網絡犯罪偵查中的身份同一認定

趙長江，張 碩

（重慶郵電大學 重慶 400065）

在網絡犯罪①中，犯罪行為人借助網絡終端設備實施犯罪行為。其犯罪行為橫跨現實和網絡兩大空間，在兩個空間內形成了復雜的雙重或多重身份。目前，雖然網絡犯罪偵查與電子取證均已成為研究熱點，也不乏相關的研究論文成果，但針對網絡犯罪偵查中的身份同一性認定這一論題的研究卻很少[1]。故筆者以技術背景為依據，結合法學知識進行學科交叉研究，針對網絡犯罪偵查中的身份同一性認定進行剖析，對傳統偵查學中的洛卡德交換原理在網絡犯罪偵查中的適用進行證明，以此來解決網絡犯罪偵查中的身份同一性問題。試以交叉學科研究方法，期望為網絡犯罪偵查中的身份同一性認定提供理論參考依據，有效解決網絡犯罪偵查實踐中因理論研究、實踐方案不足而產生的相對棘手的身份同一性認定問題，進而為打擊網絡犯罪盡綿薄之力。

一、網絡犯罪偵查中身份同一認定的理論基礎

同一認定，是指具有專門知識的人或熟悉某客體特征的人，在分析和比較先后出現的兩個客體反映形象的基礎上，對他們是否出自一個或是是否原屬同一整體物所作出的判斷[2]。犯罪偵查中的身份同一性認定與司法證明活動中的身份同一性認定不同，前者實際上是一個不斷嘗試的過程，當身份同一性認定和事件同一性認定完成時即偵查終結，后者體現在裁判文書中，具有終局性[1]。在網絡犯罪案件中，犯罪行為人以網絡為依托進行非法活動，因而在網絡空間中犯罪行為主體擁有“網絡”虛擬身份。在整個犯罪偵查過程中是圍繞人和被偵查人的行為進行的，因此，網絡犯罪偵查的身份同一認定是整個犯罪偵查的支點。

網絡犯罪過程中必然出現形形色色的電子痕跡。電子痕跡本質上是反映客體特征的信息，遵循著從“物理空間”到“單機空間”再到“網絡空間”的信息轉移規律[3]。針對上述網絡犯罪行為進行分析，其犯罪行為均為行為人“個體”到“單機”到“網絡”這一行為軌跡；由于個體要借助于單機這一客體，進而在網絡空間中實施行為，因此，單機這一客體便成為現實身份和網絡身份進行同一性認定的紐帶。筆者認為，在網絡犯罪偵查中進行身份同一性認定中勢必要考慮和解決以下三個問題:（1）雖然在網絡犯罪偵查中以單機為線索，但因網絡空間和現實空間的獨立性，使得犯罪分子存在雙重或多重身份，勢必將加劇現實身份和網絡身份同一認定的復雜性。（2）同時，因網絡空間以網絡數據為內容，網絡數據這一虛擬信息顯然區別于傳統物理介質，欲在網絡犯罪偵查中獲取犯罪“痕跡”，對于信息系統擁有“記錄”功能具有一定的依賴性。（3）又因犯罪行為人自身警惕性，借助于網絡易于實施反偵查行為，或利用其自身網絡專業技術對抗執法，亦或者使用其他手段隱匿或消除犯罪痕跡，因此犯罪行為人便和偵查人員之間產生技術對抗性。

二、網絡犯罪偵查中身份同一認定的前提

在犯罪偵查中，欲進行身份同一認定，前提是要獲取檢材，繼而再同樣本進行認定；傳統犯罪案件（現實空間）中，可以依據洛卡德交換原理來獲取檢材。那么在網絡空間中，是否同樣可以適用洛卡德交換原理來獲得檢材？

洛卡德交換原理即“接觸即留痕”，主要證明的是“痕”是否存在（有與無）的問題。其底層原理是以質量守恒②為依據，在傳統犯罪案件中，以犯罪嫌疑人行為軌跡范圍為限定，就構成了一個孤立系統，在其系統內，實施任何行為（包括毀滅罪證的行為，因為在毀滅原有證據的同時，又會有新的證據產生）的實體都將會被“記錄”或者說是產生相互的物質交換。實體間相互記錄，對其案件而言，即行為人（實體）及其借助的其他載體（實體）實施犯罪活動的行為而產生的物質交換，證成了龐大的相互關聯的證據體系。綜上所述，不難發現洛卡德交換原理的適用并非沒有條件，上述中多次提到物質交換，其物質交換的前提是符合:（1）必須具備兩個物質實體；（2）必須具備外力條件；（3）兩個物質實體必須發生接觸關系；（4）其結果必須引起物質的變化[4]。

