原創:羅文華 、孫道寧、趙力
非經作者同意謝絕轉載!
【摘要】電子數據證據的評價疑難由其自身屬性特徵及社會環境發展等諸多因素造成。
對於作為證據的電子數據進行評價,需要與傳統證據一樣作真實性、合法性與關聯性方面的審查。按案件類型或證據源特徵對指標進行提煉細化是合理評價的前提與基礎,並需要隨時代的發展調整更新。具體於電子數據,似然率與證據強度的對應關係需要更為全面與深入的研究,但總體趨勢應該比傳統標準要求要高。通過貝葉斯決策,電子數據證據對於前期事實認定結果的推理分析得以量化詮釋,最終的修正程度實現了清晰的展示。確立電子數據證據評價範圍、指標和方法,形成可信的證據評價結果對電子數據的採信問題顯得尤為重要。進一步完善電子數據證據能力審查規則,做出科學判斷,具有理論和實踐的雙重指導意義,更是提升電子數據證據法律體系地位的重要舉措。
【關鍵詞】電子數據;證據評價;評價指標;似然率;貝葉斯決策
【引言】
先來看這樣一個案例:在引發社會廣大關注的「快播涉黃案」中,涉案的四臺用於緩存視頻的伺服器從2013 年11 月18 日扣押至2016 年1 月7 日開庭,扣押時間跨度超過兩年,移交流轉過程涉及行政執法機關、社會公司、偵查機關與鑑定機構等多個部門[1],相關手續也不夠規範完備。公訴人為證明伺服器「未受汙染」,特意聘請北京信諾司法鑑定所對扣押在案的四臺伺服器進行了鑑定,以證明除其中一臺伺服器已經損壞無法開啟外,其他三臺伺服器2013 年11 月18 日至2015 年12 月2 日期間沒有任何Q D A TA 格式的視頻文件拷入伺服器。
該鑑定意見遭到了被告人及其辯護律師的強烈質疑。辯護律師認為北京信諾司法鑑定所單純依靠文件時間屬性判斷特定時間段內是否有文件拷入伺服器的證明方法過於簡單武斷,只需通過系統時間的設置調整即可實現被拷入文件創建時間的改變,因此不認同該鑑定意見。該意見不能確認檢材的原始性,無法排除伺服器中數據被汙染的可能性,因此2016年1 月25 日一審法院委託國家信息中心電子數據司法鑑定中心就特定時間段內是否有視頻文件拷入伺服器再一次進行檢驗,以解決核心爭議。該中心出具的最終檢驗結果為:經過對伺服器內現存的Q D A TA 文件屬性分析,未發現在2013 年11 月18 日後有從外部拷入或修改的痕跡。
兩次檢驗都是基於具體的屬性信息推斷特定行為是否存在。類似的檢驗結論在當前的電子數據取證實踐中大量存在,那麼此類檢驗結論的可信度有多大,「未發現」是否就一定意味著不存在,審判機關在定罪量刑時應該如何評價檢驗結論,進而決定是否採信呢?
