余红 徐佳 刘松茂

摘 要：数字经济时代，伴随着网络技术的非法使用所实施的盗窃犯罪不断增多，对传统司法适用提出了法律和技术层面的双重挑战。在侦办该类犯罪过程中，司法机关面临犯罪主体难锁定、涉案资金流向难追踪、可用电子数据证据难获取等诸多困境。需要通过梳理证据关联关系锁定犯罪主体、深挖细查线索查清涉案资金去向、规范电子数据取证确保证据真实合法等，解决该类犯罪司法办案难题。

关键词：虚拟货币 网络盗窃 资金流向 电子数据 司法取证

随着互联网技术的发展，越来越多的犯罪分子通过非法使用网络技术手段掩饰自己的犯罪行为以逃避处罚。犯罪分子首先利用虚拟专用网络、代理服务器、阅后即焚聊天软件等技术手段，阻止侦查机关通过IP地址、手机串号等痕迹发现自己真实身份；再利用虚拟货币交易“清洗”犯罪所得，使得赃款去向难以查清。这些网络技术手段要么匿名，要么脱离监管，导致盗窃案件在主体认定及涉案资金流向等方面取证难度大，难以认定构成犯罪。本文结合司法实践中办理的陈某盗窃案，探讨该类犯罪取证难点及对策，助力解决类案办理难题。

一、基本案情及办案过程

2021年9月至11月间，陈某利用担任某非银行金融机构部门负责人的便利，在未经公司授权和客户同意的情况下，使用公司业务信息管理系统非法获取大量具有支付结算功能的账户、密码。2022年2月至3月间，陈某在离职后，利用其之前掌握的资料及公司APP存在的安全漏洞，通过VPN（虚拟专用网络）翻墙技术、虚拟云手机，隐藏自己真实IP、操作设备号，秘密将该机构约400名客户名下的160余万元资金转账汇集至自己控制的账户。后陈某通过Telegram［1］联系张某，指示张某具体操作将账户内资金与“黄牛”交易变现。为进一步掩饰其犯罪行为，陈某要求张某将变现资金存入杨某洗钱团队中若干人银行卡中。杨某确认收到现金后，将现金转换为虚拟货币“泰达币”［2］，转入陈某指定的虚拟货币地址中。陈某将收到的部分“泰达币”转入赌博账户“资金池”，再以赌客向陈某信用卡账户充值赌资的形式实现盗窃赃款资金的清洗变现。

2023年7月28日，江苏省南京市公安局玄武分局以陈某涉嫌盗窃罪，移送南京市玄武区人民检察院审查起诉。南京市玄武区人民检察院经审查后，于2023年8月28日，以陈某犯盗窃罪依法提起公诉。2023年11月28日，南京市玄武区人民法院对陈某一案作出判决，以盗窃罪判处陈某有期徒刑13年，并处罚金人民币30万元。

二、办理涉技术手段网络盗窃案件的难点

（一）虚拟网络技术隔离真实身份，犯罪主体难以确定

与传统犯罪相比，利用网络技术实施的犯罪呈现智能化、隐匿化、多样化的特点。网络犯罪在现实世界中很难留下有用证据，但实施网络犯罪离不开电子设备和网络，如果不采取任何技术手段，很容易留下可追踪的网络痕迹。为了逃避处罚，行为人在实施犯罪时，往往采取多项技术措施来隔离自己的真实身份。首先，行为人会通过技术处理隐藏自己用于作案的电子设备的设备号；其次会使用匿名浏览器、VPN、代理服务器等工具隐藏自己的真实IP地址和位置信息，再通过“Telegram”“Batchat（蝙蝠）”等境外匿名加密聊天软件、社交软件、短视频平台进行上下游联络，避免与上下游人员在现实世界中见面；最后，行为人还会通过专业技术手段来创建虚假身份和销毁数据等。网络犯罪所具有的虚拟性、快捷性、不特定性，使得追踪和识别行为人的真实身份、明确行为人的犯罪手段变得异常困难，侦查取证成本呈几何级上升。［3］

