于 龙

(鞍山市公安局，辽宁·鞍山 114000)

社会经济的飞速发展，技术开放创新程度的持续加深，犯罪形式更为纷繁复杂。与网络黑灰产业链条紧密相连的电信网络诈骗成为新型犯罪的代表。因犯罪人物关系繁琐、犯罪信息框架堆叠、犯罪技术手段多变等难题的存在，捋清犯罪线索、明晰犯罪过程变得十分不易。仅仅依靠简单梳理犯罪行为过程，无法满足侦办相关案件的现实需要。在经济犯罪中资金流是“DNA”(1)于龙，刘志明.经侦数据化合成作战中存在的问题及对策思考[J].江西警察学院学报，2023，(3).，打击治理电信网络诈骗犯罪亦可以将其作为案件侦办的核心线索，电信网络诈骗侵犯的客体是人民群众的财产安全，损失标的往往依据多样支付结算方式相互交织得以转移，公安机关找准直接侵害财产权利的资金链十分必要。开展资金链预警查控有助于找出与之相关的人员、信息、技术等，为进一步打击电信网络诈骗上游犯罪提供可能。当前资金链预警查控面临着“资金难查控、链路难查清”的现实难题。例如，资金链流转层级较多，使得难于分析或者线下取款等原因，致追踪渠道断裂等，与之相关的案件办理难上加难。公安机关可以应用大数据等技术手段，树立叠加侦查模式，联动各部门、多领域创新资金链预警查控分析方法。通过研判与资金相关联的海量数据，以机制完善和技术创新并轨发力，优化侦查模式，有效挤压电信网络诈骗涉诈资金流转的空间，丰富资金预警查控方法，提升电信网络诈骗犯罪打击治理能力。

一、电信网络诈骗资金链的概述

(一)电信网络诈骗资金链的概念

随着信息社会的快速发展，电信网络诈骗犯罪持续高发，在受害群体广泛的基础上演化出新颖且具象的犯罪手段，呈现犯罪隐匿性、组织规划性、技术智能性等特征。相较于传统诈骗犯罪，电信网络诈骗已成为发案最多、上升最快、人民群众反映最为强烈的犯罪类型。具体是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触等方式，诈骗公私财物的行为(2)于龙.电信网络诈骗犯罪治理初探[J].犯罪与改造研究，2022，(4).，往往具有环环相扣的复杂犯罪链条。在电信网络诈骗犯罪的实施过程中，人民群众合法财产的侵害成为直接损失标的，资金预警查控也自然成为电信网络诈骗犯罪打击治理的关键环节。电信网络诈骗犯罪的资金链是指被骗资金从被害人账户流转到犯罪嫌疑人实际控制下账户过程中，反映资金流向和账户关联关系的资金转移链路(3)谢玲.电信网络诈骗犯罪资金流查控研究[J].中国人民公安大学学报(自然科学版)，2021，27(2).。具体而言，在电信网络诈骗的涉案资金流转过程中，涉诈资金的流向呈现出在几张到几十张不等的银行卡内实现多级流转，最终在银行取现或者通过“跑分洗钱团伙”洗钱变现，相关轨迹就是资金链预警查控的关键所在。

(二)电信网络诈骗资金链的典型特征

1.复杂性

由于公安机关和银行业金融机构、非银行支付机构等有关部门加强监管，犯罪嫌疑人需要通过更高额的经济成本获取银行、支付、数字人民币钱包账户。但为了干扰资金预警查控、躲避侦查打击，犯罪嫌疑人依旧会以更高佣金批量、冒名等非法开户方式收集相关账户，通过拉长流转层级或频繁往复交易叠加资金流转的频率，导致资金分析研判的难度大大增加。不仅如此，人员众多、层级分明的“跑分洗钱团伙”通过多种聚合支付工具的使用，在成熟黑灰产业链提供支撑的帮助下，依托区块链、虚拟货币等新业态、新技术实现流转渠道与方式的多样，错综复杂的手段让资金链的复杂程度不言而喻。此外，伴随着网络犯罪所呈现的高发态势，不同犯罪类型的交织关联也让辨别电信网络诈骗资金链的难度更加复杂。例如，电信网络诈骗与赌博、色情相互交织，其资金流转源自网络赌博筹码、地下钱庄交易款、毒品犯罪本金、偷逃税款等犯罪，多笔资金的交汇掩盖专一的资金链，复杂程度显而易见。

