吳育寶，楊一濤

(南京森林警察學(xué)院，信息技術(shù)學(xué)院，江蘇 南京 210023)

1 引言與研究背景

犯罪現(xiàn)場勘查通常指刑事案件發(fā)生后，偵査人員為了査明犯罪事實，收集犯罪證據(jù)，揭露證實犯罪人，依法對與犯罪有關(guān)的人和事以及場所、物品、人身、尸體等所進(jìn)行的現(xiàn)場訪問和勘驗檢査工作，必須依據(jù)國家法律、法規(guī)，運用刑事科學(xué)技術(shù)手段在特定空間領(lǐng)域內(nèi)進(jìn)行[1]。隨著科技的進(jìn)步，公安的各項警務(wù)工作也進(jìn)入了數(shù)字化時代，現(xiàn)場勘查中的現(xiàn)場記錄也全面轉(zhuǎn)身電子化、數(shù)字化形式，這對現(xiàn)場勘查記錄的有效性、真實性和合法性提出了新的挑戰(zhàn)。本文首先闡述現(xiàn)場勘查電子記錄在案件證據(jù)鏈中的作用，結(jié)合我國司法制度解釋保證現(xiàn)勘記錄客觀、準(zhǔn)確的重要性和必要性；然后根據(jù)現(xiàn)場勘查的特點，結(jié)合時、空、人三維數(shù)據(jù)提出現(xiàn)場勘查電子記錄的可信化模型，確保現(xiàn)勘記錄的制作時間、制作地點和制作人員的客觀性及準(zhǔn)確性，同時保證該記錄從制作的時間開始到最終都是完整的和不變的；最后論證該模型的正確性。

2 現(xiàn)場勘查電子記錄

黨的十八屆四中全會《決定》提出：“推進(jìn)以審判為中心的訴訟制度改革，確保偵查、審查起訴的案件事實證據(jù)經(jīng)得起法律的檢驗。”即要求以法為中心，我國憲法規(guī)定的公檢法等部門分工負(fù)責(zé)、互相配合、互相制約的前提下，訴訟的證據(jù)經(jīng)法庭的舉證、質(zhì)證、查證，訴訟的過程要以法庭的庭審和裁決關(guān)于事實認(rèn)定和法律適用的要求和標(biāo)準(zhǔn)進(jìn)行，疑罪從無[2]。證據(jù)鏈?zhǔn)撬痉▽嵺`中的一個重要概念，從結(jié)構(gòu)上看，證據(jù)鏈?zhǔn)怯啥鄠€證據(jù)鏈節(jié)通過聯(lián)結(jié)點連接而成的具有一定證明方向的且可排除所有假設(shè)合理懷疑的證明載體，能夠完整、準(zhǔn)確地還原案件發(fā)生的過程并指明其中的主客觀要素。

現(xiàn)場勘查是偵查機(jī)關(guān)對犯罪處所及其遺留痕跡和其他物證所進(jìn)行的勘驗和調(diào)查。目的是發(fā)現(xiàn)、收取犯罪痕跡和其他物證，了解和研究罪犯實施犯罪的情況和案件性質(zhì)，確定偵查方向和范圍，為偵查和審判案件提供線索和證據(jù)[3]。整個現(xiàn)場勘查過程里，現(xiàn)場記錄是一項最耗時的工作，也是犯罪現(xiàn)場勘查工作最為重要的步驟之一。現(xiàn)場記錄的目的在于記錄和保存犯罪現(xiàn)場物證的位置、物證之間的相互關(guān)系以及犯罪現(xiàn)場的狀況。現(xiàn)勘記錄是現(xiàn)場勘查工作結(jié)束后形成的文檔和附件的集合，主要包括：現(xiàn)場筆錄、現(xiàn)場照片、現(xiàn)場視頻、現(xiàn)場音頻、痕跡、各類物證、各類電子數(shù)據(jù)證據(jù)、繪圖等。

現(xiàn)場記錄是證據(jù)鏈上的重要鏈節(jié)點，如果收集的證據(jù)在合法性、真實性和關(guān)聯(lián)性存在疑問，那么從證據(jù)里提取出的證據(jù)鏈節(jié)必然不穩(wěn)定，證據(jù)鏈的方向就可能出現(xiàn)偏差，導(dǎo)致最后的結(jié)論不正確。因此，現(xiàn)場勘查是一項程序性很強(qiáng)的工作，工作流程出現(xiàn)任何一個小瑕疵，都會導(dǎo)致很嚴(yán)重的后果，比如證據(jù)采集不充分、痕跡物證損壞等。其中，現(xiàn)勘記錄可信度失效是災(zāi)難性的結(jié)果，這將導(dǎo)致整個證據(jù)鏈的起點就不被采納，進(jìn)而致使整個現(xiàn)勘工作無效[4]。

