当前所在位置:首页 > 思法苑地 > 正文
网络犯罪主体的同一认定
发布时间:2020/11/17  作者:何家弘 谢君泽 来源:人民检察 浏览次数:1588

  

  [关键词] 网络犯罪 主体 同一认定 特征 信息

  [摘 要] 要解决网络犯罪主体认定难问题,需要在网络信息环境下对同一认定理论进行演绎。同一认定的依据是客体特征,同一认定结论的科学可靠性主要取决于客体特征的特定性、稳定性和反映性。根据客体特征的来源不同,网络犯罪主体的同一认定方法主要包括以电子设备为中介的同一认定、以数据信息为中介的同一认定、以行为痕迹为中介的同一认定。网络犯罪主体的同一认定可以按照特征信息的发现与收集、特征信息的分析与运用、同一认定结论的确定性评断这三个步骤而展开。

  [中图分类号] DF79 [文献标识码] A

  [文章编号] 1004-4043(2020)-10(上)-0005-8

  面对大幅上升、花样翻新的网络犯罪,网络犯罪主体认定难日益受到关注。一般来说,网络犯罪中电子证据能够证明涉案机器,能够证明哪些IP地址、手机、电脑、微信账号等涉案,但不容易证明涉案机器或账号等的所有者就是其使用者、犯罪行为人。“实践中有一些权宜之计,最简单、最典型的做法是寻找补强证据,比如口供、证人证言等。但这容易在法庭上遭受质疑,也容易酿成错案或放纵犯罪。”①本文就针对这一难题,以犯罪侦查学的同一认定理论为基础,探讨对网络犯罪主体进行同一认定的方法和步骤。

  一、网络犯罪主体同一认定的科学原理

  同一认定就是对同一个人或物的认定,又称为“个体识别”,而以人为对象的同一认定亦称为“人身识别”。

  (一)同一认定是确认客体同一性的认识活动

  同一认定概念的核心词是“同一”,表示物体与其自身相等同。作为一个专业术语,“同一认定”的概念产生于犯罪侦查领域。在犯罪侦查中,同一认定是具有专门知识的人或了解客体特征的人通过检验、比较客体特征而对案件中的人或物是否同一所作出的判断。②根据客体的不同,同一认定可以分为人身同一认定、物体同一认定,以及作为“广义之物”的场所的同一认定。其中,人身同一认定是最为重要的,因为它可以直接完成案件侦查的任务,而物体同一认定和场所同一认定往往也要服务于最终的人身同一认定。在网络犯罪案件中,这一点尤为重要。例如,2017年,某互联网公司发生了一起网络入侵案,作案人采用VPN代理方式③冒用高管账户登录该公司服务器并多次窃取商业秘密。接到报案之后,经过大量的数据分析,侦查人员发现上述入侵行为使用的是该公司某员工的苹果牌电脑。这是对电脑的同一认定。然而,这并不等于认定入侵行为人。该员工可能否认那些入侵行为,而且客观上也确实存在着其他员工使用该电脑进行入侵或者该电脑被外人入侵为“黑客肉机”的可能性。侦查人员必须根据这个物体同一认定再去搜寻线索和证据,以便最终完成对作案人的同一认定。

  (二)同一认定的依据是客体的特征

  同一认定的依据是客体的特征,因为离开客体的特征,人们便无法认识客体的特定性,也就无法对客体进行同一认定。客体特征有很多种类,包括形象特征、物质成分特征、活动习惯特征、时空位置特征等。形象特征和物质成分特征在网络犯罪中较少显现,对网络犯罪主体进行同一认定时应特别关注客体的活动习惯特征和时空位置特征。活动习惯特征是指反映客体特殊活动规律的特征,它包括生理活动习惯特征、心理活动习惯特征和技能活动习惯特征。时空位置特征是指客体在一定时间内占有的空间和方位。时间和空间是物质存在的基本形式,因此任何客体都具有一定的时空位置特征。

  在对网络犯罪行为人进行同一认定时,活动习惯特征和时空位置特征具有较高的价值。在前述互联网公司网络入侵案中,侦查人员通过调查发现,该涉嫌员工在一系列入侵行为发生之后就辞职离开了该公司。然后,侦查人员综合分析了该案的网络环境情况,根据被入侵网址的私密性和该苹果电脑系统的封闭性,以及入侵行为的时间特征、对象特征、手法特征、账户特征等情况,最终认定该离职员工就是实施上述网络入侵行为的作案人,完成了该案中对犯罪主体的同一认定。

