科技检察与电子数据篇(上)|海淀检察院学习行
(通讯员:张芹妮、朱桐辉)近日,鉴于北京市海淀区检察院在全国检察公益诉讼、高科技案件办理等领域的领先地位,天津市东丽区检察院余渊禄检察官、南开大学法学院朱桐辉副教授、南开大学法学院研究生张芹妮前往该院学习、调研。在院党组成员、政治部罗猛主任的周到安排下,上午与公益诉讼检察部检察官座谈,中午参观了海淀检察院党建主题展,下午向科技犯罪检察部检察官学习。
下午总结、介绍海淀检察院科技犯罪检察实践的有许丹主任、纪敬玲检察官、杨程检察官助理、李鹏检察官助理、李世家检察官助理,以及正在该部挂职锻炼的北京市一分检张润平检察官。
许丹主任首先介绍了团队的情况。目前他们共有4个小组,每个小组有1名检察官、2名检察官助理,机动设置3至4名书记员。这一配置在海淀检察院属于较好的情形。在北京市检察改革全部落地到位后,该部门将被称为海淀检察院第二检察部(科技犯罪检察团队)。这是考虑到海淀高科技企业和单位多的特殊情况而设立的。目前运行良好,该部门的设立是打击互联网犯罪的必要之举。
在朱桐辉老师回应据罗猛主任介绍科技部办理了很多案件,有不少典型案件及有研究价值的案件后,许丹主任开始分享他们的科技犯罪案件的具体办理情况:目前,每年4个检察官会办理70-80个案件,其中40%是计算机科技相关案件。该部门还承办经济犯罪,例如互联网金融、p2p案件和非公受贿等互联网公司的职务犯罪。2016年到2019年办理的计算机犯罪案件有130-140件,主要涉及刑法第285条非法侵入计算机信息系统罪、286条破坏计算机信息系统罪,还有部分非法获取公民个人信息的案件。从2017年开始,该部门承办的案件有伪基站、黑电台等相关案件。这些案件涉及到电子证据的问题。
他们打击这种犯罪的效果良好,案发量越来越少。之所以打击犯罪的效果良好,是因为用了更符合科技犯罪案件的证据标准。实践中,伪基站会通过设备阻断移动等公司的正常信号,伪装成这些公司的基站,把用户从这些公司的网络中“踢”出来,然后给用户发短信。从2014年起开始对这一犯罪行为严厉打击。当时办理这类案件的核心问题是短信影响用户数量的确定。
对此,电子数据发挥了巨大的作用,因为该类案件的电子证据,在嫌疑人后台都有数据库。案件侦办的初期,在现场抓捕嫌疑人后,侦查人员首先会对其电脑进行勘验、检查,通过其电脑软件中显示的已发送用户数据提取相关电子数据。
犯罪分子后来将其软件升级,其前台的软件平台不再记录相关电子数据,因此侦查人员要从后台数据库(data文件)中提取已发送给用户的电子数据。而且,犯罪分子再后来又对其系统软件升级,将后台数据设置为断电即删除。针对此种情况,侦查机关开始通过电信追踪车追踪、调取伪基站设备的移动轨迹,根据移动轨迹估算这些海量的数据。
说到此处,朱老师回应到,这种估算正体现了罗猛主任与邓超博士的论文核心观点:等约计量才是解决犯罪对象海量化下数额认定困境的合理方法。
许丹检察官总结到,通过这一与犯罪分子斗争的过程中,可以发现犯罪分子对电子数据也很敏感。在实践中,抓捕嫌疑人提取电子数据的理想状态是抓捕后进行讯问,让其主动认罪,尽快要求其配合电子数据的勘验和提取。若等到嫌疑人反应过来,最难确认的是人机同一性问题。
一般情况下,可以从互联网的IP地址确定这台电脑的实际物理位置。但目前犯罪份子通常有两种有辩解。第一种是其否认这是本人操作的;第二是电脑中了病毒由他人操作的。考虑到这种情况后,检察机关与公安机关已总结出一些经验:涉及计算机犯罪的,应在第一时间控制证据,否则日后很难补救。
谈到检察官们的专业背景时,许主任回应到,我们部门工作人员都是法学专业的。他认为作为检察官,以法律和法学知识最为重要,但也需要对技术保持一定的敏感性,并积极寻找技术支持。
实践中,遇到专业技术的问题,首先,可以向大型互联网公司的专业技术人员寻求帮助。其次,针对这一问题,我们科技检察部门也正在积极吸收懂电子数据的专业人才,壮大力量。最后,我们还要继续保持勤学勤问的方式办理案件。
