網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)的取證、審查難點及對策思考

□陳　廷，解永照

（1.中央軍委政法委員會偵察技術(shù)中心，北京　100081）（2.山東警察學(xué)院，山東濟南　250014）

?

○法學(xué)研究

網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)的取證、審查難點及對策思考

□陳廷1，解永照2

（1.中央軍委政法委員會偵察技術(shù)中心，北京100081）
（2.山東警察學(xué)院，山東濟南250014）

摘要：近年來網(wǎng)絡(luò)犯罪頻發(fā)，電子數(shù)據(jù)作為認(rèn)定網(wǎng)絡(luò)犯罪案件事實的主要證據(jù)形式，對于網(wǎng)絡(luò)犯罪案件偵破的作用日益突顯。相對于傳統(tǒng)證據(jù)而言，電子數(shù)據(jù)的取證、審查和證據(jù)規(guī)則存在較大的差異。以網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)的運用與司法實踐為著眼點，針對電子數(shù)據(jù)取證、審查過程中存在的難點問題進行分析，探究完善電子數(shù)據(jù)的規(guī)則和標(biāo)準(zhǔn)。

關(guān)鍵詞：網(wǎng)絡(luò)犯罪；電子數(shù)據(jù)；取證；審查

隨著電子信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，特別是移動終端和移動互聯(lián)網(wǎng)的普及應(yīng)用，網(wǎng)絡(luò)詐騙、盜竊、賭博、危害計算機系統(tǒng)等網(wǎng)絡(luò)犯罪活動已經(jīng)成為當(dāng)前新型犯罪的主要形式，造成人民群眾巨大的財產(chǎn)損失，嚴(yán)重危害互聯(lián)網(wǎng)秩序，對國家的“互聯(lián)網(wǎng)+”和全民創(chuàng)新、萬眾創(chuàng)業(yè)戰(zhàn)略帶來了不小的困擾。這些犯罪活動的線索或證據(jù)不再以傳統(tǒng)物證的方式而是以電子數(shù)據(jù)的形式存在，偵破這類案件高度依賴獲取記錄犯罪活動痕跡的電子數(shù)據(jù)。從辦案實踐來看，由于網(wǎng)絡(luò)犯罪的隱蔽性、智能性、跨地域性等特征，以及我國現(xiàn)行法律法規(guī)不夠完善，大大增加了電子數(shù)據(jù)收集、審查工作的難度。為有效懲處網(wǎng)絡(luò)犯罪行為，有必要對電子數(shù)據(jù)的取證、審查判斷問題進行深入探討。

一、網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)的取證難點

證據(jù)收集是案件偵破的首要環(huán)節(jié)，對于網(wǎng)絡(luò)犯罪的打擊預(yù)防起著至關(guān)重要的作用。作為典型的網(wǎng)絡(luò)犯罪案件，網(wǎng)絡(luò)DDoS攻擊案件和網(wǎng)絡(luò)電信詐騙案件較為明顯地體現(xiàn)了網(wǎng)絡(luò)犯罪的虛擬性、開放性等特點，反映了網(wǎng)絡(luò)犯罪在刑法上的復(fù)雜樣態(tài)，偵查機關(guān)在查辦此類案件遇到的取證困境應(yīng)該說是比較有代表性的。下面以兩類案件為例，對網(wǎng)絡(luò)犯罪案件取證難點進行分析。

（一）電子數(shù)據(jù)隱蔽性強，發(fā)現(xiàn)線索難。平時，電子數(shù)據(jù)中能夠被人們直接感知到的只是很少一部分，大部分的電子數(shù)據(jù)信息處于隱藏狀態(tài)或在后臺運行，這些信息只能在程序運行或測試中才能體現(xiàn)出來，有些數(shù)據(jù)必須通過產(chǎn)生它們的軟件才能轉(zhuǎn)化為可以認(rèn)識的形式，還有些電子數(shù)據(jù)運用加密、病毒、嵌入技術(shù)進行隱藏，利用常規(guī)檢測方法很難發(fā)現(xiàn)。以DDoS攻擊為例，據(jù)統(tǒng)計，當(dāng)前大約50%的在線游戲公司和70%的商業(yè)公司遭受過攻擊；政府部門的情況更為嚴(yán)重，80%都曾受過DDoS攻擊。①但由于很難發(fā)現(xiàn)這些問題的線索，非法入侵、非法獲取或非法控制計算機系統(tǒng)數(shù)據(jù)這樣的犯罪行為難以受到全面打擊，實際上真正進入偵查視野的案件比較少。

