唐 涵，胡 犇

（中国人民公安大学，北京100038）

信息化视角下的网络犯罪案件侦查模式

唐 涵，胡 犇

（中国人民公安大学，北京100038）

随着信息化向纵深发展，信息化侦查也不断深入。为适应侦查更为智能的网络犯罪案件的需要，网络犯罪案件的侦查模式须由传统的案—机—人、人—机—案、案—机—案的模式向以情报信息为前提的作案手段—机—人、高危人员—机—人、银行信息—机—人、特殊样品—机—人、网上遗留信息—机—人的侦查模式转变。

信息化；网络犯罪案件；侦查模式

网络犯罪有广义和狭义之分。广义的计算机网络犯罪，突出以计算机为工具和对象来实施犯罪，具体是指行为人运用计算机网络实施的有关金融诈骗、盗窃、窃取国家机密及其他的相关犯罪行为的总称；狭义的计算机网络犯罪，突出以计算机为犯罪的对象，仅指行为人违反国家规定故意侵入国家、法人、自然人或其他组织的计算机网络信息系统，或利用各种手段对其信息系统进行破坏，从而使其无法正常运行且造成严重后果的行为，包括以计算机信息系统为犯罪对象的行为及危害计算机信息系统安全的行为。[1]

一、传统的网络犯罪侦查模式

模式指可以作为范本、模本、变本的式样。侦查模式是指侦查主体进行侦查活动时所采用的程式。[2]传统的网络犯罪侦查模式一般有三种：案—机—人模式、人—机—案模式、案—机—案模式。

（一）案—机—人模式

案—机—人模式以特定犯罪案件发生为前提。[3]例如：公安机关接到群众的举报发现了色情网站,某些单位企业因为计算机系统被非法入侵或者重要数据被篡改而报案，被害人因为遭到网络诈骗而报警等。这种侦查模式的侦查起点是网络犯罪案件已经发生，侦查思路是从犯罪结果追寻造成犯罪结果的对象，侦查途径是发案—确定作案计算机—确定作案计算机的物理位置—发现犯罪线索—确定犯罪嫌疑人—破案。这种侦查模式最主要的任务就是要通过犯罪嫌疑人在网络上留下的信息来确定作案计算机的物理位置。目前公安机关一般是通过IP地址、PingPro程序、堆栈指纹、NMAP网络侦查软件以及专门的网络侦查软件等方式来确定作案计算机的物理位置。（见下图）

（二）人—机—案模式

人—机—案侦查模式，是指侦查人员以侦查基础业务、专门侦查手段为依托，从个体或群体在计算机网络中暴露出来的、与犯罪相关联的网络行为或嫌疑信息入手，确认其行为与特定网络犯罪案件之间的联系的侦查方式。人—机—案侦查模式以犯罪嫌疑人已经确定为前提。这里的“人”是指在刑嫌调控、阵地控制中发现的犯罪嫌疑人，或者是在办理网络犯罪案件中发现新的犯罪成员，在审理现行网络犯罪案件中发现余罪未清的惯犯、累犯、流窜犯，以及其他在办案中扩大战果进而发现的犯罪对象。收集和提取这些犯罪嫌疑人的网络信息，如QQ号码、使用的计算机的IP地址、电子邮箱、微博信息、网上银行信息等，分析评判这些网络信息是否与已发的网络案件有关，找到犯罪嫌疑人与这个网络信息的对应关系，从而破获案件。

（三）案—机—案模式

案—机—案模式是上述两种模式的综合运用。公安机关在侦查网络犯罪案件时，将可能是同一个或同一伙犯罪分子所为的其他网络犯罪案件串并起来，综合分析，利用每一起案件所蕴含的相同或者相似的网络信息。如相同的QQ号码、电子邮箱、虚拟账户，微博信息，相同或相似的网络诈骗方式和手段，相同或相似的入侵计算机系统的方式，篡改相同或相关的计算机信息等。选择以上这些有利于侦查的突破口，实现侦破此案并且带破彼案的目的。

二、信息化视角下网络犯罪案件侦查模式的前提

情报信息主导警务不仅是国家信息化战略中的一部分，也是应对和打击犯罪智能化、高科技化的必然要求。情报信息主导侦查是情报信息主导警务的重要组成部分，它为网络犯罪案件的侦查提供了一种全新的侦查模式。但是这种新的侦查模式必须以一系列的情报信息为前提，如果没有一个完备的情报信息系统，那么就无法使用这种侦查模式。网络犯罪案件的情报信息系统应该包括以下内容：

（一）网络犯罪案件信息库

网络犯罪案件信息库包括已破案件和已发案但尚未破获的网络犯罪案件的情况。具体包括网络犯罪案件的性质、作案手法和特点、犯罪嫌疑人情况、侵害对象的情况、网上遗留的信息等。重点是网络犯罪的作案手法和特点，如上网规律、上网方式、网上主要活动、选择对象、具体侵入方式、口令（密码）破解技术、作案目的等。

