|
【202019005】网络犯罪主体的同一认定
文/何家弘;谢君泽
作者单位:中国人民大学中国人民大学法学院证据学研究所中国人民大学刑事法律科学研究中心中国人民大学法学院
专题分类:网络犯罪
摘要:
要解决网络犯罪主体认定难问题,需要在网络信息环境下对同一认定理论进行演绎。同一认定的依据是客体特征,同一认定结论的科学可靠性主要取决于客体特征的特定性、稳定性和反映性。根据客体特征的来源不同,网络犯罪主体的同一认定方法主要包括以电子设备为中介的同一认定、以数据信息为中介的同一认定、以行为痕迹为中介的同一认定。网络犯罪主体的同一认定可以按照特征信息的发现与收集、特征信息的分析与运用、同一认定结论的确定性评断这三个步骤而展开。
期刊栏目:法学专论
关键词:网络犯罪主体同一认定特征信息
面对大幅上升、花样翻新的网络犯罪,网络犯罪主体认定难日益受到关注。一般来说,网络犯罪中电子证据能够证明涉案机器,能够证明哪些IP地址、手机、电脑、微信账号等涉案,但不容易证明涉案机器或账号等的所有者就是其使用者、犯罪行为人。“实践中有一些权宜之计,最简单、最典型的做法是寻找补强证据,比如口供、证人证言等。但这容易在法庭上遭受质疑,也容易酿成错案或放纵犯罪。”[1]本文就针对这一难题,以犯罪侦查学的同一认定理论为基础,探讨对网络犯罪主体进行同一认定的方法和步骤。
一、网络犯罪主体同一认定的科学原理
同一认定就是对同一个人或物的认定,又称为“个体识别”,而以人为对象的同一认定亦称为“人身识别”。
(一)同一认定是确认客体同一性的认识活动
同一认定概念的核心词是“同一”,表示物体与其自身相等同。作为一个专业术语,“同一认定”的概念产生于犯罪侦查领域。在犯罪侦查中,同一认定是具有专门知识的人或了解客体特征的人通过检验、比较客体特征而对案件中的人或物是否同一所作出的判断。[2]根据客体的不同,同一认定可以分为人身同一认定、物体同一认定,以及作为“广义之物”的场所的同一认定。其中,人身同一认定是最为重要的,因为它可以直接完成案件侦查的任务,而物体同一认定和场所同一认定往往也要服务于最终的人身同一认定。在网络犯罪案件中,这一点尤为重要。例如,2017年,某互联网公司发生了一起网络入侵案,作案人采用VPN代理方式[3]冒用高管账户登录该公司服务器并多次窃取商业秘密。接到报案之后,经过大量的数据分析,侦查人员发现上述入侵行为使用的是该公司某员工的苹果牌电脑。这是对电脑的同一认定。然而,这并不等于认定入侵行为人。该员工可能否认那些入侵行为,而且客观上也确实存在着其他员工使用该电脑进行入侵或者该电脑被外人入侵为“黑客肉机”的可能性。侦查人员必须根据这个物体同一认定再去搜寻线索和证据,以便最终完成对作案人的同一认定。
(二)同一认定的依据是客体的特征
同一认定的依据是客体的特征,因为离开客体的特征,人们便无法认识客体的特定性,也就无法对客体进行同一认定。客体特征有很多种类,包括形象特征、物质成分特征、活动习惯特征、时空位置特征等。形象特征和物质成分特征在网络犯罪中较少显现,对网络犯罪主体进行同一认定时应特别关注客体的活动习惯特征和时空位置特征。活动习惯特征是指反映客体特殊活动规律的特征,它包括生理活动习惯特征、心理活动习惯特征和技能活动习惯特征。时空位置特征是指客体在一定时间内占有的空间和方位。时间和空间是物质存在的基本形式,因此任何客体都具有一定的时空位置特征。
在对网络犯罪行为人进行同一认定时,活动习惯特征和时空位置特征具有较高的价值。在前述互联网公司网络入侵案中,侦查人员通过调查发现,该涉嫌员工在一系列入侵行为发生之后就辞职离开了该公司。然后,侦查人员综合分析了该案的网络环境情况,根据被入侵网址的私密性和该苹果电脑系统的封闭性,以及入侵行为的时间特征、对象特征、手法特征、账户特征等情况,最终认定该离职员工就是实施上述网络入侵行为的作案人,完成了该案中对犯罪主体的同一认定。
(三)同一认定的科学性依赖于客体特征的特定性、稳定性和反映性
