讲座综述|高显嵩:电子数据司法鉴定典型案例分析 · 证据刑辩讲堂十周年系列讲座
潘金贵教授:各位老师、各位同学、各位朋友,由西南政法大学政治法学研究中心主办的证据刑辩讲堂“创办十周年系列庆祝活动”系列学术讲座的第九讲现在开始。今天晚上,我们非常荣幸的邀请到了中国互联网政府监管专家组成员,北京网络行业协会,信息安全应急响应与处置中心的主任,北京云证国际数据安全有限公司司法鉴定中心的主任,高显嵩老师给大家主讲《电子数据司法鉴定典型案例分析》。
我们本次的证据刑辩讲堂“创办十周年系列讲座”,一共举办了两场涉及到电子证据的专题讲座。系列活动的第三讲是由福建壶兰律师事务所主任、全国优秀律师吴国章主任给大家讲的《电子证据的审查和判断》。那个讲座更多的是从法学的角度、法律的角度,对电子证据的有关问题进行探讨和交流。为什么在第三讲讲了电子证据专题后又要专门增加今天第九讲再一次探讨电子证据问题呢?上一次高显嵩主任应邀作为吴国章主任讲座的与谈嘉宾时,我们谈到电子证据既是个法律问题,也是一个技术问题。应该说电子证据是现在所谓新的“证据之王”。在我们办理的案件中,大部分的案子都会涉及到电子证据问题以及相关的电子数据技术的问题。作为一个优秀的事刑事司法实务工作者,不仅要从法律意义上了解电子证据在法学方面、法律方面的一些相关规定,同时还应该对电子数据技术上的问题有所了解。这不仅加深我们对电子证据的认识,同时也能让我们更加理解与电子证据相关的规则,更好的指导和服务司法实践。就我自己的感受而言,从法律意义上对电子证据理解我也只是略知一二,但是从技术意义上去理解电子数据,不管是发表质证意见也好还是进行审查判断也罢,我深感心有余而力不足。所谓隔行如隔山,就需要有相关的专家来予以讲解。而高显嵩主任作为我们国家知名的电子数据的专家,协助我们的司法实务者做了很多的工作,包括电子数据的提取,作为专家辅助人、鉴定人出庭等等,可以说是有非常丰富运用电子数据方面的实践经验。所以,我个人觉得今天晚上这个讲座是非常有必要的,能够提升我们法律人对于电子数据的技术方面的认识,也加深对这种电子证据的了解。那么,一会儿高显嵩主任会详细的给大家介绍他在司法实践中办理的电子数据方面的很多经典的案例,我相信对我们的朋友们肯定会很有启发。
今天晚上,我们还很荣幸的请到了几位与谈嘉宾。第一位是我们西南政法大学刑事侦查学院的院长、博士生导师梁坤教授。梁坤教授师从于人大的何家弘教授,在我们刑侦学院尤其在电子证据方面的研究是比较深入的,发表了不少关于电子证据方面的论文,所以我今天特地邀请梁坤教授来参加这个专题讲座与谈。我相信一会儿他的与谈会围绕今天的主题与大家分享很多的知识点。今天我们邀请到的第二位嘉宾,是我们西南政法大学法学院的副教授,也是我们证据法学研究中心的副主任王剑虹老师。王剑虹老师除了证据法学的理论研究功底深厚以外,也兼职从事刑事辩护业务,对司法实践中的电子证据运用有很多亲身的感受和经验。我们在教学之余经常就案件涉及的证据问题进行交流,在电子证据方面她有自己很多独到的见解。第三位与谈嘉宾是我们前面提到的系列讲座第三讲的主讲人,福建壶兰律师事务所的主任、全国优秀律师、西南政法大学刑事诉讼法学专业的在读博士研究生吴国章主任。从我能邀请吴国章主任做一个专题讲座就可以看得出来他对电子证据的研究非常深入。上一次讲座是吴国章主任担任主讲,高显嵩主任担任与谈嘉宾。我当时就说高显嵩主任来主讲的时候就让吴国章主任来担任与谈嘉宾,达到互相切磋、共同进步。所以说我相信一会儿我们的这几位与谈嘉宾,一定会有非常精彩的点评。好,下面我们就把时间交给我们的高显嵩主任,有请高主任。
高显嵩主任:大家好,非常荣幸参加西南政法大学组织的证据刑辩的讲堂。潘教授跟我说了以后,我觉得这是一个非常好的活动,我这边也准比较用心的准备了很久。我今天讲什么呢?我经过自我评估,还是仍为从一些实际案例的角度来讲比较好,因为从法律的角度来说我算是一个小白,所以我更多从技术的角度与大家分享一些实际的案例。非常感谢潘教授,同时也非常荣幸与我们的梁教授、王副教授、吴主任进行与谈。今天给大家分享的主题是《电子数据司法鉴定典型案例分析》,实际上这里边有些案例都可以说是首次曝光,都是比较新的,而这些案例里面包括了实践中常见的电子证据运用的几个方面的问题都有,下面我们来看一下。
今天主讲的内容主要是分两块,虽然今天主讲案例,但我还是要用几句话简单介绍以下声像资料含电子数据司法鉴定的内容,因为后面的案例里会涉及到前面的三点小内容,甚至会跟这三条会有冲突。当然,我不会讲过多,因为上次国章主任已经做了一个详细的讲解了。首先,我们常说的电子数据司法鉴定在司法部的司法鉴定名录里是属于声像资料鉴定,在声像资料类鉴定里有声音鉴定、视频鉴定、视频图像鉴定和电子数据鉴定,我们今天主要说的是电子数据。当然,声像资料在一些特定的环境下也属于电子数据,一会我会简单的介绍。录音、图像跟电子数据这三块共同组成了声像资料司法鉴定大的分类,当然在录音鉴定、图像鉴定和电子数据鉴定里面还有自己的小项,比如说录音鉴定包括录音的处理、录音真实性鉴定、录音同一性鉴定等等。电子数据鉴定里面主要有这样的几类:电子数据的存在性、电子数据的真实性、电子数据的功能性还有就是电子数据的相似性这几类鉴定。刚才我说在录音跟图像在某一些场景下也属于电子数据鉴定,比如一些录音文件、图像文件只是简单的以文件的形式存在,我们对它的存在性、真实性或者是相似性以文件的角度去鉴定的话,那么其实是属于电子数据鉴定。只有录音内容的辨别或者内容是不是经过剪辑,图像内容的识别与人像的同一性等等,才属于录音鉴定和图像鉴定。电子数据鉴定包括刚才说的存在性、真实性、功能性和相似性这几个方面,下面的几个例子里边,也会跟这些呼应上。我们在开展电子数据鉴定的时候要依据相关的标准,如果没没有引用相关的标准,也没有按相关的标准去做,就会导致鉴定结论错误。最后就是电子数据取证的流程,如果单纯的从电子数据鉴定的角度来说,我们是不需要去考虑前面环节的,一般情况下只需要去对检材进行分析做这个报告就可以了。但是如果需要对整个的案件进行分析的时候,就需要形成一个完整的链条——电子数据鉴定的数据来源、保存方式、流转情况以及分析思路、报告形成过程的完整链条。如果某一个案件涉及到电子数据相关内容比较多的话,我个人觉得很少有做得非常完美,大多数都存在问题。这里需要再说一点,就是电子数据在取证包括鉴定的时候,有这样的几个大的基本原则。第一是不损害原则,就是不能对原始数据进行破坏,不能对数据或者介质有任何的破坏行为。第二是避免使用原始证据原则,我们在做鉴定的时候,一般情况下是把原始的介质做一个镜像,然后在镜像上进行其他的操作。因为如果我们对镜像内的数据产生了一些破坏性的操作,也不会影响原始介质里面的数据,这样就可以做很多分析实验的操作。在很多案例里面都碰到原始的检材被污染的情况,这时候最终出的结果里边就有很多的可质疑的地方。第三是记录所有的操作原则,我们在做每一步操作的时候都要有相关的记录,记录的目的是要证明我们所采集的电子数据,或者是每一步操作,以及如何通过操作把数据变成了可以当庭呈现的证据。这样即使有人质疑也可以按照记录的步骤去复现数据的呈现方式。第四个,就是要遵循相关的法律法规。
好,下面就进入今天的重点的正题部分,这块主要是我列在幻灯片上的五个案例,这五个案例有一些还没有最终判决,因为没有办法处理。这些案例我把敏感的信息都已经进行了脱敏处理,不会暴露案件的真实信息。这里面包括网络传销的一个案例,还有一个知侵犯知识产权的——主要是关于软件的相似性鉴定的问题,还有一个是侵犯商业秘密的一个案件。后面列的这两个选讲,因为这一套幻灯片我也是第一次讲,如果时间充足就把案例四和五也大概的说一下。如果这个时间紧张,我们就看前三个,因为后面两个相对简单一点。
