【正文】 也不能在電子證據(jù)的獲取上片面迷信公證的方式，應(yīng)當(dāng)根據(jù)案件的具體情況，具體決定采取上述哪種方式進(jìn)行取證?！　。ǘ╇娮幼C據(jù)的復(fù)雜取證方式　　復(fù)雜取證，是指需要專業(yè)技術(shù)人員協(xié)助進(jìn)行的電子證據(jù)的收集和固定活動。多使用于電子證據(jù)不能順利獲取，如被加密或是被人為的刪改、破壞的情況下，如計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：　　解密。所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼，隱藏在文件中時，就需要對密碼進(jìn)行解譯。在找到相應(yīng)的密碼文件后，請專業(yè)人員選用相應(yīng)的解除密碼口令軟件。如：用Word軟件制作的密碼文件，選用Word軟件解譯；解密后，將對案件有價值的文件，即可進(jìn)行一般取證；在解密的過程中，必要的話，可以采取錄象的方式。同時應(yīng)當(dāng)將被解密文件備份，以防止因解密中的操作使文件丟失或因病毒損壞。如：在辦理一起某國際投資公司的職務(wù)犯罪案件中，偵查人員在搜查辦公室時發(fā)現(xiàn)，其使用辦公桌的抽屜和文件櫥內(nèi)有11張微機軟盤，懷疑盤內(nèi)存有其犯罪的重要證據(jù)，取回后立即送技術(shù)科進(jìn)行檢驗，我技術(shù)人員按要求，進(jìn)行了詳細(xì)檢驗，無病毒，并查清了這些軟盤中用Word軟件所制作的文件，并加入了密碼，即針對所用軟件采用了AdvancedWord97PasswordRecovery，解出了108份文件，從而掌握了其犯罪的重要書證，又?jǐn)U大了辦案線索，使案件深入發(fā)展?！　』謴?fù)。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準(zhǔn)備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成，一般是較難篡改的。因此，當(dāng)發(fā)生網(wǎng)絡(luò)犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。如1997年7月底，重慶市某農(nóng)業(yè)大學(xué)學(xué)生處計算機辦公網(wǎng)遭到破壞，直接影響到8月份即將開始的招生工作。偵查人員在接到報案后，及時進(jìn)行了現(xiàn)場保護(hù)，從網(wǎng)絡(luò)的5號無盤站上得到了一個破壞程序正對系統(tǒng)進(jìn)行的破壞過程，這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的，偵查人員通過這個線索找到了源程序，破獲了全案。如果數(shù)據(jù)連同備份都被改變或刪除，可以在系統(tǒng)所有者的協(xié)助下，通過計算機系統(tǒng)組織數(shù)據(jù)的鏈指針進(jìn)入小塊磁盤空間，從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)，進(jìn)行比較分析，恢復(fù)部分或全部的數(shù)據(jù)。另外，也可以使用一些專門的恢復(fù)性軟件，如Recover9RecoverNTEXPD等?！　y試。電子證據(jù)內(nèi)容涉及電算化資料的，應(yīng)當(dāng)由司法會計專家對提取的資料進(jìn)行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟件使用有關(guān)的問題時，應(yīng)當(dāng)由司法會計專家現(xiàn)場對電算化軟件進(jìn)行數(shù)據(jù)測試（偵查實驗）。主要是使用事先制作的測試文件，經(jīng)測試確認(rèn)軟件有問題時，則由計算機專家對軟件進(jìn)行檢查或提取固定。 「摘要」　　利用電子郵件盜竊商業(yè)秘密的案件在進(jìn)行偵查中存在一定難度，這種案件具有較強的隱蔽性，犯罪主體具有較高的專業(yè)知識。