誰給客戶發的泄密郵件

文｜檢察日報記者 簡潔

他堅稱自己電腦中的客戶信息為離職前備份、離職后拷貝至個人筆記本電腦上的，自己有權限備份數據，但沒有下載過被害單位的客戶信息

“你們公司的安全性到底有沒有保障？我收到一封郵件，里面居然有我在你們那里的數據。”2020年，北京某科技公司（以下簡稱“科技公司”）突然接到客戶投訴，稱有人向其發送匿名郵件，郵件展示了該客戶存儲在科技公司服務器數據庫中的客戶數據，客戶指責科技公司泄露數據，聲稱不再與其合作。就在科技公司針對該投訴開展內部核實的時候，類似的客戶投訴不斷發來。面臨失去大量客戶的科技公司感到事態嚴重，認為這是一場有預謀的惡意行為，隨即報警。

民警查看監控錄像并綜合科技公司服務器與網絡日志記錄的侵入設備型號進行追查，曾任科技公司運維總監的龔銳（化名）成為懷疑對象。龔銳曾擁有該科技公司的最高技術權限，但在2019年8月30日離職，離職的原因是和科技公司產生了矛盾。2020年9月30日，龔銳被北京市公安局海淀分局民警抓獲。

“龔銳是技術專家，他采取技術手段轉換IP地址侵入被害單位服務器竊取客戶信息的行為具有高度的隱蔽性。警方在龔銳個人電腦上提取到科技公司的客戶信息，但未調查到非法侵入行為的直接證據。”北京市海淀區檢察院辦案檢察官李鵬說。

2020年10月，北京市公安局海淀分局以龔銳涉嫌破壞計算機信息系統罪向北京市海淀區檢察院提請批準逮捕。

龔銳到案后提出了諸多辯解。他堅稱自己電腦中的客戶信息為離職前備份、離職后拷貝至個人筆記本電腦上的，自己有權限備份數據，但沒有下載過被害單位的客戶信息，只是離職后偶然登錄了被害單位服務器進行查看，并未實施其他行為；自己雖然向客戶發了郵件，但那些數據是自己離職前的數據，只是為了向客戶提示應當注意數據安全。

在審查批捕階段，檢察官發現，在案證據不能有效體現龔銳作案筆記本電腦的遠程網絡連接數據，且龔銳其他作案設備中的遠程網絡連接數據同科技公司提交的服務器IP地址不一致。科技公司報案時所提供的被侵入服務器IP地址均為內部局域網IP地址，該IP地址需要經過映射、轉換等操作后才能形成與互聯網相連接的IP地址。龔銳實施遠程侵入行為時，是通過訪問科技公司服務器的外網IP地址，利用掌握的最高技術權限登錄科技公司的堡壘機服務器（即公司內外網連接轉換的總服務器），進而從互聯網環境進入科技公司的局域網環境。

“因此，我們需要核實科技公司服務器的網絡映射關系，確定被侵入服務器的外網IP地址，才能進而確定龔銳作案使用的設備與被害單位服務器被侵入之間的關聯性。”李鵬說，雖然龔銳已經到案，但由于其拒不承認相關行為，該案是一起無直接證據、關聯證據弱的“零口供”案件。

李鵬說，在檢察履職中，常常需要面對犯罪嫌疑人的“幽靈抗辯”（是指犯罪嫌疑人為了達到減輕或者免除自己罪責的目的而提出難以查證的辯解）。

北京市海淀區檢察院于2021年正式投入運行了該院的電子數據審查室，采取硬件配備和軟實力配套的思路和“檢察官+數據審查員”這一辦案模式，進一步為解決海量電子數據提取難、存儲難、讀取難、分析難等問題提供助力。

“我們決定通過‘檢察官+數據審查員’機制、邀請檢察技術人員同步輔助審查等方法，從多個維度開展自行補充偵查工作，自行提取、固定、分析關鍵電子數據。”電子數據審查員郭樹正很快接手了此案任務。

