關(guān)于網(wǎng)絡(luò)犯罪證據(jù)的提取與固定
「摘要」
電子證據(jù)所具有的無形性�����、多重性和易破壞性��,使得網(wǎng)絡(luò)犯罪在取證上具有相當?shù)睦щy����,本文提出網(wǎng)絡(luò)犯罪的取證中�,可以分別案件的具體情形采取一般取證或復雜取證的方式進行證據(jù)的提取和固定。
「關(guān)鍵詞」網(wǎng)絡(luò)犯罪 電子證據(jù) 提取 固定
隨著網(wǎng)絡(luò)在生活中的普及����,由網(wǎng)絡(luò)而滋生的犯罪也應時而生,2002年7月�,北京發(fā)生一起通過發(fā)電子郵件冒充新浪網(wǎng)進行詐騙的犯罪,犯罪嫌疑人向各個公司發(fā)送e-mail郵件��,聲稱新浪網(wǎng)引擎將實行有償服務(wù)�����,并提供了匯款賬戶。公安干警利用這封e-mail中所提供的開戶銀行及賬號����,找到這家公司的辦公地點。由于資料隨發(fā)隨消���,電腦主機里并沒有發(fā)現(xiàn)有關(guān)證據(jù)����,案件的偵辦主要通過對犯罪嫌疑人戰(zhàn)某的審查����,他承認了犯罪事實。
在這個案件的偵查中���,案件本身的證據(jù)收集�、提取���、固定不是很理想�,因為犯罪人將有關(guān)證據(jù)隨發(fā)隨消���,這就提醒我們一個問題����,對于網(wǎng)絡(luò)犯罪如何進行證據(jù)的提取和固定�。
一、電子證據(jù)概述
網(wǎng)絡(luò)犯罪主要是指利用網(wǎng)絡(luò)實施的犯罪���,包括傳統(tǒng)的犯罪使用網(wǎng)絡(luò)這種形式�、手段予以實施�����,也包括直接針對網(wǎng)絡(luò)實施的犯罪���。證實網(wǎng)絡(luò)犯罪的證據(jù)統(tǒng)稱為電子證據(jù)��,電子數(shù)據(jù)證據(jù)是以數(shù)字的形式保存在計算機存儲器或外部存儲介質(zhì)中��、能夠證明案件真實情況的數(shù)據(jù)或信息�。包括電子合同���、電子信件�、電子簽名等。電子證據(jù)常常和計算機證據(jù)發(fā)生混淆��,實際上二者是有區(qū)別的�。
計算機證據(jù)可以在兩種意義上使用,一種它只不過作為生成書面證據(jù)的工具��,通過計算機擬就的合同��、協(xié)議最終是以書面的形式交予對方簽字認可����,那些書面的合同文本才是證據(jù),這些證據(jù)根據(jù)其表現(xiàn)形式可以是書證��、視聽資料等;一種是有關(guān)的合同�、協(xié)議、文件通過網(wǎng)絡(luò)發(fā)送給交易對方并得以確認�����,那么此時計算機作為載體保存的合同文本信息及對方的確認信息是電子證據(jù)���。所以��,電子證據(jù)并不等于計算機證據(jù)����,計算機中保存的證據(jù)可能是電子證據(jù),也可能不是:通過計算機的形式呈現(xiàn)出來的證據(jù)都可以稱之為計算機證據(jù)��,電子證據(jù)是互聯(lián)網(wǎng)化的證據(jù)���,由于互聯(lián)網(wǎng)是以計算機為載體的,其證據(jù)則大多是通過計算機的形式輸出����,因此常與計算機證據(jù)聯(lián)系在一起。
二���、網(wǎng)絡(luò)犯罪取證難
電子證據(jù)除具備一般證據(jù)的客觀性和合法性外����,還有以下幾個特點:第一�,內(nèi)在實質(zhì)上的無形性。一切交由計算機處理的信息都必須轉(zhuǎn)換為二進制的機器語言才能被計算機讀懂����,即無論使用何種高級語言或輸入法向計算機輸入信息,都必須經(jīng)過數(shù)字化的過程��,因此我們所謂的電子證據(jù)其實質(zhì)上只是一堆按編碼規(guī)則處理成的“0”和“1”,看不見摸不著����,具有無形性。
第二�����,性質(zhì)的多重性�����。電子證據(jù)在性質(zhì)上具有多重屬性�,其是以內(nèi)容起證明作用的,這符合書證的特點���。從表現(xiàn)形式上���,該“痕跡”是以數(shù)據(jù)的形式被存儲在電腦硬盤中,似乎又是物證����。電子證據(jù)又常常表現(xiàn)為文字、圖像��、聲音或它們的組合,所以又具有視聽資料的特點�。
