下载掌阅APP,畅读海量书库
立即打开
2016年10月,“两高一部”颁布了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。这个司法解释规定了在刑事案件中收集提取电子数据的方法和手段。文件比较长,我这里用一张图总结了主要的手段和方法(见图5-3),有的是针对电子数据本身的,比如提取、固定、冻结、调取;有的是针对电子数据的存储介质的,比如扣押。
图5-3 《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中关于电子数据收集与提取的主要手段和方法
这里基本包含了我们在工作中常见的提取、固定、检查、鉴定电子数据的对象和它们的派生材料的手段和方法。以扣押笔录为例:扣押原始介质,要有扣押笔录相佐证;提取、固定电子数据,应当有相应的调取清单、勘验笔录等;冻结应当有冻结清单相关的审批手续等。也就是说,一份电子数据除了数据本身之外,还有保存它的载体,还有开展这项活动的相关记录,这些内容共同构成了这个证据是不是具有客观性、合法性的基础。
上述司法解释实际上也指明了在处理一份电子数据的时候,需要遵循的一些原则和可能遇到的例外情形。通常来讲,以扣押原始介质作为原则性规定,也就是说大部分情形下,我们都要扣押查封原始介质。在限于客观条件无法进行扣押的时候,作为一种例外的情形就是可以对电子数据本身直接进行提取,这里可能涉及勘验、提取、冻结等。还有一类补充手段,也就是如果上述手段都无法使用,可以拍照、录像或者打印电子数据。大家可以用这三个词区分在不同情形之下处理电子数据应当选择的方法和手段:原则、例外和补充。
早在2000年,计算机证据国际组织(International Organization on Computer Evidence,IOCE)受八国集团委托,制定了计算机取证的六条原则。
在研究起草《最高人民法院关于人民法院办理财产保全案件若干问题的规定》的时候,基本上吸收了这六条原则。这六条原则写得比较晦涩,我们总结发现,实际上技术层面就剩三条:写保护和不改变原则、完整性校验原则、比例原则(见图5-4)。
图5-4 IOCE制定的计算取证六条原则及作者提炼的三条技术层面的原则
我简单解释一下:写保护和不改变,其实就是要保持证据及其载体的原始性。完整性校验原则是指对所有的电子数据都要计算哈希值,比如在勘验、提取、调取、冻结,甚至在检验鉴定的时候,都要对所检验的对象计算哈希值,这种完整性校验是电子数据区别于其他证据形式的一种体现。比例原则是指为了获得取证结果,必要的时候可以对原始证据进行一定程度的改变。比如手机开机一定会造成手机中存储数据或者状态的某些改变,但这又是必要的,这种改变是最小的、可控的、能够被记录和评价的。比例原则,也可以称为必要性原则。比如法医在取材的时候,取人体组织器官就会对当事人身体完整性造成一定的损害,但是这种损害又属于应当承担的和可控的。
在讲审查要点和技巧之前,我还有几个问题想和大家交流一下:如果你是检察官,碰到这种情况你怎么办?你敢不敢采纳、采信这些证据?这些问题不是我杜撰出来的,在培训班上经常有检察官向我们提出类似的问题。我把这些问题慢慢地收集起来,都是值得说一说的素材。
下面我就结合几起案件说一下电子证据的审查要点和技巧。
在第一起案件里,办案部门到腾讯公司调取了微信号,发现在案发现场提取到的微信号跟从腾讯公司调来的微信号不一样,但是结合其他方面的信息,感觉又是同一个。在这种情况下,你是否敢采用这种结论?第二起案件是一个微信盗窃案,盗窃微信钱包里的钱。办案部门从腾讯调取的微信账号信息显示,帐号的注册日期在转账日期之后。大家想想,一个微信账号没注册,怎么会有转账记录呢?这两种情况我们在现实中都遇到了。后来,我们通过其他方面判断微信账号没错,正常来说调取的微信账号和案发的微信账号应该是一样的,但是发生这种变化是什么原因呢?我们经过沟通了解到,这是微信平台9年不遇的Bug,让我们遇到了,所以对这种情况作出合理的解释就可以。但是作为检察官,如果没有这种解释,按照普通逻辑,你敢下这个判断吗?
