电子数据建模取证案例实践与建议

◆潘统芬

电子数据建模取证案例实践与建议

◆潘统芬

（温州市鹿城公安分局网警大队 浙江 325000）

一谈到电子数据取证，马上就联想到专业技术知识问题，本文在专业技术取证的基础上，结合侦查思维，对电子数据取证提出新的思路——电子数据建模取证，目的是让数据说话，并以实战案件为例，谈谈对海量电子数据建模取证实践与建议；本案电子数据取证人员就电子数据的真实性、合法性、关联性出庭应诉，接受审判人员及律师的质询，事后检察院的工作人员对本案电子数据建模取证提了较好的意见与建议；建模取证对涉众性海量数据案件有一定的参考价值，对网安电子数据取证能力培养提供了新的方向。

海量；建模；勘验；电子数据

1 简要案情

“书画宝”平台网址为www.shb365.com，是温州瓯派文化艺术有限公司所属的书画艺术品线上平交易的平台。2016年9月起该公司将书画艺术品拆分为以平尺为单位在“书画宝”平台上进行交易，并将一名或多名艺术家作品打造成一个艺术包，如“秦风奇缘”作品，由10名艺术家的书法作品打包而成，以统一价格对外“销售”。截止到案发，共有40个艺术包发到网上进行交易，每个艺术包发行时总价3000万到5000万人民币，到案发时总价涨了几倍甚至10多倍，艺术包的作品预设数量从6000到20万平尺不等。公司操控艺术包使其价格不断上涨，公司为了诱导公众投资购买：一是在网站上虚构夸大艺术家名头，多数艺术家冠以“中国艺术研究院”、“中华书画家协会”、“中国古体诗词学家”等中国或中华带头的山寨机构或协会组织；二是在发行时利用重金奖励提成模式，金字塔式发展会员；三是通过电视、网络等平台，大量宣传艺术包购买具有“零风险”、“保增值”以及许诺公司具有“回购”且“高效变现”能力。“书画宝”平台以非法集资被立案侦查，平台注册并充值交易的用户近6万人，涉及实际投资资金13.4亿元人民币，受害人主要分布在浙江、广东等地。

2 电子数据建模取证具体思路

2.1 电子数据建模取证背景

2017年5月份，在该公司资金难以为继之时，公司负责人对涉案的账单进行销毁，关键人员如财务出纳等经常变更，甚至指令技术人员对服务器的交易的数据进行修改、删除。该公司经营表面上看是一家正常的互联网文化创新经营企业，案发后，先期由文化部门介入后移交公安部门，案件侦办了三个多月，主要犯罪嫌疑人史某还在做无罪供述，公司其他副总等核心人员有的逃往国外，后来陆续抓获了公司大多数核心人员，他们的年薪从几十万元人民币到一千多万，早已制定攻守同盟，在关键地方要么不交代、要么交代了还会翻供，案件到了举步维艰的程度，该公司如何利用艺术品来非法吸收公众存款过程还是个谜，因此非常需要客观的电子数据来还原情况的真相。

该公司有5台服务器，主要数据在2台网站服务器与1台数据库服务器上，数据库有112张表2000多万的数据记录，最大的表有120多万条记录，如何提取海量数据库的关键电子证据，即提供更精准的结论性数据证据，还原该公司线上艺术品交易过程中的非法行为，挖掘出隐含在数据中的反映犯罪嫌疑人主观故意关键证据。

2.2 电子数据建模取证思路

电子数据建模取证的做法，勘验人员改变传统取证思想，利用严密的侦查思维，在跨平台（网站及数据库）海量数据中，组合筛选不同维度的数据，对40个艺术包进行建模取证，每个维度需要的数据，从相应数据库对应的表（或多表）中通过查询、分析与统计（附数据库操作的SQL语句）操作得到相应的数据；为了电子数据取证模型优化，对模型用归纳演绎法进行多次修改，从公司操控个别艺术包特征再推广到其线上发行的所有艺术包共性，再根据模型逐个对艺术包进行电子数据取证，目的是挖掘出淹没在大数据中犯罪嫌疑人主观故意的证据，达到让数据说话，即提取相应的数据固定印证犯罪嫌疑人集资诈骗的主观故意。这与平常电子数据取证恢复提取、固定分析过程完全不同，勘验人员也是在对前期数据删除恢复的基础上，重构网站和数据库服务器，以每个艺术包为单位，电子数据取证人员对40个艺术包逐一电子数据取证，每个艺术包的电子数据取证内容跨越网页服务器与数据库服务器。

