文|检察日报记者 简洁
他坚称自己电脑中的客户信息为离职前备份、离职后拷贝至个人笔记本电脑上的,自己有权限备份数据,但没有下载过被害单位的客户信息
“你们公司的安全性到底有没有保障?我收到一封邮件,里面居然有我在你们那里的数据。”2020年,北京某科技公司(以下简称“科技公司”)突然接到客户投诉,称有人向其发送匿名邮件,邮件展示了该客户存储在科技公司服务器数据库中的客户数据,客户指责科技公司泄露数据,声称不再与其合作。就在科技公司针对该投诉开展内部核实的时候,类似的客户投诉不断发来。面临失去大量客户的科技公司感到事态严重,认为这是一场有预谋的恶意行为,随即报警。
民警查看监控录像并综合科技公司服务器与网络日志记录的侵入设备型号进行追查,曾任科技公司运维总监的龚锐(化名)成为怀疑对象。龚锐曾拥有该科技公司的最高技术权限,但在2019年8月30日离职,离职的原因是和科技公司产生了矛盾。2020年9月30日,龚锐被北京市公安局海淀分局民警抓获。
“龚锐是技术专家,他采取技术手段转换IP地址侵入被害单位服务器窃取客户信息的行为具有高度的隐蔽性。警方在龚锐个人电脑上提取到科技公司的客户信息,但未调查到非法侵入行为的直接证据。”北京市海淀区检察院办案检察官李鹏说。
2020年10月,北京市公安局海淀分局以龚锐涉嫌破坏计算机信息系统罪向北京市海淀区检察院提请批准逮捕。
龚锐到案后提出了诸多辩解。他坚称自己电脑中的客户信息为离职前备份、离职后拷贝至个人笔记本电脑上的,自己有权限备份数据,但没有下载过被害单位的客户信息,只是离职后偶然登录了被害单位服务器进行查看,并未实施其他行为;自己虽然向客户发了邮件,但那些数据是自己离职前的数据,只是为了向客户提示应当注意数据安全。
在审查批捕阶段,检察官发现,在案证据不能有效体现龚锐作案笔记本电脑的远程网络连接数据,且龚锐其他作案设备中的远程网络连接数据同科技公司提交的服务器IP地址不一致。科技公司报案时所提供的被侵入服务器IP地址均为内部局域网IP地址,该IP地址需要经过映射、转换等操作后才能形成与互联网相连接的IP地址。龚锐实施远程侵入行为时,是通过访问科技公司服务器的外网IP地址,利用掌握的最高技术权限登录科技公司的堡垒机服务器(即公司内外网连接转换的总服务器),进而从互联网环境进入科技公司的局域网环境。
“因此,我们需要核实科技公司服务器的网络映射关系,确定被侵入服务器的外网IP地址,才能进而确定龚锐作案使用的设备与被害单位服务器被侵入之间的关联性。”李鹏说,虽然龚锐已经到案,但由于其拒不承认相关行为,该案是一起无直接证据、关联证据弱的“零口供”案件。
李鹏说,在检察履职中,常常需要面对犯罪嫌疑人的“幽灵抗辩”(是指犯罪嫌疑人为了达到减轻或者免除自己罪责的目的而提出难以查证的辩解)。
北京市海淀区检察院于2021年正式投入运行了该院的电子数据审查室,采取硬件配备和软实力配套的思路和“检察官+数据审查员”这一办案模式,进一步为解决海量电子数据提取难、存储难、读取难、分析难等问题提供助力。
“我们决定通过‘检察官+数据审查员’机制、邀请检察技术人员同步辅助审查等方法,从多个维度开展自行补充侦查工作,自行提取、固定、分析关键电子数据。”电子数据审查员郭树正很快接手了此案任务。
