cc
 今天是
 
  您现在的位置:首页>>>法制时评>>判解研究
网络犯罪侦查研究
孟凡民
上传时间:2017/8/9
浏览次数:460
字体大小:
  网络犯罪,是指违反国家法律规定,利用电子信息网络技术,通过操作网络终端设备系统发送电子指令,在电子信息网络上或借助于电子信息网络服务、通信功能实施的,妨害电子信息交流或者其他严重危害社会,依法应当追究刑事责任的行为。包括以网络为犯罪工具和以网络为犯罪对象两种犯罪行为。这里所谓的网络指各种通过电子通信设备和技术把计算机等网络终端设备相互连接在一起,能够实现终端设备之间电子信息通信联络的互联网(internet),包括因特网(Internet{1})和其他国际互联网,也包括各种用途的广域网、城域网、专用网,还包括单位内部网、局域网等内联网(intranet{2})。网络犯罪的高智能性、高技术性、高对抗性、高隐蔽性和跨时空性等特点和电子证据的易破坏性等原因,使得网络犯罪的侦查取证十分困难。但是,有犯罪行为发生就必然会留下痕迹、物证,网络犯罪也不例外。网络犯罪侦查要充分运用各种法律规定和手段措施,寻找犯罪分子在虚拟和现实空间留下的蛛丝马迹,发现、缉捕犯罪嫌疑人,搜集、提取犯罪证据,最终将犯罪嫌疑人移送审查起诉。
  一、网络犯罪的宏观侦查
  从侦查打击网络犯罪需要出发,宏观上需要完善侦查打击网络犯罪的法律规定,进一步加强组织机构建设,完善工作机制,加大专门打击力度。
  (一)完善网络犯罪及其侦查立法
  我国规范网络犯罪立法主要有《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》。为打击网络犯罪提供必要的法律依据,网络犯罪立法亟须进一步完善。
  1.完善网络犯罪的实体法
  1997年《刑法》共设置三条关于计算机及其网络犯罪方面的规定,即285条非法侵入计算机信息系统罪,第286条破坏计算机信息系统罪,第287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等犯罪。显然,立法比较粗略,不能很好适应司法实践中侦查打击工作需要。
  第一,完善非法侵入计算机信息系统罪和破坏计算机信息系统罪。从1997年到2005年,全国公安机关共查处针对计算机信息系统实施的违法犯罪11521起,但由于现行《刑法》285、286条难以适用,导致经法院审理判决的非法侵入计算机信息系统案件为0起,破坏计算机信息系统的案件仅14起,其他全都降格为行政处理。{3}《刑法》285条只保护国家事务、国防建设、尖端科学技术领域的计算机信息系统,且界定不明确。随着信息时代的到来,金融、证券、医疗、邮电、交通等许多关乎国计民生的重要计算机信息系统也急需加以保护。因此,非法侵入计算机信息系统罪的犯罪对象应予扩大,罪状应予完善。第286条规定要“后果严重”,但是没有对这种程度进行量化,究竟危害到什么程度才算犯罪没有说明。第3款对“故意制作、传播计算机病毒等破坏性程序的犯罪”,规定其后果为“影响计算机系统正常运行”,规定为行为犯更能扩展惩治与预防范围。
  第二,扩充针对网络犯罪的主体。现有规定中,计算机及其网络犯罪的主体为一般主体。但计算机犯罪呈低龄化趋势,由已满14周岁不满16周岁的未成年人实施的网络犯罪不乏其例,已经并将继续给社会带来日益严重的损害。这些计算机及其网络领域的“少年人才”已具有相当的计算机知识水平,其综合能力也决不在成年人之下,对于自己实施的上述犯罪行为的社会危害性他们也是有预见的。因此,将已满14周岁不满16周岁的未成年人实施的严重网络犯罪行为纳入刑法范畴是合理的,也是国家安全和公共利益的要求。同时,现有规定仅限于自然人犯罪,也不能适应社会发展的需要,增加法人为网络犯罪主体。
  第三,补充完善利用计算机及其网络犯罪的罪状。《刑法》287条仅明确列出利用计算机实施的五种犯罪,其余的都有“其他犯罪”概括,规定不够健全。应将利用计算机及其网络实施传统犯罪的行为,一律规定为按刑法相关规定定罪处罚。同时,对可利用计算机及其网络实施的传统犯罪的相关规定进行梳理完善,充分吸纳利用计算机及其网络的新的行为方式,以解决立法滞后的问题。如,在传播淫秽物品罪的客观要件方面,增加网上裸体聊天传播色情信息的行为,解决网上裸聊无法定罪问题。
  第四,增加罪名、罪过和刑罚种类。针对诸如盗窃网络游戏装备等新出现的情况,增加“盗窃计算机数据罪”、“盗用计算机服务罪”、“滥用计算机信息系统罪”和“计算机诈骗罪”等新罪名。同时,现有规定仅限于故意犯罪,过失犯罪未规定为犯罪,这与其严重的社会危害性也不相适应,增加过失犯罪,因严重过失导致某些重要的计算机信息系统遭破坏,造成严重后果的或重大经济损失的,追究其过失责任。这是因为专业人员应当具有这方面的谨慎义务,对他们的过失行为予以犯罪化有利于对网络的保护。在刑罚种类上,也可以规定得更加丰富,比如增加没收财产、罚金等则产刑和禁止上网等资格刑,这些已为国外立法例所采纳并证明有较好效果的规定,值得我们借鉴。
  第五,提高计算机及其网络犯罪的法定刑标准。我国刑法对计算机及其网络犯罪的自由罚的量刑相对较轻,与它的社会危害性不相称,也导致我国对这类案件行使刑事管辖权造成阻碍。根据引渡的国际惯例,引渡的条件之一即是行为人所犯之罪的最低刑为3年以上有期徒刑。而这类犯罪常常是跨国性犯罪,从严厉打击处于国外的犯罪分子针对或利用我国内网络实施犯罪需要,也应当提高计算机及其网络犯罪的法定刑。
  2.完善网络犯罪的程序法
  在程序法方面,一般的证据规则、侦查原则、管辖制度以及司法协助和引渡制度如何适用于办理网络犯罪的许多问题都没有很好解决。对付网络犯罪需不需要建立新的证据规则、侦查原则或管辖制度,新的证据规则、侦查原则和管辖制度该有哪些内容?需要详加探讨。
  第一,确立电子证据的法律地位。电子证据,也被称为“计算机证据”、“数字证据”、“计算机数据证据”、“电子数据证据”等,指依法收集的与案件有联系的、利用计算机或其相关设备生成、记录、存储或传递的能证明案件真实情况的电子化数据。如网上色情材料的文档,银行计算机系统电子信息等。电子证据由计算机运算及网络运行形成,内在表现为由“0”和“1”组成的二进制编码,外在表现为可由计算机显示的信息。我国《刑事诉讼法》42条明确规定:“证明案件真实情况的一切事实,都是证据”,同时规定了证据的七种形式,这七种证据形式里没有电子证据,这是否意味着电子证据不能作为案件的有效证据使用?有的观点认为,在诉讼法律没有明确作出规定之前,不能作为有效的证据使用。另一种观点认为,可以把电子证据视情归为视听资料,从而使其具有法律根据。{4}司法实践中,也存在侦、控、审各方对其证据效力有分歧的情况,使得在一些案件在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。对此,有专家提出:“必须修改我国现行的刑事诉讼法,至少应将电磁记录规定为一种证据,这样才有利于实体法的实行,进而有利于对计算机犯罪正确的定罪量刑,达到惩治和防范犯罪的双重目的”{5},我十分认同这种观点。应该说,将电子证据作为一种新的证据类型加以规定是最好的选择,或者通过必要的司法解释将电子证据纳入视听资料证据之中,也应该是可行的。这一问题解决了,就为侦查网络犯罪提供了强有力的支撑。
  第二,明确网络犯罪刑事管辖规定。刑事管辖问题,是司法程序上的一个很重要、很现实的问题。网络犯罪发生后,侦查部门首先面临的问题就是判断有无刑事管辖权,而网络犯罪的跨国性,首先带来的就是刑事管辖的困惑。比如,A国人在B国通过电子信息网络操控 C国的计算机系统对D国的某电子信息系统实施攻击并加以破坏,那么就会遇到极为复杂的案件管辖问题。从我国现行法律规定看,目前很难对境外犯罪分子针对我国网络实施犯罪的行为发生效力,而当前这种境外犯罪分子却大有人在。对于国际互联网上的犯罪行为及犯罪人如何确定本国的刑事管辖权,有学者提出应当采取有限管辖原则,即在属人管辖之外,以犯罪行为对本国国家或者公民的侵害或者影响关联性为标准来确定是否具有刑事管辖权,存在关联性的则享有刑事管辖权,不存在关联性的则不享有刑事管辖权。这种关联性的具体含义则是指犯罪行为对于本国国家或者公民已经形成实际侵害或者影响,即已经对本国国家或者公民发生了直接联系。因此,对于犯罪地与结果地等均不在本国领域内的犯罪,但是实施犯罪行为时存在“信号过境”等实际影响到本国的关联性情节的,当享有刑事管辖权。笔者认为,这种方法与打击国际贩运毒品犯罪的做法基本相仿,比较可行,当据以参考作出明确规定。
