□李 媛
(北京大学 法学院,北京 100871)
互联网时代影响和改变着人们生活的同时也改变了犯罪行为的方式,传统犯罪从物理世界转移到了网络空间,网络诈骗、网络赌博、网络传销等网络犯罪高发,电子证据成为攻破虚拟世界犯罪的主要证据形式。随着互联网技术的发展,刑事侦查中的犯罪现场勘查对象从工业社会的实物类证据向信息社会的数据类证据转变,为了进一步获取远程网络数据,犯罪现场勘查也向网络远程勘验迈进。2020年北京市公安局首次宣布北京市非接触类犯罪数量已经超过了接触类传统犯罪,成为当前犯罪侦查的主要方向。在应对非接触类网络犯罪过程中,侦查技术不断发展,以隐私权为干预对象的非物理接触性侦查措施逐渐出现,远程在线提取电子数据、网络远程勘验、网络技术侦查成为刑事侦查中不可或缺的侦查手段。网络远程勘验最早出自2005年公安部颁布的《计算机犯罪现场勘验与电子数据检查规则》(以下简称“《勘验与检查规则》”)之中,主要是指侦查人员通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和留存的电子数据。目前学界在讨论电子数据取证相关问题时存在网络远程 勘 验、网 络 在 线 提 取、电 子 数 据 取证、电 子 数 据 调 取、网 络 远 程 勘 验 措施、远 程 在 线 提 取 电 子 数 据、网 络 搜查、电 子 数 据 搜 查 扣 押、远 程 搜 查 措施、电子数据收集等多种称谓,概念界定和实践行为之间相对混乱。笔者根据我国电子数据取证相关法律规范和司法解释,对电子数据取证规则体系中的相关概念进行界定和划分,将电子数据取证划分为收集提取电子数据、检查实验电子数据、检验鉴定电子数据三个阶段。收集提取电子数据形成现场取证和在线取证两种模式。在线取证模式中根据在线提取电子证据的技术水平以及侵入强度不同,将在线取证分为三种不同的方式,即网络在线提取,网络远程勘验以及网络技术侦查。网络远程勘验属于电子数据取证在线取证的一种模式。网络远程勘验改变了传统犯罪现场勘查过程中接触式、直接式、亲历式的取证模式,对既有取证规则有一定的冲击和挑战。需要结合侦查实践,首先对电子数据取证行为进行功能划分,明确网络远程勘验在电子数据取证行为中的功能,从而通过勘验论、搜查论视角解析网络远程勘验行为,确定其强制或任意的侦查法律属性,才能制定出一套程序规制规范网络远程勘验行为。
从网络远程勘验在电子数据取证中的功能可以看出,网络远程勘验只是刑事案件电子数据取证的众多方式之一,如何通过网络远程勘验的功能确定其法律定位以及法律性质是网络远程勘验面临的首要问题。目前学界在网络远程勘验的法律定位问题上存在多种观点,主要有勘验论、搜查论、独立论三种代表学说。绝大部分学者在网络远程勘验法律定位问题上主张搜查论,试图将电子数据取证行为纳入搜查措施,适用搜查的强制性法律规范;部分学者主张勘验论,认为网络远程勘验从犯罪现场勘查发展而来,虽有一定网络犯罪的独有特点,但基本可以适用现场勘验规范。从司法实践来看,公安机关将网络远程勘验主体主要设置在刑事技术部门,由现场勘查人员负责网络远程勘验工作,从目前实践的做法来看,网络远程勘验更符合勘验论。网络远程勘验法律定位的第三种主张是独立论,有学者指出网络远程勘验是一种独立的侦查措施,应当脱离传统侦查搜查或勘验的规制模式,建立网络远程勘验以及电子数据取证专门法律规制。但不论是勘验论、搜查论还是独立论,网络远程勘验都应当对其强制侦查手段和任意侦查手段的法律性质进行定位,从而实现相应的程序规制。