本模型分五个维度14个小项，即从艺术包发行相关宣传、原始艺术包销售模式、公司涉嫌操控艺术包、线上交易数据、金字塔式发展会员及分红等项目进行疱丁解牛式电子数据取证，适用于艺术包发行的早、中、后期的取证，对每个艺术包逐项分析，提取相应的数据固定犯罪嫌疑人集资诈骗主观故意。即固定了平台上涉嫌诈骗的详细内容、还原了诈骗是如何操控的，以及线上线下没有互动、公司参与艺术包操控买卖等，对主要犯罪嫌疑人自认为是艺术作品交易的创新，电子数据取证结论起到关键客观证据的作用，真正体现电子数据证据之王的威力。

2.3 电子数据建模取证部分内容列举

对艺术包的电子数据取证建模，从艺术包发行相关宣传、原始艺术包销售模式、公司涉嫌操控艺术包、线上交易数据、金字塔式发展会员及分红等五个维度14个小项组成，本文对“原始艺术包销售模式”维度列举，其由3个小项组成，即艺术包从认购、抢购、直购三个阶段：哪些人认购了原始艺术包，大多数是公司自己拥有的账号，公司自己拥有占比多少；哪些人抢购到原始艺术包，占比多少；直购赠送的原始艺术包有多少，哪些人得到利益输送等。以“秦风奇缘”艺术包为例，结合公告、网站数据库数据，对“秦风奇缘”艺术包进行分析，该艺术包于2017年03月21日完成内部认购、公开认购（抢购）、直接购买等过程，该艺术包公告公示艺术包总量为145000平尺，经数据库查询实际发行量为200002.5平尺，艺术包销售价格为每平尺200元人民币。公告显示2017年3月13日到3月19日18：00期间完成内部认购，经数据查询实际上是到3月19日19：00前完成内部认购，该艺术包有1527个账号参与认购，共认购125728.5平尺；公告显示2017年3月21日19：00-22：00之间为公开认购时间，经数据查询事实上是3月21日19：00-19：03完成公开认购，共有107个账号参与认购，共购得4440平尺，与公告上公开认购数据为25000平尺相差较大；该艺术包在经过内部认购、公开认购后，剩余的大量艺术包被直接分配，这里称为直接购买，直接购买公告上没有公开显示，该艺术包共有3条直购记录，共购得艺术包69834平尺，其中公司内部账号“书画宝”直购数量为69612尺，占整个艺术包34.8%。该艺术包上线流通时间为2017年03月22日。艺术包的电子数据取证报告，给专案侦查、审讯起到了揭开谜团、统一方向的作用。

3 电子数据建模取证理论依据

随着涉网案件占比越来越高，涉案的服务器越来越多，如何提取海量数据中的涉网线索与证据，以及什么是电子数据取证侦查思维引起了人们的讨论。

关于电子取证，我国学术界存在广狭义两种观点。狭义说将电子取证与“ComputerForensics”等同起来。如有人认为电子取证，是“将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼”。取证的过程主要包括勘查现场、获取数据、分析数据、追踪源头、提交结果等。也有人认为，电子取证“也称计算机法医学，它是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。广义说则认为电子取证包括但不限于特殊的技术手段。

事实上，电子取证广狭义两种观点都有分析侦查思维的过程，而且公安部门的电子数据取证分析实验室有别于社会的鉴定机构，主要工作是发现有罪与无罪的证据，而不是鉴定。“电子数据取证”是从事网络安全保卫部门网络犯罪侦查和电子数据检验分析工作的基本技能，也是配合其他警种进行案件查破提供相应技术支持的基础条件。从能力需求的角度看，网安勘验人员身份是公安民警，业务领域是打击犯罪服务，所以“电子数据取证”工作不同于社会司法鉴定机构的独立第三方鉴定行为，而是趋同于传统刑事技术民警的“协同配合侦查破案”，建模取证是对电子数据取证人员在侦察思路基础上更上一层的能力要求。

4 建模取证实践以及检法建议

本案电子数据取证人员作为勘验人员，在法庭上出庭应诉，接受审判人员以及30多名律师就电子数据真实性、合法性、关联性的犀利质询，得益于电子数据取证思路严密，电子数据笔录环环相扣，经得起律师的质询考验，该笔录的质量受到检察院、法院办案同志高度认可。

