【讲话稿】网络犯罪中电子证据质证方法.doc

网络犯罪中电子证据质证方法各位尊敬的深圳律师同仁：大家晚上好！本人谢宜峰，广东国晖律师事务所律师，牛律师深圳团队成员，牛律师网络犯罪研究中心总则研究组 之 以计算机为犯罪工具课题 的负责人， 是刘平凡主任的学生。各位深圳的同仁在百忙之中抽空聆听我的分享，对此，我感到非常荣幸，非常感动。电子证据质证，是网络犯罪辩护的重中之重。本人在刘平凡主任的指导下，在团队讨论与合作的基础上，对电子证据质证的有关问题及法律规范，进行了归纳，并针对案发现场保护，现场勘验与电子证据检查，电子数据、电子证据的提取、审查、固定、存封等方面，提出了相应的辩护方法与思路。希望能够为网络犯罪辩护，尽绵薄之力。本次分享所涉及的法律规范，主要包括：第1、 计算机犯罪现场勘验与电子证据检查规则（文号：公信安2005161号）。第2、 公安机关刑事案件现场勘验检查规则（文号：公通字200554号）。第3、 关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见（文号：公通字201410号）。 以上三部文件，都是由公安部制定、颁布的。本次分享的内容，分为以下三个部分：1、 关于案发现场保护的辩点；2、 关于计算机犯罪现场勘验与电子证据检查的辩点；3、关于电子数据、电子证据的辩点。首先要明确的是：什么是电子数据？什么是电子证据？二者之间是怎样的关系？电子数据，是指基于计算机应用、通信和现代管理技术等电子化技术手段，而形成包括文字、图形符号、数字、字母等资料。电子数据外在展示，离不开电子设备（包括计算机、手机等等）。电子数据的储存，离不开储存媒介（如硬盘、U盘、光盘、云端服务器等）。而对于电子证据，根据计算机犯罪现场勘验与电子证据检查规则第二条规定：电子证据，包括电子数据、储存媒介、电子设备。由此可见，电子证据的外延，大于电子数据。电子数据，属于电子证据的其中一类。同时，根据刑事诉讼法第48条规定，证据可分为八类，其中，“视听资料、电子数据”就是其中一类。而储存媒介、电子设备则应归类于刑诉法所规定的“物证”。因此，电子证据种类，涉及到刑事诉讼法第48条规定的两类证据：第1类，物证；第8类，视听资料、电子数据。现在进行第一个方面：关于案发现场保护的辩点。根据公安机关刑事案件现场勘验检查规则第三章规定，案发地公安机关接到报警后，应迅速派员赶赴现场，进行现场保护。比如说，犯罪嫌疑人某甲在京基一百的某间办公室涉嫌从事破坏计算机信息系统的犯罪活动。那么，在接到报警之后呢，警察就得迅速到场，进行现场保护，避免因犯罪现场遭受破坏而对举证以及法律事实的构建造成不可挽回的损害。负责保护现场的警察除保护物证等紧急情况外，不得进入现场、不得触动现场痕迹与物品。处理紧急状况时，也应尽可能避免破坏现场的痕迹、物品。关于现场保护的时间：公安机关刑事案件现场勘验检查规则第三章规定，现场保护的时间，从发现刑事案件现场开始，至现场勘验、检查结束。不能完成现场勘验、检查的，继续对整个或部分现场进行保护。因此，在现场保护的时间方面，辩护人须注意以下四个时间节点：1、发现刑事案件现场的时间；2、现场勘验、检查结束的时间；3、现场保护开始的时间；4、现场保护的结束时间。其中，现场保护的开始时间，与发现刑事案件现场的时间，应当是相吻合的。现场保护的结束时间，不得早于现场勘验、检查结束的时间。这是第一部分，关于现场保护，从以下问题，寻求辩点：1、 公安机关有无进行现场保护？2、 进行现场保护后，警察有无进入现场？有无触碰现场物品？如有，则原因何在？是否紧急状况？3、 现场保护的时间，是不是从发现现场开始，至勘验检查完成后结束？ 现在进入第二部分：关于计算机犯罪现场勘验与电子证据检查的辩点本部分主要的法律依据，来自于公安部计算机犯罪现场勘验与电子证据检查规则（文号：公信安2005161号）。在网络犯罪当中，犯罪现场的勘验与电子证据检查，是公安机关获取电子证据的最重要的方式，具体包括以下三个方面，分别是：现场勘验检查、远程勘验、电子证据检查。公信安2005161号文件，对三者的内涵进行了说明，我已经将它复制到本群，请大家看显示屏。(一)现场勘验检查，是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。(二)远程勘验，是指通过网络对远程目标系统实施勘验，以提取、固定远程目标系统的状态和存留的电子数据。(三)电子证据检查，是指检查已扣押、封存、固定的电子证据，以发现和提取与案件相关的线索和证据。现场勘验检查、远程勘验、电子证据检查的区别，在于行为的对象。现场勘验检查，针对的是犯罪现场。比如说某甲设计计算机病毒程序的办公场地，就是警方进行现场勘验检查的对象。