|
實務研究 目 次 一、電子證據審查面臨的難題 二、電子證據聚焦式審查原理 三����、電子證據聚焦式審查方法 摘要 司法實踐中�,電子證據審查工作普遍存在難以著手�、流于形式的問題,主要呈現為電子證據審查因由混亂無序致使勞而無功的現象����。為解決上述問題��,辦案人員應當遵循電子證據聚焦式審查原理,剝離審查過程中的無效干擾因素���,圍繞可能影響案件事實認定的焦點問題展開審查工作。其具體方法包括:一是以聚焦爭議事實為審查方向���;二是以聚焦“鑒—數—取”體系為審查對象;三是以聚焦“關聯性—真實性的主輔骨架”為審查標準���。 隨著信息技術與現代社會的深度融合,電子證據在案件辦理中的地位和作用愈發重要。電子證據審查工作混沌無序將難以實現電子證據在案件事實查明與庭審攻防中的理想效果�����。為實現電子證據的有效審查����,辦案人員應當掌握聚焦式審查方法���,鎖定爭議事實��,圈定“鑒—數—取”體系�,凸顯“關聯性—真實性”雙標準�����。 一���、電子證據審查的面臨的難題 司法實踐中����,辦案人員開展電子證據審查面臨難以著手的窘境��。其一��,這是由電子證據往往具有超容性所決定的。所謂電子證據的超容性�����,是指一種客觀現象�,即一個普通電子介質(如硬盤、U盤)所承載的電子數據量遠遠大于紙面�、實物材料所蘊含的信息量�。其二�,這是由我國電子證據規則的龐雜性決定的。目前���,我國是唯一將電子證據作為法定證據形式的國家,且已經具有龐雜的電子證據法律規范�,具有代表性的規范有最高人民法院���、最高人民檢察院、公安部《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》��、公安部《公安機關辦理刑事案件電子數據取證規則》等����。這些規范條款多且技術色彩濃厚,很難得到辦案人員的正確理解與適用����。 辦案人員開展電子證據審查亦遭遇流于形式的窘境����。一些辦案人員習慣將電子證據轉化為其他證據加以審查運用。這就出現了一種反差:一方面���,電子證據日益龐雜,衍化出數碼圖片����、電子簽名���、活躍用戶�、網絡點擊量等樣態�����,遠遠超過現有規范所概括的網絡平臺信息�、網絡應用服務通信信息����、登錄日志信息、電子文件等四大類�����。另一方面�,法庭上舉證���、質證���、認證的基本是鑒定意見�����、勘驗筆錄�����、打印件等轉化型證據。辦案人員以對電子證據轉化物的審查取代對電子證據的直接審查��,很多時候就是流水賬式閱卷的泛泛審查���。 辦案人員走向電子證據有效審查�����,需要努力完成從混沌到聚焦的轉變���,這種審查電子證據的專門方法�,可以稱為聚焦式審查����。 二、電子證據聚焦式審查原理 從司法實踐來看,“聚焦”就是要求人們將審查電子證據的注意力或焦點集中于某處���,即辦案人員應當遵循“抓住重點”“剝離無關”的雙要義。 “抓住重點”要求辦案人員圍繞可能的案件爭點�,梳理可能產生證明或反駁作用的電子證據及其組合,針對影響電子證據及其組合是否具有證據效力的采用標準,并依據具有一定剛性的可操作性法律條款開展審查工作,具體可分為審查方向���、審查對象與審查標準三個方面的聚焦。 踐行“抓住重點”式的審查有三步:第一步,梳理案件的主要爭點�����。第二步�,整理出案件中指向主要爭點且可能產生證明或反駁作用的電子證據及其組合。第三步,選擇影響相關電子證據及其組合效力的主要證據采用標準���。此處倡導“抓住重點”體現了電子證據聚焦式審查中融通事實認定與法律適用的智慧。 “剝離無關”是指審查全過程要盡可能將無關信息、無關行為剝離。 
