|
实务研究 目 次 一、电子证据审查面临的难题 二、电子证据聚焦式审查原理 三、电子证据聚焦式审查方法 摘要 司法实践中,电子证据审查工作普遍存在难以着手、流于形式的问题,主要呈现为电子证据审查因由混乱无序致使劳而无功的现象。为解决上述问题,办案人员应当遵循电子证据聚焦式审查原理,剥离审查过程中的无效干扰因素,围绕可能影响案件事实认定的焦点问题展开审查工作。其具体方法包括:一是以聚焦争议事实为审查方向;二是以聚焦“鉴—数—取”体系为审查对象;三是以聚焦“关联性—真实性的主辅骨架”为审查标准。 随着信息技术与现代社会的深度融合,电子证据在案件办理中的地位和作用愈发重要。电子证据审查工作混沌无序将难以实现电子证据在案件事实查明与庭审攻防中的理想效果。为实现电子证据的有效审查,办案人员应当掌握聚焦式审查方法,锁定争议事实,圈定“鉴—数—取”体系,凸显“关联性—真实性”双标准。 一、电子证据审查的面临的难题 司法实践中,办案人员开展电子证据审查面临难以着手的窘境。其一,这是由电子证据往往具有超容性所决定的。所谓电子证据的超容性,是指一种客观现象,即一个普通电子介质(如硬盘、U盘)所承载的电子数据量远远大于纸面、实物材料所蕴含的信息量。其二,这是由我国电子证据规则的庞杂性决定的。目前,我国是唯一将电子证据作为法定证据形式的国家,且已经具有庞杂的电子证据法律规范,具有代表性的规范有最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、公安部《公安机关办理刑事案件电子数据取证规则》等。这些规范条款多且技术色彩浓厚,很难得到办案人员的正确理解与适用。 办案人员开展电子证据审查亦遭遇流于形式的窘境。一些办案人员习惯将电子证据转化为其他证据加以审查运用。这就出现了一种反差:一方面,电子证据日益庞杂,衍化出数码图片、电子签名、活跃用户、网络点击量等样态,远远超过现有规范所概括的网络平台信息、网络应用服务通信信息、登录日志信息、电子文件等四大类。另一方面,法庭上举证、质证、认证的基本是鉴定意见、勘验笔录、打印件等转化型证据。办案人员以对电子证据转化物的审查取代对电子证据的直接审查,很多时候就是流水账式阅卷的泛泛审查。 办案人员走向电子证据有效审查,需要努力完成从混沌到聚焦的转变,这种审查电子证据的专门方法,可以称为聚焦式审查。 二、电子证据聚焦式审查原理 从司法实践来看,“聚焦”就是要求人们将审查电子证据的注意力或焦点集中于某处,即办案人员应当遵循“抓住重点”“剥离无关”的双要义。 “抓住重点”要求办案人员围绕可能的案件争点,梳理可能产生证明或反驳作用的电子证据及其组合,针对影响电子证据及其组合是否具有证据效力的采用标准,并依据具有一定刚性的可操作性法律条款开展审查工作,具体可分为审查方向、审查对象与审查标准三个方面的聚焦。 践行“抓住重点”式的审查有三步:第一步,梳理案件的主要争点。第二步,整理出案件中指向主要争点且可能产生证明或反驳作用的电子证据及其组合。第三步,选择影响相关电子证据及其组合效力的主要证据采用标准。此处倡导“抓住重点”体现了电子证据聚焦式审查中融通事实认定与法律适用的智慧。 “剥离无关”是指审查全过程要尽可能将无关信息、无关行为剥离。
