关键词
事实重建如同一场复杂的“多维拼图游戏”,其中拼图碎片种类繁多,有些是视觉的,有些是微观的,有些可能是丢失、损坏,甚至被人为伪装的。因此,为确保“拼图事实”的准确性、完整性、有效性,需要不遗余力地获取尽可能多的、信息丰富的、相互关联的碎片。而电子证据凭借其独特的优势,与拼图游戏追求的完美愿景不谋而合。从电子证据的自身特色上看,电子证据“场”形态具有信息海量性、多元性、以及逻辑关联性等特征,为事实重建工作提供前提和基础;从重建理论的横向比较上看,基于电子证据的重建理论相较于人证、物证重建,能够更为客观可靠地还原事实。
(一)电子证据的“场”形态优势
“场”概念最初源自物理学,用于描述分布在一定空间区域中的物理量,如引力场、电场等。这一概念随后扩展至社会学、心理学等多个领域。而电子证据的“场”形态,又称为“虚拟场”或“数据场”,通常是指“由硬件和软件创建的虚拟环境,其中存在着有关犯罪或事件的数字证据”。电子证据“场”中蕴含着电子证据产生、变更、修改等丰富信息,为事实重建提供依据。
第一,电子证据场中蕴含海量数据资源,为事实重建提供充沛素材。实践中,侦查人员、调查人员越来越多地采取硬盘镜像、手机提权、数据冻结等方法复制数据,在个案中形成了大量的数据复制“场”。具体来说,侦查人员对单机电脑、服务器硬盘、U盘等存储介质进行取证,首先要制作镜像复制件,即通过“逐比特的复制镜像完整记录磁盘上删除文件、未分配空间和交换空间的内容”;对手机等设备进行取证,第一个步骤便是获取手机权限,复制其中的数据;对云空间等远程数据进行取证,在获取用户名密码后远程下载数据,形成复制件等。这些复制件所包含的数据量巨大,表现出“超容性”的特征。所谓“超容性”是指一个普通电子介质(如硬盘、U盘)所承载的电子数据量远远大于纸面材料、实物材料所蕴含的信息量。这些数据“由大量结构化和非结构化数据组成,所有这些数据都与各种文件系统、操作系统、设备和媒体类型混合在一起”,数据量普遍以太字节(TB)、拍字节(PB)、艾字节(EB)、泽字节(ZB)甚至尧字节(YB)为单位计量。例如,在2016年北京查处的“e租宝”非法集资案中,侦查机关收集到的“e租宝及芝麻金融数据”至少包括1万多个账户的几十亿条资金交易流水信息,“集团OA系统中关于会议、财务、合同的数据”涉及200多台服务器,全案数据总量达到30TB左右。这充分说明,电子证据蕴含的信息量之庞大,远非纸面卷宗的容量能比。
第二,电子证据场汇聚了多元信息,为实现事实重建的覆盖性提供前提。事实重建“应通过增强全面覆盖来实现完整性”。海量数据若仅能提供单一信息内容,则难以回答事实重建中“何事”“何时”“何人”等的基本追问。然而,电子证据场中蕴含了丰富的信息,能够帮助还原事件的全貌。在镜像、磁盘等大数据场中,所蕴含的信息呈现出异构性特征。这种异构性体现为电子证据场中内容涵盖了不同维度信息,如时间信息、地点信息、账户信息、事件信息等。具体而言,设备系统提供了电脑、移动终端等存储和网络设备的品牌、型号、MAC码,设备唯一编码,软件的名称、版本号等基础信息;设备接入互联网时,则包含了用户姓名、身份证号码、家庭住址、接入地址、接入时间、登录时间、家庭成员情况等基础信息;系统日志记录则详细记录了电脑、移动终端、服务器、智能卡、数码设备等网络接入设备和存储设备的原始操作运行记录数据。即使是单个文件或图片构成的小数据场,也蕴含着多维度的信息。研究表明,电子证据不能看作是孤立的文件或数据,而是内容数据、附属信息和关联痕迹的总和。其中,内容数据是电子证据的正文,附属信息是在内容数据生成、存储、传递、修改、增删时发生的记录,关联痕迹是因生成、存储、传递、修改、增删内容数据而导致新产生的相关痕迹。以Word文档为例,一份文档的价值不仅在于其记录的文本内容,文档的附属信息还记录了基本的创建时间、修改时间、最后一次保存时间、保存者信息、文件大小及其存储位置、甚至是GPS信息等。
