庄 华

（1 中国人民公安大学侦查学院 北京 100038；2 广东警官学院侦查系 广东 广州 510440）

1 引言

作为严重危害社会秩序的违法行为，人们对犯罪的干预自古有之。从对犯罪的及时侦查，到现代警务机制的建立，无不强调对犯罪的快速反应以能更有效地减少犯罪危害后果并追究犯罪者的责任。然而，这些行为均始于案发之后，对于侵财类案件而言，有的财产犯罪或许能做到部分挽损，但更多的是当犯罪危害后果一旦发生，即使对犯罪人判处刑罚往往也于事无补。因此，对犯罪进行预测和预警成为犯罪防控的理想选择，也是侦查工作实现“打击犯罪、预防犯罪”目标的至高追求。犯罪预测与预警目标的实现既需要数据统计、数据分析、数据挖掘等技术支撑，也需要犯罪预防理论的引导。随着数据采集能力的提升和算法的日趋成熟，警方开始尝试利用大数据对犯罪进行预测和预警。西方的预测性警务主要基于接触式犯罪，对于以电信网络诈骗犯罪（以下简称“电诈犯罪”）为代表的非接触式犯罪，如何建构起有效的大数据预警体系，在当前具有强烈的现实意义。

2 技术缘起：从犯罪统计到大数据预警

2.1 从犯罪制图到数据预测犯罪

人们从很早以前就开始从数据统计角度研究犯罪。1829年，阿德里亚诺·巴尔比和安德烈·米歇尔·古里制作了一批显示法国教育水平与暴力和财产犯罪之间关系的地图，被称为犯罪制图的首例[1]。此后，约瑟夫·弗莱彻和亨利·梅休分别于1849年和1861年制作了男性监禁率和县级犯罪发生率的地图[2]。20世纪初，克利福德·肖和亨利·麦凯绘制了数千起青少年犯罪事件的地图，并分析了犯罪与各种社会条件之间的关系。20世纪50年代，简·雅各布斯研究了建筑环境（城市）和城市居民的需求，她介绍了仍在当今基于地点的研究中使用的概念，例如“大街上的眼睛”和“社会资本”。尽管她并未尝试预测犯罪，但后来的研究认为，她提出犯罪具有空间规律，因而应该可以预测。20世纪70年代，犯罪学家开始强调场所的重要性。劳伦斯·科恩和马库斯·费尔森提出的日常活动理论认为，要使犯罪发生，必须在相同的时间和地点同时发生3件事：有犯罪动机的犯罪者、合适的目标和缺乏能力的守护者[3]。科恩和费尔森认为在特定的社区或社会中，日常合法活动的时空结构对确定违法行为的地点、类型和数量方面应发挥重要作用[4]。

2.2 预测性警务的出现与发展

20世纪90年代，纽约市警察局开发的CompStat系统——以数据和制图为驱动的警务管理战略，其核心内容是在每周的会议上使用犯罪制图和分析软件理解当地违法犯罪模式[5]。由于传统的CompStat是根据比较统计既往数据来识别犯罪高峰，并通过有针对性的执法予以应对，故其发挥的作用是基于已发事件，是属于被动的，而警察管理者当然更希望能够主动预测犯罪并调动警力。随后，洛杉矶警察局与几位大学学者合作，试验了一种预测算法来预测犯罪活动发生的地点，至此，预测性警务出现。美国国家司法研究所对预测性警务的实施起到了直接推动的作用，在美国国家司法研究所的支持下，兰德公司2013年出版的《预测性警务——执法应用中犯罪预测的角色》回顾了有关预测性警务的文献，对使用该技术的部门进行案例研究，并将预测性警务分为4类：预测犯罪的方法（用于预测犯罪风险增加的地点和时间）；预测犯罪者的方法（识别将来有犯罪风险的个人）；预测犯罪者身份的方法（创建档案，将特定特征的犯罪与可能的犯罪者进行匹配）；预测犯罪受害者的方法（识别可能成为犯罪受害者的群体或个人）。同时将预测分析分为6大技术类别：热点分析、回归方法、数据挖掘技术、邻近重复方法、时空分析和风险地域分析，下一层级又可细分为18种具体的分析技术[6]。在业务流程上，将预测警务分为数据收集、数据分析、警察干预和罪犯反应4个步骤。

