信息化視角下的網絡犯罪案件偵查模式

唐 涵，胡 犇

（中國人民公安大學，北京100038）

信息化視角下的網絡犯罪案件偵查模式

唐 涵，胡 犇

（中國人民公安大學，北京100038）

隨著信息化向縱深發展，信息化偵查也不斷深入。為適應偵查更為智能的網絡犯罪案件的需要，網絡犯罪案件的偵查模式須由傳統的案—機—人、人—機—案、案—機—案的模式向以情報信息為前提的作案手段—機—人、高危人員—機—人、銀行信息—機—人、特殊樣品—機—人、網上遺留信息—機—人的偵查模式轉變。

信息化；網絡犯罪案件；偵查模式

網絡犯罪有廣義和狹義之分。廣義的計算機網絡犯罪，突出以計算機為工具和對象來實施犯罪，具體是指行為人運用計算機網絡實施的有關金融詐騙、盜竊、竊取國家機密及其他的相關犯罪行為的總稱；狹義的計算機網絡犯罪，突出以計算機為犯罪的對象，僅指行為人違反國家規定故意侵入國家、法人、自然人或其他組織的計算機網絡信息系統，或利用各種手段對其信息系統進行破壞，從而使其無法正常運行且造成嚴重后果的行為，包括以計算機信息系統為犯罪對象的行為及危害計算機信息系統安全的行為。[1]

一、傳統的網絡犯罪偵查模式

模式指可以作為范本、模本、變本的式樣。偵查模式是指偵查主體進行偵查活動時所采用的程式。[2]傳統的網絡犯罪偵查模式一般有三種：案—機—人模式、人—機—案模式、案—機—案模式。

（一）案—機—人模式

案—機—人模式以特定犯罪案件發生為前提。[3]例如：公安機關接到群眾的舉報發現了色情網站,某些單位企業因為計算機系統被非法入侵或者重要數據被篡改而報案，被害人因為遭到網絡詐騙而報警等。這種偵查模式的偵查起點是網絡犯罪案件已經發生，偵查思路是從犯罪結果追尋造成犯罪結果的對象，偵查途徑是發案—確定作案計算機—確定作案計算機的物理位置—發現犯罪線索—確定犯罪嫌疑人—破案。這種偵查模式最主要的任務就是要通過犯罪嫌疑人在網絡上留下的信息來確定作案計算機的物理位置。目前公安機關一般是通過IP地址、PingPro程序、堆棧指紋、NMAP網絡偵查軟件以及專門的網絡偵查軟件等方式來確定作案計算機的物理位置。（見下圖）

（二）人—機—案模式

人—機—案偵查模式，是指偵查人員以偵查基礎業務、專門偵查手段為依托，從個體或群體在計算機網絡中暴露出來的、與犯罪相關聯的網絡行為或嫌疑信息入手，確認其行為與特定網絡犯罪案件之間的聯系的偵查方式。人—機—案偵查模式以犯罪嫌疑人已經確定為前提。這里的“人”是指在刑嫌調控、陣地控制中發現的犯罪嫌疑人，或者是在辦理網絡犯罪案件中發現新的犯罪成員，在審理現行網絡犯罪案件中發現余罪未清的慣犯、累犯、流竄犯，以及其他在辦案中擴大戰果進而發現的犯罪對象。收集和提取這些犯罪嫌疑人的網絡信息，如QQ號碼、使用的計算機的IP地址、電子郵箱、微博信息、網上銀行信息等，分析評判這些網絡信息是否與已發的網絡案件有關，找到犯罪嫌疑人與這個網絡信息的對應關系，從而破獲案件。

（三）案—機—案模式

案—機—案模式是上述兩種模式的綜合運用。公安機關在偵查網絡犯罪案件時，將可能是同一個或同一伙犯罪分子所為的其他網絡犯罪案件串并起來，綜合分析，利用每一起案件所蘊含的相同或者相似的網絡信息。如相同的QQ號碼、電子郵箱、虛擬賬戶，微博信息，相同或相似的網絡詐騙方式和手段，相同或相似的入侵計算機系統的方式，篡改相同或相關的計算機信息等。選擇以上這些有利于偵查的突破口，實現偵破此案并且帶破彼案的目的。

二、信息化視角下網絡犯罪案件偵查模式的前提

情報信息主導警務不僅是國家信息化戰略中的一部分，也是應對和打擊犯罪智能化、高科技化的必然要求。情報信息主導偵查是情報信息主導警務的重要組成部分，它為網絡犯罪案件的偵查提供了一種全新的偵查模式。但是這種新的偵查模式必須以一系列的情報信息為前提，如果沒有一個完備的情報信息系統，那么就無法使用這種偵查模式。網絡犯罪案件的情報信息系統應該包括以下內容：

（一）網絡犯罪案件信息庫

網絡犯罪案件信息庫包括已破案件和已發案但尚未破獲的網絡犯罪案件的情況。具體包括網絡犯罪案件的性質、作案手法和特點、犯罪嫌疑人情況、侵害對象的情況、網上遺留的信息等。重點是網絡犯罪的作案手法和特點，如上網規律、上網方式、網上主要活動、選擇對象、具體侵入方式、口令（密碼）破解技術、作案目的等。