（二）网络犯罪分子和高危人员信息库

网络犯罪分子和高危人员信息库包括被公安机关打击过的网络犯罪分子和极有可能实施网络犯罪的高危人员的所有信息。具体包括：基本信息（姓名、性别、住址、职业、主要关系人）、受教育情况（所学专业）、QQ号码、网名、微博、电子邮箱、手机号码、通讯住宅地址、IP地址、上传到网络上的照片、网上金融账户信息以及同案犯罪人员情况等。

（三）网络犯罪案件线索信息库

与传统的网络犯罪案件侦查模式不同，信息化视角下的网络犯罪案件侦查模式是一种主动性、前瞻性的侦查模式，它更强调公安机关在日常工作中对网络犯罪案件线索的收集、分析和研判。网络犯罪案件线索信息库包括：网络系统获取的案件线索信息、跟踪监视获取的案件线索信息、打击网络犯罪网站所获取的案件线索信息、网络投诉中心获取的案件线索信息，对黑客行为监控获取的案件信息等。

（四）特殊样品信息库

侦查人员在侦办网络犯罪案件时，应十分注意对具有代表性的案件进行详细的分析，整合案件中包含的信息。注意收集特殊的非法侵入计算机系统方式、黑客攻击技术、网络病毒样式、特殊的网络诈骗手段、钓鱼网站的页面设置形式、上传到网络上的人物照片等信息。

三、信息化视角下网络犯罪案件侦查的模式

（一）作案手段—机—人模式

在正确分析案件的基础上，利用犯罪人的作案手段特点查询信息系统。网络犯罪案件中作案手段越具特定性，利用信息系统排查的范围就越小，排查结果就越准确。侦查人员可以根据犯罪人的作案手段，结合所掌握的网络犯罪案件信息、犯罪案件线索信息、特殊样品信息，圈定作案嫌疑人的范围；根据划定的范围调查这些嫌疑人在案发期间使用计算机的情况，确定作案计算机的IP地址，然后再利用传统的网络犯罪案件侦查模式确定出犯罪嫌疑人。

（二）高危人员—机—人模式

高危人员是指可能实施犯罪的人员，如何确定高危人员就成为能否使用这种侦查模式的关键。如果某一地区网络犯罪案件的手段十分特别，那么就可以把这些地区经常在网络上活动的人员确定为高危人员。如果某个或某些人经常通过QQ、电子邮件发布诈骗信息或者经常在色情等不良网站上出现，那么也可把这些人员列入高危人员。侦查时结合计算机IP地址进行数据碰撞，并对碰撞结果进行分析研究，筛选出可能的作案嫌疑人员，对具体作案嫌疑对象采取进一步的侦控措施，从而发现线索，破获案件。

（三）银行信息—机—人模式

此种侦查模式适用于网络诈骗等网络侵财案件的侦查。侦查人员根据案件情况，结合银行邮政汇兑中的可疑情况，确定作案计算机的IP地址。如短时间内由某一计算机频繁地进行网上金融交易，或不同的案发时间不同的计算机大量地与某一台计算机进行网上交易汇款。侦查人员分析的重点是结合汇款数额与案件损失金额的关联性，汇款人员或收款人员是否属于高危人员。以这些信息为基础，查找作案计算机的IP地址，进而确定计算机的物理地址，确定部分犯罪嫌疑人。

（四）特殊样品—机—人模式

利用特殊样品信息库中的黑客攻击技术、网络病毒样品、钓鱼网站网页设置样式、人物照片等信息进行主动的筛选，在日常的网络监管中，如果发现有特殊样品信息库中的信息出现，应及时记录，然后把新发现的信息导入特殊样品信息库进行数据碰撞，确定作案计算机的IP地址，进而确定该作案计算机的物理地址，确定部分犯罪嫌疑人。

（五）网上遗留信息—机—人模式

计算机网络是个虚拟空间，网络犯罪没有一般案件所具有的物理的可感知的犯罪现场,犯罪的时间同现实世界的时间并不对应，也没有一般案件中蕴含有丰富的信息并且可以勘查的现场。[4]但是根据物质交换原理，任何人类活动都会发生物质的交换，并且留下痕迹信息，网络犯罪案件当然也不例外。对于在网络上频繁出现的QQ号码、电子邮箱、网名、微博信息、手机号码、联系方式等务必及时收集，把收集到的这些信息输入网络犯罪案件的各种信息库中进行数据碰撞，确定作案计算机的IP地址，进而确定该作案计算机的物理地址，确定部分犯罪嫌疑人。

[1]王修珏.再探计算机网络犯罪侦查对策及其防范[J].科技广场,2 010(2).

[2]马忠红.情报信息的侦查模式与传统侦查模式之比较研究[J].警察技术.2007(6).

[3]刘品新.论网络时代侦查模式的转变[J].山东警察学院学报,2006(1).

[4]徐天合.网络犯罪案件侦查模式研究[J].江西公安专科学校学报,2008(3).

D631.2

A

1673―2391(2012)05―0127―02

2012—03—02

唐涵，男，四川会理人，中国人民公安大学。

中国人民公安大学学生创新科研项目——网络犯罪案件侦查模式研究（项目编号：11SKS023）研究成果。

【责任编校：边 草】