单秉治，乔顺利

（中国刑事警察学院，辽宁 沈阳 110854）

一、引言

在大数据和移动互联时代，我国网络信息技术不断更新迭代，与社会生活深度融合的趋势日益明显。据中国互联网信息中心（CNNIC）第51 次《中国互联网络发展状况统计报告》（以下简称为“统计报告”）显示，截至2022 年12 月，我国互联网普及率达75.6%，网民规模为10.67 亿，同比增长3.4%[1]。稳步提升的互联网普及率持续推动网民数量的增长，海量网民也为相关互联网产业和数字经济发展提供内生动力，带动了社交媒体的流行、在线购物的兴起和短视频直播的推广。基于网络信息技术发展衍生的新平台、新模式、新业态在给人民生活带来便利、给社会经济发展带来动力的同时，也成为滋生违法犯罪的温床。一方面传统接触式犯罪日益与网络信息技术相结合并向非接触式演变；另一方面在网络空间中的典型非接触式犯罪日益高发，借助网络实施的新型犯罪层出不穷，犯罪的涉网性、新颖性、复杂性使得涉网新型犯罪屡打不绝、多发易发。其中，电信网络诈骗犯罪是当下最猖獗的一类涉网新型犯罪。按照公安部“四专两合力”（即专题研究、专门队伍、专案攻坚、专业技术和抓好内容合力、促成外部合力）理念，全国公安机关应着力破解打击电信网络诈骗违法犯罪难题，创新完善“四专两合力”理念及其配套机制措施[2]。据蚂蚁集团《电信网络诈骗治理和技术应用研究报告（2022 年）》显示，2022年网络刷单诈骗的发案量在全部电信网络诈骗案件中维持在近30%的高位，是严重危害广大人民群众财产安全和破坏网络秩序的第一大电诈骗局[3]。网络刷单诈骗犯罪是指以非法占有为目的，以招募“刷客”为诱饵，通过网络平台引流，以进行虚假交易牟利等方式诱骗被害人进行垫资交易，诈骗被害人预先垫付资金等财物的违法行为。目前，针对网店商家和互联网平台的网络刷单诈骗模式单一且发案量少，而针对个人的网络刷单诈骗却多发高发，形式多样且屡打不绝。因此，有必要对该类电信网络诈骗犯罪进行专题研究，从而不断提升预防、打击犯罪的能力水平，坚决遏制此类犯罪多发高发态势。

基于文献分析法，获取保存在中国知网等学术文献数据库中的以“网络刷单诈骗”为关键词的期刊论文和学位论文等，并结合相关报纸和书籍，对研究现状进行梳理后发现，学界关于网络刷单诈骗犯罪的研究集中于刑法学、侦查学、犯罪学和心理学这四个方面。其中，关于网络刷单诈骗犯罪的电子取证的研究成果总体来说不算丰富。笔者在中国知网以“刷单诈骗”和“取证”为关键词进行主题检索仅获得4 篇论文。具体而言，汤艳君等人[4]基于3 起典型案例，对网络兼职刷单诈骗案件的作案过程和手段进行了总结，分别从信息流和资金流方向出发，提出对受害人和犯罪嫌疑人进行取证的思路与方法。许丹璨[5]在梳理网络刷单诈骗犯罪侦查困境后，指出侦查取证存在取证技术设备落后的问题，并主张在补强证据的同时落实相关环节各个部门的监管责任，使侦查机关在犯罪萌芽阶段就能获得重要线索，避免后续取证乏力的情况出现。赵明正[6]认为电子数据易毁损、证据之间关联性弱、公民报案率低是电子数据取证困难的三个重要原因，并提出通过深化语义分析来掌握犯罪分子的联络途径，通过对报案线索整合与深挖来寻找案件突破口，通过对信息流、资金流和设备流电子数据的提取、分析来实现对犯罪嫌疑人的定位等。徐仙伟、张腾飞[7]通过对网络刷单诈骗犯罪的常用套路和手段进行梳理，基于公安实战业务，阐明相应的取证流程，并提出微信聊天记录取证、QQ 聊天记录取证和计算机取证等常用取证手段。综上所述，当前关于网络刷单诈骗犯罪电子取证的研究主题大致分为两个方面：一是基于网络刷单诈骗犯罪的作案过程和手段，提出取证思路和取证方法；二是在梳理网络刷单诈骗犯罪侦查困境的基础上，指出电子数据取证难的问题，并提出相应对策。目前，网络刷单诈骗如雨后春笋般出现，其犯罪特征已经出现新的变化，过往的研究成果应对起来已捉襟见肘。因此，有必要对当前网络刷单诈骗犯罪电子取证问题进行系统研究，在借鉴相关研究成果的基础上，更全面地揭示当前网络刷单诈骗犯罪中电子取证所面临的困境，并探索更具针对性和可行性的网络刷单诈骗犯罪电子取证路径。

二、网络刷单诈骗犯罪的特征演化与流程分析

在时代发展、犯罪活动和侦查行为三者构成的动态发展系统中，一方面，犯罪活动会顺应时代发展，不断衍生出新的特点和规律，倒逼侦查行为顺应时代发展的应然趋势而做出改变；另一方面，由犯罪活动和侦查行为此消彼长、对立统一催生的新技术和新理念反过来也会影响时代的发展。但不管时代如何发展，侦查行为的滞后性和时效性始终客观存在。基于相应的时代背景，侦查对策需要根据犯罪规律的变化不断进行调整和改进，甚至重新制定。因此，在研究网络刷单诈骗电子取证问题之前，有必要对当前网络刷单诈骗犯罪的新特点和全流程进行梳理总结。

