设为首页 加入收藏
> 九游会登录地址 > 刘品新:网络犯罪案件的数字式事实重建

刘品新:网络犯罪案件的数字式事实重建

  英国法理学家边沁说过,证据是正义的基石。由此推知,电子证据是网络犯罪司法的基石。如果法律工作者不能搞懂善用电子证据,那么形形色色的网络犯罪就难以得到有效惩罚治理。在网络犯罪司法领域中,“电子证据为证据之王”应该说是个客观事实。

  网络犯罪司法的中心任务是有效使用电子证据进行网络犯罪案件事实的重建。由于电子证据是一种“数字式痕迹”,网络犯罪司法中使用电子证据必须聚焦于“数字式案件事实重建”。这一“重建”也可以称为“电子证据重建”。简单地说,电子证据可以被看成一个个信息“场”,可以还原网络犯罪案件的来龙去脉。它与人类社会出现的“人证重建”“物证重建”是一脉相承的,但展示的效果更为显著。

  一切“数字式信息”都有可能作为网络犯罪司法的证据。实践表明,网络犯罪案件中的电子证据往往具有“超容性”,也可以说是“巨量性”。如何科学处理网络犯罪中超容或巨量的电子证据?原子主义与整体主义证明模式是可以选择的科学理论,也是不同认识理论在司法领域的呈现。

  依照前一理论,办案人员应当对电子证据尽可能地进行拆解,分解至最小单元“原子”的程度。当然,这里指“逻辑认识的原子”,不等于“物理分析的原子”。早在1918年以前,英国哲学家伯特兰·罗素就提出:人们应该相信,世界可以被分析成许多有关联的独立事物等。他称之为逻辑原子主义。后人将之提升为罗素的核心思想——“我们所经历的一切,都可以被分析成逻辑原子”。逻辑原子主义思想由罗素最早提出,但他明确表示这是对维特根斯坦(奥地利裔英国籍哲学家)思想的阐明。

  逻辑原子主义是分析哲学的一个重要分支。分析哲学的基本思路是:希望分析出一个命题或事物的组成要素,再把各要素的组成要素进一步展开,也就是要追溯到最简单的组成要素。逻辑原子到底是什么?这很难讲清楚。罗素对“逻辑原子”给出了经验意义上的界定,他认为逻辑原子就是最基本的东西,就是我们观察世界最小的那个单位,比如最小的视觉单位(色块或色点)、感觉材料,这种论述方式其实是一种经验主义论述方式。维特根斯坦不主张明确告诉人们“逻辑原子”是什么,因为他认为最小的东西是什么是由科学家研究的,哲学就是告诉人们必须抓住最小的那个东西,并从那个东西出发展开知识体系。于电子证据定案而言,这个“最小的东西”当下通常可以指将电子证据的内在属性、关联痕迹、复合内容解析出来,以查明、证明网络犯罪案件事实。

  依照后一理论,办案人员应当尽可能地将不同电子证据、电子证据与其他证据结合起来,构成一个整体,用以查明、证明网络犯罪案件事实。维特根斯坦在《逻辑哲学论》中提出:世界是由许多“状态”构成的总体,每一个“状态”是一条众多事物组成的锁链,它们处于确定的关系之中,这种关系就是这个“状态”的结构,也就是我们的研究对象。对于电子证据定案而言,当下通常可以将电子证据的组合、印证体系、“鉴—数—取”体系、物理空间—信息空间拼接起来,以查明、证明网络犯罪案件事实。从理论上讲,电子证据的组合、印证体系、“鉴—数—取”体系、物理—信息两个空间对接等概念可能会有重叠,但在实务中已经区分开来。

  原子主义是一种暗喻的说法,反映了一种解构对象加深对客体认识的思路。电子证据最细的颗粒是0、1的信号,但目前尚无用于司法实践的价值。当下电子证据用作证明的逻辑原子可以界定为如下三个方面。

