□高嘉品

(重庆邮电大学，重庆 400065)

一、问题的提出

高速蓬勃发展的互联网正在深刻地改变着人们生活的各个方面，如果说近年来人们已经开始逐渐认识并重视网络犯罪这一新型犯罪模式，那么网络黑色产业链或许对于很多人来讲还十分陌生。网络黑色产业链可以简单理解为分工明确的团伙式网络犯罪行为，其种类有很多，例如：大型搜索引擎的竞价排名、手机SIM卡接码平台、QQ游戏或其它游戏账号的信封号产业链、电商网站垫付刷单、网络博彩等等。网络黑色产业链随着互联网的发展而日渐猖獗，给国家、社会及个人造成了极大的消极影响，已经成为理论界与实务界的一大难题。网络黑色产业链之所以很难被有效打击，很大程度是由于其证据形式绝大部分是电子证据，而电子证据又具有数字化、易挥发、无形性、易篡改等特性。那么，如何合理固化在网络黑色产业链中产生的电子证据进而对其形成有效打击？

知己知彼，方能百战不殆。对于网络黑色产业链，首先要对其有比较深入且细致的认识。所谓网络黑色产业链,是指以计算机网络为工具，运用计算机和网络技术实施的以盈利为目的、有组织、分工明确的团伙式犯罪行为。[1]以大型网络游戏的信封号产业链为例，简单来说，就是针对游戏账号偷盗、处理、分流、销售的产业链条，如在谢某、岳某等隐瞒、掩饰犯罪所得一案中[(2014)宿中刑终字第0055号]，被告人岳某伙同他人明知上线向其出售的网络游戏“魔兽世界”的账号和密码是非法获取的计算机信息系统数据，仍从上线手中购买共计8.2万余组账号和密码，随后其安排人手非法登录游戏账号窃取其中的游戏金币，共计7.9亿余个，并将窃得的金币通过其在5173网站上注册的账户进行出售，非法获利72万余元。互联网发展到今天，网络游戏早已不是男生的专利，从十几岁的中学生到四五十岁的中年人，网络游戏逐渐成为现代人的主要娱乐方式之一。而在虚拟的游戏世界中，玩家为了能在游戏中达到一定的成就、获得满足感，会投入大量的时间和金钱去购买游戏账号、游戏装备等虚拟财产。虚拟财产虽然具有虚拟形式，但从本质上讲仍然是一种财产，具有与一般物理财产相同的属性：经济价值性、稀缺性、能够被人力所控制等。[2]而虚拟财产作为新兴事物，则在2017年10月1日正式实施的《民法总则》中已经被明确规定、获得了法律地位，其重要性可见一斑。所谓信封号，其实就是遭受盗取的游戏账号，通常来说一组游戏的账号和密码合称为一个“信件”，而在一个信封当中包含着成千上万个“信件”。整个盗取过程可以被称作“拿信”或者“取信”；“拿信”后的下一步是“洗信”或称“洗号”，该步骤的作用在于将游戏账号中的游戏金币(即在该游戏中被用作交易的虚拟币)、游戏角色的游戏装备、游戏ID等进行分类，区分出不同市场价值的游戏账号，如：“金币号”“比武号”“任务号”等，再把不同类型的信件分别归类打包放入不同信封；最后一步就是将这些经过分门别类的信封号卖给不同需求的人群，这其中包括了游戏玩家、游戏代理商、黑客等。至此，一条简单的网络游戏账号的信封号产业链基本宣告完结。在这样的一个产业链中，需要木马制作人、大型网站的流量商、职业黑客、游戏代理商等多种角色的参与，虽然互相之间存在利益的争夺，但其间更多的是相互依存、互相需要的关系，进而形成严密的犯罪组织，这也使得该产业链在外界看来显得更加隐秘。

