作者:尚权律所 时间:2021-11-29
为规范电子数据的收集提取和审查判断,提高刑事案件办理质量,2016年9月20日,最高人民法院、最高人民检察院、公安部联合发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)首次提出了“电子数据冻结”程序。作为保护电子数据完整性的一种新方法,电子数据冻结程序的提出必然会给司法机关的侦查工作带来巨大挑战,司法机关如何应对这种挑战成为当下亟待解决的问题。本文试图对电子数据冻结的属性及其适用进行初步探讨,以拋砖引玉。
一、电子数据“冻结”概念的提出
(一)诉讼语境中的“冻结”
冻结,“比喻阻止流动或变动”。[1]如冻结人员、资金、物价等。法学意义上的冻结有两种含义,一是使变得固定而不能增加,如冻结利率、冻结价格;二是由政府命令或银行行动使其不动,[2]如冻结资产、冻结银行账户。可见,冻结一词因为在法律环境下又衍生了其不同于传统汉语语境下的意义,更甚者,冻结在三大诉讼法的含义与性质也不尽相同。尽管法律没有专门对冻结一词作出解释,我们仍然可以通过对比研究三大诉讼法中关于“冻结的条款”,从中管窥冻结的含义与性质。
2014年新修改的《行政诉讼法》第12条第1款规定:“人民法院受理公民、法人或者其他组织提起的下列诉讼……(二)对限制人身自由或者对财产的查封、扣押、冻结等行政强制措施和行政强制执行不服的……”可见,在行政诉讼法中,冻结是一种和查封、扣押并列的行政强制措施,而且主要是限制金融资产的流动的强制措施,既包括冻结银行存款、汇款和邮政企业汇款,也包括股票等有价证券。
另据《刑事诉讼法》第142条,“人民检察院、公安机关根据侦查犯罪的需要,可以依照规定查询、冻结犯罪嫌疑人的存款、汇款、债券、股票、基金份额等财产……犯罪嫌疑人的存款、汇款、债券、股票、基金份额等财产……已被冻结的,不得重复冻结”。冻结同查询一样是我国侦查机关的一项法定职权,也是一种法定的强制性措施。尽管刑事诉讼法没有对冻结的性质作出明确规定,但我们可以从法条中推断,人民检察院和公安机关是为了侦查犯罪的需要才冻结犯罪嫌疑人的存款、汇款等。因此,这里的冻结可以理解为是一种对物的强制性措施。
2012年《民事诉讼法》第103条规定,“财产保全采取查封、扣押、冻结或者法律规定的其他方法……”这里的冻结,是指人民法院向银行、证券公司等金融机构发出协助执行通知书,不准被执行人在一定期限内提取和转移该项存款、证券的执行措施。[3]可见,民事诉讼法中的冻结不同于行政诉讼法和刑事诉讼法中的冻结,它是一种防止被执行人转移、隐匿财产的财产保全措施。
通过对三大诉讼法中相关“冻结”条款的梳理,可以得出结论:冻结在我国诉讼法上的属性主要是一种限制金融资产流动的强制性措施。除了民事诉讼中的财产保全外,包括冻结银行存款、汇款和邮政企业汇款,也包括股票等有价证券。
(二)电子数据冻结的属性
通过上面的分析不难发现,在传统司法实践中,冻结一般仅限于财物,如存款汇款、股票、证券等。《电子数据规定》的出台,则使“电子数据冻结”出现于我国刑事司法实践当中。根据文本解读,笔者认为,所谓“电子数据冻结”即为防止电子数据被随意增删修改,运用技术手段对电子数据进行固定保全。
那么对于无形的电子数据是否能够冻结呢?我们可以通过分析电子数据冻结的可行性与必要性来回答这个问题。
1.电子数据冻结的必要性