前面提到,很多冤假错案的产生,都是在证据层面上出现问题的,这要高度重视。最后的这个案件讲的是一款手机维修行业常用的软件被不法人员用来“薅羊毛”。因为这个软件经常被用来做手机维修、软件修复等工作,所以它具备修改手机ID的功能,因此很多人就通过这个功能来实施违法犯罪活动。那么,利用这款软件能否构成提供侵入、非法控制计算机信息系统程序、工具罪呢?这是值得商榷的事情。软件出现在前,而且当时不是为了非法需求而生产的,只是有这个功能而已。这都是需要检察官在办案实践中去琢磨和思考的。如果没有专门的人员协助检察官进行这种专门的审查判断,实践中的办案难度确实很大。
一起案件,从侦查部门立案开始,到收集提取各类电子数据后移送检察机关,检察官面临的问题大致有如下几类。第一类是对犯罪模式的理解。有的网络犯罪组织把犯罪模式设计得极其复杂,让人难以理解。2017年,我和同事到陕西的某地市指导办理一起网络传销案件,其组织的犯罪模式非常复杂,我当时也是听完公安部门同志的介绍,接触了案件的其他相关人,又经过几天的思考和研究后才梳理清楚的。所以对检察官来讲,要理解犯罪模式就更难了。第二类是要解释和解决一些专门性的问题,其中可能更多地涉及电子数据的问题。第三类是面对公安机关移送来的这些具体的电子数据,如勘验笔录、审批材料,电子数据本身、鉴定意见、检查笔录等,这些需要通过审查才能确定是否可用。大家可能又问,侦查机关忙活了半天,证据移送到检察院了,为什么还要审查是不是可用?大家知道,这次司法改革的一个很重要的方向就是在刑事诉讼过程中检察官要承担主导责任,如果确定的证据出了问题,检察官首先承担责任。有的证据在收集过程中有瑕疵甚至是比较大的问题,在庭审时就有可能“翻车”,这种情况并不少见。此外,检察官还要关注一些侦查行为是否违法,比如有没有暴力取证、捏造证据、替换证据的情况,这几个词听起来不是那么友好,但在现实中时有发生。
套用一句话,“信任不能代替监督”,说的就是这个道理。案件提起公诉以后,法院作出判决,如果判的有问题,检察机关还要提起抗诉,在抗诉的过程中也会有大量的涉及电子数据的专业性问题需要解决。
2018年4月,最高人民检察院出台了《关于指派、聘请有专门知识的人参与办案若干问题的规定(试行)》。当时,也是在刘品新老师的组织之下,我们开展的这项工作。总体来看,通过检察技术人员或者其他有专门知识的人参与,协助检察官解决案件中的这些专门性问题,能起到什么作用呢?发现瑕疵,能补尽补;发现错误,依法排除;发现故意,纠正违法;发现关联,追溯漏犯。这是一个比较精练的总结,我就不再解释了,后面会通过讲解电子证据的审查方法和要点,让大家具体体会。
关于电子数据专门审查的方法和路径,我大致总结了这么几个方面:证据保管的问题,实施开展某项技术活动的依据问题,开展某项技术活动是否具有资格和资质的问题(包括证据的表现形式),还有一些需要协助检察官解决的其他方面的问题等,具体可见图5-5。
图5-5 电子数据专门审查的总体考虑
我先从电子数据的收集、提取和保管开始讲起。
办案部门收集、提取和保管电子数据的载体是不是做到了唯一性标识?大家想想,唯一性标识重不重要?一般涉案的要么是赃款,要么是赃物。赃款是类型物,有个数量就可以了,比如某贪官涉案1 000万元,谁也不会去把这1 000万钞票的序列号给抄下来,记一个数额就可以了。但是赃物就不同了,它是个体物,如果不能唯一标识,赃物被换掉了,是谁的责任?在保管的过程中,由于诉讼周期很长,流程很长,还要变换司法机关等,一旦丧失了唯一性标识,物证是没有办法追溯的。
很多电子数据的原始存储介质——电子产品,都具有唯一性标识,最起码有个序列号。比如手机有IMEI号,甚至每一个芯片都会有一个出厂编号,像集成电路编号ICCID。有人说,我在办案现场发现的电子产品上没有唯一性编号怎么办?这个路径并没有被堵死,没有唯一性编号,还可以在不影响整个物证表面性状的情况下,用记号笔在物证上面标注一下,在清单里面就可以写“表面标注有××字样的××物品”,这就做到了唯一性标识。
