近年來,僞基站案件層出不窮,行爲人通過使用僞基站設備佔用合法基站信道,僞裝其信息發送來源向不特定用戶大量發送詐騙信息、垃圾廣告、色情等違法的內容,嚴重危害了公民的人身財產安全、干擾了國家無線電管理秩序,造成了嚴重的社會危害。僞基站案件由於其具有較強的隱蔽性、技術性和流動性,給有效打擊僞基站犯罪製造了較大障礙。僞基站案件中電子證據如何適用則是打擊僞基站犯罪的核心難點,也是僞基站案件定罪量刑的關鍵。
一、僞基站電子證據的基本範疇
2013年《刑事訴訟法》確立了電子數據作爲一種獨立的證據類型進行司法適用,肯定了電子數據在刑事司法領域的地位。然而司法實踐中,對電子數據、電子證據兩詞的使用一直模糊不清。根據公安部公共信息網絡安全監察局《計算機犯罪現場勘驗與電子證據檢查規則》的規定,電子證據包括電子數據存儲媒介和電子設備。因此,電子證據是電子數據的上位概念。
僞基站的設備構成主要包括基站發送裝置、天線及搭載基站工作的電腦。僞基站案件的證據方面既包含電子設備基站發射器,又包含電子數據存儲媒介電腦,即包含了電子數據存儲媒介和電子設備兩個概念,所以在討論僞基站案件證據適用問題時,使用電子證據一詞更爲恰當。下文基於以上概念解析,針對僞基站案件中電子設備與電子數據存儲媒介的調查取證分別進行分析,對於其中的核心部分即電子數據進行司法適用方面的簡要分析。
二、僞基站案件電子設備的調查取證
針對電子設備的調查取證步驟爲電子設備檢查、電子設備信息提取、電子設備鑑定與電子設備方面證據固定。電子設備檢查是針對證據潛在來源,注意設備與外界屏蔽,對電子設備保護證據現場;電子設備信息提取是指對電子設備中存儲的信息創建一個精確的鏡像文件,電子設備鑑定是指對電子設備的性能與功能等進行監測與分析;電子設備方面證據固定是在鑑定與調查的基礎上撰寫電子設備監測報告或出具電子設備鑑定意見。
(一)僞基站案件電子設備檢查
僞基站本身是一個發送裝置,並不具有存儲功能,其數據存儲是依賴能夠進行數據存儲、運算的計算機操作系統,即存在於涉案的筆記本、臺式或平板電腦裏。僞基站運行依賴於操作電腦的系統通常爲Windows系統上搭載ubuntu系統或linux系統,採用文件目錄的形式進行存儲。目前僞基站本身技術也在更新,逐漸出現了新型號的僞基站,但基本仍採用文件目錄存儲狀態。僞基站中的電子數據存儲文件目錄相對較爲明確,且容易被刪除、篡改,對於僞基站案件應查封、扣押涉案的電腦、僞基站等全部硬件設備。
(二)僞基站案件電子設備信息提取
在進行證據現場保護的前提下,由於僞基站設備的數據不穩定性,對電子設備提取證據要遵循以下注意事項:首先,注意檢查過程中對設備與外界進行屏蔽;第二,不要輕易改變設備狀態;第三,技術人員現場參與。
儲存數據信息的電腦通過遠程控制可以非常輕鬆對文件系統中的內容進行查詢、增加、刪除和修改,因此檢查過程中的屏蔽有助於避免通過外界信道對涉案電子數據信息進行刪除篡改。不要輕易改變設備狀態是指如果電子設備處於關閉的狀態不要輕易開機查看,應帶回有信號屏蔽的區域由技術人員進行開機檢測,而如果電子設備處於開機狀態應儘快記錄所顯示的信息並獲取鏡像文件,因爲改變計算機電源狀態有可能激活設備鎖,從而導致數據滅失;當然在此過程中保持電源連通、保持持續電力不失爲一種有效可行的方法。
(三)僞基站案件電子設備的鑑定
僞基站作爲一類非法使用的無線電發射設備未取得電信設備進網許可和無線電發射設備型號覈准,所以對僞基站設備進行的鑑定也應當包含兩個方面,一是該僞基站是一種無線電發射設備,具備使用正常基站頻道向不特定用戶大量發送通訊信號的功能,二是該設備並未取得電信進網許可和無線電發射設備型號覈准。