  第三,建立和完善国际司法协助和引渡制度。针对网络犯罪跨国化趋势,尽快建立和完善我国与世界各国的司法协助和引渡制度显得尤为重要。否则,对于国外的犯罪分子利用网络对我国造成的严重侵害,我们将无法追究其刑事责任,这不利于维护我国的国家主权和合法利益。例如,1997年导致我国哈尔滨市和上海市网络遭受破坏的入侵就是由国外不法分子造成的,据分析可能是来自美国得克萨斯的“黑客”所为,而犯罪结果地则是在中国境内。根据我国刑法,此行为应由我国刑法管辖,但由于中国与美国没有引渡条约而不能引渡。{6}此外,制定惩治与防范计算机犯罪的国际公约,保证各国能够协调一致地打击计算机犯罪,以维护国际社会中网络的安全、健康的使用,也是需要世界各国认真研究、解决的问题。
  第四,增设强制报案制度。遭受网络犯罪侵害的受害者往往担心影响声誉和客户秘密而隐而不报,这使得侦查部门不能及时掌握网络犯罪动态,使网络犯罪分子逍遥法外。我国《计算机信息系统安全保护条例》14条的规定,只赋予国家重要领域的计算机信息系统的单位用户有报告义务,其适用面过窄,同时对违反此项义务的法律责任也规定得不明确,“应该报案”的规定形同虚设。因此,有必要在立法上规定受害人报案义务的法律责任,赋予网络用户都有举报义务。当然,侦查部门在侦查过程中应当注意方式方法,尽量避免给受害人或团体造成负面影响。
  第五,进一步规范网络服务审计活动。国家有关部门应当联合修改完善互联网使用管理规定,规范网络服务提供者(包括网络接入服务提供者ISP和网络信息内容提供者ICP)的经营、服务、审计活动。要提出统一安全管理标准,严格实行责任制。要把开办论坛、留言板、博客、播客和点对点服务,提供互联网视听节目、发行电子刊物和开办聊天室、网上拍卖购物网站、WAP网站以及提供互联网数据中心和托管主机、虚拟空间租赁服务的互联网服务单位为重点,加强统一审计管理。要统一实行用户认证登记制度,统一用户上网使用记录的保留时间,明确网络服务提供者及有关人员配合侦查部门侦查取证的义务,以及违反规定应承担的责任。要建立使用审计、监控、防抵赖等安全机制,收集并建立各类网络犯罪信息资料库,使得攻击者、破坏者、抵赖者“走不脱”。这样,就能为侦查打击网络犯罪提供良好支撑。
  (二)加强网络犯罪侦查组织机构建设
  1.加强组织机构建设
  1983年,公安部成立计算机管理和监察局。1998年9月,在计算机管理和监察局基础上,公安部组建了公共信息网络安全监察局,网络警察这一新警种诞生。近年来,全国大多数省、市、自治区公安厅、局和地市公安机关也相继成立了公共信息网络监察处、公共信息网络监察支队、网络犯罪侦查队等组织机构,网络警察队伍逐渐发展壮大。网络警察成立后,战绩斐然,破获了许多网络犯罪,有力地打击了网络犯罪。但目前,我国网络犯罪侦查机构的建设还不是很完善,存在着体制编制不够合理、资金设备技术跟不上等问题,也没有形成统一的网络犯罪侦查工作规范,各地组织机构建设参差不齐。而且,目前我国县级公安机关、公安机关以外的侦查部门都没有专门的网络犯罪侦查机构,而他们同样面临着越来越多的网络犯罪需要侦办。借鉴国内外经验,笔者认为,网络警察的设置应兼顾纵向与横向,形成立体网络。纵向指从上到下各级侦查机关、部门都应设置专门机构,没条件设置机构的也要配备专门力量,能够实现上下联动。横向指内合外联,对内,网监、网侦部门要与刑侦、经侦、缉毒、巡瞥、片警的配合、协作,在需要时打破部门分工界限,整合力量,组织联合专案组,共同侦办案件;对外,侦查机关要与国家机关、企事业单位乃至外国司法机关、国际机构合作,加强信息沟通、联系,尤其是加强与电信部门、网络服务提供者乃至整个信息产业界的协调联系,协同合作打击网络犯罪。同时,各地都应该设立网上举报中心,并组织力量负责对相关网站进行巡查,发动上网者举报“有害信息”和网上违法犯罪行为。另外,还应结合我国司法实践,借鉴发达国家收集提取证据的方式方法,组织制定适合我国网络犯罪证据收集、提取的程序规定和操作规范。
  2.加强专门队伍建设
  培养和造就一大批政治素质高、业务能力强、具有网络知识、法律知识和侦查技能的复合型侦查人才,是侦查打击网络犯罪的重要保障。目前,侦查部门既精通网络技术又能精通侦查工作的复合型人才十分缺乏。我国司法机关的侦查人员的主要来源是各公安、政法院校,虽然这些院校都开设了计算机及其网络课程,但所学往往仅是一些基础知识和基本操作,有关于网络犯罪侦查方面的内容较少,远不能适应侦查网络犯罪需要。近年来,侦查部门尤其是公安机关网络监察部门招收了一些计算机专业毕业生和专门人才,为侦查打击网络犯罪作出了很大贡献。但是,没有受过侦查专业训练的人员,对侦查业务不熟悉,也不利于打击犯罪。适应打击网络犯罪任务越来越重的需要,侦查部门应进一步搞好网络犯罪侦查人才的引进和培养工作,大力加强专门队伍建设。一方面,加强对现有侦查人员队伍的网络技术培训,使一些有一定计算机技术基础的侦查人员尽快提高网络犯罪侦查技能。另一方面,从各种渠道广泛招收选调具有网络专业技能的人才,对他们进行思想政治教育和侦查专业知识技能培训,使他们尽快变成合格的侦查人员。从长远发展考虑,网络犯罪侦查人员的培养可参考法医的培养模式,在公安、政法院校设立网络犯罪侦查学或计算机取证学专业,使其作为一门学科独立出来。专业设置可考虑为研究生教育,招收对象为网络相关专业本科以上学生,或者可设置为计算机科学和侦查学的双学位教育,以培养出一大批既有专门的计算机知识、又精通法律和网络犯罪侦查技术的复合型人才。法医学从医学中独立出来,成为一门专门科学,带来了法医学的飞速发展,同样,网络犯罪侦查学或计算机取证学的独立,无疑会给该学科带来一次前所未有的飞跃。广大一线侦查人员也要在实践中加强学习,掌握最新技术,借鉴成功经验,不断提高提高侦查办案能力和执法水平。
  3.加强专门工作研究
  网络犯罪手段随着网络技术的发展而迅速发展,为有效打击这类犯罪,侦查部门必须紧跟发展变化,加强专门工作研究。一方面,要在网络犯罪侦查理论方面积极创新。近些年来,侦查部门在与传统犯罪的斗争中积累了丰富的实践经验,学界大家的深入研究形成了较为系统的理论体系。但网络这个在“虚拟空间”犯罪,毕竟与传统社会犯罪有许多不同之处,有其自己的特点,其侦查与传统侦查模式有一定差异,基础理论和实践操作都有待进一步深入研究。如,如何有效建立有效机制最大限度地保护、提取电子证据,如何获取网络犯罪情报信息并进行分析利用等等。因此,侦查实践部门有必要与专家学者定期进行交流探讨,总结经验,加强研究,推动理论创新。另一方面,还应该在专门侦查技术与科技装备的研发方面加大力度。侦查网络犯罪,说到底就是技术高低的较量,公安机关只有运用科技水平高、针对性强的专门侦查技术,使用携带方便、功能强大的专门侦查工具,才能在对敌斗争中取得主动权。但长期以来,侦查部门由于受到经费等各种因素的制约,自身科研水平一直不是很高,侦查手段和装备的水平不够先进,无法及时解决在侦查中遇到的问题,常使侦查工作陷入困境,这对于打击网络犯罪极为不利。所以,侦查部门应从实践出发,大力研发专用技术、装备,如网络安全预警、网络安全检查、入侵检测、有害信息发现、病毒控制、电磁泄漏检测、安全专用产品检测、电子数据取证和鉴定等。在自主研发的同时,还要加强与相关科研院所和企事业单位密切合作,研制高水平的装备,发展高水平技术,不断提高侦查办案能力和水平。
