蘇琳偉，黃怡璇

（中共福建省委政法委，福建 福州 350000；福建省漳州市薌城區(qū)人民檢察院，福建 漳州 363000）

在大數據時代背景下，人類社會生活方式正在潛移默化地發(fā)生改變，特別是網絡交流方式突破了地理空間對人類行為活動的限制。但是，網絡犯罪也隨之激增，甚至大有取代傳統(tǒng)犯罪的趨勢，而目前的科學技術尚未完全能夠支撐國家公權力或其他組織在網絡空間中建立起類似實體空間對犯罪活動的管控體系。網絡犯罪，其呈現猖獗形勢的關鍵要素在于大量犯罪技術支持行為不斷衍生，逐漸表現出產業(yè)化、專業(yè)化發(fā)展態(tài)勢，且伴隨犯罪技術的發(fā)展，犯罪“服務型”行業(yè)開始分化，作為一種新興的“產業(yè)”分支，逐步通過市場化、商業(yè)化運作模式將網絡技術、工具以商品形式傳入流通領域，從而使得許多潛在的犯罪人獲得幫助后參與到此類犯罪中來[1]。因此，本文認為當前的數字政法建設不僅應將視角向內關注政法工作的科技運用以實現質效提升，也應同步向外研究應對網絡空間犯罪的防控問題。

從2015年開始施行的《中華人民共和國刑法修正案（九）》設置幫助信息網絡犯罪活動罪（其案件本文簡稱“幫信案件”）看，網絡犯罪這一問題早已進入決策者的視野，該罪名的設置在某種程度上意味著作為法律最后一道保障的刑事領域對網絡犯罪概念的正式接納，并且從網絡犯罪的源頭即技術支撐介入治理。與實體法相呼應，刑事訴訟法在實踐基礎上于2012年正式確立電子數據的證據類型。但是，實務中辦理“幫信案件”仍存在諸多挑戰(zhàn)，諸如電子數據的提取和審查已成為刑事訴訟的癥結與難點，亟待進一步探討應對。

一、“幫信案件”電子數據審查難點

作為證據形式的電子數據，是指以數字化形式存在并可用于證明案件事實的材料[2]。認定幫助信息網絡犯罪活動罪需收集并證明兩方面客觀行為：一是上游存在的網絡犯罪；二是行為人為該犯罪所提供的幫助，支撐這些證明的證據基本是以電子數據的形式存在。實踐中，對于這些電子數據的獲取問題，其實早于刑事訴訟規(guī)制之前，即有學者就刑事訴訟法、電子數據規(guī)定和監(jiān)察法等相關規(guī)定進行了分析，且已歸納出電子數據取證活動的主線為“行政調查—初查—偵查”，并認為當前規(guī)定并未在實質性規(guī)則上雙向打通這三個階段，導致電子數據轉化為真正有效的訴訟法意義上的證據存在很大難度[3]。即便經過前兩個階段，此類電子數據進入刑事訴訟程序后也不一定就能作為定案的根據即證據，仍存在諸多審查認定上的困難。

（一）證據形式準入上的困難

1.人工篩選工作量較大

網絡犯罪大多涉及“大數據”，其中電子數據不僅總量大、類型多，而且存在著較為雜亂、關聯度低、結構性差的特點[4]176。例如，在實務中常見的跨境電信詐騙“幫信案件”，涉案微信虛擬賬號往往數百上千個，涉及的群聊過萬條，且虛擬微信號數據容易被篡改刪除，需要進行巨額流水的統(tǒng)計、大量圖片的篩選等眾多數據的匯總甄別工作，而篩查單純依賴人工計算往往耗時較長，不太具有現實的可操作性。

2.智能算法未正式引入

智能算法能夠幫助在海量、分散、無形的大數據中獲取有價值的證據，但目前司法實踐中尚未規(guī)范智能算法引入機制，僅存在相關領域個別認同的技術實踐，如公安機關使用的“天網系統(tǒng)”[5]?！皫托虐讣睂嵺`中沒有統(tǒng)一的計算標準，且技術處理可靠性和客觀性沒有權威機構證明，因而整體上依靠人工計算仍占主導地位。

