網(wǎng)絡(luò)犯罪的電子證據(jù)收集與固定

文◎馮予君王強(qiáng)

網(wǎng)絡(luò)犯罪的電子證據(jù)收集與固定

文◎馮予君*王強(qiáng)**

網(wǎng)絡(luò)犯罪屬于高技術(shù)、高智能的新型犯罪，具有隱蔽性強(qiáng)、手段多樣性、作案連續(xù)性、覆蓋面廣等特性，與傳統(tǒng)的刑事犯罪相比，其產(chǎn)生的社會(huì)危害性更大、更廣，加大打擊網(wǎng)絡(luò)犯罪力度已是形勢(shì)所需，但由于我國(guó)立法上的不完善及實(shí)踐中的不成熟，在電子證據(jù)的取證方面遇到了極大的困難和問(wèn)題。而新修訂的《刑事訴訟法》在第48條增加了“電子數(shù)據(jù)”的證據(jù)形式，進(jìn)一步完善了刑事證據(jù)分類(lèi),明確了網(wǎng)絡(luò)犯罪新興證據(jù)材料的歸屬,這對(duì)偵查網(wǎng)絡(luò)犯罪的電子證據(jù)收集、運(yùn)用都具有重要的意義。

一、電子證據(jù)的特點(diǎn)

（一）電子證據(jù)具有海量存儲(chǔ)性。以計(jì)算機(jī)為代表,電子證據(jù)在各種介質(zhì)中的存儲(chǔ)量與普通證據(jù)不可同日而語(yǔ)。傳統(tǒng)證據(jù)中，某個(gè)場(chǎng)所、某件物品或某份文件所包含的證據(jù)信息是有限的；而電子證據(jù)在相同物理范圍內(nèi)所能獲取的信息量發(fā)生了幾何級(jí)的膨脹。

（二）電子證據(jù)具有高速流轉(zhuǎn)性。不論是模擬信號(hào)還是數(shù)字信號(hào),都具有高速的傳輸速度。以網(wǎng)絡(luò)證據(jù)為例，互聯(lián)網(wǎng)中電子數(shù)據(jù)的傳輸速度理論上可以達(dá)至光速，而且不受地域空間的限制，舉凡互聯(lián)網(wǎng)覆蓋的范圍內(nèi)均可急速傳輸、信息自由流轉(zhuǎn)。

（三）電子證據(jù)具有自動(dòng)生成性。電子證據(jù)以電子設(shè)備為存儲(chǔ)介質(zhì)，許多電子設(shè)備都具有智能性，在進(jìn)行設(shè)定后可以自動(dòng)運(yùn)行程序，并且自動(dòng)生成電子證據(jù)。在整個(gè)過(guò)程中，只需要完成最初設(shè)定，全程都無(wú)需人工操作，在很大程度上彌補(bǔ)了人類(lèi)在生理上的限制。

（四）電子證據(jù)具有脆弱性。電子證據(jù)因人為或環(huán)境因素而易于損毀、修改、滅失，給取證帶來(lái)諸多問(wèn)題。

二、電子證據(jù)的收集

由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤(pán)空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計(jì)數(shù)器、用戶(hù)進(jìn)程存儲(chǔ)器、文件緩存區(qū)等不同的位置，要收集到所有的資料是非常困難的。電子證據(jù)收集應(yīng)遵循證據(jù)現(xiàn)場(chǎng)的保護(hù)原則。取證人員進(jìn)入現(xiàn)場(chǎng)后，應(yīng)迅速保護(hù)好計(jì)算機(jī)日志，對(duì)數(shù)據(jù)進(jìn)行備份，切斷遠(yuǎn)程控制;封存現(xiàn)場(chǎng)的信息系統(tǒng)、各種可能涉及到的磁介質(zhì);提取涉案計(jì)算機(jī)硬盤(pán)、移動(dòng)磁介質(zhì)、光盤(pán)、復(fù)印機(jī)、傳真機(jī)中的記憶芯片等，特別應(yīng)注意對(duì)當(dāng)事人隨身攜帶的電子介質(zhì)的提取，如手機(jī)、MP4/5、導(dǎo)航儀、3G上網(wǎng)卡等，對(duì)于硬盤(pán)中隱藏文件及被刪除信息一并收集。