（二）電子數(shù)據(jù)極易滅失，固定證據(jù)難。電子數(shù)據(jù)自身穩(wěn)定性不足，通過各種介質(zhì)進行存儲、傳輸或者使用過程中受到干擾、破壞，極易發(fā)生信息扭曲乃至滅失。一方面，不法分子只需具備一定的網(wǎng)絡(luò)知識，按下一個刪除鍵就可以將文件刪除，點擊兩三下鼠標(biāo)就能格式化電腦和存儲介質(zhì)，對罪證進行銷毀；另一方面，網(wǎng)絡(luò)犯罪從實施至案發(fā)通常有較長的間隔時間，除非偵查機關(guān)在偵查前期已有意識地固定了相關(guān)證據(jù)，否則案發(fā)后大量電子數(shù)據(jù)極有可能隨著時間的流逝而滅失，從而喪失取證的可能性。在很多DDoS攻擊案件中，由于犯罪分子較高的計算機應(yīng)用水平和反偵查意識，以及電子數(shù)據(jù)的脆弱性、時效性，公安機關(guān)很難及時收集相關(guān)數(shù)據(jù)，大量的侵入修改行為、多層服務(wù)器代理痕跡等電子數(shù)據(jù)，或被犯罪分子清除、銷毀、更改，或被其他海量信息淹沒覆蓋，導(dǎo)致證據(jù)丟失。

（三）電子數(shù)據(jù)海量巨大，全面排查難?；ヂ?lián)網(wǎng)是一個開放的虛擬空間，違法犯罪實施簡便、成本低廉，不法行為無時無刻不在進行，受害人為數(shù)眾多且分散，往往一起案件中被攻擊的網(wǎng)站和受害人就有成千上萬。司法實踐中，網(wǎng)絡(luò)案件一般以事主報案為起點，證據(jù)認(rèn)定標(biāo)準(zhǔn)要求事主與每個嫌疑人一一對應(yīng)；嫌疑人、被害人及涉案金額需要逐一查證。在DDoS攻擊案件中，由于攻擊需要發(fā)起大量的數(shù)據(jù)流量，操控者經(jīng)常利用相關(guān)軟件集合起幾十萬甚至是數(shù)百萬臺的個人電腦作為“肉雞”去攻擊目標(biāo)服務(wù)器。據(jù)CNCERT抽樣監(jiān)測，2015年發(fā)現(xiàn)有10.5萬余個木馬和僵尸網(wǎng)絡(luò)控制端，控制了我國境內(nèi)1978萬余臺主機。②這種情況下，偵查機關(guān)若要對所有發(fā)起攻擊的個人電腦進行開機查證電子數(shù)據(jù)情況，可以想象將是一個浩大繁重而幾乎無法完成的任務(wù)。

（四）電子數(shù)據(jù)匿名多變，身份認(rèn)定難。網(wǎng)絡(luò)犯罪是利用高科技進行的犯罪，不斷革新的網(wǎng)絡(luò)技術(shù)給犯罪分子提供了便利的偽裝條件。作案分子經(jīng)常注冊多個虛擬身份實施犯罪，并隨時變換身份進行隱匿，以逃避法律的處罰。由于整個犯罪過程都在網(wǎng)絡(luò)等虛擬的電子空間中完成的，被害人與作案人很多情況下并不相識，甚至都沒有現(xiàn)實的接觸，導(dǎo)致被害人無法向偵查機關(guān)提供作案人真實、有效的信息，給作案人的身份鎖定工作造成了巨大的困難。如在某個DDoS案件中，被告人鄭某在被攻擊的網(wǎng)站上共注冊了30多個虛擬身份，其中還用18個身份證號碼實名注冊虛擬身份，給偵查工作帶來了極大的困難。再比如，很多網(wǎng)絡(luò)電信詐騙往往是多人實施多起犯罪，在團伙整體協(xié)同作案的基礎(chǔ)上又有交叉作案、單獨作案，作案手法相似，很多作案工具和角色具有可替代性，有的作案工具如服務(wù)器、IP地址頻繁更新、更換，導(dǎo)致偵查此類案件過程中建立相關(guān)證據(jù)與具體行為人的關(guān)聯(lián)性十分困難。