2.连续性

电信网络诈骗资金的流转一般需要经过“卡农”收购各层级银行卡，再到专门洗钱和向境外转移资产的“跑分洗钱团队”。往往是全流程“团伙化”作案，涉诈资金的连续性体现为从被害人“损失”流向犯罪“收益”。在电信网络诈骗犯罪重要头目的实际控制之下，电信网络诈骗资金在不同法人名头、不同账户名头、不同银行之间频繁流转，连续交易。电信网络诈骗将网络黑灰产业链作为犯罪滋生、蔓延的温床，已经出现从专门制作、维护、提供VPN技术软件连接国际互联网以逃避网络监管，到专门出售、运维境外即时小众通联App(例如Telegram)团队。为了躲避公安机关的侦查与打击，涉诈资金在通过银行、支数字人民币钱包账户流转后，往往需要依托网络平台将涉诈资金“洗白”。通过诸如抖音充值、直播打赏、购买支付宝基金等形式，实现电信网络诈骗资金链的流转，形式包括但不局限于境外虚拟币交易、跨境网络赌博交易、离岸公司空头股票套换等。

3.跨域性

迭代升级的犯罪手段让电信网络诈骗犯罪复杂、隐蔽。通过应用AI、GoIP、VoIP、远程操控、共享屏幕等技术，让电信网络诈骗的发生不再受时间、空间的限制，呈现“精细化分工、集成式运作、产业化分布、多行业支撑、跨域式布局”。一方面，跨域性是指跨省、跨市、跨县(区)。电信网络诈骗资金流转往往需要依靠“跑分洗钱团伙”，依托互联网沟通，通过应用技术以及导控等手段，让涉诈资金轨迹在全国各地流动，最终“洗白”。另一方面，跨域性是指跨境、跨国。伴随着公安机关与有关部门对电信网络诈骗犯罪打击治理的不断深入，电信网络诈骗犯罪嫌疑人的反侦查能力不断提高。电信网络诈骗头目身居境外，国内犯罪嫌疑人往往是最高代理，并与跨境网络赌博等犯罪交织，具有跨国有组织犯罪的属性，资金链必将呈现从国内流转到国外聚拢的特征。

二、电信网络诈骗资金链预警查控的意义

公安机关围绕电信网络诈骗资金链预警查控，为抓好内聚力、促成外部合力提供关键思维与技术方法。在立足自身打击电信网络诈骗工作，指导金融行业创新资金研判方法，以及服务社会治理长治久安等方面具有重要意义。

(一)提升公安机关反诈效能的有效举措

公安机关开展资金预警查控，有助于及时预警电信网络诈骗，以及消除侦查打击过程中资金分析存在的薄弱环节。后续为串联技术链、人员链、信息链以实现电信网络诈骗综合治理效能的提升。立足发现潜在受害人的角度，即当电信网络诈骗尚未发生时，公安机关以银行、支付、数字人民币钱包账户使用者的行为习惯等，作为常态指标监测资金流转，当发现资金即将出现异常流动时进行劝阻防范。此外，当犯罪嫌疑人在筹备实施电信网络诈骗犯罪之初，往往会找寻银行、支付、数字人民币钱包账户，并通过小额资金的汇入检测账户是否被冻结。确保账户可用时，将其作为涉诈资金流转账户进行使用。公安机关加强资金链预警查控可以发现异常行为并予以及时冻结等处置操作，以此阻断电信网络诈骗资金链运转的可能。当电信网络诈骗已经发生时，会在极短时间内完成一级涉案账户内的资金拆解。加强资金链查控将有助于明晰资金轨迹、查清犯罪事实，为及时止付等追踪资金提供关键方向。后续为公安机关追赃挽损等工作的实际开展，提供返还依据及比例参考，也为检察机关等部门以适时介入方式监督指导公安机关开展资金返还工作创造条件(4)耿阁，陈轶群，余意然.协同推进电信网络诈骗案件追赃挽损——电信网络诈骗追赃挽损与财产处置研讨会综述[J].人民检察，2023，(16).。

