一、伪基站电子证据的基本范畴 2013年《刑事诉讼法》确立了电子数据作为一种独立的证据类型进行 司法适用,肯定了电子数据在刑事司法领域的地位。然而司法实践中,对电子数 据、电子证据两词的使用一直模糊不清。根据公安部公共信息网络安全监察局《计 算机犯罪现场勘验与电子证据检查规则》的规定,电子证据包括电子数据存储媒 介和电子设备。因此,电子证据是电子数据的上位概念。
伪基站的设备构成主要包括基站发送装置、天线及搭载基站工作的电 脑。伪基站案件的证据方面既包含电子设备基站发射器,又包含电子数据存储媒 介电脑,即包含了电子数据存储媒介和电子设备两个概念,所以在讨论伪基站案 件证据适用问题时,使用电子证据一词更为恰当。下文基于以上概念解析,针对 伪基站案件中电子设备与电子数据存储媒介的调查取证分别进行分析,对于其中 的核心部分即电子数据进行司法适用方面的简要分析。
二、伪基站案件电子设备的调查取证 针对电子设备的调查取证步骤为电子设备检查、电子设备信息提取、 电子设备鉴定与电子设备方面证据固定。电子设备检查是针对证据潜在来源,注 意设备与外界屏蔽,对电子设备保护证据现场;电子设备信息提取是指对电子设 备中存储的信息创建一个精确的镜像文件,电子设备鉴定是指对电子设备的性能 与功能等进行监测与分析;电子设备方面证据固定是在鉴定与调查的基础上撰写 电子设备监测报告或出具电子设备鉴定意见。
(一)伪基站案件电子设备检查 伪基站本身是一个发送装置,并不具有存储功能,其数据存储是依赖能够进行数据存储、运算的计算机操作系统,即存在于涉案的笔记本、台式或平 板电脑里。伪基站运行依赖于操作电脑的系统通常为Windows系统上搭载ubuntu 系统或linux系统,采用文件目录的形式进行存储。目前伪基站本身技术也在更新, 逐渐出现了新型号的伪基站,但基本仍采用文件目录存储状态。伪基站中的电子 数据存储文件目录相对较为明确,且容易被删除、篡改,对于伪基站案件应查封、 扣押涉案的电脑、伪基站等全部硬件设备。
(二)伪基站案件电子设备信息提取 在进行证据现场保护的前提下,由于伪基站设备的数据不稳定性,对 电子设备提取证据要遵循以下注意事项:首先,注意检查过程中对设备与外界进 行屏蔽;第二,不要轻易改变设备状态;第三,技术人员现场参与。
储存数据信息的电脑通过远程控制可以非常轻松对文件系统中的内 容进行查询、增加、删除和修改,因此检查过程中的屏蔽有助于避免通过外界信 道对涉案电子数据信息进行删除篡改。不要轻易改变设备状态是指如果电子设备 处于关闭的状态不要轻易开机查看,应带回有信号屏蔽的区域由技术人员进行开 机检测,而如果电子设备处于开机状态应尽快记录所显示的信息并获取镜像文件, 因为改变计算机电源状态有可能激活设备锁,从而导致数据灭失;当然在此过程 中保持电源连通、保持持续电力不失为一种有效可行的方法。
(三)伪基站案件电子设备的鉴定 伪基站作为一类非法使用的无线电发射设备未取得电信设备进网许 可和无线电发射设备型号核准,所以对伪基站设备进行的鉴定也应当包含两个方 面,一是该伪基站是一种无线电发射设备,具备使用正常基站频道向不特定用户 大量发送通讯信号的功能,二是该设备并未取得电信进网许可和无线电发射设备 型号核准。
在伪基站设备的功能测试、无线发射射频指标检测方面尚未发布国家 统一的检测标准,但基于伪基站设备的工作原理和其非法使用的实际,通过在电 波暗室里搭建相应的通信系统,可以验证伪基站设备能够捕获移动终端用户,阻 断正常通信的功能;通过对伪基站设备的简单操作可以验证伪基站发送短信的功 能;通过对其射频指标的检测可以验证伪基站可以覆盖的无线电频率范围。基于 以上验证,可以得出伪基站是一种无线电发射设备,具备使用正常基站频道向不 特定用户大量发送通讯信号的功能的鉴定意见。对于后者而言,取得国家电信进网许可和无线电发射设备型号核准的设备表面应当贴有国家进网许可等标识,根 据谁主张谁举证的原则,基站设备持有人应当出示设备具有电信设备许可等相关 证明文件,如果机器表面没有此类标识而基站设备持有人又不能出示该设备的电 信设备许可等证明文件,即可证明该设备未取得电信设备进网许可和无线电发射 设备型号核准。