（五）電子數(shù)據(jù)跨地域性，異地取證難。由于互聯(lián)網(wǎng)的無國界性，很多網(wǎng)絡(luò)犯罪突破了國家、地域限制，利用控制世界各地電腦對他國目標(biāo)實施犯罪。據(jù)英國《每日電訊報》報道，2011年上半年，美國聯(lián)邦調(diào)查局曾破獲一起全球性的計算機犯罪案件，該案的犯罪團伙控制全球200多萬臺計算機組成“僵尸網(wǎng)絡(luò)”，遠(yuǎn)程發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，獲取了一億多美元的犯罪所得。③我國發(fā)生的DDoS攻擊事件也呈現(xiàn)此類特點。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2015年境外6.4萬余個木馬和僵尸網(wǎng)絡(luò)控制端非法控制我國境內(nèi)電腦，較2014年大幅增長51.8%，占全部控制端數(shù)量的61.2%，首次出現(xiàn)境外木馬和僵尸網(wǎng)絡(luò)控制端多于境內(nèi)的現(xiàn)象。④在查處這些DDoS攻擊案件時，面對大量的境外服務(wù)器或者部分“肉雞”位于境外，偵查機關(guān)即便是不考慮法律管轄障礙，也根本沒有足夠的時間精力和經(jīng)費進行調(diào)查。這兩年查處的網(wǎng)絡(luò)電信詐騙也帶有明顯跨國界特點。這類案件的犯罪團伙通常由臺灣人組織策劃，初期多將詐騙窩點設(shè)在馬來西亞、菲律賓、泰國等東南亞國家，后來轉(zhuǎn)移到肯尼亞、烏干達等非洲國家，轉(zhuǎn)取贓款的窩點多設(shè)在中國大陸、臺灣以及一些東南亞國家，改號平臺設(shè)在上海、福建、廣東等南方省份。在國際刑事司法協(xié)作尚不順暢的背景下，網(wǎng)絡(luò)詐騙的跨國性給該類犯罪的偵查打擊工作帶來了很大的難度。

二、網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)的審查難點

2012年修改的《刑事訴訟法》雖然明確了電子數(shù)據(jù)的法律地位，但司法實踐中尚未形成成熟的電子數(shù)據(jù)適用經(jīng)驗和規(guī)則，這就客觀上造成了各地電子數(shù)據(jù)審查標(biāo)準(zhǔn)的差異。偵查機關(guān)辦案過程中如何貫徹證據(jù)的合法性、真實性、關(guān)聯(lián)性要求，確保電子數(shù)據(jù)的唯一性和不可篡改性，以及電子數(shù)據(jù)的專業(yè)性內(nèi)容如何讓普通人理解，并能與其他證據(jù)相印證，成為必須認(rèn)真研究和把握的問題。

（一）合法性問題。電子數(shù)據(jù)的合法性，是指電子證據(jù)的取證主體、證據(jù)形式及取證的方法、程序必須符合相關(guān)法律規(guī)范的要求。實際工作中，電子數(shù)據(jù)的合法性認(rèn)定存在以下困難。

1.法定程序和方法方面。2014年兩高和公安部聯(lián)合出臺了《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》（下文簡稱《意見》），對網(wǎng)絡(luò)犯罪案件的初查、跨地域取證、電子數(shù)據(jù)取證與審查等問題作出了規(guī)定，一定程度上解決了辦理網(wǎng)絡(luò)犯罪案件“無法可依”的問題。但《意見》對于“如何對計算機現(xiàn)場進行勘驗”“如何對網(wǎng)絡(luò)進行有效監(jiān)聽”“如何確定搜查范圍”“如何對電子數(shù)據(jù)進行扣押”“如何對所取得的數(shù)據(jù)進行備份”等問題缺乏詳細(xì)具體的規(guī)定，使得取證時無法確定是否符合法定程序和方法。

