检察实习日记 · 第五天
2017.5.12
今天我把自己撰写的那起电信诈骗案报告整理了一下(很中二地取名为「XX 案研究」),和在纸上草写的非法获取公民个人信息条数统计结果一起交给了韦姐,并作了简单的汇报。她和其他同事都说「你要不要这么拼」,搞得我都对自己的「认真」有点不好意思。
听说从主要嫌疑人甲电脑中搜出的个人通讯录只有300多条,不够500,韦姐有点为难。她和隔壁办公室的何姐正在研究其相关的司法解释对公民个人信息条数究竟应该如何计算(何姐也在办一件非法获取公民个人信息案件,听说这是现在的热点)。很可惜,规定中只是语焉不详地进行了原则性规定,根本没有可操作的具体方法。司法解释说,不确实、不准确的信息,可以按一定比例计算,意思是加权。比如说五条模糊或者的信息也许可以算作一条。但具体怎样加权,司法解释没有规定,广西本地也没有规定,法规在这里出现了明显的漏洞。对于我们来说,最现实具体的问题是,一个个人通讯录究竟应该算作几条公民个人信息?
我们知道,一个人的通讯录里面可能会有成百上千个姓名号码,甚至可能包含更细致的公司、职务等信息,相应地,不法分子也就可以对这成百上千个人进行诈骗犯罪。如果这样一个可以影响成百上千个不同的人的通讯录,仅仅算作一条「个人信息」,对犯罪人似乎是太过仁慈,对被害者又是保护力度稍欠了。相反,如果一个姓名-号码就算作一条「个人信息」,似乎又太严厉了——如果这样算,我手上这个案子里的主要嫌疑人甲起码掌握了数万条「个人信息」,而一般人要想构成非法获取公民个人信息罪,可能只要获取一个通讯录就够了(很多人的通讯录里都有超过500个号码)。如果太松太严都不行,到底怎么算呢?五个号码算一条?还是五十个号码算一条?
在规则缺失的情况下,我们这些基层人员似乎也没有太多可讨论的。我回到电脑前,闷闷地翻找存有主要嫌疑人甲电脑文件的那个文件夹,想再找出些什么——如果连个人通讯录的数目都超过500个,定罪也就没有什么疑问了。况且,在口供中他自己也交代过,除次要嫌疑人乙提供的几十个通讯录外,他自己还买过600个,一块钱一个。当然,光凭他的口供不能定罪——但为什么我只找到300多个?
文件夹下有两个子文件夹,一个叫「涉嫌公民信息的文件」(下称「『涉嫌』文件夹」),一个叫「提取出的文件」(下称「『提取』文件夹」),都是取证系统自动生成。显然,取证系统是将所有提取出的文件都存放在了后者当中,并将其中系统识别为可能涉案的信息另存一份在前一个文件夹中。之前我的文件检索都是针对整个文件夹,但亲自浏览并统计信息条数时只梳理了前一个文件夹。
我随手打开「提取出的文件」,里面有一些杂乱的文件夹和文件,其中很多 txt 文件显然都在「涉嫌」文件夹有了。我看到一个名为「回收站」的文件夹,意识到这是犯罪嫌疑人先前放入回收站但尚未清空的东西。打开,里面又有几个文件夹。其中有两个分别叫做「未核对」和「已核对」。
我打开「已核对」文件夹,里面清一色都是 txt 文档,都是在「涉嫌」文件夹中有的,并且犯罪嫌疑人显然已经做了简单的整理,文件名有的是杂乱的数字,有的却是号码主人的姓名,甚至有地名。我又看到了本案的报案人之一的通讯录,文件被犯罪嫌疑人命名为「 XXX XX 大官的」。这位报案人的确是一位政府官员,亲友遭到骚扰后他很快去报了案。犯罪嫌疑人在口供中交待,他欲对这名受害人的亲友行骗时,发现其他人回复短信的称呼都是「领导」「首长」一类,他因而猜测此人是个「大官」,怕自己惹火烧身,就没有继续行骗。这些短信记录我昨天也都查看到,与他所说相符,别人回复「首长,知道了」等之后他就没继续说话,而一般收到回复他过几小时都是会请对方「帮个小忙」的。
既然这里的文件在「涉嫌」文件夹中都有,也就都已经统计过了。我换到「未核对」文件夹再看,突然发现一排没见过的文件。定睛一看,除了上面几个 txt 文档,后面都是 eml 格式的文件。
