李泽民律师:广强律所执行主任;经辩中心主任;传销案件首席辩护律师
吴单:广强律所经济犯罪辩护与研究中心研究员
一文读懂电子数据那些事儿:
最全法规汇总+经典质证案例(下)
质证、电子数据、真实性、完整性、关联性
任何证据都存在被伪造的可能,区别在于被发现的可能性大小。
在传统犯罪案件中,案发现场可以“破坏”、作案工具可以“替换”、文书材料可以“拼凑”、照片影音可以“剪辑”、证言和供述可以“串通”,很多证据是孤立的或关联性低,相对容易伪造,办案人员难以通过单一或少量内容和载体来判断证据的真伪。
相比于传统种类的证据,电子数据在计算机硬盘上的每一次修改操作都可以被同步记录,其任何的增加、删除、修改痕迹都有可能通过技术手段分析判断,远比传统证据更为真实、可靠,正因如此,电子数据被称为新时代罪案的“证据之王”。
在网络系统里,电子数据的内容背后关联着各种信息,牵一发而动全身,“说一个谎言要用一百个谎言来圆”,比如要想伪造一份聊天记录,不仅要伪造聊天者双方或多方的具体内容,还要在每一个聊天者的手机、电脑等设备应用中都同步伪造的信息、发送时间等附属信息或关联痕迹,甚至要在微信服务器中植入伪造的日志、缓存等“痕迹”,这无疑是天方夜谭。在当下网络互通、万物互联的环境中,尤其是在区块链技术的助力下,理论上任何对电子数据的篡改都一定会留下蛛丝马迹,从而大大提高对伪造、篡改电子数据行为的甄别效率。因此,只要前期的取证流程合乎规范,电子数据的真实性就能得到保障,从而可在此基础之上讨论电子数据的关联性。
电子数据真实性的审查规范
对证据的审查,主要讲求三性,即合法性、真实性(或客观性)、关联性。就真实性而言,电子数据相比传统证据更易被篡改,故当电子数据被篡改、伪造或无法确定真伪,或存在无法保证电子数据真实性的情形时,电子数据不得作为定案根据。因此,电子数据的真实性对案件侦办至关重要,需要从五个方面进行审查:
1、是否移动原始存储介质;对于无法封存、不便移动的原始存储介质,有无说明原因,有无注明原始存储介质的存放地点或电子数据的来源等情况;
2、是否具备数字签名、数字证书等特殊标识;
3、取证过程是否可重现;
4、若电子数据存在增、删、改的情形,是否附有说明;
5、是否具备完整性。
电子数据完整性的审查规范
显然,前四点属于对电子数据的载体、调取过程、确认手续的形式审查,并未触及电子数据内容本身。换言之,只要严格按取证规定执行,所调取的电子数据一定符合这四个方面的规范要求。
但是,对于电子数据类证据,其真实性蕴含了一个内在要求,即第5点“是否具备完整性”,电子数据从调取开始到保管的整个过程的完整的,主要表现在电子数据是否被完整呈现,有些电子数据(如病毒代码、入侵程序、加密算法)需要借助一定技术手段才能被直观感知,若办案机关选择性呈现,则不能保证该电子数据的完整性。如果一份电子数据不完整,则意味着与其有着印证关系的信息存在缺失,从而不能全面地反映指控的案件事实,故该份电子数据的真实性存疑。
因此,一般有五个方法来审查电子数据的完整性:
1、审查原始存储介质(如服务器、硬盘、磁盘、U盘、电脑、手机)是否扣押、封存在案。
2、审查电子数据的取证过程是否有同步录像。
3、比对电子数据的完整性校验值;
所有已取证的电子数据均会通过特定算法生成一个哈希值(MD5值),若该电子数据在扣押期间被改动过,哪怕是一个符合或空格,则在对其鉴定时计算出的哈希值就会完全不同,从而可对该电子数据的完整性提出异议。
4、比对备份的电子数据;
将已扣押的电子数据制作副本,当控辩双方对该电子数据完整性有异议时,则可以将其与备份的版本进行比对,以审查是否完整。
5、审查冻结后的访问操作日志,即查看由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录;