传统犯罪现场主要有犯罪现场保留着犯罪证据(痕迹物证),犯罪现场提供犯罪和犯罪行为人的信息以及犯罪现场容易发生变化或遭到破坏的特点,而就网络现场的特点来说,网络现场证据表现为信息流、大数据,犯罪证据主要是电子证据,电子证据有易丢失、保存时间短、现场难恢复等特点。传统犯罪现场勘查包括现场保护、现场勘验、现场访问、现场分析四个主要板块内容,网络远程勘验同样包括网络犯罪现场保护、网络远程勘验、网络在线访问以及网络现场分析四个方面的内容。网络远程勘验通过还原和提取犯罪嫌疑人删除的网络痕迹,从数百万条电子数据中找到破绽,回溯犯罪过程,通过缜密的侦查思维解码电子证据,让电子数据“说话”。网络远程勘验过程就是对电子数据进行保护存储、收集提取、数据恢复、取证分析,并将其转化为具有证据能力和证明力的证据进入起诉和审判阶段的过程。从这个意义上说,网络远程勘验是犯罪现场勘查的延伸。
从公安实践来看,网络远程勘验包含在犯罪现场勘查工作中,一般交由现场勘查人员对案件涉网部分进行进一步网络远程勘验。网络远程勘验根据《公安机关犯罪现场勘验规则》和《电子数据取证规则》加以规范,勘验人员从现场勘查提取痕迹物证到现场勘查提取电子数据再到网络远程勘验,公安机关勘验主体都是刑事技术部门,其定位更倾向于“犯罪现场勘查”功能的网络延伸,也就是网络远程勘验司法实践更倾向于“勘验说”。当前公安机关在现场勘查工作中全面推开网络远程勘验,刑事技术人员实现犯罪现场勘验和网络远程勘验两项主要工作,实现了公安电子数据取证工作从网安部门的专业化向全警种适用的发展趋势。网络远程勘验针对专门的网络犯罪和传统犯罪网络化的部分,对接传统犯罪现场勘查,成为当前犯罪侦查的主要侦查措施。从实践上来说,勘验论更符合我国当代犯罪与侦查实践。网络远程勘验不以发现、占有某种信息、数据为目的,而是在于认识、分析获取信息,以信息获取为行为目的、以五官感知为行为方式,属于勘验的范畴。犯罪现场勘查向网络远程勘验迈进,标志着网络远程勘验的法律定位是现场勘查的进一步延伸。
电子数据取证的手段有多种方式,从2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(简称“《电子数据规定》”)和2019年《公安机关办理刑事案件电子数据取证规则》(简称“《电子数据取证规则》”)以及其他电子数据取证法律规范和司法解释中得出,电子数据取证手段主要有收集、提取、获取、调取、勘验、检查、技术侦查等多种方式。学界多数学者在电子数据取证手段性质上提出电子数据搜查扣押的观点。从《电子数据搜查、扣押的法律规制》一文开始,搜查扣押电子数据的相关法律规制逐步受到关注。电子数据最早是与手机等通信设备同时收集的,也就是搜查手机等有体物的同时对电子数据进行了提取,那么从这个概念出发,可以提炼出对电子数据的搜查扣押。梁坤在《论远程搜查措施在侦查程序规范中的定位》一文中指出远程搜查不同于网络远程勘验,与网络技术侦查手段有一定交织,当前法律规范和司法解释没有对网络搜查进行规制。《刑事侦查中远程在线提取电子数据的规制》一文中提出远程在线提取电子数据的法律属性属于广义搜查,从行为方式和目的、侵入性、隐私期待等多个角度考量,属于搜查的属性。远程在线提取电子数据往往具有侵入性,具有强制侦查的特征,属于广义的搜查范围。谢登科在《电子数据网络远程勘验规则反思与重构》中指出,在电子数据收集中存在“借远程勘验之名,行搜查之实”的现象。学者们对于电子数据取证侦查行为提出搜查论的视角,网络远程勘验归于搜查论属性。部分学者指出,在《电子数据规定》和《电子数据取证规则》以及多年来的电子数据取证法律规范和司法解释中并未提到任何电子数据搜查扣押的用词和规制,有试图跳出搜查论视角,对网络远程勘验实行缓冲的审批程序之嫌。
近年来,学者们所提出的网络远程勘验搜查论视角,主要是针对网络远程勘验行为的两个方面特征进行分析,一是勘验行为是否得到同意,二是勘验行为的侵入性强弱。网络远程勘验的前提一般是经事主同意进入网络空间进行勘验,网络远程勘验重点勘查的是涉及犯罪的网络现场,包括窝点、网络流等网络现场,基本都跟犯罪信息有关,侵犯公民个人信息能力弱。网络技术侦查则主要是未经事主同意,“翻墙”或采取黑客手段进入事主私人系统进行网络勘验,网络技术侦查具有与搜查同比的强制性,侵入性强,对公民个人隐私权利的侵入性大,需要进行有效规制。以德国的线上搜索为例,线上搜索是指秘密侵入他人网络资讯系统进行搜索。从这个定义来看,线上搜索跟普通的网络远程勘验性质不同,线上搜索类似网络技术侦查。从传统侦查措施角度来看,线上搜索类似秘密搜查侦查措施。应当区分网络远程勘验和网络技术侦查之间的区别,在网络信息技术全面介入犯罪侦防过程中,传统的刑事诉讼规则在评价具体侦查行为与侦查对象之间相关时是存在理论和实践困境,搜查规制套用在电子数据取证行为中有其一定的控制失灵的态势。
