浅析伪基站案件中电子证据的司法适用
近年来,伪基站案件层出不穷,行为人通过使用伪基站设备占用合法基站信道,伪装其信息发送来源向不特定用户大量发送诈骗信息、垃圾广告、赌博色情等违法内容,严重危害了公民的人身财产安全、干扰了国家无线电管理秩序,造成了严重的社会危害。伪基站案件由于其具有较强的隐蔽性、技术性和流动性,给有效打击伪基站犯罪制造了较大障碍。伪基站案件中电子证据如何适用则是打击伪基站犯罪的核心难点,也是伪基站案件定罪量刑的关键。
一、伪基站电子证据的基本范畴
2013年《刑事诉讼法》确立了电子数据作为一种独立的证据类型进行司法适用,肯定了电子数据在刑事司法领域的地位。然而司法实践中,对电子数据、电子证据两词的使用一直模糊不清。根据公安部公共信息网络安全监察局《计算机犯罪现场勘验与电子证据检查规则》的规定,电子证据包括电子数据存储媒介和电子设备。因此,电子证据是电子数据的上位概念。
伪基站的设备构成主要包括基站发送装置、天线及搭载基站工作的电脑。伪基站案件的证据方面既包含电子设备基站发射器,又包含电子数据存储媒介电脑,即包含了电子数据存储媒介和电子设备两个概念,所以在讨论伪基站案件证据适用问题时,使用电子证据一词更为恰当。下文基于以上概念解析,针对伪基站案件中电子设备与电子数据存储媒介的调查取证分别进行分析,对于其中的核心部分即电子数据进行司法适用方面的简要分析。
二、伪基站案件电子设备的调查取证
针对电子设备的调查取证步骤为电子设备检查、电子设备信息提取、电子设备鉴定与电子设备方面证据固定。电子设备检查是针对证据潜在来源,注意设备与外界屏蔽,对电子设备保护证据现场;电子设备信息提取是指对电子设备中存储的信息创建一个精确的镜像文件,电子设备鉴定是指对电子设备的性能与功能等进行监测与分析;电子设备方面证据固定是在鉴定与调查的基础上撰写电子设备监测报告或出具电子设备鉴定意见。
(一)伪基站案件电子设备检查
伪基站本身是一个发送装置,并不具有存储功能,其数据存储是依赖能够进行数据存储、运算的计算机操作系统,即存在于涉案的笔记本、台式或平板电脑里。伪基站运行依赖于操作电脑的系统通常为Windows系统上搭载ubuntu系统或linux系统,采用文件目录的形式进行存储。目前伪基站本身技术也在更新,逐渐出现了新型号的伪基站,但基本仍采用文件目录存储状态。伪基站中的电子数据存储文件目录相对较为明确,且容易被删除、篡改,对于伪基站案件应查封、扣押涉案的电脑、伪基站等全部硬件设备。
(二)伪基站案件电子设备信息提取
在进行证据现场保护的前提下,由于伪基站设备的数据不稳定性,对电子设备提取证据要遵循以下注意事项:首先,注意检查过程中对设备与外界进行屏蔽;第二,不要轻易改变设备状态;第三,技术人员现场参与。
储存数据信息的电脑通过远程控制可以非常轻松对文件系统中的内容进行查询、增加、删除和修改,因此检查过程中的屏蔽有助于避免通过外界信道对涉案电子数据信息进行删除篡改。不要轻易改变设备状态是指如果电子设备处于关闭的状态不要轻易开机查看,应带回有信号屏蔽的区域由技术人员进行开机检测,而如果电子设备处于开机状态应尽快记录所显示的信息并获取镜像文件,因为改变计算机电源状态有可能激活设备锁,从而导致数据灭失;当然在此过程中保持电源连通、保持持续电力不失为一种有效可行的方法。
(三)伪基站案件电子设备的鉴定
伪基站作为一类非法使用的无线电发射设备未取得电信设备进网许可和无线电发射设备型号核准,所以对伪基站设备进行的鉴定也应当包含两个方面,一是该伪基站是一种无线电发射设备,具备使用正常基站频道向不特定用户大量发送通讯信号的功能,二是该设备并未取得电信进网许可和无线电发射设备型号核准。