首先，在取證方法上，電子證據(jù)原本可以采用多種取證方式，包括現(xiàn)場(chǎng)搜查、現(xiàn)場(chǎng)輸出,對(duì)相關(guān)證據(jù)進(jìn)行鏡像復(fù)制，以及對(duì)電子設(shè)備或載體進(jìn)行實(shí)體扣押，以備后續(xù)搜查。鏡像復(fù)制與將個(gè)別計(jì)算機(jī)文件從一臺(tái)電腦轉(zhuǎn)移到另一臺(tái)電腦的普通復(fù)制有所不同：普通復(fù)制只能復(fù)制可識(shí)別文件，而鏡像復(fù)制能夠?qū)⒛繕?biāo)驅(qū)動(dòng)器中的每一個(gè)字節(jié)都復(fù)制下來(lái)，包括所有文件、空白空間、主文件表和元數(shù)據(jù)等；普通復(fù)制可以在計(jì)算機(jī)運(yùn)行時(shí)進(jìn)行，而鏡像復(fù)制通常是在數(shù)據(jù)機(jī)器關(guān)機(jī)狀態(tài)下進(jìn)行；普通復(fù)制不改變?cè)募傩?，而鏡像復(fù)制形成的文件都是只讀文件，用于分析時(shí)不至于發(fā)生篡改。

其次，在取證范圍上，偵查人員應(yīng)當(dāng)在遵循比例原則的前提下保障取證的全面性。不論是在現(xiàn)場(chǎng)對(duì)電子存儲(chǔ)設(shè)備進(jìn)行搜查還是在鏡像拷貝后的后續(xù)搜查，都應(yīng)當(dāng)以證據(jù)的關(guān)聯(lián)性為標(biāo)準(zhǔn)，嚴(yán)格限制取證范圍，避免無(wú)限制的擴(kuò)大化，對(duì)公民隱私權(quán)造成不必要的侵犯。另一方面，對(duì)電子取證范圍的確定亦應(yīng)謹(jǐn)慎，因?yàn)橐坏┯兴z漏，相關(guān)電子證據(jù)很容易遭到毀損，再也無(wú)法重現(xiàn)和獲取。

再次，電子證據(jù)的脆弱性還可能經(jīng)常在電子取證中造成“緊急情況”，而在電子取證的緊急情況下，偵查人員為了防止證據(jù)損毀、修改、滅失的危險(xiǎn)，有權(quán)在法定程序之外采取一些緊急措施，由此也可能對(duì)個(gè)人權(quán)利造成更大侵犯。

三、網(wǎng)絡(luò)犯罪中電子證據(jù)的固定

電子證據(jù)的收集，不僅要收集電子數(shù)據(jù)，還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明，內(nèi)容涉及電算化的，應(yīng)當(dāng)由司法會(huì)計(jì)專(zhuān)家對(duì)提取的資料進(jìn)行現(xiàn)場(chǎng)檢驗(yàn)，通過(guò)全面、綜合地對(duì)電子證據(jù)進(jìn)行收集、保全并進(jìn)行固定。

(一)電子數(shù)據(jù)。1、在偵查現(xiàn)場(chǎng)查獲時(shí),應(yīng)制作勘驗(yàn)檢查筆錄,對(duì)主機(jī)運(yùn)行狀態(tài)進(jìn)行細(xì)致的檢查,包括開(kāi)機(jī)運(yùn)行狀態(tài)、正運(yùn)行程序、與案件相關(guān)的其他文件或者程序(doc、txt、xls等等);后應(yīng)當(dāng)通過(guò)專(zhuān)門(mén)的軟件對(duì)相關(guān)內(nèi)容進(jìn)行備份保存,并對(duì)主機(jī)及時(shí)封存,以免破壞文件的完整性。

2、遠(yuǎn)程勘驗(yàn)工作記錄應(yīng)對(duì)目標(biāo)網(wǎng)站的模塊構(gòu)成、登陸網(wǎng)站的程序步驟等進(jìn)行詳細(xì)的描述,勘驗(yàn)的同時(shí)應(yīng)制作勘驗(yàn)過(guò)程的錄像,并對(duì)目標(biāo)網(wǎng)站的性質(zhì)及功能進(jìn)行界定。