隨著科技發(fā)展，現(xiàn)今的現(xiàn)勘記錄大多是數(shù)字化形式，如照片、視頻、音頻等記錄是實時采集的數(shù)字化信息，筆錄、繪圖等形式的現(xiàn)勘記錄由勘查人員事后手工錄入現(xiàn)場勘驗信息系統(tǒng)實現(xiàn)數(shù)字化[5]。傳統(tǒng)現(xiàn)勘記錄的可信機(jī)制是依靠“簽名”，每份紙質(zhì)形式現(xiàn)勘記錄、痕跡物證收集清單均需要偵查人員親筆簽署姓名來保證記錄的可信性，為了防止記錄被篡改，一般需要兩名以上的偵查人員簽名。但是在實際的現(xiàn)場勘查工作中，“簽名”這一規(guī)范存在很著很多的問題，如“補(bǔ)簽名”和“代簽名”，這顯然破壞了證據(jù)鏈的完整性。伴隨著現(xiàn)勘電子記錄的出現(xiàn)，傳統(tǒng)的簽名方法已經(jīng)不再適用，現(xiàn)勘設(shè)備也經(jīng)?；煊?，證據(jù)鏈的可信程度受到質(zhì)疑，給后續(xù)的司法工作埋下隱患。

面對大量的數(shù)字化現(xiàn)勘記錄，如何高效并有效地保證其可信性也是擺在大家面前的一個重要課題。本文基于通用的現(xiàn)場勘查專用設(shè)備，提出一種數(shù)字現(xiàn)勘記錄可信化軟件模型，使用密碼學(xué)中的數(shù)字簽名、哈希等方法，針對數(shù)字化的現(xiàn)勘記錄數(shù)據(jù)進(jìn)行可信化處理，目的是保證所有的數(shù)字現(xiàn)勘記錄從開始記錄到呈遞法庭的整個過程中，記錄的內(nèi)容、記錄的人、記錄地點、記錄時間等數(shù)字化信息是完整的并保持不變的。

3 現(xiàn)勘記錄可信化模型

3.1 模型結(jié)構(gòu)

現(xiàn)有的現(xiàn)場勘查設(shè)備是專用設(shè)備，是基于Android平臺的智能終端，設(shè)備包含如下組件：高清攝像頭、全指向麥克風(fēng)、指紋識別模塊、安全存儲區(qū)域、定位模塊(北斗+GPS)、藍(lán)牙模塊、Wi-Fi模塊、5G通訊模塊[6]。每臺現(xiàn)勘設(shè)備和一名現(xiàn)勘人員綁定，使用指紋識別模塊進(jìn)行身份綁定[7]，人員身份認(rèn)證在線下完成；安全存儲區(qū)域是設(shè)備專用的存儲設(shè)備，只有通過指紋驗證才可以被訪問，用于存儲終端的數(shù)字證書；攝像頭和麥克風(fēng)用于采集現(xiàn)場照片、視頻和音頻；定位模塊收集現(xiàn)場記錄的地理位置信息；Wi-Fi模塊可用于輔助定位以及與后臺服務(wù)器傳輸數(shù)據(jù)；藍(lán)牙模塊用于終端與服務(wù)器交換認(rèn)證數(shù)據(jù)；5G通訊模塊用于連接授時服務(wù)器。

定義1T是一個可信化模型，T=(EN ,A ,DR,TR,TOP)，其中EN是模型中的實體，EN=S,C，S為服務(wù)器，C={C1,C2,…Ci}為現(xiàn)勘終端設(shè)備集合；A為模型中的密碼算法集合；DR是所有數(shù)字現(xiàn)勘記錄集合，DR={dri|dri∈{數(shù)字照片,數(shù)字筆錄,視頻,音頻}}；TOP是可信化操作。

圖1描述了該數(shù)據(jù)可信化模型結(jié)構(gòu)，其中DT是日期時間；LO是C的當(dāng)前地理位置信息；CER是S頒發(fā)給C的數(shù)字證書；TR是可信化處理后的現(xiàn)勘記錄集合，即TR=TOP(DR)。

