計算機網絡犯罪“人機合一”問題的識別與探索

王豐

摘 要：計算機網絡犯罪案件數量日益增長。因該類犯罪的特殊性，案件辦理中如何鎖定犯罪嫌疑人成為突出問題。當前對計算機網絡犯罪案件電子證據的取證、審查的研究探討已達白熱化，但辦案實踐中對確定案件嫌疑人等證據鏈的實質性審查還停留于辦理傳統刑事案件的固有思維。在現有條件下高效、客觀辦理計算機網絡犯罪案件，不僅需要立足于新的證據模式，更需要在新證據類型下探究新的審查模式，才能做到不偏不倚、有的放矢。

關鍵詞：網絡犯罪 人機合一 遠程取證 電子證據

計算機網絡犯罪案件中，如何確定犯罪人與犯罪事實同一性，即“人機合一”的識別，已經成為橫亙在司法工作人員面前的難題。認識和理解“人機合一”問題，不僅是刑事程序問題，更是事實評價問題。

一、識別：“人機合一”的內涵與特征

（一）何為“人機合一”

計算機網絡犯罪案件中的“人機合一”與人工智能領域的“人機合一”在內涵和外延上均大相徑庭。人工智能領域的“人機合一”又名“人機交互”，即系統（機器）對用戶要求的理解和服從。[1]而計算機網絡犯罪案件中的“人機合一”則著眼于客觀行為與行為人的同一，強調的是人對系統（機器）所發出的指令或操作行為。“人機合一”問題的存在，主要在于解決犯罪行為系“何人所為”的問題。由于計算機網絡犯罪具有操控行為的遠程性、手段隱蔽性等特征，即使發現犯罪行為，也很難立即確定犯罪人，這是導致該類案件發生后無法及時被偵破的主要原因，也是目前其進入刑事訴訟進程后遭遇到的首要問題。

（二）“人機合一”的特征

1.“人機合一”是進行刑事立案的前提。刑事訴訟法要求發現有犯罪事實或犯罪嫌疑人才可進行刑事立案，說明犯罪事實和犯罪嫌疑人的確定不僅是立案的要求，也是確定管轄的要求。兩高一部相關司法解釋確定計算機網絡犯罪案件的管轄的規定中，明確與犯罪嫌疑人有關的網站服務器所在地等多個地點均有管轄權。由此可見，無論是確定立案標準還是確定管轄地，都需要確定犯罪事實的發生和犯罪嫌疑人的存在。而解決“人機合一”問題的主要目的在于確定犯罪人和犯罪發生地，這是區分一個行為是否構成刑事犯罪的前提。

2.“人機合一”是實施案件偵查的目的。追究犯罪人的刑事責任是刑事訴訟的核心目的之一，這要求偵查機關把握證據，鎖定犯罪嫌疑人。計算機網絡犯罪的發生、發展離不開嫌疑人的操控，而該類犯罪具有的隱蔽性等特征客觀上又造成了確定、抓獲嫌疑人的過程中會出現諸多難題。近年來刑偵技術、手段的發展，雖然為案件的查處提供了極大幫助，但面對高智能性、隱蔽性集中的計算機網絡犯罪案件，確定犯罪主體已不能固守原有偵查思維的窠臼。確定犯罪嫌疑人在何處，操縱哪些計算機網絡終端設備/系統，使用哪些網絡服務設備以及獲得哪些網絡服務商的幫助，都是該類案件中必須要查明的事實。

3.“人機合一”是推動訴訟進程的核心。刑事訴訟的核心任務在于確定行為主體、查明犯罪事實并科以刑事處罰。圍繞確定行為主體這一問題進行取證、論證，無疑就抓住了追訴犯罪的核心。“人機合一”問題正是計算機網絡犯罪案件的證據鏈核心，一切訴訟活動均要服務于發現、解決該問題，并最終達到“犯罪事實清楚、證據確實充分”的標準。

二、探究：“人機合一”下的偵查與取證

與傳統犯罪形式相比，計算機網絡犯罪缺少物質性痕跡，其犯罪目的與動機的特殊性、犯罪證據的即時性和不可物化性特征，使得該類犯罪行為不易被發現、識別和偵破，也導致難以確定犯罪主體及其行為，這是“人機合一”問題出現的根源。

（一）做實信息研判，確定偵查策略

在計算機網絡犯罪案件中，許多被害人在報案時并不能確定犯罪人的身份、所在地或具體行為，這需要偵查機關在接到報案后迅速展開線索篩查，及時確定嫌疑人及其犯罪行為，為實施抓捕和取證提供指引。

