tft每日頭條

 > 圖文

 > 在線訴訟如何核對證據

在線訴訟如何核對證據

圖文 更新时间:2024-12-24 09:41:21

在線訴訟如何核對證據(法學彙電子證據運用)1

辦案人員要盡量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀信息用于還原案件事實。筆者認為,需要進行二進制數據查看,對每一份電子文件都要分析其文件頭、文件中間、文件尾,對每一份存儲介質都要分析各個分區,特别是未分配空間。

辦案人員要盡量将電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑒—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。

在線訴訟如何核對證據(法學彙電子證據運用)2

中國人民大學法學院教授、博士生導師

刑事法律科學研究中心研究員

劉品新

網絡犯罪司法的中心任務是有效使用電子證據進行網絡犯罪案件事實的重建。由于電子證據是一種“數字式痕迹”,網絡犯罪司法中使用電子證據必須聚焦于“數字式案件事實重建”。這一“重建”也可以稱為“電子證據重建”。簡單地說,電子證據可以被看成一個個信息“場”,可以還原網絡犯罪案件的來龍去脈。它與人類社會出現的“人證重建”“物證重建”是一脈相承的,但展示的效果更為顯著。

基本原理的展開

如何科學處理網絡犯罪中超容或巨量的電子證據?原子主義與整體主義證明模式是可以選擇的科學理論,也是不同認識理論在司法領域的呈現。

依照前一理論,辦案人員應當對電子證據盡可能地進行拆解,分解至最小單元“原子”的程度。當然,這是指“邏輯認識的原子”,不等于“物理分析的原子”。于電子證據定案而言,這個“最小的東西”當下通常可以指将電子證據的内在屬性、關聯痕迹、複合内容解析出來,以查明、證明網絡犯罪案件事實。

依照後一理論,辦案人員應當盡可能地将不同電子證據、電子證據與其他證據結合起來,構成一個整體,用以查明、證明網絡犯罪案件事實。對于電子證據定案而言,當下通常可以将電子證據的組合、印證體系、“鑒—數—取”體系、物理空間—信息空間拼接起來,以查明、證明網絡犯罪案件事實。

基于原子主義證明模式的

實務技巧

當下電子證據用作證明的邏輯原子可以界定為如下三個方面:

以電子證據的“内在屬性”重建案件事實。電子證據的内在屬性是數據生成、存儲、傳遞、修改、增删而形成的時間、制作者、格式、修訂次數、版本等信息。其作用在于證明數據的來源和形成過程,即講述關于數據如何得來的“故事”。簡單地說,主要就是用鼠标點擊某電子文件看到的信息。當然也有複雜的查看方法。

在一起破壞計算機信息系統案中,有較多電子文件在内在屬性方面出現了異常,筆者對疑點較大的電子文件進行了“内在屬性”全梳理,特别是對前後一對電子文件(指先後取證多次形成的對應電子文件)進行重點梳理。主要技巧是對Word文檔的創建内容時間、最後一次修改時間、訪問時間信息利用專門的取證工具(Winhex)查看,查到的相關時間可以精确到“百納秒”級别,再匹配尋找疑點。如果前後一對電子文件的創建内容時間、最後一次修改時間、訪問時間信息在同一“百納秒”級别是一緻的,那就表明它們是同源文件,即後一Word文檔是利用前一Word文檔修改而來,而不是另行取證得來。依靠電子證據的“内在屬性”重建案件事實,幾乎是每個法律工作者都能完成的任務,關鍵是要有這一意識。

以電子證據的“關聯痕迹”重建案件事實。關聯痕迹是在電子證據形成之際同時産生的一些獨立“痕迹”。電子證據本身就是“痕迹”,關聯痕迹可以說是電子證據之“痕迹”邊上的專門“痕迹”。通常來說,計算機等設備在生成、存儲、傳遞、修改、增删數據時會引發信息系統環境産生關聯痕迹。它們包括後綴為*.lnk、*.dat、*.identifier、*.sys、*.tmp的各種痕迹文件,這是信息科學領域的痕迹文件;也包括該數據在數據磁盤層的存儲規律,這是物證技術學領域的“痕迹”。後一“痕迹”在理解上有些困難,筆者試舉例說明。我們在電腦中編輯Word文檔時,通常會産生快捷方式文件、臨時文件、office日志文件、軟件殺毒記錄文件等,但假設當我們徹底檢查一台電腦時,卻沒有發現與所編輯Word文檔相關的任何快捷方式文件、臨時文件、office日志文件、軟件殺毒記錄文件等,這一“發現”就是物證技術學領域的“痕迹”,一如殺人現場的“擦拭血迹”。