圖1 數(shù)字現(xiàn)勘記錄可信化模型結(jié)構(gòu)圖

1.2 終端注冊

通過線下身份認(rèn)證將現(xiàn)勘終端綁定人員后就可以進(jìn)行注冊過程，目的是獲取服務(wù)器的公鑰證書并申請自己的數(shù)字證書，注冊過程如圖2所示。服務(wù)器S的公鑰和私鑰分別記作PKs和SKs，Keyi是用于保護(hù)終端私鑰的隨機(jī)數(shù)串，E/D分別是一種對稱密碼算法的加密算法和解密算法，H是一種散列函數(shù)算法，Sign是一種簽名算法。

圖2 終端注冊流程圖

終端注冊步驟如下：

(1) Ci向S發(fā)送注冊請求，包括終端持有人的基本信息(姓名、性別、部門、聯(lián)系方式、級別……)，并附帶隨機(jī)數(shù)串Keyi；

(2) S為Ci生成密鑰對SKci和PKci并生成證書；

(3) S將SKci使用Ci的Keyi加密后附帶S的簽名發(fā)回給Ci；

(4) Ci解開SKci，并使用PKs驗證消息的有效性后將SKci存入終端的安全存儲區(qū)。

3.3 可信化操作

可信化操作TOP在終端Ci上完成，接受來自終端采集的數(shù)字化記錄作為輸入，并結(jié)合終端設(shè)備采集數(shù)據(jù)時的地點、時間和采集人身份對原始記錄進(jìn)行可信化處理，使得處理后的現(xiàn)勘記錄數(shù)據(jù)可防篡改及不可否認(rèn)(見圖3)。

圖3 可信化操作TOP流程圖

終端Ci采集到的現(xiàn)勘記錄數(shù)據(jù)記作drn(n=1,2,…)，該數(shù)據(jù)可以是文字、圖片、音頻、視頻；終端Ci采集記錄drn時的實時地理位置信息記作LOn；終端Ci采集記錄drn時從授時服務(wù)器得到的時間戳記作dtn；“+”表示數(shù)據(jù)的連接；Sign是一種簽名算法，H是一種散列函數(shù)算法。

可信化操作步驟如下：

(1) Ci采集到現(xiàn)勘記錄drn；

(2) Ci獲取此時的地理位置信息LOn；

(3) Ci向授時服務(wù)器獲得此時的時間戳dtn，并簽名得到Timestampn：Sign(SKci,dtn) ；

(4)Ci執(zhí)行操作：drn+LOn+Timestampn+Sign(SKci,H(drn)+LOn+dtn)，計算結(jié)果記作trn，trn即為drn的可信化結(jié)果；

(5) TR是所有tr的集合，即TR={tr1,tr2,…,trn}。

該可信記錄中除了數(shù)據(jù)現(xiàn)勘數(shù)據(jù)本身外，添加了采集地、采集時間，并使用終端私鑰對記錄簽名，保存了該記錄的采集記錄人。該記錄的可信度表現(xiàn)在防篡改和不可否認(rèn)性，因為終端是專人專用，數(shù)字簽名保證了數(shù)據(jù)采自于哪一臺終端，終端持有人無法否認(rèn)，此外，若現(xiàn)勘記錄被篡改，通過驗證過程就會被發(fā)現(xiàn)出來。

3.4 驗證過程

假設(shè)可信記錄是由終端Ci采集和生成的，驗證工作由圖2的服務(wù)器S完成，圖4描述了一個可信現(xiàn)勘記錄trn被驗證的全過程：

圖4 數(shù)據(jù)可信驗證流程圖

(1) 可信記錄trn會被拆成兩個部分O和V，其中O:trn:(drn+LOn+Timestampn)，V:Sign(SKci,H(drn)+LOn+dtn) ；

(2) 對trn的時間戳Timestampn使用PKci進(jìn)行簽名驗證，如果合法(Valid)則進(jìn)入第(3)步，否則“驗證失敗(Failure)”。