由此,電子證據(jù)具有了各種證據(jù)所具有的優(yōu)點�,它存儲方便,表現(xiàn)豐富�����,可長期無損保存及隨時反復重現(xiàn)����,它不像物證一樣會因周圍環(huán)境的改變而改變自身的某種屬性����,不會像書證一樣容易損毀和出現(xiàn)筆誤,也不像證人證言一樣容易被誤傳�����、誤導����、誤記或帶有主觀性,電子證據(jù)一經(jīng)形成便始終保持最初�、最原始的狀態(tài)����,能夠客觀真實地反映事物的本來面貌����。
第三,易破壞性�����。與其他證據(jù)相比��,電子證據(jù)又是最為脆弱的�,最容易受到破壞的一類證據(jù)。當有人為因素的或技術(shù)的障礙介入時�,電子證據(jù)極容易被篡改、偽造�、破壞或毀滅,電子數(shù)據(jù)或信息是以“比特”的形式存在的�����,是非連續(xù)的�����,數(shù)據(jù)或信息被人為地篡改后,如果沒有可資對照的副本��、映像文件則難以查清�、難以判斷。非故意的行為主要有誤操作��、病毒����、硬件故障或沖突、軟件兼容性引起的數(shù)據(jù)丟失���、系統(tǒng)崩潰���、突然斷電等等����,這些都是危害數(shù)據(jù)安全、影響數(shù)據(jù)真實性的原因��。
所以�����,電子證據(jù)的內(nèi)容具有更大的不穩(wěn)定性,稍縱即逝�����,有時就是一個簡單的鍵盤操作��,甚至將電源一拔�����,證據(jù)就滅失了�����。
鑒于以上特點�,對于網(wǎng)絡(luò)犯罪的取證有如下問題:
1、技術(shù)上難以證明其唯一性����。從證據(jù)的角度來說,所有的證據(jù)都要證明它的唯一性�。比如指紋,DNA����,作為唯一的證據(jù)有定罪的作用����。但網(wǎng)絡(luò)世界中���,電子數(shù)據(jù)證據(jù)的數(shù)據(jù)和信息是電訊號代碼(如0-1的組合)形式�����,存儲在計算機各級存儲介質(zhì)(如RAM�����、磁帶��、磁盤����、光盤)中�����,這些數(shù)據(jù)和信息���,均為一二進制電磁代碼����,不可直接讀取�,是無形物質(zhì)。要保存下來����,必須進行一系列的能量轉(zhuǎn)換,使之固定在各級計算機存儲介質(zhì)等電子化的物質(zhì)載體里�。但是,目前從數(shù)字技術(shù)來說���,所有的數(shù)字記錄都很難說明它的唯一性�,比如這打印出來的文件�����,但是是否是存儲在介質(zhì)中的資料�����,是否進行了修改�����,在證據(jù)中很難鑒別。目前的做法多是從旁證上同電子證據(jù)一起形成證據(jù)鏈��,認定犯罪事實�。
2、法律上難以取得合法地位����。我國《刑事訴訟法》第五章第42條明確規(guī)定:“證明案件真實情況的一切事實,都是證據(jù)”��。同時規(guī)定證據(jù)有七種形式���,即物證��、書證;證人證言;被害人陳述;犯罪嫌疑人�、被告人供述和辯解;鑒定結(jié)論;勘驗���、檢查筆錄;視聽資料�。這七種證據(jù)里沒有電子證據(jù)這種證據(jù)形式���,這是否意味著電子證據(jù)不能作為案件的有效證據(jù)使用。有的觀點認為,在訴訟法律沒有明確作出規(guī)定之前��,不能作為有效的證據(jù)使用����。另一種觀點認為,可以把電子證據(jù)歸為視聽資料�����,從而使電子證據(jù)具有法律根據(jù)��,在公安��、檢察����、法院三家認定上也有不同的看法,從而使得在一些案件中即使抓住了犯罪嫌疑人��,在移送起訴階段由于對證據(jù)的采信上的不同認識而導致認定的障礙�。
3、保全上有相當?shù)碾y度�����。由于電子證據(jù)本身的脆弱性,銷毀起來也相當迅速;不像其他種類的證據(jù)���,比如留下指紋�����,搽起來比較困難��。實踐中�����,比較常見的是在保全這一問題上意識弱�����、動作慢�����,使電子證據(jù)被銷毀���,從而出現(xiàn)認定犯罪的困難。另外����,電子證據(jù)的保全措施往往又依賴專門的機構(gòu)�����,所以,難免會出現(xiàn)保全困難����。
三、網(wǎng)絡(luò)犯罪的證據(jù)的提取和固定
電子證據(jù)的取證規(guī)則�����、取證方式都有別于傳統(tǒng)證據(jù)�����,傳統(tǒng)的證據(jù)收集手段����、認證都不能完全照搬使用,因此����,網(wǎng)絡(luò)犯罪中證據(jù)的提取����、固定有一定難度��。盡管如此�����,針對案件的具體情況���,利用電子證據(jù)自身的特點�����,可以進行取證����,為案件的偵破提供幫助���。
