余鹏文
在上世纪40年代,前苏联的波塔波夫系统论述的同一认定理论被引入我国之后,该理论便逐渐在犯罪侦查学、法学、物证技术鉴定学等学科领域内得到普遍的认同、适用和发展。学界目前关于同一认定理论的学术争论主要集中于其适用范围问题,具体分为三种观点:第一种观点认为,同一认定理论只是物证技术鉴定中的一种技术检验方法,仅适用司法鉴定领域;第二种观点认为,同一认定理论能够扩展到整个犯罪侦查学领域,其不仅适用于鉴定领域,在整个侦查过程中同一认定既是方法也是目的;第三种观点是以何家弘先生为代表的司法证明同一论,认为“同一认定理论是刑事诉讼证明的基本原理之一。”(1)何家弘:“司法证明同一论”,载《中国刑事法杂志》2001年第1期,第82~94页。但从同一认定的起源来看,其自身所持有的不变的特征是实用性,同一认定理论的价值体现在能够为人们确定客体身份提供一种方法,其运用在司法鉴定领域、侦查学领域或者诉讼领域都是有一定合理依据的。而身份识别作为犯罪侦查和司法证明中的重要目的之一,决定了人身应当是犯罪侦查和司法证明中最主要的同一认定客体之一。
在现代社会,随着信息化时代的到来,人类与电子设备的互动交流愈加频繁,并由此导致人的特征信息随之转移到电子数据中。因此,在现代侦查实践中,电子数据将成为最为普遍和重要的证明犯罪事实的诉讼证据之一,也将是证据法学和刑事诉讼法学的重要研究对象。在我国,以审判为中心的诉讼制度改革要求侦查、起诉和辩护等各诉讼环节都须围绕审判展开,做到事实证据调查在法庭,定罪量刑辩论在法庭,判决结果形成在法庭。“以审判中心”无疑对审判阶段的司法证明提出了更高要求,法官必须改变过去过分依赖控方移送的案卷材料的倾向。在此背景下,在同一认定领域中,如何更好地运用电子数据为司法人员构建科学合理的审查规则,显得尤为重要。因此,关于电子数据的同一认定研究可以帮助认定犯罪行为人,对刑事侦查和司法证明具有重大意义。
基于以上的背景分析,本文首先厘清基于电子数据的人身同一认定的概念,以及电子数据在人身同一认定领域中的本质定位;其次,本文将重新梳理基于电子数据的人身同一认定的体系;最后,对于具体实施基于电子数据的人身同一认定提出一些浅薄的看法。
为保证学说的专属性和科学性,传统的同一认定理论将同一认定限定在司法鉴定领域。一般认为,人身同一认定是指,通过对现场收集到的反映人身形象的痕迹、物品与从受审查客体处收集到的痕迹、物品进行对比,确定现场出现的人与受审查客体为同一人。(2)参见何家弘:“同一认定种类之我见”,载《公安大学学报》1986年第1期,第26~29页。从定义上分析,人身同一认定的依据主要来自于物证范围,而电子数据由于其种类归属存在争议的原因至今未成为人身同一认定的科学依据。(3)目前我国学界对电子数据的定位主要有五种观点,分别认为应将电子证据划归为视听资料、书证、物证、鉴定意见或者确定为一种新型的独立证据,即“视听资料说”“书证说”“物证说”“鉴定意见(结论)说”“独立证据说”或“混合证据说”。而立法部门方面,2012年3月修改后的《中华人民共和国刑事诉讼法》第48条第2款和2012年8月修改后的《中华人民共和国民事诉讼法》第63条第1款分别在刑事诉讼领域和民事诉讼领域中将电子数据作为区别于传统证据的一种新类型的证据。但是从同一认定的起源来分析,波塔波夫认为“同一认定理论是苏维埃犯罪侦查学的专门方法论”,将同一认定作为刑事诉讼各阶段的一种基本方法并无任何限制,而认定人身同一在审判阶段中运用的前提是对各种证据的把握。(4)首先对同一认定理论进行系统性归纳和阐述的波塔波夫在《犯罪对策学概念》一书中展示了同一认定在刑事诉讼各个阶段都可以采用的一种方法,但由于政治斗争的原因,这种观点很快便被以捷尔齐也夫为代表的大多数学者所抨击。参见贾治辉、孔令勇:“同一认定理论的广义与狭义探析”,载《铁道警官高等专科学校学报》2013年第6期,第38~44页。之后在21世纪初时何家弘先生提出在刑事侦查和司法证明范畴中可以适用同一认定理论,并创造出刑事诉讼证明的关键——“人事同一认定”(5)司法证明所要解决的问题归根到底只有两个:其一是公诉方指控的犯罪是否确实发生;其二是被指控者是否该作案人。前者属于事件同一认定,即判断所控犯罪事实是否确实发生过的犯罪事实。后者属于人身同一认定,即判断被告人是否实施那个特定犯罪行为的人。由此可见,刑事诉讼证明的核心内容是人身同一认定和事件同一认定,可以简称为“人事同一认定”。参见何家弘:“司法证明同一论”,载《中国刑事法杂志》2001年第1期,第85页。概念,正式明确同一认定是诉讼各阶段的基础理论。(6)但是该观点仍十分具有争议性,犯罪事件在诉讼过程中只出现一次,通过证据构建的犯罪事件并不是原来的事件,并不符合同一认定的客体需先后出现两次的基本条件。因此,由于缺乏比较的对象,事件作为同一认定的对象难以令人信服,但人身作为客体则无此种限制。对于何家弘教授的人事同一认定的另一个批驳理由是诉讼中的同一认定是犯罪侦查的延续,法官所进行的审判工作并非是独立的同一认定,而是一般认识上的价值判断,并没有进行创造性地进行同一认定。本文中认为司法证明和犯罪侦查中的人身同一认定都是一种证明活动,本质上并无实质区别,因此笔者并未实质区分犯罪侦查和司法证明中同一认定的区别。