（一）洛卡德交換原理在網絡犯罪偵查中的適用

在物理空間犯罪現場中，被侵害對象及其物質環境的變化，構成了犯罪現場的特有形態，這種特有的現場形態，體現著犯罪行為的危害結果，也帶了犯罪的信息[5]。網絡犯罪的身份識別實質上就是綜合利用物理空間的傳統證據與虛擬空間的電子痕跡進行大的人身同一認定[3]。

1.可適用傳統犯罪偵查方法的“個體”到“單機”。犯罪行為人借助網絡終端設備③進入到網絡中，對“網絡”實施攻擊，或借助網絡為工具實施犯罪行為，再或者直接在網絡空間中實施犯罪行為。網絡犯罪行為人要使用網絡終端設備進入到網絡空間中，在這一范圍內，存在行為人和網絡終端設備兩個有形實體；網絡犯罪行為人使用網絡終端設備，勢必存在因施加外力而使得網絡終端設備產生響應的個體和單機設備的直接接觸；行為人接觸網絡終端設備，“一般而言”一定會存在“指紋”，此時便可以利用傳統犯罪偵查的手段進行偵查。

2.從“單機”到“網絡”觀洛卡德交換原理在網絡犯罪偵查中的適用。洛卡德交換原理的適用核心在于兩者進行“接觸”產生信息“交換”。在網絡空間中，行為人使用網絡終端設備獲取網絡信息，這一行為進行時和行為結束后，在網絡終端設備和“網絡”中皆會留下相互的信息；在單機中留下所瀏覽過的網絡數據，例如內存中的網站數據、系統日志中的網絡訪問信息等；而在訪問的網絡中則會留下用戶的瀏覽痕跡，例如用戶登陸請求、用戶訪問記錄等。故筆者認為，單機和網絡的交互，已經達到了兩個實體接觸、交換的效果，即以滿足傳統犯罪中洛卡德交換原理的“兩個實體”“施加外力”“接觸”“物質發生變化（留痕）”的特性；故，可以從理論的角度認為，洛卡德原理同樣可以適用在網絡空間中。但是，從實踐的角度出發，這種網絡空間中的“痕”，是否真實存在？

因網絡空間的是由電信號鏈接各個網絡節點而組成的虛擬空間，且在虛擬空間中實時進行著數據傳輸；網絡空間的犯罪痕跡同現實空間的犯罪痕跡因網絡空間的虛擬性和動態性而具有極大的差異。現實空間中的犯罪痕跡因空間的廣泛性和實體接觸的復雜性，可以利用“理科”手段進行分析和發現案件中的蛛絲馬“痕”。

而在網絡空間中的犯罪痕跡因空間的虛擬性和動態性，使得“痕跡”具有易失性，且痕跡的表現形式只能通過數據的“語義”來表達。因此，網絡空間中的“痕”可能僅僅是“存在過”，稍不同于“存在”；實務中務必要解決這一問題，方可進行同一性認定。筆者認為，解決該問題，至少要滿足兩個條件:（1）系統性，即對于網絡用戶利用網絡終端對網絡服務的一次訪問，無論是網絡節點設備還是網絡平臺都應該自動記錄用戶的訪問信息，包括訪問時間、訪問者IP地址、訪問者MAC地址、訪問者的相關屬性信息等，這種系統自動記錄性，是必要的；（2）即存性，即系統自動記錄的信息會被立刻存儲下來，且持續存在。此時若細思想，上述為兩者不正是“網絡日志”所具備的功能嗎。

根據《中華人民共和國網絡安全法》（簡稱《網絡安全法》）中，第21條規定“國家實行網絡安全等級保護制度。網絡運營者④應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改”，其中第三款明確規定的義務為“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”；即意味著，在法律中已經規定網絡運營商必須要履行上述義務。因此，網絡空間中的“痕”一定處于“存在”狀態，且可以被檢測和利用。在網絡犯罪偵查中，網絡痕跡可以因網絡日志存在而完美的適應洛卡德交換原理；其偵查工作僅僅是后期對網絡運營商提供的日志進行數據分析的問題；這同傳統的犯罪案件，例如某案件偵查中發現并采取了指紋，后期進行指紋分析有異曲同工之妙。