2.法定形式方面。我國采用提交原件、原物的舉證規(guī)則，即物證提交原物、書證提交原件、證人要求出庭等，但電子數(shù)據(jù)具有虛擬性，其存在于介質(zhì)之中，表現(xiàn)為連續(xù)的模擬式電子信號或離散狀態(tài)的數(shù)字式數(shù)據(jù)，必須經(jīng)過信息技術(shù)的處理和識別才能運用。既然要經(jīng)過處理識別的過程，那就會產(chǎn)生如何判定數(shù)據(jù)原始性的問題。目前法律法規(guī)并未對如何保持?jǐn)?shù)據(jù)原始性進行明確，這就使得偵查機關(guān)提供的數(shù)據(jù)經(jīng)常會被質(zhì)疑甚至不予認(rèn)可。

3.隱私保護方面。證據(jù)的合法性要求證據(jù)必須有合法的來源。實踐中，辦理網(wǎng)絡(luò)犯罪案件時，往往會涉及到大量的個人隱私數(shù)據(jù)，這些隱私信息應(yīng)該得到法律保護，可是具體到偵查取證過程中究竟如何進行保護，目前暫無相應(yīng)的法律規(guī)定。這也是司法工作中一個令人困擾的問題。⑤

（二）真實性問題。電子數(shù)據(jù)的真實性（又稱客觀性），是指用于證明案件事實的電子證據(jù)必須是客觀、確鑿、真實的，不能是虛構(gòu)的或者偽造的。由于電子數(shù)據(jù)具有很高的科技含量，圍繞電子數(shù)據(jù)真實性的審查一直是網(wǎng)絡(luò)犯罪案件辦理的一大重點和難點。

1.證據(jù)保護措施方面。目前主要是沒有完整的校驗、證據(jù)保管鏈等保護電子數(shù)據(jù)真實性的措施，使得審查電子數(shù)據(jù)真實性缺乏有效保證。如在周某掛黑鏈接案件中，偵查機關(guān)對涉案計算機設(shè)備、硬盤等進行取證時，仍以傳統(tǒng)取證方式進行拍照、扣押以及制作扣押清單，未采取防篡改、寫保護等措施；后期復(fù)制犯罪嫌疑人的電腦硬盤和移動硬盤時僅適用普通的電子勘驗程序，未使用MD5進行校驗以保證復(fù)制件與原始數(shù)據(jù)的一致性，以致檢察機關(guān)對電子數(shù)據(jù)的真實性心存疑慮。

2.瑕疵證據(jù)排除方面。電子數(shù)據(jù)需要借助專業(yè)工具和設(shè)備進行提取固定，因而技術(shù)設(shè)備的性能和可靠性對于電子數(shù)據(jù)的真實性具有一定影響。一般來講，當(dāng)設(shè)備工具的性能或提取固定等環(huán)節(jié)的瑕疵程度足以影響到電子數(shù)據(jù)的真實性時，應(yīng)考慮加以排除。比如，當(dāng)工具損壞或取證方式嚴(yán)重失誤導(dǎo)致計算機癱瘓或出現(xiàn)數(shù)據(jù)錯誤的，應(yīng)當(dāng)予以排除，但對于使用有瑕疵的軟件或有缺陷的方法提取固定的電子數(shù)據(jù)，是必須一律予以排除，還是應(yīng)當(dāng)具體情況具體分析，尚需在實踐中進行探索。

（三）關(guān)聯(lián)性問題。電子數(shù)據(jù)的關(guān)聯(lián)性，是指作為證據(jù)的事實必須與案件中的待證事實有客觀的聯(lián)系，能夠證明案件中的有關(guān)待證事實。從電子數(shù)據(jù)進入司法實踐之初，就由于其高技術(shù)特性致使出現(xiàn)證據(jù)關(guān)聯(lián)性審查的困境。為解決電子數(shù)據(jù)涉及的專業(yè)性問題，美國FBI實驗室于1984年就開始對電子數(shù)據(jù)鑒定進行研究。我國最高人民檢察院、公安部也出臺過電子數(shù)據(jù)鑒定的相關(guān)規(guī)則，但我國電子數(shù)據(jù)鑒定研究探索起步較晚，在司法實踐中仍存在不少問題。比如，最高人民檢察院《人民檢察院電子證據(jù)鑒定程序規(guī)則（試行）》將電子證據(jù)鑒定定義為“對訴訟活動中涉及的電子證據(jù)進行檢驗鑒定，并作出意見的一項專門性技術(shù)活動”。該定義沒能將鑒定和檢驗進行有效區(qū)分，對電子數(shù)據(jù)鑒定缺乏明確界定和詳細(xì)規(guī)范，使得司法實踐中很難把握“何時應(yīng)該進行電子數(shù)據(jù)鑒定”“電子數(shù)據(jù)鑒定在認(rèn)定案件事實中應(yīng)該發(fā)揮著何種作用”等問題。