所谓电子数据取证,即通过各种合法取证手段对相关储存介质中的涉案信息进行发现、收集与固定。[4]与传统证据相比,作为一种新的证据类型,电子数据在取证过程中更容易发生变化。比如,当行为人认为某份文件不具有保存价值时,只需用鼠标轻点“删除”指令,即可将文件删除,几乎不需要耗费任何时间和精力。[5]英国高级警察协会(ACPO)在《数据证据良好实践指南》中指出,“操作系统和其他程序的经常更改,添加和删除电子内容存储都可以自动发生而不为用户所知”。[6]也即,即使行为人没有对数据实施操作,电脑程序本身的运行也会导致电子数据的改变。电子数据脆弱易变的特征使得其极易遭到外来破坏,尽管被删除后的电子数据往往能够进行数据恢复,但相关恢复工作所耗费的时间很可能使案件侦查错过最佳时机,更遑论一些较为特殊的电子数据一旦破损灭失,便再难以修复和再现。此时,电子数据冻结的及时性就尤为突出了。
在传统司法实践中,侦查机关收集提取电子数据的方式主要是搜查、扣押。即扣押保存能证明案件事实的存储涉案数据的计算机设备或数据存储设备,采用扣押的方式能够有效阻止犯罪信息的进一步传播,减轻社会危害性。但搜查、扣押存在着很大的局限性,例如对于大型网站的计算机网络系统,就很难采用扣押全部设备的方式,即便是只扣押其中的某些数据库计算机系统,也可能使商业网站不能正常运作。[7]除此之外,在当前及未来继续发展的云计算存储环境下,数据存储将呈现“分布式”的状态,即数据可以以碎片化的形式在不同位置得以保存。在分布式存储的状态下,侦查人员根本无法判断哪个是原始存储介质,甚至找不到原始存储介质的所在之地。涉案数据可能分散存储在不同的第三方平台,这使得扣押原始介质这种取证方式很难实现收集提取证据的目标[8]。
2.电子数据冻结的可行性
经过多年的发展,现有的取证技术已经日趋成熟。例如,数据复原技术、数据监控技术、密码破译技术、日志分析技术、数据复制技术、镜像备份技术等能够精确地搜查电子数据继而进行数据冻结,取证工具的推陈出新也为电子数据的收集提供了保障。[9]另外,电子数据取证需要遵循严格的技术标准与程序,这对取证人员的计算机专业能力提出了很高的要求,而一般侦查取证人员并不具备这种专业水平。基于电子证据取证的实践困境,第三方专业取证机构便应运而生,并在协助侦查机关收集提取电子数据方面发挥了举足轻重的作用。比如“快播案”中,北京市公安局治安管理总队基于自身技术瓶颈,委托某信息技术公司协助其开启、提取、解码相关涉案电子数据获得了涉案的关键证据。[10]
除此之外,在大数据时代,电子数据主体与其实际持有者发生了分离,大部分个人信息并没有掌握在信息主体手中,而是为网络平台所掌控。腾讯、阿里巴巴、新浪、京东商城、亚马逊、Facebook等平台型企业的逐步壮大,并深刻影响着人们的生活、交往方式。在这种趋势下,持有海量电子数据的网络平台也就逐渐成为了电子数据取证的重要来源[11]。而2016年《网络安全法》的出台为网络服务提供商设置了安全保护义务[12],为网络服务商协助侦查机关冻结电子数据提供了法律基础。
二、电子数据冻结程序的运行障碍
冻结与搜查扣押一样,都是提取电子数据的一种手段,二者既有联系又有区别。联系在于扣押冻结电子数据前都要先确定电子数据是否存在于某个服务器或存储设备上,区别在于提取电子数据以扣押存储设备为原则,当设备不便于提取时才考虑对电子数据进行冻结。因此,搜查、扣押电子数据面临的实践难题也会是电子数据冻结所面临的问题。我们可以通过对比电子数据搜查、扣押实践的困境来分析电子数据冻结将会面临的问题并提出解决方案。
(一)电子数据冻结侵权问题突出
