● 张志婧 李 鹏 郭树正/文

办案要旨

针对技术人员离职后通过转换IP地址远程侵入原公司服务器进而窃取客户数据的行为，可以调取作案电脑中的网络连接日志、连接的远程主机信息、USB设备插拔记录等电子数据，以及调取被害公司被侵入服务器的网络映射情况，证明行为人的设备与侵入被害单位服务器的关联性。应注意对电子数据“一证多审”，除了审查电子文档的内容，还应当解析电子文档的时间信息，结合计算机时钟的变化，认定从被害单位服务器上窃取的具体客户数据。

案情回顾

［基本案情］龚某某曾任北京赢某通软件技术有限公司（以下简称“赢某通公司”，经营地为北京市海淀区）的运维总监，后于2019年8月30日离职。龚某某离职后利用原公司最高技术权限，于2019年至2020年间，多次超越权限登录赢某通公司的服务器，下载存储在服务器中包含客户信息的电子文档数据，经统计涉案客户资料数据共计28万余组。2020年9月30日，龚某某被北京市公安局海淀分局民警抓获。

［办案过程］2020年10月1日，北京市公安局海淀分局以龚某某涉嫌破坏计算机信息系统罪向北京市海淀区人民检察院（以下简称“海淀区院”）提请批准逮捕。海淀区院经审查认为，龚某某的目的与行为均系获取赢某通公司的客户数据，且赢某通服务器的功能并未因龚某某的行为而损坏，赢某通公司保存的客户数据无法认定具体价值，亦不符合侵犯商业秘密罪立案标准，故改变定性以涉嫌侵犯公民个人信息罪对龚某某作出批准逮捕决定。2020年12月28日，北京市公安局海淀分局以龚某某涉嫌侵犯公民个人信息罪，向海淀区院移送审查起诉。2021年4月16日，海淀区院以龚某某犯侵犯公民个人信息罪向北京市海淀区人民法院提起公诉。

［办案结果］2022年2月15日，北京市海淀区人民法院作出判决，认定龚某某犯侵犯公民个人信息罪，判处有期徒刑4年3个月，并处罚金人民币4万元。

办案思考

本案是一起典型的技术人员离职后窃取公司数据的计算机类犯罪案件。龚某某系计算机专业出身，其采取技术手段转换IP地址侵入被害单位服务器窃取客户信息的行为具有高度的隐蔽性。侦查机关仅在其个人电脑上提取到公司的客户信息，但并未调取到非法侵入行为的直接证据，亦未能有效核实龚某某个人电脑中公司数据的来源情况，而龚某某到案后坚持主张该客户信息为离职前备份、离职后拷贝至个人笔记本电脑上的。面对“零口供”、无直接证据、关联证据弱等情况，检察机关依托电子数据审查室，通过吸纳具有专业技术背景的检察官助理作为数据审查员纳入办案组、邀请检察技术人员同步辅助审查等方法，从侵入行为、获取的数据信息以及辩解合理性三个维度开展自行补充侦查工作，自行提取、固定、分析关键电子数据，使得本案证据从只能证明行为人可能实施超越权限的登录行为，到构建完整证据链条，精准指控行为人实施了侵入计算机信息系统并非法获取28万余组公民个人信息数据的犯罪事实。

（一）通过自行补充侦查和技术性审查方法，证实行为人实施了“非法获取”行为

检察机关可以通过配备专业化技术辅助审查平台，吸收具有专业技术知识的检察官（助理）、检察技术人员纳入办案组，或委托检察技术人员开展同步辅助审查等手段，应对海量电子数据调查与审查带来的挑战。为了有效解决海量电子数据提取难、分析难等问题，检察机关可以调度系统内具有专业技术知识的人才参与办案，并配备先进的技术辅助设备，不断强化应对专业化犯罪及审查海量电子数据的核心能力，摆脱对侦查机关侦查活动及其他司法鉴定机构的路径依赖，破解专业性证据审查难题。

办理非法获取公民个人信息类犯罪案件时，承办人要注重收集、审查与“非法获取”直接相关的电子数据。本案中，公安机关委托的鉴定机构未能从龚某某的笔记本电脑中有效提取出远程网络连接数据，且龚某某使用的云服务器中的远程网络连接数据同赢某通公司提交的服务器IP地址不一致。经审查发现，赢某通公司报案时所提供的被侵入服务器IP地址均为内部局域网IP地址（以下简称“内网IP地址”），该IP地址需要经过映射、转换等操作后才能形成与互联网相连接的IP地址（以下简称“外网IP地址”）。龚某某实施远程侵入行为时，是通过访问赢某通公司服务器的外网IP地址，利用掌握的最高技术权限登录公司的堡垒机服务器（即公司内外网连接转换的总服务器），进而从互联网环境进入公司的局域网环境。因此，需要核实赢某通公司服务器与网络的映射关系，确定被侵入服务器的外网IP地址，进而审查龚某某作案使用的设备与被害单位服务器被侵入之间的关联性。