一、電子數據證據評價的疑難
近年來,高發的電信詐騙、網絡賭博、網絡傳銷等案件已經成為威脅網絡空間安全的一顆毒瘤,使公民的財產蒙受巨大損失,社會影響極其惡劣。除此之外,傳統案件的網絡化使得各類案件中都存在「電子數據」證據的身影,體現出了電子數據證據的影響正在逐步擴展與深化。層出不窮的新型網際網路犯罪自身具有的網絡身份難以查清、證據變動性強、證據評價標準高、取證技術要求複雜等特點,也給電子數據證據評價、採信工作帶來了極大的難度,從而造成類似「快播涉黃案」等諸多新型案件判決上的困難。
電子數據評價疑難有歷史原因也有現實原因。相對於其他傳統證據類型,我國1979年制定的第一部《刑事訴訟法》將證據規定為物證和書證、證人證言、被害人陳述、被告人供述和辯解、鑑定結論、勘驗檢查筆錄等六種,1996 年增補「視聽資料」為第七種證據類型,直到2012 年才將「電子數據」正式作為一種獨立的證據類型。
作為證據的電子數據,其內容形式上的內涵與外延都與現代信息技術的發展密不可分。
1986 年我國首次發現了利用計算機仿造銀行存摺和隱形印鑑詐騙銀行存款的案件,雖然當時尚未確立「電子數據」證據概念,但不可否認,以單機版形式存儲於計算機系統中的用於仿造存摺和印鑑的工具軟體是核心證據之一。網絡的出現深刻地改變了「電子數據」的面貌,電子數據多又佩戴上了「網絡」標籤,比如網頁、電子郵件、聊天記錄、IP 地址、註冊信息等。
新世紀以來,以手機為代表的移動智能終端的普及則為電子數據家族增添了新成員,微博客及朋友圈成為證據或線索的重要來源。而現今雲計算與大數據平臺的崛起,再一次重塑了電子數據的形象。
縱觀電子數據存在形式的變化,從單機形式存在的電子文件到網絡應用信息,再到平臺服務記錄,存在狀態與解讀方式均發生了巨大的變化。這種迥異於其他證據形式的強變動性,無疑給電子數據的評價工作造成了困擾。
技術因素之外,人類自身認識客觀世界、利用客觀世界的水平與能力的提升,也對電子數據證據產生著潛移默化的影響。比如,隨著犯罪分子反偵察意識及信息使用水平的提高,往往矢口否認其與電子數據存在的關聯,比如將存在於其所有的計算機中的有害信息歸咎於木馬惡意程序所為。這種「有無」問題已解決,需要進行「是否」判斷的情況的增多,將電子數據評價問題提升到了新的難度。
電子數據評價的難度除了體現在技術與人員等客觀方面外,還體現在作為技術外行的法官如何理解電子數據證據。2012 年修改後的《刑事訴訟法》將「鑑定結論」改為「鑑定意見」,充分體現了立法對鑑定人所提供意見的基本態度的改變,從而賦予法官選擇權。因此,對於電子數據鑑定意見法官如何進行相關審查,對於電子數據證據如何進行評價、進而影響法官心證形成的研究顯得尤為現實而迫切。特別是在「推進以審判為中心的訴訟制度改革」的大背景下,不僅要求司法觀念的轉變,更要求改革任務的踐行。從電子數據證據的收集與提取、移交與展示再到審查與判斷,電子數據作為新興的證據形式對公、檢、法三方都提出了新的挑戰。
但是,如果能夠做到對電子數據證據予以合理評價,對其形成的各個環節進行科學規範並量化,就可以進一步明確電子數據在偵查終結、審查起訴要求和有罪判決證明標準之間的差異,構建其證據能力審查規則將證據證明標準的過程和結果通過相對直觀的形式呈現,減少了法官在審查技術性內容時的障礙,便於把握技術問題的核心,進而做出科學判斷。
二、電子數據證據評價的範圍