(一)電子證據(jù)的一般取證方式
一般取證�,是指電子證據(jù)在未經(jīng)偽飾����、修改�、破壞等情形下進行的取證�。主要的方式有:
1、打印��。對網(wǎng)絡(luò)犯罪案件在文字內(nèi)容上有證明意義的情況下�����,可以直接將有關(guān)內(nèi)容打印在紙張上的方式進行取證�����。打印后����,可以按照提取書證的方法予以保管��、固定����,并注明打印的時間、數(shù)據(jù)信息在計算機中的位置(如存放于那個文件夾中等)����,取證人員
等���。如果是普通操作人員進行的打印,應當采取措施監(jiān)督打印過程�,防止操作人員實施修改、刪除等行為��。
2�����、拷貝��。是將計算機文件拷貝到軟盤����、活動硬盤或光盤中的方式。首先�,取證人員應當檢驗所準備的軟盤、活動硬盤或光盤����,確認沒有病毒感染??截愔螅瑧敿皶r檢查拷貝的質(zhì)量,防止因保存方式不當?shù)仍蚨鴮е碌目截惒怀晒蚋腥居胁《镜?�。取證后���,注明提取的時間并封閉取回����。
3��、拍照���、攝像。如果該證據(jù)具有視聽資料的證據(jù)意義���,可以采用拍照��、攝像的方法進行證據(jù)的提取和固定��,以便全面�、充分地反映證據(jù)的證明作用�����。同時對取證全程進行拍照、攝像���,還具有增加證明力�����、防止翻供的作用�����。
4���、制作司法文書。一般包括檢查筆錄和鑒定�。檢查筆錄是指對于取證證據(jù)種類、方式�、過程、內(nèi)容等在取證中的全部情況進行的記錄���。鑒定是專業(yè)人員就取證中的專門問題進行的認定��,也是一種固定證據(jù)的方式���。使用司法文書的方式可以通過權(quán)威部門對特定事實的認定作為證據(jù),具有專門性、特定性的特點�����,具有較高的證明力����。主要適用于對具有網(wǎng)絡(luò)特色的證據(jù)的提取,如數(shù)字簽名��、電子商務(wù)等��,目前在我國專門從事這種網(wǎng)絡(luò)業(yè)務(wù)認證的中介機構(gòu)尚不完善��,處在建立階段�����。如1998年��,經(jīng)廣東省人民政府批準成立了以提供電子認證服務(wù)為主營業(yè)務(wù)的廣東省電子商務(wù)認證中心�,到目前為止��,該中心已簽發(fā)各類數(shù)字證書超過6萬張��,為用戶在Internet網(wǎng)絡(luò)的電子商務(wù)活動提供了安全保障。
5���、查封��、扣押����。對于涉及案件的證據(jù)材料�、物件,為了防止有關(guān)當事人進行損毀��、破壞�,可以采取查封、扣押的方式����,將有關(guān)材料置于司法機關(guān)保管之下??梢詫νㄟ^上述幾種方式導出的證據(jù)進行查封、扣押����,也可以對于一些已經(jīng)加密的證據(jù)進行。如在侵犯商業(yè)秘密的案件查辦中�,公安機關(guān)依法查封����、扣押了辦公用具及商業(yè)資料�,將硬盤從機箱里拆出,在筆錄上注明“扣押X品牌X型號硬盤一塊”����。由于措施得當,證據(jù)提取及時���,既有效地證據(jù)犯罪�,也防止了商業(yè)秘密的泄露�����。對于已經(jīng)加密的數(shù)據(jù)文件進行查封�����、扣押����,往往需要將整個存儲器從機器中拆卸出來并聘請專門人員對數(shù)據(jù)進行還原處理�����,這種情況下進行的查封、扣押措施必須相當審慎����,以免對原用戶、或其他合法客戶的正常工作造成侵害�,一旦硬件損壞或誤操作導致數(shù)據(jù)不能讀取或數(shù)據(jù)毀壞,其帶來的損失將是不可估量的�。
6、公證�。由于電子證據(jù)極易被破壞、一旦被破還又難以恢復原狀�����,所以�,通過公證機構(gòu)將有關(guān)證據(jù)進行公證固定是獲取電子證據(jù)的有效途徑之一。2001年3月的新浪網(wǎng)《育兒論壇》被控刊載有損害他人名譽權(quán)的文章���,南京市第三公證處接受申請�����,對新浪網(wǎng)頁上的《育兒論壇》內(nèi)容進行了保全證據(jù)公證:對操作電腦的步驟�����,包括電腦型號�����、打開電腦和進入網(wǎng)頁的程序以及對電腦中出現(xiàn)的內(nèi)容進行復制等全過程進行了現(xiàn)場監(jiān)督�����,在現(xiàn)場監(jiān)督和記錄的同時�����,對現(xiàn)場情況進行拍照���。之后�,公證人員出具保全證據(jù)公證書�。但是,由于公證具有高成本�����、低效率的特點���,也不能在電子證據(jù)的獲取上片面迷信公證的方式�����,應當根據(jù)案件的具體情況����,具體決定采取上述哪種方式進行取證�。