参见郭冰:“同一认定原理界说——侦查学的特定基础理论”,载《北京人民警察学院学报》2007年第1期,第58~61页。笔者认为,从严谨应用意义表达层面来讲,同一认定理论起源于原始的认识活动,并没有在一开始就贴上专属于某一特定领域的标签,而是在随后的发展进程中逐渐向司法领域靠近并深入,所以将其限制为科学技术方法无疑会削弱其在司法实践中的运用,影响同一认定理论的进一步发展。同一认定作为一般性认识活动,只有在深入到特定领域之中才具有一定的科学性和规范性。如在物证技术鉴定领域中同一认定,是指专业鉴定人员对检材和样本进行检验和比较,做出是否同一的意见的活动;而诉讼中的同一认定,是贯彻鉴定中同一认定的思路和科学方法的一种证明活动,依据收集到的证据来分析被告是否是犯罪行为人并做出事实认定。因此,在刑事诉讼各环节中任何判断犯罪嫌疑人或被告人是否为犯罪行为人的活动,都可以称为人身同一认定,这种人身同一本质上是一种证明方法,而非是单纯的司法鉴定活动。
刑事侦查和司法证明领域中引入同一认定理论的结果,将突破传统的刑事鉴定中人身同一认定的依据范围。我国传统的人身同一认定主要依据手印、赤脚印、DNA、人像照片、笔迹和声纹等物证,其中并不包括电子数据。而刑事侦查和司法证明中同一认定的依据范围,可以扩展到反映犯罪事实的各种证据,其中与行为人关联的电子数据能够反映犯罪行为人的人身特征信息,也是可以作为人身同一认定的重要依据。(7)参见何家弘:“司法证明同一论”,载《中国刑事法杂志》2001年第1期,第89页。但是若电子数据不具有证据的三性,即电子数据本身的真实性、关联性、合法性无法得到保证,则其不具有证明资格,也无从谈起运用于人身同一认定。
正是伴随着信息化时代到来,侦查人员为突破传统鉴定技术的局限而扩展了同一认定的适用范围。但是目前基于电子数据的人身同一认定,究竟是以电子数据的信息内容,还是以其物证属性或其他属性来证明被寻找客体与受审查客体同一,依旧未被解释清楚。大多数学者直接将电子数据作为物证来进行人身同一认定,未对电子数据与人的关系分析清楚,导致基于电子数据的人身同一认定的概念不清、理论体系混乱,缺少具体的操作方法。(8)彭迪等认为以电子数据为主要形式的电子证据与其他物证一样,都具有客体特征的特定性、稳定性、反映性;董健等认为电子物证即电子证据与传统物证相比是不同的新型证据,但还是借鉴传统物证鉴定中同一认定理论和方法对电子物证进行指导;刘品新等认为物理空间的行为人操作电子设备在网络空间中留下的电子痕迹与传统证据是一脉相承的,信息转移原理使电子痕迹与传统痕迹之间的界线模糊。以上学者在进行同一认定时都将电子数据直接或间接地作为一种新型的物证,但在具体操作时都是以电子数据的数据电文内容作为鉴定对象,这两者间的冲突性令人疑惑。参见彭迪、杨进友:“电子证据中的同一认定研究”,载《吉林公安高等专科学校学报》2010年第5期,第62~65页;参见董健、杨永川:“电子物证鉴定中的同一认定和种属认定”,载《刑事技术》2009年第3期,第39~41页;参见刘品新、孙玉龙:“基于电子痕迹的人身同一认定:网络犯罪的身份识”,载《法律适用》2016年第9期,第23~29页。
依据有关法律对电子数据的定义进行分析,电子数据是一种以电子形式存在的,用于证明案件事实的数据。(9)在最新的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中第1条对电子数据进行了定义,规定电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。该规定又通过列举的形式说明电子数据的主要类型,如网络平台发布的信息、通信信息、电子文件等。其中数据电文是证据的内容,而证据的载体是“数据”。电子数据的载体只是起到存储数据信息的作用,其本身对案件事实的证明并无作用。实际上电子数据是以其信息内容来证明案件事实,若依据物证和书证的划分标准来看其性质更接近于书证。(10)物证是指以其自身内在属性、外部表现特征、存在形式状况证明案件事实的物品和痕迹,具有客观性、稳定性等特点。而书证指的是以文字、符号、图画等记载的内容和表达的思想内容来证明案件待证事实的物品,是反映人的思想意识的物体,物证则是独立于人的意识之外的客观物品。参见蒋平、杨莉莉:《电子证据》,清华大学出版社、中国人民公安大学出版社2007年版,第105~108页。比如一起网络犯罪案件中侦查人员前往现场查封、扣押服务器、硬盘等存储设备,其中真正能够起到证明犯罪事实作用的不是载体,而是其中存储的电子数据的信息内容。对于硬盘等载体的固定并不等于电子数据的固定,侦查人员必须保证电子数据的信息内容未发生改变,因此其还要收集电子数据的附属信息或者加上数字摘要。