  二、网络犯罪的一般侦查步骤
  网络犯罪的侦查过程需要经历受理案件的审查与立案、侦查取证、侦查终结三个基本程序。网络犯罪的特点使得网络犯罪侦查工作的每个程序、每个步骤中采取的方法呈现不同特征,值得探讨。
  (一)受理案件线索,进行立案审查
  1.受理案件
  受理案件是立案侦查的前提,受理案件的依据是侦查部门获取的网络犯罪材料。网络犯罪材料的来源,分为主动获得和被动获得。主动获得主要是通过侦查人员、网络监察人员在侦查办案、网络监管等相关工作中发现、获取的,包括侦查部门通过技术侦查手段、秘密侦查措施获取的嫌疑线索。被动获得主要是国家机关、群众团体、企事业单位的报告,被害人的报案或控告,知情人的举报,同案犯的揭发,犯罪嫌疑人的自首、坦白,其他司法机关的移送等。侦查部门接到报案材料或口头报案,当了解报案人的基本情况,向报案人讲明法律责任,让报案人陈述主要案情,详细询问(或讯问)有关情况,依法制作笔录,填写《受理刑事案件登记表》。报案人能够提供有关证据的,要求报案人提供。需要进行紧急处理的,当先采取紧急措施。对于已受理的案件或发现的犯罪线索,经过审查认为有犯罪事实但不属于自己管辖的,按有关规定,移送有管辖权的机关处理。
  2.立案
  立案是侦查工作的起点,没有立案就说不上侦查。因此,立案是一项十分严肃的工作,当严格按照立案标准进行审查,如果符合立案标准,就应当及时立案开展侦查。对一时不能确定是否立案的,在立案前一定要做好案件初查工作。一是调查是否有犯罪事实存在。一方面要审查报案、控告、举报和自首的材料是否有犯罪事实存在的证据,另一方面也要审查报案、控告、举报和自首的材料中是否有虚构、猜想、夸大的内容、因素。如果基本犯罪事实存在,但某些环节被人为虚构、猜想、夸大,仍然应当认为犯罪事实存在。二是要调查犯罪行为是否需要追究刑事责任。对有《刑事诉讼法》15条规定的情形之一的,不能追究刑事责任,也不应立案。经过初查,如果案件材料已经具备了立案条件,则应当填写《刑事案件立案报告书》或写出立案报告,报有关领导批准立案。
  (二)保护控制现场,实施现场勘查
  1.案件现场的确定
  由于网络犯罪的发现地或结果地未必就是作案地,因此侦查工作第一步就是要确定作案现场。网络犯罪现场有可能是有形现场,也可能是不可见现场,还可能是多个现场,需要根据已知线索,通过分析案件性质、作案时间来确定。基本方法是,根据报案和现场访问获取的情况、计算机系统日志或审计记录以及其他相关信息,以发现问题的计算机为中心,向联网的其他计算机辐射,划定现场范围。再充分考虑犯罪嫌疑人的作案动机、手段以及计算机知识和技术水平,对案件进行综合分析,准确确定现场所在。在因特网上,对于具有固定IP地址的上网用户,可以根据IP地址直接查出单位和个人。通过用户名和口令上网的用户,还会在认证服务器中留下用户名、电话号码以及所占用的动态IP地址等信息。因此,在因特网上发现犯罪,首先需要根据ISP系统日志追查犯罪嫌疑的IP地址,核查主叫号码,再根据IP 地址分配和主叫号码所在地确定实际地址,认定犯罪现场。在局域网中,往往最先发现问题的计算机所在地就是犯罪现场,但保护范围应扩大到接入局域网的所有计算机;还要注意根据报案人提供的具体细节,以及网络线缆和集线器、路由器、交换机、MODEM等设备的工作状态,确定是否存在来自外部的入侵;最后通过查看系统主机的日志,确定具体的作案时间和终端设备。对于无线窃听或搭线窃听的案件,要根据计算机电磁波辐射的范围及通信线路的延伸路径,确定现场的范围。
  2.案件现场的保护控制
  与其他类型犯罪不同,网络犯罪现场涉及现实空间和“虚拟空间”两部分,而“虚拟空间”的电子证据更是很容易就被破坏,因此及时有效保护控制网络犯罪的现场具有非常重要的意义。所谓保护控制现场,即案件发生后,及时采取封锁、警戒、保护措施,禁止其他人特别是犯罪嫌疑人再次进入现场,保护与犯罪有关的计算机系统软件、硬件、环境和数据,控制涉案的计算机系统,控制犯罪嫌疑人毁坏证据或危害结果的继续,保护证据,为下一步现场勘查创造条件。受理案件或得到有关犯罪线索后,侦查人员应及时赶赴犯罪现场,或及时指导发案单位或受害人对所有可疑的现场进行封锁,任何人未经许可不得进入。对现场的设备、物品、资料、文件,要最大限度地使其处于原始状态,不轻易开启或关闭计算机系统,不随意操作或触动相关机器设备。要禁止任何人干预计算机及其网络系统的电力供应,如果电力被破坏,必须做详细情况记录。如果现场的计算机处在开机、联网状态,首先要对屏幕进行照相、摄像。侦查人员应当及时了解相关计算机联网情况,如果断开连接不会对系统功能和取证造成影响,不会造成更大经济损失,则应立即断开连接。如果确实不能、不宜断开连接,则应记录详细情况,同时做好重要数据的隔离保护工作,尽快完成对系统数据的备份,必要时还可以设置陷阱捕获入侵者。如果从屏幕信息可以看到程序运行,则可在迅速、秘密备份数据的情况下,连续照相、摄像。如果发现系统正在删除文件、格式化磁盘、上传文件、系统自毁或进行其他危险、破坏活动,当立即停止正在运行的程序指令或断掉电源、网线。此外,还应注意避免使屏幕保护程序激活,否则可能会遇到需要屏幕保护密码的麻烦。如果现场在单位或公共场所,还应同时立即对犯罪嫌疑人工作使用的和家中的微机进行控制,因为其中可能留有与犯罪相关的信息,防止被销毁、破坏。
  3.实地现场勘查
  网络犯罪现场勘查中,有形痕迹物证和相关材料的发现、提取、固定、保存等,以及进行现场访问,都与传统类型犯罪的现场勘验有相似之处,不同之处在于网络犯罪现场往往涉及计算机及其网络相关设备,对这一部分设备、物品的实地勘验及其所处环境的勘验应由专门技术人员进行。一般情况下,现场勘验应首先了解相关系统设备组成及功能,检查并记录现场各种磁介质、书面材料、显示器所显示的内容、系统外部设备的状态,发现蛛丝马迹,寻找侦查线索。然后,要对所有与案件有关的硬件设备、文件资料、磁盘等做标记,注意搜寻包含用户标记和密码的文件资料,搜集相关人员手中的相关外设、磁介质、上机记录、工作日志以及程序备份、数据备份、打印结果等,予以提取。要注意相关证据常常出现在计算机和有关硬件附近特别是显示器和电话附近,以及键盘下方等隐蔽部位。勘验中,不轻易搬运或拆卸计算机及其网络设备,尽可能一次性完成勘验工作。情况特殊不便或不能在现场当即完成的,可以扣押涉案设备进行异地勘验。勘验中发现证据,要按照有关要求拍照、录像、制作现场勘查笔录、绘制现场图予以固定,然后收集提取,妥善保管。现场访问工作也要注意与现场勘验工作相互配合,以掌握计算机及其网络情况的人员为重点,深入了解相关情况,并告知被调查人严格保密。
  4.“虚拟空间”勘验
  对计算机及其网络系统“虚拟空间”的勘验,由两名以上侦查和技术人员共同实施,必要时应聘请专家协助。勘验前,要准备好各类可能用到的软件、硬件等勘查工具,充分调查了解系统布局、运行、联网及软硬件等情况,如果有疑问,要向有关人员(包括受害人、证人、计算机系统软件和硬件的供货人、计算机安全系统的设计者等)咨询,在充分预估勘验过程中可能出现的情况、问题的基础上,制定勘验计划和应对预案。勘验初始,首先应当记录计算机及其网络系统工作状态和相关参数,检查软硬件配置,尽可能多地获取容易消失的数据,特别是如果关闭系统就会丢失的数据,如寄存器、缓存及内存中的内容,网络连接及系统正在运行的进程状态等。勘验时,一般都应先完成计算机数据的备份。对不能停止运行的计算机系统,要尽早尽快完成现场备份。数据备份一般应当将存储介质中的内容按其物理存放格式进行,如用Safeback、Encase进行镜像备份,用MD5设备进行磁盘克隆等,并且一般要作两个以上的备份。对计算机及其网络系统“虚拟空间”的勘验,主要目的是搜查、提取上网记录和工作日志和计算机数据,收集作案人留在网上的各种信息、记录、痕迹。由于对计算机系统的操作会改变内存、磁盘、乃至网络服务器中的一些数据,勘查人员必须充分预估执行命令或操作时会带来相应的变化及其副作用,必须严格遵守操作规程,把每一步操作及遇到的情况详细地记入勘查笔录。勘验中要注意观察异常情况,加强具体分析,防止造成数据灭失。必要时,可以先进行勘查实验。一般情况下,除非绝对必须,对电子证据进行提取、分析不要在现场在原机上进行,最好单独建立控制平台,对计算机系统、硬盘及其他存储介质进行勘验。不要使用被调查的计算机信息系统的任何硬件或者软件工具,使用自己的工具时,要使用正版软件,防止继续发生侵害和损失。在对网上信息、相关数据的勘验方面,也要及早进行搜索收集,通过拍照或拷贝屏幕图像等方式予以固定,防止证据灭失。需要到网络服务提供者的相关服务器上查验、调取相关数据的,要及时协调,取得支持。需要进行网络监视的,则应当搭建能够控制网络流量的网络监视平台。作为证据使用的计算机数据存储介质,注明案由,对象,内容,录制、复制的时间、地点、规格、类别、存储容量和文件格式等,采取妥善的安全措施予以保护、封存。勘查过程中,要让无关人员离开现场,杜绝任何可能使证据灭失的行为发生,禁止犯罪嫌疑人接触可能会造成证据销毁的任何计算机及相关设备。