近年来，欧美警察部门流行的预测警务系统主要有荷兰的CAS，德国和瑞士的PreCobs，英国和美国的PredPol，美国的Hunchlab。尽管它们的目标相同，即预测新的犯罪事件，但不同的应用系统在犯罪类型、使用的变量和网格单元格大小方面有所不同。这种差异表明预测性警务能以各种方式实施，具体取决于使用预测性警务的警察部门的实际需求。

2.3 大数据预警在电诈犯罪预防中的实践

纵观国际上所有流行的预测警务软件，几乎毫无例外地结合了警用地理系统，这也与预测警务发源于犯罪热点和犯罪制图有关。国内理论界对犯罪热点、犯罪地图和犯罪预测保持了一定的研究热度，例如笔者2020年6月在中国知网上以“犯罪热点”为主题词搜索，查询到百余篇相关文章。尽管国内将数据分析用于犯罪预测预警的公开报道很少，但实际上近年来在各地广泛开展的“智慧警务”，已有对潜在犯罪人预警和犯罪高发地区预警的具体应用。例如2014年4月，上海市公安局刑侦总队梳理当年1～3月份扒窃拎包案件案发较多的区域，首次推出官方版的“反扒地图”。该图涉及上海17个区县，囊括了市民广场、商业卖场、三甲医院、旅游景点、超市、天桥等69个“热点发案区域”[7]。但由于本案例仅基于既往数据的分析，即对历史数据在地图上做出的映射，未结合各种变量进行实时运算得出犯罪变化情况，因此，其仍属于热点警务范畴，而并非典型的预测性警务。

当前国内真正广泛运用大数据技术进行犯罪预测和预警工作的，正是在反电诈工作领域。由于电诈犯罪近年来上升势头迅猛，且危害性极大、侦查成本高、溯源难度大，反电诈工作重心已经从侦查转向犯罪预防，通过大数据技术实现电诈犯罪的预测预警成为反电诈工作的必然选择。尽管国外已经在预测性警务方面取得了丰富经验，具有相对成熟的软件系统，但由于大多数电诈犯罪缺少传统意义上的犯罪现场，实际上国外主要基于地点的预测理论和模型可供借鉴之处不多。我国对电诈犯罪的大数据预测预警，更多地是从实践中不断积累经验并迅速发展起来的。据工信部的数据，2019年全国共拦截诈骗呼叫10.8亿次，关停重点地区诈骗号码88.8万个[8]。同时，各电信企业发挥反诈职能，建立了一批反诈系统平台。如四川移动公司创建反诈骗治理综合平台，通过研究诈骗电话行为模式，通过叠加用户、行为、位置三维数据，利用机器学习、人工智能等大数据手段，构建诈骗场景数据模型体系[9]。中国电信广东大数据研究院通过基于大数据的信令共享平台获取呼叫原始信令的海量数据信息，通过大数据处理技术与呼叫行为模型比对，根据该号码通话行为来实时判别是否涉嫌信息诈骗呼叫[10]。中国移动宁夏公司基于行为数据进行模式识别，建立基于诈骗场景、号码行为特征、号码特征、号码活跃特征、号码社交网络、行为事件流、地域等多维度的大数据分析模型，通过对海量呼叫信令的分析，在通话结束后的3～5分钟输出疑似受害用户号码并及时提醒预警。该系统实际上线应用2个月，日均处理话单量4000万条，累计发现诈骗号码334197个，发现疑似受害用户7168个[11]。

3 理论溯源：情境预防理论的启示与完善

我国各电信运营商大数据预警的实践经验，充分说明了运用大数据对电诈犯罪进行实时预警的有效性。要充分挖掘大数据的功能并对电信网络诈骗实现全链条的预警，需要探索背后蕴含的理论依据，梳理此类犯罪的共性特征，进而提出电诈犯罪的系统性预警策略。

