编者按电子数据是案件发生过程中形成的以数字化形式存储、处理、传输,能够证明案件事实的数据,借助计算机技术对电子数据进行获取、分析、鉴定,便是电子数据取证。在具体办案过程中,检察技术人员在协助检察官审查证据、开展自行补充侦查时,充分发挥专业优势,有效解决专门性问题,为完善证据链条、查明案件事实起着关键作用。本期智慧检务聚焦如何通过电子取证技术获取关键性证据,为司法办案提供技术支持,敬请关注。
研判电子数据破解“犯罪密码”
重庆:“神秘”技术团队找准案件突破口
重庆市检察院第五分院电子取证团队对手机数据进行专业分析。
让被删除的手机短信揭开案件真相,让被恢复的电脑硬盘还原犯罪记录、揪出幕后黑手……随着信息网络技术的迅速发展,电脑、手机等电子设备已成为与社会生活密不可分的工具,所记录的电子数据也成为常见的证据形式,频繁地出现在刑事、民事、公益诉讼等各类案件中。
在重庆市检察院第五分院检察业务保障部,有一个“神秘”的团队:四名清一色的理工技术男,常年与各类电子设备打交道,通过特定的技术手段,能让电子数据发挥关键作用。他们就是电子取证团队。
他们有着什么鲜为人知的故事呢?让我们一起走进电子取证团队的日常。
走近电子数据:“沉默的现场知情人”
在摆满了各种高端精密仪器设备的电子数据实验室里,身着白色防尘服,一双双眼睛注视着面前的电脑屏幕……
电子取证团队负责人刁文韬和同事不停地“扫描”着电子数据。在他们面前的各种手机接口多达几十种,这些设备就是该团队平时工作时随时要用到的“工具”。
“无处不在的电子设备时刻默默地记录着各种各样的痕迹,电子数据就是‘沉默的现场知情人’。”刁文韬说,由于电子设备形成的数据库能够勾勒出使用人的生活习惯和轨迹,电子取证团队要做的工作就是对其中所掌握的各种数据进行侦查、解读和鉴定,为破解疑难、复杂的案件找准突破口,为案件成功办理提供技术支撑。
在他看来,成功提取到犯罪嫌疑人手机里存有的通话记录、往来短信、银行转账记录等信息,就有可能补足证据链条的关键部分,从而有效证明犯罪事实的发生。
提取手机信息:攻破“零口供”贩毒案
原以为“零口供”就能逃避法律制裁,不料,这样的“美梦”却被电子取证团队击碎。
2019年3月,在一起重大运输贩卖**犯罪案件中,犯罪嫌疑人李某拒不交代任何与案件有关的问题。面对证据匮乏的情况,还原案件事实的希望寄托在李某随身携带的三部手机中。
“既然无法从犯罪嫌疑人处得到口供,我们就从电子证据入手。”刁文韬回忆,电子取证团队接受公诉部门委托,对涉案手机进行技术性证据审查。他们利用技术手段花费10天时间从多部手机中提取出几十万条记录,将“碎片化”的电子数据进行整理。
“从数据到信息,这是一个归集、收敛、提炼的过程,我们要实现的是从虚拟空间事件到现实空间事件的映射。”刁文韬说。同时,该团队还邀请办案检察官走进实验室针对案情进行研讨,将李某和同伙的聊天记录、行踪轨迹、被抓获地点等信息,与案发地调取的监控录像进行综合比对分析,梳理时间线,精准地将李某贩毒的蛛丝马迹一一剥离出来。最终,承办检察官根据团队所作出的电子数据检验报告,将全案证据梳理成完整的证据链。
最终,该案相关客观性证据都被法庭采信,李某被判处无期徒刑。
找准切入口:为出庭公诉提供技术支撑
近年来,网络犯罪日趋多发,犯罪分子的作案手段越来越专业化、隐蔽化,这也给电子取证团队的工作带来了新的挑战。
在一起涉及计算机网络的新型刑事犯罪案件中,2015年至2016年底,余某等3人研发了一款A软件在网上进行售卖。不法分子通过安装该软件,可修改手机硬件参数,将当前手机模拟成另外一部手机,从而突破互联网平台安全机制,隐藏真实身份信息,从而实施犯罪。