二、网络黑色产业链的成因分析

网络黑色产业链充斥着互联网的方方面面， Symantec在2017年发布的《互联网安全威胁报告》中指出，电子邮件已经对用户构成严重威胁，每 131 封邮件中就有 1 封包含恶意软件，这一比例创下五年来的新高。企业电子邮件感染 (BEC) 诈骗主要采用鱼叉式钓鱼邮件，每天袭击 400 家企业，在过去三年里总共捞取了 30 亿美元暴利。[3]雅科布斯指出，应根据具体的社会条件调整具体犯罪类型的刑罚，从而恢复民众对法规范有效性的信赖，他考虑的六个条件中就包括“规范违反的频率(犯罪率)”及“违规行为受惩罚的比例(犯罪黑数的大小)”。[4]所谓犯罪黑数是指该类犯罪已经发现的数量相比该类犯罪未发现数量的比值。根据芬·穆勒的研究，就网络犯罪而言，其犯罪黑数为10%。极低的犯罪黑数说明了在网络犯罪领域，我们已经发现的犯罪只是冰山一角，网络黑色产业链犯罪团伙之所以能够大行其事，究其原因主要集中体现在以下方面：

(一)行为人犯罪成本极大降低

行为人躲在屏幕背后通过简单地敲击键盘、输入指令即可实施犯罪行为，犯罪过程的极度简化也使得网络犯罪行为人的心里成本以及因犯罪所产生的愧疚感大大降低。另一层面，在现行刑法中对于网络犯罪的刑罚力度也远远低于其对应的传统犯罪。刑法对于网络犯罪的规制集中体现在第285、286、287条，其刑罚档次主要包括三年以下有期徒刑及拘役、三年以上七年以下有期徒刑、五年以上以下有期徒刑或拘役、五年以上有期徒刑，并处或单处罚金。可以看出，在网络犯罪中行为人无论是犯罪的直接成本还是间接成本均很低，所以相较传统犯罪而言行为人选择实施网络犯罪的可能性更大。

(二)犯罪对精细化的要求显著提升

网络犯罪相较于传统犯罪而言在技术性上已然显著提升，网络黑色产业链作为更加高级而严密的网络犯罪，犯罪团伙中既包括计算机编程的高手又有懂得如何尽可能规避法律法规监管、进行市场商业模式运作的人。而随着《网络安全法》等一系列相关法律规范的出台，我国对于网络犯罪已经开始逐渐重视，投入了越来越多的资源进行整治。基于这样的态势，这些来自不同领域的行为人为了能够更好地规避法律以获取更大的非法利益而结成一个个犯罪团伙，分别在实施犯罪的不同环节提供自身的“一技之长”。分工明确作为网络黑色产业链的最大特点，体现了网络犯罪的精细化程度不断攀升，行为人仅凭一个人的力量很难顺利地实施完所有犯罪流程。但在犯罪团伙内部，其组织结构十分严密，丝毫没有因为分工的明确而显得过于分散，这也极大地增加了打击难度。

(三)犯罪行为的隐匿性明显增强

行为人在犯罪过程中反侦察意识很强，他们往往都接受过一定的专业培训且受教育程度相较于传统犯罪更高，故而会有意识地采取各种各样的防范措施，如不定期地更换服务器、更换IP地址、采用虚假身份、更换成员之间的联系方式等。其次，犯罪过程所产生的证据绝大部分为电子证据，极易遭到破坏和篡改，并且很难留下如同传统犯罪一般的物理痕迹，犯罪现场对于侦查人员的价值因此大大降低，直接导致侦查人员取证的难度加大。

(四)侵害对象广泛却难以被追究责任

在网络黑色产业链中，行为人对受害人的侵害早已从传统犯罪中的点对点、点对面发展演变为犯罪团伙对不特定的广大互联网受众。侵害对象规模的急剧扩大使得其所侵害的利益也如同滚雪球般飞速增长。不同于传统犯罪针对某一个人财产的巨额侵害，网络黑色产业链中的利益获取方式主要是因为受害人数众多，而单个受害人损失金额往往较低。因此，一方面受害人在很多时候因为损失较小以及不愿让他人知道自己被骗或受到侵害而拒绝报案；另一方面，侦查机关对于犯罪数额较小的案件缺乏办案动力，其为了破案所投入的人力物力往往远远超过受害人所遭受的损失。行为人也正是把握住利用受害人与侦查机关的这种心理反复作案，逍遥法外。

