条件、独到作用、证据效力、结果移送和勘验结果的采信度等相关审查要点达成最大共识,为依法合理运用网络远程勘验结果建立常态长效机制。

电子数据取证中的网络远程勘验:规制 实践与完善

作者简介:

冯聪,警务技术副高级,硕士,广州市公安局电子数据检验鉴定实验室授权签字人、警务技术一级主管,广东警官学院新型犯罪研究中心研究员,公安部、广东省公安厅、广州市公安局网络安全技术专家库成员。 


电子数据取证中的网络远程勘验:规制 实践与完善





本文始发于微信公众号(数据安全与取证):电子数据取证中的网络远程勘验:规制 实践与完善

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: