- 互联网电子证据论:以刑事诉讼为视角
- 冯姣
- 16174字
- 2025-03-28 19:12:55
第一章 互联网电子证据的理论基础
第一节 互联网电子证据的界定
一、 互联网电子证据的内涵
网络犯罪是指“运用计算机技术,借助于网络对其系统或信息进行攻击、破坏或利用网络进行其他犯罪的总称”1。从传统观点来看,在刑事诉讼领域,互联网电子证据系基于网络犯罪而形成的电子数据。从结构学上进行分析,可以发现,互联网电子证据的内涵主要包括两个部分:互联网和电子证据。两者分述如下:
(一) 互联网
从互联网发展的历史来看,其首先产生于20世纪60年代的美国。1969年发展刚起步时,互联网只是一个小型的公共计算机网络。1972年电子邮件出现,1974年“互联网”这个名词首次出现。直到1985年,互联网才被广大研究和开发人员使用,并开始被用于日常计算机通信。1985年,欧洲粒子物理研究所内部网启动IP协议,1989年又启用外部网IP。2 在中国,对互联网的使用,最早始于1986年。其时,基于触碰未来的现实需要,中国兵器工业计算机应用研究所购入西门子7760大型计算机进行计算机和互联网研究,但囿于时代背景,中国未能直接接入已开始进入组网阶段的全球互联网体系。3 直到1994年4月20日,我国通过一条64kb/s的国际专线实现全部互联网功能的连接,成为全世界第77个接入互联网的国家。4
从词义上来分析,对于“互联网”的界定,从不同的视角出发,有不同的表述。根据《现代汉语词典》的解释,互联网是指“由若干计算机网络相互连接而成的网络”5;其中,计算机网络是指“用通信线路把若干台计算机互相连接起来,用来实现资源共享和信息交换的系统”6。从计算机专业角度来看,互联网是指“用通信线路和通信设备将分布在不同地点的具有独立功能的多个计算机系统互相连接起来,在网络软件的支持下实现彼此之间的数据通信和资源共享的系统”7。法学学者则认为,互联网是指“把分布在不同地址、具有独立功能的多台通信终端机(计算机、手机等)通过线路和设备相互连接,利用功能完善的网络系统软件,按照网络协议进行通信,实现数据资源共享的系统环境”8。从国内学者对互联网概念的界定来看,互联网主要包括四个要素:(1) 多个通信终端;(2) 通信设备;(3) 网络协议;(4) 数据资源共享。
从国际层面来看,1995年,美国联邦网络委员会(The Federal Networking Council)对互联网这一概念进行了界定。其认为,互联网是指符合以下条件的全球信息系统:(1) 根据IP协议或其扩展协议,通过一个全球独立无二的地址逻辑地连接在一起;(2) 能够支持使用TCP/IP协议或其扩展协议,或其他与IP协议兼容的扩展协议进行通信;(3) 公开或私下地提供、使用相关基础设施和交流的高级别服务进行通信,或使这些服务可访问。9 从这一界定来看,美国学者对于互联网的界定,主要着眼于对其使用的协议的限定。即在互联网的背景下,各个通信设备之间,必须使用TCP/IP协议或与其兼容的协议,以便实现数据的通信。
在本书中,对互联网的界定,采用美国联邦网络委员会的定义,即着重关注互联网的协议而非互联网的其他构成要素。这主要有如下几个方面的原因:首先,从互联网发展的历史来看,TCP/IP协议是网络存在和实现信息通信的基础。互联网能够实现大规模的发展,主要在于其确定了数据之间通信的统一协议。其次,从实现原理上看,数据资源共享可以通过很多其他的方式实现,如蓝牙(通过使用蓝牙射频协议进行信息共享)、短信(通过电信的频段对相关的信息进行传播)等方式。但这些,并非是互联网的组成部分。最后,随着移动互联网的发展,使用手机、iPad等客户端上网的个人越来越多。在此背景下,也没有必要将互联网的客户端仅限于计算机。
(二) 电子证据
关于何为电子证据,理论界和实务界已经形成了相对一致的意见。从法律层面而言,根据《关于办理死刑案件审查判断证据若干问题的规定》(以下简称《死刑案件证据规定》)第29条第1款的规定,电子证据主要包括电子邮件、网上聊天记录等多种类型;《刑事案件电子数据规定》第1条第1款规定:“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。”
从理论层面而言,有学者认为电子数据是指电子计算机、移动电话等电子设备所记载的数据资料10;现有的通说认为,电子数据是指以电子形式存在的、用作证据使用的一切材料及其派生物,其包括正文信息、过程信息以及环境信息。11 从分类上来看,常见的电子证据可以分为三大类:一是与现代通信技术有关的电子证据,如电话记录等;二是与网络技术有关的电子证据,如电子邮件等;三是与广播技术等其他现代信息技术有关的电子证据。12
从上述法律的规定和学者的界定可以看出,电子证据区别于其他证据的主要特点,在于其载体的不同,即电子证据主要是以电子的形式存在。电子形式,是指由介质、磁性物、光学设备、计算机内存或类似设备生成、发送、接收、储存的任一信息的存在形式。13 从其特点而言,电子证据具有依附性,其必须借助一定的物理介质才能得以显现。从其外延而言,随着现代科技的不断发展,电子证据的外延具有无限的扩展性。
(三) 互联网电子证据
在本书的界定中,互联网电子证据是指基于互联网共享的电子数据资料。这主要包括三个层面的含义:首先,从其存在空间来看,互联网电子证据具有虚拟性,存在于一定的虚拟空间之中。“一般来说,人操作终端计算机的行为可以在该计算机硬盘中留下相应的信息,其在网络上产生的信息最终也会存储在网络的服务器上。也就是说,不论何种计算机信息、网络信息都会有一个具体的物质载体。”14其次,从其信息属性来看,互联网电子证据具有“共享”的特征。共享意味着共同享有。也正是从这个意义上而言,互联网上没有秘密可言。最后,从信息的表现形式来看,互联网电子证据仍然以电子的形式存在。也因此,互联网电子证据本质上是电子证据的一种。
从互联网电子证据的内容构成来看,有学者指出,可以作为互联网电子证据使用的主要有三种互联网数据:(1) 由网页所有者上传至网页上的数据,或者在社交网络的情境下,由网页的创造者上传至网页上的数据(网页数据);(2) 由个人经网页所有者或者创造者同意上传至网页上的数据(如聊天室的数据);(3) 由个人未经网页所有者或者创造者同意上传至网页上的数据(如黑客材料)。15 上述界定,涵盖了绝大多数的互联网电子证据。但这种对互联网电子证据的界定,主要是从“人—机”交互这一视角展开论述。从实践中来看,互联网电子证据的形成,除了外在的“人—机”交互这一路径,还包括计算机内部自动形成的互联网电子数据流转的痕迹,典型的如IP地址、网络服务器日志等。
简而言之,在刑事案件中的互联网电子证据,是指以电子形式存在于互联网上,可以对刑事案件事实起到证明作用的一切材料。互联网电子证据,具有“互联网”和“电子证据”的双重属性。互联网电子证据区别于一般电子证据的特殊之处,在于其网络属性。
(四) 相关概念辨析:互联网电子证据区别于其他电子证据、计算机证据与视听资料
如上所述,关于何为互联网电子证据,学界尚未形成一致的意见。在对互联网电子证据的内涵进行界定后,将互联网电子证据与相关概念进行辨析,系本书必须作出的回应;此外,通过将互联网电子证据与其他相关概念进行对比分析,能够对互联网电子证据,有更为清晰的认识。
1. 互联网电子证据与其他电子证据
互联网电子证据与其他电子证据具有相似之处。从本质上看,互联网电子证据和其他电子证据都属于电子证据的范畴。两者的共同之处主要体现在以下四个方面:首先,区别于传统的物理储存媒介,两者都是通过电子方式存储的;其次,相较于一般证据内容的有限性,两者都包含大量的数据;再次,两者都可以被轻易地修改和删除,并且一旦被修改或伪造,非专业的技术人员很难进行甄别;最后,对于互联网电子证据和其他电子证据的审查和判断,都有赖于科学技术的发展,需要综合运用法学和电脑信息技术等学科的知识。
但是,互联网电子证据和其他电子证据之间,也存在不少区别。首先,从收集的方式来看,其他电子证据的收集和处理是通过一个“死”的机器进行的,如对电脑硬盘中的特定图片和影像进行收集,可以通过对原先媒介的复制进行所有的分析(如对U盘中的特定数据进行复制);而且在这个过程中,收集其他电子证据的个人通常可以对包含信息的媒介进行直接介入和控制(如扣押电脑或者U盘)。但对互联网电子证据的获取,通常是“活”的获取。互联网电子证据均存在于互联网上,侦查者对包含互联网数据的原始媒介并没有控制的权力。很多时候,服务器可能根本不在同一个国家。如根据相关的数据显示,诈骗、钓鱼、赌博网站的服务器90%以上设在境外。16 这就使得获取互联网电子证据的难度很大。
其次,从收集的场所来看,其他的电子证据,需要在案发现场获取,如需要对记录着案发完整情况的摄像资料进行查封和扣押。对这类电子证据的收集,与一般物证的收集并无较大的差异。而对互联网电子证据的收集,则可以借助网络进行远程收集,不需要到特定的案发现场。17 对互联网电子证据的收集,往往会跨越地域,甚至突破国界的限制。
再次,从修改的方式来看,存储在计算机或者硬盘上的电子证据,其媒介和数据可以被保护,这使得一般的电子证据相对不容易被修改。但是,对于互联网电子证据而言,获取的互联网电子证据有可能仅仅是特定时间对特定网页的一个留影。事实上,犯罪嫌疑人可以对互联网电子证据进行修改或者对其进行彻底删除。在某些情况下,由于原始媒介不在侦查人员控制之下,被拘留的犯罪嫌疑人可以利用手机对网页进行修改或者指示其同谋进行修改。
最后,从对证据内容审查的角度而言,互联网电子证据和其他电子证据之间也存在差异。一般而言,互联网电子证据包含三个方面的内容:数据电文、往来数据和系统环境。18 其中数据电文是互联网电子证据的主要内容,其用于证明案件中的待证事实;往来数据是网络服务器的记录;系统环境主要是指计算机的硬件和软件系统。在对互联网电子证据进行审查时,需要审查这三个方面的内容。而在对其他的电子证据进行审查时,只需要审查数据电文这一部分的内容即可。
图1-1 电子证据与互联网电子证据区别与联系
