电子证据运用：如何“重建”案件事实

■ 办案人员要尽量“细化”“揉碎”电子证据，“挖掘”不为人知的微观信息用于还原案件事实。笔者认为，需要进行二进制数据查看，对每一份电子文件都要分析其文件头、文件中间、文件尾，对每一份存储介质都要分析各个分区，特别是未分配空间。

■ 办案人员要尽量将电子证据与其他证据进行整合，搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构，以宏观的视角还原案件事实。

中国人民大学法学院教授、博士生导师

刑事法律科学研究中心研究员

刘品新

络犯罪司法的中心任务是有效使用电子证据进行 络犯罪案件事实的重建。由于电子证据是一种“数字式痕迹”， 络犯罪司法中使用电子证据必须聚焦于“数字式案件事实重建”。这一“重建”也可以称为“电子证据重建”。简单地说，电子证据可以被看成一个个信息“场”，可以还原 络犯罪案件的来龙去脉。它与人类 会出现的“人证重建”“物证重建”是一脉相承的，但展示的效果更为显著。

基本原理的展开

如何科学处理 络犯罪中超容或巨量的电子证据？原子主义与整体主义证明模式是可以选择的科学理论，也是不同认识理论在司法领域的呈现。

依照前一理论，办案人员应当对电子证据尽可能地进行拆解，分解至最小单元“原子”的程度。当然，这是指“逻辑认识的原子”，不等于“物理分析的原子”。于电子证据定案而言，这个“最小的东西”当下通常可以指将电子证据的内在属性、关联痕迹、复合内容解析出来，以查明、证明 络犯罪案件事实。

依照后一理论，办案人员应当尽可能地将不同电子证据、电子证据与其他证据结合起来，构成一个整体，用以查明、证明 络犯罪案件事实。对于电子证据定案而言，当下通常可以将电子证据的组合、印证体系、“鉴—数—取”体系、物理空间—信息空间拼接起来，以查明、证明 络犯罪案件事实。

基于原子主义证明模式的

实务技巧

当下电子证据用作证明的逻辑原子可以界定为如下三个方面：

在一起DDOS攻击（分布式拒绝服务攻击）案中，犯罪嫌疑人对某 站进行DDOS攻击导致 站崩溃，公司因赔付数千万元而倒闭，犯罪嫌疑人所使用的电脑硬盘是主要证据。该案的特别情节是犯罪嫌疑人使用了虚拟机技术。在办理该案过程中，为了查清犯罪嫌疑人是如何攻击、敲诈勒索被害公司的，鉴定人员通过取证工具分析虚拟磁盘，发现其中存在大量的数据交互记录，证明犯罪嫌疑人向被害公司所使用IP地址发动DDOS攻击；在电脑空余空间中发现犯罪嫌疑人敲诈勒索的聊天记录碎片文件，证明其曾于发动 络攻击后向被害公司实施敲诈勒索行为；在电脑底层数据中发现犯罪嫌疑人所使用的VPS服务器（用于搭建VPN，发动 络攻击所使用的中转服务器）。最终，鉴定人员基于这些痕迹制作了DDOS攻击与敲诈勒索案大事表，包括犯罪嫌疑人开始学习黑客攻击技术、锁定被害公司、对被害公司实施DDOS攻击行为、对被害公司实施敲诈勒索行为、被逮捕等环节。这个大事表就是直接、完整的案件事实重建。

以电子证据的“复合内容”重建案件事实。“复合内容”是受“复合文档”的启发而形成的一个概念。复合文档不仅包含文本，还包括图形、电子表格数据、声音、视频图像以及其他信息。这是当前电子证据内容的普遍承载方式。

在另一起破坏计算机信息系统案中，最重要的电子证据是警方抓获犯罪嫌疑人之后，使用犯罪嫌疑人账 、密码登录其邮箱获得的几百封电子邮件。这些邮件能够证明犯罪嫌疑人推广某非法软件及获利的情况。对于这些电子邮件，办案人员要关注的内容不仅包括每封邮件的正文，也包括邮箱收件夹、发送夹等文件夹中有多少邮件（即邮件列表），还包括该邮箱“最近登录”（也称为“上次登录”）形成的时间、地点信息。