3、電子證物檢查工作筆錄中應(yīng)有所采用的取證軟件的簡(jiǎn)介及功能介紹等,對(duì)檢查的過(guò)程進(jìn)行詳細(xì)的描述,突出沒(méi)有破壞原始硬盤(pán)的數(shù)據(jù),保持證據(jù)的完整性。與現(xiàn)場(chǎng)勘驗(yàn)檢查筆錄相比,其性質(zhì)為對(duì)硬盤(pán)中涉案內(nèi)容的更細(xì)致、全面的檢查。另外,自犯罪嫌疑人處提取的所有電腦硬盤(pán)均應(yīng)制作電子證物檢查工作筆錄(即使當(dāng)時(shí)查獲時(shí)沒(méi)有發(fā)現(xiàn)某一電腦硬盤(pán)有涉案內(nèi)容,但仍要對(duì)該硬盤(pán)進(jìn)行檢查)。

4、犯罪嫌疑人有手機(jī)、平板電腦等設(shè)備時(shí),應(yīng)對(duì)該電子設(shè)備進(jìn)行涉案內(nèi)容的提取,制作提取筆錄;有關(guān)的涉案內(nèi)容應(yīng)通過(guò)拷貝、拍照等方式及時(shí)固定,此處注意注明出處、犯罪嫌疑人簽字確認(rèn)等程序性問(wèn)題。

(二)相關(guān)的其他幾種電子證據(jù)。1、書(shū)證。(1)網(wǎng)絡(luò)犯罪嫌疑人往往較多,在收集書(shū)證時(shí),要注意收集犯罪嫌疑人之間的QQ、百度hi等聊天軟件的聊天記錄,以期證實(shí)與犯罪事實(shí)相關(guān)的內(nèi)容。

(2)在辦理私彩類(lèi)網(wǎng)絡(luò)賭博案件中,犯罪嫌疑人往往通過(guò)注冊(cè)域名的方式設(shè)立某一私彩網(wǎng)站;同時(shí),官方會(huì)存在某一彩種的正規(guī)網(wǎng)站。這種情況下,應(yīng)出具該官方網(wǎng)站的相關(guān)證明,證實(shí)私彩網(wǎng)站的非法性質(zhì)。

(3)自犯罪嫌疑人的電腦主機(jī)等存儲(chǔ)介質(zhì)提取數(shù)據(jù)作為書(shū)面證據(jù)時(shí),應(yīng)注意證據(jù)來(lái)源等程序性問(wèn)題,確保證據(jù)的合法性、有效性(要注明該份證據(jù)的出處、提取日期、犯罪嫌疑人簽字確認(rèn)等)。

2、鑒定結(jié)論。對(duì)網(wǎng)絡(luò)犯罪案件的涉案數(shù)額(包括非法經(jīng)營(yíng)數(shù)額、違法所得數(shù)額等等),對(duì)于證實(shí)涉案數(shù)額的交易明細(xì)、交易記錄等證據(jù)不明確的,應(yīng)當(dāng)委托有相關(guān)資質(zhì)的會(huì)計(jì)師事務(wù)所等進(jìn)行對(duì)涉案數(shù)額的審計(jì)報(bào)告。此時(shí)審計(jì)報(bào)告的性質(zhì)應(yīng)屬鑒定結(jié)論。

3、視聽(tīng)資料。制作遠(yuǎn)程勘驗(yàn)工作記錄過(guò)程中形成的勘驗(yàn)過(guò)程的錄像、制作電子證物檢查工作筆錄過(guò)程中形成的光盤(pán)應(yīng)當(dāng)同時(shí)附案移送,作為視聽(tīng)資料予以審查并舉證示證。

4、證人證言。網(wǎng)絡(luò)犯罪案件中,由于無(wú)真實(shí)姓名、地域分散等原因,證人證言獲取難度大。在此種情況下,還是應(yīng)該通過(guò)網(wǎng)站后臺(tái)賬戶(hù)、IP地址查詢(xún)等方式,獲取盡量多的證人證言,以期更好地構(gòu)建犯罪構(gòu)成要件體系。若最終追查無(wú)果,則需偵查機(jī)關(guān)出具證明。