(四)伪基站案件电子设备方面证据固定 通过上述两方面鉴定,可以得出伪基站作为一类非法使用的无线电发 射设备未取得电信设备进网许可和无线电发射设备型号核准的初步鉴定意见,将 以上检测过程通过检测报告或鉴定意见的形式固定下来,可以作为证明案件事实 的材料。
三、伪基站案件电子数据的调查取证 通过对电子设备中存储信息中提取的电子数据进行分析和鉴定,以此 作为推定案件情况、证明案件事实的证据材料。
(一)伪基站案件电子数据取证分析 上文提到伪基站中电子数据存储于基于Linux系统的文件中。Linux文 件系统取证分析过程的优势是一旦获取镜像文件,就可以在任何基于Linux的系 统或任何通用的取证工具上进行分析,根据现有常见的GSMS型“伪基站”设备的 工作原理,在其发送短信过程中一般会形成三层发送记录数据。
第一层:“伪基站”软件界面显示的发送短信数。具体表现形式为现场 勘验时制作的“伪基站”软件工作截屏。但该数据比较容易被人为修改。
第二层:“伪基站”软件记录的发送短信日志。具体表现形式目前多见 为send.data文件所记录的数据。该日志一般会在发送短信时统计收到短信用户的 IMSI识别码,通过对IMSI识别码进行数据统计,能够得出受到影响的用户数量。
该数据一般非专业人员不易修改。
第三层:“伪基站”软件记录的软件工作日志。具体表现形式目前多见 为Openbts.log文件所记录的数据。该日志描述了“伪基站”运行、配置以及其与手 机交互相关关系,通常会形成四类数据:第一,用户换网记录;第二,鉴权记录, 即用户手机到伪基站进行身份认证;第三,鉴权后发送短信的信令消息记录;第四,脱网记录。这四类数据中的后两类能够反映中断的用户数。但由于伪基站设备对 数据处理能力的限制,该日志记录的数据存在记录不完整的缺陷。
(二)伪基站案件电子数据鉴定问题 电子数据鉴定应当保证数据的真实性、完整性、可靠性。通过电子数 据鉴定查明某一现象或某一事件形成的原因,通过对客体的鉴定确定被怀疑的某 种事实是否存在,过鉴定确定受审查事实的严重程度,即确定案件因果关系、确 定事实的有无和事实的程度。
1、电子数据鉴定原则 第一,电子数据真实性原则,即对电子数据真伪及形成过程进行鉴定。
第二,电子数据完整性原则,即优先考虑对电子数据内容进行恢复与识别。
对犯罪嫌疑人所使用的电脑进行数据恢复,有助于确定其使用设备发 送短信的内容、数量以及影响用户的数量。新型号的伪基站开始具备每日清除数 据的功能,再生性是电子数据与传统数据相比差异最大的特征,这也是由其本身 的高科技性决定的物证书证如果被销毁就无法重生,删除的电子数据通常可以借 助专业的数据恢复软件得到恢复。
为什么删除的电子数据可以恢复其实,在删除电子文件的时候并没有 真正删除存储于磁盘空间上的数值运算,只是修改了文件分配表(FAT)文件分配 表相当于目录索引,其作用在于记录文件所处的位置,修改文件分配表并不会删 除相关数据。
第三,电子数据可靠性原则,对电子数据生成、传递、存储等运行情 况的鉴定可以保障电子数据的可靠性。
2、电子数据鉴定的作用 第一,确定因果关系,即通过鉴定查明某一现象或某一事件形成的原 因。通过对伪基站电子数据的分析,可以查明用户收到不明来源的诈骗短信、垃 圾信息等大量信息以及骚扰电话的来源,了解案件的因果关系。
第二,确定事实的有无,即通过鉴定确定被怀疑的某种事实是否存在。
通过对伪基站电子数据的分析,可以查明涉案伪基站占用合法基站信号,向不特定用户发送大量短信、拨打电话的事实,从而认定犯罪行为是否存在。
第三,确定事实的程度,即通过鉴定确定受审查事实的严重程度。通 过对伪基站电子数据中不同IMSI码的数量可以查明涉案伪基站向不特定用户发 送短信的数量、拨打电话的次数,从而认定犯罪行为是否达到定罪量刑的法定情 节。
