论计算机犯罪证据的审查和判断

　　计算机犯罪的证据是在计算机犯罪过程中形成的，它与其它犯罪证据既有相同之处，又有其自身独有的特点，其证据能力、证明力、表现形式、获取和审查原则也有别于传统的证据。对计算机犯罪证据的研究可以更好地查明案情，使之能得到充分、合理的运用。

　　一、计算机犯罪证据的特点

　　证明计算机犯罪案件真实情况的一切事实都是计算机犯罪证据。计算机犯罪的证据区别于其他犯罪证据称为计算机犯罪证据，是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。计算机犯罪中的电子数据与其它刑事犯罪案件中的证据一样，都是用以证明刑事案件真实情况的客观事实，因而也具有刑事案件证据的一般特点（如客观性、特定性）和一般属性（如合法性和关联性）。但其作为计算机技术与犯罪相结合的产物，也具有其自身独有的特点。

　　（一）关联性

　　计算机犯罪证据不仅仅是客观存在的事实，而且必须是与计算机犯罪存在某种联系的事实，这便是计算机犯罪证据的关联性。计算机犯罪证据的相关性明显不同于其他犯罪，具有自身的一些特点。

　　1、与犯罪主体的关联。计算机犯罪主体具有特定性，即掌握一定的计算机技术。因此，通常情况下，计算机犯罪证据中技术含量的高低体现犯罪分子掌握的计算机知识水平；计算机犯罪证据能够表现犯罪分子所具有的技术专长；计算机犯罪证据从某些侧面反映了犯罪分子的嗜好，以及他们习惯的作案方式；同时计算机犯罪证据有时能够暴露犯罪分子所利用的便利条件，这同时也揭示了某些单位在信息系统安全管理上的漏洞。

　　2、与犯罪行为的关联。首先，不同罪名的计算机犯罪行为留下的犯罪证据不同。目前我国《刑法》规定的计算机犯罪的罪名有四种，即：非法侵入计算机信息系统罪、破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪、制作或传播破坏性计算机程序罪。显然，这四种犯罪行为留下的证据是不同的。非法侵入计算机信息系统的行为，开始时犯罪分子要探测被侵害主机而发出数据包，这往往可被装有防火墙的系统记录下来，这些记录都可以作为犯罪证据。而在制作、传播破坏性计算机程序的行为中，犯罪证据则是犯罪分子编制的危害计算机系统的程序和被破坏后无法正常运行的系统。其次，实施同一犯罪行为的技术细节不同，其留下的证据也不同。由于计算机犯罪行为是与计算机紧密相连的，而技术本身的复杂性使得犯罪的实施过程具有一定的技巧性。

　　（二）高科技性

　　计算机犯罪证据实质上是一堆按编码规则处理成的二进制信息，其使用的主要是磁性介质，计算机犯罪证据的形成具有高科技性。计算机是现代化的计算工具和信息处理工具，其证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等。如果没有外界的蓄意篡改或差错的影响，计算机犯罪证据能准确地反映有关案件的情况。

　　（三）易消失性和易改动性

　　计算机犯罪证据其数据是以磁性介质保存，是无形物，改动、伪造不易留下痕迹。电子数据或信息是非连续的数据或信息，被改动后即没有了可以对照的正本，而人为的恶意删除，误操作、电脑病毒、电脑故障等等原因，均有可能造成计算机犯罪证据的消失或者影响计算机犯罪证据的真实性。和普通的物证、书证的单一性相比，计算机证据通过显示器展现的不仅可以表现为文字、图像、声音或它们的组合，还可以是交互式的、可编译的，因此计算机证据能更加直观、清晰、生动、完整地反映待证事实及其形成的过程。

　　（四）无形性

　　一切交由计算机处理的信息都必须转换为二进制语言才能被计算机读懂，即计算机证据其实质上只是一堆按编码规则处理成的0和1，具有无形性。计算机登记、处理、传输的资料信息都是以电磁浓缩的形式储存，信息本身是无形的，当有人为因素或技术的障碍介入时，计算机证据极易被篡改、伪造、破坏或毁灭。在日益普及的网络环境下，数据的通信传输又为操纵计算机提供了更便利的机会，而行为人往往有各种便利条件，变更软件资料，随时可以毁灭证据。计算机操作人员的差错或供电系统、通信网络的故障等环境和技术方面的原因都可能造成计算机证据无法反映真实的情况。

