论坛论文FORUM PAPERS

第十一届论文 | 于天淼:伪基站犯罪案件的证据问题研究

作者:于天淼 时间:2020-07-10

【内容摘要】近年来,利用伪基站实施的电信网络诈骗,扰乱无线电通讯管理秩序,侵犯公民个人信息等犯罪活动愈见猖獗。使用伪基站从事违法犯罪活动自从2013年底萌生至今一直成上升趋势,因其成本低廉、操作简单、较强的隐蔽性,扩散的高效性等特点颇受一些年轻犯罪分子青睐。伪基站案件中证据如何适用则是打击伪基站犯罪的核心难点,也是伪基站案件定罪量刑的关键。

【关键字】伪基站 扰乱无线电通讯管理秩序 电信网络诈骗 电子数据

 

一、伪基站案件中的主要证据

 

实证调查研究表明伪基站案件中的主要证据包括:涉案人员的供述、证人证言及辨认笔录等证据证明存在伪基站犯罪事实与犯罪经过,涉案伪基站设备扣押清单、勘查笔录、设备认定书等证据证明伪基站犯罪的基本构成要件,电子数据检验报告等证据证明犯罪造成的实际危害,受案登记、犯罪嫌疑人主体信息等证据证明案发过程以及犯罪嫌疑人主体身份的证明材料。

(一)伪基站案件中的物证与书证

根据我国刑事诉讼理论可以很容易得出这样一个结论,鉴定意见和专家证人证言能够直接被采纳的一个前提是鉴定人和专家证人具有中立性。那么据前所述通讯运营商的工作人员出具的报告能否构成鉴定意见或专家证人证言?笔者持否定的观点,虽然运营商并不是刑事诉讼法意义上的被害人,但是其无法将自己置身于伪基站犯罪案件之外,因此由运营商出具的信号监测说明不能作为鉴定意见与证人证言,应当以书证的形式作为说明案件真实情况的材料作为定案的证据之一。

(二)伪基站案件中的电子设备与电子数据

证明上述事实与伪基站电子设备与电子数据密切相关。伪基站案件的证据方面既包含电子设备基站发射器,又包含电子数据存储媒介电脑,即包含了电子数据存储媒介和电子设备两个概念。具体来说,电子设备的调查取证的目的在于确定涉案物品是具有基站功能但不具有合法资质的物品;电子数据的调查取证的目的在于确定伪基站发送的信息条数和内容。本文主要针对伪基站犯罪案件中的电子设备与电子数据进行分析。

 

二、伪基站案件电子设备的调查取证

 

伪基站的设备构成主要包括基站发送装置、天线及搭载基站工作的电脑。针对电子设备的调查取证步骤为电子设备检查、电子设备信息提取、电子设备鉴定与电子设备方面证据固定。电子设备检查是针对证据潜在来源,注意设备与外界屏蔽,对电子设备保护证据现场;电子设备信息提取是指对电子设备中存储的信息创建一个精确的镜像文件,电子设备鉴定是指对电子设备的性能与功能等进行监测与分析;电子设备方面证据固定是在鉴定与调查的基础上撰写电子设备监测报告或出具电子设备鉴定意见。

进行证据现场保护的前提下,由于伪基站设备的数据不稳定性,对电子设备调查取证要遵循以下注意事项:首先,注意检查过程中对设备与外界进行屏蔽;第二,不要轻易改变设备状态;第三,技术人员现场参与。

针对设备的调查取证步骤包括检查、提取、鉴定及归档固定。

(一)伪基站案件电子设备检查

伪基站本身是一个发送装置,并不具有存储功能,其数据存储是依赖能够进行数据存储、运算的计算机操作系统,即存在于涉案的笔记本、台式或平板电脑里。伪基站运行依赖于操作电脑的系统通常为Windows系统上搭载ubuntu系统[1]或linux系统,采用文件目录的形式进行存储。目前伪基站本身技术也在更新,逐渐出现了新型号的伪基站,但基本仍采用文件目录存储状态。伪基站中的电子数据存储文件目录相对较为明确,且容易被删除、篡改,对于伪基站案件应查封、扣押涉案的电脑、伪基站等全部硬件设备。