4.1 电子数据取证笔录可读性好

对艺术包建模取证，建模提纲设置非常关键。本案艺术包上线交易分早、中、晚期三个阶段，特别是晚期上线的艺术包，非法吸收公共资金存款形式越来越隐蔽，因此本建模提纲着重从艺术包发行相关宣传、原始艺术包销售模式、公司涉嫌操控艺术包、线上交易数据、金字塔式发展会员及分红等五个维度14个小项进行取证，每一小项内容用公司网站发布的信息及数据库记录的信息来印证，统一性强，查看40个艺术包电子数据取证笔录与查看1个艺术包电子数据取证笔录相似，可读性强。大型专案涉案材料多、材料堆积比楼层还高，材料可读性强，关键证据容易被检法办案人员吸收，证据效率会极大提高，得到检法办案同志充分肯定。

4.2 提炼挖掘海量数据信息齐全

海量数据因信息量大，价值密度相对低下，挖掘数据信息是否齐全是建模成败的一个标志。对于跨网站、跨数据库多平台的取证，平常电子数据取证工作是恢复、固定提取数据，再搭建服务器环境，供经办单位试用，但数据量越大，经办单位往往以没有专业人员，对数据有效时使用能力相对不足为由，要求电子数据取证人员来做专业分析，因此勘验人员面临海量电子数据取证分析的业务需要。另一方面，大型的案件往往是专案，主要局领导是专案的负责人，网安也是专案的成员，网安人员能力好坏，直接影响到局领导对网安警种的认可，因此网安勘验人员面临专案贡献的业务需求。海量数据取证分析能力，是今后网安必备的能力之一，本专案的电子数据取证工作，海量数据挖掘的信息齐全，得到检察院办案同志充分肯定，他们称其起诉书犯罪事实部分是以建模的电子数据取证笔录为模板。

4.3 数据分析与统计可回溯性强

所有的分析与统计的数据，都标明来自那张数据库的表（或那几张表），并将结果导出到相应的表格，并附相应的SQL查询语句，可回溯性强。如艺术包“秦风奇缘”内部认购，内部认购在数据库的来源是op_member_wallet_log表，该记录了用户的充值、交易、提现等所有资金相关，标题为'艺术创客买入'，op_id字段中包含“32”代表了秦风奇缘艺术包；op_member表保存用户的注册信息。根据公告日期将时间设置为2017-3-21 19:00之前。语句实现如下：

select p2.`username`，p2.`realname`，p1.member_id，p1.pay，p1.balance，p1.content， FROM_UNIXTIME（p1.create_time） FROM `op_member_wallet_log` p1 LEFT JOIN op_member p2 ON p1.`member_id`=p2.id WHERE p1.title='艺术创客买入' AND SUBSTRING_INDEX（p1.op_id，'_'，1）=32 AND p1.create_time < UNIX_TIMESTAMP（'2017-3-21 19：00'）

查询得到相应数据并导出到“2.1秦风奇缘直购情况.xlsx”，检法人员不需要太多的专业知识就可对数据进行简单的回溯。

4.4 内容表述尽量中性客观

标题里用到“涉嫌”两字，如“公司涉嫌操控艺术包”能不能去掉涉嫌二字，这也是检察院办案同时提出的唯一“批评”意见。要求维度与小项标题用词尽量中性，他们对内容描述来自查询、分析、统计等严谨操作产生的数据结论，表述也是非常认可。勘验笔录内容特别多，需要有大小标题来表述时，经与检法办案同志探讨，可以用“存在什么情况”来替换，如“公司涉嫌操控艺术包”，可用“公司发行艺术包方面的情况”。勘验笔录内容表述，也会是电子数据勘验人员出庭应诉面临的另一项内容。

[1]周新. 刑事电子证据认证规范之研究[J]. 法学评论，2017（6））：158-166.

[2]李玲俐.网络犯罪下电子取证技术研究与探索[J].智能计算机与应用，2020，10（02）：151-153.

[3]丁丽萍，刘雪花. 云环境下的电子数据取证技术研究[J]. 中国信息安全，2019（5）：61-62.

[4]蒲泓全，郭艳芬，卫邦国. 电子取证应用研究综述[J]. 计算机系统应用，2019，28（1）：10-16.

[5]刘品新.电子取证的法律规制[J].法学家，2010（03）：73-82+178.