(二)指导金融行业资金研判的方法创新

众所周知，银行业金融机构、非银行支付机构等金融部门秉持“金融为民、支付为民”的工作理念，为客户提供开户、支付结算等功能，有尽职调查、依法识别受益所有人可能面临支付风险的职责。但碍于自身不具备侦查打击职能，也未能适时总结电信网络诈骗手段所关联的资金轨迹特征，缺乏统一的界定管理标准(5)罗颖.民用枪支管理中的法律困境及治理路径[J].辽宁警察学院学报，2022，24(4).。目前快速研判电信网络诈骗资金轨迹分析方法仍有不足。以银行窗口服务发现的异常转账为例，银行在工作中发现转账客户伴有紧张、焦虑等情绪，无法准确说出转账对象、缘由等，银行将其作为线索推送至公安机关，主动开展资金轨迹研判预警。并依据公安机关指令查控涉诈资金是阻断涉诈资金转移的最有效方式。公安机关加强电信网络诈骗资金链预警查控，提升电信网络诈骗综合治理效能的同时，可以指导金融行业创新资金研判方法。在法律规范和数据伦理的合规框架下，积极调动金融行业所掌握海量的客户基础数据与资金流动数据，为自主研判电信网络诈骗资金异常轨迹，乃至开展资金查控提供现实基础。为公安机关与金融行业围绕电信网络诈骗开展协同共治、金融惩戒奠定基础，为进一步防范化解潜在的金融风险夯实法治之基。

(三)服务社会治理长治久安的现实所需

当前，伴随着电信网络诈骗手段的日渐翻新，作为社会“毒瘤”精准诈骗涵盖辐射了医疗问诊、寄递物流、社交电商、求学婚恋等各个领域。据不完全统计，仅2022年电信网络诈骗财产损失总价值超过2万亿。公安机关开展预警查控是从资金流动的规律入手，通过详尽地分析资金流向、用途以及实际控制等多元因素，为资金预警以及涉诈资金查控、止付冻结、追赃挽损等提供可能，更好地保护了人民群众的“钱袋子”，维护了社会的稳定和长治久安。公安机关与金融、电信、互联网等行业协同联动，有序衔接的同时，通过强化资金分析方法、查控技术手段与研判精度、准度、速度，可以有效预警及打击电信网络诈骗。从而夯实了良好的“全民反诈、天下无诈”的社会风向，防范化解由电信网络诈骗所带来的社会重大风险，保持社会大局稳定，助力治理能力和治理体系的现代化。

三、电信网络诈骗资金链预警查控的困境

电信网络诈骗资金链生成的过程中，不断有数据产生并进行交互，轨迹的呈现载体是依据资金流动所产生的数据。一般而言，电信网络诈骗资金链越长，直接或者间接相关的信息资源就越丰富，侦查着手点就越多，可为电信网络诈骗案件侦办与犯罪打处起到关键的导向作用。在警务实践中主要面临以下三个方面的困境。