但是,目前在研究基于电子数据的人身同一认定时,尽管许多学者认为人身同一认定的依据是电子痕迹、电子文件的语言风格、数字签名等以内容证明案件事实的电子信息,但依旧将电子数据视为一种特殊的物证。对于电子数据而言,基于其物证属性的人身同一认定,是指对现场收集到的反映人的生理特征的电子数据的外在客观属性与受审查人员的个人特征进行比对,确定是否人身同一。而若是基于电子数据的书证属性的人身同一认定,则是对其所承载的信息内容进行分析,判断其是否能证明归属或与人的关联来确定人身同一。(11)而以其书证属性来认定人身同一的则是强调电子数据的“信息”性,摆脱载体或其存在形式对其证明作用的影响,通过对电子数据所体现出来的思想内容来证明案件事实,其本质与书证并无实质区别。从电子数据的起源来看,由于信息量的剧增和信息的广泛交流需要容量更大的信息载体,传统语言文字由于无法满足时代的需求而被电子数据所淘汰,但两者的功能在本质上是一样的,都承载着对世界一切事物的状态、特征和变化的反映的信息,只是电子数据的表达方式与语言文字不同。 传统语言文字是记录口头语言的视觉形式系统,是人类通过自身感觉系统可以感知的信息,而电子数据是通过一定的设备对语言文字进行编码与加工,再通过电磁信号等来表示语言文字以满足信息大量、快速交互的需求,其与传统语言文字的区别在于需要通过特定设备将电子数据转换为人类可直接感知的语言文字。但透过本质来看,电子数据只是使用“0”和“1”来表达信息的“书证”。参见戴士剑、刘品新:《电子证据调查指南》,中国检察出版社2014年版,第46~48页。如某人使用一块硬盘砸破了另一人的脑袋,对硬盘上留有的手印和血迹进行分析认定犯罪嫌疑人,则硬盘是传统的物证,而若是依据其中存储的内容来寻找到犯罪嫌疑人,则硬盘中的电子信息是电子数据。(12)参见戴士剑、刘品新:《电子证据调查指南》,中国检察出版社2014年版,第7页。持前者观点的学者认为电子数据中包含大量的反映人身形象的特征信息,这些特征正如物证中赤足印、指纹、血迹等痕迹可以来直接关联到特定的人。但是现实中由于电子数据是通过“人—机—数据”途径产生,具有与人身间接关联的特点,其特征信息多数情况下只能证明电子设备的种属认定和同一认定,而无法像传统物证直接建立电子数据与特定人的联系来认定同一。
根据电子数据一般的产生过程和信息转移原理,行为人通过操作电子设备实施犯罪时,必然会在电子设备上留下反映行为人特征信息的电子数据以及相应的软件附属信息和系统运行特征信息。同时,行为人操作的电子设备还会与其他设备相互联系,在网络拓扑结构中留下反映电子设备特征信息的电子数据。在实践中后一类电子数据是刑事诉讼中比较容易获取和常见的证据,可以用于电子设备的种属、同一认定。后期结合与案件相关的电子数据和传统证据来认定人身同一活动,此类工作并非是鉴定人员的专职工作,其本质上是一种司法证明活动,是本文的研究核心。(13)这其实是符合大同一认定理论。大同一理论是由何家弘教授在20世纪末提出的,其认为在犯罪侦查中,人身同一认定可以由多个小同一认定和种类认定构成的,这些小同一认定和种类认定,或者衔接、或者并列,共同构成了具体案件侦查工作中同一认定链条。参见何家弘:《同一认定——犯罪侦查方法的奥秘》,中国人民大学出版社1989年版,第281页。
正是基于以上分析,笔者对于基于电子数据的人身同一界定如下:基于电子数据的人身同一认定指的是一种识别身份的证明方法,是依据电子数据中与犯罪行为人关联的反映特征信息,来直接认定嫌疑人是否是犯罪行为人;或者是依据电子数据中与电子设备、软件关联的反映特征先进行机器、软件的同一认定或种属认定,再结合其他证据间接认定嫌疑人是否是犯罪行为人。
同一认定要运用在司法证明领域中必须解决的问题,是如何保证这种方法的科学性和普适性。而该理论经过长达一个世纪的科学发展,已经形成符合实践情况的科学基础,其科学性毋庸置疑。所以基于电子数据的人身同一认定必须满足同一认定的科学基础,才能真正成为司法证明中新的科学方法。
同一认定的前提条件是客体必须出现两次以上,且其特征必须满足特定性、相对稳定性和反映性三大特点。(14)其中客体特征的特定性是同一认定的根据,如果事物之间没有本质的差异,则自身的同一认定就无从谈起。而客体特征的稳定性指的是特征在进行同一认定的一定时间内保持基本不变的属性,其既包括自身特征的相对稳定性,也包括呈现给人们认识的状态的相对稳定性。客体特征在具有特定性和相对稳定性的前提下,必须通过一定的形式反映出来才能为人们所认识,客观特征的反映性也与人类的认识能力相关联,在现有的科学技术水平的基础上可被人们认识的客体特征才可以作为同一认定的依据。参见郭金霞、陈碧:《司法鉴定学》,群众出版社2009年版,第34~37页。而人身同一认定的客体是人,人与人之间相区别的特征必然满足以上三性,但基于电子数据的人身同一认定中需要进一步考虑的电子数据中的与人关联的信息是否如客体特征一样符合以上三个条件。
1.电子数据反映的信息具有特定性(证据的唯一性)
目前许多学者往往将电子数据反映的个人信息的特定性理解为:电子数据在生成与变化时由于操作方法、软硬件环境等条件不同,必然产生与其他电子数据相区别的独特差异。这种理解是错误地将人身同一认定的客体偷换为电子数据,认定的是电子数据的同一,而非人的同一。(15)彭迪等认为电子证据之所以产生差异性,是因为电子数据所产生、运行的环境不同,计算机的软硬件配置不同,初始设置不同,电子图文制作人自身的操作习惯不同;董健等认为不同的信息系统由于配置不同、初始状态不同以及系统运行过程中系统状态的变化,相互之间存在差异。参见彭迪、杨进友:“电子证据中的同一认定研究”,载《吉林公安高等专科学校学报》2010年第5期,第62~65页;参见董健、杨永川:“电子物证鉴定中的同一认定和种属认定”,载《刑事技术》2009年第3期,第39~41页。在进行人身同一认定时,理想情况下电子数据反映的信息必须是与人身有直接关联,而非与其他电子数据进行比对。但多数情况下,电子数据的反映的信息的特定性并不强,其只能反映电子设备、软件的个别情况,此时只能用于判断客体的大致范围,需要结合其他证据保证符合特定性才能认定到具体特定人员。
