2016年9月,最高人民法院、最高人民检察院、公安部制定了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的司法解释,对电子数据的定义和范围作了明确的规定,规定电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
电子数据最底层是以二进制位的方式存储在一定的介质载体上,具有数字性特征,无法被人直接感知,电子数据和介质载体不是对应关系,电子数据可以存储在不特定的多个介质载体上,数字性特征也是电子数据区别于其他类型证据最本质的特征。
电子数据一般存储于云、服务器、计算机、移动硬盘、智能手机、U盘等介质载体中,介质载体的容量决定了电子数据所蕴含的信息量。随着技术的进步,介质载体的容量呈现快速的增长,因此现如今电子数据所蕴含信息量巨大,比如,服务器、移动硬盘以TB来计算,U 盘动辄上百GB。电子数据所蕴含的信息量大也为检察机关快速、全面审查分析电子数据带来很大难题。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
以上三个特性是电子数据最重要的性质,直接影响电子数据作为证据的合法性、客观性、关联性。电子数据存储于一定的介质载体中,当介质载体出现损坏或者环境发生变化时,就可能导致电子数据的丢失。电子数据是以数字化的形式存储,容易被人通过各种手段进行篡改。同时存储电子数据的介质载体没有不可逆的物理损害,可以利用相关的数据恢复技术对被修改的数据进行修改,能恢复多少电子数据需要根据具体的情况,比如,缓冲区覆盖、数据恢复工具版本、系统安全设置等。
刑事案件办理过程中并不是所有用数字化形式存储的数据都是电子数据。例如,用同步录音录像方式记录的犯罪嫌疑人、被告人供述和辩解、证人证言、被害人陈述等,虽然都是以数字化形式存在,但是没有改变言词证据的本质,只是获取的手段和方式不同于传统模式,故不能认为是电子数据。
电子数据与视听资料有许多相似之处,均存储于一定的介质载体上。对于一些图片与音视频资料则区分难度较大,目前法律层面上尚无明确的规定,有学者以“数字信号”和“模拟信号”两种不同存储方式予以区分。认为电子数据是以“数字信号”进行存储,即以“0”和“1”两个二进制位组合进行存储,属于离散信号,而“模拟信号”则随时间的变化是连续的,比如,录像带存储、胶卷相机拍摄等都是视听资料。
笔者认为以上区别的方式符合两种证据的性质,随着科技的进步,绝大多数数据均是以“数字信号”方式存在,以“模拟信号”存在的视听资料基本不存在,视频资料是否会被电子数据所吸收,值得探究。
网络犯罪的证据构成区别于传统犯罪,检察机关审查证据和庭审质证的思维需要转变,传统犯罪的证据构成可能主要是物证、书证、言词类证据等,但是网络犯罪的证据体系以电子数据为核心,电子数据处于基础地位,电子数据往往对被告人最后的定罪量刑起到决定性作用。因此,关于刑事证据规则的最佳证据规则、非法证据排除规则等内容都需要重新界定和解释。
案件中原始的电子数据是以数字化形式存储的数字信号,无法直接可见和感知,通常采用打印、刻录成光盘、另存于移动介质等方式提交给庭审现场,严格讲这并不符合最佳证据规则的要求,因此不属于电子数据的原件,由于电子数据的特殊性,可以通过真实复制、完整呈现的方式展示电子数据,变通实现这一规则。适用于电子数据的非法证据排除主要集中在取证程序的规范性和保存的完整性上,因为均可能破坏电子数据的最终的真实性。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
2016年施行的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中,对电子数据提取和保存做了明确的规定,其中第二十八条规定了不得作为定案根据的情形:
(一)电子数据系篡改、伪造或者无法确定真伪的;
(二)电子数据有增加、删除、修改等情形,影响电子数据真实性的;
(三)其他无法保证电子数据真实性的情形。
这是通过司法解释明确规定电子数据关于非法证据排除的情况,违反取证程序或保存规定导致电子数据真实性存疑,即使能够补正,也应当适用绝对排除。这是对其他通过非法方式取得的实物证据采用补正方式的有益补充。
