于阳，郑钧元

(天津大学法学院，天津 300072)

当前，赌博、诈骗、非法传销等传统犯罪借助互联网蔓延变异，各类网络违法犯罪层出不穷，依托互联网上的宣传推广、技术支撑、物料供应、支付结算等关键环节，滋生进化出复杂的网络犯罪生态体系，“资金链”“技术链”“信息链”盘根错节，集团化、智能化、平台化特征明显，形成了组织严密、分工明确、彼此依赖的网络黑灰产业链条，网络黑灰产已成为影响网络安全最核心的问题。本文以网络黑灰产生态链的关键环节、打击网络黑灰产面临的重要问题和治理对策为研究重点，通过对网络安全及犯罪治理理论的研究借鉴，以及对国内打击网络黑灰产情况进行梳理，希冀本文能够对维护我国网络安全、依法打击网络黑灰产业链条提供有益的借鉴和参考。

一、网络黑灰产关键环节概述

网络黑灰产是指借助互联网技术、以网络为媒介，为牟取非法利益，在实施或帮助实施网络诈骗、网络赌博、黑客攻击、侵犯公民个人信息等违法犯罪过程中形成的规模化、多样化、链条化、跨地域的地下犯罪产业。[1]犯罪集团内部分工明确、相互配合，具有显著的上中下游特征，上游犯罪主要包括制作、提供勒索软件、木马病毒等非法软件，建立维护网络犯罪网站，传授网络犯罪技术和方法等为实施犯罪提供便利条件的行为；中游犯罪是网络黑灰产的主要表现形式，犯罪分子利用上游产业链提供的平台、信息，通过社会工程学攻击、撞库等方式从事网络违法犯罪活动[2]；下游犯罪主要是通过地下钱庄、“跑分”“租码”平台、第四方支付平台等渠道，将犯罪所得收益洗白并转移。具体而言，又可以进一步分为宣传推广引流、信息类物料支撑、工具类物料支撑、技术支撑、资金支付转移五个关键环节[3]：(1)宣传推广引流环节。宣传推广引流是各类网络违法犯罪的“助推器”，可以帮助犯罪分子扩大影响、精准定位受众群体，主要表现形式包括网络搜索引擎黑推广、流量劫持、短信群发等。如网络淫秽直播犯罪中犯罪分子通过流量劫持，锁定用户浏览器主页或恶意弹窗，强制用户浏览器跳转至指定的色情网站、钓鱼网站等页面。(2)信息类物料支撑环节。在该环节中，犯罪分子通过窃取、骗取、撞库等非法手段获取大量微信号、手机号、QQ号、银行卡、网银U盾等精准公民信息，为实施后续违法犯罪活动提供信息支撑。(3)工具类物料支撑环节。通过提供养号平台、手机黑卡、猫池设备、伪基站、改号软件等网络犯罪所需的必要工具，为网络犯罪自动化提供物质条件。(4)技术支撑环节。通过研发、出售木马病毒等黑客软件、建立犯罪网站、租赁服务器、提供VPN代理等，满足网络犯罪的技术需求。由于公安机关开展“净网”行动，保持对网络犯罪的高压态势，持续挤压国内网络犯罪的空间，犯罪分子纷纷向境外转移，选择租用境外服务器运营犯罪网站、APP，域名注册、服务器租赁等技术支持服务也就应运而生。(5)资金支付转移环节。依托非法第四方支付平台、地下钱庄等交易平台，通过虚假交易、聚合支付等方式将违法犯罪所得收益洗白并转移至指定账户，也涉及到后续线下取钱的行为。在此环节中，犯罪分子为逃避侦查打击，往往会使用大量账户互相交易、层层转账，使资金流向极为复杂，为司法办案人员追踪资金链条带来极大的挑战。

二、网络黑灰产关键环节治理的现状分析

鉴于网络黑灰产犯罪生态圈庞大复杂，本文仅选取宣传推广引流、资金支付转移环节进行论述，希望能为观察和理解网络黑灰产业特征提供助益。

(一)宣传推广引流环节——以流量劫持类产业链为例

互联网经济具有显著的头部效应，网站获得的流量越多，就越受网民关注，因此获取流量成为网络推广的主要目标。流量劫持因其本身可以起到有效的推广引流作用，已成为网络黑灰产上游犯罪中的重要组成部分，为网络黑灰产滋生蔓延提供土壤。按照技术类型为标准，流量劫持可以分为终端劫持、链路劫持、服务端劫持三类(1)参见百度时代网络技术(北京)有限公司：2020网络黑灰产犯罪研究报告[EB/OL]. https://baike.baidu.com/item/2020网络黑灰产犯罪研究报告/54277054?fr=aladdin.。在下文中，笔者以T市公安机关侦办的链路劫持类犯罪典型案件为例，对本案的犯罪手段、流量劫持人员组织架构进行分析，并就流量劫持类案件的刑法规制问题进行探讨。

1.T市链路劫持类犯罪典型案例简介

2020年，T市公安机关工作中发现，本市网民在使用手机浏览器访问网站时，出现流量被劫持、返回数据被修改等情况。而后查明，张某等5名犯罪嫌疑人以建立互联网公司为掩护，非法获取运营商服务器权限，再联系广告公司获取广告计费账号，逐步形成了沟通联系流量商和渠道商、编写架设恶意劫持程序和代码、后台技术维护、数据资金核对的流量劫持犯罪链条，其组织严密、分工明确、社会危害性大，遭流量劫持用户遍布山东、河北、贵州等30多个省份。经进一步侦查发现，为该团伙提供运营商流量的犯罪嫌疑人孙某和肖某帮助该公司架设预置恶意劫持程序的分光服务器，并按劫持流量获利比例分成。该公司利用恶意劫持程序和劫持代码强制篡改网民访问网站的返回链接，将网民访问网站的正常链接强制替换为广告推广链接，从而达到为自身引流，刷搜索量和广告推广量以牟取不法利益的目的。T市公安机关于2020年6月底开展收网行动，共抓获犯罪嫌疑人39名，扣押冻结资金4000余万元、扣押电脑21台、手机27部，本案也成为T市历年抓获人数最多、涉案金额最大、涉案地区最广的流量劫持类案件(2)参见天津警方打掉一破坏计算机信息系统犯罪团伙[EB/OL]. https://m.gmw.cn/baijia/2020-10/19/34281452.html.。