三、完善網(wǎng)絡(luò)犯罪案件中電子數(shù)據(jù)審查認(rèn)定的規(guī)則和標(biāo)準(zhǔn)

電子數(shù)據(jù)作為一種獨立的證據(jù)類型，具有在審查認(rèn)定標(biāo)準(zhǔn)與規(guī)則等方面加以特殊構(gòu)建的必要性。為了更好地應(yīng)對司法實踐中日益增多的網(wǎng)絡(luò)犯罪案件，應(yīng)借鑒國際先進經(jīng)驗，特別要提煉借鑒兩大法系電子數(shù)據(jù)法律中的經(jīng)驗做法，結(jié)合我國實際建立起嚴(yán)密、科學(xué)的電子數(shù)據(jù)審查認(rèn)定規(guī)則和標(biāo)準(zhǔn)。

（一）合理適用證據(jù)規(guī)則。電子數(shù)據(jù)是一種新型的證據(jù)形式，是科學(xué)技術(shù)發(fā)展在證據(jù)領(lǐng)域的產(chǎn)物。其物理形式與采集手段的獨特性對傳統(tǒng)證據(jù)規(guī)則提出了挑戰(zhàn)，如何在電子數(shù)據(jù)領(lǐng)域適用暢通的證據(jù)規(guī)則成為亟需解決的課題。這一點在電子數(shù)據(jù)的審查認(rèn)定規(guī)則構(gòu)建方面表現(xiàn)得尤為突出。筆者認(rèn)為，從我國電子數(shù)據(jù)立法實踐出發(fā)，參考國外電子數(shù)據(jù)認(rèn)定規(guī)則，有必要重點研究適用三個規(guī)則，即最佳證據(jù)規(guī)則、非法證據(jù)排除規(guī)則以及傳聞證據(jù)規(guī)則。

1.最佳證據(jù)規(guī)則。最佳證據(jù)規(guī)則針對的是所謂的原件問題。電子數(shù)據(jù)的原件是以數(shù)字編碼形式存在的，在很多情況下是不可視聽、不為人直接感知的，因而需要進行轉(zhuǎn)化。電子數(shù)據(jù)一旦轉(zhuǎn)化為可視聽、可感知的形式顯然就不是原件了，這就需要進行審查認(rèn)證。原件問題在電子數(shù)據(jù)的審查認(rèn)證中似乎顯得不可克服?？疾靽庥嘘P(guān)電子證據(jù)的立法和司法實踐，筆者認(rèn)為，最佳證據(jù)規(guī)則在電子數(shù)據(jù)的審查認(rèn)證中應(yīng)該根據(jù)電子數(shù)據(jù)的輸入、存儲、輸出形式的特殊性而有所變通。如果過于強調(diào)電子數(shù)據(jù)的原件，就會使電子數(shù)據(jù)的證據(jù)資格以及證明力在訴訟過程中出現(xiàn)問題，從而證明力被極大削弱乃至被取消證據(jù)資格，損害電子數(shù)據(jù)作為新證據(jù)形式的法律地位。因而，最佳證據(jù)規(guī)則可以變通為載體的原始性，即不考慮電子數(shù)據(jù)的表現(xiàn)形式，只要其能夠在原始載體中按照該原始載體的工作原理和操作程序直接展示出來，該電子數(shù)據(jù)就應(yīng)該被視作原件。