“A软件被广泛用于网络黄毒、诈骗等犯罪领域。而余某等人明知后果,为谋利仍继续在网上销售,之后因被举报而案发。”刁文韬介绍说。
由于案件涉及大量电子证据和计算机网络技术专业知识,且犯罪嫌疑人的辩护人以技术中立、不具备主观故意等为由提出无罪辩护意见……种种原因致使该案在办理初期一度陷入困境,承办检察官急需得到专业支持。
“这不是普通的计算机软件,首先要解决它的功能定位这一关键问题,同时,要判断嫌疑人是否存在主观故意,才能解决罪与非罪的问题。”刁文韬提出的突破案件切入口,得到了承办检察官的认可。
在接下来几个月里,电子取证团队就该案电子数据来源等提出了补充侦查建议,均被采纳,并从海量电子数据中发现了相关记录信息对嫌疑人的主观“明知”进行了充分佐证。
在认定涉案软件功能的关键问题上,团队通过审查鉴定文书、犯罪嫌疑人供述,查阅相关法律法规,对所有技术细节反复进行推敲。“从现有证据能够确定,A软件具有避开或者突破计算机信息系统安全保护措施并对计算机信息系统实施控制的功能,应当认定为‘专门用于侵入、非法控制计算机信息系统的程序、工具’。”最终,该团队论证出的这一意见对定案起到了关键性作用。
2020年6月16日,检察机关对余某等3人以涉嫌提供侵入、非法控制计算机信息系统程序、工具罪提起公诉。庭审前,该团队对辩护意见中的技术细节进行一一梳理,对庭审中可能涉及的技术性问题进行精心准备,为检察官出庭公诉提供了精准的技术支持,刁文韬还作为具有专门知识的人出庭作证。2020年12月,法院判处被告人余某有期徒刑三年六个月,其余被告人均被判处有期徒刑缓刑,并追缴被告人违法所得500余万元。
深度融合:精准服务“四大检察”
从最初的数据提取、固定、恢复到目前已具备电子数据真实性检验、App功能检验、云服务仿真重建,电子取证团队的发展变化一年一个样。
近年来,该团队先后完成50余件电子证据鉴定和200余件技术性证据审查,所完成鉴定和审查的数量、质量均走在全市前列,涌现出1名“全国检察机关电子数据取证业务能手”,1名重庆市检察业务专家,3名重庆检察技术信息人才,4人拿到最高检颁发的电子证据鉴定人资格证书。
除此之外,作为技术支撑的电子证据工作也开始逐步涉猎到检察公益诉讼等更多的新领域。2019年该团队通过对一款手机App的功能进行鉴定成功证明其非法获取公民个人信息,最终检察机关向相关监管部门送达了检察建议书。
“科技发展日新月异,涉及网络、电子数据等专门性知识的案件越来越多,我们提供的技术服务在办案中日益显现。”重庆市检察院第五分院检察业务保障部主任何兵说,下一步,电子取证团队将继续致力于推进检察技术与业务办案的深度融合,以敢为天下先的勇气和担当,在服务“四大检察”中发挥更大作用。
(本报记者李立峰 通讯员张博 彭静 蔡阳)
发挥取证优势让数据“开口说话”
山东乐陵:电子数据实验室与办案部门无缝衔接
山东省乐陵市检察院技术人员在进行电子介质数据检验。
一个QQ号锁定互联网另一端的幕后黑手,一条已删除的手机短信揪出贪官巨腐,一个SIM卡还原所有犯罪记录……这些听起来只在影视剧中上演的情节,真实地发生在山东省乐陵市检察院司法鉴定实验室。通过对犯罪嫌疑人的电子设备还原分析,把大数据上传云端进行综合分析研判,让电子证据“开口说话”,使犯罪分子无处可藏,乐陵市检察院司法鉴定(电子数据)实验室已成为打击作案手法越来越隐蔽化、智能化的犯罪分子的“利器”。
“为充分提升司法办案质效,坚持向现代科技要战斗力,我们大力实施‘科技强检’战略,持续深化检察信息化建设,为检察工作创新发展插上了‘金翅膀’。”乐陵市检察院检察长贾维力说。据介绍,该院由数据预检区、电子介质数据检验区、介质储存区、案件讨论区和实验室机房组成的司法鉴定(电子数据)实验室,率先在国内使用分布式取证系统进行电子数据的恢复提取,对涉案信息进行综合分析研判,是山东省基层检察院中唯一按照国家二类司法鉴定标准建设的电子数据实验室。
