浅论网络犯罪侦查

   【摘要】

                     
                  网络犯罪是一种新型的智能犯罪。在侦查网络犯罪中，除了应借鉴侦查传统犯罪的方法外，更应探索新的侦查途径，采用新的侦查方法。首先，应想方设法获取网络犯罪案源；其次，要有针对性地进行初查；第三，在网络犯罪现场勘查过程中，除了采用传统方法取证外，还应重点对与网络犯罪相关的电磁记录、命令记录等网络证据进行搜集；最后，应依托网络采取切实可行的侦查措施。

                  【关键词】网络犯罪；案源；勘查；侦查措施　

                     
                  网络犯罪是指行为人利用网络专门知识，以计算机为工具对存在于网络空间里的信息进行侵犯的严重危害社会的行为。①“网络犯罪是信息时代的产物。无论是国外还是国内，在信息技术突飞猛进，信息产业蓬勃发展的同时，网络空间的计算机犯罪案件每年都以几倍甚至十几倍的速度增长，其所造成的损害远远大于现实空间的犯罪......”②按照《数字化生存》的作者尼葛洛庞帝的推测，2000年以后，全球使用因特网的人数将以更加惊人的速度发展，预计至2005年全球因特网用户将达7．65亿。网络犯罪具有极强的跨国性、专业化程度高、隐蔽性强、取证困难，而且犯罪主体年轻化，犯罪分子常常连续作案，造成的社会危害后果十分严重。对网络犯罪侦查的研究，目前在中国大陆基本上仍处于空白状态。实际部门办理此类案件尚无理论指导，因此，对网络犯罪侦查的研究具有重大的理论价值和现实意义。从总体上说，侦查网络犯罪一方面应借鉴侦查传统犯罪的方法，另一方面应针对网络犯罪的特点寻找切实可行的对策。　

