基于虚实空间交互的网络犯罪侦查新模式及其意义
2021-01-13胡勇强
胡勇强
(广东省公安厅 网警总队,广东 广州510050)
网络犯罪在犯罪性质上与传统犯罪是一致的,都是指对法律所保护的社会关系的侵害,以及对网络及信息安全与秩序具有严重危害性的行为[1]。近十几年来,信息技术的普及和移动互联网的快速发展,为网络犯罪提供了必要的网络空间;网络空间的开放、自由、平等、交互等特点,在保障正常信息的交互和流通时,也为网络犯罪信息快速流通提供了滋生的土壤;此外,网络犯罪手段隐蔽、成本较低、诉讼困难的特点,进一步助长网络犯罪行为,多种原因综合,导致网络犯罪发案数急剧上升,新型网络犯罪层出不穷,严重破坏社会管理秩序和网络空间安全,已成为影响个人、社会、国家安全的突出问题[2]。
网络犯罪的产生,必然引起公安机关以相应的侦查模式侦办该类案件,受传统刑侦思维和工作惯性的影响,办理网络犯罪案件一般采用传统的“人—事(或案)”模式,及其衍生的“事—机—人”模式。这些侦办模式在很多案件中发挥了重要作用,但是也存在耗时费力、破案率低、取证难等问题。从人与网络空间的交互规律,以及网络空间和现实世界交互的规律出发,探索新的网络犯罪侦查模式,是本文要探讨的主要内容。
一、网络犯罪的主要行为及趋势
(一)网络犯罪的主要行为
近年来,网络犯罪愈发猖獗,据美国联邦调查局发布的报告,美国超过七成的刑事犯罪与信息网络有关;我国公布的犯罪数据报告显示,信息网络犯罪已占犯罪总数的二分之一以上,其中在新冠疫情期间,部分类型犯罪的网络化犯罪占比达90%以上。按照公安部网安局打击整治网络违法犯罪“净网”专项行动打击的网络犯罪行为所进行的分类,网络犯罪可分为以下三类:
1.传统网络犯罪。这主要是指依赖网络或以网络为攻击目标的犯罪活动,如“网络钓鱼”、DDOS攻击、网络攻击破坏、恶意程序、网络盗窃等。此类犯罪,犯罪嫌疑人有一定的计算机知识与技能基础,作案隐蔽,部分人的作案动机是好奇或满足个人荣誉感和认同感。
2.网络黑灰产业链犯罪。这主要是指网络犯罪分工日益细化后,客观上为犯罪人员提供了有利条件,并以此获利的黑灰色产业链条上的各种犯罪行为。此类犯罪的主要作案动机是图财,以网络专业知识实现犯罪,作案成本低、收益高,呈现犯罪链条化、跨境化、加密通讯化等特点。国家互联网应急中心进一步将“网络黑灰产”界定为三类:一是发动涉嫌拒绝服务式攻击的黑客团伙;二是盗取个人信息和财产账号的盗号团伙;三是针对金融、政府类网站的仿冒制作团伙。这三种网络犯罪可简称为“黑客攻击”、“盗取账号”、“钓鱼网站”。
3.新型网络犯罪。相对于传统犯罪而言,使用新的工具、新的技术、新的方法、新的手段实施的各种网络犯罪。如人工智能类网络犯罪、网络有偿删帖、网络裸聊、网络传销等[3]。此类犯罪呈现团伙作案趋势,多以工作室、公司等形式作案,组织清晰,分工明确,个别犯罪嫌疑人或团伙甚至会聘请专业法律、财务人员,想方设法逃避打击。
(二)网络犯罪的趋势
从全球范围来看,网络犯罪的总体发展呈现无国界化、群体化、黑客化持续影响等趋势。我国网络犯罪主体、犯罪手段、危害后果也呈现出新的特点。根据近年中美两国关于网络犯罪态势的公开报告,其主要趋势包括以下几个方面:
1.网络犯罪发案数将继续快速增长。网络犯罪是中美乃至整个世界增长最快的犯罪类型,据统计,从2008年开始,我国网络犯罪案件的数量正在以每年30%的速度高速增长[4];美国也类似,据美国联邦调查局互联网投诉中心发布的2019年《互联网犯罪报告》,2019年的网络犯罪报警量达467 361起,比2018年增长了32.8%。