同一认定的依据是客体特征,但是每一次具体的同一认定所依据的并不是客体的全部特征,而是能够被同一认定主体认知或识别的那些特征的组合。为了保证同一认定结论的科学性,这些特征组合就必须满足同一认定的特定化要求。就是说,同时具备这些特征的客体只能有一个,无论这客体是人还是物。
特征组合的特定性是由该组合中特征的数量和质量所决定的。一方面,特征的数量越多,特征组合的特定性就越强。这是显而易见的。另一方面,单个特征的质量越高,特征组合的特定性就越强。特征的质量也可以表述为特征的特定性价值。一般来说,特征的特定性价值是由该特征的出现率所决定的。出现率高,价值就低;出现率低,价值就高。这也符合“物以稀为贵”的价值规律。由此可见,同一认定既要重视特征的数量,也要重视特征的质量。
同一认定结论的科学可靠性不仅取决于客体特征的特定性,还取决于客体特征的稳定性。就具体的同一认定而言,只要特征组合在该同一认定的必要时间内保持基本不变,就满足了同一认定的稳定性条件。这里所说的“必要时间”一般是指从案件发生到提取客体特征进行同一认定的时间。这里所说的“基本不变”则包括两层含义:第一,对于特征组合来说,是指其中的主要特征都没有发生变化。虽然个别特征发生了变化,但是这种变化并没有改变整个特征组合的特定性。第二,对于具体特征来说,是指保持这个特征得以区别于其他特征的质的规定性。虽然这个特征发生了一些量变,但是并没有改变其特定性。
除了特定性和稳定性,同一认定还应该考察客体特征的反映性。所谓客体特征的反映性,是指某客体的特征能够在其他载体上得到反映的属性。因为同一认定往往要通过检验或识别客体遗留在其他载体上的特征才能实现,所以特征的反映性也是同一认定的条件。这包括特征反映的容易程度、清晰程度和准确程度。综上,在讨论网络犯罪主体的同一认定方法时,必须综合考虑选用特征的特定性、稳定性和反映性。
二、网络犯罪主体同一认定的主要方法
在网络信息环境下,作案人实施网络犯罪行为首先要借助于电子设备,电子设备则进一步通过数据信息的变换与交换去实现具体的行为。电子设备是作案人实施整个犯罪行为时在传统时空环境下所使用的工具,数据信息则是电子设备表达具体行为时在网络信息环境下所使用的工具。作为行为的工具,电子设备和数据信息都可能含有因使用工具所遗留的、反映行为主体身份的客体特征。此外,行为是特定主体的行为,行为痕迹也可能含有反映行为主体身份的客体特征。故,从理论上讲对网络犯罪主体进行同一认定,可以从电子设备、数据信息、行为痕迹这三类客体特征[4]而展开。
(一)以电子设备为中介的同一认定
以电子设备为中介的同一认定,是指通过收集电子设备的硬件系统(计算设备、网络设备、存储介质等)和以操作系统为代表的软件系统的特征信息来认定网络信息行为人的方法。[5]以电子设备为中介的同一认定,主要有外观信息认定法、系统信息认定法和地址信息认定法。前者纯粹是传统时空环境下的同一认定问题,后二者则涉及网络信息环境的问题。
外观信息认定法,就是根据电子设备的外观特征来认定网络信息行为人的方法。比如,通过核对电脑或硬盘的型号、序列号等外观特征及其与购买发票、财务记录、资产登记等相关材料的一致性来认定相关主体的身份。通过电子设备表面上所附的指纹、毛发等生物特征来认定行为主体,这也可以认为是外观信息认定法的另一种表现形式。作为传统时空环境的问题,外观信息认定法往往只能认定电子设备的权属人或者曾经的使用人,如果要确定某一次具体网络信息行为的实施主体,则还有赖于从网络信息环境下寻找其他各种特征信息进行综合认定。
系统信息认定法,则是根据电子设备的系统信息来认定网络信息行为人的方法。比如,通过检查系统的账户名称、开关机时间、使用时间以及开机密码等来判断相关网络信息的使用者。由于电子设备的系统信息已经涉及网络信息环境的问题,因而运用这种方法时会遇到网络信息环境与传统时空环境的一致性问题。比如,计算机系统的时间与自然时间是否一致,网络账户所显示的名称与自然人的真实身份是否一致,等等。这些问题的解决往往需要通过寻找更多的特征信息来完成。随着信息系统在安全性上的提高,系统信息认定法具有越来越广阔的运用空间。可以想象,如果电脑、手机等电子设备的开机密码谁都破解不了,那么某人主张相关数据信息并非他本人所为,显然不能成立。