在僞基站設備的功能測試、無線發射射頻指標檢測方面尚未發佈國家統一的檢測標準,但基於僞基站設備的工作原理和其非法使用的實際,通過在電波暗室裏搭建相應的通信系統,可以驗證僞基站設備能夠捕獲移動終端用戶,阻斷正常通信的功能;通過對僞基站設備的簡單操作可以驗證僞基站發送短信的功能;通過對其射頻指標的檢測可以驗證僞基站可以覆蓋的無線電頻率範圍。基於以上驗證,可以得出僞基站是一種無線電發射設備,具備使用正常基站頻道向不特定用戶大量發送通訊信號的功能的鑑定意見。對於後者而言,取得國家電信進網許可和無線電發射設備型號覈准的設備表面應當貼有國家進網許可等標識,根據誰主張誰舉證的原則,基站設備持有人應當出示設備具有電信設備許可等相關證明文件,如果機器表面沒有此類標識而基站設備持有人又不能出示該設備的電信設備許可等證明文件,即可證明該設備未取得電信設備進網許可和無線電發射設備型號覈准。
(四)僞基站案件電子設備方面證據固定
通過上述兩方面鑑定,可以得出僞基站作爲一類非法使用的無線電發射設備未取得電信設備進網許可和無線電發射設備型號覈准的初步鑑定意見,將以上檢測過程通過檢測報告或鑑定意見的形式固定下來,可以作爲證明案件事實的材料。
三、僞基站案件電子數據的調查取證
通過對電子設備中存儲信息中提取的電子數據進行分析和鑑定,以此作爲推定案件情況、證明案件事實的證據材料。
(一)僞基站案件電子數據取證分析
上文提到僞基站中電子數據存儲於基於Linux系統的文件中。Linux文件系統取證分析過程的'優勢是一旦獲取鏡像文件,就可以在任何基於Linux的系統或任何通用的取證工具上進行分析,根據現有常見的GSMS型“僞基站”設備的工作原理,在其發送短信過程中一般會形成三層發送記錄數據。
第一層:“僞基站”軟件界面顯示的發送短信數。具體表現形式爲現場勘驗時製作的“僞基站”軟件工作截屏。但該數據比較容易被人爲修改。
第二層:“僞基站”軟件記錄的發送短信日誌。具體表現形式目前多見爲文件所記錄的數據。該日誌一般會在發送短信時統計收到短信用戶的IMSI識別碼,通過對IMSI識別碼進行數據統計,能夠得出受到影響的用戶數量。該數據一般非專業人員不易修改。
第三層:“僞基站”軟件記錄的軟件工作日誌。具體表現形式目前多見爲文件所記錄的數據。該日誌描述了“僞基站”運行、配置以及其與手機交互相關關係,通常會形成四類數據:第一,用戶換網記錄;第二,鑑權記錄,即用戶手機到僞基站進行身份認證;第三,鑑權後發送短信的信令消息記錄;第四,脫網記錄。這四類數據中的後兩類能夠反映中斷的用戶數。但由於僞基站設備對數據處理能力的限制,該日誌記錄的數據存在記錄不完整的缺陷。
(二)僞基站案件電子數據鑑定問題
電子數據鑑定應當保證數據的真實性、完整性、可靠性。通過電子數據鑑定查明某一現象或某一事件形成的原因,通過對客體的鑑定確定被懷疑的某種事實是否存在,過鑑定確定受審查事實的嚴重程度,即確定案件因果關係、確定事實的有無和事實的程度。
1、電子數據鑑定原則
第一,電子數據真實性原則,即對電子數據真僞及形成過程進行鑑定。第二,電子數據完整性原則,即優先考慮對電子數據內容進行恢復與識別。
對犯罪嫌疑人所使用的電腦進行數據恢復,有助於確定其使用設備發送短信的內容、數量以及影響用戶的數量。新型號的僞基站開始具備每日清除數據的功能,再生性是電子數據與傳統數據相比差異最大的特徵,這也是由其本身的高科技性決定的物證書證如果被銷燬就無法重生,刪除的電子數據通常可以藉助專業的數據恢復軟件得到恢復。
爲什麼刪除的電子數據可以恢復?其實,在刪除電子文件的時候並沒有真正刪除存儲於磁盤空間上的數值運算,只是修改了文件分配表(FAT)文件分配表相當於目錄索引,其作用在於記錄文件所處的位置,修改文件分配表並不會刪除相關數據。
第三,電子數據可靠性原則,對電子數據生成、傳遞、存儲等運行情況的鑑定可以保障電子數據的可靠性。
2、電子數據鑑定的作用
第一,確定因果關係,即通過鑑定查明某一現象或某一事件形成的原因。通過對僞基站電子數據的分析,可以查明用戶收到不明來源的詐騙短信、垃圾信息等大量信息以及騷擾電話的來源,瞭解案件的因果關係。
第二,確定事實的有無,即通過鑑定確定被懷疑的某種事實是否存在。通過對僞基站電子數據的分析,可以查明涉案僞基站佔用合法基站信號,向不特定用戶發送大量短信、撥打電話的事實,從而認定犯罪行爲是否存在。
