|
【200807076】计算机动态取证的合法性
文/刘启聪,王静
【摘要】
【内容提要】网络犯罪的破坏性和隐蔽性催生了侦查取证新技术——计算机动态取证,以实时监控网络犯罪,实时获取犯罪的电子证据,但适用不当极易造成对公民隐私权的侵害。因此,本文提出了计算机动态取证的合法性问题,并从司法令状原则及例外、取证主体合法、取证过程规范、取证工具合法等方面进行论证。我国在计算机动态取证方面处于起步阶段,应在利用和借鉴他国先进技术和法律建设经验的基础上,加强计算机取证技术研究,健全、规范计算机取证流程,制定和完善相关的法律法规,渐进式确立司法令状原则。
计算机动态取证:一把双刃剑
为了有效地打击网络犯罪,及时提取虚拟犯罪现场的证据,保证证据的原始性和有效性,克服静态取证缺乏及时性、不连续性和不充分性等缺陷,侦查取证新技术——计算机动态取证应运而生。它能实时、准确、全面地收集正在实施的犯罪证据,并将信息有机地整合、排序,再现犯罪过程。但是,由于实施网络犯罪的犯罪分子可能利用第三方计算机攻击目标服务器,或者有时将犯罪证据采取数据包的形式分别存放在虚拟网络的不同地方,甚至是国外的网络运营商提供的服务器上,这就使得动态取证可能面临侵害公民隐私或者企业的商业秘密问题,由此决定了计算机动态取证是一把双刃剑。
计算机动态取证较静态取证的优势。
“计算机取证”这一术语最早是在1991年美国召开的国际计算机专家会议上提出来的。国际著名取证专家ReithClientMark认为,计算机取证就是从计算机中收集和发现证据的技术和工具。它也称计算机法医学,是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻、确认罪犯及其犯罪证据,并据此提起诉讼。{1}
通常按取证发生的时间,将计算机取证分为实时的动态取证与事后的静态取证。事后的静态取证,是指计算机在已遭受入侵的情况下,运用各种技术手段对其进行分析取证工作。由于静态取证的电子证据的证明力相对较低,事后的取证使取证工作处于被动状态,取证工作很大程度上受制于犯罪分子留下的现场,这种方法被动地对付计算机犯罪,防不胜防,解决方案是实时的动态取证。实时的动态取证,是指利用相关的网络安全工具,实时获取网络数据并以此分析攻击者的企图和获得攻击者的行为证据。随着计算机网络技术的发展,实时取证技术已经成为今后计算机取证技术的发展趋势,但是静态证据的重要性也是不可忽视的。相比而言,实时的动态取证有事后的静态取证不可比拟的优势。
1.实时。计算机动态取证是在犯罪嫌疑人入侵网络的过程中,通过取证工具自动记录其使用痕迹,查询到其访问时间、IP地址,拦截其传输的数据包,并将相关数据进行保全,极大程度地保证了数据处于最初、最原始的状态。因为犯罪嫌疑人还没有来得及进行犯罪数据的清除,他的各种行为已经被记录。而静态取证是在犯罪发生后作出的反应,那时犯罪现场可能已经被清理,有关犯罪证据可能已经被销毁或者转移,所以即使搜查、扣押了犯罪分子的计算机,因证据缺失,可能也难以将之绳之以法。
2.可靠。计算机动态取证是将取证技术结合到防火墙和入侵检测中,对所有可能的计算机犯罪行为进行实时数据获取和分析,智能分析入侵者的企图,采取措施切断链接或诱敌深入,在确保系统安全的情况下获取最多的证据,并保全、分析和提交证据的过程。{2}因此获取的证据在很大程度上具有全面真实性。但是,由于目前计算机记录设备旁路在网络中对用户和黑客而言都是透明的,黑客可以采取反取证技术予以对抗,那么即使是实时获取的证据,其真实性也是要大打折扣。
计算机动态取证对公民隐私的潜在威胁。
在网络时代,人们可以在虚拟的世界进行网上交易、接受订单、网络会议、网络聊天、资料查询、远程教育、媒体宣传、听歌赏乐等,有时形成一个个网络社区,为人们提供了超越现实空间的交流场所,方便了人们的生产、生活,在某种程度上满足了心理上的宣泄需要,网络虚拟世界成为人们隐私权的重要载体。因此,对发生在虚拟世界里的犯罪行为如网络色情表演进行实时监控(或者说动态取证),在一定程度上会影响相关人群的通信自由和隐私权,并被视为与通信监听措施相同或相似的刑事强制措施。国际组织和各国政府在出台该项措施时都遭到了各国民众和民间团体的强烈反对,反对的理由集中在以下三点:第一,担心采取计算机数据实时收集措施,将导致政府对市民社会的永久监视,并对公民隐私权形成严重侵犯。第二,采取计算机数据实时收集措施会对技术发展产生消极影响,进而妨碍人们充分享受技术革新所创造的便利。第三,计算机数据实时收集措施中网络服务提供商的作用问题。{3}