远程勘验，针对的是远程目标系统。比如说，某甲将设计计算机病毒相关的资料，保存在他的百度云盘。那么，警方对百度云服务器进行的勘验，则属于远程勘验。而电子证据检查，则针对的是已经扣押、存封、固定的电子证据，目的在于检查现有固定证据，以发现相关线索、提取相关证据。简单来说，就是在证据的基础上挖掘线索、提取证据。如果从证据的来源不同，可划分为原始证据与传来证据。现场勘验检查、远程勘验，都属于对案件事实的勘验检查，所获得的证据，属于原始证据。而通过电子证据检查所获得的证据，则属于传来证据。关于计算机犯罪现场勘验与电子证据检查的辩点研究，我将其具体为以下三个方面，请看显示屏：（一）组织实施、操作人员、公民见证；（二）现场勘验检查、远程勘验、电子证据检查；（三）相关工作记录。第1、 组织实施、操作人员、公民见证：计算机犯罪现场勘验与电子证据检查，由县级以上公安机关公共信息网络安全监察部门负责组织实施。这里就存在两个发问点：1、实施的公安机关的级别，是否达到县级以上；2、是不是由公安机关的网监部门实施。以某甲的破坏计算机系统案为例，犯罪现场，为京基一百大厦的某间办公室，所以，罗湖区公安分局、深圳市公安局的网监部门，有权实施勘验检查。而罗湖分局桂圆派出所，则无权实施勘验检查。这是组织实施方面。关于操作人员，有以下几个规定：1、不得少于二人。2、办案人员与检查人员分离。通过人员的分离，避免办案人员可能会有的先入为主，影响到勘验检查的客观公正性。3、应由具备电子证据检查技能的专业技术人员实施。4、应佩戴公安部统一制发的刑事案件现场勘验检查证。因此，在勘验检查的实施人员方面，有四个点：1、人数；2、办案人员与检查人员是否分离；3、人员是否具备相应的技能；4、有无佩戴相关证件。关于见证，对计算机犯罪现场的勘验，应邀请一至二名与案件无关的公民作为见证人，公安司法人员不得作为见证人。见证人，应在勘验检查笔录上签字。所以，对于公民见证，由两个辩点：1、与本案是否有关？2、是否公安司法人员？在实践中，存在花钱买见证的情况，就是你去作为见证人签字，然后公安局就给你五百、八百。也有些公安机关的工作人员，肥水不流外人田，让自己的亲戚到场见证。这属于违规操作，违反了与案件无关的规则，辩护人可以据此提出证据瑕疵的意见。第2、 现场勘验检查、远程勘验、电子证据检查 关于现场勘验检查 现场勘验检查，是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验检查的程序包括以下几个方面，请看显示屏：现场勘验检查程序包括：(1)保护现场；(2)收集证据；(3)提取、固定易丢失数据；(4)在线分析；(5)提取、固定证物。这里需要重点介绍的，是“提取、固定易丢失数据”，以及“在线分析”。“提取、固定易丢失数据”，顾名思义，就是对已丢失数据的提取与固定。而在线分析，指的在现场不关闭电子设备的情况下，直接分析和提取电子系统中的电子数据。 提取、固定易丢失数据，与在线分析的共性，在于所获取的电子数据，有可能与原始数据存在较大偏差，甚至有可能导致原始数据的改变或灭失。因此，在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据，应当计算其完整性校验值并制作、填写固定电子证据清单，以保证其完整性和真实性。这里需要注意一个名词：完整性校验值。电子数据，在传输的过程中，受各方面因素影响，比如说电压、网速，储存介质、传输线路的温度、湿度等，有可能会发生变化，也有可能会受到破坏与篡改。而完整性校验值，则是针对电子数据的变化而设置的数值。据计算机专业人士的介绍：比较普遍的算法，是奇偶校验法和CRC校验法，但是，这两种方法并没有对抗数据篡改的能力，于是又出现了MD5算法。MD5算法，具有“数字指纹”的特征，可以有效防止数据被恶意破坏、篡改，保证电子数据的真实性。总之，重要的问题说三遍，请大家注意“完整性校验值计算“。“在线分析”，就是警方到达案发现场时，某甲的电脑还在运作，而警察在不关机的情况下，直接进行分析与提取电子数据。简单来说，就是现场不关机直接勘验检查。在线分析，有以下的细节问题，需要辩护人注意：1、 原则上不得进行在线分析。电子数据，具有容易丢失、容易改变的特性。案发现场的电子设备，应予以存封。所以，除以下情形外，一般不得进行在线分析，具体请看屏幕：除以下情形外，一般不得进行在线分析：(1)案件情况紧急，在现场不实施在线分析可能会造成严重后果的；(2)情况特殊，不允许关闭电子设备或扣押电子设备的；(3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。对于以上规定，第（3）项的合理性，是指的商榷的。