我借用一些案件中出现的具体扣押情况给大家介绍一下。在某案件中扣押清单里记载:“手机一部,白色小米2S。”白色小米2S显然不具备唯一性,这种描述不可能具备唯一性,只能说具备了相对唯一性。大家再看看,从百度云盘上下载的数据存储到光盘上,保存特征是“一张光盘”,在这种情况下,如果光盘被换掉了,责任算谁的?光盘的编号是什么?即使光盘编号不重要,但光盘里面数据的哈希值,算出来标注一下不行吗?很多标识起不到唯一性的作用,这就是问题所在。一旦出了问题,没有办法追溯,责任划分时就会出现扯皮的情况。
电子数据的保管链包括两个部分,一个是纯电子数据介质的保管链,另一个是电子数据本身的保管链。物证被扣押以后会涉及很多环节:查封、保管、送外部进行检验或者鉴定、归还,机关之间因为诉讼过程发生移送,等等。因为电子数据属于客观物证,一旦出了问题,会给案件本身带来颠覆性的、致命的影响,谁也无法承担这个责任。因此,大家遇到这方面问题的时候,要关注一下保管链。这里我给大家举几个比较典型的例子。
2017年,河北某地发生一起强奸案,受害者告男方强奸,移送起诉后嫌疑人始终不认罪,说二人是情侣关系。公诉人想看看涉案手机里面是否有证明二人的亲密关系的证据,比如聊天记录、交往的记录等,但是手机无法打开。这种情形之下,基层法院经过层层委托到了最高人民检察院。最开始我们判断手机无法开机,可能是屏幕碎掉了,大家看图5-6左边那个手机屏幕,这就是当时的真机。因此我们就换了个屏,但仍无法开机,我们怀疑电池有问题,又把电池给换了,解决电池问题后还是无法开机。直到最后一刻,大家都快放弃的时候,我们一个同志发现主板上的存储芯片没了,大家看镊子指的这个位置,就是放芯片的位置。回头一想,一切就都符合逻辑了。所以说,如果没有在这个关键点上把握住,可能就会造成一起冤假错案。我现在虽然也了解这种技术手段,但是未必能把芯片焊得干干净净,非专业人员是非常难实施的。
图5-6 一起强奸案中受害人手机的存储芯片丢失及可能引发的案件流程
以前我们在协助反贪部门办案的时候,还遇到过硬盘没有盘片的情况,这和前面的手机芯片丢失是一样的。大家想想,本来是恋人关系,后来报案强奸,能够证明亲密关系的聊天记录找不到。为什么找不到?芯片没了,证据丢失,这个罪名大概率成立。简单想想,这个案子的走向可能就变了,往深里想想,这里面隐藏了故意犯罪,这也是在检材保管期间发生的问题。
还有一起教训很惨痛的案件。2014年8月,正是伪基站案件比较高发的时候,北京某区公安机关侦办了一起伪基站案件,扣押了一台犯罪嫌疑人用于实施犯罪的笔记本电脑,还有无线信号广播器等。到10月案件移送审查起诉的时候,检察官要求公安机关把涉案的笔记本电脑移过来看看,但经过两次催促仍然没有移送,这时候公诉人已经有所警惕了。10月底,电脑移送过来以后,我们技术人员经过鉴定确定了如下几个事实:笔记本电脑的硬盘被格式化两次,第一次是从Ubuntu格式化成Windows7,后来又从Windows7变成了Ubuntu,伪基站案件所涉及的电子数据中本应保留的被中断用户的号码列表日志被删除、覆盖而无法恢复。这样,此案中伪基站的犯罪嫌疑人就回家过年了,案子撤销了,负责保管那台笔记本电脑的民警,被办案的检察机关以玩忽职守罪立案调查。为什么?一是经过一顿折腾,把涉案的关键证据给灭失掉了;二是在电脑上发现了民警大量的个人照片、视频等,这就是物证保管阶段很惨痛的经验教训。
除了介质本身的保管链之外,我们还要注意电子数据本身的保管链。为什么要关注这个?实际上,我们也有一些很重要的发现。广西某检察机关在办理一起非法集资案件时,侦查人员通过勘验的方式,从犯罪组织租用的云服务器上下载了涉案的电子数据文件并压缩保存。经压缩保存以后成为一个压缩文件且计算了它的哈希值,这都是一些常规操作。为了分析这些数据,侦查机关又将其送交社会机构去做鉴定,问题就来了。勘验得到的数据有MD5值做固定,但与鉴定机构接收到的数据的哈希值不一样。可是事实上这些数据又确确实实是勘验得到的,那么问题出在哪里呢?
