電子數(shù)據(jù)建模取證案例實(shí)踐與建議

◆潘統(tǒng)芬

電子數(shù)據(jù)建模取證案例實(shí)踐與建議

◆潘統(tǒng)芬

（溫州市鹿城公安分局網(wǎng)警大隊(duì) 浙江 325000）

一談到電子數(shù)據(jù)取證，馬上就聯(lián)想到專業(yè)技術(shù)知識(shí)問題，本文在專業(yè)技術(shù)取證的基礎(chǔ)上，結(jié)合偵查思維，對(duì)電子數(shù)據(jù)取證提出新的思路——電子數(shù)據(jù)建模取證，目的是讓數(shù)據(jù)說話，并以實(shí)戰(zhàn)案件為例，談?wù)剬?duì)海量電子數(shù)據(jù)建模取證實(shí)踐與建議；本案電子數(shù)據(jù)取證人員就電子數(shù)據(jù)的真實(shí)性、合法性、關(guān)聯(lián)性出庭應(yīng)訴，接受審判人員及律師的質(zhì)詢，事后檢察院的工作人員對(duì)本案電子數(shù)據(jù)建模取證提了較好的意見與建議；建模取證對(duì)涉眾性海量數(shù)據(jù)案件有一定的參考價(jià)值，對(duì)網(wǎng)安電子數(shù)據(jù)取證能力培養(yǎng)提供了新的方向。

海量；建模；勘驗(yàn)；電子數(shù)據(jù)

1 簡(jiǎn)要案情

“書畫寶”平臺(tái)網(wǎng)址為www.shb365.com，是溫州甌派文化藝術(shù)有限公司所屬的書畫藝術(shù)品線上平交易的平臺(tái)。2016年9月起該公司將書畫藝術(shù)品拆分為以平尺為單位在“書畫寶”平臺(tái)上進(jìn)行交易，并將一名或多名藝術(shù)家作品打造成一個(gè)藝術(shù)包，如“秦風(fēng)奇緣”作品，由10名藝術(shù)家的書法作品打包而成，以統(tǒng)一價(jià)格對(duì)外“銷售”。截止到案發(fā)，共有40個(gè)藝術(shù)包發(fā)到網(wǎng)上進(jìn)行交易，每個(gè)藝術(shù)包發(fā)行時(shí)總價(jià)3000萬到5000萬人民幣，到案發(fā)時(shí)總價(jià)漲了幾倍甚至10多倍，藝術(shù)包的作品預(yù)設(shè)數(shù)量從6000到20萬平尺不等。公司操控藝術(shù)包使其價(jià)格不斷上漲，公司為了誘導(dǎo)公眾投資購買：一是在網(wǎng)站上虛構(gòu)夸大藝術(shù)家名頭，多數(shù)藝術(shù)家冠以“中國(guó)藝術(shù)研究院”、“中華書畫家協(xié)會(huì)”、“中國(guó)古體詩詞學(xué)家”等中國(guó)或中華帶頭的山寨機(jī)構(gòu)或協(xié)會(huì)組織；二是在發(fā)行時(shí)利用重金獎(jiǎng)勵(lì)提成模式，金字塔式發(fā)展會(huì)員；三是通過電視、網(wǎng)絡(luò)等平臺(tái)，大量宣傳藝術(shù)包購買具有“零風(fēng)險(xiǎn)”、“保增值”以及許諾公司具有“回購”且“高效變現(xiàn)”能力?！皶媽殹逼脚_(tái)以非法集資被立案?jìng)刹椋脚_(tái)注冊(cè)并充值交易的用戶近6萬人，涉及實(shí)際投資資金13.4億元人民幣，受害人主要分布在浙江、廣東等地。

2 電子數(shù)據(jù)建模取證具體思路

2.1 電子數(shù)據(jù)建模取證背景

2017年5月份，在該公司資金難以為繼之時(shí)，公司負(fù)責(zé)人對(duì)涉案的賬單進(jìn)行銷毀，關(guān)鍵人員如財(cái)務(wù)出納等經(jīng)常變更，甚至指令技術(shù)人員對(duì)服務(wù)器的交易的數(shù)據(jù)進(jìn)行修改、刪除。該公司經(jīng)營(yíng)表面上看是一家正常的互聯(lián)網(wǎng)文化創(chuàng)新經(jīng)營(yíng)企業(yè)，案發(fā)后，先期由文化部門介入后移交公安部門，案件偵辦了三個(gè)多月，主要犯罪嫌疑人史某還在做無罪供述，公司其他副總等核心人員有的逃往國(guó)外，后來陸續(xù)抓獲了公司大多數(shù)核心人員，他們的年薪從幾十萬元人民幣到一千多萬，早已制定攻守同盟，在關(guān)鍵地方要么不交代、要么交代了還會(huì)翻供，案件到了舉步維艱的程度，該公司如何利用藝術(shù)品來非法吸收公眾存款過程還是個(gè)謎，因此非常需要客觀的電子數(shù)據(jù)來還原情況的真相。