2.非法證據(jù)排除規(guī)則。根據(jù)《刑事訴訟法》和“兩個證據(jù)規(guī)定”⑥的非法證據(jù)排除的有關(guān)規(guī)定，非法證據(jù)排除規(guī)則對所有證據(jù)形式皆應(yīng)適用，電子數(shù)據(jù)的取證、認(rèn)證也不例外。但我國非法證據(jù)排除規(guī)則并不完善，適用水準(zhǔn)不高，有待于繼續(xù)充實，其中對于電子數(shù)據(jù)的直接規(guī)定付諸闕如。筆者認(rèn)為，對于某些電子數(shù)據(jù)取證有瑕疵的，可通過補正或者說明的方式加以彌補，如未附搜查筆錄、扣押清單而扣押的計算機里存儲的電子數(shù)據(jù)。但對于違反法律程序比較明顯或者存有違法故意而獲取的電子數(shù)據(jù)，如未經(jīng)法定程序或者執(zhí)法程序存在較大瑕疵，擅自侵入他人計算機系統(tǒng)或者互聯(lián)網(wǎng)絡(luò)系統(tǒng)中獲取的電子數(shù)據(jù)是否應(yīng)當(dāng)予以排除？權(quán)衡取與舍的利弊，筆者傾向于予以排除。

3.傳聞證據(jù)排除規(guī)則。就電子數(shù)據(jù)而言，傳聞一般是指所提出的電子數(shù)據(jù)并非采用電子設(shè)備本身自行產(chǎn)生的原始形式，而是經(jīng)過了有關(guān)技術(shù)人員的轉(zhuǎn)化和轉(zhuǎn)述，以診療報告、納稅記錄、銷售記錄等形式表現(xiàn)出來?？傮w而言，傳聞證據(jù)規(guī)則在我國很大程度上被傳來證據(jù)對沖掉了。因此，筆者認(rèn)為在電子數(shù)據(jù)能夠查證屬實的情況下，按照我國法律對于傳來證據(jù)的審查、認(rèn)定要求，電子數(shù)據(jù)是否系傳聞證據(jù)，這個問題不論在法理上還是事理上并不能最終影響電子數(shù)據(jù)的可采性。在我國證據(jù)學(xué)說中，更多關(guān)注的是直接證據(jù)和間接證據(jù)的劃分。由于電子數(shù)據(jù)容易被偽造、篡改，再加上電子數(shù)據(jù)由于人為的原因或環(huán)境和技術(shù)條件的影響容易出錯，不能單獨、直接地證明待證事實，依我國學(xué)界的通常說法應(yīng)屬于間接證據(jù)的范疇。對間接證據(jù)來講，司法機關(guān)最主要的工作應(yīng)是如何審查判斷電子數(shù)據(jù)的真實可靠，以及如何與其他證據(jù)結(jié)合起來認(rèn)定案件事實。

（二）科學(xué)完善證據(jù)標(biāo)準(zhǔn)。按照傳統(tǒng)刑事案件定罪量刑的證據(jù)要求來認(rèn)定網(wǎng)絡(luò)犯罪案件中的電子數(shù)據(jù)，不利于打擊懲處網(wǎng)絡(luò)違法犯罪。筆者建議，可根據(jù)電子數(shù)據(jù)新特點對相關(guān)標(biāo)準(zhǔn)進行完善。

1.司法機關(guān)通過司法解釋的形式，專門明確網(wǎng)絡(luò)犯罪案件證據(jù)標(biāo)準(zhǔn)，即達到何種程度才算滿足證據(jù)確實充分的要求。網(wǎng)絡(luò)犯罪形式多樣、數(shù)量巨大，每一起案件都要像殺人案件那樣排除一切合理懷疑是不現(xiàn)實的，只有明確網(wǎng)絡(luò)犯罪案件的證據(jù)采集標(biāo)準(zhǔn)，才能指導(dǎo)偵查機關(guān)如何采集證據(jù)，采集哪些方面的證據(jù)，證據(jù)到了何種程度符合定罪要求。