我國浙江省發(fā)生過一起利用電子郵件盜竊商業(yè)秘密的案件，在偵查中，偵查人員確定犯罪嫌疑人的思路是正確的；但是對此類案件的偵查給以專業(yè)技術(shù)的有力支持是十分必要的。電子郵件作為企業(yè)在使用網(wǎng)絡(luò)時最普遍、最主要的方式之一，在企業(yè)聯(lián)系客戶、進(jìn)行簡單商約、給付款物和反饋信息中都要廣泛地使用，而這些過程中都可能涉及到企業(yè)的商業(yè)秘密，犯罪人可以通過更改企業(yè)主頁上的郵箱鏈接，將地址設(shè)成自己的等四種方法進(jìn)行竊密，對此，公安機關(guān)除了可以采用傳統(tǒng)的摸排進(jìn)行偵查之外，還應(yīng)當(dāng)利用網(wǎng)絡(luò)的專業(yè)知識，以單機—局域網(wǎng)—互聯(lián)網(wǎng)為順序，可以采取檢查目標(biāo)計算機等五種方法進(jìn)行偵查。　　「關(guān)鍵詞」電子郵件商業(yè)秘密偵查　　侵犯商業(yè)秘密罪是1997年刑法新設(shè)立的罪名，是指以盜竊、利誘、脅迫或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密及其非法披露、使用或者允許他人使用權(quán)利人的商業(yè)秘密，給商業(yè)秘密權(quán)利人造成重大損失的行為。當(dāng)前，我國已經(jīng)出現(xiàn)了利用網(wǎng)絡(luò)中的電子郵件進(jìn)行侵犯商業(yè)秘密的犯罪，由于網(wǎng)絡(luò)傳送發(fā)生在虛擬的空間里，主要通過程序和數(shù)據(jù)這些無形信息的操作來實現(xiàn)，具有較強的隱蔽性，現(xiàn)實時空中的時間、地點、環(huán)境等因素對偵破案件的作用很小，傳統(tǒng)刑事犯罪中的“現(xiàn)場”的概念很難被完全適用。其次，犯罪行為人通常都具有較高的計算機和網(wǎng)絡(luò)專業(yè)知識和操作技能，熟悉網(wǎng)絡(luò)技術(shù)和安全技術(shù)的業(yè)務(wù)知識，并且，犯罪行為人往往有精心的準(zhǔn)備和周密的籌劃。這些都給公安機關(guān)在對此類案件進(jìn)行偵查、取證帶來一定的挑戰(zhàn)。本文擬就發(fā)生在我國浙江省的一起利用電子郵件盜竊商業(yè)秘密的真實案例，對此類案件的偵查談一些拙見?！　∫?、案情簡介　　1999年4月，浙江省樂清市萬家電器廠?！　倓倧闹袞|考察歸來的余經(jīng)理一上班，就徑直來到電腦微機室，撥號進(jìn)入自己的電子信箱，瀏覽來自全球各地的商務(wù)電子郵件?！　非迨腥f家電器廠是浙江省知名企業(yè)，與國外很多企業(yè)有業(yè)務(wù)往來，在與國外商戶頻繁的商事往來過程中，萬家電器廠很早就開始利用因特網(wǎng)，通過電子郵件與客戶進(jìn)行業(yè)務(wù)往來，萬家電器廠的電子信箱成為給企業(yè)帶來巨大商機和利潤的來源，其中不少信息都是該企業(yè)的商業(yè)秘密?！　∮嘟?jīng)理打開信箱，里面空空如也，他不禁感到納悶：按正常情況，每天收到的商務(wù)電子郵件少說也有幾十封。自己出國15天，郵箱里竟然一封郵件也沒有，就連出國前約定的幾家國外老客戶的郵件也沒有收到。他仔細(xì)地檢查了電腦設(shè)施，在排除了因機械故障或操作失誤引起信箱丟失的可能性后，種種反常的現(xiàn)象讓余經(jīng)理意識到：一定是有人做了手腳，竊取了公司的商業(yè)秘密。他隨即向浙江省樂清市公安局經(jīng)偵大隊報案。　　二、偵破過程　　首先，樂清市公安局經(jīng)偵大隊根據(jù)余經(jīng)理報案中所反映的情況，將偵查重點放在公司內(nèi)部人員身上，并且，具備電腦操作知識和有機會接觸公司電子信箱的員工成為主要偵查對象。通過對公司員工的摸排，公司電腦操作員章某落入偵查視線，成為該犯罪的重大嫌疑人。章某系四川某大學(xué)的計算機專業(yè)的大學(xué)畢業(yè)生，于1998年4月應(yīng)聘來到浙江省樂清市萬家電器廠擔(dān)任電腦操作員的工作?！　