該公司有5臺(tái)服務(wù)器，主要數(shù)據(jù)在2臺(tái)網(wǎng)站服務(wù)器與1臺(tái)數(shù)據(jù)庫服務(wù)器上，數(shù)據(jù)庫有112張表2000多萬的數(shù)據(jù)記錄，最大的表有120多萬條記錄，如何提取海量數(shù)據(jù)庫的關(guān)鍵電子證據(jù)，即提供更精準(zhǔn)的結(jié)論性數(shù)據(jù)證據(jù)，還原該公司線上藝術(shù)品交易過程中的非法行為，挖掘出隱含在數(shù)據(jù)中的反映犯罪嫌疑人主觀故意關(guān)鍵證據(jù)。

2.2 電子數(shù)據(jù)建模取證思路

電子數(shù)據(jù)建模取證的做法，勘驗(yàn)人員改變傳統(tǒng)取證思想，利用嚴(yán)密的偵查思維，在跨平臺(tái)（網(wǎng)站及數(shù)據(jù)庫）海量數(shù)據(jù)中，組合篩選不同維度的數(shù)據(jù)，對(duì)40個(gè)藝術(shù)包進(jìn)行建模取證，每個(gè)維度需要的數(shù)據(jù)，從相應(yīng)數(shù)據(jù)庫對(duì)應(yīng)的表（或多表）中通過查詢、分析與統(tǒng)計(jì)（附數(shù)據(jù)庫操作的SQL語句）操作得到相應(yīng)的數(shù)據(jù)；為了電子數(shù)據(jù)取證模型優(yōu)化，對(duì)模型用歸納演繹法進(jìn)行多次修改，從公司操控個(gè)別藝術(shù)包特征再推廣到其線上發(fā)行的所有藝術(shù)包共性，再根據(jù)模型逐個(gè)對(duì)藝術(shù)包進(jìn)行電子數(shù)據(jù)取證，目的是挖掘出淹沒在大數(shù)據(jù)中犯罪嫌疑人主觀故意的證據(jù)，達(dá)到讓數(shù)據(jù)說話，即提取相應(yīng)的數(shù)據(jù)固定印證犯罪嫌疑人集資詐騙的主觀故意。這與平常電子數(shù)據(jù)取證恢復(fù)提取、固定分析過程完全不同，勘驗(yàn)人員也是在對(duì)前期數(shù)據(jù)刪除恢復(fù)的基礎(chǔ)上，重構(gòu)網(wǎng)站和數(shù)據(jù)庫服務(wù)器，以每個(gè)藝術(shù)包為單位，電子數(shù)據(jù)取證人員對(duì)40個(gè)藝術(shù)包逐一電子數(shù)據(jù)取證，每個(gè)藝術(shù)包的電子數(shù)據(jù)取證內(nèi)容跨越網(wǎng)頁服務(wù)器與數(shù)據(jù)庫服務(wù)器。

本模型分五個(gè)維度14個(gè)小項(xiàng)，即從藝術(shù)包發(fā)行相關(guān)宣傳、原始藝術(shù)包銷售模式、公司涉嫌操控藝術(shù)包、線上交易數(shù)據(jù)、金字塔式發(fā)展會(huì)員及分紅等項(xiàng)目進(jìn)行皰丁解牛式電子數(shù)據(jù)取證，適用于藝術(shù)包發(fā)行的早、中、后期的取證，對(duì)每個(gè)藝術(shù)包逐項(xiàng)分析，提取相應(yīng)的數(shù)據(jù)固定犯罪嫌疑人集資詐騙主觀故意。即固定了平臺(tái)上涉嫌詐騙的詳細(xì)內(nèi)容、還原了詐騙是如何操控的，以及線上線下沒有互動(dòng)、公司參與藝術(shù)包操控買賣等，對(duì)主要犯罪嫌疑人自認(rèn)為是藝術(shù)作品交易的創(chuàng)新，電子數(shù)據(jù)取證結(jié)論起到關(guān)鍵客觀證據(jù)的作用，真正體現(xiàn)電子數(shù)據(jù)證據(jù)之王的威力。