2.网络犯罪造成的经济损失越来越大,非法牟利越来越多。据美国FBI统计,2019年,美国因网络犯罪而导致的直接经济损失高达35亿美元,比2018年增长了29.62%,而网络犯罪人员非法牟取的财富超过1.5万亿元[5]。据我国媒体的公开报道,2017年地下网络犯罪活动的利润已超过151亿美元,并造成超过138亿美元的经济损失[6]。
3.网络新技术带来更多新犯罪手法,犯罪行为将更难确定。一是云计算、云平台、物联网等新技术改变了原有的网络安全边界;二是智能手机、IP摄像头、5G感知终端等联网设备成为黑客远程攻击控制的新目标,攻击目标外延扩大;三是电子钱包、暗网交易、即阅即焚、远程低格等技术手段,增加了网络犯罪行为的多样性。
4.“网络钓鱼”等传统网络犯罪不断升级换代。如利用暗网上不断涌现的钓鱼攻击新工具包,一些只具备计算机基础知识的人也能够进行钓鱼攻击。这一方面降低了犯罪的门槛,另一方面也提高了网络犯罪案件的侦办难度。
5.人工智能将使网络犯罪达到技术的新高度。随着人工智能科学技术的不断进步,使用人工智能进行网络犯罪的智能化程度不断提高,大有对受害目标实施更精准的定位且所带来的社会危害进一步加大的趋势。通过梳理已破获的案件,犯罪人员已开始使用人工智能技术使犯罪行为变得更高效、更隐蔽,如利用人工智能编发钓鱼邮件、拨打诈骗电话及优化各种反警方侦查、追踪措施等[7]。
二、网络犯罪的传统侦查模式及难题
与传统侦查模式相似,涉及网络犯罪的自侦、配侦案件,也需要立案,勘查采集(涉案人员信息采集、犯罪行为人及其关联人的网络特征采集、串并案分析),侦查调查(利用刑侦、网侦等系统分析嫌疑人的物理特征、网络特征、关联人等),以及缉捕(定位抓捕和移诉)等环节。但是网络犯罪行为又有别于现实社会的行为,其犯罪行为往往以电子数据痕迹的形式存在。因此,侦办人员一般要分析网络的现实情况,以及与案件相关的数据流、信息流的取证情况,多以“人—事(或案)”的侦查模式及其衍生的“事—机—人”侦查模式开展工作。
(一)“人—事(或案)”侦查模式
“人—事(或案)”模式在一定时期内,在执法实践中得到了很好的验证。它主要指“从人到案、由案到人”,公安机关通过受害者或嫌疑人的固定特征,寻找拓展、串并出类似的案事件,通过案事件中关联到的人,以落地犯罪行为。就其具体业务的开展而言,其可分为被动式和主动式两类侦查模式。
被动式侦查模式是指事主或关系人主动向警方报案,警方被动介入案件侦查。其流程包括:发案后接到报警→分析网络特征→网络特征落地→反查出真实网络特征→落地查人→抓捕并现场固定证据。其优点是案件不存在管辖问题,缺点是案件已经发生,社会危害已经造成。
主动式侦查模式是指警方主动开展犯罪情报的搜集挖掘工作,在受害人或事主报警报案前开展案件的侦查。其流程包括:搜寻嫌疑网站→找到网站上关键词→网络情报侦察→账号落地到人→查清资金流向→抓捕并现场固定证据。其优点是能在作案人实施新的犯罪行为之前介入并制止犯罪,缺点是部分案件有管辖歧义。
(二)“事—机—人”侦查模式
网络犯罪行为与真实社会的犯罪行为有较大的区别,特别是随着网络技术的发展,“人—事(或案)”模式在很多情况下难以应对复杂的网络情况,由此衍生出“事—机—人”的侦查模式。这种侦查模式一般分为两个阶段:一是“从事到机”阶段,即侦查人员追根溯源到作案的计算机。这一阶段是虚拟空间的侦查,任务是查找虚拟空间的“元凶”,依据是电子数据的痕迹物证(如比特流、电子指令、密码、IP地址、电子文件等),侦查措施是各种技术手段,如网络监控、滤网、数据跟踪、计算机系统勘查、电子数据分析与鉴定等。二是“从机到人”阶段,即侦查人员对操作计算机的作案人进行同一认定。这一阶段是现实空间的侦查,任务是认定现实世界的元凶,依据则是各种传统形式的证据,侦查措施则是传统的取证手段,如讯问、询问、辨认、实地勘验、搜查等[8]。