电子证据聚焦式审查具有重要意义。首先,有助于办案人员抓住重点,将案卷“读薄”。其次,有助于快速还原案件事实。再次,有助于形成诉讼策略。在还原案件事实的基础上,控方可以制订有效的诉讼策略,形成有效的全面指控方案。最后,有助于办案人员养成专业技能。 三、电子证据聚焦式审查方法 如前所述,聚焦式审查可具体化为审查方向、审查对象与审查标准三个方面的聚焦。总的原则是,办案人员要将审查方向聚焦于争议事实,将审查对象聚焦于“鉴—数—取”体系,将审查标准聚焦于“关联性—真实性的主辅骨架”。 (一)锁定争议事实 【指控事实】2013年9月至2014年8月,王某等二人发现教育部考试中心托福考试报名系统存在系统漏洞后,在其位于天津市的家中,利用计算机通过互联网使用SQL语句注入该系统漏洞并修改数据库数据,为托福考试考生抢位报名,并在某网站注册网店公开出售托福考试报名服务,违法所得共计857004.5元。2014年7月16日,教育部考试中心报案。同年11月3日,王某等二人被公安机关抓获归案。2015年7月27日,检察机关以王某等二人涉嫌破坏计算机信息系统罪提起公诉,并提出五年以上有期徒刑的量刑建议。 该案中控方提交的证据包括涉及网络联系、替考生报名等行为的大量电子证据。为进行有效审查,办案人员首先需要锁定可能影响案件处理结果的案件事实或争议事实。对于这类事实,可以通过三种方法加以确定:一是基于当事人对案件事实的异议进行甄别;二是基于经验法则进行逻辑推理;三是基于法律文书中的案件事实描述进行比对。 对于指控事实,王某等二人主要对替报名方式及违法所得数额提出异议。二被告人承认实施过利用计算机通过互联网使用SQL语句注入该系统漏洞并修改数据库数据的行为(以下简称“入侵行为”),但强调其主要是使用代刷机软件进行替报名(以下简称“刷机行为”)。同时,二被告人认为违法所得不足857004.5元,该数额包含其他服务收入。这就形成了危害行为、危害结果双争议。 基于类似案件的经验法则进行逻辑推理,也能锁定这两项争议事实:第一,该案中指控的违法所得是否成立,影响到定罪量刑。根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条的规定,破坏计算机信息系统罪加重情节之一是“违法所得2.5万元以上”。该案指控的违法所得数额远超该标准,但如果计算方法存在根本性错误,这里的违法所得即危害结果就会成为争议焦点。第二,起诉书称被告人“使用SQL语句注入该系统漏洞并修改数据库数据”,是对危害行为的描述。但是,被告人辩称其同时实施了合法的刷机报名行为,如何区分两种代替报名行为及其产生的收入,会产生另一争议焦点。
通过比对不同法律文书亦可挖掘案件争议事实。该案中,通过比对起诉意见书和起诉书发现,公安机关起诉意见书认定的违法所得数额为856604.5元,而检察机关起诉书则认定违法所得数额为857004.5元,二者相差400元。承办检察官核对过违法所得数额,并据此认定危害结果。此外,公安机关与检察机关对作案手段的描述也不同,前者在文书中写明被告人入侵与刷机两种行为,后者只提到入侵行为。可见承办检察官并未将刷机行为纳入指控。这看似构成危害行为的争议,实则表明在计算违法所得时要区分两种行为的收入,即产生关于危害结果的争议。 此外,通过比对不同文书材料还可以发现,该案中存在关于侵害对象的争议。在报案材料中,报案人声明:该系统属于“教育部考试中心单位”。在起诉意见书、起诉书、讯问笔录等材料中,均载有“教育部托福考试网上报名系统数据库”被入侵或类似表述。这就出现了涉案网站所属主体的分歧。侵害对象的差异关系行为社会危害性的大小。从这一点来看,该案还存在侵害对象的争议。 这样,该案就锁定了危害行为、危害结果两项主要争议事实,兼及侵害对象这一次要争议事实。其中,关于危害结果的争议最为关键,其从根本上影响定罪量刑。其他两项争议事实也影响危害结果的认定。