经过我们的分析,并建议检察官进一步了解情况后得知,侦查机关是把勘验数据的一部分摘出来送社会机构进行鉴定。像这种情况,我们的补救措施很简单,做一份工作说明进行合理解释就可以了。但如果连这份说明都没有,假如我是律师,就肯定咬住不放,据理力争,把这份鉴定意见排除掉,那案件可能处于被动状态。因为很多案件,尤其像这种网络犯罪案件,电子数据甚至有可能是唯一的客观类证据,如果排除掉,剩下的像供述这种言词类的证据材料,不足以支撑证明体系。这就说明数据本身也存在保管链的问题,尤其是线上线下空间有交叉的时空背景之下,介质或者数据的保管还会面临更大的风险。
从网上已经披露的案件来看,我发现至少有三起案件的办案程序反映出来的问题需要引起我们的重视。第一起是查办湖南某职务犯罪案件的监委工作人员利用微信盗刷涉案人员34万元人民币。第二起是江西某县民警在办理一起开设赌场的案件中,使用嫌疑人手机中的微信购买生活用品,涉案金额6万余元。第三起是天津某技术取证公司的人员,在协助侦查机关办案的过程中,对被扣押的犯罪集团的手机进行取证时隐匿其中的账号信息,自己用来消费,涉案金额3.5万余元。这些案件很快就侦破了,因为涉及支付类的信息属于金融信息的一部分,都是永久保存的,而且国家有专门的部门在进行重点监管监控,所以不可能不被发现。此外,涉及财产类的案件,即便国家有关部门没有及时监控到,物品原来的主人也会注意到。讲到这里,我又觉得以后对手机取证的数据,在时间线上恐怕还要加一道审查的关口,因为这里容易引发新的犯罪。
接下来,我讲讲电子数据鉴定意见的审查。司法实践中遇到最多的可能就是各类电子数据的检验报告、鉴定意见了。如何对这些电子数据的鉴定意见进行审查?我想从实体和程序两方面进行介绍。
从实体方面审查鉴定意见可以关注三个问题:第一是技术标准规范的选择适用;第二是鉴定对象是否适当;第三是鉴定对象与鉴定工具是否存在混同风险。
在技术标准规范的选择适用上,如果有国家标准,应当优先适用国家标准;没有国家标准但有行业标准的,要及时查询,因为行业标准的更新比较快,它们的修订周期可能是一年、半年,甚至随时在修订,要注意查新,防止使用已废止的标准;在没有相关行业标准或者技术规范依据的情况下,应考虑所采用的依据(技术原理、参考材料)是否合理。
我们先看一个比较典型的案例。我的一位同事在审查一份电子数据鉴定意见的时候,发现鉴定意见书第二页列明的标准规范依据是公安部公报(2015年第4期)已经公布废止的行业标准,但是这份鉴定意见书出具的时间是2018年。大家想想,如果你是律师,碰到这种情况会怎么想?鉴定意见依据的标准早已被废止了,这个鉴定意见还能用吗?当然,从实质上的技术动作来看,可能并没有什么差别,比如这几个废止的规范GA/T 825—2009、GA/T 826—2009,实际上并不是从根本上废止,而是已经升级为国家标准了,但是从形式上讲它们确实是被废止了。所以,在鉴定书里面出现这种表述,显然是不适当的,这份意见应当被排除,建议重新鉴定。
另外一份鉴定(软件功能鉴定)意见书,由于某一个App的软件需要远程验证,但该软件远程验证服务器已经关闭,现软件无法正常运行。结合软件使用说明书对软件做功能鉴定,是非常荒谬的,而且我没有发现该鉴定书里面有其他的依据。
还有判定一款软件是否具有“非法控制计算机系统”功能的鉴定意见,它的依据是用户在安装微信时点击同意的微信协议,以此判定这个软件能否“非法控制计算机信息系统”,是非常不适当的。
