論網絡犯罪基本特征及偵查取證的一般要求和方法

吳燕波　向大為

關鍵詞 網絡犯罪 偵查 計算機取證 電子證據

基金項目：湖北警官學院2019年度院級科研自選題課題“基于社會工程學攻擊的網絡詐騙案件研究”; 湖北省人文社科重點研究基地社會治安治理研究中心項目“國際交流合作視野下的網絡警察專業建設研究”，同時本文由湖北省電子取證與可信應用協同創新中心資助。

作者簡介：吳燕波，湖北警官學院信息技術系，研究方向：計算機科學與應用;向大為，湖北警官學院信息技術系，研究方向：網絡安全與執法。

中圖分類號：D920.4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2019.08.225

一、網絡犯罪的基本特征

如今的網絡犯罪主要表現為五個重要特征：

（一）犯罪現象普遍化

網絡技術作為一種客觀事物，能為人類生活帶來多少便利，就能為違法犯罪帶來多少便利。網絡詐騙、網絡非法集資、網絡盜竊、網絡吸販毒、網絡恐怖主義……但凡能在現實社會中找到的犯罪行為，均能在網絡上找到對應的犯罪現象。

（二）組織手法現代化

今天的網絡犯罪越來越有現代化、模塊化、職業化的趨勢，租用空間、建站、代理服務器、流量肉雞、個人信息及商業數據庫竊取和販賣、黑客工具制作和租賃等，各種黑色產業鏈專業、系統、便捷，罪犯可以在極短的時間內把所有犯罪要素串聯起來。

（三）運作過程隱蔽化

網絡技術日新月異，知識、技能、應用的不對等，加大了犯罪運作過程的隱蔽程度。網絡犯罪服務專業化、模塊化的結構，使得各模塊之間的技術細節互不了解，人員可以互不見面，現代通訊技術的發達，使得通訊聯絡無界化。

（四）犯罪成本低廉化

現在各種網絡犯罪軟件工具化、操作傻瓜化、獲取便利化，犯罪成本日益低廉，而公安執法部門取證的成本卻越來越高，此消彼長間，不利于網絡安全與執法部門遏制與打擊網絡犯罪。

（五）犯罪主體年輕化

隨著這些年國家法制化進程持續推進，網絡犯罪入刑法，涉網法律法規漸成體系，“電子簽名法”“網絡安全法”相繼頒布實施，網絡犯罪的法律威懾力不斷加強，網絡犯罪又逐漸瞄準了少不更事的青少年群體，拉低了網絡犯罪的學歷層次和平均年齡。

以上這五個方面的特征使得網絡犯罪案件在線索發現、立案偵查、現場確定和保護、證據搜集和固定、證據分析和司法鑒定、訴訟程序等各個方面都明顯區別于傳統的刑事案件。立案后該如何選擇對應的偵查策略和手段？系統中是否存在涉案信息？可否將這些信息有效固定并完整提取？涉網犯罪的案件能否成功偵破……網絡犯罪偵查與取證將是解決這一系列問題的關鍵。

二、網絡犯罪偵查取證的一般要求

網絡犯罪偵查特指國家賦予刑事偵查執法權限的行政機構對網絡犯罪行為進行刑事偵查的活動，貫穿立案、偵查、結案整個過程，包括獲取和篩選線索、公開與秘密調查、現場勘驗、抓捕審訊、司法鑒定、審結和移送等多個環節。有效地威懾、防控和處置網絡犯罪，在偵查方面主要有三個要求。

（一）對偵查機構自身建設的要求

由于網絡犯罪屬于高技術犯罪，因而作為偵破該類犯罪的部門要有相應的偵查技術和設備，定期不斷升級，而且還要不斷學習補充相關知識技能，加強偵查人員的自身素養，使之能適應偵查取證的需要。

（二）對網絡犯罪偵查措施方面的要求

偵查措施指具體偵查手段。由于網絡犯罪案件發現、取證、抓捕各環節難于一般犯罪案件，導致案件偵結率低，另外執法規范化方面的要求也較高，所以結合網絡犯罪案件自身特點和規律，需要豐富偵查手段并總結提高偵查能力和經驗。