检查的对象为证据潜在来源,包括主机与基站设备以及其他连接或可能连接在主机上的存储设备以及手机平板等通讯设备。检查要注意保护证据现场,注意设备与外界屏蔽,不要轻易改变设备状态。储存数据信息的电脑通过远程控制可以非常轻松对文件系统中的内容进行查询、增加、删除和修改,因此检查过程中的屏蔽有助于避免通过外界信道对涉案电子数据信息进行删除篡改。不要轻易改变设备状态是指如果电子设备处于关闭的状态不要轻易开机查看,应带回有信号屏蔽的区域由技术人员进行开机检测,而如果电子设备处于开机状态应尽快记录所显示的信息并获取镜像文件,因为改变计算机电源状态有可能激活设备锁,从而导致数据灭失;当然在此过程中保持电源连通、保持持续电力不失为一种有效可行的方法。在检查基础上通过撰写调查报告的形式出示证据。

(二)伪基站案件电子设备信息提取

搜集证据信息在伪基站案件中集中表现为获取存储设备信息,能够直接证明伪基站发送信息的事实和数量的证据基本完全依赖于涉案存储设备信息。现在普遍伪基站涉案电脑的系统均为Linux系统。Linux系统取证分析过程的优势是一旦获取镜像文件,就可以在任何基于Linux的系统或任何通用的取证工具上进行分析。因此及时拷贝复制全盘文件是非常有必要的。

 

(三)伪基站案件电子设备的鉴定

伪基站设备在形式上属于未取得电信进网许可与无线电发射设备型号核准的无线电发射设备,所以对伪基站设备的形式进行鉴定应当包含两个方面,一是该伪基站是一种无线电发射设备,具备使用正常基站频道向不特定用户大量发送通讯信号的功能,二是该设备是否取得电信进网许可和无线电发射设备型号核准。

我国目前尚未发布关于无线发射射频指标检测与伪基站设备功能测试的统一检测标准,但基于伪基站设备的工作运行原理,通过在模拟搭建相应的通信系统,可以验证伪基站设备是否能够强制连入终端用户,阻断正常通信的功能;通过对伪基站设备的简单操作可以验证伪基站是否能够拨打电话或发送短信;通过对其射频指标的检测可以验证伪基站可以覆盖的无线电频率范围[2]。基于以上验证,可以得出伪基站是一种无线电发射设备,具备使用正常基站频道向不特定用户大量发送通讯信号的功能的鉴定意见。对于后者而言,取得国家电信进网许可和无线电发射设备型号核准的设备表面应当贴有国家进网许可等标识,根据谁主张谁举证的原则,基站设备持有人应当出示设备具有电信设备许可等相关证明文件,如果机器表面没有此类标识而基站设备持有人又不能出示该设备的电信设备许可等证明文件,即可作为伪基站设备未进行注册的认定根据。

(四)伪基站案件电子设备方面证据固定

归档时应当提取有效信息,保存全盘信息如果条件允许的话是可以考虑的。然而一个正常运行的电脑存储空间一般有40G-1024G大小,所以归档时如有技术人员直接提取与案件相关的有效信息为最优效果。如果没有技术人员在场先行保存全盘信息亦可,在提取与案件有关信息后可以删除无用冗杂的多余信息。将以上检测过程通过检测报告或鉴定意见的形式固定下来,可以作为证明案件事实的材料。

 

三、伪基站案件电子数据问题研究

 

通过对电子设备中存储信息中提取的电子数据进行分析和鉴定,以此作为推定案件情况、证明案件事实的证据材料。2016年8月29日最高人民法院、最高人民检察院、公安部联合发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《规定》)在电子数据的调查取证方面提供了规范性指引,下面结合《规定》的具体细则对电子数据的调查取证问题进行探讨。