从上述分析可以看出,互联网电子证据与其他电子证据存在区别。很多学者对一般电子证据进行了研究,但并未对互联网电子证据进行分析,其原因主要在于以下几个方面:首先,互联网电子证据是一个相对较新的概念。何家弘认为,就司法证明方法的历史而言,在经历“神证”“人证”以及“物证”时代后,人类可能进入电子证据时代。19 电子证据的发展以计算机技术的发展为前提。相比于电子证据,互联网电子证据是一个更为新兴的概念。将电子证据作为独立的证据种类加以规定时间不长,其理论研究仍然单薄。在此种情况下,作为互联网背景下产生的电子证据,对其的研究,有待开垦。其次,是由于错误观念的存在。在美国司法实践中,一种错误的观念认为截屏或者网址的获取不及找到被告人硬盘中的电子证据重要。20 由于存在对互联网电子证据的错误观念,对互联网电子证据的研究也就不够深入。而在我国,学者更多的是将互联网电子证据作为电子证据的一个附属类别,在对电子证据进行论述之时,对互联网电子证据稍加提及。最后,是由于技术的限制。对互联网电子证据的研究,需要跨学科的知识。如关于互联网电子证据的取证,常用的技术主要包括IP地址和Mac地址识别和获取技术、网络入侵追踪技术、网络输入输出系统取证技术、人工智能和数据挖掘技术等21,这就需要专业的电脑技术知识。但可惜的是,专业的电脑技术人员对于证据规则并不了解,而法律界人士对于电脑网络技术,也大多一知半解。两门学科的脱节,导致了对于互联网电子证据研究的滞后。
2. 互联网电子证据与计算机证据
“计算机证据,是指在计算机运行过程中,其系统生成的以及由于写入或接入而产生的记载相关内容的各类信息。”22互联网电子证据与计算机证据,存在一定的区别与联系。
从两者之间的联系来看,当特定的互联网电子证据,以计算机作为媒介进行显现与储存时,其转化成了计算机证据的一种形式。如通过安装在电脑上的QQ程序进行聊天时,QQ聊天记录本身属于互联网电子证据的一种形式;同时在聊天过程中,特定的QQ聊天记录会在计算机上存储下来,成为计算机证据的组成部分。此外,特定的计算机证据,如 Word文档、图片等,当其上传至网络时(如百度云盘等),就成为互联网电子证据的一种形式。互联网电子证据与计算机证据,存在相互转化的可能性。
从两者的区别来看,互联网电子证据需要通过一定的媒介加以显现,但除了计算机之外,其还可以通过手机等客户端加以显现。以后者这种方式储存和显现的互联网电子证据,就不是计算机证据的组成部分。此外,在脱机状态下形成的计算机证据,如特定文档的访问记录、系统的运行信息等,属于计算机证据的形式,但不属于互联网电子证据的范畴。
互联网电子证据与计算机证据的区别与联系,如图1-2所示:
图1-2 互联网电子证据与计算机证据的区别与联系
3. 互联网电子证据与视听资料
“视听资料是指载有能够证明有关案件事实的内容的录音带、录像带、电影胶片、电子计算机的磁盘等,以其所载的音响、活动影像和图形,以及电子计算机所储存的资料等来证明案件事实的证据。”23互联网电子证据与视听资料之间,存在一定的区别和联系。
从两者的区别来看,以磁质介质储存的视频、影像等资料,显然不属于互联网电子证据的范畴;此外,即便以计算机为媒介,以电子形式储存相关的影像资料,若其不具有网络属性,并非在案发过程中形成,则其亦不属于互联网电子证据的范畴。
然而,在互联网的背景下,两种证据形态之间,亦具有盘根错节之联系。以网页上的视频图像为例,在本书的界定中,其属于互联网电子证据的一种表现形式;而根据学界对于视听资料的界定,其亦属于视听资料。证据形态之间的重合与缠绕,与刑事诉讼立法中的先天性缺陷密切相关。在刑事诉讼立法过程中,已经有学者意识到了电子证据与视听资料之间可能具有重合关系,但立法者通过特定立法技术的使用,将“视听资料、电子数据”合并为证据的一种形式加以规定,从而暂时地解决了冲突。24 遗憾的是,立法者的有意忽视,实在未见药到病除之功效,而仅仅是治标不治本地对相关问题进行了掩盖。对于这一先天性缺失,本书并不意图对其加以“治疗”。本部分仅意在说明,在其后的分析过程中,对于视听资料和互联网电子证据重叠部分,本书仍将其作为互联网电子证据加以处理。
二、 互联网电子证据的分类
无论是在新型的将网络作为犯罪对象或者犯罪手段的网络犯罪案件中,抑或是在传统的犯罪案件中,互联网电子证据都对案件事实的认定起着极为重要的作用。常见的互联网电子证据主要包括如下几种形式:
(1) 网页。网站是企业、学校或政府部门在互联网上建立的站点。网站常常为了一定的目的而建立,如向用户提供新闻、娱乐、产品广告等信息服务。进入网站可以浏览的屏幕画面即为网页。“万维网的基础是通过所谓超链接对单个文件进行联网。一个超链接可以明确指向网络中另外一个文档的位置,以及同一个文档内部的一个其他位置。”25网页证据在刑事司法中得到很广泛的适用,尤其是在涉及网络侵犯知识产权犯罪的案件中。目前,淘宝网等平台已经成为了网络侵犯知识产权类犯罪的重灾区。
(2) 电子邮件。电子邮件是指一方通过网络发送给另一方的文字、音频、视频等内容的集合。在日常生活中,电子邮件以其便利性以及经济性的特征,得到越来越广泛的适用。电子邮件一般包括三个部分:邮件正文、邮件附件以及其他附加的信息。邮件的正文是当事人之间交流的主要内容;邮件的附件是在邮件中添加的特定文档、音频材料等;其他附加的信息包括邮件的发送时间、发件人、收件人等信息。通过对电子邮件内容的分析和提取,可以证明犯罪嫌疑人的犯罪时间、犯罪意图以及犯罪内容等。