地址信息认定法也是认定网络犯罪主体的重要方法,是通过电子设备的网络地址信息来认定网络信息行为人。在诸如网络入侵的专业犯罪案件中,IP地址与MAC地址经常被认为是行为主体认定的关键性证据。这种认定方法是否可靠往往与具体技术方案有关。比如,在互联网环境下,如果将IP地址(IPv4)作为特征信息,它往往缺乏特定性,即只能指明区域范围。但是,如果在局域网环境或区域网环境下,它的指向性与精确性又有所提高。后者如,在快播案中,审判机关就根据涉案服务器内用户远程登录日志的8个IP地址认定快播公司就是行为主体。[6]人们已经认识到IPv4地址所存在的技术管理缺陷,因而在认定行为主体时更倾向于采取MAC地址。MAC地址是电子设备出厂时预置绑定的唯一性信息,这使得这种地址特征信息具备良好的特定性。当然,无论是MAC地址还是IP地址,也不论是IPv4还是IPv6、IPv9,它们都存在着伪造、变造与掩藏的潜在问题。也就是说,这些地址特征信息都存在着质量隐患,它们的特定性是以假定真实为前提的。
以电子设备为中介的同一认定,其优点是能够同时解决网络信息环境与传统时空环境的主体同一问题,因为电子设备既是传统时空环境的组成部分,也是网络信息环境的组成部分。同时,这种认定方法的缺点也是十明显的,即这种方法的运用必须依赖于对作案电子设备的审查,如果找不到电子设备或者读取不到数据也就无法运用这个方法。实际上,这已经从客观条件上极大限制了这种方法在网络犯罪侦查中的运用。
(二)以数据信息为中介的同一认定
与以电子设备为中介不同,以数据信息为中介的同一认定完全有可能摆脱对作案人电子设备的审查依赖。它是通过分析各种类型数据信息以及相关应用程序、代码指令等,以其中所含有的特征信息来认定网络信息行为人。显然,这种认定方法所基于的数据信息不仅可以是来自作案人的电子设备,也可以是来自网络服务器或行为对象的电子设备。这就使得这种同一认定方法具有更大的适用空间。
根据特征信息的数据形式不同,这种同一认定方法又可以进一步区分为密码认定法与明文认定法。前者所依据的特征信息是一种包含密码变换算法的加密信息,后者则是人们可以直接识别的“明文”。一般来说,采用密码认定法更有利于确定个体身份,因为作为加密的特征信息特定性更强,因而特征质量相对较高。
密码用于信息的加密,它的目的是只让某些特定的人知道或利用特定信息的内容,即解密。密码学领域根据加密方与解密方所使用的密钥是否相同,将密码进一步区分为对称密码与非对称密码,[7]这是对密码信息本身所采取的不同安全策略。密码在信息上的对称性与不对称性及其程度直接决定了密码的安全可靠性,也直接决定了密码特征信息的特定性及其强度。
根据密码表现形式的不同,密码认定法又可以分为电子签名认定法、应用账户认定法、代码指令认定法。电子签名认定法,顾名思义,就是指以电子签名来认定行为主体的方法。我国2005年电子签名法第二条第一款将电子签名定义为:数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。第十三条第一款又进一步规定了可靠电子签名,即:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。从上述定义不难看出,电子签名含有识别签名人身份的特征信息,在可靠电子签名之中这种特征信息的指向性非常好。比如,人们从不怀疑用网络银行的优盾或密码器等可靠电子签名所实施的转账汇款行为。