1.誘惑犯罪行為，掌握犯罪動向。（1）針對計算機網絡系統的技術型犯罪，如黑客攻擊、非法竊取、刪改各種信息、數據等行為，可建立與原系統相似的模擬系統，而當嫌疑人再次實施類似行為時，將其誘入到虛擬系統中來，而將真正的信息系統隱藏起來，利用此類技術手段鎖定嫌疑人。鑒于各類網絡犯罪的論壇層出不窮，偵查人員也可偽裝成有共同訴求的黑客，在網絡聊天室或論壇上與其建立聯系，“以黑制黑”，也可同步實施秘密取證。[2]（2）針對通過計算機網絡實施侵財類或者破壞國家社會管理秩序類的犯罪，如網絡“黃賭毒”犯罪，偵查人員可通過假扮消費者來秘密取證，這與傳統類型的誘惑偵查方法相似。

上述“誘惑”式偵查，其目的在于確定嫌疑人和犯罪行為的存在，為獲取嫌疑人信息提供幫助。在設置模擬陷阱時要注重原有數據的保護，對其進行鏡像備份，并應對網絡系統進行實時監控。在實施上述偵查活動時，偵查人員切勿為抓捕而進行“釣魚”式偵查，否則將影響全案的合法性處置。

2.使用技術手段，追蹤犯罪人員。在追蹤、定位犯罪人員上，不僅要依靠偵查機關自身的技術手段，也需依賴社會第三方技術力量的支持。（1）利用技術手段確定犯罪人員所在區域和硬件狀況。除了少數網絡攻擊類犯罪外，多數普通涉網類犯罪行為均可對犯罪人員進行監控追蹤。以傳統的IP追蹤技術為例，利用IP地址分析技術，結合ISP服務商提供的數據，以確定嫌疑人的具體位置及所在網絡屬性、操作系統、用戶類型等物理信息，這一技術早已得到廣泛應用。[3]同時，可通過分析入侵者所使用的網絡軟件及手段，對其特征進行分析，進而通過相關數據的收集與分析，確定其具體信息。時機一旦成熟，就可對其實施抓捕。（2）利用新型支付數據完成對犯罪人員身份等信息的鎖定。在以“非法牟利”為目的的網絡犯罪領域，多數交易行為均以支付數據來體現。偵查機關可以借助支付平臺提供的相關支付數據來判斷嫌疑人的身份和財產信息。相較于其他技術追蹤手段，這一方式具有及時性、低成本性等優點，目前已被廣泛應用于網絡技術、侵財類案件的偵破中。

（二）關注“犯罪現場”，固定一手證據

在計算機網絡犯罪案件中，“犯罪現場”并非一般意義上的“犯罪人實施犯罪行為的場所”，不僅包括行為人操控計算機系統（硬件）的現場，例如存放計算機硬件設備的區域，也包括被行為人所利用，用于接收操控指令并實施犯罪行為的網絡終端設備所在地，例如機房、服務器托管方等地。確定“犯罪現場”是鎖定“人機合一”的關鍵，只有在“犯罪現場”發現行為人操控設備實施犯罪的相關證據，才能確定犯罪行為人，實現排他目的。針對“犯罪現場”的取證，關鍵在于硬件設備的扣押、提取和電子數據的勘驗、固定。

1.現場控制與戒備。計劃好的偵查、抓捕活動實施后，偵查人員應即刻控制全部在場人員，保證各硬件、終端前的原有人員停止操控、不可移動，并立即將在場人員與其被抓捕前所使用的硬件設備進行逐一編號，做到“人機一一對應”，為下一步固定個人行為打好基礎。

2.固定、隔離犯罪現場。禁止無關人員進出現場或接觸現場設備，現場物品一律禁止翻動或帶出，對現場的網絡設備等物品及現場布局進行拍照。同時，要即刻切斷現場設備的聯網線路，以防止他人遠程刪除或破壞犯罪證據。如因工作需要無法斷開聯網線路，應立即更改有關的網絡口令或密碼，防止數據丟失。[4]

3.提取、固定現場電子數據。對現場已確定收集的數據進行復制備份，復制過程應按照法定流程實施。對復制的電子數據，在確定不破壞現場的前提下，可通過正常顯示后拍照或打印，后由見證人確認簽字進行證據固定，并根據上述勘查情況及時制作《現場勘查筆錄》和現場圖。