  (三)分析判断案情,查清作案手段
  1.分析判断案情
  分析判断案情,是通过对犯罪结果的研究,从认识上恢复犯罪实施过程的原状,从而判明案件性质和实施犯罪的有关情况以及犯罪人应具备的条件,为侦查工作的开展提供依据。它对确定侦查方向和侦查范围、明确犯罪人的条件、开展调查摸底都十分重要。网络犯罪的分析判断,与其他类型犯罪的分析判断有相似之处,主要依据事主或被害人报案提供的情况、现场勘查获取的痕迹物证等情况,对案件性质、犯罪实施情况、犯罪人情况三方面进行分析判断。对实施犯罪情况的分析判断,包括犯罪时间、地点、手段方法、侵害对象、犯罪人活动等情况,对这些情况的认识是开展侦查工作出发点。对犯罪人的分析判断,即“给犯罪人画像”,包括犯罪人的年龄阶段、文化程度、社会职业、语言行为习惯、思想基础和犯罪目的、犯罪人数等方面。如,根据犯罪现场特征和行为结果,可以判断是一个人单独作案还是几个人共同作案,是内部人员作案还是外部人员或是内外勾结共同作案,采用“排除法”缩小调查目标。计算机及其网络系统“虚拟空间”勘验及相关计算机数据搜查获得的有关数据、信息和状况,往往对网络犯罪实施情况和犯罪人情况的分析判断具有特别重要的意义。如,发现一个计算机系统被非法侵入后,侦查人员可以利用网络入侵检测系统(IDS)等技术手段,检查该系统的安全措施的漏洞,弄清犯罪嫌疑人是从哪里侵入的,发现犯罪嫌疑人实施犯罪的终端IP地址。
  2.判明作案手段
  分析判断作案手段,是分析判断案情的一部分内容,是选择侦查途径、确定侦查方向和范围的基础。如,通过分析实施犯罪的方式和手段,如破译密码、绕过“防火墙”、截获电子辐射、植入病毒等,可以确定犯罪分子活动区域和出没范围。网络犯罪在作案手段上与传统类型犯罪有很大区别,带有明显的技术性。因此,分析判断作案手段,由侦查、技术人员进行,必要时还要聘请计算机及其网络领域的专家予以协助。网络犯罪类型不同,犯罪分子使用的作案手段和技术也不尽相同。非法侵入计算机系统的犯罪常用手段有:破解或其他途径(网上截取、社交套取等)获取用户口令、植入“木马”开启后门、电子欺骗(IP欺骗、DNS欺骗、ARP欺骗等)、利用后门或漏洞、绕过访问控制系统等。破坏计算机及其网络系统犯罪的常用手段有:入侵破坏、运用破坏性程序(病毒、蠕虫、木马、逻辑炸弹、逻辑陷阱等)。网上窃取计算机数据或资料的常用手段有:入侵窃取、嗔探截取、“木马摆渡”、搭线窃听、串线截收、接收电磁辐射信号等。运用网络实施传统犯罪主要是运用网络的信息发布与传递功能,常用手段有:建立专门网站实施犯罪(如网络钓鱼、网络赌博、网络色情等)、运用公用网络服务(如运用BBS、博客、播客等发布有害言论或信息,用电子邮件、即时通信软件、FTP等)传递犯罪信息等。对作案手段的分析判断,在充分勘查现场、勘验计算机及其网络系统数据的基础上,结合犯罪结果、作案人行为表现等方面的情况,综合会诊,科学研判。
  (四)优选侦查途径,制定侦查计划
  1.常规侦查途径
  常规侦查方式可采用的侦查途径有:第一,从调查发案情况、受害情况、防范情况入手。侦查之初,侦查人员需要向受害单位、人员调查了解案件基本情况,从中可以发现线索。如,案件是如何发现的,是在什么条件、情况下受到侵害,作案人有了哪些手段,是否见到作案人网上行踪,有无采取防范补救措施,遭受了哪些损失,有关的计算机内存储有哪些相关信息,案发后是否有人动过计算机等。对针对计算机系统的犯罪,还要调查系统使用管理情况、管理制度执行情况、安全防范措施落实情况等方面。由于网络犯罪案情各不相同,需要调查了解的情况要具体案件具体对待。第二,从勘查现场入手。一般来讲,网络犯罪的传统意义上的现场大都不明显或价值不大,但犯罪现场毕竟是犯罪分子作案时所处的现实环境,留有或曾经留有犯罪信息,因此,如果能够确定实施犯罪或处理赃物的现场,立即采取现场勘查措施,认真细致地寻找犯罪分子遗留的痕迹、物证或其他信息,从中发现线索或证据。如1998年我国首例侵入银行网络系统的扬州“9.22”案件中,现场勘查发现输入终端处安装了一个遥控装置,对侦查工作直到非常重要的作用。第三,从犯罪动机、目的和因果关系入手。根据犯罪行为表现、侵害目标及其后果等案情,分析犯罪分子是出于政治、军事目的还是为谋求个人或小集团经济利益,是出于报复、泄私愤的动机还是好奇、炫耀或者过失错误操作,根据犯罪动机、目的,从因果关系入手,分析矛盾利害,排查犯罪嫌疑人。第四,从连续作案反映的共同特点和侥幸心理入手。网络犯罪分子往往自认为手段髙明、行为隐蔽,不会被发现和抓获,因而连续作案。这时,可通过总结作案时间、手法等方面的规律,判断其下一步作案趋势,结合利用其侥幸心理,寻找犯罪嫌疑人。第五,从控制赃款、罪证入手。作案人手中往往掌握着赃款或罪证,如作案用的计算机、工具软件、程序代码,从被害人处获取的文件资料,银行账户上存有大量存款等。侦查人员可根据犯罪嫌疑人收支不符等终点,利用其急于取款、销赃的心理,通过侦控与搜查发现罪证或抓获犯罪嫌疑人。第六,从秘密力量布控入手。采取拉出打进等方法精心布建专案特情,打入内部掌握动向,获取证据,搞清内幕;或者运用秘密侦查力量,加强阵地控制和敌情调查,发现侦查线索。第七,从审查重点嫌疑人入手。有些案件嫌疑人比较明显,或通过调查发现一些重点嫌疑人,这时应果断采取措施,控制重点嫌疑人并及时予以审查,有针对性地迅速收集证据,切不可让犯罪嫌疑人有毁灭证据的机会和筹划应对审查的时间。
  2.技术侦查途径
  计算机技术侦查方式可采用的侦查途径有:第一,从查找系统信息记录文件入手。网络服务器、终端计算机中都存有日志文件、缓存文件、系统注册表、最近打开文档、配置文件等系统记录文件和信息,从这些记录中可以发现对网络的访问及对计算机的操作、更改等情况。尽管有时作案人想到消除记录,但也常由于作案时间不充裕或技术水平不够髙而留下犯罪信息,查找到这些信息能为侦查工作指引方向。第二,从核查有关接入网站记录入手。入侵计算机系统并进行破坏的犯罪,受害系统中的犯罪记录很可能连同系统一同被破坏。这种情况下,可以从核查有关网络站点的记录入手开展侦查。因为一般的计算机系统都只与几个固定的站点直接相连,无论从何处入侵受害系统都必须经由这些站点。通过检查有关站点的通讯记录发现蛛丝马迹,再沿迹追踪,可能获取更多线索。第三,从采取技术监测措施入手。利用犯罪分子往往会再次登录、重复侵入的特点,采取网络监测手段,在受害系统中设置更加完善的审计监察、跟踪监测系统,或设立虚假系统陷阱,在犯罪嫌疑人再次登录或入侵时,即时响应、报警,监测并记录入侵时间和手段、所在终端、对计算机系统所进行的非法操作以及导致的结果等信息。经过一段时间的监测,一般可获取重要线索。第四,从检查计算机系统漏洞入手。侵入他人计算机系统的犯罪,侦查时必须首先确定系统漏洞所在以及作案人侵入系统的方法,通过运用漏洞扫描等技术对系统的安全性进行仔细检查,可以找出漏洞所在,获取蛛丝马迹,进而分析、判断犯罪嫌疑人入侵或所处的位置以及应具备的条件等情况。第五,从对计算机搜查入手。以计算机为工具的犯罪,往往在计算机中存有犯罪嫌疑人留下的电子痕迹,许多人会把与犯罪相关的重要信息资料(如非法银行账号及密码、电子邮件、聊天记录等)储存在计算机磁盘内。这种情况下,需要对计算机及移动存储器等外设进行搜查。搜查时可利用专用浏览、恢复删除、物理扫描、解密等工具软件,查找可疑文件。对隐藏或加密的硬盘分区和文件、能够恢复的被删除文件以及非正常用途文件,要重点审查。第六,从检查程序入手。对可能含有病毒、木马、逻辑炸弹等恶意指令的软件、程序,除通过专用检测软件外,还可通过文件一致性比较、数据运行测试、特殊程序插入检查、输出结果的完整性和准确性核查等方法进行检测。如果疑点上升,再通过查寻或反编译获取程序源代码,对程序语句逐条或按字符串搜索检查、核对,查找恶意指令。第七,从检查涉案设备物品入手。除对涉案计算机进行检查外,对其他相关设备、物品,如各种移动存储介质、打印机、扫描仪等,也要认真研究、检验,以获取犯罪证据或侦查线索。
