查看原文
其他

新媒首发 | 孙玉龙:以信息转移为成痕机制的电子痕迹研究

(题字:南开法学校友安尧)


孙玉龙 | 北京策略律师事务所律师。时为中国人民大学法学院2016届法学硕士。

本文曾获最高人民法院中国应用法学研究所“互联网刑事司法问题研究”征文三等奖。发表于蒋惠岭主编,范明志、李玉萍副主编:《网络刑事司法热点问题研究》,人民法院出版社2016年版。


犯罪过程中的信息转移原理打通了电子痕迹与传统痕迹的界限,电子痕迹名正言顺地成为了庞大痕迹体系中的一员。如物质交换原理是传统痕迹的成痕机制一样,信息转移原理是电子痕迹的留痕机理。明确了电子痕迹的特点,有助于审理互联网刑事犯罪。

关键词:电子痕迹;信息转移原理;物质交换原理


一、引言

痕迹是侦查、鉴定所需要的重要物证。承痕体上所反映出的造痕体的静态外在结构花纹形象特点,分离体断离面、断离线的特点,以及人的某些习惯性动作特点等,可在侦查中用于分析案情、造痕体、留痕人的特点,在鉴定中用于同一认定、种属认定。

随着信息技术、计算机技术等高科技的发展,人们的生活渐渐由现实三维的物理世界延伸到了虚拟网络世界。计算机、手机、互联网等这些电子设备和虚拟世界已经成为了人们的必需品。甚至手机已经成为了人们身上的“电子器官”,每天随身携带,形影不离。

在这种新形势下,一方面计算机网络犯罪这一新型犯罪大量出现,在虚拟世界会留下许多电子痕迹;另一方面,电子设备作为连接现实世界与虚拟世界的桥梁,在现实世界中的犯罪行为,及其相关行为也会在电子设备、虚拟网络世界留下电子痕迹。这些“隐秘而忠诚”的新型电子痕迹对于侦查、鉴定有着无可比拟的价值。

许多学者已经意识到电子痕迹的重要性,对这种新型痕迹展开研究分析。然而,大多数人对于电子痕迹只是表面、孤立地去研究,缺少理论深度,同时也没有系统性。笔者认为,电子痕迹仍是痕迹的一种,与痕迹是特殊性和普遍性的关系。

笔者不惴浅陋,旨在回顾总结我国对传统痕迹和电子痕迹的研究情况,结合传统痕迹学的理论对电子痕迹进行分析、梳理,提出一种电子痕迹的分类模型及成痕机制。


当前对电子痕迹的认识

(一)传统痕迹认识的发展

“痕迹”一词,并非自古就有。在我国古代,“痕迹”二字是分开使用的,各有不同的含义:“痕,胝癫也。”特指创伤痊愈后留下的疤;“迹,步处也。”特指人和动物行走时留下的足迹。在现代,“痕迹”已成为刑事侦查学和物证技术学的专有名词,并且随着科学技术的发展,人们认识世界的不断深入,痕迹的内涵和外延不断丰满、充实。我们对痕迹的认识不断接近其本质,对其利用越来越充分。

最初在侦查领域,人们对痕迹的理解仅限于形象痕迹。痕迹学只是研究那些能够在这一有形客体上引起另一有形客体的外表结构反映形象的那些反映。

形象痕迹是指一个客体在力的作用下与另一客体接触后在该客体表面上形成并能反映留痕客体接触面花纹结构特征的一类印痕。例如在客体表面留下的血指纹,在瓷砖地面上留有单个带有灰尘的足迹等,这些都是形象痕迹。随着实践的发展,人们发现单纯的形象痕迹,已经不能适应新的侦查发展。痕迹检验由最初的形象痕迹检验扩大到了动作习惯痕迹和整体分离痕迹的检验。

动作习惯痕迹是指将人的动作习惯特点在承痕体上形成的反映形象,如笔迹、成趟的足迹,分别反映出个人的书写动作习惯特点和行走动作习惯特点。此种痕迹的原理主要是人们经过长期地实践和反复地练习,会在大脑皮层内形成与人体运动器官相协调活动的条件反射锁链系统。一旦形成这种系统,人的相应动作便具有了鲜明个人习惯特点的动力定型,在短时间内很难发生较大的改变。所以根据此类痕迹反映出的动力定型可进行人身同一认定,对侦查和鉴定有很大的价值。

整体分离痕迹是指,客体在外力作用下发生分裂或断离,在断离端的分离线、分离面上会留下具有某些互补特征的反映形象,根据此类反映形象,可判断断离后的分离体是否来源于同一客体,可进行分离体同一认定。     

为了弥补对痕迹认识理论上的不足,苏尔古冷和张玉镶在1981年,提出了“痕迹体说”的概念。他们认为,一个痕迹应从形象、动力、物质三个不同的方面去认识,即一个痕迹体包含三个不同质的特征——痕迹元,分别是反映客体外表结构的形象痕迹元,反映客体动作习惯,作用力方向、大小、速度的动力痕迹元和反映客体分离出物质特征的物质痕迹元。

这三种痕迹元共存于一个痕迹体。例如根据瓷砖地面上的成趟灰尘足迹,从形象痕迹元角度,我们可利用单个足迹的形象特征分析留痕鞋底的形象花纹特征可进行鞋的同一认定;从动力痕迹元角度,我们可分析成趟足迹的步法特征以分析行走人的行走动作习惯、作案时的心理特征和行走状态;从物质痕迹元角度,我们还可以分析利用形成足迹的中介物质——微量的灰尘或是附着在脚印上的气味,仍然有很多侦查价值。

“痕迹体说”强调对一个痕迹要从三个方面去认识和分析,充分利用痕迹所携带的信息,为侦查、鉴定服务。对一个痕迹从多个角度去认识、挖掘信息,使得我们对痕迹的认识有很大的启发性。笔者认为,“痕迹体说”应该是痕迹信息化认识的萌芽。

