首发 | 朱桐辉、松柏:《非法经营案电子数据法律意见书》
(“司法兰亭会”八周年,感谢清华大学法学院张建伟教授题字)
朱桐辉 | 南开大学法学院副教授,北京云证国际数据安全司法鉴定中心学术部主任。
非法经营案
电子数据法律意见
(2023)
朱桐辉
南开大学法学院副教授,北京大学诉讼法学博士
北京云证国际数据安全司法鉴定中心学术部主任
尊敬的区人民法院:
我是南开大学法学院刑事诉讼法教师朱桐辉,受北京事务所及被告人委托,就该所主任辩护的被告人等人非法经营案的电子数据问题进行分析,发表专家意见,辅助人民法院查清事实、公正判决。
通过与辩护律师充分沟通及阅卷,我发现,本案起诉书中诸多有关网站的事实和认定,缺乏依照法律该有的电子数据的支持;而有电子数据的,其关联性、同一性、真实性、完整性已在很大程度被损害。同时,其电子数据的取证程序还存在诸多违法、违规问题。
因此,建议人民法院严格、审慎地审查该案的指控事实、证据认定尤其是电子数据,以避免冤错案件。
一、本案与互联网相关事实缺乏电子数据的支持,甚至还有大量电子数据揭示了相关事实不存在;电子数据取证也有严重违法,造成了数据损害。
根据证据22卷第8页的“某某某被诈骗案网络通信技术报告”第6项可知,市公安分局在网安大队的协助下认定“A公司网站(www.com)”的IP地址是“.233”;“A公司账户管理系统(user.com)”的IP地址是“.93”,而且认定“都位于国外某城市。”
而起诉书中指控被告人等人的“某某账户名下系统”所显示的“总净值”“发展的代理总数”和“用户总数”的电子数据,也都来自对以上系统的取证。
经审查发现:
(一)侦查机关取证时所登录的系统及所取得的电子数据,由于缺少IP地址或进入了技术报告中未提及的其他IP地址,无法证明该系统和电子数据来自A公司。
根据侦查机关于2018年月日22:19对所谓的被告人的“A公司”账号的取证说明,本人审查了同步录音录像。发现,侦查人员并未按照互联网取证时所应遵循的技术标准进行操作。全程没有任何操作显示出所登录网站的IP地址及该地址对应的服务器信息。因此,无法据此得出该电子数据就来自于A公司服务器的结论。
相反,审阅侦查机关于2018年月日晚对被告人二和被告人三的取证过程时发现,侦查人员在登录上述“user.com”前,曾经通过操作得到了该网址的IP地址:.14。经查询,该IP地址位于北京,不仅与技术报告的结论不符,而且也与起诉书中关于A公司是“国外投资交易平台”的描述相悖。而被告人四、被告人五和被告人六的取证过程,在案卷中并没有体现。
综上,侦查机关取证时所访问的系统,或者缺少IP地址信息,或者进入了其他IP地址。而且,无论哪种方式,都没有对登录IP地址上客观存在的服务器信息进行取证。因此,无法建立所登录服务器与A公司的关联,更加无法建立起与被告人等人的关联。
此外,在互联网技术框架下,单凭域名是无法确认电子数据来源的,因为技术手段可以轻易地“劫持”域名,使其跳转到其他IP地址。
(二)由于缺少用户权限、数据访问日志和完整性校验值等关键信息,以及系统又有取证前被登录过的痕迹,侦查机关所取电子数据的真实性,无法得到保障
侦查机关用以登录到A公司系统中的被告人一、被告人二、被告人三的账号,没有权限说明,无法得知这几个账号是否具有对系统内数据增加、删除和修改的功能。
被告人一的到案时间是2018年月4日,取证时间是2018年月7日。被告人二、被告人三的到案时间是2018年月8日,取证时间是2018年月10日。那么,侦查机关取证时所见到数据最后更新时间是什么时候,无法确认。
而且,本人审查发现,被告人一的取证开始时间为2018年月7日22:19,而该系统显示:“上次登录时间:2018/07/07 21:58:51”;被告人二的取证开始时间为2018年月10日22:33,而该系统显示:“上次登录时间:2018/07/10 21:43:04”;被告人三的取证开始时间为2018年月10日21:50,而该系统显示:“上次登录时间:2018/06/10 00:12:39”。
也就是说,即使侦查机关登录的系统就是A公司的系统,那么,之前也已被登录过。而且,还不能排除嫌疑人到案后被反复登录的可能。
其中,关于被告人一的取证说明提到:“通过被告人一交代的自己在A公司的账户‘’登录系统,”但是,在取证视频中,并未看到这一“交代”过程。反而可以看到的是,侦查人员在自己的手机中进行了查询,然后才登录了该系统。