第三,电子证据场中信息展现出逻辑关联性,为重建事实的连贯、一致性提供保障。早在19世纪末期,奥地利刑事司法学家汉斯·格罗斯(Hans Gross)便论述过犯罪事实重建,主张对待案情应具备系统分析判断能力,并在案件调查中“注重逻辑性和事物发展的连续性”。这一观点在电子证据场中得到了印证。一方面,电子证据场中数据在不同层次之间存在逻辑联系。一般而言,一个事件或数字犯罪必然伴随着系统资源的使用而发生,这些资源包括文件系统、进程间通信、内核、网络、内存管理、密钥(安全)和驱动程序等。例如,使用Adobe Acrobat软件,可以在应用层打开涉密的电子合同(PDF版本),看到电子合同内容;在操作系统层面,可以看到涉密的电子合同(PDF版本)所在的位置,搜索其被打开时形成的缩微图片等痕迹;运用Winhex软件,可以在文件系统层读取涉密的电子合同(PDF版本)的十六进制信息,包括文件头、文件内容、文件尾信息,据此了解其使用的扫描仪、扫描时间等;运用邮件读取软件,可以在网络层了解涉密的电子合同(PDF版本)被发送时使用的邮件地址、邮件服务器、发送接收时间及相关IP地址等。另一方面,电子证据及其衍生材料之间同样具有逻辑关联性。例如,办案人员对不同电子证据的手机进行提取,既会留存相关的电子数据,也会产生相关的法律文书,如勘验笔录、网络在线提取笔录、侦查实验笔录以及关于电子证据的鉴定意见书、检验报告等,这会展现出独特的“鉴—数—取”链条。上述天然的逻辑关联性,可以被称为是要素间的“连属关系”,为事实重建提供有力支持。
(二)电子证据重建的比较优势
传统的案件事实重建包括人证重建和物证重建。在人证重建中,案件事实依赖于人的大脑记忆,通过人的陈述表达出来构建事实。一般而言,人证要经过感知、记忆、陈述三个阶段。这三个阶段都可能会因各种主客观因素的影响而出现失真,使人证所证明的案件事实与案件的客观真实情况不符。例如,与案件事实存在直接利害关系的当事人经常会故意做出一些“于己有利,而于事不符”的表述;与案件并无利害关系的证人也可能受到感知、记忆及表达的主观局限,而做出缺乏客观性的证据。又如,在侦查讯问中,侦查人员可以通过法律所赋予的权限操控讯问的进程、方式以及环境,使作为被动者角色的犯罪嫌疑人做出背离事实的口供。这即是传统人证重建所面临的潜在真实性挑战。
随着法庭科学的不断发展,以物证为核心的重建理论逐渐崭露头角。它是通过解读物证蕴含的信息还原案件事实。相较于人证,物证作为一种客观存在,具有较强的真实可靠性。它一旦形成,便外在于人,其本身不会因主体性因素而对附着其上的案件信息进行改变。诉讼法学者裴苍龄教授指出,“物证有相对稳定的形体、相对稳定的状态、相对稳定的物性,同待证事实之间的客观联系也是比较稳定的。”但是,物证重建过程中往往需要人的解读才能揭示其中蕴含的事实价值。很多微观或隐性的物证信息一般不会主动进入司法人员的视野,而是需要能动的收集方法和专业的技术手段进一步加工处理,例如勘验、鉴定等。其中,勘验是依靠“五官直觉”进行的,如通过勘验笔录或现场笔录对物证的特征、所处的空间位置以及物证之间的外部联系进行的描述和分析,又如通过观测杀人现场的血迹喷射形状以及与案发具体地点的位置距离来判断作案人的力度和攻击方向等。而鉴定则是依靠专业知识进行的,如运用毒物原理、弹道原理、X射线成像技术、多波段光源、低温荧光摄影技术等高科技对物证进行检验或鉴定。可见,物证解读工作背后离不开人的专业知识和经验判断。因此,如果专家或司法人员在解读物证时出现了偏差,则可能引导事实重建工作走向错误的方向。