对于数据量大,无法或不便提取的或提取可能导致被篡改或灭失的电子数据,通常采用冻结电子数据的措施,即对涉案的IP地址及其对应服务器中的数据进行冻结,如锁定网络应用账号、采取写保护措施。若已冻结的电子数据的操作日志有异常,说明该电子数据的完整性存疑。
基于电子数据真实性和关联性的有效辩护
1、真实性
随着电子数据相关的法律及司法解释的更新完善,侦查机关在电子数据的取证环节趋于严格,合法性瑕疵问题愈加少见。因此,主审法官往往更加关注电子数据本身的真实性问题,一是取证瑕疵导致的电子数据失真,二是电子数据呈现的内容是否符合常理。
对于取证瑕疵导致的电子数据失真,实质上是电子数据完整性缺失的问题。比如,在L某涉嫌组织、领导传销活动罪一案中,公安机关经勘验侦查制作了一张光盘,卷宗材料也记载了该光盘内压缩文件包的MD5值,对司法鉴定机构而言,在对该案电子数据进行鉴定时,该光盘即鉴定意见所使用的检材。
然而,在对鉴定意见进行质证过程中,辩护律师发现,鉴定意见所列检材是4个文件,而这4个文件的MD5值与原始光盘内压缩文件的MD5值不一致,可能的原因是侦查人员在取证时没有对光盘内的4个文件MD5值进行逐一检测,而仅对光盘的压缩文件包MD5值进行了检测,而鉴定机构在电子数据鉴定时的操作正好相反,这意味着鉴定人员未对鉴定检材和勘验侦查得到的电子数据的同一性进行比对,导致鉴定意见所用的电子数据与侦查机关提供的电子数据的完整性校验值不一致,从而不能确认该电子数据的完整性和真实性。
可见,对电子数据类证据进行哈希值(MD5值)校验,以数值说话,是一种直观、有效的质证方法。
2、关联性
电子数据呈现内容是否符合常理,与电子数据的关联性有所不同。前者指的是电子数据所呈现的内容与客观世界、科学常识、社会风俗、经验逻辑、交易习惯等事物的匹配度,若匹配度高,则认为符合常理,具有客观性、真实性,反之则是内容失真;后者属于证据三性之一,指电子数据与案件事实、其他证据之间的关联性,若电子数据与案件事实之间的逻辑链条过长,说明介入因素较多,因果联系较弱,即使其形式完善、内容真实,也不能用于证明案件事实。
比如,在T某涉嫌合同诈骗罪一案中,公安机关提取了被害人名下公司的财务软件销售数据,以此作为指控T某骗取销售返点的犯罪金额的关键证据。辩方通过核对上述销售数据,发现涉案的产品售价奇高,与T某所处行业的该类产品的正常市场价相差几十倍,严重偏离了真实市场行情。法官当庭就该销售财务数据、实际行情等问题向公诉人、被害人核实,但未得到合理解释,故认为该财务软件销售数据不能如实体现被告人T某的犯罪金额,对该部分指控的事实证据不予采纳。
又如,在某非法获取计算机信息系统数据罪一案中,被告人B某被指控以网络技术手段入侵虚拟货币网站并盗取虚拟货币。公安机关调取被害公司的后台日志显示,该公司于10月22日被盗币,而在10月23日凌晨时有一个来自香港的IP地址访问了该公司的最高权限,在更早的10月16日有一个美国的IP地址也曾访问过该公司的最高权限,但公安机关认定B某发起网络攻击的时间是9月25日。
换言之,B某发起攻击与被害公司被盗币之间相隔了一个月,且在这一个月内至少还存在分别来自美国和香港的两次攻击;经被害公司技术负责人证实,该公司在美国和香港既未拓展业务也无员工。可见,在被害公司后台日志记录的多次网络攻击事件中,来自香港的攻击与盗币结果在时间上具有最高的关联性。因此,本案中即使B某的攻击行为属实,其与指控事实也无显著关联性,无法排除其他攻击行为的合理怀疑,法院最终认为侦查机关认定的事实不清、证据不足。
结语
网络犯罪案件中,电子数据往往起到一招定乾坤的作用。在办案程序合规化、严谨化的趋势下,对电子数据的质证应从形式上的流程转向实质上的内容,重点审查电子数据所呈现内容是否具备完整性、是否符合常理、是否与案件事实具有显著关联性。电子数据含有大量有价值的信息,不要轻易放弃对电子数据的审查,也不应忽视人的主动审查的作用,辩护律师更应不遗余力寻找辩点以实现对电子数据的有效质证,达到最佳的辩护效果。