網絡犯罪的電子證據收集與固定

文◎馮予君王強

網絡犯罪的電子證據收集與固定

文◎馮予君*王強**

網絡犯罪屬于高技術、高智能的新型犯罪，具有隱蔽性強、手段多樣性、作案連續性、覆蓋面廣等特性，與傳統的刑事犯罪相比，其產生的社會危害性更大、更廣，加大打擊網絡犯罪力度已是形勢所需，但由于我國立法上的不完善及實踐中的不成熟，在電子證據的取證方面遇到了極大的困難和問題。而新修訂的《刑事訴訟法》在第48條增加了“電子數據”的證據形式，進一步完善了刑事證據分類,明確了網絡犯罪新興證據材料的歸屬,這對偵查網絡犯罪的電子證據收集、運用都具有重要的意義。

一、電子證據的特點

（一）電子證據具有海量存儲性。以計算機為代表,電子證據在各種介質中的存儲量與普通證據不可同日而語。傳統證據中，某個場所、某件物品或某份文件所包含的證據信息是有限的；而電子證據在相同物理范圍內所能獲取的信息量發生了幾何級的膨脹。

（二）電子證據具有高速流轉性。不論是模擬信號還是數字信號,都具有高速的傳輸速度。以網絡證據為例，互聯網中電子數據的傳輸速度理論上可以達至光速，而且不受地域空間的限制，舉凡互聯網覆蓋的范圍內均可急速傳輸、信息自由流轉。

（三）電子證據具有自動生成性。電子證據以電子設備為存儲介質，許多電子設備都具有智能性，在進行設定后可以自動運行程序，并且自動生成電子證據。在整個過程中，只需要完成最初設定，全程都無需人工操作，在很大程度上彌補了人類在生理上的限制。

（四）電子證據具有脆弱性。電子證據因人為或環境因素而易于損毀、修改、滅失，給取證帶來諸多問題。

二、電子證據的收集

由于犯罪的證據可能存在于系統日志、數據文件、寄存器、交換區、隱藏文件、空閑的磁盤空間、打印機緩存、網絡數據區和計數器、用戶進程存儲器、文件緩存區等不同的位置，要收集到所有的資料是非常困難的。電子證據收集應遵循證據現場的保護原則。取證人員進入現場后，應迅速保護好計算機日志，對數據進行備份，切斷遠程控制;封存現場的信息系統、各種可能涉及到的磁介質;提取涉案計算機硬盤、移動磁介質、光盤、復印機、傳真機中的記憶芯片等，特別應注意對當事人隨身攜帶的電子介質的提取，如手機、MP4/5、導航儀、3G上網卡等，對于硬盤中隱藏文件及被刪除信息一并收集。

首先，在取證方法上，電子證據原本可以采用多種取證方式，包括現場搜查、現場輸出,對相關證據進行鏡像復制，以及對電子設備或載體進行實體扣押，以備后續搜查。鏡像復制與將個別計算機文件從一臺電腦轉移到另一臺電腦的普通復制有所不同：普通復制只能復制可識別文件，而鏡像復制能夠將目標驅動器中的每一個字節都復制下來，包括所有文件、空白空間、主文件表和元數據等；普通復制可以在計算機運行時進行，而鏡像復制通常是在數據機器關機狀態下進行；普通復制不改變原文件屬性，而鏡像復制形成的文件都是只讀文件，用于分析時不至于發生篡改。

其次，在取證范圍上，偵查人員應當在遵循比例原則的前提下保障取證的全面性。不論是在現場對電子存儲設備進行搜查還是在鏡像拷貝后的后續搜查，都應當以證據的關聯性為標準，嚴格限制取證范圍，避免無限制的擴大化，對公民隱私權造成不必要的侵犯。另一方面，對電子取證范圍的確定亦應謹慎，因為一旦有所遺漏，相關電子證據很容易遭到毀損，再也無法重現和獲取。

再次，電子證據的脆弱性還可能經常在電子取證中造成“緊急情況”，而在電子取證的緊急情況下，偵查人員為了防止證據損毀、修改、滅失的危險，有權在法定程序之外采取一些緊急措施，由此也可能對個人權利造成更大侵犯。

三、網絡犯罪中電子證據的固定

電子證據的收集，不僅要收集電子數據，還需收集與系統穩定性及軟件的使用等情況的證明，內容涉及電算化的，應當由司法會計專家對提取的資料進行現場檢驗，通過全面、綜合地對電子證據進行收集、保全并進行固定。

(一)電子數據。1、在偵查現場查獲時,應制作勘驗檢查筆錄,對主機運行狀態進行細致的檢查,包括開機運行狀態、正運行程序、與案件相關的其他文件或者程序(doc、txt、xls等等);后應當通過專門的軟件對相關內容進行備份保存,并對主機及時封存,以免破壞文件的完整性。