實際上,鑑定意見就是領域專家針對科學證據進行評價的主要表達方式之一。然而,隨著時代發展的加速,鑑定人受技術水平所限或是基於保護自身目的,在鑑定意見中往往使用簡要、含糊乃至晦澀的語言,以掩飾鑑定結果的不確定性;但在另一方面,作為技術外行的法官及控辯雙方當事人卻期待著表述明確的鑑定意見,以有利於解決訴訟矛盾。如果鑑定意見過於艱澀難懂,法庭極有可能針對該鑑定意見再次尋找專家諮詢,或是直接拒絕該證據。
因此,基於鑑定意見對電子數據進行評價,或是針對鑑定意見進行再評價,由此評判純粹證明力的強弱是領域專家的主要任務範圍。領域專家需要就特定案件某些方面的觀察進行推理,並將意見向法庭提交。比如,領域專家需要就「特定時間段內是否有視頻文件拷入伺服器」的事實進行判斷。即使依據所有視頻文件的創建時間均在特定時間段之外這一現象,做出「未發現拷入操作」的推斷,也應該附有進一步的解釋說明,如給出「拷入操作對創建時間影響結果」的概率,以幫助法官進行審查判斷。
領域專家對電子數據的評價局限於特定的檢驗對象與檢驗要求,即說明單項證據的證明力。法官則需要全面裁量證據,通過把獨立證據置於整個證據體系,放到與其他證據的比較中去判斷。只有這樣才不會陷於「一葉障目」,才能看清證據的本質。在考量每個獨立的證據的基礎上,對多項證據或證據的多個方面進行綜合,從整體上進行把握評價,進行證據可靠性的考察[2],從而決定是否採信。通常,一個特定案件容易出現有利於被告人的證據和不利於被告人的證據共存的局面,必然要求對被告人有利與不利的兩方面證據都要充分考慮,不能顧此失彼。比如,雖然領域專家依據目前的情形推理得到「未有視頻文件拷入伺服器」概率為90 % ,但如果伺服器自身移交流轉環節存在瑕疵或是存在未以原始存儲介質封存情況的話,法官對於與伺服器相關的證據採信也必將隨之大打折扣。
對於作為證據的電子數據進行評價,需要與傳統證據一樣作真實性、合法性與關聯性方面的審查。程序方面需要指立足規範化的收集提取、檢驗鑑定過程,選取具體的證據類型詳細分析;同時,針對具體電子數據證據類型提出實質審查要求,制定出電子數據證據確定性、合法性、關聯性判斷標準,為實踐中對電子數據證據的舉證質證提供依據。可以預測,未來的一段時期領域專家將主要針對關聯性進行分析評價,法官則需綜合三性完成審查。不同的訴訟身份在證據評價過程中決定作用的差別,決定了其評價對象範圍的差異,也直接影響了評價指標和方法的擇取。
三、電子數據證據的評價指標
目前,針對科學證據的評價已廣泛應用於指紋、聲紋、纖維、筆跡、毒物、圖像、D N A 、玻璃、步態、射擊殘留物等諸多法庭科學領域。每種證據類型都擁有自身獨立的評價指標,如指紋比對使用紋型、指位、中心點、中心半徑、中心角度、稀疏特徵區域作為特徵;共振峰的數量、走向及其頻率則是聲紋分析的重要指標;短串聯重複序列﹙Short Tandem R epeat,STR﹚分析則是D N A 比對使用的主要技術之一。
通常,證據評價擇取評價指標時會主要基於以下要素進行考慮:﹙1﹚所識別的特徵點必須是對象所特有的;﹙2﹚這些特徵點不會隨時間的流逝而改變;﹙3﹚這些特徵點是明確的,在測量方式相同的前提下,測量結果不會因人而異[3]。傳統證據的評價指標基本都滿足上述三點。但是,具體於電子數據,由於其信息技術的本質及影響的全面滲透覆蓋,往往無法依從傳統指標進行評價。
電子數據的無形化和虛擬化決定了其信息存儲的脆弱性,不慎操作或惡意行為都有可能造成信息的滅失,這是電子數據作為證據的不利之處。而另一方面,以電子數據形式保存的系統文件與用戶文件,除了包含有內容數據,還包括用于格式描述的元數據,這就為保留電子數據的操作痕跡提供了可能。例如,快捷方式LN K 文件存儲著源文件的創建時間、修改時間、訪問時間及存放位置信息;M icrosoft O ffice 使用的O O X M L 結構格式會保留有文件的編輯痕跡;而JPE G 圖片則使用E X IF 來保存拍攝數據和G PS 信息。電子數據的這一特點,可以使得大量不為認識的電子數據被保存下來,具有客觀性[4],並可作為評價指標的來源,用以評估電子數據作為證據使用的效力。
