利用电子邮件盗窃商业秘密案件的侦查
发布日期:2004-08-08 文章来源: 互联网
「摘要」
利用电子邮件盗窃商业秘密的案件在进行侦查中存在一定难度,这种案件具有较强的隐蔽性,犯罪主体具有较高的专业知识。我国浙江省发生过一起利用电子邮件盗窃商业秘密的案件,在侦查中,侦查人员确定犯罪嫌疑人的思路是正确的;但是对此类案件的侦查给以专业技术的有力支持是十分必要的。电子邮件作为企业在使用网络时最普遍、最主要的方式之一,在企业联系客户、进行简单商约、给付款物和反馈信息中都要广泛地使用,而这些过程中都可能涉及到企业的商业秘密,犯罪人可以通过更改企业主页上的邮箱链接,将地址设成自己的等四种方法进行窃密,对此,公安机关除了可以采用传统的摸排进行侦查之外,还应当利用网络的专业知识,以单机—局域网—互联网为顺序,可以采取检查目标计算机等五种方法进行侦查。
「关键词」电子邮件 商业秘密 侦查
侵犯商业秘密罪是1997年刑法新设立的罪名,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密及其非法披露、使用或者允许他人使用权利人的商业秘密,给商业秘密权利人造成重大损失的行为。当前,我国已经出现了利用网络中的电子邮件进行侵犯商业秘密的犯罪,由于网络传送发生在虚拟的空间里,主要通过程序和数据这些无形信息的操作来实现,具有较强的隐蔽性,现实时空中的时间、地点、环境等因素对侦破案件的作用很小,传统刑事犯罪中的“现场”的概念很难被完全适用。其次,犯罪行为人通常都具有较高的计算机和网络专业知识和操作技能,熟悉网络技术和安全技术的业务知识,并且,犯罪行为人往往有精心的准备和周密的筹划。这些都给公安机关在对此类案件进行侦查、取证带来一定的挑战。本文拟就发生在我国浙江省的一起利用电子邮件盗窃商业秘密的真实案例,对此类案件的侦查谈一些拙见。
一、案情简介
1999年4月,浙江省乐清市万家电器厂。
刚刚从中东考察归来的余经理一上班,就径直来到电脑微机室,拨号进入自己的电子信箱,浏览来自全球各地的商务电子邮件。
乐清市万家电器厂是浙江省知名企业,与国外很多企业有业务往来,在与国外商户频繁的商事往来过程中,万家电器厂很早就开始利用因特网,通过电子邮件与客户进行业务往来,万家电器厂的电子信箱成为给企业带来巨大商机和利润的来源,其中不少信息都是该企业的商业秘密。
余经理打开信箱,里面空空如也,他不禁感到纳闷:按正常情况,每天收到的商务电子邮件少说也有几十封。自己出国15天,邮箱里竟然一封邮件也没有,就连出国前约定的几家国外老客户的邮件也没有收到。他仔细地检查了电脑设施,在排除了因机械故障或操作失误引起信箱丢失的可能性后,种种反常的现象让余经理意识到:一定是有人做了手脚,窃取了公司的商业秘密。他随即向浙江省乐清市公安局经侦大队报案。
二、侦破过程
首先,乐清市公安局经侦大队根据余经理报案中所反映的情况,将侦查重点放在公司内部人员身上,并且,具备电脑操作知识和有机会接触公司电子信箱的员工成为主要侦查对象。通过对公司员工的摸排,公司电脑操作员章某落入侦查视线,成为该犯罪的重大嫌疑人。章某系四川某大学的计算机专业的大学毕业生,于1998年4月应聘来到浙江省乐清市万家电器厂担任电脑操作员的工作。
第二步,公安机关了解到章某在也设有电子信箱这一线索后,即打开其信箱,里面赫然罗列着近期发给万家电器厂的51件电子邮件,以及章某私下与俄罗斯某客商签订的标的额为50万美元的一笔经济合同。案件有了重大突破,经侦大队乘胜追击,迅速将章某予以拘留,进行审讯。
最后,根据章某的交代,同案犯李某也于次日落网,并缴获了一张光盘,上面有章、李二人窃取万家电器厂的200多条商务机密信息。原来,章、李二人通过在公司电脑上另设自己的电子邮件信箱,采用改变传送路径等手段,将公司所有商业贸易往来的电子邮件转到自己设立的信箱里,二人选择了俄罗斯一家客户签订了价值50万美元的经济合同,已收到该客户6500多美元的定金后,将该业务自行委托当地一家企业加工,造成万家电器厂10余万美元损失,而光盘上窃取的机密信息更是为日后自立门户所用。至此,这一国内罕见的利用电子邮件盗窃商业秘密的高科技犯罪全面告破。
三、案件侦查评析
本案在侦查过程中将侦查范围确定在企业内部,从内部人员、尤其是有机会接触电脑、掌握电脑操作、有关信息的员工中确定犯罪嫌疑人,为顺利地侦破案件打下了良好的开端。在侵犯商业秘密案件中,犯罪嫌疑人往往是与权利人有一定接触的人员,如公司内部员工、权利人的竞争对手等,这是对侵犯商业秘密案件进行侦查的有效途径之一。
