栾润生，王超强，李 娜

（1.安徽公安职业学院 安徽合肥 230088；2.亳州市公安局 安徽亳州 236800）

大数据时代的数据化生存模式和犯罪的数据化新生态[1]，需要我们审时度势、精心谋划、超强布局、积极应对。其中，比特币勒索罪是值得高度的一种新型犯罪活动。2017年，全球多地爆发了勒索病毒，有150多个国家的超过30万台计算机、10万个组织或机构以及个人受到感染，其中包括美国、西班牙、法国、德国、俄罗、英国以及中国等全球各地多个企事业单位、高校和部分政府机构计算机信息系统受到影响。对此类犯罪，我们要充分挖掘犯罪特点、理清犯罪脉络，做到深入分析、系统侦查、科学取证、全面治理。

2009年，一位名叫SatoshiNakamoto的计算机程序员发表研究报告：《比特币：一种点对点的电子现金系统》（Bitcoin：A Peer-to-Peer Electronic Cash System），表达了他对电子货币的创新思路[2]。比特币（BitCoin）作为一款开源软件，以P2P的网络形式存在的数字货币，但是这种货币不同于传统的货币，它的支付系统是去中心化，无第三方监管[3]。笔者认为，其没有内在价值不能兑换其他商品，但却在法律的边缘游走，比如暗网上的交易，大多数都是以比特币等价交换，同时，其没有实物形态，不具有法定货币，更无任何政府、法律实体监管支持。

2013年12月3日，中国人民银行等五部委联合发布了“关于防范比特币风险的通知”（以下简称《通知》）。该《通知》将比特币列为一种虚拟商品。《通知》要求：各大金融、支付机构不得从事与比特币有关的业务、服务和结算工具等；各交易平台、网站要切实履行好法律赋予的反洗钱义务，如：严格身份识别、及时提交可疑交易报告等，有效防范与比特币相关的洗钱风险①。2017年底，央行联合多部委，决定引导中国境内存在的虚拟货币矿场“有序退出”，但对区块链及其底层技术，则是持积极鼓励的态度。区块链分布式体系结构、数据验证和存储、对等网络协议、加密、一致性算法、身份认证、智能合约和云计算等多类技术是当前网络信息技术发展的主流。2016年12月，国务院发布的《“十三五”国家信息化规划》把区块链技术、量子通信技术等一系列新兴技术列为基础性创新研发和前沿性前瞻布局项目②[4]。

一、比特币敲诈勒索犯罪现状

（一）比特币敲诈勒索犯罪的特点

2017年5月，WannaCry蠕虫通过MS17-010漏洞在全球大范围爆发，感染了大量未打系统漏洞补丁的计算机（多为XP系统），感染并植入病毒，将电脑系统内的各类文件加密、锁闭，然后弹窗提示：需支付一定价值的比特币方可解锁。并要求受害者用户在一定时间内支付一定数量的比特币到攻击者给出的支付地址——比特币钱包中去，超过期限赎金金额将会逐渐增加[5]。

被病毒加密锁死的文件类型包括：

我们以比特币敲诈勒索犯罪在A省2017年间发生的多起案件为例，通过对其梳理，分析其特点、流程和相关犯罪后果。这是其侦查治理对策制定的重要依据。具体情况（如表1）。

表1 2017年A省比特币相关犯罪简表③

（二）比特币敲诈勒索犯罪构成

通过对比特币敲诈勒索犯罪进行解构，特别是从“WannaCry”事件来看[6]，比特币敲诈勒索犯罪及其他相关犯罪已经不再是所谓的“黑暗角落”，而是渐渐走向公众视野。

目前我国《刑法》针对计算机网络犯罪主要规定了4种罪名：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪；破坏计算机信息系统罪。

非法侵入计算机信息系统罪，本罪的犯罪对象是“特殊系统”。一般指使用木马等黑客手段，具有相当高的技术含量。但是，即使不使用技术手段，获取了“特殊系统”的账号密码登入查看、获取相关数据信息也构成“侵入”事实。