（一）网络刷单诈骗犯罪的新特征

1.引流方式从单一向复合式演变

传统的网络刷单诈骗也被称为“购物式”刷单诈骗，以“兼职招聘”“高额返利”“足不出户赚大钱”等为噱头招募“刷手”并对其实施诈骗，本质上是基于电商市场中大量的刷单需求而存在的。此模式下被害群体特征比较明显，多为涉世未深的大学生、全职妈妈等无固定工作或个人收入较低的群体。随着全民反诈心智的逐渐成熟，传统的“购物式”刷单骗术已难再有成效，为了提高诈骗成功率，犯罪分子在沿用传统刷单套路的同时，以前期引流环节为抓手，衍生出多种新型诈骗手段，单一的网络刷单诈骗模式逐渐向复合式演变。其中，一部分犯罪分子紧蹭社会热点设下新型刷单骗局，例如个人养老金制度正式实施后，多家银行推出消费金、话费等开户奖励，犯罪分子趁机假借为银行获取客户量的理由在社交平台发布代开户任务，再使用刷单骗术骗取受害者缴纳的押金、保证金等[8]。另一部分犯罪分子则通过窃取个人信息，利用群众的消费习惯及偏好，在短时间内定制出复合诈骗剧本，创新出一系列基于刷单的“骗中骗”，即“刷单+色情”“刷单+跑分”“刷单+赌博”等。例如，有的犯罪分子通过抖音等短视频平台或QQ、陌陌等社交平台寻找目标男性并推广色情软件，以必须充值会员或完成信誉任务后才能提供色情服务为理由进行刷单诈骗[9]；有的犯罪分子以“PF（跑分）易上手，出租账户日赚千元 ！”吸引受害者从事“跑分”业务，在指令受害者多次向指定账户转账后卷款跑路[10]；有的犯罪分子刚开始利用刷单赚取佣金来获取受害者的信任，逐渐突破其心理防线，之后诱导受害者下载相关博彩软件进行赌博，并通过操作软件后台数据制造盈利假象，促使受害者持续下注，不断诈骗受害者的财产[11]。

2.寄生于犯罪各环节之中的黑灰产业链日益成熟

随着网络刷单诈骗犯罪的发展，各类黑灰产业融贯其中，已经逐渐形成一套复杂隐蔽的链条化产业体系，产业链分工日益平台化和专业化。具体来说，产业链上游相对稳定，主要涉及有关“账号”、“引流”“通讯”和“技术”等四个方面的内容，负责为中游的诈骗犯罪提供各种工具资料、技术支持等，如收购和倒卖大量的公民个人信息、短视频网站账户以及银行账户信息，设计诈骗脚本，制作虚假链接和虚假二维码等；产业链下游则主要从事“洗钱”和“分赃”业务，为中游所骗取的财产进行转移、变现提供通道等。上游、下游产业链不直接与受害者接触或参与诈骗，而是为中游产业作案提供相应的服务和支撑。

此外，领域垂直化和精细化成为电信网络诈骗黑灰产业发展的显著趋势，并且黑灰产业的兼容性和复用性强，诈骗分子可以购买所需的黑灰产业服务自由组合，例如由于账号获取和维护成本高，一旦被平台识别为风险账号并进行限权或封禁，掌握大量账号的“码商”将遭受较大损失，因此“职业解封”和“职业投诉”等产业应运而生；“阅后即焚”照片分享应用（Snapchat）的火爆带来了“阅后即焚”的火热，相关黑色产业致力于支持文字、图片、语音和短视频等“阅后即焚”的加密即时通信软件的研发或应用；“NZT 一键新机”[12]软件提供“一键改机”“设置定位”等功能，能够一键改变手机的国际移动设备识别码（IMEI）等设备参数、随时切换手机定位地址等，提供虚假设备环境使得手机软件无法获取用户的真实设备参数，进而阻碍平台对风险设备的识别。

3.犯罪组织结构松散化趋势明显

基于中国裁判文书网2018 年以来有关“刷单诈骗”的判决书，并梳理各地公安机关揭露的刷单诈骗套路发现，诈骗团伙内部以及各个黑灰产业之间呈现出一种在程序上衔接紧密，但组织上相对松散的状态。组织中的每个犯罪分子只对自己的行为负责，同级之间互不认识，上下线之间单线联系，但彼此之间并非领导与被领导的关系，仅仅是利益交换的关系。较低层级的犯罪分子通过完成相应的角色任务，可以按照固定比例从对应的多个上线处领取诈骗所得分成；一个上线也可对应多个下线，甚至彼此之间不属于同一个诈骗团伙。比如齐齐哈尔市公安局梅里斯分局侦破的一起全链条网络刷单诈骗犯罪案件中，一名受害者在同一时间被两个刷单诈骗团伙侵害，警方经过大量的侦查工作后发现，两个诈骗团伙成员彼此之间并不认识，且没有任何往来，但二者却是同一个境外诈骗集团的下线[13]。

4.境内外勾连态势愈演愈烈

随着国内对网络空间管控的完善和刷单诈骗打击手段的升级，犯罪行为跨境化趋势加剧。诈骗团伙或黑灰产业的首要分子突破时空界限，通过网络使用代号、暗语等实现跨境互通互联，操纵犯罪组织运转和犯罪活动进行。一方面，境内各地犯罪分子赴境外实施诈骗的情况一直存在，通常为境外金主出资招募、境内犯罪嫌疑人出资给“蛇头”主动偷渡或亲友结伙出境等。比如2020 年4月，4 个犯罪嫌疑人相约共赴缅甸“务工”，在“蛇头”组织下偷越中缅边境线出境，并加入当地一诈骗犯罪集团，针对境内居民从事刷单诈骗犯罪活动，在数月内非法获利上万元①参见（2023）皖0422 刑初36 号刑事判决书。。2020 年12 月云南公安机关成功捣毁了一个组织运送他人偷越国（边）境的犯罪团伙，该团伙受境外诈骗团伙或境内犯罪嫌疑人的“委托”，帮助境内外犯罪分子偷越国境线达50 余次[14]。另一方面，暗网成为境内外犯罪分子联络和交易的重要场所，通过暗网实施违法犯罪行为的形式复杂多样，越来越多的研究表明在暗网市场中有关个人信息、犯罪技术或教程等方面的交易激增。比如有的犯罪嫌疑人自行组建工作室从事“上粉”业务，即通过使用暗网或“翻墙”等方式为境外的诈骗团伙提供被害人信息，并诱导被害人添加境外诈骗团伙提供的社交账号，每当有一个被害人添加了指定账号，就相当于犯罪嫌疑人上了一个“粉”，也就是完成了一个单②参见（2020）吉0802 刑初139 号刑事判决书。。

