sis banner sls2
欢迎光临上海市法学会!   您是第位访客 今天是
标题 内容 作者
  • 财税法学研究会
  • 法理法史研究会
  • 法学教育研究会
  • 港澳台法律研究会
  • 国际法研究会
  • 海商法研究会
  • 金融法研究会
  • 禁毒法研究会
  • 经济法学研究会
  • 劳动法研究会
  • 民法研究会
  • 农业农村法治研究会
  • 商法学研究会
  • 社会治理研究会
  • 生命法研究会
  • 诉讼法研究会
  • 外国法与比较法研究会
  • 未成年人法研究会
  • 宪法研究会
  • 消费者权益保护法研究会
  • 信息法律研究会
  • 刑法学研究会
  • 行政法学研究会
  • 知识产权法研究会
  • 仲裁法研究会
  • 反恐研究中心
  • 教育法学研究会
  • 航空法研究会
  • 卫生法学研究会
  • 概况
  • 组织架构列表
  • 通知公告
  • 图片新闻
  • 人物介绍
  • 工作动态
  • 成果展示
  • 组织架构
  • 立法学研究会
  • 法学期刊研究会
  • 法社会学研究会
  • 自贸区法治研究会
  • 竞争法研究会
  • 非公经济法治研究会
  • 人民调解法治研究会
  • 欧盟法研究会
  • 海洋法治研究会
  • 破产法研究会
  • 财富管理法治研究中心
  • 法学翻译研究会
  • 慈善法治研究会
  • 司法研究会
  • 海关法研究会
  • 环境和资源保护法研究会
  • "一带一路"法律研究会
  • 案例法学研究会
  • 互联网司法研究小组
  • 文化产业法治研究小组
  •       
当前位置: 网站首页 > 学会活动

反舞弊调查的特征关键字排查

2019-09-17 14:49:01 字体:

文章转载自公众号  星瀚微法苑作者 星瀚RICC

作者周晓鸣系上海星瀚律师事务所顾问

电子数据是网络信息时代刑事诉讼中的“证据之王”,它既不属实物证据也不属言词证据,而是具有独立地位的“第三类证据”。电子数据取证是一个严谨的过程,从取证准备到结案的整个过程都要按照符合法律诉讼要求的流程开展,为确保取证过程的效率和合法性,相关国家和组织提出了多种合理取证的模型,基础组成均为3个阶段:一是证据获取,即固定证据,如制作硬盘无损镜像,截屏保存等;二是证据分析,即数据分析与案情关联;三是证据表现,即对电子证据与案件关联性进行总结陈述。其中,证据获取和证据表现这两个阶段,相对而言更强调流程的合理性、合法性和操作的规范性,而证据分析阶段则是电子数据取证的核心和关键,涵盖了所有的取证技术,是最体现取证人员能力的环节。

分析的内容包括系统信息、文件信息等多种信息,黑客入侵案件还要进行功能分析,例如远程控制和木马程序功能和危害程度等。分析的过程主要包括:获取目标基本信息、文件过滤、文件分析、关键词检索、数据恢复、密码破解、证据标签管理、证据链梳理等。

不同类型的案件需要不同的分析方法,舞弊行为在电子数据上通常表现为文档、邮件和图片等形式,对于文档、邮件的数据排查,主要是以关键字检索来替代效率较低的人工检查,以保证关键信息完整筛查,此外,部分数据无法以常规直观方式读取,还需要借助专业软件进行代码层的检索,比如以二进制形式在介质中进行遍历,搜索已删除文件、文件松弛区(Slack Space)和未分配空间(UnallocatedSpace),从而达到找到数据的目的。

根据我们的反舞弊调查实践,舞弊行为所体现的特征与其所处的行业、职务和涉案项目常常能形成一定的对应共性关系,比如共性的有:转账、汇款、现金等,个案相关的有:人名、设备名、个人生活轨迹、习惯等。

如何快速、有效地设定关键字来进行第一次数据筛查?如何在初步排查基础上,进一步结合案情和排查结果进行反复深入的滚动筛查?涉案关键字一般隐藏在哪些文件里?哪些文件是容易被忽视而错过的?下面就结合部分案例,就如何利用好特征关键字开展电子数据取证做一点探讨。

