关于网络犯罪证据的提取与固定
「摘要」
电子证据所具有的无形性、多重性和易破坏性,使得网络犯罪在取证上具有相当的困难,本文提出网络犯罪的取证中,可以分别案件的具体情形采取一般取证或复杂取证的方式进行证据的提取和固定。
「关键词」网络犯罪 电子证据 提取 固定
随着网络在生活中的普及,由网络而滋生的犯罪也应时而生,2002年7月,北京发生一起通过发电子邮件冒充新浪网进行诈骗的犯罪,犯罪嫌疑人向各个公司发送e-mail邮件,声称新浪网引擎将实行有偿服务,并提供了汇款账户。公安干警利用这封e-mail中所提供的开户银行及账号,找到这家公司的办公地点。由于资料随发随消,电脑主机里并没有发现有关证据,案件的侦办主要通过对犯罪嫌疑人战某的审查,他承认了犯罪事实。 在这个案件的侦查中,案件本身的证据收集、提取、固定不是很理想,因为犯罪人将有关证据随发随消,这就提醒我们一个问题,对于网络犯罪如何进行证据的提取和固定。
一、电子证据概述
网络犯罪主要是指利用网络实施的犯罪,包括传统的犯罪使用网络这种形式、手段予以实施,也包括直接针对网络实施的犯罪。证实网络犯罪的证据统称为电子证据,电子数据证据是以数字的形式保存在计算机存储器或外部存储介质中、能够证明案件真实情况的数据或信息。包括电子合同、电子信件、电子签名等。电子证据常常和计算机证据发生混淆,实际上二者是有区别的。
计算机证据可以在两种意义上使用,一种它只不过作为生成书面证据的工具,通过计算机拟就的合同、协议最终是以书面的形式交予对方签字认可,那些书面的合同文本才是证据,这些证据根据其表现形式可以是书证、视听资料等;一种是有关的合同、协议、文件通过网络发送给交易对方并得以确认,那么此时计算机作为载体保存的合同文本信息及对方的确认信息是电子证据。所以,电子证据并不等于计算机证据,计算机中保存的证据可能是电子证据,也可能不是:通过计算机的形式呈现出来的证据都可以称之为计算机证据,电子证据是互联网化的证据,由于互联网是以计算机为载体的,其证据则大多是通过计算机的形式输出,因此常与计算机证据联系在一起。
二、网络犯罪取证难
电子证据除具备一般证据的客观性和合法性外,还有以下几个特点:第一,内在实质上的无形性。一切交由计算机处理的信息都必须转换为二进制的机器语言才能被计算机读懂,即无论使用何种高级语言或输入法向计算机输入信息,都必须经过数字化的过程,因此我们所谓的电子证据其实质上只是一堆按编码规则处理成的“0”和“1”,看不见摸不着,具有无形性。
第二,性质的多重性。电子证据在性质上具有多重属性,其是以内容起证明作用的,这符合书证的特点。从表现形式上,该“痕迹”是以数据的形式被存储在电脑硬盘中,似乎又是物证。电子证据又常常表现为文字、图像、声音或它们的组合,所以又具有视听资料的特点。
由此,电子证据具有了各种证据所具有的优点,它存储方便,表现丰富,可长期无损保存及随时反复重现,它不像物证一样会因周围环境的改变而改变自身的某种属性,不会像书证一样容易损毁和出现笔误,也不像证人证言一样容易被误传、误导、误记或带有主观性,电子证据一经形成便始终保持最初、最原始的状态,能够客观真实地反映事物的本来面貌。
第三,易破坏性。与其他证据相比,电子证据又是最为脆弱的,最容易受到破坏的一类证据。当有人为因素的或技术的障碍介入时,电子证据极容易被篡改、伪造、破坏或毁灭,电子数据或信息是以“比特”的形式存在的,是非连续的,数据或信息被人为地篡改后,如果没有可资对照的副本、映像文件则难以查清、难以判断。非故意的行为主要有误操作、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃、突然断电等等,这些都是危害数据安全、影响数据真实性的原因。 所以,电子证据的内容具有更大的不稳定性,稍纵即逝,有时就是一个简单的键盘操作,甚至将电源一拔,证据就灭失了。
鉴于以上特点,对于网络犯罪的取证有如下问题:
1、技术上难以证明其唯一性。从证据的角度来说,所有的证据都要证明它的唯一性。比如指纹,DNA,作为唯一的证据有定罪的作用。但网络世界中,电子数据证据的数据和信息是电讯号代码(如0-1的组合)形式,存储在计算机各级存储介质(如RAM、磁带、磁盘、光盘)中,这些数据和信息,均为一二进制电磁代码,不可直接读取,是无形物质。要保存下来,必须进行一系列的能量转换,使之固定在各级计算机存储介质等电子化的物质载体里。但是,目前从数字技术来说,所有的数字记录都很难说明它的唯一性,比如这打印出来的文件,但是是否是存储在介质中的资料,是否进行了修改,在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链,认定犯罪事实。
2、法律上难以取得合法地位。我国《刑事诉讼法》第五章第42条明确规定:“证明案件真实情况的一切事实,都是证据”。同时规定证据有七种形式,即物证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定结论;勘验、检查笔录;视听资料。这七种证据里没有电子证据这种证据形式,这是否意味着电子证据不能作为案件的有效证据使用。有的观点认为,在诉讼法律没有明确作出规定之前,不能作为有效的证据使用。另一种观点认为,可以把电子证据归为视听资料,从而使电子证据具有法律根据,在公安、检察、法院三家认定上也有不同的看法,从而使得在一些案件中即使抓住了犯罪嫌疑人,在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。
3、保全上有相当的难度。由于电子证据本身的脆弱性,销毁起来也相当迅速;不像其他种类的证据,比如留下指纹,搽起来比较困难。实践中,比较常见的是在保全这一问题上意识弱、动作慢,使电子证据被销毁,从而出现认定犯罪的困难。另外,电子证据的保全措施往往又依赖专门的机构,所以,难免会出现保全困难。
三、网络犯罪的证据的提取和固定
电子证据的取证规则、取证方式都有别于传统证据,传统的证据收集手段、认证都不能完全照搬使用,因此,网络犯罪中证据的提取、固定有一定难度。尽管如此,针对案件的具体情况,利用电子证据自身的特点,可以进行取证,为案件的侦破提供帮助。