电子数据冻结措施影响的不只是电子数据持有者,还常常关涉网络服务提供商、第三人乃至公众的利益。因此,电子数据冻结中的权利保障问题是我们应该重点关注的问题。[13]
第一,冻结电子数据易侵犯犯罪嫌疑人和第三人的权利。取证人员在冻结电子数据之前往往要先搜查涉案计算机系统及其存储设备,对于联网的计算机还要搜查相关网络服务系统,以便于确认是否冻结电子数据,以及冻结的范围。但搜查电子数据和保护信息主体的隐私权是相互矛盾的,因为涉案计算机系统一般存储着海量的、各式各样的电子数据,既有涉案的犯罪嫌疑人的信息,也有毫无关联的第三人的信息。同理,对第三人进行电子数据冻结时也可能侵犯其合法权利,影响其正常的信息往来、交流。比如,犯罪嫌疑人利用计算机实施了网络诈骗,侦查人员在对涉案计算机进行搜查取证时,可能会搜查到与案件无关的其子女的姓名、家庭住址、单位、职业等个人隐私信息。此时,侦查机关的取证行为就有可能侵犯第三人和犯罪嫌疑人的隐私权。
第二,冻结电子数据易侵犯网络服务商的权利。网络服务商计算机系统在正常运营的情况下不仅存储着网络用户的信息,也存储着自身的一些重要信息,比如商业秘密、重要客户资源等。如果需要搜查、冻结企业用户的网络系统时,通常会要求这些企业提供配合、协助。如此一来,就可能对企业的正常运行造成障碍、增加其人力物力的负担,甚至会导致这些企业的商业秘密泄露,造成经济损失,损害企业商业利益。[14]这也是网络服务商在实践中不愿协助侦查机关调查取证的一个重要原因。
(二)网络服务商怠于履行其侦查协助义务
刑事侦查是打击犯罪的重要国家活动,因此公安机关收集提取电子数据的目的就是查清案件事实,打击犯罪。而网络服务商基于合同义务和侵权法上的权益保护义务必须对信息主体提供个人信息保护。[15]在两种价值目标下,如何协调侦查机关收集电子数据与网络服务商的信息保护义务,就成了实践中棘手的一个问题。
除了能向侦查机关提供犯罪嫌疑人的涉案个人数据,在犯罪人对数据实施加密、隐匿等反侦查措施的时候,网络服务商基于其技术优势也能为侦查机关提供必要的技术支持。实践中,大型的网络服务商掌握着大量的电子数据,如果侦查机关能掌握到这些电子数据,对案件的迅速、准确侦破将十分有利。但实践中的问题在于,很多网络服务商不愿配合侦查机关取证,怠于履行其侦查协助义务。近年来“秦火火案件”“韩兴昌案件”引起了社会的高度关注,在这些案件中,网络服务提供者怠于履行其管理职责,或出于自身利益考虑,不积极协助办案机关进行调查是导致案件难以侦破的主要原因之一。这种行为不但严重影响了侦查机关的工作效率,还对相关网络犯罪起到了推波助澜的作用,危害极大。[16]由于缺乏具体而严厉的惩罚措施,司法实践中,各大互联网企业经常以“不存储数据”“保护个人信息”“取证时间长”等理由来应对司法机关的协助取证要求。另外,2015年8月新颁布的《刑法修正案(九)》也提出了网络服务商承担刑事责任的新模式。对于不履行网络安全管理义务导致违法信息大量传播等危害结果的网络服务商将有承担刑事责任的可能。[17]这就给网络服务商无正当理由拒不承担侦查协助义务入刑提供了重要参考。
(三)电子数据冻结程序制衡机制不规范
《电子数据规定》第11条规定:“具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:(一)数据量大,无法或者不便提取的;(二)提取时间长,可能造成电子数据被篡改或者灭失的;(三)通过网络应用可以更为直观地展示电子数据的;(四)其他需要冻结的情形。”