4.遠端數據的同步調取。除涉案人員被抓獲的第一現場外，非第一現場（機房、服務器所在地等）的設備數據也應安排技術偵查人員同步調取、固定。對于云端服務器上的數據，應在抓捕的同時要求運營商停止服務，并按偵查機關要求調取服務器日志等數據，在抓捕后及時提交。另外對可能存在犯罪痕跡及偵查線索的非現場物品（網絡設備、數據備份、數據存儲介質等）可異地進行登記封存，防止有關設備損壞或存儲數據遭到破壞，待該案刑事訴訟結束后，視情況決定是否解封。

（三）重視言詞證據，完善案件信息

盡管偵查活動的關鍵核心在于獲取客觀性證據，以證實“人機合一”中系“何人”使用“何機”實施了犯罪行為。但因計算機網絡犯罪過程隱蔽，往往只有涉案人員才了解作案過程，很難有其他第三方證人（技術提供者除外）知曉其中詳情。因此，犯罪嫌疑人對于作案過程的供述和辯解以及被害人關于受害過程的陳述尤為重要。

1.犯罪嫌疑人的供述和辯解。核實身份。嫌疑人的身份，不僅包括姓名、年齡、職業、工作、住址、手機號碼、有無前科等現實身份信息，還應包括犯罪嫌疑人在網絡活動中使用過的虛擬身份。涉及共同犯罪的，應當訊問同案人員的上述身份信息。同時，應關注嫌疑人有無信息技術知識背景，是否涉及專業人才網絡犯罪。

核實作案工具。嫌疑人在網絡活動中使用過的作案工具，包括QQ、微信、直播平臺等社交工具;移動支付、銀行賬戶等支付結算工具;電腦、手機等硬件設備;利用第三方網絡平臺或通過第三方服務器自行建立的平臺;作案工具的獲取方式、存儲狀態（硬盤、郵箱）等。現場提取的電子證據可由有關單位或個人出具包含其內容的書面證明，證明的內容應與勘驗檢查筆錄中記錄的內容相符，并交嫌疑人核實。

核實作案過程。嫌疑人實施網絡犯罪行為的具體時間、地點、角色、作案手段及獲取財物的方式、資金流向等。涉及共同犯罪的，應當訊問同案人員間的溝通、分工模式、贓款贓物分配方案等情況。有條件的，應當在第一次訊問嫌疑人時即讓其操作演示作案經過（包括使用賬號、密碼登錄涉案網站、軟件等），并同步錄音錄像或截圖保存。由偵查人員操作的，應當將操作經過交嫌疑人核實。

對嫌疑人的訊問過程，不僅要求供述、解釋作案的過程，更重要的是聽取其對作案行為的辯解。在確定相關軟、硬件設備由嫌疑人操作的基礎上，通過其供述了解作案的原理及流程，核實其作案行為，方能做到“事半功倍”。

2.被害人陳述。核實身份，包括被害人等涉案人員的現實身份和網絡虛擬身份。重點查明基本身份信息和網絡支付、社交工具信息，以及是否為弱勢群體（殘疾人、老人、未成年人、在校學生等）。

核實發案經過。包括被害人遭受損失時使用的網絡虛擬身份及與對方交涉、造成損失的具體經過，被害過程中涉及本人及對手使用的網頁網址信息、支付結算工具、網絡通訊工具以及造成損失的具體情況。

核實報案情況。對于未報案的被害人，詢問未及時報案的原因;已報案的，應調取之前的報案記錄進行核實。對于被害人能夠提供相關被害證明材料（如網站、鏈接等）的，偵查人員應當記錄并調取，作為證據使用。若被害人無法提供相關證明材料，但與其他已報案的被害人屬于相同被害模式的，在其有詳細陳述之后可將已報案被害人提供的證明材料交由該被害人閱看、確認。偵查人員也可在有條件的情況下，在詢問時讓被害人操作、演示案發經過并對相關證據進行固定;由偵查人員操作的，應當將操作過程交由被害人核實。

非主動報案被害人的處理。由于同一案件中有相當數量的被害人無法在第一時間發現其受害的事實，公安機關可根據相關證據倒查后發現被害人。一般情況下被害人會分散于各地，這也給取證工作造成較大困難。偵查機關通過協查方式發現、找到被害人的，可按照前述的詢問方式對該被害人進行取證。

