本文由作者向无讼阅读独家供稿,转载请注明作者和来源
打官司就是打证据,证据在民事、行政、刑事案件办理中处于不可或缺的地位。拿刑事案件来说,采取强制措施、移送审查起诉、提起公诉、法院判决均要求“证据确实充分”。辩护律师从维护当事人合法权益目的出发应根据案卷证据情况提出嫌疑人无罪或者罪轻的辩护意见,但应如何有效审查证据呢?笔者将其总结为搭建骨架--从证据三性归纳刑诉法解释、死刑案件证据规定、非法证据排除规定中对证据的审查要点,补充血肉--通过检索部门规章、国家标准、行业标准或者地方标准补充论证对证据审查的观点,进而努力使观点得到司法机关的认可、采纳,真正做到有效辩护。下面笔者以12年刑诉法新增的证据形式“电子数据”为例探讨有效审查证据的方法,以期总结所办网络犯罪案件的经验、指导未来网络犯罪案件的办理。
一、搭建骨架
如何在短时间内掌握浩如烟海仍不断更新的法律法规?如何在研究问题时防止陷入一团糟的局面?如何在发言时防止不知所云的现象?答案--搭建骨架。的确,骨架本身就具有提纲挈领作用。审查证据时,如果搭建了全面、逻辑严谨的骨架也会事半功倍,可以使律师在查阅成摞的卷宗时快速、有效的发现对案件办理起积极作用的辩点以及辩护思路,进而综合全案案情找到通往维护当事人合法权益的正确路径。下面从证据三性角度搭建电子证据的审查骨架。
(一)证据合法性
1、【原始存储介质存放地点】电子数据随原存储介质移送时,有无原始存储介质存放地点的文字说明和签名。
2、【两人以上】在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时,提取、复制电子数据是否由二人以上进行;
3、【电子数据获取程序、方式】收集程序、方式是否符合相关法律及有关技术规范;制作、储存、传递、获得、收集、出示等程序和环节是否合法;
4、【过程记录】有无提取、复制过程;
5、【笔录清单以及签名】经勘验、检查、搜查等侦查活动收集的电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人、见证人签名;没有持有人签名的,是否注明原因;取证人、制作人、持有人、见证人等是否签名或者盖章;
6、【是否注明】远程调取境外或者有异地的电子数据的,是否注明相关情况;
7、【是否清楚】对电子数据的规格、类别、文件格式等注明是否清楚;
8、【电子数据鉴定】对电子数据有疑问的,应当进行鉴定或者检验。
(二)证据真实性
电子数据内容是否真实,有无删除、修改、增加等情形,有无剪裁、拼凑、篡改、添加等伪造、变造情形。另外,笔者认为电子数据如果不符合证据合法性要求,也就无法证实其同一性、真实性。因此,补充血肉部分重点将证据合法性的八个要点归纳总结为四个角度予以分析。
(三)证据关联性
结合指控罪名,分析电子数据与案件有无关联。
从证据三性对电子数据审查的目的是得出其不得作为定案根据的结论,具体来说是经审查无法确定真伪的结论以及制作、取得的时间、地点、方式等有疑问,不能提供必要证明或者作出合理解释的结论。
二、补充血肉
律师如果在阅卷之前具备骨架知识,在阅卷时就可以做到有的放矢、重点突出,但这只是律师工作的阶段性成果,并不能体现律师职业的真正价值。律师职业真正价值的体现在于把自身辩护意见有效传递给司法机关,使司法机关做出有利于当事人的决定。如何体现律师职业的真正价值呢?充分论证,亦即在搭建好的骨架基础上补充血肉,使其完整、丰满、鲜活,使其足够影响司法机关的决定。下面根据检索到的部门规章:公通字[2014]10号《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称《意见》)、公信安《计算机犯罪现场勘验与电子证据检查规则》(以下简称《规则》),行业标准:GA/T 756-2008《数字化设备证据数据发现提取固定方法》、GA/T 1774-2014《电子证据数据现场获取通用方法 》、GA/T 976-2012《电子数据法庭科学鉴定通用方法》、CNAS--CL27《司法鉴定法庭科学机构能力认可准则在电子物证鉴定领域的应用说明》等补充对电子数据审查观点的血肉,分为四个角度,如果卷宗中不符合这四个角度的详细规定,可以得出电子数据需要补强乃至直接排除不可以作为定案根据的观点。
(一)人员是否符合规定
收集、提取电子数据人员,执行计算机犯罪现场勘验与电子证据检查任务的人员,现场勘验检查的见证人,从事电子数据法庭科学鉴定的人员,从事电子物证鉴定的鉴定人必须符合以下规定,否则该证据因不具备合法性进而无证明能力,不得采信。
1、法律法规
《意见》第13条规定:收集、提取电子数据人员应当由两名以上具备相关专业知识的侦查人员进行。
《规则》第6条规定:执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能。并且不得少于二人。电子证据检查,应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施,办案人员应当予以配合。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。公安司法人员不能充当见证人。