三、網絡犯罪偵查中身份同一性認定的方法

現實空間中有了檢材和樣本，便可以進行同一性認定。那么，在網絡空間中如何進行檢材和樣本的同一性認定？檢材的屬性信息總是具有指向性，這一特性在網絡空間中變得尤為明顯。例如現場空間犯罪現場發現一43碼的鞋印，此檢材就指向了一類樣本。在網絡空間中發現一IP地址，則此“檢材”則指向了全球唯一的IP地址（樣本）。根據網絡空間中檢材的特性和網絡空間的自身特性，筆者分別從網絡工程學和社會工程學兩個學科角度，提出了三種網絡犯罪偵查中身份同一性認定的方法。依賴網絡工程學中的網絡協議（指的是TCP/IP四層），以網絡接口層和網際層為依據，推出了基于網絡定位的身份同一認定方法。以傳輸層和應用層為依據，推出了基于網絡賬戶信息的身份同一性認定方法。依賴社會工程學中的信息獲取手段⑤和信息基礎，推出了基于大數據挖掘和分析的身份同一性認定方法。

（一）基于網絡定位的身份同一性認定

網絡犯罪行為人在網絡空間中實施行為，必定直接或間接地借助于網絡終端設備；每個連接到互聯網中的網絡終端設備存在一個全網唯一的IP地址。若使用聯網服務（即擁有全網唯一的IP地址），則用戶需要同網絡服務提供商（Internet Service Provider，其后簡稱ISP）簽訂服務協議（簽訂協議時雙方身份的真實有效性是不言而喻的），ISP負責分發用戶所使用的IP地址。若在網絡犯罪案件中得知某IP地址⑥，通過ISP查詢便可以知道是哪一地區的IP，再結合當地ISP，便可以知道是哪一戶在使用該IP，通過上述IP定位方法，便可給網絡犯罪偵查提供了偵查方向。因此，在網絡犯罪偵查過程中，可通過ISP根據IP使用者的用戶信息找尋網絡設備終端所在地，進而結合現場勘驗等手段識別出犯罪嫌疑人。上述中并沒有約束網絡范圍，可以是全球互聯網也可以是某企業內部局域網⑦，皆可使用上述方法查找網絡犯罪行為人的行蹤。

網絡犯罪案件中基于網絡定位的設備有兩類，一是移動終端，例如智能手機和無人機之類的移動終端設備；二是固定終端，例如個人電腦和網絡服務器之類的固定網絡終端設備?，F移動終端常用的定位技術有全球定位系統（Global Positioning System，簡稱GPS）⑧和移動定位服務（Location Based Service，簡稱LBS）⑨，其主要應用在基于網絡賬戶信息、數據挖掘和分析后的身份同一性認定⑩和犯罪嫌疑人的追蹤逮捕中。

固定終端常用的定位技術為互聯網協議地址（Internet Protocol Address，簡稱IP）+媒體訪問控制地址（Media Access Control，簡稱MAC）11定位。但是，IP+MAC的定位方式在技術層面上完全可以做到“虛假的IP+MAC”12。多數情況下，通過網絡日志數據獲取犯罪行為人的IP+MAC后，最精確的結果是定位到一臺網絡終端設備，通過對該終端的分析來證明查明的IP地址所指的終端為該終端（依據特定時間段內作出相應的網絡行為）。但僅通過獲取的IP地址并不能直接證明是終端所有人或聯網賬號所有人所做出的網絡行為13，即IP地址作為身份同一性認定證據的關聯性難以得到保證。為了解決該問題，在獲得網絡設備的位置后，對目標設備的檢驗過程中，（1）應著重審查終端設備和上網賬號所有人“單機”中的事件數據和應用數據14；（2）利用“單機”數據同網絡服務提供商提供的犯罪行為人的事件數據和應用數據進行關聯性分析；（3）再結合設備和賬號的所有人的現實空間活動軌跡信息，進而完成網絡犯罪中現實行為人身份與網絡身份的同一性認定。

（二）基于網絡賬戶信息的身份同一性認定

隨著《網絡安全法》的出臺，用戶“實名制”15這一要求被推了出來，將其作為保障，有效的降低了網絡犯罪的偵查難度同時加劇了網絡犯罪的成本。因此，在打擊網絡犯罪中可利用網絡賬戶實名制這一硬性要求，結合網絡服務商獲取相關網絡犯罪行為人的網絡賬戶信息，進而有效打擊網絡犯罪。網絡賬戶信息指用戶在網絡運營者提供的平臺中所使用的以唯一的用戶ID而標識的一系列賬號屬性信息，唯一的用戶ID標識一個用戶且應當同用戶現實生活中的真實身份進行綁定，一個用戶的賬號屬性信息則包括用戶記錄信息和用戶事件信息。用戶記錄信息的控制權由用戶直接控制（網絡平臺在合法狀況下也可以進行控制），用戶可以實現對其信息的增刪改查操作。而用戶事件信息的控制權由網絡平臺控制，以方便平臺對用戶行為的合法性進行審查。對網絡賬戶信息的收集，原則上是在合法前提下收集一切可收集、可能相關的數據，從中提煉出網絡身份特征信息，分析得出身份特征，從而完成身份同一性認定[6]。

