■ 黃 成，孔 堯

（北京市朝陽區(qū)人民檢察院，北京 100025）

一、危害計算機信息系統(tǒng)安全犯罪中的技術手段認定

計算機系統(tǒng)已成為當今社會必不可少的重要組成部分，其運行的安全性、功能性、穩(wěn)定性，不僅關系使用或運營系統(tǒng)的私主體利益，一旦遭惡意行為干擾還可能在更大范圍內對社會秩序造成影響。由于此類案件直接涉及對電子數(shù)據的改變或干預，電子證據這種證據形式與之產生了天然的關聯(lián)性?！瓣P聯(lián)性是電子證據運用的標準之一。只有對案件事實的證明能產生一定的實質性影響，電子證據才被允許用于司法證明。”[1]正是因為與案件事實證明密切相關，關于電子數(shù)據的證據成為證明此類案件事實的重要依仗（在此要明確：“電子證據不同于電子數(shù)據;電子證據是證據的一個種類,而電子數(shù)據只是一種電子形式的材料?！盵2]當然，在法定證據形式內，作為證據的電子數(shù)據必然就是電子證據）。諸多事實要素中，有兩類事實的證明尤其重要：一是損害結果與嫌疑人之間的關系性，即基于何種數(shù)據特征，可以認定特定人員要為損害結果的發(fā)生負責；二是制造干擾的“技術手段”本身在刑法視角下的性質認定，即該行為對應了刑法第二百八十五條、第二百八十六條或其他法條中的哪一種具體罪名。正是基于這種關聯(lián)性，對電子數(shù)據的獲取和審查成為了辦理此類案件中的必備環(huán)節(jié)。

然而電子數(shù)據擁有的極高科學技術含量，使之很難通過常規(guī)手段進行內容審查，如不具備專門知識、專門設備，幾乎不可能對這些電子證據的可采性做出檢驗[3]。因此，包括涉及危害計算機系統(tǒng)安全案件中的技術手段辨認在內，對電子數(shù)據內容的分析研判，一般來說屬于訴訟程序中“專門性問題”之列——對此類問題的回應，需憑借科學知識、專業(yè)技能、專門領域的工作經驗等專門知識，幾乎不可能由法官、檢察官、偵查人員等憑常識性、日常生活經驗作出自行判斷[4]，相關規(guī)范也由此設置了多種途徑來引入這些輔助支持。然而從學界及司法界對待電子證據的一般觀點來看，涉電子數(shù)據的證據一般而言被認定為具有“易失真”屬性，相比于傳統(tǒng)書證、物證來說更容易被修改，“眼見不一定為實”[5]。這種易變性長期以來是電子證據使用中的關注和防范焦點，基于這一考慮，針對電子證據設置的鑒定項目和法定證據收集程序一直以來都將重心主要放在了對其證據真實性、合法性的保障上。針對電子證據可以開展的鑒定活動類型在規(guī)范上已有明確規(guī)定列明范圍，當前主要見于《人民檢察院電子證據鑒定程序規(guī)則（試行）》（以下簡稱《電子證據鑒定規(guī)則》）中，針對電子證據的鑒定在類型上主要集中于電子證據取證環(huán)節(jié)的專門輔助，以及對電子證據真實性的審查輔助上，唯一可能涉及證據關聯(lián)性方面的鑒定項目是在第（五）項列出的“計算機程序功能及系統(tǒng)狀況的認定”，而這并非針對技術手段的直接鑒定。出臺于2016年的《關于辦理刑事案件收集提取和審查判斷電子數(shù)據若干問題的規(guī)定》（以下簡稱《電子數(shù)據規(guī)定》）作為相關領域內最主要的適用規(guī)范，重點也放在了電子數(shù)據證據采集、保存等取證過程中的真實性保障問題上；就涉及到電子數(shù)據專門性問題難以認定等涉及關聯(lián)性的方面，規(guī)定在第十七條、第二十七條分別設置了“專門性問題報告”以及“有專門知識的人出庭”這兩種解決方案，在第十九條還規(guī)定：“對侵入、非法控制計算機信息系統(tǒng)的程序、工具以及計算機病毒等無法直接展示的電子數(shù)據，應當附電子數(shù)據屬性、功能等情況的說明”。但相較于其他內容，此處幾條規(guī)定仍然較為概括和簡略，致使相關說明、鑒定在實務中即使出具，也常常在內容上不能幫助審理者對技術手段形成清楚理解。