(3) 聊天记录。随着越来越多的即时聊天工具被公众使用,如微信、QQ、Skype、旺旺等,由此产生的聊天数据,也越来越在刑事司法中得到适用。从形式上看,聊天记录可以包含文字、音频、图像、视频等多种形式。从功能上看,以QQ聊天记录为例,实证研究显示,聊天记录可以用于证明被告人犯罪的动机以及犯罪的行为。26 如在毒品犯罪案件中,聊天记录往往用来证明被告人实施贩卖毒品的行为。但在对聊天记录进行审查时,一个重要的问题就是对同一性的认定,即证明特定的犯罪嫌疑人就是特定账户的使用者。
(4) 交易记录。随着支付宝等支付软件在日常生活中的普及,越来越多的犯罪也将支付宝等支付软件作为处理赃款的一种途径。不管是在新型的网络非法经营、网络诈骗等案件中,还是在传统的组织卖淫等犯罪活动中,支付宝的交易记录都对犯罪数额的认定、案件的定罪量刑起着极为重要的作用。
(5) 云储存数据。随着移动网络的发展,加之移动客户端的储存容量有限,各类云储存应运而生,越来越多的个人数据被移到互联网的计算机集群中。云计算具有三个典型特征:几乎无限制的计算力资源、不需要长期使用以及按需付费的成本结构。27 云计算网盘中包含大量的用户信息,具有相对的私密性。在网络传播淫秽物品等犯罪活动中,其常常被用来对特定的淫秽物品进行储存。
(6) 服务器日志。服务器是指被客户端联系的进程,其作用是返回相关信息,或提供可用资源。通常可运行服务器进程的计算机也被称为服务器。28 服务器日志详细记录了用户操作文件的各种信息。其中,网站服务器日志清楚地记载了用户在特定时间,用特定的IP、特定的操作和特定的浏览器,对特定的网页进行了访问。服务器日志由系统自动生成,在未受到外部因素影响的情况下,其可信性程度一般较高。在美国北卡罗来纳州的一起谋杀案中,被告人的谷歌搜索记录成为指控其罪行的重要证据。29
(7) IP地址和Mac地址。TCP/IP网络,以“编址+路由”的方式传递数据,IP地址是IP协议提供的一种统一的地址格式。30 在互联网中,每台计算机都有一个特定的IP地址,其用于识别在互联网中的特定的计算机。如在互联网中,设备A要给设备B发送特定的信息,设备A必须知道设备B的IP地址。由于IP地址具有唯一性,在互联网刑事犯罪中,可以通过追踪IP地址,从而定位犯罪行为的发生地。IP地址在网络赌博类案件中得到很广泛的适用。Mac地址是指每个计算机的物理地址,其是由网卡决定的。Mac地址是互联网上每一个站点的表示符,其采用十六进制数表示,一共有6个字节。在侦查互联网犯罪过程中,如果能确定Mac地址,就能确定实施犯罪行为的具体计算机。
(8) 计算机病毒。根据《中华人民共和国计算机信息系统安全保护条例》第28条的规定,计算机病毒本质上是具有破坏功能,能够实现自我复制的一组程序代码。“计算机病毒是一种计算机程序,它通过修改其他程序把自身或其演化体插入它们中,从而感染它们。”31在破坏计算机信息系统罪中,计算机病毒的制作和传播,是该罪行的客观要件。其中,判断某种特定程序是否属于计算机病毒,对犯罪事实的认定起到关键的作用。
在了解互联网电子证据的主要形式之后,就涉及对互联网电子证据的分类。“分类是一种把握事物共性同时辨识事物特性的逻辑手段。分类不仅能使人的认识条理化,而且能实现处置上的目的性与有效性。”32本书对互联网电子证据分类的研究,主要是为了探究不同的分类,对于互联网电子证据收集、保管、出示和验真程序可能造成的影响。
(一) 基于转化方式的分类:言词证据与实物证据
根据其转化方式的不同,可以将互联网电子证据分为言词证据和实物证据。“言词证据是指以人的陈述为表现形式的证据。实物证据是指以物品的性质或外部形态、存在状况以及其内容表现证据价值的证据。”33从互联网电子证据的形式来看,电子邮件和聊天记录属于典型的言词证据,其主要是通过语言的表达来完成对特定事实的证明;网页、交易记录、服务器日志、IP地址等,主要是以其存在的状态来对特定的内容进行表现。一般认为,相比于实物证据,言词证据更为脆弱,因为言词证据更易受到各种因素的影响而出现虚假。在互联网背景下,言词证据与实物证据具有同等的客观性和稳定性。这主要是因为,互联网上的数据,均以二进制的方式进行储存。对互联网电子证据的更改,会在网络的不同层级以及服务器日志上留下痕迹。两者的相对一致性,使得在对互联网电子证据进行验真时,可以采取一致的程序。此外,在对言词证据进行验真时,还涉及传闻证据规则的适用。
(二) 基于存在形式的分类:公开、半公开与私密的信息
根据互联网电子证据公开性程度的不同,可以将互联网电子证据分为公开、半公开以及私密的信息。在通常情况下,网页等属于公开的互联网电子证据;论坛、百度云等属于半公开的互联网电子证据;电子邮件、交易记录等属于私密的信息。互联网电子证据公开性程度不同,导致个人对其的隐私期待亦会有所差异。在判断特定的互联网电子证据的公开程度时,可以根据特定的互联网电子证据是否进行了加密来判定。“加密方法的核心是这样一个过程:将某种材料(明文或普通文本)转换为不同的表示形式,从而掩盖原始材料的含义。”34互联网电子证据是否加密,一方面会对互联网电子证据的收集造成影响,如参与访谈的网警认为,在对特定的互联网电子证据进行提取时,如果犯罪嫌疑人不配合,现有的技术,很难破解秘钥;另一方面,在对互联网电子证据进行收集、保管、出示等过程中,需要采取不同的侵入方式,以便更好地符合比例原则,保护犯罪嫌疑人和第三人的隐私权。
