(二)以数据信息为中介的同一认定

　　与以电子设备为中介不同,以数据信息为中介的同一认定完全有可能摆脱对作案人电子设备的审查依赖。它是通过分析各种类型数据信息以及相关应用程序、代码指令等,以其中所含有的特征信息来认定网络信息行为人。显然,这种认定方法所基于的数据信息不仅可以是来自作案人的电子设备,也可以是来自网络服务器或行为对象的电子设备。这就使得这种同一认定方法具有更大的适用空间。

　　根据特征信息的数据形式不同,这种同一认定方法又可以进一步区分为密码认定法与明文认定法。前者所依据的特征信息是一种包含密码变换算法的加密信息,后者则是人们可以直接识别的“明文”。一般来说,采用密码认定法更有利于确定个体身份,因为作为加密的特征信息特定性更强,因而特征质量相对较高。

　　密码用于信息的加密,它的目的是只让某些特定的人知道或利用特定信息的内容,即解密。密码学领域根据加密方与解密方所使用的密钥是否相同,将密码进一步区分为对称密码与非对称密码,⑦这是对密码信息本身所采取的不同安全策略。密码在信息上的对称性与不对称性及其程度直接决定了密码的安全可靠性,也直接决定了密码特征信息的特定性及其强度。

　　根据密码表现形式的不同,密码认定法又可以分为电子签名认定法、应用账户认定法、代码指令认定法。电子签名认定法,顾名思义,就是指以电子签名来认定行为主体的方法。我国2005年电子签名法第二条第一款将电子签名定义为:数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。第十三条第一款又进一步规定了可靠电子签名,即:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。从上述定义不难看出,电子签名含有识别签名人身份的特征信息,在可靠电子签名之中这种特征信息的指向性非常好。比如,人们从不怀疑用网络银行的优盾或密码器等可靠电子签名所实施的转账汇款行为。

　　应用账户认定法,是通过应用程序的账户密码的指向性特征来认定网络信息行为人的方法。应用程序的账户密码能否足以认定相关主体的身份,这既与账户有关,也与密码有关。一方面,这取决于应用账户是否具有足够强的指向性。鉴于我国网络实名制⑧的要求,互联网环境下的应用账户一般都具有很强的指向性。在区域网或局域网环境下则未必如此,这是因为此时并不受网络实名制的约束。另一方面,密码的安全性也会影响行为主体的认定。就以人们经常使用的微信来说,在早前旧版本时微信账户密码采用的是一次验证,即输入密码时即可在任何设备上登录微信。在这种弱安全方案下,微信账户就有较大可能性被窃用。随着微信版本的升级,它现在采用了新设备“密码+短信验证码”的二次交叉认证,这就使得密码安全性得到了极大地提高。总言之,只有账户的指向性与密码的安全性同时成立,才能得到账户密码“整体”特征具有较高质量的结论。

　　代码指令认定法,是指以代码指令所包含的特征信息来认定网络信息行为人的方法。这种方法在类似网络入侵、病毒木马等专业性案件中运用价值极大。比如,在温州“八·一”广电案中,温州有线电视网络系统机顶盒遭黑客攻击,出现一些反动宣传内容。在该案的行为主体认定中,恶意代码指令的特征信息就发挥了至关重要的证明作用。通过司法鉴定机构对机顶盒服务器中所提取的程序代码指令进行分析,发现该服务器中涉案程序代码存在2个函数,即blur和de_blur,该2个函数系一对针对字符串的编码解码函数。同时,在犯罪嫌疑人个人电子邮箱中提取到另一某段涉案程序代码,其中存在1个字符串常量,即“/wur1uhcte10ttkgigrgf”(该字符串无实际现实意义)。经测试分析,发现通过调用前者涉案程序代码的blur和de_blur这2个函数,可以实现对后者字符串常量“/wur1uhcte10ttkgigrgf”的解码与编码。这表明,前者与后者在程序代码指令功能上具有极强的关联性,即符合同一作者所编写的特征。⑨但是,这种方法只有在相关数据信息相对明确的情况下才能运用。

　　密码认定法的优势是十分明显的。由于加密变换算法的介入,加密特征信息对一般人而言具有较高的信息不对称性,因而这种特征信息在特定性与稳定性上质量相对较高。它的劣势在于反映性较差。在网络犯罪中,且不论加密特征信息本身数量很少,它们还容易因为识别不了而无法收集运用。

　　与密码认定法相比,明文认定法具有普遍适用性,而且明文特征信息往往具有十分明显的数量优势。这是因为,明文特征信息具有更好的反映性、更容易识别,因而可以被大量发现与收集。利弊同源,明文特征信息也因为容易识别,因而需要考虑伪造变造的可能性,这往往就影响了特征信息在特定性与稳定性上的质量。