綜上來看，針對電子數(shù)據出具鑒定看似是刑事訴訟中的常態(tài)，但當前這些針對電子數(shù)據或者電子證據做出的鑒定等專門知識輔助工作，更多還是集中在取證和分析程序中的真實性保障上，力圖確保此類證據具有基本的證據采信資格。至于直接針對計算機程序的專門性說明，對鑒定機關的資質、級別有特定要求，在實踐中也一般耗時較長，若僅依賴此類證據證明事實，辦案時間將為此大幅拖延，審理效率隨之降低?？傮w來說，體現(xiàn)在電子證據中的犯罪技術手段尚未被廣泛視為一種需要專項鑒定或其他形式專門知識輔助來支持認定的事項，實務中經常無法及時有效地讓輔助審查措施跟進案件審理，或是無法提供能夠起到實質性輔助作用的支持；在現(xiàn)已被規(guī)范承認的專門性問題輔助途徑中，也還缺少一些能夠與辦案實踐相結合的具體規(guī)范指引。

二、案例分析：電子證據專門輔助對技術手段認定的必要性

對于危害計算機系統(tǒng)安全犯罪來說，技術手段的類型是其犯罪構成要件的一部分，對其條文內容的理解必須與計算機網絡領域密切結合。同時，現(xiàn)有的多種危害計算機系統(tǒng)安全罪名在要件設置上對行為類型有極為細致的要求，單從危害后果來看其實難以反映出行為人到底實施了什么技術手段：即使能從違法情節(jié)方面確證當事人從中非法獲利，或者其行為已經影響到了多臺計算機、多組計算機數(shù)據，對電子數(shù)據內容本身開展專業(yè)化認定仍舊是無法繞過的關鍵待證環(huán)節(jié)。隨著網絡服務市場不斷擴展、各類型應用程序不斷普及，一些通過干預計算機網絡允許來牟利的非典型、新型計算機危害行為開始被納入到刑法入罪打擊的范圍中，對技術手段的證明需求在這些案件中更是尤顯重要。

對于這類案件具體在何處體現(xiàn)出非典型性和疑難性，在此試舉出一個發(fā)生于實務中的實際案例來分析展示。該案被害單位北京某某網絡公司開發(fā)并運營了一款交友軟件，免費提供下載使用，但就特定高級功能需用戶付費購買VIP后才能解鎖。行為人郭某利用特定技術手段制作了一款“破解助手”程序，用戶安裝該程序并按一定方式操作后，前述交友軟件中必須付費使用的VIP功能就會被強制“解鎖”，使用戶可以不付費使用其功能。郭某自身以遠低于公司收費的價格出售該程序，給網絡公司造成可得利益方面的損失。在此案中，郭某開發(fā)并提供“破解程序”來幫助其他用戶免費使用運營商軟件，其行為應當如何定義實際是值得討論的。雖然被害公司確實蒙受了相當損失，但郭某所開發(fā)的軟件程序數(shù)據大小經比對遠遠小于原軟件，認定其非法復制發(fā)行他人軟件代碼依據不足，只能從危害計算機系統(tǒng)安全方面尋求制裁。隨軟件功能付費服務在目前的網絡服務市場中推廣開來，類似郭某的“破解”行為涉及刑事犯罪已非孤例，與之性質相似的行為還有破解付費視頻網站后對僅供會員觀看內容盜播、破解知名下載軟件的加速及存儲服務等。此種行為實際上與多年來受到打擊的“游戲外掛”行為有極大的相似之處，“以特定手段‘突破技術保護措施’，是包括外掛程序在內的此類破解行為之本質屬性”[6]，或者說共同特征。然而，“突破技術保護措施”本身并不是構成侵入行為或非法控制行為的完整要件，同樣是所謂對“技術保護”的突破，在原理層面上可能是完全不同的行為。在郭某一案中，整個破解行為涉及到的運作范圍包括“破解助手”程序、用戶手中的客戶端軟件以及由網絡公司把控的軟件服務器，在不對整個數(shù)據流程做出全面分析的情況下，郭某實現(xiàn)其破解軟件功能的目的，不能排除也同樣不能肯定的破解運作模式至少包括：（1）破解助手直接修改了本地客戶端軟件數(shù)據，使用戶可以免費使用所有功能；（2）破解助手侵入到網絡公司服務器中，對其服務器內的數(shù)據進行了盜取、甚至修改，造成客戶端受到服務器錯誤反饋，解鎖免費功能；（3）破解助手修改了客戶端與服務器之間的數(shù)據往來，偽造了“用戶已付費”的數(shù)據內容，造成服務器出現(xiàn)錯誤反饋。以上幾種行為都能夠實現(xiàn)突破軟件公司技術保護的目的，但是法律評價會存在本質差別。示例（1）的行為從危害計算機信息系統(tǒng)安全角度看可能不涉及犯罪，因為用戶作為掌握客戶端的權利人在一般觀念下當然可以修改自己的計算機系統(tǒng)；示例（2）中的行為當然無疑構成非法控制計算機系統(tǒng)、非法獲取數(shù)據，但示例（3）之行為就無法評價為“非法控制”，因為采取一定辦法使服務器“上當受騙”無非是一種作弊，不能認為是對系統(tǒng)的非法控制[6]。對此至多能評價為破壞計算機信息系統(tǒng)罪。尤其需要指出的是若總結案例經驗及基本的計算機技術原理，基于可行性及成本等因素考慮，上述方案示例（3）一般而言是行為人最有可能采取的手段，但這種蓋然的推斷在刑事事實認定中畢竟無法取代對合理懷疑的排除，而即使是出于精準量刑的考量，也不能在缺少真正詳細分析的前提下徑直做出判斷。

