电子数据是网络信息时代刑事诉讼中的“证据之王”ꎬ它既不属实物证据也不属言词证据ꎬ而是
具有独立地位的“第三类证据”ꎮ① 电子数据取证是一个严谨的过程ꎬ从取证准备到结案的整个过程
都要按照符合法律诉讼要求的流程开展ꎬ为确保取证过程的效率和合法性ꎬ相关国家和组织提出了多
种合理取证的模型ꎬ基础组成均为 3 个阶段:一是证据获取ꎬ即固定证据ꎬ如制作硬盘无损镜像ꎬ截屏
保存等ꎻ二是证据分析ꎬ即数据分析与案情关联ꎻ三是证据表现ꎬ即对电子证据与案件关联性进行总结
陈述ꎮ 其中ꎬ证据获取和证据表现这两个阶段ꎬ相对而言更强调流程的合理性、合法性和操作的规范
性ꎬ而证据分析阶段则是电子数据取证的核心和关键ꎬ涵盖了所有的取证技术ꎬ是最体现取证人员能
力的环节ꎮ
分析的内容包括系统信息、文件信息等多种信息ꎬ黑客入侵案件还要进行功能分析ꎬ例如远程控
制和木马程序功能和危害程度等ꎮ 分析的过程主要包括:获取目标基本信息、文件过滤、文件分析、关
键词检索、数据恢复、密码破解、证据标签管理、证据链梳理等ꎮ
不同类型的案件需要不同的分析方法ꎬ舞弊行为在电子数据上通常表现为文档、邮件和图片等形
式ꎬ对于文档、邮件的数据排查ꎬ主要是以关键字检索来替代效率较低的人工检查ꎬ以保证关键信息完
整筛查ꎬ此外ꎬ部分数据无法以常规直观方式读取ꎬ还需要借助专业软件进行代码层的检索ꎬ比如以二
进制形式在介质中进行遍历ꎬ搜索已删除文件、文件松弛区( Slack Space)和未分配空间(Unallocated
Space)ꎬ从而达到找到数据的目的ꎮ
根据我们的反舞弊调查实践ꎬ舞弊行为所体现的特征与其所处的行业、职务和涉案项目常常能形
成一定的对应共性关系ꎬ比如共性的有:转账、汇款、现金等ꎬ个案相关的有:人名、设备名、个人生活轨
迹、习惯等ꎮ
如何快速、有效地设定关键字来进行第一次数据筛查? 如何在初步排查基础上ꎬ进一步结合案情
和排查结果进行反复深入的滚动筛查? 涉案关键字一般隐藏在哪些文件里? 哪些文件是容易被忽视
而错过的? 下面就结合部分案例ꎬ就如何利用好特征关键字开展电子数据取证做一点探讨ꎮ
一、舞弊行为共性关键字
舞弊行为最典型的三类罪名:一是职务侵占和挪(盗)用资金ꎻ二是商业贿赂ꎻ三是侵犯商业秘
密、著作权或其他知识产权ꎮ 这些行为在其动机、手段、方式上都具共性ꎬ而在涉案人员电子介质中ꎬ
这些行为又同时表现出一定的关键词特征ꎮ
∗ 周晓鸣ꎬ上海星瀚律师事务所顾问ꎮ
① 谢登科:«论电子数据与刑事诉讼变革:以“快播案”为视角»ꎬ«东方法学»2018 年第 5 期ꎮ
29(一)职务侵占和挪用资金类舞弊
骗 资产侵犯型舞弊涉及职务侵占罪与挪用资金罪两个罪名ꎬ其特征是“利用职务上的便利”ꎬ窃取、
取、侵占本单位财物以或将单位财物占为己有ꎮ 主要行为特征包括:
1.虚报业务ꎬ签订虚假合同骗取单位财产ꎻ
2.虚报应付款ꎬ虚构或虚高应付合同款项或业务支出ꎻ
3.虚报“好处费”ꎬ按照商业惯例赠送小额“好处费”为法律所认可ꎬ业务人员据此虚高或者虚构
“好处费”ꎻ
4.虚假报销ꎬ弄虚作假ꎬ夸大、虚假报销费用ꎻ
5.虚设中间环节ꎬ赚取差额费用ꎻ
6.篡改票据ꎬ盗窃、伪造支票或偷盗签发空白支票ꎬ转移资金ꎻ
