刘品新:电子证据的连属式审查——以涉企案件为例
摘要
电子证据在物理空间、信息空间存在明确的空间连属关系。办案人员可以进行连属式审查,包括审查物理空间的行为连属、信息空间的系统连属以及审查两个空间的混合连属。运用电子证据办理涉企案件对连属式证据审查有着天然的吁求。具体来说,办案人员应当掌握三大技巧:一是对电子证据形成前、中、后各环节人的行为进行连属式审查;二是对操作系统层、文件系统层、网络层的数据进行连属式审查;三是对物理空间各环节行为、信息空间各层次数据进行连属式审查。此类审查方式因由客观规律而内生,不同于纯粹人为性质的证据组合审查,可为精准办理涉企案件奠定基础。
“连属(Ariticulation)”一词原意是指将各个部分通过关节连接起来,连接起来的各部分通过功能一体化而具有统一行动的能力。电子证据的连属关系存在三种样态:第一种样态是不同空间存在相同的电子证据;第二种样态是不同空间虽无完全相同的电子证据,但各电子证据却可以聚合于同一案件事实;第三种样态是指不同空间既无相同的电子证据,也未聚合于同一案件事实,但不同空间的电子证据之间隐含着对照、补充等关系。“单丝不成线,独木不成林”,检察官、法官、律师等法律工作者办理涉企案件,需要掌握连属式审查技巧,培养专业化审查能力。换言之,办案人员对涉企案件精准进行“外科手术式”审查时,可以将电子证据当作骨骼架构,进行物理空间的行为连属式审查、信息空间的系统连属式审查以及两个空间的混合连属式审查。
一、涉企案件宜用连属式审查
当前,涉企案件的司法办理在我国难度很大,要求很高。涉企刑事案件的社会危害性及社会影响力兼具,查处不当恐将某种程度上影响社会稳定和经济发展。而仅从司法证明实践来看,该类案件中电子证据的运用存在四种规律,决定了开展电子证据的连属式审查具有广阔的空间。
第一,涉企案件日渐涉众,难以简单依靠传统证据同电子证据相印证构成有力的证据体系。实践中,除非部分员工认罪认罚或提供证言,否则难以收集到与电子证据相对应的传统证据。即便部分员工认罪认罚或提供证言,收集证据的难度也非常大。因此,办案人员办理涉企案件,可以电子证据为主要证据,重点查找能相互印证的服务器文件、电子邮件、办公文档等证据,而非过于依赖各种传统证据。
第二,电子证据在涉企案件中多以转化形式使用。涉企案件举证方很少直接以光盘或移动硬盘中的电子证据证明案件事实,电子证据多以鉴定意见等转化方式呈堂。此时,能否准确地将鉴定意见与电子证据进行连属式审查变得至关重要。一旦审查错误,就可能导致冤案、错案。
第三,若办案人员滥用权力、制造虚假电子证据,会酿成恶果。对于涉企案件要特别注意司法权力恣意越界可能引发的危险。涉企案件的办理错误,会对企业发展产生非常不利的影响。因此,办案人员应重视涉企案件电子证据的审查,秉持审慎而精准的态度。
第四,涉企案件中电子证据以服务器文件、电子邮件、办公文档等证据为主,这决定了在涉企案件中非常容易找到基于网络OSI分层的连属关系。展开来说,电子设备等系统根据OSI分层模型可以分成若干层级,不同层级间存在的电子证据可构成连属关系。
二、基于物理空间行为连属的证据审查技巧
审查物理空间的行为连属,实务技巧就是要将电子证据形成前、形成中、形成后各环节人的行为有机结合起来审查。此处以一起组织、领导传销活动案为例说明这种审查模式能取得怎样的效果。该案中,涉案公司被指控通过发展会员的方式销售产品,截至案发时该公司会员列表中最高层级94级,会员总数量高达35412人,参与传销活动人员缴纳传销资金数额累计达到2.5亿元。为支撑证明指控的案件事实,公诉人员提交了书证、被害人王某等人的陈述、证人证言、涉案钱款等物证、司法鉴定意见及审计报告、犯罪嫌疑人的供述与辩解等证据。其中,核心证据是由某计算机司法鉴定所以鉴定的方式下载所称涉案公司在国外服务器中的数据文件,证明了涉案单位的会员数量、会员层级、传销资金数额。