  电子证据的内在属性是数据生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息。其作用在于证明数据的来源和形成过程,即讲述关于数据如何得来的“故事”。如电子邮件的制作人、发件人、收件人、传递路径、日志记录、文档本身的属性等;数码照片的拍摄机器、拍摄时间、拍摄地点、光圈快门等属性。简单地说,主要就是用鼠标点击某电子文件看到的信息。当然也有复杂的查看方法。

  以快播公司传播淫秽物品牟利案(案例1)为例,行政执法人员于2013年11月18日查获了快播公司托管的4台服务器,后公安机关从中提取到21251个淫秽视频文件(qdata格式文件)。这些服务器和淫秽视频文件是重要的证据,但在案件审理中控辩双方却对它们的真实性产生了争议。核心争议是这些淫秽视频文件是否是被人“移植”进服务器中的,即服务器是否被污染。法院委托鉴定机构进行了重新鉴定,鉴定意见是:“经对4台服务器内现存快播独有视频格式文件qdata文件属性等各类信息的检验分析,没有发现2013年11月18日后从外部拷入或修改qdata文件的痕迹。”这一意见中的关键词是“qdata文件属性”,也就是淫秽视频文件的“atime”“mtime”“ctime”等时间属性信息未发现异常。本文不讨论这一鉴定意见是否可靠,仅就其得出意见的根据来看,就是基于淫秽视频文件的“内在属性”重建其形成过程。

  在一起破坏计算机信息系统案(案例2)中,警方通过远程勘验进入了被入侵的服务器,下载了该服务器记载入侵行为的日志文件等数据。这一过程在远程勘验笔录中有明确记载。该次远程勘验获取的“日志文件等数据”是案件中一份重要的证据,如何证明获取这一证据的过程属实?有关电子证据的内在属性信息可以揭示真相。一般验证方法是,审查远程勘验笔录所附光盘记录的电子证据——远勘笔录附件,即一步一步截图形成的截屏文件(照片文件),其属性能够反映截屏的时间及先后顺序。比如,远程勘验第七步的行为截图“图七,登录107.jpg”的时钟为18时31分,其截图保存时间为18时32分6秒;远程勘验第八步的行为截图“图八,107D盘.jpg”显示的时钟却为18时30分,其截图保存时间为18时31分28秒。两相比较,显然“图八,107D盘.jpg”早于“图七,登录107.jpg”形成。这是异常的,反映出远程勘验笔录所反映的顺序不属实,因而这个远程勘验是否有效也会产生疑问。此例给法律工作者一个很好的启发:可以通过审查勘验、检查、侦查实验、鉴定所附的工作截图文件,重建各种取证工作的全过程,审查取证的真实性。

  在上述案件中,警方还对被告人用于获利的记账数据——某淘宝账户“订单报表”数据进行了提取,使用的也是远程勘验方式。远程勘验笔录表明,警方于2015年6月9日远程勘验该淘宝账户得到“ExportOrderList0-订单报表.xls”。那么,事实是不是这样呢?我们可以对所附光盘中淘宝账户“订单报表”数据——“ExportOrderList201506

  091450-订单报表.xls”的内在属性进行核验。发现,该“ExportOrderList0-订单报表.xls”的“最后一次保存的日期”显示为“2015/6/11 15:05”,其“创建内容的时间”显示为“2015/6/9 14:56”。这就意味着,警方在远程勘验完成后于2015年6月11日15时5分对该文件实施了操作行为。一个合理的猜想是,警方或其他人对文件进行了修改。该案审理中,办案人员要求法庭进行当庭验证,即当庭登录该淘宝商家账户重新进行远程勘验——也就是远程下载,进一步发现利用淘宝账户的批量导出功能,仅能生成属性为.csv格式的数据文件,根本无法产生.xls格式的文件。这也佐证了前述猜想。

  由于该起案件中有较多电子文件在内在属性方面出现了异常,笔者对疑点较大的电子文件进行了“内在属性”全梳理,特别是对前后一对电子文件(指先后取证多次形成的对应电子文件)进行重点梳理。主要技巧是对Word文档的创建内容时间、最后一次修改时间、访问时间信息利用专门的取证工具(Winhex)查看,查到的相关时间可以精确到“百纳秒”级别,再匹配寻找疑点。如果前后一对电子文件的创建内容时间、最后一次修改时间、访问时间信息在同一“百纳秒”级别是一致的,那就表明它们是同源文件,即后一Word文档是利用前一Word文档修改而来,而不是另行取证得来。依靠电子证据的“内在属性”重建案件事实,几乎是每个法律工作者都能完成的任务,关键是要有这一意识。