独立论认为网络远程勘验是一项独立的侦查措施,其不同于其他电子数据取证手段,同时也脱离了传统的勘验方法和技术,是一种独立的侦查措施。随着网络犯罪的高发态势,网络远程勘验成为刑事案件中的一项常规必要侦查措施,需要建立一整套规制体系适用在侦查过程中。
伴随网络犯罪的高发态势,电子数据取证成为刑事诉讼中不可或缺的技术手段。电子数据取证目前定性为取证手段(证据方法)或侦查行为(侦查措施),关系到侦查大数据效率和隐私权法益。电子数据取证手段的不断发展就是在平衡隐私权法益和侦查效率二者关系中进行的。借鉴传统犯罪现场勘查和侦查措施的分类,网络犯罪侦查也可以分为取证手段和侦查措施两种类型。网络现场勘查包含两个部分,一方面是犯罪现场的实物提取,另一方面是犯罪现场的电子数据提取。网络现场除包括犯罪现场的电子数据还包括远程网络系统中的电子数据等内容,所以网络现场勘查还包括对远程系统的勘查,也就是网络远程勘验。网络现场也可开展冻结电子数据、电子数据检查等侦查措施。技术侦查同时适用于传统现场和网络现场。在2019年《电子数据取证规则》中,电子数据冻结、调取电子数据、电子数据检查、电子数据侦查实验、电子数据鉴定被认为是电子数据的侦查措施,但网络远程勘验不具备侦查措施的性质,只是一种线上取证手段。
网络远程勘验的属性判断主要取决于是否干预公民基本权利。根据对搜查这项侦查措施的基本法律规定来看,搜查扣押的适用对象是有体物,基本理念根植于物理场域的犯罪治理模式,搜查规则限制的是侦查人员接触人的身体、物品、住所和其他有关的地方,现有法律对于搜查的规定主要介于对搜查行为的物理场域中,而技术侦查等以非物质课题为侦查对象的措施往往被视为特殊措施而适用特别规定。电子数据搜查在电子数据取证初期曾经起到一定的规制作用,公安机关在现场勘查取证过程中,对现场与犯罪有关的电子设备必要时进行搜查、查封、扣押,同时搜查、查封、扣押现场设备中的电子数据。但随着电子数据取证范围的扩大与广泛适用,将电子数据取证中的各种技术措施一味套用搜查措施形成规制略显尴尬。在电子数据取证初期,电子数据主要来自犯罪现场提取的电子数据,适用搜查措施将搜查犯罪现场实物证据和电子证据放在一起规制是比较好的规制方法。但是,当前大量犯罪案件通过网络远程勘验、网络技术侦查的方法对案件进行证据调取,已经不再有犯罪实物现场可供搜查扣押和现场勘验,继续适用搜查规制电子数据取证显得很牵强。而学者们适用搜查来规制电子数据的主要目的是利用搜查作为强制性侦查措施的强制性特点,使其需要获得令状主义的审批,并受到司法审查。但即使不参考搜查措施来规制电子数据取证,电子数据取证中网络远程勘验、网络技术侦查具有强制性侦查的法律属性,同样需要对其进行令状主义的审批和司法审查,甚至将一些侵占性强的电子数据取证方式定性为技术侦查更有利于对其进行规制和整合。
从一定角度来看,采取技术侦查的远程勘验不应划归在网络远程勘验的范围之内,网络远程勘验借鉴传统现场勘查的勘验规则和电子数据取证规则,更偏向于勘验性质,而需要技术侦查的远程勘验应当定义为网络技术侦查手段,升级到下一个层次,成为技术侦查措施,属强制侦查措施。在我国刑诉法中,现场勘验和技术侦查是两种不同法律属性的侦查方法,二者分别属于任意侦查措施和强制侦查措施,在适用网络技术侦查时,需经过审批程序、适用主体、适用原则、非必要不使用、比例原则等多种规则严格规范网络技术侦查,不能将网络技术侦查混同在网络远程勘验中。学者们在电子数据取证手段上讨论更多的其实是网络技术侦查,网络技术侦查本身就属于技术侦查的一种,应当严格按照当前技术侦查的程序规范进行约束,不应划归到搜查论中通过搜查规制其程序规范。而网络远程勘验由于其侵入性还未达到技术侦查程度,不应以搜查论视角进行约束。