同样,在被告人二的取证视频中可以看到,系统“用户名”一栏已默认记录了若干账号。要知道,这是侦查机关所用的这台电脑及系统默认记录登录账号而导致的,也是无法轻易消除的登录痕迹。
更重要的是,任何电子系统都会有用户权限管理,使用不同用户及权限登录同一系统后所能进行的操作也不相同。因此,以上系统存在被登录过的可能,加之没有权限的说明和其他关键参数,因此,无法保证数据没有被增删改过。
甚至,可以毫不客气地说,如果侦查机关掌握的这几个登录账号具有高级权限,那么他们对其内电子数据的删改甚至增加,都是易如反掌的。
(三)取证过程严重违反法律规定,进而也导致了所得电子数据的原始性、完整性及真实性无法得到保障
根据刑诉解释及多个电子证据相关规范性文件的规定,电子数据的合法性审查应当审查“取证方法是否符合相关技术标准”。而本人在审查中发现,侦查人员的取证过程均不符合任何技术标准:没有与国家授时中心进行时间校对;没有确认互联网环境;没有对取证电脑系统进行病毒查杀;没有记录远程服务器的IP等相关信息;没有记录任何日志数据;没有计算电子数据完整性校验值……甚至他们还让嫌疑人自己操作电脑。这些均明显违背了相关法律关于操作主体的明文规定。
电子数据作为一项特殊的证据种类,具有易篡改且不易被肉眼及时发现的特点。因此,在取证过程中必须严格按照法律规定进行操作,才有可能保证其完整性、真实性。
但遗憾的是,本案中的取证人员并没有按照相关法律规定操作,这就导致了上述严重的关联性、同一性、真实性及完整性上的问题。
二、从手机、电脑等获得的电子数据,在同一性、关联性、真实性、完整性与合法性上,也有相当多问题。
本案涉及的手机、电脑等原始存储介质众多,但其取证也存在无法保证同一性、关联性、完整性及真实性的问题。
(一)扣押清单制作不规范,扣押物品与电子数据提取的原始存储介质之间无法保障同一性
本人审查了有关原始存储介质的扣押清单,几乎都没有记录手机、电脑、硬盘的串号。因此,均无法确认各《电子证据检查工作记录》中提及的原始存储介质就是现场扣押的物品。
(二)原始存储介质在被扣押后,长时间未对其封存,无法保证电子数据的原始性、真实性和完整性
电子证据是不能单独存在的,必须依附于原始存储介质,因此,相关法律、法规均规定,扣押后要立即对原始存储介质进行封存,并对检查等查验过程进行全过程的客观记录。本人审查本案所有《电子证据检查工作记录》后发现,所有原始存储介质在扣押之后都未得到及时、有效的封存,最长时间间隔甚至长达13天。
在这段时间缺口当中,原始存储介质的保管情况无法得知。更严重的是,这将导致侦查、检查等人员自由、随意地使用这些手机、电脑没有任何障碍的,其中数据和信息被增删改的可能性极大。
(三)电子证据检查过程存在大量违规操作,无法保证电子数据的原始性、完整性及真实性
本人审查所有《电子证据检查工作记录》也发现了大量问题,较重要的有:
(1)直接对原始存储介质进行检查,而并不是按照法律规定先制作备份,再对备份进行检查。这样操作可能会对原始载体及电子数据造成不可逆的破坏,导致检查之后再无原始载体可言;(2)部分检查没有按照规定使用电子证据只读装置,这会导致原始存储介质内数据的自行变化;(3)对原始存储介质中的电子数据及提取出的电子数据,大部分未按法律要求进行完整性校验值计算……
(四)各种聊天记录中的网络身份信息不明,无法与本案当事人现实身份建立同一性;也无法确认某条网络信息是否就是当事人所发
本人审查本案各类聊天记录时发现,聊天记录中存在大量的网络用户名,却无客观证据表明哪个网络用户名是当事人的。也没有证据表明,某一时间、某一网络用户所发出的某一信息就是某个当事人发出的。
综合以上发现的诸多问题,建议区人民法院谨慎审查本案中的电子数据。同时,建议区人民检察院对侦查机关取证中普遍存在的大量违法行为进行监督。
侦查机关一方面在起诉意见书称“平台数据在国外某市,我局未能调取到该平台的后台完整数据”,另一方面又通过让嫌疑人自己操作电脑并在打印件上签字等方法对电子数据的真实性进行确认。这样的做法,不仅给侦查安全造成了巨大风险,也会造成所获电子证据的真实性、关联性与合法性无法保障,对此需要高度警惕、谨慎审查。
总之,电子数据已成为司法实践中越来越重要的证据,而其本身的特殊性也决定了对其审查方法的严谨性、缜密性和规范性。因此,本人希望贵院能本着“以审判为中心”的原则,对本案涉及的电子数据进行严格审查,以避免其中大量的同一性、关联性、真实性、完整性及合法性无法保障的证据,成为定案根据,进而造成冤错案件。
2023年2月17日