  关联痕迹是在电子证据形成之际同时产生的一些独立“痕迹”。电子证据本身就是“痕迹”,“关联痕迹”可以说是电子证据之“痕迹”边上的专门“痕迹”。通常来说,计算机等设备在生成、存储、传递、修改、增删数据时会引发信息系统环境产生关联痕迹。它们包括后缀为*.lnk、*.dat、*.identifier、*.sys、*.tmp的各种痕迹文件,这是信息科学领域的痕迹文件;也包括该数据在数据磁盘层的存储规律,这是物证技术学领域的“痕迹”。后一痕迹在理解上有些困难,笔者试举例说明。我们在电脑中编辑Word文档时,通常会产生快捷方式文件、临时文件、office日志文件、软件杀毒记录文件等,但假设当我们彻底检查一台电脑时,却没有发现与所编辑Word文档相关的任何快捷方式文件、临时文件、office日志文件、软件杀毒记录文件等,这一“发现”就是物证技术学领域的“痕迹”,一如杀人现场的“擦拭血迹”。

  在一起DDOS攻击(分布式拒绝服务攻击)案(案例3)中,犯罪嫌疑人对某网站进行DDOS攻击导致网站崩溃,公司因赔付数千万元而倒闭,犯罪嫌疑人所使用的电脑硬盘是主要证据。该案的特别情节是犯罪嫌疑人使用了虚拟机技术。在办理该案过程中,为了查清犯罪嫌疑人是如何攻击、敲诈勒索被害公司的,办案机关委托中国人民大学物证技术鉴定中心组织开展鉴定获得突破。鉴定人员通过取证工具分析虚拟磁盘,发现其中存在大量的数据交互记录,证明犯罪嫌疑人向被害公司所使用IP地址发动DDOS攻击;在电脑空余空间中发现犯罪嫌疑人敲诈勒索的聊天记录碎片文件,证明其曾于发动网络攻击后向被害公司实施敲诈勒索行为;在电脑底层数据中发现犯罪嫌疑人所使用的VPS服务器(用于搭建VPN,发动网络攻击所使用的中转服务器)。最终,鉴定人员基于这些痕迹制作了DDOS攻击与敲诈勒索案大事表,包括犯罪嫌疑人开始学习黑客攻击技术、锁定被害公司、对被害公司实施DDOS攻击行为、对被害公司实施敲诈勒索行为、被逮捕等环节。这个大事表就是直接、完整的案件事实重建。

  在案例2中,办案人员掌握的主要证据是一张光盘,即警方对犯罪嫌疑人账号文件远程下载而制作的光盘。实践中,部分办案人员对数据光盘属性信息的关注度较低,事实上通过查看光盘属性信息可以发现刻盘痕迹、刻盘记录等。通过侦查实验发现,刻录光盘的文件系统多为UDF文件系统。该案中警方也是使用UDF文件系统刻制光盘的。该文件系统存在如下特征:在十六进制下进行分析,发现“根目录”的“修改时间”信息即光盘刻录的时间,光盘内文件的“修改时间”信息即该文件被修改时的时间信息,该信息并未因光盘刻录而变化,且该文件原来的修改时间会将其他时间信息覆盖。该案中中“根目录”的“修改时间”显示为“2014/11/20 09:12:33”,表明该光盘刻制于2014年11月20日;“附件光盘:(网监)勘【2014】006号”文件的“修改时间”显示为“2014/10/28 14:52:00”,表明该笔录成稿于2014年10月28日。而核对该案远程勘验笔录表明,警方进行远程勘验的文字记录时间为2014年10月23日。这些“关联痕迹”解释出了一个十分不正常的“事实”过程:警方于2014年10月23日进行远程勘验,之后5天内(到10月28日)还对提取的电子证据进行过修改操作,之后又过了近一个月才刻制光盘。这是严重违反取证规则的,影响了电子证据的真实性。