(二)電子證據(jù)的復雜取證方式
復雜取證,是指需要專業(yè)技術(shù)人員協(xié)助進行的電子證據(jù)的收集和固定活動����。多使用于電子證據(jù)不能順利獲取,如被加密或是被人為的刪改��、破壞的情況下���,如計算機病毒�����、黑客的襲擾等��。這種情況下常用的取證方式包括:
1���、解密��。所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼�,隱藏在文件中時���,就需要對密碼進行解譯���。在找到相應的密碼文件后,請專業(yè)人員選用相應的解除密碼口令軟件����。如:用Word軟件制作的密碼文件,選用Word軟件解譯;解密后�,將對案件有價值的文件,即可進行一般取證;在解密的過程中�,必要的話,可以采取錄象的方式���。同時應當將被解密文件備份��,以防止因解密中的操作使文件丟失或因病毒損壞����。如:在辦理一起某國際投資公司的職務(wù)犯罪案件中,偵查人員在搜查辦公室時發(fā)現(xiàn)���,其使用辦公桌的抽屜和文件櫥內(nèi)有11
張微機軟盤,懷疑盤內(nèi)存有其犯罪的重要證據(jù)����,取回后立即送技術(shù)科進行檢驗,我技術(shù)人員按要求���,進行了詳細檢驗�����,無病毒��,并查清了這些軟盤中用Word軟件所制作的文件�,并加入了密碼�,即針對所用軟件采用了Advanced
Word 97 Password Recovery
1.23軟件成功的破譯了其中的密碼,解出了108份文件�,從而掌握了其犯罪的重要書證,又擴大了辦案線索���,使案件深入發(fā)展�。
2、恢復��。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復數(shù)據(jù)�����、剩余數(shù)據(jù)的功能���,有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準備專門的備份�����。這些系統(tǒng)一般是由專門的設(shè)備�����、專門的操作管理組成���,一般是較難篡改的。因此�,當發(fā)生網(wǎng)絡(luò)犯罪,其中有關(guān)證據(jù)已經(jīng)被修改��、破壞的,可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進行比較�����、恢復�����,獲取定案所需證據(jù)�。如1997年7月底�,重慶市某農(nóng)業(yè)大學學生處計算機辦公網(wǎng)遭到破壞,直接影響到8月份即將開始的招生工作�。偵查人員在接到報案后,及時進行了現(xiàn)場保護�����,從網(wǎng)絡(luò)的5號無盤站上得到了一個破壞程序正對系統(tǒng)進行的破壞過程�,這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的,偵查人員通過這個線索找到了源程序��,破獲了全案�����。
如果數(shù)據(jù)連同備份都被改變或刪除,可以在系統(tǒng)所有者的協(xié)助下�����,通過計算機系統(tǒng)組織數(shù)據(jù)的鏈指針進入小塊磁盤空間���,從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)�,進行比較分析��,恢復部分或全部的數(shù)據(jù)���。另外���,也可以使用一些專門的恢復性軟件,如Recover98����、RecoverNT
EXPD等。
3����、測試。電子證據(jù)內(nèi)容涉及電算化資料的��,應當由司法會計專家對提取的資料進行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟件使用有關(guān)的問題時�,應當由司法會計專家現(xiàn)場對電算化軟件進行數(shù)據(jù)測試(偵查實驗)。主要是使用事先制作的測試文件�����,經(jīng)測試確認軟件有問題時��,則由計算機專家對軟件進行檢查或提取固定����。