  3.制定侦查计划
  侦查计划是在分析判断案情基础上制定的侦查工作实施方案。侦查计划一般包括立案根据、案情摘要、案情分析、侦查任务、拟采用的侦查手段措施、侦查力量组织与分工、工作要求等几部分,对侦查方向、侦查范围的确定和对侦查途径的选择等是其中重要内容。每起网络犯罪的形态和手段各不相同,相应的侦查方向、侦查范围和侦查途径也不尽相同。在正确判断侦查方向、侦查范围的基础上,优选正确的侦查途径,对及时发现犯罪分子、查获关键性证据至关重要。制定侦查计划时,在充分获取信息、准确把握案情的基础上,集思广益,先尽可能找出所有的侦查途径,然后遵照可行有效、省时省力的原则,通过利弊分析比较及可行性论证,优化选择出主要、辅助侦查途径,各侦查途径合理部署任务。侦查计划要充分考虑侦查力量的组织分工,抽选具备一定的计算机及其网络知识的侦查人员组成专案组,要明确是否需要聘请专家、聘请哪些专家协助,还要考虑和设计好运用哪些技术手段,诸如被删改破坏数据的恢复技术、残留数据分析技术、密码破解技术、网络攻击技术等等。当然,随着侦查工作的不断深入推进,要及时根据新的情况或深化了的认识,对侦查计划予以调整、完善。总之,侦查计划的制定应力争使实施侦查手段和调查取证处于主动、有利的地位。
  (五)开展调查访问,查找嫌疑对象
  1.开展调查访问
  网络犯罪的调查访问实际上贯穿于整个侦查破案过程。不同类型的网络犯罪,以及不同的侦查阶段,调查访问的对象和侧重点有所不同。调查人员应因案、因人、因时制宜,灵活运用谈话技巧,以全面掌握案件情况、寻找侦查线索、获取犯罪证据。调查访问前,侦查人员要充分了解案情及相关知识,认真选择调查对象并摸清其基本情况,确定谈话时间地点,选择适当的问话策略和方式。调查访问紧紧围绕案情展开,一般包括以下几个方面:案件发生前后的情况及异常迹象,发案时间、地点、作案手段、方式、环境等情况,网络运行、使用与安全管理情况,重点嫌疑人员、知情人和相关人员情况及表现,作案动机、目的,犯罪技能条件,等等。调查过程中,要注意边调查边分析,尽可能地收集各种线索和证据。如,通过调查及时确定犯罪涉及的硬件和软件,分析犯罪分子使用的技术手段,初步确定犯罪分子可能出现的网络空间范围和现实地域范围等。另外,谈话中注意不要泄露掌握的情况,以避免行为人毁灭证据逃避侦查。如果对了解案件情况的人不适宜面对面调查访问,而通过网络聊天室、QQ、MSN等途径能够与其进行网上聊天,侦查人员可以根据情况,以公开或隐蔽身份,在网上对案件知情人进行调查访问,获取案件线索。必要并可行时,再找其当面进行正式调查访问。
  2.查找嫌疑对象
  传统侦查方法中查找嫌疑对象的方法,如监控通讯工具、通过知情人、通过搜集传统痕迹物证、通过对特情提供的线索查证等方法,大都适用于网络犯罪侦查。但查找网络犯罪嫌疑对象,往往最为有效的方法是通过技术手段,从系统操作记录和对系统的监视中发现嫌疑对象。一般是利用计算机及其网络技术,分析检测计算机磁盘,通过网络终端IP地址、用户ID查找嫌疑人所操纵着或操纵过的网络终端计算机,进而查找犯罪嫌疑人。查找IP地址、用户ID的方法,一种是通过收集电子证据查找,即从获取的日志文件、数据库文件中查找发案时登录系统或网络的用户ID和终端静态或动态IP地址,以及用户注册资料等详细情况。另一种是网上动态侦控,主要有网络跟踪和网络守候两种方法,即通过在线守候、监控、跟踪,查找嫌疑人所操纵着或操纵过的网络终IP地址。查得IP地址后,即可到电信部门、ISP查对电话号码和账户信息。如果发现的账户是个人账户,则应立即将该人列为嫌疑对象进行讯问;如果为单位账户,则应立即到该单位了解其网络终端的使用情况和案发时间的使用人员,及时勘查现场、提取证据、查找嫌疑对象。如有多人同时登录或在发案时前后登录,则应将其全部列入侦查范围之内。在内部网络、局域网、专用网犯罪中,查找嫌疑对象时尤其要注意检查内部人员的可疑情况,因为这类案件中,许多都是由单位内部的工作人员或曾经从事过内部工作的人员进行或参与的,发现内部人员的可疑情况对案件的侦查可能会有很大帮助。这其中包括:案件发生前后单位是否出现过相关的人事变动,同事之间和同事与领导之间是否有过矛盾,是否有人有挥霍钱财的现象以及是否有人具有计算机犯罪的前科劣迹等等。
  (六)缜密深入查证,搜集犯罪证据
  1.静态技术分析
  网络物理上是由单机通过通信设备、介质有机地结合在一起,网络犯罪侦查,必然需要对作为网络终端、服务器的计算机进行技术检测与分析。侦查人员在调查了解计算机系统基本情况的基础上,要想办法进入计算机系统,搜索、恢复、复制用户标识和密码、上机记录和工作日志、历史记录、通讯记录、最近打开文档、备份文件、临时文件、交换文件、地址簿等数据文档,逐一进行分析判断,以查证犯罪分子的作案时间、作案手段和作案过程。计算机审计稽核记录、系统日志、文书资料等计算机相关记录,记录着包括登录时间、由哪个终端登录、进行了哪些操作、何时离开系统以及哪些行为被拒绝等重要的网络活动,通过直接检查和借助工具软件,可以分析磁盘中储存数据内容,是否有被篡改的痕迹,是否存在特殊功能的指令语句,判断文件的最后修改时间和修改次数,恢复被作案人故意毁灭的电子证据,为侦查工作提供线索和证据。由于存储介质容量越来越大,要在海量的数据中区分哪些是电子证据,哪些是垃圾数据,如果不善于分析,不运用一定技术,不反复研究,证据的价值往往不会显现出来。常用技术有:计算机审计技术,程序、数据对比分析技术,关键字匹配查询技术,被删改、破坏数据恢复技术,储存空闲空间残留数据分析技术,文件“指纹特征”分析技术,过程记录文件内容分析技术等。常见的取证工具有 tcpdump、Argus、tcpwrapper、NFR、sniffer、honey pot、Tripwires、Network monitor、镜像工具等。由于计算机犯罪手段多样,所以对计算机犯罪的技术侦查手段不可能有固定模式,具体案件运用哪些技术和哪些工具、分析哪些文件,要具体对待。
  2.动态技术侦查
  在对资料进行静态分析后,侦查人员面临两种情况,一是根据技术分析的结果与其他侦查措施相结合,已经找到了犯罪分子,即侦查工作接近终结,二是对所获取的资料进行技术分析后,分析的结果对侦查无任何价值,或有一定价值但还需补充新的资料进行分析,或有相当价值但需要进行跟踪追捕,或目标明确,还需更高的技术侦查手段进行侦查等。对于后一种情况,侦查人员应当将工作重点放在动态的技术侦查手段上。动态技术侦查手段主要有网上守候、网上跟踪、网上侦控等。这些手段,是和犯罪分子进行直接的或间接的动态性、智慧性的网上接触和技术对抗,是一种斗智斗勇的侦查活动,当然对侦查人员的业务素质水平、对技术人员的计算机及其网络水平和技能提出了更高要求。使用动态技术侦查手段侦查网络犯罪,要充分发挥主观能动性和丰富的想象力,充分运用侦查学上的谋略思想,制造陷阱、诱敌深入、化名贴靠、直接追踪等;要深入进行技术分析,在充分论证、多次实验的基础上,提出可行技术方案,严格按方案实施。通过动态技术侦查,往往可以发现更多侦查线索,寻找侦查工作突破口,发现犯罪嫌疑人,获取证据。