3.1 情境预防理论对类罪预防之启示

犯罪预防的学说众多，分类标准复杂。根据犯罪预防措施的着眼点不同，可分为社会预防和情境预防；根据犯罪预防的指向不同，分为犯罪预防和被害预防；1976年布兰廷汉姆与福斯特借鉴流行病理学理论将犯罪预防分为初级预防、次级预防和三级预防[12]16-19。布兰廷汉姆还提出：“环境犯罪学认为，犯罪行为必须被理解为犯罪人、被害人、犯罪目标和特定时空背景下的法律之间的汇合。”环境犯罪学理论发展出若干具体理论和方法，包括日常活动理论、情境预防理论、犯罪热点测定与制图、问题导向警务等。其中，由美国罗格斯大学学者罗纳德·克拉克首倡的情境预防理论着眼于环境视角的微观端，是与类案预防较为相关的犯罪预防理论。情境预防理论强调消除犯罪机会、控制犯罪因素来预防犯罪。他提出“控制环境——增加难度——减少回报”来实现预防犯罪这一假设，主要通过管理、环境设计、监督等方式来减少犯罪机会或条件，进而预防犯罪发生的一系列活动和措施[13]。从20世纪80年代到21世纪初，克拉克的情境预防理论不断发展完善：1983年，克拉克提出包括监控、目标加固和环境治理的预防策略；1992年，延伸出增加犯罪困难、增加犯罪风险和减少犯罪回报的3类12种具体预防措施；1997年，克拉克和霍梅尔针进一步完善提出4类16种具体预防措施；2003年，科尼什和克拉克提出5大类若干种具体预防措施，即增加犯罪困难、增加犯罪被发现的风险、降低犯罪者的预期收益、减少犯罪诱发因素、消除犯罪借口[12]178-182。持类似观点的专家和学者还有加拿大的欧文·沃勒教授，他认为防止犯罪的基本途径要从犯罪诱因、犯罪构成要素和犯罪过程入手，着力解决犯罪防治的实质问题，而不能纠结于现象症状问题[14]。情境预防方法论通常包含以下步骤：①筛选一个特定的犯罪问题；②分析导致犯罪发生的情境条件数据；③系统研究阻断犯罪机会的可能方式；④实施其中最有希望、最可行、最低成本的措施；⑤对预防效果进行评估。

由于情境预防理论的首个步骤是“筛选一个特定的犯罪问题”，因而其特别适合类案犯罪的预防。根据情境预防理论，电诈犯罪的系统性预防策略应为：分析电诈犯罪发生的情境条件——系统研究阻断电诈犯罪的方式——实施其中最有效的措施——评估预防效果。因此，应在分析电诈犯罪发生的情境条件，也就是类案犯罪模式基础之上，再提出阻断此类犯罪的措施。

3.2 电诈犯罪预防对情境预防理论的完善

由于提出和发展情境预防理论的时代互联网才刚刚兴起，犯罪仍以传统接触式犯罪为主，因而所提出的各种具体措施都是基于实体犯罪现场和实物形式的财产。而以电信网络诈骗为代表的非接触式犯罪，由于既没有传统的实体犯罪现场（至少在报案时难以发现），所侵犯的财产也往往以数字形式转移，显然超出了传统情境预防措施的有效范围。因此，当前犯罪模式转型的背景下，提出电诈犯罪模型，结合电诈犯罪必需的信息流和资金流，通过大数据技术实现犯罪要素（虚假信息和被骗资金）的识别、发现、阻断等相关措施（以下概称为“基于大数据的犯罪预警”），可进一步完善和发展情境预防理论。

值得一提的是，“基于大数据的犯罪预警”不能归入“增加犯罪困难”的措施类别，因为传统的增加犯罪困难的措施包括加固目标、控制接触目标途径、出口检查、转移犯罪者和控制作案工具，是通过增加犯罪者实施犯罪的难度感知而令其“知难而退”来预防犯罪。虽然“基于大数据的犯罪预警”的确在一定程度上增加了犯罪的难度，但并未能“增加犯罪者的感知”，也就无法直接降低犯罪者的犯罪欲望，而是在犯罪开始实施时进行实时识别和拦截。因此，与“增加犯罪困难”无论在具体预防措施上，还是预防目的指向上都有所区别。同时，“基于大数据的犯罪预警”措施并不属于情境预防理论中“增加犯罪被发现的风险”，因为后者的着眼点是通过监控和管理，让犯罪人产生畏惧从而减少犯罪。而大数据对电诈犯罪的及时识别、发现并不能直接威慑犯罪人，而仅起到预警作用，需要及时劝阻、提示被害人终止被犯罪侵害的“配合”活动才能预防犯罪。