三、通过资金链构建证据链，合理固化电子证据，建立有效的取证思路

(一)厘清资金流向 构建资金链条

任何产业之所以存在，必然由于存在市场需求下的利益驱使，这在当今社会更是表现得淋漓尽致。在网络黑色产业链中，资金在不同环节流动，利益也在此过程中被逐步瓜分。既然资金没有凭空消失，那么通过厘清资金的流动路径，不难建立出一条明确清晰的资金链条。同样以网络游戏账号的信封号产业链为例，首先由大代理商向木马编写者或木马制作商买进木马；然后将这些购买的木马投放到大型网站上，该过程需要向流量商支付高昂的费用(具体费用高低由该网站的日常访问量所决定，流量越大付费越高)。木马往往被植入在用户时常浏览的网页中，一旦用户点击目标网页，木马就会下载并安装到该用户的电脑中，于是当用户在登录游戏输入账号密码时，该木马软件便会自动将信息复制保存并发送出去；盗号过程一旦完成就开始“洗信”或“洗号”环节，这一过程中大代理商们往往通过雇佣专门的洗信人或洗信团队来完成；最后再由大代理商将分好类的不同信封销售给不同人群，由于买家较为分散，所以一般需要其他小代理商的介入才能完成，大代理商将信封打包好分类卖给小代理商，再由其分销给不同买家。至此，资金的流动全部结束，按照资金的流向不难构建出(如图1)一条资金链：(注：箭头的数量表示资金的流量大小)

图1 网络游戏信封号产业资金链

上述资金链也可简化为：买家付款购买→小代理商→大代理商→大型网站流量商(简化后的资金链未包括大代理商购买木马软件以及雇佣洗信团队的环节，原因在于这两部分资金所占的比重很小)。在构建资金链时，还可以通过采用网络定位、IP追踪等信息技术确定犯罪嫌疑人通过信息化平台进行犯罪的物理空间物质，并在此基础上利用远程勘验技术渗入到犯罪分子开设的虚拟平台的后台，从而确定犯罪组织的框架分工、运作方式和被害人的资金流向。[5]构建资金链虽然并非最终目的，但却为最终对电子证据的合理固化形成了一条清晰明了的线索，能够把原本分散的零碎信息串连成为一个信息链条，为进一步发现并固定电子证据打下基础。