电子数据具有易丢失、易篡改、易污染的特点,电子数据需要经过复制、转换、显示才能够被识读,在此过程中,任何操作都有可能降低电子数据的客观性,从而影响其真实性,导致庭审时受到质疑。检察官在庭审时应当有充分理由证明电子数据来源可靠,提取保存合法,确保电子数据的真实性不会受到质疑。
因此,检察机关在办理网络犯罪时首先应当根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》审查电子数据的提取、保存等影响其真实性的程序性事项,形成电子数据的逻辑链条和举证的闭环关系。如果电子数据的真实性得不到保证,应当将其排除案件证据之外不能进人庭审。
完整性审查可以看作真实性审查的一部分,最终确保电子数据具有真实性,因为完整性审查较为重要,需单独进行说明。一般情况下应当扣押电子数据的原始存储介质,检察机关应当重点审查封存状态和笔录,对于无法扣押的情形,侦查机关就需要提取电子数据,提取过程必须进行录像,包括计算完整性校验值阶段,检察机关在审查时应当重点审查完整性校验值的一致性。
完整性校验值能够从技术层面判别电子数据是否为提取的原始数据,因为不同的数据内容对应的完整性校验值肯定不对,同时也是不可逆的。检察机关需要根据公安机关采用的校验算法进行计算,并将得到的结果与公安机关提供的校验值进行比对,即可判断电子数据是否被修改。
电子数据的提取应当体现及时性,检察机关需要对提取电子数据的及时性进行审查。因为电子数据的来源是多样的,可能来源于网络、内存、缓存等,以上区别于以稳定形态存储于一定介质的静态电子数据,可能会随时进行变化,这是由于介质载体的特点决定的,不受人为因素干扰。
如果提取不及时,即便后面的扣押或提取阶段完全合规合法,也无法证明所获得的电子数据就是犯罪分子作案时的数据,在庭审时若被辩护方所利用,将会使指控方陷人被动,因为这种情况是客观存在的,因此很可能被法院排除。例如,“快播”案件庭审过程中,被告人利用对服务器电子数据提取经历的环节过多时间过长而质疑庭审中的电子数据与实际情况不一致。
电子数据提取、转换、分析等往往带有较强的专业性,一般的侦查人员由于专业受限,需要聘请专业的电子数据鉴定机构进行委托鉴定。检察机关应当从几个方面审查关于电子数据的鉴定意见,确保鉴定意见在庭审时能够经得起专业检验。
首先,审查鉴定机构和鉴定人资质,对于无鉴定资质的技术人员所作出的鉴定意见,应当排除,即便是权威专家做出的结论。其次,审查鉴定的方法、步骤、实施路径是否满足电子数据的完整性和真实性,对电子数据的完整性和真实性审查是贯穿案件始终的。最后,要审查鉴定结论与鉴定内容的关联性和鉴定流程的逻辑性,鉴定过程也许可能有代码分析、技术论证、算法解读等,专业性很强,可以通过询问鉴定人或者聘请有专门知识的人进行。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
电子数据提取笔录在网络犯罪刑事诉讼中的价值主要是为电子数据的真实性审查提供依据,起到连接电子数据与案件事实的纽带作用,能够客观、真实地反映电子数据提取的过程,因此电子数据提取笔录是不可或缺的证据材料。
检察机关应当按照相关司法解释的规定对电子数据笔录进行详细审查,对于极易变化的动态电子数据提取过程具有不可回溯性,即电子数据的完整性随着提取过程发生变化,意味着提取笔录也不具有可回溯性,检察机关应配合同录视频一起进行审查。
网络犯罪中的电子数据易变化、涉案证据数量有限、难以完整提交给法庭,因此在网络犯罪中处于核心地位的电子数据本身是一种证明力较弱的证据种类。如果没有其他证据加以佐证进行补强,不利于法庭查明案件事实。检察机关审查网络犯罪案件时应当摒弃“唯电子数据论”的思想,强化其他补强证据的作用,增强电子数据的证明力。
当然审查补强证据应当在审查电子数据之后,如果电子数据因真实性原因被排除之后,审查补强证据已没有意义,在庭审环节,检察官出示电子数据时,也应当遵循这一原则,强化法官增强电子数据证明力的自由心证。补强证据的来源有很多,凡是具有证据能力的物证、书证、证人证言、辨认笔录等都可以成为补强证据。比如,针对电子数据的辨认、前面提到的提取笔录、涉案计算机信息系统的安全性鉴定和分析、涉案计算机所处环境的调查、证明电子数据形成过程的附属信息、涉案计算机周围的监控视频、机房维护日常进出表等。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
