论计算机搜查的法律规制,本文主要内容关键词为:规制论文,计算机论文,法律论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、问题的提出
2005年,广西柳州警方接到轶新公司报案称,该公司的软件被杰威特公司盗版并销售,造成重大的经济损失。经查明,该案犯罪嫌疑人是曾与轶新公司签订技术开发合同的博士生赵某。他利用在该公司任职掌握重要商业秘密的便利,与他人合伙成立了杰威特公司,先后四次将该公司委托其开发及升级的软件源代码私自复制,并将其中的两套软件稍做修改与更名,然后以杰威特公司的名义在国家版权局进行版权登记,在国内市场上公开销售。
该案的核心证据是计算机软件源代码,取证的专业技术性很强。警方经过反复商量,聘请一位计算机专家协助制定了周密细致的取证方案。行动开始,警方在一家咖啡店里先将赵某控制住,并带着赵某迅速赶往杰威特公司,以防止其同伙毁灭罪证。到该公司后,侦查人员立即切断了外部网线,同时命令所有工作人员立即离开座位,然后让赵某坐到他的电脑前面,开机并按照技术专家的指令进行操作。20分钟后,技术专家找到了署名“杰威特公司”的软件源代码,侦查人员松了一口气。按照取证要求,侦查人员让赵某自行将电脑中的硬盘拆卸后封存,同时对拆卸、贴封等取证过程进行全程摄像。经过10个多小时不间断的搜查,侦查人员在杰威特公司一共扣押了三台笔记本电脑和八块计算机硬盘,后送到有关部门进行鉴定。①
毫无疑问,本案中警方顺利的开展计算机搜查取得成效,是成功破案的关键。这只是我国有关计算机搜查的一个普通案例。在当前的侦查实践中,计算机搜查已经得到了越来越广泛的运用,并往往能够产生重大的积极效果。有关的法律争议随之而来:什么是合理合法的计算机搜查?计算机搜查的起止时间、限定范围与基本流程分别是什么?以及它们与现行法律的冲突如何协调?等等。这些成为几年来计算机取证技术与法律峰会的热议话题,更是我国有关主管机关制定计算机取证规则所必需化解的难题。考虑到美国在这一方面处于世界的前沿,本文尝试着以美国为参照,进行一番比较法的研究。
二、计算机搜查的含义
在当今世界各国,传统意义上的搜查都是一种颇具强制力度的侦查措施。许多国家不仅在刑事诉讼法等法律中加以规范,而且在宪法或宪法性判例中予以调整。例如,我国宪法第37条规定:“……禁止非法搜查公民的身体。”第39条规定:“中华人民共和国公民的住所不受侵犯。禁止非法搜查或者非法侵入公民的住所。”美国《宪法》第四修正案规定,任何人的人身、住所、文件和财产不得被无故搜查和扣押。这里所说的搜查,指的就是对住所、人身等封闭场所的搜查。在我国,具体是指公安机关、国家安全机关、人民检察院的侦查人员为了收集犯罪证据、查获犯罪嫌疑人,依法对犯罪嫌疑人及可能隐藏犯罪嫌疑人或者犯罪证据的人的身体、物品、住处和其他有关场所进行搜索与检查的一种证据调查手段。②由于传统搜查直接影响到公民的人身权利和财产权利,故不难理解各国法律为什么普遍确立了以令状主义和预先审查为核心的程序保障制度。
而谈及计算机搜查,目前理论界与实务界并没有趋于统一的界定。从字面上看,它们就是对计算机硬盘与其他电子存储介质的搜查。显然,这种新型的搜查并不针对自然人可进入的物理空间。如果说传统搜查一般表现为侦查人员持证“闯入”某个封闭的场所,“检查”并“带走”某些涉案的物品,那么计算机搜查则完全是另一回事。简单地说,计算机搜查属于计算机法科学的重要组成部分,需要由技术专家来实施,他们将嫌疑人的计算机硬盘等存储介质中的数据复制下来,拿到实验室中分析检验,然后将所发现的涉案数据再复制留存。这一过程短则几天、长则几个月,且始终离不开专家与专门的软件。不难看出,计算机搜查在很大程度上是借喻于传统搜查,这两者的共同之处在于以发现和获取隐匿于封闭场所的犯罪信息为目的。
