犯罪侦查中计算机的搜查扣押与电子证据的获取(二)
刘方权
【关键词】搜查;扣押;计算机;电子证据
【全文】
第二章 对计算机的有证搜查与扣押
一、概要
有证搜查和扣押计算机的法律框架在很大程度与对其他客体的搜查与扣押相似。与其他类似的有证搜查一样,执法人员为了获取对计算机进行搜查和扣押所需要的令状,同样必须确立“合理根据、有宣誓或附誓言支持的证言”,必须“对要搜查的场所、扣押的人或物进行特别描述。”
尽管对计算机的有证搜查与扣押和其他类型客体的搜查与扣押有着共同的法律框架,但是计算机搜查还是与其他类型客体的搜查有着不同之处,因为计算机技术经常迫使执法人员以不同于传统的方式来进行计算机的搜查。以传统的案件为例,如从私人停车场扣押被盗窃的汽车,执法人员通常可以假设在他们执行搜查时,被盗汽车仍然还在其原来的位置,并且可以假设他们可以通过汽车的模型、制造、牌照、机动车身份证号等来迅速确认被盗的汽车。其结果是,起草搜查令的程序和搜查的执行都相对简单。在执法人员确认了搜查的合理根据和向治安法官描述了汽车及要搜查的地段后,治安法官就会签发搜查令,授权执法人员到该私人停车场,扣押停放在该地段的被盗汽车。
而对计算机文件的搜查则要复杂得多,因为计算机文件能够存储于插针头部,并能在很短的时间内在世界范围内流动的电子脉冲构成。执法人员也许不知道计算机文件存储于何处,或以什么形式存在。计算机文件可以存储在软盘中,也可以存储于犯罪嫌疑人的膝上电脑中的隐藏目录下,或者存储在数千里之外的远端服务器之上。这些文件可以加密,也可以通过迷惑人的标题,以少见的格式存储。或者是与数以百万计的不相关的、无伤大雅的,甚至是受成文法保护的文件混在一起。这些不确定性导致的结果是,执法人员无法简单地确立合理根据,描述他们需要的文件,然后“到计算机中去”“重新检索”出这些数据。相反,执法人员必须理解不同技术的局限性,详细地做好搜查计划,然后以授权执法人员采取必要措施获取他们所需要的证据的方式起草搜查令。
持搜查证对计算机进行搜查和扣押,是一门科学,也是一门艺术。然而,一般来说,执法人员和检察官发现他们可以通过以下四个步骤使得对计算机的搜查和扣押成功的可能性最大化。
第一、尽可能地在搜查开始之前成立一个由执法人员、检察官、和一名技术专家共同组成的搜查小组。
虽然在大多数情形下,侦查机关的领导都是搜查实践的核心人物,但是,在计算机搜查中,通常要求一个搜查小组必须包括三个重要的人物:执法人员、检察官、和一名计算机技术及计算机法庭科学方面的专家。在大多数的计算机搜查中,执法人员组织和指控搜查行动,尽可能地了解将要搜查的计算机的情况,然后书立确立合理根据的附誓证言。技术专家则负责向执法人员和检察官解释影响搜查的技术性局限所在,拟定搜查执行计划,在许多案件中技术人员则充当了搜查行动的领导角色。最后,检察官对附誓证言和搜查令进行审查,从而确保整个的搜查过程符合第四修正案和联邦刑事诉讼规则第41条的规定。当然,搜查小组中的每个成员都必须相互协作,从而确保搜查的有效进行。
在联邦政府中有许多计算机技术方面的专家。大多数的执法机关都既有执法、侦查方面的专门人才,也有受过计算机法庭科学方面训练的技术专家。例如,FBI就有计算机分析反应小组(Computer Analysis Response Team, CAPT)的主考者,国家税务部门(Internal Revenue Service)有被扣押计算机证据恢复(Seized Computer Evidence Specialist, SCER)方面的专家,情报局(Secret Service)有电子犯罪特别机构方案(Electronic Crime Special Agent Program, ECSAP)。侦查机关可以与他们自己机构内的专家进行联系。而且,一些部门还为案件侦查人员提供充分的技术训练,使他们也可以成为技术方面的专家。在这些情形下,案件侦查人员通常不需要与技术专家进行商量,可以同时胜任案件侦查人员和计算机技术和计算机法庭科学方面的专家。
第二、在设计搜查策略或起草搜查令申请之前,尽可能地了解将要搜查的计算机系统方面的情况。
在成立搜查小组后,案件侦查人员应当开始尽可能地了解将要搜查的计算机系统方面的信息,这一步骤的重要性毫不夸张。对搜查目标的计算机的详细和精确的信息的需要,更多的是实践层面的考虑。直到执法人员已经了解了其将要搜查的计算机的种类和操作系统,才可能知道如何检索该计算机系统中存储的信息,或才可能了解所需要的信息可能存储于何处。每台计算机或每个计算机网络都不同,这些在硬件、软件、操作系统和系统配置方面的细微区别可以极大地改变搜查计划。例如,一个特定的搜查策略在Linux操作系统的搜查目标网络中也许相当有效,但是在Windows NT操作系统下,也许该搜查策略却没有任何效果。
对这些问题的考虑在搜查涉及复杂的计算机网络系统时尤其重要,例如,单纯的办公室商用计算机这一事实并不意味着在这发现的设备实际上就任何有用的信息。商业机关可以与提供远程商业信息存储服务的计算机网络服务供应商之间签订合同(该服务器可能是在数里之外,也可能是在数千里之外)。这样考虑的结果是,技术专家不能在不了解将要搜查的计算机系统性质的情况下,就为实践部门的案件侦查人员提供不同的搜查策略建议。执法人员在起草搜查令申请之前,需要尽可能多地了解搜查目标计算机系统的信息,如果可能的话,要了解的信息包括:计算机硬件信息、软件信息、操作系统和计算机网络的配置等。