  在一起提供侵入、非法控制计算机信息系统的程序、工具案(案例4)中,主要证据也是警方在线提取电子证据而刻制的光盘。笔录表明,在线日;“在线提取数据”光盘显示“××数据库远程勘验.zip”文件的“修改时间”为“2018-05-23 10:05:11”,远远晚于在线提取工作完成时间。这张光盘中的电子证据显然已不具有法律效力。

  在一起侵犯公民个人信息案(案例5)中,现场勘验记录的勘验结束时间为2018年1月10日,而勘验光盘制作的时间为2018年2月1日。这一反常也是令人生疑的。检察官因为注意到勘验光盘文件中的修改时间反常,决定对警方提取的数据库文件进行审查。幸亏警方在进行远程勘验时提取了涉案服务器的镜像文件,这才给检察官事后补证提供了基础。

  依靠电子光盘留下的“关联痕迹”重建取证过程,可以说是一个简单的技巧,但足以揭示一种违法现象:实务中警方刻制取证光盘的时间一般较晚,甚至到了必须将案件移交检察机关的时候才刻制,这与同步刻制的法律要求是背离的,必须得到关注和纠正。

  “复合内容”是受“复合文档”的启发而形成的一个概念。复合文档不仅包含文本,还包括图形、电子表格数据、声音、视频图像以及其他信息。这是当前电子证据内容的普遍承载方式。

  在另一起破坏计算机信息系统案(案例6)中,最重要的电子证据是警方抓获犯罪嫌疑人之后,使用犯罪嫌疑人账号、密码登录其邮箱获得的几百封电子邮件。这些邮件能够证明犯罪嫌疑人推广某非法软件及获利的情况。对于这些电子邮件,办案人员要关注的内容不仅包括每封邮件的正文,也包括邮箱收件夹、发送夹等文件夹中有多少邮件(即邮件列表),还包括该邮箱“最近登录”(也称为“上次登录”)形成的时间、地点信息。办案人员查看该邮箱,发现邮箱中显示的“上次登录”时间证明警方涉嫌违规取证。经过核对笔录,检察官发现警方远程勘验结束的时间早于邮箱中显示的“上次登录”时间。这说明,警方远程勘验笔录记录不实,或者反复多次进入该邮箱而没有如实记录,也没有如实保全证据。

  案例4中,一份电子证据是远程勘验笔录及数据。查看该笔录的复合内容,发现该笔录不仅写明何人、何时、何地进行了勘验,而且注明是使用密码“××wangan2018”进行在线提取。这一密码显然指代网安警察,说明警方修改了犯罪嫌疑人的密码,这就令人产生警方先进入犯罪嫌疑人服务器账号、后提取证据的怀疑。这一做法违反了公安部《公安机关办理刑事案件电子数据取证规则》第三十三条“网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限”的规定,有关电子证据的真实性、合法性受到质疑。

  以上就是原子主义证明机制的办案技巧。办案人员要尽量“细化”“揉碎”电子证据,“挖掘”不为人知的微观信息用于还原案件事实。那么,具体需要对电子证据“细化”“揉碎”到什么程度?笔者认为,需要进行二进制数据查看,对每一份电子文件都要分析其文件头、文件中间、文件尾,对每一份存储介质都要分析各个分区,特别是未分配空间。这是一种理想状态,要达到这一理想状态还有很长的路要走。但是,当下司法实践中漠视电子文档、光盘、硬盘等介质的属性的做法是不合理的。

  “整体主义”证明模式的逻辑要求:一份特定证据作为分析对象的证明价值,从根本上取决于其他所有证据。这一理论很容易同我国的证据组合、体系、锁链和印证等说法勾连起来。这样的联想是有道理的。值得注意的是,电子证据遵循整体主义证明模式的改造,会碰撞出独特的火花。