因此,该案中对电子证据进行审查应当聚焦于最主要的争议事实,即被告人通过入侵行为替考生报名的违法所得是否达到857004.5元。对这一最主要争议事实的锁定,夯实了电子证据审查的基础,使得审查工作不发生方向漂移。 (二)圈定“鉴—数—取”体系 【违法所得计算及主要证据】该案中,起诉意见书指控二被告人“替考生报名1239次,从中非法牟利856604.5元”,未明确有关证据;起诉书基本上复制了前述指控,亦未明确相关证据。要开展有效审查,办案人员需要梳理出证明违法所得的证据及计算方法。 起诉意见书中的“替考生报名1239次”“非法牟利856604.5元”两个说法是相伴随的,表明违法所得的计算很可能与报名人次相关。而案卷中唯一体现“1239”数字的证据是一份鉴定意见书(以下简称“1号鉴定意见书”)。经核查,该项鉴定主要是将被告人网店订单中考生ID号同被入侵网站的异常报名考生ID号进行碰撞,统计两者间相同考生ID号的条数。据此,可以推断公安机关的计算步骤:第一步,将1号鉴定意见书得出的“1239条”表述等同于被告人替1239位托福考生进行非正常报名;第二步,根据网店订单计算1239位托福考生实际支付的金额;第三步,对1239位托福考生实际支付的金额进行求和。这就重现了违法所得的计算方法。与此同时,也能找出用于证明违法所得的主要证据:(1)网警对被入侵网站服务器进行远程勘验形成的勘验笔录,附带刻录有入侵行为数据库文件的光盘;(2)网警对被告人网店订单进行远程勘验形成的4份勘验笔录,附带刻录有被告人同考生进行交易的账簿记录的光盘;(3)1号鉴定意见书表明被告人相关网店订单同被害人被入侵数据库中相同考生ID号为1239条。 在明确了针对危害结果这一最主要争议事实的主要证据后,随之而来的一个问题是:审什么证据?这需要通过证据聚焦的方式解决。如前所述,该案违法所得是根据报名人次得出的。在这种情况下,应考虑将认定违法所得数额等同于认定1号鉴定意见书的结论表述是否可靠。这样一来,审查该鉴定意见书就具有重要意义。这一判断也符合目前依靠电子证据定案的基本规律,即主要依靠关于电子证据的鉴定意见对争议事实进行直接认定。需要特别注意的是,办案人员审查该类鉴定意见时,必须结合审查用作鉴定材料的各种电子证据。而完成后一任务也必然涉及电子证据的收集、提取问题,这离不开对相关收集提取笔录的审查。可见,关于电子证据的鉴定意见、用作鉴定材料的各种电子证据以及证明电子证据收集提取过程的笔录构成一个体系,均是审查的对象。 一般来说,该体系中关于电子证据的鉴定意见可以被简称为“鉴”,用作鉴定材料的各种电子证据可以被简称为“数”(因为它们系数据形式),证明电子证据收集提取过程的笔录可以被简称为“取”(因为它们系各种取证笔录)。该体系可以被简称为“鉴—数—取”体系。就该案违法所得的证明而言,审查的“鉴—数—取”体系包括:(1)“鉴”的部分——1号鉴定意见书;(2)“数”的部分——多次远程勘验获取的数据库文件及网店订单;(3)“取”的部分——网警制作的远程勘验笔录。
这是审查对象方面的聚焦。对这一体系进行聚焦式审查的方法众多。 方法之一,办案人员可以进行“鉴—数—取”体系有关数据完整性校验值的计算与比对。该案中,办案人员可以利用工具计算涉案数据库文件及网店订单的校验值,并与勘验笔录、鉴定意见记录的校验值进行比对,看“鉴”“取”部分表述的校验值同“数”部分计算得出的校验值是否一致。如果不一致或者因采取不同格式而无法核对的,就说明“取”的过程与“鉴”的检材来源可能存在问题。 方法之二,办案人员可以进行“鉴—数—取”体系有关不同材料指向同一内容的文字比对。