接着,许主任通过案例向我们展示遇到技术难题后如何应对:在一个案件中,公司工程师将公司后台财务数据删除,而具体删除手段、删除命令和删除危害都不太清晰,因此,我们从外部找了一个数据库专家解释和解决这一问题。实践中,也想借助专家证人出庭作证,但是与现有的专家证人出庭制度不太符合,后来没有施行。目前北京市司法机关的规定是,只有与具体业务相关,做过鉴定的鉴定人,才可以专家证人身份解释鉴定中的问题。
至于,为何不在该案中用鉴定人。许丹主任回应到,是因为该案涉及到犯罪流程和后台的原理性问题,无法做鉴定,也无法通过鉴定展示。总之,专业技术问题需要借助各界各方的“外脑”。
随着交流的进行,许主任的总结和分享也越来越专业:我们办理的所有案件都有电子数据,且电子数据在证明过程中起到非常关键的作用。虽然电子数据易修改、易删除,但也易恢复,同时修改是会下记录的。例如,在我们办理的一个案件中,被扣押的电脑在境外被保管了一年多,这个时间段中电脑属于失控状态。我们取回电子证据后,核心内容是要证明电子数据的可靠性。
实践中,我们通过会国家互联网中心对该电子数据做一个“无修改无污染”的鉴定。该鉴定的大致内容为:“从某个时间起,该电脑的某excel文件无修改。即使有修改,也没有增加删除的记录,是因为打开造成的。”在这个案件中,我们通过专业鉴定的方式确保了证据的真实性、完整性与可靠性。
接着,许主任更是分享了自己分析、总结的关于目前电子数据面临的三个重点、难点问题:
第一个是电子数据存储、管理方面的一个紧迫问题。2016年部门设立时就计划成立电子数据整体存储管理平台,即案件开始后要将提取到的电子数据存储到该平台,且每一次使用都留痕。这样,电子数据的安全性可以得到保障。但受办案经费限制,我们目前退而求其次准备建立一个具有类似功能的实验室。
我们这样做的原因之一是,通过这些年的办案,我体会到,我们办理的案件的电子数据不仅仅具有证据价值,更具有资源价值。现在通过案件收集到的数据包括公民个人信息、财产信息、公民个人简历信息等具有经济价值。同时,色情视频等有侵犯当事人隐私的内容,而暴恐音视频等含有危险性、危害性的内容。这些必须要保存保管好。一旦这些数据遗漏出去的,会在社会上造成很大的影响。这么做的原因之二是,目前这些数据都零散的存储在承办检察官的电脑里,这些数据如果让承办检察官管理,也给承办检察官增加额外的风险。原因之三是,电子数据在证明犯罪和挖掘犯罪方面有更长远的高价值。申言之,在保证真实性的基础上,电子数据不仅可以扩展证明的广度,去证明不同犯罪之间的关联,还可以深挖犯罪。原因之四是,电子数据还有更深、更广的社会意义。
第二是电子证据提取中的一个难点问题。目前较争议的问题是,法院对某种电子数据的提取方式不认可。相关法律规定了两种主要方式。其一是由公安机关勘验检查后提取的方式,其二是由公安机关通过调取证据通知书获得的方式。实践中的第二种方式,不乏由企业自身提取相关数据的情形。在此情况下,企业既是被害人又是电子证据的提供者,在法庭上会引来争议。
实践中,被害单位通常会遵纪守法提供真实数据给公安机关侦办,但也不排除有些企业作假。数据作假后,我们检察机关也难以辨认。这是一个隐患问题,目前还在积极商讨解决方式中。同时要说的是,这种方式在实践中,又是不可避免,无法绕开的。例如,那些著名的超大型互联网公司的服务器被攻击了,侦查以及检察机关把整个公司的服务器扣押或冻结的做法,不具有现实意义。
第三个是电子数据作为证据使用的成本问题,即鉴定成本、检查成本。首先关于鉴定成本,数据鉴定是按照数据量收费。这就导致案件中的这方面费用非常高,很多情形只能退而求其次做关键鉴定或不鉴定。而且,公安机关网络警察的技术人员有限。例如手机网络聊天记录应该去互联网公司提取,但实践中更多的是拍照片截图,之后让当事人认可。
从严格意义来讲,这样的做法不符合电子数据规定。因为手机扣押后,不存在不便提取的情况,但问题就是成本的问题。另外,关于工作成本,就像罗猛主任和邓超检察官文章中提到的是“海量成本”。这种成本问题要解决,现在看好像也没有好的手段。虽然部分数据库可以用取证大师提取关键字段、关键字等,但更多的聊天记录还是要靠手动检索。