总而言之,搜查论来源于电子设备搜查中同步搜查电子数据,适用搜查论,主要基于物理场域的规则设计;而当前适用较多的是远程网络,非接触式的网络犯罪现场适用网络远程勘验,继续适用搜查论,未免牵强。搜查旨在发现隐匿于封闭场所的犯罪信息并予以扣押,从这个角度来讲,网络远程勘验中对封闭隐藏的网络环境进行勘验探索,获取相关犯罪信息以及通过类似黑客方式进入对方网络环境中获得信息属于网络技术侦查,适用技术侦查程序规范。不论是否划归搜查,都应当建立层级审批严格的网络远程勘验规则体系,区分强制侦查和任意侦查。
我国相关司法解释目前对网络远程勘验的法律性质定位不明确。《电子数据规定》和《电子数据取证规则》作为两部重要的现行电子数据法律规范,对于网络远程勘验以及电子数据取证的强制侦查和任意侦查属性规定不明,也没有进行科学划分。学界对其法律性质的界定聚焦在强制侦查说和任意侦查说两个方面。在传统侦查中,强制侦查是指使用会对被侦查人的重要权益进行强制性侵犯的侦查手段,包括逮捕、羁押、扣押等行为;任意侦查则是指不会对被侦查人的重要权益造成强制性侵犯的侦查手段,如现场勘查、询问知情人、询问非在押的嫌疑人等。划分强制侦查和任意侦查手段的标准主要有强制性、侵害性、知悉性、公开性等多个条件,可以根据网络远程勘验的现实功能出发,以勘验论定位为中心,解构网络远程勘验,从而确定其强制侦查或任意侦查的法律性质。
在网络远程勘验的定位厘定中,笔者支持勘验论定位。勘验论和搜查论争论的焦点其实在于对网络远程勘验这一侦查方法的强制性的判定。支持搜查论学者的主要观点是将网络远程勘验认定为强制侦查,其适用正当性需要约束性规范的制约。从网络远程勘验的内部原理和工作模式来看,网络远程勘验更应该偏向勘验论,是现场勘查的进一步延伸。但这并不意味着网络远程勘验就不具有强制性,不是强制侦查措施。从在线取证的内部行为来看,对于远程目标系统中的电子数据取证主要包括三种方式:网络在线提取、网络远程勘验、网络技术侦查。对在线取证三种方式进行定性:网络在线提取定性为侦查技术,类似公安部规定的五大侦查技术:DNA、技侦、网侦、视频和资金查控,网络在线提取近似于网侦技术,是一种侦查技术而不能定性为侦查措施;网络远程勘验应当取“犯罪现场勘查”的延伸发展,是一种现场勘查方法,不能认定为搜查扣押;网络技术侦查则属于技术侦查手段,属于强制侦查措施,主要根据电子数据是否承载相应权益及其承载权益的重要程度而将其分为强制性侦查或任意性侦查,二者之间存在转化关系。对《电子数据规定》和《电子数据取证规则》中的相关规范条文进行类型化分析,可以分析出网络在线提取、网络远程勘验、网络技术侦查三者不同的法律属性:网络在线提取属于一般的静态网络数据提取,属于任意侦查手段;网络远程勘验受到自愿性和强制性特点的限制,具有任意侦查和强制侦查的共同特点;网络技术侦查则属于强制侦查手段,电子数据搜查说也可以划归到网络技术侦查手段中,实现强制侦查法定主义。
在线取证随着网络技术和侦查技术的不断发展,从简单的在线提取相关数据(静态电子数据),发展到对网络远程数据(动态电子数据)进行勘验、分析获取,最后发展到网络技术侦查(动态电子数据),强制性逐级增强。根据《电子数据规定》《电子数据取证规则》,对于远程计算机系统的电子数据通过网络在线提取,可见网络在线提取是在线取证的第一步,法律性质属于任意侦查。当需要进一步查明相关情况时,包括分析判断电子数据范围、展示描述电子数据内容或状态、在远程系统中安装新的应用程序、生成新电子数据、对远程计算机系统状态或文本目录收集的情况下,进行网络远程勘验。可见,网络远程勘验是网络在线取证的第二步发展,兼具任意侦查和强制侦查性质。随着网络技术和侦查工作的不断发展,公安机关在电子数据取证过程中,出现了三个层级的发展,并且电子数据取证的强制性功能逐渐增强,技术性也逐渐增强,网络技术侦查已经是比较认可的“强制侦查”。