例如,该案远程勘验笔录表明用作鉴定材料的数据库文件系由网警远程勘验得来的,而鉴定意见书却注明该文件由xx公司提交。这两种说法表明数据库文件的来源严重存疑。 方法之三,办案人员可以进行“鉴—数—取”体系有关同一材料形成过程的还原比对。“取”的部分涉及数据收集提取过程的描述,“数”的部分之文档属性信息可以揭示数据收集提取完成的时间,“鉴”的部分所附光盘存储的电子文件也带有关于鉴定材料和鉴定过程的时间信息。查找到的各种时间信息能用于还原同一材料的形成过程,据此认定“鉴—数—取”体系是否存在实质性问题。在该案中,经审查发现一份远程勘验笔录反映的勘验步骤异常,其第七步截图显示时钟为18∶31∶00,截图保存于18∶32∶06,第八步截图显示时钟却为18∶30∶00,截图保存于18∶31∶28,这显然违反基本时序规律。 该案在审查起诉阶段基于“鉴—数—取”体系的审查,还发现许多其他证据问题。在这种情况下,承办检察官要求公安机关对数据库文件及网店订单进行核正或重新远程勘验,形成了新的远程勘验笔录,获取了新的电子证据,并委托同一家鉴定机构重新鉴定。该机构出具新鉴定意见书,其基于同样的数据碰撞方法得出的相同考生ID号为1253条。这一新结论是否可靠?办案人员需要搭建新的“鉴—数—取”体系进行审查,同时需要聚焦审查该体系所使用的证据采用标准。后文以该案中新的“鉴—数—取”体系为主展开。 (三)凸显“关联性—真实性”双标准 【计算违法所得的新“鉴—数—取”体系】鉴定机构再次鉴定后,出具了新鉴定意见书,其结论部分表明相同考生ID号为1253条。新鉴定意见书所依据的材料也有调整。这就形成了用于证明违法所得的新“鉴—数—取”体系:(1)“鉴”的部分——“新鉴定意见书”(内附光盘及工作数据);(2)“数”的部分——网警向xx公司调取的“TOEFL DB 记录.new.xls”文件、再次对证人李某的网店账户进行远程勘验得到的网店订单以及之前对被告人网店账户进行远程勘验得到的3份网店订单;(3)“取”的部分——网警进行新的证据调取、远程勘验形成的2份笔录,以及之前远程勘验所制作的3份笔录。上述构成了证明该案危害结果的新证据组合。 对于这样的电子证据体系如何进行聚焦式审查,涉及如何选择关涉证据采用的真实性、关联性及合法性标准的问题。考虑到电子证据的特殊性,笔者建议,办案人员选择电子证据的“关联性—真实性”双标准开展审查工作。 1.以关联性标准为主进行审查。电子证据的关联性是一种双联性,电子证据用于定案时必须同时满足内容和载体上的关联性。具体就该案危害结果的证明而言,办案人员需要解决新鉴定意见书所揭示的1253条相同考生ID号是否与被告人入侵数据库、替考生报名托福考试相关,即内容关联性;还需要解决这些ID号是否与被告人的网络身份、网络行为、使用机器、行为时间、行为地点等相关,即载体关联性。 就前一种关联性审查而言,办案人员需要穿透新鉴定意见书的结论表述部分,判断其所依据的鉴定材料是否与入侵行为有关以及是否与托福考试报名行为有关。该案得出的结论是否定的。其一,新鉴定意见书所依据的鉴定材料之一——网警向xx公司调取的“TOEFL DB 记录.new.xls”文件,因缺失入侵系统的SQL语句而无法排除被告人刷机报名的记录。这样碰撞出来的相同考生ID号就不能排除同刷机行为有关的部分。其二,新鉴定意见书所依据的鉴定材料之一——4份网店订单中含有替考生报名雅思考试以及提供充值、送分、注册等其他服务的收入。这也表明控方根据新鉴定意见书得出的违法所得数额缺乏同所指控托福考试报名行为的关联性。