5、犯罪嫌疑人供述和辯解。(1)由于網(wǎng)絡(luò)犯罪涉及資金來(lái)往的次數(shù)、人數(shù)往往較多,有時(shí)犯罪嫌疑人記憶模糊或者存在僥幸心理,這使得涉案數(shù)額往往不能有效地確定。所以,要注意犯罪嫌疑人對(duì)于涉案數(shù)額、違法所得數(shù)額的前后供述一致性,同時(shí)注意與支付寶、財(cái)付通、網(wǎng)上銀行等資金通道的支付明細(xì)、交易記錄的一致性(可結(jié)合審計(jì)報(bào)告進(jìn)行綜合認(rèn)定)。

(2)關(guān)注涉案數(shù)額性質(zhì)的問(wèn)題,在網(wǎng)絡(luò)犯罪中是一個(gè)易出問(wèn)題的環(huán)節(jié)。原因是除了犯罪嫌疑人供述和辯解、相關(guān)證人證人之外,難以再有其他證據(jù)證實(shí)涉案數(shù)額的違法性?；诖?要將犯罪嫌疑人供述這一關(guān)鍵證據(jù)固定好。具體而言,需做到:具體數(shù)額的準(zhǔn)確、前后數(shù)額的一致、辦案程序的合法。

四、電子證據(jù)收集中應(yīng)注意的問(wèn)題

（一）充分認(rèn)識(shí)電子證據(jù)的范圍。在網(wǎng)絡(luò)犯罪案件中,大量的證據(jù)表現(xiàn)為電子數(shù)據(jù)形式,但目前有關(guān)司法解釋及規(guī)范性文件對(duì)電子數(shù)據(jù)的收集、保全和采信缺乏規(guī)定,導(dǎo)致有的電子證據(jù)收集、保全不規(guī)范或者難以被采信。筆者認(rèn)為,應(yīng)當(dāng)對(duì)作為刑事證據(jù)予以提取、復(fù)制、固定的電子證據(jù)的范圍予以明確。具體應(yīng)該包括能夠證明網(wǎng)絡(luò)犯罪案件真實(shí)情況的網(wǎng)站頁(yè)面、上網(wǎng)記錄、電子郵件、電子合同、電子交易記錄、電子賬冊(cè)等。

（二）注重電子證據(jù)提取程序的合法化。偵查人員應(yīng)當(dāng)對(duì)提取、復(fù)制、固定電子數(shù)據(jù)的過(guò)程制作相關(guān)文字說(shuō)明,記錄案由、對(duì)象、內(nèi)容以及提取、復(fù)制、固定的時(shí)間、地點(diǎn)、方法,電子數(shù)據(jù)的規(guī)格、類(lèi)別、文件格式等,并由提取、復(fù)制、固定電子數(shù)據(jù)的制作人、電子數(shù)據(jù)的持有人簽名或者蓋章?；诰W(wǎng)絡(luò)犯罪中的特殊性,對(duì)于網(wǎng)站存在于境外,不存在電子數(shù)據(jù)持有人簽名的可能性,或者有的網(wǎng)站留存數(shù)據(jù)時(shí)間很短,多數(shù)數(shù)據(jù)是在抓捕犯罪嫌疑人之前通過(guò)遠(yuǎn)程勘驗(yàn)提前固定的,不存在犯罪嫌疑人簽名的可能性。對(duì)于以上情形,應(yīng)當(dāng)由能夠證明提取、復(fù)制、固定過(guò)程的見(jiàn)證人簽名或者蓋章,記錄有關(guān)情況。

（三）加強(qiáng)對(duì)電子證據(jù)的保全。與傳統(tǒng)的證據(jù)一樣，電子證據(jù)必須是真實(shí)、可靠、完整和符合法律規(guī)定的，因此，在收集電子證據(jù)的過(guò)程中一定要保證原始數(shù)據(jù)不受任何破壞，在任何情況下，都應(yīng)注意：(1)不要改變?cè)加涗洠?2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無(wú)關(guān)的操作；(3)不要給犯罪者銷(xiāo)毀證據(jù)的機(jī)會(huì)；(4)詳細(xì)記錄所有的取證活動(dòng)；(5)妥善保存得到的物證。

*河南省滎陽(yáng)市人民檢察院［450100］

**河南省鄭州市人民檢察院［450000］