但这只是一种原则性的规定,在实践中可能引发诸多问题。首先,进行电子数据冻结前,到底是报公安机关还是检察机关批准呢?这在实践中可能会引起争议,导致公检两家“掐架”。另外,检察机关在某些案件中本身也就是侦查机关,这种“自批自侦”无法保证监督的有效性,容易流于形式,导致公权力对私权利的侵犯。正如孟德斯鸠所言“一切有权力的人都容易滥用权力”,这是一条亘古不变的规律。因此,实践中就可能存在电子数据冻结既由侦查机关批准又由侦查机关执行的尴尬场面。侦查机关的冻结行为缺乏有效的外部监督极易引发公众对权利保障的担忧。与此同时,“数据量大”“无法、不便提取”等应该如何界定?这种模糊的用词,既缺少规范化的解释,又无明确的操作标准,极易导致侦查机关扩大冻结范围,任意决定冻结的对象与范围。比如,冻结与案件无关的电子数据、应冻结而不冻结、将所冻结的电子数据随意解冻从而引发纠纷与矛盾。尤其是侦查机关在“要案必破”的压力下,为了尽快破案,甚至是在某些经济利益的推动下,往往会不加区分地将嫌疑人的所有电子数据“一网打尽”,从而侵犯嫌疑人的合法权利。法律规定的阙如,中立监督机关的缺失,使得电子数据冻结程序很难发挥出其应有的作用。
(四)电子数据冻结面临的技术问题
《电子数据规定》第12条第2款规定:“冻结电子数据,应当采取以下一种或者几种方法:(一)计算电子数据的完整性校验值;(二)锁定网络应用账号;(三)其他防止增加、删除、修改电子数据的措施。”
该款指出了冻结电子数据的两种技术方法一计算电子数据的完整性校验值和封锁行为人的账号。但在司法实践中,这两种方法并不一定奏效。
首先,对于计算电子数据的完整性校验值,根据笔者的理解,冻结是一种数据固定的方法,起到一种固定保全数据的作用,但是这个过程却是看不见摸不着的。而进行数据完整性校验值的计算,通常情况下是将两个文件进行对比,确保其一致性。笔者认为该方法在电子数据冻结过程中可操作性不大。当前是一个大数据时代,这个“大”,首先便指的是数据“量”的巨大。麦肯锡认为,“大数据”是指其大小超出了典型数据库软件的采集、储存、管理和分析等能力的数据集。[18]因此,当用户的数据达到一定程度的时候,这个计算量会非常大,无论是将数据打包一起计算还是单个计算,都会占用非常多的资源。有时一条1T的文件会被系统拆分成两个500G的小文件存放于不同的存储设备中,而行为人账号下显示的是一个完整的文件,下载之后也是完整的,如此一来,单独计算MD5值变得毫无意义。
其次,采用封锁当事人账号的冻结方法同样不具有现实可操作性。众所周知,网络本身便是一个开放式的共享平台,网络数据正基于其便捷性和共享性才得以迅速传播。虽然侦查人员或网络服务者封锁了行为人的一个账号,但不能确保该用户是否只有这一个账号。目前,我国个人信息保护体系并不完善,犯罪分子冒用他人名义注册账号进行违法犯罪活动时有发生。当冻结了犯罪分子的一个账号后,说不定会打草惊蛇,导致其使用其他的账号进行数据备份,并逃之夭夭。另外,锁定账号虽然禁止了行为人自身登录使用的行为,但其后台数据同样可能因数据共存或系统运行原因而发生改变。
三、电子数据冻结程序的规范化构建
从我国当前司法实践来看,电子数据冻结面临法律规制和技术提升的双重任务。既要在法律规制方面保障数据持有者的权利,司法化电子数据冻结程序、明确网络服务商的侦查协助义务,又要在技术上采用数据汇流与镜像备份化构建中需要注意以下几方面的问题:
(一)强化数据持有者的权利保障