毫无疑问,这两者之间的区别是本质上的、显著性的。美国学者克尔概括如下:③(1)搜查的环境不同。前者针对的是住所之类的物理区域,侦查人员要通过“门窗”进入,从一个“房间”走到另一个“房间”,打开一个又一个的抽屉或盒子,搜索与察看各种物品,并取走一些有价值的东西;后者针对的是诸如硬盘、软盘、U盘和ZIP盘之类的数据存储介质,侦查人员不可能破“门”而入,也不可能直接观察那些表现为“0”和“1”代码组合的数据,更不可能从物理意义上移走任何东西,他只能是输入指令操作计算机以解读其中的信息。我国还有学者干脆将传统搜查称为对现实空间的搜查,将计算机搜查归为对虚拟空间的搜查。④(2)搜查的地点不同。前者常常发生在犯罪嫌疑人的住所等,而后者应当远离犯罪嫌疑人的住所或计算机进行。司法实践中为防止原始电子数据的完整性遭到破坏,技术专家总是先要建立完全的镜像复制,⑤将电子数据从原先的存储介质中拷贝到新介质中,变成只读文件;然后,专家们对新制成的介质进行多方位检验分析;也就是说,实际的“计算机搜查”是在侦查机关的计算机系统而非犯罪嫌疑人的计算机系统中完成的。(3)搜查的信息量不同。住所等区域可以放置犯罪嫌疑人的各种实物,但容量毕竟是有限的,犯罪嫌疑人也比较容易控制或销毁涉案物品,因而传统搜查在正常情况下只涉及有限的场所、实物;而计算机硬盘等存储的信息却是海量的,甚至有很大一部分是犯罪嫌疑人不知情或无法控制的(如已经被犯罪嫌疑人删除的部分信息),因而计算机搜查相当于对一座巨型信息库的搜索。(4)搜查的机制不同。前者只涉及物理空间,通常只需要组成一个搜查小组,按照搜查证的范围开展集中式的大搜索;而后者既涉及物理空间也涉及虚拟空间(或逻辑空间),其中对虚拟空间的搜索通常需要交由少数人员来完成,当然需要花更多的时间。按照美国联邦调查局地方计算机法科学实验项目的前主任马克·波利特的说法,计算机搜查的时间取决于专家检验硬盘等介质的时间,假如案件重要或证据复杂,技术专家检索一块硬盘可能要耗费几个星期或几个月的时间,假如案件不重要或证据简单,兴许只需花费专家的几个小时。
一种错误的司法观念认为,计算机搜查就是由侦查人员“浏览”计算机并从中提取信息。这不过是一种简单思维。在前述案件中,办案人员的取证从效果上看获得了成功,但仍存在诸多值得商榷之处,如取证时命令犯罪嫌疑人自己操作电脑、直接在犯罪嫌疑人的计算机系统中着手检验等。而且从性质上,它看仍然属于传统搜查,并没有展示真正计算机搜查的任何魅力。如何将传统的搜查切实地升级换代,并在此基础上建规立制,将是新时代的法律命题。
三、计算机搜查的程序
司法实践中,传统搜查已经形成了基本的程序:侦查人员通常要手持搜查证,强行进入某一个空间,搜索到有关的犯罪物品,妥善扣押之后离开。而对于计算机搜查应该怎么做,理论界众说纷纭,实务中则有不同的探索。美国司法部联邦调查局将之总结为四种可供选择的方案,用作参考:(1)在现场直接搜查计算机,查找到具体电子文件打印成复制件予以保存;(2)在现场直接搜查计算机,查找到具体电子文件后进行电子复制予以保存;(3)在现场对计算机硬盘等存储介质进行完全复制,而后进行现场外检验;(4)在现场扣押计算机硬盘等存储介质,完全取走进行现场外检验。⑥
相比而言,以上程式各有优劣。第一种方案最为快捷和简便,任何略懂计算机基本知识的警察都能做得到,同时它对网络空间所造成的负面影响也最小,如从电子商务网络中打印电子文件不会影响商务活动的进行;不过,这一方案会损失大量有证据意义的电子信息,包括电子文件的日期、时间戳、路径、历史、添注等元数据。第二种方案比较简单和便捷,也获取到了元数据,不过受限于现场搜查的时间,要做到不遗漏任何电子文件是不可能的,而且现场开机分析与复制容易改变电子文件的时间属性等信息;⑦第三种方案克服了前两者的局限性,一方面完全复制涵盖对存储介质中元数据、系统文件与被删除文件等所有数据的复制,能保证原始数据的完整性,另一方面复制的方法是比特级的镜像复制,能确保原始数据的每个比特都被精确复制下来。