就后一种关联性审查而言,办案人员需要穿透新鉴定意见书的结论表述部分,看到所依据的鉴定材料与参考材料能否搭建起鉴定意见同被告人的身份、地点、时间、行为、介质等因素之间的关系。 一是身份关联性。在该案中,指向被告人王某等二人犯罪的重要证据是2014年11月制作的“情况说明”。该说明表明被告人实施违法行为的身份为一个ADSL账号(xxxx7115),由此,凡是被入侵系统所记载的非正常报名记录中使用该账号的,便与被告人有关。 二是地点关联性。前述“情况说明”表明案发期间被告人使用天津的100多个IP地址,凡是非正常报名记录中涉及这些IP地址的,便与被告人有关。而经核对,发现非正常报名记录涉及3440个IP地址,其中天津IP地址有1805个。这就得出了否定地址关联性的结论。 三是时间关联性。该案指控的犯罪行为发生在2013年9月至2014年8月。然而,4份网店订单的时间跨度都超过了这一期间。若不剔除指控期间外的订单,新鉴定意见书通过碰撞得出的相同考生ID号条数就难以同指控时间关联起来。 四是行为关联性。该案4份网店订单的状态包含交易成功、交易关闭、交易空白以及交易退款4种情况。这就要求控方计算违法所得时,应当将交易未成功的金额予以剔除。 五是介质关联性。该案4份网店订单是直接从被告人、证人的网店账户中远程勘验得来的。实践中,侦查人员通常会扣押被告人作案的电子设备,在这种情况下,办案人员进行审查就要考虑该电子设备同被告人的关联性。 不难看出,该案中电子证据“鉴—数—取”体系的关联性问题非常突出,控方应当进行有力补救,对新鉴定意见书通过碰撞得出的1253条相同考生ID号,剔除非入侵订单、被告人以外的IP、报名成功时间在订单生成前的数据以及不成功的订单等无关信息,最终得出较为准确的违法所得计算结果。 2.以真实性标准为辅进行审查。实践表明,电子证据“鉴—数—取”体系的真实性审查可以分为4个步骤:第一步,判断是否原件载体;第二步,判断相关数据校验值之有无及一致性,数据内容是否完整及异常,附属信息是否存在异常,关联痕迹是否存在异常,以及是否有增删改行为;第三步,判断该体系内部或同其他证据之间是否存在矛盾;第四步,判断是否有必要进行演示或反公证,是否以及如何申请真实性鉴定。该案形象地展示了真实性判断“四步法”的奥秘。 第一步指向电子介质的真实性审查。若非原始电子介质,则需要特别仔细地甄别其中数据的真实性。 第二步指向数据信息的真实性审查。这里包括数据校验值的审查、内容—属性—痕迹的审查以及增删改数据的审查等。 第三步指向相关证据间比对的真实性审查。该案先后出现了针对同一问题的2份鉴定意见书,且均有关于鉴定过程的工作记录,这是可以进行比对审查的。实践中,若两次以上的司法鉴定是独立完成的,那么相关工作文件就不会出现“同源”的异常特征。 第四步指向在法庭上有效展示真实性审查发现的方式。考虑到参与庭审的多数人不具有电子证据专业知识,控辩双方在庭审中需要选择最佳方式展示电子证据“鉴—数—取”体系的真实性问题。一般来说,对于简单的真实性问题,控辩双方可以通过庭上演示,让审判人员形成直观印象。在民事、行政诉讼中,还可以考虑委托公证的方式,对模拟制造虚假电子证据的过程进行录像公证。对于复杂专业化的真实性问题,控辩双方可以考虑通过委托鉴定机构进行相关鉴定。 作者:刘品新,中国人民大学法学院教授,刑事法律科学研究中心、未来法治研究院研究人员;张艺贞,中国人民大学法学院博士研究生、智慧法律科技创新研究中心研究人员。 (本文有删节,注释及全文见《人民检察》2023年第13期)
编辑:王新颖 郑志恒
|
|
|