3、电子数据的鉴定主体争议 在司法实践中,对于伪基站案件,没有鉴定意见对案件的因果关系、 事实有无、事实的程度认定起来都非常困难。通过笔者对裁判文书网有关伪基站 的600多份一审判决书中所呈现的证据进行分析,发现有关伪基站中电子数据的 鉴定主体各地区均存在差异,主要表现为以下三种鉴定途径:公安机关内部机构 出具的电子数据勘查报告,移动公司出具的鉴定报告,无线电监测站出具的监测 报告。
《公安机关电子数据鉴定规则》将电子数据鉴定界定为:“公安机关 电子数据鉴定机构的鉴定人按照技术规程,运用专业知识、仪器设备和技术方法, 对受理委托鉴定的检材进行检查、验证、鉴别、判定,并出具检验鉴定结论的过 程。”以《公安机关电子数据鉴定规则》为调查取证行为准则的代表,北京市海 淀区检察院就是这样出示证据的。海淀区检察院通过网监出具的电子勘查来呈现 电子数据信息,电子勘查报告,主要内容为在何地调取了何种文件,文件里有什 么数据。然而公安机关作为追诉犯罪行为的机关,由公安机关内部的公共信息网 络安全监察部门提供鉴定意见显然不符合证据的合法性和客观性。
检察院在提供上述网监提供的电子勘查报告,似乎觉得没有鉴定意见 尚不足以认定案件事实,因此往往附随一份移动公司出具的证据材料。通常移动 公司出具的证据材料题目名大致为“××勘查报告”,“勘查报告”性质上来说并不能 够成为勘查,但在司法实践中,法院常常把移动公司出具的证据材料以勘查报告 形式载于裁判文书。移动出具的所谓勘查报告里面也会涉及到发送了多少条短信。
这两份证据在内容上如果吻合则可以进行认定。对此笔者认为,移动公司的“勘 查报告”并不具有中立性,从主体角度来看,移动公司本身是受害方的一方,移 动公司提供的“勘查报告”不能成为鉴定意见。但移动公司技术部门的人员出具的 证言,相当于专家,可以作为专家证言成为法定证据。
在少数伪基站案件中,出现了无线电监测站提供的数据报告。国家无线电管理机构负责无线电信号的监测、监听,线电设备检测,电磁环境测试,无 线电信号的干扰查找及相关工作,研究伪基站违法问题是无线电监测机构职责所 在。随着伪基站案件的愈演愈烈,国家无线电监测管理机构开始日益重视伪基站 问题,2014年国家无线电监测中心对伪基站展开了专题研究,以提升各地无线电 管理机构相关工作人员对伪基站的监测定位能力,而后多地无线电管理机构联合 相关部门形成合力,开展定期无线电监测。在这一背景下,由国家无线电监测管 理机构对伪基站犯罪案件出具伪基站工作原理说明、伪基站监测报告并对伪基站 案件涉案移动存储设备中的电子数据进行监测并出具鉴定意见逐渐成为必要且 可能的解决机制。
四、伪基站案件电子证据的司法适用 电子设备与电子数据在调查取证环节有较大差异、技术性强,因此上 文将两者分别进行阐述。而在司法适用方面,电子设备的证据经过固定,以书证、 物证、监测报告、鉴定意见等形式表现出来与传统证据类型相似,在司法实践过 程中宜依照传统证据类型进行司法适用。而电子数据的司法适用仍然存在较大争 议与适用难点。
(一)在能够取得的情况下,三层数据中优先运用第二层数据。
该数据记录“IMSI识别码”能够较为客观全面的反应受到影响的用户 数。但现有的伪基站软件中,已经出现了自动删除发送短信日志的功能(即仅保 留最后一次发送任务日志)。因此,在运用第二层数据时应当进行数据恢复。同 时,一部手机可能多次接到同一伪基站发送的短信,因此IMSI识别码有可能出现 重复,在运用第二层数据时应当剔除重复数据。
(二)在第二层数据无法取得的情形下,可以使用第三层“伪基站”软件 记录的软件工作日志中记载的短信的信令消息数记录和脱网数记录。
该日志在GSMS型伪基站中名称一般为Openbts.log。尽管该日志存在 记录不完整的缺陷,但其记载的数量一定小于受到影响的用户数量,因此也符合 “有利被告”的原则,如果第三层数据中的短信的信令消息数记录和脱网数记录 “超过1万”,就可以用来证明受影响的用户“超过1万”。
作者简介 于天淼(1992-),女,汉族,北京师范大学刑事法律科学研究院诉讼法学专业硕士研究生,研究方向:刑事诉讼法学。
扩展阅读文章
推荐阅读文章
推荐内容
钻爱网 www.zuanai.cn
Copyright © 2002-2018 . 钻爱网 版权所有 湘ICP备12008529号-1