2016年,关于网络身份认证技术与电子证据固化的最新风向全在这里了!!(一)

来源:法大大发布时间:2016-01-18 00:00:00

       1月9日,由公安部第三研究所、中国政法大学电子证据研究中心、北京社科院主办,法大大承办的“网络电子身份认证与数字签名研讨会”在北京召开。

      公安部第三研究所、中国政法大学、北京市社会科学院、中国人民银行金融信息化研究所、广州仲裁委、中国电子认证服务产业联盟、国家法官学院、上海交通大学凯原法学院等多个单位的领导及80多位行业专家汇聚一堂,围绕“聚焦电子凭证,对论法理之道”展开了深入的交流,从不同维度对基于电子签名的网络身份认证和电子证据固定展开了多元化的讨论。

       经过几天的整理,小豸对所有参会嘉宾的发言进行了整理,并将陆续发布在法大大订阅号上,方便各位读者学习与交流。如您对文内观点存在疑问,欢迎在评论区留言与我们互动,小豸会在第一时间找到相关专家解答您的问题!


嘉宾发言实录


嘉宾

发言实录中国政法大学电子证据研究中心研究员、教授戴士剑


【电子证据的应用,需要技术与法律相结合(节选)】

       事实上,电子证据的有效性,单纯从技术或者是法律都解决不了这个问题。所以,现在强调要跨学科,为法官提供依据,出台与法律相配套的技术规范。

       以最近伪基站的检验来说,也许大家能有更直观的感受。违法分子通常只需要用一个小型的收发器就是所谓的基站,再用一个笔记本就可以控制发短信。借助这个基站,很多手机用户会收到大量诈骗短信,目前最新型的伪基站已经发展到用手机遥控发送垃圾与诈骗短信。

       为了依法追究这个基于网络的违法行为,我们也特意从技术层面研究了伪基站所涉及的技术及数据。我们发现,这个系统上面有三层数据,第一层是软件自己统计的发送了多少条短信,这是一个纯数字,第二层是给哪些IMSI发送了短信,是根据IMSI统计出来的,第三层是捕捉到的IMSI。经过与通信专家研讨,我们检验时,统计发送了短信的IMSI和捕捉到的IMSI,去重后作为中断的手机用户数。

       当我们花费了很大力气抓到嫌疑人,可这个伪基站嫌疑人说我在几月几日才拿到这个伪基站,在这之前不能认定为他的违法行为。所以检验相应地区分到对应的时间段。但伪基站毕竟只是一个计算机程序,嫌疑人为了不被追究刑事责任,与伪基站设备商商量对程序作了修改,关机时就清除其日志,或者直接就不把日志记录到硬盘中,这样我们就无法统计IMSI号,这样就没法给嫌疑人定罪。

       为了确定证据,对于这种伪基站,可能我们就只能通过运营商,拿到某一个时间段所有出现在伪基站附近的手机的IMSI,这个范围可能是方圆2KM,也可能是方圆3KM,然后找到当事人,一个人一个人的来核实,根据司法解释,核实到1万户以上的时候,才可以给伪基站人员定罪,可以想象,这个执法成本有多高。其他互联网犯罪也大都大同小异,可见,在这个时代违法的成本是很低的,而执法的成本是很高的,且这种趋势会愈发的明显。所以,对于打击互联网犯罪的法律制定,需要技术与法律专家通力协作。

       过去在功能机时代手机的信息量是非常有限的,联系人、短信等都是很有限的。但是在智能机时代,数据量非常庞大,如果不借助一些大数据的分析手段是无法处理的,手机和手机之间,设备和设备之间的碰撞已经越来越多也越来越复杂了。

       总体而言,从技术层面来看,电子证据的搜集主要存在以下几个方面的难点:

       第一个是数据分布的广泛性。电子证据要在其一定范围内形成证据链,才具有证明力。以电子邮件为例,单一的电子邮件的打印件是没有任何证明力的,通常需要在发件方、收件方和中间服务器上形成一个证据链。因为按照生活经验,某一方的数据可以控制,但整个证据链上其他地方的数据在其他方的控制之下,不受某一方的控制,这种情况下,所以这些证据能够保持一致,形成了证据链,通常就可以认为是比较可信的。

       第二个是取证组织的适时性。过去都是事后取证,基本上都是后续的倒查,但是现在到了互联网时代,有些信息是不行的。比如说我们做网络数据包,做IP包的解析基本上不可能事后去取证,它的适时性要求就非常高。如果不是特别镜像,过后就基本不可能得到这些数据,还有如果是牵涉到一些恶意代码,也必须考虑恶意代码对数据的破坏性(恶意代码的自我保护或证据销毁)。