基于大数据的犯罪预警作为网络犯罪时代的犯罪预防技术，发源于情境预防理论控制犯罪要素的核心思想，并未跳出其总体框架，但又有别于2003年科尼什和克拉克所提出的5大类情境预防类别。它并未能通过技术实现抑制潜在犯罪者犯罪欲望的目标，也未能在犯罪之前实现犯罪预防的效果，而是在犯罪已经开始着手或正在实施过程中，通过大数据技术实现对犯罪要素的监控，及时发现进行中的犯罪，进而采取系列阻断犯罪的措施（如对被害人进行提醒和劝阻、断开被害人的网络、暂时停机等）完成犯罪预防功能。因此，基于大数据的犯罪预警的措施，成为新型网络犯罪背景之下对情境预防理论的有益补充。

4 模型构建：基于犯罪要素的电诈犯罪模型

类案之所以能归为一类，必然与其他犯罪类型具有本质的区别。这些区别不仅体现在涉及的罪名上，还体现在实施犯罪的手法、犯罪必需的技能和工具、赃款赃物的流转方式等。某类犯罪的共同本质特征及不同犯罪要素之间的相互作用关系构成了特定的犯罪模式。犯罪模型则是对犯罪模式中犯罪要素相互关系的抽象化表达，从而实现对犯罪机理的描述。构建犯罪模型的重要价值在于能够帮助侦查人员及社会大众对某类犯罪有整体上的认识，进而在犯罪预防方面发挥重要作用[15]。对犯罪类案的治理路径应当是通过对系列个案的分析，认识类案的犯罪模式，进而提出类案的犯罪预防措施或治理策略。

从情境预防理论出发，研究类案犯罪模式，就是为了从犯罪涉及的要素及犯罪行为所需条件和机会来研究有哪些可控的机会有助于减少犯罪。作为与传统接触式诈骗相区别的非接触式诈骗犯罪，其名称一直随着犯罪的手法演化而演变。2016年9月23日，最高人民法院、最高人民检察院、公安部发布的《关于防范和打击电信网络诈骗犯罪的通告》，以及2016年12月19日出台的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》明确了此类犯罪的名称——电信网络诈骗犯罪。2018年11月9日最高人民检察院发布的《检察机关办理电信网络诈骗案件指引》对此类犯罪进行了定义：“电信网络诈骗犯罪，是指以非法占有为目的，利用电话、短信、互联网等电信网络技术手段，虚构事实，设置骗局，实施远程、非接触式诈骗，骗取公私财物的犯罪行为。”该定义明确了电诈犯罪的手段——电话、短信、互联网等电信网络技术手段。通过大量电诈犯罪的具体犯罪手段分析，发现此类犯罪的前期都有传播虚假信息的过程。一旦被害人相信了犯罪人虚构的事实，最终的行为必然是将资金转移，资金通过各种洗钱途径最终会流入犯罪人一方。信息流和资金流两条路径是电诈犯罪的共性特征，也是侦查此类犯罪的必然路径。通过研究多种电诈犯罪手法，发现电诈犯罪具有犯罪人、虚假信息、信息传播渠道、被害人（具有信息接收终端和资金端）等要素，因此，从信息流、资金流两条路径的起点、终点和中间环节解析电诈犯罪的通用模型，如图1所示。

图1 电信网络诈骗犯罪模型

以电诈犯罪的资金转出为界，可将犯罪过程分为两个阶段：虚假信息传递阶段与被害人资金转移阶段。前者以信息流为表现，后者以资金流为表现。电诈犯罪模型涉及4个实体要素，即犯罪人、虚假信息、信息传播渠道和被害人。