相对于“人—事(或案)”模式,“事—机—人”模式理清了网络事件与人的对应关系,符合网络犯罪的发展趋势,在实际办案中发挥了相当大的作用,但是依然存在定罪难、漏罪多以及办案难度大、成本高等难题。
(三)网络犯罪的应对难题
“人—事(或案)”及“事—机—人”的侦查模式对于指导特定类型的网络犯罪案件的侦办发挥了重要作用,但是依然无法应对网络犯罪的现实情况及发展趋势,其主要表现在以下方面:
1.取证难。网络犯罪是远程、非接触性犯罪,对网络犯罪的有效指控主要依赖于对犯罪分子作案时所使用的电子证物的勘验、提取、检查与分析。电子数据具有高速流转、虚拟性、可修改性、不稳定性等特性,这就要求侦查人员在获取相关案件的信息后需及时采取保护措施,一旦错过取证的最佳时机,审查起诉阶段的补充侦查将很难取得新的突破。此外,电子数据的取证具有较强的技术依赖性,需要使用专门的技术工具对电子证据加以固定,但专门技术人才的匮乏制约了电子证据收集的质量和效率[9]。
2.隐案多。首先,网络犯罪案件普遍存在“三低”,即破案率低,追回赃款赃物的成功率低,受害人认为通过报案挽回自己经济损失的可能性较低,因而他们大多不愿意报案;其次,网络窃取及贩售公民个人信息等网络犯罪行为往往不被受害人察觉,受害人不知道自己被非法侵害,也就无法报案;此外,网络犯罪案件侦查需要具备一定的计算机和网络技术知识,一线侦查人员普遍对网络犯罪案件的侦办存在畏难情绪。以上多重因素的影响导致网络犯罪隐案较多。
3.办案成本高。网络犯罪多依托网络远程分工协作,共同完成犯罪,要从证据角度完整呈现整个犯罪的行为过程,以达到依法打击的条件,往往涉及跨市、跨省、甚至跨国办案,这导致办案过程中人力、财力花费巨大,因而办案成本高。
4.定罪难。“以审判为中心”、“疑罪从无”、“办案责任终身制”等审判制度有效阻止了冤假错案的发生,同时也对案件侦办提出了更高要求。侦查、打击这类犯罪,公检法工作人员不仅要对计算机及网络知识有一定的掌握,还要能够及时理解、掌握法律法规上对于相关电子数据的应用、解释和说明。但部分办案人员学习能力不强、学习主动性不够、对电子证据理解能力不足等,都将影响到对嫌疑人的定罪量刑[10]。
三、网络犯罪侦查的新模式
网络空间是虚拟空间,也是人类社会生活的“第二空间”,是人类社会的部分真实反映。网络行为无论怎样演变和更迭,其实施者都是现实社会中的人,因此,从考量人与网络空间的交互出发,重新梳理网络犯罪侦查模式具有现实意义。
(一)人与网络空间的交互方式
一个人要实施网络犯罪行为必须进入网络空间,如同“事—机—人”模式所述,行为人需要借助计算机、智能手机等设备才能连接网络,并在网络空间施展各种行为。如果将网络设备看作是人与网络空间的媒介物,那么可以将人们进入网络空间的方式分为两种:一是主动入网。主动使用媒介物进入网络,在网络空间中建网站、开微博、与人聊天、发电子邮件、看新闻等。一旦中断与媒介物的连接,即可脱离网络空间。二是被动入网。自己没有接触媒介物而进入网络,且被他人在音视频、博客、即时聊天等网络内容中提及或展示,被动地出现在网络空间。
无论是被动入网,还是主动入网,从物理形态来看,网络空间中的“人”和现实世界的人是同一个人,同一个人在虚实空间中展现出来的各种行为特征、个人习惯等是同一性的。
(二)网络空间和现实世界交互的规律
一个人利用媒介物将自己延伸到网络空间,以另一个“人”的形式“活”在网络空间中,网络“人”的行为习惯与现实人的行为是一致的,在媒介物的桥接下,“人”与人在现实和网络空间中交互作用,影响着现实世界和网络社会,其交互示意如图1所示。