但取證實踐發現,信息技術的飛速發展使得作業系統及應用軟體更新換代提速,電子數據證據線索來源的不確定性增強。例如,W indow s X P 時代註冊表中的U serA ssit表項曾經是挖掘系統時間調整痕跡的重要來源;但W indow s 7 之後,該表項不再記錄系統工具的運行,而轉由事件日誌中的「系統日誌」進行描述。又如,O ffice 2003 文件使用的是複合文件結構,O ffice 2007、O ffice 2010、O ffice 2016 使用的是O O X M L﹙O pen O ffice X M L﹚格式,兩種格式在數據搜索、數據恢復、過程還原等方面的技術方法差異巨大,很難抽取出統一的標準。同時,電子數據還呈現出了傳統向新興形式的代際更迭,傳統電子數據主要是存儲介質中存放的文檔、圖片、音頻、視頻、可執行程序等,但隨著信息技術應用的不斷深化,出現了諸多新型的電子數據形式,如博客、朋友圈、貼吧、網盤、雲平臺等。
另外,目前幾乎所有類型的案件幾乎都會涉及電子數據。不同類型案件的證據規格與量刑標準均有差異,很難予以統一。深入挖掘典型網絡犯罪類型的﹙如網絡盜竊、網絡賭博、網絡詐騙、網絡傳銷等﹚電子數據證據存在特點,確定出作為證據的電子數據的基本屬性,進而形成客體、程序、證明力等方面的關鍵指標,是進行合理評價的基礎與關鍵﹙如圖1 所示﹚。
同時,電子數據取證在檢驗要求方面與其他證據也存在顯著差異,不再是單純的同一性認定,而多涉及具體操作行為是否存在且是誰所為的「是否」判斷。檢驗要求的轉化導致了取證難度的提升,也強化了電子數據「關聯性」的要求。此處的關聯性是指在與案件事實關聯的基礎上,電子數據間的關聯及電子數據與現實世界的關聯。通過這種交叉乃至「跨界」的關聯,增強電子數據的證明效力。
綜上,按案件類型或證據源特徵對指標進行細化是合理評價的前提,但同時也是與時俱進的過程,需要隨時代的發展調整更新。以網絡賭博案件為例,最直接的證據是犯罪嫌疑人賭資投注或網站管理時使用的網頁,但在其否認網頁存在與其相關是,需要關聯網站登錄用戶名稱、時間、頻率等信息;而在涉及惡意程序的案件中,除了需要分析程序功能之外,甚至涉及文件位置、運行次數、首次運行時間、末次運行時間的關聯分析。下表所示即為綜合考慮案件類型與證據源特徵的電子數據評價指標。
從表1可以看出,電子數據涉及文件類型、格式多種多樣,集中體現在「有無」取證方面;「是否」取證卻集中於IP 地址、身份認證信息、時間跨段與頻率等可以用於評價的指標,並且此類指標的穩定性強,隨時間變化的概率不大,為準確評價電子數據提供了進一步的可能。
四、電子數據證據的評價方法
截至目前,似然率﹙Likelihood ratio,LR﹚便是一種得到國內外學者普遍認同的科學證據評價方法①。應用於證據評價中的似然率通常是指同一份證據在控方假設條件﹙H p﹚下與辯方假設條件﹙H d﹚下出現的概率之比,即:
下面我們以似然率方式回應「快播涉黃案」中的複製行為是否存在問題。在所有視頻文件創建時間均不在特定時間段內的大前提下,假設控方認為不存在文件拷入行為,而辯方認為存在文件拷入,但拷入者通過系統時間的設置使得創建時間不在特定時間段內。如果發現系統時間修改功能被屏蔽,以致無法修改,那麼
為無窮小,為常數,由此LR為無窮大,可以認為控方的假設成立。