（1）犯罪人。在高度组织化的电诈犯罪中，犯罪人并非一个人，而是一伙人，或是在犯罪过程中扮演不同角色的多伙人。犯罪人之间的联系也可能是非接触式的，甚至彼此之间从未谋面。如茂名电白籍诈骗人员就可分为组织策划者、银行卡提供者、公民个人信息提供者、拨打电话组、取款组等5类角色[16]。有的诈骗集团会有提供公民个人信息的“条商”、编写诈骗剧本的“专家”、提供洗钱的“水房”、负责拨打电话传递虚假信息的“话务员”等多种角色，相关人员在犯罪链条中均处于弱联系状态，与其说是犯罪集团，还不如称其为一条犯罪产业链。在黑灰产业链持续发展的当下，犯罪人的范围更为广泛，边界趋于模糊，对其在刑法中定性变得困难。辨别不同涉案人员在犯罪过程中的主观态度和客观行为，成为此类案件侦查取证的重点和难点。

（2）虚假信息。虚假信息是实施电信网络诈骗的必备要素，这些虚假信息往往会利用潜在被害人的贪婪、投机、侥幸、猎奇、恐惧、情欲等心理，或是利用信息不对称，用带有引诱、恐吓的文字、图片、声音、视频等多种类型的信息诱人上当。如冒充公检法诈骗中的虚假“通缉令”、通过短信发送到被害人手机上的各种钓鱼网站链接，网站、APP、微信群中的各种虚假兼职招聘广告等。广泛传播虚假信息是绝大多数电诈犯罪的共同手段，这些虚假信息以文字、图片、语音形式，通过电话或短信、互联网的APP、网站、微信群、QQ群等传播渠道，将潜在的被害人诱骗进入其他难以监管的网络空间后实施欺诈。

（3）信息传播渠道。电信网络诈骗之所以得名，与其利用电信渠道和网络渠道传播虚假信息，与被害人相联系直接相关。电信渠道是指通过打电话、发短信与被害人进行联系的方式，互联网渠道是指通过网站、手机APP或电脑软件发布各种虚假信息，或与被害人联系的方式。因此，无论是通信运营商还是网络服务商在提供服务的同时，及时识别服务内容中隐藏的诈骗信息成为企业风险防控的重要内容。

（4）被害人。被害人在诈骗案中扮演重要角色，甚至在一定程度上“配合”犯罪人完成了犯罪。以电信流和资金流为视角解析被害人的具体行为，可分为信息接收和资金转移两个重要环节。被害人首先通过手机、电脑、固定电话等接收犯罪人发送的虚假信息并与之发生联系，在信任犯罪人后，发生资金转移的行为。近年来资金转移主要通过银行账户、第三方支付账户（如微信、支付宝）进行，现金存款或柜台转账的线下资金转移方式已大幅下降。

5 治理策略：基于大数据的电诈犯罪预警

情境预防理论启示治理电诈犯罪要从犯罪要素考虑此类犯罪的类罪特征。在构建基于犯罪要素的电诈模型后，针对此类犯罪兼具信息流和资金流的数据特征，且涉及到犯罪人、虚假信息、信息传播渠道和被害人4方面实体，基于多维度的大数据可通过大数据技术监控海量的信息流和资金流，进而提出系统性预警策略，从而实现基于大数据的电诈犯罪治理。

5.1 电诈犯罪的大数据预警模型

有关犯罪情境预防的论述表明，犯罪预防和侦查工作应基于犯罪发生机理。电诈犯罪是十分典型的依托通信网络的技术型犯罪，在信息传播、资金转移过程中，会产生大量信息和资金数据。而这些数据在多个环节可能被发现并监控，如果能掌握电诈犯罪的数据特征，就可通过大数据实现犯罪前的预测和犯罪中的预警。因此，基于前述犯罪模型构建电诈犯罪的大数据预警模型，如图2所示。

图2 电诈犯罪大数据预警模型

从电诈犯罪模型可以观察到，完整的电诈犯罪过程既包含虚假信息传播环节，也包含资金转移环节，相应的大数据预警模型也是基于信息流和资金流实现犯罪预警。理论上，要对电诈犯罪形成全链条大数据预警，信息流一侧可通过对虚假信息的源头、传播和接收终端3个阶段分别进行发现、识别和拦截；资金流一侧可通过对被害人资金流水的异常变动特征进行识别，或者对洗钱环节进行监管来实现预警。然而，由于资金流数据涉及的数据来源复杂，数据体量大，若要在实践中实现对资金流的监控预警尚存困难。而从电诈犯罪预警的时效性来看，对信息流环节进行预警的效率和成功率都更高，因而成为实践中主要的预警方法。