3.專門鑒定機構較稀缺

鑒定所依據的計算判斷是一種方法論的判斷，與傳統(tǒng)的鑒定意見在對象上具有質的差別，實踐中控辯雙方對于電子數據的鑒定資質、鑒定范圍、鑒定方法容易產生不同看法，對鑒定的審查規(guī)則也較難形成共識。目前上海辰星電子數據司法鑒定中心（所屬公安部第三研究所）及司法鑒定科學研究院是我國在電子數據鑒定領域獲得認可的機構[6]，專門鑒定機構不多。

（二）證據能力確認上的困境

1.關聯性難證實

上游網絡犯罪所涉及的電子數據浩如煙海，且相當雜亂，第一大障礙便是其關聯性問題[4]179。大數據證據除了數據量大，另一個特征是數據價值密度低，依靠遠程取證獲取的數據之間往往呈現“弱關聯”甚至“無關聯”狀態(tài)[4]181?！皫托虐讣笔紫刃枰C實電子數據與上游網絡犯罪存在關聯，其次需要證實電子數據與行為人的操作行為存在關聯，最后需要證實收集的電子數據能夠說明上游網絡犯罪與行為人的幫助行為存在關聯。實務中大數據證據突破了傳統(tǒng)證據強相關性甚至因果性的證據聚焦范圍，上述三個關聯關系顯得較為松散，關聯性的證明工作遭遇巨大挑戰(zhàn)。

2.合法性尚存疑

我國刑法規(guī)定幫助信息網絡犯罪活動罪中幫助行為有兩類：一是提供網絡技術支持，如提供網絡儲存、通信傳輸、互聯網接入、服務器托管等技術幫助；二是提供支付結算、廣告推廣等幫助。針對第一種類別的網絡技術支持，取證時往往涉及電子數據的原件扣押和接入設備、服務器設備、電腦硬盤、通信設備的封存及相關介質內數據的提取，實務中“幫信案件”的電子數據一般為遠程提取，難以扣押原件，異地取證時常出現犯罪嫌疑人惡意損毀設備、封存不及時和提取數據不符合規(guī)范等問題，導致電子數據的合法性遭受質疑。針對第二種類別的幫助行為，相關電子數據需要在網絡上進行提取收集，面臨恢復、提取網站后臺數據或從其他平臺下載數據的情況，涉及對原始數據的復制、分類，提取電子數據的合法性遭受質疑。

3.電子數據完整性難保證

電子數據完整性審查不同于傳統(tǒng)證據“三性”獨特內容的審查，數據完整性與真實性緊密相連，電子數據完整性有疑問，必然會影響到真實性的判斷[7]16?！皫托虐讣钡奶厥庑栽谟谏嫌尉W絡犯罪的嫌疑人大多未到案，證實網絡犯罪的多數證據需要公安機關遠程提取，被害人報案后能夠提供的證據非常有限，即便通過扣押手機恢復數據的方式能夠提取的也只是部分數據證據，考慮到提取遠程數據的技術瓶頸及網絡犯罪本身的隱蔽性，所提取的數據完整性較難把握。與此同時，在案行為人提供的幫助行為往往也會通過加密技術、及時銷毀和更換智能設備等方式規(guī)避查處，偵查時需要借助數據恢復、還原技術，這使得實踐中獲取的電子證據完整性較難保障。

（三）證明標準把握上的困惑

1.證明上游犯罪電子數據是否充分標準難以把握

幫助信息網絡犯罪活動罪為打擊網絡犯罪下游行為的口袋罪，本質屬于為幫助行為的正犯化[8]。實務中大部分較容易抓獲的人員為出售銀行卡、手機卡的下游實名制人員，能夠獲取的上游網絡犯罪電子數據較為有限。根據2019年最高人民法院、最高人民檢察院發(fā)布的《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（本文簡稱“2019年兩高解釋”）規(guī)定，確因客觀條件限制無法查證被幫助對象是否達到犯罪的程度不影響幫信犯罪的認定。由此可知，對于“幫信案件”上游網絡犯罪的證明標準較為寬松，但實踐中的適用仍然存在理解上的不同，或認為應當參照掩飾隱瞞犯罪所得罪的認定標準要求上游犯罪“查證屬實”，或認為只要求證明對他人實施違法犯罪行為主觀上“明知”，等等。