采用电子数据冻结来收集证据对于及时、准确地侦破案件十分有利,但对信息主体的隐私权带来了新的挑战,无形中置公民的人权于危险之下,有导致刑事诉讼中侦查权力扩张之嫌。[19]《电子数据规定》中对电子数据冻结的范围规定得过于宽泛,在未来的立法或者司法解释中,应该细化其范围,明确其标准。比如,如何界定“数据量大,无法或者不便提取和提取时间长,可能造成电子数据被篡改或者灭失的”中的“数量较大”“不便提取”?只有细化其标准,消除其不确定性,才能减少对电子数据持有人及相关网络服务商权利的侵犯,也为侦查机关的违法操作减少了空间。
然而,电子数据信息量的庞大以及不可分离性使得区分其是否跟案件有关变得十分棘手,网络技术的迅速发展也使得立法无法一一列举电子数据冻结的范围,那么我们就应该在电子数据被错误冻结后给予相对人充分的救济。一般说来,向侦查机关进行复议申诉获得救济的可能性不会太大。那么我们可以效仿错误冻结财产的救济方式,将电子数据错误冻结造成的损失纳入到《国家赔偿法》的范围中来,通过国家赔偿来使相对人获得一定的救济。
除了在实体上对相对人进行救济之外,对侦查机关的冻结程序也应该进行相应的规范。除了从正面规定侦查机关应该遵循哪些程序,不能作出哪些行为之外,对违法冻结的电子数据的程序也应进行相应的制裁。目前,我国只对非法获得的言词证据进行了排除,非法获得的实物证据仍然可以作为证据使用。笔者建议我国应该构建电子数据的非法证据排除规则,把非法收集的电子数据予以排除在法庭之外,一方面可以切断侦查机关的违法取证的动机,另一方面也保证了相对人的合法权利。
(二)明确网络服务商的侦查协助义务
在配合、协助公权力机关监督检查和侦查的义务上,《电信条例》《互联网信息服务管理办法》以及《全国人大常委会关于加强网络信息保护的决定》等法律法规中都早已有相关规定。[20]最新的《网络安全法》和《电子数据规定》也再次强调了网络服务商的侦查协助义务)。
然而,通过对比这些法律规定,不难发现:第一,现有的法律规定过于强调侦查机关的权力,一味强调网络服务商的责任与义务,却忽视了他们的权利与相应的救济措施。殊不知,维护网络安全需要共同治理,网络服务提供商同网络用户一样作为网络空间的参与者,同样应当享有一定的权利并在权利受侵害后获得相应的救济措施。[21]网络服务商本质上是市场主体,利用其技术优势为监管机关提供相应的服务,其为监管而付出的成本应当有相应的对价补偿机制,以増加其协助的积极性。
第二,上述法律法规尽管确立了网络服务商的协助义务,但其太原则化,应该结合实践情况进行细化。除应对互联网企业配合调查取证的时限、管辖等程序性规则进行明确之外,还应规定具体的惩罚机制。正是由于网络服务商的行为一般只受行政法规的规制而不用承担刑事责任,也并没有严厉的针对性惩罚措施,才导致很多案件中网络服务商怠于行使其管理职责,也不愿配合公安机关的查处工作。对于没有正当理由拒不履行协助义务的互联网企业应该承担的责任都要具体而明确。
在侦查协助方面,金融机构在协助侦查机关调查取证方面已经做得相当成熟,累积了较为丰富的经验,有很多方面值得我们参考借鉴。[22]比如,效仿侦查机关与金融机构签订协助协议的做法,侦查机关可与储存较多涉案网络电子数据的网络服务商签订协议,进行合作。比如,百度云盘经常被犯罪人利用以传播淫秽视频,那么百度公司相关服务器就存储有大量涉案信息。侦查机关可以通过与其合作来冻结涉案电子数据。再者,有条件的网络服务商可以效仿金融机构设立专职部门或专职人员,负责接待要求电子数据冻结的司法机关,及时处理协助事宜等,不一而足。
(三)建立电子数据冻结审批程序