首先第一个案例是一个传销案件里面的电子数据鉴定的问题分析,典型案例其实可以从两个角度来说,一是在鉴定的时候该怎么去鉴定,另外就是别人做的鉴定存在哪些问题。这起传销案件里边的电子数据在鉴定时候存在的一些问题,办案机关对嫌疑人的传销系统数据库进行了远程数据勘验,同时委托了电子数据的司法鉴定机构进行数据完整性、一致性司法鉴定。鉴定以后,办案机关就把获取的数据交给会计师事务所出具审计报告。这里面存在的问题其实比较多,因为本来这里面电子数据司法鉴定机构应该做大量的操作,但是没有去做而只是对原始的数据做了完整性和一致性的鉴定,然后就把整个数据库交给了会计师事务所。这个会计师事务所将数据库运行起来通过SQL语句等等的去分析。我觉得两个机构的分工是有一定问题的,会计师事务所对电子数据的专业性是不够的,所以最后出现了很多问题。第一个问题就是检材污染或者来源不明,其实这个也可以说是被污染了。从检察院、法院的角度来说,一般情况下如果整个案件没有特别大的瑕疵,仅仅是流程性的问题的话可能不会非常重视。所以,后面两个问题其实相对来说不是特别严重的问题,当然也是问题。来看问题二,先从检材的角度看,第一在于提取的笔录,这里面我隐掉了相关的内容,这个案件是在2020年6月1号的19点55分到6月1号的20点50分在网安大队的实验室里边对这个数据进行提取,嫌疑人的传销数据库里面写的“下载安装MySQL”,当然这个有一点技术错误,但也用不去纠结它,因为也没什么意义,他肯定是下载到MySQL的客户端管理工具,然后去连接数据库,对这个数据进行下载。这里面描述的是什么呢?提取笔录里边描述的是下载了104个G的 XLS格式的,大家知道这是Excel格式的数据。接下来我们来看,他后来又在6月1日做了一个服务器数据提取情况说明,也是在他们的实验室里边,也是登录了这个数据库。但是最后下载下来的东西,提取笔录里面描述的不是这104个G的XLS的数据,而是MySQL数据库的一个备份文件。这是Linux下面的tar包备份的数据库备份文件。这个数据库备份文件里边记录了一个哈希值,这没有太多问题的,因为他备份了数据库就会同时记录了一个哈希值。但是,记录哈希值的目的是为了保证这个数据的原始性、真实性。但是这个哈希值,同时结合对文件的属性进行查看,发现这个文件的修改时间是5月25号5点24分50秒,就是说6月1号提取的这个文件的修改时间是5月25号,为什么呢?因为这是在服务器端数据库自动备份的一个数据库备份文件,是在5月25号的凌晨5点25分50秒备份的数据库文件。然后办案人员直接把数据库备份文件下载下来了,文件名和大小都是精确到字节的。同时,又把这个文件复制到了一个叫Cent os200的虚拟机里边进行还原,这是一个VMV2的虚拟机,也是一个Cent os的操作系统。也就是说在下载完成以后在本地还原到了虚拟机里边。然后将下载的数据委托给了电子数据的司法鉴定机构进行了一个司法鉴定,委托事项是“对移动硬盘内服务器数据库的电子数据下载生成后的数据特性及完整性”进行鉴定,也就是真实性、完整性鉴定。这个文件下载完了以后计算了一个哈希值,放在了一个叫MD5.txt的文件里边,跟这个镜像文件放在了一个目录里边。他委托的时候是把这两个文件委托给了鉴定机构,当然旁边还有一个虚拟机Cent os的文件夹,这个文件夹在电子数据鉴定里边呢,没有提鉴定要求,所以没有对它进行操作,所以只针对数据库的备份文件和 MD5文件这两个进行了操作。我们来看鉴定机构做的是一个什么样的结论或者意见,鉴定意见里边说:“本次鉴定的内容与2020年5月25号5点24分50秒的内容一致。”他是怎么下的这个结论呢?下面有一个分析说明:首先对数据库镜像做了一个哈希值的计算,这哈希值是60开头的,7a结尾的,跟刚才我们看到的公安自己勘验出来的哈希值是一样的。接下来又做了 MD5.txt文件的哈希值,但是并不是去这个文件里边查看分析过程,只是对两个文件进行哈希值的计算。最后他下了个结论是什么呢?说这个文件的哈希值和MD5.txt文件里记录的哈希值相同,然后得出结论:这个文件和2020年5月25号5点24分50秒的内容是一致。这里边存在几个问题,第一个问题是在整个鉴定报告里没有看到 MD5.txt文件里边的内容,它记录的是不是哈希值并不知道,就直接下了这样一个结论。第二是我们还需要去质疑一点,通过一个文本文档里记录的哈希值和这个文件的哈希值一致就能下结论说这个文件是和2020年5月25号5点24分50秒的内容是一致的吗?这不符合司法鉴定标准,如果我们想说两个文件具有一致性,需要把这两个文件分别计算哈希值来对比,而非凭一个记事本文件的记录——大家都知道记事本文件里边的内容是很容易被修改的。当然,这块我们如果去死抠就觉得有点较真了,但是确实数据存在问题。后来我拿到了 MD5点txt文件,才发现之所以没有打开 MD5.txt的原因,是因为这个文件里边记录的内容跟鉴定意见里边写的不一样,它的哈希值是没问题的,但是 MD5.txt里边的内容的时间是有问题的。后面我们从法院把MD5.txt给调回来,包括它的数据库检材。调回来以后,我一打开 MD5.txt就发现里边计算文件的修改时间也是5月25号,但是是20点24分52秒,也就是说跟之前这个的文件不是一个文件,它俩就在一个目录下面放着,正常情况下应该说MD5.txt里边计算的哈希值就是这个文件的哈希值,但是哈希值相同而修改时间不同,这就有很大的疑惑。因为一个文件如果它修改时间不同的话,说明这个文件它修改过,如果不对它有任何修改的话时间是不会变化的,但是它MD5值又相同,这个就很奇怪。后来,我们又进行了下一步操作,就对从法院调回来的文件自己计算了一个哈希值,又出现了一个奇怪的现象,就是这个文件我们计算的哈希值是ad后来9f结尾的一个哈希值,而它在勘验的时候计算的哈希值是6a56哈希值,然后在MD5.txt文件里边记录的哈希值当然也是这个哈希值但是修改时间又不一致,而这个哈希值不同的文件的修改时间也是5月25号5点24分50秒。现在就越来越奇怪,这个文件又有一个新的文件出现并且MD5值都不一样,但是文件大小的字节数是一模一样的,文件名也是一模一样的。大家知道这个MySQL如果自动备份的话,两个不同的备份文件的命名是不会一致的,但是这个文件名又一致,大小也完全相同,而哈希值不同,修改时间又出现两个修改时间。最后我又做了一个实验,它旁边有一个虚拟机的镜像,我就把它虚拟机镜像运行了起来。他不是把原始的文件放到了虚拟机里边还原完了以后对这个数据进行分析吗?那我就进了他这个虚拟机对这个文件进行哈希值的计算——MD5的哈希值计算,又出现了一个哈希值,这个哈希值跟前面的那两个还不一样,又有一个新的哈希值。这就特别有趣了,文件字节数还是一模一样的,文件名也是一模一样,文件的修改时间同样也是5月25号5点24分50秒,但是20点的修改时间那个文件就没有找到。最后从检材的角度来说,我们就给它下了一个结论说“来源不明或者被污染,而且有多个文件版本。”你看,修改时间为2020年5月25号5点24分50秒就有三个不相同的MD5值,从MD5值上的角度来说就有三个文件了,起码要有三个同名的同大小的文件在这个案件里边出现过。同时,修改时间又出现了两个不同的修改时间,一个是5点24分50秒,一个是20点24分52秒。所以,我就不知道这个文件它是什么情况,如果按这种情况来算的话最保守有4个同名的同大小的文件,因为哈希值不同的就有3个,还有1个时间不同的,但第四个一直没见到在哪。当然,第一个计算的也没见到,鉴定机构在刚提取的时候见到了,在法院这块只见到了这两个,第一个和第三个。所以我个人认为这个检材不能用的,因为来源不明,不知是否被修改过。现在补充材料也补充不清楚——检材到底哪来的现在也补充不清楚了。所以,通过检材这块我们就可以有一个启发:公安机关办案的时候一定要注意,这些检材的原始性不要被破坏,流转过程要有详细的记录和校验,不然走到不同的地方检材都变了,就很难去自圆其说了。有可能数据库里的数据是没有变动过,但是这些值都变了就已经不是一个文件了。因为我们知道文件名不能代表这个文件,只有哈希值相同的文件才能证明是相同的文件。勘验的时候是一个文件送到法院又是另外一个文件,送到会计师事务所进行审计的文件也跟调取的不是同一个文件,这个就肯定是不行的。从检材这个角度这个案例出现了这样的一个情况,因为已经到了二审,一审的时候判的组织领导传销罪。我看了案卷以后就发现检材出现了问题,确实是没有办法再去证明这个原始检材是什么情况了,所以二审现在迟迟也没有结果,这也是今年的一个案例。这里面,除了刚才我们说的这个问题,其实还有一些其他的问题,例如会计专项审计报告交给会计师事务所,我查了一些之前的判罚案例,专项审计报告很多案例里边都是不予采信的,这不属于会计司法鉴定也不属于会计鉴定,因为会计司法鉴定已经取消了,不属于四大类里边了,就是说它能不能用在法庭上使用是个问题。当然,我不是学法律的,但是我查了一些相关的判罚案例,里面都说是不可以的。也就是说,它这个报告到底有没有效?就算他这个报告有效,我们来看他做的报告里边也存在一些问题。首先,我个人认为,这个会计专项审计报告是超范围执业的,为什么呢?因为他这里面说“我们根据公安机关的询问笔录,对已接收的数据库进行破译查询”,然后这里面很多地方出现了:“我们对贵局提供的数据库进行深度破解分析”。