与人证重建、物证重建相比,电子证据重建理论在客观可靠性方面更具优势,具体体现在以下三个方面。一是,电子证据重建以电子证据为依据,能够全面揭示事件来龙去脉。根据前文论述,电子证据的“场”形态中数据具有海量性、多元性、逻辑关联性等特征。与物证通常只能揭示事件的某一状态或时间节点相比,电子证据能够更为完整地揭示事件经过。二是,电子证据分布空间具有混合性,进一步增强了事实重建的可靠性。相较于物理空间下的物证重建工作、心理空间下的人证重建工作,电子证据不仅存在于虚拟空间,还存在于存储电子证据的介质如硬盘、服务器等所占据的物理空间。这种跨空间的特点使得电子证据所蕴含的信息在不同层面相互关联、印证,从而更有力地支撑事实重建工作。三是,电子证据重建过程依赖于自身的讲述和专家的技术解读,一定程度上消解了人的主观性。一方面,电子证据本身具有类物证、书证的客观存在性,其内容可以直接“讲述”事实,例如合同文件正文可以直接表明当事人之间的法律关系,邮件正文可以反映当事人之间的往来信息等。这些电子证据的内容本身即具有高度的客观性,无需过多依赖人的主观解读。另一方面,由于电子证据往往是基于标准化、机械化、流程化的程式形成的,这种程式压缩了专家解读的主观空间。因此,可以说电子证据重建真正实现了“让证据自己说话”,为事实重建提供了更为客观和可靠的依据。
三、电子证据重建理论的学理阐释
(一)基本内涵与类型化
电子证据重建理论是指基于电子证据及其蕴含的信息对案件事实进行有效重建或还原。具体而言,电子证据重建理论包含以下三大要素。
第一,电子证据重建理论以电子证据及其所在介质、转化材料为重建基础。所谓介质是存储电子证据的载体,包括软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒(Memory Stick)等实物。在云计算或云储存等特殊情况下,存储数据没有有形的载体,但可以通过账号密钥等进入云服务器中,这亦可被扩大理解为存储数据的介质。介质中蕴含了电子证据产生、变更、修改等一系列过程的痕迹信息。在实践中,实务者往往很少直接以光盘或移动硬盘中的电子证据证明案件事实,而多是转化为鉴定意见书、专家证言、勘验笔录、网络在线提取笔录、公证书、第三方机构存证证书的方式提交。有的甚至是直接打印为网页、文档的复制件等,以当事人签名或不签名的打印材料方式提交。相应地,基于电子证据重建事实,不仅要以电子证据本身为依据,也需要将电子证据的存储介质、转化材料纳入分析之中。
第二,电子证据重建理论以案发事实、案后事实为重建对象。通常而言,重建事实主要聚焦于犯罪事实,这是“法律规定司法机关为了正确做出裁判必须明确的事实,是适用法律不可缺少的基础”,也是侦查领域重建活动的主要目标。然而,电子证据重建的视野更为宽广,它不仅关注涉及犯罪的案件事实,更延伸至案件办理过程中的各个环节,如反映报案过程的受立案事实、反映电子证据收集与提取过程的侦查事实、反映补充调查取证过程的补充侦查事实、反映电子证据来龙去脉的证据事实以及反映鉴定过程与意见合理性的鉴定事实等。这种重建不仅涉及全局性的事实,也能够聚焦于局部事实,无论是案件办理中需要查明的关键事实还是次要事实,都可以通过电子证据进行还原。