了解搜查目标计算机的详细精确的信息同样具有重要的法律意义,例如,对受第一修正案 所保护的诸如新闻报道草稿、网页文件等的附带扣押,就涉及了隐私保护法案(Privacy Protection Act, PPA);该附带扣押和随后对计算机网络帐户的全面搜查则涉及电讯隐私法案(Electronic Communication Privacy Act, ECPA)。为了使基于这些成文法的责任最小化,执法人员应当对搜查目标计算机中是否存储着受第一修正案所保护的资料,和受电讯隐私法案所保护的个人帐户,以及这些资料和帐户存在于何处进行详细的调查。到目前为止,已经有个别法庭认为执法人员如果未进行这些详细的调查,就可以导致其基于这些成文法的法律责任所具有的“善意诚信”(good faith)之抗辩理由被剥夺。参见Steve Jackson Games, Inc. v. United States Secret Service案。
在实践层面上,执法人员可以采取不同的方式来了解搜查目标计算机网络的信息。在一些案件中,执法人员可以询问搜查目标网络的系统管理员(有时是以便依的身份进行),并获得技术专家制定搜查计划和执行搜查行动所需要的所有或绝大部份信息。如果这样做不可能或有危险,实践证明,一些细小的策略也许有效,例如,执法人员有时以在线访问者的身份(通常是秘密身份)至少也可以了解计算机网络硬件的一些情况,与因特网相联接的计算机网络的有用的信息资源之一,就 是因特网自身。公众经常可以通过使用来了解该计算机网络的操作系统、设备情况,并大概地勾划出与因特网相联接的搜查目标网络的基本情况(虽然这样做有时会给搜查目标网络发出警报)。
第三、根据对搜查目标计算机系统的已知信息规划实施搜查的策略(包括备用计划)。
搜查小组已经到位,并对搜查目标计算机网络系统进行了研究,下一步就是规划一个实施搜查的策略。例如,执法人员是要在他人的房间内进行计算机搜查,还是只是进入别人屋内,然后将该计算机的硬盘带走?执法人员是要自制个别文件,还是要复制整个硬盘上的全部文件?如果执法人员的原定计划失败,他们又将如何应对,或如果发现搜查目标的计算机硬件、软件与执法人员原先的预期差距太大,又该如何?这些决定取决于一系列的实践层面和法律方面的考量。在大多数情形下,搜查小组应当制定一个优先搜查策略,然后预留一些备用方案,以备优先方案被证明为不可行是地采用。
在许多情形下,执法人员无法充分了解搜查目标计算机系统的情况来设计一个单独的或综合的搜查方案。其结果是,执法人员应当认识到他们所不了解的系统信息会在何种程度上影响他们的搜查策略。即使是对该计算机系统有着充分的了解,执法人员和技术人员通常还是利用数种不同的技术来对获得的数据进行审查,以对该计算机及其存储介质进行全面的搜查。有时,备份数据或配置看起来不能被某一搜查方案或规程复制、检查或分析,此时就必须尝试另外一个,或数个搜查方案。直到对某个文件分区进行了详细搜查之后才可能进行关键词搜索,而且详细的数据搜索还可以发现其他诸如系统如何运用、数据生成、读取、传输和存储等其他不够明朗的方面。对于执法人员而言,很重要的是在心里要考虑这些可能出现的问题,并在规划他们的搜查策略时考虑和处理这些问题。
在规划搜查和扣押计算机中必须考虑的这些问题在本章第二部份还将进行更为深入的讨论。但是,一般而言,这一问题又可分为四个方面,即:第一、在联邦刑事诉讼规则第41条和第四修正案之下,什么是最为有效的搜查策略;第二、搜查策略是否应当进行修改,以使违反PPA或ECPA的可能性最小化;第三、该搜查是否需要多个搜查令;第四、为了实施秘密搜查(no-knock or sneak-and-peek search),执法人员是否需要申请特别允许?
第四、起草搜查令申请,特别注意对搜查目标和扣押财物的精确、细致的描述,并在附誓证言中解释可能的搜查策略(及有助于使之具体化的实践和法律问题)。
如何起草一份好的搜查令申请的关键问题将在本章第三部份说明,起草搜查令申请和附誓证言的实践指南在本书的附录F。但是,概括而言,起草一份成功的计算机搜查令申请的关键首先在于详细、细致地描述侦查人员有合理根据要扣押的目标;其次在附誓证言中充分地解释搜查策略。在实践层面上,这些有助于为侦查人员在搜查过程中明确重点提供指导。作为一个法律问题,第一步有助于解决对搜查扣押对象的特别性的质疑,第二步则有助于反驳那些认为执法人员在搜查中“公然无视搜查令”的指责。
二、搜查计划
(一)执行计算机搜查的基本策略
计算机搜查的执行可以有不同的方式,最主要的有四种可能性:
1、搜查计算机,同时从该计算机上打印特定文件,形成纸质副本;
2、搜查计算机,同时制作特定文件的电子副本;
3、当场复制该计算机全部存储设备,制作一份与之完全一样的电子副本,然后为了审查需要,在搜查完成后再制作一份存储设备的工作副本;