　　二、计算机犯罪证据的表现形式和证明力

　　按照计算机犯罪的定义，计算机犯罪中的证据应该是犯罪分子在实施危害计算机信息系统安全时所留下的，这些证据具体体现在计算机犯罪案件中就是各种电磁记录和命令记录，这些电子数据本质上是能够证实犯罪分子危害计算机信息系统安全犯罪行为的数据记录。其在实践中的具体表现形式有以下几种：1.磁盘记录，包括软盘记录和硬盘记录；2.各种程序，包括“黑客”用于远程攻击程序、病毒程序、被故意修改或破坏的程序以及犯罪分子用于伪装身份的电子邮件等；3.各种系统记录，包括日志文件、系统快照、注册表；4.各种配置防火墙的主机上的安全日志记录，如对企图探测、收集信息数据流的记录，包括信源地址、信宿地址、使用协议、通信端口、处理结果等若干项；5.对系统探测行为作记录的专用程序的历史记录。

　　由于计算机犯罪的证据极易湮灭，可能在短短的几秒钟之内消失无形，而一般刑事案件中，犯罪者要处理凶器、血衣等这些可为证据之物可能需花数十倍甚至数百倍时间，因此计算机犯罪证据的取得较一般案件困难许多。加上计算机犯罪的证据都是以电磁记录的形态储存，不像一般案件证据具体明确，因此计算机犯罪证据与传统的人证、物证及书证等证据之性质不完全相同。在司法实践中，计算机犯罪案件中的证据具有独立性，但我国立法上没有给予明确的结论，如何认定计算机犯罪证据的证明力，只能依据现行法律并结合计算机犯罪证据的特点进行探讨。而在法庭上不论是法官或当事双方最为关心的两个问题：首先是计算机证据是否与原始的记录相同，是否曾遭人为因素篡改抑或其他因素变更原始内容，是否有资格呈送法庭，即所谓证据能力的问题，再者是计算机证据如未被篡改或变更其内容，该证据能证明什么，即所谓证明力的问题。

　　笔者以为，除非抓获现行犯，否则在侦查计算机犯罪案件中计算机方面的证据必须依赖其他证据补充，才能使计算机证据达到一定的证明效力，单单以计算机所储存的资料，很难证明罪犯的犯罪事实。这是因为：首先，一般情况下，当人使用了一个犯罪的工具，同时也可能就制造了犯罪行为的证据，但是利用计算机来犯罪，很难发现线索。其次，证据用来证明一个事实，一般都是和其他证据累积来达到一定的证明效力，因此不能说计算机所储存的资料记录都不可能变成证据的一部分。但单单是计算机所储存的资料的本身，它的证明力是相当薄弱的。最后，从实务上看，计算机资料本身要作为犯罪的定案证据，必须依赖其他的证据来补充。比如，实务上侦查机关不能单以一封在电子布告栏所张贴的文章，查出张贴者是谁，就证明该文章系张贴者所为，一定要再搜集相关证据，各种证据又与该张贴者相关，这样才有侦查的意义。仅一封电子布告栏上的文章缺乏其他相关资料，在侦查上并不具有任何意义，因为网络具有隐密、伪造、变造身份特色，否则就不会有人在网络上公布自己的电话号码、征求性伴侣等。

　　三、计算机犯罪证据的审查与判断

　　（一）审查计算机犯罪证据的基本规则

　　由于计算机犯罪证据具有高科技性和无形性、易消失性和易改动性等特点，在诉讼中我们必须对计算机犯罪证据进行严格的、科学的审查，这样才能保证案件的公正审判。笔者认为审查计算机犯罪证据应该遵循以下基本规则：

　　1、科学审查计算机犯罪证据的来源。科学审查计算机犯罪证据的来源是指以科学的方法审查计算机犯罪证据的来源是否是客观存在的，排除计算机犯罪证据有否伪造或篡改的可能性。同时围绕计算机犯罪证据形成的时间、地点、制作对象、制作过程及设备情况等各个环节进行审查，明确计算机犯罪证据所反映的事实是否确实真实可靠，从而确保证据来源的客观真实性。[4]

　　2、严格审查计算机犯罪证据的收集程序是否合法。收集计算机犯罪证据的程序是否合法，直接关系到该计算机犯罪证据的证明效力，因此对计算机犯罪证据的收集程序必须严格审查。对司法人员提交的计算机犯罪证据，除按照法定的程序和方法进行审查外，还要注意审查是否由二人以上进行操作提取，认真核实提取过程的文字说明材料，核对内容来源必须与原始计算机和备份硬盘、软盘的编号一致。审查当事人提供的计算机犯罪证据要严格审查该证据是以什么方法、在什么情况下取得的，其是否符合法律规定的程序和要求。