（二）网络刷单诈骗犯罪行为的全流程分析

任何事物都是由诸多要素构成的复杂系统，正确认识一个事物需要对其构成要素有着准确、充分的把握，网络刷单诈骗等涉网新型犯罪亦是如此。作为一种贯穿侦查活动始终的行为，犯罪流程分析即犯罪过程分析是实现有效预防、打击犯罪的重要环节。在实施网络刷单诈骗犯罪过程中，犯罪资金流、犯罪通信流、犯罪网络流和犯罪人员流这些基本要素构成了犯罪的普遍形态，其中，犯罪通信流和犯罪网络流可统称为犯罪信息流。基于犯罪信息流和犯罪资金流对网络刷单诈骗犯罪行为进行全流程分析，一方面能够查明刷单诈骗各个阶段的涉案人员及其手段；另一方面通过社会网络分析，能够厘清各犯罪主体之间、犯罪主体与犯罪对象之间的关系，进而为实现“全链条”打击犯罪奠定坚实基础。

图1 为网络刷单诈骗犯罪信息流和犯罪资金流路径示意图，纵观刷单诈骗的全过程，一共可分为三个阶段：第一阶段为犯罪工具、资料准备阶段，第二阶段为诈骗实施阶段，第三阶段为洗钱和分赃阶段。其中，犯罪信息流路径主要涉及刷单诈骗的前两个阶段，而犯罪资金流路径则是指犯罪活动的最后一个阶段。

图1 网络刷单诈骗犯罪信息流和犯罪资金流路径示意图

1.犯罪信息流路径分析

在犯罪工具、资料准备阶段，账号、二维码提供者通过非法窃取、购买或租赁等手段获取大量的个人基本信息、手机号码、社交平台账号、银行账户和个人收付款二维码等信息，并将这些信息提供给虚假链接、二维码制作者，虚假链接、二维码制作者对相关资源进行“包装”，制作出钓鱼链接和支付链接，然后购买备案域名、租赁服务器和购买源代码等用于制作涉诈软件的材料，通过对接相关客服平台、利用短信端口完成验证，借助封装平台完成软件的制作，最后再将钓鱼链接、支付链接和涉诈封装软件提供给诈骗组织者，诈骗组织者再结合诈骗脚本设计者提供的犯罪脚本制定出诈骗计划和招募诈骗执行者。基于前期先返利、后期再诈骗的套路，诈骗组织者为首次诈骗者提供手机号码、社交平台账号、银行账号、钓鱼链接、涉诈软件、话术脚本等，为后续诈骗者额外提供支付链接和二维码等，为犯罪目标寻找者提供与“引流”有关的工具和资料等，进而完成犯罪工具、资料、人员的准备工作。如犯罪嫌疑人杨某某与蒋某某、吴某某和张某某等人协商进行网络刷单诈骗活动，其中，蒋某某负责租赁出租房，杨某某负责购置电脑、手机、涉诈软件、推广过的QQ 号码等作案工具及流程脚本等材料交由吴某某、张某某等人使用，吴某某除具体实施诈骗行为外，还兼顾财务，协助杨某某统计各犯罪嫌疑人诈骗所得情况、提供亚马逊等平台相关支付二维码、联系销卡等事宜①参见（2019）闽0303 号刑事判决书。。

在诈骗实施阶段，犯罪目标寻找者通过网站、社交平台、直播平台和电子游戏等途径吸引受害者，并成功完成“引流”，随后目标寻找者将受害者“引荐”给首次诈骗者，首次诈骗者诱导受害者下载并安装涉诈软件，采用小额返利的方式让其尝到甜头，激发其通过持续刷单来牟利的贪念，后续诈骗者接手后继续诱骗受害者垫付资金，在达到目的后卷钱跑路完成诈骗。如湖北省公安县的熊先生在一企业微信群里通过给网红点赞和关注的方式，成功领取了10 元 红包，接着在群管理员的诱导下，熊先生安装了指定的刷单软件。起初，熊先生只是通过完成简单、易操作的任务获得小额返利，然后他逐渐放下内心戒备开始做大额返利任务，但是在他累计投入32 万余元 后，诈骗分子携赃款逃之夭夭[15]。

2.犯罪资金流路径分析

受害者在向指定的银行账户和收付款二维码完成转账或支付后，犯罪随即进入“洗钱”和分赃阶段，账户、二维码提供者将涉案资金一并交由专业的洗钱团伙“洗白”，洗钱团伙在扣除一定手续费后将剩余赃款交给分赃者处理②参见（2022）湘0381 号刑事判决书。。分赃者、账户和二维码提供者、虚假链接和二维码提供者、诈骗组织者一般会按照固定的比例瓜分赃款，随后诈骗组织者再根据诈骗执行者的表现对到手的资金进行再分配。其中，后续诈骗者还需要按将自己的分成按固定百分比支付给首次诈骗者，作为其给受害者的“返利”，如犯罪嫌疑人王某某作为首次诈骗者，在第一次诈骗成功后获得来自上线约60%～75%的提成，而在后续诈骗者完成第二次诈骗后，其又获得来自后续诈骗者约25%的提成①参见（2020）豫0725 刑初212 号刑事判决书。。

值得注意的是，刷单诈骗团伙及其黑灰产业为了提高犯罪过程的隐蔽性和迷惑性，会在各个环节之间设置不同数量的中间人，作案信息和涉案资金的传递不同步进行，但总体上看各阶段的角色及其任务基本不变，这为当前网络刷单诈骗犯罪电子数据取证工作提供了合理、可靠的取证来源，也有利于我们揭示取证困境和探索相应对策。