(一)数据来源广泛，信息掌握受限

就当前电信网络诈骗资金的实际流转情况而言，流转渠道中产生的数据种类较多、数据体量纷繁。以银行业金融机构、非银行支付机构为例，在资金流转过程中会涵盖转账金额、转账时间、交易双方账户信息等多类项数据的产生，不同银行对于数据库中存储的数据类型及建设标准可能会有所不同。据不完全统计，全国共有4561家银行业金融机构，其中银行3483家(6)该数据来源自国家金融监督管理局银行金融机构法人名单，时间截止至2023年6月底。，足可见资金链相关数据来源的广泛性。国家反诈大数据平台目前通过对接银联，以警银协作机制为载体，在电信网络诈骗立案后，依据法律规定及办理有关程序，可以在国家反诈大数据平台中对涉诈资金转入的各级账户进行查询。目前涉诈资金在银行、支付、数字人民币钱包账户中进行“N+1”次的分散转账，资金链预警查控准确性对所需数据的来源、体量以及数据接入存在时效性都有极高的要求。不仅如此，资金链预警查控所需数据，不仅仅是由国家反诈大数据平台依托警银协作机制汇总的各大银行资金流水数据。电商平台数据、虚拟货币等涉诈资金流转途径，因警企合作机制未建立，相关信息掌握的缺失也掣肘相关研判工作。在信息掌握受限的情况下，涉诈资金通过多层级账户流转后线下取现，或流入电商账户等渠道经购买产品变现，亦或是通过数字货币、虚拟货币等方式将款项流至境外。信息掌握受限将阻碍涉诈资金的预警查控。

(二)关联关系多元，信息反哺局限

电信网络诈骗资金链预警查控以资金流转为核心线索，以与资金有关联关系的话单数据、聊天记录等行为信息作为辅助研判支撑。在电信网络诈骗的预警及案件侦办过程中发现，实施电信网络诈骗违法犯罪分工明确。“信息组”主要负责公民个人信息的采集、分析以及下放，“编剧组”主要负责编造虚假行骗剧本，“技术组”主要负责制作、维护网站以及编程工作，“话务组”主要负责与受骗者联络沟通实施行骗，“资金周转组”主要负责周转涉诈资金等等。不同职能的分组甚至不用见面，通过网络、通信手段便可分组完成电信网络诈骗的任务。协作共同完成犯罪必定有可关联的犯罪痕迹，围绕产生关联关系进行研判有助于资金链预警查控。例如，在电信网络诈骗资金经过多层级银行卡流转至线下取现环节，取现银行网点的视频监控数据也为进一步追踪涉诈资金去向提供可能。具体是通过视频监控画面锁定取款人，而后根据取款人的上下线进一步明确电信网络诈骗资金查控方向。取款人的人脸信息经过技术比对及公安网查询，可以得出其身份信息。进行抓捕控制后预期得出下一步资金追踪的方向，但因关联关系发现不易、数据缺失、经验不足等多方面原因，通过开展关联关系研判反哺出有效的资金特征及轨迹信息比较局限，开展有效预警难以实现。

(三)资金轨迹复杂，信息研判有限

电信网络诈骗话术的变化以及犯罪手段的翻新，足可见犯罪成本的投入日渐增多，反侦查的思维意识也在提升。为躲避公安机关对电信网络诈骗资金链开展预警查控，在成功实施电信网络诈骗后往往有专人负责将资金转移到其他账户，转移的资金随后再汇聚到一个账户中，通过多次转移让资金轨迹复杂。目前，公安机关查询资金流转只能对支付层级账户进行回溯定位，涉诈资金经过多次转移、分流再集中，就成为没有特征的一串普通数字，加之涉诈资金往往会分流至异地、异国等跨域地区，这也加大公安机关对资金链预警查控的难度，相关信息难以研判，资金自然难以预警查控。例如，依托国家反诈大数据平台，查询被害人汇款所至账户及后续资金流转的数据，涉诈资金流水少则“成百上千”，多则“成千上万”，仅仅依靠民警自身开展研判而实现资金预警止付、追赃查控的预期较难实现，快速找寻资金流向账户及资金流动轨迹仍面临现实难题。有效分析异常资金流动并进行预警，乃至资金查控追踪的技术手段仍依托人工手段，从海量资金流动中找寻规律并完成对相关数据进行智能分析仍需努力。