2.證據(jù)體系上不能過分追查犯罪行為是否屬于被告人發(fā)起。比如在網(wǎng)絡(luò)攻擊案件中，司法人員往往要求偵查機關(guān)證明攻擊是由被告人發(fā)起的，但是從取證過程中發(fā)現(xiàn)，由于電子數(shù)據(jù)的易破壞性，要查清攻擊來源是相當(dāng)耗費司法資源且收效極其微小的任務(wù)。筆者認(rèn)為需要搜集以下證據(jù)：一是被害人確實遭受到了網(wǎng)絡(luò)攻擊；二是被告人主觀上有網(wǎng)絡(luò)攻擊的犯罪故意；三是被告人有找過技術(shù)黑客的行為，且有證據(jù)證實技術(shù)黑客曾在被害人受攻擊的時間段內(nèi)實施了網(wǎng)絡(luò)攻擊行為；四是被告人電腦中有用于黑客攻擊的軟件且在被害人受攻擊的時間段內(nèi)有攻擊的記錄。其中，第一、二項是必須具備的證據(jù)，這兩項說明被告人有網(wǎng)絡(luò)攻擊的意圖，且由于某種原因被害人事實上受到了攻擊。第三、四項證據(jù)只需擇一具備即可，該兩項證據(jù)把被告人主觀上的行為落實到了實際行動，不管被害人受害程度如何，至少證明被告人也是其中的參與分子，理應(yīng)承擔(dān)相應(yīng)的刑事責(zé)任。舉一個例子進行類比，一群人對一個被害人實施毆打，其中只有一名被告人抓獲，只要這名被告人被證實有參與動手毆打的事實，不論被害人被鑒定的傷勢是否屬于該被告人直接造成，由于被告人和他人形成了共同傷害的犯罪故意和犯罪事實，因此一樣能構(gòu)成犯罪。同樣，筆者認(rèn)為不必要一味去追查被告人有無控制攻擊服務(wù)器或攻擊他人電腦，可以跳過追查攻擊來源，從上述幾項證據(jù)去認(rèn)定被告人有攻擊的行為，這既符合法律的規(guī)定，又能化解偵查機關(guān)取證困境和司法認(rèn)定之間的矛盾。

（三）細(xì)化規(guī)范取證過程。借鑒國外電子數(shù)據(jù)司法運用的規(guī)則和經(jīng)驗，對我國電子數(shù)據(jù)取證過程進行具體規(guī)范，可將電子數(shù)據(jù)的形成劃分成收集、檢驗、扣押、提交等四個層層遞進且可追溯的不同階段，偵查人員在取證全過程中建立完善的反查機制，全程詳細(xì)記錄，從而保證電子數(shù)據(jù)的客觀、真實與完整。

1.電子數(shù)據(jù)的收集階段。如果說傳統(tǒng)證據(jù)的收集過程是“一步式”的，那么電子數(shù)據(jù)的收集過程至少應(yīng)該是“兩步式”的。由于電子數(shù)據(jù)特殊的虛擬性、脆弱性，取證過程的第一步應(yīng)該進行現(xiàn)場保護，如封鎖現(xiàn)場，進行人、機、物品之間的隔離，保證配電設(shè)備的正常運轉(zhuǎn)，避免發(fā)生突然斷電導(dǎo)致系統(tǒng)運行中各種電子數(shù)據(jù)損壞或者丟失，保護現(xiàn)場以及現(xiàn)場周圍的各種電信終端設(shè)施，消除現(xiàn)場及周圍強磁場對電子設(shè)備的干擾，移除可以產(chǎn)生強磁場的物品，避免各種磁介質(zhì)被各種磁場消磁，等等；第二步才是真正意義上的勘驗取證。

2.電子數(shù)據(jù)的檢驗分析階段。應(yīng)做到以下幾點：一是保持電子數(shù)據(jù)的完整性，盡可能不直接對原始的電子數(shù)據(jù)進行檢驗分析。二是使用潔凈的存儲設(shè)備對原始的電子數(shù)據(jù)進行只讀式精確復(fù)制，同時制作多個備份并進行校驗，確保每個復(fù)制件均與原始數(shù)據(jù)一致。為了保證精準(zhǔn)復(fù)制，應(yīng)該采用鏡像復(fù)制的方式。三是對電子數(shù)據(jù)進行檢驗分析的計算機系統(tǒng)、輔助軟件系統(tǒng)和分析方法必須安全可信，偵查人員檢驗分析電子數(shù)據(jù)時應(yīng)當(dāng)使用經(jīng)過核準(zhǔn)、符合標(biāo)準(zhǔn)的計算機設(shè)備、軟件和方法。四是應(yīng)使用技術(shù)手段如時間戳、數(shù)字簽名證等方法保證原始數(shù)據(jù)的完整性。