图1 虚实空间交互示意
图1中,第一环节是现实中的人(human,简称H)与媒介物(medium,简称M)的关系。H要在网络空间活动,不是直接与网络空间的事物发生交互,而是与M交互;从H可以溯源到特定的M,从特定的M可以追踪到具体使用的H。第二个环节是网络空间的人(people,简称P)与媒介物的关系。P在网络中的活动必须与M交互,从P的轨迹都可溯源到特定的M,M也可以追踪出P的活动轨迹。总结起来看,P无法越过M直接与H发生联系,H也无法直接操控自己的P,M是P、H联系的纽带。
(三)网络案件侦查的新模式
“人—媒介物—虚拟人”的规律(亦可用“H—M—P”表示)也可作为指导空间交互类犯罪案件侦办的侦查模式。在网络运营商、服务提供商留存的用户上网日志的基础上,侦查工作利用该模式首先是从网络行为痕迹或特征溯源出M,再围绕M搜集固定虚实空间中的痕迹物证,进而利用痕迹物证中的特征确定人的真实身份。
因事(或案)都是由人的行为产生的,锁定P即可锁定事(或案),要锁定人必须溯源M,因而对事(或案)的追查实际是对特定M的确定。按照“H—M—P”侦查模式,当案件发生后,围绕受害人、犯罪现场、作案工具等搜集提取痕迹物证和网络特征;然后从痕迹物证或网络特征溯源出M,再通过M找寻更多嫌疑人的痕迹特征及其真实身份。
以此模式说明邮件诈骗案件的侦查流程如下:从受害人电子邮箱中提取到诈骗嫌疑人发送的诈骗电子邮件;查找嫌疑人使用的特定M,电子邮箱注册和发送邮件时的IP地址和时间对应的具体上网地点,该地址使用的上网电脑或其他智能设备是M,特定的IP地址和时间也是M;在确定特定M后,通过该M锁定使用M的嫌疑人,或利用M调查嫌疑人在网络或现实社会中的其他行为痕迹,从这些行为痕迹再去一一印证嫌疑人的身份。
(四)网络案件侦查新模式的新思维
一是对M灵活定义。M不仅仅是计算机、智能手机等设备,在虚拟空间中,可以理解为与计算机、智能手机等设备相连的光纤、路由器、基站等,也可以是网络媒体、网络通讯平台等。以某地的暴力游行示威问题为例,Facebook社区、Telegram群组、Zello、Whatsapp等网络平台发挥了关键性煽动作用,传统解决方案以驱离为主,难以应对网络中的密谋勾连和造谣煽动;有些时候即使认识到网络发挥了关键性破坏作用,但是因为封锁网络的社会代价太大,监控网络又涉及到人权、物权等而导致无法实施,从而造成暴力游行示威问题久拖不决。按照新模式的思路,控制住M,即可搜集、研判、追踪网络犯罪嫌疑人在虚实空间中的行为,如先从网络上的某一个行为追踪到M,再通过M追踪到其他网络行为,也可以通过M追踪到该人在现实中的行为痕迹。当我们无法从网络服务商处获取技术支撑时,我们可以将M的范围进行延展,将与造谣者所用的电脑、智能手机等设备相连的光纤、路由器、基站等比作M,停用路由器、基站等M,将使P与H断开连接;在路由器、基站等M上侦听即可监控区域网络,改变路由器的路由表即可过滤网络通讯数据。以上方法在应对由网络引起的暴力游行事件时将发挥重要作用。
二是对现实空间行为的网络化理解。如同网络空间一样,现实世界也是一个空间,人在空间中一系列行为的结果构成事件(或案件)。如果我们把现实空间的人比作网络空间人的延伸,人在现实空间的行为痕迹都是围绕“H—M”形成,如衣食住行、购物以及支付教育、水电气等行为痕迹依赖于人的存在,这些痕迹数据真实反映出人在现实空间的每一条具体行为。在现实空间场景内,将人的活动轨迹提取累加,那么人在空间中每时每刻的轨迹都将完整展现出来,如果进一步将轨迹转化为电子数据,将空间场景也转化为类似网络空间一样的“1”“0”数字代码的电子虚拟空间,一个人在该空间的行为不仅可以储存、回放,还可以利用相关的人工智能算法进行推演或预测。