应用账户认定法,是通过应用程序的账户密码的指向性特征来认定网络信息行为人的方法。应用程序的账户密码能否足以认定相关主体的身份,这既与账户有关,也与密码有关。一方面,这取决于应用账户是否具有足够强的指向性。鉴于我国网络实名制[8]的要求,互联网环境下的应用账户一般都具有很强的指向性。在区域网或局域网环境下则未必如此,这是因为此时并不受网络实名制的约束。另一方面,密码的安全性也会影响行为主体的认定。就以人们经常使用的微信来说,在早前旧版本时微信账户密码采用的是一次验证,即输入密码时即可在任何设备上登录微信。在这种弱安全方案下,微信账户就有较大可能性被窃用。随着微信版本的升级,它现在采用了新设备“密码+短信验证码”的二次交叉认证,这就使得密码安全性得到了极大地提高。总言之,只有账户的指向性与密码的安全性同时成立,才能得到账户密码“整体”特征具有较高质量的结论。
代码指令认定法,是指以代码指令所包含的特征信息来认定网络信息行为人的方法。这种方法在类似网络入侵、病毒木马等专业性案件中运用价值极大。比如,在温州“八·一”广电案中,温州有线电视网络系统机顶盒遭黑客攻击,出现一些反动宣传内容。在该案的行为主体认定中,恶意代码指令的特征信息就发挥了至关重要的证明作用。通过司法鉴定机构对机顶盒服务器中所提取的程序代码指令进行分析,发现该服务器中涉案程序代码存在2个函数,即blur·和de_blur,该2个函数系一对针对字符串的编码解码函数。同时,在犯罪嫌疑人个人电子邮箱中提取到另一某段涉案程序代码,其中存在1个字符串常量,即“/wur1uhcte10ttkgigrgf”(该字符串无实际现实意义)。经测试分析,发现通过调用前者涉案程序代码的blur和de_blur这2个函数,可以实现对后者字符串常“wurluhctelOttkgi-grgf”的解码与编码。这表明,前者与后者在程序代码指令功能上具有极强的关联性,即符合同一作者所编写的特征。[9]但是,这种方法只有在相关数据信息相对明确的情况下才能运用。
密码认定法的优势是十分明显的。由于加密变换算法的介入,加密特征信息对一般人而言具有较高的信息不对称性,因而这种特征信息在特定性与稳定性上质量相对较高。它的劣势在于反映性较差。在网络犯罪中,且不论加密特征信息本身数量很少,它们还容易因为识别不了而无法收集运用。
与密码认定法相比,明文认定法具有普遍适用性,而且明文特征信息往往具有十分明显的数量优势。这是因为,明文特征信息具有更好的反映性、更容易识别,因而可以被大量发现与收集。利弊同源,明文特征信息也因为容易识别,因而需要考虑伪造变造的可能性,这往往就影响了特征信息在特定性与稳定性上的质量。
明文认定法主要有日志数据认定法、数据内容认定法以及碎片数据认定法。日志数据认定法是指以系统日志、应用日志、网络交换日志等记录性数据之中所包含的特征信息来认定网络信息行为人的方法。比如,在网络入侵案件中,往往需要对被害主机的系统日志、程序应用的指令日志以及路由过程的网络日志进行全面分析,从而重构网络入侵过程并判断攻击来源。这种认定方法能否顺利运用,主要取决日志数据是否及时固定及其所包含的特征信息在主体指向性上的强弱。
数据内容认定法最易理解,它是因数据内容本身具有某种身份指向的特征信息而可用以认定网络信息行为人。这种认定方法所基于的数据内容一般要有足够强的私密性或保密性,即只有特定的行为主体才能知道或使用。比如,在某泄露国家秘密案件中,在犯罪嫌疑人的电脑中查获了泄密文件的部分文字段落碎片。通过数据碎片的文字段落内容分析,基于数据信息内容的保密性及其非常特殊性,最后完成了作案电脑及作案人的同一认定。在有些案件中,通过分析电脑中所存储的个人照片、个人电子邮件、个人信用卡消费信息、个人署名论文等私密性信息来认定网络信息行为人,[10]这也是数据内容认定法的运用。
碎片数据认定法,也称为“临时数据认定法”,它是通过分析计算机运行过程中所形成的临时性数据及其所包含的特征信息来认定网络信息行为人的方法。比如,在有些案件中,通过提取电子邮件的网页登陆加载页面(含有电子邮件的账户名称)、网页表单cookies信息(含有填写表框时的信息)等可以认定相关行为主体的身份。[11]虽然电子设备中的临时性数据,如系统虚拟内存、应用程序临时文件、网络缓存等,都不是以正常文件形态而存在、难以完整恢复或识别,但是由于它们是电子设备自动产生、不易被人为操控、数据信息量巨大,因而往往是极佳的辅助性或印证性证据。