那也就是说,他对数据库做了很多这种专业技术的操作,那我们就可以怀疑——当然我不是说质疑他具体的专业人员,我是说会计师事务所有没有对数据进行深度破解分析的执业范围或者是能力?我觉得这些应该是属于电子数据司法鉴定执业范围内的,让一个会计师事务所去做有失妥当,所以后面也出现了很多数据的错误。另外,这里面还提到了说:“虚拟中的数据与原始数据一致,无污染、无改动。”这是通过什么来判断它的数据和原始数据是一致、无污染改动的?只是他认为是一致的就写了个一致的,因为里边没有任何的技术手段来证明说它是一致的无污染的。我们前面已经看了它根本就不是一致的,跟原始那个文件的哈希值就不是一致的,在虚拟机里边的文件就不是这个哈希值。另外,它里面采用了一些SQL语句,当然我个人还认为这些SQL语句还是偏技术人员来使用的一些数据库操作指令、数据库操作语句。不过现在很多数据可能都通过数据库来存,会计师事务所可能也有一些技术人员也会查,但是在这个鉴定报告里就出现了很多错误,这些SQL语句写的全是错的。看这个双引号,如果懂SQL语句的一看就知道是全是错的,你不应该有这个双引号。我们把这个数据库也重新复现,把这个语句也去执行,它根本是执行不了的,这个语句都是错的。另外,他在鉴定报告里说了有一个UID,我觉得这个是一个疏忽,但是这个疏忽是不应该存在的——这里边有个UID的一个字段,但是在数据库里根本就不存在这个字段。然后写了很多SQL语句里边都有UID,你看这块是UID,没有下划线的UID,到这了就变成U_ID,像这种语句肯定是执行不成功的,因为数据库里就没有这个ID,没有UID字段,所以他这些语句全都是错的在报告里边。问题三就是里边使用的技术方式、技术手段有错误。问题四就是数据统计错误,这里面对 APP数据库的数据层级进行了统计,他说:“发展层级一共是108级”,我们查了一下应该是109级。其实这个108级也无所谓,但是这个108级想说明什么呢?其实现在传销数据库里边这个层级跟很多互联网公司会员推广的数据层级实际上是一样的。比如说有一些阅读类的APP,我看了这篇文章然后我推荐给了别人,别人也看了就会记录我是他的推荐人。或者我购买了一门网课,然后又把网课推荐给别人购买,那么我就是他的推荐人就会给我返一个推荐的费用。当然,这个只是一级,他再去推广那就不会给我返费用了。这个层级都是有的,很多互联网公司的数据库里都有这个层级。拿108级来说传销的传播层级实际上没有任何意义,真正有意义的是什么呢?应该是传销的这些会员里边到底有多少人去分利润,分销售的佣金,这个级别才有用。你比如说三级,它有三级以上的机制,这个可能就会有问题,不管是108级还是1800级,如果这里边没有返佣的过程,光是这个层级是没有关系的。另外,他统计了一个非常大数字的总人数,这个数字也存在一个问题,就是没有去对数据进行排重操作,比如说一个人注册了多个账号或者是用了多人的手机号去注册多个账号,但是关联的银行卡都是同一个银行卡的情况。借助这个案例我来讲一下传销数据库我们在鉴定的时候是一般怎么分析的:在合计了人数后对数据进行统计,具体的数我忘记了,最少应该是1000 多万人,后来我又做了重新统计。通过身份证排除和银行卡排除以后,得到的两个数据非常接近,都是4万多,也就是说真实的人数只有4万多,并且嫌疑人也说里边有好多是虚假注册的机器人或者是下级会员自己注册的账号,所以真正的人数应该是4万多。此外激活总金额计算也是有错误的,计算出的金额也是非常庞大的一个数字。我们对数据库重新分析——因为并不是数据库里边所有的钱直接累加就是总金额,大家如果了解这个数据库的话会知道里边经常会有一些字段描述单笔账单的状态,数据库里边金额字段有30多种状态,有激活成功的也有激活失败,还有退回或者购买其他金币等等,所以不能一概把整个字段全部都算成总金额,而是要根据不同状态去计算。理论上来说应该按照30种状态进行区分,例如想知道激活的金额是多少就应该去找状态是激活的金额,而不能把所有的金额都算成激活金额,否则金额就会庞大很多。资金统计我觉得不用说,也不用去找案例,因为我们以前做鉴定的时候都是这样做的。我这里面列了两个模拟的表,主要是为了把该问题说清楚,这是一个会员表,同时也关联了一个会员的详情表。首先这里每一个会员都有一个ID,比如第一个会员叫001、第二叫002、第三个叫003......这里面同时会记录他的推荐人ID,而整个系统的第一个用户就不存在推荐人,所以他的推荐人ID是0,代表他没有推荐人,他是系统的根。然后第二个用户他的推荐人是001,那么003推荐人是002,也就是说001推荐了002,002推荐了003,这是一个推荐关系,一般的传销数据库都建立了这样的推荐关系表。现在很多互联网公司也有这种推荐关系表,如果存在上下级关系的情况就说明有问题。我们来看001这个表关联的详情表,里边一般会记录他的身份证、手机号或者银行卡、微信ID,需要通过身份证、手机号或者银行卡进行排重。具体是根据身份证号还是银行卡,一般情况下如果委托要求没有明确说明的话是按身份证排,有些时候也会把两种排重都列举一下。如果委托方明确说明按身份证排重就按身份证排重,那些没有身份证的就只能写明没有身份证的数量是多少。下面再说流水表,当碰到传销类案件、网络赌博案件或者是电信诈骗案件,我们可能比较关注的是流水表,表里内容有流水ID、会员ID和金额。这里面我特意举了两个状态,你看这里有0、1、1,它在一行记录里边有的就一个状态,有的可能有两个状态。我们用0、1、2、3、4、5代表不同的情况,例如“0”就可能代表充值成功了,“1”就代表充值失败了,“2”有可能代表退回等等的,从“1”到“n”其中就存在很多种状态,刚才那个例子里边它就有30多种状态,不同的状态代表不同的情况。而在这些不同的状态中,只有“0”这种状态是成功的。所以,我们在统计数据的时候,就要按照数据库的不同的状态来统计,不能直接把所有金额全部累加得出总流水,否则计算完数据后去找嫌疑人或者当事人核对时,当事人都会感到震惊说从来没有这么大的流水,却计算几千万甚至上亿出来。我再多说一句,关于金额在鉴定的过程中还容易出现一个问题,即单位的问题。我这上面写的是60.00、198.00,大家默认认为这个是60元或者198元对吧?但如果没有这个点,它就是6000或者19800,就没有办法去认定这个金额到底是多少。我之前碰到过一个案子,涉及微信支付——微信支付是按“分”来计算的,先开始计算金额发现有几个亿的金额,便觉得这个案件很大,后来一看是按分计算的,办案人员没注意到就直接按元计算了。当然,我们做电子数据司法鉴定一般不会去关注单位,我们只关注那个数字是多少。而具体代表多少钱我们可能不去定义。一般情况下,我们电子数据司法鉴定机构对数据库分析完毕以后,会制作Excel分类表格,然后把这些数据交给会计审计事务所,再做会计鉴定,而不是直接让他们完成电子数据的工作。还有需要注意的事项,首先是关于返利层级要按发展可返利会员的层级来计算,所以真正的层级和虚拟身份要去排重。其次返利的流水要排重数据库中各种非返利的状态记录,比如返利没成功的或者是其他一些不属于返利的状态。最后是正确计算会员总数。第一个案例就说完了,主要涉及到三方面问题,一是检材被污染,二是会计师审计事务所做了电子数据的鉴定工作,三是计算层级和金额出现错误。