如前所述,电子数据冻结是一种对物的强制性措施。这种强制措施涉及公民的隐私权和处分权、企业的商业秘密等重要权利,必须严格贯彻司法审查原则,以保障相对人的合法权利。对此,可以参照发达国家对物强制措施的审查方法。如在法国,只允许预审法官决定是否对物采取强制性措施。德国只允许由法官决定,或在延误有危险时也可以由检察院和其辅助官作出决定。意大利由司法机关决定。美国联邦刑事诉讼规则规定签发扣押令状的权限在联邦治安法官或联邦辖区内的州记录法院。英国规定对物的强制行为的决定权在治安法官。[23]
借鉴发达国家的经验并结合我国目前的司法实践,笔者建议电子数据冻结可以采用“事前审查为主、事后审查为辅”的方式。[24]首先在侦查机关实施冻结行为前对其进行司法审查,能及时有效地防止侦查机关违法实施冻结行为,使之符合程序正当的要求,达到保障公民合法权益的目的。对侦查机关的冻结行为实行事前审查能起到积极有效的侦查监督作用。具体而言,一般情况之下侦查机关冻结犯罪嫌疑人的电子数据须有法院签发的冻结令。事后审查是在出现某种特殊的紧急情况时,侦查机关如不及时采取措施将严重影响侦查效果,如犯罪嫌疑人可能会在公安机关申请司法审查时转移删除篡改电子数据以逃避侦查。所以,应当允许侦查机关在紧急情况下“先执行后申请”的权力,但是应当严格限制适用的条件,包括紧急情况的认定标准、执行后的申请期限的规定等,否则就是对被执行人财产权的侵犯。事后审查可由法官负责审查侦查机关的冻结行为是否符合程序的正当要求。事前审查即侦查人员在采取电子数据冻结前必须取得法院的令状。事后审查是对事前审查的一个弥补,即发生了不及时冻结电子数据可能导致该证据有毁损灭失的紧急情况时,侦查机关可以先行冻结涉案电子数据,与此同时,侦查人员应该在法定期限内及时提请法院审查。
(四)明确电子数据冻结方法
1.冻结应当是对数据的冻结而非账户的冻结
此处的数据指的是同案件相关联的电子数据,以传播淫秽物品案件为例,这其中的数据就可以包括视频文件、用户操作记录文件、存储映射记录文件等多种与案件事实相关的信息载体。
在网络数据的存储中文件的操作已经不再是传统意义上的修改、复制、粘贴了,这是因为网络服务提供商在追求经济效益和满足客户需求的过程中早已形成了一套行之有效的操作方法。如张三的网盘中有一份《疯狂动物城-电影世界》,而李四的网盘中有一份《疯狂动物城-电影共享》。其实这两人的网盘中都是同一个文件,只不过文件名不一样,网络服务商会在这种情况下利用一些识别文件相同性的算法,例如计算MD5值。只要两个文件的MD5值一样,文件大小一样,就认定两份文件是相同的。假如网络上存在一份MD5值相同的文件,那么这份文件在这家网盘中只有唯一的一份,其他所有用户个人网盘中的只不过是这个文件的一个映射,而网盘用户对自己空间的操作实际上大多操作的只是一种映射文件。
冻结主体在进行冻结操作的时候以数据本身为出发点,除冻结执行机关外其他人并不知晓冻结的目的。网络服务商对于相同文件的存储执行方式,是类似于一种放射性的模式,即只有一个中心,虽然各个支点可能有不同的表现形式,但是其本质都是一样的,即从各个支点都能找到这个中心,而从该数据中心出发并不能确认到具体的支点。这样不仅可以解决仅冻结行为人账号带来的弊端,而且当冻结的数据出现灭失或删改时,可以明确该网络服务提供商的责任,方便查纠追责,同时也能确保电子数据的完整性。
2.采用数据汇流与镜像备份继续服务方法
数据汇流与镜像备份继续服务的方法,是笔者提出的一种数据冻结思路,或者也可以理解为证据固定思路,它可以应对网络服务将数据分割、分散的实践,并具有隐蔽作用,能够确保在电子数据冻结的过程中不被犯罪嫌疑人所察觉,也有利于保护数据,并能在犯罪嫌疑人的使用过程中对其进行定位。
