淺議網絡犯罪中電子證據的收集和審查判斷

曹淑琪，張　騰

(華東政法大學，上海 200042)

?

淺議網絡犯罪中電子證據的收集和審查判斷

曹淑琪，張騰

(華東政法大學，上海 200042)

網絡犯罪是一種廣義的概念，不僅包含狹義的以計算機為對象的犯罪，也應當包含以計算機為作案工具的犯罪。鑒于電子證據在網絡犯罪中的重要性，研究電子證據在司法實踐中的應用是十分有必要的。與其他證據相比，電子證據有其特殊的性質，并由此帶來實踐中應用的困難。不論是在偵查階段的證據收集,還是審理階段的證據審查，都應當在結合電子證據的特性基礎上遵循證據的真實性、合法性和關聯性來進行。

網絡犯罪；電子證據；電子數據；收集；審查

一、網絡犯罪概念的界定

在我國，學界和實務界針對網絡犯罪有廣義和狹義之區分。狹義的網絡犯罪僅限于侵入或者破壞計算機網絡信息以及對存在于網絡空間的信息實施的犯罪[1]，即以網絡為犯罪對象的犯罪，利用網絡實施的綁架、殺人、敲詐勒索等不應歸結于網絡犯罪。廣義上的網絡犯罪主要是指利用網絡實施的犯罪，包括傳統的犯罪使用網絡這種形式、手段予以實施，也包括直接針對網絡實施的犯罪。

在此明確，本文所稱的網絡犯罪采用廣義界定。原因是，一方面，由于本文研究的是網絡犯罪中的電子證據問題，利用網絡實施普通犯罪的數量和規模是狹義的以計算機為對象的犯罪行為無法比擬的，如果將一部分利用網絡實施的犯罪排除在網絡犯罪之外，勢必造成研究的缺漏；另一方面，犯罪客體的不同并不影響對電子證據共性的分析，也不影響對實踐中所遇到的困境及相應對策的探索，出于全面打擊網絡犯罪的需要，故筆者擬在本文討論框架下，采用廣義的網絡犯罪概念，即網絡犯罪是指行為主體以計算機網絡為攻擊對象或者以計算機為犯罪工具、故意實施具有嚴重的社會危害性并應受刑罰處罰的行為。

二、網絡犯罪中電子證據的特點

刑事案件定罪量刑的一切事實都應當以證據為基礎，這是我國刑事訴訟向前推進的根基，而作為網絡犯罪證據的主要表現形式，電子證據承擔著證明網絡犯罪定罪量刑事實的主要任務。與傳統證據類型相比，電子證據有以下特點：

(一)無形性

電子證據具有虛擬無形的特點，它是一系列的以“0”和“1”為內容的二進制編碼數據，不像其他證據類型一樣存在有形的直觀的物理特征，它必須依賴一定的介質才能為人們識別出來，沒有特定的媒介，就沒有其存在的土壤。

(二)客觀性

電子證據是一種客觀的存在。在數據處理、儲存和傳輸的過程中，互聯網和計算機都會對每個使用者的任何一步操作進行記錄并保存，每個使用者都會在計算機上留下活動的痕跡，它對行為人活動的記錄是客觀真實的，如果排除人為更改的可能，電子證據與物證、書證等一起都具有與證人證言、犯罪嫌疑人的供述和辯解不同的客觀真實性。

(三)技術依賴性

電子證據的技術依賴性指的是電子證據必須依賴于一定的電子設備才能產生、存儲、轉移、復制、讀取等,它的產生、存儲、轉移、復制、讀取不能直接進行,必須依賴于某種特定的中介設備，且中介設備往往集中于計算機、手機、數碼產品等高科技電子產品,如果沒有這些硬件設備作基礎,人們根本是無法獲知其中的內容的。同時，對于電子證據的檢索復制，也需要利用一定的技術設備,通過技術手段來實現。

(四)形式多樣性

由于電子證據事實上是一堆編碼組成的證據內容，如果不將其翻譯成能夠為人們所識別的語言文字等，就不能夠成為定案的依據。在將編碼翻譯的過程中，電子證據可能有多重表現形式，既可能以物證、書證等形式表現，也可能以視頻資料等形式表現出來。