在網絡空間中犯罪需要借助其網絡平臺才能實施其犯罪行為，而在實施犯罪的前提則是需要在平臺注冊賬戶——成為平臺的用戶。依據《網絡安全法》第24條，其行為人在平臺進行注冊必然要進行實名制。因此，若是行為人在網絡空間中實施犯罪行為，其服務提供商可立即知曉網絡賬戶所對應用戶的真實身份。依據《網絡安全法》中的第28條“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助”。因此，公安機關亦可立即知道網絡犯罪行為人的“真實身份”，繼而可立即進行追蹤其用戶和用戶設備位置（可依據公安內部系統和網絡定位技術追蹤用戶和設備位置），再結合現場勘驗，進而完成網絡犯罪事件-涉案設備/場所-犯罪行為人的同一性認定。

（三）基于大數據挖掘和分析的身份同一性認定

上述兩種身份同一性認定方法基本可以解決大部分傳統的網絡犯罪案件?；诰W絡定位的身份同一性認定和基于網絡賬戶信息的身份同一性認定針對網絡犯罪偵查有以下措施和不足:（1）以網絡為對象的犯罪（危害計算機信息系統安全犯罪案件），通過網絡中間節點日志和網絡服務器日志獲取IP地址，進而聯合ISP獲取IP所對應的用戶信息，進而完成網絡犯罪的偵查；缺點是，不便于（或者說無法）追蹤（利用網絡技術產生的）虛假的流量包數據所造成的網絡攻擊。（2）以網絡為工具的犯罪（通過危害計算機信息系統安全實施的盜竊、詐騙、敲詐勒索等犯罪案件），可以利用基于網絡定位的方法進行偵查。而實施的詐騙、敲詐勒索案件等可以利用網站賬號信息進行偵查。缺點是:網絡犯罪中涉及的比特幣之類的加密虛擬貨幣，暫且沒有良好的偵查辦法。（3）在網絡空間中的犯罪（在網絡上發布信息或者設立主要用于實施犯罪活動的網站、通訊群組，針對或者組織、教唆、幫助不特定多數人實施的犯罪案件），則可以結合網絡服務提供商，獲取網絡IP信息和賬戶信息，進而完成網絡犯罪的偵查。缺點是，若是網絡犯罪行為人，利用虛假身份16實施網絡犯罪行為，利用上述方法便不能對該問題進行有效解決。

針對上述兩種方法未解決的問題，可利用大數據挖掘和分析的手段進行補充偵查。以案件相關的現場勘驗獲取的物理設備進行的取證線索和遠程勘驗的網絡空間中的取證線索為依據，依托互聯網服務進行橫向（互聯網數據搜索）17和縱向（專庫搜索）18進行數據挖掘和分析。根據已有線索結合上述縱橫兩種數據收集方法，收集一切合法情況下可收集的數據，運用特定的數學模型和分析方法對海量數據進行計算，繼而進行數據綜合處理分析（例如，數據碰撞、數據挖掘、數據畫像、熱點分析、犯罪網絡分析）[7]，處理后得出行為人信息，最終進行行為人身份判斷以完成網絡犯罪身份同一性認定。

四、結語

本文從傳統犯罪偵查的身份同一性認定問題，引申到網絡犯罪的身份同一性認定問題，繼而，對網絡犯罪進行分析得出犯罪行為為“個體”到“單機”到“網絡”的犯罪行為軌跡，同時提出對于網絡犯罪偵查必須要面臨的身份復雜性、系統依賴性、技術對抗性的棘手問題。其核心問題是解決身份同一認定的問題。

文中分析了網絡空間中身份同一認定的前提，從傳統網絡犯罪偵查中適用洛卡德交換原理，到證明在網絡犯罪偵查中適用洛卡德交換原理，繼完成而由檢材到樣本的同一認定。在網絡空間中檢材到樣本的認定，不同于現實空間中的認定，筆者從網絡工程學和社會工程學兩個學科角度，提出了基于網絡定位的身份同一認定、基于網絡賬戶信息的身份同一認定和基于大數據挖掘和分析的身份同一性認定的認定方法，繼而網絡犯罪偵查中的同一認定問題便可以迎刃而解。本文因為為可以將洛卡德交換原理完美適用到網絡犯罪偵查中，為網絡犯罪身份同一認定提供理論依據。基于此拋磚引玉般的提出了三種身份同一性認定方法，但在網絡犯罪身份同一認定中仍具有一定的指導意義。