2.3 電子數(shù)據(jù)建模取證部分內(nèi)容列舉

對(duì)藝術(shù)包的電子數(shù)據(jù)取證建模，從藝術(shù)包發(fā)行相關(guān)宣傳、原始藝術(shù)包銷售模式、公司涉嫌操控藝術(shù)包、線上交易數(shù)據(jù)、金字塔式發(fā)展會(huì)員及分紅等五個(gè)維度14個(gè)小項(xiàng)組成，本文對(duì)“原始藝術(shù)包銷售模式”維度列舉，其由3個(gè)小項(xiàng)組成，即藝術(shù)包從認(rèn)購、搶購、直購三個(gè)階段：哪些人認(rèn)購了原始藝術(shù)包，大多數(shù)是公司自己擁有的賬號(hào)，公司自己擁有占比多少；哪些人搶購到原始藝術(shù)包，占比多少；直購贈(zèng)送的原始藝術(shù)包有多少，哪些人得到利益輸送等。以“秦風(fēng)奇緣”藝術(shù)包為例，結(jié)合公告、網(wǎng)站數(shù)據(jù)庫數(shù)據(jù)，對(duì)“秦風(fēng)奇緣”藝術(shù)包進(jìn)行分析，該藝術(shù)包于2017年03月21日完成內(nèi)部認(rèn)購、公開認(rèn)購（搶購）、直接購買等過程，該藝術(shù)包公告公示藝術(shù)包總量為145000平尺，經(jīng)數(shù)據(jù)庫查詢實(shí)際發(fā)行量為200002.5平尺，藝術(shù)包銷售價(jià)格為每平尺200元人民幣。公告顯示2017年3月13日到3月19日18：00期間完成內(nèi)部認(rèn)購，經(jīng)數(shù)據(jù)查詢實(shí)際上是到3月19日19：00前完成內(nèi)部認(rèn)購，該藝術(shù)包有1527個(gè)賬號(hào)參與認(rèn)購，共認(rèn)購125728.5平尺；公告顯示2017年3月21日19：00-22：00之間為公開認(rèn)購時(shí)間，經(jīng)數(shù)據(jù)查詢事實(shí)上是3月21日19：00-19：03完成公開認(rèn)購，共有107個(gè)賬號(hào)參與認(rèn)購，共購得4440平尺，與公告上公開認(rèn)購數(shù)據(jù)為25000平尺相差較大；該藝術(shù)包在經(jīng)過內(nèi)部認(rèn)購、公開認(rèn)購后，剩余的大量藝術(shù)包被直接分配，這里稱為直接購買，直接購買公告上沒有公開顯示，該藝術(shù)包共有3條直購記錄，共購得藝術(shù)包69834平尺，其中公司內(nèi)部賬號(hào)“書畫寶”直購數(shù)量為69612尺，占整個(gè)藝術(shù)包34.8%。該藝術(shù)包上線流通時(shí)間為2017年03月22日。藝術(shù)包的電子數(shù)據(jù)取證報(bào)告，給專案?jìng)刹椤徲嵠鸬搅私议_謎團(tuán)、統(tǒng)一方向的作用。

3 電子數(shù)據(jù)建模取證理論依據(jù)

隨著涉網(wǎng)案件占比越來越高，涉案的服務(wù)器越來越多，如何提取海量數(shù)據(jù)中的涉網(wǎng)線索與證據(jù)，以及什么是電子數(shù)據(jù)取證偵查思維引起了人們的討論。

關(guān)于電子取證，我國(guó)學(xué)術(shù)界存在廣狹義兩種觀點(diǎn)。狹義說將電子取證與“ComputerForensics”等同起來。如有人認(rèn)為電子取證，是“將計(jì)算機(jī)系統(tǒng)視為犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的技術(shù)工具，按照規(guī)程全面檢查計(jì)算機(jī)系統(tǒng)，提取、保護(hù)并分析與計(jì)算機(jī)犯罪相關(guān)的證據(jù)，以期據(jù)此發(fā)起訴訟”。取證的過程主要包括勘查現(xiàn)場(chǎng)、獲取數(shù)據(jù)、分析數(shù)據(jù)、追蹤源頭、提交結(jié)果等。也有人認(rèn)為，電子取證“也稱計(jì)算機(jī)法醫(yī)學(xué)，它是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟。也就是針對(duì)計(jì)算機(jī)入侵與犯罪，進(jìn)行證據(jù)獲取、保存、分析和出示。廣義說則認(rèn)為電子取證包括但不限于特殊的技術(shù)手段。