2.證實幫助行為的電子數據印證程度難以把握

在傳統(tǒng)證據審查與認定中，印證規(guī)則占主導地位，大多要求定案證據形成完整的證明體系，“幫信案件”的特殊性使得所提取的電子數據可能無法符合印證規(guī)則要求。一是證據來源單一性。大多為遠程提取同一個服務器后臺的電子數據，無法符合證據來源多樣的要求。二是證據具有同質性。有時只能提取到一段監(jiān)控視頻或一張廣告截圖，無法符合有罪證據的多元性要求。三是證據之間多不存在事實交叉。一般而言，取得的電子數據價值密度低，多為弱關聯甚至模糊關聯數據，不符合證據間具有內在聯系存在事實交叉要求[9]。同時，電子數據與傳統(tǒng)證據的印證程度也較低，多數電子數據中體現的犯罪行為并非被提供幫助的行為人所知曉，總體的印證程度難以把握。

3.主觀上“不明知”的合理懷疑界定難以把握

根據“2019年兩高解釋”對于行為人主觀上的“明知”采用推定證明模式，列舉了一些屬于明知的行為，同時規(guī)定兜底條款，行為人只要實施了足以認定為明知的情形即可，除非有相反的證據證實。但是，“幫信案件”中的無罪辯解集中在行為人對上游網絡犯罪的不明知，對于“足以認定”的標準實踐中未能統(tǒng)一，諸如辯解稱將銀行卡無償交給他人不屬于提供支付結算幫助的“交易異常”行為，將電子設備借給陌生人屬于“不明知”范疇?？傊?，合理懷疑的界限依舊模糊。

二、“幫信案件”電子數據審查分析

“幫信案件”的認定困境可歸因于，信息網絡技術的迅猛發(fā)展使得電子數據以一種全新的證據種類進入訴訟領域，并對案件待證事實發(fā)揮著越來越重要的證明作用[10]。電子數據本身具有與傳統(tǒng)證據截然不同的特性，且在刑事訴訟證明領域呈現出擴張趨勢。2016年最高人民法院、最高人民檢察院、公安部發(fā)布的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規(guī)定》和2019年發(fā)布的《公安機關辦理刑事案件電子數據取證規(guī)則》，對規(guī)范電子數據的收集提取和審查判斷提供了標準，然而新形勢、新問題、新任務使得重新審視電子數據的特殊性顯得十分必要。

（一）證據提取的特殊性

1.數據載體的特殊性

電子數據的原始存儲介質具有“多關聯性”特點：一是它承載著數據本體，本身能夠證明待證事實；二是它能夠關聯數據生成痕跡，可以證明數據本體的來源以及數據本體在生成、存儲、傳輸過程中留下的電子痕跡；三是它又能與介質的持有人形成關聯，能夠實現電子數據與特定人的關聯性的證明。因此，扣押、封存原始存儲介質作為取證的主要原則，也是最佳證據規(guī)則的直接體現。

2.數據本體的特殊性

數據本體承載數據內容，其完整性對于待證事實往往更為重要，從取證規(guī)則看，一是強調查明數據本體的來源、特征，同時應記錄電子數據完整性校驗值、數字簽名、數字證書識別其唯一性；二是強調獲取數據的過程必須清楚，取證的偵查人員、數據的持有人、見證人需要在筆錄、清單上簽名或蓋章，電子數據的提取包括現場提取或網絡遠程勘驗提取均應有第三人在場見證，扣押、封存原始存儲介質等首次獲取數據環(huán)節(jié)也應有見證人簽名；三是強調取證行為既要符合法定程序，又要遵循技術規(guī)范，嚴格限制除技術人員以外其他人員的操作。