三、网络刷单诈骗犯罪电子取证面临的困境

如前文所述，网络技术的应用和升级使得刷单诈骗呈现出许多新形态，为有效打击此类犯罪，电子数据的重要性愈发不可忽视，电子取证成为必不可少的侦查手段。然而，当前刷单诈骗犯罪案件的频发反映出公安机关在反诈宣传、侦查打击等方面存在一些问题，就电子取证方面而言，主要体现为获取犯罪线索和证据的来源渠道少、专门取证队伍和专业取证技术支撑不足、侦查取证“两个合力”不充分。

（一）获取犯罪线索和证据的来源渠道少

网络刷单诈骗是由犯罪分子所主导的，受害者主动参与的一系列网络社会活动。基于网络虚拟空间和现实物理空间，有关刷单诈骗犯罪线索和证据的收集始终围绕犯罪方和受害方开展。由于此类犯罪线索和证据隐蔽性强、易灭失、缺乏直接关联，因此不易获取。

1.难以从受害者处获取有关犯罪线索和证据

受害者是犯罪分子实施刷单诈骗行为所侵害的对象，也是犯罪行为的亲身经历者，获取受害者陈述等直接证据能够快速还原整个案发经过、了解诈骗手法。而以受害者使用的移动智能终端或电脑端设备为核心的受害现场，是刷单诈骗行为发生的最主要场所，最为集中地遗留着与犯罪行为有关的电子数据等证据，是获取犯罪线索和证据最重要的来源。虽然当前刷单诈骗的案件数量巨大，但仍存在大量的犯罪“黑数”，之所以会出现这种现象，部分受害者缺乏线索证据提供意识是一个重要原因。具体表现为：第一，受害者因为受骗金额不多，出于“无所谓”或“嫌麻烦”的心理而选择不报案，即便是面对公安机关的调查访问工作，受害者也会觉得配合警方做笔录费时费力，从而拒绝配合；第二，受害者出于有意或无意，删除了移动终端或电脑端的相关数据，如与犯罪分子的聊天、交易记录等，与刷单诈骗有关的应用程序、网络链接URL 地址、浏览器中的历史数据等；第三，在“刷单+赌博”的诈骗中，受害者知道赌博本身就是违法行为，担心报案后会遭受处罚，便选择不报案；第四，在“刷单+色情”的诈骗中，会有大量涉及个人隐私的案件事实，受害者通常向公安机关做选择性陈述或拒绝透露。

2.难以查明各犯罪主体及其行为之间的关系

当前刷单诈骗团伙内部以及各个黑灰产业之间呈现出一种在程序上衔接紧密，但组织上相对松散的状态。每个犯罪分子都有自己的角色任务，并且只对自己的行为负责，同级之间互不认识，上下线之间单线联系。犯罪资源的交换和共享使得犯罪分子之间仅仅是一种利益互换关系，下线的犯罪分子即便被抓获，也无法准确提供上线身份的有效信息，上线犯罪分子同样不清楚下线的信息身份，只负责“派单”和“分红”。各犯罪团伙的组织者或首要分子通过增加不定数量的中间人来延伸犯罪链条的长度和犯罪网络的复杂程度，从而混淆共同犯罪人之间的关系，达到隐匿犯罪核心信息、确保自身安全的目的。不同犯罪团伙内部成员关系相互交织，致使上下线之间的关系多元化和复杂化，厘清各犯罪主体之间关系的难度也因此大大增加。此外，犯罪行为跨境化程度加剧，部分刷单诈骗团伙将服务器和窝点设置在与我国缺乏相应国际警务合作机制的国家或地区，并招募人员对我国公民实施诈骗[16]。犯罪行为和犯罪结果的跨境化分布，使得侦查机关只能采用线上追踪的单一方式，涉案人员或涉案资金一旦出境，追回的可能性极小。部分黑灰产业活跃于暗网之中，为境内犯罪团伙提供犯罪工具和资料，给侦查取证的合法性、真实性和关联性带来了极大挑战。

3.风险管控部门难以识别和采集有关犯罪信息

从社会层面获取犯罪线索、证据的渠道仍然较少，互联网、银行、第三方支付等相关风险管控部门难以准确识别和有效采集有关犯罪信息。比如在诈骗前期的引流环节，部分浏览器、社交平台和直播平台无法实现对犯罪信息的识别、记录和屏蔽；在受害者打开虚假链接或下载、安装涉诈软件时，部分手机任由用户个人操作，无法识别潜在风险并做到有效阻止；网上银行和第三方支付机构等仅在注册账户时会采集用户的个人信息，而在后续使用过程中仅通过密码便可完成支付，存在开户者和使用者不一致的监管漏洞，缺少使用者指纹、人像和虹膜信息的进一步采集；受害者在刷单过程中进行一对多或多次小额转账支付时，部分网上银行或第三方支付机构缺少“提醒”服务，使得受害者的损失如滚雪球般越滚越大；在涉案资金流转上，洗钱团伙利用跑分平台、混币平台或暗网进行，使得金融机构风险交易系统难以识别可疑资金流[17]；在网络刷单诈骗犯罪的“全链条”中，诈骗团伙及黑灰产业内部成员多使用“代号”“暗语”等犯罪隐语进行沟通，对于复杂多变的犯罪隐语，部分社交平台缺乏相应的语义识别系统，无法对涉及诈骗犯罪的联络内容进行识别、预警和记录等。

（二）专门取证队伍和专业取证技术支撑不足

1.专门取证队伍建设不足

在非接触性犯罪多发的背景下，犯罪手段、犯罪目标、犯罪成员联系等多个方面都呈现出非接触的特点，犯罪现场勘查的对象从实体空间向虚拟空间转变，犯罪现场的虚拟空间也由“终端”虚拟空间向“云端”虚拟空间转变[18]。依托网络刷单诈骗犯罪现场勘查开展的电子取证工作应当遵循《中华人民共和国刑事诉讼法》和《公安机关刑事案件现场勘验检查规则》的规定，电子数据的提取固定应当遵循《公安机关办理刑事案件电子数据取证规则》及相关技术标准，确保勘查取证工作合法、全面、细致、客观。此外，专门取证队伍和专业取证技术支撑是否充足直接影响取证质量的高低。其中，专门取证队伍支撑不足可能会引发取证主体或取证程序不合法、取证专业性无法得到保障等问题。目前，部分侦查人员缺乏必备的专业技术能力，对某些现场的电子数据发现不了、提取不出，加之专业电子取证人员的匮乏，严重影响了电子取证的质量和效率，侦查机关即便委托第三方调查取证，也可能会因为相关技术人员缺乏法律和证据意识、不熟悉侦查取证流程等，使得获取的电子数据达不到证据标准或不具备证明力。因此，公安机关在推进专门取证队伍建设的基础上，还应加强对侦查取证人员的培养，使其不仅具备充足的有组织犯罪案件的侦办经验和扎实的法律功底，还熟练掌握利用手机、计算机、互联网等取证的知识和技能。