然而,“痕迹体说”并没有得到学界的一致肯定。黄有兴、徐纯科于1984年指出“痕迹体说”并没有抓住痕迹的本质,离开反映形象去谈痕迹,把与体表痕迹无关的物质痕迹元等一些东西也视为痕迹的一种。黄、徐二人强调,痕迹的本质是反映形象,承痕客体的体表形象是痕迹的共性。

三类痕迹都应该统一在反映形象上,为此,他们对于痕迹的定义是:因犯罪活动使现场上有形客体的组合形态外化在体表形象上(整体分离痕迹),或者把外部特征(形象痕迹),作用力的特征(动作习惯痕迹)反映在另一客体的体表形象上。

显然,黄、徐二人对于痕迹的观点更保守一些,把痕迹的概念牢牢地绑在反映形象和体表形象上。当然,他们对“痕迹体说”也有肯定,认为通过动力痕迹元和物质痕迹元的观察研究对揭露犯罪和证实犯罪有很大的价值。

也有学者从哲学层面深化了痕迹的认识,认为:痕迹是指正在存在、曾经存在的物质与意识的反映。痕迹不是物质与意识本身,而是反映。这种“反映”必须通过中介物质和承载物才能实现。被反映的物质和意识称为造痕体,承载“反映”的物体称为承痕体,借助于传递信息的物质称为中介物质或介质。痕迹存储着与其相关的物质与意识的信息。

此学说站在哲学的高度,对痕迹进行抽象概括,显然,从哲学角度来说,痕迹的本质是“反映”,而且这种“反映”必须借助客体才能实现。相比较于黄、徐二人的“反映形象本质说”,“反映本质说”进一步去伪存真,高度凝炼。“反映本质说”虽然承认“反映”必须通过中介物质或承载物才能实现,但是将痕迹的本质脱离了形象,脱离了体表形象,强调痕迹存储着物质与意识的信息,使得我们对痕迹有了更近一步的认识。

(二)电子痕迹认识的发展

1、电子痕迹伴随着犯罪过程中的信息转移原理呼之欲出

马克思主义哲学的认识论告诉我们,人们对客观事物的认识是相对性与绝对性的统一,在一定历史条件下,人们对客观事物的认识只能达到一定的广度和深度,但随着人们不断实践与认识,可由相对真理逐渐接近绝对真理。

在信息论的影响下,随着侦查学的基本原理不断探索和发展,刘品新教授对传统的物质转移原理进行升华,提出了犯罪过程中的信息转移原理,认为:证据本质上是一种信息,犯罪过程就是一个信息转移或交换的过程,作案人在实施犯罪过程中必然会同被害人、犯罪现场、与犯罪环境之间发生信息的转移甚至互换。

该理论突破了传统物质转移原理的瓶颈,将犯罪过程中的意识性信息和新型计算机侵入犯罪方面的证据拉入了研究视野,同时提出了犯罪心理痕迹、犯罪记忆痕迹、犯罪印象痕迹和电子“痕迹”,并且指出这些痕迹也同样遵循犯罪过程中的信息转移原理。

这一革命性的理论提出不仅在侦查领域掀起了信息论研究的热潮,同时也提出了新的痕迹模式。通过此理论,不难得出,新型计算机侵入犯罪产生的电子“痕迹”,本质上也是一种信息。这与哲学层面的“反映本质说”不谋而合。可以说,刘品新老师的信息转移原理打通了传统痕迹与新兴电子痕迹的界限,二者本质上都是信息。

2、电子痕迹与传统痕迹的关系的认识

犯罪过程中的信息转移原理为学者们进一步认识痕迹打开了一扇大门。很多人开始研究新型痕迹。有的学者在侦查学的物质转移原理中,对“物质”进行拓展。物质除了包含痕迹型物质(形象痕迹)、实物型物质,还包括信息型物质。信息型物质包括印象痕迹和心理痕迹,电磁物质产生的电磁痕迹,音像物质产生的音像资料。此种分类将信息的外延狭隘化,信息完全可以涵盖物质性信息,可以把痕迹型物质和实物型物质包含在内。

有的学者直接把电磁痕迹并入狭义的痕迹概念范围内,即在形象痕迹、动作习惯痕迹、整体分离痕迹后又加了一个电磁痕迹,认为他们都是一种反映形象,具有一定的表现形态,并且可进行分析鉴别或同一认定。此种做法虽然认识到了电子痕迹也是痕迹的一种,但是生硬地把电子痕迹与其他三类痕迹归在一起,不免有些牵强。

还有的学者将电子、电磁痕迹和心理痕迹归入新型痕迹,与传统痕迹(主要指形象痕迹)并列,指出传统痕迹与新型痕迹最大的区别是反映犯罪行为的内容和过程的方式不同,传统痕迹依靠痕迹自身特征及属性等外部特征来反映犯罪行为的内容,而新型痕迹依靠其蕴含的内在信息来反映犯罪行为的内容。传统痕迹是建立在物质交换原理的基础上,新型痕迹的理论基石是信息理论的相关原理。

且不讨论所谓传统痕迹中的形象痕迹是否包括整体分离痕迹和动作习惯痕迹,就新型痕迹的信息论相关原理来看,也同样可以指导传统痕迹,传统痕迹也是信息的一种,属于物质性信息。所以,该观点虽然看到了电子痕迹的信息论的相关原理,但也不免将信息的外延狭隘化。

综其以上几种观点,我们可以肯定的是,在信息转移原理的影响下,人们逐渐意识到,电子痕迹与传统痕迹一样,也是具有一定意义的痕迹,也是庞大的痕迹体系中的一员。

3、当前电子痕迹概念的简单梳理

其他大多数学者并没有把电子痕迹纳入到侦查学的基本原理中研究,也没有在痕迹学的体系中分析,而只是就电子痕迹分析电子痕迹,而且对电子痕迹的定义也有所不同,下面简要列举几种代表性的定义:

概念1:电磁痕迹,指人的某种行为,通过摄录装置、磁卡凭证、通信网络设施,遗留或存储在电子设备记忆系统中的相关信息。

概念2:电子、电磁痕迹,指借助电子信息技术,以电子设备为介质,以数字信息为特征,记录和反映刑事犯罪活动情况的语言、文字、图象、数字等信息资源。

概念3:电磁信息痕迹,指高科技犯罪分子在实施作案过程中或者预谋作案时,在其使用的通讯媒体、计算机系统或其它具有一定记录保存功能的电子设备上自觉不自觉地留下的种种可供公安机关侦查、了解、掌握作案人犯罪过程、证明案件事实的以电子形式存在的信息与数据。

概念4:电磁信息痕证,指以信息、通讯技术设施和材料为载体,以数据信号为特征,以电磁形式记录和反映的刑事犯罪痕迹证据或犯罪嫌疑人进行的与犯罪有关的行为证据。

尽管每个概念间都有一些认知上的差异,但是,总体上,我们还是能够在一定范围内达成共识。通过以上概念可知,电子痕迹需要三方面的因素:人实施的犯罪行为、电子设备、数据信息。其中,电子设备是储存电子痕迹的载体;犯罪行为是电子痕迹反映的内容;数据信息是电子痕迹的本质。

既然,犯罪过程中的信息转移原理打通了电子痕迹与传统痕迹的界限。那么我们不妨利用形象痕迹的三要素来梳理一下当前电子痕迹的概念,会更形象一些:电子痕迹的造型体是人(犯罪行为的主体);电子痕迹的所需的作用力是行为人所实施的行为(犯罪行为),从侦查角度来看,这一行为应是以犯罪行为为中心,向犯罪前的行为与犯罪后的行为做延伸;电子痕迹的承痕体是一些电子设备,例如通讯媒体、计算机系统、网络设备等。

由此可见,从传统痕迹学的角度粗略地梳理了下上述几组概念,电子痕迹与形象痕迹的差异主要表现在承痕体的不同:形象痕迹的承痕体是物质性的客体(我们在分析痕迹时,非常关注、在意它具有怎样的外观和外形,因为它的客观物质表面的性质会大大影响痕迹的反映),一般是各种物体的表面,例如人的皮肤,地面等。电子痕迹的承痕体泛指一些电子设备。


、当前电子痕迹认识的局限性

随着信息技术的发展,当前我们对电子痕迹粗略的、相对表浅的认识已经远远无法适应虚拟空间犯罪侦查的需要:信息科学技术及网络技术的发展,极大地改变了我们的生活,同时各种形形色色的犯罪借助信息网络升级换代,影响之深、涉面之广,无法想象。

这种新兴犯罪最大的特点是网络犯罪主要发生在虚拟的数字空间,而作案人则处于现实的物理空间。两种空间之间的枢纽(计算机、手机等电子设备)非常特殊。在所有网络犯罪的过程中,计算机实际上起到了“帮凶”或“电子代理人”的角色,它虽然不是传统刑法学或犯罪学意义上的行为主体,但却实质上起到了犯罪的作用。

综上,我们可以总结出网络虚拟空间犯罪也有三个要素:实施犯罪行为的虚拟空间,处在现实物理空间的犯罪行为人,两个空间之间的枢纽即电子设备。

基于此,如果我们仅仅从电子痕迹简单的三要素(人是造型体,犯罪行为是作用力,承痕体是电子设备)来分析电子痕迹,是远不能够应对这种复杂的网络犯罪形态。

例如,在某案件中,犯罪行为人甲利用笔记本电脑向乙发送带有非法内容的邮件。如果依据对电子痕迹的简单认识,很难说出这一行为究竟会产生哪些电子痕迹,到哪里去寻找电子痕迹,找到的电子痕迹会有什么价值。在乙的电脑中会找到甲留下的电子痕迹吗?怎样确定邮件是甲的电脑发出?如果甲辩称邮件是别人操作其电脑发送的或是黑客入侵他的电脑发送的邮件,我们又应该怎么判断呢?

因为在虚拟网络空间犯罪中,电子设备作为中介将行为人与行为隔开,同时电子痕迹具有易迁移性,作为一种数据信息可脱离于其载体,流转到其它电子设备里,所以,较之现实物理空间的传统犯罪痕迹勘验,虚拟网络空间更加复杂。


电子痕迹模型的初步设想

(一)电子痕迹初探

鉴于电子痕迹也是痕迹的一种,我们完全可以参照传统痕迹,利用痕迹学的理念总结出电子痕迹的模型。

笔者在学习穿鞋足迹检验时受到启发,认为传统的穿鞋足迹检验模型可以类推适用到新兴的电子痕迹的检验。在传统犯罪中,犯罪行为人穿鞋在现场实施犯罪行为,对于足迹的形成,涉及到三方面的因素,即犯罪现场的地面、鞋、犯罪行为人。当犯罪行为人穿鞋踩踏地面,会形成两种不同的足迹。一方面,鞋外底与地面作用,会在地面上留有能够反映鞋底花纹结构的鞋足迹;另一方面,行为人的赤脚或穿袜子的脚会在鞋内底或鞋垫上留有行为人的赤足或穿袜足迹。

从理论上来说,前一种痕迹,可以做鞋的同一认定,即由犯罪现场追诉到鞋;后一种痕迹,可以做人身同一认定,即由鞋追诉到人。

在虚拟网络空间犯罪中,现实物理世界的犯罪行为人是借助电子设备在虚拟空间中实施犯罪行为,也会形成两方面的痕迹特征。从纯粹的理论上来说,一方面,行为人操作的电子设备与虚拟网络空间相作用,会在虚拟空间中留有反映此电子设备特征的电子痕迹(信息);另一方面,行为人在操作电子设备实施犯罪时,与此电子设备相作用,会在电子设备上留下反映行为人特征的电子痕迹(信息)。前者,可以用于电子设备的同一认定,由虚拟空间追溯到电子设备;后者可以用于行为人的人身同一认定,由电子设备追诉到人。

