【讲话稿】网络犯罪中电子证据质证方法
- 格式:doc
- 大小:44.00 KB
- 文档页数:10
1 网络犯罪中电子证据质证方法 各位尊敬的深圳律师同仁: 大家晚上好!本人谢宜峰,广东国晖律师事务所律师,牛律师深圳团队成员,牛律师网络犯罪研究中心总则研究组 之 以计算机为犯罪工具课题 的负责人, 是刘平凡主任的学生。各位深圳的同仁在百忙之中抽空聆听我的分享,对此,我感到非常荣幸,非常感动。 电子证据质证,是网络犯罪辩护的重中之重。本人在刘平凡主任的指导下,在团队讨论与合作的基础上,对电子证据质证的有关问题及法律规范,进行了归纳,并针对案发现场保护,现场勘验与电子证据检查,电子数据、电子证据的提取、审查、固定、存封等方面,提出了相应的辩护方法与思路。希望能够为网络犯罪辩护,尽绵薄之力。
本次分享所涉及的法律规范,主要包括: 第一、《计算机犯罪现场勘验与电子证据检查规则》(文号:公信安[2005]161号)。 第二、《公安机关刑事案件现场勘验检查规则》(文号:公通字[2005]54号)。 第三、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(文号:公通字[2014]10号)。 以上三部文件,都是由公安部制定、颁布的。
本次分享的内容,分为以下三个部分: 1、关于案发现场保护的辩点; 2、关于计算机犯罪现场勘验与电子证据检查的辩点; 3、关于电子数据、电子证据的辩点。 2
首先要明确的是:什么是电子数据?什么是电子证据?二者之间是怎样的关系? 电子数据,是指基于计算机应用、通信和现代管理技术等电子化技术手段,而形成包括文字、图形符号、数字、字母等资料。电子数据外在展示,离不开电子设备(包括计算机、手机等等)。电子数据的储存,离不开储存媒介(如硬盘、U盘、光盘、云端服务器等)。 而对于电子证据,根据《计算机犯罪现场勘验与电子证据检查规则》第二条规定:电子证据,包括电子数据、储存媒介、电子设备。 由此可见,电子证据的外延,大于电子数据。电子数据,属于电子证据的其中一类。 同时,根据《刑事诉讼法》第48条规定,证据可分为八类,其中,“视听资料、电子数据”就是其中一类。而储存媒介、电子设备则应归类于刑诉法所规定的“物证”。因此,电子证据种类,涉及到刑事诉讼法第48条规定的两类证据:第1类,物证;第8类,视听资料、电子数据。
现在进行第一个方面:关于案发现场保护的辩点。 根据《公安机关刑事案件现场勘验检查规则》第三章规定,案发地公安机关接到报警后,应迅速派员赶赴现场,进行现场保护。比如说,犯罪嫌疑人某甲在京基一百的某间办公室涉嫌从事破坏计算机信息系统的犯罪活动。那么,在接到报警之后呢,警察就得迅速到场,进行现场保护,避免因犯罪现场遭受破坏而对举证以及法律事实的构建造成不可挽回的损害。 负责保护现场的警察除保护物证等紧急情况外,不得进入现场、不得触动现场痕迹与物品。处理紧急状况时,也应尽可能避免破坏现场的痕迹、物品。 关于现场保护的时间:《公安机关刑事案件现场勘验检查规则》第三章规定,现 3
场保护的时间,从发现刑事案件现场开始,至现场勘验、检查结束。不能完成现场勘验、检查的,继续对整个或部分现场进行保护。 因此,在现场保护的时间方面,辩护人须注意以下四个时间节点:1、发现刑事案件现场的时间;2、现场勘验、检查结束的时间;3、现场保护开始的时间;4、现场保护的结束时间。其中,现场保护的开始时间,与发现刑事案件现场的时间,应当是相吻合的。现场保护的结束时间,不得早于现场勘验、检查结束的时间。 这是第一部分,关于现场保护,从以下问题,寻求辩点: 1、公安机关有无进行现场保护? 2、进行现场保护后,警察有无进入现场?有无触碰现场物品?如有,则原因何在?是否紧急状况? 3、现场保护的时间,是不是从发现现场开始,至勘验检查完成后结束?