传统犯罪现场取证主要包括对犯罪现场中的实物痕迹和电子数据的提取,电子数据提取主要针对的是犯罪现场的电子数据。近年来,随着以电信诈骗为主的非接触类犯罪成为主流犯罪,通过网络投资平台诈骗、刷单返利诈骗、裸聊敲诈勒索以及贷款代办信用卡诈骗等成为高发的案件类型,针对此类犯罪往往没有接触式的犯罪现场可供提取电子数据。电子数据取证方式向着远程网络的方向推进,主要通过网络在线提取、网络远程勘验以及网络技术侦查的方式进行网络远程取证。网络远程勘验是指通过网络对远程目标系统进行勘验检查,以提取、固定远程目标系统的状态和留存的电子数据,为案件情况和案件发生过程的分析判断提供依据,确定案件侦破方向和调查范围,为破案和刑事诉讼提供重要支撑。以北京市公安局刑事技术“四勘合一”模式为例,在应对非接触类犯罪过程中,根据《非接触网络犯罪案件现场勘查取证工作规范》要求,将网络现场划分为终端—网络流—窝点—服务器四个方面,开展涉网案件分级分类勘查工作,构建现场勘查人员初期勘查查找线索,侦查查控确定嫌疑目标,勘查侦查联动窝点取证、电子物证远端勘查的侦办模式。
报案人的终端设备是非接触网络犯罪的主要现场,是侦查办案的起点,包括涉案的微信、QQ、手机号、银行账号等均能成为非接触类犯罪的网络现场。报案人终端设备的现场勘验可以获取第一手涉案信息。通过规范固定数据结构,快速准确采集终端数据关系到案件侦办的方向。根据2021年1 月至4 月北京市公安局对非接触类犯罪相关统计调查,从嫌疑人与被害人首次接触方式来看,350 名被害人中适用QQ、微信接触的231 人,占比66%;适用其他网络工具接触的60 人,占比17.14%;适用电话接触的42 人,占比12%。公安机关通过全警采集涉案终端电子数据的方式,应用对接采集模块做到100%采集。当前公安机关逐步在终端勘验上形成全警实施的方式,全面推进声纹采集和APK采集确保电信诈骗等非接触类犯罪线索精准全面。
非接触网络犯罪中,犯罪嫌疑人在搭建、发布、维护APP和网站的过程中,容易在网络和第三方服务商系统中遗留电子数据信息。在终端勘验后,对具备条件的案件进行网络流勘验,挖掘发现各类痕迹信息,结合向第三方调证查询,落地嫌疑人使用的设备或人员身份,形成靶向线索,开辟打击非接触犯罪新方向。侦查人员尤其是侦查技术人员负责对涉案电子数据网络流进行勘查,对被害人电子数据的涉案网址、二维码、应用程序等开展网络电子数据的固定和提取,形成APP 静态和动态分析。在网络远程勘验中,涉案APP 可以当成传统犯罪中的涉案工具(刀枪棍棒),APP是非接触类犯罪中的主要作案工具。网络远程勘验中最常见的是对APP 进行溯源分析,通过提取被害人涉案APP,从APP 的封装和分发环节入手,快速批量发现涉案APP,实现人案关联。依托警企合作机制,搭建技术分析研判平台,针对网络流勘查信息进行案件串并。
非接触类网络犯罪实施地现场是指直接实施犯罪的话务窝点、转账水房等,以及与之有关联的软件制作、网络维护等帮助犯罪实施的场所。对犯罪实施地勘查取证,一般在反诈部门组织下,由现场勘查人员会同电子物证专业人员共同开展,全面收集固定书证、物证、电子物证等证据,证明犯罪行为、深挖侦查线索、提供诉讼证据。窝点勘查是发现、收集、提取、固定、保全涉案电子物证的重要工作。根据网络流勘查和相关侦查研判,在窝点对犯罪嫌疑人实施抓捕并开展窝点勘查工作,一是按照电子物证取证规则进行勘查,满足司法诉讼需求;二是根据嫌疑人使用的开发服务记录和涉案数据,分析其作案细节,提高侦查的速度和精度;三是通过聊天、交易等信息,纵向发掘嫌疑人上下线交易人员,横向发现相似犯罪人员,为全链条、规模化打击提供线索。