为确保该实验室获取的电子证据合法有效,该院不断创新工作机制,探索创建“技术侦查联动”工作制度,实现实验室与办案部门无缝衔接、职能联动。办案部门需要技术人员协助时,由办案人员报请检察长批准并填报《电子证据调取种类单》,实验室随后介入案件,依托SL-200实验室管理平台,全程记录证据的获取、移送和检验过程,利用多种电子取证设备,提取、恢复、固定和分析涉案电子数据,确保提取的涉案证据具备法律效力。生成检验报告后,实验室会对全部数据进行针对性筛选分类,并以技术侦查建议的形式交与办案部门。
2019年,德州市公安局在侦查一起涉黑案件中获知,时任看守所狱医的赵某利用职务之便,通过手机短信联系的方式,帮助看守所在押人员向外传递信息,使多名犯罪嫌疑人逃避刑事处罚,并借机收取报酬。
侦查机关将这一线索移交检察院。检察官在办案中发现,犯罪嫌疑人赵某具备一定的反侦查能力,所购买的涉案手机是“山寨”品牌,手机卡是假名字,收发的涉案信息随收发随删除,且拒不交代犯罪事实。由于该案证据无法形成证据链,不能直接指证赵某有犯罪行为,案件一度陷入僵局。办案检察官于是委托乐陵市司法鉴定实验室作技术鉴定,通过电子取证设备成功恢复提取出有效电子数据15条。围绕这15条涉案电子数据信息,办案人员进行延伸证据收集,最终将该犯罪嫌疑人以涉嫌帮助犯罪分子逃避刑事处罚罪移交公诉部门。
在另一起乐陵市公安机关侦查的制毒贩毒案件中,犯罪嫌疑人蔡某同样拒不认罪,并且没有其他证据可以认定。由于案情重大,公安机关将蔡某的三部手机送交乐陵市检察院司法鉴定实验室,实验室干警用了一上午时间,就通过技术手段将三部手机的手机数据、SIM卡数据和内存卡数据完全提取出来。办案人员以此迅速抓捕了6名犯罪嫌疑人,一起制毒贩毒窝案成功告破。
目前,该实验室的电子数据取证服务对象已覆盖检察、公安等多个部门,取证范围遍及手机、电脑中的通信记录、各类文件文档及网络平台等多个领域。该实验室自运行以来,已协助德州检察机关、公安机关等办理案件65件、提取涉案电子数据146次,出具各类电子物证鉴定意见书、电子数据检验报告390余份,被法院作为关键证据采用28次。办理了山东省检察系统首例污损文件检验案件、德州检察系统第一件印章印文鉴定案件及全省首例电子物证鉴定人员出庭公诉的案件。该实验室在及时固定犯罪证据、打击犯罪方面发挥了重要作用。
(本报记者卢金增 通讯员高忠祥 崔海勃)
深挖数据辨明真假借款
张鹏
广东省广州市黄埔区检察院电子证据团队正在研究李某盗窃、信用卡诈骗案取证方案。
【案情】
2019年7月,黄某报警称,与其合租的同学李某利用他的手机卡,盗走其微信账户及银行卡内资金,同时还以他的名义注册第三方支付账户并冒用他的身份绑定银行卡,将从某网络平台获得的借款转走,占为己有。该案件涉及盗窃6次,涉案金额人民币36607元。另,李某冒用黄某名义分别从17个网贷平台借款的涉案金额合计人民币.2元,其间,李某退还涉案款项合计人民币6237.98元。
【案件难点】
李某在侦查阶段共作7次供述,均稳定供述自己在2019年3月、4月间通过使用黄某的网络注册账号,向诸多网络借贷平台进行借款,同时还有从黄某信用卡中将钱转出的行为。李某起初对其行为供认,但在后续侦查阶段翻供。在审查起诉阶段第一次供述中,李某表示其没有盗窃行为,均是经过黄某同意的。案件涉及网银、支付宝以及众多网贷平台,调取的网贷平台数据显示注册的身份证、手机号码甚至人脸识别都是黄某。案件属于熟人作案,事实的认定存在一定难度。黄某对贷款、转账行为是否知情?究竟谁才是真正的贷款人?