2.本案犯罪手段分析

本案中犯罪分子通过在运营商的服务器上安装劫持程序，启动设置在服务器上的恶意代码，并获取用户访问的来源及其正常访问时附带的广告计费账号链接，同时将原始访问链接修改为预设广告计费账号的链接，当用户点击、切换被劫持网址时，就会自动替换广告链接，达到获取流量的目的。一般而言，流量劫持类案件中常见的引流方式有以下两种：(1)透明窗引流。在用户浏览被劫持网站时生成一个已加载预设广告链接的透明窗口，当用户点击网站某栏目时，实际上是先点击了透明窗口，触发其预设广告网页，从而获取流量。(2)网页退回引流。在用户浏览被劫持网站后，点击网页浏览返回键或切换其他网页时触发犯罪分子预设的广告链接，从而获取流量。

3.流量劫持人员组织架构分析

流量劫持已经在网络广告推广行业形成了一个庞大的黑灰产业链，其中的各个环节已形成角色固定、分工明确、利益共享的违法犯罪生态圈，业内人员普遍承认存在使用劫持流量牟利的乱象。目前，流量劫持犯罪生态大致可分为“流量商”“流量劫持者”“渠道商”三种角色：(1)流量商。此类人员大部分可利用职务之便接触或控制网络流量数据，如运营商、机房运维公司的工作人员或是运营商、机房内部人员。从小区宽带机房到三大运营商的出口数据，只要能用来变现的流量，都会被疯狂利用。此类人员由于掌控网络数据流量，在利益链条中地位超然。(2)流量劫持者。此类人员掌握劫持技术，与流量商串通勾结后在流量镜像服务器中配置劫持软件，分析引导并利用流量数据达到广告变现的目的。他们往往还要分析各大网络广告联盟平台的反作弊原理或账号封禁规则，以规避流量过大带来的封禁风险。(3)渠道商。此类人员专门搜集注册各大广告联盟的广告计费账号，并将其提供给流量劫持者用于插入劫持代码，他们负责与广告联盟的沟通和结算，属于牟利资金的第一经手人，在扣除一定比例费用后，会将剩余款项转账给流量劫持者。

4.流量劫持行为的刑法规制

当前，流量劫持行为的刑法定性仍存在较大争议。从既有判例来看，流量劫持行为可能构成非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪，司法实务部门在罪名的选择适用上存在一定分歧。在刑事司法实践中，流量劫持案件一般会依照破坏计算机信息系统罪定罪处罚，个别案件会定为非法控制计算机信息系统罪。我国刑法学界对此问题也莫衷一是，尚未达成共识。叶良芳教授认为，流量劫持行为构成非法控制计算机信息系统罪和破坏计算机信息系统罪的想象竞合，应择一重罪定罪处刑。[4]孙道萃副教授指出，流量劫持构成破坏生产经营罪，即通过对该罪的犯罪客体作扩大解释，将网络经营秩序纳入该罪的保护范围之内。[5]陈禹衡博士提出，流量劫持犯罪侵犯的法益是计算机系统安全，应统一以破坏计算机信息系统罪定罪处刑。[6]本文认为，流量劫持行为应依照其类型分别定罪，终端劫持因其行为具有“侵入—破坏—控制”三个环节，非法控制之手段服务于破坏之目的，二者之间具有手段和目的的牵连关系，应作为破坏计算机信息系统罪和非法控制计算机信息系统罪的牵连犯，从一重罪处理。链路劫持以及服务端劫持，实际上对计算机系统安全造成的损害远达不到破坏计算机信息系统罪所要求的破坏程度，侧重于控制而非破坏计算机系统，目的是违背用户意志非法获取流量，因此定为非法控制计算机信息系统罪更加符合立法目的。

(二)资金支付转移环节——以网络赌博犯罪支付结算黑灰产业链为例

近年来，网络赌博、网络诈骗等犯罪高发频发，犯罪分子迫切需要安全可靠的支付结算方式以逃避监管。随着互联网支付手段迭代更新，依托于第三方支付衍生出的非法第四方支付结算平台等逐渐成为违法犯罪活动的重要资金结算渠道，呈现出多样化、隐蔽化的特点。在下文中，笔者将以网络赌博犯罪资金结算为例，对此类黑灰产业链进行简要分析。

1.网络赌博资金结算流程和非法支付结算方式

根据赌博资金的流转特点，网络赌博资金结算过程大致可分为赌资充值、赌资清洗和赌资提现三个环节。赌资充值是指参赌人员将个人资金转移至赌博平台账户的过程；赌资清洗是指赌博团伙与地下钱庄或专门从事非法资金结算的犯罪团伙相互勾结，将赌资由赌博平台收款账户层层清洗后转移至赌博团伙持有的账户中，共同完成资金结算、转移和隐匿；赌资提现是指参赌人员将所得赌资由赌博团伙账户转移到其个人账户。常见的非法支付结算模式主要有以下两种：

