随着互联网和计算机在企业经营和日常生活中的深入和广泛应用，人们的日常生活越来越依赖手机、计算机和互联网。可以毫不夸张地说，手机、计算机和网络已经成为人们工作和生活中不可或缺的必需品。大量与人、事、物有关的线索或证据隐藏在各种电子邮件、短信、在线聊天记录等电子数据中，电子数据证据收集越来越受到调查人员的重视，成为案件调查的重要突破。

电子数据证据收集是一个严格的过程。从证据收集准备到结案，整个过程应按照符合法律诉讼要求的过程进行。为了保证证证据收集过程的效率和合法性，相关国家和组织提出了各种合理的证据收集模型，基本组成分为三个阶段：一是证据收集，即固定证据，如硬盘无损镜像、截图保存等；二是证据分析，即数据分析与案件相关性；三是证据表现，即电子证据与案件相关性的总结和陈述。其中，证据收集和证据表个阶段相对强调过程的合理性、合法性和操作规范性，证据分析阶段是电子数据收集的核心和关键，包括所有的证据收集技术，是最反映证据收集人员能力的环节。

分析内容包括系统信息、文件信息等信息，黑客入侵案件还应进行远程控制、木马程序功能和危害程度等功能分析。

分析过程主要包括：

1、获取目标基本信息

2、文件过滤

3、关键词检索

4、文件分析

5、数据恢复

6、密码破解

7、管理和形成证据链

不同类型的案例需要不同的分析方法。欺诈通常以文档、电子邮件和图片的形式出现在电子数据中。文档和电子邮件数据调查的主要手段是关键字检索。

根据我们的反欺诈调查实践，欺诈行为的特点往往可以与其行业、职位和相关项目形成一定的共同关系，如转账、汇款、现金等，与个人名称、设备名称、个人生活轨迹、习惯等有关。

如何快速有效地设置关键字进行第一次数据筛选？如何在初步调查的基础上，进一步结合案件和调查结果进行反复深入的滚动筛选？涉及的关键字通常隐藏在哪些文件中？哪些文件很容易被忽视和错过？

今天，我们将结合一些案例，讨论如何充分利用特征关键词进行电子数据取证。

一、舞弊行为共性关键词

欺诈行为最典型的三种犯罪：一种是职务侵占和挪用（盗窃）资金；第二种是商业贿赂；第三种是侵犯商业秘密、作权或其他知识产权。

这些行为在动机、手段和方法上都是常见的，这些行为在涉案人员的电子媒体中也表现出一定的关键词特征。

(一)职务侵占和挪用资金舞弊

资产侵权欺诈涉及职务侵权罪和挪用资金罪，其特点是利用职务便利、盗窃、欺骗、占用单位财产或占用单位财产。主要行为特征包括：

1、虚报业务，签订虚假合同骗取单位财产；

2、虚报应付款、虚构或虚高应付合同款项或业务费用；

3、虚报利益费，按照商业惯例赠送小额利益费，得到法律认可，业务人员虚报或虚报利益费；

4、虚假报销、欺诈、夸大、虚假报销费用；

5、虚设中间环节，赚取差额费；

6、篡改票据，** 伪造支票或盗窃发行空白支票，转移资金；

7、篡改数据，业务人员和技术人员利用单位系统内部漏洞篡改数据，侵占挪用单位资金，制作虚假账户，填写账户掩盖。

伴随着上述行为，在涉案人员的电子媒体中，出现以下关键词:合同、采购、销售、发票、付款、到达、价格、收款、微信、支付宝、现金、转账(账)账、银行、账(账)账、账(账)账、报销、签字等。

(二)商业贿赂舞弊

公司贿赂欺诈一般属于商业贿赂的范畴，主要发生在商品采购、服务外包、项目招标等商业活动中。涉案人员往往处于重要地位，具有审批、签字等高级权限，如：

在采购过程中，利用签订合同的权力提高合同支付金额，以现金、转账等方式从供应商账外提取回扣；

在销售过程中，以折扣明示、如实入账的方式给予对方价格优惠，接受对方的利益费；

在投标中，向特定投标人提供投标秘密，接受各种好处的回报。

现金、银行、支付宝、微信转账等是收受和索取贿赂的常见手段。然而，随着企业对内部审计监督的逐步重视，涉案人员的行为也呈现出两种趋势：

1、形式多样化

欺诈者不再通过简单的资本转移贿赂，而是更多地利用证券、海外房地产、海外保险等方式。例如：在2018年大型跨国化妆品公司员工欺诈过程中，调查人员通过香港、保险、受益人关键词涉及计算机筛选，相应找到计算机即时聊天内容备份文件碎片，在此基础上结合周边调查，发现贿赂人认为欺诈儿童购买海外保险贿赂犯罪线索。