第三,电子证据重建理论以原子主义和整体主义认识论为指导。原子主义认识论主张世界是由众多孤立的逻辑原子或原子事实构成的逻辑结构,强调在认识世界时要寻找这些逻辑原子。在电子证据重建工作中,原子主义认识论指导办案人员将电子证据拆解至其最小单元,即电子证据内在属性、关联痕迹等原子层面。通过逐一分析这些要素,办案人员能够更精确地查明和证明案件事实。而整体主义认识论则源于奥地利裔哲学家维特根斯坦的思想,认为世界是由众多处于确定关系中的“状态”构成的总体。在电子证据重建中,整体主义认识论要求办案人员超越单一证据的局限,将不同电子证据以及电子证据与其他类型的证据相结合,形成一个完整的证据链或证据体系。这种整体性考量有助于更全面地揭示案件事实,确保重建工作的可靠性。
显然,电子证据重建理论并非传统侦查领域中人证和物证重建的简单翻版,而是对传统重建理论的一种深化与拓展。从重建基础来看,传统侦查主要聚焦于人证和物证,而电子证据重建理论则围绕电子证据及其所在介质、转化材料进行,这体现了重建基础的转变与丰富。从重建的对象来看,电子证据重建不仅关注传统侦查活动中需要查明的犯罪事实,还涉及案件发生后办案环节的相关事实,这扩大了重建的范围。从主体角度审视,案件事实重建工作不再仅仅是裁判者或侦查人员依职权进行的单方面行动,而是控、辩、审等不同诉讼参与者共同参与的互动过程。“案件事实是一个建构的过程,是以多元诉讼参与者之间的互动为基础”。这一转变使得案件事实的建构包括了公检法机关对案件事实的正面重建,以及辩护方对案件事实的反面审查。从实现目的上看,电子证据重建理论不仅服务于侦查机关查明案件事实、锁定犯罪嫌疑人的需要,更是协助法官、律师等对办案过程中的关键活动进行准确还原,实现对关键证据的实质性审查。
根据电子证据场的规模大小,电子证据重建理论可划分为两大类型。一种是针对小数据场的时、空、人的单轨事实重建;另一种是基于大数据场的综合性事实重建。前者分别以电子证据的时间信息、空间信息以及主体信息为主线开展事实重建工作。后者则是向外拓展至转化文书、系统其他痕迹、传统物证等材料,以体系化思维开展重建工作。
(二)基于小数据场的事实重建原理及规律
小数据“场”是指由单一的文档、图片等孤立的电子数据构成微小的“场”。这些微小数据场能够叙述案件中的小故事。在实践中仅有小数据场的情形颇为普遍,尤其对于辩方而言,经常不会获得由控方提供的包含涉案电子证据的整体镜像文件,而是仅以拷贝形式提供关键的一个或若干个涉案文件。在公安侦查活动中,办案人员获取的往往也只是片段式的线索。这些独立的数据虽然看似零散,但在内容和属性信息上,却往往蕴藏着与事实紧密相关的时、空、人的信息。
在仅有小数据场的情形下重建事实,应充分把握电子证据双联性的规律。所谓电子证据的双联性,即内容关联性、载体关联性。其中,载体关联性可进一步区分为人的关联性、事的关联性、物的关联性、时的关联性、空的关联性。一般而言,小数据场主要运用时、空、人的关联性进行大事表制作、行为轨迹构建以及特定事实还原,至于物的关联性则往往要联系物理空间传统证据进行综合重建,这将在文章下一节中展开论述。
1.时的关联性支撑大事表制作
以电子证据的时间信息为主线重建事实,即编制大事表。一般而言,在编制大事表时,办案人员首先会向审证人员提供具体时间点,再由技术人员通过专门工具审查涉案电子数据在特定时间及其前后产生过哪些数据、文件信息,以还原案件事实。
