引言
电子数据取证作为一种重要的案件查办手段,已经得到了普遍的共识,在我们接洽的大量案件中,委托人也表现出对于电子数据足够的重视。然而,进入调查实务阶段后,我们发现,由于各种原因造成的电子数据损毁、缺失等现象非常普遍,这其中有制度建设不全、设备管理混乱等基础工作方面的原因,也有证据保护和信息保密意识不强等人为方面的原因。
为此,星瀚反舞弊中心对曾经接办的案件做了一个针对性的回顾,归纳总结了一些影响电子数据取证结果的现实性问题,结合案例,分期给大家做些分享。
2017年年底,我所接办一起大型国有企业员工涉嫌职务侵占和受贿案件,在与委托人初步沟通了解案情后,律师要求委托人提供涉案人员曾使用的计算机作进一步的电子取证。
委托人企业内部调查负责人随即下达指令给IT部门,要求该部门收集涉案员工使用的工作电脑和移动存储设备。
我所在收到委托人提供的涉案电脑后立即开展电子数据取证,并在电脑硬盘中发现只安装有一个“纯净”的操作系统,没有任何其他软件安装、文件编辑、邮件收发等日常工作必须的操作痕迹和其他有价值的信息。
为此,取证人员进一步对操作系统和硬盘残留数据作了针对性地分析,在系统日志中果然发现了不寻常的信息——操作系统安装日期。
为什么说这个系统安装日期不寻常呢?因为我们的电子数据取证始终是和案情紧密相连的,当发现硬盘出乎意料的“干净”时,取证人员立即敏锐的察觉到,正常使用的电脑根本不可能如此“纯洁”,于是便重点查看了系统安装时间的日志记录,将日志时间与关联人现实活动时间比对,由此发现:系统安装时间就是在IT部门接到收集电脑的指令后的当天夜晚至次日凌晨。通过系统安装时间点的分析可以看出,涉案人员是在接到上交电脑的通知后进行的硬盘格式化、操作系统重装等相关操作,其目的很明显是为了毁灭证据,逃避调查。
在该案中,虽然原始数据遭到破坏,取证人员只能通过数据恢复手段,有限地提取到部分数据碎片,极大影响了证据收集和案件侦办工作的顺利开展。但是,通过对这个“不寻常”的系统安装时间的分析,办案人员开展了倒查,最终发现该时间段内进行系统重装的正是企业IT部门的负责人,而该涉案人员原先并未被列入调查视线。
分析
企业内部调查人员不注意涉案信息保密,处理涉案电子设备随意性大,因而给涉案员工逃避检查提供了可乘之机,这在我们反舞弊实践中是最频繁遇到的问题,最常见的做法是在电脑、移动存储设备不在控制视线的情况下,直接与涉案人员进行谈话,告知调查事项,要求其主动上交电子设备,这样做往往会使涉案人员从不知情到高度警惕,促使其抓紧一切时机毁灭证据,包括:删除电子数据、格式化硬盘、重装操作系统、以空白硬盘替换原始硬盘,甚至借口“电脑丢失”,以赔偿损失的方式避重就轻。
建议
在案件调查初期,由于涉案线索和人员存在着极大的不确定性,企业内部调查人员必须保持高度的警惕,主动加强保密工作,尽量缩小知情范围,如需收集涉案人员计算机和电子设备,可以采取“秘密调查”、“突击检查”的方式,避免让涉案人员有充分的时机删除数据、毁灭证据。此外,还可以利用IT部门的权限,以“修补操作系统安全漏洞”、“病毒查杀”等借口,集中收取部门或企业所有员工的电脑和电子设备,是涉案员工放松警惕,避免打草惊蛇。
作者:星瀚内控与反舞弊法律中心 周晓鸣