非法获取计算机信息系统数据和非法控制计算机信息系统的犯罪，是指除了侵入“特殊系统”之外的“普通系统”。

提供入侵和非法控制计算机信息系统里的程序、工具等的犯罪行为，其危害的是计算机信息系统的管理秩序。

破坏计算机信息系统的犯罪行为，具体而言有三种形式：破坏计算机信息系统功能；增删、修改或破坏计算机信息系统里的数据和应用程序；传播计算机病毒。

“WannaCry”病毒属于“蠕虫型病毒”，能够自我复制、传播，并且通过加密数据程序破坏了计算机系统的数据和正常功能，被攻击或感染的计算机信息系统的软件或硬件无法正常运行，计算机系统中的数据和程序被加密，无法正常使用。这种行为与破坏计算机信息系统罪的犯罪构成一致。对系统内加密的文件，声明支付一定比特币才能解密相威胁，明显是为了非法获利，符合敲诈勒索罪的犯罪构成。由此可见，病毒索财触犯了破坏计算机信息系统罪和敲诈勒索罪两个罪名。

2017年3月29日接黄某某报警称：2017年3月26日8时许，A省Y公司有限公司负责人黄某某发现其公司服务器计算机储存的文件均被加密，且该计算机桌面上收到一封英文邮件，该邮件称其公司计算机文件已被攻击加锁，如果想解锁的话，必须支付六个“比特币”。当时一个“比特币”价值5500元钱，6个“比特币”价值33000元钱，且该邮件同时标注了购买“比特币”的链接。

针对该起案件就是典型的“勒索病毒”案，且案发是在当年比特币大肆爆发的前两个月（2017年5月12日，比特币“勒索病毒”全面爆发）。黄某某随即报警，并描述了当时的情形。根据询问笔录，公司员工上班发现公司扫描等系统无法使用，随即查看服务器发现文件被加密并附有英文勒索界面，警方当时也是第一次遇到这种案件，而后立案侦查，开展工作。

后笔者回访得知：公司服务器密码设置过于简单并系统老旧存在攻击漏洞，后通过朋友获得一个解密程序并成功解密了部分被加密的文件。此类比特币犯罪的勒索钱财特征明显，作案技术手段先进，侦查困难较多，取证过程复杂，整体办案工作难度较大。

二、大数据背景下比特币敲诈勒索犯罪的侦查取证

（一）比特币交易过程解析

对于侦查取证工作来讲，梳理其交易流程至关重要。具体操作流程是：用户在比特币客户端发起一项交易时，这项交易会向全网广播并等待网络中其他用户节点的确认；网络节点把那些接收到并等待确认的交易机型打包，形成新的候选区块，并且通过计算随机字符串放入块中，使得候选块的散列结果满足某些条件，一旦节点计算满足条件的随机数字符串，这一区块即被视为“合法”，并可以尝试在网络中广播；当其他的网络节点对你广播出去的区块信息进行验证并且确认无误后，它作为一个合法的新区块添加到他自己维护的区块链上；当大多数节点将块添加到由其自身维护的区块链结构时，网络接受该块，并且确认块中包括的交易，从而完成交易[7]。区块链保存的记录，记录着每一笔发生的比特币交易，并且在这个记账系统开始时它就已经存在。而在网络中人们分享并保存着公众日志，每个人都会保存一个日志。在我们现实生活中的货币，大都是有一个中央机构来发行，这些机构控制着货币的发行量。比特币是一种“点对点”系统，没有中央机构和第三方。比特币是谁来发行的呢，实际上是由用户们来发行的，是这些用户促成了网络交易的进程，成为“比特币挖矿”。