三、 互联网电子证据的特点:以互联网特性为切入点
从广义上而言,互联网电子证据是电子证据的一种形式,两者都以二进制的形式对特定的信息加以储存。但是如前所述,互联网电子证据与一般电子证据在收集方式、修改方式以及审查方式上均存在差别。两者之间差别的存在,究其根本,是由于互联网这一元素的加入。互联网的特性,决定了互联网电子证据区别于一般电子证据的特殊性。对于一般电子证据的特性,已经有学者作出了概括:一是原件与复印件的一致性。电子证据可以被精确地复制,电子证据的复印件可以被视为原件用于检验。通过对复印件进行检验,可以避免原件被更改或者损害。二是更改痕迹的易确认性。通过使用合适的工具并与原件进行对比,可以轻易地查明电子证据是否被更改或污染。三是电子证据很难被彻底毁坏。即使特定的文件被删除,相关的电子证据亦可被恢复。四是残件的易保留性。即使罪犯意图消除电子证据,相关的附件以及数据残余仍有可能保留在其未曾意识到的地方。35
虽然学者已经对电子证据的特性作出了论述,但对于互联网电子证据的特性,却很少有学者加以解析。在本部分,笔者将以互联网的特性为切入点,分析互联网的发展对电子证据收集、保管、出示、验真等程序的影响。互联网的特性很多,本书选取了与电子证据最密切相关的三个互联网特性,即技术性、开放性及透明性,展开论述。其中选取标准主要有两个:其一,该特性是互联网特有的,或者在互联网领域表现较为显著;其二,上述特性,会对互联网电子证据的理论以及司法实践造成一定的影响。
(一) 技术性
在互联网上,要完成网络之间的通信,需要有多层结构,每一层结构都需要有自己的协议,以便各层之间能够实现对话。互联网系统分层,一般有两种模型:TCP/IP模型和OSI模型。
TCP/IP模型是美国国防部高级研究计划局计算机网和之后的互联网使用的参考模型。其是互联网实际运行中使用的模型,全称为传输控制/网间协议参考模型。“TCP/IP协议使不同网络间的互通不再依赖于网络本身,而是依靠主机设备。”36TCP/IP模型一共分为四层,从上到下依次为:应用层、传输层、网际层以及网络接口层。以电子邮件的发送过程为例,首先,用户在应用层编辑电子邮件进行发送;其后,电子邮件的应用程序创建自己的报头,将信息传送到传输层,由传输层中的TCP和UDP协议对数据进行处理;而后,在传输层添加TCP报头后,将信息传送给网际层;网际层添加IP报头后,将数据传递到网络接口层;网络接口层获得数据之后,创建网络接口层报头,并生成网络传输介质上使用的1和0两种信号。接受方的计算机,在网络接口层接收该数据包,而后依次去掉报头向网际层、传输层和应用层传递,用户在应用层通过应用程序对该邮件进行阅读。
OSI模型是国际标准化组织ISO于1979年创立的,其全称为开放式网络系统互联,但其只是一个理论模型,是为了分析网络通讯方便而引进的一套理论。OSI模型一共分为七层,从上到下依次为:应用层、表示层、会话层、传输层、网络层、数据链路层以及物理层。在数据链路层、网络层和传输层,为实现层间的数据交换,会依次添加报头信息。在分别接收数据的层中,通过验证是否为自己地址的标签,可以实现各自的功能。在七层的模型中,下面三层主要提供数据传输和交换功能;第四层是整个网络体系结构中最关键的部分;上三层则主要提供用户与应用程序之间的信息和数据处理。
OSI模型和TCP/IP模型之间的区别和联系,如表1-1所示:
表1-1 OSI模型与TCP/IP模型的区别与联系
从表1的表述中可以看出,OSI模型实质是对实际运行中的TCP/IP模型的一种细化。本书的研究将采用OSI模型。其原因在于OSI模型的划分更为细致,因此在具体讨论互联网数据的收集、保管、出示、验真过程中,能够对各个部分可以获取的互联网电子证据,作更为详尽和清晰的说明。
有学者认为,网络证据的产生、存储以及再现都必须借助各种高科技的网络系统和计算机设备,乃至各种计算机应用软件技术。正是由于网络证据的技术性,使得对网络证据的收集、审查、判断、认定不仅仅是一个法律问题,而且是一个技术问题。37 互联网的技术性特征对互联网电子证据的影响,主要体现在以下几个方面:
首先,就互联网电子证据的收集而言,互联网的技术性对其的影响,主要涉及互联网电子证据收集的完整性。如上所述,用户可以通过应用层来进行大量的网络行为,如浏览网页、聊天等。在这一层,包含了大量的互联网电子数据。表示层和会话层主要是对数据进行解码和转换。这两层并未包含大量的电子数据,但是其包含很多电子数据传输的痕迹。在传输层和网络层中,包含的互联网数据主要有:认证日志、应用程序日志、操作系统日志、网络设备日志、状态表以及随机访问存储器的内容。38 数据链路层包含 Mac地址,Mac地址与网络适配器相关。系统运行时会在网络路由器上留下运行信息,技术人员可以对特定计算机进行准确地识别。此外,在互联网背景下,电子证据的收集,还涉及网络监控的问题。网络监控通常发生在物理层。网络监控可以对特定用户的网络使用情况进行监控,从而获取特定人员的网络使用信息。在此情况下,如果用户采用了加密的通讯协议,则网络监控只能获得相应的流量方面的信息,而无法对内容进行分析。39 网络包含个人大量的隐私信息,但在网络监控问题上,一系列的程序问题仍有待解决。例如何为“严格的审批手续”,监控范围应当如何界定。在此背景下,通过网络监控手段获得的互联网电子证据,其合法性存疑。