下面来看第二个案例,第二个案例也是比较典型且有意思的案例,是前段时间在北京海淀的一个侵犯知识产权的案件,其中涉及到软件相似性鉴定的问题。这个案件很复杂,内容涉及非常多,我这里总结了一下,可能还不一定很全面,我们来谈一下其中的核心的、重要的问题。某大学下属软件公司的一个软件,据说是被一些原公司员工拿出去进行修改形成了同领域的产品后进行销售。办案单位扣押了被告方的源代码服务器,并且对被告方销售后的程序进行了取证固定,被告方的销售记录只有一笔,这一笔还没付钱。然后办案机关就委托鉴定,内容是对被告人销售的程序进行反编译对比原告方的程序反编译,也就是进行软件相似性的鉴定。我们来分析这个案子,一般我们做软件相似性鉴定的时候需要注意这样几个问题:第一需要比对的内容很多时候包括前端代码、后端代码还有数据库结构,因为现在很多都是BS结构的应用, CS的现在可能越来越少了, BS结构就有前端代码、后端代码和数据库。数据库里边的数据不用去比,因为不属于软件相似性比对范畴而属于侵犯公民个人信息,所以我们一般是去比对数据库结构。比例要求一般有这样的两个:排除开源和公共库。首先开源部分,如果两个程序都是在开源的基础上进行开发的,就需要把开源部分进行排除,这是在软件相似性鉴定的技术标准里写的。其次公共库也需要排除,公共库是属于第三方的,很多开发人员会去引用这样的一些组件。这里边我认为有个缺陷,就是没有特别明确软件相似性比对的方法。我们前段时间召开了一个技术讨论会,邀请了一些专家作出一个标准。但是现有的软件相似性鉴定的标准写得特别简单,只有很少一部分内容,而关于怎么去比对才能证明两个软件是相似的标准是有一些问题的,但我们仍然需要遵守。这个案件得委托事项是比对这两个静态代码,他就只写了“进行比对”,也没写明时源代码比对还是功能性比对。而且鉴定时间还超期了,因为司法鉴定通则里边是30 个工作日,如果超期了需要去办理延续手续或者双方协商。我们看软件工具部分使用了很多第三方的软件,同时也自己写了一个代码格式化脚本,就等于自己写的一个比对脚本,还有一些开源的其他软件或者是在开源的基础上做得一些修改使用。这里的问题就是比对结果是否科学可靠是需要去考虑的,因为我个人本身也做鉴定,很多时候我们也经常去写一些格式化脚本,因为有时候面对海量的数据靠人工很难去分析。但前提是要保证脚本能够实现一些简单的功能并且不会出现错误,还需要把得出的结果校验看看是否存在问题。关于检验方法,这里面只写了一个叫软件相似性检验技术方法,但是在整个鉴定过程中做了很多软件功能性鉴定的操作,但检验方法里边没有引用功能性操作,当然这只是一个小瑕疵,一般我们也不会去深究而只是提一下,还有一个远程勘验网站,远程勘验的标准也没有加进来。我们来看其中的问题,首先在对前端代码的鉴定里边,对前端代码了进行完整性比对和相似性比对,但比对并不完整。他把前端的程序运行起来以后用 save or resource这个工具把前端的代码下载下来,并不是直接把程序里边的前端代码下载的,因为前端代码已经是混淆过的。这也不能叫加密,因为前端一般是用GS或者CSS这些静态的脚本还有样式文件混淆过的——混淆的问题就是可读性非常差,所以要用 save or resource给下载下来就变成反混淆的。这个过程我们暂且不说是否合理或符合要求,单看下载回来的文件,只对里面的GS文件和GSX文件进行了比对,而CSS文件和那些静态的其他文件没有进行比对。后来我们在开庭前会议的时候,跟对方的鉴定人也沟通了一下,我问为什么没有比对,他说他认为 CSS是没有功能的,我个人认为这是一个完全错误的概念,你不能说哪些有功能就对比,哪些没功能就不对比。CSS是美化界面的样式文件,我认为也是一种功能,它把界面变得更漂亮,更容易操作,所以不能排除这些文件,而且在软件相似性鉴定的标准里边明确写了静态文件,包括图片和其他的一些文件都是要考虑的。另外这里边少了两个技术标准,因为存在网站勘验的动作,所以应该把网站数据获取的技术规范引用一下。以上两个都是小问题,后端代码比对中的问题就更有意思了。他将比对的源代码去开源——当然去开源这个动作有问题的地方就是有一些开源的没有去除,还把一些就是不是开源的给去掉了,这个小问题我们先不去考虑它。其次就是对这个代码文件进行格式化使用,操作是去空行、去注释、去除路径信息,将双方特定关键字替换为随机字符串,等于把两边程序特定的关键字,比如说公司名称不同或者是两个公司软件的英文代码、英文代号不同,但是鉴定人把这两个不同关键词的给替换成相同的一个随机字符串,目的是为了纠正双方由于软件名称不同导致的比对结果不同。替换之后进行对比,这里还有一个自己定义的规则——如果两个文件相似行数低于50%,则不统计该文件的相似行代码,只有高于50%的才统计,但是没有任何标准存在50%的说法。我们来看他具体的格式化方法:去除impulse中的路径信息,去除空行和注释行,然后去除行前的空格和行后的空格。你看他把这里边列的一串双方不同的关键字全部都替换成了自定义的字符串,有可能是用随机算法算出来的一个字符串,但是这个字符串就固定了,所以我们需要考虑格式化的方法是否是准确的。我们打开他的光盘附件,比对结果是72%相似度,正好卡在70%以上——虽然没有明确标准,但是行业内有好多人认为两个软件如果相似度大于70%,就存在侵权,当然了实践里面也有大于20%、30%或40%的侵权判例,这是配合辅助了一些其他的证据。我们来看光盘里面记录的实际情况,我在光盘里面找了一些比对的相似的文件,这两个文件A文件行数16行,B文件行数是4392行,它们的相似行是8行。将这8行比对了一下,第一行是因为他引用了一个公共库相同了,接下来有一个大括号相同了,然后两个空行还有大括号相同了,最后是结尾的几行有两个大括号相同了。所以这两个文件的相似函数大于了50%,就把这两个文件计算为相似文件和相似代码行数了。但是实际上即使不懂技术的也知道,这两个文件根本没有任何关系,因为 B文件有4392行,而A文件只有16行,两者有8行相似,这完全是不同的两个文件,算成相似的肯定是有问题的。这种情况还不占少数,光盘里边很多这种结果,比如这也是 A文件8行,B文件392行,相似8行,你的8行在我这392行里都有,这个能证明他的文件就是从你这392行抄袭来的吗?因为相似的部分也是引用的一些公共库,还包含括号等等这样的内容,程序代码根本没有任何关系,所以认为这个文件完全是抄袭的肯定不合理。还有一种比对的例子,就是这两个文件比对是相似的,A文件和B文件有很高的相似度,但是我们看引用的很多部分都是开源的部分,这个问题值得讨论,就是引用的是这些开源的代码,不是开源的程序只是引用这一行要不要排除?因为这个开源的程序不管谁写都是这样引用的,所以我个人认为严格来说这也应该是排除的,不在比对范围内。下面是他提供的一个 Excel,写明了哪个文件与哪个文件相同或者相似,这里边将一些关键字、相似代码行和不相似代码行都有列举。我简单地做了一个操作,就是把A软件和B软件的代码行数做了一个从大到小的排序,就能发现问题。你看这从4392行一直往下排是逐行递减的,而这边的代码行数,比如681行和905行、17行和883行、还有25行和871行,我们能不能说是相似的代码?因为源代码的比对,特别是现在BS的代码量非常庞大,不像以前 CS程序有的代码量相对比较少,现在BS的程序动辄几千个、上万个甚至更多代码文件,比对就相对麻烦。另外,这里还采取了抽样比对,这个是我在意见里边写的。就是功能鉴定部分只抽样列举了相似的一项功能,并没有列举所有功能部分,比如为了证明这两个软件功能相同,原鉴定找到了两个相同功能页面进行截图,就得出结论说两个页面相同。但是有很多不相同的页面没有去抽样,抽样只是抽相同部分,这样最后得到的结果就是相同的,我认为也是不合理的。如果抽样就需要随机抽样,这样样本中才有相同的和不同的,不然就不满足抽样的特性。并且抽样并不适合这种情况,应该把每一项功能、每一个功能模块都进行对比,这才是功能性鉴定的正确做法。在很多鉴定过程中我都看到有“抽样”,而在结果里边只是展示几张抽样情况就说明所有的结果都一样。虽然把所有的内容全都粘到鉴定意见里边可能比较大,但是可以把内容作为附件放到光盘里,也可以打印出来不放在主要部分而放到后面的附件里边,我认为这是可以的。下面我举了一些在软件相似性鉴定存在的一些问题,首先是要排除开源公共库,这个是我自己随便建了一个demo的程序,我们开发一个APP当没有写任何代码时,开发工具生成的就是这样的一些代码,里边引用了大量的自动加载的公共库自动生成的代码,而真正需要程序员去编辑的是在新建完以后在里面写代码,然后再去从同目录下或者上级目录建不同的文件夹创建不同代码,其他都是公共的部分。当我比对两个APP时,如果都是用的同一个开发工具开发的,并且APP功能又很简单,这样比对两个大多数是一样的,因为都是公共库部分自动生成的,不一样的只有两个不同开发者编写的内容,所以一般要去排除公共库和自动生成的代码。我查了一下,自主研发的代码和开源代码及公共库的比例,基本上自主研发的只占10%,大多数都是开发工具或者是引用的第三方的公共库和开源代码,所以就需要排除开源及公共库。另外一个是有限表达,在软件相似性鉴定里面特别是源代码比对这块,有很多开发情况因为没有其他写法而只能用这种写法。这是在《计算机软件保护条例》里边规定的,举个最简单的例子,在C-Sharp里边Form的一个程序,要弹出一个警告框,肯定是Message Box. Show这样一个语句,谁来写都得这么写。还有一些是有比较大的代码块,比如在Java里边如果我们用了公开的框架,这个框架就会自动生成很多代码,开发者只能按照已经给出的框架编写,像这种代码我们认为不能算成相同的代码。还有一些其他情况,比如一个记录日志的 logo组件,这个组件不管谁用配置文件也大致都是这样的,因此以上这些情况我们称为有限表达。