网络犯罪证明问题研究
张浩楠
【摘要】:网络犯罪的证据构成与证明体系构建区别于传统犯罪。与传统犯罪侦查中“由事到人”的证明模式不同,网络犯罪由于横跨物理和虚拟两个空间,因此网络犯罪的证明往往沿循着“案件事实→涉案计算机→计算机的使用者(被追诉人)”这样一种思路推进。从司法实践情况来看,在网络犯罪案件的追诉过程中,控诉方往往较为看重“涉案计算机”,在这个过程中,大量的电子数据会被侦查机关收集和固定,且这些电子数据最终会成为控诉方提交到法庭的主要证据。但是,如何保障电子数据无争议地应用于诉讼程序,如何顺畅搭建“案件事实→涉案计算机→计算机的使用者(被追诉人)”这个通道的证据链条则存在诸多障碍,这使得网络犯罪案件的认定陷入证据困境。
【关键词】:网络犯罪、高科技、电子证据、证明、取证
随着社会信息化的不断转型,网络犯罪相伴滋生,近年呈现密集爆发的态势。这种犯罪已经成为我国最主要的犯罪问题。据权威判断,2017年初,“我国网络犯罪已占犯罪总数1/3,并以每年30%以上速度增长。未来,绝大多数犯罪都会涉及网络。”2017年9月,进一步的判断是,“现在,网络犯罪已成为第一大犯罪类型。”可见,如何提高依法惩治网络犯罪的能力,是当下亟待研究的重大理论与实践问题。而如何有效化解网络犯罪的证明难题,更是重中之重。这需要厘清网络犯罪难证明的诸多成因,并据此提出理性的对策。
一、网络犯罪证明难的类型化归因
网络犯罪纷繁芜杂,既包括“披上了网络外衣”的各式传统犯罪形态,也包括因社会深度网络化所衍生的全新犯罪形态。网络犯罪证明难,究竟难在何处?专家学者通常从不同的视角进行解题。文献梳理表明,大体是从该犯罪本身与所依赖的电子证据两个层面切入。
相较传统犯罪,网络犯罪天然附随高科技带来的陌生感,且方法、手段等经常升级换代,从而与生俱来地对司法治理构成了巨大冲击和不断挑战。有论者强调网络犯罪人通常利用虚拟身份或变换身份作案,指出“由于整个犯罪过程都在网络等虚拟的电子空间中完成的,被害人与作案人很多情况下并不相识,甚至都没有现实的接触……给作案人的身份锁定工作造成了巨大的困难。”有论者强调网络犯罪通常跨区域进行,指出“由于互联网的无国界性,很多网络犯罪突破了国家、地域限制,利用控制世界各地电脑对他国目标实施犯罪”。在国际司法协作尚不顺畅的背景下,这必然会给犯罪侦查带来很大的取证难度。还有论者观察到网络犯罪对象存在海量化的现象,如“短信诈骗中发出的短信以万计量、非法获取公民个人信息动辄上亿”,指出“在犯罪对象从个体化向海量化的飞跃中,犯罪数额已经无法准确计量、核实和认定,并逐渐成为一种普遍性问题。”隐蔽性、跨地域性和高聚集性,这些特点使网络犯罪证明所面临的困难大幅度提升。
同时,网络犯罪案件的定案离不开电子证据。而与各种传统证据相比,电子证据具有鲜明的特色。但迄今为止,人类对电子证据的认识水平依然不足。这就导致在司法实践中,“网络犯罪案件取证较为困难是个共性问题,这一点突出地表现在电子证据的固定、保存、移交等环节。”有论者指出,“电子数据中能够被人们直接感知到的只是很少一部分,大部分的电子数据信息处于隐藏状态或在后台运行,这些信息只能在程序运行或测试中才能体现出来,有些数据必须通过产生它们的软件才能转化为可以认识的形式,还有些电子数据运用加密、病毒、嵌入技术进行隐藏,利用常规检测方法很难发现。”电子数据在存储、传输和使用过程中容易受到干扰、破坏,发生信息扭曲乃至灭失的后果。未知性大、隐匿性强以及稳定性差,电子证据无形中也扩增了网络犯罪的证明难度。