  (三)同一认定的科学性依赖于客体特征的特定性、稳定性和反映性

  同一认定的依据是客体特征,但是每一次具体的同一认定所依据的并不是客体的全部特征,而是能够被同一认定主体认知或识别的那些特征的组合。为了保证同一认定结论的科学性,这些特征组合就必须满足同一认定的特定化要求。就是说,同时具备这些特征的客体只能有一个,无论这客体是人还是物。

  特征组合的特定性是由该组合中特征的数量和质量所决定的。一方面,特征的数量越多,特征组合的特定性就越强。这是显而易见的。另一方面,单个特征的质量越高,特征组合的特定性就越强。特征的质量也可以表述为特征的特定性价值。一般来说,特征的特定性价值是由该特征的出现率所决定的。出现率高,价值就低;出现率低,价值就高。这也符合“物以稀为贵”的价值规律。由此可见,同一认定既要重视特征的数量,也要重视特征的质量。

  同一认定结论的科学可靠性不仅取决于客体特征的特定性,还取决于客体特征的稳定性。就具体的同一认定而言,只要特征组合在该同一认定的必要时间内保持基本不变,就满足了同一认定的稳定性条件。这里所说的“必要时间”一般是指从案件发生到提取客体特征进行同一认定的时间。这里所说的“基本不变”则包括两层含义:第一,对于特征组合来说,是指其中的主要特征都没有发生变化。虽然个别特征发生了变化,但是这种变化并没有改变整个特征组合的特定性。第二,对于具体特征来说,是指保持这个特征得以区别于其他特征的质的规定性。虽然这个特征发生了一些量变,但是并没有改变其特定性。

  除了特定性和稳定性,同一认定还应该考察客体特征的反映性。所谓客体特征的反映性,是指某客体的特征能够在其他载体上得到反映的属性。因为同一认定往往要通过检验或识别客体遗留在其他载体上的特征才能实现,所以特征的反映性也是同一认定的条件。这包括特征反映的容易程度、清晰程度和准确程度。综上,在讨论网络犯罪主体的同一认定方法时,必须综合考虑选用特征的特定性、稳定性和反映性。

  二、网络犯罪主体同一认定的主要方法

  在网络信息环境下,作案人实施网络犯罪行为首先要借助于电子设备,电子设备则进一步通过数据信息的变换与交换去实现具体的行为。电子设备是作案人实施整个犯罪行为时在传统时空环境下所使用的工具,数据信息则是电子设备表达具体行为时在网络信息环境下所使用的工具。作为行为的工具,电子设备和数据信息都可能含有因使用工具所遗留的、反映行为主体身份的客体特征。此外,行为是特定主体的行为,行为痕迹也可能含有反映行为主体身份的客体特征。故,从理论上讲对网络犯罪主体进行同一认定,可以从电子设备、数据信息、行为痕迹这三类客体特征④而展开。

  (一)以电子设备为中介的同一认定

  以电子设备为中介的同一认定,是指通过收集电子设备的硬件系统(计算设备、网络设备、存储介质等)和以操作系统为代表的软件系统的特征信息来认定网络信息行为人的方法。⑤以电子设备为中介的同一认定,主要有外观信息认定法、系统信息认定法和地址信息认定法。前者纯粹是传统时空环境下的同一认定问题,后二者则涉及网络信息环境的问题。

  外观信息认定法,就是根据电子设备的外观特征来认定网络信息行为人的方法。比如,通过核对电脑或硬盘的型号、序列号等外观特征及其与购买发票、财务记录、资产登记等相关材料的一致性来认定相关主体的身份。通过电子设备表面上所附的指纹、毛发等生物特征来认定行为主体,这也可以认为是外观信息认定法的另一种表现形式。作为传统时空环境的问题,外观信息认定法往往只能认定电子设备的权属人或者曾经的使用人,如果要确定某一次具体网络信息行为的实施主体,则还有赖于从网络信息环境下寻找其他各种特征信息进行综合认定。