不过,由于第三种方案耗时较长,而且将原始介质和电子数据留在了现场,只是在复制件上进行了检验,所以也不为实务人员所认同。第四种方案既扣押了原始介质,又建立了精确的镜像复制,事后只在复制件上离线分析,并以原件加以验证,因而最能为司法人员和技术专家所接受,被称为“最佳选择”。⑧在当前欧美各国的司法实践中,第四种方案已经取得了普遍适用的地位。
有学者将传统搜查称为“一步式”,将计算机搜查的第四种方案——“最佳选择”归为“两步式”⑨:第一步是传统搜查,即由侦查人员进入某个空间,进行物理搜查,扣押涉案的计算机硬盘等介质;第二步才是真正意义上的计算机搜查,即由技术专家验证、分析计算机硬盘等介质,从中找出涉案电子数据,并加以扣押。⑩由此可见,计算机搜查其实同传统搜查并不是截然分开的,后者是前者的前奏。
那么,为什么计算机搜查应当采取“两步式”呢?为什么侦查人员不能直接在犯罪嫌疑人的电脑上查看、分析与扣押数据呢?其实道理很简单,因为计算机硬盘等空间是电子数据的大仓库,分析海量的电子数据必然要花费很长时间。若直接在犯罪嫌疑人的电脑上分析,既不能保证提取到有用的电子数据,又容易破坏原始数据造成难以弥补的损失。例如,对于犯罪嫌疑人已经删除的电子文件,通常在主文件表没有显示而实际上仍然存在于硬盘中,侦查人员在犯罪嫌疑人电脑的操作系统下是无法发现的,而在实验室中就完全可以恢复出来;又如,世界上流行的Window操作系统会产生大量的重要元数据表明该计算机的使用情况,Word文字处理程序会生成许多临时文件以备恢复,IE等网页程序会记下计算机用户的上网兴趣、习惯、身份和行踪,这些都不是在犯罪嫌疑人的电脑上一下子就能发现的,而要等到实验室里慢慢揭秘;再如,假如侦查人员要搜索犯罪嫌疑人电脑上的色情图片,但犯罪嫌疑人改变了色情图片文件的扩展名(由“.jpg”改为了“.doc”、“.wpd”等),或者进行了加密处理,那么就无法在犯罪嫌疑人的电脑上检索到,必须在实验室里一一破解。显然,“两步式”能够从根本上克服“一步式”的缺陷。
四、计算机搜查的法律挑战与因应
传统搜查是一项重要的取证措施,各国法律均建立有比较成熟的约束规则。以我国《刑事诉讼法》为例,第111条规定:“进行搜查,必须向被搜查人出示搜查证。在执行逮捕、拘留的时候,遇有紧急情况,不另用搜查证也可以进行搜查。”第114条规定:“在勘验、搜查中发现的可用以证明犯罪嫌疑人有罪或者无罪的各种物品和文件,应当扣押;与案件无关的物品、文件,不得扣押。”据此,我国传统的搜查规则可以概括为“有证搜查为主、无证搜查为补充”、“及时扣押”以及必要性等规则。这些规则体现了人类司法实务的普遍经验,各国大同小异。
在新型的计算机搜查出现后,各国法律大体上只有两种选择以适应新情况:第一种选择是类比和解释,将原有的传统搜查规则略作调整便适用于新型搜查;二是根据现代科技的发展和司法实践经验,创制新的适用于虚拟空间的搜查规则。鉴于计算机搜查采取全新的程序,多数学者赞同第二种选择。例如,我国有学者提出,基于电子证据的特性、虚拟空间搜查方式方法上的差异,有必要在刑事诉讼法中对虚拟空间搜查进行特别的规定,明确有关的实体要件和程序要件,如扣押的范围、方式等。(11)
笔者认为,既然计算机搜查的理想状态表现为“两个阶段”,那么传统的搜查规则完全可以援用于第一阶段,而第二阶段因存在明显不同而必须适用全新的规则。新规则涉及的内容主要包括如何申领搜查令状、哪些计算机空间可以被搜查、其他人员的电子数据可否被扣押以及如何吸收第三方协助搜查等等。概言之,计算机搜查程序的变化必然会导致有关法律规则的变化。
(一)是否需要申领搜查证?