现在软件的相似性鉴定,大多数的鉴定机构和鉴定人都是用的 beyond compare软件,或者是其他的如EMS或者是Edit Plus这样的一些工具。这些工具有一个特点,就是他们的出发点是对文本进行比对,也就是说只能比对文本里边的相似性,涉及到程序代码也是按文本进行比对,而不会理解程序代码里面的逻辑关系,不会判断两个大括号里边内容哪些是有效的、大括号外面哪些是无效的,也不会管空格、空行,这种文本比对工具肯定是不合理的。刚才我们看到鉴定不是用beyond compare比的,而是自己写了个脚本比的,我们发现很多大括号用这种比对方法是没有排除的——但是应当排除大括号,因为大括号没有什么功能,如果A程序里边只有一个大括号,B程序1000行代码里边有100个大括号,就会比对出100行相似。所以用这种工具比是有问题的,哪怕顺序有一些变化都比不出来——就算是完全相同的两个程序,把顺序调整也比不出来,像下面这个例子里两个程序是完全一致的,只是把顺序调换了一下,但是比不出来相似或者相似度很低。理论上来说,这完全是抄袭。这是现在使用的工具存在的问题,针对这些问题,我们也做了一些研究分析,源代码侵权或者是其他侵权的行为,实际上可以称为代码克隆,代码克隆有几种克隆方式,这是国际上普遍采用的一种代码克隆的分析方法,它列了4个type1到type4,其实还有一个0级,实际上是完全相同的。从1级到4级是4种克隆等级,1型克隆除了空格布局和注释的变化以外其他都一样,因为只有空格和注释变化没有功能布局改变,不影响逻辑。2型克隆是除了上述的这些不同以外,还有一些标识、符字、符串、类型等等发生了变化,比如有一些变量名改了,函数名改了。3型克隆就做了更多的更改,包括一些布局、注释,包括标志、符文字、类型、空格等等,这个更改的就很大了。最后一个级别是4型克隆,是完全把两个代码片段重写了,实际上就是函数功能模块,比如你的软件有100个模块,我把你的100个模块都拿过来,逻辑关系跟你没有改变,但是我把100个功能模块里边的代码都重写了,实现的结果还是这100个功能模块的结果,最后两个程序运行起来功能是一模一样的,但是我的代码已经重写了,是用不同的方法来实现的,这就是4型克隆。3型克隆跟4型克隆实际上我们很难用自动化的工具或者其他方式分辨,因为已经完全重写了,改动非常大。自动化的工具再怎么智能也不可能理解程序代码的意思,不然我们直接用机器人写程序好了,所以只有人为判断才更准确一些。所以我们一般考虑1型克隆和2型克隆怎么自动化地去分析它,一般就是源代码去空格、注释、空行,排除公共库及有限表达,然后针对每一个函数不是一行一行地去比,而是把一个函数作为一个比较的最小单位去跟对方的所有函数比,最后算出一个相似度。当然最后还需要人工审核进行校验,看准确度是否合理,是否在可接受范围内。这就是1、2型克隆在比较的时候一般的比较方法和流程,最后综合计算一个结果,一个相似的比例。第二个例子实际上最主要的问题就是他用的工具即自己写的脚本比对的技术方法有问题,最后造成了很多不相似的代码被认为是相似的。当然这里边其实还有很多其他小问题,但最主要的是计算的数字不准确。后来我们也通过这个案件专门组织了一批行业内的专家开了一个会对这个软件相似性鉴定作出了一个我们自己的标准,当然我们自己标准只是用于自己借鉴的,是行业内专业人士共同建立的一个标准。
第三个案例是一个侵犯商业秘密的案例。问题也挺多,但是我在这里没有完全列举,只是把一些核心的、我想表达的观点列出来了。原告公司委托某某知识产权鉴定中心出具了两份知识产权鉴定意见书交给了办案机关,立案以后办案机关扣押了被告方的多台计算机。办案机关和原告委托了相同的知识产权鉴定中心进行了鉴定,鉴定机构对计算机的硬盘进行数据镜像,然后对镜像内的数据进行提取恢复,对恢复出的文件和原告方提供的文件进行一致性比对后出具了四份鉴定意见书,所以一共在法庭上出示了6份鉴定意见书。这是我罗列的整个案件里边的一些问题,第一个问题是有两份鉴定意见就不能用,因为司法鉴定的委托不是随意委托,我不是学法律的但是也查了一些相关的法律条款。《刑事诉讼法》第119条规定刑事案件一般要由公安人民、检察院来进行委托,即为了查明案件需要解决的某些专业性问题可以去委托鉴定;《民事诉讼法》里是规定由法院来指定鉴定,律师或者当事人可以要求鉴定,然后法院由发起鉴定。从法律角度来说,公安在办案的过程中的鉴定属于侦查鉴定,而在起讼阶段就应该由人民检察院启动,但是对于当事人来说仅可以请求补充鉴定或者重新鉴定而不能发起鉴定。像这个案例原告公司做的这两个鉴定意见,理论上来说不能够成为有效的鉴定意见,所以这两份意见后来也就没用了。第二个是技术范围问题,也就是知识产权鉴定职业范围。现在司法部的四大类鉴定里边已经没有知识产权司法鉴定,只有我刚才第一页幻灯片里边看的四大类。知识产权鉴定不是司法鉴定,其司法鉴定的资质已经慢慢取消掉了。那么问题就是知识产权鉴定要依据什么标准?我通过这个案件对知识产权鉴定有了一定的了解,我发现知识产权鉴定不去引用任何技术标准,在开庭的时候我就问对方鉴定人为什么用了这么多软件相似性、软件数据存在性、软件功能性的鉴定,但是没有引用相关的技术标准?对方的鉴定人说知识产权鉴定没有标准,我就觉得挺有意思,没有标准就可以随便自己定标准吗?我认为应该不是这样的,只要有标准还是应该引用,而不是没有标准就可以随便做。而且明明有电子数据司法鉴定机构或者声像资料类的这种大职业范围和分类范围要求,知识产权鉴定机构做的鉴定却不引用相关标准,而只是列了一些知识产权鉴定的法律法规,这并不符合要求。关于技术标准的问题,有国家标准的话,肯定是先遵循国家标准,没有国家标准的话,要遵循行业标准和技术规范。如果行业标准和技术规范也没有,一般是要遵循该领域多数专家认可的技术方法,所做的鉴定里边的所有的操作都要有标准可依。如果没有明确规定的标准、没有定论的技术方法,要么就不受理,要么就采用行业内的多数专家来认可的方法才可以。最后还有一个技术问题,我只说这一个,我们看他首先利用电子数据的存在性恢复数据,然后又把这个文件进行软件相似性比对。这个比对方法我觉得挺有意思,把A软件和B软件进行二进制文件的比对会存在两种情况:第一种情况是如果随机对比,任何两个二进制文件只要大小相同或相近,都会比对出相似的结果,因为二进制大家都知道除了0就是1。第二种情况是如果不是随机比而按顺序比,我觉得有一定道理,但是按顺序比也有一个问题,除非能看懂这个二进制代码,中间如果有一小部分不同就不能说这两个文件相同,因为这个二进制如果有一位不同,功能可能就会有差别。当时我给他举了个例子,我说1万加1万的二进制和1万减1万的二进制基本是相似的,用二进制进行比较要么就是完全相同,否则就没有必要二进制比了,直接比哈希就可以了,如果要不完全相同就要弄清楚不相同的地方影不影响程序功能。《软件相似性鉴定实施规范》和《软件相似性检验技术方法》里是有规定要求分别对检材和样本从目标程序进行哈希计算,如果对应的文件哈希值相同软件相同,如果哈希值不相同就要对功能进行鉴定。最后有一个核心程序的逆向分析,必要时对目标程序的核心程序进行反编译,对反编译后的代码进行比对检验,意思是对反编译的代码进行比对检验,要把这两个程序代码反编译而不能直接比对。二进制的反编译在技术规范里也明确写了反编译是将已编译的程序文件还原成汇编或者高级语言代码的过程,最低要求是反编译成汇编语言,也可以反编译成的高级语言比如Java代码和C-Sharp的代码,现在是可以反编译回编译前的代码的,标准规定不能直接在二进制的代码上比较。当然要进行二进制比较的话,就像我刚才说的,除非是排列顺序都一致,中间如果有不一致的就需要搞清楚不一致的地方影不影响这个程序的功能。