2、行业标准
GA/T 976-2012《电子数据法庭科学鉴定通用方法》规定:从事电子数据法庭科学鉴定的人员应具有电子数据鉴定业务相关的高级专业技术职务资格;或者具有计算机科学与技术专业、电子技术专业或者相关专业本科以上学历,从事电子数据鉴定工作五年以上;或者具有电子数据鉴定业务相关工作十年以上经历和较强的专业技能。另外CNAS--CL27《司法鉴定法庭科学机构能力认可准则》亦有规定:在电子物证鉴定领域的应用说明从事电子物证鉴定的鉴定人应具有计算机科学与技术等相关专业大学本科以上(包括大学本科)学历,并具备在电子物证鉴定领域的执业资格。电子物证鉴定授权签字人除满足上述要求外,还应有五年以上的本专业鉴定人工作经历,获取的中级职称后从事本专业鉴定人工作三年以上。鉴定机构应对鉴定人进行定期培训与技能考核。当鉴定标准、鉴定方法和人员岗位等发生变化时,应重新进行培训与技能考核。培训计划应包括鉴定人出庭质证能力的培训。
(二)取证工具是否符合要求
侦查机关使用专业的取证工具能够收集到全面、完整、真实的电子数据,反之亦然。取证工具分为硬件与软件,硬件如:写保护设备、镜像设备、现场勘验设备、介质取证设备、移动终端取证设备、数据恢复设备,软件如:介质取证软件、MacOS系统取证软件、镜像软件、系统环境仿真软件、数据恢复软件、电子邮件分析软件、密码破解软件、内存取证软件、在线取证软件、关联分析工具。辩护律师如何判断取证工具是否符合法律规定呢?这就需要尽可能收集对于取证工具要求的规定。比如:GA/T 755《2008电子数据存储介质写保护设备检测方法》对写保护设备规定到:写保护设备在任何情况下不应向被保护存储介质发送任何修改指令,如果计算机向被保护存储介质发送读用户数据指令,写保护设备应正确返回计算机所请求的数据。如果计算机向被保护存储介质发送读配置参数指令,且读取过程未发生错误,如果返回的数据中包含关键配置参数,写保护设备返回计算机的关键配置参数应与电子数据存储介质返回写保护设备的关键配置参数保持一致。如果计算机向被保护存储介质发送指令时被保护存储介质返回错误报告信息。且发生的错误无法通过重发指令等方法解决的,写保护设备应向计算机返回错误报告信息。再如: GA/T 1175-2014《软件相似性检验技术方法》对取证软件规定到:取证软件应至少做到以下内容的一项检验,有源程序间的比对、目标程序间的比对、源程序和目标程序间的比对、文档的比对,文档和源程序/目标程序间的比对。
(三)取证流程是否合法
根据法律法规和技术规范,可知电子数据的取证流程为:记录现场计算机的连接现状--固定当前对象计算机的易失性数据--关闭计算机系统--拆卸、取出存储介质--对存储介质进行写保护处理--使用专用设备对存储介质复制(或使用只读锁+软件)进行数据提取、固定--计算原始存储介质Hash值--封存。这些规定保证了取得电子数据的合法性、客观性、完整性、同一性,侦查机关如果严格按照此流程予以取证将大大提高指控犯罪的可能,辩护律师如果严格按照此流程审查电子数据可以发现侦查机关取证瑕疵、违法乃至造假,得出电子数据需要补强或者不得作为定案根据。
1、法律法规
(1)《意见》第13-15规定了两类电子数据的取证过程:一是,能够获取存储介质的电子数据。收集、提取电子数据,能够获取原始存储介质的,应当封存原始存储介质,并制作笔录,记录原始存储介质的封存状态,由侦查人员、原始存储介质持有人签名或者盖章;持有人无法签名或拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,侦查人员应当对相关活动进行录像。二是,无法获取原始存储介质的电子数据取证。具有原始存储介质不便封存,提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的,原始存储介质位于境外的,其他无法获取原始存储介质的情形之一的,可以提取电子数据,当应当在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况,并由侦查人员、电子数据持有人、提供人签名或者盖章;持有人、提供人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章;有条件的,侦查人员应当对相关活动进行录像。
(2)《规则》第12-14规定了电子证据的固定与封存。一是封存电子设备和存储媒介的方法:应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。二是固定存储媒介和电子数据的方法:完整性校验方式,复制、制作原始存储媒介的备份并依照封存方法进行封存,对于无法计算存储媒介完整性校验值或制作备份的情形,直接封存。