传统搜查必须申领搜查令状,法律另有规定的除外。这是一项基本原则,不过各国关于这一原则的理论基础并不一致。有的国家以隐私权保护为基础,如美国规范搜查的最重要依据是宪法第四修正案,该条款确立了保护公民合法隐私权期待的宪法性原则;有的则以其他人身权为基础,如在我国隐私权尚不是一个宪法性权利,故要求申领搜查证的理论基础不是隐私权,而是住所权、人身自由等宪法性人身权利。相应地,计算机搜查是否需要申请令状,在各国遇到的法律要求不尽一致。
一般理解,计算机空间也是一个私密空间,当事人使用计算机等设备必然有着一定的隐私需要,所以在美国实施计算机搜查是否需要申领令状,是个不言而喻的问题。而在我国,这一问题则值得探究。一种观点认为,在我国隐私权不受宪法保护,相应地计算机搜查也就无须申领令状,这就相当于询问等非强制侦查措施无须申领令状一样,而且现实生活中我国目前也不存在有足够能力审批计算机搜查的机构;另一种观点认为,计算机搜查比传统搜查的强制力度更大,理当由侦查人员持证进行。
笔者认为,计算机搜查是否需要申请令状,本质上需要在国家机关顺利开展侦查与公民生活不受干扰两方面进行利益权衡。虽然我国现行宪法第37、39条只明确了人身自由、住所权等人身权利,但是基本隐私权也应涵盖在广义的人身权利范围内,尤其在我国签署了《公民权利和政治权利国际公约》之后。该文件第17条规定:“公民的私生活、家庭、住所和通信不得加以任意或非法干涉,他的荣誉和名誉不得加以非法攻击。人人有权享有法律保护,以免受这种干涉和攻击。”不难看出,隐私权已然成为我国公民日常生活中的一项基本人权。因此,除法律特别规定的除外情形外,计算机搜查原则上必须以申领令状为前提。
那么,哪些是“法定无须申请搜查证”的除外情形呢?我国有学者认为,“对于电子证据的搜查、扣押,……在紧急情况下,侦查人员也可以进行无证搜查、扣押,以保证能够及时地收集到证据,查获犯罪嫌疑人。”(12)这基本上是我国传统搜查规则的翻版。现行《刑事诉讼法》第111条规定,“进行搜查,必须向被搜查人出示搜查证。在执行逮捕、拘留的时候,遇有紧急情况,不另用搜查证也可以进行搜查。”我国公安部《公安机关办理刑事案件程序规定》第206条进一步解释说,“所谓紧急情况,是指犯罪嫌疑人可能随身携带凶器的;可能隐藏爆炸、剧毒等危险物品的;可能毁弃、转移犯罪证据的;可能隐匿其他犯罪嫌疑人的;其他突发性的紧急情况。”不难看出,这些紧急情况在计算机搜查中并不典型,不能用以概括无需申领令状的例外情形。
美国新近的判例确定,计算机搜查中不用签发搜查令状的情形主要包括三种情形:(1)没有合理的隐私期待,如警方从捡到的手机中发现了有关犯罪的照片,这一手机可以被搜查,这些照片可以用于指控;(2)当事人放弃隐私权的,如经同意后的搜查;(3)善意的例外等。(13)笔者认为,这些例外情形主要立足于限制那些侵犯隐私权的计算机搜查行为,符合我国未来构建计算机搜查制度的价值追求,具有重要的借鉴意义。
至于需要申领搜查令状的,计算机搜查证应当至少满足三项条件:(1)建立在正当理由的基础上。申请令状的侦查人员必须有相当证据表明,将能从计算机硬盘等介质中寻找到涉案证据。这需要在具体案情下把握。例如,在美国的合众国诉海氏一案中,侦查人员申请令状时声称“犯罪嫌疑人存在使用电脑存储和传输儿童色情图片、偶尔向外散播性行为材料的行为,专家可能将这些删除的计算机文件恢复出来”,联邦上诉法院第九巡回法庭裁定这些构成正当理由;(14)在合众国诉合恩一案中,侦查人员向法庭提交了犯罪嫌疑人三个月前写的信,证明其曾经持有、并可能继续持有一些儿童色情图片,联邦上诉法院第八巡回法庭裁定虽然这些信是几个月前写的,但足以表明犯罪嫌疑人具有很深的、持续的儿童色情兴趣,因而实施计算机搜查具有正当性。(15)(2)由合格的司法人员签发。目前我国的搜查证是由侦查机关的负责人进行审查签发的。从审判中立的理念出发,今后司法改革不排除由不参与侦查的法官进行审查。而对于计算机搜查而言,最重要的是,无论是当前的侦查机关负责人还是未来的中立法官,都必须具有判断计算机搜查正当性的专业知识和能力。(3)详细描述搜查的地点和扣押的项目。确定搜查的地点和扣押的项目具有重要意义,这直接关系到搜查的范围。传统上,搜查范围是根据物理空间和物品属性确定的,如犯罪嫌疑人的住所与被搜查物的基本情况等。不过,对于电子证据及其所处的虚拟空间而言,要事先确定搜查的地点和扣押的项目显然要面对更大的挑战。下面单列出来予以说明。
(二)如何确定搜查的范围?