鉴定对象是否适当,这句话不太好理解。我举一个例子,山东某地发生过一起利用互联网传播淫秽物品案,其实就是网上注册用户能够在线观看淫秽视频,查封以后公安部门把服务器硬盘提交鉴定,以确定淫秽视频的数量。这里就有一个问题,服务器上所有的淫秽视频是不是都能被公众看到?显然不是。有权限的问题,有测试的问题,还有其他方方面面的问题。我在这里强调要注意“本体与呈现的关系”,什么意思呢?服务器站点磁盘上所有的视频文件,不等于可被公众访问的视频文件。
现在手机在案件里面出现得较多,常常需要提取手机里面保存的App的数据,有的机构使用手机作为工具,还能获取手机App云端的数据,在这种情况下就要进行区分了。不要把鉴定对象混同为鉴定工具,往下拉数据。可喜的是,目前国内有一些取证公司已经克服了这个问题,大家可以查询了解一下。
对于电子数据鉴定意见的审查,还需要从程序上关注几点:司法鉴定机构和人员的资质、委托受理的程序、司法鉴定要做何种判断(事实、法律还是价值)、鉴定意见的表述形式,等等。
目前,我国的鉴定机构由公安机关、检察机关、国家安全部门和社会机构组成,并通过登记的方式进行管理。一旦涉及登记管理,就会涉及机构开展鉴定项目的有效期和业务范围,这是一种形式上的审查,有经验的人很快就能够得到审查结果。在委托受理方面要注意区分一下时间上符不符合正常逻辑,比如有的委托鉴定在签发日期之后,也许实质上可能没什么大问题(提前沟通等),但形式上始终存在漏洞。
另外要注意鉴定意见的表述形式和鉴定意见的判断。司法鉴定是根据有关技术标准,客观、科学实施技术活动的过程。但大家看看下面这几份鉴定意见。
第一份:“经检验,检材中包含公民个人信息100 000条。”根据2017年6月1日起施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,是否属于公民个人信息是需要进行法律判断的,在鉴定意见里不适宜进行直接的描述。可以描述为:发现多少张银行卡,发现多少个身份证号码。直接将这些内容认定为多少条公民个人信息确实是有问题的。
第二份:“经检验,检材控制的计算机台数计25台,达到了情节严重的程度。”是否达到情节严重的程度,是由检察官和法官进行判断的内容,该意见显然超出了鉴定机构判断的权限范围。
第三份:“经检验,在检材中提取淫秽录像文件83个,提取淫秽图片10 332张。”是否属于淫秽物品这种需要进行价值判断的内容也不应出现在司法鉴定意见书中。
对鉴定意见的形式审查还包括审查是否有鉴定人签名,还是只有盖章没有签名,缺不缺少某些要素。还有一些电子数据鉴定意见中特有的“大意”,这是我在实践中发现的一些问题,具体可见图5-7。
图5-7 电子证据鉴定意见的常见漏洞
在很多情况下,检察官都可以组织一次实质性的电子数据提取,这听起来有点像自行补充侦查,我简单总结了一些有必要再提取一次电子数据的情况:(1)供述类证据与电子数据检验报告(鉴定书)反映的细节存在比较大的出入;(2)多份鉴定意见之间存在较大的分歧矛盾;(3)证据A与证据B之间,在同一事项的证明结论上截然相反;(4)重特大案件、社会影响大的案件;(5)刑事政策有特殊要求的案件;(6)检察官无法完成对证据的内心确认。
同样举两个例子跟大家交流。一个是2008年发生的未成年人强奸未成年人的案件,侦查终结移送起诉以后,嫌疑人的父亲又提供了一张罚款单,说他儿子的出生日期搞错了,他儿子的出生日期应当是1994年11月15日。如果认定这个出生日期,嫌疑人实施犯罪活动的时候并不满14周岁,应当免于刑事处罚。当时,公诉人觉得很诧异,在经过两次退回补充侦查以后,仍然没有排除出生日期上的合理怀疑,于是启动自行补充侦查,由我来具体配合他。经过详细的分析,我们前往原籍现场取证,调取他在实施犯罪活动前后两部分的历史数据进行解密分析对比,进而确定了他的出生日期。在作案之前,他的出生月份是1994年4月,作案以后明确地改成了1994年11月,这是非常明显的一种变化。后来法院认定了我们结论,判处被告人一年六个月有期徒刑。
