● 張志婧 李 鵬 郭樹正/文

辦案要旨

針對技術(shù)人員離職后通過轉(zhuǎn)換IP地址遠程侵入原公司服務器進而竊取客戶數(shù)據(jù)的行為，可以調(diào)取作案電腦中的網(wǎng)絡連接日志、連接的遠程主機信息、USB設備插拔記錄等電子數(shù)據(jù)，以及調(diào)取被害公司被侵入服務器的網(wǎng)絡映射情況，證明行為人的設備與侵入被害單位服務器的關(guān)聯(lián)性。應注意對電子數(shù)據(jù)“一證多審”，除了審查電子文檔的內(nèi)容，還應當解析電子文檔的時間信息，結(jié)合計算機時鐘的變化，認定從被害單位服務器上竊取的具體客戶數(shù)據(jù)。

案情回顧

［基本案情］龔某某曾任北京贏某通軟件技術(shù)有限公司（以下簡稱“贏某通公司”，經(jīng)營地為北京市海淀區(qū)）的運維總監(jiān)，后于2019年8月30日離職。龔某某離職后利用原公司最高技術(shù)權(quán)限，于2019年至2020年間，多次超越權(quán)限登錄贏某通公司的服務器，下載存儲在服務器中包含客戶信息的電子文檔數(shù)據(jù)，經(jīng)統(tǒng)計涉案客戶資料數(shù)據(jù)共計28萬余組。2020年9月30日，龔某某被北京市公安局海淀分局民警抓獲。

［辦案過程］2020年10月1日，北京市公安局海淀分局以龔某某涉嫌破壞計算機信息系統(tǒng)罪向北京市海淀區(qū)人民檢察院（以下簡稱“海淀區(qū)院”）提請批準逮捕。海淀區(qū)院經(jīng)審查認為，龔某某的目的與行為均系獲取贏某通公司的客戶數(shù)據(jù)，且贏某通服務器的功能并未因龔某某的行為而損壞，贏某通公司保存的客戶數(shù)據(jù)無法認定具體價值，亦不符合侵犯商業(yè)秘密罪立案標準，故改變定性以涉嫌侵犯公民個人信息罪對龔某某作出批準逮捕決定。2020年12月28日，北京市公安局海淀分局以龔某某涉嫌侵犯公民個人信息罪，向海淀區(qū)院移送審查起訴。2021年4月16日，海淀區(qū)院以龔某某犯侵犯公民個人信息罪向北京市海淀區(qū)人民法院提起公訴。

［辦案結(jié)果］2022年2月15日，北京市海淀區(qū)人民法院作出判決，認定龔某某犯侵犯公民個人信息罪，判處有期徒刑4年3個月，并處罰金人民幣4萬元。

辦案思考

本案是一起典型的技術(shù)人員離職后竊取公司數(shù)據(jù)的計算機類犯罪案件。龔某某系計算機專業(yè)出身，其采取技術(shù)手段轉(zhuǎn)換IP地址侵入被害單位服務器竊取客戶信息的行為具有高度的隱蔽性。偵查機關(guān)僅在其個人電腦上提取到公司的客戶信息，但并未調(diào)取到非法侵入行為的直接證據(jù)，亦未能有效核實龔某某個人電腦中公司數(shù)據(jù)的來源情況，而龔某某到案后堅持主張該客戶信息為離職前備份、離職后拷貝至個人筆記本電腦上的。面對“零口供”、無直接證據(jù)、關(guān)聯(lián)證據(jù)弱等情況，檢察機關(guān)依托電子數(shù)據(jù)審查室，通過吸納具有專業(yè)技術(shù)背景的檢察官助理作為數(shù)據(jù)審查員納入辦案組、邀請檢察技術(shù)人員同步輔助審查等方法，從侵入行為、獲取的數(shù)據(jù)信息以及辯解合理性三個維度開展自行補充偵查工作，自行提取、固定、分析關(guān)鍵電子數(shù)據(jù)，使得本案證據(jù)從只能證明行為人可能實施超越權(quán)限的登錄行為，到構(gòu)建完整證據(jù)鏈條，精準指控行為人實施了侵入計算機信息系統(tǒng)并非法獲取28萬余組公民個人信息數(shù)據(jù)的犯罪事實。