(五)不易保存性

由于電子證據原本是虛擬無形的，且在某些情形中需要專業且高端的技術方能獲取，這都使得電子證據極易被偽造、篡改和破壞，且可以被相當迅速地完成，而在被偽造、篡改和破壞之后，又很難得以察覺。司法實踐中普遍存在著電子證據保全意識弱，行動緩慢等問題，更加縱容犯罪分子破壞、更改電子證據。

三、電子證據的實踐應用困境

電子證據是指以電子形式呈現的證據，不僅包含電子數據，還包括以電子形式呈現的書證、視聽資料等。電子數據作為一種主要的以電子形式呈現的證據，2012年修改的《刑事訴訟法》將電子數據列為法定證據類型以來，其在相關辦案領域扮演著越來越重要的角色，也使得電子形式的證據得到了越來越多的重視。

1.由于電子證據的無形性和虛擬性，網絡犯罪行為、犯罪現場難以被發現和確定。網絡犯罪的犯罪分子一般都具有一定的計算機網絡技術，行為的發生往往沒有時間、地域的限制，可以在任何時間或者地球的任何角落完成，等到被害人發現自己的利益受損時，犯罪分子早已將相應的電子證據采用技術手段銷毀、篡改或者破壞，銷毀犯罪記錄[2]，辦案人員來不及對證據進行保全，導致案件關鍵證據滅失而難以找回，進而對案件事實的認定造成不利的影響。

2.司法實踐中常常由于偵查人員自身缺乏網絡技術的專業知識而導致了取證不及時、取證不完整和不規范操作的取證等都會影響電子證據的證明力。當前公安偵查人員的計算機水平普遍較低，與實施相關犯罪的具有專業知識背景的犯罪分子相比往往是不及的，在取證的過程中一方面可能由于能力的不足容易造成取證的瑕疵，另一方面電子取證的各種不規范操作導致證據的證明力減弱,甚至不能被法院采信：其一，所有的取證過程都應當嚴格按照刑事訴訟法規定的程序進行，但是司法實務中，辦案人員往往為求方便快捷便忽略了程序的重要性，取得的證據雖然可以證實案件的部分事實，但是由于不規范的操作導致證據的程序瑕疵而不能作為定案依據。其二，所有證據的取證都有全面真實性的要求，不論是直接證據還是間接證據都應當全面真實地反映案件的部分或者全部實施，從而形成完整的證據鎖鏈，但是由于實踐中辦案人員的取證能力較弱，導致一些案件的電子數據不全面，不完整。

3.電子證據的唯一性難以證實。從證據的角度來說，所有的證據都應當具有唯一性，比如指紋、DNA等具有唯一性的證據才有說服力。但是網絡犯罪中，電子證據是以電訊號代碼為載體存儲于介質之中，是無形的，要作為刑事訴訟的證據使用需要經過大量的轉換流程，在這一復雜的轉換流程中難以保證表現出來的證據內容就是存儲于介質中的真實內容。所以從目前的技術來看，所有的數字信息都難以證明其唯一性，都是較為容易復制、編造且不易察覺。

四、電子證據困境之解決

司法實踐中電子證據的障礙主要出現在偵查階段和審判階段，筆者擬從偵查階段電子證據的收集和審判階段電子證據的采信兩個方面提出原則性的建議,以期對電子證據面臨的困境找出解決之路。

(一)網絡犯罪中電子證據的收集

針對上述偵查機關的辦案人員在提取網絡犯罪的電子證據面臨的困境，筆者認為，收集證據時應當遵循以下原則：

1.合法性。合法性原則是取證工作必須堅持的最重要的原則，也是取證工作的底線，主體違法、程序違法收集的電子證據不能作為定罪量刑的依據，不能為人民法院所采納。一旦出現違法取證的情形，就意味著一切的努力都將付之東流。故，應當由符合法律規定的辦案人員通過法定的程序進行取證，不能因為電子證據技術要求高，就由技術人員代替偵查人員單獨收集證據，也不能為了取得指證嫌疑人的證據就采用竊聽、非法定位、非法監控、非法搜查等不當方法。在不違背法律規定的前提下，偵查人員應當嚴格依照法定的取證程序提取證據，如，對計算機或者場所、物品的搜查、檢查時，必須要有搜查證等,并有搜查和檢查記錄，確保取得的證據不會因為程序的瑕疵而降低其證明力。