基于上述两个角度剖析原因,不同论者得出的判断既有区隔也有交集。然而,要准确地从复杂表象中把脉问题本质,就有必要进行类型化的原因分析。这可以分为两个维度。其一,从内在缘起来看,既有法律原因,也有技术原因。它们明显属于不同性质,不能混为一谈,即技术的归技术、法律的归法律。其二,从覆盖范围来看,既有各国普遍遇到的共性原因,也有中国特色的个性原因。
二、网络犯罪证明难的体系化应对
自人类社会树立证据裁判理念以来,证据就一直是稀缺的司法资源。为降低证明难度,各国通常允许有条件地采取一系列的替代性方案来完成证明任务。这主要包括消减证明负担和容许非证据证明两类。概括而言,即化繁为简。在网络时代,可赖以证实网络犯罪的电子证据同样处于短缺的状态,故应对网络犯罪的证明难题,亦需要建构一整套完整的简易证明机制。这是新时代网络法治建设领域的一项系统工程。具体来说,消减网络犯罪的证明负担包括法律扩大解释、证明责任移转与证明标准降格等方法,容许网络犯罪的非证据证明则分为倚赖推定、司法认知等直接确认方法。
(一)消减证明负担之措施
法律的扩大解释也称为扩张解释,是指对法律用语做比通常含义更为宽泛的解释。扩大解释对于网络犯罪治理来说是必要的,因为,刑事法网面对巨变中的网络时代生活工作总会存在僵化危险,也可能产生人为的证明困难。在合理范围内对刑事法律条款做出必要的扩大解释,可以减轻控方的举证诉累。例如,我国刑法1997年增加了关于信用卡犯罪的罪名,但实务中经常遇到该罪名是否涵盖储蓄卡的问题。为此,2004年全国人大常委会做出解释,明确“储蓄卡也是信用卡”。这种将储蓄卡解释纳入“信用卡”的做法,就是扩大解释。同理,将作为网络犯罪所涉部分罪名之构成要件的“明知”界定为“应当知道”或者“概括性认识”,针对破坏计算机信息系统犯罪,今年最高检发布的指导性案例确定的要旨是“智能手机终端也是计算机信息系统”。这澄清了实务中的一些不同认识,也有扩大解释的意味。需要注意的是,扩大解释必须遵循合理的限度,一旦超过限度,就可能违背罪刑法定原则。
证明责任移转,是指将应由控方承担的部分证明责任通过司法裁量方式转移给辩方,或者通过立法方式倒置给辩方。刑事诉讼中的证明责任原则上由控方承担,一般不要求辩方承担举证的义务。但从证据法原理来看,辩方提出积极抗辩的,应当举证证明积极抗辩所涉的案件事实。司法实践中,法官可以针对辩方的积极抗辩主张,裁量由其分担证明责任和承担不利后果。例如在一起非法获取个人信息犯罪案件中,控方提交的鉴定意见表明,涉案电子设备中含有非法获取的个人信息,数量逾5244万条。辩方提出异议,称指控的个人信息中有很多重复项,鉴定意见未去重。法院判决指出,由于客观技术原因,“鉴定中心无法剔除重复的个人信息”以计算数量,而被告人本人“亦无法说明重复信息的数量或计算方法”,故对辩方的异议“不予采纳”。这里的“不予采纳”,就是证明责任的裁量转移,其内在逻辑在于固守证明责任合理调配的基本立场,防止控方陷入极易出现的举证客观不能之困境。
长此以往,实践中不断积累的司法裁量经验就有可能转变为法律规则。同样以非法获取个人信息罪为例,法律上虽然要求对信息内容的真实有效性进行核实,但实际往往因信息数量庞大而根本无法做到。那么,如何破解海量级个人信息的真实性认定问题呢?2017年最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”。这就是在一定意义上将证明责任转移至辩方,并借助司法解释将之上升为正式的法律规则。