電子證據聚焦式審查具有重要意義�。首先�,有助于辦案人員抓住重點���,將案卷“讀薄”��。其次�����,有助于快速還原案件事實�。再次��,有助于形成訴訟策略����。在還原案件事實的基礎上�,控方可以制訂有效的訴訟策略,形成有效的全面指控方案。最后����,有助于辦案人員養成專業技能�����。 三��、電子證據聚焦式審查方法 如前所述��,聚焦式審查可具體化為審查方向、審查對象與審查標準三個方面的聚焦�����??偟脑瓌t是,辦案人員要將審查方向聚焦于爭議事實����,將審查對象聚焦于“鑒—數—取”體系����,將審查標準聚焦于“關聯性—真實性的主輔骨架”�����。 (一)鎖定爭議事實 【指控事實】2013年9月至2014年8月��,王某等二人發現教育部考試中心托福考試報名系統存在系統漏洞后�,在其位于天津市的家中��,利用計算機通過互聯網使用SQL語句注入該系統漏洞并修改數據庫數據,為托?����?荚嚳忌鷵屛粓竺?����,并在某網站注冊網店公開出售托福考試報名服務���,違法所得共計857004.5元。2014年7月16日���,教育部考試中心報案。同年11月3日�����,王某等二人被公安機關抓獲歸案����。2015年7月27日,檢察機關以王某等二人涉嫌破壞計算機信息系統罪提起公訴�����,并提出五年以上有期徒刑的量刑建議�。 該案中控方提交的證據包括涉及網絡聯系、替考生報名等行為的大量電子證據����。為進行有效審查����,辦案人員首先需要鎖定可能影響案件處理結果的案件事實或爭議事實。對于這類事實���,可以通過三種方法加以確定:一是基于當事人對案件事實的異議進行甄別;二是基于經驗法則進行邏輯推理�;三是基于法律文書中的案件事實描述進行比對����。 對于指控事實����,王某等二人主要對替報名方式及違法所得數額提出異議���。二被告人承認實施過利用計算機通過互聯網使用SQL語句注入該系統漏洞并修改數據庫數據的行為(以下簡稱“入侵行為”)���,但強調其主要是使用代刷機軟件進行替報名(以下簡稱“刷機行為”)���。同時��,二被告人認為違法所得不足857004.5元��,該數額包含其他服務收入。這就形成了危害行為、危害結果雙爭議。 基于類似案件的經驗法則進行邏輯推理��,也能鎖定這兩項爭議事實:第一���,該案中指控的違法所得是否成立�,影響到定罪量刑。根據最高法、最高檢《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第4條的規定�,破壞計算機信息系統罪加重情節之一是“違法所得2.5萬元以上”��。該案指控的違法所得數額遠超該標準,但如果計算方法存在根本性錯誤����,這里的違法所得即危害結果就會成為爭議焦點�����。第二,起訴書稱被告人“使用SQL語句注入該系統漏洞并修改數據庫數據”���,是對危害行為的描述。但是�����,被告人辯稱其同時實施了合法的刷機報名行為��,如何區分兩種代替報名行為及其產生的收入,會產生另一爭議焦點��。 
通過比對不同法律文書亦可挖掘案件爭議事實�����。該案中����,通過比對起訴意見書和起訴書發現����,公安機關起訴意見書認定的違法所得數額為856604.5元,而檢察機關起訴書則認定違法所得數額為857004.5元�,二者相差400元���。承辦檢察官核對過違法所得數額��,并據此認定危害結果。此外,公安機關與檢察機關對作案手段的描述也不同,前者在文書中寫明被告人入侵與刷機兩種行為,后者只提到入侵行為?���?梢姵修k檢察官并未將刷機行為納入指控�����。這看似構成危害行為的爭議����,實則表明在計算違法所得時要區分兩種行為的收入�,即產生關于危害結果的爭議����。 此外,通過比對不同文書材料還可以發現����,該案中存在關于侵害對象的爭議�����。在報案材料中,報案人聲明:該系統屬于“教育部考試中心單位”���。在起訴意見書、起訴書���、訊問筆錄等材料中,均載有“教育部托?����?荚嚲W上報名系統數據庫”被入侵或類似表述�。這就出現了涉案網站所屬主體的分歧。侵害對象的差異關系行為社會危害性的大小�����。從這一點來看�,該案還存在侵害對象的爭議。 這樣���,該案就鎖定了危害行為、危害結果兩項主要爭議事實����,兼及侵害對象這一次要爭議事實���。其中,關于危害結果的爭議最為關鍵���,其從根本上影響定罪量刑。