點擊上方↑「上海市法學會"關注我們
作者周曉鳴系上海星瀚律師事務所顧問
電子數據是網絡資訊時代刑事訴訟中的「證據之王」,它既不屬實物證據也不屬言詞證據,而是具有獨立地位的「第三類證據」。電子數據取證是一個嚴謹的過程,從取證準備到結案的整個過程都要按照符合法律訴訟要求的流程開展,為確保取證過程的效率和合法性,相關國家和組織提出了多種合理取證的模型,基礎組成均為3個階段:一是證據獲取,即固定證據,如製作硬碟無損鏡像,截屏保存等;二是證據分析,即數據分析與案情關聯;三是證據表現,即對電子證據與案件關聯性進行總結陳述。其中,證據獲取和證據表現這兩個階段,相對而言更強調流程的合理性、合法性和操作的規範性,而證據分析階段則是電子數據取證的核心和關鍵,涵蓋了所有的取證技術,是最體現取證人員能力的環節。
分析的內容包括系統信息、文件信息等多種信息,黑客入侵案件還要進行功能分析,例如遠程控制和木馬程序功能和危害程度等。分析的過程主要包括:獲取目標基本信息、文件過濾、文件分析、關鍵詞檢索、數據恢復、密碼破解、證據標籤管理、證據鏈梳理等。
不同類型的案件需要不同的分析方法,舞弊行為在電子數據上通常表現為文檔、郵件和圖片等形式,對於文檔、郵件的數據排查,主要是以關鍵字檢索來替代效率較低的人工檢查,以保證關鍵信息完整篩查,此外,部分數據無法以常規直觀方式讀取,還需要藉助專業軟體進行代碼層的檢索,比如以二進位形式在介質中進行遍歷,搜索已刪除文件、文件鬆弛區(Slack Space)和未分配空間(UnallocatedSpace),從而達到找到數據的目的。
根據我們的反舞弊調查實踐,舞弊行為所體現的特徵與其所處的行業、職務和涉案項目常常能形成一定的對應共性關係,比如共性的有:轉帳、匯款、現金等,個案相關的有:人名、設備名、個人生活軌跡、習慣等。
如何快速、有效地設定關鍵字來進行第一次數據篩查?如何在初步排查基礎上,進一步結合案情和排查結果進行反覆深入的滾動篩查?涉案關鍵字一般隱藏在哪些文件裡?哪些文件是容易被忽視而錯過的?下面就結合部分案例,就如何利用好特徵關鍵字開展電子數據取證做一點探討。
一
舞弊行為共性關鍵字
舞弊行為最典型的三類罪名:一是職務侵佔和挪(盜)用資金;二是商業賄賂;三是侵犯商業秘密、著作權或其他智慧財產權。這些行為在其動機、手段、方式上都具共性,而在涉案人員電子介質中,這些行為又同時表現出一定的關鍵詞特徵。
(一)職務侵佔和挪用資金類舞弊
資產侵犯型舞弊涉及職務侵佔罪與挪用資金罪兩個罪名,其特徵是「利用職務上的便利」,竊取、騙取、侵佔本單位財物以或將單位財物佔為己有。主要行為特徵包括:
1.虛報業務,籤訂虛假合同騙取單位財產;
2.虛報應付款,虛構或虛高應付合同款項或業務支出;
3.虛報「好處費」,按照商業慣例贈送小額「好處費」為法律所認可,業務人員據此虛高或者虛構「好處費」;
4.虛假報銷,弄虛作假,誇大、虛假報銷費用;
5.虛設中間環節,賺取差額費用;
6.篡改票據,盜竊、偽造支票或偷盜籤發空白支票,轉移資金;
7.篡改數據,業務人員、技術人員利用單位系統內部漏洞,篡改數據,侵佔挪用單位資金,同時製作假帳,填平帳進行掩飾。
伴隨以上行為,在涉案人員電子介質中,往往會出現以下特徵關鍵字:合同、採購、銷售、發票、打款、到帳、價格、收款、微信、支付寶、現金、轉(帳)帳、銀行、帳(帳)目、帳(帳)號、帳(帳)戶、報銷、籤字等。
(二)商業賄賂類舞弊
公司企業中的行賄受賄型舞弊一般屬於商業賄賂的範疇,多發生於商品採購、服務外包、項目招投標等經營活動中,涉案人員往往身居要職,具有審批、籤字等高級權限,如在採購過程中,利用籤訂合同的權力,抬高合同支付金額,在帳外以現金、轉帳等方式從供應商提取回扣;在銷售過程中,以折扣明示、如實入帳的方式給予對方的價格優惠,接受對方「好處費」;在招投標中,向某特定投標人提供競標機密,接受各類「好處」的回報。
收受、索取賄賂的常見手段有現金、銀行、支付寶、微信轉帳等,但隨著企業逐步重視內審監察,涉案人員的行為也呈現出兩個趨勢:
1
形式多樣化
舞弊人員不再通過簡單的資金轉移方式行賄受賄,轉而更多地利用有價證券、境外地產、境外保險等方式。例如:在星瀚2018年承辦的一起大型跨國(境)化妝品公司員工舞弊案的過程中,調查人員通過「香港」「保險」「受益人」等關鍵詞對涉案人員計算機進行遍歷篩查,對應找到其計算機上即時聊天內容備份的文件碎片,在此基礎上結合外圍排查,從而發現行賄人以為舞弊人員兒女購買境外保險的方式進行行賄的犯罪線索。
2
行為隱蔽性