办案人员进行连属式审查时,要认识到该服务器文件证据是以某计算机司法鉴定所的鉴定意见书、同步录像资料的证据形式呈现的,并被转化为审计机构的审计报告,还被转化为相关书证、证人证言、被害人陈述等证据。具体审查过程至少包括三步:
第一步,审查审计报告与服务器中的电子证据是否对应。这是在审查物理空间的审计行为与鉴定行为的连属关系。案卷载明,鉴定机构检验过程如下:(1)使用工作站进行杀毒,没发现病毒;(2)打开录屏软件;(3)打开网址,输入账号密码,据此查到了后台里的货币管理数据、开店管理数据、奖金明细数据、财务流水数据、会员管理数据、专卖店发货数据、电子币记录管理以及福利奖数据等,并将这些全部下载下来。被刻录到光盘里的检验结果包括:(1)将下载过程录制到“.avi”文件中并计算哈希值;(2)下载的数据打包为“提取数据(××公安).zip”并计算哈希值。鉴定报告后附有光盘及鉴定人执照。审计机构据此做了关于会员数量、会员层级、传销资金数额的审计。在这里,判断审计报告中的数据是否源于鉴定机构提取的数据的做法很简单,可以计算审计报告中使用数据和鉴定机构提取数据之校验值是否一致。
第二步,审查服务器中的电子证据和鉴定报告、同步录像资料,判断鉴定机构在特定日期是否对涉案公司在国外的服务器有数据下载、提取行为。根据该案鉴定报告可知,检验过程并不符合鉴定规范,没有对IP地址和host文件的网络配置进行检查,也没有对浏览器有无cookie和缓存进行清查。这可以被理解为证据瑕疵,结果取决于公安机关能否有效补正。该案中同步录像资料主要存在四个疑点:一是该案鉴定报告不像是鉴定机构做的,因为录像中电脑屏幕显示的时间是凌晨4点,不太可能是鉴定机构的工作时间;二是没有全程录屏,只录了28分钟,这违反了鉴定规范,也不能保证后面时间段提取的数据是涉案公司境外服务器的数据;三是该案的电子证据鉴定过程本质上是远程勘验,涉嫌违法取证;四是取证过程中使用的账号、密码没有在鉴定报告里写入送检材料。而法律规定检材必须经过法庭质证,不写账号密码会导致其无法在法庭上被质证。这意味着检材可能来源不明。这些问题的解决取决于侦查机关能够有效补正。
第三步,将服务器中的电子证据和书证、证人证言、犯罪嫌疑人的供述与辩解等结合起来审查。例如,对于服务器里的转账数据,可以去银行查询转账记录以及使用证人证言进行核实。该案中,办案人员抽取了一些服务器的转账数据,经与证人证言、转账记录比对,发现不一致。这就使数据的来源产生争议。这是在审查物理空间的转账行为与鉴定行为的连属关系。
三、基于信息空间系统连属的证据审查技巧
电子证据会在计算机信息系统的磁盘编码层、操作系统层、文件系统层、网络层等层次同时呈现。审查信息空间的系统连属就是将出现在前述各层次的数据有机结合起来进行审查,至少操作系统层、文件系统层、网络层是非常值得关联起来审查的信息空间。不同层次的数据信息呈现系统性规律,且相互之间不能出现不可解释的矛盾。此处仍以前述组织、领导传销活动案来阐明如何审查信息空间的系统连属。
该案涉案服务器中的电子证据,有的表现为文件夹,有的表现为excel文件、网页文件或其他文件。可以在文件系统层对服务器中的电子证据之属性进行审查,主要查看其名称、修改日期与案件是否有关。该案中电子证据的修改日期就是下载完成日期,比如某文件夹的修改日期是2017年8月30日4:41,通常是指该文件夹就是2017年8月30日4:41下载完成的。通过对该案开展连属式审查,可以发现整个下载过程是从2017年8月30日凌晨4:01开始,到2017年9月1日晚上为止,这是反常的。更令人惊异的是,其中一位鉴定人80多岁、一位鉴定人60多岁,如此高龄的鉴定人怎会在凌晨4点熬夜工作呢?