5.2 基于信息流的大数据预警路径

（1）虚假信息的源头发现。电信网络诈骗虚假信息存在多种形式，部分诈骗犯罪相关的虚假信息可能在实施诈骗之前已经制作完成并散布于互联网上。目前已有大数据分析、机器学习、模式识别等多种技术可从源头上发现虚假信息发布平台。第三方公司可通过网络爬虫技术扫描互联网上各种婚恋、招聘、交易类网站的信息数据，识别其中的虚假信息、钓鱼网站链接等内容，结合各种平台的举报数据、已发案件数据，可以及时发现虚假信息。以冒充公检法诈骗为例，相当数量的冒充公检法诈骗犯罪集团为骗取被害人信任，在实施犯罪前便已非法获取公民个人信息，在特定网站制作带有公民个人姓名、身份证号码、照片的虚假“通缉令”，一旦联系上被害人，会令其登录所谓的“官方网站”去查看个人“通缉令”，当被害人深信不疑后再指令其完成转账。鉴于此，如果能通过爬虫技术等网络技术手段发现并识别出虚假“通缉令”网站，就可对潜在的被害人及时进行预警，避免上当被骗。

中国信息通信研究院发布的《电信网络诈骗治理与人工智能应用白皮书（2019年）》提出了应用人工智能治理电信网络诈骗的技术。其中，基于机器学习技术，可以对已知的诈骗样本数据通过分类算法进行模型训练，当缺乏诈骗样本数据时，通过聚类算法找出数据中的共性特征，结合分类和聚类算法可实现对新行为事件涉诈风险的分析预测，还能自动发现并关联诈骗团伙。以涉嫌诈骗的互联网社交账户（如微信、QQ）为例，根据涉嫌诈骗的账户在登录IP、昵称、浏览器类型等多维空间向量，可将疑似诈骗账户聚类为一组，抽取共性信息并生成训练数据。基于上述训练数据的分类算法可对海量账户的多维特征进行识别，从而发现新的涉诈账户。

基于模式识别的技术可通过已知诈骗行为样本数据，通过分析特征，得到诈骗犯罪多维度特征属性，进而形成涉诈资源库。结合自然语言处理、生物特征识别和大数据挖掘技术，对全网数据进行相似度比对，对特征相似的电话、网站进行判定识别，从而实现从源头上对虚假信息的识别和发现。除冒充公检法诈骗以外，虚假信息的源头发现策略还适用于网络刷单、网络贷款和交友诈骗（俗称“杀猪盘”诈骗）等传播虚假信息的网站和APP。

针对拨打电话传播虚假信息的情形，常通过大数据建模来实现。针对辖区内用户拨出电话数据进行建模的典型是广东茂名：茂名电白曾经是“猜猜我是谁”手法诈骗重点整治地区，当地通信运营商通过诈骗犯罪人拨打电话的多维度特征建立模型，对符合模型的号码进行“踢网”，从而对拨打电话实施诈骗的犯罪起到了源头阻断的效果。2019年1～10月，从茂名电白拨出的诈骗电话形成案件仅37起，同比2018年下降99.65%，踢网关停高危电话号码3.99万个[17]。电信运营商也可以根据用户被叫情况，及时识别对端涉嫌诈骗的号码并进行干预，如2015年起，浙江移动采用“黑名单”的策略，即有5位用户将某一号码举报为“诈骗电话”，运营商就将其设为“黑名单”并阻断通话。如诈骗分子通过改号工具去规避这一举措，运营商可根据短时间拨打给多位用户、通话时长等方面的特征，通过大数据建模发现涉嫌诈骗的目标号码并对用户进行干预。

（2）虚假信息的传播识别。实施电诈犯罪的必经阶段之一，就是虚假信息必须通过电信或互联网的渠道传播到被害人端。因此，通信、互联网企业通过对传输的数据进行识别可及时堵截传播过程中的虚假信息。