电子证据的时间属性包含创建时间、最后修改时间、最后访问时间等。人们熟知的,在操作系统下右键点击“属性”可以看到的时间信息,就是存储于属性部分的信息。以Office文档为例,用鼠标可以点击其“详细信息”项下的“来源”,看到“创建内容的时间”“最后一次保存的日期”“最后一次打印的时间”以及“总编辑时间”四个时间,前三者一般分别反映该文档在全生命周期(不限于本机)中第一次创建、最后一次修改、最后一次打印的机器时间,后一者可用于参考判断正常生成文档的编辑时长。电子证据的时间属性能够揭示案件的关键事实,还能够洞察行为人面对侦查时采取的对抗性措施。例如,笔者调研过一起知名的高处坠落生产安全案件,案件侦查中电子证据的时间属性为查明背后的渎职犯罪发挥了重要作用。被查处对象声称,关键的《工程暂停令》被指称于2014年2月22日上午下达但未执行。而办案人员发现,该文件实际创建时间显示为当日下午18:33,显然为事后补制。涉案Word文档的时间戳信息还原了文件造假行为。据此,办案人员深入调查,揭露了事故背后的渎职犯罪。
单一电子数据的时间属性已然可以用于还原关键时间点的事实,若干电子文件的时间信息也存在一定逻辑关系。这些时间信息看似自成体系,实则通过各种途径直接或者间接与物理空间的时间保持一致。电子证据的时间不仅来自于本机的系统时钟,也可以来自网络服务器或者他人的系统,还可以直接来自于物理空间;它可以是属性中包含的时间信息,也可以是内容中包含的时间信息,还可以是关联文件中包含的时间信息。而这些多源时间信息及其内部各元素间均存在的关联关系,就为制作案发时的大事表提供了前提条件。在笔者早年协助湖南益阳办理的周某等涉嫌行贿案中,涉案硬盘中的三份行贿记录文件时间信息共同还原了案发经过。通过分析这些文件的“创建时间”和“修改时间”,可以简单得出一个案发大事表:周某于2012年6月24日01:18:01将文档拷入硬盘;同年6月27日16:50:32首次编辑;10月25日10:46:20,10:49:02分别进行了两次编辑。该大事表表明犯罪嫌疑人进行了三次行贿并记账,其中文档的拷贝行为反映出犯罪嫌疑人迁移数据的特别考量。
从技术层面上看,当下许多日常软件、专门取证软件均有“时间排序”的功能,可以用于提高制作案发时期大事表的效率。例如,Windows操作系统软件可以按照“创建时间”“修改时间”“最后一次保存的日期”对文档进行排序,这就可以简单制作关于Windows操作系统中相关文档的大事表。又如,R-studio、X-Ways Forensics等取证软件均可以自动排序相关数据区文档的大事表。从实践层面上看,办案人员准确制作案发时期大事表,要注意甄别机器时间跟物理时间的关系。这主要是依靠计算机系统日志进行辅助判断。需要注意的是,实践中有些隐蔽的日志信息具有极为重要的证据价值。它们不仅能够用于判断发生了什么案件事实,而且能够用于精准识别案件中的特殊情形。例如,在笔者经手的一起侵犯知识产权案调查活动中,特殊日志文件“$J”记录了文件操作行为。涉案硬盘(镜像文件)显示,在硬盘扣押后(2017年9月30日),日志文件“$J”在7个时间段内有操作痕迹,依次为2018年3月30日、2018年11月28日、2018年11月28日、2019年1月30日、2015年8月6日、2015年8月9日和2016年3月18日。由于各分区的变更日志文件$UsnJrnl:$J记录内容的顺序为按时间顺序不断向后追加。以上第1项推断为本机时钟,则最后三项应当为自然时间2019年1月30日之后,在此存在明显时钟篡改痕迹。