一是利用非法第四方支付平台结算。非法第四方支付平台是指未获得国家支付结算许可，违反国家支付结算制度，通过网站、APP等工具整合银行、非金融机构等支付通道，为客户提供在线支付结算服务的一种新型支付平台。[7]非法第四方支付平台在第三方支付平台申请开通支付通道，通过技术手段改变资金接口性质，为网络赌博、网络诈骗等犯罪提供充值、提现等服务，从中获取巨额利润，具有低成本、碎片化、跨平台的特点。[8]具体包括以下四种结算方式：(1)利用电商平台充值。非法支付结算黑灰产团伙利用从上游环节获取的企业营业执照、银行卡等信息，开设淘宝、京东等电商平台的商户账号或煽动他人以个人、企业身份入驻电商平台，随后按照充值金额需求设置虚构的商品，并将购物付款接口转移至网络赌博平台，参赌人员充值赌资时将跳转至电商平台支付接口进行付款操作。完成付款后，使用支付宝等第三方支付平台将赌资转移至商户的银行账户，商户收到赌资后再将其转移至非法第四方支付平台账户内，经过层层清洗，最终转移至赌博团伙手中。(2)利用话费充值。为逃避侦查打击和支付平台风控监测，非法支付结算黑灰产团伙与话费充值渠道商相勾结，批量实时获取正常用户的充值订单信息和赌博平台的赌资充值订单信息，通过技术手段匹配赌博充值订单和话费充值订单，拦截正常用户支付的话费并层层转移至赌博团伙账户，而参赌人员则为正常用户充值话费，有效割裂了资金链，作案手法更为隐蔽。(3)直接利用个人账户充值。犯罪团伙注册或购买大量个人第三方支付账户，通常采用人工方式生成个人静态收款码、外挂实时生成动态收款码为赌博平台提供充值服务，或者由客服向参赌人员提供个人账户以收取赌资，赌资可以直接提现至指定的银行账户。此类手法无需技术对接，具有简单、高效、低成本的特点，但是受到单日收款金额限制，且容易被风控系统识别处置。(4)利用“租码”“跑分”平台进行赌资充值。此类犯罪团伙通过制作“跑分”APP或者网站等，打着“兼职”、“跑分”、“代购”的幌子，招募发展大量代理和兼职“跑分”人员，当参赌人员需要充值赌资时，“跑分”平台会以抢单的形式发布充值任务，“跑分”人员抢单后会提供自己的个人支付账号供其充值，从而帮助网络赌博平台收取大量高频、小额的赌资。

二是利用网银进行支付结算。网银支付是指用户开通银行卡的在线支付功能，通过网上银行APP或程序，使用银行卡密和预留的手机号收到的验证码相结合完成支付，具体包括充值、洗白、提现三个环节：(1)在充值环节，大多数赌博平台的收款渠道都支持网上银行汇款，参赌人员可以通过网银转账、线下存款和第三方支付转账到银行卡等多种方式向指定银行卡转账。(2)在洗白环节，由于第三方支付平台依赖于银行体系，且赌博团伙最终获取资金也依托银行的金融体系，因此赌博团伙清洗赌资的核心环节是通过网银转账实现的。近年来，随着电信网络诈骗和跨境网络赌博迅速发展，在我国台湾地区以及菲律宾、柬埔寨等国家出现了大量的专业地下钱庄(又称“水房”)，为大额诈骗、赌博资金提供洗钱服务，当赌资进入一级收款银行卡后，“水房”工作人员通过网银迅速将资金分散转移至多级银行卡中，最后集中到赌博团伙的指定账户内。当然，赌博团伙也有可能直接将资金转移至地下钱庄，采取“对冲”、“虚假交易”等方式跨境汇兑资金，导致无法追踪资金流向。(3)在提现环节，绝大部分境外赌博平台、APP的注册或提现环节，都需要参赌人员绑定个人银行卡后才能发起提现申请，赌博团伙会通过网上银行向参赌人员银行卡转账。目前，大型赌博平台都采取反侦查措施以逃避打击，例如，定期更换银行卡以规避银行风控系统；在资金链中插入POS机线下支付、第三方支付、充值点卡交易等物理隔离环节，不与赌博收款账户和中转账户直接关联；用户绑定银行卡后由赌博平台客服远程遥控，替代用户完成提现操作等。[9]

2.资金支付结算黑灰产发展趋势

随着网络支付方式的多样化、普遍化，加之监管机制尚不健全，洗钱行为和网络犯罪之间的联系越发紧密，部分第四方支付平台为牟取非法利益，主动为网络赌博、网络诈骗等犯罪提供资金结算通道，并且逐步形成规模庞大的黑灰产业链，其发展趋势主要包括以下方面：一是相关产业呈爆发式发展。结合办理跨境网络赌博案件的实际情况来看，绝大多数网络赌博平台已经接入包括第四方支付、银行转账在内的三种以上的收款通道，而一个非法支付平台也同时为多个网络赌博平台提供服务，并可提供网上银行、第三方支付等渠道。网络赌博平台和非法支付结算黑灰产团伙已经形成分工明确、相互依附的绑定形态，资金量级逐渐走高，且非法结算的技术门槛和违法成本较低，得以迅速扩散裂变。二是利用个人账户“跑分”侦查打击难度大。随着第三方支付平台不断加大商户支付的风控打击力度，自2018年以来，非法结算黑产团伙开始转为利用个人收款账户，采用“租码”、“跑分”等模式，通过技术手段实现自动化结算，对各大支付机构的现有风控策略构成极大的挑战。使用该方式进行洗钱的资金规模不断增长，目前已经成为主流的洗钱方式。此外，犯罪分子在原有的第三方支付、银行卡等充值渠道上频繁更换收款账户、拓展新的充值渠道，甚至利用虚拟货币交易匿名性和难以追踪的特点，帮助实施洗钱活动。三是利用电商平台、运营商企业收款通道成为新趋势。犯罪分子不断探索使用电商平台、运营商等可信商户作为收取赌资的新渠道。由于电商平台、运营商的单个商户日均交易笔数和资金规模特别巨大，电商平台和运营商的结算体系又与支付平台相对隔离，个别电商平台商户、运营商充值业务供应链与黑灰产团伙相互勾连，给侦查打击带来极大困难。

