从辩护角度看现场勘验提取电子证据的可信性
作者:陆凤阳 2021-03-25一、大数据信息化背景下犯罪侦查模式
电子证据取证早期称为数据取证,早在20世纪80年代,数字取证就在美国军方与司法部门出现,1984年美国联邦调查局(FBI)的计算机分析响应组就成立,90年代,美国联邦调查局又创建了“数字取证科学工作组”。1993年,第一届计算机证据的国际会议成功举办,1995年,致力于处理电子证据国际准则的计算机证据国际组织(International Organization on Computer Evidence, IOCE)正式成立。2000年,FBI建立正式的区域性计算机取证实验室。 国内电子证据在法庭上出现是21世纪以后的事,网络犯罪的出现使得一些国内法律、法规提及到了电子证据。国内传统的侦查模式主要依靠“一张嘴、一支笔、两条腿”,查询资料主要靠人力。随着我国信息技术的高速发展,电子数据记录了人们大部分行为和生活轨迹,手机、电脑、网络等成为人们日常生活所必需,在这种情况下,大数据和云计算技术使侦查模式转型升级成为可能,以此作为基础,通过对犯罪嫌疑人员的如手机短信、通讯记录、电子文档、聊天记录、电子邮件等电子数据,进行收集、分析、研判,便能够确定犯罪嫌疑人的各种活动信息。随着电子数据取证工具由单机版的取证工具替换为综合取证系统,再加上大数据挖掘技术的发展,侦查人员、办案人员通过收集和整理这些“数据基因”,即可为查明犯罪事实提供案件线索和指控证据。 作为辩护律师在实务中遇到过侦查机关对电子证据提取的形式主要有二种:一种是现场收集提取电子数据;一种是网络在线提取电子数据,本文主要分析的是从辩护的角度解析现场收集提取的电子数据合规性以及此种电子数据作为证据具有的证明力和证明能力。 二、侦查机关现场勘验提取电子证据的标准流程及律师辩点 根据2016年9月最高人民法院、最高人民检察院、公安部颁发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》以及2019年1月公安部正式出台《公安机关办理刑事案件电子数据取证规则》,要求电子证据取证主体适格,电子证据的取证程序规范,电子证据取证标准和技术规范适合国家和行业的要求,电子取证技术、取证工具符合可信性要求。 (一)现场提取电子数据 1. 记录现场情况 侦查人员确定为某地为犯罪现场后,需要通过绘图、录像、拍照等对现场情况作详细记录,记录发案地点、发案时间、制图制表,标明现场主位、中心现场们位置,配以例图加以说明。侦查人员需要对所有设备触摸与移除之前,需要通过绘图、录像、拍照等对现场进行记录。 2. 全面搜查证据 搜查证据的目的是发现所有可能与案件相关的证据和设备。侦查人员检查的对象需要包括与犯罪涉及的计算机互联系统、手机及相关设备,搜查数字化证据存储设备。 3. 固定易失证据 易失证据指的是在关闭电源之后或者在运输中可能丢失的信息。侦查人员应确定需要固定易丢失证据的情形与注重时间信息的提取。侦查人员如果发现系统当前运行的进程,需要对每个进程当前打开的文件进行拍摄。 4. 关闭计算机 侦查人员应尽量避免对证据造成破坏,并且不得在这些部件上留下调查人员的指纹。侦查人员需要养成从机箱背部拔下插头的习惯,以避免对数据造成潜在破坏。 5. 封存与包装扣押设备 对于扣押的设备应当进行打包和贴标签处理。包装和标签的目的是防止证据在运输的过程中遭受破坏。 对于上述流程,作为辩护律师此时应该注意是: 1. 收集、提取电子数据的侦查人员的人数为二名以上。《公安机关办理刑事案件电子数据取证规则》(2019)第六条明确规定,收集、提取电子数据,应当由二名以上侦查人员进行。必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。 与此同时,根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第七条的规定,收集、提取电子数据,应当由二名以上侦查人员进行。 2. 对于封存与包装要看侦查人员是否对标的物贴标签和封条,是否贴上具有唯一标识的封条,以证明同一性,嫌疑人需要在封条上签字确认,且要见证人签字。 根据《公安机关办理刑事案件电子数据取证规则》(2019)第十条的规定,在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、最轻或者罪重的电子数据,能够扣押原始储存介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始介质的封存状态。《公安机关办理刑事案件电子数据取证规则》(2019)则详细地规定了封存的有关规范。 根据《公安机关办理刑事案件电子数据取证规则》(2019)第十二条的规定,对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。 3. 对于可移动介质,如移动硬盘、U盘,在贴上标签后,需要要用防静电袋装好。特别说明一下,对于扣押手机,依据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第八条规定,封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。在笔者的办案实务中,几乎没有看到侦查人员完全按照如上规定取证。 4. 注意侦查人员相关单据,侦查人员应制作:(1)现场勘验笔录:记录现场勘验的时间、处理的方法、以及处置的理由。(2)封存电子证据清单:记录所封存物证的名称、型号、特征和数量等。(3)勘验检查照片记录:勘验过程中所拍摄的照片及说明。(4)固定电子证据清单:记录所固定的电子数据的文件名称、来源、校验值等。(5)现场勘验笔录签名:记录参与现场勘验人员的信息及签名。对于相单据,辩护律师应逐一核对,发现不规范之处就是辩点。 根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十条由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。 