第四个案例是关于取证过程中 Ip溯源出现的冤假错案。一个公司要上市,上市之前投资方提供了很多报表和数据,这些数据挺大,当然这个报表肯定是做的非常漂亮的。然后这个投资人又收到了一个人登录了他们内部的管理系统并录屏记录了他们真实的数据,发现这些数据和公司真正的运行数据相差太远了,这个公司就很生气,因为投资可能存在问题,于是就委托鉴定想找到是谁发的。这个人在录屏的时候下面有一个时间,后来这个公司就利用这个时间去找系统后台的日志,发现在录屏的这段时间有一个账号登录系统在查询各种数据,然后就在系统里边做分析,分析这个账号是谁的。这个账号是一个公共的账号,需要在日志里去分析相应时间段是哪个IP地址登录的账号,就查出来是他们公司内部的一个VMware的虚拟机的IP地址。然后又去虚拟机上查谁在那个时间点登陆虚拟机,就看远程桌面的连接记录,发现是他们公司的一个员工通过远程桌面登录到了虚拟机上通过这个虚拟机去访问了系统。于是就把虚拟机的镜像送到我们公司进行分析,当时我对镜像进行分析完毕以后发现这个公司内部员工能登录虚拟机是因为虚拟机装好以后这个员工的账号就一直在登录状态没有注销过,每次连接会话和断开会话也会记录他的IP。而在他们以为证据确凿的时间点——会话时用的IP地址正好不是员工的 IP地址,但账号是他的。这个IP地址是127.0.0.1,是一个内网的 IP地址,是一个本地IP。这个时候问题来了,正常情况下远程桌面是没有办法用本机连接本机的,比如我打开一个远程桌面的terminal service的客户端,我来连接本地电脑是连不上的,但是那天正好是127.0.0.1,这种情况如果不了解一些技术手段的话,你可能就很难分析出来为什么会有一个127.0.0.1连接本机。我正好了解一些黑客攻击手段,有一种可以实现本机127.0.0.1连接本机这种日志的情况,这就代表你这台机器已经被黑客攻击了,由于你在内网,黑客无法直接连接到你这台机器上,但是可以把你这台机器的IP地址反弹出去——这些是黑客攻击的专业术语,反弹到互联网上的一个IP地址上然后再连接互联网上 Ip地址,就等于连接了这个虚拟机的IP,这时候产生的日志就是127.0.0.1。当时我看到日志以后就知道这个肯定是被黑客攻击了,所以我对镜像里边进行了查找,发现了它有反弹的 VPN程序, 连接到了美国的一个服务器上,等于是远程控制美国 IP就控制了虚拟机的IP地址。发现了这个以后就不能明确说是公司员工做的了,当然我们不会说是谁做的,只会把这个事实在鉴定意见里面描述清楚,肯定是这台机器被黑客攻击了,黑客做了跳板然后跳板的IP地址是一个美国的IP地址。具体是什么情况可能还要依赖于其他证据,起码我们通过这种IP地址可以排除在那个时间点不是局域网员工的IP地址去连的。我也经常说实际上在电子数据司法鉴定的需要知识面全面,不然就容易出现一些错误。比如要了解编程语言的知识,要了解网络知识,要了解系统知识,不能只是简单的会用那些学生软件。学生软件毕竟只是可以对现有的一些功能检验,碰到一些特殊的情况还是要依赖于鉴定人本身的技术能力来做鉴定。由于现在有很多黑客或者黑灰产业全都用的境外的IP,还有一些做跳板代理的,是很难溯源到真正的IP。
案例5介绍的是一个非法控制计算机信息系统的案件,但其实这个案件与名称关系不是特别大。该案件中出现的是检材相关的问题,且该案件中也出现了一些时间,比如检材里边出现了被扣押以后的数据,然后检材到鉴定机构以后又出现了很多新的数据。还有一些文件名称的问题,比如在扣押涉案物品做硬盘定向时命名的名称在后来流转的过程中发生了变化,但却没有任何记录,然后也没有任哈希值等,那就会导致整个的数据链条存在问题。其实跟上述所提的内容有相似之处。
在此我也想问一个问题,在计算机信息系统案件中都涉及到计算机信息系统,那么计算机信息系统它这个范围该怎么去定义?我看了《刑事诉讼法》中对计算机系统有一个解释,计算机相关管理条例中关于信息安全部分也有一些关于计算机信息系统的定义,虽然这些定义不太相同,但是大致都是说计算机系统是一个可以实现自动化运行的一个系统。如果按此定义,我就提出一个问题,比如说腾讯、抖音等手机app属不属于计算机信息系统的一部分?因为现在有很多案件对手机客户端里的APP进行修改编译,有的人就认为这些APP已经装在手机里就是自己手机里边的内容,自己修改的是自己手机里边的数据,不属于计算机信息系统的一部分。但在我看来,手机仍然在与服务器进行通讯,而 App只是一个形成自动化运行的这一个环节,如果只有服务器没有APP,就无法进行自动化运行。而且对于 app来说,我认为只是允许个人安装在手机里,允许个人去使用,并不是说APP客户端就是属于个人的。以上只是我个人的理解,当前还并没有法律依据,但是我认为现在有很多案件都是因为没有将计算机信息系统本身弄明白,所以导致了判罚的混乱。
最后,其实现在我们接触的大多数案件都与新出现的技术有关,比如大数据刚出现时,全国的所有的公司都去进行大数据相关业务,也不管公司是否会用上大数据。这就导致被大数据这个概念骗的情况出现,例如传销、网络诈骗等。此外,许多公司都进行大数据业务,但是实际上部分公司根本就用不上大数据。我认为这是国内的一个怪象,即一出现一个新的名词后,大家都没了解清楚就跟着接触,但实际上接触的根本就不是真正的大数据,其实现在很多应用中所谓的大数据并不是真正的大数据。此外,区块链也是一样的情况,在区块链出来的早期,是一批传销诈骗分子进行诈骗,然后又开始各个行业进行区块链相关业务,但区块链实际上就是一个分布式去中心化的网络存储技术,一个存储数据存储技术。各个行业都在用区块链技术,但问题是区块链技术本身并不是适用于所有场景的,只有一些特殊场景可以用到区块链。我认为国内的这一现象特别有趣,每次都是先言语之后进行一波诈骗,然后大家都去接触这一新事物,例如元宇宙等。以上就是我今天讲座的内容,谢谢大家。
潘金贵教授:感谢高显嵩主任的精彩讲座,本次讲座的精彩之处和我们平时听法学讲座的精彩是不一样的。法学讲座有一些时候我们还需要煽点情,高主任的讲座它的精彩之处在于内容非常的详实,而且具有实用性、技术性。我个人来说的感受是证据问题分为两大块:一是证据法学,二是证据技术。而证据技术涵盖的面很广,比如法医物证的痕迹弹道、文检笔迹等,要把这个证据法的相关问题弄透、搞通就必须既掌握证据法学的基础知识,同时还要对证据技术问题要有所了解。今天高主任所讲的讲座其实是我们现在生活中最重要的密不可分的一个证据技术,即电子数据的问题。从司法实践的角度来说,我们可能对于电子数据技术类的一些很深入的东西不是很了解,因为我们并非该专业的专家,而且我们不一定能够理解得十分透彻,但是这些电子数据问题对于我们办理案件的作用绝对不可低估。通过高主任的讲座,我相信大家会有一个感受:电子数据由于带有了高科技的外衣或者是高科技的特征,导致我们在处理案件的时候,会在无意识中存在一个盲目迷信的问题,或在有些时候会遇到感到无能为力的问题。比如说我曾经办过传销类案件、侵犯知识产权类案件,在这些案件中遇到了电子数据的相关问题,如果从鉴定意见的证据法的角度来说,我认为不能迷信鉴定意见的证明力,不能想当然觉得鉴定意见做出来就是绝对准确无误的,从高主任刚才的讲座可以看出,其中存在的问题是非常多的。在以后办案的过程中,我们对电子数据不要简单地采取相信的态度,也不要简单地认为自己不是技术专家无法弄明白,所以只能承认别人说的都是对的。我现在思考我以前处理的那些案子,如果换一个视角申请电子数据问题重新进行鉴定,心里应该会更为踏实。所以证据技术问题在某种意义上来说,可能是比证据法学还深奥的问题。前几天我和梁坤教授在聊天的时也提到了一个问题,我们证据法学研究中心更多地倾向于法学规则的研究,我们的刑事侦查学院更多的是倾向于对证据技术的研究,相比之下中国政法大学的证据科学研究院把证据法学和证据技术结合进行研究。所以,如果我们真正要成为一个办案的专家,不仅要把证据法学法律规则学好,同时还需要对相关的证据技术有所了解——对证据技术问题我们可能没有必要成为专家,比如说法医的专家,电子数据的专家,没有必要达到像高主任这么高水平,但是我们仍是要有基本的了解。只有基本的了解以后才知道应该怎么去质疑这类证据,电子数据的司法鉴定,在司法实践中非常常见,但是如果对电子数据,比如高主任刚刚谈到的一系列问题都没有一个基本的了解的话,那可能也提不出一个像样的质证意见,也无法进行有效的辩护或者是处理案件。所以我认为今天的讲座,确实使我受益匪浅,对我来说也是一种警醒。从我刑事辩护的实践角度来说,以后对电子数据问题即便是由公安机关做出的,比如网侦部门做出的等,尤其是涉及到一些技术性问题甚至嫌疑人被告人对其他相关证据都已经提出质疑的时候,我们要大胆的去质疑电子数据的司法鉴定。那么下面就有请我们的证据专家,也是我们侦查学院的侦查专家,我们的刑事侦查学院的梁坤院长进行与谈。
梁坤教授:谢谢潘教授,首先向潘教授报告,最近我们刑事侦查学院对教研室进行了重组,把网络安全教研室更名为视听与数字证据教研室。因为之前叫做网络安全和国家安全学院,是在两块牌子之下办了这么一个教研室,现在更名其实也是顺应了刚才潘教授所说的大趋势,以及高主任今天在讲座里边给我们描绘的司法实践当中办案的一种实际情况。所以我们现在希望重点打造这一教学科研团队,除了为刑事侦查学院的老师、学生进行人才培养提供助力以外,也希望为我们西南政法大学所有的法学学生在相关的课程的学习中和专业能力的养成方面提供一些帮助。所以上个星期接到潘教授的邀请后,我十分开心,能够结合我们学院的发展方向来和像高主任这样的实务专家取经。