  系统信息认定法,则是根据电子设备的系统信息来认定网络信息行为人的方法。比如,通过检查系统的账户名称、开关机时间、使用时间以及开机密码等来判断相关网络信息的使用者。由于电子设备的系统信息已经涉及网络信息环境的问题,因而运用这种方法时会遇到网络信息环境与传统时空环境的一致性问题。比如,计算机系统的时间与自然时间是否一致,网络账户所显示的名称与自然人的真实身份是否一致,等等。这些问题的解决往往需要通过寻找更多的特征信息来完成。随着信息系统在安全性上的提高,系统信息认定法具有越来越广阔的运用空间。可以想象,如果电脑、手机等电子设备的开机密码谁都破解不了,那么某人主张相关数据信息并非他本人所为,显然不能成立。

  地址信息认定法也是认定网络犯罪主体的重要方法,是通过电子设备的网络地址信息来认定网络信息行为人。在诸如网络入侵的专业犯罪案件中,IP地址与MAC地址经常被认为是行为主体认定的关键性证据。这种认定方法是否可靠往往与具体技术方案有关。比如,在互联网环境下,如果将IP地址(IPv4)作为特征信息,它往往缺乏特定性,即只能指明区域范围。但是,如果在局域网环境或区域网环境下,它的指向性与精确性又有所提高。后者如,在快播案中,审判机关就根据涉案服务器内用户远程登录日志的8个IP地址认定快播公司就是行为主体。⑥人们已经认识到IPv4地址所存在的技术管理缺陷,因而在认定行为主体时更倾向于采取MAC地址。MAC地址是电子设备出厂时预置绑定的唯一性信息,这使得这种地址特征信息具备良好的特定性。当然,无论是MAC地址还是IP地址,也不论是IPv4还是IPv6、IPv9,它们都存在着伪造、变造与掩藏的潜在问题。也就是说,这些地址特征信息都存在着质量隐患,它们的特定性是以假定真实为前提的。

  以电子设备为中介的同一认定,其优点是能够同时解决网络信息环境与传统时空环境的主体同一问题,因为电子设备既是传统时空环境的组成部分,也是网络信息环境的组成部分。同时,这种认定方法的缺点也是十明显的,即这种方法的运用必须依赖于对作案电子设备的审查,如果找不到电子设备或者读取不到数据也就无法运用这个方法。实际上,这已经从客观条件上极大限制了这种方法在网络犯罪侦查中的运用。

  (二)以数据信息为中介的同一认定

  与以电子设备为中介不同,以数据信息为中介的同一认定完全有可能摆脱对作案人电子设备的审查依赖。它是通过分析各种类型数据信息以及相关应用程序、代码指令等,以其中所含有的特征信息来认定网络信息行为人。显然,这种认定方法所基于的数据信息不仅可以是来自作案人的电子设备,也可以是来自网络服务器或行为对象的电子设备。这就使得这种同一认定方法具有更大的适用空间。

  根据特征信息的数据形式不同,这种同一认定方法又可以进一步区分为密码认定法与明文认定法。前者所依据的特征信息是一种包含密码变换算法的加密信息,后者则是人们可以直接识别的“明文”。一般来说,采用密码认定法更有利于确定个体身份,因为作为加密的特征信息特定性更强,因而特征质量相对较高。

  密码用于信息的加密,它的目的是只让某些特定的人知道或利用特定信息的内容,即解密。密码学领域根据加密方与解密方所使用的密钥是否相同,将密码进一步区分为对称密码与非对称密码,⑦这是对密码信息本身所采取的不同安全策略。密码在信息上的对称性与不对称性及其程度直接决定了密码的安全可靠性,也直接决定了密码特征信息的特定性及其强度。

  根据密码表现形式的不同,密码认定法又可以分为电子签名认定法、应用账户认定法、代码指令认定法。电子签名认定法,顾名思义,就是指以电子签名来认定行为主体的方法。我国2005年电子签名法第二条第一款将电子签名定义为:数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。第十三条第一款又进一步规定了可靠电子签名,即:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。从上述定义不难看出,电子签名含有识别签名人身份的特征信息,在可靠电子签名之中这种特征信息的指向性非常好。比如,人们从不怀疑用网络银行的优盾或密码器等可靠电子签名所实施的转账汇款行为。