(1)数据汇流
网络服务中的数据存储是以分布式、聚群存储系统为主导的存储方式,这种方式会经常将体积过大的文件进行分割,以达到网络服务商所追求的经济效益。也就是说,在网络服务中,同一个用户的数据不一定存放在同一块硬盘或服务器中,一个文件也有可能因为存储系统自动地被分割成几个小块放置于不同的服务器中。因此,我们在进行数据冻结的时候要考虑到电子数据作为证据时其信息的可识别性,而且直接对原始的数据文件进行操作也不符合电子数据“禁止操作原件”的规定。
对此,笔者提出了一种解决思路。首先把可能涉及的独立数据文件计算哈希值,然后拷贝或转移至服务器中的一块充足的空间(足以容纳下全部的所需要的文件),就像是小溪汇人湖泊之中。这样做是在服务器内部进行转移,相当于存有数据的服务器同时进行运算,能使传输效率最大化,极大地缩短拷贝所需要的时间,并且这种操作在客户端是没有任何反馈的,不会引起嫌疑人的警惕。以传播淫秽物品案件为例,嫌疑人是一个团伙而非个人,该团伙成员网盘中存在的多是视频文件的映射文件,因此数据汇流也是完全具有可操作性的。
(2)镜像备份继续服务
正如美国学者欧林·S.克尔指出的,“为了确保原始证据的完整性(in-tegrity),计算机法庭科学的第一步通常是生成一个原始存储设备的完美‘比特流’备份或者‘镜像’,这些‘比特流’备份或者‘镜像’被标注为‘只读’,所有的分析都是在‘比特流’备份而非原件上进行的”。[25]因此,在侦查人员在取证过程中一般不会对数据原始设备进行操作而是在其备份设备上操作。电子数据冻结同样也应遵循这个规则,在保护电子数据完整性的同时继续对嫌疑人的行为进行监测,既不能让嫌疑人操作原始数据,又不能让嫌疑人察觉到变化。
数据镜像备份继续服务的方法能够完全满足上述需求。数据在经过数据汇流之后,所有同嫌疑人有关的数据都被转移到一个整块的区间,包括其用户日志、映射文件等多种有关的证据,此时比对文件哈希值,确保数据的一致性(排除嫌疑人在我们进行冻结操作过程中登录并操作数据带来的影响)。
接下来就可以对数据进行冻结了,即拷贝一份完全一样的内容,并将原始内容同用户的之间的通信切断,仅仅将备份的那份镜像同嫌疑人建立通信关联,这样嫌疑人的操作将不会影响到原始的数据文件;传统的金融机构冻结资产,冻结银行账户后嫌疑人完全无法使用自己银行账户中的金额,而网络犯罪的特殊性使得电子数据的冻结不一定发生在确定嫌疑人之后。由于网络匿名性的特点,发现违法行为之后,确定嫌疑人也需要一定的时间,因此,当使用数据镜像备份继续服务的方法时,侦查人员还可以在将镜像文件同嫌疑人账户建立联系的过程中添加追踪IP的程序,能够做到当嫌疑人同服务器进行通信的时候,快速锁定嫌疑人位置,并能清晰了解到相关的传播途径和违法信息的来源。
参考文献及注释:
[1] 参见《现代汉语词典》,“冻结”条,第233页。
[2] Black’s Law Dictionary(9thEd).West Group 2009,p.737.
[3] 具体参见《中华人民共和国民事诉讼法(2012修正)释义》(第2版),载北大法宝。
[4] 王永强、陈成+《职务犯罪侦查中电子数据取证问题研究》,载《湖南警察学院学报》2015年第5期。
[5] 陈永生:《电子数据搜查、扣押的法律规制》,载《现代法学》2014年第5期。
[6] ACPO Good Practice Guide for Digital Evidence March 2012.