7.篡改数据ꎬ业务人员、技术人员利用单位系统内部漏洞ꎬ篡改数据ꎬ侵占挪用单位资金ꎬ同时制
作假账ꎬ填平账进行掩饰ꎮ
伴随以上行为ꎬ在涉案人员电子介质中ꎬ往往会出现以下特征关键字:合同、采购、销售、发票、打
款、到账、价格、收款、微信、支付宝、现金、转(帐)账、银行、账(帐)目、帐(账)号、帐(账)户、报销、签
字等ꎮ
(二)商业贿赂类舞弊
投 公司企业中的行贿受贿型舞弊一般属于商业贿赂的范畴ꎬ多发生于商品采购、服务外包、项目招
标等经营活动中ꎬ涉案人员往往身居要职ꎬ具有审批、签字等高级权限ꎬ如在采购过程中ꎬ利用签订
合同的权力ꎬ抬高合同支付金额ꎬ在帐外以现金、转账等方式从供应商提取回扣ꎻ在销售过程中ꎬ以折
扣明示、如实入帐的方式给予对方的价格优惠ꎬ接受对方“好处费”ꎻ在招投标中ꎬ向某特定投标人提
供竞标机密ꎬ接受各类“好处”的回报ꎮ
收受、索取贿赂的常见手段有现金、银行、支付宝、微信转账等ꎬ但随着企业逐步重视内审监察ꎬ涉
案人员的行为也呈现出两个趋势:
1.形式多样化
舞弊人员不再通过简单的资金转移方式行贿受贿ꎬ转而更多地利用有价证券、境外地产、境外保
险等方式ꎮ 例如:在星瀚 2018 年承办的一起大型跨国(境)化妆品公司员工舞弊案的过程中ꎬ调查人
员通过“香港”、“保险”、“受益人”等关键词对涉案人员计算机进行遍历筛查ꎬ对应找到其计算机上
即时聊天内容备份的文件碎片ꎬ在此基础上结合外围排查ꎬ从而发现行贿人以为舞弊人员儿女购买境
外保险的方式进行行贿的犯罪线索ꎮ
2.行为隐蔽性
舞弊人员往往会通过第三方人员、企业来进行财物的转移ꎬ以规避风险、逃避审查ꎮ 因而ꎬ与舞弊
人员相关联的第三方公司、主要近亲属的信息就成为了关键字排查的重要方面ꎮ 比如ꎬ在我们经办的
一起互联网金融信息服务公司员工舞弊案中ꎬ该员工利用其发放贷款项目的职务便利ꎬ以渠道费名义
收受借款人及资金中介好处费ꎬ我方数据鉴定人员通过周边调查了解到其父母、配偶和子女的基本信
息ꎬ通过对这些近亲属姓名、身份证号码的关键字排查ꎬ查到了相应的银行转账记录ꎬ从而掌握关键线
索ꎬ顺
利
推
进
案
件
侦
办
ꎮ
(
三
)侵
犯
商
业
秘
密
类舞弊
行 在信息化高度普及的背景下ꎬ我们所遇到的绝大多数侵犯商业秘密行为ꎬ都是针对电子数据而进
的ꎮ 涉案人员侵犯的行为通常会利用工作便利ꎬ通过网络传输、移动介质拷贝ꎬ甚至是显示屏拍照
等方式ꎬ窃取机密信息和重要数据ꎬ出卖商业秘密给竞争对手ꎬ以此获取回报ꎮ
在电子取证中ꎬ关键字的设定往往是围绕被侵犯的电子数据展开ꎬ比如:文件名、属性、关键内容
30信息①ꎬ比如在一起侵犯商业秘密案中ꎬ某公司技术员通过盗取其他员工账户的方式ꎬ侵入数据库窃
取技术资料ꎬ并通过 QQ 软件的文件暂存功能转移至其个人电脑ꎮ 我们从委托人处获得了被窃取的
电子数据ꎬ将被窃取的技术资料文件中某些信息转化成特定的关键字列表ꎬ在涉案人员电脑上进行了
数据恢复和筛查ꎬ成功发现了被删除后的文件碎片数据ꎬ同时结合行为分析等综合调查手段ꎬ最终查
清了数据转移的整个行为路径ꎮ 在无法辩驳的证据面前ꎬ涉案人最终完整交代了作案过程ꎬ使案件顺
利告破ꎮ
二、关联信息二次滚动筛查