舞弊行为共性关键字

舞弊行为最典型的三类罪名:一是职务侵占和挪(盗)用资金;二是商业贿赂;三是侵犯商业秘密、著作权或其他知识产权。这些行为在其动机、手段、方式上都具共性,而在涉案人员电子介质中,这些行为又同时表现出一定的关键词特征。

(一)职务侵占和挪用资金类舞弊

资产侵犯型舞弊涉及职务侵占罪与挪用资金罪两个罪名,其特征是“利用职务上的便利”,窃取、骗取、侵占本单位财物以或将单位财物占为己有。主要行为特征包括:

1.虚报业务,签订虚假合同骗取单位财产;

2.虚报应付款,虚构或虚高应付合同款项或业务支出;

3.虚报“好处费”,按照商业惯例赠送小额“好处费”为法律所认可,业务人员据此虚高或者虚构“好处费”;

4.虚假报销,弄虚作假,夸大、虚假报销费用;

5.虚设中间环节,赚取差额费用;

6.篡改票据,盗窃、伪造支票或偷盗签发空白支票,转移资金;

7.篡改数据,业务人员、技术人员利用单位系统内部漏洞,篡改数据,侵占挪用单位资金,同时制作假账,填平账进行掩饰。

伴随以上行为,在涉案人员电子介质中,往往会出现以下特征关键字:合同、采购、销售、发票、打款、到账、价格、收款、微信、支付宝、现金、转(帐)账、银行、账(帐)目、帐(账)号、帐(账)户、报销、签字等。

(二)商业贿赂类舞弊

公司企业中的行贿受贿型舞弊一般属于商业贿赂的范畴,多发生于商品采购、服务外包、项目招投标等经营活动中,涉案人员往往身居要职,具有审批、签字等高级权限,如在采购过程中,利用签订合同的权力,抬高合同支付金额,在帐外以现金、转账等方式从供应商提取回扣;在销售过程中,以折扣明示、如实入帐的方式给予对方的价格优惠,接受对方“好处费”;在招投标中,向某特定投标人提供竞标机密,接受各类“好处”的回报。

收受、索取贿赂的常见手段有现金、银行、支付宝、微信转账等,但随着企业逐步重视内审监察,涉案人员的行为也呈现出两个趋势:

1形式多样化

舞弊人员不再通过简单的资金转移方式行贿受贿,转而更多地利用有价证券、境外地产、境外保险等方式。例如:在星瀚2018年承办的一起大型跨国(境)化妆品公司员工舞弊案的过程中,调查人员通过“香港”“保险”“受益人”等关键词对涉案人员计算机进行遍历筛查,对应找到其计算机上即时聊天内容备份的文件碎片,在此基础上结合外围排查,从而发现行贿人以为舞弊人员儿女购买境外保险的方式进行行贿的犯罪线索。

2行为隐蔽性

舞弊人员往往会通过第三方人员、企业来进行财物的转移,以规避风险、逃避审查。因而,与舞弊人员相关联的第三方公司、主要近亲属的信息就成为了关键字排查的重要方面。比如,在我们经办的一起互联网金融信息服务公司员工舞弊案中,该员工利用其发放贷款项目的职务便利,以渠道费名义收受借款人及资金中介好处费,我方数据鉴定人员通过周边调查了解到其父母、配偶和子女的基本信息,通过对这些近亲属姓名、身份证号码的关键字排查,查到了相应的银行转账记录,从而掌握关键线索,顺利推进案件侦办。

(三)侵犯商业秘密类舞弊

在信息化高度普及的背景下,我们所遇到的绝大多数侵犯商业秘密行为,都是针对电子数据而进行的。涉案人员侵犯的行为通常会利用工作便利,通过网络传输、移动介质拷贝,甚至是显示屏拍照等方式,窃取机密信息和重要数据,出卖商业秘密给竞争对手,以此获取回报。