许丹主任做了精彩而详细的分享后,开始由纪敬玲检察官介绍和分享。她首先接着许主任说的第二个问题继续说到,实践中,有因为采用第二种方式提取证据后法院以调取程序有瑕疵将案件发回的情形。同时,她回应朱桐辉老师的提问说,第二种方式获取电子数据的情形还是不少的。
她接着说,法官更希望拿到一份完美无瑕的证据,但确实如前面许主任说的,在实践中是有差距的,而且这种方式在2016年两高一部《电子数据规定》中也是明确规定和授予了的。目前,这个问题与法院、法官的意见不太一致,部分法官认为应该由公安机关亲自去企业的系统提取证据。但实践中这是不可能的。原因之一是,不知道数据以什么形式存在的,并没有一个已经做好的、可以不经修改就能提供给公检法机关的制式证据格式,企业还需要在自身的数据库系统上加工。原因之二是,公安机关网络警察的技术能力可能无法调取到相关证据。
许主任就此补充到,实践中能在全国互联网系统上提取到数据的必须是“技术大咖”。目前想要公安机关网络警察的技术水平达到这一程度,并不现实。
张润平检察官也通过自己办理的案件介绍在数据检索方面的感悟。他表示,聊天记录数据量太大,尤其是案发持续时间比较长的案件,如果一条一条查看,花费的时间很多。例如某案件的所有嫌疑人的聊天记录汇总后达到50G。最近探索在“取证大师”中用关键字检索,可以及时定位。但该功能不是在每起案件都可以使用。检察官还需要手动浏览,在嫌疑人隐晦的表达中找到关键词后再用“取证大师”等软件检索。这个问题,目前从技术上还没有快速提升的办法。
许丹主任就此也补充到,虽然电子数据海量的,但一旦提取和固定得好,能渠道一锤定音的效果,所以我们也是不辞辛苦地做着这个工作。
张润平检察官接着说,检察机关批捕的时间只有7天,在这个时间段里,公安最初并没有向检察机关提交电子证据,到后期才收到电子证据,因此,要在短暂的时间内花大量的精力去审查。因此,科研力量应该作为“外脑”给前线工作人员想想办法。
在许丹主任最后说了关于苹果电脑取证方面的问题后,开始由参观学习者分享自己的所得,并主动请教一些疑难问题。
朱老师首先回应到,不少律师反映从他们的角度接触到的电子数据很少,因为电子数据大部分被书证、物证化。这是因为不少电子数据,例如手机的微信和短信聊天记录、网上的电子邮件,既是电子数据又是书证。当然,还有一部分电子数据,例如视频电子数据就无法转化为物证书证,这部分电子数据就需要录音录像、见证人、哈希值计算等确保它们的真实性和完整性。许丹主任说这是诉辩双方都默认的结果,也建立在当事人认可的基础上。检察机关一方面将电子数据扣押,一方面在法庭上通过书证及照片展示。如果律师和法官有异议,我们再展示数码介质或者光盘上的电子数据。
接下来,朱老师提问到,电子数据的冻结是不是主要指冻结网络应用账号?许丹主任回应到,实践中电子数据冻结就是对服务器冻结,因为服务器没法扣押。公安机关冻结的具体程序,就是将服务器断电后贴上封条。实践中,我们还没有遇到让互联网公司配合冻结账号的情形。
纪敬玲检察官接着分享了一个相关案例,说明电子数据的及时冻结和提取的重要性。她说,她们就遇到一个反例:在一个案件中,涉案服务器没有冻结,同时,其服务器租金没有及时交纳,其数据被释放,到了后期,侦查人员想再回头查看的时候,已经找不到了。如果当时及时地向服务器运营商发了冻结函,运营商有义务将数据冻结,检察院就可以随时提取,直至解除冻结,即使涉案单位没有续费。
余渊禄检察官也问到,冻结之后数据是保存的吗?许丹主任回应到,如果是同其他设备断开的话,数据是在服务器里的。现在很多是云服务,我们认为,对云服务器可以把账号锁定,但是实践中我们还没操作过,其实,冻结就是为提取做准备。
接着,朱老师提出了第二个问题请教:2016年两高一部《电子数据规定》授权了侦查机关网络在线提取和网络远程勘验,同时规定网络远程勘验要经过审批,但网络在线提取并没有这样的要求。那么,网络远程勘验和在线提取,严格来讲,是不是在实质上就是网络搜查、扣押,而这些都应当经严格审批程序才能进行?