2.及時性。及時性原則，上文中已經提及，由于電子證據的特殊性質，其在保存上具有相當的難度，且極易被犯罪嫌疑人在第一時間銷毀，而且從電子數據的形成到被偵查機關獲取，相隔時間越久，證據被破壞的力度就更大，雖然電子證據被破壞后可以通過一定的技術手段予以恢復，但是不能保證可以恢復到其原始狀態[3]。所以，為了更好地打擊犯罪，保障電子證據的證明力，在確定了取證對象之后，辦案人員應當立即進行取證工作，開展現場勘查，防止證據遭到修改和破壞，保持證據的原始性、真實性。

3.全面性。全面、完整取證原則。網絡犯罪的犯罪現場既可能僅僅存在于計算機上，也可能既包含計算機現場，也有傳統犯罪的物理現場，由于當下無法判斷某些證據是否與案件有關聯的證據，所以辦案人員在犯罪現場收集證據時，應當對所有與犯罪行為有關的證據進行收集，包括物理現場的痕跡、物證資料，也包括計算機上所有與犯罪行為有關的或者無關的數據信息，都應當一并進行收集。此外，在收集數據信息時，應當對證據收集過程進行全程的記錄，比如通過拍照或者錄音錄像等方式，將證據的收集過程予以全面展示，確保向司法機關提供的電子證據來源的合法性、全面性等等。

4.無損性。無損取證原則。在電子證據取證過程中要盡量保證數據的原始性和完整性，避免在現場對數據進行分析，對電子數據進行拷貝時，應當使用清潔的存儲設備，避免對數據進行不必要的干擾，保證一案一設備，并采用防修改設備對數據進行保護[4]。另外，由于電子證據保存于存儲介質之中，容易受到人為的或者自然因素的影響。為了保護電子證據不受損，應將存儲設備保存于遠離高溫、磁場、潮濕的環境。

基于以上原則的規范，實踐中，偵查機關在具體收集電子證據時可以重點注意以下細節：第一，及時對涉案現場進行封鎖，對于可能存有電子證據的電腦進行嚴密控制；第二，要及時掐斷電腦的網絡信號，關閉無線信號接收功能，并將其功能區關閉，盡最大可能避免電子證據被惡意刪除、篡改或破壞；第三，仔細查找有可能與電子證據產生關系的數據，相關的程序、軟件、功能設置等，包括回收站、各種被隱藏的文件、對電腦不同分區中的數據展開分析等[5]。當然，面對實踐中紛繁復雜的案件，所需要收集的電子證據也因案而異，證據的收集對于案件的定罪量刑至關重要，偵查機關應在以上原則的指導下，遵循合法程序充分全面地收集與案件事實相關的證據。

(二)網絡犯罪中電子證據的審查判斷

某一證據是否可以被法庭認可為定案的證據，需要司法機關工作人員從證據的“真實性、合法性和關聯性”三個標準進行審查。因此，在電子證據的審查方面，也不能脫離這三個方面。但是由于電子證據的特殊性質，法庭在對其進行審查時，應注意與其他證據的審查不完全一致。

1.真實性審查。法官在審查電子證據時，真實性審查是最為本質的方面。正如前文所述，電子證據由于其自身的科技性、虛擬性等不易保全，尤其在被告人對控方提出的電子證據真實性有異議的情形中，更需要審查判斷電子證據是否有被人篡改的可能。關于此，可以從形式層面和實質層面予以判斷。

從形式上說，可以從證據提供的主體及生成的時間、地點等進行考察。電子證據可能是司法機關偵查時直接調取，由與案件無關的人員提供，也可能是由與涉案各方有關聯的主體提供。一般來說，與案件無關人員提供的電子證據可信度較高，若能與其他證據相互印證，基本可以認定。若為與案件各方有關聯的人員提供，則應保持十分謹慎，有必要時可進一步從實質上審查相關證據的真實性。其次，根據電子證據形成的時間、地點、制作過程等情況，也可輔助判斷電子證據反映的內容有無被篡改的可能。另外，在電子證據原始介質無法封存、不便移動或依法由有關部門保管時，注意審查電子證據的復印件是否具備相應的手續，有相關人員的簽名等。