在一起DDOS攻擊(分布式拒絕服務攻擊)案中,犯罪嫌疑人對某網站進行DDOS攻擊導緻網站崩潰,公司因賠付數千萬元而倒閉,犯罪嫌疑人所使用的電腦硬盤是主要證據。該案的特别情節是犯罪嫌疑人使用了虛拟機技術。在辦理該案過程中,為了查清犯罪嫌疑人是如何攻擊、敲詐勒索被害公司的,鑒定人員通過取證工具分析虛拟磁盤,發現其中存在大量的數據交互記錄,證明犯罪嫌疑人向被害公司所使用IP地址發動DDOS攻擊;在電腦空餘空間中發現犯罪嫌疑人敲詐勒索的聊天記錄碎片文件,證明其曾于發動網絡攻擊後向被害公司實施敲詐勒索行為;在電腦底層數據中發現犯罪嫌疑人所使用的VPS服務器(用于搭建VPN,發動網絡攻擊所使用的中轉服務器)。最終,鑒定人員基于這些痕迹制作了DDOS攻擊與敲詐勒索案大事表,包括犯罪嫌疑人開始學習黑客攻擊技術、鎖定被害公司、對被害公司實施DDOS攻擊行為、對被害公司實施敲詐勒索行為、被逮捕等環節。這個大事表就是直接、完整的案件事實重建。

以電子證據的“複合内容”重建案件事實。“複合内容”是受“複合文檔”的啟發而形成的一個概念。複合文檔不僅包含文本,還包括圖形、電子表格數據、聲音、視頻圖像以及其他信息。這是當前電子證據内容的普遍承載方式。

在另一起破壞計算機信息系統案中,最重要的電子證據是警方抓獲犯罪嫌疑人之後,使用犯罪嫌疑人賬号、密碼登錄其郵箱獲得的幾百封電子郵件。這些郵件能夠證明犯罪嫌疑人推廣某非法軟件及獲利的情況。對于這些電子郵件,辦案人員要關注的内容不僅包括每封郵件的正文,也包括郵箱收件夾、發送夾等文件夾中有多少郵件(即郵件列表),還包括該郵箱“最近登錄”(也稱為“上次登錄”)形成的時間、地點信息。

以上就是原子主義證明機制的辦案技巧。辦案人員要盡量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀信息用于還原案件事實。那麼,具體需要對電子證據“細化”“揉碎”到什麼程度?筆者認為,需要進行二進制數據查看,對每一份電子文件都要分析其文件頭、文件中間、文件尾,對每一份存儲介質都要分析各個分區,特别是未分配空間。這是一種理想狀态,要達到這一理想狀态還有很長的路要走。

基于整體主義證明模式的

實務技巧

整體主義證明模式的邏輯要求:一份特定證據作為分析對象的證明價值,從根本上取決于其他所有證據。這一理論很容易同我國的證據組合、體系、鎖鍊和印證等說法勾連起來。這樣的聯想是有道理的。值得注意的是,電子證據遵循整體主義證明模式的改造,會碰撞出獨特的火花。

以電子證據的“證據組合”重建案件事實。證據組合是将能夠支撐或反駁某一個案件事實的不同來源證據結合在一起的思路。對電子證據而言,構成證據組合還有新的優勢和切入點,同一份電子證據往往可以在不同層面進行呈現,辦案人員可以打造不同層面的證據組合。

如在一起破壞公用電信設施案中,犯罪嫌疑人于2014年12月8日至10日在公衆場所使用短信群發設備向周圍手機用戶強行推送短信,後被刑事拘留。警方對犯罪嫌疑人的僞基站設備(電腦)送檢後,發現其在被抓獲前将系統時間歸零,導緻無法确定哪些推送短信記錄是犯罪嫌疑人在案發過程中留下的。對于這樣重要的案件事實,無法依靠電子證據(日志文件)及相關鑒定意見證實。對此,辦案人員一方面對犯罪嫌疑人進行補充訊問,另一方面調整鑒定請求,改為僞基站設備中推送上述内容短信的日志記錄“造成了多少部手機通信中斷”。這樣一來,電子證據、鑒定意見與訊問筆錄(供述)就構成了一個有效的證據組合。