在当代各国,搜查都必须遵循有限制的原则,不受限制的搜查在当代法治国度是不存在的。例如,为了侦查一起盗用拨号上网的案件,就不可能授权对犯罪嫌疑人房间内所有的抽屉进行搜查;同样,为了调查网络赌博案件,那么搜查证也不应该授权对该计算机所有的用户文件、系统文件、删除文件都进行搜查。这样做的理由也在于利益平衡,一方面侦查人员要通过搜查获取同犯罪相关的证据,另一方面侦查人员要确保同案件无关的财产、人身与住所不受侵犯。因此,明确计算机搜查的范围,是审查批准的一项重要内容。
我国《刑事诉讼法》第109条规定:“为了收集犯罪证据、查获犯罪人,侦查人员可以对犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方进行搜查。”这表明,我国搜查的范围是“犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方”。此外,《公安机关办理刑事案件程序规定》第205条、第210条、《人民检察院刑事诉讼规则》第175条、第189条重申了这些规定。由此可见,侦查人员在申领令状之前应当明确搜查的范围,在执行搜查的过程中应当区分哪些电子数据是与本案有关的、哪些电子数据是与本案无关的。
然而,依照司法实践中的“最佳选择”方案,计算机搜查要经历在现场扣押存储介质、在实验室进行检验的两个阶段。这样一来,就会产生一些法律问题:一是侦查人员在申领令状时,容易把将整个计算机视为单一的、离散的空间。但是,大多数计算机都是多人使用的,特别是网络计算机还可能是成千上万的不特定多人使用,其中的电子数据也是鱼龙混杂难以区分的。将计算机空间都纳入搜查范围,是否同搜查规则相矛盾?是否侵犯公民的合法权益?二是技术专家在检验分析前对电子数据存储介质进行镜像复制阶段,是不是意味着对全部原始的电子数据的“扣押”?如果是,这种“扣押”是否合理?侦查人员委派专家对原始数据的镜像复制件进行搜查是否该有所限制?对其中删除的各种数据进行恢复是否合法合理?
为了解决这些问题,我国有学者将计算机系统分成单机系统与网络系统,进而提出:(1)对存储在单机系统的硬件及相关设施等有形载体中的电子证据,可以完全依据我国《刑事诉讼法》第114条的规定进行搜查、扣押;(2)对于网络数据处理系统中的电子证据,可以将其复制到其他的物质载体上加以扣押,而不能对该主机系统进行扣押。(16)然而,这些建议似是而非,问题多多。首先,单机系统的存储介质及其相关设施等同样也可能包含有许许多多的无关信息,直接扣押亦会侵犯他人的隐私权等合法权利;其次,对于网络中有哪些涉案的电子证据,侦查人员并不能一眼明知,相应地也就不能从其他证据中剥离开来加以扣押。
在美国当前的司法实践中,不同法院对于计算机搜查的范围形成了两种做法:其一是较为宽泛的措辞,即涉及犯罪的一切计算机设备。这些法院所持的理由是,狡猾的犯罪嫌疑人在计算机空间藏匿证据的方法是形形色色的,只要令状上注明与犯罪有关即符合明确搜查范围的要求,是实践中可执行的范围。例如,合众国诉安哈姆一案的搜查范围概括为“一切计算机软件和硬件、计算机硬盘、硬盘驱动器以及一切有关未成年人性展示的描述物”,(17)合众国诉霍尔一案的搜查范围概括为“计算机硬件、硬盘、硬盘驱动器、内置调制解调器、磁带驱动器、磁盘申请程序、数据盘、系统盘操作系统”,(18)合众国诉米克一案的搜查范围概括为“计算机设备、计算机打印输出物、数据存储设备与计算机硬件文件”,(19)合众国诉翁一案的搜查范围概括为“与谋杀有关的、警方希望查获的12项物品”,(20)戴维斯诉格雷斯一案的搜查范围概括为“有关儿童色情材料的发送设备或显示设备”,(21)以上表述均得到了法官的核准。
与此相反,一些法院(主要是各级联邦法院)主张搜查的范围尚需进一步明确。例如,在合众国诉奥一案中,搜查范围原限定为“与‘欺诈’交易和虚假上报收益相关的文件”,但主审的联邦上诉法院第九巡回法庭裁定这种范围太过于含糊而无效,法庭认为警方知道该从哪儿找到相关文件而故意不明确搜查范围,这造成了警方实际上将对所有计算机文件、文档进行搜查;(22)此外,阿肯色州科尼克诉伊斯利一案的搜查范围原确定为“包含有邮件、信件、备忘录和杂志的任何计算机设备”,(23)合众国诉亨特一案的搜查范围原确定为“一切计算机、一切计算机储存设备、一切计算机软件系统”,(24)均被主审的联邦地区法院以过于宽泛为由而推翻。