三、当前打击网络黑灰产面临的现实挑战与困境分析

(一)网络犯罪的法律适用和认定标准存在争议

1.网络犯罪各罪名之间交错重叠

一是非法侵入计算机信息系统罪保护范围狭窄。本罪立法意在对国家事务、国防建设、尖端科学技术领域计算机信息系统进行特殊保护，但实际效果却不尽如人意，犯罪分子侵入上述计算机系统后常常还会实施控制计算机系统、获取计算机系统数据等非法行为，根据《刑法》第285条之规定，后行为无法依照本罪定罪处罚，而是依照“侵入”这一手段行为定罪，不能完整、准确的评价犯罪行为。此外，侵入上述计算机信息系统之外的其他普通计算机信息系统，不构成本罪；如果侵入普通计算机信息系统后没有实施非法控制、获取计算机系统数据等行为，也不能构成非法获取计算机信息系统数据、非法控制计算机信息系统罪，导致此类行为处于刑法规制的空白地带。二是非法获取计算机信息系统数据、非法控制计算机信息系统罪规制的行为范围不合理。本罪中获取数据或非法控制的手段仅限于“侵入”和“其他技术手段”，无法涵盖所有犯罪方式。在司法实践中，犯罪分子还会采取勾结运营商等单位内部人员作案的方式，因其不属于技术手段，不能依照《刑法》第285条第2款之规定定罪处罚，故而一般会适用职务犯罪的相关规定处理。此外，犯罪分子控制计算机系统或获取数据后，通常会继续实施后续的网络黑灰产活动，如用作挖掘虚拟货币的“矿机”、恶意注册、敲诈勒索及电诈活动等，因其或不构成犯罪、或难以取证、或以其他罪名处罚不能做到罚当其罪。[10]于是将打击端口前移，不再依后行为定罪转而定本罪，使得本罪有变成“口袋罪”的趋势。

2.网络帮助行为与共犯认定存在分歧导致重罪轻刑化

在司法实践中，帮助信息网络犯罪活动罪与电信诈骗、网络赌博等网络犯罪的共犯认定存在分歧。例如，部分犯罪嫌疑人为网络赌博、诈骗犯罪团伙提供公民个人信息，或为其搭建网络平台、提供资金支付结算服务等，同时涉嫌帮助信息网络犯罪活动罪和上游犯罪的共犯，应依照处罚较重的规定论处。但目前审判实践普遍倾向于限制共同犯罪成立范围，同时扩张帮助信息网络活动罪的适用范围，最终导致重罪轻刑化，不能充分体现罚当其罪，也不符合罪责刑相一致原则。究其原因主要有以下两方面：一是在法律适用方面存在不同认识，网络犯罪团伙各成员之间分工明确，但又具有相对独立性，不同于传统共犯的特征。[11]二是侦办网络犯罪案件存在追查难、取证难、办案成本高等问题，如依照共犯处理，则需查明犯罪人之间具有共同的犯罪故意，但网络犯罪中各犯罪人往往互不相识，缺乏明确的犯意联络。

3.网络犯罪源头在外，跨境执法协作难

由于网络犯罪发生在虚拟空间，不受国界、地域限制，随着我国加大对网络犯罪的打击力度，为逃避打击，越来越多的犯罪团伙选择向缅甸、老挝、柬埔寨等东南亚国家转移。同时，国内部分群众受不法分子利诱和指使，利用住宅、私家车架设GOIP、多卡宝等通信设备，为境外网络犯罪团伙提供通讯转接条件，具有典型的“境外遥控境内”特点。[12]而目前国际警务合作机制尚不健全，办案人员在执行跨境追缉、调查取证等任务时，很难直接得到境外警方的支持，在要求当地金融、通信等行业协助调取电子证据时，因调取证据流程不同、各地区标准不一致，导致提取固定电子证据极为困难。此外，缅甸、越南等东南亚国家刑事法律制度与我国存在差异，且各方利益关系复杂，部分国家和地区存在地方保护主义，增加了跨境抓捕、取证的难度，公安机关只能“立足境内打境外”，难以追根溯源、斩草除根。[13]

(二)网络黑灰产业链隐蔽性强，资金追缴难

1.网络黑灰产业链人员分散、技术对抗性强

第一，犯罪线索难追查。随着国内打击监管力度持续加大，犯罪分子被迫向东南亚等国家转移，反向针对境内疯狂作案，群众反响最强烈的网络诈骗、网络赌博、网络色情等案件，几乎都呈现出“境外组织发起、境内技术支撑、团伙分工负责”的特点。据统计，有68.5%的境外电信诈骗窝点在缅北地区，当地武装势力甚至以“招商引资”的名义，吸引电信网络诈骗团伙入驻，使之成为电信网络诈骗分子的“乐土”。同时，大部分电信诈骗犯罪分子具有计算机从业经历和知识背景，为了躲避侦查，他们不仅将犯罪窝点和服务器架设境外并定期清理数据，还使用境外电信网络和Skype、Telegram等加密社交工具单线联络，侦办一起案件就可能涉及上百个通讯账户、境外多个国家，很难查清位置、一网打尽。特别是在电信网络诈骗、跨境赌博犯罪中，策划指挥者藏匿于境外，使用虚假的身份信息、银行账户以及联系方式作为掩护，侦办案件需要境内外警方、银行、电信部门的密切配合，不仅投入大量的人力、物力、财力，而且需要长期经营，即便如此调查取证也十分困难，某一个环节出现问题就很难追查下去，极大增加办案成本，传统的办案模式已无法适应网络犯罪的新变化、新趋势。

第二，团伙架构难查清。网络犯罪团伙往往参照公司运营方式，成立包括技术开发、信息收集、人力资源、宣传推广、支付结算在内的各小组，人数众多、组织架构复杂、去中心化特征明显，很难查清犯罪团伙组织结构。例如某跨境赌博案件中，犯罪集团为每名新入职“员工”分配化名，并要求“员工”间以化名相称，工作任务、非法所得均以化名下发，每名“员工”的工作内容仅涉及犯罪链条中的单个环节，导致“员工”间互不了解、甚至不知道是在帮助犯罪，很难找到突破点以查明团伙成员的真实身份、梳理犯罪团伙组织架构。此外，基于转账金额、转账次数、资金流向等因素刻画犯罪团伙组织架构也遇到很大困难，犯罪分子利用其非法获取的大量公民个人银行账户、对公账户，通过虚构交易、分散交易、虚假退款等方式规避风控系统识别，涉案资金在多家支付平台、银行账户中交叉流转，资金链极其复杂，需要分析的海量交易数据，且伴随着犯罪分子、服务器向境外转移，产生大量跨国资金交易，侦查人员在调取境外银行账户资金流水时很难得到支持，严重影响办案效率。