在网络信息环境下,信息的不对称性往往决定了特征的特定性,信息的对称性则往往决定了特征的可识别性即反映性,反映性好的特征信息又潜伏着稳定性问题,因而特定性、反映性与稳定性之间存在着紧张的矛盾关系。就以加密特征信息而言,它的特定性可能很好,但是可识别性可能很差;就以明文特征信息而言,它的可识别性可能很好,但是可能由于稳定性不足(数据信息容易被伪造与变造)而导致特定性不强。在加密特征信息相对较少、明文特征信息占据主流的情况下,网络信息环境下的特征信息在总体上存在着量增质减的趋势。
(三)以行为痕迹为中介的同一认定
与来自行为工具的特征信息不同,以行为痕迹[12]为中介的同一认定,是指以行为本身的历史痕迹来认定网络信息行为人的方法。这些行为痕迹既可以来自行为人电子设备,也可以来自网络服务器或对方电子设备。例如,通过涉案电子邮件的前后邮件来认定行为人、通过聊天记录的上下文来认定行为人。这是根据行为痕迹在时空上的特征来认定行为人。这种认定方法的可靠性往往取决于能否排除网络时空环境对行为过程的影响。换言之,如果能够排除网络入侵对电子邮箱或聊天账户在时间连续性与空间排他性上的影响,那么这种认定方法就具有较高的可靠性。如果不能排除,它们就可能失去了时空条件的逻辑基础。再如,在前文所述的网络入侵案中,也有行为痕迹的运用。作为关键特征信息,账户使用在连续时间内同机器(IP地址)登录,这本身就是行为痕迹在时间与空间上的交叉关联。显然,判断这种犯罪手法特征是否可靠,首先要评估网络时空特性对行为过程的影响。在该案中,由于已经通过种类认定的方法排除了外网范围的空间影响,而内网用户数量本身又不多,因此按照行为过程的时间连续性来推断行为主体是可行的。
行为痕迹中还经常包含有活动习惯特征,如打字习惯、命名习惯、编程习惯等。在2012年,著名黑客“无花果”就曾因为编程与命名特征而被人肉搜索。[13]有国外研究人员在远程控制工具PlugX中发现该恶意程序的调试路径,从而推算出该恶意程序开发者的计算机用户名为whg。通过分析“无花果”所开发的其他木马程序,发现它们都存在此特征。最后,根据这个特征,人肉搜索到whg的很多身份信息,还有很多单位名称、联系地址、银行账号等信息。
人的行为方式是多种多样的,任何一种行为方式都有可能作为认定主体的具体方法,只要在网络信息环境中留下了相应的行为痕迹。因而,以行为痕迹来认定主体,只能例述,难以穷尽。
三、网络犯罪主体同一认定的基本步骤
网络犯罪主体认定的首要任务就是解决如何在网络信息环境下全面收集特征信息的问题。其次是面对大量特征信息如何进行评估与运用。特征信息在质量上的减弱,决定了网络犯罪主体认定主要是基于种类认定而展开,通过种类认定在数量上的不断增加而趋向于同一认定。因而,在种类认定不断展开过程中以及最终的同一认定结论中,还会涉及确定性的程度变化及其描述问题。
(一)特征信息的发现与收集
在网络信息环境下,特征信息不仅数量极多而且分布范围很广,特征信息的发现与收集是一项十分严峻的技术工作。就单机电子设备而言,特征信息的数据类型就已经很多。电子设备是一个非常复杂的体系性系统,它往往是由硬件系统(计算设备、网络设备、存储介质等)与软件系统(操作系统、应用程序、代码指令等)两部分组成。从信息技术原理上讲,电子设备在通过数据信息表达具体行为时必须经过操作系统、应用程序及代码指令依时序地逐层运算才能得以实现。电子设备中不仅有静态的数据信息,还有动态的数据信息。前者如,操作系统、应用程序、代码指令等软件数据,实时记录的日志数据信息,以及行为人所意欲传播或记录的数据信息内容等。后者如,正在内存中执行的程序指令数据、正在传输的网络中继数据,以及正在计算的数据信息等。此外,还存在着一些时而静态、时而动态的特殊数据信息,如账户密码、证书密钥等。以上各种类型的数据信息在一定情况下都有可能成为认定网络犯罪主体的特征信息。显然,电子设备的系统性客观上导致了特征信息在数量上的增加,即不同环节的技术处理会导致更多(不同)特征信息的产生。