〉诙?，公安機關(guān)了解到章某在也設(shè)有電子信箱這一線索后，即打開其信箱，里面赫然羅列著近期發(fā)給萬家電器廠的51件電子郵件，以及章某私下與俄羅斯某客商簽訂的標(biāo)的額為50萬美元的一筆經(jīng)濟(jì)合同。案件有了重大突破，經(jīng)偵大隊乘勝追擊，迅速將章某予以拘留，進(jìn)行審訊?！　∽詈螅鶕?jù)章某的交代，同案犯李某也于次日落網(wǎng)，并繳獲了一張光盤，上面有章、李二人竊取萬家電器廠的200多條商務(wù)機密信息。原來，章、李二人通過在公司電腦上另設(shè)自己的電子郵件信箱，采用改變傳送路徑等手段，將公司所有商業(yè)貿(mào)易往來的電子郵件轉(zhuǎn)到自己設(shè)立的信箱里，二人選擇了俄羅斯一家客戶簽訂了價值50萬美元的經(jīng)濟(jì)合同，已收到該客戶6500多美元的定金后，將該業(yè)務(wù)自行委托當(dāng)?shù)匾患移髽I(yè)加工，造成萬家電器廠10余萬美元損失，而光盤上竊取的機密信息更是為日后自立門戶所用。至此，這一國內(nèi)罕見的利用電子郵件盜竊商業(yè)秘密的高科技犯罪全面告破?！　∪?、案件偵查評析　　本案在偵查過程中將偵查范圍確定在企業(yè)內(nèi)部，從內(nèi)部人員、尤其是有機會接觸電腦、掌握電腦操作、有關(guān)信息的員工中確定犯罪嫌疑人，為順利地偵破案件打下了良好的開端。在侵犯商業(yè)秘密案件中，犯罪嫌疑人往往是與權(quán)利人有一定接觸的人員，如公司內(nèi)部員工、權(quán)利人的競爭對手等，這是對侵犯商業(yè)秘密案件進(jìn)行偵查的有效途徑之一?！　×硪环矫?，由于在本案例中，犯罪行為人章某等尚未對所使用的計算機單機進(jìn)行所竊取信息的銷毀或偽飾，所以通過對章某的電子信箱進(jìn)行解讀，就掌握了證明其犯罪的有力證據(jù)；但是實踐中完全有可能出現(xiàn)犯罪行為人利用電子郵件進(jìn)行商業(yè)秘密的竊密后，對目標(biāo)計算機的有關(guān)信息進(jìn)行偽飾、銷毀，使得單機上無法查到相關(guān)證據(jù)，給偵破案件帶來難度。這種情況下，應(yīng)當(dāng)重視運用相關(guān)的專業(yè)手段，以技術(shù)獲取證據(jù)，以技術(shù)破解犯罪，給傳統(tǒng)的偵查方法以技術(shù)的有力支持。 　　在現(xiàn)代社會網(wǎng)絡(luò)的發(fā)展日幟，根據(jù)中國互聯(lián)網(wǎng)信息中心（CNNIC）的統(tǒng)計數(shù)字，截止1999年12月31日，我國互聯(lián)網(wǎng)用戶已經(jīng)達(dá)到890萬，上網(wǎng)計算機達(dá)到350臺，而在互聯(lián)網(wǎng)上擁有自己域名的企業(yè)在1998年就達(dá)到近50萬家。而電子郵件是企業(yè)使用網(wǎng)絡(luò)時運用最普遍、最主要的方式之一。所謂電子郵件，就是利用計算機網(wǎng)絡(luò)傳送、交換的電子信件。要發(fā)送一封電子郵件，首先需要在聯(lián)網(wǎng)的計算機上編寫好郵件正文，然后用發(fā)送命令發(fā)出；如果是在Internet上發(fā)送，那么郵件管理程序?qū)燕]件分拆和封裝成傳輸層協(xié)議（TCP）下的TCP郵包，TCP郵包又被裝入按網(wǎng)絡(luò)層協(xié)議（TCP）的IP郵包，并在其上附加上目的地計算機的地址，然后發(fā)到網(wǎng)絡(luò)上，通過對路徑的路由選擇，途徑特定路線上某些服務(wù)器的存儲轉(zhuǎn)發(fā)，最后到達(dá)目標(biāo)計算機，接收端的電子郵件程序?qū)P郵包還原成可供收信人閱讀的原文信件。一般地，企業(yè)會在以下情形中使用電子郵件：　　聯(lián)系客戶：使用電子郵件來尋找客戶，并與有交易意向的客戶交換交易條件；　　簡單商約：通過電子郵件與客戶約訂交易以及交易細(xì)節(jié)；　　給付款物：使用電子郵件來傳送信用卡號碼、發(fā)票及可以傳送的電子貨物，如電子版書籍、報告等；　　反饋信息：交易完成后，通過電子郵件來收取客戶的反饋信息以及進(jìn)行售后服務(wù)?！　