第三章电子数据在检察实务中的案例和剖析
第一节侦查部门典型案例及相关问题剖析
一、电子数据证据固定的及时性尤为重要
2009年5月间,北京市人民检察院第一分院反贪局在侦查关某某贪污案中,发现北京某汽车修理厂在经营中有行贿行为,要求技术部门予以配合提取相关涉案财务人员计算机中的财务数据一一汽车修理结算单。鉴于行贿案件的证据固定一直是难点,该结算单又是本案的关键证据,一方面要做好电子数据的提取、固定工作,一方面又要保证不影响涉案修理厂的正常运营。经过协商,对扣押的修理厂硬盘做镜像备份,以便尽快实际发还。技术人员拍摄现场照片、取出涉及财务人员的台式机硬盘,并将该硬盘委托高检院鉴定中心做镜像备份。
2010年4月,在侦查人员为深挖犯罪线索再次到该修理厂调取其他相关汽车的修理结算单时,财务人员称原来电脑的硬盘已损坏,数据无法查询。后协商技术人员到高检院鉴定中心恢复原硬盘的镜像至另一个新硬盘,恢复了该电脑原始数据,用恢复后的硬盘数据打印了所需单据并确认了涉案相关的内容,为进一步确定案件事实提供了重要依据。剖析:电子数据证据固定的及时性在这起案件中显得尤为重要,可以试想一下,如果当初没有镜像备份该数据,或者制作镜像的法律手续和程序方面不严谨,那么这个案件的相关证据落实将陷入困境。
二、关键词在电子数据协查中的重要作用
北京市石景山区人民检察院办理的一起渎职案件中,2008年2月,犯罪嫌疑人张某在北京市公安局大兴分局工作期间,办理尹某、高某等人故意伤害致死案时,接受大兴分局民警程某请托,在传唤呈请表审批过程中,明知受传唤的尹某是该案的犯罪嫌疑人而未向上级领导请示,亦未要求承办人对尹某采取强制措施,致使尹某未被追究刑事责任。
剖析:公安系统屮,有很多自行开发的笔录小软件,为了记录方便很多预审工作的人员都会使用,而且这呰笔录小软件种类很多,更新也很快,这就需要我们的取证人员和鉴定人员在完成此类工作的取证和鉴定时,要特别注意该类小软件中记录的笔录,这类小软件一般无需安装,恢复整个目录,然后仿真嫌疑人的电脑系统,从中获得该系统中所记录的笔录。
目前,北京市检察机关委托的电子数据鉴定案件,经常有要求恢复所有WORD和EXCEL文档,鉴定出来后案件承办人再自己一点一点翻看查找,如果是类似上述这种情况,在笔录软件,以及其他软件中的信息,我们通过传统恢复WORD和EXCEL文档的范式是无法获取到这些信息的,侦查人员也就错过了这些证据材料。
那么这个问题如何解决呢?这就需要关键词,涉及案件的某些人名、合同名或者己知的某些场所名都可能是关键词,当然这需要我们的承办人通过提炼获得,也只有通过关键词的搜索方式,才能从上述软件中获得我们所需要的信息。
三、远程访问在电子数据中很常见
北京房山区人民检察院委办理的一起行贿案,案件中犯罪嫌疑人王某在经营某仪器有限公司期间,在与北京市房山区某局的经济往来中有行贿行为。案件中涉及电脑数量7台,该公司电脑6台,送检的案件办理人要求一方面是査找恢复这些硬盘中涉及案件的OFFICE文档,另一方面还要从财务人员使用的电脑中提取该公司账目信息。鉴定人通过仿真启动其中一台客户端,发现其访问服务器端电脑主机名为JYDATA和IP地址,通查找主机名和IP地址,在扣押电脑范围内,然后通过对该服务器电脑的财务软件,获得该案的涉案信息。