大量实施网络犯罪的服务器架设在境外,勘查难、取证难成为当前电信网络犯罪治理中的痛点。侦查人员运用数据库相关技术,按照《远程主机数据获取规范》,获取远程服务器中受害人相关信息、嫌疑人维护操作记录等数据,有效证明嫌疑人主观明知的犯罪故意,完成证据链闭环,成为定罪量刑的重要一环。公安机关对网络犯罪中的涉罪企业开展远程勘验,一方面要注重保护国家注册的规范的大数据网络公司信息,另一方面要对企业涉罪行为开展远程勘验。从性质上说,远程服务器勘验并未获得勘验对象的知悉和自愿,更倾向于网络技术侦查。
表1:网络远程勘验规则的发展脉络
从2005年公安部《计算机犯罪现场勘验与电子数据检查规则》开始到2020年《北京市公安局非接触类犯罪案件现场勘查规范》,我国已经初步建立了网络远程勘验的程序规制,形成了层次分明的规范体系,为下一步《刑事诉讼法》修改提供了参考。追溯电子证据勘验规则应从2005年《计算机犯罪现场勘验与电子数据检查规则》开始,这是我国第一部计算机犯罪现场勘验和电子数据取证相关规则。2012年《刑事诉讼法》修改,电子数据正式成为法定证据种类之一,由此《公安机关办理刑事案件程序规定》对电子证据相关提取规则做出了相应规定。两高一部在2014年制定的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》中进一步对收集提取电子数据相关内容进行规定。2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和2019年《公安机关办理刑事案件电子数据取证规则》是当前比较全面的电子数据取证法律规范。2018年公安部根据中华人民共和国公共安全行业标准制定了《法庭科学远程主机数据获取技术规范》。2020年北京市公安局根据非接触类犯罪的发展态势,制定了《非接触类犯罪案件现场勘查规范》。以我国现有的法律规定为基础,梳理网络远程勘验规则的发展脉络(如表1)。目前电子数据取证操作性规范多,约束性规范较少,原则性强,具有一定模糊性。需要对网络远程勘验进行规制,包括外部的令状主义和司法审查以及内部审批,从而实现对网络远程勘验行为的规制以保护公民个人隐私权。
在现行法律规范下,网络远程勘验提取电子数据规范主要包括两种类型,一种是从侦查行为的角度进行规范,例如《公安机关刑事案件现场勘验检查规则》,一种是从证据方法的角度进行规范,例如《公安机关办理刑事案件电子数据取证规则》。证据方法和侦查行为是一个问题的两个维度的表达,证据方法侧重于从证据法学的角度研究如何提取证据,侦查行为是从诉讼程序的角度研究如何开展侦查勘验,而开展侦查勘验也是为了提取证据。另外,网络远程勘验既适用传统实物现场勘验规则,又适用电子数据取证勘验规则,受到接触类和非接触类犯罪双重现场勘验规则的限制。
1.侦查行为规范
从侦查行为角度出发,网络远程勘验规范体系主要包括2005年《计算机犯罪现场勘验与电子数据检查规则》、2012年《公安机关办理刑事案件程序规定》、2014年《网络犯罪案件适用刑事诉讼程序》以及2020年《非接触类犯罪案件现场勘查规范》。
我国第一部《计算机犯罪现场勘验和电子数据检查规则》对远程勘验进行了界定,即通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。从侦查主体来看,2005年勘验和检查规则规定由具有专业知识和组织指挥能力的人民警察担任勘验检查指挥员;2020年我国现行勘验检查规则中规定,勘验检查侦查主体已经扩展到了公安机关的技术部门和网安部门的警察,侦查主体向全警化逐步扩大。2005年我国已经提出远程勘验的概念,但受到技术和法律的制约,远程勘验在2019年开始成为侦查方法并在刑事司法活动中开展起来,尤其是公安机关将远程勘验主体下放至整个侦查技术部门,而不限于原来的具有专业技术能力的网安部门,网络远程勘验开展大范围的应用。2012年我国《刑事诉讼法》新增电子数据为证据种类之一,但对电子数据相关取证规则并未规定。2012年《公安机关办理刑事案件程序规定》首次将电子邮件纳入搜查扣押的范围。