（二）比特币敲诈勒索犯罪侦查取证难点

由于没有集中发行方、总量有限、使用不受地域限制和匿名性这四个主要特点④，导致涉及相关案件侦查取证存在一定难度。

1.匿名性：信息资料认证难。由于比特币在交易过程中没有第三方介入，买卖双方是点对点交易，且他们的身份是加密的，没有个人信息转移。由于比特币的去中心化，即主要的交易不在中心化交易所完成，即比特币的转账行为不归任何的中心化实体监管，因此也就很难做到比特币账户地址信息（“虚拟信息”）⑤与个人现实中的身份信息（“真实信息”）对应，而在追查该类案件中的首要出发点就是信息身份的确认。由于比特币的注册是开放性的，这使得一些注册审核信息是虚假的，因为只要满足一定的注册条件即可通过审核成功注册。在网络服务中，后台服务的管理者或审核者，仅仅是对其提供的资料进行审核，也就是通常理解的认证不认人。所以，只要“虚拟信息”与“真实信息”失去关联性，比特币地址信息拥有者就会做到绝对的匿名。至少有以下两种交易方式能做到接近绝对匿名：一是使用现金当面交易。即A支付现金给B并得到B的等价比特币完成交易。这种交易的方式需要A与B的高信任度；二是使用混币服务。混币服务是深网中的一种常见服务，即A有200枚比特币分别向B和C转账了50枚和100枚比特币，其算法不是A减少了150枚，B、C增加50、100枚，而是以“重新生成”的表现方式：A、B各有150、50枚，接着A、C各有50、100枚。

2.无监管、无地域限制的复杂性：证据链形成难、取证难。由于该类犯罪主要是在网络虚拟空间进行，所以在收集证据方面多是以电子数据证据为主。电子数据具有的易失性、隐蔽性、易篡改性使得利用比特币为支付手段实施违法犯罪的过程中，在侦查取证方面困难重重。一是比特币的数量难以确定与追查。由于比特币的匿名性导致其在交易中的比特币数量的传输、变化记录、匿名策略等都存在一定的确认困难。在计算机科学中，匿名性主要是指使用假名和去关联性两类。无论是从比特币地址还是数量上都可以使用假名、无关联的方式达到匿名。如：同一用户的不同比特币地址链接、不同交易链接的关联以及发送方与接收方的关联。对于涉嫌对象，其计算机技术水平会高于一般人员，因此在反侦查意识、能力以及隐藏、删除日志记录等方面都会给侦查取证带来一定程度的难度，证据链难以形成。缺乏必要的客观电子数据证据及比特币交易平台的自我保护等特征，对侦查工作有一定的抵触情绪或者存在不配合的情况，这也是加大侦查难度的原因之一[8]。

（三）比特币犯罪侦查取证的突破

现代的电子商务中，用户在商品交易时需要提供某些个人信息，使得交易与现实中的个人信息存在关联，是调查取证的基础。一些公司使用类似入侵的手段来追踪用户偏好，包括用于指纹识别的HTML5API技术；跨设备跟踪；浏览器隐私功能解决方案等可以从未提交的表单中嗅探数据。

首先，公司将已经购买产品的相关广告推送给用户，通过付款流程可以观察到用户的购物车、结账信息；其次，通过跟踪支付过程，可以分析用户是否购买了用于推送广告的项目，是否已经支付了。所以，通过一定的技术设计完全可以把这种被动的攻击技术转化为主动的调查取证技术。然而，比特币的匿名与完全匿名的事物不同，他有一个交易记录（transaction-record），每一个比特币和每一个比特币用户的加密身份的完整交易记录都会保存在公共账簿上。因此，比特币交易被认为是化名的，是相对匿名的交易[9]。针对比特币的匿名性，考虑如下调查取证思路：

1.可追溯性。比特币用户通常是透露自己的身份以获取服务或商品，而基于区块链比特币交易，所有的交易记录都会在分类账单上有所体现，也就是说这些交易记录会被公开且永久地记录在公共账本上，所以是可追溯的。即使如CoinJoin⑥此类混合服务——将无法确定输入、输出之间的映射关系从而增加可追溯性难度，但对于大多数交易，可追溯依然具备条件的。

2.地址关联性。比特币的匿名一方面是假名，另一方面就是无关联，由于比特币交易的记录确认与区块链特性，这些交易记录会被公开且永久地记录在公共账本上，所以为真实身份与比特币地址关联提供了实现条件。用户创建了一个比特币地址，一旦使用，它将涉及到具有该地址的所有交易的历史链接。任何人都可以看到他们交易的余额和所涉及的比特币地址。当比特币同一用户的不同地址以及不同交易可以链接在一起时，便可根据这些操作痕迹进行调查取证。因为每个交易的输入、输出必然会在区块链中公开并链接在一起，而如果能够通过查看区块链，使交易链接的发送人能够与交易的接收者相关联，特别是在调查交易和从其他账户购买相关账户时，区块链上的关联信息将更加明了。