剖析:中小型企业财务电脑可能会组成小型网络,而财务数据重要内容往往存在于某台作为服务器使用的台式电脑中。那么如果查遍所有扣押的电脑,都没有找到该服务器,那说明扣押的时候没有扣押,也就是说只扣押皮,而把瓤给放过了,这种情况就比较被动了,那么办理案件的侦查人员对网络并不了解,IP是什么可能也不是十分清楚,所以遇到比较复杂的情况,就需要技术协查工作来解决问题。
四、扣押电子数据介质要注意细节
天津市和平区人民检察院办理的一起贪污案,案件总中天津某所保卫处王某、张某截流停车款涉嫌贪污。恢复对拷该电脑硬盘数据,通过涉案硬盘复制件启动进入系统,发现该人员使用克立司帝控制系统有限公司软件收费系统,通过对该软件中的“收费工作站”、“一卡通管理中心”分析,查找并导出停车场收费明细。
剖析:目前市面上的正版财务软件一般会有加密狗,所谓加密狗就是一个看上去类似U盘的东西,一般会长期插在财务软件服务器的USB 口,侦查人员在扣押该服务器的时候,应该一并将该加密狗扣押,因为要想正常访问财务软件必须使用加密狗,如果当时没有扣押,再联系发案单位或者软件的开发公司,会给案件办理带来困难,而且很多软件幵发公司可能会在外地,这样会给后期取证工作增加不少困难。该案中公安在调取涉案电脑的时候,一并调取了该软件的加密狗,给后来电子数据检验鉴定工作的顺利开展打下了良好的基础,为案件证据的固定创造了有力条件。
第二节公诉部门典型案例及相关问题剖析
一、电子数据可能成为案件旳关键性证据
北京市人民检察院第一分院办理的一起非法获取国家秘密案,案件涉及某国家级资格考试题泄密,主要案情是某培训机构的老师在考试前的几天,通过某种渠道获得了该资格考试试题,然后通过手机拍照的方式将该试题拍摄为照片,然后出售给了两名正准备考试的学生,这两名学生中的一名又通过网络出售给了一个专门从事各种考试题目倒买倒卖的人,从而一发不可收拾,短短几天时间,该考试题目就被多人购买出售,严重影响了考试的公平进行。
剖析:我们可以发现,在案件中除去各当事人的口供以外,案件的主要证据材料就是各当事人的计算机和手机,试题照片在各当事人所持有的计算机和手机中的流转过程,也就说明了该案中试题的买卖过程,在这个案件中只有弄清楚了这个流转过程,才能使得案件事实清楚。那么如何说明这些照片的流转过程呢?各个当事人倒买倒卖的试题是不是同一份试题呢?各犯罪嫌疑人持有的介质中试题照片文件的比对成为说明案件情况的关键,所谓比对,就是进行一致性认定,主要是通过哈希值是否一致,来确定图片的唯一性。从而说明甲当事人计算机中的照片和乙当事人电脑中的照片,哈希值一致,是同一个文件。
二、电子数据与第三方保留的原件或备份核实,是实践中可行的途径
北京市人民检察院第一分院办理的一起诈骗案,案件中被害人提供了其与犯罪嫌疑人之间的电子邮件往来情况,电子邮件反应了双方沟通、约定合同的具体情况,借此予以证明犯罪嫌疑人是否实施了诈骗的犯罪事实。
由于电子邮件系被告人提供,己经做了相应的公正,案件办理人咨询技术人员后,了解到涉案电子邮件很有可能在第三方邮件服务提供商处仍有保存,随后技术人员协助案件办理人调取了相关的电子邮件,为案件事实的确定提供了扎实可靠的证据材料。
剖析:在这个案件中,由于涉案电子邮件为一方当事人提供,而这些邮件是从当事人所使用的计算机中调取还是第三方电子邮件提供商提供,出于经济利益的驱动,当事人很有可能篡改所提供的电子邮件及其附件的内容,这种情况下,借助第三方保留的电子数据原件,也就是电子邮件服务提供商处服务器的邮件,就很容易还原事实的真实情况。
三、电子数据为确定某些特定证据提供了可能