两高一部在2014年制定《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》,其中对收集提取电子数据相关内容进行了规定,没有提出网络远程勘验的内容。《北京市公安局非接触类犯罪案件现场勘查规范》《北京市公安机关非接触类犯罪案件现场勘查取证工作规范(试行)》《北京市公安机关派出所非接触网络犯罪涉案电子数据的提取固定方法》等文件,对非接触式犯罪侦查中信息采集固定、勘查操作方法等做出具体指引。非接触类网络犯罪案件根据其犯罪特点,在案件受理、初查、立案、侦查、抓捕等不同阶段的现场,采取相应的现场勘查和侦查措施。网络远程勘验包含在犯罪现场勘查工作中,包括被害人涉案电子数据的固定提取、被害人涉网电子数据的网络流勘查及查证、犯罪实施地的现场勘查取证、网络空间涉案电子数据固定提取四个方面。
2.证据方法规范
2016年《电子数据规定》和2019年《电子数据取证规则》是两个主要的网络远程勘验证据方法规范。《电子数据规定》在电子数据的收集和提取中,对于原始存储介质位于境外或远程计算机信息系统上的电子数据,可以网络在线提取,为了进一步查明情况可以进行网络远程勘验,网络远程勘验依法经过严格批准手续的可以进行网络技术侦查。这是首次对电子数据收集提取提出了三种方式:网络在线提取、网络远程勘验、网络技术侦查,三种方式的强制性逐渐增强,批准和程序逐渐增强。根据2019年《电子数据取证规则》,对于电子数据取证明确进行了三阶段划分:收集提取电子数据、电子数据检查和侦查实验以及电子数据检验与鉴定。收集提取电子数据不同于调取电子数据,调取电子数据类比侦查措施,不同于电子数据收集提取的证据收集方法。《电子数据取证规则》提出了网络远程勘验的适用方法,但没有对具体程序、勘验方法、勘验主体等进行规定。
1.传统实物现场勘验规则
2005年《计算机犯罪现场勘验与电子数据检查规则》和2020年《非接触类犯罪案件现场勘查规范》是从犯罪现场勘查角度对电子数据进行程序规制的两个规范。2005年《勘验与检查规则》将勘验划分为现场勘验和远程勘验两个部分,并提出了电子证据检查的概念,对现场勘验笔录、远程勘验笔录、电子证据检查笔录的内容进行了相关规定。2020年《非接触类犯罪案件现场勘查规范》将网络远程勘验包含在犯罪现场勘查工作中,以现场勘验规则作为网络远程勘验的上位法则,对终端勘验、网络流勘验、窝点勘验以及远程服务器勘验进行了规定。
2.电子数据取证规则
2016年《电子数据规定》和2019年《电子数据取证规则》是电子数据取证规则中的两个比较详细的规范。2016年《电子数据规定》对收集提取电子数据进行了规范,2019年《电子数据取证规则》进一步规范了收集提取电子数据的后续行为,即检查实验电子数据和检验鉴定电子数据两个阶段。2019年《电子数据取证规则》对网络远程勘验的适用必要性、适用主体、组织指挥、见证人、《远程勘验笔录》、同步录音录像等问题进行了规定,基本形成了网络远程勘验的取证规则体系。2018年《法庭科学远程主机数据获取技术规范》规定了以远程访问的方式获取远程主机数据的方法,该标准适用于法庭科学领域电子物证检验中对远程主机数据的获取检验。
对网络空间中的电子数据进行取证,从单一提取发展到远程勘验再到技术侦查,从单一的取证方法发展出了多元化、多性质、多功能的电子数据取证体系,从而针对不同的网络取证手段制定阶层不同的适用规则加以规范。有必要对在线取证三种方式的法律性质进行厘定,通过对侦查技术、现场勘查、侦查措施的不同定义,形成从任意侦查措施向强制侦查措施的转化,并以此为基础建立科学的在线取证规则体系,构建网络远程勘验程序规则体系。
1.网络远程勘验适用现场勘验规则和电子数据取证规则双重规则加以规范
当前我国网络远程勘验立法中主要通过电子数据取证规则进行规范,公安机关在司法实践中主要适用现场勘验规则进行规范,应当从侦查行为和证据方法两个维度出发,在勘验论的视角下通过传统实物现场勘验规则和电子数据取证勘验规则的双重规则加以规范,打通双重规则之间的一致性。