  证据组合是将能够支撑或反驳某一个案件事实的不同来源证据结合在一起的思路。如为了证明犯罪目的,可以将相关供述、证人证言、书证同有关电子证据结合起来,这是不同形式证据的组合。对电子证据而言,构成证据组合还有新的优势和切入点,同一份电子证据往往可以在不同层面进行呈现,办案人员可以打造不同层面的证据组合。

  如在一起破坏公用电信设施案(案例7)中,犯罪嫌疑人于2014年12月8日至10日在公众场所使用设备向周围手机用户强行推送短信,后被刑事拘留。警方对犯罪嫌疑人的伪基站设备(电脑)送检后,发现其在被抓获前将系统时间归零,导致无法确定哪些推送短信记录是犯罪嫌疑人在案发过程中留下的。通常,伪基站设备中推送短信记录有很多条,要排查哪些是犯罪嫌疑人的行为产生的,哪些是其他人(如上家)的行为产生的。对于这样重要的案件事实,无法依靠电子证据(日志文件)及相关鉴定意见证实。对此,办案人员一方面对犯罪嫌疑人进行补充讯问,另一方面调整鉴定请求,改为伪基站设备中推送上述内容短信的日志记录“造成了多少部手机通信中断”。这样一来,电子证据、鉴定意见与讯问笔录(供述)就构成了一个有效的证据组合。

  印证体系是指同一网络行为产生了若干份电子证据,特别是不同网络节点的多份电子证据,它们相互印证构成虚拟空间中的一种独特证据锁链。这些电子证据往往是同一行为或关联行为产生的。如在发送电子邮件时会在发件人电脑、收件人电脑、邮件商的服务器等多点留下电子邮件;发送短信、微信等都会产生构成印证的网络证据。将这些网络证据匹配起来,审查其内容是否一致,特别是审查其相关时间信息、地址信息等是否正常,就可以还原整个网络行为事实。

  如在一起熟人之间利用微信诈骗案(案例8)中,判断案件事实最有效最简单的方法就是将不同手机中的微信聊天记录对照起来,按照逐条微信的发送、接收时间编排大事表,必要时还需要查看微信登录日志。再如,在一起通过网络泄露国家秘密案(案例9)中,犯罪嫌疑人通过互联网将一份重要的“国家秘密”文件送到境外,随后对电脑进行了擦写。侦查启动后,办案人员除了获取泄密文档,还在电脑中获取了犯罪嫌疑人敲打泄密文档成电子版本留下的输入法碎片文件,发送短信留下的碎片,与同事的QQ聊天记录留下的碎片等,后顺藤摸瓜向邮件服务商调取了涉案期间的电子邮件。

  网络犯罪司法的主打证据体系往往表现为一种独特的电子证据结构,即由电子证据、“来源笔录”与鉴定意见组成的三位一体构造。在“鉴—数—取”体系中,“数”指的是电子证据,通常不能孤立地发挥证明作用;“取”指的是各种“来源笔录”;“鉴”指的是电子数据司法鉴定意见,用于证实案件争议事实。它们三者结合形成一个稳定的架构,用于证明网络犯罪的主要案件事实。其中,直接证明案件事实的往往是“鉴”,而“鉴”是否可靠有效取决于“取”的支撑和“数”的验证。

  案例4中,控方委托鉴定机构出具的一份鉴定意见表明犯罪嫌疑人提供的软件属于侵入、非法控制计算机信息系统的程序、工具,但这一鉴定意见是否足以证明案件事实?笔者认为,该案还必须审查对应的“数”证据,即鉴定意见所使用的检材。核查发现,鉴定意见书使用了9份检材,其中最重要的指控证据是压缩文件“××V8085.rar”,它被认为是犯罪嫌疑单位对外提供的。而从表面来看,这些检材不是一个“软件”,那就需要判断它们与犯罪嫌疑单位的关系以及其来源是否真实等。这就引出该案要配合审查对应的“取”证据。核查发现,虽然鉴定意见表明最重要证据“××V8085.rar”源自犯罪嫌疑单位一位技术员工的个人电脑,但勘验笔录反映不出这一事实(只反映出有另一个名为“××_kks.rar”的文件,而经过解压后没有发现前述文件);虽然鉴定意见表明“480800××apk.rar”文件是被害人提供的,但案卷中无任何笔录证明(即便是被害人提供的,也很难证明这是犯罪嫌疑单位的软件)。在该案中,将“鉴”“数”“取”三者结合,即能发现相关证据无法构成完整证据体系。