即使是相同特征信息,它们也存在着总量上增加的趋势,即相同特征信息在更多的地方出现。网络信息技术本质上是一种信息传播技术,网络信息环境下的具体行为在技术上是通过数据信息的不断“复制”与“传播”而实现的。作为一种数据信息的特征信息,它同样会不断“复制”与“传播”,这就导致了相同特征信息在总量上的增加。这种现象不仅表现在单个电子设备之内,也表现在网络信息系统之间。也就是说,特征信息广泛地分布在网络信息系统的各个环节。
以前述互联网公司的网络入侵案为例。首先,侦查人员要在被害服务器上(如访问日志)收集特征信息,以分析网络入侵的对象页面。其次,侦查人员要在(网络访问所途经的)中间服务器上收集特征信息,以分析非法访问的路由过程。再次,侦查人员要在身份认证服务器上收集特征信息(如账户、IP地址),以确定非法访问的来源。最后,还要在账户管理及域名服务器上查询账户、IP地址等的分配使用情况。在能够找到作案电子设备的情况下,当然还要对电子设备的系统账户、系统使用时间、IP地址配置、网页使用记录、账户登录记录及相关的Cookies、网页缓存文件乃至数据碎片等进行全面分析,以收集与服务器端相印证的特征信息。
特征信息的大量增加并不意味着主体认定难度的降低,这是因为同一认定不仅与特征的数量有关,还与其质量有关。如前所述,特征组合的特定性是由该组合中特征的数量和质量所决定的。一般来说,密码特征信息的特征质量相对较高,它们往往是最为理想的目标信息。但事实上,人们绝大多数时候要面对的都是数量很多但特征质量并不高的明文特征信息,如包含时间、IP地址、MAC地址、账户名称等的日志信息,包含相关事项的文件内容,以及有关的数据碎片信息等。
(二)特征信息的分析与运用
在收集到大量特征信息之后,就要对它们的特定性、稳定性乃至反映性进行全面的分析与评估。如前所述,特征的特定性价值是由该特征的出现率所决定的,因而对特定性的评估主要是分析特征信息在主体指向性上的强弱。对稳定性的评估主要是判断特征信息从案件发生到提取为止这个“必要时间”内是否发生变化。对特征信息的反映性评估则是为了判断是否存在伪造变造的可能性及其大小,而不是为了判断特征信息的反映性本身,这是因为如果没有反映性这个特征信息自然就不会被收集得到。
就前述网络入侵案而言,作案时间特征虽然稳定性很强但是主体指向性却不强;作案对象特征即所入侵的网页虽然在动机性质上体现了一定的主体指向性,但这种指向性并不唯一。即使该案看似具有质量最高的作案手法特征,即账户使用在连续时间内同机器(IP地址)登录,也仍然存在时间耦合的某种概率。另外,作案人之所以采用VPN掩饰身份,就是因为VPN代理所使用的IP地址在每次登录使用时都会发生变化,因而这种特征信息不具有稳定性。从某种意义上讲,VPN代理就是作案人为了应对特征信息的反映性而采取的IP地址伪造变造方法。特征信息的特定性、稳定性、反映性都是相对而言的,毋庸置疑,司法人员总是需要根据不同的网络技术环境、信息系统情况乃至案件本身的具体特点,动态地对大量特征信息作出质量评估。
在网络信息环境下,对特征信息的组合分析比对单个特征信息的质量评估更为重要。如果仅仅是从孤立的特征信息来看,考虑到网络信息技术的固有特性,几乎每个特征信息都可以或可能被伪造或变造。但是,如果将很多特征信息进行比较分析、综合分析,就会发现很多特征信息之间能够形成互相支撑或互相排斥的关系,最终可以形成一个整体的特征组合。
在前述网络入侵案中,VPN代理是伪造的网络地址,而且还会不断地变换,这看似是一个质量极低的特征信息。但是,这个特征信息一旦与作案的手法特征以及时空特征进行交叉分析,反而会成为价值最高的特征信息。该案就是利用VPN代理的作案手法特征发现作案人的真实身份。可以说,能否及时把视野从特征信息的质量要求转向特征的数量突破,并使大量特征信息形成一个合理科学的特征组合,往往是突破网络犯罪主体认定的关键。这也是网络信息环境下主体同一认定的特殊性所在。