第三，现有技术难应对。目前，公安机关投入大量资源开展数据赋能攻坚行动，但在实际工作中，研判预警不及时、技术手段干预滞后等问题依然突出，智能巡查，快速封堵违规网站、域名以及相关违法网络信息能力有待提升。例如，在打击电信网络诈骗犯罪方面，随着诈骗手段不断翻新，现有预警模型和识别策略明显滞后，对于可疑的诈骗网站、链接等识别准确率不高，一些不法分子借助AI变脸、变声器、改号技术等手段实施诈骗，大量诈骗信息无法得到有效识别，需要公安机关与通信管理部门人工研判后进行拦截，远远跟不上诈骗团伙作案频率。亟需更新迭代预警拦截系统、不断升级系统功能，提高预警拦截覆盖面、精准度，持续提升技术反制能力。

2.电子证据难固定、易遭破坏

网络犯罪的主要证据类型是电子数据，基于电子数据的不稳定性、易被篡改等特点，收集固定达到真实性、关联性标准的证据难度较大。一方面，电子数据取证需要专业的人员进行，部分基层办案人员受客观条件限制不具备相关技术手段或专业设备，在办案过程中难免会因人为因素导致电子数据灭失、失真甚至遗漏关键电子数据。据不完全统计，当前电诈案件中使用网络转账、第三方支付等方式结算的资金高达90%，这类转账形式不受传统ATM机和柜面转账汇款限制，便于犯罪分子隐藏身份、流转资金，侦查人员很难及时精准提取涉案电子数据。另一方面，犯罪团伙专业性强、警惕性高，反侦查意识和手段不断提高发展，使用改号软件、钓鱼网站及GOIP、多卡宝等技术设备或是通过代理或租用境外服务器，利用虚拟主机、托管主机不断动态变换网络域名以躲避侦查。同时开发各类可远程删除电子数据的软件程序等，自动断开网络连接或关闭电脑，导致存储在服务器内的电子证据毁损灭失，且团伙内部成员之间会定期清除网上通联记录，形成完整的证据链相当困难。

3.犯罪分子迅速转移赃款为追赃挽损增加难度

一是涉案资金分散转移，追踪查扣难。网络犯罪团伙在获取非法所得后，往往通过虚拟货币、地下钱庄及第四方支付平台、对公账户等渠道，快速转移涉案资金、频繁更换账户以规避风险，侦查人员很难追查资金流向、真正做到“打财断血”。部分参与洗钱的地下钱庄是有真实贸易活动的公司，诈骗资金一旦转移到这些公司，就很难区分赃款和合法贸易资金，账户控制者均为多年从事洗钱的专业人员，深谙规避监管之道，即便公安机关对其账户实施冻结，因无法形成完整证据链，仍不能对涉案资金进行有效处置。一旦非法所得进入犯罪嫌疑人账户，立即会被“化整为零”，层层分散至三级甚至四、五级以上的多个账户中迅速提现，追踪查扣极其困难。二是犯罪分子肆意挥霍赃款，损失挽回难。一方面，犯罪分子在取得赃款后常用于各种高档消费，特别是从事拨打电话、资金提现、贩卖银行卡等底层犯罪人员大多无正当职业，经济拮据但追求享乐，在很短时间内即将赃款挥霍一空。公安机关抓获这些违法犯罪人时，除随身携带的物品外，通常难以全额追缴其非法所得。另一方面，网络犯罪团伙为加快赃款转移速度，内部有专门负责提现取钱的人员(或勾结线下转款的“车手”)，涉案资金在进入一级账户后几分钟内即被转移，加之被害人大多无法及时报案，往往错过止付冻结涉案资金的黄金时间。已冻结的涉案资金也并非能全部返还给受害人，涉案资金经多级流转，各级账户资金往来交叉，大量资金融合，难以厘清权属、直接溯源确定受害人。此外，再加上网络赌博、网络诈骗等案件存在一定的犯罪黑数，由此造成大量权属不明的涉案资金滞留银行。

(三)相关行业、机构管理存在漏洞，行政监管措施难以有效应对

金融、电信、互联网等行业普遍关注自身利益，忽视其应承担的社会责任，且行政监管部门治理手段有限，现有多元协同治理模式存在的各主体治理态度不一、治理措施低效被动、体制机制不够健全、责任体系不够完善等问题并未得到根本解决。多方共治的系统性工程尚未形成，导致网络黑灰产上游源头禁而未绝、下游犯罪死灰复燃。

1.金融机构风控能力有待提升

近年来，金融监管部门和银行等利用风控稽核系统等手段持续加大打击非法第四方支付平台力度，非法第四方支付平台为对抗监管打击，使用分布式存储、云计算、大数据智能算法等技术，隐藏自身交易特点以规避平台识别。例如，收集用户IP地址等相关信息以确定其地理位置、历史交易记录、交易金额，通过人工智能算法选择与用户交易历史习惯、所在位置、交易金额等因素最相类似的商户进行交易。随着非法第四方支付模式日臻成熟，账户数量和资金流水激增，已超越风险识别的管控能力，追溯非法交易资金链条极为困难。[14]此外，第三方支付机构大多采取代理方式进行线下推广，对代理商的审核和管控并不严格，这就给犯罪分子实施洗钱等违法活动以可乘之机。此外，个别银行对其发行的银行卡实名使用监管不到位，是网络黑灰产泛滥不止的原因之一，犯罪分子利用“跑分”平台、虚拟货币、套利交易等方式转账洗钱。银行、金融监管部门在反洗钱领域，有待进一步建立健全涉案资金识别、止付，可疑、高危交易结算限制等机制，以此提高风控能力和效率。