　　明文认定法主要有日志数据认定法、数据内容认定法以及碎片数据认定法。日志数据认定法是指以系统日志、应用日志、网络交换日志等记录性数据之中所包含的特征信息来认定网络信息行为人的方法。比如,在网络入侵案件中,往往需要对被害主机的系统日志、程序应用的指令日志以及路由过程的网络日志进行全面分析,从而重构网络入侵过程并判断攻击来源。这种认定方法能否顺利运用,主要取决日志数据是否及时固定及其所包含的特征信息在主体指向性上的强弱。

　　数据内容认定法最易理解,它是因数据内容本身具有某种身份指向的特征信息而可用以认定网络信息行为人。这种认定方法所基于的数据内容一般要有足够强的私密性或保密性,即只有特定的行为主体才能知道或使用。比如,在某泄露国家秘密案件中,在犯罪嫌疑人的电脑中查获了泄密文件的部分文字段落碎片。通过数据碎片的文字段落内容分析,基于数据信息内容的保密性及其非常特殊性,最后完成了作案电脑及作案人的同一认定。在有些案件中,通过分析电脑中所存储的个人照片、个人电子邮件、个人信用卡消费信息、个人署名论文等私密性信息来认定网络信息行为人,⑩这也是数据内容认定法的运用。

　　碎片数据认定法,也称为“临时数据认定法”,它是通过分析计算机运行过程中所形成的临时性数据及其所包含的特征信息来认定网络信息行为人的方法。比如,在有些案件中,通过提取电子邮件的网页登陆加载页面(含有电子邮件的账户名称)、网页表单cookies信息(含有填写表框时的信息)等可以认定相关行为主体的身份。11虽然电子设备中的临时性数据,如系统虚拟内存、应用程序临时文件、网络缓存等,都不是以正常文件形态而存在、难以完整恢复或识别,但是由于它们是电子设备自动产生、不易被人为操控、数据信息量巨大,因而往往是极佳的辅助性或印证性证据。

　　在网络信息环境下,信息的不对称性往往决定了特征的特定性,信息的对称性则往往决定了特征的可识别性即反映性,反映性好的特征信息又潜伏着稳定性问题,因而特定性、反映性与稳定性之间存在着紧张的矛盾关系。就以加密特征信息而言,它的特定性可能很好,但是可识别性可能很差;就以明文特征信息而言,它的可识别性可能很好,但是可能由于稳定性不足(数据信息容易被伪造与变造)而导致特定性不强。在加密特征信息相对较少、明文特征信息占据主流的情况下,网络信息环境下的特征信息在总体上存在着量增质减的趋势。

　　(三)以行为痕迹为中介的同一认定

　　与来自行为工具的特征信息不同,以行为痕迹12为中介的同一认定,是指以行为本身的历史痕迹来认定网络信息行为人的方法。这些行为痕迹既可以来自行为人电子设备,也可以来自网络服务器或对方电子设备。例如,通过涉案电子邮件的前后邮件来认定行为人、通过聊天记录的上下文来认定行为人。这是根据行为痕迹在时空上的特征来认定行为人。这种认定方法的可靠性往往取决于能否排除网络时空环境对行为过程的影响。换言之,如果能够排除网络入侵对电子邮箱或聊天账户在时间连续性与空间排他性上的影响,那么这种认定方法就具有较高的可靠性。如果不能排除,它们就可能失去了时空条件的逻辑基础。再如,在前文所述的网络入侵案中,也有行为痕迹的运用。作为关键特征信息,账户使用在连续时间内同机器(IP地址)登录,这本身就是行为痕迹在时间与空间上的交叉关联。显然,判断这种犯罪手法特征是否可靠,首先要评估网络时空特性对行为过程的影响。在该案中,由于已经通过种类认定的方法排除了外网范围的空间影响,而内网用户数量本身又不多,因此按照行为过程的时间连续性来推断行为主体是可行的。

　　行为痕迹中还经常包含有活动习惯特征,如打字习惯、命名习惯、编程习惯等。在2012年,著名黑客“无花果”就曾因为编程与命名特征而被人肉搜索。13有国外研究人员在远程控制工具PlugX中发现该恶意程序的调试路径,从而推算出该恶意程序开发者的计算机用户名为whg。通过分析“无花果”所开发的其他木马程序,发现它们都存在此特征。最后,根据这个特征,人肉搜索到whg的很多身份信息,还有很多单位名称、联系地址、银行账号等信息。

　　人的行为方式是多种多样的,任何一种行为方式都有可能作为认定主体的具体方法,只要在网络信息环境中留下了相应的行为痕迹。因而,以行为痕迹来认定主体,只能例述,难以穷尽。

——文章摘自网络，侵权联系删除