换言之,粗略看来,对电子痕迹可以依据其造痕体进行分类,分为电子设备为造痕体产生的电子痕迹和行为人为造痕体产生的电子痕迹。

同时,鉴于电子信息与其物质载体间的依附关系较为松散,甚至出现一种相对独立的态势。在网络犯罪中,相关电子数据会脱离其所依附的设备流转于其它电子设备间。这也是为什么电子证据的保全要采取双重固定原则,从其依附设备和数据流两方面进行固定。基于此,电子数据文件为造痕体,也会在其它电子设备中留下自己的电子痕迹(信息)。

综上,通过借鉴穿鞋足迹检验的模型,我们可以提出以造痕体为标准对电子痕迹进行分类。然而,事实上,虚拟网络空间的电子痕迹并不是“规规矩矩”完全根据上述的理想模型产生的,没有那么简单。电子痕迹并不是那么“安分”,它会随电子数据的流动,“轻而易举”地脱离原有载体(承痕体),流转于其它电子设备间,在经过的每个结点都可能会留下它的身影。

此特点与传统痕迹大大不同,所以我们在分析研究电子痕迹时,不要过多地关注其造痕体、承痕体及具体的留痕过程,甚至有时可以忽略,应该关注电子痕迹内容本身及其侦查价值。所以我们应忽略其造痕体、承痕体的死板模式,以电子痕迹本身内容及其侦查价值为导向,对电子痕迹分为以下三类:

1,反映电子设备特征的电子痕迹。这种电子痕迹通常是由电子设备与虚拟网络空间相作用而产生的,通常会遗留在虚拟网络空间中(电子设备群里的其它电子设备里),反映着相关电子设备的特征,可做电子设备的种属认定和同一认定。

如,在网络犯罪中,作案计算机的IP地址就是此类型的电子痕迹。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址可以用来对电子设备进行种属认定,可以确定计算机大致区域,缩小侦查范围。

又如涉案计算机网卡的MAC地址,由于其具有全球唯一性的身份特征(类似于人的指纹),且很少有人对其更改,所以很多情况下可做计算机的同一认定。在侦破一起盗窃笔记本电脑的案件中,警方提取了被盗笔记本电脑的MAC地址,然后去网络运营商对此MAC地址进行筛查,发现该笔记本在被盗后第二天就通过电信公司账号上网,然后查到上网账号及对应的客户资料,很快顺藤摸瓜抓住了犯罪嫌疑人。

在本案中,被盗计算机在上网进入虚拟空间时,会在网络运营商的相关设备中留下自己的MAC地址记录,由此可锁定涉案计算机。

2,反映行为人特征的电子痕迹。这种电子痕迹通常是由行为人与电子设备相作用而产生的。行为人操作电子设备,会在电子设备中留下反映自己特点的电子痕迹。

对比前一种电子痕迹,我们可以发现:电子设备直接产生的电子痕迹通常是在虚拟网络空间中,行为人直接产生的电子痕迹通常是在单机内部。当然,由于电子痕迹具有易迁移性,所以行为人产生的电子痕迹也会流转于虚拟网络空间中。

基于此类电子痕迹,我们可以进行人身种属认定、人身同一认定,具体到是哪一类人、哪一个人操作的这台计算机实施的犯罪行为,如果已经知道电子设备的操作者,还可以分析行为人的其它信息,为侦查提供线索。

利用传统痕迹进行人身同一认定是基于能够反映人身特定性的痕迹,主要是依据具有人身特定性的器官、肢体产生的痕迹(指纹、牙痕、足迹的形象特征等)和具有人身特定性的运动习惯(笔迹、足迹的步法特征、用语习惯等)所产生的痕迹。当我们站在信息论的角度对此抽象,可知,我们可以依据具有人身特定性的信息进行人身同一认定。

当然这种信息必须具有相对稳定性和反映性。对于电子设备中人身特定性的信息,我们一般可以凭借电子设备中具有身份标识性的账号进行人身同一认定,也可以利用具有人身特定性的操作习惯、文字语言习惯进行同一认定。Georgia Frantzeskou曾对利用电子证据进行人身同一认定进行过研究,原理是将编写的程序代码中能够反映作者个人风格的特征变量进行抽离出来,进行统计,可用于对作者的种属、同一认定。

我国对于电子证据中利用行为人的特征进行侦查破案也早有先例,在破获“熊猫烧香”案时,经过通过系统分析该病毒的程序代码,发现,其编写病毒的特征码和写作方式来看,与另一电脑病毒“QQ尾巴”极为相似,且署名都是武汉男孩,警方由此进行串并案,挖掘其它信息,顺利破获了此案。

如前面所述的盗窃笔记本电脑一案,如果在涉案笔记本电脑中查到了犯罪嫌疑人的具有身份标识性的上网账号,显然就可以进行一定程度的人身同一认定。

在马加爵案中,警方在其电脑中发现马加爵浏览网页的电子痕迹,表明他出逃前三天,搜集有关海南省的信息,尤其是三亚市的旅游信息,以此为线索,很快将马缉拿归案。

3,反映电子数据文件特征的电子痕迹。这种电子痕迹通常是由电子数据与虚拟网络空间或电子设备相作用产生的。此种类型的电子痕迹已有学者做出了较好的归纳,可以分为电子证据中的附属信息证据和关联痕迹证据。