四、优化电信网络诈骗资金链预警查控的举措

(一)加强警银协作，夯实数据质量

在加强公安机关与银行业金融机构开展协作的过程中，银行、支付、数字人民币钱包账户的资金流水数据，为开展相关分析研判提供“数据导向、情报导侦”的导向。警银协作机制可以对资金链的数据信息进行共享，对潜在的受害人进行资金预警是依据从日常工作中获取线索，以预警为重点的前置研判数据；电诈发案后应用于涉诈资金查控的数据服务于案件侦办。《关于银行业金融机构与公安机关开展涉案账户资金网络查控工作的意见》《关于建立电信网络新型违法犯罪涉案账户紧急止付和快速冻结机制的通知》《电信网络新型违法犯罪案件冻结资金返还若干规定》《电信网络诈骗和跨境赌博“资金链”治理工作方案》《中华人民共和国反电信网络诈骗法》等有关文件的出台，为相关机制提供了统筹的发展思路和模式(7)曲晓艳.大数据环境下加强警企合作工作研究[J].辽宁警察学院学报，2021，23(3).，完善资金链预警查控有关专项立法、国际公约、双边条约等合作文件，可以在维护人民群众权益的同时，更好为预警查控提供现实指引，实现涉诈资金预警查控效果的最大化(8)郝家英.电信网络诈骗犯罪跨境追赃与国际刑事司法合作[J].北京警察学院学报，2021，(2).。

电信网络诈骗资金链的流转无非是通过转账、取现、消费等交易模式，转账(电子转账、汇票支票转账、信用证转账等)必须经过银行、相关互联网企业和金融信托公司等，取现途径必须经过银行，消费(购物套现、网络打赏、开设离岸公司、出境赌博等)必须经过金融、市场监管部门、实体产业公司和相关互联网公司。警银协作可以实现对“两卡(9)“两卡”指手机卡和银行卡。”和“四件套(10)“四件套”指身份证、银行卡、手机卡和电子银行U盾。”管控。银行、支付、数字人民币钱包账户及电信网络诈骗资金流转，则围绕“两卡”进行倒查，对资金轨迹数据进行实时分析。警银协作机制确保可以在发现资金有异常流动的情况下快速、准确完成预警信息流转，在涉诈资金轨迹流动过程中实现高效快速的调度指挥，在完成关联关系后完成信息核查、指令下达、落地劝阻、冻结止付等一系列工作。通过警银协作机制可以主动发现高概率涉案或嫌疑账号信息，尤其是社交账号和金融工具账号，甚至是兼具通联社交和收付款等支付功能的聚合应用，铺设电信网络诈骗资金流动情报网络并发挥作用，为有效开展资金链预警查控工作夯实数据质量。

(二)巩固数据收集，增强关联分析

电信网络诈骗资金链关联分析中的难题，可以通过加强网络取证力度、丰富证据种类来解决。这是因为与传统犯罪的案件现场不同，电信网络诈骗犯罪的实施往往需要依托电子移动设备运载互联网及平台，案件发现地和结果发生地不一定就是实施诈骗犯罪的行为地，资金链及关联分析的本质需要以全力追索行为的网络痕迹为导向。巩固数据收集首先要做的是CIPVA数据收集。CIPVA数据包括IP地址、MAC地址、开放端口、运行的程序、操作系统类型、默认浏览器以及最新访问的URL，其核心是IP地址取证。犯罪嫌疑人登录被害人的网上银行系统完成网上资金交付，或者与被害人产生资金交易，必然会留下IP地址记录(11)董静文，陈哲.以信息为导向取证 力惩电信诈骗[N]. 检察日报，2017-09-15(003).。在电信网络诈骗资金链预警查控的过程中，嫌疑人实际的位置信息将为关联资金轨迹，明析犯罪过程提供关键作用。通过IP地址便可关联犯罪嫌疑人的位置信息，为资金查控奠定基础。不仅如此，当犯罪嫌疑人利用技术方法设置查控资金轨迹漏洞，通过多笔交易流动实现资金的层级划分，资金回拢过程中也有变化多样的途径。在此过程中必然会产生大量的行为数据或者是交易数据，产生数据的时间基本与发生行为的时间无异，通过行为数据反映的时间反推资金流转的时间段就成为可能，为资金链研判梳理出重要线索。倘若犯罪嫌疑人删除、覆盖或格式化网络运行系统中存储的犯罪证据，通过技术支持或联系服务器所在的相关互联网企业，重现被删除或格式化的数据便可以继续发挥关联数据对资金链预警查控的关键作用。不仅如此，通过加强跨境数据共享以及有关立法为数据获取提供重要基础。