其次,就互联网电子证据的保管而言,在对互联网电子证据进行保管时,一方面需要遵守原有的证据保管链制度,另一方面,也需要根据互联网电子证据的特性,对互联网电子证据采取技术性的手段,以此保障互联网电子证据在保管过程中的完整性和可靠性。区块链等新型技术的出现,以其去中心化的特点,为互联网电子证据的保管提供了新的路径和可能性,但此类技术在刑事司法中的适用及范围,有待进一步厘清。
最后,互联网的技术性特征,使得在对互联网电子证据进行验真时,需要专业人员的介入。对于互联网电子证据真实性的审查,涉及对互联网电子证据形式真实性的审查和实质真实性的审查。对互联网电子证据形式真实性的审查,主要审查互联网电子证据的收集过程是否符合法律程序的规定、收集技术是否符合行业技术规范。对于收集过程是否符合法律程序的规定,法官可以作出自己的判断;但对于收集技术是否符合行业技术规范,则需要专业的技术人员进行判定。这主要是指,侦查人员在对应用层、传输层、网络层涉及的互联网数据进行收集时,该收集和提取的过程是否可以重现。对互联网电子证据实质真实性的审查,主要是需要审查互联网电子证据的内容是否受到变更,其完整性是否得到保障。这就需要结合网络服务器日志等内容,并且通过对电子数据的完整性校验值进行比对等方式进行综合判断。对此的判定,需要专业人员的介入。在必要的时候,可以要求侦查人员、鉴定人以及专家辅助人出庭,对互联网电子证据的收集过程和保管过程进行说明。
(二) 开放性
互联网的开放性,是指网络作为一个开放的平台,任何人都可以接入网络利用网络资源,并在网络上发表自己的观点。互联网的开放性,对互联网电子证据的影响,主要体现在以下几个方面:
首先,就互联网电子证据的收集而言,互联网的开放性,使得网络远程勘验成为可能,这在一定程度上可以降低办案的成本,同时也意味着在对互联网电子证据进行收集时,全球性的协助成为必要。全球合作的过程中存在的问题是,各个国家和地区之间关于信息保护的法律规范存在不同。互联网的开放性,也使得网络诱惑侦查问题受到公众的关注。网络的公开性,使得网络诱惑侦查的对象具有不特定性;但网络的平等性与个性化,又使得通过网络诱惑侦查所获得的证据,具有一定程度上的真实性。两者之间的冲突和张力,导致有必要对网络背景下的诱惑侦查进行重新规制。互联网上的信息传播与更新速度快,原有的数据极易被新的数据替代,这就要求侦查人员在对互联网上的电子证据进行搜集时,必须遵循及时性的原则。若侦查人员无法对互联网中的电子数据及时进行收集,则会导致证据的灭失。
其次,就互联网电子证据的保管而言,互联网的开放性,一方面使得在对电子证据进行保管时,需要尽可能地将保管的电子证据与网络进行隔离,以避免相关的互联网电子证据在保管过程中被修改。另一方面,网络的开放性特征,也使得探索使用网络在线公证平台对互联网电子证据进行保管成为可能。现有司法实践中探索的区块链存证模式,亦是基于网络上各节点对各自信息的确认,确保了互联网电子证据的完整性。
再次,就互联网电子证据的出示而言,互联网的开放性特点,使得互联网上的信息以二进制的方式,实现零成本全球传播。这对于电子证据出示的影响,主要体现在最佳证据规则上。互联网背景下,信息以二进制的形式加以传播,若对互联网电子证据出示原件,则会导致法官无法对信息进行解读,使得互联网电子证据无法发挥其应有的证明作用;若仅出示打印件,则无法确定互联网电子证据的复印件在传播过程中是否发生了删减与更改。原件的不可解读性以及复印件的不可确认性,使得互联网电子证据的出示目的无法实现。此外,互联网的传播性,还对互联网电子证据的出示范围产生了影响。互联网上包含着海量的信息。相关的统计显示,谷歌每天要处理超过24拍字节的数据;Facebook每天更新的照片量超过1000万张;YouTube每月接待8亿多的访客;Twitter上的信息量几乎每年翻一番。40 从司法实践来看,应当出示具有相关性的互联网电子证据。但在大数据的背景下,如何界定“相关性”,亦是未解之难题。
此外,根据最高人民法院、最高人民检察院《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》的规定,利用信息网络诽谤他人,情节严重的,会进行刑事处罚。在该种情况下,若社交媒体上的特定言论,被用于证明案件的事实,则还涉及传闻证据规则。互联网电子证据的出现,对于传闻证据规则,亦会造成一定的影响。
最后,互联网的开放性,对于电子证据验真的影响,主要体现在两个方面:一方面,互联网的匿名性特点,为电子证据的验真设置了障碍。这就导致在对互联网电子证据进行验真时,需要进行同一性的验真。如在对微信聊天记录、电子邮件、QQ聊天记录进行认定的过程中,如果无法证明上述账户的使用者就是案件的当事人,就会导致相关的电子证据不具有相关性和真实性。就微信而言,对于同一性的认定,主要有以下几种方式:一是通过被告人的自认,这是司法实践中最常用的方式;二是通过证人的辨认,即通过与该微信有过联系的个人,对微信的“使用者”与现实中的“个人”进行对比,以确定两者是否是同一人;三是通过网络实名制的方式对同一性进行认定,对此,需要第三方软件公司的协助调查。另一方面,互联网的个性化特点,亦为互联网电子证据的验真提供了可能性。在司法实践中,对于互联网电子证据的验真,可以通过审查其典型特征的方式进行。典型特征包括互联网电子证据的内容等。如在对互联网电子证据进行验真时,可以通过分析个人对特定语词的使用等方式来判定同一性。