另一方面,由于在本案例中,犯罪行为人章某等尚未对所使用的计算机单机进行所窃取信息的销毁或伪饰,所以通过对章某的电子信箱进行解读,就掌握了证明其犯罪的有力证据;但是实践中完全有可能出现犯罪行为人利用电子邮件进行商业秘密的窃密后,对目标计算机的有关信息进行伪饰、销毁,使得单机上无法查到相关证据,给侦破案件带来难度。这种情况下,应当重视运用相关的专业手段,以技术获取证据,以技术破解犯罪,给传统的侦查方法以技术的有力支持。
在现代社会网络的发展日帜,根据中国互联网信息中心(CNNIC)的统计数字,截止1999年12月31日,我国互联网用户已经达到890万,上网计算机达到350台,而在互联网上拥有自己域名的企业在1998年就达到近50万家。而电子邮件是企业使用网络时运用最普遍、最主要的方式之一。所谓电子邮件,就是利用计算机网络传送、交换的电子信件。要发送一封电子邮件,首先需要在联网的计算机上编写好邮件正文,然后用发送命令发出;如果是在Internet上发送,那么邮件管理程序将把邮件分拆和封装成传输层协议(TCP)下的TCP邮包,TCP 邮包又被装入按网络层协议(TCP)的IP邮包,并在其上附加上目的地计算机的地址,然后发到网络上,通过对路径的路由选择,途径特定路线上某些服务器的存储转发,最后到达目标计算机,接收端的电子邮件程序将IP邮包还原成可供收信人阅读的原文信件。一般地,企业会在以下情形中使用电子邮件:
1、联系客户:使用电子邮件来寻找客户,并与有交易意向的客户交换交易条件;
2、简单商约:通过电子邮件与客户约订交易以及交易细节;
3、给付款物:使用电子邮件来传送信用卡号码、发票及可以传送的电子货物,如电子版书籍、报告等;
4、反馈信息:交易完成后,通过电子邮件来收取客户的反馈信息以及进行售后服务。
以上各步骤都可能涉及企业的商业秘密,成为窃密者的目标。本案中,犯罪行为人就是在企业通过电子邮件与客户进行联系的过程中,盗窃了商业秘密,实施了犯罪。归纳起来,犯罪行为人利用电子邮件盗窃商业秘密,通常有以下几种方法:
1、更改企业主页上的邮箱链接,将地址设成自己的;
2、更改企业局域网服务器上邮件管理器的配置,添加自己的邮箱地址,或者直接改变成自己的地址。
3、通过远程管理程序,阅读、操作目标计算机上的邮件;
4、在邮件传送过程中,通过分析底层协议,截收、窃听邮件。
上述第3、4种方法,一般是具有较高水平的黑客所使用的手段,技术性强且较为隐蔽,被窃密方不易发觉。对使用第3、4种方法盗窃商业秘密的案件进行侦查,应当首先评估企业局域网的安全结构,分析出薄弱点,以找出窃密者进入的路径,并追踪溯源,通过局域网、互联网特定路径,找出窃密点,进而确定犯罪嫌疑人。但这种窃密的手段受到严格的技术、条件的限制,所以在实践中暂时还不是我们公安机关侦查所面临的主要对象。
目前,在应用电子邮件进行侵犯商业秘密的案件中,主要使用的是第1、2种方法。如在本案例中,章某等二人主要就是采用了第2种方法进行窃密,章某、李某通过更改局域网服务器上邮件管理器的配置,添加进自己的电子邮箱地址,改变邮件的传送路径,使公司往来的商务信件都转到章、李二人设定的邮箱中,从而窃取了公司的商业秘密,实施了犯罪。对应用第1、2种方法窃密的犯罪,除了运用传统侦查的手段如重点排查确定犯罪嫌疑人之外,还应当重视对网络技术手段的运用,具体来说,在进行侦查、取证中,以单机—局域网-互联网为顺序可以从以下五点进行。
1、检查目标计算机,尤其应当注重查看邮件管理软件的操作情况,包括是否有删除、修改、拷贝等操作记录;如果犯罪行为人实施这些行为时可能会受到时间、环境的限制,从而留下相关记录,给进一步侦查提供线索。
2、检查企业主页上电子邮件链接是否被修改,是否被换成其他地址。防止出现计算机页面上一切如常,但邮件的链接已经被更改;
3、检查企业局域网服务器上邮件管理器的配置,是否被更改了邮箱地址或设置了并行地址。设置并行地址的方法隐蔽性较强,不易被发现;尤其是在犯罪行为人销毁操作记录、恢复原来配置的情况下,从单机上无法发现异常。这种情况下,可以查看服务器的日志文件,从日志文件中的操作记录中进行查找;如果留有犯罪行为人的操作记录,则会提供相关操作的操作发生时间、结束时间等信息。
4、如果在企业局域网中也未能查到相关、足够的证据,还可以到上级服务器查看近期邮件信息,一般来说,网络服务提供者都有合理的保存项目,如发送时间、发送结束时间, 以及合理的保存期限,这些能够为侦查工作提供有力的帮助,如通过确定在发送起始时间内接触该网络的人来展开调查。
5、如果犯罪行为人采取更改邮箱地址的做法,公安机关还可以与目标计算机发送邮件的人联系,请其提供邮件往来时回复信件的邮箱地址,以获得犯罪行为人的邮箱地址,进而确定犯罪嫌疑人。
「参考文献」
参考书目:《电子商务》 张润彤 朱晓敏著 北京出版社1999年版
《因特网》 徐敬东 张建忠著 清华大学出版社1999年版
《网络信息安全与保密》 杨义先 李名选著 北京邮电大学出版社1999年版