2.现有的网络平台治理模式面临困境

行政监管部门治理理念与当前网络发展形势不相适应，主要通过督促网络平台履行“主体责任”、要求平台强化自我约束，实际上是将部分监管权力让渡给网络平台，虽然影响范围更广但治理效果并不理想。[15]首先，“主体责任”概念本身仍有争议，过于强调平台“主体责任”，可能会使平台承担的管理义务超过必要限度。其次，网络平台基于自身利益的考量，可能会对“刷单”、“刷好评”等推广引流行为持默许和放纵的态度，主观上缺乏管理动力。再次，网络平台为规避法律和舆论风险，鲜少公开其数据收集、使用和算法过程，用户、行政监管部门针对平台可能出现的“算法黑箱”、数据滥用等问题，根本无从监督问责。最后，平台审查人员素质参差不齐，对于信息内容合法性审查判断的能力不足、标准不一，采取屏蔽删除等措施时主观因素过多，且平台通常会利用其优势地位，通过格式条款限制用户权利。在维权渠道，误删、错删等情况出现时，用户权利很难得到及时且有效的保障和救济。[16]在种此情形下，用户往往会产生各种不满情绪，甚至会直接指向政府相关工作部门。

3.行政监管力度难以满足实际需要

网络犯罪的匿名性、即时性等特征为政府相关部门监管带来了极大的挑战。一方面，随着网络数据加密、反追踪等技术的更新迭代，木马病毒、黑客攻击等网络犯罪的作案方式也在不断变异。美团、饿了么、淘宝、滴滴等互联网公司掌握了大量公民个人信息，同时在抵御网络黑客攻击、漏洞攻击方面良莠不齐，一旦被黑客攻破其数据库导致数据泄露，将造成无法挽回的损失。部分关键信息基础设施的系统安全防护能力仍有不足之处，政府部门该如何监督指导运营商发现并整改网络基础设施系统安全漏洞、维护敏感数据安全，这已成为影响国计民生的重大课题。另一方面，为规避平台监管，电信网络诈骗、网络赌博等犯罪在宣传推广引流环节中会使用暗语交流。例如，将“微信”称为“卫星”“VX”等，即使我国相关行政管理部门不断加大治理力度，社交媒体网站也在更新自动屏蔽关键词算法，仍难以应对海量数据、视频和小众APP等监管盲区。

四、网络黑灰产的治理路径与治理对策研究

(一)完善网络犯罪刑事法律体系，织严织密刑事法网

1.充分运用法律武器，依法依规打击网络犯罪

首先，应强化对第四方支付平台的规制力度。金融管理部门和反洗钱义务机构应当加强事前监管，建立交易风险管理制度，对疑似风险和非法交易及时采取调查核实、冻结支付、终止服务等控制措施。通过订立从事相关资金支付结算业务的准入标准，实行持证经营制度，严防其异化为支付结算机构。同时立足于第四方支付机构的业务性质，建立分类监管体系和备案制度，第四方支付平台应采取加密存储、限制访问权、信息审计等方式保护用户信息。其次，要明确帮助网络犯罪共犯的刑事责任边界。在认定网络犯罪帮助行为的性质时，可以依据共犯限制从属性说原理，采纳片面共犯论，即成立共同犯罪不需要共谋，也不需要完全相同的犯罪故意，只要求明知是帮助上游人员实施网络犯罪行为即可。[17]在刑事归责时，应综合考虑侵害法益程度和明知程度等判断标准，明确网络犯罪共犯和帮助信息网络犯罪活动行为的适用条件。在同时成立共犯和帮信罪的情况下，应优先以共犯论处，进而解决帮信罪数量的爆发性增长和重罪轻罚化问题。[18]最后，应构建“严而不厉”的网络犯罪刑事法律体系。诚如德国法学家耶林所言：“刑罚如两刃之剑，用之不得其当，则国家与个人两受其害。”[19]为有效遏制网络犯罪高发频发态势，应当坚持宽严相济的刑事政策、坚持刑法的谦抑性。刑法的谦抑性包括犯罪圈的谦抑性和法定刑的谦抑性。[20]当前我国刑法过于注重犯罪圈的谦抑性，入罪标准较高，需同时具备定性和定量的条件，由此造成不能很好的应对信息网络发展而带来的种种社会问题，而片面强调积极主义刑法观也不可取。[21]因此，可以在扩大网络犯罪圈的同时，通过减轻法定刑以实现刑法的谦抑性，构建“严而不厉”的网络犯罪刑事法律体系，合理弥补法律漏洞、有效应对新型网络犯罪。[22]

2.注重各部门法之间的衔接与协调，共同打击网络黑灰产

近年来，我国在网络安全和数据保护领域的顶层设计取得了一定的成绩，陆续颁布了《网络安全法》《个人信息保护法》《中华人民共和国数据安全法》等法律法规，充分确立了以人民为中心的个人信息保护理念与法治规则，使人民群众在数字社会中的权利得到了充分尊重、实现与保护。但司法机关工作人员在办案过程中，对现行法律法规的争议也越来越多。下一步应全面推进网络犯罪治理的法治工程，制定个人信息的收集、使用、存储、保护、共享及数据跨境范围等有关规定和条例，逐步形成行刑衔接、高效完备的网络安全法律法规体系。[23]坚持依法监管、依法自治、依法制裁一体推进，不仅要“管得宽”而且还要“管得严”。针对打击新型网络犯罪出台更加细化、可操作的指导意见、司法解释，以此解决行政执法与司法实践中对于打击网络黑灰产、合理认定共犯行为成立的条件以及证明“明知”标准等难点、痛点问题。

3.建立完善权力清单和负面清单制度，加大失信惩戒力度

政府部门应在坚持依法管网治网的前提下，做好防范网络犯罪风险的顶层设计以及各项协调管理工作。要加快建立网络行政监管权力清单和负面清单制度，从制度层面消除权力寻租设租的可能性。一方面，要列出权力清单，明确政府监管职责范围和权力界限，公布网络行政监管部门权力的“流程图”，即网络行政监管运行的各项环节、程序和执法标准，便于社会公众进行监督。另一方面，要明确互联网行业自治的合理范围与空间，使得网络服务提供者可以依法进行自律和管理活动，有效填补网络行政监管的权力空白，并依法监管到位。此外，应加大失信惩戒力度。对实施网络犯罪以及为其提供帮助的违法犯罪人员统一列入黑名单，严格落实失信人员惩戒措施，依法发出从业禁止令，消除其重新犯罪的可能；对违规企业、机构和营业网点，按照有关规定取缔营业资格，并纳入行业负面清单严格管理。[24]