【取证过程】
犯罪嫌疑人李某对犯罪事实予以否认后,检察官重新梳理证据材料,发现原有手机电子数据检验报告,数据有限,无法确定李某的行为黄某是否事前知悉或授权。随后,承办检察官委托检察机关技术部门重新对犯罪嫌疑人李某涉案的两部手机进行全方面的数据提取和恢复。受理案件后,通过与承办检察官深入沟通,技术人员了解到借贷平台还牵涉到被害人的身份信息,建议对黄某手机一同进行电子数据提取并尽可能对检材中的微信、支付宝账号转账记录进行提取。同时调取借贷平台的注册信息、借款信息。
在确定取证方向后,技术人员制定两套取证方案。首先,技术人员通过取证软件Agent方式对嫌疑人一部手机内数据进行提取和恢复,但该款手机不具备应用程序备份功能,无法提取应用App数据。于是,采用备选方案利用手机版本特征,采用高级ADB模式对手机进行破解,在用户数据分区开发模式下进行无损物理镜像下载,获取镜像大小:字节,并恢复提取和恢复记录条。然后,除对另一手机进行常规取证外,还结合芯片特征,运用9008端口模式对手机进行无损不开机物理镜像模式下载,获取镜像大小:字节,并运用深度恢复技术提取和恢复记录条。最后,对被害人手机进行提取和恢复,获取条数据。对于存在云端的微信、支付宝转账记录数据,采取云勘方式进行取证,并成功获取到手机账号上支付宝的用户信息、银行卡信息、回收站信息等数据。同时,还获取了嫌疑人删除的交易记录,共出具司法鉴定报告4份,完善了证据数据。
如何在多份银行流水、十几个借贷平台数据和三部手机电子数据中快速发现案件关联数据?技术人员通过数据对比分析出,两人的身份、行为、时间和地址的关联性,再具体从资金流向、时间、位置、内容等多个维度进行分析。比如,从借贷平台身份注册信息、登录设备信息、人脸识别影像、申请记录、转账时间等,比对涉案时间李某和黄某的位置轨迹、行为记录。本案中技术人员匹配到李某手机送外卖App的订单数据,有资金流动的那段时间有出现在银行的ATM附近和手机上拍摄的图片位置信息相吻合。通过侦查机关调取ATM附近的监控视频也同样拍摄到了李某,而相同时间段里黄某的手机数据显示其正在和朋友一起吃饭,这些比对信息对案件事实的认定提供了重要的数据支撑。
通过检察技术人员补充上述证据后,检察官重新提审嫌疑人,面对这些客观数据,嫌疑人最终彻底供认并自愿认罪认罚。
【案件效果】
法院最终认定被告人李某构成盗窃罪、信用卡诈骗罪,判处有期徒刑六年,并处罚金人民币6.5万元,责令其退赔被害人黄某人民币.22元。
(作者单位:广东省广州市黄埔区人民检察院)
“技术助攻”令犯罪痕迹无处遁形
申诗溢 马心茹
江苏省昆山市检察院技术人员正在对涉案手机进行图片提取。
“这起案件被告人的微信聊天记录都被清理了,没有这些图片,证据不够直观、略显单薄,你们想想办法吧。”江苏省昆山市检察院技术人员经常收到此类求助信息。
在信息通讯工具日益智能、多元的趋势下,违法犯罪分子也“搭上信息便车”,许多直接且关键证据的获取需要技术支持,这给案件审查工作带来新的挑战。近年来,昆山市检察院技术人员通过专业软件和方法,积极探索“技术+办案”新模式。
在办理李某等人伪造国家机关证件一案中,在审查李某微信聊天记录时,办案检察官发现其微信聊天记录中有这样的对话:“做个资料”“结婚证持证人女方,发证地址男方地址对吧?”“只要做一页户口纸是吗,一页户口纸和一本结婚证要130块钱的”……通过这些对话,办案检察官怀疑另有其他人员参与了伪造假证,但是与对话同步发送的图片已无法下载,这影响了检察官的内心确信。随后,检察官找到该院的检察技术人员。
技术人员对涉案手机进行数据分析后发现:2018年7月至2019年3月期间,李某与微信昵称“淡薄人生”商谈制作户口本、结婚证、离婚证等,但涉及“持证人”“身份证号”和“发证单位”的具体信息均未直接谈及,而是由李某通过照片发送。但是,李某清理过微信缓存文件,造成照片无法预览和下载的障碍。随着技术人员和检察官进一步梳理案情细节后发现,李某曾从事房产中介工作,便大胆推测其手机中应存有身份证、户口簿等证件照。于是,技术人员对手机中所有照片进行排查,考虑到手机一般根据拍摄时间生成文件名,就通过文件名与微信记录进行逐一比对,最终发现3张户口簿、结婚证照片,与2018年7月30日、31日的微信聊天内容吻合;并且,技术人员提取了照片EXIF数据,经分析拍摄照片的手机型号、拍摄时间和照片的位置信息等内容,确定为李某手机拍摄。
有了上述一系列的恢复、研判等“技术助攻”,检察官确认了微信昵称“淡薄人生”就是李某的上家,促成检察官向公安机关移送立案监督线索,避免了更大的社会危害。
(作者单位:江苏省昆山市人民检察院)
(版式设计:吴美妘)