根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》十四条的规定,收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并按要求附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。 根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》十五条的规定,收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。 与此同时,《公安机关办理刑事案件电子数据取证规则》(2019)中第八条、第九条、第十条、第十一条、第十二条对此也有相应规定。 笔者每次将卷宗中电子证据与法律规定相比较时,都会有大量的辩点,侦查人员的行为和技术差错一方面违反了刑事程序正义的要求,另一方面也会使得相关鉴定结果出现瑕疵或者错误。 (二)电子证据的提取和固定的方法 办案机关在完成上述步骤之后,接下来就需要根据规范要求提取电子数据,分析这些证据。实务中笔者代理的案件中发现侦查机关通常采用以下方法: 使用硬盘复制机进行数据进行提取、固定。侦查机关或鉴定机构工作流程为以下步骤:记录现场计算机的连接现状→固定当前对讲算机的易失性数据→关闭不前计算机系统→拆卸当前计算机取出硬盘介质→对硬盘介质进行写保护处理→使用专用设备进行硬盘复制→计算原始硬盘介质并封存→封存硬盘介质副本→现场固定结束。 在实务中现场提取电子数据以及网络在线提取电子数据,侦查工作人员难免存在操作不规范的情形,而在这项工作中每一个步骤都环环相扣,一个步骤的失误或者错误,在一定程度上就有可能导致鉴定结论的不同,影响司法的公正。在这种情况下,辩护律师可以根据《公安机关办理刑事案件电子数据取证规则》(2019)中第三节和第四节的规定进行一一对照,对于不规范之处可以予以指正,一方面在庭审时提出相关规范,可以提升庭审效果,另一方面,在一定情况下可以使得有关证据失去证明能力,影响法官的心证。 说实在的,作为律师可能对于有些电子数据专业性的知识可能比较陌生,有些方面不是很了解。笔者通过研究学习,了解到高速硬盘复制机是一种基于位对位复制原理的硬盘复制设备,通过MD5进行一致验证的。发现从以下方面去质疑即可:是否有二个哈希值,二个哈希值是否一致。因为笔者梳理代理的五个不同省份的案件中有的发现只有一个哈希值,不能满足计算完整性校验值的过程和结果,所以辩护律师的辩点可以从此处入手,其他的专业方面想搞懂确实有所难度。 三、电子证据可采信性的标准 我国刑事诉讼法第五十条将证据分为八种形式,这些证据都必须具备关联性、合法性和真实性,才能作为定案的根据,电子证据亦不例外。 (一)电子证据的关联性 关联性是证据的自然属性,是指作为证据的内容与案件的事实之间客观存在某种联系,即证据相对于证明对象是否具有实质性,以及证据对于证明对象是否具有证明性。 电子证据不同于一般证据,其在用于证明案件事实时,必须满足内容与载体的双重关联性,且该双重关联性之任一侧面都不可或缺。笔者对此的感悟着重是嫌疑人网络身份与现实身份之间对应关系是否具有唯一性。如何证明嫌疑人的网络身份与现实身份是对应的在实践中如果没有公安机关出具的相关证明会显得非常困难。但律师可以通过采取核查相关IP地址、网络活动记录、上网终端归属、相关证人证言、嫌疑人供述等进行综合判断,并提交相关证明材料,从而使电子证据从载体的角度与人的关联性、事的关联性、物的关联性、时的关联性、空间的关联性对应并保持一致。 (二)电子证据的合法性 电子证据的合法性是指电子证据的收集、固定及移送必须在主体、形态式程序方法上符合现行法律的规定。合法收集作为一种相对特殊的证据形式,其收集的程序、方法都有具体的要求,前文对此已有叙述,在此不在赘述。 (三)电子证据的真实性 电子证据是借助于现代数字电子信息技术及其设备存储、处理、传输、输出的信息作为证明案件事实的证据形式。其本质上属于电子信息,具有脆弱性、隐蔽性、易失性等特点,加上易删除、易篡改、难发现等实务问题,因此对于电子证据真实性的要求就显得极其重要。 根据2016年9月最高人民法院、最高人民检察院、公安部颁发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第22条规定,对电子数据是否真实,应当着重审查以下内容: (一)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况; (二)电子数据是否具有数字签名、数字证书等特殊标识; (三)电子数据的收集、提取过程是否可以重现; (四)电子数据如有增加、删除、修改等情形的,是否附有说明; (五)电子数据的完整性是否可以保证。 以及第二十三条规定,对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证: (一)审查原始存储介质的扣押、封存状态; (二)审查电子数据的收集、提取过程,查看录像; (三)比对电子数据完整性校验值; (四)与备份的电子数据进行比较; (五)审查冻结后的访问操作日志; (六)其他方法。 从以上的法律规定可以看出,电子数据的完整性和真实性是不可分割的,电子数据的完整性是真实性的保障。作为辩护律师可通过比对备份电子数据审查电子数据的完整校验值。另,对侦查人员保存储存介质的方式方法是否合规,审查电子证据是否具有数字签名、数字证书等特殊标识,审查电子证据的收集和提取过程是否可以重现等内容,判断电子证据是否真实。 前一篇文章笔者用数据、法律规定说明《律师已置身于电子证据时代》,本文旨在指出辩护律师除了精通法律知识外,还要读懂电子证据,熟知电子数据的相关技术标准,才能最大限度地维护被告人的合法利益。我国目前法律、法规对于现场勘验提取电子证据的规定已经较为完善,在这种情况下,律师应对于相关法律、法规进行深入的学习和研究,从深层次的角度解析实务案件中电子证据提取的合规性以及其证据能力,以便于更好地维护客户、犯罪嫌疑人的合法权益,防止冤假错案的发生。