网络信息环境下犯罪主体的认定主要是通过种类认定的多次反复运用而达成。比如,在上述网络入侵案中,侦查人员首先通过作案的时间特征把网络入侵主体限定在内网登陆;然后通过作案的对象特征把网络入侵主体限定在刚刚入职和离职的员工范围;最后通过作案的手法特征确定了网络入侵主体所使用的作案电脑。这都是不断展开环环相扣的种类认定。当然,如果本案中能够找到作案电脑,这种种类认定还会继续开展下去并得到最后的同一认定结论。
然而,如果不能找到作案电脑,继续开展种类认定就失去了特征信息的来源与中介。在此情形下,从最后一次种类认定到最终的同一认定只能借助于信息对称性与不对称性的思维方法来完成。对称性与不对称性的研究抓住了物质作用和信息作用的共同本质,[14]沿着这种思维路径,人们在认定网络犯罪主体时有可能走出对实体物质的依赖。这种依赖不仅包括对类似作案电脑这种“物”的审查需求,也包括对作案人“人身”的审查需求。换言之,借助于信息对称性与不对称性,人们有可能跳过对作案工具乃至作案人等实体物质的审查依赖,径直完成对网络犯罪主体的同一认定。
就该案而言,被入侵页面地址的特定性与私密性使其对公司外部人员而言具有一定的信息不对称性,苹果电脑系统的封闭性更是使非法入侵者或非法使用者在控制电脑上具有极强的信息不对称性。同时,涉案员工原系被冒用账户高管的下属,而这使其具备了获得高管账户密码的信息对称性。通过信息对称性与不对称性的综合判断,本案可以跳过对作案电脑的审查而径直得出同一认定结论。
在网络信息犯罪中,信息对称性与不对称性的思维运用尤为重要。网络信息行为是通过一系列电子设备之间的数据信息传递与交换来实现的,一旦任一环节的电子设备或其内涉案数据信息无法取得,就会导致无法查清整个犯罪行为过程。因而,只有通过诸多环节大量特征信息的运用、不断开展种类认定,并基于信息对称性与不对称性思维才能完成网络犯罪主体的最终认定。
(三)同一认定结论的确定性评断
同一认定结论有确定性和非确定性之分,这主要是由客体特征的性质所决定的。一般来说,某同一认定所依据的特征组合具有很强的特定性、稳定性和反映性,那么该同一认定的结论就是确定性的;反之,则属于非确定性同一认定。不论作为类型来讨论还是作为个案来讨论,在特征信息量增质减的技术现实下,网络犯罪主体的认定主要是通过种类认定的多次反复运用以及信息对称性与不对称性思维来完成。在这种确定的方法路径下,同一认定结论的确定性程度评断是一个至关重要的问题。
一方面,在多次反复运用种类认定的过程中,需要对每一次的种类认定及其结论的确定性程度进行评断。这种评断不仅与本次种类认定的特征信息有关,也与上一次种类认定所确定的范围有关。也就是说,在多次反复种类认定过程中,每一次所运用的特征信息及其组合都隐含着互相支撑或排斥的关系。上一次特征信息的可靠性会影响本次种类认定的结论,本次特征信息的可靠性则会影响下一次种类认定的结论,进而影响最终的同一认定结论。总之,每一次种类认定的运用都含有相应的确定性评断。
另一方面,信息对称性与不对称性的综合判断也需要通过确定性程度来衡量。比如,前述网络入侵案中,信息对称性与不对称性的综合判断主要是基于页面地址的特定性与私密性、苹果电脑的系统封闭性与技术入侵可能性、涉案员工与被冒用账户高管的特殊关系等。然而,页面地址是否具备足够的特定性与私密性,这是一种技术经验的判断;涉案员工与被冒用账户的特殊关系,这是一种管理经验的判断;而对苹果电脑是否会被技术入侵及其可能性程度的判断,更是有赖于司法人员的专业认知。因而,信息对称性与不对称性的综合判断本身就存在概然性程度的确定问题。可以说,不同认知基础的司法人员所得出的确定性结论本身在程度上就可能不尽相同。