（三）對網絡犯罪偵查模式方面的要求

偵查模式是偵查主體在偵破案件中所依據的成熟思路或方法模型。由于網絡犯罪偵查模式與傳統偵查模式不同，所以要求對網絡犯罪的偵查模式進行研究和總結，以提高偵查效率。

三、網絡犯罪案件偵查取證的方法

（一）網絡犯罪現場的確定

犯罪現場對于能否收集到犯罪證據、能否認定犯罪事實進而破案，會產生重大影響。網絡犯罪比傳統犯罪時空范圍大，現場難于確定，確定網絡犯罪現場的具體方法主要有：

1.破壞計算機系統軟硬件的案件現場即計算機本身及其環境空間。

2.分析問題計算機拓撲結構，結合案情確定犯罪現場。

3.根據操作系統、數據庫系統、其他軟件等留存的系統日志信息發現犯罪現場。

4.根據案件性質、種類、模式等分類特征確定犯罪現場。

5.通過分析作案動機、專業水平、手段手法等，間接確定作案現場。

6.調查涉案計算機操作者、管理者等人員，按“事-人-現場”的方法確定犯罪現場。

（二）網絡犯罪現場勘查

網絡犯罪現場勘驗的程序和步驟在《公安機關辦理刑事案件程序規定》中有詳細說明，大致包含以下幾個方面的內容：

1.了解和熟悉案情，盡可能全面的觀察現場環境，確定勘驗的中心和范圍。

2.科學合理確定勘查順序，較大現場可對人員分組，然后分區、分段、分層勘驗。

3.用攝像、照相、錄屏、繪現場圖、筆錄等方法對原始現場進行記錄。

4.收集證據原件或和原件等效的證據載體，保證證據的原始性、完整性和有效性。

5.有關證據必要時需勘驗人員、見證人、嫌疑人等簽字確認。

（三）網絡追蹤

網絡違法犯罪活動追蹤調查，關鍵在于落地查人。主要從以下幾個方面入手：

1.查IP地址。通常是通過上網IP、上網賬號、上網方式等情況開展調查。例如網絡入侵案件中如裝有IDS，探測出有網絡安全事件發生，網站日志、IDS日志、網絡系統的事件日志、操作系統日志等文件中都會有詳細的IP訪問和操作記錄信息。

2.查備案資料。不論是經營性互聯網上網單位還是非經營性互聯網上網單位，正式接入互聯網之前，必須要到地市及以上級公安機關網絡安全保衛部門進行聯網信息備案，包括使用的IP地址段、網絡拓撲結構圖、網絡和信息安全管理人員聯系方式等均可供調查。

3.查聯系人網絡。網絡犯罪很多屬于團伙作案，如果查到嫌疑人線索，通過偵查擴線，可以深挖出整個犯罪網絡，例如調查嫌疑人的手機通訊錄、郵箱通訊錄、微信等等。

（四）網絡犯罪證據的收集與提取

1.網絡犯罪證據收集。刑事訴訟法修訂后，電子數據正式成為新刑訴法中八類法定證據類型之一，以往電子證據多轉化為其他證據類型使用，現如今已經可以作為獨立證據使用。電子證據的收集應注意以下幾個問題：

一是注意收集時要保證電子證據的完整性和真實性，常見的技術方法包括哈希校驗、數據克隆、只讀模式等方法;二是要注意全面收集電子證據，形成完整的證據鏈條，能真實、準確、完整、全面的反映案件的實際情況;三是嚴格依法進行收集，以保證程序合法，操作規范，能順利進入訴訟階段;四是在遇到困難時可以邀請技術專家參與，必要時邀請的專家可以作為專家證人進入司法過程;五是取證時注意確保案件信息保密以及當事人的隱私權等權利。

2.網絡犯罪證據提取與固定。一般來說，較可靠的電子證據主要存在于存儲介質上，這一類證據提取過去被稱為“主機取證”，后來由于存儲介質種類越來越豐富，已很少使用。此外，在網絡傳輸過程中也有一些電子數據可以作為證據使用，但這些電子證據和內存中的電子證據一樣，屬于易失性證據，斷電后即消失，提取時根據載體的不同各有專門的方法來應對，被稱為“內存取證”“緩存取證”“在線取證”等等，這些均是從各類數據信息系統和傳輸系統中找出有價值數據的過程。

計算機證據提取的原則大體包括以下幾個方面：一是數據原始性，越是原始的數據，真實性和可信度越高，越能被法庭所采信;二是證據的完整性，指的是電子證據從采集之前到采集之后，內容沒有發生過任何變化，取證過程、分析過程、鑒定過程、展示過程等行為均不會對數據造成任何變更;三是數據提取操作的規范性;四是取證過程的連續性和可靠性，接受監督;五是證據本身和取證過程的可再現性。

參考文獻：

[1]吳燕波，向大為.電子證據勘查與分析的一般方法[J].湖北警官學院學報，2011（2）.

[2]孫奕.Widows7環境下電子取證特點分析[J].信息網絡安全，2010（11）.

[3]楊世盛.網絡犯罪案件偵查取證難的對策建議[J].職工法律天地：下，2014（9）：38.

[4]陳廷，解永照.網絡犯罪案件中電子數據的取證、審查難點及對策思考[J].公安學刊：浙江警察學院學報，2016（3）：31-35.