(三) 透明性
互联网的透明性是指,在互联网上所进行的任何行为,都会留下记录。网络隐私是指个人不想被外人知晓的个人网络信息和网络行为。一般而言,网络隐私包含如下几个方面的数据:一是个人的基本数据。这主要是指基本的个人信息,如个人的微博、博客用户名,个人的电子邮件地址、电话,个人的生日信息等。二是个人的使用数据。这主要是指个人对于互联网的使用信息,如个人在特定时间对特定网页的浏览、个人在特定网页的停留时间、个人的交易记录等。通过分析个人的使用数据,可以对个人未来的行为进行预测。三是个人的通信内容。这主要是指个人在互联网上与他人的聊天记录,主要包括电子邮件、微信聊天记录等。
网络的透明性特点,主要体现在技术人员通过各种方式,可以对用户的上述信息进行收集。具体而言,主要包括如下几种方式:利用在线注册收集隐私信息;利用IP地址等跟踪用户的位置和行踪;利用Cookies文件41获得用户的隐私信息;利用Beacon42等获得用户的隐私信息;利用木马病毒等窃取用户的隐私信息;利用嵌入式软件获取用户的信息;利用篡改网页获取用户的信息;等等。在大数据时代,个人的隐私权面临着更为巨大的挑战。有学者指出,从技术层面而言,大数据具有数据量大、数据类型繁多、数据生成速度快以及价值密度低等特点,加之个人隐私随着诸多因素动态变动的特性,使得保护大数据时代的个人隐私更是难上加难。43 互联网的透明性,对互联网电子证据的影响,主要体现在以下几个方面:
首先,就互联网电子证据的收集而言,侦查人员在对互联网电子证据进行收集时,会涉及对犯罪嫌疑人隐私权的侵犯。如侦查人员在对犯罪嫌疑人特定的聊天记录和电子邮件进行收集时,如何对相关的互联网电子证据进行鉴别;此外,在对网盘中的数据进行收集时,由于网盘的共享特性,如何避免侵犯网盘其他使用者的隐私权,亦是实践中的难题。在刑事诉讼中,打击犯罪和保障人权是其两大目的。对互联网电子证据进行收集,是为了打击犯罪;而在收集过程中,又会侵犯到被告人的人权。这就涉及如何平衡打击犯罪和保障人权之间的矛盾。互联网的透明性特点,使得在对互联网电子证据进行收集时,必须对收集的范围和程度进行界定;在必要的情况下,可以引入事先的司法审查机制,令中立的第三方对收集的范围进行界定。
其次,就互联网电子证据的出示而言,互联网的透明性,使得在对互联网电子证据进行出示时,可以根据互联网电子证据公开程度的不同,选择不同的出示方式。此外,为更好地保障被告人的隐私权,对于互联网电子证据的出示,可以在庭前证据交换阶段进行。从该制度设立的目的来看,“庭前会议承载着公正与效率两大价值,发挥着资讯、确保庭审实质化、程序分流以及防止庭前预断等基本的制度功能”44。从该制度适用的范围来看,“等”字表明审判人员了解情况和听取意见不仅限于《刑事诉讼法》第187条第2款明确的事项,也包括与审判相关的,对于保证审判顺利进行有意义的其他程序性问题。45 庭前会议的相对密闭性,在一定程度上可以更好地保障被告人的隐私权。
(四) 小结
从上述分析可以看出,互联网的技术性、开放性以及透明性特点,使得在对互联网电子证据进行收集时,需要保证收集的互联网电子证据的完整性、及时性、真实性和可靠性。但与此同时,由于互联网的透明性特点,在对互联网电子证据进行收集、保管、出示和验真的过程中,需要明确界定互联网电子证据的相关性,保障犯罪嫌疑人和被告人的隐私权。互联网电子证据收集的全面性与犯罪嫌疑人网络隐私保障之间的冲突,其实质反映的是刑事诉讼的两大目的,即打击犯罪与保障人权之间的冲突。随着经济社会的发展,会越来越强调对犯罪嫌疑人人权的保障。打击犯罪与保障人权之间的均衡点,只能通过利益衡量的方式,在个案中进行判断。
1 孙晓冬主编:《网络犯罪侦查》,清华大学出版社2014年版,第1—2页。
2 〔英〕詹姆斯·柯兰、〔英〕娜塔莉·芬顿、〔英〕德斯·弗里德曼:《互联网的误读》,何道宽译,中国人民大学出版社2014年版,第43页。
3 袁载誉:《互联网简史》,中国经济出版社2020年版,第65页。
4 吴功宜、吴英编著:《互联网+:概念、技术与应用》,清华大学出版社2019年版,第12页。
5 中国社会科学院语言研究所词典编辑室编:《现代汉语词典》(第7版),商务印书馆2016年版,第553页。
6 同上注,第615页。
7 陈刚主编:《大学计算机基础》(第2版),北京邮电大学出版社2009年版,第45页。
8 郑毅:《网络犯罪及相关问题研究》,武汉大学出版社2014年版,第2页。
9 Barry M.Leiner,Vinton G.Cerf,etc., “Brief History of the Internet”,http://www. internetsociety.org/internet/what-internet/history-internet/brief-history-internet(2016年12月24日最后访问)。