附属信息证据是指在数据电文生成、存储、传递、修改、增删时发生的记录,如电子系统的日志记录、电子文件的属性信息等,其作用主要在于证明电子数据的来源和形成过程。

关联痕迹证据是指因生成、存储、传递、修改、增删数据电文而导致的电子环境新产生的相关痕迹,主要包括电子系统中的快捷方式文件(*.lnk)、数据文件(*.dat)、数据流文件(*.identifier)、虚拟内存文件(*.sys)、临时文件(*.tmp)等。其中关联痕迹证据对于判定数据电文的真实性具有特别的价值。

以电子邮件为例,电子邮件在虚拟网络空间中流转,会在虚拟网络空间及相关电子设备上留下反映电子邮件本身特点(来源及流转过程等)的电子痕迹。如发件人向收件人发送电子邮件,电子邮件大致会经历以下几个结点:邮件从发件人的计算机发出后,经过发件人的邮件服务器,再经过收件人的邮件服务器,最后达到收件人的电脑。

当然,从理论上来说,以上每个结点都会留下电子邮件的电子痕迹。当我们从收件人的电脑中,打开电子邮件,查看其详细的邮件头信息,会发现里面记录了邮件流转的过程。比如,邮件每经过一个结点都会写入一行 Receive:信息,也会有中转结点的IP地址。

(二)电子痕迹的特征

电子痕迹一方面具有痕迹的属性,另一方面作为信息,也具有网络空间信息转移的新特点,结合两方面的因素,对比于传统痕迹,笔者认为电子痕迹拥有以下新特征:

1,非直接接触性。传统痕迹的形成离不开造痕体与承痕体的直接接触,它一般是造痕体在直接物理作用力下接触甚至印压承痕体,在承痕体表面形成能够反映造痕体特点的平面痕迹或立体痕迹。电子痕迹的产生不需要以接触为前提,而是源于电子设备、数据信息、行为人三类主体之间的信息互联互通。

2,精确反映性。信息转移原理告诉我们,信息是可以被分享的,它以复制的方式转移。同样,电子痕迹也遵循这样的规律,而且作为电子数字信息,它的复制具有精确性,因此它对承痕体的特点具有精确反映性。

这与传统痕迹有很大的区别:在传统痕迹中,囿于现实物理空间的环境因素、造痕体的特点、作用力的大小方向、承痕体表面的特点等多种因素,会使得承痕体上的痕迹并不会那么“如实”地反映造痕体所有的细节特点。如,雪地上面的立体足迹,由于雪的质地疏密、现场的温度、鞋踩踏雪地力量的大小,是起脚、落脚还是蹍脚留下的痕迹等,都会影响足迹的反映性。

电子痕迹绝大部分是一种精确的数字信息,具有数字信号的特点,成离散的数据状态。如,在二进制数据中,有“0”和“1”两种信号状态,电子数据的转移、复制实际上就是这“0”和“1”两种状态的转移、复制,然后在经过相应的解码程序,呈现出我们可以理解的直观内容,所以电子痕迹的转移是一种精确复制,只要我们的相应的软件合适、所在的系统稳定等,电子痕迹都可以精确反映造痕体的相关特点。

3,可恢复性。对于传统痕迹,一方面在热力学原理的作用下,承痕体的某些性质会发生持续而缓慢的变化;另一方面,由于现场保护不到位、不及时,发现、记录、提取、检验、鉴定等环节不规范,也会对痕迹造成破坏。

由于传统痕迹的承痕体是物质性客体本身,而且痕迹与承痕体的依附关系较为紧密,所以,承痕体受到破坏一般也会导致其上的痕迹受到破坏,这种破坏一般是不可恢复的,不可逆的。因为在案件中,证据本身就是短缺的,是稀有资源,所以如果受到破坏的传统痕迹不能恢复,非常可惜,为侦查鉴定制造了很大的障碍。

电子痕迹是是一种电子数字信息,存储在数据存储介质中,它的可恢复性取决于数据存储独特的原理。以磁盘存储技术为例,盘面上有一圈圈同心圆作为磁道,每个磁道分为若干个扇区。其中,两个或两个以上的扇区组成一个簇,这是数据存储的最小单位。磁盘上的文件按簇存放。如果存放小于一个簇的文件,那么这个簇剩余的空间便不能再存储其他数据,避免相互干扰。

除此之外,磁盘对每一个簇中的数据建立索引,存放在FAT(文件分配表)中。如果行为人为了掩盖犯罪事实,逃避侦查,在电脑中删除了相关文件,那么从技术角度上讲,改变的只是该文件在FAT中的索引,真正的数据依然保存在磁盘中。

只有当存储新文件时,才会覆盖旧的数据。只要新数据不能占有该簇的全部空间,那么旧文件没有被覆盖的一部分就可以被恢复。利用这一原理,可以将犯罪行为人为了掩盖犯罪事实所删除的数据恢复出来,从中发掘有价值的电子痕迹。    

4,无损性。传统痕迹中,很多在提取、检验鉴定时会损耗检材,这就要求技术人员必须十分小心,不得犯任何差错,力图做到一次成功,否则会对本来就短缺的证据造成污染损坏,后果不堪设想。

例如,对现场潜在指纹的显现、提取时,根据承痕体的不同性质,我们可以采取粉末刷显法、碘熏法、硝酸银法、茚三酮法、502胶法等等,在做这些工作时要非常谨慎,稍有差池,很容易造成痕迹的破坏。

电子痕迹是一种电子数字信息,本身具有非常强的数字精确复制性。我们在取证时,可以利用这一独有的技术特点对电子数据进行保全:在对电子证据所依附的设备固定之后,首先对相关电子证据的数据流贴上特定的、唯一的“识别标签”,一般是用散列技术描述数据流的特定特征(如哈希值)并进行固定;其次,对电子证据的数据流制作镜像复制件。

