文◎馮予君王強(qiáng)

網(wǎng)絡(luò)犯罪的電子證據(jù)收集與固定

文◎馮予君*王強(qiáng)**

網(wǎng)絡(luò)犯罪屬于高技術(shù)、高智能的新型犯罪，具有隱蔽性強(qiáng)、手段多樣性、作案連續(xù)性、覆蓋面廣等特性，與傳統(tǒng)的刑事犯罪相比，其產(chǎn)生的社會危害性更大、更廣，加大打擊網(wǎng)絡(luò)犯罪力度已是形勢所需，但由于我國立法上的不完善及實踐中的不成熟，在電子證據(jù)的取證方面遇到了極大的困難和問題。而新修訂的《刑事訴訟法》在第48條增加了“電子數(shù)據(jù)”的證據(jù)形式，進(jìn)一步完善了刑事證據(jù)分類,明確了網(wǎng)絡(luò)犯罪新興證據(jù)材料的歸屬,這對偵查網(wǎng)絡(luò)犯罪的電子證據(jù)收集、運用都具有重要的意義。

一、電子證據(jù)的特點

（一）電子證據(jù)具有海量存儲性。以計算機(jī)為代表,電子證據(jù)在各種介質(zhì)中的存儲量與普通證據(jù)不可同日而語。傳統(tǒng)證據(jù)中，某個場所、某件物品或某份文件所包含的證據(jù)信息是有限的；而電子證據(jù)在相同物理范圍內(nèi)所能獲取的信息量發(fā)生了幾何級的膨脹。

（二）電子證據(jù)具有高速流轉(zhuǎn)性。不論是模擬信號還是數(shù)字信號,都具有高速的傳輸速度。以網(wǎng)絡(luò)證據(jù)為例，互聯(lián)網(wǎng)中電子數(shù)據(jù)的傳輸速度理論上可以達(dá)至光速，而且不受地域空間的限制，舉凡互聯(lián)網(wǎng)覆蓋的范圍內(nèi)均可急速傳輸、信息自由流轉(zhuǎn)。

（三）電子證據(jù)具有自動生成性。電子證據(jù)以電子設(shè)備為存儲介質(zhì)，許多電子設(shè)備都具有智能性，在進(jìn)行設(shè)定后可以自動運行程序，并且自動生成電子證據(jù)。在整個過程中，只需要完成最初設(shè)定，全程都無需人工操作，在很大程度上彌補(bǔ)了人類在生理上的限制。

（四）電子證據(jù)具有脆弱性。電子證據(jù)因人為或環(huán)境因素而易于損毀、修改、滅失，給取證帶來諸多問題。

二、電子證據(jù)的收集

由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計數(shù)器、用戶進(jìn)程存儲器、文件緩存區(qū)等不同的位置，要收集到所有的資料是非常困難的。電子證據(jù)收集應(yīng)遵循證據(jù)現(xiàn)場的保護(hù)原則。取證人員進(jìn)入現(xiàn)場后，應(yīng)迅速保護(hù)好計算機(jī)日志，對數(shù)據(jù)進(jìn)行備份，切斷遠(yuǎn)程控制;封存現(xiàn)場的信息系統(tǒng)、各種可能涉及到的磁介質(zhì);提取涉案計算機(jī)硬盤、移動磁介質(zhì)、光盤、復(fù)印機(jī)、傳真機(jī)中的記憶芯片等，特別應(yīng)注意對當(dāng)事人隨身攜帶的電子介質(zhì)的提取，如手機(jī)、MP4/5、導(dǎo)航儀、3G上網(wǎng)卡等，對于硬盤中隱藏文件及被刪除信息一并收集。

首先，在取證方法上，電子證據(jù)原本可以采用多種取證方式，包括現(xiàn)場搜查、現(xiàn)場輸出,對相關(guān)證據(jù)進(jìn)行鏡像復(fù)制，以及對電子設(shè)備或載體進(jìn)行實體扣押，以備后續(xù)搜查。鏡像復(fù)制與將個別計算機(jī)文件從一臺電腦轉(zhuǎn)移到另一臺電腦的普通復(fù)制有所不同：普通復(fù)制只能復(fù)制可識別文件，而鏡像復(fù)制能夠?qū)⒛繕?biāo)驅(qū)動器中的每一個字節(jié)都復(fù)制下來，包括所有文件、空白空間、主文件表和元數(shù)據(jù)等；普通復(fù)制可以在計算機(jī)運行時進(jìn)行，而鏡像復(fù)制通常是在數(shù)據(jù)機(jī)器關(guān)機(jī)狀態(tài)下進(jìn)行；普通復(fù)制不改變原文件屬性，而鏡像復(fù)制形成的文件都是只讀文件，用于分析時不至于發(fā)生篡改。