3.電子數(shù)據(jù)的扣押、保管、運輸階段。目前對于電子數(shù)據(jù)的扣押、保管、運輸，尤其是對于電子數(shù)據(jù)的保管，在純粹的技術(shù)領(lǐng)域已經(jīng)形成了一套完整、正規(guī)、科學(xué)、有效的操作規(guī)程和技術(shù)程序。許多國家對電子數(shù)據(jù)的保管在立法和實務(wù)上形成了一套嚴(yán)格的操作鎖鏈，即對電子數(shù)據(jù)在訴訟中涉及到的從發(fā)現(xiàn)、提取、保全、檢驗、使用直至提交法庭的各個環(huán)節(jié)，都實施了嚴(yán)格的反篡改、寫保護措施，以確保電子數(shù)據(jù)不出現(xiàn)過程性改變。參考國外物證保管鎖鏈之原則、政策和程序，應(yīng)當(dāng)從以下方面保證電子數(shù)據(jù)的真實性：一是嚴(yán)禁在收集、提取、傳遞、存儲和分析過程中改變原始的電子數(shù)據(jù)，例如只能在電子數(shù)據(jù)的復(fù)制件上進行信息分析、對電子數(shù)據(jù)原件采取防篡改加密措施等；二是在收集、提取、傳遞、存儲和分析電子數(shù)據(jù)的過程中要嚴(yán)格制作書面記錄，記錄的內(nèi)容包括“收集了何種證據(jù)，在何處收集到的電子數(shù)據(jù)，在收集之前、存儲之際和檢驗之后何人接觸過電子數(shù)據(jù)，電子數(shù)據(jù)是如何被收集和存儲的，電子數(shù)據(jù)在何時被收集”等；三是對電子數(shù)據(jù)的任何改變都要作出書面記錄和解釋，必要時應(yīng)建立稽核程序；四是對有爭議的電子數(shù)據(jù)進行完全復(fù)制；五是盡可能采取安全措施，如采取防干擾存儲措施、寫保護措施等；六是正確標(biāo)注各個環(huán)節(jié)的時間、日期和來源；七是限制接觸電子數(shù)據(jù)的人員，并進行記錄，等等。⑦

4.電子數(shù)據(jù)的提交階段。這一階段的主要任務(wù)是根據(jù)檢驗分析結(jié)果制作電子數(shù)據(jù)鑒定書、勘驗檢查筆錄及其他書面報告。在電子數(shù)據(jù)的檢驗分析結(jié)果作為證據(jù)提交時，可以通過哈希函數(shù)、數(shù)字簽名等比對技術(shù)手段，確保所獲取的電子數(shù)據(jù)復(fù)制件同原件在內(nèi)容上具有一致性，切實消除電子數(shù)據(jù)真實性的疑慮。

注釋：

①劉靜：《江蘇網(wǎng)安童瀛：80%政府部門曾遭受DDoS攻擊》，電子信息產(chǎn)業(yè)網(wǎng)，http://www.cena.com.cn/2015-07/17/content_2853 01.htm，訪問日期：2015年12月20日。

②④CNCERT：《2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》，國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)，http://www.cert.org.cn/publish/main/46/2016/20160421153645275634722/20160421153645275634722_.html，訪問日期：2016年04月25日。

③沈臻懿：《觸目驚心的計算機犯罪》，《檢察風(fēng)云》2014年第2期。

⑤劉品新：《電子取證的法律規(guī)制》，《法學(xué)家》2010年第3期。

⑥2010年7月，最高人民法院、最高人民檢察院、公安部、國家安全部和司法部聯(lián)合制定了《關(guān)于辦理死刑案件審查判斷證據(jù)若干問題的規(guī)定》和《關(guān)于辦理刑事案件排除非法證據(jù)若干問題的規(guī)定》，簡稱“兩個證據(jù)規(guī)定”。

⑦楊爽：《論電子證據(jù)鑒定的法律規(guī)制》，《山東警察學(xué)院學(xué)報》2009年第5期。

（責(zé)任編輯：劉鵬）

中圖分類號：D918

文獻標(biāo)識碼：A

文章編號：1674-3040（2016）03-0031-05

收稿日期：2016-05-06

作者簡介：陳廷，中央軍委政法委員會工程師，法學(xué)博士，主要研究方向為偵察學(xué)；解永照，山東警察學(xué)院講師，中國人民大學(xué)法學(xué)院博士研究生，主要研究方向為刑事訴訟法學(xué)。