以電子證據的“印證體系”重建案件事實。印證體系是指同一網絡行為産生了若幹份電子證據,特别是不同網絡節點的多份電子證據,它們相互印證構成虛拟空間中的一種獨特證據鎖鍊。這些電子證據往往是同一行為或關聯行為産生的。如在發送電子郵件時會在發件人電腦、收件人電腦、郵件商的服務器等多點留下電子郵件;發送短信、微信等都會産生構成印證的網絡證據。将這些網絡證據匹配起來,審查其内容是否一緻,特别是審查其相關時間信息、地址信息等是否正常,就可以還原整個網絡行為事實。

以電子證據的“鑒—數—取”體系重建案件事實。網絡犯罪司法的主打證據體系往往表現為一種獨特的電子證據結構,即由電子證據、“來源筆錄”與鑒定意見組成的三位一體構造。在“鑒—數—取”體系中,“數”是指電子證據,通常不能孤立地發揮證明作用;“取”是指各種“來源筆錄”;“鑒”是指電子數據司法鑒定意見,用于證實案件争議事實。它們三者結合形成一個穩定的架構,用于證明網絡犯罪的主要案件事實。其中,直接證明案件事實的往往是“鑒”,而“鑒”是否可靠有效取決于“取”的支撐和“數”的驗證。

以“物理—信息兩個空間對接”重建案件事實。一般來說,電子證據對應虛拟空間(信息空間),傳統證據對應物理空間。如果能夠基于電子證據還原虛拟空間的軌迹,基于傳統證據還原物理空間的軌迹,将兩個空間的人員軌迹對接起來,就能有效還原案件事實。這就是“兩個空間對接”的技巧。

最高人民檢察院發布的指導性案例朱炜明操縱證券市場案(檢例第39号),是一個非常有價值的“兩個空間對接”案例。2013年2月1日至2014年8月26日,朱炜明在任國開證券營業部證券經紀人期間,先後多次在其擔任特邀嘉賓的《談股論金》電視節目播出前,使用實際控制的三個證券賬戶買入多隻股票,于當日或次日在《談股論金》節目播出中,以特邀嘉賓身份對其先期買入的股票進行公開評價、預測及推介,并于節目首播後一至二個交易日内抛售相關股票,人為地影響前述股票的交易量和交易價格,獲取利益。經查,其買入股票交易金額共計人民币2094.22萬餘元,賣出股票交易金額共計人民币2169.7萬餘元,非法獲利75.48萬餘元。審查起訴階段,朱炜明辯稱,涉案賬戶系其父親朱某實際控制,其本人并未建議和參與相關涉案股票的買賣……檢察機關審查認為,犯罪嫌疑人與涉案賬戶的實際控制關系,公開推介是否構成“搶帽子”交易操縱中的“公開薦股”以及相關行為能否被認定為“操縱證券市場”等問題,有待進一步查證。上海市檢察院第一分院先後兩次将案件退回上海市公安局,要求補充查證犯罪嫌疑人的淘寶、網銀等IP地址、MAC地址(硬件設備地址,用于定義網絡設備的位置),并與涉案賬戶證券交易IP地址做篩選比對;将涉案賬戶資金出入與犯罪嫌疑人個人賬戶資金往來作關聯比對;進一步對其父朱某在關鍵細節上做針對性詢問,以核實朱炜明的辯解。兩個空間的對接表明,在朱炜明出差期間涉案賬戶使用了其出差城市IP地址做證券交易,在朱炜明不出差期間涉案賬戶使用了其辦公室IP地址做證券交易,而這些地址是朱炜明父親不可能到達的。

以上就是整體主義證明機制的辦案技巧。辦案人員要盡量将電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑒—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。

犯罪形式在信息時代的網絡變異給傳統司法治理帶來巨大沖擊,電子證據是打擊網絡犯罪的關鍵證據。網絡犯罪案件的數字式事實重建可循沿原子主義和整體主義兩種證明模式進路。以電子證據為突破口破解網絡犯罪難題順應了信息技術發展趨勢,是推進國家治理體系和治理能力現代化的重要窗口。

(本文節選自《人民檢察》2021年第19期)

(檢察日報)

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关圖文资讯推荐

热门圖文资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved