執筆関連

星瀚内控和反舞弊中心案情主导型电子取证简介丨反舞弊中的电子数据取证(十六)

2019-02-14
分享到

随着星瀚内控和反舞弊法律服务实践的拓宽和深入,电子数据取证逐渐成为案件调查过程中不可或缺的重要手段。通过电子数据取证发现重要线索、证据从而成功侦办的典型案例,也通过星瀚举办的专题论坛、公众号推送等渠道为律师、企业内控法务人员等所了解。因此,笔者也常常在不同场合被问到一些电子取证方面的问题,其中就有比较典型的问题是:

——星瀚的电子取证和司法鉴定机构的电子取证一样么?

针对这个问题,我们进行了梳理汇总,还为星瀚的电子取证取了个特别的名字——【案情主导型电子取证】,今天的推送,就整体和体统地和大家聊聊这个星瀚特色的调查手段。

一、什么是案情主导型电子取证?

这个提法并不是拍脑袋想出来的,而是在星瀚长期的内控和反舞弊的实践工作中,逐渐形成、逐渐清晰的一个概念。

电子取证是个广义的概念,只要是信息化、数字化的电子设备都可以进行电子取证,但不同的案件类别、不对的对象介质、不同的涉案行为,都要根据实际情况有针对性的开展取证工作,比较典型如:网络攻击入侵案件、利用互联网犯罪案件等等,都有自身取证的重点方向和方法。

传统的司法鉴定电子取证,侧重点是“证据”,是在有明确的违法行为指向的前提下,从电子介质检材中恢复、查找可以证明犯罪事实的证据,为完善案件证据链提供有力的支撑。

案情主导型电子取证的侧重点则是“线索”,是把电子数据取证纳入到整体性的案件调查中,结合外围排查,开展综合性、全方位、多维度和递进式的数据分析,从无到有,从0到1,至始至终围绕案情,对互有关联的人、事、地、物、时等信息,从深度和广度上进行拓展。如果脱离了对于案情的分析和研判,单纯利用技术手段提取、还原数据,那这样的电子取证只能称之为“电子取证技术”而不是“电子取证”。

二、如何开展案情主导型电子取证

在内控和反舞弊实务领域,常见的刑法罪名就是职务侵占罪、非国家工作人员受贿罪等那么寥寥的几个,刑法上定义的犯罪构成在原则上是通用的,因此案件调查必然有通用和原则性的方法。但从另一个方面来说,在案件调查初期,虽然可以套用某种格式化的调查流程,但随着调查的深入,单一个案就会显现出各不相同特点,例如行业背景、职务岗位、涉案个体或群体、关联人关系结构、实施犯罪的具体行为、侵占、收受、挪用的财物和资金金额等等,甚至某个涉案人的性格和行为模式,都决定了每起调查的唯一性,这就需要我们结合实情来分析,从而判断和调整调查的方向。

以下就对基本的调查流程作个简单的介绍:

01 证据固定

“案情主导”始终贯穿在电子数据取证的全过程中,拿取证流程中的第一步“证据固定”来说,由于涉案电子数据介质(如个人电脑、移动存储、服务器、网络设备等)的所有权、使用权、所在地实际环境等不同,就要结合委托人反映的具体情况,有针对性地为客户定制相应的数据采集方案,防止在办案过程中出现数据损毁、丢失,在尚未公开的情况下,避免调查行动惊动涉案人员,还要灵活地采取适宜的方法对原始介质和数据进行保存,以便为侦查起诉阶段提供原始证据保障。

02 外围排查+案情分析

在进行数据分析之前,就应该先一步开展外围排查,收集主要的基础信息、涉案情节、重点人员、票据凭证和重要时间节点等信息,并从中进一步梳理人物关系、案件轨迹和时间线,为电子数据分析做好线索准备。

03 数据恢复和基础分析

基础的数据恢复和分析仍旧是围绕“案情”展开,以数据恢复为例:该恢复哪些文件?该从哪些地方查找某种类型文件丢失的数据碎片?残缺的文件如何修补?这些都需要和案情结合,才更精准地发现目标,而且从取证技术的角度来说,确定目标后开展的数据恢复和分析,其效率可能是整盘数据机械性遍历的数倍乃至数十倍,在面对同一案件却有大批量检材的情况时,这也往往是案件调查是否成功的关键要素。

04 往复滚动地进行数据深挖

在进行了第一轮初步外围调查和电子数据分析后,很大程度上可能已获取了原先未掌握的新线索,尽管从表面上看可能尚无法利用这些新线索判断案件调查的结果。为此,就要通过人、时、地、物、事等维度,开展往复深入地数据挖掘,并且同步跟进外围排查,使两者能够有机结合、优势互补,形成良性互动,通过综合的手段,发现从电子数据或者外围调查中发现关键线索和证据,进而完成调查。

在此过程中,尤其要善于利用外围调查的手段,了解涉案人员行为特征和时间轨迹,结合其涉案介质中的电子数据痕迹如系统日志等进行时间轴分析,从数据中还原“作案现场”,给案件带来意想不到的突破。

作者:星瀚内控与反舞弊法律中心 周晓鸣