考虑到公众的安全和公民的人格尊严,许多国家禁止在收集证据时侵犯公民的人身自由和私生活秘密,如果违反,应当承担赔偿责任,并通过立法明确受害人提出申请的受理机关、赔偿义务机关及救济程序。如英国为了防止截获通讯的权力被滥用及该权力被滥用时能给受害人赔偿,通讯截获法设立了两个监督截获通讯的机关,一个是裁决委员会,另一个是专员。裁决委员会处理通讯被截获的个人提出的申请,其处理是最终结论;专员由首相任命,负责对截获通讯活动实施监督。{4}但是随着近年来计算机犯罪的增加以及电子证据取证的困难,各国在价值选择上也有了变化,对在收集的证据中侵犯隐私的行为加以明确规定,并不笼统地认为只要是在取证中涉及到个人隐私都会产生侵犯隐私权问题。我国对于计算机动态取证的研究尚处于起步阶段,相关的法律法规还不完善。
国外对计算机动态取证的合法性认定
以司法令状原则为主,辅之以例外。
随着对公民权利关注程度的日益增加,英、美、德、日、意等两大法系的代表性国家普遍确立了法官事先授权的司法令状制度,以制约司法警察的超强权力,即侦查机关需依据法官签发的令状才能实施搜查、扣押。在英美法系国家,执法人员在进行实时监控时,得向法庭申请令状,辅之以例外规则。如在美国,作者/捕集法授权政府检察官向法庭申请许可安装笔式拨号信息记录器/或通讯信号捕获和追踪设备的令状,条件是“获取的信息与正在进行的犯罪调查相关”。法庭令状同时规定,服务商有义务为安装设备提供协助,且有义务不向任何人透露这类设备的存在。此外,还规定了执法人员没有办法获得法庭令状的例外情形,即同意的例外、服务商的例外、计算机入侵者的例外、分机电话的例外、随意获取犯罪证据的例外、公众访问的例外{5}以及紧急情形的例外、诚实信用的例外等。
同样,大陆法系国家也对计算机动态取证进行了规范,通常需要向法官或者检察官申请令状,紧急情形可例外处理。如意大利刑事诉讼法对特殊的电子取证方法——信息联络拦截进行了规范。这是一种为了获取多数人之间的信息联络所实施的调查取证行为,通常由预审法官发布实施拦截行为命令,由检察官、司法警察实施具体拦截行为。德国在其刑事诉讼法中对电子证据也有类似的规定。
在国际层面,世界刑法大会《关于刑事诉讼中人权问题的决议》第8条规定:“影响被告人基本权利的任何政府措施,包括警察所采取的措施,必须有法官授权,并且可受司法审查。”该规定虽然对各国没有强制性的效力,但对各国制定刑事强制措施时具有道义上的约束力。
取证主体合法。
取证主体是否合法关系到获得的证据在法庭上是否具有可采性。在现代刑事诉讼中,除自诉案件以外,犯罪证据的信息收集都是由代表国家的侦查机关进行的。在英、美等国家,刑事案件的侦查主要由警察负责进行;在德国,采取的侦检一体模式,由检察官领导警察进行侦查;在法国,由预审法官指挥检察官和司法警察进行侦查。除此之外,其他非执法人员获取的证据可能会被适用证据排除规则。至于取证主体非亲历亲为获得的证据是否具有可采性,不能一概而论。如2002年,美国第八上诉巡回法庭推翻一地方联邦法官的判决时宣布:在互联网服务提供商处获取电子证据的时候不强求警方人员一定在场。
由于计算机犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点,使计算机犯罪明显地有别于传统的刑事犯罪,这就要求取证主体的组织化程度也要提高。在美国,“出于打击日益猖獗网络犯罪的目的,成立了专门收集网络犯罪证据、反击黑客的组织,如计算机紧急反应小组,高科技犯罪侦查组织以及国家基础建设保护中心等。他们的任务就是及时应对网络运行中出现的紧急情况,协助收集隐藏在网络空间中的证据,网上追踪罪犯,提供有关电子证据效力法律帮助等。在德国、英国和法国也都成立了网络警察组织,虽然他们的名称并不完全一致,但都是为了追查网上各种形式的犯罪,搜索犯罪证据,维护网络秩序。”{7}
取证过程规范。