對于郭某作案使用的“破解助手”程序本身，采取委托鑒定的方式尋求專業(yè)輔助在規(guī)范而言可行，不過在此類針對計算機網絡實施的犯罪中，僅針對作案者所用“程序”這一個環(huán)節(jié)進行鑒定式分析，仍可能在證據關聯(lián)性的審查上存在遺漏之嫌。在這種涉及網絡運營的危害計算機信息系統(tǒng)犯罪中，軟件程序本身在整個計算機危害行為中只是其技術環(huán)節(jié)的一部分，是技術行為整體事件的一個環(huán)節(jié)，對環(huán)節(jié)的認定當然不能代替整體。在運營方控制下的服務器系統(tǒng)狀況及其他一些電子數(shù)據，作為危害計算機行為發(fā)生其危害結果的終端同樣需要得到專門性審查。這種全面性審查的必要同樣可以實務案件為例。在某涉嫌非法獲取個人信息案件中，行為人通過某種方式獲取到了某企業(yè)系統(tǒng)內部不對外公開的員工個人信息，涉嫌非法獲取計算機信息系統(tǒng)數(shù)據罪。然而經調查發(fā)現(xiàn)，該被害公司計算機系統(tǒng)在信息管控中存有嚴重漏洞，外部人員通過訪問其他門戶，可以直接且公開獲取上述內部員工信息。雖然行為人通過技術刺探方式獲取數(shù)據的行為可得初步確認，被害公司內部信息也確實發(fā)生泄露現(xiàn)象，但此類管理漏洞的存在，足以對是否存在“侵入”情節(jié)的認定產生重要影響。從《危害計算機信息案件解釋》的定義來看，“侵入”指的是突破或繞開技術保護措施；因此如果無法證明對保護措施的干擾，即使對方采取了某種技術行為，也不能通過數(shù)據泄露的結果推斷其行為構成此罪。具有開放性的客戶前端，與強調私密性并且在安全性上具有極高要求的服務器端，在專門技術領域的區(qū)別就如“戶外”與“戶內”，不能混同起來[7]。