3.IP地址可获取性。根据点对点的网络特性，通过监听交易或者中继便可以得到并记录它的IP，因此通过一定的技术手段，比特币交易中的IP地址是完全能够被记录下来的[10]。即使使用代理或跳板也可使用网络追踪溯源技术获取交易者真实IP和设备MAC。

（四）反思与总结

随着对比特币去匿名技术的研究越来越深入，比特币“犯罪”也在利用各种技术增强匿名性，而最新的攻击技术以及去匿名算法的不断改进都可以用更多的辅助信息将身份附加到一些集群，如网络层去匿名、标签集群、地址聚类等。

比特币调查取证主要包括：知道一个人的个人可识别信息如名称和电子邮件；在比特币交易过程中获取相关的跟踪信息；追踪比特币交易并关联特定的比特币地址；根据比特币地址获取该个人的所有交易情况；比特币调查取证所使用的关键技术和工具等。

三、构建比特币敲诈勒索犯罪的大数据侦查治理体系

比特币勒索犯罪的发生、发展作为当前社会公共安全领域的一类新型犯罪活动，更加需要公安机关用新思维进行研究、用新方法进行侦查、用新思路进行取证、用新政策进行治理，需要利用当前大数据优势，努力做到侦、防、打、控、治系统化。

当前，大数据时代为犯罪侦查治理工作的跨越式发展提供了难得的机遇，我们要充分发挥大数据作用，以大数据时代海量的数据资源为基础，以先进的大数据技术为支撑，以创新的大数据思维为引领，公安机关各警种、各部门、各地区开展大数据合成侦查[11]，做到精准打击、科学取证、有效办案、成功诉讼。以公安机关为引领，联合银行部门、金融机构、电信部门、互联网企业等社会其他部门做到发现及时、监督有效、管理科学、安全运行。各方共同努力，在比特币敲诈勒索犯罪的各个环节，用大数据进行预警预测、技术管控、侦查打击、取证诉讼、协同作战，构建起比特币敲诈勒索犯罪的有效侦破技战术。

另一方面，相关单位和个人应使用正版正规软件，及时对计算机系统及相关软件的升级更新，加强安全技术的学习普及，做到“自防”和“外防”相结合。相关部门要加强对于相关行业、企业和个人的软硬件系统的安全支持。同时，应加大宣传力度，引起相关行业、企业和个人的高度重视，加强日常的系统升级、安全防护和数据安全。全社会分工负责，齐抓共管，数据共享、协同配合，达到比特币敲诈勒索犯罪的系统化治理。

四、结语

中国特色社会主义已经进入了新时代，我国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾[12]。与之相对应，在新时代犯罪侦查治理领域的主要矛盾表现为：人民群众日益增长的公共安全需要和犯罪侦查治理不平衡不充分之间的矛盾[13]。比特币勒索犯罪作为当前社会公共安全领域的一类新型犯罪活动，是犯罪数据化生态的典型代表。对于此类新型犯罪的侦查治理，需要大数据的助力，更需要我们在新时代有新思维、新方法、新手段，努力使新型犯罪的治理体系和治理能力现代化，使新时代各行业、各部门和广大人民群众的“软硬件系统”安全感和财产安全感不断增强。

[注释]：

①《中国人民银行工业和信息化部中国银行业监督管理委员会中国证券监督管理委员会中国保险监督管理委员会关于防范比特币风险的通知》（银发〔2013〕289号，以下简称“《通知》”）。

②《国务院关于印发“十三五”国家信息化规划的通知》（国发〔2016〕73号）。

③根据公安部门相关案例资料进行整理所得。

④五部委发布的《关于防范比特币风险的通知》（银发〔2013〕289号）对比特币的属性特点认定。

⑤在比特币网络里，身份信息只是一串27-34位的字符。

⑥CoinJoin是一种无信任的方法，可将多个消费者的多个比特币支付合并到一个单一交易中，使外部各方更难以确定哪个消费者支付哪个接收者或收件人。与许多其他隐私解决方案不同，CoinJoin交易不需要修改比特币协议。https：//en.bitcoin.it/w iki/CoinJoin。