美国司法部在电子犯罪现场调查指南中提出了一个计算机取证程序调查模型的概念,分为5个基本步骤:(1)准备阶段:在调查前,准备好所需设备和工具。(2)收集阶段:搜索和定位计算机证据。(3)检验:对可能存在于系统中的证据进行校验与分析。(4)分析:对检验分析的结果进行复审和再分析,提取对案件侦破有价值的信息。(5)报告:对案件的分析检验结果汇总提交。{2}此过程模型基于标准的物理犯罪现场调查过程模型,属于静态取证模型。
与静态取证模型不同的是,动态取证模型包括原始数据的获取、数据分析、电子证据的保全和提交等几个阶段。原始证据的来源包括:网络数据,系统信息,硬盘、优盘、光盘以及服务器上的记录等。在这阶段,为了保证所需电子证据的完整性和可靠性,除了确保所需技能、工具和设备不断更新外,还要预先安装证据收集系统(取证机),实时对现场数据尤其是易去失数据进行记录,以使在攻击发生的同时就开始进行取证。{8}获取原始数据之后运用数据挖掘等技术{9}进行分析,然后将分析后的结论进行备份、加密、数字签名,提交到鉴定机构进行鉴定,最后以鉴定结果作为指控犯罪的证据。
取证工具合法。
计算机取证工具一般指开发的专用软件,即这些软件被设计为具有收集计算机相关数据或者读取这些数据进行分析,以便于能够发现与案件相关信息功能的软件。国外已经开发出很多取证工具,常见的专业工具软件有文件浏览器工具QuikViewPlus、图片检查工具、反删除工具、CD-ROM工具、文本搜索工具、驱动器映像程序等磁盘擦除工具;综合性工具软件有EorensicToolkit、TheCoroner’sToolkit(TCT)、EnCase、EorensicX以及NewTechnologiesIncorporated开发的CRCMD5、DiskScrub等软件,{10}其中最著名的是TCT和Encase。TCT可以对运行中的主机的活动进行分析,并捕获目前的状态信息。Encase是得到美国政府承认的计算机取证产品,是一个完全集成的基于Windows界面的取证应用程序。此外,也有基于Multi-Agent、人工免疫、协议分析的网络入侵动态取证等模型设计。
通常评估一个计算机取证工具以Daubert测试为指导方针,主要包括4个方面:测试——是否能够且己经测试了该程序;错误率——程序的错误率是否己知;公开性——程序是否已经公开并接受同等部门的评议;(4)可接受性——程序是否被相关的科学团体广泛接受。{11}当然,应用何种软件,事先需得到法庭的许可,否则会影响电子证据的效力和证明力。
此外,对于动态取证获取的证据的鉴定过程也必须合法,即鉴定机构必须合法设立、鉴定人具备相应资质、鉴定活动必须遵循技术规范和法律要求。
只有具备上述合法性,动态取证获取的证据才能被法院所采信,以达到指控并惩罚犯罪的目的。
我国计算机动态取证的现状分析及建议
早在20世纪80年代,我国公安部就成立了计算机管理监察司,不但从事计算机信息系统建设规划管理,而且还承担了全国计算机网络安全管理等工作,如病毒防范等。随着网络安全问题日益突出,1998年公安部正式成立公共信息网络安全检察局。随后,各省公安厅和地级市也成立了公共信息网络安全监察处,专门负责网络犯罪案件的查处。与国外相比,我国有关计算机取证的研究还处于起步阶段,技术水平还有相当差距;同时我国电子证据的相关法律仍不够健全。随着科学技术的快速发展,计算机犯罪手段不断提高,我们迫切需要进一步加强计算机取证技术的研究,健全、规范计算机取证流程,制定和完善相关的法律法规,渐进式确立司法令状主义原则。
渐进式确立司法令状主义原则。
我国刑事诉讼法把侦查犯罪,当然包括计算机犯罪的侦查的权力授予公安机关,公安机关在侦查活动中有很大的权力,不需司法令状而直接实施搜查、扣押、邮检等强制性措施,并被学界称之为侦查便宜主义。这种侦查便宜主义在经济转型时期的国情下,直接的结果可能是为侦破案件赢得了时间。不过,这种随意性强、缺乏外部监督的强制性措施的运用,极可能对公民的人身权特别是隐私权、名誉权和财产权造成侵害。