今天听了高主任讲座后,我感触很多,虽然刚才潘教授说我是这方面的专家,但其实也谈不上,因为拿的学位是诉讼法学的,是证据法出身。我来到刑事侦查学院工作主要是结合刑事侦查的实际来开展,进行侦查取证的程序与证据的相关的研究,对于电子数据的相关问题略知一二。近年来因为比较关心电子数据的相关问题,所以我也做了一些相应的研究,但总体来说还是偏向于程序法和证据法,接下来我也主要是从我擅长的角度谈一些学习体会,我把它归结成三组关键词。第一个体会是一组关键词,即两个要素加三种证据。可以看到今天高主任的讲座中,标题里面其实就有两个词汇的表述:一个是电子数据,一个是鉴定意见,其实对应的是证据法上八种证据形式里边的电子数据和鉴定意见。那后面的三种证据又何在呢?因为在听高主任讲座时,不仅仅是讲电子数据,也不仅仅讲鉴定意见,其实还讲了很多。例如,第一个案例中的提取笔录的问题,而提取笔录在证据法里对应的是笔录类证据。我记得我的师兄刘品新教授在他的讲课讲座过程当中不止一次提到,对于电子数据的收集和审查都必须要把这种三种类型的证据统一起来进行思考,这种思维对于法学生或者相关的研究者思考电子数据以及它的鉴定意见来说是至关重要的。对于电子数据本身,比如说在第一个案例中谈到了MD5值,像这种哈希值的表现样态,就要求我们必须要懂得电子数据它本身的特征。再比如高主任也提到了像会计师参与鉴定的问题,从鉴定意见的这种证据出发,我们可以发现《最高人民法院适用中华人民共和国刑事诉讼法的解释》第98条里边提到了鉴定人不具备鉴定资格,其所作出的鉴定意见是不能作为证据进行使用的。虽然该条款规定的是鉴定人不具备鉴定资格,但是从法理来说,任何不具备鉴定资格的人员所开展的鉴定活动都不具有合法性。所以关于电子数据、鉴定意见,这两种证据我们都可以从高主任的讲座里边了解到相关的实务问题。除此之外关于笔录的问题,刘品新教授把电子数据的审查叫做鉴、数、取的三位一体的架构,鉴就指的是鉴定意见,数指的就是电子数据本身,而取则是各种各样的取证报告。我在他表述的基础之上做一个小小的延伸,其实对电子数据的各种笔录的审查又何止今天高主任在第一个案例中所提到的提取笔录,因为提取笔录仅仅是在收集证据的一个前端,而电子数据在收集之后的各种运用的环节,各种移送、保管的环节都涉及到相关的笔录、文书。所以我们今天从讲座里听到作为实务专家的高主任对电子数据鉴定意见的流程深层的,包括保管、移送到后续鉴定的全流程分析,都可以发现里边充斥着大量的取证报告,各种各样的这种法律文书。因此对电子数据要进行一种三位一体的综合性看待,这是我的一个学习体会。
第二个体会是在收集电子数据时要有效的去区分瑕疵问题和禁止使用问题。今天高主任在讲座里边也提到这么一个词语叫做瑕疵,我认为在传统的案件的办理过程中,也就是传统的证据运用和辩护质证过程中,我们经常对于瑕疵证据,比如物证书证以及言词证据,对其质证都能够发现瑕疵,而且这种瑕疵出现的可能性是极高的。但是我们也发现针对这些瑕疵证据去开展辩护其实效果并不好,因为公安机关很容易对这类证据进行补证和解释。但是对于电子数据来说,它的补正和解释其实不是那么很方便去做。刚才高主任的在讲座里面也提到了,比如说其中一个案例要求取证人员去进行相应的补正和解释Md5值的问题,但其实是没法去补正和解释的。我们可能怀疑里面会有造假等问题,但是我们仅仅是在怀疑的基础之上把问题提出来。从取证人员角度来看如果真的出现了造假的行为,其很难进行补证和解释。所以在刑事实务中,我感觉对于电子数据的瑕疵和证据使用禁规则止需要进一步的有效的去运用。刚才我从高主任所提到的一些案例中,具体到我刚才所说的三类证据里面,比如电子数据,根据最高法院的司法解释规定电子数据在出现三种情形是不得作为定案的根据的。在司法解释第114条的规定的三种情况之中,前两点都是指向真实性,后面是兜底条款。也就是说电子数据在出现真实性存疑时,要紧紧抓住相应的法条去开展相应的质证。除了电子数据而外,我还发现在关于鉴定意见的司法解释的第98条,当出现其所规定的若干种情况时鉴定意见都不得作为定案的根据。其中第3小点和第4小点需要我们注意,因为它既涉及到来源不明也涉及到鉴定对象与样本不一致的情况,今天的讲座里面都发现了相应的情况。关于笔录的问题,根据《最高法司法解释》第68条规定:“收集物证、书证,未附笔录清单,不能证明物证书证来源的,相应的物证书证不得作为定案的根据。”这个条款实际上是对笔录的一种规范,虽然没有明确提到电子数据本身,但是从基本的法理来说可以适用于电子数据的各种笔录。把这三种类型的证据综合起来我们就可以发现电子数据既涉及到电子数据本身,也涉及到电子数据的鉴定意见,还涉及到电子数据的笔录,综合起来在辩护的实务里边可以针对这三种类型的证据从不得作为定案的根据的角度开展辩护。
第三个体会在于对电子数据的收集运用和安全管理这两个词语的关系。我认为这两个词语所代表的两种制度需要深度融合,前段时间两高和公安部共同发布了《信息网络犯罪案件适用刑事诉讼程序意见》,我针对此在《检察日报》发表的文章就提到,在刑事实务里面对于电子数据的收集运用,要深度的融入数据安全管理的思维,因为数据安全管理是2021年《数据安全法》27条明确要求建立的数据安全制度,这种数据安全制度不限于刑事实务,但是对于刑事实务启发极大。我们以前的教科书说电子数据很容易篡改因此不安全,但是其实现在电子数据的运用是比较安全的。因此我们应当要树立这样一个思维,说它是一种比较具备安全性的证据原因很简单,但凡修改或篡改电子数据必定会留下痕迹,而这种所谓的痕迹很容易通过事后的鉴定去发掘出来。而其他证据,比如公安机关在收集到一份物证之后,因为保管不善把这份物证给丢失了,再从其他地方获取也无从知晓,但是很难想象一份电子数据被永久性的修改后,再去重新去生成一份同样的电子数据,因为哈希值必然会发生变化。因此从整个电子数据的收集到运用中,哈希值扮演着一种非常重要的角色,实务中不管是检察官、法官还是辩护律师,要懂得哈希值作为电子数据的身份证是怎样一回事。而且从电子数据的全流程数据安全管理的角度去看待电子数据,对于司法办案而言,不管是刑事辩护、侦查取证、审查起诉,还是人民法院的最终的审查都有极其重要的启发意义。这是我一些不成熟的学习体会,请高主任和潘老师还有后面的两位专家批评指正,谢谢。
潘金贵教授:非常感谢梁坤院长非常精彩和专业的点评。刚才梁院长谈到刑侦学院进行了一个较大的改革,增加了电子技术方面的教研室,我认为这不是一个简单的名称的改革,这体现一种理念,就是无论是老师还是学生,对于现在新型的电子证据,尤其是与刑事侦查工作紧密相关的证据都要加强研究和学习。我一直希望在法学院层面或者是学校的层面能够建立一个证据法学教研室,如果梁院长能够把刑侦学院教研室建好,进行证据法学研究的老师们都可以加强活动。同时我建议类似电子技术等的证据技术课,一方面可以来给我们的刑诉专业的学生讲授,另一方面也可以面对实务人士进行讲授。我们学校其实有很好的资源,证据法学研究和刑侦学院的证据技术研究力量都不弱,所以也希望以后我们在这一块能够和刑事侦查学院加强合作形成合力,在我们梁院长的带领下,这个工作应该会做得很好。下面有请我们的证据法学研究中心的副主任王剑虹教授发表自己的与谈观点。
王剑虹副教授:今天晚上听到我们高主任的讲座,我和前面几位老师一样觉得受到了非常大的启发。因为今天晚上这个专题,不仅涉及到电子数据,还涉及到鉴定意见,其实这两种证据都是属于技术含量非常高的证据。在平时办案的过程中,这两大类证据的审查应用其实都是比较难的问题。今天晚上高主任的讲座从具体的案例入手,讲述在审查电子数据鉴定意见时可能存在的典型问题,做到了理论和实践的结合,把审查电子数据、鉴定意见等在实务中需要关注的典型问题梳理的非常细致,将法律规则和整个计算机技术信息技术结合得非常好。比如刚刚讲到对软件知识产权的鉴定范围问题,其实就是高法解释里面对鉴定意见审查时要考虑到的资质问题,这就将法律规则跟专业技术结合起来了,切入点非常不错。今天晚上整个讲座既有趣味性,也有知识性,而且还具有相当的实用性,给长期比较关注实践中相关问题的律师和法检公安的同志提供了一个非常实用的切入点,这是我今晚聆听讲座的感觉。