一是关键词识别。针对发送短信传播虚假信息的情形，通信运营商通过设置敏感关键词，通过大数据对经通信运营商发送的短信内容进行鉴别和过滤来防止虚假信息的传播。例如2020年5月，公安部部署开展“云剑-2020”打击贷款类电诈犯罪集群战役，打击了一批发送含有无抵押、免征信贷款的短信，以及含有贷款诈骗APP的下载短链接违法1069短信平台[18]。但虚假信息的发送者往往会变更关键词，利用标点符号、生僻字来规避关键词过滤。因此，实践中需要通过动态调整关键词，及时搜集用户投诉举报数据，利用机器学习等算法来应对虚假信息的实时变化。

二是黑名单来电预警。对于通过电话传播的虚假信息，由于法律对公民个人通信权利的保护，不能对通话内容进行监控，因此，当前只能对拨出号码设置黑名单进行预警。当反诈部门发现黑名单上的呼叫号码与通信用户通话时，可通过闪信、追尾短信（可疑诈骗通话结束后通信运营商发送的提醒短信）提醒。尤其是当用户与黑名单上的来电通话时长较长时，通常会引起各地反诈部门的关注，从而发出明确预警。

三是根据被害人通话特征进行建模预警。例如根据某些冒充公检法诈骗犯罪的相关特征，通信运营商可对海量的通话数据进行建模，以陌生电话呼入——拨打114——公安机关电话呼入——呼入或呼出外地手机号码等多个维度特征设定参数，以符合多维度通话特征的用户作为预警对象。此类诈骗手法及大数据建模预警方法如图3所示。

图3 某一类冒充公检法诈骗及大数据建模预警方法

与电信渠道传播的虚假信息需要产生通话或短信不同，虚假网站、钓鱼网站或正规网站上的虚假信息一旦产生就可能随时传播，因而互联网上虚假信息的形成与传播界限并不明显。因此，源头发现阶段的各种人工智能技术往往也应用于传播识别，在此不再赘述。

（3）虚假信息的终端拦截。电信网络诈骗之所以迅速蔓延、屡打不绝，与互联网和智能手机的普及密切相关。第48次《中国互联网络发展状况统计报告》显示，截至2021年6月，我国网民规模已达10.11亿，互联网普及率达71.6%。《2020年通信业统计公报》显示，2020年全国移动电话用户总数15.94亿户，普及率为113.9部/百人。显然，被害人如果没有电脑、手机等虚假信息的接受设备，此类非接触式犯罪所必须的虚假信息就难以抵达被害人端。因此，如果能从接受信息的终端做好虚假信息的拦截工作，同样可以有效阻止虚假信息的传播。

最常见的虚假信息终端拦截方法是在电脑、手机等终端安装安全软件或手机应用。其原理是通过对终端设备接收到的短信、电话来源和内容进行特征识别，对互联网地址链接、下载的文件、安装的电脑软件或手机应用进行扫描，以发现各种网络安全风险。当前主流的手机安全软件，绝大多数采用大数据技术对涉及电信网络诈骗的虚假信息进行甄别。2021年以来，全国各地大力推广的“国家反诈中心”APP正是基于上述原理，为群众构筑一道基于智能手机的防诈反诈“防火墙”。而犯罪分子为了规避各类电脑、手机安全软件对虚假信息的识别，往往通过合法的手机应用，将虚假信息以评论、聊天等渠道，采用异形字、图片等形式传播，以规避手机应用对关键字的识别。

随着智能手机的日益普及，越来越多的诈骗集团开始雇佣人员开发各种手机应用用于诈骗。常见的“网络贷款”诈骗、“虚假投资”诈骗往往涉及到大量模仿各合法金融机构的手机应用；“裸聊”诈骗中涉及的手机应用则会秘密窃取用户通信录等个人信息，并以此威胁并敲诈被害人。因此，对下载某些手机应用作为诈骗必经环节的电诈手法，可通过通信运营商、互联网服务商或第三方软件掌握的大数据来识别手机用户所安装的“涉诈”APP，一旦发现用户下载了一个或多个高度可疑的“涉诈”APP，辅以其他使用特征进行大数据建模，便可及时发现潜在被害人。

5.3 基于资金流的大数据预警探索

从电诈犯罪发生的流程来看，信息流在前，资金流在后，基于信息流的大数据预警时效性更强，预警后反诈部门拥有更多时间反应，因而更具主动性。然而，由于虚假信息传播覆盖了各种合法与非法的渠道，且犯罪团伙发布的各种虚假信息往往隐藏在各种合法信息之中，无论是人工识别还是大数据技术识别，都无法百分之百准确识别。因此，关注信息流的同时，也需要关注资金流来实现大数据预警。对资金进行监测和保护有两个重要环节：洗钱环节的监管、资金转移环节的异动发现。