《规则》第13条规定了电子设备和存储媒介的封存方法,GA/T 1774-2014《电子证据数据现场获取通用方法 》对此也有规定:对于已经关闭的系统,在法律允许的范围内并在获得授权的情况下,应对相关电子设备和存储介质进行封存,方法如下,a采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储介质和启动被封存电子设备,b封存前后应应当拍摄或者录像被封存电子设备和存储介质并进行记录,照片或者录像应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的情况,c对系统附带的电子设备和存储介质也应实施封存。
2、行业标准
GA/T 756-2008《数字化设备证据数据发现提取固定方法》提到证据数据发现提取固定步骤--记录检材情况;设计检验用例;发现提取固定证据数据。
(1)记录检材情况主要是对检材进行编号; 对送检数字化设备逐一拍照,并记录检材的特征。
(2)根据目标证据数据设计检验用例。检验用例应符合以下要求:对具备复制条件的,应使用符合GA/T 754-2008要求的电子数据存储介质复制工具复制原始电子数据存储介质,将复制生成的克隆或镜像文件作为检验对象; 对于具备写保护条件的,应使用符合GA/T 755-2008要求的写保护设备,将电子数据存储介质通过写保护设备接入到检验设备上。 对于不启动被检验数字化设备的操作系统,能发现提取固定的证据数据,应有限选择在不启动被检验数字化设备的操作系统的条件下发现提取固定证据数据。
(3)发现提取固定证据数据 :根据检验用例准备检验环境条件、数字照相机和数字摄像机;对于检验设备为计算机的,在检验设备上安装屏幕录像软件,使用杀毒软件查杀计算机上的病毒程序;对于目标证据数据为不可再现数据的、检验对象为远程数字化设备的、检验对象为原始电子数据存储介质且不具备写保护条件的、检验过程中启动被检验数字化设备的操作系统且不具备写保护条件情形应启动数字摄像机或屏幕录像软件,记录检验设备屏幕上显示的内容;对于目标证据数据为可再现数据的,可不启动数字摄像机或屏幕录像软件;根据检验用例规定的证据数据发现提取操作步骤,搜索、分析、截获证据数据;对于能复制导出成为数据文件的证据数据,将数据文件复制作为证据数据;对于在被检验设备屏幕上显示的,无法截获转换成数据文件的信息,使用数字照相机或数字摄像机拍摄屏幕显示内容,将拍摄获得的图像文件和视频文件导出作为证据数据;计算导出的证据数据文件的哈希值;对于启动数字摄像机或屏幕录像软件的,在检验设备屏幕上显示导出的数据文件名称和哈希值并予以录像;对于启动屏幕录像软件的,停止屏幕录像软件,将生成的视频文件导出并计算其哈希值;对于使用数字摄像机录像的,停止录像,将录像带封存并编号,或将录像结果导出成数据文件并计算其哈希值。
(四)固定电子证据时是否有完整性校验值和哈希值的记录
1、完整性校验。《规则》第14条第一款规了固定存储媒介和电子数据的完整性校验方式:应在《固定电子证据清单》中填写计算后的电子数据和存储媒介的完整性校验值。GA/T 1774-2014《电子证据数据现场获取通用方法》也提到电子证据数据固定保全的完整性校验方式:计算电子数据和存储介质的完整性校验值,并进行记录。为什么要进行完整性校验呢?这是因为电子数据在传输过程中可能会出现丢失、误码、被篡改的情况,完整性校验是针对此而设计的算法。比较普遍的算法是奇偶校验法和CRC校验,但是这两种校验并没有抗数据篡改的能力,于是又出现了现在比较流行的MD5算法,该算法具有“数字指纹”特性,可以有效的防止数据被恶意篡改或破坏,这样就便于保证电子证据的真实性。
2、哈希值。GA/T 756-2008《数字化设备证据数据发现提取固定方法》中提到:计算导出的证据数据文件的哈希值并予以记录。GAT 976-2012《电子数据法庭科学鉴定通用方法》规定了电子数据法庭科学鉴定的检出数据应记录文件的哈希值,记录检出文件哈希值的文件应保证其完整性并作为过程记录保存。为什么要记录哈希值呢?GAT 976-2012 已有答案。再从概念角度强化对于哈希值的认识,哈希值是指使用MD5等哈希算法将任意长度的二进制值映射为固定长度的较小二进制值。实际上,这个小的二进制值哈希值,它是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上来说基本上是不可能的。消息身份验证代码 (MAC) 哈希函数通常与数字签名一起用于对数据进行签名,而消息检测代码 (MDC) 哈希函数则用于数据完整性。
三、结语
打官司就是打证据,如果辩护律师将案件所涉证据吃透,辩点将不难发现,辩护思路将水落石出。证据审查是硬功夫,骨架血肉式审查方法是目前笔者总结出的对案件办理最有效的证据审查方法,落笔成文,一为总结,二为供同行参考。望自己在以后的案件办理过程中真正运用到此方法,并总结出更高效的证据审查方法,促使所办案件取得良好效果。
实习编辑/代重阳