本案中，陈某具备一定的科学技术水平和反侦查能力，使用虚假的电子邮件地址申请注册了VPN账号，利用大量代理IP隐藏自己作案的真实IP；通过接码平台的号码注册大量的空白APP账户，用于转账归集客户卡内资金；同时购买虚拟化云手机及使用手机模拟器，隐藏自己真实的操作设备号。陈某与张某、杨某等人没有正面接触，双方自始至终通过飞机软件联系，因此张某、杨某被公安机关抓获以后，除了网名，很难提供其他有效的信息。此外，陈某在完成犯罪后，使用数据擦除软件清理了电脑内所有的操作痕迹。如何确定犯罪嫌疑人是摆在办案人员面前的第一个难题。

（二）虚拟货币交易中断资金追踪信息，赃款流向难以查清

虛拟货币交易有去中心化运营、匿名性交易两大特征。所谓去中心化，主要是指虚拟货币存在于去中心化的区块链底层技术之上，无论是发行还是交易都不存在中心。［4］故传统的以中心机构（如商业银行）为重要监控节点的反洗钱监管模式，在虚拟货币的交易场景中很难实现。虚拟货币的匿名性交易特征，指的是虚拟货币在交易时无论支付方或者收款方都不用公开自己的身份信息，也不需要向任何第三方监管机构提供自己的身份证明。以上两大特征，导致资金追踪信息容易在此中断。具体来说，一方面，虚拟货币具有全球流通性，交易过程具有高度的匿名性，在交易数额上也没有任何限制，利用虚拟币洗钱的网络犯罪人员，极短时间内便可实现大量资金的多次跨国转移与清洗。除此之外，虚拟货币全程在区块链网络上运行，不受地理位置的约束，可以使犯罪嫌疑人快速实现涉案资金的跨地域、跨国转移与清洗。［5］另一方面，为使资金去向难以溯源，犯罪嫌疑人往往会通过多重层层转账的方式来混淆资金来源与流向。链上的交易行为因为多层转账下平台账户地址的不确定性，使得资金流向变得错综复杂，追溯查证起来非常困难。除此之外，有的犯罪嫌疑人会同时采用混币的方式来进一步模糊资金去向，即将虚拟货币与其他用户的货币进行快速混合，从而掩盖原始虚拟币流动路径，使得追踪虚拟货币的来源和去向变得异常困难。

本案中，陈某在盗窃行为实施完毕之前，并不直接接触涉案资金。陈某先是遥控指挥张某将涉案资金变现，并存入杨某洗钱团队银行卡。随后陈某批量生成若干虚拟货币钱包地址，用于接收从杨某处兑换的“泰达币”。在收到虚拟货币后，陈某又在其控制的虚拟货币钱包地址之间进行频繁交易，之后又通过多层转账的方式，将非法获取的虚拟货币转入境外非法网络赌博平台的资金池，进一步将赃款与其它资金混同。最后，赌博平台将赌客充值赌资的账户链接成陈某的信用卡账户，赌客充值赌资时会直接充值至陈某的信用卡，盗窃赃款资金最终实现变现。陈某归案后一直零口供，梳理出资金流向是证据链上尤为关键的一环。如何在陈某多次对涉案资金进行拆分、转账、混淆等操作的情况下，清晰地梳理出涉案资金从客户被盗人民币到虚拟货币再到人民币，并存入陈某控制的账户的具体流向，是亟需解决的第二个问题。