电子数据反映的信息的特定性主要由三个要素决定:数量、质量和可能出现的范围。(16)参见何家弘:《同一认定——犯罪侦查方法的奥秘》,中国人民大学出版社1989年版,第186~191页。对于基于电子数据的人身同一认定而言,其所依据的往往不是个别信息,而是一定数量的信息组合,所以相对而言需要电子数据反映个人的多个信息或需要多个电子数据,才能证明人身同一。一般情况下,电子数据反映的信息数量与其特定性成正比例关系。比如仅仅依据电子邮件的IP地址,由于局域网内使用同一IP地址的计算机数量较多,只能将侦查范围限定在一定区域或一定数量的机器,还需要依据电子邮件的语言风格特征、时空位置特征等组合在一起,才能排除其他人员的干扰。同时,电子数据反映的信息质量决定电子数据反映的信息特定性价值,质量高的个人信息出现率也相应地低,更能证明被寻找客体与其他人员的差异。比如电子数据的独知性内容(如银行密码)相比于语言风格特征信息的出现率更低,其价值就越高,就越能认定人身是否同一。
2.电子数据反映的信息具有相对稳定性(证据的真实性)
人的特征信息在一定阶段和一定时期内保持相对静止是比较正常的,但是人的特征信息反映在电子数据上是否能够保持基本不变,则将决定人身同一认定能否实施。电子数据反映的信息的相对稳定性,是指反映操作者特征信息的电子数据在进行同一认定的一定时期内维持基本不变的属性,而必要时间的长短一般是由被寻找人留下特征信息到侦查中从嫌疑人处收集到的信息,并开始进行同一认定的时间长短所决定的。(17)参见何家弘:《同一认定——犯罪侦查方法的奥秘》,中国人民大学出版社1989年版,第193页。在这段时间内,电子数据反映的特征信息如何保持相对稳定性,可以从电子数据的系统性入手分析。(18)电子数据具有系统性,它既可以表结果状态,也可以表过程,会自动地记录下各种信息。在操作者在某一层对电子数据进行修改无法直接观察到,但必然会在其他层留下相应的痕迹,想要完全清除修改的痕迹,从理论上讲是几乎不可能的。参见戴士剑、刘品新:《电子证据调查指南》,中国检察出版社2014年版,第17页。电子数据被篡改时,系统会产生一些记录修改行为的附属信息、关联信息,则侦查人员可以通过鉴别附属信息是否异常,发现电子数据是否被篡改,从而间接证明电子数据反映的信息具有相对稳定性。而且因为附属信息难以造假等原因,这种稳定性相比于传统证据而言更加可靠。(19)参见刘品新:“电子证据的基础理论”,载《国家检察官学院学报》2017年第1期,第153~158页。比如将Word的内容或格式修改后,侦查人员可以通过查看文档属性的详细信息,发现修改时间与创建内容时间不一致,也可以通过Winhex软件打开文档发现产生了新的快捷方式。如此简单的验证方式保证了电子数据中反映操作者的信息在一定时期内是不变,从而具有了进行同一认定的基础。
3.电子数据具有反映操作者信息的性质(证据的关联性)
根据信息转移原理(20)在20世纪初,法国侦查学界埃德蒙·洛卡德提出物质转移原理,即两个物体在外力的作用下相互接触,会引起这两种物体接触面上的物质成分相互交换。后来刘品新先生在物质转移原理的基础提出了新型交换原理,即“犯罪过程是一个信息转移或交换的过程,作案人在实施犯罪的过程中必然会同被害人、犯罪现场与犯罪环境之间发生信息转移甚至互换”。参见刘品新:“论犯罪过程中的信息转移原理”,载《福建公安高等专科学校学报》2002年第1期,第28~35页。,操作者在处理电子数据时,必然会在电子数据中留下自己的某些的特征信息,但更重要的需要考虑的因素是人的特征信息在电子数据上的反映容易程度、清晰程度和准确程度。(21)参见何家弘:“司法证明同一论”,载《中国刑事法杂志》2001年第1期,第196页。决定电子数据能否作为同一认定依据的清晰程度因素,其主要取决于行为人自身特征信息的清晰程度、信息反映体的特性和形成数据时的其他条件。如电子文档的反映清晰程度往往与创作者自身的写作风格是否独特、电子文档是否可以尽量保证保存作者的风格以及被人们认识时是否有外界因素干扰有关。电子数据中反映特征的信息主要是与操作者的思维定性及主观认识相关。而由于人的注意力的局限、意志力的有限等原因,行为人在处理电子数据时,是难以违背心理活动规律彻底改变长久培养的操作习惯。所以司法人员可以通过对电子数据中的特征信息进行分析,准确地发现行为人的个人习惯,并以此来认定同一。同时,由于电子数据相比于其他证据更加具有稳定性,保证了操作者的特征信息在电子数据上能够较为完整地保全,并可以通过打印等方式转化为稳定的书证呈现给法官。