2.空的关联性支撑空间轨迹构建
以电子证据的空间信息为主线重建事实,即还原空间轨迹。办案人员通过证据还原作案人在案发过程中去过什么地方,不仅可以查清犯罪事实,更可以用于甄别案发细节和证据真伪。许多电子证据具有位置信息,这就给通过审查电子证据的位置信息确定行为人的轨迹提供了便利条件。在实践中,办案人员往往可以从GPS定位信息、IP地址信息、基站数据、话单分析结果、网络搜索结果、关联信息、第三方查询结果、专业数据库查询结果等入手分析,高效地进行案件事实还原。审查的结果往往可以直观地展现出在特定日期或连续几天内的具体时刻,行为人所处的位置以及可能进行的行为。
确定行为人轨迹的三部曲,依次为“精准查找时空轨迹点”“分析轨迹点自身的信息”“挖掘信息背后所蕴藏的价值”。然而,在司法实践中,许多办案人员往往忽视了电子证据中的位置信息,导致无法有效确定行为人的轨迹。为了克服这一难题,需要从观念到技能进行全面的转变与提升。以笔者调研中了解的廖××QQ诈骗案为例,被害人报案后,公安机关锁定了使用“××2501”QQ号冒充好友的嫌疑人。经向腾讯公司调取证据,该QQ号身份为匿名,但聊天记录显示其与一名高中女生保持联系。经与该女同学核实,确定了QQ号使用者为廖××,广西南宁宾阳人。通过中国移动公司的手机使用记录揭示了廖××的行动轨迹。手机的地理位置数据表明廖××主要在南宁和东莞之间活动,其手机轨迹与QQ号IP地址轨迹一致。最后,办案人员迅速行动,在东莞将廖××抓获。这一案例揭示了如何借助电子数据挖掘行为人轨迹。
近年来,办案人员通过分析RFID轨迹、大数据行程单、地网大数据轨迹查询单、大数据智能交通综合应用平台车辆轨迹信息、应用程序审计轨迹(指用来进行审查的详细记录)也取得了奇效。这反映了确定行为人轨迹的技巧得到良好的升级。以一起电信诈骗案件为例,公安机关通过侦查网站短信接口业务公司,成功获取了前期测试手机号码。进一步分析显示,该号码最初在福建安溪县长坑乡有活动记录,然而次日其活动轨迹就转移到了马来西亚。这一关键发现使公安机关迅速确定该号码的使用者来自福建安溪,并很可能与案件有关。基于这一线索,公安机关迅速比对出入境信息,成功锁定了四名在同一时间段进出境的可疑嫌疑人。最终,借助航班信息,公安机关迅速行动,成功将犯罪嫌疑人抓获。这充分证明了手机号码基站信息在重建空间轨迹、快速侦破案件中的核心作用。
3.人的关联性支撑特定事实还原
利用电子证据还原特定事实,其核心在于通过电子证据中的身份信息重构与主体相关的行为事实。通常情况下,电子数据内含丰富的身份信息,这些虚拟空间中的身份信息与物理空间中的主体存在明确的对应关系。这背后蕴含着电子证据同人的关联性规律,即涉案的各种电子账号,包括电子邮箱、手机号、微信号、钉钉号、QQ号、陌陌号、微博号、网游账号、银行卡号、支付宝账号、虚拟钱包地址、云账号、域名等需要同被告人或其他诉讼参与人关联起来。通过对电子证据中涵盖的相关人员身份信息的深入分析,我们可以检索到与该身份相关的行为记录,从而还原与该身份相关的特定事实。
例如在笔者协助办理的一起案件中,该案相关电子证据可以对报案人的报案过程进行还原。经审查,案件中举报人刘××于2022年5月10日电话举报,自称为被告公司数据平台发展的会员,案件中的举报人之二是杨××在2022年6月20日举报。经核查被告公司涉案数据库,发现不存在所谓举报人刘××的用户信息,且杨××的注册时间是2022年7月15日13:33:21。也就是说,案发之前举报人刘××根本没有注册被告公司数据平台的会员,杨××系为了报案才注册会员。这里明显存在虚假报案的情形。