其次，在取證范圍上，偵查人員應(yīng)當(dāng)在遵循比例原則的前提下保障取證的全面性。不論是在現(xiàn)場對電子存儲設(shè)備進(jìn)行搜查還是在鏡像拷貝后的后續(xù)搜查，都應(yīng)當(dāng)以證據(jù)的關(guān)聯(lián)性為標(biāo)準(zhǔn)，嚴(yán)格限制取證范圍，避免無限制的擴(kuò)大化，對公民隱私權(quán)造成不必要的侵犯。另一方面，對電子取證范圍的確定亦應(yīng)謹(jǐn)慎，因為一旦有所遺漏，相關(guān)電子證據(jù)很容易遭到毀損，再也無法重現(xiàn)和獲取。

再次，電子證據(jù)的脆弱性還可能經(jīng)常在電子取證中造成“緊急情況”，而在電子取證的緊急情況下，偵查人員為了防止證據(jù)損毀、修改、滅失的危險，有權(quán)在法定程序之外采取一些緊急措施，由此也可能對個人權(quán)利造成更大侵犯。

三、網(wǎng)絡(luò)犯罪中電子證據(jù)的固定

電子證據(jù)的收集，不僅要收集電子數(shù)據(jù)，還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明，內(nèi)容涉及電算化的，應(yīng)當(dāng)由司法會計專家對提取的資料進(jìn)行現(xiàn)場檢驗，通過全面、綜合地對電子證據(jù)進(jìn)行收集、保全并進(jìn)行固定。

(一)電子數(shù)據(jù)。1、在偵查現(xiàn)場查獲時,應(yīng)制作勘驗檢查筆錄,對主機(jī)運行狀態(tài)進(jìn)行細(xì)致的檢查,包括開機(jī)運行狀態(tài)、正運行程序、與案件相關(guān)的其他文件或者程序(doc、txt、xls等等);后應(yīng)當(dāng)通過專門的軟件對相關(guān)內(nèi)容進(jìn)行備份保存,并對主機(jī)及時封存,以免破壞文件的完整性。

2、遠(yuǎn)程勘驗工作記錄應(yīng)對目標(biāo)網(wǎng)站的模塊構(gòu)成、登陸網(wǎng)站的程序步驟等進(jìn)行詳細(xì)的描述,勘驗的同時應(yīng)制作勘驗過程的錄像,并對目標(biāo)網(wǎng)站的性質(zhì)及功能進(jìn)行界定。

3、電子證物檢查工作筆錄中應(yīng)有所采用的取證軟件的簡介及功能介紹等,對檢查的過程進(jìn)行詳細(xì)的描述,突出沒有破壞原始硬盤的數(shù)據(jù),保持證據(jù)的完整性。與現(xiàn)場勘驗檢查筆錄相比,其性質(zhì)為對硬盤中涉案內(nèi)容的更細(xì)致、全面的檢查。另外,自犯罪嫌疑人處提取的所有電腦硬盤均應(yīng)制作電子證物檢查工作筆錄(即使當(dāng)時查獲時沒有發(fā)現(xiàn)某一電腦硬盤有涉案內(nèi)容,但仍要對該硬盤進(jìn)行檢查)。

4、犯罪嫌疑人有手機(jī)、平板電腦等設(shè)備時,應(yīng)對該電子設(shè)備進(jìn)行涉案內(nèi)容的提取,制作提取筆錄;有關(guān)的涉案內(nèi)容應(yīng)通過拷貝、拍照等方式及時固定,此處注意注明出處、犯罪嫌疑人簽字確認(rèn)等程序性問題。

(二)相關(guān)的其他幾種電子證據(jù)。1、書證。(1)網(wǎng)絡(luò)犯罪嫌疑人往往較多,在收集書證時,要注意收集犯罪嫌疑人之間的QQ、百度hi等聊天軟件的聊天記錄,以期證實與犯罪事實相關(guān)的內(nèi)容。

(2)在辦理私彩類網(wǎng)絡(luò)賭博案件中,犯罪嫌疑人往往通過注冊域名的方式設(shè)立某一私彩網(wǎng)站;同時,官方會存在某一彩種的正規(guī)網(wǎng)站。這種情況下,應(yīng)出具該官方網(wǎng)站的相關(guān)證明,證實私彩網(wǎng)站的非法性質(zhì)。

(3)自犯罪嫌疑人的電腦主機(jī)等存儲介質(zhì)提取數(shù)據(jù)作為書面證據(jù)時,應(yīng)注意證據(jù)來源等程序性問題,確保證據(jù)的合法性、有效性(要注明該份證據(jù)的出處、提取日期、犯罪嫌疑人簽字確認(rèn)等)。

2、鑒定結(jié)論。對網(wǎng)絡(luò)犯罪案件的涉案數(shù)額(包括非法經(jīng)營數(shù)額、違法所得數(shù)額等等),對于證實涉案數(shù)額的交易明細(xì)、交易記錄等證據(jù)不明確的,應(yīng)當(dāng)委托有相關(guān)資質(zhì)的會計師事務(wù)所等進(jìn)行對涉案數(shù)額的審計報告。此時審計報告的性質(zhì)應(yīng)屬鑒定結(jié)論。