(二)合理固化电子证据 形成证据链条

在网络黑色产业链中，行为人通常利用代码指令远程实施违法行为，因此很难向传统犯罪一样找到作案现场的物理痕迹。如前所述，电子证据具有易挥发、易篡改等显著特征，如何有效固化电子证据成为司法实务界的一大难题，也直接影响着侦查人员对网络犯罪的侦查取证工作。网络犯罪中的电子证据主要包括两种类型：一是电子计算机技术应用中出现的电子证据，常见的有单独的计算机文件、日志文件等；二是网络技术应用中出现的电子证据，主要有电子邮件、电子聊天记录、电子数据交换等。[6]在网络游戏信封号产业链中，可以通过资金链的构建来提供线索。首先，我们可以通过游戏平台日常运行中的数据交换来发现在该游戏中异常的交易信息(因为通常游戏玩家在购买因盗号而来的游戏币时，所支付的价格往往低于正常价格的5倍到10倍)；然后，利用所收集到的信息让侦查人员以购买者的身份进一步联系卖家(通常为小代理商)；通过该方法收集到多个小代理商的信息后，会发现这些小代理商均指向同一个或几个目标，再通过进一步的分析排除基本可以确定大代理商的身份信息(在该产业链中，大代理商们几乎无一例外都会划分势力范围或市场，彼此间井水不犯河水，保持着微妙的制衡关系)。随后，顺藤摸瓜、按图索骥，找到网站流量商以及木马制作者、洗信团队等也就并非难事了。但这表面上看似容易的工作却面临十分现实的问题，即在我国当前的法律规范中尚未正式确立游戏平台或者网络服务的提供者应当无条件地配合侦查机关进行调查的义务，基于此侦查人员往往无法得到第一手线索。该方面的立法迟迟无法正式确立的原因，一方面在于游戏中的交易信息对网络游戏公司而言属于商业秘密，甚至很多中小型网络公司正是依赖这些商业秘密才得以生存，任何一家企业都不愿向他人透露其商业秘密的相关信息；另一方面，刑事案件对于企业来讲毫无疑问属于负面新闻，企业会采取措施尽量避免卷入到类似事件当中。从目前来看，我国的司法实践中往往只有在涉案金额达到较大规模、涉及地域跨度较广、涉及人数较多的案件，网络游戏运营者才会配合侦查机关开展调查，但是由于涉及企业自身商业秘密，企业往往难以做到真正意义上的全面配合调查，而仅仅是提供一些基本的、可利用价值较低的数据。

显然，在上述黑色产业链的每个环节中无时无刻不在产生电子证据，例如木马程序、游戏账号信息、网银或第三方支付平台的资金往来等。电子证据的固定就是采用流程化、标准化、合法化的做法，使用专业的设备和软件，在不修改原始介质数据的前提下，创建出一个原始介质副本供后期的工作使用。[7]对于网络黑色产业链中产生的电子证据，可以采用如下几种固定方式：

1.高速硬盘复制机

简单的电子证据固定可以采用高速硬盘复制机来完成，它的功能在于可以对目标对象进行完整的副本制作，还可以通过计算MD5值对所制作的副本和原始介质进行校验。其种类较多，主要包括：Logicube Dossier、ICS Solo Ⅳ、VOOM Hard Copy Ⅲ等。值得注意的是，运用该方法时，用于制作镜像的硬盘应当在容量上大于目标硬盘，并且应当确保镜像盘在使用之前没有储存任何其他数据信息，保证硬盘的清洁性。

2.将只读锁结合电脑上软件的方法也可以实现对电子证据的固定

只读锁的作用在于防止目标介质对所接入设备写入数据，保证数据只能单向传输。在取证软件的选择上则较多，例如X-Ways Forensics、 The Sleuth Kit、EnCase等，通过此种方法所取得的文件也可以通过MD5值进行一致性检验。但在使用只读锁前应当检查目标硬盘本身是否正常，在硬盘遭到损坏的情况下接入只读锁很有可能将只读设备损坏。

3.数据恢复方法

传统犯罪中行为人尚且知道擦除犯罪痕迹，而在技术含量更高的网络黑色产业链违法行为中更是如此。行为人通常会将数据信息进行删除破坏，针对被删除破坏的电子数据信息则需要利用数据恢复的方法来进行证据的固定。其实当我们对磁盘等储存介质上的文件进行删除操作，或对磁盘进行格式化时，磁盘上的数据并没有真正从硬盘上消失，一般情况下，这些数据是可以恢复的。[8]数据恢复的方法有多种，既可以通过系统自身还原功能恢复、也可以使用专门的数据恢复软件恢复数据。无论是从功能还是效果而言，专门的数据恢复软件都更加强大，例如EasyRecovery、取证大师、FinalData等。其中取证大师软件的功能较为全面，利用该软件既可以实现对镜像文件进行简单的数据搜索、原始数据搜索、注册表解析、散列值计算、哈希值计算、上网记录调查、日志分析、打印信息调查、邮件解析、存储设备解析等。此外，根据两高一部《关于办理网络案件适用刑事诉讼程序的若干问题的意见》中第16条规定“通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的，应当对恢复、破解过程和方法作出说明。”