四、网络犯罪侦查新模式的现实意义
(一)为电子取证指明方向
以计算机及其网络为依托的电子数据在证明案件事实的过程中发挥着越来越重要的作用,但电子取证难问题一直困扰着网络案件的侦查审判工作。传统电子取证理念是证明存在某个或某些电子数据是否能证明案件行为产生或某人的网络特征是否存在于某个案件的电子数据中,对于这个电子数据是否由某人或某组织产生的问题,常常难以同一认定。有时因无法找到作案的个人计算机等电子设备,导致案件需要强迫嫌疑人认领电子数据,而部分案件嫌疑人的拒绝签认而使得部分电子数据失去了证据效力。
新模式并不整体地去提取和固定电子证据,而是按照“实体证据—媒介物—电子证据”的逻辑去证明案件事实。证据按照“实体证据→媒介物”或“媒介物→实体证据”形式提取和固定,媒介物与电子证据也是如此,证据将锁定人与行为痕迹的对应关系。
从电子数据的产生环节来看,首先是人与媒介物的交互作用,将人的意愿以指令形式传递给媒介物,媒介物与人之间存在物理痕迹证据;媒介物随后向计算机等电子设备发出机器指令,计算机等电子设备按照指令启动内部命令运行,计算机等电子设备产生电子数据证据;计算机等电子设备的内部执行命令与网络空间事物交互,此过程在计算机、智能终端等电子设备和网络存储设备中产生电子数据证据,后两个环节尽管没有人的参与,但也是人意愿的延伸表达。
如上所述,媒介物是证明一个人在网络中的行为及网络行为是某个人所实施的关键环节,以审判为中心的刑事诉讼制度既要求认定网络犯罪事实,又要求认定该犯罪事实是否由某个或某些人所为。该制度实际归结点是对人的行为及其结果的认定,有媒介物做桥梁,该难题有了解决的方案。
(二)有助于发现隐案、积案
隐案、积案是网络犯罪打击中的一大难题,网络犯罪嫌疑人往往作案多、认定少,导致网络犯罪显示出作案成本低、收益高、处罚轻的特点。罪刑差距太大,从而间接助长了网络犯罪。新模式要求抓住媒介物,侦查、取证均围绕媒介物展开。媒介物记录着嫌疑人在网络上的具体行为痕迹,对嫌疑人的媒介物进行详细的电子数据勘查提取,同时借助网络服务器上遗留的行为痕迹,可还原嫌疑人在网上的具体行为动作。当嫌疑人多次作案时,即可以通过嫌疑人的每一条网络行为记录还原其所有网络犯罪行为。
(三)为解决与网络有关的其他问题提供新思路
新模式通过媒介物来锁定人的行为轨迹,可以用于缉捕传统犯罪案件的嫌疑人或逃犯,也可以用来侦查其他潜在的违法犯罪活动。当缉捕传统案件嫌疑人或逃犯时,如果逃犯主动入网,可从其网络或现实社会特征溯源出媒介物,再从媒介物查找出其他个人特征,然后利用这些特征的实时轨迹实施缉捕;如果作案人被动入网,可从网络空间中记录其活动的信息追踪出媒介物,进而分析其在现实空间中的活动规律、日常轨迹和其他个人特征,最后利用这些规律、轨迹和特征实施缉捕行动。当发现来自境外的极端宗教通过网络进行传教或联络时,根据新模式的侦查途径,可通过掌握的媒介物反复研判其行为特征,追踪网络轨迹,梳理出嫌疑人的非法网络传教或联络路径,有利于打击该类犯罪行为。
(四)为人工智能的机器学习提供新程式
在现实空间与网络空间共同构建的场景内,“H—M—P”为人工智能设备学习人的各种行为提供一种新的机器学习模式。