以上就是原子主义证明机制的办案技巧。办案人员要尽量“细化”“揉碎”电子证据，“挖掘”不为人知的微观信息用于还原案件事实。那么，具体需要对电子证据“细化”“揉碎”到什么程度？笔者认为，需要进行二进制数据查看，对每一份电子文件都要分析其文件头、文件中间、文件尾，对每一份存储介质都要分析各个分区，特别是未分配空间。这是一种理想状态，要达到这一理想状态还有很长的路要走。

基于整体主义证明模式的

实务技巧

整体主义证明模式的逻辑要求：一份特定证据作为分析对象的证明价值，从根本上取决于其他所有证据。这一理论很容易同我国的证据组合、体系、锁链和印证等说法勾连起来。这样的联想是有道理的。值得注意的是，电子证据遵循整体主义证明模式的改造，会碰撞出独特的火花。

以电子证据的“印证体系”重建案件事实。印证体系是指同一 络行为产生了若干份电子证据，特别是不同 络节点的多份电子证据，它们相互印证构成虚拟空间中的一种独特证据锁链。这些电子证据往往是同一行为或关联行为产生的。如在发送电子邮件时会在发件人电脑、收件人电脑、邮件商的服务器等多点留下电子邮件；发送短信、微信等都会产生构成印证的 络证据。将这些 络证据匹配起来，审查其内容是否一致，特别是审查其相关时间信息、地址信息等是否正常，就可以还原整个 络行为事实。

以“物理—信息两个空间对接”重建案件事实。一般来说，电子证据对应虚拟空间（信息空间），传统证据对应物理空间。如果能够基于电子证据还原虚拟空间的轨迹，基于传统证据还原物理空间的轨迹，将两个空间的人员轨迹对接起来，就能有效还原案件事实。这就是“两个空间对接”的技巧。

最高人民检察院发布的指导性案例朱炜明操纵证券市场案（检例第39 ），是一个非常有价值的“两个空间对接”案例。2013年2月1日至2014年8月26日，朱炜明在任国开证券营业部证券经纪人期间，先后多次在其担任特邀嘉宾的《谈股论金》电视节目播出前，使用实际控制的三个证券账户买入多只股票，于当日或次日在《谈股论金》节目播出中，以特邀嘉宾身份对其先期买入的股票进行公开评价、预测及推介，并于节目首播后一至二个交易日内抛售相关股票，人为地影响前述股票的交易量和交易价格，获取利益。经查，其买入股票交易金额共计人民币2094.22万余元，卖出股票交易金额共计人民币2169.7万余元，非法获利75.48万余元。审查起诉阶段，朱炜明辩称，涉案账户系其父亲朱某实际控制，其本人并未建议和参与相关涉案股票的买卖……检察机关审查认为，犯罪嫌疑人与涉案账户的实际控制关系，公开推介是否构成“抢帽子”交易操纵中的“公开荐股”以及相关行为能否被认定为“操纵证券市场”等问题，有待进一步查证。上海市检察院第一分院先后两次将案件退回上海市公安局，要求补充查证犯罪嫌疑人的淘宝、 银等IP地址、MAC地址（硬件设备地址，用于定义 络设备的位置），并与涉案账户证券交易IP地址做筛选比对；将涉案账户资金出入与犯罪嫌疑人个人账户资金往来作关联比对；进一步对其父朱某在关键细节上做针对性询问，以核实朱炜明的辩解。两个空间的对接表明，在朱炜明出差期间涉案账户使用了其出差城市IP地址做证券交易，在朱炜明不出差期间涉案账户使用了其办公室IP地址做证券交易，而这些地址是朱炜明父亲不可能到达的。

以上就是整体主义证明机制的办案技巧。办案人员要尽量将电子证据与其他证据进行整合，搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构，以宏观的视角还原案件事实。

犯罪形式在信息时代的 络变异给传统司法治理带来巨大冲击，电子证据是打击 络犯罪的关键证据。 络犯罪案件的数字式事实重建可循沿原子主义和整体主义两种证明模式进路。以电子证据为突破口破解 络犯罪难题顺应了信息技术发展趋势，是推进国家治理体系和治理能力现代化的重要窗口。

（检察日 ）