2.专业取证技术应用不足

由于犯罪分子的反侦查意识和对证据的把控力越来越强，其不仅会对物理存储的电子数据进行破坏、篡改，还会对远程服务器上的数据进行修改、删除。因此，侦查机关要想确保涉案电子数据保持相关原始状态，避免信息被删除、丢失变得更加困难。传统的犯罪现场保护措施对无边界的网络虚拟空间不再适用，全面固定静态数据或者实时监控动态数据成为电子证据材料保全的关键，这就要求侦查机关必须及时控制相关电子证据的存储介质、具备专业的数据恢复技术和实时监测技术等[19]。专业的实时监测技术是及时控制存储介质的重要前提，侦查机关的取证行为不是盲目开展的，是基于监测系统的数据收集和数据解析，依靠有关电子痕迹的发现而进行的。对于利用表层网络实施的犯罪行为，侦查机关可以采用网络远程控制、网络在线提取、远程技术侦查等方式进行，但对存在于“深网”“暗网”的犯罪信息，侦查机关却因缺乏相应的监测技术，难以对其进行有效捕捉。有效的数据恢复是认定刷单诈骗犯罪的重要“抓手”，当前对计算机的数据恢复主要是基于文件系统和文件内容的恢复，相关取证工具和取证软件的开发、应用也比较完善，但对移动智能终端尤其是手机的电子数据的恢复技术还存在瓶颈，手机芯片普遍具备加密属性，传统数据恢复手段无法适用，只能依靠删除记录和备份数据进行恢复，而一旦犯罪分子清洗相关数据库或损毁手机，手机中的电子数据便难以再恢复。

（三）侦查取证“两个合力”不充分

网络刷单诈骗犯罪流程分工细致、环节众多，犯罪上游、中游、下游产业链完整，信息流、资金流、人员流等要素齐全且复杂。基于网络和物理空间情况，与犯罪行为有关的电子数据等证据呈现跨行业、跨地域分布的特点。打击刷单诈骗等电信网络诈骗犯罪，抓好侦查取证“两个合力”（即内部合力和外部合力）至关重要。其中，内部合力既包括各级公安机关之间的侦查取证协作，又包括公安机关与国内其他社会行业或部门之间的侦查取证协作。《中华人民共和国反电信网络诈骗法》（以下简称“反电诈法”）第七条规定：“有关部门、单位在反电信网络诈骗工作中应当密切协作，实现跨行业、跨地域协同配合、快速联动，加强专业队伍建设，有效打击治理电信网络诈骗活动。”这明确指出了反电信网络诈骗，国内各行业、各部门要坚持齐抓共管、群防群治的系统观念，无论是公安系统内部还是社会各行业或部门，对电子取证等侦查行为应当落实责任、高度配合[20]。外部合力则是指我国与其他国家或地区之间关于跨境电子取证的协同配合。据报道，欧盟成员国约85%的刑事案件侦办涉及电子证据，其中2/3 的案件需要向隶属于不同司法辖区的跨境网络服务提供者取证[21]。因此，在国内外，刑事案件侦查中电子数据取证的跨机构、跨区域协同配合均是必要的。但是，协作并非都一帆风顺，抓好侦查取证“两个合力”主要存在以下困境。

1.内部协作机制不完善

一方面，当前全国各地数据信息系统的搭建通常是由省级公安机关牵头，基于本地区经济发展水平和犯罪形势来进行的，各类数据收集、分析研判系统的研发和应用无法满足不同侦查实践的需要，加之部分公安机关由于内部考核标准不完善，主侦机关和协助机关的职责不明确，“物理合成”“技术壁垒”“信息孤岛”等现象仍客观存在。此外，不同警种构建的数据库和使用的信息平台存在差异，例如犯罪人员数据库及信息平台由刑侦部门掌管，关于大额资金流的研判分析由经侦部门基于专业的信息平台进行，跨部门使用数据库时需要共同的上级领导授权或许可，这也在一定程度上影响了公安机关侦查取证的效率。

另一方面，侦查机关进行跨行业电子取证离不开电信业务经营者、银行业金融机构、非银行支付机构和互联网服务提供者等方面的协助，虽然反电诈法第五条规定：“有关部门和单位、个人应当对在反电信网络诈骗工作过程中知悉的国家秘密、商业秘密和个人隐私、个人信息予以保密。”但部分电子数据的所有者可能会以此为理由拒绝配合或不愿全力配合，这是因为我国目前对电子数据类型和公开程度没有明确的法律规定。此外，我国境内的电子取证工作通常是由侦查机关直接向有关的电信部门、金融机构和互联网企业等提出取证请求，个别公安机关由于缺乏和中小微企业之间的专项业务合作，使得相关企业难以在物质层面得到政府提供的补贴，大大降低了企业协助办案的积极性。

2.外部协作存在法律冲突

网络诈骗活动在国际上也被视为违法犯罪行为，许多国家和国际组织都制定了相关法律来打击网络诈骗犯罪，如欧盟的《网络犯罪公约》、美国的《计算机欺诈和滥用法》等，大多数国家对网络诈骗行为的定性相似，这为我国跨境电子取证提供了良好的国际环境。目前，我国在法律层面规定了基于国际刑事司法协助取证模式和单向跨境电子取证模式来应对网络诈骗犯罪的跨境电子取证问题，但是这两种模式都存在一定的弊端[22]。