(一)电子证据的一般取证方式
一般取证,是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有:
1、打印。对网络犯罪案件在文字内容上有证明意义的情况下,可以直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法予以保管、固定,并注明打印的时间、数据信息在计算机中的位置(如存放于那个文件夹中等),取证人员 等。如果是普通操作人员进行的打印,应当采取措施监督打印过程,防止操作人员实施修改、删除等行为。
2、拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先,取证人员应当检验所准备的软盘、活动硬盘或光盘,确认没有病毒感染。拷贝之后,应当及时检查拷贝的质量,防止因保存方式不当等原因而导致的拷贝不成功或感染有病毒等。取证后,注明提取的时间并封闭取回。
3、拍照、摄像。如果该证据具有视听资料的证据意义,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像,还具有增加证明力、防止翻供的作用。
4、制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。使用司法文书的方式可以通过权威部门对特定事实的认定作为证据,具有专门性、特定性的特点,具有较高的证明力。主要适用于对具有网络特色的证据的提取,如数字签名、电子商务等,目前在我国专门从事这种网络业务认证的中介机构尚不完善,处在建立阶段。如1998年,经广东省人民政府批准成立了以提供电子认证服务为主营业务的广东省电子商务认证中心,到目前为止,该中心已签发各类数字证书超过6万张,为用户在Internet网络的电子商务活动提供了安全保障。
5、查封、扣押。对于涉及案件的证据材料、物件,为了防止有关当事人进行损毁、破坏,可以采取查封、扣押的方式,将有关材料置于司法机关保管之下。可以对通过上述几种方式导出的证据进行查封、扣押,也可以对于一些已经加密的证据进行。如在侵犯商业秘密的案件查办中,公安机关依法查封、扣押了办公用具及商业资料,将硬盘从机箱里拆出,在笔录上注明“扣押X品牌X型号硬盘一块”。由于措施得当,证据提取及时,既有效地证据犯罪,也防止了商业秘密的泄露。对于已经加密的数据文件进行查封、扣押,往往需要将整个存储器从机器中拆卸出来并聘请专门人员对数据进行还原处理,这种情况下进行的查封、扣押措施必须相当审慎,以免对原用户、或其他合法客户的正常工作造成侵害,一旦硬件损坏或误操作导致数据不能读取或数据毁坏,其带来的损失将是不可估量的。
6、公证。由于电子证据极易被破坏、一旦被破还又难以恢复原状,所以,通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。2001年3月的新浪网《育儿论坛》被控刊载有损害他人名誉权的文章,南京市第三公证处接受申请,对新浪网页上的《育儿论坛》内容进行了保全证据公证:对操作电脑的步骤,包括电脑型号、打开电脑和进入网页的程序以及对电脑中出现的内容进行复制等全过程进行了现场监督,在现场监督和记录的同时,对现场情况进行拍照。之后,公证人员出具保全证据公证书。但是,由于公证具有高成本、低效率的特点,也不能在电子证据的获取上片面迷信公证的方式,应当根据案件的具体情况,具体决定采取上述哪种方式进行取证。
(二)电子证据的复杂取证方式
复杂取证,是指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取,如被加密或是被人为的删改、破坏的情况下,如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括:
1、解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。如:用Word软件制作的密码文件,选用Word软件解译;解密后,将对案件有价值的文件,即可进行一般取证;在解密的过程中,必要的话,可以采取录象的方式。同时应当将被解密文件备份,以防止因解密中的操作使文件丢失或因病毒损坏。如:在办理一起某国际投资公司的职务犯罪案件中,侦查人员在搜查办公室时发现,其使用办公桌的抽屉和文件橱内有11 张微机软盘,怀疑盘内存有其犯罪的重要证据,取回后立即送技术科进行检验,我技术人员按要求,进行了详细检验,无病毒,并查清了这些软盘中用Word软件所制作的文件,并加入了密码,即针对所用软件采用了Advanced Word 97 Password Recovery 1.23软件成功的破译了其中的密码,解出了108份文件,从而掌握了其犯罪的重要书证,又扩大了办案线索,使案件深入发展。
2、恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,一般是较难篡改的。因此,当发生网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。如1997年7月底,重庆市某农业大学学生处计算机办公网遭到破坏,直接影响到8月份即将开始的招生工作。侦查人员在接到报案后,及时进行了现场保护,从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程,这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的,侦查人员通过这个线索找到了源程序,破获了全案。 如果数据连同备份都被改变或删除,可以在系统所有者的协助下,通过计算机系统组织数据的链指针进入小块磁盘空间,从中发现数据备份或修改后的剩余数据,进行比较分析,恢复部分或全部的数据。另外,也可以使用一些专门的恢复性软件,如Recover98、RecoverNT EXPD等。
3、测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。
( 责任编辑: 刘长利 )
1328