我国学界和实务界很多人均提出,解决此矛盾的最好办法是采取司法令状主义。笔者认为,在当今中国的国情下,采取这种激进的司法改革模式可能会适得其反。因此,笔者提出采取渐进式确立司法令状主义原则。第一步是采取侦检一体的刑事侦查模式,因为侦查的最终目的是对犯罪分子提起公诉并且能胜诉,因此,侦查机关与起诉部门在打击犯罪上目标是一致的,由起诉部门对是否采取强制措施行使审查决定权,并指挥侦查机关具体执行,在法理和实务上都是可行的,改革受到的阻力相对会小些。第二步是保留起诉检察官的部分审查决定权,大部分审查决定权移交给法院。第三步是正式确立司法令状主义原则,辅之少许例外。这三个步骤,从技术层面上可选择便宜的方式,即从人员身份的转换着手,首先将经验丰富且有司法考试资格证书的侦查人员调入到起诉部门负责令状的签发,再过渡到将经验丰富且有司法考试资格证书的起诉检察官调到法院负责司法令状的签发。这样,基本可以达到平稳过渡,又遵守并履行了国际公约规定的义务,最终达到与国际刑事司法的接轨。
取证法制化。
根据我国计算机犯罪的实际情况,国务院于1991年发布了《计算机软件保护条例》;11994年2月28日,国务院又发布并施行《中华人民共和国计算机信息系统保护条例》;1995年4月2日,最高人民法院颁布了《关于审理科技纠纷案件的若干问题的规定》,其目的是保护计算机信息系统的安全,促进计算机的应用和发展,所作规定大多从实体法的角度进行考虑。对于如何对计算机犯罪进行侦查取证,主要是《公安机关办理刑事案件程序规定》第197条第2款:“计算机犯罪案件的现场勘查,应当立即停止应用,保护计算机及相关设备,并复制电子数据。”这些法规的出台,无疑结束了我国计算机信息系统无法可依的局面,使打击计算机犯罪从实体到程序都有法可依。与其他发达国家相比,我国在计算机犯罪方面的立法显然不能自足,特别是在计算机静态和动态取证方面,还只停留在学习阶段。今后,立法的重点应转向于电子证据法、监听法、隐私权法等的制定,并在这些法律中确立非法证据排除规则。
取证产业化。
在我国,计算机取证正处在研发阶段,主要是政府机关牵头,组织有关高校、企业进行技术攻关,相关研究课题正在进行。这些课题的研发为我国取证技术走向产业化道路迈出了重要的一步。今后,可建立类似于美国的SWGs(科学工作组),有的开发标准,有的进行最佳的实践工作,有的探索适时可行的协议。
取证工具标准化。
目前,我国还没有具有独立知识产权的计算机取证工具,计算机犯罪取证工具主要是使用国外的软件。由于国际上对于取证工具没有统一的标准和规范,很难对这些工具的有效性和可靠性进行比较,使得取证结果的权威性受到质疑,更别提在他国得到认可。因此,应在自主开发计算机取证工具的同时,利用和借鉴他国已有的技术和法律经验。
(作者单位:广东省广州市黄埔区人民法院中国人民大学法学院)
【注释】
{1}邹维、唐勇、书韬著:“计算机取证应用技术”,载《网络安全技术与应用》2004年第5期。
{2}张基温,蒋中云著:“基于Multi-Agent的网络入侵动态取证”,载《计算机工程与技术》2006年第11期。
{3}皮勇著:“论侦查中的计算机数据实时收集措施”,载《法学评论》2005年第1期。
{4}孙长永著:《现代侦查取证程序》,中国检察出版社2005年版,第101-102页。
{5}刘方权译:《犯罪侦查中对计算机的搜查扣押与电子证据的获取》,中国检察出版社2006年版,第291308页。
{6}何家弘、刘品新著:《电子证据法研究》,法律出版社2003年版,第54-55页。
{7}陈龙、王国著:“计算机取证技术综述”,载《重庆邮电学院学报》(自然科学版)2005年第17卷第6期。
{8}郝杜英、刘风、李世忠:“网络实时取证模型的研究与设计”,载《计算机时代》2007年第4期。
{9}数据挖掘一般是指从大量、不完全、模糊和随机的实际应用数据中抽取隐含在其中、人们事先不知道,但又是潜在有价值的信息和知识模型或规则的过程。引自刘东辉、王树明、张庆生:“基于数据挖掘的计算机动态取证系统”,载《微计算机信息》(管控一体化)2005年第21卷第11-3。
{10}丁丽萍、王永吉著:“论计算机取证工具软件及其检测”,载《软件学报》2005年第16卷第2期,第269-270页。
{11}杨成卫:“计算机取证若干法律问题探析”,载《铁道警官高等专科学校学报》2006年第1期。
|