（三）电子数据取证分析困难，可用证据难以获取

电子数据存在于该类犯罪的各個环节，是认定犯罪事实不可缺少的证据，但涉案电子数据的收集和分析往往存在诸多困难。一是交易平台取证难。在虚拟币洗钱犯罪中，涉案电子数据数量庞大，虚拟货币在区块链上分布式记账，进而为侦查人员迅速识别和提取涉案交易数据带来挑战。［6］而有的交易记录存储于数个不同的交易平台，司法人员还需在不同平台、不同区块链调取涉案交易数据，这无疑会进一步加大电子数据证据的获取难度。二是境外取证受限。2021年我国明确有关虚拟货币兑换、交易等业务全部属于非法金融活动［7］，此后，之前在我国境内注册、经营的数十家虚拟货币交易平台全部向海外转移，不再在中国境内设置办公场所。与之同步的是，这些平台的数据也迁移至境外，给侦查取证带来了极大困难。虽然《中华人民共和国国际刑事司法协助法》详细规定了刑事司法协助请求的提出、文书的送达、调查取证等一系列流程，但刑事司法涉及他国主权问题，司法实践中只能按照双方共同缔结或参加的国际条约向其他国家提出相应的司法协助请求，并得到被请求国的同意后才能按照我国相关法律及司法解释的规定进行。跨境取证程序繁琐，耗费时间长，往往也不能得到他国中央司法机关的支持和许可，进而导致了办案机关不能有效收集境外的电子证据。三是海量数据分析难。由于犯罪嫌疑人全程使用技术手段掩饰自己的犯罪行为，导致其实施每一步犯罪行为时均产生大量的电子数据，当前司法机关尚未开发出有效的大数据分析系统，无法进行自动智能分析，仍旧需要具备一定的技术背景和专业知识的人员对大数据进行人工分析。在当前能够熟练掌握相关技术的司法人员短缺情况下，普通的办案人员很难从海量的电子数据中获取有用的信息。

本案中，被告人陈某在犯罪过程中，全程采用使用VPN、代理服务器、手机模拟器等规避手段，两次对涉案钱款进行人民币与虚拟货币之间的转换，还频繁在其控制的虚拟货币钱包地址之间进行交易，涉及国外的多个虚拟货币交易所，累计产生约3TB的电子数据证据。如何对相关电子数据证据进行取证，并在海量电子数据中寻找能够直接证明陈某犯罪的有用证据是亟需解决的第三个问题。

三、办理涉技术手段网络盗窃案件的思路

（一）梳理关联证据，锁定犯罪主体

网络虚拟技术的隐蔽性、匿名性和非接触性直接决定了此类犯罪证明活动的艰巨性和复杂性。检察机关主要围绕三个方面开展工作，最终使证明陈某就是实施盗窃犯罪的行为人的证据达到确实充分，并排除合理怀疑的证明标准。

一是围绕行为人实施犯罪的关键环节收集证据。本案行为人实施犯罪的关键环节主要包括：非法获取客户信息，使用接码平台、VPN软件、虚拟云手机转移客户资金，无接触式操控他人与线下“黄牛”交易变现——通过虚拟货币洗钱。在办案初期，上述每个环节都缺少其参与实施的直接证据。通过对被害单位的服务器日志以及行为人使用过的电脑、手机、U盘、邮箱等进行全面电子数据勘验，收集包括其家人、同事及“黄牛”等其他相关人员的所有言词证据，调取被害单位资金归集转移数据、虚拟货币平台交易数据等大量证据，绘制出行为人犯罪时间轴、资金流向图，形成犯罪预备、实施、转移等全面活动轨迹的证据链。本案中特别重要的是非法获取客户信息这一关键环节，经勘验陈某的邮箱，办案人员发现了陈某发送给自己的邮件附件中包含了4万余条客户信息，而绝大部分客户的信息如账户、密码的保存及使用均在其职责范围之外。结合邮件的发送时间、被害公司业务信息管理系统客户信息的下载信息，进一步锁定陈某使用在职期间的账号下载客户信息的事实。

二是通过技术穿透获取直接证据。虚拟网络自身的运行特征决定了侦查机关无法直接通过表层IP地址来锁定行为人，需要经过对大量的代理服务器日志进行抽丝剥茧后才能找到行为人的蛛丝马迹。本案中，在对被害公司的服务器日志进行勘验取证和分析后，办案人员找到翻墙软件服务提供商，进而完成翻墙软件服务器端的取证。经服务器日志与翻墙软件日志信息反复对比，结合从电信运营商处获得嫌疑人在案发时间段使用网络时的IP信息，成功发现了被害公司服务器日志中显示的作案IP、代理服务器公司提供的日志中的作案IP、电信公司提供的生活用IP等多个IP之间的关联。并通过操作客户资金转账设备串号与虚拟货币钱包地址登录设备号比对，进一步找到了行为人实施犯罪的直接证据。