基于上述考虑，承办检察官随即联合检察技术人员开展了自行补充侦查工作：一方面，针对龚某某个人笔记本电脑中的存储介质，通过取证软件重新固定了该存储介质的“E01”镜像文件，重新提取、固定了该笔记本电脑的网络连接日志、连接的远程主机信息、USB设备插拔记录、客户信息数据文档等电子数据。另一方面，数据审查员协助检察官制发《调取证据通知书》，向赢某通公司调取被侵入服务器的网络映射关系与IP地址详单，建立起相关服务器内外网IP地址之间的有效关联。

在此基础上，检察机关针对龚某某笔记本电脑的镜像数据从系统层面、网络连接层面、数据层面进行了穿透式审查分析。一是利用系统仿真技术还原虚拟现场。在不破坏原始证据的情况下，通过镜像数据完整还原并运行了龚某某笔记本电脑的Windows操作系统。通过还原，发现了龚某某记录赢某通公司重要数据服务器的最高登录权限、解密权限等信息的文档，直接证明了其明知且能够超越权限登录赢某通公司服务器并解密加密文档。二是通过底层数据检索技术分析网络连接情况。将赢某通公司提供的服务器外网IP地址作为关键词，有针对性地从海量底层数据中快速发现了龚某某笔记本电脑登录赢某通服务器的网络连接数据等记录，直接证明了其笔记本电脑于2019年至2020年间持续远程连接赢某通公司的服务器。

（二）全面审查涉案电子文档的内容、生成时间及附属信息等数据，实现犯罪手段行为及目的行为的证据关联

面对拒不供认的被告人，检察机关应当建立以客观证据为核心的证明体系，注重审查电子数据的完整性、关联性，进而准确地认定案件事实，有效打击犯罪。在办理侵入计算机信息系统类犯罪案件时，要注意把握两个方面：一是因侵入行为往往伴随着后续获取信息等目的行为，承办检察官要注意行为人侵入后的目的，将“散点”的证据进行串联，建立手段行为与目的行为的关联性，进而实现完整评价犯罪行为和综合保护多重法益的效果；二是要注意完整地提取并审查电子数据，如被害单位服务器IP地址数据、作案IP地址同被害单位服务器IP地址的交互痕迹数据、作案设备名称数据、作案操作指令执行痕迹数据等电子数据，以及电子文档的附属信息等，使电子数据之间形成网状联系、相互印证。

对于侵入计算机信息系统非法获取公民个人信息的案件，应当证明侵入行为与非法获取公民个人信息的证据关联，并准确认定非法获取公民个人信息的数量。本案中，龚某某窃取的公民个人信息系以电子文档形式存储于赢某通服务器中，要建立起龚某某笔记本电脑中留存的电子文档同侵入赢某通服务器行为之间的关联性。涉案包含公民个人信息的电子文档均系Excel类型，而该类文档包含多个时间信息，包括“创建时间”“修改时间”以及附属信息（即属性的“详细信息”）等。“创建时间”系该文档首次在现存“位置”形成的计算机时钟时间，如果计算机时钟准确，则可以根据该时间信息判断文件是何时存储至现有位置，只是“创建时间”“修改时间”信息并不准确，该时间信息会随着文件的移动而变化。而电子文档的附属信息中存在“创建内容的时间”和“最后一次保存的日期”的时间信息，不会随着文件的移动而改变。［1］“创建内容的时间”是指电子文档首次编辑、存储而形成的计算机时钟时间，如果计算机时钟准确，可以据此判断文件的真实形成日期。“最后一次保存的日期”是指电子文档最后一次编辑保存的计算机时钟时间，如果计算机时钟准确，可以据此判断文件真实的最终保存日期。但上述所有的时间信息，均会因计算机时钟信息不准确而产生误差，从而影响对文档获取时间的判断。