笔者认为,有限制原则不是美国部分法院针对计算机搜查的“专利”,而是国际上公认的一项计算机取证原则。在国际权威的计算机调查专家国际协会公布的《电子检验程序》中,就特别强调“基于各种原因的制约,检验员要对介质上所有数据实施彻底检验常常得不到授权或者不可能、不必要、不可行。这时,检验员就只能进行有限制检验,应将不能实施彻底检验的理由记录存档。”其中,这一原则的含义之一便是“搜查令状确定的或法官授权的搜查范围必须是有限制的”。(25)基于该协会的影响和推荐,“有限制原则”在欧美计算机取证实践中日益受到重视和遵从。
从承袭国际公认准则的角度出发,我国开展计算机搜查应当将搜查范围尽可能地明确下来。诚然,核准的搜查证范围不同于传统搜查的物理限制,而应当采取技术手段加以界定,比如可确定为某个时间段、某个制作者、某个电子邮箱、某个关键字、某种类型或某个虚拟空间的电子数据。这些范围的圈定其实完全符合现有技术手段,计算机取证软件的常用查询与搜索功能就能满足这些要求。需要特别指出的是,在限定搜查范围有可能遗漏犯罪证据的情况下,搜查范围的确定可实行有条件的“宜大不宜小”规则,作为一种例外。
(三)如何保护其他人员的合法权益?
计算机搜查措施不仅影响犯罪嫌疑人的权益,而且常常会妨碍网络服务提供商和公众等其他人员的合法利益。具体来说,如果侦查人员搜查的计算机系统是多人共享甚至联网的,则其中既会存储有犯罪嫌疑人的电子数据,也会存储有其他无关人员的电子数据,特别是有关他人隐私或商业秘密的电子数据等。如何在有效开展计算机搜查与避免侵犯他人合法权益之间达致一种平衡,也是必须考虑的法律规制问题。
一方面,完全禁止侦查人员在计算机搜查中对其他人员电子数据的扣押是极不现实的。因为犯罪嫌疑人极有可能对犯罪证据进行隐蔽处理,如变更文件名、将犯罪证据和其他电子文件混杂在一起,或者嵌入与案件无关的信息,所以侦查人员应当尽可能扩大搜查范围,对可能隐藏有犯罪数据的虚拟空间尽可能细致地进行过滤、查看,有时甚至要利用特殊技术分析某一似乎与案件毫不相干的电子文件。另一方面,漠视和随意侵犯网络服务提供商和公众的合法权益显然同现代法治精神相违背,侦查机关造成其他人员权益损害的还会面临着侵权之诉。这就要求今后立法与司法必须兼顾取证与维权两种价值取向。
对此,我国有学者提出了“必要性”之判断标准,即侦查人员根据当时的具体情况判断计算机搜查过程中有无扣押他人电子数据的必要性。具体来说,如果有必要,则可以将他人电子数据作为扣押的对象;如果无必要的,则可以通过复制方式将仅仅有关案情的电子证据进行扣押。至于如何判断扣押他人电子数据的必要性,该论者建议可以结合以下几个要素进行判断:犯罪嫌疑人涉嫌犯罪的内容、该电子数据作为证据的证明价值、该电子数据受到篡改、删除的可能性以及该电子数据所有人的商业秘密和隐私的保护等。(26)
该论者列举了1998年日本东京地方法院判决的一起因司法机关扣押网络公司服务器引发争端的案件加以说明。在该案中,原告是一家网络电信服务业者,该公司某一成员在东京分公司所设服务器的数据库中藏有名为“地下影院”的一个色情网页,导致多人对该网页中的淫秽图片、影片进行复制和浏览。但该成员在网页和电子邮件中使用的地址均为“morokin”,真实姓名不详。侦查人员持证对该公司的网络服务器进行了搜查,并对包含该公司428名客户的姓名、地址和联系方式等资料的电子磁盘进行了扣押。该公司提起诉讼要求解除该扣押。东京地方法院判决认为,该公司并非是犯罪嫌疑人而是电信通信业者,对客户的资料负有保密的义务。在本案中,犯罪嫌疑人使用的是“morokin”’网址,不能认为428名客户均与犯罪有牵连,所以判决扣押其他人员的电子资料并没有必要。(27)
“必要性说”提出了具体情况具体分析的思路,这无疑是非常正确的。从一定意义上讲,犯罪侦查是一种国家公权力,是打击犯罪、保护人民的需要,因此侦查人员在必要时有权获得网络服务提供商和公众的配合,有权扣押其他人员的电子数据。然而司法实践是复杂的,当侦查人员并不能清楚判断是否有必要扣押其他人员数据时,应当考虑尽可能地减少对网络服务提供商和公众的利益造成不良的影响。一旦难以避免造成损害的,则需要予以赔偿。例如,搜查计算机系统时应减少妨碍服务器运行的时间或尽快使用替代系统,扣押电子证据的方式要因案而异,对因办案而知悉的电子数据要严格保密、防止毁损等等。
(四)第三方如何进行必要的协助?