三是综合运用印证规则和经验法则论证身份同一性。实践中经常会遇到的难题是嫌疑人会以使用该IP地址的行为人并非本人进行辩解。由此，司法人员在查获实施网络犯罪行为的虚拟身份之后，必须有效证明具体IP地址下的虚拟用户与线下行为人具有同一性，这种同一性证明可以综合使用嫌疑人、被告人的供述和辩解、书证、证人证言、鉴定意见等多种证据与之前所获取的真实IP地址进行交互印证［8］。如陈某盗窃案中，根据印证规则，其供述自己使用的手机号后，电信公司证明了该号码在上网时使用的IP地址，在同一时间段与作案手机所使用的真实IP地址完全吻合，而该时间段内陈某与妻子、父母等亲属的频繁通话记录，亦进一步证明该手机号有且只能由陈某使用的事实。同时，根据经验法则，陈某下载并储存大量客户信息，熟知被害单位的系统漏洞，熟悉具体操作流程及规则，曾有过类似操作转款行为，其实施后续犯罪完全具有合理性。通过双重论证，使陈某就是本案的行为人达到确实充分、排除合理怀疑的程度。

（二）深挖细查线索，查清赃款流向

追踪虚拟币资金流向是办理该类案件绕不开的难点问题。随着虚拟币洗钱转账操作路径日益复杂化，非法资金去向追踪难度加大的同时，司法机关创新资金追踪模式、重新还原资金链体系的技术手段也在逐步升级。

一是通过IP地址分析，确定侦查范围。虽然虚拟货币使用者可以生成任意多的地址来隐匿身份，但虚拟币在区块链上的存放、使用、交易以及变现都有迹可循。通过调取钱包地址的注册信息，分析IP地址及关联的设备串号，提取相关交易痕迹，依然可以找到线索进行追查。如陈某盗窃案中，办案人员通过比对张某在银行ATM机上无卡存款的监控时间、杨某转账陈某虚拟货币的时间，在二者时间近似、换算价值相同的情况下，划定陈某用于接收赃款的钱包地址范围及三条转账路径，并对该范围内的若干地址的交易频率、次数、数额等进行分析，找到地址间的相互关联。

二是通过钱包交易明细，确定交易路径。区块链上公开交易数据无法替代交易平台上的内部交易数据，特别是在虚拟货币“多对多”的交易模式下，平台内部的资金流混同成为一大障碍，因此，向虚拟货币交易平台调取账户注册信息、详实交易数据是区块链精准分析的保障。［9］本案正是根据钱包平台公司的调证结果，分析出嫌疑人陈某数个钱包地址相近时间段同IP登录，确定为同一人使用，从而锁定其层层自我转账的具体交易路径。

三是通过资金出口信息，确定最终流向，有效纾解资金追查堵点。在洗钱类案件中，犯罪嫌疑人一般经过多重钱币交易、币币交易、混同的环节，最终通过第三方或者第四方支付账户实现提现目的。因而，为查明账户交易信息、确定涉案资金走向，及时调取第三方或者第四方支付账号后台数据极为重要。本案陈某通过自己名下的信用卡申请信用贷，并在某公司申请了POS机，多次使用该POS机刷自己信用卡透支，再通过网络寻找需要购买虚拟货币的人。通过向上述公司和银行调取陈某具体开户信息、交易明细，对现实回流资金进行梳理，与虚拟货币的入口资金相互印证，进而认定陈某接收并实际控制虚拟货币的事实，至此涉案资金流向彻底查清。

（三）规范取证过程，获取可用证据

该类案件的办理，一般存在涉案人员错综复杂、犯罪手段极为隐蔽，案件侦办难度较大等特点，电子证据的提取和固定是实现犯罪证据突破尤为重要的环节，需要从法律和技术两个层面进行全面考量，来确保电子证据的真实性和合法性，从而有效解决该类犯罪电子证据的取证、固证难题及其引发的证明力问题。