证明标准降格,即运用“高度盖然性”等较低的标准。学理上说,我国三大类型诉讼的证明标准是有区别的。通常,刑事诉讼的证明标准高,民事、行政诉讼中的证明标准低。现在需要讨论的是,网络犯罪刑事司法中能否引入较低的证明标准。反对者认为,“从无罪推定原则的证明规则之维来看,公诉方必须达到排除合理怀疑的证明标准才能给被告人定罪,在刑事诉讼中不存在降低证明标准的可能性。”笔者以为,该观点失之武断。其实,刑事证明标准也是分层次的:对于主要案件事实,如被告人实施了犯罪行为这一事实,确实要实施严格的证明标准;对于非主要案件事实,完全可以尝试将标准予以合理下降。例如,2016年最高法、最高检、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《电信网络诈骗案件适用意见》)规定,“确因客观原因无法查实全部被害人,但有证据证明该账户系用于电信网络诈骗犯罪,且被告人无法说明款项合法来源的……应认定为违法所得,予以追缴”。这就是下降了控方对电信网络诈骗犯罪非法收入的证明标准,即只要求其证明到有关账户“系用于电信网络诈骗犯罪”的程度,而不必一笔一笔地查实。这一条款的探索意味浓厚且颇具深意,它严守了针对非主要案件事实的界限,即只适用于追缴违法所得方面,而不适用于指控犯罪方面。
司法实践中,还有些做法并无证明标准降格之形,但有证明标准降格之实。这突出表现为各种各样的转化型取证和反证法推理。前者如,在一起QQ平台诈骗案件中,被告人所在的犯罪团伙用于洗钱的银行卡都是“黑卡”,且在案发前均已销毁。侦查机关通过技侦手段锁定了该犯罪团伙,并从技术上确认涉案电子证据具有指向犯罪行为系该犯罪团伙所为的唯一性。但是,鉴于锁定犯罪的证据是经需严格保密的技侦手段所得,办案机关经过协商和论证后,决定由公安机关出具侦破报告进行替代。该侦查报告最终得到法院的认可。此案中将侦查报告用作证据,就可以理解为特定意义上的证明标准降格。后者如,在一起网络盗窃案件中,办案人员为证明谁是幕后的真正作案人,“在确定了被害公司支付宝是在被告人卢××的电脑上被盗之后,向卢××母亲郑××核实,证实了卢××每晚都在家睡觉,也不会留宿其他朋友,案发当天只有卢××在房间内操作电脑等事实,排除了他人使用卢××电脑实施盗窃的合理怀疑”。这里的“排除了他人使用……的合理怀疑”,并不是正面证明,而是反面排除。这种排除并非无懈可击,不妨理解为特定意义上的证明标准降格。
(二)容许非证据证明之方法
推定,是根据基础事实得出推定事实的法律机制和规则。一般说来,设立推定的理由或根据无外乎以下四种:(1)政策;(2)获得证据能力的权衡;(3)必要性,有时被称为程序上的便宜或程序性便利;(4)盖然性的权衡。传统的推定可以被拓展适用于网络犯罪证明,网络犯罪治理中也应该大胆引入推定的元素。我国有论者对此作了细化论证,提出“在网络犯罪证明体系中设立推定规则是符合逻辑的”,“在网络犯罪证明体系中有必要引入法律推定机制,这既是网络犯罪证明的特殊要求,也是保障补强证据规则落地的重要环节”。这一观点在宏观导向上是正确的。问题在于具体操作:推定离不开“基础事实”与“推定事实”之间的“常态联系”,在法律人普遍不熟悉网络犯罪的前提下,如何总结出更多符合规律的“常态联系”,创设出更多可用的网络犯罪推定规则?