2、行为隐蔽性

欺诈者通常通过第三方人员和企业转移财产，以避免风险和审查。因此，与欺诈者有关的第三方公司和主要近亲的信息已成为关键词调查的一个重要方面。例如，在我们处理的互联网金融信息服务公司员工欺诈案件中，员工利用贷款项目的便利，以借款人和资本中介费的名义，我们的数据评估人员通过周边调查了解父母、配偶和子女的基本信息，通过近亲姓名、身份证号码关键字调查，找到相应的银行转账纪律，掌握关键线索，顺利推进案件调查。

(三)侵犯商业秘密舞弊

在信息技术高度普及的背景下，我们遇到的绝大多数商业秘密侵权行为都是针对电子数据的。涉案人员通常利用网络传输、移动媒体复制，甚至显示屏照片，窃取秘密信息和重要数据，向竞争对手出售商业秘密，以获得回报。

在电子证据收集中，关键字设置往往围绕侵权电子数据，如：文件名称、属性、关键内容信息，与我们处理的侵权商业秘密案件相比，公司技术人员通过盗窃其他员工账户，侵入数据库窃取技术数据，并通过百度网络磁盘转移到家庭个人电脑。我们从客户处获取侵权电子数据，将数据信息转换为关键字列表，数据恢复和筛选，结合行为分析等综合调查手段，最终找到整个行为路径，掌握关键证据，成功防止核心技术秘密信息泄露。

二、二联信息二次滚动筛查

欺诈行为具有明显的互动特征，必然与资本、票据、合同密切相关，在互联网成为人们的工作、生活必需品，涉及欺诈行为和其他个人工作、生活痕迹往往重叠、混合、电子数据分析善于利用这些信息，结合外部调查、 ** 息排查等手段，才能抽丝剥茧，层层深入的揭示隐藏于普通信息中的涉案线索和证据。

根据我们反欺诈工作的实践，通常通过反复调查获得关键线索和证据。

一般来说，经过第一轮对共性关键词的调查，我们经常会得到与具体情况相关的多个文档和电子邮件，我们可以找到和整理一些个性化的案例关键词。将案例关键词与外围调查信息相结合，可以总结和整理第二轮调查的关键词列表……往复深入，结合其他分析手段，往往能找到涉案的关键线索和证据。

在一起公司业务人员飞单案中，我们通过对涉案人员的外围调查获得了相关亲属的姓名和关系。在第一次关键词调查中，我们筛选了相关亲属的姓名作为关键词，并检查了包含这些关键词的部分xls该文件还记录了与人员对应的身份证号码和银行 ** 等其他个人信息，从而在第二次关键词筛选中进一步利用这些信息，最终发现涉案人员记录有银行 ** 相应的收付款账户明细为办案提供了重要线索和证据。

三、关键词排查范围

1、基本调查文件类型

（1）office、wps文档，如word、excel等。office和wps作为日常办公中不可缺少的软件，使用它生成和阅读相关文件是绝大多数公司员工的必要工作手段，也是最有可能隐藏欺诈线索的文件类别。例如，涉案人员通常使用它office软件制作虚假合同，记录财务收款信息等；

(2)邮件文件和邮件客户端备份文件，如outlook、fox ** il等。outlook和fox ** il作为最常用的电子邮件客户端程序，它的本地文件夹保存并记录了大量的电子邮件和地址簿信息。除了目前使用的电子邮件外，它还将保存相关电子邮件的备份，生成备份文件，这也是收集证据时容易被忽视的重要数据源。

(3)压缩文件

在信息交换过程中，为了提高传输效率，文件往往 ** 包装，即压缩，用户压缩、解压、复制、传输等一系列操作，往往删除、移动相关文档，忽略压缩文件本身。因此，计算机上有大量的压缩文件（zip、rar、7z等)也应列为调查的主要范围。

2、程序和文件容易被忽视

在电子数据关键字筛选中，系统临时文件和程序数据库文件更容易被忽略。例如，百度网络磁盘传输下载记录将保存在相应的数据库文件中，可能包含重要的用户行为痕迹，在我们侵犯知识产权案件中，是百度网络磁盘文件传输记录，发现文件名信息，弥补证据链的重要环节。

3、搜索和调查已删除的文件和数据碎片

在特定条件下，用户故意删除的文件往往是突破案件的线索。因此，应特别注意已删除文件的恢复和调查（数据恢复单独介绍）。此外，数据碎片也是一个容易被忽视的数据源，特别是在数据恢复过程中，许多恢复文件是不完整的。从表面上看，它似乎是一个文件，实际上是由不同来源的数据字节组成的，需要通过非常规的技术手段进行检索和调查。

文章：周晓明（星汉反欺诈法律中心）

本文为星瀚原创，如需转载，请先联系。

本文信息仅供一般参考，不应视为具体事项的法律意见。

合作联络：bd@ricc.com.cn