海淀区人民检察院办理的一起强奸案件中,犯罪嫌疑人杨某,1994年出生,原籍河北省武邑县。2008年10月5日15时许,杨某在北京市海淀区六郎庄附近强行奸污被害人(8岁),后被抓获。杨某的居民身份证显示其的出生日期为1993年11月23日。在案件的起诉阶段,犯罪嫌疑人辩称自己未满14周岁,同时,杨某的父亲杨某某出具了杨某出生时的计划生育罚款单据。单据日期显示为1994年,月份有明显的涂改痕迹,杨某某声称罚款单据上的日期是1994年11月。对于该日期与户籍信息的不一致,杨某某辩解为,杨某出生时,为了减少计划生育罚款,将出生日期记载为1993年。
出生日期之间出现的不一致,这直接关系到犯罪嫌疑人杨某实施犯罪行为时的法定年龄。为了查清案件事实,案件承办人提出了技术协査的申请,并和技术人员充分沟通了解当地情况,包括需要调取证据的可能保存地点、系统软件结构等,并制作了取证方案。2009年6月,海淀区人民检察院公诉部门会同技术部门赴河北省武as:调査取证。
首先到达县人口和计划生育委员会,对其使用的“育龄妇女管理信息系统”进行现场勘验,通过屏幕拍照、数据导出等方法提取和固定了信息系统数据库屮的涉案数据。
当日下午,又前往赵桥镇计划生育办公室,对工作人员使用的电脑以及信息系统的数据进行了提取。在查询数据的过程中,技术协查人员发现,信息系统中记录的人员出生曰期多登记为15日。经询问相关工作人员,得知河北省正在进行育龄妇女信息的补录工作,对原有精确到月份的数据补录至日,日期同一填为15日。对于该系统记录的数据,并没有进行定期的数据备份,因此该电脑中保存杨某真实出生日期的数据己经被更新。
经过进一步了解,得知赵桥镇计生部门使用的“育龄妇女管理信息系统”属于镇级节点单机系统,每月需要向县人口和汁划生育委员会上报近期更新情况,而上报数据采用电子邮件的方式。在检查该工作人员的邮件系统时,技术人员杳找到“己发送”
目录下保存了其近一年多以来上报的数据文件。技术人员对该项数据进行了提取,使用哈希算法进行固定,并由承办人、技术人员、该工作人员共同签字确认。同时,对其电脑硬盘进行了复制,经当场见证人签字后,将复制后的硬盘带回。
经检验,该硬盘中保存了 2007年10月至2009年5月之间每个月的全镇育龄妇女信息记录,数据保存形态为Access加密数据库。通过分析数据库的字段定义,找到了杨某的历史信息记录,并从中提取了杨某的出生日期。经过对2007年10月至2009年5月间,杨某出生日期存储情况的变化,取证人员发现,2007年10月至2008年10月,数据库中记载的杨某出生日期为1994年4月,2008年11月至2009年,5月,数据库中记载的杨某出生日期为1994年11月。杨某于2008年10月5日实施了犯罪行为,如果其真实出生日期为1994年II月,则应当免于承担刑事责任;如果其真实出生曰期为1994年4月,则满足强奸罪刑事责任年龄,应当承担刑事责任。2009年8月,北京市海淀区人民法院幵庭审理本案,法庭采纳了被告人杨某系1994年4月出生的鉴定结论,据此判处有期徒刑1年零6个月。
剖析:在这个案件中,电子数据中数据库备份起到了决定性的作用,目前数据库己经成为很多行业信息存储的工具,而且越是信息量大的情况,数据库的应用就月广泛,数据库备份是数据库管理和日常维护的需要,那么像前述这种情况,数据库信息可能发生修改的时候,数据库备份将成为反映案件事实情况的关键证据。