       第三个是取证过程的复杂性。因为数据的分布性、案件现场的多点性、信息系统的复杂性等,都对取证过程提出了复杂的要求,传统的犯罪现场,在互联网时代,已经完全不一样。

       第四个是系统设备的多样性。过去比较简单,到现场勘验,各种证据流程都比较成熟稳定。但在电子证据时代,这些都发生了变化,以往任何一种证据类型,都无法与电子证据相比,它的发展一日千里,且没有停止的迹像,信息技术改变了我们工作、生活方式,改变了社会沟通与交流方式,其内容之复杂、体系之庞大、技术之广博,都超出了我们对传统证据的认知,它不是一种证据,而是一个证据体系。仅以U盘为例,我们到犯罪现场进行勘验,能不能找到U盘,首先我们就面临着一个认识不认识的问题,因为U盘的造型与外观变化很大,有很多卡通似的设计,如一些U盘看上去就是一个冰箱贴,如果我们不认识,没有一定的经验,就可能会忽略掉。

       技术手段的庞杂性,是基于信息技术的庞杂性建立起来的。也正因为如此,要在法律的层面上站得住脚(满足证据三性要求),就必须从技术角度上证明电子证据的不可篡改以及稳定性等多方面特征,满足电子证据的真实性、关联性与合法性,使之成为打击犯罪的有力的武器。



北京市社会科学院法学所助理研究员、法学博士于雯雯


【互联网法治与电子证据立法的若干思考】

       什么是互联网法治

       近些年基于不断出现的互联网安全问题的困扰,互联网治理无论在国内还是国际上都获得越来越多的关注,在信息社会世界峰会上对互联网治理问题达成了一些共识。互联网治理是指政府、私营部门和民间社会根据各自的作用制定和实施旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案。

       在互联网治理的大背景下,我们来探讨互联网法治的问题,互联网法治主要是指党、国家机关、社会(企事业单位、人民团体、社会组织和广大人民群众)根据各自的作用运用法治的理论、思维和方式去调整和协调互联网社会中的人的行为和相互关系的过程。从理念层面看,就是建立互联网社会法治价值观,网络空间的参与者应当怀有对“法治”的信仰和敬畏;从制度层面看,是要完善互联网社会法律体系,包括对现有法律体系的完善以适应调整网络社会关系的需要,以及针对网络新型社会关系进行专门立法;从运作层面看,是要有效执行和遵守互联网社会法律规范,实现互联网社会法律体系的规则秩序。

      互联网法治有三个基础,即现实社会治理逻辑向网络空间的延伸、国家主权在网络空间的重要体现、以及网络空间中利益平衡与价值协调的必然要求。其实,我们在谈论互联网法治的时候,一个基本的前提是网络主权的问题。立法权是国家主权的组成部分,国家的存在及其对网络架构和网络参与者的属地控制使国家主权理论获得历史性地发展,从而适应互联网的发展。但是互联网发展产生了一个问题,就是跨境性,因此需要我们在国家主权基础上进行合作和治理。

       在治理主体方面,信息社会世界峰会达成了一个共识就是多元主体参与原则。对于互联网创新还有互联网的日常治理,这样的作用是由私营部门,也就是说服务商社会组织私营部门实施,公权力在制定公共政策和法律以及追究法律责任方面发挥它应有的作用。我们需要重点看一下实际上在这个过程中出现了一个有意思的问题,也是我们法律界非常关心的问题。举个例子,我们国家,美国、韩国、新加坡、英国,大家多有类似于违法信息与不良信息的举报中心,这样一些社会组织。还有就是服务商,刚才也有专家谈到,像淘宝、微信,他们实际上在行使着日常的管理性工作,而网民与服务商之间是一种服务协议,如果产生纠纷,更多的是民事纠纷。如果公权力通过服务商或者社会组织进行监管,那么它很容易跳出了法律约束框架,逃脱公法上的责任追究,由此产生了互联网法治第一个命题:在互联网时代公权力如何依法管网,从而保证基本人权和程序正义,防止公权力机关通过服务商和社会组织,没有法律约束地去监控或者监管互联网。


       互联网法治的路径

我们在莱斯格理论的基础上,认为互联网社会主要受到技术、法律、市场和准则的约束,换句话说,市场的竞争和价格会对人们的行为产生规制,还有人们的上网习惯、行为习惯也会对这种方式产生影响。技术在互联网的人的行为的控制方面,包括规制方面是非常有效率而且也是最常用的。