在伪基站设备的功能测试、无线发射射频指标检测方面尚未发布国家统一的检测标准,但基于伪基站设备的工作原理和其非法使用的实际,通过在电波暗室里搭建相应的通信系统,可以验证伪基站设备能够捕获移动终端用户,阻断正常通信的功能;通过对伪基站设备的简单操作可以验证伪基站发送短信的功能;通过对其射频指标的检测可以验证伪基站可以覆盖的无线电频率范围。基于以上验证,可以得出伪基站是一种无线电发射设备,具备使用正常基站频道向不特定用户大量发送通讯信号的功能的鉴定意见。对于后者而言,取得国家电信进网许可和无线电发射设备型号核准的设备表面应当贴有国家进网许可等标识,根据谁主张谁举证的原则,基站设备持有人应当出示设备具有电信设备许可等相关证明文件,如果机器表面没有此类标识而基站设备持有人又不能出示该设备的电信设备许可等证明文件,即可证明该设备未取得电信设备进网许可和无线电发射设备型号核准。
(四)伪基站案件电子设备方面证据固定
通过上述两方面鉴定,可以得出伪基站作为一类非法使用的无线电发射设备未取得电信设备进网许可和无线电发射设备型号核准的初步鉴定意见,将以上检测过程通过检测报告或鉴定意见的形式固定下来,可以作为证明案件事实的材料。
三、伪基站案件电子数据的调查取证
通过对电子设备中存储信息中提取的电子数据进行分析和鉴定,以此作为推定案件情况、证明案件事实的证据材料。
(一)伪基站案件电子数据取证分析
上文提到伪基站中电子数据存储于基于Linux系统的文件中。Linux文件系统取证分析过程的优势是一旦获取镜像文件,就可以在任何基于Linux的系统或任何通用的取证工具上进行分析,根据现有常见的GSMS型“伪基站”设备的工作原理,在其发送短信过程中一般会形成三层发送记录数据。
第一层:“伪基站”软件界面显示的发送短信数。具体表现形式为现场勘验时制作的“伪基站”软件工作截屏。但该数据比较容易被人为修改。
第二层:“伪基站”软件记录的发送短信日志。具体表现形式目前多见为文件所记录的数据。该日志一般会在发送短信时统计收到短信用户的IMSI识别码,通过对IMSI识别码进行数据统计,能够得出受到影响的用户数量。该数据一般非专业人员不易修改。
第三层:“伪基站”软件记录的软件工作日志。具体表现形式目前多见为文件所记录的数据。该日志描述了“伪基站”运行、配置以及其与手机交互相关关系,通常会形成四类数据:第一,用户换网记录;第二,鉴权记录,即用户手机到伪基站进行身份认证;第三,鉴权后发送短信的信令消息记录;第四,脱网记录。这四类数据中的后两类能够反映中断的用户数。但由于伪基站设备对数据处理能力的限制,该日志记录的数据存在记录不完整的缺陷。
(二)伪基站案件电子数据鉴定问题
电子数据鉴定应当保证数据的真实性、完整性、可靠性。通过电子数据鉴定查明某一现象或某一事件形成的原因,通过对客体的鉴定确定被怀疑的某种事实是否存在,过鉴定确定受审查事实的严重程度,即确定案件因果关系、确定事实的有无和事实的程度。
1、电子数据鉴定原则
第一,电子数据真实性原则,即对电子数据真伪及形成过程进行鉴定。第二,电子数据完整性原则,即优先考虑对电子数据内容进行恢复与识别。
对犯罪嫌疑人所使用的电脑进行数据恢复,有助于确定其使用设备发送短信的内容、数量以及影响用户的数量。新型号的伪基站开始具备每日清除数据的功能,再生性是电子数据与传统数据相比差异最大的特征,这也是由其本身的高科技性决定的物证书证如果被销毁就无法重生,删除的电子数据通常可以借助专业的数据恢复软件得到恢复。
为什么删除的电子数据可以恢复?其实,在删除电子文件的时候并没有真正删除存储于磁盘空间上的数值运算,只是修改了文件分配表(FAT)文件分配表相当于目录索引,其作用在于记录文件所处的位置,修改文件分配表并不会删除相关数据。
第三,电子数据可靠性原则,对电子数据生成、传递、存储等运行情况的鉴定可以保障电子数据的可靠性。
2、电子数据鉴定的作用
第一,确定因果关系,即通过鉴定查明某一现象或某一事件形成的原因。通过对伪基站电子数据的分析,可以查明用户收到不明来源的诈骗短信、垃圾信息等大量信息以及骚扰电话的来源,了解案件的因果关系。
第二,确定事实的有无,即通过鉴定确定被怀疑的某种事实是否存在。通过对伪基站电子数据的分析,可以查明涉案伪基站占用合法基站信号,向不特定用户发送大量短信、拨打电话的事实,从而认定犯罪行为是否存在。
第三,确定事实的程度,即通过鉴定确定受审查事实的严重程度。通过对伪基站电子数据中不同IMSI码的数量可以查明涉案伪基站向不特定用户发送短信的数量、拨打电话的次数,从而认定犯罪行为是否达到定罪量刑的法定情节。