另外一起案件我印象也比较深刻。2014年,犯罪嫌疑人通过微信“摇一摇”约到了附近的一名单身女性,两人一起去喝咖啡。返家途中,嫌疑人就说咖啡喝多了有点渴,想去女子家里喝一杯水,女子同意了。两人到家后,嫌疑人就到厨房拿了一把刀对女子实施强制猥亵,一手拿刀威胁,一手拿手机拍照,女子趁其不备夺刀成功,一顿挥舞把嫌疑人吓跑了,很快嫌疑人被抓住了。一审的时候被告不认罪不悔罪,否认拍照威胁,侦查机关委托某社会机构提取手机中的照片但并未找到涉案照片。一审只能基于口供、监控录像判处被告强制猥亵妇女罪,判处其有期徒刑十个月。因为手机中未找到相关证据,所以手机就作为个人财物发还了。检察机关觉得这个判决有问题,便提起了抗诉。为了获取更加客观、关键的证据,我们开展了技术攻关,最终从手机中提取到了最关键的照片,彻底戳破了被告人的谎言。抗诉以后,被告人认罪悔罪,承认拍照的事实,我们找到了这些实施猥亵的照片,法院判决被告人有期徒刑一年四个月,同时手机作为犯罪工具予以没收。在这个案子中,检察官内心基本上有个确认,但是苦于没有客观证据,怎么办?我们在原有的证据基础之上再进行了一次实质性的电子数据提取,效果非常好,抗诉成功。
我曾经在一个办案单位看到打印出来的微信聊天记录有1 300多页,面对这些海量的数据,怎么开展审查判断分析?没有好的工具根本无从下手。在我看来,这些大部头电子数据驱动的报告简直就是一座非常大的矿山。某基层检察院技术人员协助检察官在某案件中的1万多条短信、26万余条微信记录里面进行证据审查,最终认定的受害者从一名增加至十几名,涉案金额也从5万多元增加到120多万元。其实只要有一个能够对这些报告进行快速检索标记的工具就可以解决80%以上的问题。可惜的是,目前还没有这种工具可供使用。
我再举一个例子,是甘肃某地一起贩卖毒品的案件。通过对报告的再分析,直接改变了案件的定性。嫌疑人曾某从云南临沧驾车到甘肃兰州,在这个过程中被公安机关查获,在车里发现大量的冰毒,曾某矢口否认,说他并不知道这是毒品。按照《办理毒品犯罪案件适用法律若干问题的意见》的规定,可以推定犯罪嫌疑人主观上明知是毒品,但需要有客观证据来佐证。在侦查过程中,当地检察机关的几名技术人员很努力,在近45 000条的电子数据记录中制定搜索策略,后来发现有关证据有可能隐藏在声音文件里面。当时很多取证软件对声音文件还不能实时解析成文字,那么他们又是怎么找到声音文件的端倪呢?具体的技术路线可能不太适宜公开,总之这些声音表达的意思仿佛跟毒品有关系。这些文件出现在某音乐软件中,技术人经过分析研究发现原来音乐软件也有社交功能,可以进行即时聊天。通过对相关信息进行分析解读,最终这些声音文件翻译出来后成功用于认定被告人构成贩卖毒品罪。如果没有这个证据,可能没法认定或者只能认定持有毒品罪。我们也是从这样的案件中陆续了解到很多有组织犯罪会使用一些非常小众的App进行联络,这也为以后打击类似犯罪提供了一些新的思路。
未来,用电子数据来指控犯罪应当采用一些新的思路,尤其是现在涉案电子数据愈加海量,指控的事实与相关电子数据之间能不能很好地关联,能不能发挥很好的庭审效果,这些很重要。我们也希望社会上有关的研究机构能在这方面做一些工作。这些年,我们也进行了一些尝试,比如在网络犯罪案件、网络传销案件里面,通过分析网络传销组织后台,制作、生成组织结构图,辅助检察官审查判断相关的证据,效果也挺好。但总体而言,提升电子数据的法庭示证效果还有很长的路要走,这也为很多研究机构提供了科研的空间。