  应用账户认定法,是通过应用程序的账户密码的指向性特征来认定网络信息行为人的方法。应用程序的账户密码能否足以认定相关主体的身份,这既与账户有关,也与密码有关。一方面,这取决于应用账户是否具有足够强的指向性。鉴于我国网络实名制⑧的要求,互联网环境下的应用账户一般都具有很强的指向性。在区域网或局域网环境下则未必如此,这是因为此时并不受网络实名制的约束。另一方面,密码的安全性也会影响行为主体的认定。就以人们经常使用的微信来说,在早前旧版本时微信账户密码采用的是一次验证,即输入密码时即可在任何设备上登录微信。在这种弱安全方案下,微信账户就有较大可能性被窃用。随着微信版本的升级,它现在采用了新设备“密码+短信验证码”的二次交叉认证,这就使得密码安全性得到了极大地提高。总言之,只有账户的指向性与密码的安全性同时成立,才能得到账户密码“整体”特征具有较高质量的结论。

  代码指令认定法,是指以代码指令所包含的特征信息来认定网络信息行为人的方法。这种方法在类似网络入侵、病毒木马等专业性案件中运用价值极大。比如,在温州“八·一”广电案中,温州有线电视网络系统机顶盒遭黑客攻击,出现一些反动宣传内容。在该案的行为主体认定中,恶意代码指令的特征信息就发挥了至关重要的证明作用。通过司法鉴定机构对机顶盒服务器中所提取的程序代码指令进行分析,发现该服务器中涉案程序代码存在2个函数,即blur和de_blur,该2个函数系一对针对字符串的编码解码函数。同时,在犯罪嫌疑人个人电子邮箱中提取到另一某段涉案程序代码,其中存在1个字符串常量,即“/wur1uhcte10ttkgigrgf”(该字符串无实际现实意义)。经测试分析,发现通过调用前者涉案程序代码的blur和de_blur这2个函数,可以实现对后者字符串常量“/wur1uhcte10ttkgigrgf”的解码与编码。这表明,前者与后者在程序代码指令功能上具有极强的关联性,即符合同一作者所编写的特征。⑨但是,这种方法只有在相关数据信息相对明确的情况下才能运用。

  密码认定法的优势是十分明显的。由于加密变换算法的介入,加密特征信息对一般人而言具有较高的信息不对称性,因而这种特征信息在特定性与稳定性上质量相对较高。它的劣势在于反映性较差。在网络犯罪中,且不论加密特征信息本身数量很少,它们还容易因为识别不了而无法收集运用。

  与密码认定法相比,明文认定法具有普遍适用性,而且明文特征信息往往具有十分明显的数量优势。这是因为,明文特征信息具有更好的反映性、更容易识别,因而可以被大量发现与收集。利弊同源,明文特征信息也因为容易识别,因而需要考虑伪造变造的可能性,这往往就影响了特征信息在特定性与稳定性上的质量。

  明文认定法主要有日志数据认定法、数据内容认定法以及碎片数据认定法。日志数据认定法是指以系统日志、应用日志、网络交换日志等记录性数据之中所包含的特征信息来认定网络信息行为人的方法。比如,在网络入侵案件中,往往需要对被害主机的系统日志、程序应用的指令日志以及路由过程的网络日志进行全面分析,从而重构网络入侵过程并判断攻击来源。这种认定方法能否顺利运用,主要取决日志数据是否及时固定及其所包含的特征信息在主体指向性上的强弱。

  数据内容认定法最易理解,它是因数据内容本身具有某种身份指向的特征信息而可用以认定网络信息行为人。这种认定方法所基于的数据内容一般要有足够强的私密性或保密性,即只有特定的行为主体才能知道或使用。比如,在某泄露国家秘密案件中,在犯罪嫌疑人的电脑中查获了泄密文件的部分文字段落碎片。通过数据碎片的文字段落内容分析,基于数据信息内容的保密性及其非常特殊性,最后完成了作案电脑及作案人的同一认定。在有些案件中,通过分析电脑中所存储的个人照片、个人电子邮件、个人信用卡消费信息、个人署名论文等私密性信息来认定网络信息行为人,⑩这也是数据内容认定法的运用。