其实，只要行为人没有对存储设备进行物理性的永久损坏或者没有使用其他无关数据反复对目标文件进行覆盖操作，那么应用数据恢复的方法都可以取得很好的效果。与此同时，面对复杂的具体案情，除了合理选择不同方法固化证据外，还应把握以下原则：1.无损原则：外接存储设备时附加只读锁，避免电脑对存储设备的自动写入操作。2.镜像原则：取证前先应当制作镜像，所有操作在镜像上完成，避免对目标数据的污染。并且应当在取证工作完成前和完成后分别计算哈希值，检验数据的一致性。3.合法记录原则：对于每一步取证操作都应当详细记录，每一步操作都应当依照相应的操作规范进行。可以通过建立取证笔录来对取证过程进行记录，笔录的形式既可以是手写记录后由见证人以及相关权利主体签名确认，也可以采用全程录音录像的方式进行。取证笔录的建立能够极大增强电子证据在收集、固定、流转过程的真实性、完整性以及合法性，为最终电子证据在法庭中的展示提供强有力的支撑，有利于增强法官对于电子证据采纳与采信的概率。4.全面采集原则：不仅应当对案涉数据本身进行取证固定，还应当针对附属数据进行采集取证。所谓附属数据，亦称元数据，即记录数据本身信息的数据，包括了数据本身的大小、形成时间、数据格式等相关环境信息。收集附属数据的意义在于增强所固定的案涉电子证据本身的真实性和可信度。目前，我国在司法实践中对于电子证据这种新的证据形式的采纳与采信率并不高，很多时候侦查机关花费大量精力所收集的电子证据只能作为破案的线索使用，这在很大程度上是因为法官对于电子证据的真实性无法确定，不能形成内心的确信，无法排除合理怀疑。基于此，笔者认为应当引入第三方数据保全平台，一方面第三方数据保全平台相较于侦查机关内部的鉴定机构而言具有中立性。“侦鉴一体化”在理论界与实务界一直饱受诟病，其核心原因就在于侦查机关内部设立的鉴定机构难以真正做到客观中立，并且有可能因为提前接触了鉴定材料而形成先入为主的主观臆断；另一方面，目前成熟的第三方数据保全平台所采用的改良哈希加密算法从技术上无法被攻破(其相较于传统哈希加密而言，吸收了区块链的部分特点，即每进行一次新的哈希值计算时都对之前的所有信息进行保存，从而形成一条无限长的链条，之前已经被保存记录的数据信息在之后的每一次哈希计算中均被再次完整记录，无法被更改)，而哈希算法自身的不可逆性则早已经被世界公认并在不同领域得以广泛运用。

(三)建立缜密有序的取证思路

要形成强有力的证据链条，仅仅依靠简单的将证据进行固定还远远不够，还需要侦查人员具备合理且缜密有序的取证思路。例如在一个盗取游戏账号的案件中，发现行为人所使用电脑上相关文件已被删除，并且利用电脑系统自身无法实现数据还原。此时的合理化取证的思路应当为：1.使用数据恢复软件对目标文件制作镜像文件；2.计算镜像文件的哈希值为Hash1； 3.使用数据恢复功能对镜像文件进行数据的全面恢复；4.在所恢复的数据列表中依次查看并采集固定以下信息：(1)电脑运行日志；(2)外接设备插入记录；(3)回收站记录；(4)邮件往来记录；(5)云空间文件传输记录；(6)即时通讯软件传输记录；(7)其它可疑信息；5.对取证完成后的镜像文件计算哈希值为Hash2；6.比较前后两次哈希值，完成一致性检验。本案的取证核心思路在于：当发现行为人电脑上的数据已被删除，说明该数据在转移之后被行为人已经销毁，通过进一步查看电脑所安装软件可以分析得出行为人能够转移数据的方式包括：外接设备拷贝(U盘、移动硬盘)、利用邮件发送、上传到云储存空间、即时通讯软件传输(QQ、微信)，在依次查验上述对象后，还应查看电脑的运行日志(用于分析行为人的作案时间)和回收站记录(排除行为人进行简单的数据擦除行为)。