2.网络远程勘验适用比例原则获得正当性
网络远程勘验的正当适用从积极层面而言,意味着权力需要具备正当性基础,从而明确规定必要的强制手段;从消极层面来看,则意味着如何对其进行有效的束缚以应对国家刑罚权不当扩张的高度警惕。将这两个层面进行联结的一个思路就是适用比例原则,通过比例原则中的正当性原则、适合性原则、必要性原则和狭义比例原则四项子原则使得数据侦查行为中的网络远程勘验获得正当性和合比例性的立法思路。
3.网络技术侦查的强制侦查性质决定了其严格的启动程序
在《电子数据规定》和《电子数据取证规则》以及部分学者的研究分析中,网络远程勘验被视为搜查性质从而确定其强制侦查属性,但同时也承认一部分网络远程勘验行为并不具有强制性。笔者认为,解决这一问题的方法是将在线取证方式进行解析和体系重构,将普通的网络在线提取行为,提取现场主要是公开网络的行为认定为网络在线提取,制作《网络在线提取笔录》。《网络在线提取笔录》只有收集提取电子数据的功能,主要是说明电子数据的来源,不能单独作为证据使用,此级别的在线取证方式不具有强制性,侦查人员可以依据刑事案件侦查需要提取并制作《网络在线提取笔录》;网络远程勘验兼具收集提取电子数据和进一步收集相关信息,查明有关情况的功能,侧重于侦查人员分析、判断、发现虚拟现场,解析电子数据蕴含的犯罪线索等,类似传统现场的犯罪现场勘查。网络远程勘验的法律属性可借鉴犯罪现场勘查,以勘验论为视角其兼具强制侦查和任意侦查的双重属性。而对于具有强制侦查属性的网络远程勘验,升级成为网络技术侦查,严格按照强制侦查的原则实行,实行严格的启动程序。对于网络技术侦查的启动需要构建客观的启动证明标准,并贯彻最后手段原则。
4.勘验论视角下电子数据取证分层规则的构建
在传统犯罪侦查中,电子数据取证已成为常规的侦查方法。随着非接触式犯罪的高发态势,非接触式犯罪已经超过传统犯罪成为主要犯罪形式,电子数据取证方式在非接触式犯罪侦查中起着至关重要的作用。需要对电子数据取证建构一整套规范体系,适应电子数据取证发展的需要。通过将电子取证划分为三个阶段,将收集提取电子数据阶段划分为现场取证和线上取证,再将线上取证划分为网络在线提取、网络远程勘验、网络技术侦查,从而使得电子数据取证规范体系形成闭环,根据电子数据取证方法的特点构建一整套电子取证规范,不再适用搜查措施的相关强制性规范来约束电子数据取证。整合当前对电子数据取证的各种称谓,统一在法律规范中划分体系和种类。规范收集、提取、调取等不同取证手段和审批等级,分层构建网络远程勘验程序的规则体系。在传统物理场域下用于规制侦查行为的制度规则面临适用困境,数据侦查行为的正当性和合比例性要求对电子数据取证行为进行技术结构,在各个层级分别建立不同的规则体系规范其行为。
随着信息革命的不断发展,刑事司法领域从物理场域向数字场域转化。电信网络诈骗犯罪改变了整个犯罪治理模式,使得其侦查行为也由接触式的取证采痕,转化为非接触式的网络侦查模式,网络远程勘验、网络技术侦查等兴起,原来在物理场域下适用的侦查规制模式逐渐受到挑战而需要对数字场域下的犯罪治理模式构建一套新的电子数据取证模式。随着网络时代的到来,网络远程勘验对于非接触类犯罪的网络强关联性成为侦查机关的必要手段并在司法实践中被广泛应用。网络远程勘验作为侦查必要手段,在实践中的适用范围和程度远远超过了理论界、立法界、司法界对于电子数据取证属性及规制的讨论。但由于立法和理论的缺失,侦查人员在网络远程勘验中遇到了相当多的困惑。当前,公安机关在网络远程勘验中存在的最大问题是网络远程勘验技术无法达到效果,“以专打专”局面尚未形成,网络远程勘验往往是公安机关交给相关数据或网络公司进行勘验,这就导致网勘侦查权的流失或是侦查主体的异位,缺乏监督的网勘权容易滋生各种问题。公安机关在勘查取证中可以指派或聘请具有专门知识的单位和人员参加,但同时应当加强公安机关自身内部技术人员网络远程勘验的水平和技能,通过构建网络远程勘验的体制和机制建设应对电子数据取证时代的全面到来。