  碎片数据认定法,也称为“临时数据认定法”,它是通过分析计算机运行过程中所形成的临时性数据及其所包含的特征信息来认定网络信息行为人的方法。比如,在有些案件中,通过提取电子邮件的网页登陆加载页面(含有电子邮件的账户名称)、网页表单cookies信息(含有填写表框时的信息)等可以认定相关行为主体的身份。11虽然电子设备中的临时性数据,如系统虚拟内存、应用程序临时文件、网络缓存等,都不是以正常文件形态而存在、难以完整恢复或识别,但是由于它们是电子设备自动产生、不易被人为操控、数据信息量巨大,因而往往是极佳的辅助性或印证性证据。

  在网络信息环境下,信息的不对称性往往决定了特征的特定性,信息的对称性则往往决定了特征的可识别性即反映性,反映性好的特征信息又潜伏着稳定性问题,因而特定性、反映性与稳定性之间存在着紧张的矛盾关系。就以加密特征信息而言,它的特定性可能很好,但是可识别性可能很差;就以明文特征信息而言,它的可识别性可能很好,但是可能由于稳定性不足(数据信息容易被伪造与变造)而导致特定性不强。在加密特征信息相对较少、明文特征信息占据主流的情况下,网络信息环境下的特征信息在总体上存在着量增质减的趋势。

  (三)以行为痕迹为中介的同一认定

  与来自行为工具的特征信息不同,以行为痕迹12为中介的同一认定,是指以行为本身的历史痕迹来认定网络信息行为人的方法。这些行为痕迹既可以来自行为人电子设备,也可以来自网络服务器或对方电子设备。例如,通过涉案电子邮件的前后邮件来认定行为人、通过聊天记录的上下文来认定行为人。这是根据行为痕迹在时空上的特征来认定行为人。这种认定方法的可靠性往往取决于能否排除网络时空环境对行为过程的影响。换言之,如果能够排除网络入侵对电子邮箱或聊天账户在时间连续性与空间排他性上的影响,那么这种认定方法就具有较高的可靠性。如果不能排除,它们就可能失去了时空条件的逻辑基础。再如,在前文所述的网络入侵案中,也有行为痕迹的运用。作为关键特征信息,账户使用在连续时间内同机器(IP地址)登录,这本身就是行为痕迹在时间与空间上的交叉关联。显然,判断这种犯罪手法特征是否可靠,首先要评估网络时空特性对行为过程的影响。在该案中,由于已经通过种类认定的方法排除了外网范围的空间影响,而内网用户数量本身又不多,因此按照行为过程的时间连续性来推断行为主体是可行的。

  行为痕迹中还经常包含有活动习惯特征,如打字习惯、命名习惯、编程习惯等。在2012年,著名黑客“无花果”就曾因为编程与命名特征而被人肉搜索。13有国外研究人员在远程控制工具PlugX中发现该恶意程序的调试路径,从而推算出该恶意程序开发者的计算机用户名为whg。通过分析“无花果”所开发的其他木马程序,发现它们都存在此特征。最后,根据这个特征,人肉搜索到whg的很多身份信息,还有很多单位名称、联系地址、银行账号等信息。

  人的行为方式是多种多样的,任何一种行为方式都有可能作为认定主体的具体方法,只要在网络信息环境中留下了相应的行为痕迹。因而,以行为痕迹来认定主体,只能例述,难以穷尽。

  三、网络犯罪主体同一认定的基本步骤

  网络犯罪主体认定的首要任务就是解决如何在网络信息环境下全面收集特征信息的问题。其次是面对大量特征信息如何进行评估与运用。特征信息在质量上的减弱,决定了网络犯罪主体认定主要是基于种类认定而展开,通过种类认定在数量上的不断增加而趋向于同一认定。因而,在种类认定不断展开过程中以及最终的同一认定结论中,还会涉及确定性的程度变化及其描述问题。

Copyright © 2014 浦江县人民检察院. All Rights Reserved

推荐使用Internet Explorer 6.0 以上版本Web浏览器,1024*768分辨率 浏览本站

浦江县人民检察院信息中心管理维护 地址:浙江省金华市浦江县恒昌大道168 邮编:322200 服务电话:0579-88181393

ICP备案号:浙ICP备14026068号-1