此外，在巩固数据收集以保障电信网络诈骗资金链关联研判的基础上，通过建立重点人涉诈人员(实施电信网络诈骗和潜在乃至已经被电信网络诈骗受害人)数据库并进行分级预警，依据核查“两卡”线索等手段进行数据关联分析，实现电信网络诈骗行为信息、资金轨迹等多维度预警、查控一体化运行。关联可以实现多次购买“两卡”的重点人员和电诈涉案人员自动预警，并紧盯从事帮信活动非法获利的犯罪嫌疑人，进行深挖研判并建立数据库，对其活动轨迹、社会背景信息和资金流信息紧盯筛查。一旦有涉诈资金异常指标叠加碰撞就会立即预警，通过指派警力落地核查线索并进行劝阻，为资金预警乃至追踪、止付等提供关键方向。以生活轨迹行为进行数据关联研判为例，倘若电信网络诈骗以据点形式开展犯罪活动，那么就会在小区某处位置出现物流寄递、外卖通信等不符合日常生活规律的情况，且预留电话号码及关联身份证号都为非本地居民，极可能关联出价值极高的涉诈情报线索，在依法依规情形下研判相关资金轨迹，通过加强关联分析和落地核查为资金查控拓宽情报导向。

(三)强化技术投入，研判异常资金

当前APP、网站、通讯软件等涉诈载体层出不穷、种类繁多，成为电信网络诈骗实施及资金流转的“助手”。究其根本在于技术反制与网络监管不足，导致开发相关APP、小程序和开设网站的技术门槛、资金成本较低。由此，通过正向强化对资金链预警分析查控的技术投入，是在电信网络诈骗资金流动所具有普遍规律的基础上设置指标，通过对时间、金额、流转账户信息的可视化分析与研判得出有价值的资金流动信息(12)郭冯宇，宋树勇，李宇.打击预防电信网络诈骗犯罪的资金流研究——基于“理性选择理论”视角的资金流分析[J].北京警察学院学报，2019，(6).，以技术投入提高电信网络诈骗及相关上下游犯罪成本、消减电信网络诈骗资金链流动产生的犯罪收益，更好消除犯罪风险。在国家反诈大数据平台中查询发现，犯罪嫌疑人使用数字货币、虚拟货币交易平台转移到国外账户变现，或通过一级卡取现再寄汇，已经成为资金链由境内向境外流转的终端环节。在涉诈资金流转的过程中，黑灰产业链条的支持让资金链预警查控的效能大打折扣，加强技术投入可以第一时间调取、汇总经不同金融企业的涉案账户转账数据、账户信息、银行流水、涉诈网址的相关信息等等，以期紧紧跟住资金链流向，省去办案过程中繁琐重复的事务性工作，第一时间确定“跑分团伙”，节省取证时间，便于冻结止付。不仅如此，公安机关在当前许多查询工作环节需要开具介绍信，严重拖延资金预警查控的进度，手续的流程与技术的掣肘必然导致错失资金流查控关键节点。公安机关强化技术手段明析异常资金轨迹的过程中，是通过加强对资金轨迹研判的创新算法以及对现有工作机制做出适宜调整(13)王旭.新时期公安院校人才培养模式调适化的思考[J].法制与社会，2017，(36).。例如，通过与离岸公司达成协议开通查询权限，金融行业资金流查询权限，银行保险信托行业公司业务查询权限等基础关键权限，可以在案发后快速锁定密集交错的资金流动目标，进而实现对涉诈资金流转的查控。与此同时，公安机关也应当联络网信办、市场监管等主体部门，督促电信网络诈骗资金查控甚至是相关联的洗钱高风险行业，建立类似银行贷款审核的“客户尽职调查”机制，对可能存在涉诈风险的资金流转进行必要的身份信息收集、验证，审慎、全面、准确、真实地了解资金用途，经过研判分析流动资金的涉诈风险并出具评估报告，最大程度降低涉诈资金链路流转的现实可能。