事實(shí)上，電子取證廣狹義兩種觀點(diǎn)都有分析偵查思維的過程，而且公安部門的電子數(shù)據(jù)取證分析實(shí)驗(yàn)室有別于社會(huì)的鑒定機(jī)構(gòu)，主要工作是發(fā)現(xiàn)有罪與無罪的證據(jù)，而不是鑒定?！半娮訑?shù)據(jù)取證”是從事網(wǎng)絡(luò)安全保衛(wèi)部門網(wǎng)絡(luò)犯罪偵查和電子數(shù)據(jù)檢驗(yàn)分析工作的基本技能，也是配合其他警種進(jìn)行案件查破提供相應(yīng)技術(shù)支持的基礎(chǔ)條件。從能力需求的角度看，網(wǎng)安勘驗(yàn)人員身份是公安民警，業(yè)務(wù)領(lǐng)域是打擊犯罪服務(wù)，所以“電子數(shù)據(jù)取證”工作不同于社會(huì)司法鑒定機(jī)構(gòu)的獨(dú)立第三方鑒定行為，而是趨同于傳統(tǒng)刑事技術(shù)民警的“協(xié)同配合偵查破案”，建模取證是對(duì)電子數(shù)據(jù)取證人員在偵察思路基礎(chǔ)上更上一層的能力要求。

4 建模取證實(shí)踐以及檢法建議

本案電子數(shù)據(jù)取證人員作為勘驗(yàn)人員，在法庭上出庭應(yīng)訴，接受審判人員以及30多名律師就電子數(shù)據(jù)真實(shí)性、合法性、關(guān)聯(lián)性的犀利質(zhì)詢，得益于電子數(shù)據(jù)取證思路嚴(yán)密，電子數(shù)據(jù)筆錄環(huán)環(huán)相扣，經(jīng)得起律師的質(zhì)詢考驗(yàn)，該筆錄的質(zhì)量受到檢察院、法院辦案同志高度認(rèn)可。

4.1 電子數(shù)據(jù)取證筆錄可讀性好

對(duì)藝術(shù)包建模取證，建模提綱設(shè)置非常關(guān)鍵。本案藝術(shù)包上線交易分早、中、晚期三個(gè)階段，特別是晚期上線的藝術(shù)包，非法吸收公共資金存款形式越來越隱蔽，因此本建模提綱著重從藝術(shù)包發(fā)行相關(guān)宣傳、原始藝術(shù)包銷售模式、公司涉嫌操控藝術(shù)包、線上交易數(shù)據(jù)、金字塔式發(fā)展會(huì)員及分紅等五個(gè)維度14個(gè)小項(xiàng)進(jìn)行取證，每一小項(xiàng)內(nèi)容用公司網(wǎng)站發(fā)布的信息及數(shù)據(jù)庫記錄的信息來印證，統(tǒng)一性強(qiáng)，查看40個(gè)藝術(shù)包電子數(shù)據(jù)取證筆錄與查看1個(gè)藝術(shù)包電子數(shù)據(jù)取證筆錄相似，可讀性強(qiáng)。大型專案涉案材料多、材料堆積比樓層還高，材料可讀性強(qiáng)，關(guān)鍵證據(jù)容易被檢法辦案人員吸收，證據(jù)效率會(huì)極大提高，得到檢法辦案同志充分肯定。

4.2 提煉挖掘海量數(shù)據(jù)信息齊全

海量數(shù)據(jù)因信息量大，價(jià)值密度相對(duì)低下，挖掘數(shù)據(jù)信息是否齊全是建模成敗的一個(gè)標(biāo)志。對(duì)于跨網(wǎng)站、跨數(shù)據(jù)庫多平臺(tái)的取證，平常電子數(shù)據(jù)取證工作是恢復(fù)、固定提取數(shù)據(jù)，再搭建服務(wù)器環(huán)境，供經(jīng)辦單位試用，但數(shù)據(jù)量越大，經(jīng)辦單位往往以沒有專業(yè)人員，對(duì)數(shù)據(jù)有效時(shí)使用能力相對(duì)不足為由，要求電子數(shù)據(jù)取證人員來做專業(yè)分析，因此勘驗(yàn)人員面臨海量電子數(shù)據(jù)取證分析的業(yè)務(wù)需要。另一方面，大型的案件往往是專案，主要局領(lǐng)導(dǎo)是專案的負(fù)責(zé)人，網(wǎng)安也是專案的成員，網(wǎng)安人員能力好壞，直接影響到局領(lǐng)導(dǎo)對(duì)網(wǎng)安警種的認(rèn)可，因此網(wǎng)安勘驗(yàn)人員面臨專案貢獻(xiàn)的業(yè)務(wù)需求。海量數(shù)據(jù)取證分析能力，是今后網(wǎng)安必備的能力之一，本專案的電子數(shù)據(jù)取證工作，海量數(shù)據(jù)挖掘的信息齊全，得到檢察院辦案同志充分肯定，他們稱其起訴書犯罪事實(shí)部分是以建模的電子數(shù)據(jù)取證筆錄為模板。