如果系統時間可以調整,並且基於註冊表項UserAssit發現了設置痕跡,但無法確定設置後的時間點,那麼此時
為1,但若要確定則需考察日常生活工作中系統時間調整的頻率。日常中一般很少會涉及調整系統時間操作。但存在一種比較可能的情形,就是某些商用軟體的試用版一般只能在特定期限內運行,在試用期已過的情況下,出於繼續免費使用該軟體的目的,往往通過將系統時間調整到規定期限內來實現。操作者每100 天使用一次該軟體的話,則取值1 /100,LR 為0 .01,較好地支持了辯方假設「存在文件拷如行為」;但如果操作者不是每100 天而是每5天就使用一次該軟體的,此時取值1 /5,LR為0 .2,則控方與辯方假設都有一定的可能,說明此證據的證明效力不大。
如果系統時間可以調整,並且基於系統日誌中的「事件日誌」發現了修改痕跡,進而確定出調整後的時間點恰巧在規定時間之外﹙可以保證之後拷入文件的創建時間不在特定時間段內﹚,那麼即使操作者有修改系統時間以使用試用軟體的習慣,但如果調整後的時間點不在試用期限內的話,為無窮小,LR 接近於0,此時可以認定辯方的假設成立;即便在試用期限內,取值也會急劇減小,使得證據支持辯方假設的效力大為增強。感興趣的讀者還可以繼續分析雖然未發現時間修改痕跡,但是挖掘出了操作者毀滅痕跡行為﹙如刪除註冊表項或清空事件日誌﹚的情況下似然率的結果。
「一項科學的測試結果在假設成立時出現的概率遠遠高於假設不成立時出現的概率,那它便是可靠的證據[3]。」傳統觀點認為似然率的數值如果在100 以上﹙或是0 .01 以下﹚就稱得上是對證據的強力支持﹙或反對﹚[5];如果超過10000﹙或小於0.0001﹚基本可以認定﹙或否認﹚控方假設,比如D N A 比對[6]。那麼,具體於電子數據,似然率與證據強度的對應關係是否需要調整呢?如果單就文中實例而言,鑑於調整系統時間雖較為少見但卻也屬於常規操作,因此可以適用傳統對應關係;對於評價涉及的其他情形,則需要更為全面與深入的研究,但總體趨勢應該比傳統標準要求要高。
傳統證據的質證往往利用「與常情常理相悖」來動搖證據的客觀性,似然率較好地說明了是否為「常情常理」的問題。將似然率應用於電子數據,單純依靠常識和普通法規的知識儲備是遠遠不夠的,需要了解、掌握甚至精通相關技術與方法,才能做到深入、精確、有的放矢的司法應用。
五、電子數據證據評價結果的解釋
司法推定過程中,法官需要聽取領域專家的意見,以幫助實現證據證明力大小的判斷。定量分析有助於增強證據理論成果的可操作性和說服力,但如何進而正確地影響法官自由心證的形成,則是需要進一步探討的話題。「如果說似然率妥善地解決了證據提供者如何客觀地』呈現』證據價值的問題,那麼接下來我們需要面對的便是事實裁定者如何正確』使用』科學證據並作出恰當判定的問題」[7]。本節重點探討電子數據證據評價結果的解釋問題。
以計算機、手機為代表的信息設備已成為現代人日常工作生活不可或缺的一部分,人民或多或少對信息技術都有一定的了解,這就為評價結果的解讀提供了一定的便利;但也正是因為有所了解,往往容易預先形成主觀看法,給正確理解造成幹擾。另外,前期證據的存在也會給法官帶來具有一定傾向性的影響。此時,可以使用貝葉斯法則[8]﹙B ayesian D ecisionTheory﹚幫助我們在已有先入為主觀念的情況下做出正確的決策。
貝葉斯法則是指在不完全情報下,對部分未知的狀態用主觀概率估計,然後用貝葉斯公式對發生概率進行修正,最後再利用修正概率做出最優決策。其基本思想是:﹙1﹚已知類條件概率密度參數表達式﹙在證據評價領域即為似然率﹚和先驗概率;﹙2﹚利用貝葉斯公式轉換成後驗概率;﹙3﹚根據後驗概率大小進行決策選擇。