对此,我们可以针对网络犯罪的新情况,通过“外引内生”的方式来实现。一方面,借鉴和引入国际上施行的专门性电子证据推定规则。例如关于电子证据的完整性、真实性,印度《1999年信息技术法》就建立了一些专门的推定规则,具体包括:(1)对妥当保管的电子形式官方公文,推定具有真实性;(2)对附加有当事人数字签名的电子记录,推定是由其签署的;(3)对附加有安全程序的电子记录,推定未发生改变;(4)对附加有安全数字签名的电子记录,推定是由数字证书所有者签署的;(5)对加盖数字签名的电子讯息,推定其内容均是准确的;(6)对正常收发的电子邮件,推定收件人收到的内容与发件人收到的内容一致,但不推定是由发件人发送的;(7)对保管有5年以上历史的电子记录,推定其中的数字签名就是由数字证书所有者或其代表签署的。加拿大《1998年统一电子证据法》第5条、菲律宾《2001年电子证据规则》规则6的第3、4条、多米尼加联邦《2005年电子证据法》第7条也有一些零散的、类似的推定规则。另一方面,可探索扩大传统推定的适用范围。一些经典的推定如举证妨碍的推定、主观上明知的推定,均可以适用于网络犯罪的证明。前者如,在拒不履行信息网络安全管理义务案件中,如果能够有效地证明电子证据仅由诉讼一方(主要是网络平台)持有或控制,该方无任何正当理由地拒不提供甚至妨碍调取的,则应当推定该证据对其不利;后者如,在电信网络诈骗案件中,如果能够证明“职业取款人”经常性地替他人领取不同账户名下的款项,则应当推定其主观上已认识到是赃款。这些推定不仅吻合司法人员的经验性认识,也符合普通人的一般性认知。
在引进或创建电子证据推定规则的过程中,需格外注意对“基础事实”与“推定事实”之间存在“常态联系”进行严格把握。确保了“常态联系”,做出的推定才是可靠的;缺失了“常态联系”,做出推定就不合理。例如,针对在网络攻击案件中很难查清攻击来源、特别是很难追查到具体行为人的现象,有论者建议以推定的方式解决。其研究表明,证明“网络攻击者”通常需要搜集以下证据:一是被害人确实遭受到了网络攻击;二是被告人主观上有网络攻击的犯罪故意;三是被告人有寻找技术黑客的行为,且有证据证实技术黑客曾在被害人受攻击的时间段内实施了网络攻击行为;四是被告人电脑中有用于黑客攻击的软件,且在被害人受攻击的时间段内有进行攻击的记录。其中,第一、二项是必须具备的证据,这两项说明被告人有网络攻击的意图,而由于某种原因被害人事实上受到了攻击。第三、四项证据只需择一具备即可,该两项证据将被告人主观上的犯罪故意与客观上的实际行动联系在了一起,即不管被害人受害程度如何,至少证明被告人也是其中的参与分子,理应承担相应的刑事责任。这一“推定”的本意是“跳过追查攻击来源,从上述几项证据去认定被告人有攻击的行为”。该论者认为,“这既符合法律的规定,又能化解侦查机关取证困境和司法认定之间的矛盾”。但是,这里所设计的“推定”规则是否满足了“常态联系”这一条件,其实是值得进一步审视的。遗憾的是,论文中对此语焉不详,论述很不充分。
司法认知,是指法官在审理案件的过程中无须控辩双方举出证据而直接确认案件事实。这是将司法人员的认知作为判决的依据。最高检早在1998年《人民检察院刑事诉讼规则》第334条中就明确规定,对于“为一般人共同知晓的常识性事实”等,“不必提出证据进行证明”。2012年《人民检察院刑事诉讼规则(试行)》第437条也延续了该规定。从理论上讲,网络犯罪司法中同样存在着司法认知的情形。但实践调研表明,相关案例当前还很少出现。