作为技术人员,在很多情况下,在接到检察官委托的时候,不要浅尝辄止,不要动不动就说“我们干不了”,而是要多问自己一句:“是不是穷尽了技术手段?是不是穷尽了方法?”2019年,天津发生了一起案件,嫌疑人通过某交友网站约会女性,制造机会下迷药,趁对方失去意识的时候,使用受害人的手机转账、强奸对方、拍摄裸照,案发时已有三个人报案。嫌疑人到案以后拒不承认下药行为,一段时间以后,受害人体内无法检测出来迷药的成分,而且嫌疑人选择的约会场所都是没有监控录像的地方或者监控死角,不可能记录下约会的全过程。检察机关以抢劫罪起诉,但是一审法院认为手机转账记录只能表示二人有交易往来,无法证明当时二人处于何种状态,因此一审判处被告有期徒刑11个月。检察院认为刑罚极轻提起抗诉,并启动技术侦查,委托技术部门对涉案的一块硬盘进行解析,可惜的是硬盘采用了BitLocker分区加密,嫌疑人又说不知道密码,几乎没有方法破解这个硬盘。几位技术人员很辛苦,通过一些社会工程类的方法,全面搜集了嫌疑人的有关信息,包括账号、昵称、在其他平台注册时使用的密码、一些输入法流程的记录等,对其进行了分析,整理出了比较全面的“密码词典”。经过大概7天的时间,技术人员最终“猜”到了密码。打开磁盘以后,技术人员发现了另外30余名受害人,700多段迷奸视频,还从电脑中提取、固定了被告人在网店购买“咪达唑仑注射液”这种迷药的记录,以及他与别人交流作案经验、销毁证据、逃避处罚的聊天记录、搜索记录,等等。案子抗诉以后,法院判决被告人犯强奸、抢劫、强制猥亵罪,数罪并罚,判处其有期徒刑20年。试想,如果没有后面的努力,这个案子的效果会如何?仅仅11个月的刑期并不足以制止他继续用同样的手法来危害其他人。
很多案件中,通过开展一些专门审查工作,能够很好地帮助检察官梳理完善证据链条,弥补一些证据瑕疵。这里,我也举一个比较典型的破坏计算机信息系统的案件。
嫌疑人张某是一家软件公司的运维人员,他的日常工作就是维护一所高校的教务管理系统。后来,张某离职,但游荡了半年也没有收入来源,生活穷困潦倒。有一天,张某突发奇想,想看看自己还能不能登上老东家的系统,结果发现可以,他原来使用的账号密码并没有被原公司封禁。于是,他很快就在高校的论坛上注册了一个账号,并发帖说可以帮考试不及格的同学“想办法”。他的生意果然很火,每改一科成绩大概收300元,不到半年,就有几百个学生找他改成绩。到案发的时候,涉案金额已经达到7万多元。侦查机关移送起诉时,除了部分供述之外,还有三份电子数据:一份是高校教务系统后台数据库(Oracle数据库),光盘中的访问日志有十几万条;一份是张某个人使用的笔记本电脑,但没有做数据提取;还有一份是张某的一部手机,也没有做数据提取。后来,我们和检察官说,这些数据都没有提取,你们怎么进行分析和认定呢?整个取证的过程就比较粗糙。本来这是一个基层院的案例,后来咨询到了最高人民检察院司法鉴定中心,我和一个同事同时上阵帮检察官完善证据链条(见图5-8)。
图5-8 技术人员帮助完善证据链条
在梳理证据的链条的时候,我们发现扣押的笔记本电脑唯一标识错误,跟嫌疑人那台笔记本电脑不一致,这个问题非常严重。我们向检察官反映情况,询问到底是什么原因导致不一致。检察官与扣押人员了解的情况是,嫌疑人使用电脑的频率很高,时间也很长,因此标识序列号的底部磨得看不太清楚了。由于扣押的时候又要填唯一性标识,办案人员就随便上网站搜了一个同型号的笔记本电脑,把网上这台笔记本电脑的型号给抄过来了,后来写了个工作说明把这个漏洞给弥补上了(见图5-9)。
图5-9 技术人员帮助完善证据链条