2、遠程勘驗工作記錄應對目標網站的模塊構成、登陸網站的程序步驟等進行詳細的描述,勘驗的同時應制作勘驗過程的錄像,并對目標網站的性質及功能進行界定。

3、電子證物檢查工作筆錄中應有所采用的取證軟件的簡介及功能介紹等,對檢查的過程進行詳細的描述,突出沒有破壞原始硬盤的數據,保持證據的完整性。與現場勘驗檢查筆錄相比,其性質為對硬盤中涉案內容的更細致、全面的檢查。另外,自犯罪嫌疑人處提取的所有電腦硬盤均應制作電子證物檢查工作筆錄(即使當時查獲時沒有發現某一電腦硬盤有涉案內容,但仍要對該硬盤進行檢查)。

4、犯罪嫌疑人有手機、平板電腦等設備時,應對該電子設備進行涉案內容的提取,制作提取筆錄;有關的涉案內容應通過拷貝、拍照等方式及時固定,此處注意注明出處、犯罪嫌疑人簽字確認等程序性問題。

(二)相關的其他幾種電子證據。1、書證。(1)網絡犯罪嫌疑人往往較多,在收集書證時,要注意收集犯罪嫌疑人之間的QQ、百度hi等聊天軟件的聊天記錄,以期證實與犯罪事實相關的內容。

(2)在辦理私彩類網絡賭博案件中,犯罪嫌疑人往往通過注冊域名的方式設立某一私彩網站;同時,官方會存在某一彩種的正規網站。這種情況下,應出具該官方網站的相關證明,證實私彩網站的非法性質。

(3)自犯罪嫌疑人的電腦主機等存儲介質提取數據作為書面證據時,應注意證據來源等程序性問題,確保證據的合法性、有效性(要注明該份證據的出處、提取日期、犯罪嫌疑人簽字確認等)。

2、鑒定結論。對網絡犯罪案件的涉案數額(包括非法經營數額、違法所得數額等等),對于證實涉案數額的交易明細、交易記錄等證據不明確的,應當委托有相關資質的會計師事務所等進行對涉案數額的審計報告。此時審計報告的性質應屬鑒定結論。

3、視聽資料。制作遠程勘驗工作記錄過程中形成的勘驗過程的錄像、制作電子證物檢查工作筆錄過程中形成的光盤應當同時附案移送,作為視聽資料予以審查并舉證示證。

4、證人證言。網絡犯罪案件中,由于無真實姓名、地域分散等原因,證人證言獲取難度大。在此種情況下,還是應該通過網站后臺賬戶、IP地址查詢等方式,獲取盡量多的證人證言,以期更好地構建犯罪構成要件體系。若最終追查無果,則需偵查機關出具證明。

5、犯罪嫌疑人供述和辯解。(1)由于網絡犯罪涉及資金來往的次數、人數往往較多,有時犯罪嫌疑人記憶模糊或者存在僥幸心理,這使得涉案數額往往不能有效地確定。所以,要注意犯罪嫌疑人對于涉案數額、違法所得數額的前后供述一致性,同時注意與支付寶、財付通、網上銀行等資金通道的支付明細、交易記錄的一致性(可結合審計報告進行綜合認定)。

(2)關注涉案數額性質的問題,在網絡犯罪中是一個易出問題的環節。原因是除了犯罪嫌疑人供述和辯解、相關證人證人之外,難以再有其他證據證實涉案數額的違法性?；诖?要將犯罪嫌疑人供述這一關鍵證據固定好。具體而言,需做到:具體數額的準確、前后數額的一致、辦案程序的合法。

四、電子證據收集中應注意的問題

（一）充分認識電子證據的范圍。在網絡犯罪案件中,大量的證據表現為電子數據形式,但目前有關司法解釋及規范性文件對電子數據的收集、保全和采信缺乏規定,導致有的電子證據收集、保全不規范或者難以被采信。筆者認為,應當對作為刑事證據予以提取、復制、固定的電子證據的范圍予以明確。具體應該包括能夠證明網絡犯罪案件真實情況的網站頁面、上網記錄、電子郵件、電子合同、電子交易記錄、電子賬冊等。

（二）注重電子證據提取程序的合法化。偵查人員應當對提取、復制、固定電子數據的過程制作相關文字說明,記錄案由、對象、內容以及提取、復制、固定的時間、地點、方法,電子數據的規格、類別、文件格式等,并由提取、復制、固定電子數據的制作人、電子數據的持有人簽名或者蓋章。基于網絡犯罪中的特殊性,對于網站存在于境外,不存在電子數據持有人簽名的可能性,或者有的網站留存數據時間很短,多數數據是在抓捕犯罪嫌疑人之前通過遠程勘驗提前固定的,不存在犯罪嫌疑人簽名的可能性。對于以上情形,應當由能夠證明提取、復制、固定過程的見證人簽名或者蓋章,記錄有關情況。

（三）加強對電子證據的保全。與傳統的證據一樣，電子證據必須是真實、可靠、完整和符合法律規定的，因此，在收集電子證據的過程中一定要保證原始數據不受任何破壞，在任何情況下，都應注意：(1)不要改變原始記錄；(2)不要在作為證據的計算機上執行無關的操作；(3)不要給犯罪者銷毀證據的機會；(4)詳細記錄所有的取證活動；(5)妥善保存得到的物證。

*河南省滎陽市人民檢察院［450100］

**河南省鄭州市人民檢察院［450000］