除了以上三个客观条件之外,主体的认识水平也是同一认定必不可少的条件之一。同一认定毕竟是一种具体主观的认识活动,其必然会受到主体的认识能力的影响,而主体的认识能力则是与个人的知识水平和经验以及社会整体发展水平相关联。随着社会的发展,人们逐渐认识到在人身同一认定的依据,不仅仅局限于人体的指纹特征、遗传基因特征、外貌特征等,电子数据中反映操作习惯的特征也可以用于认定人身同一。(22)比如目前国外学者Frantzeskou G等人通过对软件字节流层面的统计特征来识别软件作者;PENG, J等通过对社交媒体的字节流等语言配置文件的特征进行分析来识别作者身份;KRSUL, I等人通过对程序的风格和习惯特征进行分析确定作者身份,如空白注释、缩进字格等。参见高洁:“基于Web信息的内容及其特征提取方法的研究”,成都电子科技大学2010年硕士学位论文,第78页。而任何同一认定都需要具体的人员操作才能完成,电子数据的同一认定因为自身的专业性,更需要操作者对电子数据有深入的认识和理解,这也是同一认定的重要主观条件之一。
根据电子数据的信息内容不同,可以将其特征信息分为基于数据电文内容的特征信息、基于程序记录的附属特征信息以及基于系统软硬件环境的特征信息。其中基于数据电文内容的特征信息主要反映了法律关系变化的情况,比如电子邮件、电子文本的正文。电子数据的这一部分内容与传统书证的正文并没有什么本质的区别。基于程序记录的附属特征信息是指计算机程序在生成、传递、存储、修改电子数据时记载操作过程的信息,比如windows操作日志、电子文件的属性信息等。电子数据的这一部分内容可以用于认定机器或软件的同一认定和种属认定,需要与其他特征信息相结合才能认定人身同一性。基于系统软硬件的特征信息指的是电子数据所处的软硬件环境,尤其是硬件和软件的名称和版本可以用于认定电子数据来源于哪一台计算机或哪一种软件,进而在限缩范围内通过排除的方法可以认定人身同一性。
电子数据的三种特征信息类型分别具有自身的特点,也因此,在人身同一性证明中,其作用方式也有所不同。具体论述如下:(24)参见何家弘:《电子证据法研究》,法律出版社2002年版,第33~34页。
1.基于数据电文内容的特征信息
数据电文内容一直是电子数据用来证明法律关系或案件事实的主要特征信息。在人身同一认定中,基于数据电文内容的特征信息与传统的书证内容的作用并无实质区别。侦查人员可以通过对数据电文内容的语言风格特征和独知性内容特征进行分析,发现其与行为人的关联性,来进一步认定被寻找人员与受审查人员是否同一。
(1)语言风格特征
语言风格特征是指作者的特定写作习惯在创作的作品中的反映,往往与个人的教育程度、生活习惯、文化背景、年龄性别等诸多因素密切相关。语言风格特征要区分为社会群体性风格特征和个人特定性风格特征,其中社会群体性风格特征是指人在一定的社会集团之中,受其所在的集团的意识、地位、文化、环境等因素制约,在一定群体范围内都具有共性的语言风格。而个人特定性风格特征是指人受个人特定的生理和心理特性所决定而形成的,可以作为个人标识的语言风格。社会群体性风格特征由于特定性不强,往往只能作为认定人的地域、职业、年龄、文化的依据,而个人特定性风格特征可以直接作为判断犯罪行为人的依据。(25)参见高洁:“基于Web信息的内容及其特征提取方法的研究”,成都电子科技大学2010年硕士学位论文,第56页。
但在实践中,仅仅依据语言风格特征进行人身同一认定,是有一定的误差的。语言风格特征只能反映操作者的部分共性特征,难以达到排除其他类似人员的干扰,因此只能用于认定操作者的地域特征、文化背景等。鉴于目前对语言风格特征的研究还比较有限,尚未达到仅依据此类特征信息就能准确认定人身同一性的水平,因此,语言风格特征与人身的关联性并非是一一对应的,只能作为缩小客体范围的一个重要参数。
(2)独知性内容
独知性内容指的是电子数据中只是由特定的人或小范围的人群所知道的信息内容,一般人由于缺少权限是无法了解到这些特定信息内容的。因此,由于这些信息内容具有较强的特定性且和行为人直接关联,可以作为人身同一认定的重要依据。但是独知性内容也要区分其是否直接关联到特定的人,还是只是关联到一定范围的群体,如电子数据中的账号密码若只是由特定的某人所独知,则该特征信息的质量就高,对人身同一认定的作用就大;若是电子数据中的账号密码是公司中共享的内容,则该特征信息的质量就低,对人身同一认定的价值就低,无法直接认定同一,需要与其他的特征组合起来才有效。依据电子数据中独知性内容特征进行人身同一认定本质上是一种证明活动,技术人员无须从专业角度来判断数据内容是否与犯罪嫌疑人关联,只需要侦查人员或司法工作人员进行逻辑推理即可。
2.基于程序记录的附属特征信息
程序记录的电子数据变化的特征信息是客观的、难以改变的,但由于信息空间和物理空间之间的间接接触性,信息空间的信息往往是无法直接关联到具体的人,其只能反映操作者在一定时间内的操作行为,却无法对应到操作者的具体现实身份。因此,基于程序记录的附属特征信息来进行人身同一认定,必须明确这些信息与人的关联程度。在附属信息无法关联到行为人时,则只能进行机器、软件的判断,再结合物理空间中能够证明其确实在特定时间、地点内操作电子设备的信息,来认定人身同一。
基于程序记录的附属特征信息包括以下但不仅限于以下信息:
(1)文件属性