一是将“信息孤岛”的海量数据有序归整。公安机关推进信息化过程中,建设了包括DNA、指纹、足迹、警情等数据库,这在一段时间内促进了公安机关的侦查工作,但这些有关个人行为(或特征)的数据因管理、组织、融合等因素的影响而构成了一个个“信息孤岛”[11],因而阻碍了公安机关间的共享共用,更不能用来预测个人、组织的行为,在人工智能面前如同“死”数据。新模式提供了人工智能收集整理这些“信息孤岛”数据的途径,即以人为中心,通过媒介物将P和H的所有数据集中到特定人的目录下,再计算出其个体特征和行为习惯,进而实现对特定人行为的模拟和预测。通过机器学习途径,实现对人行为的识别、分析、学习、预测等。
二是跟踪学习新的犯罪行为。以人在虚实空间的具体犯罪行为为学习范例,对过去或现有犯罪行为进行学习,将刑事罪名与实体行为结合以使机器识别犯罪行为。机器学习理解罪名对应的各种犯罪行为后,进一步跟踪学习嫌疑人的行为,将跟踪学习到的新行为与刑事罪名比对和场景模拟,以判断新的行为是否危害社会,是否构成犯罪,最终通过这种途径发现更多新的犯罪行为或形式。
(五)实现网络案件网络办
网络案件往往难办且耗费巨大,其最重要的原因是我们按照现实社会的侦查模式和方法开展案件侦查,人工方式去调查走访固定证据,而且侦查员不仅要懂得现实世界的侦查原理,还要懂得相当专业的网络技术知识,否则,即使抓到嫌疑人,也无法还原嫌疑人的作案过程。网络犯罪侦查新模式将使网络案件网络办成为可能。
一是在闭合状态下完成案件分析和证据固定。经公安机关内部审批后,智能机器人(或侦查员)依据现场发现的痕迹物证或受害人提供的线索,向知识图谱智能情报中心调取有关证据和线索(指向媒介物和嫌疑人员的数据);当知识图谱智能情报中心没有该数据时,自动向有数据的公司或部门提出调取申请,在得到数据后自我整理数据并向智能机器人提供;当智能机器人追踪到作案嫌疑人时,智能机器人向公安机关提交分析报告,并罗列出需要调取的证据清单;经公安机关内部审批后,案件进入刑事侦查进程,智能机器人向有关公司、机构或个人等数据拥有者发送调取证据的法律文书,按照法律法规的规定收集固定相关证据;智能机器人在接收到这些证据后,按照有关程序和要求整理成案卷,最后将其提供给执法部门,其取证流程如图2所示。
图2 网络化侦查取证流程
二是打通执法与司法审判的梗阻。我国现行的是以审判为中心的刑事诉讼制度,在该制度下,法院层面需要确定两个问题,即有组织犯罪的每个嫌疑人有无犯罪,如果有罪,那应该被判刑多少年;在检察院层面要确定三个问题,即犯罪结果,嫌疑人是否应该被追究刑事责任,嫌疑人和犯罪结果的关系;在公安机关层面需要确定四个问题,即犯罪主体、客体、主观方面、客观方面。公安机关为确定这四个的问题,又需要从证据上明确每个嫌疑人七个问题(俗称刑事案件“七何”要素),即何事、何时(作案时间)、何地(犯罪地点)、何物(犯罪工具)、何情(犯罪过程和方式)、何因(动机和目的)、何人(涉案人员)。办案人员(或智能机器人)从搜集有关“七何”的证据入手,确定在公安机关层面的每一个罪名回答四个问题的证据,再梳理和整理出检察院关心的三个问题的答案,进而根据以往的判例和犯罪的“七何”,为法院判决提供罪名和刑期的数字化考量意见。
五、结 语
国际互联网在移动互联网、大数据、人工智能、机器人、5G等新技术的推动下,网络犯罪呈现出多样性,且日趋猖獗。原有的应对网络犯罪的“人—事(或案)”侦查模式,及其衍生的“事—机—人”侦查模式存在着取证难、定罪难等现实困境。从人与网络空间的交互方式出发,提出了新的网络犯罪侦查模式“H—M—P”,为网络犯罪的侦办提供了新的思路,在取证、发现隐案和积案、网络案件网络办等方面,“H—M—P”侦查新模式将发挥出积极作用。另外,在新技术广泛应用的背景下,社会人群的集体抗争、维权行动、社群运动、群聚行为等也将强力冲击社会管理秩序,冀愿本文所提出的网络犯罪侦查新模式能为解决该类案事件提供有益的参考。