因为在线分析会不会造成重要电子数据的破坏，是事先难以准确把握的。一旦造成破坏，对证据的损害将是不可挽回的。并且，第（3）项规定也有可能导致在线分析的滥用。2、 不得将生成、提取的数据储存在原始储存媒介当中。也不得在目标系统中安装新的应用程序。这是为了避免原始数据，遭到篡改与破坏。 关于远程勘验远程勘验，通过网络对远程目标系统实施勘验。比如说，对某甲的百度云盘所进行的勘验，对服务器设在境外的网站所进行的勘验，等等。在远程勘验过程中提取的电子数据，应计算完整性校验值。电子证据检查电子证据检查，主要注意以下几点：1、 复制、制作原始储存媒介的备份，应遵循以下原则：(1)复制后应重新封存原始存储媒介，并制作、填写封存电子证据清单。(2)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。2、 原则上不得直接检查原始储存媒介，应当制作、复制原始储存媒介的备份，并在备份储存媒介上实施检查。允许检查原始储存媒介的情形，包括以下三个方面：(1)情况紧急的重大案件，不立即检查可能延误案件的侦查工作，导致严重后果的；(2)已计算存储媒介的完整性校验值，检查过程能够保证不修改原始存储媒介所存储的数据的；(3)因技术条件限制，无法复制原始存储媒介的。3、 需要直接检查原始存储媒介的，应当遵循以下原则：(1)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像；(2)检查完毕后应当重新封存，并制作、填写封存电子证据清单；(3)应当制作原始证据使用记录，由两名检查人员签名。 第3、 相关工作记录现场勘验检查、远程勘验、电子证据检查，经公安机关实施之后，应分别制作现场勘验检查工作记录、远程勘验工作记录、电子证据检查工作记录。这些工作记录，属于刑事诉讼法所规定的书证。在此提供如下质证点：1、 签字与盖章：现场勘验检查工作记录、远程勘验工作记录、电子证据检查工作记录，都需要盖骑缝章，并且，需要至少两名勘验、检查人员签名。2、 内容。对于现场勘验检查工作记录、远程勘验工作记录、电子证据检查工作记录应包括的内容，公安部计算机犯罪现场勘验与电子证据检查规则第七章对其进行了具体规定。我们可以根据计算机犯罪现场勘验与电子证据检查规则第七章的规定，审视工作记录的完整性，提出相应的质证意见。 现在进入第三部分：关于电子数据、电子证据的辩点 （一）电子证据的提取与审查公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见第五条规定，电子证据的提取方式，分为两种：1、存封原始介质；2、无法获取原始存储介质的，可提取电子数据。对于原始介质存封，我们可以通过以下几个问题，设计质证思路：1、 有无存封原始储存介质？公安部对于电子证据取证的各项规定，都是基于电子数据容易发生变化、容易遭受篡改、破坏的特点，而设计出来的。根据有关规定，公安机关在接到报案，对犯罪现场进行保护的同时，还要对电子数据的原始储存介质进行存封，除非出现无法存封原始储存介质的特殊情况。当然，在侦查实践中，公安机关一般不会犯不存封原始介质的低级错误。2、 有没有制作笔录，记录其存封状态？笔录是否由侦查人员、该介质持有人签名或盖章？第一个问题，公安机关必须给予肯定的回答。对于第二个问题，如果持有人无法签名或拒绝签名的，应当在笔录中注明，由见证人签名或盖章。3、 有无对相关活动进行录像？根据规定，有条件的，都应进行录像。在信息网络时代，不具备录像条件的清醒，是几乎不存在的。 无法获取原始存储介质的，可提取电子数据，通过以下问题，设计质证思路：1、 是否属于规范所列举的无法获取原始储存介质的情形？公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见规定，属于无法获取原始储存介质，可提取电子数据的情形包括以下四个方面：（1）原始存储介质不便封存的；（2）提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的；（3）原始存储介质位于境外的；（4）其他无法获取原始存储介质的情形。2、 关于笔录的问题、录像的问题，与存封原始储存介质类似，不再重复。 收集、提取的原始存储介质或者电子数据，应当以封存状态随案移送，并制作电子数据的复制件一并移送。 另外，关于收集、提取电子数据的笔录，远程提取电子数据的规定，数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的特别规定，等具体规定，公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意