传统搜查主要是由侦查人员实施的,第三方通常只起到见证的作用。计算机搜查则不然,很多时候离不开第三方的支持和参与。这是因为,有些涉案的电子证据是经由第三方保管的,第三方代为收集具有天然的优势;而由侦查人员亲自搜查将大大延长搜查的时间,并严重影响到被搜查单位的正常工作秩序。例如,像“亚马逊公司”之类的网络销售商在开展业务的同时,都会如实记录消费者每次购物的各种记录,包括个人身份和户名情况等。如果侦查人员需要这些信息,就可以要求网络销售商(其实就是网络服务提供商)代为获取和提供,然后送交警方拿到实验室中进行数据分析。这一取证过程看起来是证人的一种协助举证行为,实际上却是由第三方协助制作电子数据盘——即完成计算机搜查的第一步,而后由警方的技术专家进行检验——即完成计算机搜查的第二步。第三方进行的必要协助显然属于计算机搜查的范围。
在计算机搜查活动中,第三方如何开展协助、特别是是否需要申领令状,在美国曾经产生过广泛的争议。在1976年合众国诉米勒一案中,联邦警察为了调查犯罪嫌疑人的财务记录,向有关银行发出了协查传票。但该犯罪嫌疑人声称其银行财务记录受《宪法》第四修正案的保护,警方必须取得特别搜查令方能要求银行提供;联邦警察则认为银行财务记录不受宪法第四修正案保护。最后,法庭驳回了犯罪嫌疑人的主张。法庭认为,犯罪嫌疑人选择在银行存钱,就意味着他自愿将其账户和存取钱信息提供给银行及其职员,因而他对银行财务记录缺乏合理的隐私期待,不受《宪法》第四修正案的保护;相应地,政府有权通过第三方即银行获取有关的信息。(28)基于该案和类似判例,美国司法实践中已经形成了所谓的“第三方搜查原则”,即:假如犯罪嫌疑人的电子信息为第三方合理地持有或获知的,则第三方在协助警察开展计算机搜查时无需以申领令状为前提。(29)当前,“第三方搜查原则”因对计算机搜查的隐私权保护构成一种严重的危险,已在美国引起了热烈的辩论和深刻的忧虑。
那么,在我国的计算机搜查实践中需要第三方开展协助的,是否需要以申领令状为前提?答案显然是肯定的。这是因为,我国现行法律已经确认了公民对个人电子数据享有一定的隐私权;而且,在我国现阶段网络服务商私下搜集他人的电子数据、再转交给司法人员,还涉及网络服务商应当妥善保护民众个人数据的问题,涉及私人公司能否行使国家公权力的问题等等。如果没有必要的令状授权,这些涉嫌侵犯隐私权、个人数据权和国家公权力的各种法律问题,都无法得到合理解释。因此,在我国第三方协助计算机搜查的,仍需要以一定的令状为前提。
不过,从我国的司法传统出发,搜查证是由侦查机关负责人审查签发的、用以证明侦查人员开展的搜查行为正当合法的法律手续,这样的令状不可能用于对私人公司的搜查授权。也就是说,侦查人员要求第三方代为收集电子数据、协助计算机搜查所需要申办的令状肯定不是搜查证,那该是什么呢?要回答这一问题,应该弄清楚计算机搜查中第三方协助的定位问题。我国有学者认为,有关单位和个人协助侦查人员进行计算机搜查,应当规定为一项“必须履行的法定义务”;在协助过程中取证措施对第三方利益造成影响的,侦查机关应当给予一定的经济补偿。(30)这一建议是符合我国国情的。由此可见,侦查人员开展计算机搜查要求第三方协助的应当开具一种特殊的《协助调查令》或《协助调查通知书》。这一令状究竟如何设置,还有待于今后立法加以明确。
五、结语
技术创新,法律相随。随着当代信息技术的迅猛发展,新型的计算机搜查措施走上我国司法实践的大舞台,已经成为无法否认的现实。而技术永远是一把双刃剑,当国人开始享受实施计算机搜查带来侦查效率极大改善之利好的同时,如何看待它所引发的一系列法律挑战、如何及时进行法律规制,则是当前和将来所必须因应的一项重要课题。
这些问题涉及方方面面,对此我国必须立足于本土资源,设计出同国情相适应的法律规则。从当前国内的司法实践来看,计算机搜查基本上还属于“一步式”模式。这明显有违计算机取证的基本法理,也落后于先进国家的实践做法,不利于准确有效地获取有关犯罪的电子数据。我国应当彻底纠正之,尽快实现向“两步式”模式转化。相应地,我国未来对计算机搜查规则的设计以“两步式”为基础,积极关注它所引起的各种法律问题,并构建和完善有针对性的运用规则。
注释:
①洪露露、张英华:《软件博士涉嫌侵犯商业秘密被公诉》,载《法制日报》2006年1月13日。