(一)伪基站案件常见的电子数据

伪基站中电子数据存储于基于Linux系统的文件中。Linux文件系统取证分析过程的优势是一旦获取镜像文件,就可以在任何基于Linux的系统或任何通用的取证工具上进行分析,根据现有常见的GSM伪基站设备的工作原理,在其发送短信过程中一般会形成三层发送记录数据。

第一层:“伪基站”软件界面显示的发送短信数。具体表现形式为现场勘验时制作的“伪基站”软件工作截屏。但该数据比较容易被人为修改。

如图3所示,为伪基站平台上某个号码的已发送对象与欺诈短信数量的软件页面,可以清晰地从IMSI列表上看到周边出现的手机被依次强制拉入。下图中的发送号码为伪基站在用户手机上所显示的号码,已发送条数是已经实际发送的短信数量,总条数是伪基站设置的发送条数,达到600000条便不再发送,短信内容即伪基站实际发送的短信内容。空白显示框中460*********8206是手机识别码IMSI,每一个IMSI码对应一个SIM卡号码,IMSI后显示的内容为每一条短信的发送时间。

图6伪基站软件平台示意图2

第二层:“伪基站”软件记录的发送短信日志。具体表现形式目前多见为send.data文件所记录的数据。该日志一般会在发送短信时统计收到短信用户的IMSI识别码以及IMEI识别码,通过对IMSI识别码进行数据统计,能够得出受到影响的用户数量。该数据一般非专业人员不易修改。

第三层:“伪基站”软件记录的软件工作日志。具体表现形式目前多见为Openbts.log文件所记录的数据。该日志描述了“伪基站”运行、配置以及其与手机交互相关关系,通常会形成四类数据:第一,用户换网记录;第二,鉴权记录,即用户手机到伪基站进行身份认证;第三,鉴权后发送短信的信令消息记录;第四,脱网记录。这四类数据中的后两类能够反映中断的用户数。但由于伪基站设备对数据处理能力的限制,该日志记录的数据存在记录不完整的缺陷。

以上伪基站案件中提取出的电子数据表现为通信日志、恢复日志等形式的通信记录,为《规定》中第一条第三款中的通信记录,符合电子数据的客观形式与法律规定。

 

(二)伪基站案件电子数据鉴定问题

电子数据鉴定应当保证数据的真实性、完整性、可靠性。通过电子数据鉴定查明某一现象或某一事件形成的原因,通过对客体的鉴定确定被怀疑的某种事实是否存在,过鉴定确定受审查事实的严重程度,即确定案件因果关系、确定事实的有无和事实的程度[3]

1、电子数据鉴定原则

根据《规定》第二条的要求,电子数据的收集提取与审查判断均应当注重电子数据的真实性、合法性、关联性、全面客观、及时有效等方面,主要遵循以下原则。

(1)电子数据真实性原则,即对电子数据真伪及形成过程进行鉴定。

电子数据由于其内容容易被篡改且看不出痕迹的特征,单独使用电子数据进行认定案件事实时,应当着重审查电子数据的真实性。因此,对于电子数据的收集与提取程序应由二名以上侦查人员进行[4],另外,收集、提取电子数据可以采取录像等方式辅助证实其真实性。对于电子数据的收集与提取程序进行规范既是真实性也是合法性的要求。

(2)电子数据完整性原则,即优先考虑对电子数据内容进行恢复与识别。

对犯罪嫌疑人所使用的电脑进行数据恢复,有助于确定其使用设备发送短信的内容、数量以及影响用户的数量。新型号的伪基站平台在指定时间或者通过预设操作销毁已发送数据。然而事实上电子数据的删除并非真正删除,只是修改了存储于磁盘空间上文件分配表(FAT)文件分配表,相当于修改了目录索引,改变了电子数据在磁盘中的位置,并没有删除相关数据,[5]因而提供了恢复数据的可能性。对于收集、提取电子数据的完整性要求也是关联性与全面客观的要求。