舞弊人員往往會通過第三方人員、企業來進行財物的轉移,以規避風險、逃避審查。因而,與舞弊人員相關聯的第三方公司、主要近親屬的信息就成為了關鍵字排查的重要方面。比如,在我們經辦的一起網際網路金融信息服務公司員工舞弊案中,該員工利用其發放貸款項目的職務便利,以渠道費名義收受借款人及資金中介好處費,我方數據鑑定人員通過周邊調查了解到其父母、配偶和子女的基本信息,通過對這些近親屬姓名、身份證號碼的關鍵字排查,查到了相應的銀行轉帳記錄,從而掌握關鍵線索,順利推進案件偵辦。
(三)侵犯商業秘密類舞弊
在信息化高度普及的背景下,我們所遇到的絕大多數侵犯商業秘密行為,都是針對電子數據而進行的。涉案人員侵犯的行為通常會利用工作便利,通過網絡傳輸、移動介質拷貝,甚至是顯示屏拍照等方式,竊取機密信息和重要數據,出賣商業秘密給競爭對手,以此獲取回報。
在電子取證中,關鍵字的設定往往是圍繞被侵犯的電子數據展開,比如:文件名、屬性、關鍵內容信息,比如在一起侵犯商業秘密案中,某公司技術員通過盜取其他員工帳戶的方式,侵入資料庫竊取技術資料,並通過QQ軟體的文件暫存功能轉移至其個人電腦。我們從委託人處獲得了被竊取的電子數據,將被竊取的技術資料文件中某些信息轉化成特定的關鍵字列表,在涉案人員電腦上進行了數據恢復和篩查,成功發現了被刪除後的文件碎片數據,同時結合行為分析等綜合調查手段,最終查清了數據轉移的整個行為路徑。在無法辯駁的證據面前,涉案人最終完整交代了作案過程,使案件順利告破。
二
關聯信息二次滾動篩查
舞弊行為具有的明顯的交互性特徵,其必然會與資金、票據、合同等往來緊密關聯,在網際網路成為人們工作、生活必需品的大環境下,涉案人員的舞弊行為與其個人工作、生活的其他痕跡往往是交疊共存,混雜相生,電子數據分析要善於利用這些信息,同時結合外圍調查、公開信息排查等手段,才能抽絲剝繭,層層深入地揭示隱藏於普通信息中的涉案線索和證據。
在星瀚多年的反舞弊工作實踐中,關鍵性線索和證據往往是通過多次反覆排查而得到的。一般來說,經過共性關鍵字的第一輪排查後,往往會得到與具體案情相關的多個文檔、郵件,從中我們可以發現、梳理出一部分個性化的個案關鍵字。將個案關鍵字與外圍調查信息相結合,就能匯總整理出第二輪排查的關鍵字列表……以此往復深入,同時結合其他分析手段,往往就能夠找到涉案的關鍵線索和證據。
在一起公司業務人員飛單案件中,我們通過對涉案人外圍調查,獲取了相關親屬姓名和關係,在第一次關鍵字排查中,把相關親屬的姓名作為關鍵字進行了篩查,排查出含有這些關鍵字的部分xls文件,而在這些文件中,同時記錄了與人員對應的身份證號、銀行卡號等其他個人信息,從而進一步在第二次關鍵字篩查中,利用了這些信息,最終查到了涉案人員記錄有銀行卡號對應的收付款帳目明細,為辦案提供了重要線索和證據。
三
關鍵字排查範圍
(一)基礎排查文件類型
1
office、wps文檔
office和wps作為日常辦公不可或缺的軟體,利用其生成、閱讀相關文檔,是絕大多數公司員工必備的工作手段,也是舞弊線索最有可能隱藏的文件類別。比如:涉案人員通常會利用office軟體製作虛假合同,記錄財務收款信息等。
2
郵件
outlook和foxmail作為最常用的郵件客戶端程序,其本地文件夾內保存和記錄了大量往來郵件、通訊錄信息,除了當前在用的郵箱,還會保存相關郵件的備份,生成備份文件,在取證中也是容易被忽視的一個重要數據源。
3
壓縮文件
在信息交換往來過程中,為了提高傳輸效率,往往會對文件集合進行打包,也就是壓縮,用戶壓縮、解壓、拷貝、傳輸等一系列操作後,常常是對相關文檔進行刪除、移動等操作而忽略壓縮文件本身。因此,電腦中大量的壓縮文件(zip、rar、7z等)也應列為排查的主要範圍。
(二)容易被忽略的程序和文件
在電子數據關鍵字篩查中,系統臨時文件、程序資料庫文件比較容易被忽視。舉例來說,百度網盤傳下載記錄會保存在相應的一個資料庫文件中,其中可能包含了重要的用戶行為痕跡,在我們曾經辦過的一個侵犯智慧財產權的案件,就是用百度網盤的文件傳輸記錄中,發現涉案文件名信息,補足了證據鏈上重要的環節。
(三)已刪除文件和數據碎片的搜索排查
在特定條件下,用戶刻意刪除的文件,往往是突破案件的線索所在,因此,要尤其留心和注意對已刪除文件的恢復和排查(數據恢復方面另行撰文介紹)。此外,數據碎片同樣是很容易被忽略的數據源,特別是在數據恢復過程中,恢復的文件有很多都是不完整的,表面上看似一個文件,實際上是不同來源的數據字節拼湊而成的,需要通過非常規的技術手段來檢索和排查。
上海市法學會歡迎您的投稿
fxhgzh@vip.163.com
來源:《上海法學研究》集刊2019年第2卷,《主題:刑事、金融、海商、公司——上海星瀚律師事務所文集》
責任編輯:胡鵬 徐曦楠
長按二維碼
關注我們
我在這裡等你喲!
期待您支持 在看