文｜檢察日報記者 簡潔

他堅稱自己電腦中的客戶信息為離職前備份、離職后拷貝至個人筆記本電腦上的，自己有權(quán)限備份數(shù)據(jù)，但沒有下載過被害單位的客戶信息

“你們公司的安全性到底有沒有保障？我收到一封郵件，里面居然有我在你們那里的數(shù)據(jù)?！?020年，北京某科技公司（以下簡稱“科技公司”）突然接到客戶投訴，稱有人向其發(fā)送匿名郵件，郵件展示了該客戶存儲在科技公司服務(wù)器數(shù)據(jù)庫中的客戶數(shù)據(jù)，客戶指責(zé)科技公司泄露數(shù)據(jù)，聲稱不再與其合作。就在科技公司針對該投訴開展內(nèi)部核實的時候，類似的客戶投訴不斷發(fā)來。面臨失去大量客戶的科技公司感到事態(tài)嚴(yán)重，認(rèn)為這是一場有預(yù)謀的惡意行為，隨即報警。

民警查看監(jiān)控錄像并綜合科技公司服務(wù)器與網(wǎng)絡(luò)日志記錄的侵入設(shè)備型號進(jìn)行追查，曾任科技公司運維總監(jiān)的龔銳（化名）成為懷疑對象。龔銳曾擁有該科技公司的最高技術(shù)權(quán)限，但在2019年8月30日離職，離職的原因是和科技公司產(chǎn)生了矛盾。2020年9月30日，龔銳被北京市公安局海淀分局民警抓獲。

“龔銳是技術(shù)專家，他采取技術(shù)手段轉(zhuǎn)換IP地址侵入被害單位服務(wù)器竊取客戶信息的行為具有高度的隱蔽性。警方在龔銳個人電腦上提取到科技公司的客戶信息，但未調(diào)查到非法侵入行為的直接證據(jù)?！北本┦泻５韰^(qū)檢察院辦案檢察官李鵬說。

2020年10月，北京市公安局海淀分局以龔銳涉嫌破壞計算機(jī)信息系統(tǒng)罪向北京市海淀區(qū)檢察院提請批準(zhǔn)逮捕。

龔銳到案后提出了諸多辯解。他堅稱自己電腦中的客戶信息為離職前備份、離職后拷貝至個人筆記本電腦上的，自己有權(quán)限備份數(shù)據(jù)，但沒有下載過被害單位的客戶信息，只是離職后偶然登錄了被害單位服務(wù)器進(jìn)行查看，并未實施其他行為；自己雖然向客戶發(fā)了郵件，但那些數(shù)據(jù)是自己離職前的數(shù)據(jù)，只是為了向客戶提示應(yīng)當(dāng)注意數(shù)據(jù)安全。

在審查批捕階段，檢察官發(fā)現(xiàn)，在案證據(jù)不能有效體現(xiàn)龔銳作案筆記本電腦的遠(yuǎn)程網(wǎng)絡(luò)連接數(shù)據(jù)，且龔銳其他作案設(shè)備中的遠(yuǎn)程網(wǎng)絡(luò)連接數(shù)據(jù)同科技公司提交的服務(wù)器IP地址不一致?？萍脊緢蟀笗r所提供的被侵入服務(wù)器IP地址均為內(nèi)部局域網(wǎng)IP地址，該IP地址需要經(jīng)過映射、轉(zhuǎn)換等操作后才能形成與互聯(lián)網(wǎng)相連接的IP地址。龔銳實施遠(yuǎn)程侵入行為時，是通過訪問科技公司服務(wù)器的外網(wǎng)IP地址，利用掌握的最高技術(shù)權(quán)限登錄科技公司的堡壘機(jī)服務(wù)器（即公司內(nèi)外網(wǎng)連接轉(zhuǎn)換的總服務(wù)器），進(jìn)而從互聯(lián)網(wǎng)環(huán)境進(jìn)入科技公司的局域網(wǎng)環(huán)境。

“因此，我們需要核實科技公司服務(wù)器的網(wǎng)絡(luò)映射關(guān)系，確定被侵入服務(wù)器的外網(wǎng)IP地址，才能進(jìn)而確定龔銳作案使用的設(shè)備與被害單位服務(wù)器被侵入之間的關(guān)聯(lián)性?！崩铢i說，雖然龔銳已經(jīng)到案，但由于其拒不承認(rèn)相關(guān)行為，該案是一起無直接證據(jù)、關(guān)聯(lián)證據(jù)弱的“零口供”案件。

李鵬說，在檢察履職中，常常需要面對犯罪嫌疑人的“幽靈抗辯”（是指犯罪嫌疑人為了達(dá)到減輕或者免除自己罪責(zé)的目的而提出難以查證的辯解）。

北京市海淀區(qū)檢察院于2021年正式投入運行了該院的電子數(shù)據(jù)審查室，采取硬件配備和軟實力配套的思路和“檢察官+數(shù)據(jù)審查員”這一辦案模式，進(jìn)一步為解決海量電子數(shù)據(jù)提取難、存儲難、讀取難、分析難等問題提供助力。

“我們決定通過‘檢察官+數(shù)據(jù)審查員’機(jī)制、邀請檢察技術(shù)人員同步輔助審查等方法，從多個維度開展自行補(bǔ)充偵查工作，自行提取、固定、分析關(guān)鍵電子數(shù)據(jù)?！彪娮訑?shù)據(jù)審查員郭樹正很快接手了此案任務(wù)。

“都說雁過留聲，其實電子數(shù)據(jù)也是一樣，但凡通過計算機(jī)實施了犯罪，就會存在諸多留存證據(jù)的虛擬空間或電子痕跡，需要我們深入‘虛擬現(xiàn)場’，抽絲剝繭尋找它們?！睘榱苏{(diào)查“虛擬現(xiàn)場”，郭樹正決定首先對龔銳的作案筆記本電腦硬盤通過勘驗手段固定鏡像文件（即在二進(jìn)制層面一比一地復(fù)制原始數(shù)據(jù)，系電子取證的常用方法，固定鏡像文件后可將原始數(shù)據(jù)封存保護(hù)，針對鏡像文件進(jìn)行調(diào)查可視為對原始數(shù)據(jù)進(jìn)行調(diào)查），然后通過系統(tǒng)仿真操作還原虛擬現(xiàn)場的方式來尋找蛛絲馬跡。

“系統(tǒng)仿真操作，通俗地講，就是通過鏡像文件在其他電腦上完整虛擬還原出嫌疑人的電腦系統(tǒng)環(huán)境，這樣和我們正常打開電腦進(jìn)入Windows是一樣的，通過仿真操作進(jìn)入嫌疑人的電腦系統(tǒng)，一來不會對原始數(shù)據(jù)產(chǎn)生影響，二來可以直接打開嫌疑人電腦中特別的軟件，來查看這些軟件的功能或其中記錄的內(nèi)容?！惫鶚湔f，這樣有時能收到事半功倍的效果。

隨后，郭樹正就在不破壞原始證據(jù)的情況下，完整還原、運行了龔銳電腦的系統(tǒng)。他果然發(fā)現(xiàn)龔銳在一個“筆記”程序中記錄了原科技公司重要數(shù)據(jù)服務(wù)器的最高登錄權(quán)限、解密權(quán)限等。這直接證明了龔銳明知且有能力超越權(quán)限登錄科技公司服務(wù)器并解密客戶數(shù)據(jù)。

“經(jīng)過系統(tǒng)仿真，我們只能取到一些‘表面’的數(shù)據(jù)，更多時候我們還是需要針對鏡像文件進(jìn)行底層數(shù)據(jù)分析，通過電子數(shù)據(jù)的‘穿透式’調(diào)查分析，構(gòu)建起證據(jù)間的多元關(guān)聯(lián)性。”郭樹正通過底層數(shù)據(jù)檢索技術(shù)分析網(wǎng)絡(luò)連接情況，有針對性地從海量底層數(shù)據(jù)中，快速檢索出了龔銳電腦登錄科技公司服務(wù)器的記錄以及龔銳刪除作案行為時殘留的數(shù)據(jù)痕跡，直接證明了該設(shè)備持續(xù)遠(yuǎn)程侵入科技公司服務(wù)器，構(gòu)建起關(guān)聯(lián)性。

“網(wǎng)絡(luò)科技類犯罪案件中，嫌疑人多具有技術(shù)背景和專業(yè)經(jīng)驗，極易提出‘看似合理’的技術(shù)性辯解。如果我們?nèi)狈ο嚓P(guān)專業(yè)知識或技術(shù)輔助，辦理此類案件很容易陷入被動?！崩铢i說。

龔銳提出了諸多辯解，但每次辯解的具體細(xì)節(jié)卻不盡一致。他起初稱在2019年9月用一個金士頓牌U盤備份了涉案電子文檔一次，而后續(xù)卻稱在離職后用一個金士頓牌U盤備份了數(shù)次，但對于U盤型號、購買時間及所處位置都無法回答。

（來源：CFP）

為了核實其辯解的真?zhèn)?，郭樹正開展了針對性調(diào)查工作。經(jīng)調(diào)查，龔銳作案筆記本電腦中存在U盤設(shè)備使用情況的時間段為2019年9月6日至2020年4月9日，此后記錄顯示設(shè)備多為移動硬盤而非U盤，而U盤設(shè)備顯示共有5個不同型號，均系閃迪牌U盤而非金士頓牌U盤。經(jīng)對涉案的105個文檔進(jìn)行分析，其中85個文檔的生成時間均在2020年4月9日（最后一次使用U盤的時間）后，不存在將已備份數(shù)據(jù)拷貝到涉案筆記本電腦的可能。從涉案文檔內(nèi)容來看，其中91個文檔中包括了科技公司于2019年8月30日（龔銳離職日）以后新生成的數(shù)據(jù)，直接證明了涉案數(shù)據(jù)并非龔銳在科技公司任職期間合法獲取。

通過全面分析審查，李鵬認(rèn)定龔銳電腦中所有的涉案電子文檔系從科技公司服務(wù)器竊取形成。最終，該案證據(jù)從只能證明行為人可能實施超越權(quán)限的登錄行為，到構(gòu)建完整證據(jù)鏈條，為精準(zhǔn)指控行為人實施了侵入計算機(jī)信息系統(tǒng)并非法獲取28萬余組公民個人信息數(shù)據(jù)的犯罪事實提供了堅實的支撐。

2022年1月14日，北京市海淀區(qū)法院就龔銳涉嫌侵犯公民個人信息一案開庭審理，李鵬在庭審中出示了相關(guān)證據(jù)，有力駁斥了龔銳的辯解，龔銳當(dāng)庭表示認(rèn)罪認(rèn)罰。2月15日，海淀區(qū)法院作出判決，認(rèn)定龔銳犯侵犯公民個人信息罪，判處有期徒刑四年三個月，并處罰金4萬元。