（一）通過自行補充偵查和技術(shù)性審查方法，證實行為人實施了“非法獲取”行為

檢察機關(guān)可以通過配備專業(yè)化技術(shù)輔助審查平臺，吸收具有專業(yè)技術(shù)知識的檢察官（助理）、檢察技術(shù)人員納入辦案組，或委托檢察技術(shù)人員開展同步輔助審查等手段，應對海量電子數(shù)據(jù)調(diào)查與審查帶來的挑戰(zhàn)。為了有效解決海量電子數(shù)據(jù)提取難、分析難等問題，檢察機關(guān)可以調(diào)度系統(tǒng)內(nèi)具有專業(yè)技術(shù)知識的人才參與辦案，并配備先進的技術(shù)輔助設備，不斷強化應對專業(yè)化犯罪及審查海量電子數(shù)據(jù)的核心能力，擺脫對偵查機關(guān)偵查活動及其他司法鑒定機構(gòu)的路徑依賴，破解專業(yè)性證據(jù)審查難題。

辦理非法獲取公民個人信息類犯罪案件時，承辦人要注重收集、審查與“非法獲取”直接相關(guān)的電子數(shù)據(jù)。本案中，公安機關(guān)委托的鑒定機構(gòu)未能從龔某某的筆記本電腦中有效提取出遠程網(wǎng)絡連接數(shù)據(jù)，且龔某某使用的云服務器中的遠程網(wǎng)絡連接數(shù)據(jù)同贏某通公司提交的服務器IP地址不一致。經(jīng)審查發(fā)現(xiàn)，贏某通公司報案時所提供的被侵入服務器IP地址均為內(nèi)部局域網(wǎng)IP地址（以下簡稱“內(nèi)網(wǎng)IP地址”），該IP地址需要經(jīng)過映射、轉(zhuǎn)換等操作后才能形成與互聯(lián)網(wǎng)相連接的IP地址（以下簡稱“外網(wǎng)IP地址”）。龔某某實施遠程侵入行為時，是通過訪問贏某通公司服務器的外網(wǎng)IP地址，利用掌握的最高技術(shù)權(quán)限登錄公司的堡壘機服務器（即公司內(nèi)外網(wǎng)連接轉(zhuǎn)換的總服務器），進而從互聯(lián)網(wǎng)環(huán)境進入公司的局域網(wǎng)環(huán)境。因此，需要核實贏某通公司服務器與網(wǎng)絡的映射關(guān)系，確定被侵入服務器的外網(wǎng)IP地址，進而審查龔某某作案使用的設備與被害單位服務器被侵入之間的關(guān)聯(lián)性。

基于上述考慮，承辦檢察官隨即聯(lián)合檢察技術(shù)人員開展了自行補充偵查工作：一方面，針對龔某某個人筆記本電腦中的存儲介質(zhì)，通過取證軟件重新固定了該存儲介質(zhì)的“E01”鏡像文件，重新提取、固定了該筆記本電腦的網(wǎng)絡連接日志、連接的遠程主機信息、USB設備插拔記錄、客戶信息數(shù)據(jù)文檔等電子數(shù)據(jù)。另一方面，數(shù)據(jù)審查員協(xié)助檢察官制發(fā)《調(diào)取證據(jù)通知書》，向贏某通公司調(diào)取被侵入服務器的網(wǎng)絡映射關(guān)系與IP地址詳單，建立起相關(guān)服務器內(nèi)外網(wǎng)IP地址之間的有效關(guān)聯(lián)。

在此基礎(chǔ)上，檢察機關(guān)針對龔某某筆記本電腦的鏡像數(shù)據(jù)從系統(tǒng)層面、網(wǎng)絡連接層面、數(shù)據(jù)層面進行了穿透式審查分析。一是利用系統(tǒng)仿真技術(shù)還原虛擬現(xiàn)場。在不破壞原始證據(jù)的情況下，通過鏡像數(shù)據(jù)完整還原并運行了龔某某筆記本電腦的Windows操作系統(tǒng)。通過還原，發(fā)現(xiàn)了龔某某記錄贏某通公司重要數(shù)據(jù)服務器的最高登錄權(quán)限、解密權(quán)限等信息的文檔，直接證明了其明知且能夠超越權(quán)限登錄贏某通公司服務器并解密加密文檔。二是通過底層數(shù)據(jù)檢索技術(shù)分析網(wǎng)絡連接情況。將贏某通公司提供的服務器外網(wǎng)IP地址作為關(guān)鍵詞，有針對性地從海量底層數(shù)據(jù)中快速發(fā)現(xiàn)了龔某某筆記本電腦登錄贏某通服務器的網(wǎng)絡連接數(shù)據(jù)等記錄，直接證明了其筆記本電腦于2019年至2020年間持續(xù)遠程連接贏某通公司的服務器。

（二）全面審查涉案電子文檔的內(nèi)容、生成時間及附屬信息等數(shù)據(jù)，實現(xiàn)犯罪手段行為及目的行為的證據(jù)關(guān)聯(lián)

