很多企业调查人员在进行舞弊调查时会着重查看涉案人员的各类OFFICE文档,如合同文档、票据、资金流水等,这类文档中往往找到的都是较直接的证据。但随着舞弊员工的警惕性和技术手段的提高,有时查遍OFFICE文档也难以发现有用信息。
其实很多人忽略了OFFICE文档的“元数据”。什么是元数据?它包含了哪些有用的信息?在舞弊案件调查时是如何具体应用的。本文将结合我们办过的案例进行介绍。
什么是元数据?
元数据(Metadata),又称中介数据、中继数据,它是关于数据的组织、数据域及其关系的信息,即被定义为描述数据的数据(data about data)。
1995年3月,OCLC(Online Computer library Center,联机计算机图书馆中心)和NCSA(National Center for Supercomputing Applications,美国国家超级计算应用中心)联合在美国俄亥俄州的都柏林镇召开了第一届元数据研讨会,会上产生了一个精简的元数据集——都柏林核心元素集(Dublin Core Element Set),简称DC。其目的是,如何用一个简单的元数据记录来描述种类繁多的电子信息,使非图书馆专业人员也能了解和使用这种著录格式,达到有效地描述和检索网上资源的目的。
在此之后,元数据随着技术和应用的发展,根据使用场景的变化而衍生出了许多不同的定义,如有关数据的数据(data about data)、有关信息对象之结构的信息(structured information about an information object)、描述资源属性的数据 (Data describes attributes of resources)等。
元数据和用户数据的关系
我们编辑一个文档,制作一张图片,剪辑一段视频,甚至对数据库进行操作时,能够直接看到的文字、图片、影像、数据值等,都是数据的本体。
但当我们操作那些看得见的数据时,文件系统还会同步产生一些无法直接看到、与数据本体关联的数据,比如文件系统中文件检索表、路径和地址信息等,这些数据就是文档、图片、视频的元数据。比如:从网上下载的电影,其播放的内容本身是视频文件数据,而通过右键查看到的存储路径、码率、文件尺寸、艺术家、专辑名、版权方等属性信息就是视频文件的元数据。
OFFICE文档元数据的应用
在我们对职务犯罪的调查中,OFFICE文档是最为重要的对象,可以说,只要是办公,几乎都会用到OFFICE软件(为便于同OFFICE用户兼容,金山WPS同样使用OFFICE文档格式)。
职务侵占类案件调查中,受到重视的往往是文档内容本身,诸如合同、票据、资金流水等,这些数据可以清楚印证涉案行为,是对涉案人员行为最直接的证明。
但对于优秀的取证人员来说,仅重视文档内容是不够的,因为OFFICE文档的元数据中同样包含了大量有用的信息,对于扩展案件调查范围,排查可疑线索,甚至突破案件调查瓶颈有着不可忽略的重要作用。
OFFICE文档的元数据主要包含:Title(标题)、 Word软件版本、Creator(文档创建者)、LastModifiedBy(最后修改者)、文档创建时间、最后一次保存时间、最后一次打印时间等(如下图所示)。
应用案例
在一起职务侵占案件中,委托人提供了涉案员工工作邮箱的所有备份邮件,通过检索发现了多个可疑邮件和附件中的OFFICE文档,我们通过对文档正文内容中的落款名称和元数据中“文档创建者”、“最后一次修订者”进行比对,同时将邮件发送时间、文档落款时间和文档元数据中“创建时间”、“修订时间”进行比对。仔细比对后发现,文档元数据中显示的文档创建者为一台未纳入调查视线的计算机,通过后续调整方向对该计算机进行调查,我们从中发现大量涉案电子数据,从而成功深挖出隐藏的涉案人员,并全面突破整个案件。
同样,在侵犯知识产权类案件中,将文档内容比对和文档元数据比对相结合,从而印证文档原始来源,也是常见的一种调查手段。
图片元数据的应用
图片是另一种常见的电子数据取证对象,图片的元数据叫做EXIF,记录了数字图像的属性信息。
EXIF常常包括相机参数、拍摄参数、拍摄时间、GPS经纬度信息等重要信息。从反舞弊实务的角度来看,单独的这些信息并不能够成为舞弊行为的直接证明,而如果结合案情,这些信息就变得非常重要。
应用案例
在星瀚所调查的一起公司高管侵占公司利益案件中,从举报人反映的线索中,我们获知该名高管与某外省市的关联人员频繁接触,并曾多次赶赴位北方某市的项目现场直接参与项目的进程。我方的调查目的是需要证明其到过该市项目现场的行为和时间,但限于尚未立案,甚至连其是否曾坐过高铁、飞机的记录都无法调取,因此需要调查人员能够从其使用的笔记本电脑中找到相关线索。
循着这个方向,星瀚电子取证团队对该高管的电脑进行了针对性调查,恢复了部分已被删除的图片,经确认为手机拍摄的照片备份,通过对照片本身内容和EXIF中包含的拍摄设备、拍摄时间以及GPS定位信息的分析,最终固定了该高管前往该市项目现场与关联人的接触行为和具体时间。
随后,以该时间点为焦点,缩小了外围调查和电子数据取证范围,通过深挖进一步获取了重要涉案线索和证据信息,最终使涉案人员在大量的证据面前放弃抵抗,如实供述了案情,圆满地完成了案件调查。
作者:星瀚内控与反舞弊法律中心 周晓鸣