3、电子数据的鉴定主体争议
在司法实践中,对于伪基站案件,没有鉴定意见对案件的因果关系、事实有无、事实的程度认定起来都非常困难。通过笔者对裁判文书网有关伪基站的600多份一审判决书中所呈现的证据进行分析,发现有关伪基站中电子数据的鉴定主体各地区均存在差异,主要表现为以下三种鉴定途径:公安机关内部机构出具的电子数据勘查报告,移动公司出具的鉴定报告,无线电监测站出具的监测报告。
《公安机关电子数据鉴定规则》将电子数据鉴定界定为:“公安机关电子数据鉴定机构的鉴定人按照技术规程,运用专业知识、仪器设备和技术方法,对受理委托鉴定的检材进行检查、验证、鉴别、判定,并出具检验鉴定结论的过程。”以《公安机关电子数据鉴定规则》为调查取证行为准则的代表,北京市海淀区检察院就是这样出示证据的。海淀区检察院通过网监出具的电子勘查来呈现电子数据信息,电子勘查报告,主要内容为在何地调取了何种文件,文件里有什么数据。然而公安机关作为追诉犯罪行为的机关,由公安机关内部的公共信息网络安全监察部门提供鉴定意见显然不符合证据的合法性和客观性。
检察院在提供上述网监提供的电子勘查报告,似乎觉得没有鉴定意见尚不足以认定案件事实,因此往往附随一份移动公司出具的证据材料。通常移动公司出具的证据材料题目名大致为“××勘查报告”,“勘查报告”性质上来说并不能够成为勘查,但在司法实践中,法院常常把移动公司出具的证据材料以勘查报告形式载于裁判文书。移动出具的所谓勘查报告里面也会涉及到发送了多少条短信。这两份证据在内容上如果吻合则可以进行认定。对此笔者认为,移动公司的“勘查报告”并不具有中立性,从主体角度来看,移动公司本身是受害方的一方,移动公司提供的“勘查报告”不能成为鉴定意见。但移动公司技术部门的人员出具的证言,相当于专家,可以作为专家证言成为法定证据。
在少数伪基站案件中,出现了无线电监测站提供的数据报告。国家无线电管理机构负责无线电信号的监测、监听,线电设备检测,电磁环境测试,无线电信号的干扰查找及相关工作,研究伪基站违法问题是无线电监测机构职责所在。随着伪基站案件的愈演愈烈,国家无线电监测管理机构开始日益重视伪基站问题,2014年国家无线电监测中心对伪基站展开了专题研究,以提升各地无线电管理机构相关工作人员对伪基站的监测定位能力,而后多地无线电管理机构联合相关部门形成合力,开展定期无线电监测。在这一背景下,由国家无线电监测管理机构对伪基站犯罪案件出具伪基站工作原理说明、伪基站监测报告并对伪基站案件涉案移动存储设备中的电子数据进行监测并出具鉴定意见逐渐成为必要且可能的解决机制。
四、伪基站案件电子证据的司法适用
电子设备与电子数据在调查取证环节有较大差异、技术性强,因此上文将两者分别进行阐述。而在司法适用方面,电子设备的证据经过固定,以书证、物证、监测报告、鉴定意见等形式表现出来与传统证据类型相似,在司法实践过程中宜依照传统证据类型进行司法适用。而电子数据的司法适用仍然存在较大争议与适用难点。
(一)在能够取得的情况下,三层数据中优先运用第二层数据。
该数据记录“IMSI识别码”能够较为客观全面的反应受到影响的用户数。但现有的伪基站软件中,已经出现了自动删除发送短信日志的功能(即仅保留最后一次发送任务日志)。因此,在运用第二层数据时应当进行数据恢复。同时,一部手机可能多次接到同一伪基站发送的短信,因此IMSI识别码有可能出现重复,在运用第二层数据时应当剔除重复数据。
(二)在第二层数据无法取得的情形下,可以使用第三层“伪基站”软件记录的软件工作日志中记载的短信的信令消息数记录和脱网数记录。
该日志在GSMS型伪基站中名称一般为。尽管该日志存在记录不完整的缺陷,但其记载的数量一定小于受到影响的用户数量,因此也符合“有利被告”的原则,如果第三层数据中的短信的信令消息数记录和脱网数记录“超过1万”,就可以用来证明受影响的用户“超过1万”。
作者简介
于天淼(1992-),女,汉族,北京师范大学刑事法律科学研究院诉讼法学专业硕士研究生,研究方向:刑事诉讼法学。
下一篇:试析伍廷芳的司法改革理论