文件属性指的是为了方便存储和传输,区分不同类型的文件而界定的独特属性。(26)常见的文件属性包括系统属性、隐藏属性、只读属性和归档属性。文件属性内容并不存在于文件的正文内容中,而是附随于文件的外在信息,如修改日期、作者等许多属性。参见朱伟忠:《计算机信息技术基础教程》,清华大学出版社2006年版,第103页。文件属性可以说明电子数据的产生时间、存储位置、文件类型和数据来源等内容,但这些内容都无法直接证明电子数据是否由怀疑对象所制作,只能证明电子数据由哪台计算机或哪类软件所制造的,需要现实空间中记录人的操作行为,才能排除其他可疑人员。文件属性是电子数据同一性鉴定中的重要参数之一,鉴定人员通过对文件的名称、存储位置、类型等属性信息与已知文件进行对比分析,确定检材是来源于何台或何种机器、软件。
(2)Windows日志
Windows日志主要包括三个部分日志,分别是安全日志、应用程序日志和系统日志。(27)“系统日志记载了操作系统中硬件、软件和系统进程的信息,用户可以通过系统日志来检测系统出错的原因或者寻找受到攻击的痕迹。应用程序日志记载单个应用程序的信息,而安全日志记载系统登录、退出和其他安全活动的记录。”廖根为:《计算机司法鉴定:理论探索》,法律出版社2012年版,第204页。日志记录的操作行为并不像证人证言那样客观直接,是与现实空间的行为人无直接关联的,只能说明计算机何时产生、修改数据,而用户的现实身份还需要结合嫌疑人在具体时间、地点是否对计算机进行操作的证据,才能判断嫌疑人是否是犯罪行为人。在网络犯罪活动中,Windows日志中记录着计算机运行中产生的行为痕迹,技术人员通过分析日志可以确定操作者如何处理电子数据以及处理的结果等信息,从而有助于机器、软件等的同一认定。
(3)数字摘要
数字摘要(Digital Digest)称为数字指纹,是通过Hash函数的某种运算方法将文件中几个要素转换为一串特定长度的数字。(28)参见蒋平、杨莉莉:《电子证据》,清华大学出版社、中国人民公安大学出版社2007年版,第144页。在电子数据的内容被修改时,数字摘要的内容也会随之发生变化。侦查人员通过鉴别数字摘要的内容有无发生改变,可以确定电子数据是否被篡改,尽管结果无法直接作为认定人身同一的依据,但是与其他特征信息相结合可以证明电子数据的数据来源,来为人身同一认定奠定基础。数字摘要在同一认定中具有重要意义,一般适用于电子数据的同一性鉴定和真实性鉴定。
3.基于硬件设备和软件环境的特征信息
硬件设备和软件的特征信息要区分其与人身的关联性;其中,具有与人身关联性的,也可以作为人身同一认定的依据。如心脏起搏器的序列号是与特定病人的身份直接关联的。而有的只是与软件、电子设备等关联,如Word软件的版本信息可以与电子文件的文件属性相比对,只能确定是否软件种类一致,因此,还需要结合其他证据才能证明嫌疑人确实使用了特定版本Word软件。对于此类特征信息,检验人员要区分是否属于专门性问题,比如基于MAC地址和IP地址的机器的同一认定,由于涉及计算机专业技术,一般人员是无法从事该活动的。而序列号由于是与硬件相绑定的,是无法修改的,普通人员通过序列号就可以查找到具体的设备或者人员。
(1)MAC地址
MAC地址是区分网卡的专用序列号,也称为硬件地址。每个主机只有一个MAC地址,用来定义网络设备的位置。(29)参见杜春鹏:《电子证据取证和鉴定》,中国政法大学出版社2014年版,第164~165页。MAC地址可以用于对计算机的同一认定,当已知在现场收集到的计算机的MAC地址,可以与从嫌疑人处获得的其计算机的MAC地址进行比较,两者一致可以认定现场收集的计算机就是嫌疑人的。
(2)产品序列号
电子设备的生产厂商为了便于版权控制以及售后服务,会在自己生产的产品上留下特定的设备标识以区分市面上同类型的产品。如苹果手机的序列号(30)苹果iPhone智能手机上的11位序列号代码将设备的制造工艺、制造时间、颜色、容量等信息都记录下来,作为产品的唯一标识。、心脏起搏器的序列号可以用作设备同一认定的依据,再通过购买记录或者购买单据来证明嫌疑人确实拥有这独一无二的电子设备,这只能说明设备、软件等的归属,还需结合证明嫌疑人的现实操作行为的证据才能确定电子数据确实时嫌疑人所创造的。
(3)IP地址
IP地址是指依据IP协议规范的一种统一的地址格式,是为屏蔽实际物理地址的差异而赋予了每一个网络和主机一个逻辑地址。(31)参见杜春鹏:《电子证据取证和鉴定》,中国政法大学出版社2014年版,第164~165页。相比于固定的MAC地址,IP地址是可以改变的,所以其对认定电子设备同一的价值相对较低。但侦查人员还可以在一定情况下通过IP定位查找实施网络犯罪行为的电子设备,在结合物理空间的证据(时空位置特征)联系到具体的人从而确定犯罪行为人的具体身份。