对此，办案组及检察技术人员对涉案电子文档的内容信息与附属信息进行多层次综合分析审查。一是分析龚某某笔记本电脑内涉案电子文档形成的时间。该电脑系统日志按照正常时间序列排序，首先排除了计算机时钟紊乱的情况，可以认定涉案电子文档的“创建时间”是准确时间。涉案电子文档共有105份，逐一查看属性信息容易出现误差，数据审查员将涉案电子文档通过取证软件导出了相关文件时间信息的时间轴分析列表。经审查，涉案电子文档的“创建时间”均系龚某某离职后的时间，且“创建时间”能够同侵入日志形成直接对应关系与关联性，即电子文档系由侵入行为而生成。二是分析涉案电子文档的附属信息，大批文档“创建内容的时间”“最后一次保存的日期”均系龚某某离职后的时间，且“作者”“最后一次保存者”记录的均为赢某通公司电脑的信息，这证明了相关电子文档系龚某某离职后在赢某通公司原始形成。

通过对涉案电子文档的生成时间、附属信息等的全面审查，能够认定龚某某笔记本电脑中所有的涉案电子文档系从赢某通服务器窃取，建立了侵入行为与获取公民个人信息之间的关联性。经剔除重复数据，准确认定涉案电脑中的公民个人信息共计28万余组。

（三）通过综合性技术分析有力驳斥行为人的技术性辩解

网络科技类犯罪案件中，行为人多具有技术背景和专业经验，加之部分人员的反侦查意识强，极易提出“看似合理”的技术性辩解，如果检察人员缺乏相关专业知识或技术辅助，办理此类案件时很容易陷入被动。本案中，龚某某在庭审前拒不配合，并坚持辩称涉案客户数据系自己离职前备份并于离职后拷贝至个人笔记本电脑的，但每次辩解的具体细节却不尽一致。龚某某在起初的供述中称其于2019年9月只用一只金士顿牌U盘备份了涉案电子文档一次，而后续的供述却称其在离职后用一只金士顿牌U盘备份了数次，但对于U盘型号、购买时间及所处位置均无法回答。

为了核实辩解的真伪，承办检察官会同检察技术人员开展了针对性调查工作。经调查，龚某某涉案笔记本电脑中存在U盘设备插拔记录的时间段为2019年9月6日至2020年4月9日，此后插拔记录显示设备多为移动硬盘而非U盘，而U盘设备显示共有5个不同型号，均系闪迪牌U盘而非金士顿U盘。经对涉案的105个文档进行分析，其中85个文档的生成时间均在2020年4月9日（即最后一次插拔U盘的时间）之后，不存在将已备份数据拷贝到涉案笔记本电脑的可能。从涉案文档内容来看，其中91个文档中包括了赢某通公司于2019年8月30日（龚某某离职）以后新生成的数据，直接证明了涉案信息并非龚某某在赢某通公司任职期间所获取。综合上述分析，承办检察官在庭审中出示了相关证据，有力驳斥了龚某某的辩解，龚某某当庭表示认罪认罚。

点评意见

刘品新

（中国人民大学法学院教授，智慧检务创新研究院副院长）：

“多元关联律”是电子数据在司法办案中体现出来的独特规律。2021年最高检在《人民检察院办理网络犯罪案件规定》中，在总结实践经验的基础上第一次对“多元关联律”作出了确认和倡导，有两处条文使用了“多元关联”之表述。然而，对于如何理解和落实该项要求，该司法解释性文件并未予以明确规定。

“龚某某侵犯公民个人信息案”是一起挖潜电子数据效能的典型案例，既有对IP地址的有效穿透，也有对文档附属信息的精细化审查。北京市海淀区院的科技犯罪办案团队通过专业工作，把证据“断点”“散点”串联起来，有效地指控了犯罪。它为此类案件的办理提供了重要参考，同时也提供了一些改进路径。

一是从表象电子数据转向真实电子数据。本案的第一个突破点，在于建立了“内网IP地址”与“外网IP地址”的映射关系，“内外网隔离”是目前互联网公司普遍采用的用网方式，表面的IP与真实的IP不同的情况客观存在，且存在一定的证明难度。本案侦查阶段公安机关、鉴定机构均未有效破解症结，检察机关借助“检察官+数据审查员”的专业制度优势，通过系统仿真技术还原了虚拟现场，开展了底层数据检索工作，并向被害单位调取了IP地址详单。通过一系列的虚拟现场探索工作，最终构建起了龚某某持续远程侵入被害单位服务器的事实，将龚某某电脑中的涉案电子文档同被害单位服务器被侵入建立起了有效关联。此案一定程度上梳理了同类案件的证明范式，但对于非专业出身的检察人员而言仍有一定难度，需要推动各类司法机关建立专业侦查与审查队伍，不断总结经验形成指引，以更好地应对网络犯罪新形势。