之后所有的关于电子痕迹的发现、提取、检验、鉴定都可以在镜像复制件上无损地进行展开。为侦查、鉴定提供了很大的便利性。

5,易迁移性。痕迹虽然载于承痕体上,但痕迹是一种信息,是造痕体的反映,而不是承痕体本身。这种特点决定了痕迹可以脱离于原有的承痕体,迁移到新的承痕体上。在传统痕迹中,例如石膏灌模立体足迹,就是将足迹的痕迹信息由承痕体土地迁移到了新的承痕体石膏模型上,便于提取带回实验室进行检验鉴定。

当然这一过程需要相对复杂的工作,并且囿于技术、条件等因素,很可能在迁移过程中,痕迹的有关信息会丢失。

电子痕迹则不然。在信息高效流通的虚拟网络空间中,电子痕迹会随着数据的流通,迅速遗留在经过的各个结点中,这一过程不需复杂的有意识的人工工作,而是数据流通、电子设备互联互通的必然结果。

电子痕迹可以“很轻松”地由这一电子设备流通到另一电子设备上。所以,我们对于电子痕迹的研究应尽量少关注其承痕体,而多关注其电子痕迹内容本身及其价值。


五、电子痕迹的“转移留痕”机制

(一) “转移留痕”的原理——由传统痕迹的物质交换原理到电子痕迹的信息转移原理

现实物理世界,传统的痕迹产生源于物理客体之间的接触,其产生过程必须具备三个基本要素,即造痕体、承痕体和作用力。传统痕迹(包括形象痕迹、动作习惯痕迹、整体分离痕迹在内)根据承痕体接触面发生变化的原理可分为表面痕迹和立体痕迹。

其中,表面痕迹是指产生痕迹时,接触面并没有因为发生极度力而产生形变,仅是由于造痕体和承痕体接触,在接触面附着或带走了微量的物质,而产生的痕迹。由此,表面痕迹分为表面加层痕迹和表面减层痕迹。立体痕迹是指造痕体在极度力的作用下,印压具有一定可塑性的承痕体,使得承痕体接触表面产生一定凹凸形变,所产生的立体痕迹。

由传统痕迹的产生过程,可知其产生原理遵循的是物质交换原理。“物质交换原理”(the principle of material exchange)又称“物质转移原理”(the principle of material transfer),也称“洛卡德原理”,它是由法国人爱德蒙•洛卡德(Edmund Locard,1877-1966)提出的。物质转移原理的现代简略表述是“每一次接触均留下痕迹”(”Every contact leaves a trace”)。

后来,经过物证技术学原理的不断发展与探索,物质交换原理的适用范围得到了具有革命意义的扩展,其中,物质交换原理由物质本身的转移扩展到了物质痕迹特点的转移。

换言之,物质交换原理不仅适用物质的转移,也适用于物质的长、宽、高等空间立体痕迹的转移。前者是表面痕迹产生的原理,而后者则是立体痕迹的产生原理。综上可知,传统痕迹的产生原理是物质交换原理。

犯罪过程中的信息转移原理是以物质交换原理为基础,在信息论(学)的视角下,进行升华而得来的。在此逻辑下演绎下,电子痕迹的产生原理自然与犯罪过程中的信息转移原理就密不可分了。虚拟网络空间不同于现实物理世界,没有物质性客体,也就谈不上客体之间的接触、交换与转移了。虚拟网络空间的信息转移原理自然就是电子痕迹的产生原理。

从本质上来说,电子痕迹的产生源于数据或信息的交流,即电子信息的转移。现实物理世界中,物质转移产生的传统痕迹就像虚拟世界中信息转移产生电子痕迹一样,具有普遍性。

(二)信息转移产生电子痕迹的必然性

犯罪过程中的信息转移原理告诉我们,当行为人实施犯罪行为时,其犯罪过程,必然会发生信息的转移。犯罪行为的物质性原理告诉我们,只有犯罪行为人主观犯意外化为犯罪行为,才能作用于客观环境,产生物质性变化,而这一变化则必然带来信息的转移,在虚拟网络空间中的变化也必然带来信息的流动转移。

如前文所述,站在哲学层面和信息转移原理的层面,痕迹的本质是一种反映,是一种信息。转移的信息本身就是我们要寻找的电子痕迹。由此可知,信息转移则必然产生电子痕迹。

(三)电子痕迹形成的三种情况:

1,人操作电子设备

当行为人在操作电子设备时,从犯罪过程中的信息转移原理和犯罪行为的物质性原理来看,正是人脑中的一些意识信息首先外化为物质行为,操作电子设备,使电子设备内部产生信息的流动与转移,由“转移留痕”原理可知,这期间,信息的转移则产生了电子痕迹。

总的来看,是人与电子设备相互作用,人脑的意识信息外化为物质行为作用于电子设备,在电子设备中留下电子痕迹。此类电子痕迹大多为可以反映行为人特征的电子痕迹。有的可以反映行为人的动作习惯特点,以及行为人的一些其它信息。

2,电子子设备间的信息转移

在网络空间中,电子设备间的互通交流是非常频繁的。电子设备间的数据、信息交流就很可能在电子设备里留下电子痕迹。随着有线数据连通发展到很多无线数据连通,我们对于这一类的信息转移所留下的电子痕迹要格外地注意。此类电子痕迹大多为反映电子设备特征的电子痕迹,例如IP地址、MAC地址、Wi-Fi MAC、IMSI等等。

3,电子设备的自我运行

在单机进行自我运行时,也会有数据信息在本机内不同存储区域、系统间的转移,此时,也会留下电子痕迹。此类电子痕迹主要反映在系统工作日志中,可用于认定操作系统的完整性、可靠性,从而可辅助认定电子证据的证明力。

(四)“转移留痕”的理论意义

1,电子痕迹的“转移留痕”理论为发现电子痕迹的活动奠定了坚实的理论基础

网络虚拟空间的犯罪侦查需要利用电子痕迹来完成。这就需要在诉讼前或诉讼中注意发现电子痕迹,但是,很少有人知道为什么能寻找、发现电子痕迹,如何发现寻找电子痕迹。而电子痕迹的“转移留痕”理论则很好地回答了这个问题。