基于资金流的大数据预警，既可关注涉嫌诈骗的洗钱账户，也可关注被害人账户。前者可以及时识别洗钱账户，后者可以及时阻断正在发生的电信网络诈骗。当前商业银行包括监管机构，对于反洗钱的监测识别主要是基于金融机构间账户交易流水进行数据挖掘建模，同时基于交易对手的某些具有可疑行为的身份特征实现洗钱行为识别[19]。反洗钱涉及领域广阔，既有《中华人民共和国反洗钱法》《支付机构反洗钱和反恐怖融资管理办法》等法律法规层面的规制，也有反洗钱联席会议制度等系列反洗钱机制，笔者在此仅对被害人账户的资金流特征进行大数据预警进行初步探讨。

不同手法的诈骗犯罪在资金流上会体现出不同特征，以多数网络“刷单”诈骗犯罪的资金特征为例，被害人首次“刷单”成功后，被害人会先获得一笔数额很小的佣金，随后在犯罪人诱惑或威胁操控下，被害人会分多次加大“刷单”金额，直至无法提现。部分“刷单”诈骗被害人的资金账户（含银行账户和第三方支付账户）的资金流水具有以下时序特征：①被害人账户有的第一笔整数资金（N1≤150元）流出；②半小时内被害人账户有高于流出资金金额20元以内的资金（M≤N1+20元）流入；③接下来半小时内被害人账户有大于第一笔两倍的第二笔资金流出（N2≥N1×2）；④第三笔资金流出（N3≥N2）；⑤根据被害人受骗和醒悟时间不同，还可能出现若干次资金流出的资金流水特征。

从时间上看，上述资金流水通常在一天之内发生。从对手账户上看，很可能在较短时间内被举报或被标记为诈骗账户。因此，如果能够根据上述特征建立资金数据模型，就有可能对潜在的“刷单”诈骗被害人进行预警。近两年来的“刷单”诈骗案件出现了要求被害人下载专门的“刷单”APP，如果能对用户手机中下载的APP特征进行识别，结合其资金流水情况，便能从更多维度建立更精确的模型并识别正在遭受诈骗的被害人，通过有效提醒并及时止损。

由于不同犯罪手法的电诈犯罪在资金流特征上有不同特征，需要整合银行、第三方支付公司的海量资金账户，对同一身份用户的账户资金流水进行跨平台监测。通过建立若干动态变化的疑似被害人资金账户监测模型，辅之以疑似被害账户临时冻结或反诈骗电话提醒，就有可能实现基于资金流的大数据预警。

6 结语

数据预测犯罪的技术发展迅速，预测性警务是犯罪预测发展成熟的标志，也是犯罪预测算法在实践应用的范例。实践部门已提出可通过“定量分析、趋势预测、平滑指数等统计预测方法，结合生物识别、预测模型、数据库技术等手段”实现犯罪的精密防控，有学者也提出了通过“人工智能”预测犯罪的具体路径[20-21]。然而，面对来势汹汹的以电诈犯罪为代表的非接触式犯罪，即便是近年来最先进的预测性警务也并无太多可参考的经验。情境预防理论所提出的从控制犯罪要素来预防犯罪的理念，为实现电诈犯罪的预警提供了理论支持。构建基于犯罪情境的电诈犯罪模型，较为清晰地反映出此类犯罪的犯罪要素及其作用机理，也是提出大数据预警的基础。基于信息流的大数据预警路径相对成熟，实践中已经得到不同程度运用。尽管大数据技术日趋成熟，但由于虚假信息传播渠道的广博与隐秘，诈骗犯罪集团不断升级虚假信息传播内容与渠道以逃避监管与打击，未来也必然是呈胶着状态的长期打击预防的过程。而基于资金流的监测和预警在当前还存在技术和法律上的制约，但其仍是未来对电诈犯罪进行预警的重要方向，且对其他利用网络实施的侵财犯罪预警也具有借鉴意义。