要對這種辯護意見提出反駁，有效方案便是由受害公司出面，提供其服務器數(shù)據內能反映其計算機系統(tǒng)運行狀況的電子數(shù)據，徹底確認對方實施的干預是否確實進入到了公司私密服務器中。而從最大程度查明事實情況的調查追求來看，也有從被害方手中獲得最原始數(shù)據資料以求全面還原整個技術行為過程的必要性。電子證據作為一種證據形式總是整體系統(tǒng)中的一個部分，其“產生、出現(xiàn)、變化等都不是孤立的，而是系統(tǒng)性的”[8]。因此，侵害行為無論是以何種形式出現(xiàn)，在其原始發(fā)生的計算機系統(tǒng)中，多多少少會留下關聯(lián)痕跡數(shù)據，諸如服務器日志是記錄服務器中硬件、軟件和系統(tǒng)問題的信息，可以借此監(jiān)視系統(tǒng)中發(fā)生的事件，從中了解到服務器運行狀況，并找到非法入侵行為留下的蛛絲馬跡，以此佐證系統(tǒng)遭受未授權訪問或是數(shù)據遭到刪改的事實[9]。常理而言，在危害計算機信息系統(tǒng)的案件中受到侵害的被害方是最易察覺危害發(fā)生、最能接觸和保全原始電子數(shù)據以及最有意愿在訴訟中提供電子證據的參與人。這些被害人或者被害單位察覺到危害行為發(fā)生的過程和緣由，本身也能在一定程度上反映出犯罪實施的手法，尤其是危害后果并不立即顯著的非法獲取數(shù)據、非法入侵行為，對案件事實的查明可能發(fā)揮重要作用。相對于正規(guī)的鑒定意見來說，這種由被害一方提供的技術性說明決不能取而代之，但依然能夠與鑒定意見一并發(fā)揮有效的證據補充功能：此類說明在出具上一般更為快捷，能夠幫助司法機關在刑事訴訟審查階段內及時高效地把握涉案行為的大致判斷方向，或是形成初步的認定論斷。此外，這種說明和數(shù)據提供本身也能為案件取證提供正規(guī)方向的指引，有助于在委托鑒定時更有針對性地確認需要查明的技術細節(jié)。

三、完善審查方式的方向：探索更多元的專門知識輔助審查

基于“術業(yè)有專攻”的學科領域常態(tài)，我國立法雖未明示，但確實確立了“訴訟中專門性問題由具有專門知識的人來解決”這一基本原則[4]。在知識專業(yè)性本就高于其他證據形式的電子證據中，關于危害計算機系統(tǒng)犯罪的電子證據對專門知識有尤為突出的依賴。就此類專門性問題的解決需求，《電子數(shù)據規(guī)定》等相關規(guī)范其實已經確立有多種尋求協(xié)助的途徑和專門程序來予以滿足。然而通過前文所舉出的實務示例可以看出，在當前對危害計算機信息系統(tǒng)案件的辦理過程中，技術手段說明等專門性問題并不是欠缺尋求幫助的途徑，更主要的是途徑在落實細化層面上尚有欠缺之處。除了最常應用的鑒定意見可能實際作為證據參與案件事實證明，其余在規(guī)范上本可以動用的輔助手段常常被束之高閣。面對同時存在的多種輔助途徑，需要做到的是結合案件審理之需要，對各類型輔助途徑做出有可行性和效率的改進和指引。

在針對專門性問題的各類型輔助途徑中，鑒定意見是最為常用、也最能得到司法實務認可的方法，《電子證據規(guī)定》也在第十七條規(guī)定了“專門性問題報告”制度——這種報告不是傳統(tǒng)意義上鑒定機構出具的“鑒定意見”，可以認為是一種能夠突破鑒定意見范圍限制、更具變通和靈活性的專門性說明。然而在目前對危害計算機案件的處理過程中，單純依賴鑒定意見（或特定機構出具的報告），對審查技術性專門問題尚存在一定局限性。首先，鑒定機構針對電子證據做出鑒定，不能在法定鑒定事項外出具鑒定意見，否則將有違反鑒定程序規(guī)范、導致證據失格之虞；而能夠對計算機技術手段的內容做出辨認的鑒定類型，目前看來只有“計算機程序和系統(tǒng)狀況”這一項。這種鑒定在識別非法侵入、控制類程序工具，以及計算機病毒等破壞性程序上較為有效，但隨計算機技術在網絡互動中的復雜化，僅僅針對作案程序自身的鑒定已開始出現(xiàn)證明力度不足、不能清楚認定涉案事實的情況。如果僅僅擴大鑒定項目包含的范圍，而不為其做出詳細的委托指引，將無疑對鑒定機構帶來巨大的工作壓力。鑒定機構依仗的專業(yè)知識有其限度，對提出的鑒定需求過于空泛的，鑒定機構一般也會以無法判斷為由拒絕接納這種鑒定請求[10]。同時，對于涉及計算機臺數(shù)、數(shù)據量較大的案件，全部納入鑒定委托范圍，必將會耗費巨大的時間和精力。而如果考慮以“專門性問題報告”的形式來出具說明，雖然能夠突破法定鑒定范圍局限，但同樣需要經指定授權的專門機構來進行，在能夠制作的主體上依然受到較大限制；普通鑒定在時間、技術方面會遇到的問題，并不能通過這類限制主體的專門報告來規(guī)避?？偠灾?，在這諸多客觀因素的作用下，辦案委托鑒定的需求與鑒定能力的承載量之間長期處于供不應求的關系中，需要鑒定機構滿負荷工作。凡涉計算機、網絡案件即提出實質化審查電子證據的委托要求，僅僅依賴這一兩種途徑為案件審查尋求專門輔助，在效率上與刑事司法機關盡快實現(xiàn)“案結事了”的應然服務目標必然相悖。