面對拒不供認的被告人，檢察機關(guān)應當建立以客觀證據(jù)為核心的證明體系，注重審查電子數(shù)據(jù)的完整性、關(guān)聯(lián)性，進而準確地認定案件事實，有效打擊犯罪。在辦理侵入計算機信息系統(tǒng)類犯罪案件時，要注意把握兩個方面：一是因侵入行為往往伴隨著后續(xù)獲取信息等目的行為，承辦檢察官要注意行為人侵入后的目的，將“散點”的證據(jù)進行串聯(lián)，建立手段行為與目的行為的關(guān)聯(lián)性，進而實現(xiàn)完整評價犯罪行為和綜合保護多重法益的效果；二是要注意完整地提取并審查電子數(shù)據(jù)，如被害單位服務器IP地址數(shù)據(jù)、作案IP地址同被害單位服務器IP地址的交互痕跡數(shù)據(jù)、作案設備名稱數(shù)據(jù)、作案操作指令執(zhí)行痕跡數(shù)據(jù)等電子數(shù)據(jù)，以及電子文檔的附屬信息等，使電子數(shù)據(jù)之間形成網(wǎng)狀聯(lián)系、相互印證。

對于侵入計算機信息系統(tǒng)非法獲取公民個人信息的案件，應當證明侵入行為與非法獲取公民個人信息的證據(jù)關(guān)聯(lián)，并準確認定非法獲取公民個人信息的數(shù)量。本案中，龔某某竊取的公民個人信息系以電子文檔形式存儲于贏某通服務器中，要建立起龔某某筆記本電腦中留存的電子文檔同侵入贏某通服務器行為之間的關(guān)聯(lián)性。涉案包含公民個人信息的電子文檔均系Excel類型，而該類文檔包含多個時間信息，包括“創(chuàng)建時間”“修改時間”以及附屬信息（即屬性的“詳細信息”）等。“創(chuàng)建時間”系該文檔首次在現(xiàn)存“位置”形成的計算機時鐘時間，如果計算機時鐘準確，則可以根據(jù)該時間信息判斷文件是何時存儲至現(xiàn)有位置，只是“創(chuàng)建時間”“修改時間”信息并不準確，該時間信息會隨著文件的移動而變化。而電子文檔的附屬信息中存在“創(chuàng)建內(nèi)容的時間”和“最后一次保存的日期”的時間信息，不會隨著文件的移動而改變。［1］“創(chuàng)建內(nèi)容的時間”是指電子文檔首次編輯、存儲而形成的計算機時鐘時間，如果計算機時鐘準確，可以據(jù)此判斷文件的真實形成日期?！白詈笠淮伪４娴娜掌凇笔侵鸽娮游臋n最后一次編輯保存的計算機時鐘時間，如果計算機時鐘準確，可以據(jù)此判斷文件真實的最終保存日期。但上述所有的時間信息，均會因計算機時鐘信息不準確而產(chǎn)生誤差，從而影響對文檔獲取時間的判斷。

對此，辦案組及檢察技術(shù)人員對涉案電子文檔的內(nèi)容信息與附屬信息進行多層次綜合分析審查。一是分析龔某某筆記本電腦內(nèi)涉案電子文檔形成的時間。該電腦系統(tǒng)日志按照正常時間序列排序，首先排除了計算機時鐘紊亂的情況，可以認定涉案電子文檔的“創(chuàng)建時間”是準確時間。涉案電子文檔共有105份，逐一查看屬性信息容易出現(xiàn)誤差，數(shù)據(jù)審查員將涉案電子文檔通過取證軟件導出了相關(guān)文件時間信息的時間軸分析列表。經(jīng)審查，涉案電子文檔的“創(chuàng)建時間”均系龔某某離職后的時間，且“創(chuàng)建時間”能夠同侵入日志形成直接對應關(guān)系與關(guān)聯(lián)性，即電子文檔系由侵入行為而生成。二是分析涉案電子文檔的附屬信息，大批文檔“創(chuàng)建內(nèi)容的時間”“最后一次保存的日期”均系龔某某離職后的時間，且“作者”“最后一次保存者”記錄的均為贏某通公司電腦的信息，這證明了相關(guān)電子文檔系龔某某離職后在贏某通公司原始形成。

通過對涉案電子文檔的生成時間、附屬信息等的全面審查，能夠認定龔某某筆記本電腦中所有的涉案電子文檔系從贏某通服務器竊取，建立了侵入行為與獲取公民個人信息之間的關(guān)聯(lián)性。經(jīng)剔除重復數(shù)據(jù)，準確認定涉案電腦中的公民個人信息共計28萬余組。