(3)司法实践中电子取证能力已经可以做到恢复已删除的数据,下图里是某伪基站案件中鉴定组在Ubuntu下提取的已删除log数据,这台伪基站里同类文件有数万个。

 

图7 伪基站查询删除日志图

(4)电子数据可靠性原则,对电子数据生成、传递、存储等运行情况的鉴定可以保障电子数据的可靠性。

电子数据的可靠性包含了收集、提取电子数据应当对电子数据进行检查,注重信号屏蔽,严格的批准手续下进行网络远程勘测等一系列保障证据信息及时有效的内容。

2、电子数据鉴定的作用  

第一,确定因果关系,即通过鉴定查明某一现象或某一事件形成的原因。通过对伪基站电子数据的分析,可以查明用户收到不明来源的诈骗短信、垃圾信息等大量信息以及骚扰电话的来源,了解案件的因果关系。

第二,确定事实的有无,即通过鉴定确定被怀疑的某种事实是否存在。通过对伪基站电子数据的分析,可以查明涉案伪基站占用合法基站信号,向不特定用户发送大量短信、拨打电话的事实,从而认定犯罪行为是否存在。

第三,确定事实的程度,即通过鉴定确定受审查事实的严重程度。通过对伪基站电子数据中不同IMSI码的数量可以查明涉案伪基站向不特定用户发送短信的数量、拨打电话的次数,从而认定犯罪行为是否达到定罪量刑的法定情节。

3、电子数据的鉴定主体争议

在司法实践中,对于伪基站案件,没有鉴定意见对案件的因果关系、事实有无、事实的程度认定起来都非常困难。通过笔者对裁判文书网有关伪基站的600多份一审判决书中所呈现的证据进行分析,发现有关伪基站中电子数据的鉴定主体各地区均存在差异,主要表现为以下三种鉴定途径:公安机关内部机构出具的电子数据勘查报告,移动公司出具的鉴定报告,无线电监测站出具的监测报告。

《公安机关电子数据鉴定规则》将电子数据鉴定界定为:“公安机关电子数据鉴定机构的鉴定人按照技术规程,运用专业知识、仪器设备和技术方法,对受理委托鉴定的检材进行检查、验证、鉴别、判定,并出具检验鉴定结论的过程。”以《公安机关电子数据鉴定规则》为调查取证行为准则的代表,北京市海淀区检察院就是这样出示证据的。海淀区检察院通过网监部门[6]出具的电子勘查来呈现电子数据信息,电子勘查报告,主要内容为在何地调取了何种文件,文件里有什么数据。然而公安机关作为追诉犯罪行为的机关,由公安机关内部的公共信息网络安全监察部门提供鉴定意见显然不符合证据的合法性和客观性。

检察院在提供上述网监部门提供的电子勘查报告,似乎觉得没有鉴定意见尚不足以认定案件事实,因此往往附随一份移动公司出具的证据材料。通常移动公司出具的证据材料题目名大致为“××勘查报告”,“勘查报告”性质上来说并不能够成为勘查,但在司法实践中,法院常常把移动公司出具的证据材料以勘查报告形式载于裁判文书。移动出具的所谓勘查报告里面也会涉及到发送了多少条短信。这两份证据在内容上如果吻合则可以进行认定。对此笔者认为,移动公司的“勘查报告”并不具有中立性,从主体角度来看,移动公司本身是受害方的一方,移动公司提供的“勘查报告”不能成为鉴定意见。但移动公司技术部门的人员出具的证言,相当于专家,可以作为专家证言成为法定证据。

在少数伪基站案件中,出现了无线电监测站提供的数据报告。国家无线电管理机构负责无线电信号的监测、监听,无线电设备检测,电磁环境测试,无线电信号的干扰查找及相关工作,研究伪基站违法问题是无线电监测机构职责所在。