我随便打开一个 eml 文件,邮件客户端跳出来,是一排姓名和号码。再打开一个,又是一排姓名和号码。再打开一个,还是。
我明白了。取证系统是根据文件类型识别其涉案与否的,像 txt、doc、xls 这类常用的文档格式就自动被放到了「涉嫌」文件夹,而 eml 这种格式的文件显然是取证系统「不认识」的,没有被归入,也就没有被我统计到。我虽然之前没有使用过 eml 格式的文件,但看其名称也知道是“email”的缩略。一个文件就是一封邮件,而在本案中,一封邮件就是一个通讯录。
我把这个「未核对」文件夹一拉到底,260多个文件,除了一些 txt 都是 eml。我回到嫌疑人电脑文件夹根目录下(确保不漏掉其他文件夹内可能含有的 eml 文件),用通配符检索关键字“.eml”,共得到结果249个,加上之前的300多个用 txt 格式存储的通讯录,足够500条了。
我怕有些通讯录犯罪嫌疑人既存了 eml 又用 txt 存了一遍,致使我重复计算,对其造成不公正的不利,又从 eml 格式的通讯录中随机找了数个号码,在整个文件夹中进行检索。但所得的结果均只有其来自的 eml 文件,那重复计算的问题应该就不存在了。我喊韦姐来看并汇报了上述发现,她说太好了。
韦姐走后,我琢磨了一下所看到的证据,连点成线,基本揣测到了犯罪嫌疑人的“workflow”:
-
通过邮件接收卖家发来的通讯录,保存到「未核对」文件夹。(从提取到的文件来看犯罪嫌疑人使用的是 Foxmail 邮件客户端。)
-
打开保存好的 eml 文件,复制;新建文件文档,粘贴,保存 txt;删除多余的 eml 文件。也就是将 eml 文件手动转换为 txt 文件。为什么一定要转换成 txt ?我想原因应该包括 ① txt 文件易于编辑修改,②记事本这个应用比较「轻」,以及 ③嫌疑人惯于使用记事本。
-
在 txt 通讯录中找几个号码发送短信,看是否有人进行积极回复。如果对方都不回或者直接说「我不是 XXX」,那通讯录可能有问题。如果有人回复「知道了」之类,那可以判断这个通讯录基本是可用的。
-
将可用的 txt 文件移至「已核对」文件夹。通讯录里一般都有上百个号码,一下子发不完,可以慢慢用。
为什么提取的「未核对」文件夹里会有少量 txt 文件?我猜测,是因为手动将 eml 文件转换成 txt 文件的操作是一种简单的重复,故而犯罪嫌疑人每次会手动转换一二十个通讯录为 txt之后,然后再慢慢核对。每核对一个就移入「已核对」文件夹。现在「未核对」文件夹里残留的 txt 文件,就是嫌疑人被抓获时,已转换但尚未核对的。
据此,我也推测犯罪嫌疑人甲在第七次讯问中所说的「基本只使用了乙提供的通讯录,自己买的基本没用」是假话。乙只提供了几十个通讯录,而他「已核对」文件夹里面的 txt 通讯录有三百多个,他显然对自己购买的五六百个通讯录中约一半进行了核对——而这种核对只能通过发送短信进行。他说的「基本没用」,准确地说应该是尚未进行大面积的诈骗尝试,而不是完全没有发送诈骗短信。
他在第五次讯问中也交待,乙提供的通讯录尚未用完,就另外购买了六百个通讯录,是为了「备用」。显然,他是一个「未雨绸缪」的人——不但预先购买了通讯录,还早早对这些通讯录的确实性进行了检测,把其中可用的统统放入「已核对」文件夹备用——这个文件夹就是他的「军火库」。
当然,这些揣测也只是揣测,我没有什么过硬的证据,也没有必要去证明一个电信诈骗犯究竟是怎么「工作」的。不过可以看出的,犯罪嫌疑人的电脑应用技术水平显然非常基础,对信息安全所知也不多,否则一定不会使用这些毫无安全措施的格式。我们应该庆幸,因为「有文化」的「坏人」更加难缠。