基于电子数据的人身同一认定,就是依据一定电子数据的特征信息组合,判断犯罪嫌疑人是否是犯罪行为人。要认定人身同一必须保证特征信息组合的唯一性,即保证该特征信息组合在其他人员上重复出现的可能性为零,因此排除法是人身同一认定的基本方法。同一认定其实就是一个在一定范围内经过不停排查类似的客体,来最后认定是否同一的过程。在这个过程中种属认定一般是同一认定的必经过程。首先侦查人员或法官往往需要通过排除法将客体范围限制在一定的范围内或进行机器、软件等电子设备的同一认定,再依据其他特征信息或证据筛选到特定人。排除法可以分为直接排除法和间接排除法。人身同一认定的间接排除法是根据个人某些独有的特征信息组合来筛除其他类似客体的一种区分方法,即通过比较现场收集到的电子数据的反映特征信息组合和受审查人员的特征信息组合,来排除相似人员。而直接排除法是依据人的个别特征信息与受审查范围内的每个客体进行比对,直到筛选到一个特定的人为止的方法。(32)参见何家弘:《同一认定——犯罪侦查方法的奥秘》,中国人民大学出版社1989年版,第236~237页。其中,直接排除法由于范围不确定,逐个排除的工作量非常大,实践中采用的可能性小。间接排除法的适用前提是确定信息组合的重复率小到可以认定到特定的人员,而重复率的大小又与证据的唯一性相关联。因此司法人员在进行基于电子数据的人身同一认定时,必须分析清楚电子数据反映的特征信息的数量是多少,何种类型特征信息是质量高的,以及特征信息组合可能重复出现的人员范围大小。
在部分特殊情况下,种属认定也是可以转化为人身同一认定的。人身同一认定可以看做是由多个种类认定所构成的。比如电子数据中反映方言的语言特征信息只能认定受审查人员的地域特点,若在可疑对象中只有一人符合这样的地域的特点则可以排除其他相似人员确定人身同一。
对于同一认定的基本步骤在传统司法鉴定领域中有广义和狭义之分。狭义的同一认定的基本步骤可以分为分别检验、比较检验和综合评断,而广义的人身同一认定的步骤在前面加上选取受审查人员阶段和同一认定的准备阶段。(33)参见杜志淳:《司法鉴定概论》,法律出版社2012年版,第42~48页。基于电子数据的人身同一认定作为一种综合性的证明活动,其既涉及了传统司法鉴定领域中的同一认定理论,也触及司法证明领域中的人身同一认定理论。但是目前由于学界缺乏对司法证明领域中同一认定理论的研究,笔者在此参照物证技术鉴定领域中同一认定的基本步骤对司法证明领域中人身同一认定的基本步骤进行初步探讨。
司法鉴定领域中的人身同一认定是基于对检材和样本的科学分析,比较对照检材和样本的特征信息,以确定被寻找人员和受审查人员两者之间的符合点与差异点,判断出不同证据之间的差异点是否是本质差异,最终确定两者是否为同一人的过程。相比于司法鉴定中同一认定,司法证明中的同一认定本质上是对证据的审查判断,虽然在事实认识上具有共性,但是鉴于鉴定人与法官的专业分工是异质的,两者的程序和规范要求都存在差异。司法证明中的人身同一认定,是基于经验法则排除合理怀疑,构建完整的证据链,使内心确信犯罪嫌疑人是犯罪行为人的过程。两者的区别在于前者是在符合客观规律和科学理论的基础上,运用科学实验的方法得出是否同一的意见;而后者是基于合理的逻辑法则和经验法则,判断是否符合证明标准,最后得出结论。正因两者本质上存在差异,司法证明的人身同一认定不应完全适用传统的同一认定基本步骤,而应该以证明能力和证明力为核心、以排除法为方法构建新的操作步骤。
1.审查电子数据的客观真实性
任何在法庭上被采纳的证据必须保证其具有证明能力,而证明能力则与证据的合法性、关联性和真实性密切相关,侦查人员需保证电子数据是通过合法渠道和方法收集到的,且其是与案件相关联的。但更重要的是其要对电子数据的客观真实性进行判断,即确定该电子数据反映的特征信息具有相对稳定性,在必要时期内保证完整。只有在确保证据的真实性的前提下,其才可以作为证明案件事实的证据。而从电子数据的系统性入手分析,上述三种电子数据特征信息中,基于程序记录的附属信息记载了电子数据在生成、修改、删除时操作过程的内容,可以反映电子数据是否保存完整。所以侦查人员可以首先通过审查附属信息或关联信息,来保证电子数据的客观真实性。比如审查计算机的操作日志、文件属性,可以查明电子数据内容是否被修改、修改的时间等信息,也可以通过验证电子数据的MD5值来保证电子数据的完整性。
当然审查电子数据的客观真实性不仅仅依据基于程序记录的特征信息,假如电子数据被公证且另一方没有提出相反证据,这种情况也能保证电子数据的客观真实性。
2.审查电子数据关联性
电子数据具有证明能力的条件之一是与案件相关联,可以反映犯罪事实,并且其与案件的关联性强弱决定了证明力大小。电子数据的关联性的审查判断是事实判断问题,由司法人员根据经验法则、生活常识、直观判断和逻辑标准予以判断。《最高人民法院、最高人民检察院、公安部<关于办理刑事案件收集提取和审查判断电子数据若干问题的规定>》第25条仅仅规定了对犯罪嫌疑人、被告人网络身份与现实身份的同一性,以及犯罪嫌疑人、被告人与存储介质的关联性需要进行综合判断,但具体如何审查电子数据关联性并未规定。
笔者认为,从证据的运用过程来看,首先需要从证据中挖掘出能够用来识别身份的特征信息;之后根据这些信息,司法人员运用适当的方法一步步还原为相对应的主体身份。因此,通过审查电子数据关联性认定人身同一的方式可以分为两个步骤:一是特征信息的提炼,二是主体关联性分析。