  3.查证重点嫌疑人
  通过传统的侦查手段和专门的技术侦查手段,侦查人员一般能够获取有价值的线索和证据,符合作案条件的重点嫌疑人也会逐渐暴露出来。一旦确定重点嫌疑人,就要立即开展有针对性的重点调查取证,侦查工作从此转向重点查证阶段。这个阶段侦查工作的特点是,目标比较集中,任务比较明确具体,斗争比较尖锐复杂,侦查方法的策略性比较强。掌握一定证据后,侦查人员应抓住时机,迅速走访有关证人,传唤审讯嫌疑人,进一步查清犯罪情节、犯罪动机等方面的问题。要注意灵活、稳妥地控制犯罪嫌疑人,切忌让其有筹划应对审查的时间和机会,留下毁坏证据的空隙。对重点嫌疑人的查证常常需要使用搜查、辨认、鉴定等多种侦查手段和技术手段,如通过获取赃物、物证,对犯罪嫌疑人人身和现场遗留物进行辨认等,可获取犯罪证据,进一步确定作案人。查证中要注意围绕获取犯罪证据做工作,如对制作传播计算机病毒的案件,要想法从嫌疑人处取得计算机病毒的源程序,以证明这些破坏性程序是犯罪嫌疑人制造或故意传播的。对于还未完成、目前正在进行的犯罪,如果不会造成更大危害,不要打草惊蛇,可设置陷阱引“狼”入室,人赃俱获。
  4.收集提取电子证据
  电子证据不像实物证据,它必须通过特定的输出设备才能为人所感知,很容易受人为和环境因素的破坏,被改动后几乎不留下传统的痕迹从而很难被察觉,这就导致电子证据的提取和运用复杂化。因此,收集和提取电子证据应严格遵循一定的程序,由专业技术人员和侦查人员共同运用适当的方法进行。搜查计算机中电子证据前,全面备份数据并收集相关的软硬件资料,做好电子证据的保全。提取电子证据,要尽量在“镜像”备份、“克隆”复制的磁盘上进行。获取电子证据最基本的是收集提取系统存储数据,主要有:计算机日志文件,包括使用者账号、IP地址、起止时间及使用时间等;申请账号时填写的客户登录基本资料,包括姓名、电话、地址等;证明犯罪事实存在的资料,包括计算机进程、内存程序、文本、屏幕界面、原始程序等。一般情况下,这些数据资料能够在磁盘等有形载体中找到。提取电子证据要综合运用现代科技手段,根据电子证据种类的不同,采取不同的方法。如,对于记录用户或账户信息的数据库文件,利用相应的数据库操作系统,针对案件的调查情况有目的地检索;对于系统安全日志文件,则应依作案时间截取相关部分进行备份和提取;对于被病毒感染的文件,可用通过认证的查毒软件或手工对文件进行查毒,分析病毒信息,包括病毒名称、侵入时间和侵入范围等等;对于在网上传播的淫秽信息和反动言论等,则应截取能够说明案件性质的部分进行备份或打印。收集提取电子证据后,要将原存储介质与涉案计算机一并封存,以确保数据证据的原始完整性,在利于以后出庭举证。对于不能提取的已存储在计算机系统的数据,将涉案计算机予以扣押。对犯罪嫌疑人的电子邮箱,当想办法获取其口令后登录检查,提取有用信息;同时,要注意提取犯罪嫌疑人计算机上存有的访问电子邮箱的网页记录,如果记录已被删除,则可运用数据恢复技术予以恢复提取。此外还要注意,电子证据收集与电子证据分析、电子证据审查要有机结合起来。
  5.转换电子证据
  由于电子证据是存储在计算机中的电子数据,并不能直观反映具体的犯罪行为,司法实践中,举证方不能单单列举和提出电子证据,而必须将其转化成为感官可以直观感知的犯罪证据形式,以在案件起诉、审理过程中直接审查、出示、质证和采信,这应当是电子证据采证中的重要规则。一般情况下,侦查人员收集提到电子证据后,可利用计算机将储存在磁性介质上的数据、记录等电子证据通过计算机显示器展现,或者利用打印输出设备,将其转换为书面材料,或者通过拍摄成照片加以展示。有些情况下,对电子数据的内容、可执行文件的功能难以明确,对犯罪的危害、造成的损失需要有确定的结论,或者电子证据遭到犯罪嫌疑人毁损、删除、格式化、加密处理而无法正常解读,则需要扣押计算机、服务器、磁盘等设备,送到具备电子数据司法鉴定权的专门机构,由具有鉴定资格及专业知识、技能的鉴定人,运用科学技术方法进行证据恢复、解密、鉴定,出具鉴定结论。电子证据转换成感官可以直接感知的形式,并不意味着电子证据失去了自身所特有的以电磁记录、命令记录为表现的形式而成为其他的证据表现形式,这种转换并不是对网络证据本质的改变,而是为了达到能够被感官直接感知的目的。
  (七)实施破案行动,案件侦查终结
  1.审查证据
  查明重点嫌疑人和主要犯罪事实并取得了确实证据后,侦查人员需要及时对犯罪证据进行审查,这是破案前一项十分重要的工作。审查证据要对物证、书证、证人证言、鉴定结论、勘验检查笔录、被害人陈述、视听材料等各种证据进行审查判断,审查的内容包括证据是否具有客观性、合法性、相关性、完整性,是否充分。与传统社会犯罪不同的是,网络犯罪中,对电子证据的审查判断是非常重要的一部分内容。审查电子证据的方法是:第一,审查电子证据的客观性。根据电子证据形成的时间、地点、对象、制作人、制作过程及设备情况,明确电子证据所反映的是否客观存在、真实可靠。第二,审查电子证据的合法性。了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求。其中,重点审查电子证据形成的技术因素,包括:电子证据的技术形成过程中是否存在不合法的增加、删除和编辑等操作,所涉及设备可靠性如何,收集和提取该电子证据的人员计算机操作水平的高低等。对秘密侦查手段获取的证据,是否转换为可公开使用的证据材料。第三,审查电子证据的相关性。审查电子证据事实同案件事实之间的联系,看是否是事实或逻辑上的客观联系而非主观想象或强加的联系。第四,审查电子证据的完整性。从生成、存储、传送等几个环节,审查电子证据保全情况,有无剪裁、拼凑、伪造、篡改的可能,是否保持原始状况。第五,结合全案其他证据综合审查判断。将案件中的全部证据材料联系起来,综合加以分析研究,审查判断电子证据的可采性、证明力。
  2.实施破案
  获取足以证明犯罪嫌疑人实施网络犯罪的证据后,符合破案基本条件的,及时破案。破案包括制定破案计划、拘捕犯罪嫌疑人、讯问犯罪嫌疑人、审查起诉等几个方面。破案计划主要内容包括:破案理由和依据,破案方法和步骤,破案的组织与分工,犯罪嫌疑人的抓捕、关押和讯问,需要采取的搜查和监控措施等。破案计划报经有关领导批准后,要及时准备好拘留证、逮捕证、搜查证等法律手续,准备好交通工具、器材,及时执行破案。实施破案行动,要兼顾有关侦查工作的进展,选择适当的时机。拘捕犯罪嫌疑人,要精心设计方案,确切掌握犯罪嫌疑人行踪,行动要准确、及时、安全、合法、万无一失,并在拘捕犯罪嫌疑人的第一时间内,及时开展搜查、取证工作,获取赃物、证据。
  3.侦查终结
  破案后,要对犯罪嫌疑人采取稳妥的强制措施,及时进行讯问,以进一步查清全案的犯罪事实和犯罪情节,挤清余罪。讯问工作也要配备精通计算机及其网络技术的人员参加,要在全面熟悉研究案件材料、充分分析犯罪嫌疑人心理特点的基础上,根据实际情况,正确运用讯问策略。或避实就虚、攻其薄弱,或欲擒故纵、迂回包抄,或政策攻心、亲情感化,或利用证据、点而不破,等等。通过讯问,查清犯罪嫌疑人的基本情况,核实案件事实,包括作案时间、地点,犯罪动机、目的,作案过程、手段和方法,以及赃款、赃物的去向、隐藏地等情况,制作详实的讯问笔录材料。同时,要根据犯罪嫌疑人交代,及时提取有关证据。讯问工作结束,标志着侦查终结,侦查部门应认真审查证据和案卷材料,及时补充有关证据材料,在做到犯罪事实清楚,证据确实充分,犯罪性质和罪名认定正确的基础上,写出起诉意见书,连同案卷材料、证据一并移送检察机关审查起诉。在侦查过程中,发现不应对犯罪嫌疑人追究刑事责任的,撤销案件,及时释放在押犯罪嫌疑人。
  三、网络犯罪的具体侦查措施