总之,犯罪与侦查之间存在着博弈伴生的关系。特别是在网络信息技术高速发展的21世纪,网络犯罪的手段不断升级,网络侦查的方法也不断改进,二者都努力提升其“高科技含量”。科学技术是人类社会发展的动力。神奇的科学技术为人类社会编织出一幅幅美丽的图画。然而,在靓丽和璀璨的后面往往还隐藏着丑恶和黑暗。犯罪是人类社会的“毒瘤”。我们仇恨它、厌恶它,但是却无法彻底地把它从社会肌体中清除。尽管人类已经掌握了非常先进的科学技术,但是我们还没能研发出有效预防犯罪“病毒”的“疫苗”,还没能找到根治犯罪“瘟疫”的“特效药”。因此,我们必须加强对网络犯罪侦查方法的研究。同一认定既是犯罪侦查的基本认识方法,又是查证案件事实的具体方法。就每一起犯罪案件的查证而言,作案人的同一认定是最终目标,而这一目标的达致往往还要经由一些具体案件事实要素的同一认定或种类认定。换言之,一个犯罪案件中的大同一认定往往是由多个小同一认定(包括种类认定)组成的。在这一过程中,侦查人员不仅要掌握具体的同一认定方法,包括科学技术手段,还要掌握专业的思维方法,包括逆向思维、博弈思维以及信息对称性与不对称性的思维。科技手段与思维方法的良好结合才是“道高一丈”的保障。
[编辑:常锋]
【注释】
*中国人民大学大华讲席教授、法学院证据学研究所所长;
**中国人民大学刑事法律科学研究中心副研究员、法学院博士研究生。
[1]参见王俊:《专家:网络犯罪黑数大,应基于大数据建立综合认定标准》,载新京报网http://www.bjnews.com.cn/news/2020/06/l0/736978.html。
[2]这一概念包括五层含义:第一,同一认定的主体是具有专门知识的人或了解客体特征的人,前者是各种科学技术的专家,后者是案件的当事人或证人;第二,同一认定的客体是与犯罪案件有关的人或物(包括可以称为“广义之物”的场所);第三,同一认定所要解答的是这些客体是否与自身等同的问题;第四,同一认定的方法以对客体特征的检验比较为基础;第五,同一认定属于判断性认识活动,其结论应表述为是或不是。
[3]VPN是虚拟专用网络(VirtualPrivateNetwork)的简称。在网络犯罪中,作案人为了达到掩盖真实身份的目的,往往通过VPN代理方式访问目标地址。在此方式下,作案人首先访问的是VPN服务器,然后由VPN服务代理转发真正的访问需求。由于网络犯罪中所使用的VPN服务器一般是非法设立或设立于境外,因而无法通过VPN服务器反查发起访问的真实网络用户。
[4]在网络信息环境下,网络犯罪主体同一认定所基于的客体特征显然不再是传统的物质反映形象或分离体,而是表现为形形色色的数据信息。因而,下文将反映网络犯罪主体身份的客体特征统称为特征信息。
[5]虽然从技术上讲,应用程序和代码指令也属于软件系统的组成部分,但是考虑到它们在行为上与数据信息的产生具有更直接的关系,因而将其归入以数据信息为中介的同一认定。
[6]参见北京市海淀区人民法院刑事判决书(2015)海刑初字第512号。
[7]参见王秋红:《密码学基本原理综述》,载《科技资讯》2011年第33期。
[8]2000年全国人民代表大会常务委员会《关于维护互联网安全的决定》首次确立了网络实名制。2015年网络安全法再次确认了网络实名制,该法第二十四条第一款规定:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
[9]参见中国人民大学物证技术鉴定中心司法鉴定检验报告书[2014]技鉴字第36号。
[10]参见北京网络行业协会电子数据司法鉴定中心[2010]鉴字第50号。
[11]参见北京网络行业协会电子数据司法鉴定中心[2010]鉴字第50号。
[12]从广义的行为痕迹来说,它也包括了行为工具痕迹。这里的行为痕迹只限于狭义概念,即行为本身的历史痕迹。
[13]参见:《国外大牛人肉定向攻击远控PlugX开发者全过程分析》,
载FreeBuf网站https://www.free-buf.com/articles/others-articles/5718.html。
[14]参见李德昌:《信息力学与对称化管理》,载《西安交通大学学报(社会科学版)》2004年第2期。
|