从我自己的办案实践经验来看,现阶段涉及到电子数据和电子数据鉴定的案件越来越多,甚至只要是涉及到电子数据的案件往往都会有鉴定。很多电子数据提取之后的完整性、真实性往往依赖于第三方鉴定机构进行的鉴定,甚至某些情况下鉴定其实就是对电子数据进行转化和固定的重要途径。通过这种转化,才能使法院检察院在使用电子数据的时候更放心。大概六七年前,我参与办理过一个非法吸收公共存款的案件,这个案件里要进行投资人损失认定,但是这家公司的非法吸收资金的账目都存储在电脑里面,公安机关把相应的电子数据导出来以后交给相关的司法会计机构和鉴定机构进行鉴定。这个过程其实很简单,但中间的存储传输可能出现一些遗漏,导致一些原始数发生变化。而且电子数据在普通刑事案件里面出现得也越来越频繁,比如微信聊天记录,比如电子合同。可以说现在90%以上的案件会出现电子数据的问题,比较常见的就是提取过程过于粗疏,比如我曾经办理的一个涉及利用美团的系统漏洞诈骗的案件,当时犯罪团伙通过 QQ和微信来进行整个犯罪的预谋和实施。但是办案机关在收集这些电子数据的时候只是简单做一个截图的处理,在举示证据时把截图打印出来,以此来证明整个犯罪的环节。不过举示的微信聊天记录没有转化成文字形式,很多页并没有实际的证明内容,这从侧面凸显出过去在电子数据的提取应用中存在一些比较简单粗暴的问题。
今天晚上高主任讲的问题专业性非常强,也涉及到一些法律规则问题,总体上来讲办案人员在实务当中审查判断运用的时候有八个字特别要注意:合法合规,严谨细致。比如高主任提到在刑事司法实践当中,委托鉴定都有严格的委托、审批手续,因此审查证据的时候,相应的委托手续也是审查的要点。还有就是受委托的鉴定机构必须具备相应的法律法规条件,有相关的授权,能满足我们电子数据鉴定所需的鉴定设备、专业技术人员要求,保证结果的科学客观公平公正。接着就是电子数据整个的提取、保管、送检过程中,既要符合我们刑事诉讼法程序的规定,也要符合专业规范。因为电子数据容易受到污染,所以在这个过程要确保电子数据的真实性、完整性、可靠性,整个提取、保管、送检过程应当符合相应的规定。再有就是从律师的角度来讲,要把握细节,不怕麻烦。高主任的ppt里面涉及到的电子数据有效鉴定标准大概有五十三个左右,非常的详细。如果不知道相关鉴定意见,在审查的时候就需要去查阅相关行业规范以发现问题。另外,刑事程序法的规范中对电子数据的规定相对比较详细,在审查判断这类证据时要掌握的知识较多,办案机关也有可能会出错的,所以这些问题可能就是辩护的一个突破口,比如有没有违反相关规定、有没有不符合法定程序、不符合专业规范。最后,电子数据和电子数据鉴定意见的技术性和专业性非常强,对高主任提到的比对这两个软件的相似性的问题我很受启发。所以我们今后在实践当中遇到这些问题,凭自己的专业能力没有办法发现其中具体的不足时,可能要请教像高主任这样的专家来给我们指点一下。这就是我今天晚上总体的一个感觉,我的点评就发表到此,谢谢大家,谢谢高主任。
潘金贵教授:非常感谢王剑虹老师结合自己办案实践发表的感想,今天的讲座两点启发很重要,一个是普及了电子数据的这方面的知识,让我们加深了印象。第二是从电子数据延伸出来的司法鉴定意见的问题可以明显看出来,很多电子数据的司法鉴定意见存在问题。所以我个人感受是以后涉及到电子数据的方面的案子,尤其是对案件的定性有很大的影响的,要多咨询请教像高主任这样的技术专家,用他们的知识来弥补我们的不足。简而言之,对这种专业性的问题要交给专业的人去做,不能想当然的认为司法鉴定报告鉴定意见就是绝对正确的。包括现在专门性报告里面的问题真的很多,所以不要盲目迷信鉴定意见。下面我们有请全国优秀律师吴国章主任谈谈自己的高见。
吴国章主任:谢谢潘老师,谢谢高老师。今晚的讲座我收获非常多,我的个人体验可以归纳为三个关键词。第一是专业和深奥,我对电子证据是比较感兴趣的,但是觉得电子证据的鉴定这一块较为深奥,上一期我讲到电子证据鉴定也只是一言带过,学习以后我受益匪浅。第二我很受启发,高老师提到的案例,同一个文件在同一个修改时间里面会出现三个不同的 MD5值,甚至在不同的修改时间里面会出现同一个MD5值。以前我看到这类问题会觉得只是收集过程当中的问题,但是通过晚上的学习以后我觉得电子证据鉴定其实会出现很多物理性鉴定的检材来源存在的同样问题,在以后对于电子证据审查判断里面,我们可能会多一个思路。第三我觉得实践里面要打破对电子鉴定的盲目迷信,之前我们对科学证据是盲目的迷信,对科学证据也都有一种盲目的迷信,后面出了很多冤假错案以后会发现科学证据不一定科学的,同样对于电子证据的鉴定,之前我不敢进行深入审查或者评价,但听了讲座以后我找到了一些思路突破口。
我想对实践里面碰到的一些电子证据的鉴定问题谈四点看法。第一点是高老师在第一个案例里面提到的电子数据检材的来源问题我很有感触,电子数据的来源跟我们普通的鉴定意见的来源都存在同样的问题,比如可能存在人为的修改删除等等。而相应的保管程序也很重要,可能普通的物证、书证对保管条件要求不是很严格,但是电子数据对保管有特别高的要求,比如说要防磁、防静电、防水等等,如果保管程序不好电子数据就可能会受到污染。移交过程也同样不容忽视,我在上次提到电子数据的移交保管衔接程序安排可能造成出现同一个文件名、同一个修改时间但是MD5值不一样的乱象。高老师晚上提供了思路以后,我觉得以后对电子数据的检材要特别注意。第二点对于电子数据的统一性或者相似性的鉴定在实践里面非常多,比如现在比较多的跨境赌博、跨境诈骗案件都通过网络平台来实施犯罪。而他们在犯罪过程当中使用网络的域名会经常改变,控方有时候就把几个不同的域名名称作为被告人实施的同一犯罪事实进行认定,这就涉及到网站的数据相似性、同一性的鉴定问题。我最近就碰到被告人涉及网络诈骗,对其域名就需要统一性鉴定,假如不具有统一性就没办法指控是被告人实施的,所以同一性、相似性鉴定在实践里面非常多。但是对相似性、统一性鉴定的方法还要请高老师以后能专门就这个问题作一些介绍。第三点就是高老师提到的鉴定资质问题,高老师提到的第一个案例里对电子数据的破解有专门的资质要求,而会计师没有这方面的资质。我现在碰到的一个案例是电子数据鉴定单位需要对数据进行专项审计,而公安机关远程勘验的赌博网站里面的数据以后把数据交给了鉴定机构,对里面的数据进行提取并统计。这就存在电子数据的专家能不能对会计专项审计进行鉴定的问题,因为专项审计跟电子数据的鉴定是两个完全不同的专业。第四点是完整性的鉴定,现在实践里面碰到的比较多的完整性的鉴定,可能首先要从MD5值等等来判断,实践里律师碰到较多是对同步录音录像声像资料的完整性的鉴定,比如福建的念斌投毒案,辩方律师提出被告人供述的同步录音录像被剪辑过,到公安部去鉴定结论是同步录音录像是完整的。所以完整性鉴定实践里面,有时候非专业人士可以判断是否完整,反而专业鉴定存在一些问题。这也是晚上我听了这个讲座对比较有感触的四类问题。
潘金贵教授:非常感谢吴国章主任的精彩点评,吴主任对于电子证据方面研究得比较精深。今天高主任的讲座是一个专业性很强的讲座,看起来与辩护律师、公安检察的同志们好像联系不够紧密,但是触及到当前刑事司法实践中非常重要、非常前沿的问题。电子数据以及其鉴定意见在某种意义上来说是学法律的朋友们不那么精通的部分,证据刑辩讲堂不是论坛,我希望通过讲课的方式给同学们和一线实务工作者们讲授一些知识,而不是空泛的谈一些理论。今天这种技术性较强的讲座实际上对于从事法律工作的人启发性非常大,证据刑辩讲堂也要更多的和刑事侦查学院、其他学校、其他从事实务工作的专家加强合作,陆续增加实务性强、指导性强的、与法学密不可分的讲座,通过这种讲座开拓同学们的视野,让实务工作者转变办案思路,找到办理案件的突破点,把辩护工作做得更好。我曾经听过高主任的一次讲座并做了很多交流,今天高主任讲座的实践价值非常大。这种带有技术性、启发性的讲座,其实我们听到的不多,所以我们中心在以后的教学科研过程中将会在这一方面做更多的努力,给老师们同学们增加更多的知识来源。也希望像高主任这样非常优秀的实务专家以后多到我们西政,尤其也多到我们梁院长所在的刑事侦查学院传经送宝,让我们的同学们接受法学教育的同时,能够接受一些证据技术上的洗礼。以后我们会和高主任以及其他的实务专家加强合作,把我们的证据刑辩讲堂的科研教学工作做得更好。
今天的讲座就到此结束。非常感谢高主任的精彩讲座,尤其要非常感谢高主任严谨的传授知识的风格。高主任的 PPT做得非常详尽,非常有说服力,也很有典型性的,彰显了高主任的一贯做事严谨认真的风格,这一点也值得我们的同学们学习。同时也感谢梁院长,感谢王剑虹老师,感谢吴国章主任对讲堂的支持。今天的讲座到此结束,谢谢朋友们。
来源:法宝学堂研习社