　　3、审查计算机犯罪证据的内容。通过审查计算机犯罪证据本身的科技含量及加密方法，来审查该证据的内容有无进行篡改、伪造、剪接、拼贴等情形，特别对内容有自相矛盾或不合情理的计算机犯罪证据，要反复认真审查。

　　4、审查计算机犯罪证据与待证事实之间是否存在因果关系。定案证据必须与本案特定的证明对象相关，即具有相关性。在审查计算机犯罪证据的相关性时，注意将其与真实性的审查区别开来，逐一审查。只有排除了计算机犯罪证据的其他可能性，确定该证据与待证事实存在事实上和逻辑上的因果关系，才能够予以采信。

　　5、结合其他证据进行审查的原则。审查计算机犯罪证据还必须结合相关的物证、书证等其他类型的证据进行审查，审查它们之间是否完全吻合，能够形成完整的证据锁链，环环相扣、相互印证。

　　（二）审查和采信计算机犯罪证据存在的问题及对策

　　科学技术的迅速发展和立法的相对滞后，必将导致我们在审查和采信计算机犯罪证据过程中遇见一些困难和问题：

　　1、关于司法人员普遍缺乏高科技知识的问题。由于电子系统的专业技术性太强，而大多数司法人员对高科技知识又普遍缺乏，导致在审查和采信计算机犯罪证据过程中受到知识的限制，对此，笔者建议一方面要有计划、有步骤地培养既具有深厚法律知识又具有较高计算机知识的审判专家型人才；另一方面要建立专业的鉴定机构，对计算机犯罪证据进行有效的司法鉴定，确保计算机犯罪证据的审查和采信在公正、科学的制度中进行。

　　2、关于计算机犯罪证据的保全。目前对计算机犯罪证据的保全因无法律依据而无法操作，对此，应从立法上建立一整套完善的计算机犯罪证据保全的操作规程。在立法尚不完善的情况下，可尝试由司法部门委托权威技术部门对电子数据加以记录后由公证机关进行公证的方法。

　　3、关于瑕疵计算机犯罪证据的认定。对存在瑕疵的计算机犯罪证据应进行综合分析判断，笔者认为经双方当事人认可的瑕疵计算机犯罪证据可以认定，当事人不认可的，但通过补充侦查或调查，能够与其他证据相互印证，并形成完整的证据链，法庭也应予以认定。对于无法完全印证待证事实的计算机犯罪证据，要具体结合案情进行分析，能够证实的予以认定。

　　4、对争议的计算机犯罪证据的认定。审判实践中常见的是对有争议的计算机犯罪证据该如何认定的问题，笔者认为首先应采取甄别、辩认、质证的方法将证据进行固定，同时全面了解案情，并把握双方当事人对计算机犯罪证据的争议焦点，为进一步的综合审查做好准备工作。其次借助权威机构和专业人员进行审查，有必要的可委托有资质的鉴定部门进行鉴定。第三以推论、判断的形式逻辑方法对争议的计算机犯罪证据进行综合审查，做出既合乎逻辑又合乎实际情况的认定。

　　证据是诉讼的核心和基础，更是实现司法公正，乃至社会主义法治的基石之一。在证据制度的历史沿革上，我们曾经从神证时代走入人证时代，又从人证时代走入物证时代，随着科学技术的突飞猛进，我们即将走入另一个新的司法证明时代，即计算机犯罪证据时代，信息技术在各个领域的广泛使用，计算机犯罪证据可能走进我们审理的每一宗案件。因此，赋予计算机犯罪证据独立证据类型的法律地位，并确定其相应的证明力的立法时机已经成熟。

　　参考资料：

　　[1] 谷莘，《浅析计算机犯罪和网络犯罪及其防治》，成人高教学刊，2004年第2期。

　　[2] 刘晋元、崔丽春，《计算机犯罪证据研究》，山西警官高等专科学校学报，2002年第4期。

　　[3] 佴澎，《计算机犯罪中的电子证据研究》，河北法学，2004年3月。

　　[4] 张凯、刘景堂，《计算机犯罪中的证据问题研究》，公安大学学报，2002年第1期。（江苏省如东县人民法院·吴宝泉）