②何家弘主编:《证据调查》,中国人民大学出版社2005年版,第316页以下。
③See Orin S.Kerr,Searches and Seizures in a Digital World,119 Harv.L.Rev.531,(2005).
④刘方权:《从现实空间到虚拟空间:两种搜查的比较》,载《江西公安专科学校学报》2005年第3期。
⑤镜像复制(bitstream copy)与将个别计算机文件从一台电脑转移到另一台电脑的普通复制有所不同:(1)普通复制只能复制可识别文件,而镜像复制能够将目标驱动器中的每一个字节都复制下来,包括所有文件、空白空间、主文件表和元数据等;(2)普通复制可以在计算机运行时进行,而镜像复制通常是在数据机器关机状态下进行;(3)普通复制不改变原文件属性,而镜像复制形成的文件都是只读文件,用于分析时不至于发生篡改;(4)普通复制完毕后不必进行校验,而镜像复制完毕后必须进行校验,实践中常常采取哈希函数检验数据的完整性。两份不同的文件输入哈希程序,得出的哈希值是不同的;两份完全相同的文件输入哈希程序,才能得出相同的哈希值。
⑥U.S.Department of Justice,Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigation pt.II.B.1 (2002),http://www.cybercrime.gov/s&smanual2002.htm.
⑦例如,启动Win NT操作系统的电脑,将有500多份电子文件出现变化。
⑧U.S.Department of Justice,supra note 8.
⑨See Orin S.Kerr,Search Warrants in an Era of Digital Evidence,75 Miss.L.J.85,(2005) .
⑩Id.
(11)参见前引④,刘方权文。
(12)参见刘广三、向德超:《论电子证据的搜查、扣押》,载《北方法学》2007年第2期。
(13)See Kelly A.Borchers,MISSION IMPOSSIBLE:APPLYING ARCANE FOURTH AMENDMENT PRECEDENT TO ADVANCED CELLULAR PHONES,40 Val.U.L.Rev.223 (2005).
(14)United States v.Hay,231 F.3d 630 (9th Cir.2000).
(15)United States v.Horn.187 F.3d 781 (8th Cir.1999).
(16)参见前引(12),刘广三、向德超文。
(17)United States v.Upham,168 F.3d 532 (1st Cir.1999).
(18)United States v.Hall,F.3d 988 (7th Cir.1998).
(19)United States v.Meek,366 F.3d 705 (9th Cir.2004).
(20)United States v.Wong,334 F.3d 831 (9th Cir.2003).
(21)Davis v.Gracey,111 F.3d 1472 (10th Cir.1997).
(22)United States v.Kow,58 F.3d 423 (9th Cir.1995).
(23)Arkansas Chronicle v.Easley,321 F.Supp.2d 776 (E.D.Va.2004).
(24)United States v.Hunter,F.Supp.2d 574 (D.Vt.1998).
(25)刘品新著:《中国电子证据立法研究》,中国人民大学出版社2005年版,第66页。
(26)参见前引(12),刘广三、向德超文。
(27)参见前引(12),刘广三、向德超文。
(28)United States v.Miller,425 U.S.435(1976).
(29)U.S.Department of Justice,supra note 8.
(30)参见皮勇:《电子证据的搜查扣押措施研究》,载《江西公安专科学校学报》2004年1期。