在电子取证中,关键字的设定往往是围绕被侵犯的电子数据展开,比如:文件名、属性、关键内容信息,比如在一起侵犯商业秘密案中,某公司技术员通过盗取其他员工账户的方式,侵入数据库窃取技术资料,并通过QQ软件的文件暂存功能转移至其个人电脑。我们从委托人处获得了被窃取的电子数据,将被窃取的技术资料文件中某些信息转化成特定的关键字列表,在涉案人员电脑上进行了数据恢复和筛查,成功发现了被删除后的文件碎片数据,同时结合行为分析等综合调查手段,最终查清了数据转移的整个行为路径。在无法辩驳的证据面前,涉案人最终完整交代了作案过程,使案件顺利告破。

关联信息二次滚动筛查

舞弊行为具有的明显的交互性特征,其必然会与资金、票据、合同等往来紧密关联,在互联网成为人们工作、生活必需品的大环境下,涉案人员的舞弊行为与其个人工作、生活的其他痕迹往往是交叠共存,混杂相生,电子数据分析要善于利用这些信息,同时结合外围调查、公开信息排查等手段,才能抽丝剥茧,层层深入地揭示隐藏于普通信息中的涉案线索和证据。

在星瀚多年的反舞弊工作实践中,关键性线索和证据往往是通过多次反复排查而得到的。一般来说,经过共性关键字的第一轮排查后,往往会得到与具体案情相关的多个文档、邮件,从中我们可以发现、梳理出一部分个性化的个案关键字。将个案关键字与外围调查信息相结合,就能汇总整理出第二轮排查的关键字列表……以此往复深入,同时结合其他分析手段,往往就能够找到涉案的关键线索和证据。

在一起公司业务人员飞单案件中,我们通过对涉案人外围调查,获取了相关亲属姓名和关系,在第一次关键字排查中,把相关亲属的姓名作为关键字进行了筛查,排查出含有这些关键字的部分xls文件,而在这些文件中,同时记录了与人员对应的身份证号、银行卡号等其他个人信息,从而进一步在第二次关键字筛查中,利用了这些信息,最终查到了涉案人员记录有银行卡号对应的收付款账目明细,为办案提供了重要线索和证据。

关键字排查范围

(一)基础排查文件类型

1office、wps文档

office和wps作为日常办公不可或缺的软件,利用其生成、阅读相关文档,是绝大多数公司员工必备的工作手段,也是舞弊线索最有可能隐藏的文件类别。比如:涉案人员通常会利用office软件制作虚假合同,记录财务收款信息等。

2邮件

outlook和foxmail作为最常用的邮件客户端程序,其本地文件夹内保存和记录了大量往来邮件、通讯录信息,除了当前在用的邮箱,还会保存相关邮件的备份,生成备份文件,在取证中也是容易被忽视的一个重要数据源。

3压缩文件

在信息交换往来过程中,为了提高传输效率,往往会对文件集合进行打包,也就是压缩,用户压缩、解压、拷贝、传输等一系列操作后,常常是对相关文档进行删除、移动等操作而忽略压缩文件本身。因此,电脑中大量的压缩文件(zip、rar、7z等)也应列为排查的主要范围。

(二)容易被忽略的程序和文件

在电子数据关键字筛查中,系统临时文件、程序数据库文件比较容易被忽视。举例来说,百度网盘传下载记录会保存在相应的一个数据库文件中,其中可能包含了重要的用户行为痕迹,在我们曾经办过的一个侵犯知识产权的案件,就是用百度网盘的文件传输记录中,发现涉案文件名信息,补足了证据链上重要的环节。

(三)已删除文件和数据碎片的搜索排查

在特定条件下,用户刻意删除的文件,往往是突破案件的线索所在,因此,要尤其留心和注意对已删除文件的恢复和排查(数据恢复方面另行撰文介绍)。此外,数据碎片同样是很容易被忽略的数据源,特别是在数据恢复过程中,恢复的文件有很多都是不完整的,表面上看似一个文件,实际上是不同来源的数据字节拼凑而成的,需要通过非常规的技术手段来检索和排查。

上海市法学会欢迎您的投稿  fxhgzh@vip.163.com

来源:《上海法学研究》集刊2019年第2卷,《主题:刑事、金融、海商、公司——上海星瀚律师事务所文集》