该案还要审查服务器中的电子证据提取过程。根据鉴定意见中的文字描述,鉴定人不仅没有对IP地址、host文件、网络配置进行检查,也没有说明网址、注册信息、联系人、后台维护人等信息与涉案公司的关系,甚至不能解释清楚数据来源。因此,应当将服务器中电子证据的提取过程与鉴定文书对鉴定过程的描述结合起来审查。审查鉴定意见所附光盘里的工作文件有个简单技巧,即对照鉴定意见里的每个步骤中所附的图和光盘里的文件,观察光盘里文件的创建时间、修改时间与鉴定意见中的顺序是否一致。如果不一致,说明不是如实取证。在该案中,将鉴定意见的图文与光盘文件进行连属式审查发现,数据的时间信息表明是先完成数据下载行为、后有登录账号行为。
此外,将被告人供述与服务器中的电子证据进行关联分析,发现该案被告人完全不认可××计算机司法鉴定所的鉴定意见。二审法院发回重审,要求补正。
四、基于两个空间混合连属的证据审查技巧
审查两个空间的混合连属需要将物理空间各环节行为、信息空间各层次数据有机地结合起来进行审查。因为物理空间和信息空间是关联的,电子证据不会仅仅在信息空间里面出现,一定有相关联证据在物理空间出现。电子证据所在的信息空间同相关的物理空间亦存在客观的连属关系,如时间上的顺位关系。
以甲公司与乙公司、丙公司买卖纠纷案件为例,甲公司与第一被告乙公司有长期供货关系,第二被告丙公司通常为乙公司做担保。2013年甲公司与乙公司签订了价值6000万元的货物合同,随后甲公司将货物运送至上海港,乙公司将货物提走并卖出,但是没有支付货款。于是甲公司起诉了丙公司、乙公司。该案第一被告乙公司承认取走货物,但是因为生意亏损无法支付货款,第二被告丙公司称其未对本次货物买卖合同达成担保意向。双方当事人争议的焦点就在于,丙公司有没有对2013年甲公司和乙公司的买卖合同提供担保。甲公司律师向法庭提交的一份重要证据是电子邮件,并称该电子邮件由丙公司员工丁发给甲公司,附件是丙公司的财务报表及担保书,担保书上标明丙公司对2013年乙公司与甲公司签订的价值6000万元的货物合同提供担保,并盖有丙公司公章。甲公司称三家公司以前签订担保协议的方式也是通过电子邮件进行,而非三方坐在一起签订。丙公司对该电子邮件的真实性不予认可。法院委托某计算机司法鉴定所进行鉴定,鉴定意见是:“该电子邮件未发现异常信息,但是因检材的局限不能确定其真实性。”鉴定意见里有三封电子邮件,且内容相同,都附上了丙公司的财务报表和担保书。这三封电子邮件之间是转发关系。鉴定意见还计算了该电子邮件的MD5值。“未发现异常信息”是指鉴定机构将发件人和收件人域名与服务器域名相比较,发现一致,另外发送时间和接受时间也符合逻辑无矛盾现象。这个鉴定意见中前一句话对原告有利,后一句话对于第二被告有利。
那么,如何有效审查该案中的电子邮件及相关鉴定意见?一方面,可以利用物理空间的行为连属,包括镜像行为、扫描行为、盖章行为等进行连属式审查;另一方面,可以利用信息空间的系统连属,包括对关联电子邮件以及邮件附件、邮件列表、邮件头等进行连属式审查。混合连属的具体审查过程如下:
第一步,将印章印文与电子邮件(附件)结合审查。担保书有公章,这说明物理空间有盖章行为。通过简单的比对检验发现,电子邮件附件中“××担保书6000万2013.jpg”上的印章印文同丙公司印章印文的大小规格、笔画刻画等特征明显不一致。但由于用作鉴定的不是合同原本,而是电子邮件里的一个扫描件,扫描容易变形。看起来,这种异常也可能得到合理解释。
第二步,将电子邮件扫描情况与电子邮件(附件)结合审查。第二被告聘请某大学司法鉴定中心对主电子邮件的5个JPG图片附件的属性信息进行鉴定,鉴定意见表明其中4个JPG图片附件有EXIF信息,可以反映电子邮件扫描时间和使用的软件等,而第5个JPG图片附件(即“××担保书6000万2013.jpg”)完全没有任何EXIF信息,无法反映电子邮件扫描时间和使用的软件等。这是经混合连属审查发现的一个较小疑点。对五个文件的创建时间、修改时间、文件内容包含的时间逐一分析。可以发现,电子邮件发送时间是2013年6月24日12:55,而图片附件文件的创建时间是2012年12月31日(意味着半年之前该图片附件文件就已经制作完成)。这是经混合连属审查发现的一个较大疑点。
第三步,审查鉴定情况和电子邮件,即审查鉴定机构鉴定的电子邮件和原电子邮件是不是同一封电子邮件。该案中审核发现两者一致,没有异常。