舞弊行为具有的明显的交互性特征ꎬ其必然会与资金、票据、合同等往来紧密关联ꎬ在互联网成为
人们工作、生活必需品的大环境下ꎬ涉案人员的舞弊行为与其个人工作、生活的其他痕迹往往是交叠
共存ꎬ混杂相生ꎬ电子数据分析要善于利用这些信息ꎬ同时结合外围调查、公开信息排查等手段ꎬ才能
抽丝剥茧ꎬ层层深入地揭示隐藏于普通信息中的涉案线索和证据ꎮ
在星瀚多年的反舞弊工作实践中ꎬ关键性线索和证据往往是通过多次反复排查而得到的ꎮ 一般
来说ꎬ经过共性关键字的第一轮排查后ꎬ往往会得到与具体案情相关的多个文档、邮件ꎬ从中我们可以
发现、梳理出一部分个性化的个案关键字ꎮ 将个案关键字与外围调查信息相结合ꎬ就能汇总整理出第
二轮排查的关键字列表以此往复深入ꎬ同时结合其他分析手段ꎬ往往就能够找到涉案的关键线索
和证据ꎮ
在一起公司业务人员飞单案件中ꎬ我们通过对涉案人外围调查ꎬ获取了相关亲属姓名和关系ꎬ在
第一次关键字排查中ꎬ把相关亲属的姓名作为关键字进行了筛查ꎬ排查出含有这些关键字的部分 xls
文件ꎬ而在这些文件中ꎬ同时记录了与人员对应的身份证号、银行卡号等其他个人信息ꎬ从而进一步在
第二次关键字筛查中ꎬ利用了这些信息ꎬ最终查到了涉案人员记录有银行卡号对应的收付款账目明
细ꎬ为办案提供了重要线索和证据ꎮ
三、关键字排查范围
(一)基础排查文件类型
1.office、wps 文档
office 和 wps 作为日常办公不可或缺的软件ꎬ利用其生成、阅读相关文档ꎬ是绝大多数公司员工必
备的工作手段ꎬ也是舞弊线索最有可能隐藏的文件类别ꎮ 比如:涉案人员通常会利用 office 软件制作
虚假合同ꎬ记录财务收款信息等ꎻ
2.邮件
outlook 和 foxmail 作为最常用的邮件客户端程序ꎬ其本地文件夹内保存和记录了大量往来邮件、
通讯录信息ꎬ除了当前在用的邮箱ꎬ还会保存相关邮件的备份ꎬ生成备份文件ꎬ在取证中也是容易被忽
视的一个重要数据源ꎮ
3.压缩文件
在信息交换往来过程中ꎬ为了提高传输效率ꎬ往往会对文件集合进行打包ꎬ也就是压缩ꎬ用户压
缩、解压、拷贝、传输等一系列操作后ꎬ常常是对相关文档进行删除、移动等操作而忽略压缩文件本身ꎮ
① 何邦武:«论网络交易犯罪惩治中电子数据的保全»ꎬ«东方法学»2017 年第 4 期ꎮ
31因此ꎬ
电
脑
中
大
量
的
压
缩
文
件
(z
ip
、rar、7z 等)也应列为排查的主要范围ꎮ
(
二
)容
易
被
忽
略
的
程
序
和
文
件
在电子数据关键字筛查中ꎬ系统临时文件、程序数据库文件比较容易被忽视ꎮ① 举例来说ꎬ百度
网盘传下载记录会保存在相应的一个数据库文件中ꎬ其中可能包含了重要的用户行为痕迹②ꎬ在我们
曾经办过的一个侵犯知识产权的案件ꎬ就是用百度网盘的文件传输记录中ꎬ发现涉案文件名信息ꎬ补
足了证据链上重要的环节ꎮ
(三)已删除文件和数据碎片的搜索排查
在特定条件下ꎬ用户刻意删除的文件ꎬ往往是突破案件的线索所在ꎬ因此ꎬ要尤其留心和注意对已
删除文件的恢复和排查(数据恢复方面另行撰文介绍)ꎮ 此外ꎬ数据碎片同样是很容易被忽略的数据
源ꎬ特别是在数据恢复过程中ꎬ恢复的文件有很多都是不完整的ꎬ表面上看似一个文件ꎬ实际上是不同
来源的数据字节拼凑而成的ꎬ需要通过非常规的技术手段来检索和排查ꎮ