（三）通過綜合性技術(shù)分析有力駁斥行為人的技術(shù)性辯解

網(wǎng)絡科技類犯罪案件中，行為人多具有技術(shù)背景和專業(yè)經(jīng)驗，加之部分人員的反偵查意識強，極易提出“看似合理”的技術(shù)性辯解，如果檢察人員缺乏相關(guān)專業(yè)知識或技術(shù)輔助，辦理此類案件時很容易陷入被動。本案中，龔某某在庭審前拒不配合，并堅持辯稱涉案客戶數(shù)據(jù)系自己離職前備份并于離職后拷貝至個人筆記本電腦的，但每次辯解的具體細節(jié)卻不盡一致。龔某某在起初的供述中稱其于2019年9月只用一只金士頓牌U盤備份了涉案電子文檔一次，而后續(xù)的供述卻稱其在離職后用一只金士頓牌U盤備份了數(shù)次，但對于U盤型號、購買時間及所處位置均無法回答。

為了核實辯解的真?zhèn)?，承辦檢察官會同檢察技術(shù)人員開展了針對性調(diào)查工作。經(jīng)調(diào)查，龔某某涉案筆記本電腦中存在U盤設備插拔記錄的時間段為2019年9月6日至2020年4月9日，此后插拔記錄顯示設備多為移動硬盤而非U盤，而U盤設備顯示共有5個不同型號，均系閃迪牌U盤而非金士頓U盤。經(jīng)對涉案的105個文檔進行分析，其中85個文檔的生成時間均在2020年4月9日（即最后一次插拔U盤的時間）之后，不存在將已備份數(shù)據(jù)拷貝到涉案筆記本電腦的可能。從涉案文檔內(nèi)容來看，其中91個文檔中包括了贏某通公司于2019年8月30日（龔某某離職）以后新生成的數(shù)據(jù)，直接證明了涉案信息并非龔某某在贏某通公司任職期間所獲取。綜合上述分析，承辦檢察官在庭審中出示了相關(guān)證據(jù)，有力駁斥了龔某某的辯解，龔某某當庭表示認罪認罰。

點評意見

劉品新

（中國人民大學法學院教授，智慧檢務創(chuàng)新研究院副院長）：

“多元關(guān)聯(lián)律”是電子數(shù)據(jù)在司法辦案中體現(xiàn)出來的獨特規(guī)律。2021年最高檢在《人民檢察院辦理網(wǎng)絡犯罪案件規(guī)定》中，在總結(jié)實踐經(jīng)驗的基礎(chǔ)上第一次對“多元關(guān)聯(lián)律”作出了確認和倡導，有兩處條文使用了“多元關(guān)聯(lián)”之表述。然而，對于如何理解和落實該項要求，該司法解釋性文件并未予以明確規(guī)定。

“龔某某侵犯公民個人信息案”是一起挖潛電子數(shù)據(jù)效能的典型案例，既有對IP地址的有效穿透，也有對文檔附屬信息的精細化審查。北京市海淀區(qū)院的科技犯罪辦案團隊通過專業(yè)工作，把證據(jù)“斷點”“散點”串聯(lián)起來，有效地指控了犯罪。它為此類案件的辦理提供了重要參考，同時也提供了一些改進路徑。

一是從表象電子數(shù)據(jù)轉(zhuǎn)向真實電子數(shù)據(jù)。本案的第一個突破點，在于建立了“內(nèi)網(wǎng)IP地址”與“外網(wǎng)IP地址”的映射關(guān)系，“內(nèi)外網(wǎng)隔離”是目前互聯(lián)網(wǎng)公司普遍采用的用網(wǎng)方式，表面的IP與真實的IP不同的情況客觀存在，且存在一定的證明難度。本案偵查階段公安機關(guān)、鑒定機構(gòu)均未有效破解癥結(jié)，檢察機關(guān)借助“檢察官+數(shù)據(jù)審查員”的專業(yè)制度優(yōu)勢，通過系統(tǒng)仿真技術(shù)還原了虛擬現(xiàn)場，開展了底層數(shù)據(jù)檢索工作，并向被害單位調(diào)取了IP地址詳單。通過一系列的虛擬現(xiàn)場探索工作，最終構(gòu)建起了龔某某持續(xù)遠程侵入被害單位服務器的事實，將龔某某電腦中的涉案電子文檔同被害單位服務器被侵入建立起了有效關(guān)聯(lián)。此案一定程度上梳理了同類案件的證明范式，但對于非專業(yè)出身的檢察人員而言仍有一定難度，需要推動各類司法機關(guān)建立專業(yè)偵查與審查隊伍，不斷總結(jié)經(jīng)驗形成指引，以更好地應對網(wǎng)絡犯罪新形勢。