(3) 對V使用PKci進(jìn)行簽名驗證，如果不合法(Invalid)則“驗證失敗(Failure)”，否則“驗證成功(Success)”。

4 模型特性

4.1 可信鏈

在討論現(xiàn)勘電子記錄的可信性之前，我們作如下假設(shè)：

(1) 勘查人員是可信的；

(2) 服務(wù)器及其安裝的操作系統(tǒng)是可信的；

(3) 勘查人員的勘查終端設(shè)備及其安裝的操作系統(tǒng)是可信的。

那么，通過可信服務(wù)器頒發(fā)的終端證書也是可信的，可信終端和勘查人員是一一對應(yīng)，終端的安全措施由勘查人員負(fù)責(zé)，在實際工作中，終端被盜用采集現(xiàn)場數(shù)據(jù)的可能性很低，該部分安全性靠規(guī)章制度保證。

如圖5所示，通過3.3節(jié)的可信化操作，可以將現(xiàn)場電子記錄的采集時間、空間和人員進(jìn)行可信化處理，保證電子記錄的可信性，整個現(xiàn)場電子記錄的可信鏈條構(gòu)建完畢。

圖5 現(xiàn)場電子記錄可信鏈

4.2 協(xié)議安全性

在引言中我們提到模型可信化協(xié)議的目的是保證現(xiàn)勘記錄的制作時間、制作地點和制作人員的客觀性及準(zhǔn)確性，同時保證該記錄從制作的時間開始到最終都是完整的和不變的，本節(jié)從防篡改和抗抵賴兩個方面闡述可信化協(xié)議的安全性。

(1) 防篡改(Tamper resistance)?，F(xiàn)場電子記錄的篡改包括對記錄本身、記錄時間、記錄地點、記錄人員等數(shù)據(jù)的篡改，該協(xié)議可以提供防止上述篡改的機(jī)制[8][9]。設(shè)tr′為篡改后的可信記錄，參考圖4流程分別討論不同篡改場景下協(xié)議的安全性。

a.對記錄本身和記錄地點的篡改。

tr′≠tr是因為(dr′≠dr,LO′≠LO)

∵dr′≠dr或LO′≠LO

∴V′≠V,則Validate(PKci,V′)=Invalid

因此該篡改場景協(xié)議驗證結(jié)果是失敗(Failure)。

b.對記錄時間的篡改。

tr′≠tr是因為(dt′≠dt)

∵Timestamp′≠Timestamp

∴Validate(PKci,Timestamp′)Z=Invalid

因此該篡改場景協(xié)議驗證結(jié)果是失敗(Failure)。

c.對于記錄人員的篡改。即記錄終端被盜用，在4.1節(jié)已經(jīng)說明該情形由規(guī)章制度保證。

因此，該可信化協(xié)議滿足防篡改的需求，在驗證過程中可以發(fā)現(xiàn)篡改行為。

(2) 抗抵賴(Non-Repudiation)。抗抵賴特性旨在生成、收集、維護(hù)、利用和驗證有關(guān)已聲稱的事件或動作的證據(jù)，以解決關(guān)于此事件或動作的已發(fā)生或未發(fā)生的爭議[10-11]。在現(xiàn)場勘查過程，需要抗抵賴保護(hù)的對象是現(xiàn)勘電子記錄，本文模型可以提供通用的抗抵賴機(jī)制，確保電子記錄的合法性。

由4.1節(jié)可知，因為終端的數(shù)字證書是由可信服務(wù)器頒發(fā)，終端設(shè)備和終端設(shè)備通過指紋或人臉生物識別特征和勘查人員一對一綁定，因此除非終端被授權(quán)冒用因素外，PKc和SKc是無法被替換的。那對于一個給定的可信記錄tr，分離出來的V部分(圖4)一定是使用操作員的SKc進(jìn)行的數(shù)字簽名，因此如果Validate(PKc,V)=valid，那么該tr一定是私鑰為SKc所對應(yīng)的操作員所制作。

在該協(xié)議下，由該終端采集和生成的可信現(xiàn)場電子記錄就視同由綁定人員的操作，具備抗抵賴能力，同時省去了費時費力的人工簽名過程。

5 總結(jié)

為保證犯罪現(xiàn)場勘查中采集的電子記錄的可信性，本文提出了一個可信化模型，可以構(gòu)建現(xiàn)場電子記錄的可信鏈條，完成對電子記錄的可信處理，通過驗證過程可以實現(xiàn)電子記錄的防篡改和抗抵賴性，同時為提高了現(xiàn)場勘查的工作效率，減少出錯機(jī)率，對司法實踐提供了有益方案。