10 陈瑞华:《刑事证据法》(第三版),北京大学出版社2018年版,第269页。
11 陈光中主编:《﹤中华人民共和国刑事诉讼法﹥修改条文释义与点评》,人民法院出版社2012年版,第51页。
12 刘品新主编:《美国电子证据规则》,中国检察出版社2004年版,第7—8页。
13 熊志海:《信息视野下的证据法学》,法律出版社2014年版,第119页。
14 同上书,第122页。
15 Gregory P .Joseph , “Internet and E mail Evidence”,58 P rac . L a w .19 ,2012 .
16 周斌、李豪:《政法机关出重拳剑指网络违法犯罪》,http://www.cyberpolice.cn/wfjb/html/xxgg/20160229/2536.shtml(2016年9月19日最后访问)。对于上述互联网电子证据的获取,侦查机关通常通过网络远程勘验的方式进行。
17 但在特定情况下,如果侦查人员无法进行远程勘验,则其通常需要到特定网络公司的所在地,对网络服务器的数据进行调取。
18 熊志海:《网络证据的特殊性及研究价值》,载《河北法学》2008年第6期。
19 何家弘主编:《电子证据法研究》,法律出版社2002年版,第4页。
20 Todd G .Shipley and Art Bowker,Investigating Internet Crime : An Introduction to Solving Crimesin Cyberspace ,Elsevier ,2014 , p .91 .
21 杜春鹏:《电子证据取证和鉴定》,中国政法大学出版社2014年版,第164—166页
22 刘显鹏:《电子证据认证规则研究——以三大诉讼法修改为背景》,中国社会科学出版社2016年版,第27页。
23 陈光中主编:《刑事诉讼法》(第七版),北京大学出版社2021年版,第228页。
24 相关的立法理由与说明,参见陈光中主编:《﹤中华人民共和国刑事诉讼法﹥修改条文释义与点评》,人民法院出版社2012年版,第52页。
25 〔德〕克里斯托弗·迈内尔、〔德〕哈拉尔德·萨克:《网络技术基础及应用》,季松等译,清华大学出版社2020年版,第5页。
26 冯姣:《QQ聊天记录的审查规则研究》,载《江西警察学院学报》2014年第3期。
27 杨吉:《互联网:一部概念史》,清华大学出版社2016年版,第204页。
28 〔德〕克里斯托弗·迈内尔、〔德〕哈拉尔德·萨克:《网络技术基础及应用》,季松等译,清华大学出版社2020年版,第22页。
29 在该案中,被告人的妻子被发现浮尸于湖上。被告人的网络搜索记录显示,其用谷歌浏览器搜索了 “neck” “snap” “break”等名词,同时亦对湖面的水位、水流以及船用坡道等进行了搜索。参见Elinor Mills, “Google Searches Become Evidence in Murder Case”,https://www. cnet.com/news/google-searches-become-evidence-in-murder-case/(2017年2月28日最后访问)。
30 阿里云基础产品委员会:《云网络:数字经济的连接》,电子工业出版社2021年版,第2页。
31 袁载誉:《互联网简史》,中国经济出版社2020年版,第148页。
32 龙宗智:《证据分类制度及其改革》,载《法学研究》2005年第5期
33 孙长永主编:《刑事诉讼法学》(第二版),法律出版社2013年版,第191页。
34 〔美〕大卫·D.克拉克:《互联网的设计和演化》,朱利译,机械工业出版社2020年版,第142页。
35 Eoghan Casey,DigitalEvidenceand ComputerCrime,Academic Press,2011,p.26.
36 〔美〕罗伯特·多曼斯基:《谁治理互联网》,华信研究院信息化与信息安全研究所译,电子工业出版社2018年版,第34页。
37 杨正鸣主编:《网络犯罪研究》,上海交通大学出版社2004年版,第151页。
38 〔美〕Eoghan Casey:《数字证据与计算机犯罪》(第二版),陈圣琳等译,电子工业出版社2004年版,第336—346页。
39 杨永川等编著:《计算机取证》,高等教育出版社2008年版,第96页。
40 〔英〕维克托·迈尔 舍恩伯格、〔英〕肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第11页。
41 Cookies文件是服务器发送给客户端的文件,可以读取并保存用户访问网站时的行为信息。
42 Beacon基于C语言和Java等语言开发,主要是对服务器运行资源以及系统中关键的应用服务资源进行监控和数据分析。其主要的功能在于实时监控以及对历史数据进行分析。
43 刘雅辉等:《大数据时代的个人隐私保护》,载《计算机研究与发展》2015年第1期。
44 陈卫东、杜磊:《庭前会议制度的规范建构与制度适用——兼评﹤刑事诉讼法﹥第182条第2款之规定》,载《浙江社会科学》2012年第11期。
45 陈光中主编:《﹤中华人民共和国刑事诉讼法﹥修改条文释义与点评》,人民法院出版社2012年版,第259页。