  一般来说,电子证据对应虚拟空间(信息空间),传统证据对应物理空间。如果能够基于电子证据还原虚拟空间的轨迹,基于传统证据还原物理空间的轨迹,将两个空间的人员轨迹对接起来,就能有效还原案件事实。这就是“两个空间对接”的技巧。

  在案例2中,重要证据之一是一份鉴定意见,能够用于支持证明犯罪嫌疑人获利达70万元。这份证据证明的事实准确吗?对此,办案人员使用“两个空间对接”的方法重建案件事实:一是查到案件中有一份“情况说明”,表明犯罪嫌疑人使用ADSL连接互联网犯罪时共使用了100多个其住所地的相关网络IP,比对鉴定意见记载的检材发现“使用SQL语句注入漏洞的行为共涉及3440个IP地址,其中犯罪嫌疑人住所地IP地址1805个,外地IP地址1603个”;并且,未发现犯罪嫌疑人存在使用VPN等可以修改IP地址工具的证据。这就说明,虚拟空间的位置信息证据表明有其他人作案的可能。二是核查言词证据等,确定犯罪嫌疑人在案件发生期间没有离开住所地。这样一来,电子证据所反映的作案人轨迹同传统证据反映的犯罪嫌疑人轨迹不一致,这就说明存在其他人犯罪的极大可能。相应地,鉴定意见将获利70万元全部归到犯罪嫌疑人头上也是错误的。

  最高人民检察院发布的指导性案例朱炜明操纵证券市场案(检例第39号),是一个非常有价值的“两个空间对接”案例。2013年2月1日至2014年8月26日,朱炜明在任国开证券营业部证券经纪人期间,先后多次在其担任特邀嘉宾的《谈股论金》电视节目播出前,使用实际控制的三个证券账户买入多只股票,于当日或次日在《谈股论金》节目播出中,以特邀嘉宾身份对其先期买入的股票进行公开评价、预测及推介,并于节目首播后一至二个交易日内抛售相关股票,人为地影响前述股票的交易量和交易价格,获取利益。经查,其买入股票交易金额共计人民币2094.22万余元,卖出股票交易金额共计人民币2169.7万余元,非法获利75.48万余元。审查起诉阶段,朱炜明辩称,涉案账户系其父亲朱某实际控制,其本人并未建议和参与相关涉案股票的买卖……检察机关审查认为,犯罪嫌疑人与涉案账户的实际控制关系,公开推介是否构成“抢帽子”交易操纵中的“公开荐股”以及相关行为能否被认定为“操纵证券市场”等问题,有待进一步查证。上海市检察院第一分院先后两次将案件退回上海市公安局,要求补充查证犯罪嫌疑人的淘宝、网银等IP地址、MAC地址(硬件设备地址,用于定义网络设备的位置),并与涉案账户证券交易IP地址做筛选比对;将涉案账户资金出入与犯罪嫌疑人个人账户资金往来做关联比对;进一步对其父朱某在关键细节上做针对性询问,以核实朱炜明的辩解。两个空间的对接表明,在朱炜明出差期间涉案账户使用了其出差城市IP地址做证券交易,在朱炜明不出差期间涉案账户使用了其办公室IP地址做证券交易,而这些地址是朱炜明父亲不可能到达的。

  以上就是整体主义证明机制的办案技巧。办案人员要尽量将电子证据与其他证据进行整合,搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构,以宏观的视角还原案件事实。

  犯罪形式在信息时代的网络变异给传统司法治理带来巨大冲击,电子证据是打击网络犯罪的关键证据。网络犯罪案件的数字式事实重建可循沿原子主义和整体主义两种证明模式进路。以电子证据为突破口破解网络犯罪难题顺应了信息技术发展趋势,是推进国家治理体系和治理能力现代化的重要窗口。