3.數據內容的特殊性

數據內容是電子數據的核心，直接關系到待證事實的證明，確保數據內容的完整、客觀、不被篡改是提取數據內容的重點。一是偵查過程需保障數據內容本身完整，未被篡改或變更，不因提取行為導致數據內容上出現偏差，通過與原始數據載體內記載的數據本體內容進行比對，確保數據真實、客觀。二是數據內容在應經過數據持有人確認后方可通過打印、拍照、截屏、刻盤等方式輸出、保存并由偵查人員簽名，持有人無法確認或拒絕確認的應當在筆錄中說明，如果能夠全程錄像則提取，其合法性可以得到更為充分的保障。三是提取的方式可以是現場提取，也可以是網絡在線提取，通過計算完整性校驗值、遠程勘驗、錄像的方式確保遠程提取的數據內容與原始數據一致。

（二）證據審查的特殊性

1.證明能力審查的特殊性

一是關聯性重點考察電子數據的多邊關聯性?？疾煨袨槿司W絡身份與現實身份的同一性，可以通過核查相關IP 地址、網絡信息痕跡留存、上網終端歸屬、網絡活動記錄、相關證人證言以及犯罪嫌疑人的供述和辨認等證據材料進行綜合判斷。考察犯罪嫌疑人、被告人與存儲介質的關聯性，可以通過核查存儲介質留下的指紋和相關證人的證言、辨認以及犯罪嫌疑人供述和辯解等方式進行綜合判斷。二是合法性重點考察調取手段及程序是否合法。結合電子數據提取和保存技術過程，判定是否侵犯他人合法權益，是否違反偵查活動的程序，著重審查的收集程序、方式是否符合法律規(guī)定，如是否是通過電子病毒、惡意程序攻擊等違反互聯網公共秩序的方式獲取，是否在沒有搜查證或合法手續(xù)的情況下強行提取電子數據，是否侵犯他人隱私權、知識產權等，是否使用違法行為[11]。三是客觀性重點考察被篡改、污染的可能性，注意審查電子數據的生成過程，考察生成時間及提取方式，因特殊原因無法扣押原始存儲介質并且無法提取電子數據的情況可以通過打印、拍照或者錄像等方式來進行固定。

2.證據效力審查的特殊性

與傳統(tǒng)證據相比，電子數據的證據效力基本上著力于完整性的考察。一是針對目標數據，即直接承載案件事實所包含的法律關系和文檔、圖片、音頻、視頻、交易記錄、手機短信等內容數據，重點審查是否進行過非必要的添加或刪除，確定其內容上的完整。二是針對衍生數據，即附隨于目標數據的生成，屬于源頭數據生成中所留下的電子痕跡，包括文件和記錄生成、存儲、轉移、變動所形成的時間、格式、制作人等新的數據，重點審查格式調整、存儲位置變化、制作人修改等更改，確定其形式上的完整。三是針對關聯數據，即記載目標數據的周邊環(huán)境，包括儲存位置數據、IP 地址數據、數據傳輸路徑等情況，重點審查是否保持生成之時的原狀，排除被偽造的可能性。

3.證明規(guī)則審查的特殊性

電子數據對待證事實的證明較傳統(tǒng)證據印證模式復雜，因為虛擬空間中尚可分解出網絡空間與計算機單機空間的痕跡印證模式。一是網絡空間中各電子設備、IP 地址、訪問痕跡被視為不同的路徑節(jié)點，獲取不同節(jié)點上行為留下相關的痕跡能相互印證的，這就構成了虛擬空間的證據體系。二是電子數據所基于的內外部環(huán)境如操作軟件系統(tǒng)、文檔存儲系統(tǒng)會同步產生關聯痕跡，附屬信息和關聯痕跡從技術上極難偽造，因而可以根據它們之間的印證來認定某一案件事實，從而形成單機空間印證體系[12]。建立虛擬空間的證據體系，同樣可以滿足訴訟證明的要求，而不僅僅依賴于傳統(tǒng)證據的印證。