现在进入第二部分:关于计算机犯罪现场勘验与电子证据检查的辩点 本部分主要的法律依据,来自于公安部《计算机犯罪现场勘验与电子证据检查规则》(文号:公信安[2005]161号)。 在网络犯罪当中,犯罪现场的勘验与电子证据检查,是公安机关获取电子证据的最重要的方式,具体包括以下三个方面,分别是:现场勘验检查、远程勘验、电子证据检查。公信安[2005]161号文件,对三者的内涵进行了说明,我已经将它复制到本群,请大家看显示屏。
(一)现场勘验检查,是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。 (二)远程勘验,是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。 4
(三)电子证据检查,是指检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。
现场勘验检查、远程勘验、电子证据检查的区别,在于行为的对象。现场勘验检查,针对的是犯罪现场。比如说某甲设计计算机病毒程序的办公场地,就是警方进行现场勘验检查的对象。远程勘验,针对的是远程目标系统。比如说,某甲将设计计算机病毒相关的资料,保存在他的百度云盘。那么,警方对百度云服务器进行的勘验,则属于远程勘验。而电子证据检查,则针对的是已经扣押、存封、固定的电子证据,目的在于检查现有固定证据,以发现相关线索、提取相关证据。简单来说,就是在证据的基础上挖掘线索、提取证据。 如果从证据的来源不同,可划分为原始证据与传来证据。现场勘验检查、远程勘验,都属于对案件事实的勘验检查,所获得的证据,属于原始证据。而通过电子证据检查所获得的证据,则属于传来证据。
关于计算机犯罪现场勘验与电子证据检查的辩点研究,我将其具体为以下三个方面,请看显示屏: (一)组织实施、操作人员、公民见证; (二)现场勘验检查、远程勘验、电子证据检查; (三)相关工作记录。
第一、组织实施、操作人员、公民见证: 计算机犯罪现场勘验与电子证据检查,由县级以上公安机关公共信息网络安全监察部门负责组织实施。这里就存在两个发问点:1、实施的公安机关的级别,是否达到县级以上;2、是不是由公安机关的网监部门实施。以某甲的破坏计算机系统案为例, 5
犯罪现场,为京基一百大厦的某间办公室,所以,罗湖区公安分局、深圳市公安局的网监部门,有权实施勘验检查。而罗湖分局桂圆派出所,则无权实施勘验检查。这是组织实施方面。 关于操作人员,有以下几个规定:1、不得少于二人。2、办案人员与检查人员分离。通过人员的分离,避免办案人员可能会有的先入为主,影响到勘验检查的客观公正性。3、应由具备电子证据检查技能的专业技术人员实施。4、应佩戴公安部统一制发的《刑事案件现场勘验检查证》。因此,在勘验检查的实施人员方面,有四个点:1、人数;2、办案人员与检查人员是否分离;3、人员是否具备相应的技能;4、有无佩戴相关证件。 关于见证,对计算机犯罪现场的勘验,应邀请一至二名与案件无关的公民作为见证人,公安司法人员不得作为见证人。见证人,应在勘验检查笔录上签字。所以,对于公民见证,由两个辩点:1、与本案是否有关?2、是否公安司法人员?在实践中,存在花钱买见证的情况,就是你去作为见证人签字,然后公安局就给你五百、八百。也有些公安机关的工作人员,肥水不流外人田,让自己的亲戚到场见证。这属于违规操作,违反了与案件无关的规则,辩护人可以据此提出证据瑕疵的意见。
第二、现场勘验检查、远程勘验、电子证据检查 关于现场勘验检查 现场勘验检查,是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验检查的程序包括以下几个方面,请看显示屏: 现场勘验检查程序包括:(1)保护现场;(2)收集证据;(3)提取、固定易丢失数据;(4)在线分析;(5)提取、固定证物。 这里需要重点介绍的,是“提取、固定易丢失数据”,以及“在线分析”。 “提取、固定易丢失数据”,顾名思义,就是对已丢失数据的提取与固定。而在 6
线分析,指的在现场不关闭电子设备的情况下,直接分析和提取电子系统中的电子数据。 提取、固定易丢失数据,与在线分析的共性,在于所获取的电子数据,有可能与原始数据存在较大偏差,甚至有可能导致原始数据的改变或灭失。因此,在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。这里需要注意一个名词:完整性校验值。电子数据,在传输的过程中,受各方面因素影响,比如说电压、网速,储存介质、传输线路的温度、湿度等,有可能会发生变化,也有可能会受到破坏与篡改。而完整性校验值,则是针对电子数据的变化而设置的数值。据计算机专业人士的介绍:比较普遍的算法,是奇偶校验法和CRC校验法,但是,这两种方法并没有对抗数据篡改的能力,于是又出现了MD5算法。MD5算法,具有“数字指纹”的特征,可以有效防止数据被恶意破坏、篡改,保证电子数据的真实性。总之,重要的问题说三遍,请大家注意“完整性校验值计算“。 “在线分析”,就是警方到达案发现场时,某甲的电脑还在运作,而警察在不关机的情况下,直接进行分析与提取电子数据。简单来说,就是现场不关机直接勘验检查。 在线分析,有以下的细节问题,需要辩护人注意: 1、原则上不得进行在线分析。电子数据,具有容易丢失、容易改变的特性。案发现场的电子设备,应予以存封。所以,除以下情形外,一般不得进行在线分析,具体请看屏幕: 除以下情形外,一般不得进行在线分析:(1)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;(2)情况特殊,不允许关闭电子设备或扣押电子设备的;(3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。