一是规范勘验过程。在调取该类犯罪证据时，一般应当由专业技术人员对电子证据进行提取固定，必要时由第三方机构给予技术配合和智力支持。［10］本案在办理过程中，办案人员在全程同步录音录像下进行远程勘验，通过访问区块链浏览器对涉案地址交易数据进行下载。同时，侦查机关在出具相关调取法律文书后，多次通过邮件方式向欧易、比特派、币安等虚拟货币交易所及钱包公司调取数据，并通过网络远程勘验笔录的形式，对平台发送和接收的邮件记录进行电子证据固定，将比特派平台反馈的调证数据下载保存。

二是探索新型取证及存证模式，确保形成具有充分证明效力的完整证据链且所固定的电子证据能够被妥善保存。如司法人员利用区块链电子证据存证系统［11］对证据进行简单的形式审查，可确保电子证据的真实性，而无需进行实质判断，这在一定程度上将大大降低涉虚拟货币犯罪案件办理难度，提升办案效率。

三是组建专业化取证团队。虚拟货币是互联网技术发展的产物，融合了经济、金融、互联网、区块链等方面的专业知识。［12］面对纷繁复杂的利用网络技术比如通过虚拟货币“洗钱”的犯罪案件，侦查人员在熟知虚拟货币相关知识的基础上，还需要具备较强的数据分析能力，便于收集、整理分析涉案电子数据证据。在办理此类案件中，需尽量选择具有相关技术背景的司法人员组成办案团队，必要时，可以邀请该领域的技术专家进行协助指导。本案在团队成员选取上以办案机关网络安全专业人才为主，同时吸纳相关计算机技术和金融领域专家学者辅助办案，专业化的办案团队是该案成功办理的重要因素之一。

*江苏省南京市玄武区人民检察院党组书记、检察长、二级高级检察官［210018］

**江苏省南京市玄武区人民检察院第一检察部副主任、一级检察官［210018］

***江苏省南京市玄武区人民检察院第六检察部副主任、一级检察官［210018］

［1］ 一款阅后即焚的即时通讯软件，又称“飞机软件”。

［2］ 一种将加密货币与美元挂钩的虚拟货币。

［3］ 参见张佳华：《大数据时代新型网络犯罪的惩治困境及进路》，《学习与实践》2022年第5期。

［4］ 参见翁音韵、金懿：《刑事视角下虚拟货币带来的金融安全挑战》，《上海法学研究》集刊2022年第6卷。

［5］ 参见李妍：《电信诈骗犯罪中虚拟货币洗钱问题研究》，《河南司法警官职业学院学报》2023年第1期。

［6］ 参见陈纯柱、李昭霖：《数字货币犯罪风险的防范与应对》，《重庆社会科学》2019年第10期。

［7］ 2021年9月，中国人民银行等联合发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》明确：“虚拟货币相关业务活动属于非法金融活动。开展法定货币与虚拟货币兑换业务、虚拟货币之间的兑换业务、作为中央对手方买卖虚拟货币、为虚拟货币交易提供信息中介和定价服务、代币发行融资以及虚拟货币衍生品交易等虚拟货币相关业务活动涉嫌非法发售代币票券、擅自公开发行证券、非法经营期货业务、非法集资等非法金融活动，一律严格禁止，坚决依法取缔。对于开展相关非法金融活动构成犯罪的，依法追究刑事责任。”

［8］ 《关于办理刑事案件收集提取和審查判断电子数据若干问题的规定》第25条规定：“认定犯罪嫌疑人、被告人网络身份与现实身份的同一性，可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。”

［9］ 参见李慧、田坤：《涉虚拟货币洗钱犯罪刑事治理的实践面向》，《人民检察》2021年第16期。

［10］ 同前注［7］。

［11］ 一种基于区块链技术的证据储存系统。该系统将电子数据存储在区块链中，使用哈希函数保证数据的完整性，使用数字签名保证数据的真实性，使用智能合约保证数据链的安全。

［12］ 参见刘俊濂：《虚拟货币洗钱犯罪的侦查难点及治理对策研究》，《邵阳学院学报（社会科学版）》2023年第6期。