化解技術手段審查問題需要另尋他路，對此可以考慮的一個落腳點是《電子證據規(guī)定》第十九條中的明確規(guī)定：對無法直接展示的計算機程序等電子數(shù)據，應當附有對電子數(shù)據屬性、功能等情況的說明。這里的說明并不一定是一種鑒定意見，雖然在證據效力上可能會有所偏弱，但因此帶來的極大的靈活性，使其可以被用于一種高效引入專門知識輔助的法定途徑。而要使附屬說明發(fā)揮更有力的解釋功效，可以考慮引入更多元的專門性知識人員作為說明主體；前文已經論及，對于危害計算機信息系統(tǒng)案件來說，由被害人或被害單位設法提供數(shù)據、出具被害情況說明，在案件辦理和審查中是具有多種實踐性優(yōu)勢的做法，因此在針對危害計算機信息系統(tǒng)犯罪的偵查和審理過程中，可以考慮常態(tài)化地與被害單位加強溝通引導，由被害方提供系統(tǒng)電子數(shù)據作為客觀證據的同時，對其指控受到侵害的數(shù)據依據做出說明解釋。

向被害方尋求對電子數(shù)據類證據的內容說明，不僅在相關數(shù)據提取環(huán)節(jié)可以期待其保持配合，在證據反映事實的關聯(lián)性上也有其優(yōu)勢。被害方作為侵害過程的第一手經歷者，能夠對案件事實提供最直接和相對全面的供述。同時，危害計算機系統(tǒng)犯罪的常見受害主體為組織機構，很多時候有能力對自身計算機系統(tǒng)的受害情況給出有專門知識背景的意見。當然這種由被害一方出具的“說明”，從法定證據類型上看一般應當歸于普通書證或被害陳述，且在證據效力上必然具有利害相關帶來的主觀性局限，作為獨立證據的真實性并不完全可靠。但在有經依法提取固定的電子數(shù)據證據從旁佐證的情況下，可以通過證據間的相互印證來強化證明效力。此外，這種被害方提供的說明可用作開展真正專門輔助審查的針對性基礎材料，審理機關可以直接尋求有規(guī)范資格的專門知識人員，對此種說明材料的真實性、準確性發(fā)表意見。也可以以此為據，有針對性地整理出待驗證內容，更為具體、全面地委托鑒定機構做出鑒定。相比于完全脫離輔助審查而徹底放棄事實認定，或是在繁多涉案數(shù)據中直接開始“大海撈針”式審查，這當然是更為可取的辦案方法。

四、總結

隨著互聯(lián)網技術和智能手機普及及相關產業(yè)的不斷發(fā)展，危害計算機信息系統(tǒng)安全犯罪不僅會在數(shù)量上有所增加，其犯罪過程中涉及的作案手法，即“技術手段”也會日趨復雜多變。針對電子證據這種特殊的證據形式，當前規(guī)范及鑒定實踐上主要關注其作為證據真實性、合法性的側面，但對于危害計算機信息系統(tǒng)犯罪，仍需明確其技術手段的詳細本質，而相關訴訟程序實踐還存在無法有針對性提供專門知識輔助、效率不高等疑難問題。有鑒于此，要加強對危害計算機信息系統(tǒng)安全案件中電子證據的審查，勢必需要加強專門知識說明的輔助作用。由于《電子數(shù)據規(guī)定》已經提出了對此類數(shù)據類證據應當附有說明的程序要求，辦案機關除了委托鑒定、尋求專門知識人員參與輔助辦案之外，還可以擴展更多元的專門知識輔助途徑，包括更常態(tài)化地引入來自被害人、被害單位一方的情況說明，以此更有針對性地審查電子證據、清楚辨認危害計算機信息系統(tǒng)犯罪中采用的技術手段。