[7] 皮勇:《电子证据的搜查扣押措施研究》,载《江西公安专科学校学报》2004年第1期。
[8] 谢君泽:《收集提取和审查判断电子数据规定之逐条评析》,载http://www.evidencelaw.net/show2.asp?AID=1172,2017年6月11日访问。
[9] 美国Guidance Sofware公司的EnCase、厦门美亚柏科信息股份有限公司的取证大师等为一些执法机关所采用。另外,市场上还有电子邮件取证分析软件、苹果分析取证软件等专门取证软件。
[10] 王志刚:《从“快播案”看当前电子数据运用困境》,载《法治研究》2016年第4期。
[11] 王燃:《大数据时代个人信息保护视野下的电子取证——以网络平台为视角》,载《山东警察学院学报》2015年第5期。
[12] 《网络安全法》第条对网络运营者的安全义务做了详细规定,如确定了网络安全负责人制度、强化网络安全行为的技术措施、采取数据分类、重要数据备份和加密等措施,同时要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。
[13] 皮勇:《电子证据的搜查扣押措施研究》,载《江西公安专科学校学报》2004年第1期。
[14] 皮勇:《电子证据的搜查扣押措施研究》,载《江西公安专科学校学报》2004年第1期。
[15] 谢珺:《论网络服务提供者的个人信息保护义务》,载《新闻知识》2011年第2期。
[16] 赵远:《浅析网络犯罪中网络服务提供者的刑事责任》,载《工会信息》2014年第26期。
[17] 涂龙科:《网络内容管理义务与网络服务提供者的刑事责任》,载《法学评论》2016年第3期。
[18] Manyika J,Chui M,Brown B,et al. Bigdata:The next frontier for innovation,competition,and productivity,McKinsey Global Institute,2011:1-137.
[19] 刘建杰、王琳:《网络犯罪中电子证据取证相关问题探析》,载《学术界》2013年第S1期。
[20] 《互联网信息服务管理办法》第16条规定,“互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条(反对宪法所确定的基本原则的……散布谣言,扰乱社会秩序,破坏社会稳定的……)所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告”。第23条规定:“违反本办法第十六条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非经营性互联网信息服务提供者,并由备案机关责令关闭网站。”《电信条例》第66条规定:“……除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。”《全国人大常委会关于加强网络信息保护的决定》第10条规定,有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
[21] 刘品新、宗元春:《新机遇与新挑战:从网络安全立法管窥电子取证》,载《保密科学技术》2016年第3期。
[22] 金融机构在协助侦查机关查询、冻结、扣划等方面已有相关的行业管理规定,都对金融机构协助侦查机关冻结工作制定了较为明晰、便于执行的程序与操作流程。如2002年《金融机构协助查询、冻结、扣划工作管理规定》第7条规定,金融机构应当在其营业机构确定专职部门或专职人员,负责接待要求协助查询、冻结和扣划的有权机关,及时处理协助事宜,并注意保守国家秘密;第8条规定,办理协助查询业务时,经办人员应当核实执法人员的工作证件,以及有权机关县团级以上机构签发的协助查询存款通知书。2014年《银行业金融机构协助人民检察院公安机关国家安全机关查询冻结工作规定》第6条规定:“银行业金融机构应当在总部,省、自治区、直辖市、计划单列市分行和有条件的地市级分行指定专门受理部门和专人负责,在其他分支机构指定专门受理部门或者专人负责,统一接收和反馈人民检察院、公安机关、国家安全机关查询、冻结要求。”
[23] 冯军、孙延庆:《侦查机关查询冻结制度的检视与完善》,载《东方法学》2010年第3期。
[24] 冯军、孙延庆:《侦查机关查询冻结制度的检视与完善》,载《东方法学》2010年第3期。
[25] Orin S. Kerr,Searches and Seizures in a Digital Worl, Harvard Law Review , 2005 (119):531 -532.
来源:《证据法学论丛》第六卷
作者:王志刚 重庆邮电大学网络空间安全与信息法学院法学系主任、教授,法学博士。
杨 敏 重庆邮电大学网络空间安全与信息法学院诉讼法学专业硕士研究生。