检察机关审查网络犯罪案件的电子数据时,应进行全面综合分析。因为电子数据之间往往存在关联性,比如,微信的聊天记录、支付记录、地图定位数据等,如果孤立审查以上证据,则很可能难以做到全面审查,将数据结合起来分析,则可能形成完整的证据链条。
同时对于多人犯罪的情况,对电子数据综合分析更为必要。比如,某个犯罪分子的手机微信聊天记录,不仅反映了其本人的犯罪行为,还可能反映与其关联的其他犯罪分子的犯罪行为,或者能够发现超出案件本身检察官尚未掌握的其他违法犯罪行为。
目前,提取电子数据在相关的司法解释约束指导下能够较好地实现,但是针对提取之后的分析,要做到全面分析难度还很大,特别是海量数据,这需要不同案件类型分析模型与标准的训练和确定,以及大数据分析技术的支撑。
办理网络犯罪的检察官应加强对计算机、网络基本知识、完整性校验值计算等方面的学习。可邀请科研院所的专家、学者到单位举办讲座进行集中培训,解析网络犯罪中的技术性问题,同时,可邀请电子数据取证专家对办理网络犯罪电子数据审查和分析进行培训。同时如今信息网络异常发达,可借助线上学习和培训的方式增加网络犯罪相关技术知识的储备,提高办理网络犯罪案件的综合能力。
实践中,检察机关的技术人员大多不具备法律知识,检察官需要技术人员展开技术协助时,技术人员往往只能就技术谈技术,很难结合案件本身发挥作用。因此,应当鼓励检察技术人员学习法律知识,考取法律职业资格证书,还可探索技术人员到业务部门进行锻炼,从司法实践中将技术与业务结合起来,培养既懂法律又懂技术的复合型人才。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
对于网络犯罪中的疑难复杂案件,检察机关提前介入后,应当引导公安机关及时开展电子数据取证工作,同时引导公安机关按照法律法规开展电子数据提取,确保电子数据提取程序规范、合法。为了确保电子数据的完整性,要求公安机关在电子数据提取完成之后立即计算完整性校验值,同时,提取过程和提取之后的保存应当按照法律法规进行,保证电子数据的原始性。
对于海量电子数据,可以引导公安机关进行必要的电子数据分析,为检察机关综合分析电子数据奠定基础。对于需要远程取证的方式获取电子数据时,应当要求公安机关进行同步录音录像,完整记录整个取证过程。
检察机关审查海量电子数据需要借助电子数据分析平台。大数据可以为电子数据分析提供有效技术手段,能够解决海量电子数据无法进行人工审查的问题,通过不断学习和训练的方式,不同类型的电子数据之间相互碰撞产生联系,随着案例的不断积累,分析的结果也会越精准。
电子数据分析针对不同网络犯罪案件类型很难有统一的分析模型。需要对不同案件类型的特点进行总结和归纳,结合大数据技术针对不同案件类型建立科学的分析模型,将分析要素提炼成数学模型,合理设置参数,不断训练数据再进行模型优化、然后进行研发,以上是一个迭代的过程,在研发过程中,检察官需要全程深度参与,只有检察官结合具体案件才能判别建立的模型、研发的系统能否满足案件实际办理的要求。
![检察机关办理网络犯罪电子数据审查探析]( "检察机关办理网络犯罪电子数据审查探析")
电子数据的审查分析往往带有很强的专业性,检察机关应当重视有专门知识的人在电子数据审查分析中的作用。比如破坏计算机信息系统类的犯罪,犯罪分子可能具备较高的专业素质,检察官遇到案件中的技术性问题时,往往不能将里面的作案细节弄清楚,这时可以聘请有专门知识的人进行咨询并参与办案,针对技术性问题发表专业意见,在庭审时针对技术性问题的辩论也可以向法庭申请有专门知识的人出庭,还有鉴定意见中的技术分析、论证部分可能会很专业,例如,解析源代码、分析系统架构等,也可以聘请有专门知识的人对鉴定意见进行说明和解读帮助检察官对鉴定意见进行全面审查。检察机关可以针对网络犯罪建立技术专家库,必要时从专家库中选取合适的专家对案件中的技术性问题发表专家意见。
文章来源:《检察技术与数字监督》
作者:四川省成都市武侯区人民检察院 蒲泓全 钟川
原文始发于微信公众号(网络安全与取证研究):检察机关办理网络犯罪电子数据审查探析
评论