下面,我們把貝葉斯法則應用於「快播涉黃案」實例。鑑於伺服器在流轉過程中出現了查封程序補正、執法人員未在現場監督執行、針對伺服器直接操作等諸多瑕疵,法官也會產生「伺服器中的視頻文件存在被惡意拷入可能」的傾向。2013 年11 月18 日至2015 年12 月8 日間,伺服器共經歷了11 次流轉移交,其中第1、5、7、11 次存在程序爭議,法官認為證據汙染的先驗概率可認為是4 /11。如果伺服器屏蔽了系統時間調整功能,LR 為無窮大,似然率與先驗概率相乘得到的後驗概率依舊為無窮大,也就是說雖然程序瑕疵使得證據被汙染的可能性較大,但現有證據證明了伺服器並沒有被汙染。但如果系統時間可以調整,並且調整後的時間點能夠保證之後拷入文件的創建時間不在特定時間段內,那麼LR 接近於0,後驗概率也由此接近於0,說明現有證據支持了之前的推測,伺服器確實已被汙染。
通過貝葉斯決策,電子數據證據對於前期事實認定結果的推理分析得以量化詮釋,最終的修正程度實現了清晰的展示,較為完滿地實現了電子數據評價結果的解釋,實現了證據價值由證據提供者向證據使用者的精準傳遞。
「在不同的科學領域中,能否尋找到這樣的主、客觀相統一的生成與評價標準,是科學證據採信疑難能否解決的核心問題。」[9]作為當代科學證據大類的電子數據,電子數據是否可以並且適合進行評價,一直是證據領域相關學者關心的課題。
研究發現,雖然電子數據表現形式多樣,但是科學規範並量化電子數據證據的各個環節,評估電子數據在偵查終結、審查起訴要求和有罪判決證明標準之間差異存在可行的研究途徑。在由評價需求催生出的諸多問題中,最能體現電子數據特色並有助於疑難解決的是評價指標的抽取。在第3節,筆者基於特定的實例給出了可能的具體擇取指標。但若想實現整個指標體系的構建,需要在合法性、關聯性、真實性三大類要素的範疇下進一步明確求,如將真實性細化為確定性、完整性、可靠性﹙表2﹚,合法性則分解為收集提取、移送展示、審查判斷等多個環節,關聯性則集中體現於內容關聯與載體關聯兩方面[10]。
電子數據已經成為當今的「證據之王」,統計概念與理論又正在席捲證據領域,二者結合將更有助於完善電子數據證據能力審查規則,將證據證明標準的過程和結果通過相對直觀的形式呈現,減少了法官在審查技術性內容時的障礙,便於把握技術問題的核心,進而做出科學判斷,具有理論和實踐的雙重指導意義,更是提升電子數據證據法律體系地位的重要舉措。
參考文獻:
[1]劉品新.電子證據的鑑真問題:基於快播案的反思[J].中外法學,2017,﹙1﹚.
[2]張弘.證據評價問題探究[J].國家檢察官學院學報,2007,﹙3﹚.
[3][美]伯納德·羅伯遜,等.王元鳳譯.證據解釋———庭審過程中科學證據的評價[M ].中國政法大學出
版社,2015 .4,15 .
[4]劉浩陽,等.電子數據取證[M ].清華大學出版社,2015 .3 .
[5]張翠玲,等.基於似然率方法的語音證據評價[J].證據科學,2008,﹙3﹚:340 .
[6]陳學權.科學對待D N A 證據的證明力[J].政法論壇,2010,﹙5﹚.
[7]王元鳳,等.論統計學在科學證據報告中的應用[J].證據科學,2016,﹙4﹚:512 .
[8]夏寧茂,等.新編概率論與數理統計[M ].華東理工大學出版社,2006 .24 −27 .
[9]張斌.科學證據採信的基本原理[J].四川大學學報·哲學社會科學版,2011,﹙4﹚:131 .
[10]劉品新.電子證據的關聯性[J].法學研究,2016,﹙6﹚.