  网络犯罪的特点,决定网络犯罪侦查过程中,除了运用常规侦查手段措施外,专门的侦查手段措施必不可少。各类网络犯罪的手段和特点不尽相同,侦查中要结合具体情况灵活运用具体侦查措施。
  (一)计算机系统搜查
  计算机系统搜查,是在涉案计算机系统“虚拟空间”进行的取证措施。搜查中,要充分运用计算机审计和电子数据分析等技术。
  一是要做好搜查前的准备。“虚拟空间”中包含着嫌疑人的个人隐私,所以对涉案计算机系统搜查之前,必须办理搜查证,以在搜查实施之前向被搜查人出示。要通过了解犯罪嫌疑人的学历、工作经历等相关背景判定其计算机水平,以便制定搜查方案、确定搜查重点、准备相关的硬件和软件工具。计算机系统本身的运行规律决定电子文件被打开之后其属性就会发生改变,所以,搜查前要对涉案磁盘乃至整个计算机系统进行多个备份,将原磁盘进行扣押、封存,在备份磁盘上进行搜查。对于网络服务器等设备,由于其中的数据量相当大,完全复制其存储器中的内容相当困难,则可针对不同案件的情况,择其重点进行备份。
  二是从计算机磁盘中搜查电子证据。从计算机中搜查电子证据,不能在涉案计算机系统内直接打开文件进行检查,而应在备份的磁盘上进行操作。一般首先检查系统日志、运行记录等信息数据,以分析判断计算机进行过哪些操作,包括查看浏览器历史记录、收藏夹以及 cookies 文件中的上网记录等。如果Windows\temporary Internet files 文件夹中浏览器历史记录文件已经被删除,可通过运行regedit启动注册表编辑器,寻找HKEY_CURRENT_USER\Software\Microsoftinternet Explorer\TypedURLs,获取用户查阅过的网址、访问时间等资料,还可以运用专用的工具软件进行磁盘扫描查找。然后,要注章搜索后缀为“doc”、“exl”、“ txt”、“ wps”、“ ppt”、“ eml”等电子文档,对后缀为“jpg”、“gif”等的图像文档和“回收站”也要查看。对于隐藏磁盘分区和隐藏目录、文件及加密文件,要重点检查。对磁盘空闲和未分配空间,要运用专用工具进行扫描搜索,发现可疑数据。搜查发现有证据价值的文件,予以提取,并注明该文件存储于哪个磁盘分区、哪个文件夹。对于已被删除、破坏或被格式化的数据,可运用Finadata、EasyRecover、Recover my files Norton等磁盘恢复工具进行数据恢复,必要时多次恢复。对查获的加密文件,则要组织专家、技术人员进行解密处理。搜查中还要注意查看被搜查系统的时间设置,因为系统时间设置直接影响到文件的属性和系统日志记录等内容,如果计算机系统时间与实际时间存在差异,所取得的电子证据显示上的时间就与现实时间不一致。
  三是搜查有关网站服务器存储的电子记录。对于那些通过网络侵入受害系统并进行破坏的犯罪,除从系统记录中查找入侵者有关行为记录外,侦查人员可以到相关网络服务站点,对服务器存储的电子记录进行搜查。通过检查有关站点的与受害计算机系统相关的通信记录,一般可以发现犯罪嫌疑人的蛛丝马迹。在此基础上,再根据有关的记录资料进行下一步的调查,逐步分析研究,可以帮助查找、确定犯罪嫌疑人。这些记录资料,是证明犯罪的有力证据。
  四是注意做好电子证据固定保全。电子证据搜查过程应该全程录像,对显示器上的重点信息应通过拍照或截取拷贝屏幕进行固定,并认真做好搜查笔录。笔录的内容除了搜查的时间、地点、见证人、侦查人员、聘请的技术人员的姓名以外,还应该记录每个搜查步骤所采取的措施和技术手段、总共制作了多少备份等内容,最后让嫌疑人、见证人、侦查人员、聘请的技术人员签字、按手印。对取得的电子证据及其备份,在嫌疑人、证人面前当面封存,由嫌疑人确认签字、按手印予以确认。然后,侦查人员要妥善保管,注意防潮、防热、防冷、防尘和防磁,保全证据。
  (二)网上搜索
  网上搜索,是通过对网上信息的浏览、监控,以及运用搜索引擎,搜索犯罪信息、非法网站、非法网络服务等案件线索,收集电子证据。通过网上搜索获取的信息,根据需要可到相关站点对服务器进行搜查取证。
  一是通过网络终端登录浏览网站、网页、网络系统。需要浏览的重点是主要有BBS、聊天室、个人主页、博客、FTP、共享文件夹等。对于相关信息在哪些网站、网页不明确的,可运用网络信息搜索引擎,选择好搜索关键字,进行网上搜索。由于BBS、博客等发布的信息随时可能被修改,所以侦查人员要及时登录相关网站进行浏览和取证。对获取的信息要及时分析处理,辨别真伪,进一步进行跟踪和调查处理。
  二是对嫌疑人的网络通信记录和内容进行搜查。对电子邮箱、 QQ、MSN、UC等通信工具,要从受害人、嫌疑人处获取口令或通过其他办法登录查看聊天、通信记录,获取相关犯罪信息和证据。检查电子邮件信息时,要注意发现犯罪嫌疑人有无在电子邮件中对IP地址进行伪装。要认真查看邮件标头信息,分析其真实的IP地址,鉴别发件人的真伪,分析发件人所在。对于公共大聊天室发布的消息,要及时通过拍照、录像、截取拷贝屏幕等方式或通过聊天室网站提取相关记录。
  三是通过扫描手段发现非法网站或服务。有些犯罪,如网上赌博、反动组织网上联络等,是建立专门网站或利用专用网络通信软件进行联络的。对这种以秘密方式进行的网络犯罪,可以利用扫描工具发现犯罪分子的使用的服务器、终端的IP地址及其秘密服务端口,再结合数据截取等技术手段,获取更多线索。
  (三)网上追踪
  网上追踪是指侦查人员利用网络,监视符合某些特定条件或从事某些特定活动的网络用户,以获取证据或直接抓获犯罪嫌疑人的一种侦查措施。网上追踪与普通跟踪不同的是,侦查人员无法直接看到跟踪对象,只能通过其在网络上从事特定活动所反映出的电子信息来感知其存在。网上追踪的方法主要有以下三种。
  一是利用IP或MAC地址进行追踪。这种方法是针对已知跟踪对象IP或MAC地址,而没有足够的证据证明犯罪为何人所为的情况,它要求侦查人员锁定跟踪对象的IP和MAC地址,当发现该用户登录网络时,立即监视其在网络上进行的操作,如果发现与案件有关的行为则应立即采取有效措施,并保存电子证据。很多时候,攻击者为了避免身份的暴露,惯用的手法是先攻破一个系统,然后使用网络跳转(HOP)的办法利用它作为平台来攻击另一个系统,有时甚至经过多次跳转才到达真正的攻击目标。这种情况下,侦查人员需要抓取网络通信数据包进行深入分析,找到犯罪嫌疑人所在的IP或mac 地址。
  二是利用邮件地址和注册用户的身份进行追踪。对于已查明其犯罪行为而没有或未掌握其固定IP地址的用户,例如在网吧上网作案的犯罪分子,监视该邮件的地址和注册用户的身份,当发现该用户登录相应的服务网络(ICP)时,则应立即查找该用户当时的IP地址并进行跟踪,并确认该IP地址所处的现实地理位置,采取紧急措施抓获犯罪嫌疑人。
  三是使用嗅探器进行追踪。通过运用Sniffer等专用工具软件或硬件设备,捕获嫌疑人的电子邮件、密码和文件传输、Web浏览以及其他网上通信数据,分析确定犯罪证据,追查嫌疑人网上行踪。进而通过远程监测、控制技术,获取证据,确定犯罪嫌疑人所在区域、地点,抓捕犯罪嫌疑人。
  (四)网上守候
  网上守候是指侦查人员利用网络,借助固定的网络服务器监视特定的网络操作,以查找犯罪嫌疑人的一种侦查措施。由于目前我国用户终端的IP地址通常是动态分布的,追查犯罪嫌疑人需要先确定其实施犯罪的网络终端所在,网上守候犯罪嫌疑人在网上出现也就非常必要。
  一是定点守候。即利用网络犯罪手段具有习惯性、连续性的特点,侦查人员守候在受到犯罪行为破坏的网络服务器或犯罪嫌疑人经常活动的网站、网页上,一旦发现犯罪嫌疑人再次登录或进行违法操作,立即查清IP地址,发现和获取线索,查找犯罪嫌疑人。针对用以作案或预谋作案的高危网站、网页,通过对来往的信息进行检测发现线索,一旦发现案犯或相关情况出现,立即采取措施。需要注意的是,定点守候所确定的网络服务器、网站、网页,必须是在先前侦查中诸多电子证据所体现出犯罪嫌疑人经常作案、活动的服务器、网站、网页,如果漫无边际地进行守候,只会造成人力和物力上的大量浪费。另外,运用这种措施的前提是犯罪行为不会造成更大危害。
