相关推荐
反舞弊调查的特征关键字排查
2024-11-11 00:00

点击上方↑“上海市法学会"关注我们

反舞弊调查的特征关键字排查

作者周晓鸣系上海星瀚律师事务所顾问

电子数据是网络信息时代刑事诉讼中的“证据之王”,它既不属实物证据也不属言词证据,而是具有独立地位的“第三类证据”。电子数据取证是一个严谨的过程,从取证准备到结案的整个过程都要按照符合法律诉讼要求的流程开展,为确保取证过程的效率和合法性,相关国家和组织提出了多种合理取证的模型,基础组成均为3个阶段:一是证据获取,即固定证据,如制作硬盘无损镜像,截屏保存等;二是证据分析,即数据分析与案情关联;三是证据表现,即对电子证据与案件关联性进行总结陈述。其中,证据获取和证据表现这两个阶段,相对而言更强调流程的合理性、合法性和操作的规范性,而证据分析阶段则是电子数据取证的核心和关键,涵盖了所有的取证技术,是最体现取证人员能力的环节。

分析的内容包括系统信息、文件信息等多种信息,黑客入侵案件还要进行功能分析,例如远程控制和木马程序功能和危害程度等。分析的过程主要包括:获取目标基本信息、文件过滤、文件分析、关键词检索、数据恢复、密码破解、证据标签管理、证据链梳理等。

不同类型的案件需要不同的分析方法,舞弊行为在电子数据上通常表现为文档、邮件和图片等形式,对于文档、邮件的数据排查,主要是以关键字检索来替代效率较低的人工检查,以保证关键信息完整筛查,此外,部分数据无法以常规直观方式读取,还需要借助专业软件进行代码层的检索,比如以二进制形式在介质中进行遍历,搜索已删除文件、文件松弛区(Slack Space)和未分配空间(UnallocatedSpace),从而达到找到数据的目的。

根据我们的反舞弊调查实践,舞弊行为所体现的特征与其所处的行业、职务和涉案项目常常能形成一定的对应共性关系,比如共性的有:转账、汇款、现金等,个案相关的有:人名、设备名、个人生活轨迹、习惯等。

如何快速、有效地设定关键字来进行第一次数据筛查?如何在初步排查基础上,进一步结合案情和排查结果进行反复深入的滚动筛查?涉案关键字一般隐藏在哪些文件里?哪些文件是容易被忽视而错过的?下面就结合部分案例,就如何利用好特征关键字开展电子数据取证做一点探讨。

舞弊行为共性关键字

舞弊行为最典型的三类罪名:一是职务侵占和挪(盗)用资金;二是商业贿赂;三是侵犯商业秘密、著作权或其他知识产权。这些行为在其动机、手段、方式上都具共性,而在涉案人员电子介质中,这些行为又同时表现出一定的关键词特征。

(一)职务侵占和挪用资金类舞弊

资产侵犯型舞弊涉及职务侵占罪与挪用资金罪两个罪名,其特征是“利用职务上的便利”,窃取、骗取、侵占本单位财物以或将单位财物占为己有。主要行为特征包括:

1.虚报业务,签订虚假合同骗取单位财产;

2.虚报应付款,虚构或虚高应付合同款项或业务支出;

3.虚报“好处费”,按照商业惯例赠送小额“好处费”为法律所认可,业务人员据此虚高或者虚构“好处费”;

4.虚假报销,弄虚作假,夸大、虚假报销费用;

5.虚设中间环节,赚取差额费用;

6.篡改票据,盗窃、伪造支票或偷盗签发空白支票,转移资金;

7.篡改数据,业务人员、技术人员利用单位系统内部漏洞,篡改数据,侵占挪用单位资金,同时制作假账,填平账进行掩饰。

伴随以上行为,在涉案人员电子介质中,往往会出现以下特征关键字:合同、采购、销售、发票、打款、到账、价格、收款、微信、支付宝、现金、转(帐)账、银行、账(帐)目、帐(账)号、帐(账)户、报销、签字等。

(二)商业贿赂类舞弊

公司企业中的行贿受贿型舞弊一般属于商业贿赂的范畴,多发生于商品采购、服务外包、项目招投标等经营活动中,涉案人员往往身居要职,具有审批、签字等高级权限,如在采购过程中,利用签订合同的权力,抬高合同支付金额,在帐外以现金、转账等方式从供应商提取回扣;在销售过程中,以折扣明示、如实入帐的方式给予对方的价格优惠,接受对方“好处费”;在招投标中,向某特定投标人提供竞标机密,接受各类“好处”的回报。

收受、索取贿赂的常见手段有现金、银行、支付宝、微信转账等,但随着企业逐步重视内审监察,涉案人员的行为也呈现出两个趋势:

1

形式多样化

舞弊人员不再通过简单的资金转移方式行贿受贿,转而更多地利用有价证券、境外地产、境外保险等方式。例如:在星瀚2018年承办的一起大型跨国(境)化妆品公司员工舞弊案的过程中,调查人员通过“香港”“保险”“受益人”等关键词对涉案人员计算机进行遍历筛查,对应找到其计算机上即时聊天内容备份的文件碎片,在此基础上结合外围排查,从而发现行贿人以为舞弊人员儿女购买境外保险的方式进行行贿的犯罪线索。

2

行为隐蔽性

舞弊人员往往会通过第三方人员、企业来进行财物的转移,以规避风险、逃避审查。因而,与舞弊人员相关联的第三方公司、主要近亲属的信息就成为了关键字排查的重要方面。比如,在我们经办的一起互联网金融信息服务公司员工舞弊案中,该员工利用其发放贷款项目的职务便利,以渠道费名义收受借款人及资金中介好处费,我方数据鉴定人员通过周边调查了解到其父母、配偶和子女的基本信息,通过对这些近亲属姓名、身份证号码的关键字排查,查到了相应的银行转账记录,从而掌握关键线索,顺利推进案件侦办。

(三)侵犯商业秘密类舞弊

在信息化高度普及的背景下,我们所遇到的绝大多数侵犯商业秘密行为,都是针对电子数据而进行的。涉案人员侵犯的行为通常会利用工作便利,通过网络传输、移动介质拷贝,甚至是显示屏拍照等方式,窃取机密信息和重要数据,出卖商业秘密给竞争对手,以此获取回报。

在电子取证中,关键字的设定往往是围绕被侵犯的电子数据展开,比如:文件名、属性、关键内容信息,比如在一起侵犯商业秘密案中,某公司技术员通过盗取其他员工账户的方式,侵入数据库窃取技术资料,并通过QQ软件的文件暂存功能转移至其个人电脑。我们从委托人处获得了被窃取的电子数据,将被窃取的技术资料文件中某些信息转化成特定的关键字列表,在涉案人员电脑上进行了数据恢复和筛查,成功发现了被删除后的文件碎片数据,同时结合行为分析等综合调查手段,最终查清了数据转移的整个行为路径。在无法辩驳的证据面前,涉案人最终完整交代了作案过程,使案件顺利告破。

关联信息二次滚动筛查

舞弊行为具有的明显的交互性特征,其必然会与资金、票据、合同等往来紧密关联,在互联网成为人们工作、生活必需品的大环境下,涉案人员的舞弊行为与其个人工作、生活的其他痕迹往往是交叠共存,混杂相生,电子数据分析要善于利用这些信息,同时结合外围调查、公开信息排查等手段,才能抽丝剥茧,层层深入地揭示隐藏于普通信息中的涉案线索和证据。

在星瀚多年的反舞弊工作实践中,关键性线索和证据往往是通过多次反复排查而得到的。一般来说,经过共性关键字的第一轮排查后,往往会得到与具体案情相关的多个文档、邮件,从中我们可以发现、梳理出一部分个性化的个案关键字。将个案关键字与外围调查信息相结合,就能汇总整理出第二轮排查的关键字列表……以此往复深入,同时结合其他分析手段,往往就能够找到涉案的关键线索和证据。

在一起公司业务人员飞单案件中,我们通过对涉案人外围调查,获取了相关亲属姓名和关系,在第一次关键字排查中,把相关亲属的姓名作为关键字进行了筛查,排查出含有这些关键字的部分xls文件,而在这些文件中,同时记录了与人员对应的身份证号、银行卡号等其他个人信息,从而进一步在第二次关键字筛查中,利用了这些信息,最终查到了涉案人员记录有银行卡号对应的收付款账目明细,为办案提供了重要线索和证据。

关键字排查范围

(一)基础排查文件类型

1

office、wps文档

office和wps作为日常办公不可或缺的软件,利用其生成、阅读相关文档,是绝大多数公司员工必备的工作手段,也是舞弊线索最有可能隐藏的文件类别。比如:涉案人员通常会利用office软件制作虚假合同,记录财务收款信息等。

2

邮件

outlook和foxmail作为最常用的邮件客户端程序,其本地文件夹内保存和记录了大量往来邮件、通讯录信息,除了当前在用的邮箱,还会保存相关邮件的备份,生成备份文件,在取证中也是容易被忽视的一个重要数据源。

3

压缩文件

在信息交换往来过程中,为了提高传输效率,往往会对文件集合进行打包,也就是压缩,用户压缩、解压、拷贝、传输等一系列操作后,常常是对相关文档进行删除、移动等操作而忽略压缩文件本身。因此,电脑中大量的压缩文件(zip、rar、7z等)也应列为排查的主要范围。

(二)容易被忽略的程序和文件

在电子数据关键字筛查中,系统临时文件、程序数据库文件比较容易被忽视。举例来说,百度网盘传下载记录会保存在相应的一个数据库文件中,其中可能包含了重要的用户行为痕迹,在我们曾经办过的一个侵犯知识产权的案件,就是用百度网盘的文件传输记录中,发现涉案文件名信息,补足了证据链上重要的环节。

(三)已删除文件和数据碎片的搜索排查

在特定条件下,用户刻意删除的文件,往往是突破案件的线索所在,因此,要尤其留心和注意对已删除文件的恢复和排查(数据恢复方面另行撰文介绍)。此外,数据碎片同样是很容易被忽略的数据源,特别是在数据恢复过程中,恢复的文件有很多都是不完整的,表面上看似一个文件,实际上是不同来源的数据字节拼凑而成的,需要通过非常规的技术手段来检索和排查。

上海市法学会欢迎您的投稿

fxhgzh@vip.163.com

来源:《上海法学研究》集刊2019年第2卷,《主题:刑事、金融、海商、公司——上海星瀚律师事务所文集》

责任编辑:胡鹏 徐曦楠

长按二维码

关注我们

我在这里等你哟!

期待您支持 在看

    以上就是本篇文章【反舞弊调查的特征关键字排查】的全部内容了,欢迎阅览 ! 文章地址:http://zleialh.xhstdz.com/quote/73976.html 
     栏目首页      相关文章      动态      同类文章      热门文章      网站地图      返回首页 物流园资讯移动站 http://zleialh.xhstdz.com/mobile/ , 查看更多   
发表评论
0评