4.3 數(shù)據(jù)分析與統(tǒng)計(jì)可回溯性強(qiáng)

所有的分析與統(tǒng)計(jì)的數(shù)據(jù)，都標(biāo)明來自那張數(shù)據(jù)庫的表（或那幾張表），并將結(jié)果導(dǎo)出到相應(yīng)的表格，并附相應(yīng)的SQL查詢語句，可回溯性強(qiáng)。如藝術(shù)包“秦風(fēng)奇緣”內(nèi)部認(rèn)購，內(nèi)部認(rèn)購在數(shù)據(jù)庫的來源是op_member_wallet_log表，該記錄了用戶的充值、交易、提現(xiàn)等所有資金相關(guān)，標(biāo)題為'藝術(shù)創(chuàng)客買入'，op_id字段中包含“32”代表了秦風(fēng)奇緣藝術(shù)包；op_member表保存用戶的注冊(cè)信息。根據(jù)公告日期將時(shí)間設(shè)置為2017-3-21 19:00之前。語句實(shí)現(xiàn)如下：

select p2.`username`，p2.`realname`，p1.member_id，p1.pay，p1.balance，p1.content， FROM_UNIXTIME（p1.create_time） FROM `op_member_wallet_log` p1 LEFT JOIN op_member p2 ON p1.`member_id`=p2.id WHERE p1.title='藝術(shù)創(chuàng)客買入' AND SUBSTRING_INDEX（p1.op_id，'_'，1）=32 AND p1.create_time < UNIX_TIMESTAMP（'2017-3-21 19：00'）

查詢得到相應(yīng)數(shù)據(jù)并導(dǎo)出到“2.1秦風(fēng)奇緣直購情況.xlsx”，檢法人員不需要太多的專業(yè)知識(shí)就可對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的回溯。

4.4 內(nèi)容表述盡量中性客觀

標(biāo)題里用到“涉嫌”兩字，如“公司涉嫌操控藝術(shù)包”能不能去掉涉嫌二字，這也是檢察院辦案同時(shí)提出的唯一“批評(píng)”意見。要求維度與小項(xiàng)標(biāo)題用詞盡量中性，他們對(duì)內(nèi)容描述來自查詢、分析、統(tǒng)計(jì)等嚴(yán)謹(jǐn)操作產(chǎn)生的數(shù)據(jù)結(jié)論，表述也是非常認(rèn)可?？彬?yàn)筆錄內(nèi)容特別多，需要有大小標(biāo)題來表述時(shí)，經(jīng)與檢法辦案同志探討，可以用“存在什么情況”來替換，如“公司涉嫌操控藝術(shù)包”，可用“公司發(fā)行藝術(shù)包方面的情況”?？彬?yàn)筆錄內(nèi)容表述，也會(huì)是電子數(shù)據(jù)勘驗(yàn)人員出庭應(yīng)訴面臨的另一項(xiàng)內(nèi)容。

[1]周新. 刑事電子證據(jù)認(rèn)證規(guī)范之研究[J]. 法學(xué)評(píng)論，2017（6））：158-166.

[2]李玲俐.網(wǎng)絡(luò)犯罪下電子取證技術(shù)研究與探索[J].智能計(jì)算機(jī)與應(yīng)用，2020，10（02）：151-153.

[3]丁麗萍，劉雪花. 云環(huán)境下的電子數(shù)據(jù)取證技術(shù)研究[J]. 中國(guó)信息安全，2019（5）：61-62.

[4]蒲泓全，郭艷芬，衛(wèi)邦國(guó). 電子取證應(yīng)用研究綜述[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用，2019，28（1）：10-16.

[5]劉品新.電子取證的法律規(guī)制[J].法學(xué)家，2010（03）：73-82+178.