以人的关联性还原特定事实,围绕涉案主体的相关活动和社会关系展开,通过查证包含身份信息的电子证据,以重建活动或社会关系。上述案件便是在拥有案件报案人相关身份信息的前提下,通过查询获得对应的虚拟空间中的账户信息,以及账户信息的行为记录。这些行为记录往往与时间信息、空间信息紧密相连,因为这是人在特定时空下的行为痕迹记录。与制作大事表或构建空间轨迹不同的是,特定事实的还原更加聚焦于特定主体。在这种情况下,办案人员往往已经掌握了该主体的身份信息,或者虚拟身份与物理身份之间的对应关系已经明确。这使得办案人员能够以该主体为主线,深入挖掘其行为模式、社会关系等重要信息。相比之下,制作大事表或构建空间轨迹有时可能并不清楚案件中相关主体的身份信息,而是通过时间线或空间轨迹来锁定特定的人。
(三)基于大数据场的事实重建原理及规律
所谓的大数据“场”,指的是涉案电子数据所在电子介质构成了一个庞大的“场”,能够讲述更为详尽的故事。电子证据所反映的信息不仅能够在其所在的介质系统中得到相互印证,还能够与物理空间中的传统证据建立起紧密关联。
1.系统分层理论支撑事实的完整重建
在大数据场中,存储介质中的数据形成了一个具有结构层次性的体系。这一体系包括了操作系统层级、应用软件层级等,它们之间相互依赖、相互联结,共同构成一个整体。例如,对于Word文档的相关操作行为,在相关Office软件会留下相应的痕迹记录,在Windows操作系统下会留下日志痕迹,在输入法软件中会记录下输入痕迹等等。当体系中某一数据发生变化,则“牵一发而动全身”,在不同层面均会留下相应的操作痕迹。与小数据场仅能重建局部特定事实不同,大数据场下的电子数据能够回溯更为完整的事件经过,充实整个事件的细节信息。
体系中的数据不仅有指向同一内容的信息,还有指向不同内容但存在逻辑关联的信息,这就为推动事实构建趋于完整提供了前提条件。这要求办案人员对系统层面进行全面检索,尽可能获取系统中不同数据后串联起来综合分析。例如,在前述案件中,涉案服务器镜像中不同类型的数据指向了案发前后的异常现象:首先,服务器日志记录了多次来自不同IP地址的服务器攻击,其中部分攻击成功,且攻击时间线与配侦公司提供线索的时间相吻合;其次,服务器备份日志中记录了SSH远程登录,该日志表明在调证结束前被疑似黑客的IP地址远程登录,并在数据库中进行了可疑操作;最后,服务器中存在立案前的自动数据库备份计划,这些备份文件是立案前有人恶意侵入服务器进行的事先备份操作而产生的。上述镜像中的日志信息、远程登录信息以及备份信息重建了案件发生前后服务器被黑客攻击、侵入、清理痕迹、提前备份等行为。
2.“鉴—数—取”体系支撑事实的定向重建
所谓“鉴—数—取”体系,是一个将电子证据与司法鉴定意见书、取证笔录等转化材料衔接的整体性框架,可以定向还原特定事实。在这个体系中,“数”即是指电子数据;“鉴”是对电子证据司法鉴定意见书、检验报告等材料的简称,代表了专家基于电子证据所做出的专业判断,能够有针对性地证明案件事实或争议事实;而“取”则是各类“取证笔录”的简称,涵盖了勘验笔录、远勘笔录、在线提取笔录等多种形式,可用于证实电子数据的来源和获取过程。
电子数据的“鉴”“取”,是取证、委托鉴定等环节的直接产物,它们反映了相关人员在执行这些任务时的具体操作。通过电子证据与“鉴”“取”材料对接和整合,能够定向还原电子证据的收集提取、鉴定等过程是否真实合法。例如,在案件办理中,为回溯鉴定事实,办案人员不能就“鉴”论“鉴”,必须厘清其鉴定使用的检材及其来源,办案人员还需结合电子证据清单、侦查实验笔录等进行回溯。借助上述“鉴—数—取”体系,最终判断司法鉴定书是否具有可靠性。