（二）網絡犯罪分子和高危人員信息庫

網絡犯罪分子和高危人員信息庫包括被公安機關打擊過的網絡犯罪分子和極有可能實施網絡犯罪的高危人員的所有信息。具體包括：基本信息（姓名、性別、住址、職業、主要關系人）、受教育情況（所學專業）、QQ號碼、網名、微博、電子郵箱、手機號碼、通訊住宅地址、IP地址、上傳到網絡上的照片、網上金融賬戶信息以及同案犯罪人員情況等。

（三）網絡犯罪案件線索信息庫

與傳統的網絡犯罪案件偵查模式不同，信息化視角下的網絡犯罪案件偵查模式是一種主動性、前瞻性的偵查模式，它更強調公安機關在日常工作中對網絡犯罪案件線索的收集、分析和研判。網絡犯罪案件線索信息庫包括：網絡系統獲取的案件線索信息、跟蹤監視獲取的案件線索信息、打擊網絡犯罪網站所獲取的案件線索信息、網絡投訴中心獲取的案件線索信息，對黑客行為監控獲取的案件信息等。

（四）特殊樣品信息庫

偵查人員在偵辦網絡犯罪案件時，應十分注意對具有代表性的案件進行詳細的分析，整合案件中包含的信息。注意收集特殊的非法侵入計算機系統方式、黑客攻擊技術、網絡病毒樣式、特殊的網絡詐騙手段、釣魚網站的頁面設置形式、上傳到網絡上的人物照片等信息。

三、信息化視角下網絡犯罪案件偵查的模式

（一）作案手段—機—人模式

在正確分析案件的基礎上，利用犯罪人的作案手段特點查詢信息系統。網絡犯罪案件中作案手段越具特定性，利用信息系統排查的范圍就越小，排查結果就越準確。偵查人員可以根據犯罪人的作案手段，結合所掌握的網絡犯罪案件信息、犯罪案件線索信息、特殊樣品信息，圈定作案嫌疑人的范圍；根據劃定的范圍調查這些嫌疑人在案發期間使用計算機的情況，確定作案計算機的IP地址，然后再利用傳統的網絡犯罪案件偵查模式確定出犯罪嫌疑人。

（二）高危人員—機—人模式

高危人員是指可能實施犯罪的人員，如何確定高危人員就成為能否使用這種偵查模式的關鍵。如果某一地區網絡犯罪案件的手段十分特別，那么就可以把這些地區經常在網絡上活動的人員確定為高危人員。如果某個或某些人經常通過QQ、電子郵件發布詐騙信息或者經常在色情等不良網站上出現，那么也可把這些人員列入高危人員。偵查時結合計算機IP地址進行數據碰撞，并對碰撞結果進行分析研究，篩選出可能的作案嫌疑人員，對具體作案嫌疑對象采取進一步的偵控措施，從而發現線索，破獲案件。

（三）銀行信息—機—人模式

此種偵查模式適用于網絡詐騙等網絡侵財案件的偵查。偵查人員根據案件情況，結合銀行郵政匯兌中的可疑情況，確定作案計算機的IP地址。如短時間內由某一計算機頻繁地進行網上金融交易，或不同的案發時間不同的計算機大量地與某一臺計算機進行網上交易匯款。偵查人員分析的重點是結合匯款數額與案件損失金額的關聯性，匯款人員或收款人員是否屬于高危人員。以這些信息為基礎，查找作案計算機的IP地址，進而確定計算機的物理地址，確定部分犯罪嫌疑人。

（四）特殊樣品—機—人模式

利用特殊樣品信息庫中的黑客攻擊技術、網絡病毒樣品、釣魚網站網頁設置樣式、人物照片等信息進行主動的篩選，在日常的網絡監管中，如果發現有特殊樣品信息庫中的信息出現，應及時記錄，然后把新發現的信息導入特殊樣品信息庫進行數據碰撞，確定作案計算機的IP地址，進而確定該作案計算機的物理地址，確定部分犯罪嫌疑人。

（五）網上遺留信息—機—人模式

計算機網絡是個虛擬空間，網絡犯罪沒有一般案件所具有的物理的可感知的犯罪現場,犯罪的時間同現實世界的時間并不對應，也沒有一般案件中蘊含有豐富的信息并且可以勘查的現場。[4]但是根據物質交換原理，任何人類活動都會發生物質的交換，并且留下痕跡信息，網絡犯罪案件當然也不例外。對于在網絡上頻繁出現的QQ號碼、電子郵箱、網名、微博信息、手機號碼、聯系方式等務必及時收集，把收集到的這些信息輸入網絡犯罪案件的各種信息庫中進行數據碰撞，確定作案計算機的IP地址，進而確定該作案計算機的物理地址，確定部分犯罪嫌疑人。

[1]王修玨.再探計算機網絡犯罪偵查對策及其防范[J].科技廣場,2 010(2).

[2]馬忠紅.情報信息的偵查模式與傳統偵查模式之比較研究[J].警察技術.2007(6).

[3]劉品新.論網絡時代偵查模式的轉變[J].山東警察學院學報,2006(1).

[4]徐天合.網絡犯罪案件偵查模式研究[J].江西公安專科學校學報,2008(3).

D631.2

A

1673―2391(2012)05―0127―02

2012—03—02

唐涵，男，四川會理人，中國人民公安大學。

中國人民公安大學學生創新科研項目——網絡犯罪案件偵查模式研究（項目編號：11SKS023）研究成果。

【責任編校：邊 草】