“都說雁過留聲，其實電子數據也是一樣，但凡通過計算機實施了犯罪，就會存在諸多留存證據的虛擬空間或電子痕跡，需要我們深入‘虛擬現場’，抽絲剝繭尋找它們。”為了調查“虛擬現場”，郭樹正決定首先對龔銳的作案筆記本電腦硬盤通過勘驗手段固定鏡像文件（即在二進制層面一比一地復制原始數據，系電子取證的常用方法，固定鏡像文件后可將原始數據封存保護，針對鏡像文件進行調查可視為對原始數據進行調查），然后通過系統仿真操作還原虛擬現場的方式來尋找蛛絲馬跡。

“系統仿真操作，通俗地講，就是通過鏡像文件在其他電腦上完整虛擬還原出嫌疑人的電腦系統環境，這樣和我們正常打開電腦進入Windows是一樣的，通過仿真操作進入嫌疑人的電腦系統，一來不會對原始數據產生影響，二來可以直接打開嫌疑人電腦中特別的軟件，來查看這些軟件的功能或其中記錄的內容。”郭樹正說，這樣有時能收到事半功倍的效果。

隨后，郭樹正就在不破壞原始證據的情況下，完整還原、運行了龔銳電腦的系統。他果然發現龔銳在一個“筆記”程序中記錄了原科技公司重要數據服務器的最高登錄權限、解密權限等。這直接證明了龔銳明知且有能力超越權限登錄科技公司服務器并解密客戶數據。

“經過系統仿真，我們只能取到一些‘表面’的數據，更多時候我們還是需要針對鏡像文件進行底層數據分析，通過電子數據的‘穿透式’調查分析，構建起證據間的多元關聯性。”郭樹正通過底層數據檢索技術分析網絡連接情況，有針對性地從海量底層數據中，快速檢索出了龔銳電腦登錄科技公司服務器的記錄以及龔銳刪除作案行為時殘留的數據痕跡，直接證明了該設備持續遠程侵入科技公司服務器，構建起關聯性。

“網絡科技類犯罪案件中，嫌疑人多具有技術背景和專業經驗，極易提出‘看似合理’的技術性辯解。如果我們缺乏相關專業知識或技術輔助，辦理此類案件很容易陷入被動。”李鵬說。

龔銳提出了諸多辯解，但每次辯解的具體細節卻不盡一致。他起初稱在2019年9月用一個金士頓牌U盤備份了涉案電子文檔一次，而后續卻稱在離職后用一個金士頓牌U盤備份了數次，但對于U盤型號、購買時間及所處位置都無法回答。

（來源：CFP）

為了核實其辯解的真偽，郭樹正開展了針對性調查工作。經調查，龔銳作案筆記本電腦中存在U盤設備使用情況的時間段為2019年9月6日至2020年4月9日，此后記錄顯示設備多為移動硬盤而非U盤，而U盤設備顯示共有5個不同型號，均系閃迪牌U盤而非金士頓牌U盤。經對涉案的105個文檔進行分析，其中85個文檔的生成時間均在2020年4月9日（最后一次使用U盤的時間）后，不存在將已備份數據拷貝到涉案筆記本電腦的可能。從涉案文檔內容來看，其中91個文檔中包括了科技公司于2019年8月30日（龔銳離職日）以后新生成的數據，直接證明了涉案數據并非龔銳在科技公司任職期間合法獲取。

通過全面分析審查，李鵬認定龔銳電腦中所有的涉案電子文檔系從科技公司服務器竊取形成。最終，該案證據從只能證明行為人可能實施超越權限的登錄行為，到構建完整證據鏈條，為精準指控行為人實施了侵入計算機信息系統并非法獲取28萬余組公民個人信息數據的犯罪事實提供了堅實的支撐。

2022年1月14日，北京市海淀區法院就龔銳涉嫌侵犯公民個人信息一案開庭審理，李鵬在庭審中出示了相關證據，有力駁斥了龔銳的辯解，龔銳當庭表示認罪認罰。2月15日，海淀區法院作出判決，認定龔銳犯侵犯公民個人信息罪，判處有期徒刑四年三個月，并處罰金4萬元。