(三)伪基站案件电子数据的司法适用

电子设备与电子数据在调查取证环节有较大差异、技术性强,因此上文将两者分别进行阐述。而在司法适用方面,电子设备的证据经过固定,以书证、物证、监测报告、鉴定意见等形式表现出来与传统证据类型相似,在司法实践过程中宜依照传统证据类型进行司法适用。而电子数据的司法适用仍然存在较大争议与适用难点。2014 年 10 月,北京市东城区检察院邀请电子取证领域专家召开了“伪基站案件电子数据的采集与认定座谈会”[7],随后东城区检察院网检处撰写完成了《关于办理非法使用“伪基站”破坏公用电信设施案件证据指引》(以下简称《指引》),在此处借以学习和研究。但造成用户中断数量仍然按照《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》进行处理显然不合理,应当制定更为具体统一的标准对扰乱无线电通讯管理秩序这一行为在立法层面予以明确。

1、优先运用IMSI识别码确定数量问题

该数据记录“IMSI识别码”能够较为客观全面的反应受到影响的用户数。但现有的伪基站软件中,已经出现了自动删除发送短信日志的功能(即仅保留最后一次发送任务日志)。因此,在运用第二层数据时应当进行数据恢复。通过笔者对东城检察院办理伪基站案件的实证研究发现,司法实践中即使获得IMSI与IMEI消息,仍然存在认定数量上的疑问。在此特别说明,每一个手机设备对应唯一一个IMEI号码,而每一张SIM卡对应唯一一个IMSI号码,这在计算伪基站发送短信数额方面非常重要,是定罪量刑的依据之一。因IMSI对应SIM卡,而IMEI对应手机设备,而手机设备有单卡和双卡两种模式。对于一个手机里存储两张SIM都接收到伪基站消息的数量计算,笔者与《指引》意见相佐,认为应当计两次,因为实际造成用户脱网的次数应为两次。即使出现重复的IMSI也不应剔除,应当计算其实际发送次数。

2、 辅助使用软件工作日志记录确定数量问题

该日志在GSM型伪基站中名称一般为Openbts.log。尽管该日志存在记录不完整的缺陷,但其记载的数量一定小于受到影响的用户数量,因此也符合“有利被告”的原则,如果第三层数据中的短信的信令消息数记录和脱网数记录“超过1万”,就可以用来证明受影响的用户“超过1万”。

 

四、结论

 

2017年3月最高人民法院、最高人民检察院工作报告中均提出重点打击以伪基站为主的电信网络诈骗犯罪。打击伪基站犯罪不仅需要依靠公安干警的积极巡查重点打击与打击电信网络犯罪的专业水平提升,还需要建立健全伪基站犯罪的立案制度、网络巡查监督制度与快递物流监管制度,以有效打击伪基站违法犯罪链条,保障公民财产安全、保障无线电通信管理秩序,有效遏制电信网络攻击。随着电信网络技术的不断升级完善,使用伪基站等新型技术设备从事犯罪行为仍然有可能道高一尺魔高一丈,因此建立健全完善的法律制度,在刑法层面予以规制是公民信息安全、财产安全、电信网络隐私与自由不受非法侵害的重要保障。

 

参考文献

 

[1]Ubuntu是基于linux的免费开源桌面PC操作系统.

[2]黑静.“伪基站”工作原理及其鉴定检测的方法探讨[J].信息技术与信息化,2014,04:251-253.

[3]王俊.论电子数据鉴定[J].证据科学,2008,02:242-249.

[4]《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中第七条第十条亦有所反映。

[5]天津市人民检察院第二分院课题组.论电子数据的刑事司法适用[J].天津法学,2014,02:84-91.

[6]网监是公安部新增加的一个警种,从公安部到公安厅再到设区市公安局,及县级公安局都会设立相应的部门,其职能在于打击防犯和查处互联网信息犯罪,其全称为“公共信息网络安全监察”。

[7]史绍丹.北京东城:网络电信犯罪专人专办[N].检察日报,2015-11-17(004).