其他兩項爭議事實也影響危害結果的認定�。因此�,該案中對電子證據進行審查應當聚焦于最主要的爭議事實��,即被告人通過入侵行為替考生報名的違法所得是否達到857004.5元�。對這一最主要爭議事實的鎖定���,夯實了電子證據審查的基礎�����,使得審查工作不發生方向漂移���。 (二)圈定“鑒—數—取”體系 【違法所得計算及主要證據】該案中�,起訴意見書指控二被告人“替考生報名1239次���,從中非法牟利856604.5元”���,未明確有關證據�;起訴書基本上復制了前述指控,亦未明確相關證據����。要開展有效審查���,辦案人員需要梳理出證明違法所得的證據及計算方法�����。 起訴意見書中的“替考生報名1239次”“非法牟利856604.5元”兩個說法是相伴隨的,表明違法所得的計算很可能與報名人次相關。而案卷中唯一體現“1239”數字的證據是一份鑒定意見書(以下簡稱“1號鑒定意見書”)。經核查,該項鑒定主要是將被告人網店訂單中考生ID號同被入侵網站的異常報名考生ID號進行碰撞�����,統計兩者間相同考生ID號的條數�����。據此�����,可以推斷公安機關的計算步驟:第一步,將1號鑒定意見書得出的“1239條”表述等同于被告人替1239位托?����?忌M行非正常報名�;第二步,根據網店訂單計算1239位托?��?忌鷮嶋H支付的金額;第三步,對1239位托?���?忌鷮嶋H支付的金額進行求和�。這就重現了違法所得的計算方法����。與此同時,也能找出用于證明違法所得的主要證據:(1)網警對被入侵網站服務器進行遠程勘驗形成的勘驗筆錄,附帶刻錄有入侵行為數據庫文件的光盤;(2)網警對被告人網店訂單進行遠程勘驗形成的4份勘驗筆錄����,附帶刻錄有被告人同考生進行交易的賬簿記錄的光盤;(3)1號鑒定意見書表明被告人相關網店訂單同被害人被入侵數據庫中相同考生ID號為1239條�����。 在明確了針對危害結果這一最主要爭議事實的主要證據后����,隨之而來的一個問題是:審什么證據?這需要通過證據聚焦的方式解決。如前所述���,該案違法所得是根據報名人次得出的。在這種情況下,應考慮將認定違法所得數額等同于認定1號鑒定意見書的結論表述是否可靠��。這樣一來���,審查該鑒定意見書就具有重要意義����。這一判斷也符合目前依靠電子證據定案的基本規律,即主要依靠關于電子證據的鑒定意見對爭議事實進行直接認定����。需要特別注意的是�����,辦案人員審查該類鑒定意見時,必須結合審查用作鑒定材料的各種電子證據�����。而完成后一任務也必然涉及電子證據的收集�����、提取問題,這離不開對相關收集提取筆錄的審查��?��?梢?�,關于電子證據的鑒定意見���、用作鑒定材料的各種電子證據以及證明電子證據收集提取過程的筆錄構成一個體系�����,均是審查的對象�����。 一般來說,該體系中關于電子證據的鑒定意見可以被簡稱為“鑒”�����,用作鑒定材料的各種電子證據可以被簡稱為“數”(因為它們系數據形式)����,證明電子證據收集提取過程的筆錄可以被簡稱為“取”(因為它們系各種取證筆錄)。該體系可以被簡稱為“鑒—數—取”體系����。就該案違法所得的證明而言��,審查的“鑒—數—取”體系包括:(1)“鑒”的部分——1號鑒定意見書;(2)“數”的部分——多次遠程勘驗獲取的數據庫文件及網店訂單��;(3)“取”的部分——網警制作的遠程勘驗筆錄�。 