3.双空间连属关系支撑事实的准确重建
物理空间和数字空间是难以区隔的,存在一定的并行映射关系。一般来说,电子证据对应虚拟空间(信息空间),传统证据则更多与物理空间相关联。所谓双空间连属指的是办案人员将电子证据所证明的虚拟空间的事实与传统证据所证明的物理空间的事实进行对接,从而形成了一种双重空间映射的证明体系,以此来增强案件事实还原的完整性和准确性。
例如,在朱炜明操纵证券市场罪一案中,2013年2月1日至2014年8月26日,被告人朱炜明在任国开证券营业部证券经纪人期间,在媒体上公开进行了股票推介行为,并使用实际控制的三个账户在公开推介前后进行了涉案股票反向操作,以获取利益。审查起诉阶段,朱炜明否认其与涉案账户的实际控制关系。上海市人民检察院第一分院分别于2017年1月13日、3月24日二次将案件退回上海市公安局补充侦查,要求公安机关补充查证犯罪嫌疑人的淘宝、网银等IP地址、MAC地址(硬件设备地址,用来定义网络设备的位置),并与涉案账户证券交易IP地址做筛选比对;将涉案账户资金出入与犯罪嫌疑人个人账户资金往来做关联比对;进一步对其父朱某在关键细节上做针对性询问,以核实朱炜明的辩解。公安机关通过两种空间证据进行对接,发现账户登录、交易IP地址大量位于朱某所在的办公地点,与朱炜明出行等电脑数据轨迹一致,而这些地址是其父不可能到达的。这一发现为检察机关提供了强有力的证据支持,成功证明了朱炜明与涉案账户的实际控制关系,为案件的顺利办理奠定了基础。
4.专家智识支撑事实的专业重建
考虑到大数据场中面临的电子数据系统更具专业性和复杂性,司法人员未必能够独立开展事实工作。因此,积极寻求专业力量的协助是明智之举。一般而言,特定领域的专家对专业知识有不同于普通人的独到视角,能够为还原事实的思路提供启发。也就是说,当遇到难以依照常规判断电子证据或其相关证据的情形时,可以请有专门知识的人基于自身的专业视角提供证据审查以及重建思路,从而推动重建工作的高效、专业开展。
以前述侵犯知识产权案件为例,其中一份名为“××.xls”的电子文件成为案件的关键证据。双方争议的焦点在于这份文件是在案发前已存在于涉案电脑中,还是被人为植入。这份文件位于名为“Orderfiles”的文件夹内,该文件夹包含1000多个文件,其中绝大多数为Word文档,而这份“××.xls”文件是唯一的Excel文档。在审查过程中,发现了一个异常现象:文件夹的修改时间标记为2015年8月6日19:42:50,而文件夹内其他Word文档的最近修改时间则是2015年8月9日。为了解释这一异常,需要借助专家知识:在Windows系统下,文件夹修改时间与文件夹中文件最后被改动的时间有关。因此,在正常情况下,文件夹的修改时间应为2015年8月9日。然而,实际情况却是文件夹的修改时间与“××.xls”文件的修改时间一致,均为2015年8月6日。专家智识表明,这些“时间”表现属于异常现象;也就是说,有人可能在案发后将电脑时钟改回到2015年8月6日,并在此时将“××.xls”文件拷入到“Orderfiles”文件夹中。
四、电子证据重建理论的革新与启示
五、代结语
原文始发于微信公众号(网络安全与取证研究):刘品新 | 论电子证据重建理论
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论