犹如在现实物理世界,“触物留痕”原理指导我们能够更有效地发现痕迹物证,同样,在虚拟空间,“转移留痕”理论也可以指导我们更有效的发现电子痕迹。电子痕迹的产生以数据信息转移、流动为前提。

信息的转移就是我们发现电子痕迹的机理,而转移的信息便是我们要寻找的电子痕迹。所以当我们进行电子痕迹侦查时,首先就要注意数据信息是否会发生转移,是否以及发生转移,以及会在哪里发生转移。当我们明确以上几点,这样我们才能对电子痕迹的发现、提取、检验、鉴定更具有针对性。

2,电子痕迹的“转移留痕”理论能够更好地指导我们进行电子证据保全

电子证据易篡改的特点加大了保全的难度。如何保证电子证据的真实性和完整性是一个非常的重要的问题。电子证据双重保全的原则告诉我们要对电子设备和里面存储的电子数据都要进行保全固定。

如前文所述,由“转移留痕”理论所引申而来的电子痕迹产生的三种情况来看,由人操作电子设备产生的电子痕迹和由电子设备自动运行所产生的电子痕迹,比较容易避免。对电子设备进行扣押、关闭(关机后,内存里的信息会消逝)运行就可以规避。

但是对于电子设备之间的信息转移所产生的电子痕迹则容易忽略。对于电子设备来说,如果电子设备间的互通交流只是有线的连接方式,那么我们还可以很容易很方便地察觉此电子设备是否与其它电子设备连接互通,进而产生判断是否产生电子信息的转移而随之产生电子痕迹。

但是如果电子设备能够与其它电子设备进行无线连通的方式进行数据信息交流,就很难察觉、规避这种电子痕迹的产生,会对电子设备内数据信息的完整性产生破坏。

“转移留痕”理论意义在于将我们关注的重点放在了数据信息转移产生电子痕迹这一本质上。无论是否以有线、还是无线的方式连通,只要电子设备间有数据信息的转移,就会产生新的电子痕迹,进而会破坏真实性、完整性。

所以,对电子设备的隔离不仅停留在物理层面上的隔离,更要进行数据信息流动层面上的隔离、例如,手机在扣押时,要放进隔离袋中,避免与其它无线设备产生数据信息的转移;在对硬盘进行鉴定时要适用只读锁,避免产生新的电子痕迹。


六、电子痕迹模型的理论意义

借助痕迹学的视角提出电子痕迹的模型,有助于我们看清每种电子痕迹的特点、形成机理和侦查价值,有很大的现实意义。

一方面,电子痕迹模型能够指导我们更好地应对虚拟网络空间的互联性和开放性。在虚拟网络空间中,尤其是覆盖全世界计算机的因特网(Internet)中,世界各地联网的电子设备(不局限于计算机)都可能成为行为人进入虚拟空间犯罪的结点。

所以虚拟网络空间的互联性和开放性的程度之深、范围之广让人难以想象,也是摆在侦查人员面前的一个难题。然而,我们通过痕迹学的视角来思考可知,行为人所借助的电子设备就像是行为人进入犯罪现场穿的那双鞋,在虚拟网络空间中会留下相应的电子痕迹。

电子痕迹模型能够帮助我们在纷繁复杂的虚拟网络空间中有效辨认出哪些是具有电子设备特定性的电子痕迹,哪些是具有人身特定性的电子痕迹,哪些是具有电子数据特定性的电子痕迹等等。据此可以分析相关电子设备、行为人、电子数据的特点,甚至可做同一认定,为侦查提供更多的线索。

另一方面,电子痕迹模型能够深化我们对虚拟网络空间犯罪“空”的认识,有效指导电子取证。电子痕迹模型告诉我们虚拟网络空间本质上就是一定范围内互联互通的电子设备群(结点群)。

在我们看到其侦查、勘验的复杂性的同时,也应当庆幸地认识到,正是基于虚拟网络空间的本质以及电子痕迹的易迁移性,犯罪行为人及其电子设备以及发送的电子数据文件等遗留的电子痕迹会分布在虚拟网络空间中的庞大的电子设备群里,犯罪行为人几乎不可能破坏掉所有的电子痕迹。

某种程度上来说,也为发现、勘验电子痕迹带来了便利,同时遗留在不同电子设备中的电子痕迹之间可以相互印证,形成一个完整的证据链条,能够发挥更大的证据价值。


七、结语

随着新修改的刑事诉讼法、民事诉讼法、行政诉讼法都将电子数据纳入了法定的证据类型,电子侦查、电子取证受到了越来越多的重视。

在笔者看来,虚拟网络空间也可以成为犯罪现场,较之传统现实空间更加复杂,我们面对新兴事物,可以借鉴、参照传统经典的理论加以创新,提出新的电子痕迹模型以适应电子侦查的需要。