司法人员审查电子数据关联性的第一步是提炼电子数据中的身份特征信息,明确其特征信息的类别。电子数据中蕴含着形式多样、内容极其丰富而又精准的特征信息,其中就包括大量能够反映主体身份特征的信息。司法人员必须从众多繁杂的电子数据中,寻找到与案件关联且能证明犯罪嫌疑人、被告人身份的特征信息。其中,基于数据电文内容的特征信息是司法人员首要关注的。数据电文信息是反映相关个人或组织最基本身份情况的信息,如记录当事人姓名、性别、单位、身份证号等信息的电子文档或独知的电子账户信息,都能直接用于识别犯罪嫌疑人、被告人的身份。而其他两类特征信息可能会提供时间、地点等方面的信息,也可以起到人员种属认定或电子设备同一认定的作用。
第二步,司法人员在挖掘特征信息的基础上,需要进一步分析特征信息反映的是共性特征还是个性特征。区分共性特征与个性特征,对人身同一性认定具有重大意义。若依据共性特征则只能进行种属认定,将主体身份限定在一定的范围内;依据个性特征则可进行同一认定,即直接确定某一特定主体。对于电子数据,若某些单一特征信息具有高度的关联性和特定性,如指纹、基因、人脸、虹膜等生物信息,司法人员可以按照司法鉴定领域中同一认定的操作方法来进行身份识别,即分别检验、比较检验和综合评断。但以上情况较为罕见,由于电子数据具有“人—机—数据”的间接关联性,单一特征信息大都只能做到种属认定。此时司法人员需要将多个特征信息组合起来,形成相应的特征群,确保对应主体身份的特定性程度大大提高,直到最后形成排他性、唯一的一组特征,从而确定相应的身份。以智能手机环境下的电子数据为例,司法人员往往倾向于采用其中的微信记录、短信等数据电文来进行人身同一性认定,实务中嫌疑人或被告人往往会辩解在某一时间短内并非其本人使用。此时,该手机内的附属信息和环境信息,如IP地址、文件属性等其他应用程序产生的电子数据,可以与数据电文信息相结合,证明犯罪时手机使用者系上述嫌疑人、被告人。
除了运用电子数据自身蕴含的身份特征信息外,还需要结合其他传统证据中的身份特征信息,共同构建相应的特征群,不断强化身份特征的特定性程序,逐步缩小种属身份的范围,最终达到人身同一认定。以快播案为例,第一次庭审结束后,法院委托国家信息中心电子数据司法鉴定中心进行检验,获取四台涉案服务器IP地址,结合鉴定意见再通过公诉机关补充IP地址归属者的证据,从而认定该服务器由快播公司实际运营。
3.综合审查证据组合的特定性
前面分析了运用电子数据进行人身同一性认定的几种具体方法。司法实践中,有些方法得出的结论可信度高,可以单独确认相关人员的真实身份,如生物信息鉴定;而有些方法所得出的结论可信度尚存疑,比如由单一特征信息来推定。因此,需要结合上述多种方法进行综合审查,以达到排除合理怀疑的证明标准。对证据组合特定性的综合审查是基于电子数据的人身同一认定的最后一个环节,主要任务是运用印证证明原理,结合其他电子证据或传统证据进行总体分析以构成完整证据链,来认定人身同一。对于网络犯罪案件中的电子数据,可以通过不同网络节点的电子证据及传统的时空位置证据等进行相互印证。若电子数据或其与其他证据的组合符合唯一性,即达到排除其他人员犯此罪的可能,则最终可以得出人身同一认定的意见,反之则仅可以依据电子数据进行种属认定,缩小可疑人员范围。电子数据的特定性取决于其反映的信息的数量、质量和可能出现的范围,其数量越多、质量越高、可能出现的范围越小,则电子数据的特定性越强。比如上述的独知性内容相比于基于硬件设备和软件环境的特征信息质量更高,与操作者的关联更加紧密,则其对人身同一认定的价值更高。
但是这三个因素之间也互有影响,比如电子数据反映的特征信息质量越高,则对数量的要求也相对降低。又比如电子数据的反映特征信息可能出现的范围也决定了对特征的数量和质量的要求,当只在小范围的人群中进行人身同一认定,则对电子数据的反映信息数量和质量的要求就相对低。比如在一起木马入侵案中通过对被害人主机中的木马进行反编译,可以获取该木马中的反映犯罪嫌疑人主机位置的IP地址,但由于IP地址是可以随意改变的,不能与操作者直接关联,以上特征信息只能进行种属认定。然而侦查机关划定的犯罪嫌疑人中仅一人使用过该IP地址,则由于范围的缩小导致对电子数据反映的特征信息的数量和质量要求降低,仅依据IP地址最终也可以认定人身同一。
随着信息化时代的到来,电子数据因为人机交流的频繁,而包含有大量的反映人身的特征信息,未来将成为认定人身同一的重要证据。但是由于目前对于电子数据的人身同一认定的研究寥寥无几,而仅有的研究都错将电子数据作为物证来进行人身同一认定,导致电子数据方面的同一认定研究陷入困境,其理论体系混乱且缺失具体的操作方法。笔者通过对同一认定理论的地位归属的分析,扩展了人身同一认定概念,突破了传统人身同一认定活动只能运用于司法鉴定的限制,确定了电子数据作为人身同一认定依据的合理性和可行性。根据电子数据的特殊关联性对基于电子数据的人身同一认定概念重新定义,即是一种身份识别的证明方法。本文又重新整理了目前在同一认定研究领域中对电子数据的证明形式的观点,提出了个人观点即电子数据是以其信息内容来证明案件事实。而电子数据的反映特征通过分析发现也符合同一认定的三大特性,具有作为人身同一认定依据的科学基础。然后笔者依据信息内容不同将电子数据分为三类,且重点说明了三类主要特征信息的具体证明作用。最后,笔者分析了基于电子数据的人身同一认定主要采取排除法,具体是通过审查电子数据的真实性、关联性和特定性来作出是否同一的意见。