国际刑事司法协助取证模式依靠双重犯罪原则来实现，我国在申请国际刑事司法协助前必须准确地知道电子证据所在国是否与我国缔结了相关合作协议，请求取证的内容是否明确，审批周期和取证时间有多长等。该取证模式极为被动，在证据标准、取证技术、协助成本等方面容易产生争议。为了突破数据属地管辖，我国规定了单向跨境电子取证模式，但相关法律规定均以部门规章的形式做出，其法律效力在国际上不被认可，在取证范围上仅限公开发布的境外电子数据。此外，主张网络空间主权的《中华人民共和国网络安全法》和《中华人民共和国国际刑事司法协助法》严格限制我国电子数据向境外输出，这就导致我国电子数据在输出和输入上并不对等，相关法律规范也无法形成逻辑自洽的规制体系。由此看来，我国两种主流的跨境侦查取证协作模式无法满足当前网络诈骗犯罪跨境电子取证的需要，国际警务合作阻碍多、国内法律规范不通畅成为制约取证质量和效率的两大重要因素，亟待建立一种合法、便捷、高效且适合我国国情的跨境电子取证模式。

四、网络刷单诈骗犯罪取证能力的提升策略

当前，随着网络刷单诈骗犯罪形式的不断变化，我国侦查机关的电子取证工作面临诸多挑战，涉及取证来源、取证技术和取证协作等方面的内容。侦查机关要坚持与时俱进的发展理念，积极主动适应犯罪形式的变化，做好实证调研和专题研究，找到解决网络刷单诈骗犯罪电子取证困境的出路。

（一）拓宽刷单诈骗犯罪线索和证据的来源渠道

1.加强对受害者的访问和相关设备的勘查取证

刷单诈骗的犯罪脚本是犯罪分子实施犯罪行为的重要依据，也是侦查机关分析犯罪分子作案流程、工具和手段的重要材料。一般而言，对受害者及其相关设备的勘查取证通常会直接或间接获取诈骗脚本的大部分内容，比如受害者在何时何地以何种方式接受刷单信息，如何与犯罪分子联系，犯罪分子如何介绍刷单流程，犯罪分子向受害者推送或索要过哪些信息，是否向受害者返利，诱骗受害者继续刷单的详细过程，拒不返款的理由等。因此，对受害者进行调查访问并对其当时使用的相关电子设备进行勘验检查，是电子取证的重要方向。对于部分不愿意配合检查的受害者，侦查人员应当加强宣传，简化取证流程，并根据情况给予奖励，以提高其配合的积极性；对于部分害怕遭受处罚的受害者，侦查人员应当主动与其联系并表明追赃挽损的办案目的，同时在合法范围内尽可能采取说教的方式代替行政处罚，进而促使受害者主动配合；对于部分害怕隐私泄露的受害者，侦查人员应当做好保密工作，涉案电子数据的处理应向受害者适度公开，及时打消其顾虑。

2.深挖各犯罪主体及其行为之间的关联性

犯罪分子及其行为之间的关联性分析对确定犯罪分子的身份、作案手法及犯罪模式至关重要，这种关联性可以是同一犯罪人在不同时空条件下实施的多个犯罪行为之间的联系，也可以是不同犯罪人之间的联系，比如同一犯罪团伙中的成员或不同犯罪团伙中的节点成员之间的联系。在网络刷单诈骗犯罪中，诈骗组织者既是诈骗团伙的核心成员，又是连接诈骗执行者和相关黑灰产业的“纽带”，犯罪信息流和犯罪资金流在诈骗组织者处汇集，诈骗脚本、涉诈软件、虚假支付链接和二维码等犯罪工具和资料经由诈骗组织者传递。因此，可以以其中一种或多种犯罪工具或资料为突破口来锁定有关犯罪嫌疑人的身份。比如，涉诈软件的基本信息、打包信息、分发信息、服务器、客服系统、软件开发工具包（SDK）插件、短信验证等方面是情报搜集的重要方向。利用软件的名称、版本、包名和安装包的信息摘要算法（MD5 值）可实现精准串并案，向软件的分发公司调证可获取注册人的注册信息、支付账号、收货地址等。通过封装平台的调证可获取有关注册人或其他关联者的打包信息，有关软件服务器的域名（犯罪主网站）注册商和服务器运营商掌握的注册信息、支付账号、托管及租用信息、登录次数最多的前十个账户信息、诈骗过程记录等信息。侦查人员基于推送、统计、地图等调用第三方服务商的数据上传通道和支付通道的分析资料，可实现对犯罪嫌疑人身份和位置的确定。

3.注重侦查阵地控制，深化线上线下交错取证

阵地控制作为刑侦三大基础工作之一，在治理侵财类犯罪中能够及时发现犯罪线索和证据，对案件侦办发挥了重要作用。网络侦查阵地的建立标志着传统侦查阵地实现由线下向线上、人力向信息化的转变，侦查阵地控制的范围和手段得以拓展延伸[23]。对现实实体空间和网络虚拟空间的侦查阵地开展交错式电子取证工作，有助于侦查人员获取大量有价值的犯罪数据和信息。首先，互联网、通信和金融等有关行业风险控制部门要加强对犯罪信息的识别与采集，同时侦查机关应当研制并完善相关领域的信息共享机制与线索快速移送机制，比如基于对刷单诈骗脚本和犯罪隐语的分析，浏览器、社交平台和直播平台可构建刷单诈骗犯罪引流阶段和实施阶段的风险识别模型，侦查机关进而可实现对犯罪信息的实时数据采集[24]。其次，受害者主动下载、安装涉诈软件是犯罪分子实施刷单诈骗的重要前提，各大手机厂商应当增加手机的反诈功能[25]，加强对涉诈软件的识别和信息采集，比如小米手机MIUI 13、vivo手机的OriginOS 系统积极与国家反诈中心软件对接，形成数据互通，在诈骗来电预警、涉诈软件的识别和异常交易提醒等方面有着更快、更精准的响应。最后，银行或第三方支付机构的技术部门应当基于机器深度学习的方法，深入分析各种骗术和构建专业反诈知识数据库，实现对绝大多数涉诈交易行为的有效识别和挖掘，并将涉诈账号等信息同步移送公安机关反诈部门，以便进行线索倒查，比如蚂蚁实验室研发的“叫醒服务”产品，现已上线覆盖了所有支付宝用户，不仅会自动阻止诈骗交易，还会主动致电用户，提示诈骗风险。根据2022 年最新数据统计显示，支付宝AI 反诈“叫醒服务”对“杀猪盘”类诈骗的劝阻止付率大幅提升，“叫醒”成功率已经超过了人工客服[26]，“杀猪盘”类诈骗的案件量也因侦查机关的主动倒查得到大幅度减少。