近年来,我国司法解释中出现了一种“类司法认知”的方案。例如,2016年最高法、最高检、公安部《电信网络诈骗案件适用意见》第6条第1款规定:“确因被害人人数众多等客观条件的限制,无法逐一收集被害人陈述的,可以结合已收集的被害人陈述,以及经查证属实的银行账户交易记录、第三方支付结算账户交易记录、通话记录、电子数据等证据,综合认定被害人人数及诈骗资金数额等犯罪事实。”又如,2017年最高法、最高检《关于利用网络云盘制作、复制、贩卖、传播淫秽电子信息牟利行为定罪量刑问题的批复》第2条规定:“鉴于网络云盘的特点,不应单纯考虑制作、复制、贩卖、传播淫秽电子信息的数量,还应充分考虑传播范围、违法所得、行为人一贯表现以及淫秽电子信息、传播对象是否涉及未成年人等情节,综合评估社会危害性,恰当裁量刑罚,确保罪责刑相适应。”这里的表述是由司法人员(主要是法官)作出“认定/评估”,就符合司法认知的表象特征。但鉴于其关键词是“综合认定”、“综合评估”,故本质上还属于自由心证或自由裁量的范围。
综上,简化网络犯罪证明的手段很多。当前,世界范围内的共同方案就是在网络犯罪的证明责任、证明标准、证明方法等要素方面进行体系化的应对。对于已有的国际经验,我国需在拿来主义基础上进行本土化改造;而对于直接来源我国司法一线的办案智慧——它们本身就是国际经验在中国的实践,则还需要再进行制度化的提炼和升华。换言之,从法律制度层面孵化出一套简化证明机制,将是我国刑事网络法治的一项紧迫任务。
三、网络犯罪证明难的中国式聚焦
我国治理网络犯罪,在很大程度上还要面对网络违法与网络犯罪相区分的二元制结构。也就是说,在我国必须分清网络违法与网络犯罪之间的界限。这既针对传统的违法/犯罪所得、造成损失大小、非法经营额等情节,也指向网络视阈下独有的实际点击数、不法网页数、不法文档数、用户数、注册会员数、网站数、跟帖数等指标。而网络本身具有的聚合效应,使得前述“数量”情节都以庞大的规模出现。如今人类社会已经进入大数据时代,前述“数量”又进一步表现为人类难以想象或计数的海量数据。如何关注和应对这一中国特色难题的再升级?我国学界先后提出过抽样取证与等约计量等建议方案。那么,这些方案真的行得通吗?有无更加合乎法律理性的其他方案?
(一)抽样取证方法的操之过急
面对因数量激增所导致的证明困难,人们选择抽样取证显然是一种应激反应。所谓抽样取证,是指办案人员依据科学的方法,从较大数量的物品中提取具有代表性的一定量的物品作为样本证据,并据此证明全体物品属性的证明方法。抽样取证不仅是一种新的取证方法,还是一种新的证明方法。在取证环节,传统方法强调对有证明价值之材料的尽可能全面提取,抽样取证与之不同,它是依据统计学规律提取具有代表性的部分材料。在证明环节,传统方法是以所提取的物品作为证据直接证明待证事实,而在抽样取证中,因为所提取的并非全部材料,样本并不能直接反映案件事实之全面,其必须依赖一个中间环节——对样本代表性的确认。由这一方法所得结论的可靠性支撑,在于科学的抽样统计原理。
笔者在“聚法案例”上以“随机”、“抽样”为关键词,搜索刑事案例,共检索到787篇裁判文书。这表明,司法实务中使用抽样方法的案例已有很多。具体分析可知,采用抽样方法的案例多集中在毒品犯罪、食品安全犯罪和知识产权犯罪中。至于网络犯罪,笔者只检索到一份非法获取公民个人信息罪的判决书中使用了抽样取证的表述。该案的争议点为被告人贩卖的公民个人信息是否真实。对此,法庭裁决认为,“在该两台电脑中提取的10份电子文档中有8份电子文档包含公民姓名、身份证号、银行卡号等公民个人信息,该8份电子文档经整理统计共有公民个人信息4578条,经对8个电子文档分别随机抽样核实,共抽样74条核实,其中62条真实有效。”不过,该“随机”进行的抽样取证并不是一个真正合格的抽样取证。
抽样取证是从全部中提取部分,离不开一个最低的抽样比例。如在一起滥伐林木案件中,为查清被滥伐的林木数量,控方举出了由某县林业调查规划设计队采用抽样调查得出的调查报告,该报告抽样(800平方米)仅占全本(76200平方米)的1.05%。法院认为,根据《××伐区调查设计技术规程》(2013年)的规定,标准地面积必须达到伐区面积的3%以上,否则抽样数量达不到技术规程要求。该份调查报告鉴定过程和方法均不符合相关专业的规范要求,故本院不予采用。这里的抽样底线是3%。而截至目前,尚无权威观点表明网络犯罪中抽样取证的底线比例是多少。即便设置为1%甚至1‰,也很可能还是一个完不成的巨量任务。有论者研究侵犯公民个人信息罪的司法实务问题后发现,有的办案人员往往自行决定或掌握抽样比例以核实个人信息的真实性,“有的抽样10条、20条、50条”,“对于成千上万甚至数量更为庞大的数据来看,比例是否具有代表性?”该质疑是有道理且值得警醒的,尤其是在网络犯罪中赖以定案的电子证据正日趋以海量数据之面貌呈现的当下。