“都说雁过留声,其实电子数据也是一样,但凡通过计算机实施了犯罪,就会存在诸多留存证据的虚拟空间或电子痕迹,需要我们深入‘虚拟现场’,抽丝剥茧寻找它们。”为了调查“虚拟现场”,郭树正决定首先对龚锐的作案笔记本电脑硬盘通过勘验手段固定镜像文件(即在二进制层面一比一地复制原始数据,系电子取证的常用方法,固定镜像文件后可将原始数据封存保护,针对镜像文件进行调查可视为对原始数据进行调查),然后通过系统仿真操作还原虚拟现场的方式来寻找蛛丝马迹。
“系统仿真操作,通俗地讲,就是通过镜像文件在其他电脑上完整虚拟还原出嫌疑人的电脑系统环境,这样和我们正常打开电脑进入Windows是一样的,通过仿真操作进入嫌疑人的电脑系统,一来不会对原始数据产生影响,二来可以直接打开嫌疑人电脑中特别的软件,来查看这些软件的功能或其中记录的内容。”郭树正说,这样有时能收到事半功倍的效果。
随后,郭树正就在不破坏原始证据的情况下,完整还原、运行了龚锐电脑的系统。他果然发现龚锐在一个“笔记”程序中记录了原科技公司重要数据服务器的最高登录权限、解密权限等。这直接证明了龚锐明知且有能力超越权限登录科技公司服务器并解密客户数据。
“经过系统仿真,我们只能取到一些‘表面’的数据,更多时候我们还是需要针对镜像文件进行底层数据分析,通过电子数据的‘穿透式’调查分析,构建起证据间的多元关联性。”郭树正通过底层数据检索技术分析网络连接情况,有针对性地从海量底层数据中,快速检索出了龚锐电脑登录科技公司服务器的记录以及龚锐删除作案行为时残留的数据痕迹,直接证明了该设备持续远程侵入科技公司服务器,构建起关联性。
“网络科技类犯罪案件中,嫌疑人多具有技术背景和专业经验,极易提出‘看似合理’的技术性辩解。如果我们缺乏相关专业知识或技术辅助,办理此类案件很容易陷入被动。”李鹏说。
龚锐提出了诸多辩解,但每次辩解的具体细节却不尽一致。他起初称在2019年9月用一个金士顿牌U盘备份了涉案电子文档一次,而后续却称在离职后用一个金士顿牌U盘备份了数次,但对于U盘型号、购买时间及所处位置都无法回答。
(来源:CFP)
为了核实其辩解的真伪,郭树正开展了针对性调查工作。经调查,龚锐作案笔记本电脑中存在U盘设备使用情况的时间段为2019年9月6日至2020年4月9日,此后记录显示设备多为移动硬盘而非U盘,而U盘设备显示共有5个不同型号,均系闪迪牌U盘而非金士顿牌U盘。经对涉案的105个文档进行分析,其中85个文档的生成时间均在2020年4月9日(最后一次使用U盘的时间)后,不存在将已备份数据拷贝到涉案笔记本电脑的可能。从涉案文档内容来看,其中91个文档中包括了科技公司于2019年8月30日(龚锐离职日)以后新生成的数据,直接证明了涉案数据并非龚锐在科技公司任职期间合法获取。
通过全面分析审查,李鹏认定龚锐电脑中所有的涉案电子文档系从科技公司服务器窃取形成。最终,该案证据从只能证明行为人可能实施超越权限的登录行为,到构建完整证据链条,为精准指控行为人实施了侵入计算机信息系统并非法获取28万余组公民个人信息数据的犯罪事实提供了坚实的支撑。
2022年1月14日,北京市海淀区法院就龚锐涉嫌侵犯公民个人信息一案开庭审理,李鹏在庭审中出示了相关证据,有力驳斥了龚锐的辩解,龚锐当庭表示认罪认罚。2月15日,海淀区法院作出判决,认定龚锐犯侵犯公民个人信息罪,判处有期徒刑四年三个月,并处罚金4万元。