（三）排除規(guī)則的特殊性

1.真實性存疑的排除

真實性是電子數據具備證明力的首要條件。從內容上看，只要無法確定電子數據是否存在篡改、偽造、增加、刪除、修改情形，無法確定真?zhèn)蔚扔绊戨娮訑祿鎸嵭缘那闆r均應當排除。從形式上看，證據來源存疑、證據保管鏈條無法確定是否完整等影響數據提取真實性的應當排除。從開示范圍上看，除了數據內容外，還應當開示的范圍包括數據的完整性校驗值、數字簽名、數字證書等唯一性標識，以及數據存在的特殊環(huán)境情況，數據在生成、存儲、傳輸過程中形成的附屬信息和數據痕跡，這些對判斷電子數據證真或證偽有著極高的價值，如不提供數據本體溯源訪問機會，就無法全面地審查證據，無法保障真實性、完整性，可以考慮予以排除。

2.非法證據的排除

取證過程和取證結果兩個方面都可能涉及非法性。一是取證過程嚴重違法，如刻意篡改、偽造、增加、修改數據內容，或違法使用強制偵查措施收集的電子數據，違法通過強制偵查措施從犯罪嫌疑人配偶、父母、子女處獲取的電子數據，違法使用技術偵查措施收集的電子數據等侵犯他人基本權利的取證手段[7]18。二是取證結果嚴重侵犯被取證對象的人身、財產權利，或造成數據污染、關鍵數據被破壞等后果。

3.瑕疵證據的排除

此類證據違法情節(jié)較輕微，被視為證據能力待定的證據。是否具有證據能力，取決于瑕疵能否得到補正或者能否做出合理解釋。一是電子數據取證程序不規(guī)范，導致來源有疑問、唯一性特征不清，可能對證據的完整性、真實性產生疑問。二是無法補正或做出說明，唯有補正的合法性和解釋的合理性得到實現，方可消弭輕微違法的瑕疵。

三、“幫信案件”電子數據審查規(guī)制考量

為充分有效打擊網絡犯罪，考慮到電子數據的特殊性，針對幫助信息網絡犯罪活動罪認定中存在的諸多問題，在此認為可從以下方面健全電子數據審查規(guī)則。

（一）客觀取證的審查規(guī)范

1.規(guī)范關聯性審查標準

考慮實務中遠程取證的難度，同時考慮制約網絡犯罪幫助行為的高效性，可考慮規(guī)范對“弱關聯”證明效力的認可。一是從數據內容上看，“幫信案件”的電子數據能夠從側面印證上游可能存在網絡犯罪情況，且能確認其信息載體在身份、行為、介質、時間、地址方面同案件中當事人或其他訴訟參與人有聯系的，即可認為這屬于“弱關聯”，也應當認定其具有關聯性。二是從數據載體上看，除非有證據證實行為人合理、合法持有存儲介質，解釋使用相關設備的正當性，或提出反證證明與涉案數據載體無關，否則可認定行為人與所持有的存儲介質存在關聯。

2.探索智能算法的引入

隨著人工智能理論和技術的不斷發(fā)展，理論和實踐中已經探索出一些算法模型幫助解決實物問題，如貝葉斯模型的衍化使得認定案件從定性研究走向定量研究，為法官提供了精確化參考[13]。偵查機關與互聯網企業(yè)合作共同打擊網絡犯罪的實踐逐漸增多，如2018年浙江省政法部門和阿里巴巴集團安全部探索成立的越城區(qū)網絡生態(tài)治理中心，更多運用大數據技術來查明事實真相[14]。

3.規(guī)范專業(yè)機構的鑒定行為

一是對公安機關取證過程的鑒定，建議由公安機關之外的專門機構進行，專門機構通過對原始存儲介質的比對或對取證過程的復盤來證實偵查人員提取電子數據的完整性。二是對電子數據本身真實性、完整性的鑒定，可由公安機關內部鑒定部門或其他鑒定機構對數據本身進行評判，利用一定的數據恢復模型或日志核查方法對數據的完整性進行考量。三是對電子數據能夠推導出待證事實證明過程的鑒定[15]。對于鑒定的過程、計算方法進行相應規(guī)范，可以借助第三方力量來構建專家輔助辦案機制和交流平臺，為取證過程中涉及專業(yè)技術鑒定問題的解決提供專家咨詢和專業(yè)支持。