面对复杂多变的具体案情，侦查人员不能僵化自身的办案思维，因为永远不存在一套放之四海而皆准的侦查取证思路。在取证思路的选择上需要考虑的因素包括案件的具体类型、服务器所在地、犯罪团伙的组织结构以及成员的具体分工、涉案财物的流转方式、行为人的反侦察意识高低等方面，一条缜密且清晰的取证思路往往会使侦查人员事半功倍。此外，针对不同的取证对象也要区分采取不同的方法，例如木马程序需要同时具有控制端与客户端且必须在联网条件下进行指令输入和数据传输才能发挥作用。因此，对于木马程序的取证就必须在断网条件下进行，避免行为人通过远程操作改动目标数据，干扰侦查人员的取证工作。

四、整合法律规范 提高法律实现度

目前我国的互联网相关立法已经初具规模，基本形成了相应的互联网法律体系，主要包括《网络安全法》、全国人大常委会所作的“两个决定”：《关于维护互联网安全的决定》《关于加强网络信息保护的决定》、国务院以及各部委所制定的相关法规和部门规章以及最高法、最高检的相关司法解释。就世界范围而言，互联网相关立法也十分繁多，如美国的《联邦证据规则》、德国的《电子签名法》、日本的《电子签名与认证服务法》、加拿大1998年《统一电子证据法》等。但为什么多如牛毛的法律规范依然无法有效打击网络违法犯罪行为呢？借用美国最高法院大法官、著名法学家霍姆斯所说“法律的生命不在于逻辑，而在于经验”或许在一定程度上回答了这个问题。很多法律其立法初衷和目的甚至包括立法技术都是很先进的，但为何施行的效果很差，其实很大程度上是因为没有对法律所施行的环境进行深入的研究，脱离了客观实际。例如我国当年的《企业破产法(试行)》在颁布的十多年里，基本没有任何用武之地，是因为法律本身制定得不好？还是因为没有需要破产的企业？其实都不是。主要原因在于：二十世纪末，我国的社会保障水平还十分低下，如果企业一旦破产，那么大量企业职工将会因为没有相应的社会保障而成为社会中的不稳定因素，所以国家不能允许企业正常破产(虽然这些企业已经符合法律规定的破产条件)。因此，我国在构建互联网法律体系的同时，不能够简单地只是因为出现了某些问题就立马制定相应的法律来填补立法空白，这样的方法只能治标不治本，所形成看似完整的法律体系却很难得以真正地有效实施，应当充分考虑法律制定的社会背景(包括待制定的法律是否与社会大众的风俗习惯明显背离、执法人员和司法人员队伍的整体素质、不同法律之间是否存在交叉乃至冲突等等)。兵在精而不在多，多如牛毛的闲置法律法规给社会治理所带来的积极作用远远不如一部执行良好的法律有效。

大数据时代的网络实现了由“计算”到“数据”的重心变换，网络被整合为围绕数据中心的一个数据收集、存储、处理、应用的流程和系统，由此，以“数据安全”为核心内容的“信息安全”成为“网络安全”的基础。[9]网络早已从人们查阅信息的平台进化为人们生活不可缺少的一部分。外国媒体评价我国新四大发明包括“高铁、支付宝、共享单车、网购”，而这其中没有任何一个能够离开网络而单独存在。与此同时，伴随着互联网经济的高速发展，网络黑色产业链也日益猖獗，违法犯罪行为层出不穷，给国家、社会、人民带来了巨大损失。本文希望从合理固化电子证据，通过资金链构建证据链的角度，固定行为人的违法犯罪证据，从而形成对网络黑色产业链相关违法犯罪行为的有效打击。