当然,笔者愚笨,此文仅是对电子痕迹模型及成痕机制提出了大致的框架且难免会有纰漏之处,盼各方专业人士批评指正。


参考文献:转引自:潘建中、李峰:《痕迹学教程》,北京群众出版社,1997年版。参见雪夫琴柯著:《现代痕迹学的科学基础》,司法鉴定科学研究所译,中国人民大学出版社1953年出版,第11页。参见徐立根主编:《物证技术学(第四版)》,中国人民大学出版社2011年版,第55页。参见苏尔古冷、张玉镶:“关于我国痕迹学研究对象的探讨”,载《法学研究》,1981/02。参见黄有兴、徐纯科:“关于我国痕迹学研究对象之管见”,载《河北法学》,1984/03。参见王成荣主编:《痕迹物证司法鉴定实务》,法律出版社2012年版,第1页。参见刘品新:“论犯罪过程中的信息转移原理”,载《福建公安高等专科学校学报》,2003年第1期。参见郭冰著:《侦查学基础理论研究》,中国人民大学出版社,2010年版,第173页。参见邵鸣利、杜远辉:“论犯罪痕迹”,载《陕西行政学院学报》,2011年2月第25卷第1期。参见刘文韬、肖湘:“论新型痕迹在侦查中的应用”,载《吉林公安高等专科学校学报》,2010年第4期。参见王传道著:《侦查学原理》,中国政法大学出版社,2001年,第411页。参见邵鸣利、杜远辉:“论犯罪痕迹”,载《陕西行政学院学报》,2011年2月第25卷第1期。参见刘文韬、肖湘:“论新型痕迹在侦查中的应用”,载《吉林公安高等专科学校学报》,2010年第4期。参见吕立波:《浅谈电子设备中电磁信息“痕迹”及其提取利用》,载《广东公安科技》,2007年第2期。参见周兴国:“电磁信息痕证及其侦查利用的理论思考”,载《犯罪研究》,2000/04。我国有学者反对将“物质转移原理”更名为“信息转移原理”,理由是这样容易让人将该原理“视作信息产业而非物证技术学的专属理论”,容易让人产生“物质交换原理或物质转移原理已寿终正寝,已为新的原理所替代”的错觉。认为信息转移原理是物质转移原理适用范围扩大的结果,若一定更名则将其称为“洛卡德原理”即可,既“尊重了90年来人们的使用习惯”,又避免了人们想当然地将该原理的适用范围限于物质的交换或转移。参见李学军:《物证论——从物证技术学层面及诉讼法学的视角》,第69页,中国人民大学出版社,2010。参见刘品新:“论网络时代侦查模式的转变”,载《山东警察学院学报》,2006年1月第1期。参见刘品新:“论网络时代侦查模式的转变”,载《山东警察学院学报》,2006年1月第1期。关于“易迁移性”的内涵详见后文论述。虚拟网络空间的本质就是一定范围内互联互通的电子设备群,所以,相关电子痕迹会遗留在电子设备群里的其他电子设备上。参见王跃、王勇:“‘电子证据’、‘电子物证’、‘电子物证检验’辨析——兼与王桂强同志商榷”,载《贵州警官职业学院学报》,2004年第6期第16卷。参见刘品新主编:《电子取证的法律规制》,第310页,中国法制出版社,2010年2月第1版。Frantzeskou G, Stamatatos E, Gritzalis S. Identifying Authorship by Byte-Level N-Grams: The Source Code AuthorProfile (SCAP) Method [J]. International Journal of Digital Evidence, 2007, (1).参见何家弘主编:《刑事诉讼法中科学证据的审查规则与采信标准》,第162页,中国人民公安大学出版社,2014年1月第1版。参见刘品新:《网络时代刑事司法理念与制度的创新》,第69页,清华大学出版社,2013年9月第1版。参见刘品新主编:《电子取证的法律规制》,第314页,中国法制出版社,2010年2月第1版。



以下点击可读:

强烈推荐 | 刘品新、张艺贞:虚拟财产的价值证明—从传统机制到电子数据鉴定机制

强烈推荐 | 刘品新:论电子证据的理性真实观

强烈推荐 | 刘品新:论电子证据的真实性标准

大数据赋能法律监督将促使监督模式迭代进阶——专访中国人民大学教授刘品新

刘品新:网络犯罪案件的数字式事实重建

刘品新 翁跃强 李小东:检察大数据赋能法律监督三人谈

刘品新:论区块链证据

刘品新、陈丽:电子证据的连属式审查——以涉企案件为例

吕宏庆、魏晓娜、陈景辉、吴洪淇、刘品新、何家弘:证据真实观的语言哲学思考

刘品新 | 大数据法律监督=纠正“异常”类案+实现“溯源”治理

实录 | 王栋、张吉豫、徐瑾、李红新:APP侵犯知识产权疑难解析

汪珮琳、王铼、刘品新、季美君:网络犯罪可疑交易分析与洗钱犯罪打击

赵宪伟、刘政、徐衍、刘品新、石青川、刘坤、顾伟、陈思远:海量电子证据如何审?

刘品新、张志婧、李鹏、郭树正:如何理解电子证据的多元关联律?——龚某某侵公案的总结与点评

刘品新、黄丽娟、李学军、裴炜、侯爱文、艾行利、石鹏、高显嵩:《电子证据法》的基本思维及品读

刘品新:论区块链证据 | 提前展示的精美课件 | 法大“证据科学春季论坛”第一讲

何家弘、刘品新《证据法学》“大修”至第七版之前言:一起研习证据法学

汪珮琳、王铼、刘品新、季美君:网络犯罪可疑交易分析与洗钱犯罪打击

实录 |电子证据与网络犯罪检察论坛 | 汪珮琳、王铼、刘品新:网络犯罪可疑交易分析与打击洗钱犯罪

刘品新:电子证据法的基本思维

刘品新:电子证据plus规则,绝非“任人打扮的小姑娘”

刘品新、唐超琰 | 穿透式取证:涉众型经济犯罪的法律应对

刘品新、石鹏、高显嵩、张洪铭、安柯颖、侯爱文、彭文昌、王华伟、于冲、朱桐辉 | 周泰研究院电子数据法与网络法研讨观点集锦

新媒首发 | 人大博士生陈丽:电子证据的完整性从属于真实性吗?否

新媒首发 | 马明亮、王士博:论大数据证据的证明力规则 | 强烈推荐

全媒首发 | 张雪峰:有专门知识的人出庭是电子数据鉴定质证的重要利器

获奖论文 | 王士博:论法定犯的算法证明方法


编辑 | 朱桐辉,南开大学法学院副教授,北京云证国际数据司法鉴定中心学术部主任,北京赛博威锋司法鉴定(电子数据鉴定)中心顾问。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存