這是審查對象方面的聚焦��。對這一體系進行聚焦式審查的方法眾多����。 方法之一�,辦案人員可以進行“鑒—數—取”體系有關數據完整性校驗值的計算與比對。該案中�,辦案人員可以利用工具計算涉案數據庫文件及網店訂單的校驗值����,并與勘驗筆錄�����、鑒定意見記錄的校驗值進行比對���,看“鑒”“取”部分表述的校驗值同“數”部分計算得出的校驗值是否一致��。如果不一致或者因采取不同格式而無法核對的,就說明“取”的過程與“鑒”的檢材來源可能存在問題。 方法之二�����,辦案人員可以進行“鑒—數—取”體系有關不同材料指向同一內容的文字比對�����。例如�,該案遠程勘驗筆錄表明用作鑒定材料的數據庫文件系由網警遠程勘驗得來的����,而鑒定意見書卻注明該文件由xx公司提交。這兩種說法表明數據庫文件的來源嚴重存疑��。 方法之三�,辦案人員可以進行“鑒—數—取”體系有關同一材料形成過程的還原比對���。“取”的部分涉及數據收集提取過程的描述���,“數”的部分之文檔屬性信息可以揭示數據收集提取完成的時間���,“鑒”的部分所附光盤存儲的電子文件也帶有關于鑒定材料和鑒定過程的時間信息����。查找到的各種時間信息能用于還原同一材料的形成過程,據此認定“鑒—數—取”體系是否存在實質性問題��。在該案中,經審查發現一份遠程勘驗筆錄反映的勘驗步驟異常,其第七步截圖顯示時鐘為18∶31∶00�����,截圖保存于18∶32∶06�,第八步截圖顯示時鐘卻為18∶30∶00,截圖保存于18∶31∶28,這顯然違反基本時序規律��。 該案在審查起訴階段基于“鑒—數—取”體系的審查�,還發現許多其他證據問題。在這種情況下,承辦檢察官要求公安機關對數據庫文件及網店訂單進行核正或重新遠程勘驗���,形成了新的遠程勘驗筆錄,獲取了新的電子證據,并委托同一家鑒定機構重新鑒定�。該機構出具新鑒定意見書�,其基于同樣的數據碰撞方法得出的相同考生ID號為1253條���。這一新結論是否可靠�����?辦案人員需要搭建新的“鑒—數—取”體系進行審查����,同時需要聚焦審查該體系所使用的證據采用標準�����。后文以該案中新的“鑒—數—取”體系為主展開。 (三)凸顯“關聯性—真實性”雙標準 【計算違法所得的新“鑒—數—取”體系】鑒定機構再次鑒定后�����,出具了新鑒定意見書�����,其結論部分表明相同考生ID號為1253條���。新鑒定意見書所依據的材料也有調整�����。這就形成了用于證明違法所得的新“鑒—數—取”體系:(1)“鑒”的部分——“新鑒定意見書”(內附光盤及工作數據);(2)“數”的部分——網警向xx公司調取的“TOEFL DB 記錄.new.xls”文件�����、再次對證人李某的網店賬戶進行遠程勘驗得到的網店訂單以及之前對被告人網店賬戶進行遠程勘驗得到的3份網店訂單��;(3)“取”的部分——網警進行新的證據調取��、遠程勘驗形成的2份筆錄,以及之前遠程勘驗所制作的3份筆錄�。上述構成了證明該案危害結果的新證據組合�。 對于這樣的電子證據體系如何進行聚焦式審查���,涉及如何選擇關涉證據采用的真實性��、關聯性及合法性標準的問題?��?紤]到電子證據的特殊性,筆者建議���,辦案人員選擇電子證據的“關聯性—真實性”雙標準開展審查工作。 1.以關聯性標準為主進行審查����。電子證據的關聯性是一種雙聯性��,電子證據用于定案時必須同時滿足內容和載體上的關聯性。具體就該案危害結果的證明而言�,辦案人員需要解決新鑒定意見書所揭示的1253條相同考生ID號是否與被告人入侵數據庫��、替考生報名托福考試相關����,即內容關聯性����;還需要解決這些ID號是否與被告人的網絡身份、網絡行為��、使用機器�����、行為時間�、行為地點等相關����,即載體關聯性。 就前一種關聯性審查而言��,辦案人員需要穿透新鑒定意見書的結論表述部分��,判斷其所依據的鑒定材料是否與入侵行為有關以及是否與托福考試報名行為有關�����。該案得出的結論是否定的����。其一,新鑒定意見書所依據的鑒定材料之一——網警向xx公司調取的“TOEFL DB 記錄.new.xls”文件,因缺失入侵系統的SQL語句而無法排除被告人刷機報名的記錄。這樣碰撞出來的相同考生ID號就不能排除同刷機行為有關的部分����。其二�,新鑒定意見書所依據的鑒定材料之一——4份網店訂單中含有替考生報名雅思考試以及提供充值����、送分、注冊等其他服務的收入。這也表明控方根據新鑒定意見書得出的違法所得數額缺乏同所指控托?���?荚噲竺袨榈年P聯性�����。 