[注釋]：

①兩高一部出臺的《關于辦理網絡犯罪案件適用刑事訴訟程序若干問題的意見》中的第1條規定了網絡犯罪的內容：（1）危害計算機信息系統安全犯罪案件；（2）通過危害計算機信息系統安全實施的盜竊、詐騙、敲詐勒索等犯罪案件；（3）在網絡上發布信息或者設立主要用于實施犯罪活動的網站、通訊群組，針對或者組織、教唆、幫助不特定多數人實施的犯罪案件；（4）主要犯罪行為在網絡上實施的其他案件。

②質量守恒定理：在任何與周圍隔絕的物質系統（孤立系統）中，不論發生何種變化或過程，其總質量保持不變。

③網絡終端：指連接到互聯網中，具有網絡地址，且可以發送和接受網絡數據包的設備；例如，個人電腦、智能手機、智能家電等。

④網絡運營者：《網絡安全法》中第76條第三款“網絡運營者，是指網絡的所有者、管理者和網絡服務提供者”。筆者認為，網絡所有者指，用戶所使用的網絡服務提供商（ISP），例如中國的三大網絡運營商；管理者為用戶所在網絡管理者，例如學校內部網絡管理部門、企業內容網絡管理部門；網絡服務提供者為網絡平臺提供商，例如網站站長、網絡應用提供商等。

⑤社會工程學中的信息獲取手段：信息源數據獲取、誘導、偽裝等；推薦參考《社會工程：安全體系中的人性漏洞》[美]Christopher Hadnagy著，陸道宏，杜娟，邱璟，譯，人民郵電出版社。

⑥對于網絡或網絡平臺攻擊的犯罪，可以通過網絡中間節點（例如：路由器、交換機信息等）信息獲取犯罪行為人IP地址；以網絡為工具和在網絡空間中的犯罪，亦可通過網絡中間節點信息，也可通過（合規要求的）平臺日志數據獲取用戶的IP地址。

⑦企業內部網絡（或稱局域網、內網）中的IP地址是由企業內部的網絡管理中心負責分配和管理。

⑧全球定位系統，基于網絡終端GPS模塊實現，采用衛星定位，一般情況定位精度1米以內。

⑨移動定位服務，基于手機SIM卡與網絡基站溝通以實現定位，定位精度同手機信號、基站有關。

⑩此身份同一性認定，指根據分析后的案件線索結合行為人個人信息和行為人所擁有的移動終端設備的軌跡，三者進行聯系分析，繼而進行身份同一性認定。

11 IP為上網終端的網絡地址，連接到互聯網中的所有網絡設備均有一個全網唯一的IP地址；MAC為上網終端的本地地址，每個上網設備均有全球唯一的MAC地址?？珊唵卫斫鉃?，上網時需要網卡設備方可聯通網絡服提供商使用上網服務，繼而獲得網絡服務提供商分配的網絡地址--IP。

12 虛假的IP和MAC：①通過網絡技術虛構網絡數據包，編造網絡地址，常用于針對網絡的攻擊，例如DDOS泛洪攻擊、ARP欺騙攻擊等；②通過肉雞或VPN等跳板，進而隱藏了真實地址，一般傳統的網絡攻擊皆使用此方法。

13 列舉兩種情況：①網絡終端被黑客遠程控制，稱為肉雞或跳板，其網絡行為為遠端黑客實施；②實質網絡操作者并非獲得該IP的行為人，可以其他人—朋友、同事、鄰居等，使用該網絡終端進行網絡犯罪行為的實施。

14 事件數據是指用戶的操作行為數據，主要在日志中記錄，例如系統開機、啟動的服務等；應用數據是指用戶所操作的“對象”數據，包括應用本身和該應用產生的數據，例如使用遠程登錄軟件這一“對象”和遠程登錄所產生的交互數據等。

15 《網絡安全法》第24條網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

16 此處的虛假身份是指：使用別人的賬戶、設備、身份信息等，從而隱藏了真實的行為人身份。

17 互聯網數據搜索包括：百度搜索、谷歌搜索等搜索引擎獲取的泛數據信息。

18 常用的專用數據庫主要有：公安機關自有八大系統數據庫、檢察機關自有數據庫、社會行業數據庫、政府數據統一開放平臺等。