经过对笔记本电脑中的数据进行恢复和提取,我们又发现了几个比较重要的证据。第一个是查询学校后台数据库的数据库分析。第二个是修改考试成绩的SQL指令集,犯罪嫌疑人把修改学生考试成绩的方法都记录下来,设备到时候直接执行脚本就可以。第三个是在后台访问记录中,我们按照时间段筛选出来与嫌疑人计算机同名的记录。我们在笔记本电脑里还发现了犯罪嫌疑人作案以后上网搜索的有关记录,比如,入侵了学校后台修改成绩违法吗;还有和朋友商量如何逃避法律追究等的聊天记录;最重要的是他给每一名学生修改成绩的时候,就会在账本中记录每一科的收费情况以及修改前、修改后的分数各是多少。经过对上述证据的梳理,固定这个案件的证据闭环就形成了,案子顺利判决。我们的取证和完善证据链条的工作也得到了检察官的高度评价(见图5-10)。
图5-10 技术人员帮助完善证据链条
接下来我和大家分享的这个案例很典型。嫌疑人林某、张某在没有获得支付结算业务资质的情况下,通过微信、支付宝、平安银行的H股通道等支付接口,自建支付结算平台,大量购买和注册支付宝空账号,为网上赌博集团提供资金结算服务。这个案子很明显符合开设赌场罪的犯罪构成,侦查机关也是以这个罪名移送审查起诉的。但是根据当时两高《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》,这个案件也符合非法经营的特征。由于涉及的资金高达几十亿元,同时又有地下钱庄资金非法外流等情形,该省政法委领导高度关注,批示从严办理。但从移送证据的情况来看,涉案支付结算平台因为租金到期被关闭了,虽然侦查阶段对后台服务器中的数据进行了勘验和提取,也组织力量进行平台恢复,但是未成功。这可能也是当时以开设赌场罪移送的原因所在。因为案子影响很恶劣,如果以非法经营定罪,法院判决肯定会更重,这也是我们追求的目标。但是涉案支付结算平台的过程性证据和功能性证据是能否判处非法经营罪的关键所在。
我们的几名检察技术人员建议检察官启动自行侦查。大家可能不太了解类似的平台,由于支付接口跨多个系统,常常有很多种类型的数据库在里面,这个案件中除了有MACircle、radius等,镜像重构的过程还涉及数据库密码的破解,还需理清服务器数据库的配置关系,总之同志们的压力非常大。幸运的是,他们成功了。平台搭建成功以后,还要研究摸索复杂的支付业务,技术人员又参与讯问了部分嫌疑人,了解了一些技术路线,逐步证实了嫌疑公司通过控制大量的空壳账号,形成受主犯支配的资金池。这个案件后续进展得很顺利,涉案资金从30亿元增加到了46.9亿元。后来,一审以非法经营罪判处林某有期徒刑12年6个月,没收个人财产5 000万元。详细了解这个案件的技术细节之后,真的要向检察技术人员致敬,他们就是用“求极致”的精神,兑现了自己当初向检察官的承诺,很不容易,这需要有胆量有担当,更要有追求极致的态度和过硬的技术能力。
说实话,侦查取证非常不易,尤其是很多网络犯罪发生在虚拟空间,办理起来难度较大,所以要珍惜来之不易的成果,要考虑到侦查机关技术取证工作的一些现实情况,按照刑事诉讼法关于排非的规定,对物证类、声像资料类电子数据的审查要慎重。即使有瑕疵,也要看能不能进行合理解释、说明。要对打击犯罪与司法成本加以平衡。毕竟,刑事诉讼法也确立了认罪认罚从宽的制度。
说到避免教条,再说一个细节。某地公安机关曾经向我们反馈,说检察院只要刻录在光盘上的数据,说这样能保证电子数据不被修改,这还是体现了机械司法的理念,用光盘刻录虽然能够保持数据不被修改,但如果使用硬盘,只要做好哈希值校验,效果也是一样的。所以我们希望实务人员不要教条地坚持,这样没有实际意义。