(二)提升网络安全监管和行业整治力度，形成社会协同治理体系

1.加强政府企业等主体之间的协作配合

网络黑灰产牵涉行业广，通信运营商、金融机构、互联网平台等各行各业均有涉及，且关联的政府管理部门多。例如，公安、网信、银保监会、工信等部门均拥有一定的管辖权。仅依赖于某一部门的力量，或单一的监管体制，已无法实现有效的打击与防范，必须建立多主体协同、多级规范共存的制度框架。同时，通过加强公检法之间的沟通联系，建立联席会议、案件会商等工作机制，会商研究解决网络违法犯罪的证据标准等实际问题，为执法办案提供法律支撑。[24]通信运营商、互联网企业以及金融机构必须在行业主管部门的指导下加强合作，落实金融、通信、互联网等重点行业监管责任、细化企业监管措施，强化风险防控，堵塞行业漏洞，互联网企业还可发挥技术优势，帮助侦查机关在策略选择、技术研发、挖掘线索、侦办案件等方面深入合作，不断提升打击实效。银行等金融机构应主动完善风控及协作机制，强化对开立账户、资金转账等业务的监管，全力协助办案机关发现识别和冻结用于网络犯罪的可疑资金，为紧急止付开辟绿色通道。充分落实“一案双查”制度，司法机关在侦办涉网案件的同时，推动倒查网络平台、商业银行、支付机构等企业单位主体责任和相关部门监管责任的落实情况，并建议限期整改反馈，对问题严重、拒不整改的企业要通报有关部门约谈问责。

2.加强相关行业监管力度

一是加强电信领域监管力度。由通信管理部门牵头、公安机关配合，在保证个人信息安全的前提下，全面落实用户真实身份信息登记制度，坚决杜绝“实名不实人”的问题，大力整治恶意批量注册账号、冒用盗用他人账号信息等行为，综合采取多种生物特征识别、认证用户身份，确保登记信息真实准确、可溯源。通信管理部门应会同公安机关研究网络犯罪最新通讯手段和方式，建设完善涉诈电话防范系统。引进声纹识别等先进技术，增设语言通话即时阻断功能，实现对可疑来电实时监测、全面拦截。重点打击制作传播改号软件、违规出租电信线路等非法活动，禁止非法改号电话运行和经营，全面清理语音专线和虚拟电话业务，依法取缔违规经营网络电话业务。设立网络端信息化反制功能模块，提高对涉赌涉诈网站、APP的识别处置能力，做到对网上违法信息、行为的实时监测阻断。二是加强金融领域监管力度。在涉案资金支付挽损方面，推动人民银行、银保监会指导督促各银行和支付机构优化升级异常资金交易风险防控系统和异常交易信息通报制度。不断提档升级监测预警功能，及时发现异常交易信息，持续完善涉案资金紧急止付和快速冻结机制，提高冻结止付反应速度和拦截效率，实现“秒级止付”，最大限度减少群众损失。[25]对于具有交叉冻结、重复冻结等问题的涉案资金，出台更加细化、操作性强的解冻返还流程。由银保监会指导督促各商业银行完成借记卡存量清理工作，深入排除清理涉案账户及关联账户、非正常经营的可疑账户和睡眠账户。严格落实借记卡开立有关规定，对新开户人员坚持审慎开户、审慎开通非柜面业务，杜绝违规批量办卡。健全账户开立和存续期间风险监测模型，动态完善风险防控机制，及时发现利用银行转移涉案资金的行为。落实银行账户黑名单制度，对公安机关认定的涉案账户以及出租、出借、买卖银行账户和假冒他人身份开立账户的单位及个人，限制开户人名下其他银行账户和支付账户业务。三是加强网络平台领域监管力度。由网信部门会同通信管理部门落实网络安全防护措施，严防黑客通过技术手段窃取公民个人信息。加强日常巡查监测，及时发现网上非法贩卖各类信息、软件、账户的行为，并通报公安机关核查打击。坚持以网治网的原则，制定完善信息共享的行业标准、地方标准及制度规范，明确统一的数据共享格式，明确共享信息资源的责任与义务。探索建立公共信息资源管理制度，引导企业、公众、社会组织等参与公共信息资源的开发与供给，以信息的集约化采集、有序共享、安全保障为目标，构建一体化的网络犯罪防范信息资源体系。提高信息资源的综合利用水平，互联网企业应协助公安机关认真做好涉案信息的落查跟进、证据链条各环节的取证工作，并依托网上协同作战平台，碰撞各类数据、串并新发案件、挖掘银行账号、拓展电话信息、提取虚拟账号、跟进网站信息、处置涉案APP，做到工作协助协同、信息共建共享、战果联动共赢，真正打破时空限制、依法共享所有信息，切实节约案件侦办的人力、财力和时间成本。

3.提升公众网络安全意识，拓宽监督举报渠道

一是建立目标导向的宣传新模式。利用重大节庆活动等时间节点，在车站、机场、商场等人流密集区域集中组织开展宣传活动，提高群众网络安全意识。推动商业银行、电信运营商等行业单位利用自有宣传载体，通过办证、开卡、走访等业务活动做好日常宣传。丰富宣传形式内容，充分利用报纸、广播、电视等大众传媒和微信、微博、短视频等新兴媒体，开展形式丰富多彩、群众喜闻乐见的宣传活动，形成传统媒体与新兴媒体融合的宣传矩阵，深入社区、家庭、校园、企业、农村开展宣传，剖析网络犯罪手段特点，宣讲政策法规，对易成为侵害目标的老年人、企业法人、财会人员、个体商户等重点群体进行有针对性的宣传。动员广大党员干部深入基层、常驻基层，加强法治宣传，教育引导年轻人走出思想误区，增强自律意识，积极营造诚实守信、勤劳致富的良好社会风气，防止网络犯罪“代际传播”。二是压实宣传责任，及时发布预警信息。根据网络犯罪现实发案规律，总结提炼最新作案手法，及时提供给宣传、网信部门和相关单位，并通过新闻媒体、互联网站和相关行业系统推送预警信息，提醒广大群众有效识别犯罪伎俩。对工作不力、成效不佳导致网络犯罪案件高发、群众损失巨大的，依纪依规追究责任。三是畅通监督举报渠道。增强群众监督举报网络犯罪行为的参与热情、简化监督举报流程，形成网络联防联治的工作格局。依托微信、微博等平台设置监督举报入口，通过设立奖励机制充分调动网民的积极性，发动群众举报违法犯罪线索，对于提供重大线索的要视具体情况予以宣传报道。[24]特别是发现非法获取公民个人信息、隐私数据等情况的，要鼓励网民主动检举揭发、及时报案，同时收集保存好相关证据以便公安机关核实线索。