  二是设陷守候。即通过分析案犯所使用的手段,利用入侵报警、检测、审计、跟踪等相关技术手段,设计好能够追查案犯行踪、线索的系统或网站、网页,或设计虚假的系统架网守候,在守候监视中发现和获得线索。守候中,一旦发现犯罪嫌疑人入侵,就应当对其每一个操作步骤加以记录,同时可以使用专用工具软件来对其进行定位。必要时,还可通过一定的途径或手段,促使或诱使犯罪嫌疑人暴露网上行踪。如,利用电子邮件的木马术侵入他人计算机的犯罪,侦查人员可以设置一个专用的邮件地址或QQ号并向嫌疑对象发送邮件或其他信息,如果该对象向这一专用的邮件地址再次通过邮件附件发送木马程序,便可以说明其存在重大犯罪嫌疑,通过分析也可进一步获取证据。需要注意的是,设计陷阱仅是给犯罪分子提供一种作案机会,不能具有引诱或鼓励犯罪的性质。
  (五)网上侦控
  网上侦控,是侦查人员在网络上寻找发现犯罪嫌疑人的网上行踪,运用相关的技术手段,远程监测其活动,获取证据,抓获犯罪嫌疑的一种侦查措施。
  一是网上持续监视。对于连续和继续进行的网络犯罪行为,侦查人员应对其进行持续监控。许多网络犯罪嫌疑在尝试突破安全措施时,都是持之以恒,此时,除非可能对被害人产生明显的危害或危险,否则不要立即变更安全措施、断线或予以警告。又有些网络犯罪的手法,如网络窃听、网上诈骗、网上赌博、建立黄色网站等,往往要利用一段时间才能完成其犯罪过程。对于这些行为,利用网络管理软件持续监控,对犯罪嫌疑人每一次网上操作、每一个步骤加以记录,同时使用工具软件对其进行定位。对与犯罪有关的网站、网页,对网上实时传输的与犯罪有关的电子邮件、网络聊天等数据电文,进行监控和截获,收集更多的线索与电子证据。经过一段时间的连续监视,一般不但能确定犯罪地点,找到犯罪分子使用终端的位置和号码,追查犯罪嫌疑人,而且会获取更充分、确实的证据和线索。在轰动全国的“九九色情论坛案”中,侦查人员正是通过上述方法收集了大量的有罪证据。{7}
  二是网上远程控制。对采用匿名登录掩盖真实身份的犯罪嫌疑人,在很多时候并不能通过一次检测、搜索就能发现其所在地和获取足够证据,还需要进一步工作。运用网络攻击等黑客技术手段破案,对网络犯罪尤其是对非黑客类的网络犯罪的侦查具有较高的价值。必要时,在查清犯罪嫌疑人实施犯罪的网络终端IP地址后,可在获得领导批准后,利用网络攻击等技术手段,以“黑”制“黑”,进入犯罪嫌疑人的计算机系统进行侦控、监听和取证。需要注意的是,此种侦查手段是“高手”之间的技术对抗,需要侦查人员有比犯罪分子更高一筹的网络攻击技术水平、经验以及应变能力,因此,必须谨慎选用此种手段。确定采用时,必须由计算机及网络技术水平高、经验丰富的侦查人员或专家,认真研究,提出严密的方案,在充分论证的基础上,谨慎组织实施。
  (六)网上调查访问
  网上调查访问,是指侦查人员在网络上,通过网络聊天、论坛、BBS 等网上信息交流方式,对与案件有关的问题进行调查访问,获取案件侦查线索及证据的一种侦查措施。网络为人们提供了不见面交流和异地交流的机会和空间,在不方便进行直接的、面对面的调查访问时,或者犯罪分子在网上行为活跃、侦查人员需要隐蔽身份时,可以考虑实施网上调查访问。
  一是对知情人的网上调查访问。网络犯罪分子一般有一定的网络技术水平,在网络上比较活跃,而且有其相对固定的活动圈,有时是网上的一些论坛、聊天室里的“名人”,许多“圈内”网民都对他们的情况有一定了解。这种情况下,侦查人员可以想办法找到犯罪分子的网上活动圈,逢择适当的身份、形式,向了解情况的网民了解有关情况,从中发现线索和证据。必要时,还可在网上选择合适人选,通过适当的途径,把他们发展成网络特情人员,赋予其相应的任务,由他们直接为侦查部门提供线索。在网络色情活动和色情犯罪相对比较猖獗的美国,一批有正义感的资深网民自发地组成了“网络天使”组织,在互联网上追踪网络犯罪的踪迹,为法律机构搜索证据。{8}
  二是对犯罪嫌疑人的网上调查访问。由于网络具有较强的隐蔽性,犯罪嫌疑人比较容易放松警惕,有些案件中,犯罪嫌疑人作案后,还会在网上出现,甚至在网上直言不讳地“宣扬”自己作案的行为、结果等,以炫耀自己的能力水平,比较充分、真实地暴露自己的真实心理。这种情况下,侦查人员可以隐蔽身份,通过网上聊天等方法,诱使其不断表现,暴露其真实身份、犯罪手段等,说出案件事实真相。对防范心理较重的犯罪嫌疑人,要结合运用犯罪心理学知识,分析其心理特点,从其感兴趣的话题切入,逐步诱使其说出作案情况。一旦犯罪嫌疑人说出其所在地点并得到确认,侦查人员应当及时采取措施予以缉捕。
  (七)网上侦查实验
  技术侦查中,网上模拟侦查实验是非常重要的一个措施,它可以帮助侦查人员充分揭示犯罪分子的犯罪手段,及时修正、调整侦查计划,也可以提高计算机犯罪侦查的技术水平,找到案件的突破口,提高技术侦查取证的成功率。
  网上侦查实验前,当明确侦查实验的目的、内容和任务,制作详细的侦查实验方案,在充分研究论证后,由高水平的技术人员实施。网上侦查实验一般应根据案件实际情况,尽可能选择与案件发生相同的网络环境、软硬件环境和条件,反复多次进行,不得违反有关法律规定,不得造成新的危害。如果是局域网、专用网犯罪,在条件允许的情况下,尽量按照原有硬件配置、软件和网络设置,复制一个网络系统,在复制系统的服务器和终端机上进行侦查实验操作,探究犯罪分子的作案手段,再现已发生行为、事件的可能性和结果,论证侦查取证技术措施及其可行性。如果是因特网犯罪,则需要更加充分论证侦查实验方案的可行性,充分预料可能发生的各种情况并准备好应对措施,严防造成新的危害和不良影响。必要时,需要事先与实验涉及的网站等网络服务提供者联系沟通,在他们的支持下实施。对侦查实验的结果,侦查人员要认真分析评判,确定其结论的可靠性和证据意义。如果侦查实验结果能够用作证明犯罪的证据使用,一般应当找两名与案件无关的人员作为见证人,并由侦查人员、见证人在侦查实验记录上签字。根据案件情况,侦查实验也可委托有鉴定权的鉴定机构实施,由鉴定机构出具鉴定结论。
注释:
  {1}全国科学技术名词审定委员会发布Internet及其相关名词的汉语定名,http:// www.qirun.net.cn/article.asp?id =435,2007年1月20日发布,最后访问日期:2007年6月15日。
     {2}吴同:“Internet,internet和intranet的译法”,载《上海科技翻译》1998年第4期,转引自中国翻译网 http://www.chinatranslate.net/garden/garden2001.htm,最后访问日期:2007年6月10日。
     {3}郭髙中:“网络犯罪‘黑数’较大每年网络盗窃上百万起”,载http://it.sohu.com/20060405/n242654519.shtml,2006年04月05日发布,最后访问日期:2007年5月5日。
     {4}邓宇琼:“网络犯罪证据的提取与固定”,中国论文下载中心http://www.studa.net/ xingzhengfa/061030/16262478. html,2006年10月30日发布,最后访问日期:2007年4月13日。
     {5}刘广三:《计算机犯罪论》,中国人民大学出版社1999年版,第195页。
     {6}赵秉志、于志刚:“计算机犯罪对相关法律的冲击及理论回应”,载《信息网络安全》2004年第3期,第24页。
     {7}崔皓:“网络犯罪中电子证据的法律思考”,载《犯罪研究》2007年第2期,第52页。
     {8}伊伟鹏:“网络犯罪的电子证据及其采信规则”,载《人民法院报》2002年4月15日第3版。
出处:《刑事法判解》
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【关闭窗口】