第三,確定事實的程度,即通過鑑定確定受審查事實的嚴重程度。通過對僞基站電子數據中不同IMSI碼的數量可以查明涉案僞基站向不特定用戶發送短信的數量、撥打電話的次數,從而認定犯罪行爲是否達到定罪量刑的法定情節。
3、電子數據的鑑定主體爭議
在司法實踐中,對於僞基站案件,沒有鑑定意見對案件的因果關係、事實有無、事實的程度認定起來都非常困難。通過筆者對裁判文書網有關僞基站的600多份一審判決書中所呈現的證據進行分析,發現有關僞基站中電子數據的鑑定主體各地區均存在差異,主要表現爲以下三種鑑定途徑:公安機關內部機構出具的電子數據勘查報告,移動公司出具的鑑定報告,無線電監測站出具的監測報告。
《公安機關電子數據鑑定規則》將電子數據鑑定界定爲:“公安機關電子數據鑑定機構的鑑定人按照技術規程,運用專業知識、儀器設備和技術方法,對受理委託鑑定的檢材進行檢查、驗證、鑑別、判定,並出具檢驗鑑定結論的過程。”以《公安機關電子數據鑑定規則》爲調查取證行爲準則的代表,北京市海淀區檢察院就是這樣出示證據的。海淀區檢察院通過網監出具的電子勘查來呈現電子數據信息,電子勘查報告,主要內容爲在何地調取了何種文件,文件裏有什麼數據。然而公安機關作爲追訴犯罪行爲的機關,由公安機關內部的公共信息網絡安全監察部門提供鑑定意見顯然不符合證據的合法性和客觀性。
檢察院在提供上述網監提供的電子勘查報告,似乎覺得沒有鑑定意見尚不足以認定案件事實,因此往往附隨一份移動公司出具的證據材料。通常移動公司出具的證據材料題目名大致爲“××勘查報告”,“勘查報告”性質上來說並不能夠成爲勘查,但在司法實踐中,法院常常把移動公司出具的證據材料以勘查報告形式載於裁判文書。移動出具的所謂勘查報告裏面也會涉及到發送了多少條短信。這兩份證據在內容上如果吻合則可以進行認定。對此筆者認爲,移動公司的“勘查報告”並不具有中立性,從主體角度來看,移動公司本身是受害方的一方,移動公司提供的“勘查報告”不能成爲鑑定意見。但移動公司技術部門的人員出具的證言,相當於專家,可以作爲專家證言成爲法定證據。
在少數僞基站案件中,出現了無線電監測站提供的數據報告。國家無線電管理機構負責無線電信號的監測、監聽,線電設備檢測,電磁環境測試,無線電信號的干擾查找及相關工作,研究僞基站違法問題是無線電監測機構職責所在。隨着僞基站案件的愈演愈烈,國家無線電監測管理機構開始日益重視僞基站問題,2014年國家無線電監測中心對僞基站展開了專題研究,以提升各地無線電管理機構相關工作人員對僞基站的監測定位能力,而後多地無線電管理機構聯合相關部門形成合力,開展定期無線電監測。在這一背景下,由國家無線電監測管理機構對僞基站犯罪案件出具僞基站工作原理說明、僞基站監測報告並對僞基站案件涉案移動存儲設備中的電子數據進行監測並出具鑑定意見逐漸成爲必要且可能的解決機制。
四、僞基站案件電子證據的司法適用
電子設備與電子數據在調查取證環節有較大差異、技術性強,因此上文將兩者分別進行闡述。而在司法適用方面,電子設備的證據經過固定,以書證、物證、監測報告、鑑定意見等形式表現出來與傳統證據類型相似,在司法實踐過程中宜依照傳統證據類型進行司法適用。而電子數據的司法適用仍然存在較大爭議與適用難點。
(一)在能夠取得的情況下,三層數據中優先運用第二層數據。
該數據記錄“IMSI識別碼”能夠較爲客觀全面的反應受到影響的用戶數。但現有的僞基站軟件中,已經出現了自動刪除發送短信日誌的功能(即僅保留最後一次發送任務日誌)。因此,在運用第二層數據時應當進行數據恢復。同時,一部手機可能多次接到同一僞基站發送的短信,因此IMSI識別碼有可能出現重複,在運用第二層數據時應當剔除重複數據。
(二)在第二層數據無法取得的情形下,可以使用第三層“僞基站”軟件記錄的軟件工作日誌中記載的短信的信令消息數記錄和脫網數記錄。
該日誌在GSMS型僞基站中名稱一般爲。儘管該日誌存在記錄不完整的缺陷,但其記載的數量一定小於受到影響的用戶數量,因此也符合“有利被告”的原則,如果第三層數據中的短信的信令消息數記錄和脫網數記錄“超過1萬”,就可以用來證明受影響的用戶“超過1萬”。