(三)充分发挥机制和技术优势，不断革新黑灰产犯罪治理手段

1.建立完善网络犯罪综合治理机制，提升对网络犯罪的全链条打击能力

新型网络犯罪往往依托网络技术，跨区域、跨领域、跨国境，非一地侦查机关所能应对。针对当前跨境执法难点问题，应强化公安与外交、国安、港澳台办等部委联动协作的刚性约束，搭建合作机制、畅通沟通渠道、优化工作流程。探索深化产学研合作，深入融合社会各方资源，建立警企联合实验室，打破数据壁垒，实现横向同步调度、纵向一体指挥。同时，集中优势资源，组织高发类案件破案会战，全力深挖金主、行业“内鬼”、偷渡蛇头，全链条追查网络犯罪窝点以及上下游黑灰产。严厉打击违法APP技术开发、非法网络引流推广、第四方支付等黑灰产犯罪。强力打财断血，落实金融资产、不动产、特殊动产、股份期权“四必查”；做到查封、扣押、冻结“三同步”；开展涉案资产、涉税、行政违法“三类调查”，抓好规定动作、查扣金额、资产认定依据“三项审核”，逐案过筛，应查尽查、应扣尽扣，彻底铲除犯罪分子及相关蛇头、卡商、非法支付平台、地下钱庄等经济基础，最大限度剥夺重新犯罪能力。

2.构建专业作战平台和反制系统

联合互联网企业，强化大数据应用，加大投入并建强预警拦截系统，充实高危网站、APP样本库，完善预警模型，建立涉案网络、域名以及可疑资金封堵机制，有效开展电话端、网络端预警反制和资金封控。建立新型网络犯罪研究中心，在刑事技术、技术侦察、网络侦查、视频侦查、安全技术、资金穿透、大数据侦查等方面创新突破、融合发展，不断增强涉网案件侦破能力。一方面，要着力打造合成作战平台。充分整合公安、银行、电信、互联网企业等信息资源，推动升级包括信息研判、预警劝阻、技术反制等功能的网络犯罪合成作战平台，实现对网络犯罪前端感知、中端拦截、后端打击的全环节处置。加大资金和技术投入，不断升级完善预警平台系统，及时拓展更新可疑手机号码提示、来电高危地域等信息，加强对涉嫌违法犯罪的域名、网站、电话、APP的识别、筛查、阻断、清理和封堵。另一方面，应升级完善预警反制系统。多方拓展预警信息来源，完善各类网络犯罪监测模型，及时发现网络和社交媒体上的疑似违法犯罪行为。搭建专业预警处置平台，借助智能语音、短信等提升预警效率，通过线上工单流转、预警反馈、复核监督等方式提高预警质量。通过类案分析、研发违法犯罪网站“指纹”，发现同源网站，不断积累违法犯罪网站库；统筹部署相关系统机制、体系建设，运用大数据技术，快速、准确发现受害者并封堵涉案电话号码、网站。

3.加强专业人才队伍建设

首先，要建立专业侦查队伍。探索建立“以专对专”的工作模式，进一步整合优化各方资源力量，探索构建打击新型网络犯罪合成作战体系。抽调精通网络、通讯、金融、法律等方面知识的专家人才组建专业队伍，专门负责侦办电信网络诈骗、跨境网络赌博等网络犯罪。充分依托专业团队优势，深入研究新型网络犯罪特点、总结作案规律，实现从线索发现到案件侦查、资金追溯、技术反制一体化作战。不断提升数据收集分析、精准推送预警、打击处置、证据固定、追赃挽损等具体环节工作水平，做到快侦快破，切实提高规模打击效益，从而有力遏制网络犯罪高发态势。其次，要做好专业人才培养储备工作。强化与互联网企业、大数据公司之间的交流合作，依法依规使用社会资源协助公安机关侦办案件；畅通人才交流渠道，探索公务员聘任制，引入在网络技术方面具有特长优势的专家能手；按照发现、分析、核查、反制等方向进行分类管理使用，提高公安机关攻坚克难水平。最后，还应结合实际需要，采取跟班作业、集中培训、网上授课等多种形式，对上述人员开展全方位技能培训，不断提高综合办案能力。

五、结语

当前，网络犯罪表现出集团化、产业化、智能化特征，已形成涵盖范围广、涉及主体多、上下游犯罪关系密切的黑灰产业链，从而对国家安全、社会治理等方面造成深刻严峻的威胁。2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上强调：“网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”(3)参见走网络安全群众路线 应对网络安全新挑战[EB/OL]. https://share.gmw.cn/theory/2019-10/17/content_33241800.htm.以此可见，治理网络犯罪的核心与关键在于交流、共享与合作，要从源头治理、系统治理、综合治理、依法治理等方面入手，建立多元治理、齐抓共管、各类社会主体共同承担责任，找准关键环节实施重点打击。其中，特别是在保护个人信息、计算机信息系统数据等方面，要做到防患于未然，预防与打击相辅相成。本文通过对网络黑灰产的概念、内涵、特征以及宣传引流推广、资金支付转移等关键环节的研究分析，总结归纳出当前打击网络黑灰产面临的种种现实困境。有鉴于此，在结合网络犯罪治理实践的情况下，本文提出了完善关于治理网络犯罪的法律法规体系、提升打击网络犯罪专业能力水平、加强部门监管和行业治理、加强宣传和反制等对策建议，希冀能够为推进我国斩断网络黑灰产业链条、完善网络犯罪治理体系贡献绵薄之力。