（二）加强侦查取证队伍的建设和新型取证技术的应用

1.持续推动专门取证队伍建设

影响网络刷单诈骗等涉网新型犯罪侦查效能的因素众多，其中专门队伍建设起到决定性作用。随着犯罪手段智能化和犯罪方法加速迭代更新，涉网类犯罪形式和手段日益复杂，为有效应对此类犯罪，侦查人员必须具备较强的专业能力和与时俱进的创新能力[27]。这就需要公安机关注重培养具备“侦查+技术”能力的复合型侦查人才，全面深化“校局合作”和“警企合作”，加强对电子取证程序和取证技术的培训，不断规范取证行为、更新案件侦办思路和提高电子取证技术，进而提高打击网络刷单诈骗犯罪的专业水平。

2.加强对问题突出领域取证技术的研发和应用

针对刷单诈骗团伙及黑灰产业所使用的移动应用、数据篡改、网络攻击等技术，公安机关要加强对问题突出领域取证技术的研发和应用，提升技术反制能力，实现“以专制专”，这是侦查机关破解电子取证难题的关键。

第一，构建并完善动态数据收集模型。大数据时代，电子数据具有海量性、实时性和不稳定性等特征，无论是表层网络还是深层网络的电子数据取证，有关涉案电子数据实时监测和痕迹捕捉等方面的应用均有待加强。加之犯罪行为在网络虚拟空间中具有隐匿性和持续性，为了获取大量完整、实时的电子数据，构建并完善动态数据收集模型至关重要。Hirano 等人提出了一种名为LogDrive 的动态数据取证模型，旨在监测并获取云环境中的数据异常情况。该模型通过主动收集虚拟块设备中的数据，采取虚拟存储的日志记录方式来记录证据，并以时间序列的调查方式来呈现被覆盖或删除的证据文件[28]。笔者认为此数据取证模型针对性强，能够及时记录案发前后的数据情况，并能有效应对电子数据的不稳定性问题，可以在侦查取证中借鉴使用。

第二，创新云端数据取证方法。当前，云环境电子数据取证技术主要包括基于网页协议、软件协议、仿真环境模拟和手机端流量数据截获等手段的云取证技术，但是上述技术都存在取证成本高、分析周期长等问题，缺乏及时性和适用性。董鹏飞[29]等人发明了一种云端数据取证方法及系统，此方法及系统能大幅缩短各类软件的逆向还原时间，通过找到对应接口函数，以搭建后台服务架构的方式，有效提升云端电子数据取证的效率和可能性，基于核心算法服务计算，系统的客户端和服务端能对获取数据包的合法性进行判断，满足了对取证程序和取证结果的合法性要求。笔者认为此方法及系统能够有效地降低云取证的逆向成本，提高取证分析的效率和取证过程的合法性，因此可以考虑加大推广应用。

第三，应用新型数据恢复技术。移动互联时代，随着5G 技术的普及与发展，智能手机已经成为人们生活必不可少的组成部分，不仅如此，智能手机数据在刑事案件中作为证据使用的情况也日益增多。智能手机上的数据主要存储在SQLite 数据库中，犯罪分子出于反取证的需要，会不定期对手机数据库进行清理，如何从数据库相关文件中寻找到残留的数据库记录痕迹，并对残留数据进行分析、整合，进而恢复被删除的数据，是SQLite数据库恢复被删除数据的难点[30]。梁斌[31]等人设计出的一种基于日志与文件结构的手机数据恢复方法适用于SQLite 数据库数据被删除的情况，能够考虑到所有可能存储了被删除数据碎片的文件，并能够有针对性地对不同文件进行研究还原，进而实现对被删除数据的恢复，与现有手机数据恢复技术相比，这一新方法具有恢复效率高、扩展性强、性能稳定等优点，能最大可能地恢复涉案手机中被删除的数据，进而有利于实现对电子证据的深度挖掘与分析。

（三）内外合力构建全面协作机制

1.公安系统内部建立跨区域警务战略合作机制

针对网络刷单诈骗等涉网新型犯罪的侦查治理工作，各地公安机关应当坚持“全国一盘棋”的理念，建立健全跨区域警务战略合作机制，如加强对刷单诈骗发案量高或审结率低地区的警力支援，促进全国范围内案件侦办思路和先进技术手段的深度融合。此外，公安部应当发布相关文件，明确主侦机关和协作机关在办理网络刷单诈骗等涉网新型犯罪案件所需承担的职责，指导各地公安机关建立公平合理的考核标准，并视案件侦办情况进行考核评议，以此奠定公安系统内部侦查协作的基调，如主侦机关对侦查计划的制定和侦查指挥工作等负责，协作机关应当与主侦机关共享涉案信息、提供人员支持等。

2.创建国内各行业与公安机关信息共享机制

一方面，为打破侦查协作的信息壁垒，可以在全国范围内建立“条块结合”的信息共享机制。其中“条”的信息共享机制是指由公安部牵头，在统一数据标准和整合各警种数据信息库的基础上，以县级公安机关的信息数据库为单位，建立全国公安系统内部的信息共享机制。无论申请单位和协作单位级别的高低，通过该机制即可实现双方的“扁平化”对接，无须共同的上级领导单位授权或许可，简化了跨区域侦查协作的申请流程，提高了跨区域电子取证的效率。“块”的信息共享机制则是由公安部、中国人民银行、工业和信息化部、国家工商总局等部门牵头，为满足公安机关办案需求而设立的信息共享与交流机制。基于区块链技术，整合电信业、银行金融业和互联网产业等信息数据，搭建相应的大数据信息共享和监测预警平台，并且相关部门均有访问权限，通过这一信息共享机制，可实现对网络刷单诈骗等涉网新型犯罪的犯罪线索和证据的及时发现、记录和收集。综上所述，以满足公安机关办案为核心，在全国范围内设立“条块结合”的信息共享机制有利于落实反电诈法关于各部门、各单位在反诈工作中协同配合、快速联动的要求。