第四步,审查关联电子邮件及其附件。该案三封转发电子邮件的转发时间分别是2013年6月24日、2013年7月23日、2013年10月18日。(1)审查这三封电子邮件的目的是看转发电子邮件之间有没有异常,特别是最后一封转发电子邮件所附带的内容应跟前面的电子邮件对应上,不能有矛盾。(2)要重点审查2013年6月24日的电子邮件,因为这是最早的电子邮件,是原始证据,其他几封公司间相互转发的电子邮件是复制件。该电子邮件是在甲公司一名员工的电脑里面找到的,并且放到了名为“丙公司”的文件夹里。审查2013年6月24号的电子邮件发现,发件人邮箱是hotmail的邮箱,这不符合丙公司的商业惯例,因为以前丙公司是通过企业邮箱发送电子邮件。再审查电子邮件头的IP地址,经查与丙公司没有关系。此外,该电子邮件被甲公司律师专门放在了新建的一个名为“丙公司”的文件夹里,而不是在inbox收件夹里。如果说该电子邮件原来在inbox收件夹中是原件,后来被放到“丙公司”文件夹就顶多算复制件。而且,该案没有提取到服务器中的电子邮件,那显然是一个更好的邮件版本。
经混合连属式审查发现如下重要疑点:(1)几封电子邮件(附件)里只有担保书没有扫描信息,并且扫描时间在半年之前,甚至比这个项目还要早。(2)放在名为“丙公司”的文件夹里的电子邮件不是原始证据,原告也不能提供企业邮箱服务器里的电子邮件。(3)邮件证据的时间有异常。(4)最重要的是邮件证据与被告单位没有任何关联,电子邮件并非被告丙公司的企业邮箱发送的,IP地址也不是丙公司的。最终,一审判决现有证据未能有效证明担保行为。
五、区分连属式审查与证据组合审查
连属式审查和证据组合审查方法有所不同。证据组合主要基于证明内容相近、相同或相反将相关证据组合起来。组合在一起的证据指向同一案件事实,如犯罪动机、犯罪组织架构等,因此这是基于社会属性的组合,是构建证据体系的前提。证据连属主要基于信息空间各层次数据的关联关系,及其与物理空间各环节行为间密不可分的关系,从而将电子证据连属起来审查,这是基于客观规律的组合。
以一起非法经营期货案说明连属式审查与组合审查的区别。该案中,被告人甲未经国家有关主管部门批准,采用打电话、朋友介绍等方式,利用某国际网站非法经营期货业务,涉嫌构成非法经营罪。该案的争点是经营期货数额是多少。该案主要证据包括:交易软件的截屏图片打印件,没有标明出处的交易清单,账户入金情况、证人证言等。
组合审查就是将指向同一案件事实的证据组合起来,针对同一案件事实要找到两份以上的证据形成组合。例如,对于该案待证事实“经营期货数额”,可以多找被害人获取其账户交易记录证明,用以合计证明经营期货的数额。
连属式审查方法则是尽可能利用电子证据规律进行审查,将同一行为在物理空间的证据和信息空间的证据结合审查。比如同一个系统操作行为产生了多份证据,要将这些证据关联起来审查。该案交易记录产生有两个阶段:第一,证据形成阶段。要形成交易记录,需要有登录网站、输入账号密码、下单等行为,隔一段时间会产生交易报告,之后有退出行为、关机行为。值得注意的是,该案中行为人在登录界面有两个选项:一是真实交易行为,会产生真实交易记录;二是使用模拟账户进行交易,会产生模拟交易记录。但根据被害人打印的报表,办案人员无法区分所产生的交易记录是真实的还是模拟的。第二,证据提取阶段。证据提取环节会有相关的笔录,还有签字、刻盘等行为。该案由于是被害人打印的报表,并提交了该证据,而非执法机关或侦查机关提取证据,故没有笔录证明。由于被害人提交的只是证据打印件,未能提交原始存储介质,证据真实性存疑,并且涉案网站被查封后已无法登陆,故不能再行取证。该案通过连属式审查得出的审查意见是:(1)被害人提交的证据与案件不具有关联性,因为交易记录可能是模拟交易产生的;(2)被害人提交的证据不具有真实性,因为其是打印件,可以通过模拟交易获得。
本文系“电子证据的有效审查”系列讲稿之一部分,根据2021年6月刘品新在江苏省公检法司联合培训班上主讲“电子证据的连属式审查:以涉企犯罪案件为主展开”的发言整理稿改编而来,初稿及加注主要由陈丽完成,审稿及定稿主要由刘品新完成。
作者:刘品新,中国人民大学法学院教授,刑事法律科学研究中心、未来法治研究院研究人员;陈丽,中国人民大学法学院博士研究生、智慧法律科技创新研究中心研究人员。
本文有删减,全文详见《人民检察》2022年第9期
公告
为顺应媒体融合发展趋势,适应数字化、移动化、智能化发展方向,人民检察杂志特开设微信端征稿发稿渠道,建立“好稿快发”“网络首发”机制,来稿除微信公号端编发外,还将择优刊发于《人民检察》纸质版。欢迎广大读者踊跃来稿,邮箱rmjcwlb@126.com,征稿内容详见《人民检察》网络微信端征稿启事。
编辑:徐贺
相关链接
关于我们
《人民检察》创刊于1956年6月,是最高人民检察院的机关刊,全国百种重点期刊,以“交流经验,指导业务”为办刊宗旨。它关注检察改革,探索法学新知,交流工作经验,解析司法疑难,为检察工作高质量发展提供理论支持,为推进全面依法治国贡献力量。
投稿邮箱:rmjcwlb@126.com rmjcbjb@126.com