3、視聽資料。制作遠(yuǎn)程勘驗工作記錄過程中形成的勘驗過程的錄像、制作電子證物檢查工作筆錄過程中形成的光盤應(yīng)當(dāng)同時附案移送,作為視聽資料予以審查并舉證示證。

4、證人證言。網(wǎng)絡(luò)犯罪案件中,由于無真實姓名、地域分散等原因,證人證言獲取難度大。在此種情況下,還是應(yīng)該通過網(wǎng)站后臺賬戶、IP地址查詢等方式,獲取盡量多的證人證言,以期更好地構(gòu)建犯罪構(gòu)成要件體系。若最終追查無果,則需偵查機(jī)關(guān)出具證明。

5、犯罪嫌疑人供述和辯解。(1)由于網(wǎng)絡(luò)犯罪涉及資金來往的次數(shù)、人數(shù)往往較多,有時犯罪嫌疑人記憶模糊或者存在僥幸心理,這使得涉案數(shù)額往往不能有效地確定。所以,要注意犯罪嫌疑人對于涉案數(shù)額、違法所得數(shù)額的前后供述一致性,同時注意與支付寶、財付通、網(wǎng)上銀行等資金通道的支付明細(xì)、交易記錄的一致性(可結(jié)合審計報告進(jìn)行綜合認(rèn)定)。

(2)關(guān)注涉案數(shù)額性質(zhì)的問題,在網(wǎng)絡(luò)犯罪中是一個易出問題的環(huán)節(jié)。原因是除了犯罪嫌疑人供述和辯解、相關(guān)證人證人之外,難以再有其他證據(jù)證實涉案數(shù)額的違法性?；诖?要將犯罪嫌疑人供述這一關(guān)鍵證據(jù)固定好。具體而言,需做到:具體數(shù)額的準(zhǔn)確、前后數(shù)額的一致、辦案程序的合法。

四、電子證據(jù)收集中應(yīng)注意的問題

（一）充分認(rèn)識電子證據(jù)的范圍。在網(wǎng)絡(luò)犯罪案件中,大量的證據(jù)表現(xiàn)為電子數(shù)據(jù)形式,但目前有關(guān)司法解釋及規(guī)范性文件對電子數(shù)據(jù)的收集、保全和采信缺乏規(guī)定,導(dǎo)致有的電子證據(jù)收集、保全不規(guī)范或者難以被采信。筆者認(rèn)為,應(yīng)當(dāng)對作為刑事證據(jù)予以提取、復(fù)制、固定的電子證據(jù)的范圍予以明確。具體應(yīng)該包括能夠證明網(wǎng)絡(luò)犯罪案件真實情況的網(wǎng)站頁面、上網(wǎng)記錄、電子郵件、電子合同、電子交易記錄、電子賬冊等。

（二）注重電子證據(jù)提取程序的合法化。偵查人員應(yīng)當(dāng)對提取、復(fù)制、固定電子數(shù)據(jù)的過程制作相關(guān)文字說明,記錄案由、對象、內(nèi)容以及提取、復(fù)制、固定的時間、地點、方法,電子數(shù)據(jù)的規(guī)格、類別、文件格式等,并由提取、復(fù)制、固定電子數(shù)據(jù)的制作人、電子數(shù)據(jù)的持有人簽名或者蓋章?；诰W(wǎng)絡(luò)犯罪中的特殊性,對于網(wǎng)站存在于境外,不存在電子數(shù)據(jù)持有人簽名的可能性,或者有的網(wǎng)站留存數(shù)據(jù)時間很短,多數(shù)數(shù)據(jù)是在抓捕犯罪嫌疑人之前通過遠(yuǎn)程勘驗提前固定的,不存在犯罪嫌疑人簽名的可能性。對于以上情形,應(yīng)當(dāng)由能夠證明提取、復(fù)制、固定過程的見證人簽名或者蓋章,記錄有關(guān)情況。

（三）加強(qiáng)對電子證據(jù)的保全。與傳統(tǒng)的證據(jù)一樣，電子證據(jù)必須是真實、可靠、完整和符合法律規(guī)定的，因此，在收集電子證據(jù)的過程中一定要保證原始數(shù)據(jù)不受任何破壞，在任何情況下，都應(yīng)注意：(1)不要改變原始記錄；(2)不要在作為證據(jù)的計算機(jī)上執(zhí)行無關(guān)的操作；(3)不要給犯罪者銷毀證據(jù)的機(jī)會；(4)詳細(xì)記錄所有的取證活動；(5)妥善保存得到的物證。

*河南省滎陽市人民檢察院［450100］

**河南省鄭州市人民檢察院［450000］