抽样方法还要求对象具有同质性,也即具有共同的性质。同质性是确定统计总体的基本标准。唯有同质,样本才能具有代表性,才能反映全本。缺乏这一条件,就很难保证抽样方法的合理性和抽样结果的可信度。例如,嫌疑人在正常生产的数万张正版光盘中,夹杂着生产了几百张盗版光盘,情节较为轻微,依法不应作为犯罪处理。但公诉方为追求定罪,不进行正确抽样,而从这几百张盗版光盘中抽出几十张做样本,并称是因光盘数量太多、证明较为困难而进行抽样的,这就可能造成错误的入罪后果。又如,在一起生产、销售伪劣产品案件中,辩方对一份抽样取证鉴定意见的证据效力提出质疑,法院认定,“其生产方式供述比较稳定,在生产方式上具有同一性”,“执法部门在查扣的产品中随机抽样送检,其检测报告结论具有代表性,具有可以根据样本资料推论总体的属性”。这就是利用样本的代表性来回应证据效力异议。可见,抽样取证中样本的代表性是无法回避的根基性问题。实践证明,网络犯罪的电子证据散布于网络空间的各个角落,被害人、证人等知情人也散迹于物理空间的天涯海角,试图在它们之中均匀取样并确保代表性,很容易被理解为天方夜谭。
网络犯罪司法要想实现科学的抽样取证,必须直面前述两个难以逾越的鸿沟。这有待于法学理论的突破,有赖于制度建设的完善,更离不开技术规范的支撑。但仅就网络犯罪抽样取证的技术规范制定而论,目前尚遥不可及。因此,在这些条件尚不具备的情况下,人们只能在特殊的、极个别的案件中进行有限的尝试。一旦步伐太快,就难以消解司法任性的质疑。案例统计的结果也表明,这一方法虽具有远景价值,现阶段还不足以被寄予厚望。
四、结论
网络犯罪遭遇司法证明难题,这是新时代、新问题同旧体制、旧观念的冲突所致,具体成因则纷繁复杂、层次多样。实现网络犯罪的证明简化,是一条必由之路,但也是一项长期而艰巨的任务。这有赖于立法官员、司法人员和法律研究者的携手合作,离不开套系统的建设方案。简单地奇希望于借力某方面以得到劳永逸的突破,是不现实的;片面地寄希望于有关机关在立法、立法解释和司法解释中为网络犯罪开辟单独通道,也是不理性的。
化解网络犯罪证明难,首先要靠转变机制。这落脚于在网络犯罪法律制度建设中推出系列有针对性的简易化证明规则。2014年,最高法、最高检、公安部出台 《关于办理网络犯罪案件适用刑事诉讼程序若干问题8意见》。 这是我国当前最为重要的惩治网络犯罪的法律规定 ,其对网络犯罪案件的管辖、初查、 跨地域取证以及电子数据的取证与南查等内容做出了规定。其中呈不乏关于证据转化、综合认定的内容,但对于国际上流行的简化证明机制推定、司法认:知、立法扩大解释则看基不多.達论试行学者们倡导的抽样取证、等约计量的建议。该现象在近年来出台的其他网络犯罪法律规范中也不同程度的存在。可见,未来我国夯实网络犯罪治理的法治大厦,在证明机制部分应当从零散式的对策设计跨越为体系化的制度建设。
化解网络犯罪证明难,其次还要靠转变观念,在新时代推动大变革的大背景下,重点就是要打破以传统办法对付网络犯罪的思维走式,实现三个转变:一是由传统的“精准思维”向“互联网思维”“大效据思维”转变,二是由孤立思维向系统思维转变,三是由经验思维向科学思维转变,本文从实践中概后出来的底线证明方式,是完全符合新思维的可行路径。而且方式的采月无需进行任何的制度建设或改革只要观念 更新即可在不改交现行制度的情况下,大力推行底线证明方式,无疑是一条最有前景的中国式方案。