就后一種關聯性審查而言,辦案人員需要穿透新鑒定意見書的結論表述部分����,看到所依據的鑒定材料與參考材料能否搭建起鑒定意見同被告人的身份��、地點、時間��、行為����、介質等因素之間的關系�。 一是身份關聯性。在該案中�����,指向被告人王某等二人犯罪的重要證據是2014年11月制作的“情況說明”��。該說明表明被告人實施違法行為的身份為一個ADSL賬號(xxxx7115)����,由此��,凡是被入侵系統所記載的非正常報名記錄中使用該賬號的����,便與被告人有關�����。 二是地點關聯性��。前述“情況說明”表明案發期間被告人使用天津的100多個IP地址,凡是非正常報名記錄中涉及這些IP地址的�,便與被告人有關��。而經核對����,發現非正常報名記錄涉及3440個IP地址�����,其中天津IP地址有1805個���。這就得出了否定地址關聯性的結論。 三是時間關聯性�。該案指控的犯罪行為發生在2013年9月至2014年8月��。然而,4份網店訂單的時間跨度都超過了這一期間���。若不剔除指控期間外的訂單,新鑒定意見書通過碰撞得出的相同考生ID號條數就難以同指控時間關聯起來�����。 四是行為關聯性����。該案4份網店訂單的狀態包含交易成功、交易關閉�、交易空白以及交易退款4種情況�。這就要求控方計算違法所得時����,應當將交易未成功的金額予以剔除。 五是介質關聯性���。該案4份網店訂單是直接從被告人、證人的網店賬戶中遠程勘驗得來的�����。實踐中�,偵查人員通常會扣押被告人作案的電子設備,在這種情況下��,辦案人員進行審查就要考慮該電子設備同被告人的關聯性��。 不難看出�,該案中電子證據“鑒—數—取”體系的關聯性問題非常突出�,控方應當進行有力補救,對新鑒定意見書通過碰撞得出的1253條相同考生ID號�����,剔除非入侵訂單��、被告人以外的IP、報名成功時間在訂單生成前的數據以及不成功的訂單等無關信息,最終得出較為準確的違法所得計算結果���。 2.以真實性標準為輔進行審查。實踐表明,電子證據“鑒—數—取”體系的真實性審查可以分為4個步驟:第一步,判斷是否原件載體�����;第二步����,判斷相關數據校驗值之有無及一致性,數據內容是否完整及異常��,附屬信息是否存在異常�,關聯痕跡是否存在異常,以及是否有增刪改行為��;第三步�����,判斷該體系內部或同其他證據之間是否存在矛盾����;第四步�����,判斷是否有必要進行演示或反公證��,是否以及如何申請真實性鑒定。該案形象地展示了真實性判斷“四步法”的奧秘。 第一步指向電子介質的真實性審查����。若非原始電子介質�,則需要特別仔細地甄別其中數據的真實性�����。 第二步指向數據信息的真實性審查��。這里包括數據校驗值的審查、內容—屬性—痕跡的審查以及增刪改數據的審查等����。 第三步指向相關證據間比對的真實性審查���。該案先后出現了針對同一問題的2份鑒定意見書���,且均有關于鑒定過程的工作記錄�����,這是可以進行比對審查的。實踐中,若兩次以上的司法鑒定是獨立完成的,那么相關工作文件就不會出現“同源”的異常特征��。 第四步指向在法庭上有效展示真實性審查發現的方式���。考慮到參與庭審的多數人不具有電子證據專業知識���,控辯雙方在庭審中需要選擇最佳方式展示電子證據“鑒—數—取”體系的真實性問題�。一般來說,對于簡單的真實性問題,控辯雙方可以通過庭上演示�,讓審判人員形成直觀印象�����。在民事���、行政訴訟中��,還可以考慮委托公證的方式��,對模擬制造虛假電子證據的過程進行錄像公證。對于復雜專業化的真實性問題,控辯雙方可以考慮通過委托鑒定機構進行相關鑒定����。 作者:劉品新��,中國人民大學法學院教授,刑事法律科學研究中心�����、未來法治研究院研究人員��;張藝貞�����,中國人民大學法學院博士研究生、智慧法律科技創新研究中心研究人員��。 (本文有刪節����,注釋及全文見《人民檢察》2023年第13期) 
編輯:王新穎 鄭志恒
|