在这一模型当中,可以看出我们的法律在互联网法治的作用当中还有一个效应的发挥。就是在互联网治理当中的治理效应与协同效应,路径是在发生各自的作用,但同时法律还是会对其他的路径会产生影响,当然这个影响也是比较间接的。举个例子,比如说法律对技术的影响,大家知道著作权上有这种规定,针对网络空间下的禁止开发专门用于盗版的技术措施,可以产生相应的法律责任。同样在一些法律里面也会有规定,国家鼓励开发的网络安全技术、可溯源技术也会有这方面的规定,所以还是有引导和禁止性在里面。


互联网立法的重点领域

近年来,美国、欧盟、日本等国家和地区在互联网立法方面比较频繁。重点领域包括这样几个,计算机与网络犯罪,电子商务,个人隐私与数据信息保护,网络知识产权,未成年人保护,网络安全,还有程序法方面。我国近年来在这些方面的立法活动也有开展,例如网络犯罪方面,刚刚通过的《刑法修正案九》重点内容就是完善网络犯罪的法律规定;电子商务中电子签名法也应用于这个领域。个人隐私与数据信息保护方面,工业和信息化部也有关于这个方面的规定,还有正在制定中的网络安全法。对于程序法,现在诉讼法都对这个电子数据增加了一些规定。

接下来是互联网法治命题的第三个方面就是要加强这些重点领域的立法,我们国家在这些重点领域立法不能说是空白,但是在规则的制定方面还是有漏洞和不完善的地方,下一步要加强这方面的设计。


关于电子证据的立法

关于电子证据的立法,要探讨几个问题:第一,在2012年的两个诉讼法的修改当中,将电子数据作为独立的证据类型来进行规定,对于电子数据的定义或者它的含义是什么,在最高院的民诉法解释中有这样的定义,实际上是分成了两款规定的,电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料,适用电子数据的规定。但是并未规定单独的证据规则。

第二个是方法,对于电子证据的取证方法,尤其是在民事交往当中,这个方法是在不断创新的,而且很多公司也试图在做民事电子证据的固定保全,尝试保存完整的证据链条。

举一个例子,这也是最近讨论的服务器软件远程侵权,美国雷诺公司是一个软件公司,它在中国大陆进行维权,它对Serv-U软件享有著作权,是用于FTP服务器的软件。这个公司取证的方法采取了公证保全的方式,但是用的是远程取证的方式。在原告方的公证申请人申请下,公证人员打开公证处连接互联网的电脑,在桌面“开始”项下的“运行”栏中输入“Telnet+涉案网址+21”,然后点击确定,弹出的对话框中显示“220 Serv-U FTP Serverv X.X for Winsock ready”,其中包括了这个软件名称,雷诺公司以这个为依据诉不同的公司侵犯了软件著作权。这里面有一个关键的问题,返回来的名称虽然有Serv-U,但是不是一样的,是不是真的使用了它的这个盗版软件,这里出现了不同的意见。一种意见认为雷诺公司基于对这个证据控制的程度已经尽到了举证责任,从而让对方公司进行证明我使用的软件虽然名称叫Serv-U,但是是我自己研发的,从而提出伪装抗辩。另一种认为雷诺公司提供的表面信息不足,还需要提供证明和证据。电子证据的创新,各种取证方法的创新还是有一个很重要的意义,不一定会受到司法的否定。民诉法解释108条规定了高度可能性。

最后就是关于搜查证,我们国家在计算机搜查基本遵循以有证搜查为主、及时搜查和必要性原则。近年互联网的发展使得个人隐私的问题凸显,从而在电子证据搜查过程中会提出这样的问题,就是隐私保护。其中之一是它的范围,是取走某些文件,还是把整台计算机都拿走,在这个里面进行搜查。还有我们国家对于无证搜查这一块主要规定了紧急情况下的无证搜查,证据面临马上灭失的危险,如果不及时搜查固定则无法恢复。从国外判例来看还有一些适用无证搜查的情形,如同意、逮捕时附带搜查、一目了然、缓刑、假释等。对于工作场所的计算机,如果存在计算机使用政策的规定,则通常不具有隐私期待。

最后简单的对互联网治理提几点建议。第一个是自上而下和自下而上治理相结合,第二个是直接治理和间接治理相结合,第三个是网上治理与网下治理相结合,第四个是国家治理与全球治理相结合。