（二）主觀“明知”的審查規(guī)則

1.推定“明知”的審查規(guī)則

一是可參照對網絡知識產權犯罪幫助行為主觀推定的“紅旗”規(guī)則[16]，即當為網絡犯罪提供幫助的行為顯而易見，就像是紅旗一樣飄揚，行為人則不能以主觀上不明知的理由來推脫責任。二是適用“大半數”規(guī)則[17]，即根據網絡數據、流量顯示，對犯罪活動的中性業(yè)務行為比例超過所有業(yè)務活動半數以上的，應當據此推定信息網絡技術幫助者知道或者有充分的理由懷疑其業(yè)務行為所支持的對象利用信息網絡實施犯罪。對于提供幫助行為的“交易價格或者方式明顯異?！奔啊捌渌阋哉J定行為人明知的情形”的證據把握，有必要根據上述兩個規(guī)則進行細化探討。

2.部分舉證責任倒置

“幫信案件”中確實存在著犯罪分子與偵查機關技術力量“不對稱”的情況，考慮到電子數據的特殊性，可以考慮在有限的范圍內適用舉證責任倒置規(guī)則。一是根據行為人本身所具備的專業(yè)計算機知識水平來讓其承擔相應的證明責任；二是行為人本身為技術設備的所有者，則應當承擔某些技術問題的證明責任；三是行為人作為管理人員或在涉案事實中具有一定影響力的主體在特定情況下承擔在其職責范圍內的簡單說明責任。

3.合理懷疑的必要限制

“幫信案件”中對上游網絡犯罪幫助行為的多樣態(tài)導致提供幫助人員和被幫助者之間的聯系可能多種多樣，對“不明知”合理懷疑應當設置必要限制，防止行為人逃脫法律制裁。下列事實不能作為“合理懷疑”的依據：一是辯解理由隨意性較大，筆錄中不能穩(wěn)定供述，無法解釋細節(jié)的；二是辯解理由不符合行為人一般日常行為規(guī)律，無法提供反證的；三是辯解理由涉及不知名的陌生人員，所陳述事實無法證偽的。另外，其他有悖常識、常理、常情的行為，除非有相反的證據支持，否則不認為屬于“合理解釋”范疇。

（三）定案證明規(guī)則的調整

1.最佳證據規(guī)則的適度調整

對“幫信案件”而言，依附于存儲介質之中的數據本體才是證據的核心，只要提取的數據能夠說明來源，保障數據本體不被破壞即可視為“最佳證據”。實踐中“幫信案件”可采取以下規(guī)則保障數據本體、內容不被破壞。一是不操作規(guī)則，即在提取電子數據本體后，盡量不對數據本體的原件進行操作，而是制作相關復印件后進行分析；二是精確復制規(guī)則，即對離線電子數據的精確復制采用單條網絡數據全面獲取的精確復制技術；三是防篡改及可校驗規(guī)則，即應使用“只讀”設備鎖定數據，確保電子數據不會被污染、破壞和更改[18]。

2“.印證主義”規(guī)則的調整

“幫信案件”中大多電子數據來源單一、種類單一、數量較少，上游網絡犯罪與下游幫助行為并非緊密聯系，實踐中要求此類案件的證據與傳統(tǒng)證據形成完整的鏈條且充分印證難度較大，且考慮到電子數據的特殊性，孤證禁止的原則可能被突破。建議充分運用經驗法則，只要電子數據能夠同時證明以下三點內容即可認為證明完成：一是證明上游可能存在網絡犯罪；二是證明行為人對網絡犯罪提供了幫助行為；三是行為人主觀上不存在“不明知”的合理懷疑。

3.排除規(guī)則的適度調整

建議對“幫信案件”電子數據僅在真實性存疑且不能合理說明時考慮絕對排除，存在以下情況的不予排除：一是真實性未遭到實質的影響，如違反電子數據操作技術規(guī)范等不規(guī)范行為，但能通過鑒定確定其真實性，或取證不規(guī)范但并未對數據造成污染的；二是真實性無法確定，如電子數據操作違反技術規(guī)范，無法通過鑒定確認真實性，但偵查人員通過合理說明解釋能夠排除證據作假可能性的。