徐丹检察官回应到,这些实际上就是技术侦查、网络搜查。实践中,网络远程勘验和现场勘验的区别在于,现场勘验是公安机关到达现场后在嫌疑人电脑里直接提取,并用MD值固定。而网络远程勘验是侦查机关在嫌疑人不知情的情形下登陆进去勘验和提取。
朱老师接着问,网络远程勘验和网络在线提取有什么区别?张润平检察官回应到,其实在两高一部《电子数据规定》之前,没有实质区别。朱老师接着问,网络远程勘验需要严格审批程序的,但是网络在线提取没有这样要求,这样会不会留下来一些漏洞?
许主任回应到,个人认为,网络在线提取应当是当事人授权下的一种提取,而勘验、检查是公权力授权下的一种提取,其实都应当经法定的审批程序。李鹏助理检察官此时补充到,嫌疑人控制的服务器往往不是自己的,而是被攻破的他人服务器或者租用的他人的服务器。若公安机关对这些服务器要进行远程勘验,是需要严格的审批程序的。纪敬玲检察官也补充到,很多案件在线提取和扣押电脑、手机等现场提取是同时进行的。张润平检察官也就此谈了他的个人观点,他认为,办理境外服务器案件时,为了固定证据就得用远程勘验,但这应当有其许可。因此,不得不用一个中性的词,即网络在线提取。
朱老师补充到,最高检万春主任在答记者问时提到网络在线提取只能提取网络上公开的信息。之后2019年公安部《电子数据取证规则》也是这样规定的。这样可以对国际争议有所回应。
接着他提出了第三个问题:有的学者提出“一并提取”要少用,因为手机、电脑都是别人的财产,不知道各位检察官怎么看。
许丹主任表示不同意这样的观点,一并扣押提取是电子数据取证最重要的方法。理由之一是,扣押存储介质后,在法庭上可以减少争议。理由之二是,通过深挖存储介质可以获得更多有价值的内容。
朱老师在听完各位检察官的分享后,提出了自己的一个小建议:关于先由被害公司报案提取数据,再由侦查机关提取或者检察机关、法院调取的方式,是否可以再改进一下。前段的侦查机关和检察机关遇到不得不依靠被害公司数据提取的情形时,是否可以提前或者积极和法院沟通,讲明白其规律所在,这样可以避免提取到的电子数据不能用。
纪敬玲检察官回应到,很多案件中,电子数据非常庞杂,被害单位自己提取都很困难。例如最近办理的案件,某公司账户出现漏洞,在不扣除钻石的情况下可以提现。案件办理中,检察官要求公安机关从该公司从后台提取数据,以证明那些账户确实在没有扣钻石的情形下提取到了现金。而公安机关用长达一个月的时间才和该公司提取到这些数据。同时,公安机关反映,因为该公司没有对应的格式可以提供,所以要从从海量的数据后台筛选,再进行格式转换。让被害单位自己提取自己的数据都很难,更不要说让公安机关的技术力量去提取。
李鹏助理检察官检察官补充到,不同的工程师编的语言是不同的。整个语言编程构架是好几层。如果想要数据是可视的,要一层一层导出后筛选。
张润平检察官则结合刑事诉讼法的证据要求指出,公司去公安机关报案,往往需要有证据公安机关才会立案。这就导致原始证据其实是公司保存的,公安机关接触不到第一手证据,因此原始证据必然是公司取得的。朱老师补充到,如果这样话,还需要我们给法官和法院说明被害公司想改这些原始数据也是很难的。
纪检察官回应到,这个问题需要法律人综合整个案件的其他证据确定电子数据的真实性,达到内心确信。许丹主任还坦承地总结到,这可能确实是个问题,实践中有些法院是模糊处理,但从学理出发,这样的证据的真实性确实存在一定问题,实践中也出现过作假证据的案件,这就需要我们检察官更谨慎、更仔细。
随后,张芹妮同学针对取证软件进行了提问:取证大师在实践中使用情况如何?张润平检察官回应到,我们用取证大师主要是用其关键词检索功能。而电子数据的提取和鉴定是该软件的核心功能。我们承办人使用该软件可以提升效率,将证据尽快找到并呈现出来。
余渊禄检察官发问到,这一检索是检察机关的工作还是公安机关的工作?张润平检察官回应到,公安机关一般不做这样的工作,他们找鉴定机构做好鉴定后装卷送到检察机关,由我们检察官做更细致的检索和检查工作。
最后,余渊禄检察官还与各位科技检察部的检察官交流了两家检察院的案件管理方面的做法和经验。一场内容丰富、收获满满的学习交流不知不觉进行了两个小时,这里向海淀检察院的法律人们再次表示感谢!希望以后能有更多的机会学习与合作。
上一篇: 如何应对“幽灵抗辩”之我见
下一篇:最后一页