另一方面，由于国内的电子取证工作通常是以侦查机关直接向数据所有者调取的方式来进行的，为消除数据所有者的协作顾虑，有必要基于数据内容的隐私性对数据进行分级分类，并加强对数据保护的透明化构建。《中华人民共和国数据安全法》第二十一条明确规定要对数据实行分级分类保护，我国众多学者也从数据的公开程度和数据主体的不同等多个角度对数据进行了划分，其中姚浩亮[32]采用数据主体与内容相结合的方式，将电子数据分为国家数据、行业数据和个体数据三大类，并指明了数据的具体使用情况。图2 为相应的数据分类示意图。其中，国家数据包括公开数据、准公开数据和非公开数据；行业数据包括行业重点数据和行业普通数据；个体数据包括内容数据、非内容数据和未成年数据。笔者认为该分类方式能够调节数据披露和数据保护之间的矛盾，有利于侦查机关搭建快捷取证渠道，并为跨境电子取证打下良好基础。此外，针对中小微企业配合公安机关调证成本高的问题，可以依托企业所属的行业协会建立协作调证对接和补贴机制，行业协会负责对企业的经营业务和行业数据进行管理、监督，作为联系侦查机关和企业的“中间人”，搭建相应的数据提取在线申请平台，实现流水线式调证，并根据调证成本的高低给予企业一定数额的补贴。以互联网金融业为例，目前中国互联网金融协会[33]已成立，相应的地方和区域互联网协会也在陆续建设中，行业协会的成立既能加强对行业数据的管理、审查，又能提高企业配合侦查机关调证的积极性，进而保证电子取证工作有序、高效地开展。

图2 基于数据主体与内容相结合的电子数据分类示意图

3.探索跨境电子取证新模式

构建便捷、高效的网络刷单诈骗跨境电子取证模式需要我国在完善跨境电子取证法律规范的基础上，加强国际合作。

首先，由于侦查机关无法通过刑事司法协助取证模式对没有与我国缔结双边协议的国家或地区开展电子取证工作，所以绕开烦琐的刑事司法协助程序，向数据管理者直接调证的单向跨境取证理念更符合我国的实际情况，但为了尊重各国网络空间主权，单向跨境取证行为应遵循国家数据管辖权原则，在法律层面规范跨境电子取证的范围[34]。此外，还应协调我国单向跨境电子取证与限制数据输出之间的立法矛盾，形成逻辑自洽的规制体系，以扩大我国单向跨境取证法律的国际认可度。如设置禁止性规定，严格限制非公开的国家数据流通；对于政府或行业协会等发布的行业普通数据，通过提前向国家网信部门报备的方式，允许相关数据持有者在经过特定期限后，无须经过刑事司法协助程序，可直接向境外执法机构提供；关于行业重点数据、涉及隐私的个体数据和未成年数据仍需经过国家网信部门严格审批和评估后才能决定是否能够向境外执法机构提供。

其次，根据2019 年12 月第74 届联合国大会通过的《打击为犯罪目的使用信息通信技术》决议显示，多个国家在跨境电子取证中采取了侦查机关向网络服务提供者直接调证的取证模式，该模式有利于电子数据的快速获取和案件的迅速侦破[35]。此外，根据国际电信联盟发布的《2020 年度全球网络安全指数》显示，有166 个国家的侦查机关选择采用与网络服务提供者进行公私合作的模式来替代低效率的刑事司法协助程序[36]，这为我国探索跨境电子取证的新路径提供了良好的实践参考。由于各国对网络空间主权的态度并不一致，导致在联合国框架下的立法规定达成率低，因此我国可以参考欧盟的做法，先在区域范围内，与对网络空间主权持支持态度的国家和地区达成区域性合作协定，以满足构建跨境快捷取证模式的需要。如2009 年的《上海合作组织成员国保障国际信息安全政府间合作协定》（以下简称为“上合组织协定”）指明了成员国之间信息安全、信息共享等内容[37]，因此我国能基于上合组织协定，与对网络空间主权持支持态度的成员国就跨境电子取证的取证范围、方式、技术和程序等方面的内容达成进一步共识。在此基础上，我国还应在世界范围内不断促成、深化与我国具有相同理念的国家和地区之间的合作，以提高对网络刷单诈骗犯罪的打击效率。

最后，我国作为国际刑事警察组织成员国，应当充分利用好国际刑事警察组织搭建的警务合作平台，了解各国关于跨境执法与合作的相关事宜，并加强有关跨境电子取证的专业培训，以提高我国侦查机关的跨境取证能力。

五、结语

随着互联网信息技术的不断发展和普及，网络刷单诈骗等涉网犯罪的犯罪态势复杂多变，在犯罪案件数量日益增加的同时，犯罪手段愈发隐蔽，犯罪全链条涉及的环节众多。在这样的背景下，电子取证在打击网络刷单诈骗犯罪中起着至关重要的作用。然而，作为一项专业性极强的工作，当前网络刷单诈骗犯罪电子取证在诸多方面面临严峻的挑战。针对网络刷单诈骗电子取证工作在实践中存在的问题，笔者基于“四专两合力”的反诈工作理念，提出了包括拓宽犯罪线索和证据的来源渠道、加强取证队伍的建设和新型取证技术的应用、构建侦查取证“两个合力”的实现路径在内的应对策略。相信随着国内法律规范的不断完善、取证技术的迭代更新、复合型侦查人才的培养、国内外侦查取证协作的加强，网络刷单诈骗犯罪一定会得到有效遏制。