∫陨细鞑襟E都可能涉及企業(yè)的商業(yè)秘密，成為竊密者的目標(biāo)。本案中，犯罪行為人就是在企業(yè)通過電子郵件與客戶進(jìn)行聯(lián)系的過程中，盜竊了商業(yè)秘密，實施了犯罪。歸納起來，犯罪行為人利用電子郵件盜竊商業(yè)秘密，通常有以下幾種方法：　　更改企業(yè)主頁上的郵箱鏈接，將地址設(shè)成自己的；　　更改企業(yè)局域網(wǎng)服務(wù)器上郵件管理器的配置，添加自己的郵箱地址，或者直接改變成自己的地址?！　⊥ㄟ^遠(yuǎn)程管理程序，閱讀、操作目標(biāo)計算機上的郵件；　　在郵件傳送過程中，通過分析底層協(xié)議，截收、竊聽郵件。　　上述第4種方法，一般是具有較高水平的黑客所使用的手段，技術(shù)性強且較為隱蔽，被竊密方不易發(fā)覺。對使用第4種方法盜竊商業(yè)秘密的案件進(jìn)行偵查，應(yīng)當(dāng)首先評估企業(yè)局域網(wǎng)的安全結(jié)構(gòu)，分析出薄弱點，以找出竊密者進(jìn)入的路徑，并追蹤溯源，通過局域網(wǎng)、互聯(lián)網(wǎng)特定路徑，找出竊密點，進(jìn)而確定犯罪嫌疑人。但這種竊密的手段受到嚴(yán)格的技術(shù)、條件的限制，所以在實踐中暫時還不是我們公安機關(guān)偵查所面臨的主要對象?！　∧壳埃趹?yīng)用電子郵件進(jìn)行侵犯商業(yè)秘密的案件中，主要使用的是第2種方法。如在本案例中，章某等二人主要就是采用了第2種方法進(jìn)行竊密，章某、李某通過更改局域網(wǎng)服務(wù)器上郵件管理器的配置，添加進(jìn)自己的電子郵箱地址，改變郵件的傳送路徑，使公司往來的商務(wù)信件都轉(zhuǎn)到章、李二人設(shè)定的郵箱中，從而竊取了公司的商業(yè)秘密，實施了犯罪。對應(yīng)用第2種方法竊密的犯罪，除了運用傳統(tǒng)偵查的手段如重點排查確定犯罪嫌疑人之外，還應(yīng)當(dāng)重視對網(wǎng)絡(luò)技術(shù)手段的運用，具體來說，在進(jìn)行偵查、取證中，以單機—局域網(wǎng)互聯(lián)網(wǎng)為順序可以從以下五點進(jìn)行?！　z查目標(biāo)計算機，尤其應(yīng)當(dāng)注重查看郵件管理軟件的操作情況，包括是否有刪除、修改、拷貝等操作記錄；如果犯罪行為人實施這些行為時可能會受到時間、環(huán)境的限制，從而留下相關(guān)記錄，給進(jìn)一步偵查提供線索?！　z查企業(yè)主頁上電子郵件鏈接是否被修改，是否被換成其他地址。防止出現(xiàn)計算機頁面上一切如常，但郵件的鏈接已經(jīng)被更改；　　檢查企業(yè)局域網(wǎng)服務(wù)器上郵件管理器的配置，是否被更改了郵箱地址或設(shè)置了并行地址。設(shè)置并行地址的方法隱蔽性較強，不易被發(fā)現(xiàn)；尤其是在犯罪行為人銷毀操作記錄、恢復(fù)原來配置的情況下，從單機上無法發(fā)現(xiàn)異常。這種情況下，可以查看服務(wù)器的日志文件，從日志文件中的操作記錄中進(jìn)行查找；如果留有犯罪行為人的操作記錄，則會提供相關(guān)操作的操作發(fā)生時間、結(jié)束時間等信息。　　如果在企業(yè)局域網(wǎng)中也未能查到相關(guān)、足夠的證據(jù)，還可以到上級服務(wù)器查看近期郵件信息，一般來說，網(wǎng)絡(luò)服務(wù)提供者都有合理的保存項目，如發(fā)送時間、發(fā)送結(jié)束時間，以及合理的保存期限，這些能夠為偵查工作提供有力的幫助，如通過確定在發(fā)送起始時間內(nèi)接觸該網(wǎng)絡(luò)的人來展開調(diào)查?！　∪绻缸镄袨槿瞬扇「泥]箱地址的做法，公安機關(guān)還可以與目標(biāo)計算機發(fā)送郵件的人聯(lián)系，請其提供郵件往來時回復(fù)信件的郵箱地址，以獲得犯罪行為人的郵箱地址，進(jìn)而確定犯罪嫌疑人。44 / 4