從實質上說，由于電子證據不同于傳統證據，其偽造、修改和刪除的痕跡通常不易從物理外觀上被發現，因此，若電子證據從形式上不存在明顯瑕疵而又存在合理懷疑時，需從實質上對電子證據的真實性進行判斷。但是，法官一般缺乏相應的專業知識，不能憑直覺擅斷，需由專業鑒定機構和鑒定人員的協助予以認定，并出具相應鑒定意見。并且，根據我國現行法律規定，在鑒定人員對電子證據內容真實性情況出具相關鑒定意見后，如法院認為鑒定人員有必要出庭的，鑒定人員應當出庭進行解釋說明，以幫助法官做出更為準確的判斷。

2.關聯性審查。一般來說，在庭審舉證環節，控方會將某項具體的電子證據所欲證明的事實予以清晰的說明，法官需在審查其關聯性的基礎上，綜合全案證據進行判斷。若多個連續的電子證據經過時間和空間上的排列組合，同網絡犯罪行為的發展過程相吻合，與其他證據相互印證，形成證據鏈。可以遵循以下思路進行考察：所提供的電子證據想要證明什么——是否能證明想要證明的事實——該事實是否為該特定網絡犯罪中的犯罪事實。

3.合法性審查。從程序合法性角度來看，重點需關注電子證據的收集主體和收集程序及方式是否符合法律要求及相關技術規范。

其一，收集主體合法。根據我國刑事訴訟法規定，公訴案件證據的收集權由審判、檢察和偵查等司法人員享有，而自訴案件中由自訴人自行承擔舉證責任。若非由法定主體收集的證據，其證據效力應當進行更加謹慎的判斷。學界有觀點認為電子技術專家不是法定的收集主體，相應電子證據僅能起一種輔助作用[6]。筆者認為，網絡犯罪中，電子證據的科技性決定了證據收集分析主體需為專業的技術專家，這是必要的也是電子證據收集的應有之義，故在程序合法性方面不應當存有質疑，可通過審查專家身份的合法性、與案件利害關系等進行程序性方面的審查，并且若相關涉案主體對于證據的真實性有異議的，也可相應進行真實性方面的審查。

其二，從收集程序、收集方式角度看，例如經勘驗、檢查等偵查活動收集的電子證據，審查是否附有相關筆錄并經偵查人員、電子證據持有人、見證人簽名；若無簽名的，是否注明原因。如果是專業人員介入而獲取的相關電子證據，審查是否有相關專業人員的簽名，對于電子證據的規格、類別、內容等是否清楚注明。

五、結語

隨著信息技術發展的逐漸成熟，網絡犯罪的規模和質量也在不斷提升，我們打擊此類犯罪之路仍任重而道遠。偵查機關應不斷加強網絡電子取證的技術研究，進一步規范電子取證的程序和標準，提高網絡犯罪偵查的“精度”和“準度”，震懾利用網絡犯罪進行的各類違法活動。人民法院應秉持中立審判的角色，嚴格審查電子證據，在打擊犯罪的同時，也應當保障被告人的合法權利。

[1]陳興實,付東陽.計算機·計算機犯罪·計算機犯罪的對策[M].北京:中國檢察出版社,1988:27.

[2]周曉燕.電子證據檢察實務研究[J].中國刑事法雜志,2011,(1).

[3]徐超.淺議網絡犯罪電子證據取證工作規范化[J].信息網絡安全,2014,(9).

[4]朱峰.虛擬社會防控體系研究[J].信息網絡安全,2012,(8).

[5]賈良志.網絡犯罪中的電子證據相關問題研究[J].網絡安全技術與應用,2013,(11).

[6]趙聰.網絡犯罪中電子證據的收集和審查判斷[J].網絡安全,2012,(3).

[責任編輯:王澤宇]

2016-06-18

曹淑琪(1990-)，女，山西運城人，2014級刑法學專業碩士研究生；張騰(1991-)，女，江蘇南京人，2014級刑法學專業碩士研究生。

D925.2

A

1008-7966(2016)05-0093-03