三、求索：“人機合一”審查與確定

“人機合一”問題著眼于犯罪主體與犯罪客觀方面的關系，即論證“人”與“機”之間的關系，而計算機網絡犯罪案件的特殊性要求必須綜合分析所獲取的全部證據。因此，如何整合證據并形成完整證據鏈，是辦理此類案件的關鍵。

（一）審查犯罪主體

1.審查犯罪主體的身份及所處環境。對嫌疑人不僅要審查其刑事責任能力，更重要的是審查其身份、技術背景，包括其所受的教育、職業、喜好、社會關系、所在區域環境等等。通過其供述和辯解以及所調取的涉及其身份信息等書證，審查其教育、職業特點，可以知悉其犯罪能力，例如網絡信息專業人員具有此類犯罪的天然優勢;審查其喜好或社會關系（所處環境），可以得知其犯罪成因，例如許多電商類詐騙的嫌疑人往往是淘寶賣家，從事電信網絡詐騙活動的人員多數來自福建等地。

2.審查犯罪主體的利益需求。實施犯罪必有所圖，利益需求正反映出嫌疑人主觀上的犯罪意圖。審查利益需求，不僅要看其供述或辯解，更要注意其犯罪收入、資金流動和銷贓方式。根據從銀行及第三方網絡支付平臺調取的嫌疑人交易記錄，查找其獲取資金的渠道、賬戶特點，是否有洗錢的行為，進而反推其獲利來源的非法性。同時有必要結合對嫌疑人使用的網絡終端或硬件的電子勘查記錄，查明其作案工具中有無交易記錄，通過硬件設備中交易記錄的印證，更容易判斷嫌疑人的主觀故意和客觀行為。

（二）審查客觀行為

1.審查初查線索，勘查犯罪痕跡。審查客觀行為的主線，始于通過偵查機關提供的被害人報案材料，可以發現其遭受損失的時間、地點及方式;并結合偵查機關的發、破案經過，進一步明確公安機關確定嫌疑人的偵查過程。在明確這一主線的基礎上，利用公安機關在初查時發現的各類犯罪痕跡，例如對被害人硬件設備勘查的電子數據，或者被害人遭受財產損失的交易記錄，可以印證偵查機關的偵查路徑與方式是否得當，說明犯罪主體的嫌疑來源是基于客觀證據得出。

2.追蹤犯罪痕跡，確定作案設備。現有偵查手段下，確定犯罪嫌疑的主要方式是被侵害方設備中的犯罪痕跡與嫌疑人所使用設備中的犯罪痕跡具有同源性。例如，在DDOS攻擊案件中，通過被攻擊網站服務器日志的勘查可發現其攻擊流量來自某臺被該DDOS攻擊軟件控制的“肉機”（服務器），而對該“肉機”服務器日志的勘查發現攻擊指令來源于某個硬件終端，而對該終端的勘查則發現安裝DDOS攻擊軟件并有指令發出，據此即可確定嫌疑人所使用的設備。[5]至于其中的技術問題，則需要偵查機關提供一系列詳實、可靠的勘查、實驗報告或鑒定意見，通過審查這些報告或結論，輔之以其他專業人員證言等技術類證據，核實作案設備的使用情況，并鎖定作案嫌疑。

3.整合犯罪設備，證實行為歸屬。即使發現了作案設備并確定其權屬，仍會有部分嫌疑人提出未實施操作行為的辯解。此時則需要回顧之前發現的一系列犯罪線索等證據，通過對犯罪設備進行勘察后提取的數據，與嫌疑人的身份背景信息、操作信息及交易數據等一系列電子數據相整合，確定系其操縱該設備實施了犯罪行為。當然，因個案差異，這里需要具體問題具體分析，但遵循上述分析模式，相信得出的證據鏈可以證實全案的主要犯罪事實。

注釋：

[1]參見吳玲達等：《多媒體人機交互技術》，國防科技大學出版社1999年版，第3頁。

[2]參見殷啟新、賈學明、陳煜：《計算機網絡犯罪偵查技術及策略研究》，《計算機安全》2008年第4期。

[3]參見張躍仙：《網絡犯罪偵查的IP定位跟蹤技術研究》，《信息網絡安全》2011年第6期。

[4]參見王軍：《網絡犯罪偵查中證據體系的建立》，《網絡安全技術與應用》2003年第10期。

[5]參見張永錚等：《DDOS攻擊檢測和控制方法》，《軟件學報》2012年第8期。