                  　　一、网络犯罪案源的获取　
                  　　网络犯罪跨跃物理与虚拟两大空间。网络犯罪与发生在物理空间里的犯罪相比有其自身的特点，其突出特点之一便是犯罪行为难以发现及被害人不愿举报。这一特点决定了要发现网络犯罪是相当困难的。鉴于此，则极有必要探寻获取网络犯罪案源的方法，否则，无案源，侦查工作也就无从谈起。　
                  　　获取网络犯罪案源，除了采用传统的发现案源线索的方法外，还可以采用以下一些方法：　
                  　　（一）建立网络系统发现犯罪。　
                  　　即从各个要素入手，建立一个完善的获取犯罪信息的网络系统，通过此系统搜集案源线索。首先，从组织要素考虑，组建反网络犯罪机构。其次，从意识要素入手，建立相应的规章制度。第三，为系统的顺利运行提供必要的物质保障。第四，在满足有关要素的基础上，使系统运行起来，通过该系统搜集与网络犯罪有关的线索。如，国际刑警组织与美国的AtomTangerine公司合作，建立反计算机犯罪情报网络，该网络可以收集计算机及网上犯罪活动的情报，特别是犯罪分子即将攻击的目标和他们可能使用的手段。③我国可以参照国际刑警组织的做法，在国内建立同样的网络系统。　
                  　　（二）通过科技手段监视获取。　
                  　　即由控御主体利用各种现代技术建立跟踪或搜索系统实现对网络犯罪的监视，通过监视发现案源。如，韩国警方于2000年７月份成立了“网络犯罪对应中心”。该中心利用实时跟踪和事件分析等先进搜查系统严密监视网上犯罪，并及时加以打击。中国大陆于2001年2月26日面向全国发行了全国首款互联网净化器软件“网络警察110”，通过这一技术手段可以截堵互联网上的邪教、色情、暴力等有关信息。美国斯坦福研究所旗下的AtomTangerine公司研制出一个名为“网络雷达
                  "的程序，可以监视计算机及网上犯罪活动。④ 又如，美国联邦贸易委员(FTC)建立一个特殊的因特网研究室，
                  该研究室通过搜索机器人（这是一种可自动搜索因特网可疑内容的技术）等先进技术对网上广告进行全天24小时监控，通过监控可以及时发现网络欺诈的种种迹象，以便实现及时打击。⑤再如，美国联邦调查局于2000年研究并设立了打击网络犯罪新系统。此系统包括三个子系统：一个是“信息搜集系统”，该系统将帮助联邦调查局依据《外国情报侦察法》的规定，为窃听活动建立一个“灵活而即时的信息搜集基础”；另一个是名为“数字风暴”（Digital
                  Storm）的信息分析系统，该系统可以使联邦调查局经法庭授权之后，对电话和手机的传输信息进行过滤和检查；第三个系统是“企业数据库”，据此系统联邦调查局可以通过一个保密的全球网络对大量的数据进行分析。
                  同时，美国为此新系统的建立投入了7500万美元。上述相关做法均值得借鉴。　
                  　　（三）通过设立打击网络犯罪网站获取信息。　
                  　　即设立一个专门用于打击网络犯罪的综合性网站，
                  此网站既有新闻发布、官员讲话、法律文本和司法部门的其他报告，也有关于调查黑客、盗版、加密以及国际网络犯罪情况的信息，还可在网站上设立举报栏目，相关人可以在网站上举报网络犯罪的种种情况，而管理者通过对有关信息的分析从中发现犯罪线索。　
                  　　（四）通过组织“浏览日”活动发现案源。　
                  　　即让执法人员和消费者团体在一个特定的时间在网上搜寻某一特定种类的犯罪活动，通过搜寻发现线索，进而集中力量予以打击。那些网上案犯所用的技术手段同样可为执法人员利用来跟踪追捕及制止他们的非法活动。如，2000年春末，美国联邦贸易委员会搞了一次针对“迅速致富”诈骗的搜寻浏览，28个国家的150个组织参加了这次最大的国际执法活动，主要目标是打击以互联网为依托的连锁投机诈骗、贸易和投资机会诈骗、在家工作诈骗以及欺骗性的当日买卖活动。联邦贸易委员会号召了几十个国际组织，包括挪威、巴西、澳大利亚、香港、日本的消费者权益保护机构及国际消费者组织，连同美国许多联邦机构、49个州级和地方消费者保护组织都参加了这次浏览活动。结果搜寻了一千六百多个涉嫌进行“迅速致富”诈骗的网站，所用招牌形形色色，如“装信封每周赚5000美元、做邮售生意每天赚4000美元、经营虚拟商场保证一年净赚20万美元”等等。这次搜索活动众多特点之一就是提供一个带密码的网站，为参与活动的执法人员和消费者保护机构一步一步地提供搜寻指南、目标网站描绘、建议采用的搜索引擎及关键词等。这个带密码网站让浏览者能够将发现的可疑“迅速致富”网站的信息直接输入在网页表格中，然后发给联邦贸易委员会的数据库。发现了可疑网站之后，有关机构联合签发了一个警示邮件，发给网上骗子，警告他世界上的执法机构和消费者保护机构正在打击跨国界的欺诈活动。一个月后，再次进行搜寻检查可疑网站是否停止了非法活动或关闭了网站。对那些不思悔改的网站，执法人员将深入调查，并对其实施法律制裁。　
                  　　（五）通过互联网欺诈投诉中心发现案件。　
                  　　即针对网络欺诈日益突出之状况，成立专门的互联网欺诈投诉中心，建立消费者投诉数据库，通过投诉发现线索。这与物理空间里的投诉活动一样，所不同的只是网络犯罪中的欺诈举报可通过网络投诉的形式进行，相关的接报主体可建设消费者投诉数据库，以便尽可能多地获取有关情况。如美国联邦贸易委员建立的“消费者哨兵”投诉数据库，在1999年就收到18600条互联网欺诈投诉。2000年5月，美国司法部和联邦调查局还共同创建了一个专门监督互联网欺诈行为的网站
                  消费者和商业企业可以利用这个网站进行投诉，报告他们受到的网络欺诈。总检察长珍尼特.雷诺（Janet）在对成立这个网站发表评论时称，政府需要更加有力的工具保障法律的正确实施，对于互联网欺诈一类的行为，最有效的监督手段莫过于成立一个互联网欺诈投诉中心，就象司法部现在创建的这个网站。雷诺认为，成立欺诈投诉中心将会使司法行为在各个层次上得到全面的执行，包括联邦政府、各个州以及地区。联邦调查局的局长助理鲁宾.加西亚（Rubin
                  Garcia）也表示，用户可能利用这个投诉中心将任何欺诈行为诉诸法律，他们可以向地区法院投诉，也可以向州和联邦法院投诉，他们甚至可以向外国的司法部门进行投诉。该中心将把他们的投诉资料保存起来并进行分析以决定采取何种回应措施。近年来，网上购物人数和金额与日俱增，有观察家预言，网上年消费额将从1999年的150亿美元猛升至2003年的780亿美元。面对这一局势，建立“消费者哨兵”将成为越来越重要的发现网络欺诈犯罪活动的手段。
                  　
                  　　（六）利用专门工具对黑客行为进行监视，从中发现骇客犯罪线索。　
                  　　这是针对黑客行为在网络犯罪中占居极其重要的位置而提出的一种发现线索的方法。即针对黑客行为在网络犯罪中所占的比例高，因而控御主体发明并利用一种或几种专门工具对黑客行为实施监视，通过监视及时发现骇客作案的有关情况。如，美国当地时间2000年4月3日，互联网安全顾问布鲁斯.斯奇奈尔（Bruce
                  Schneier）推出一种新型的监视黑客活动工具。利用这种工具，位于加利福尼亚和弗吉尼亚州的分析人员可对互联网黑客的行动进行一天24小时的监视。一旦发现某个网站出现异常情况，例如有黑客进行攻击，那么这些分析人员就会通知网站经营者和用户，对可能的黑客攻击采取行动，并帮助网站和用户采取安全防范措施。这种新型工具的用户之一Conxion公司称，这种系统非常有效，最近还帮助该公司防范了一起黑客入侵事件，据称是在黑客暴露出进攻企图的10分钟之内就被该安全工具发现。⑥　
                  　　随着网络犯罪情况的变化及科学技术的发展，用于获取网络犯罪案源的方法也将日益丰富多采。　
                  　　二、网络犯罪初查　
                  　　和侦查其他案件一样，在决定立案侦查之前应当进行深入细致的被查工作。被查，是指对所获取的案件线索进行立案前的审查。初查不是仅仅体现在对各种材料、资料的审核，还应是针对案件线索特征，采取不同对策，依据相关的法律开展的多种多样形式的调查。被查工作的主要任务有两个：一是对相关线索的消化和筛选，并通过相关途径及时将被查结果反馈出去。二是通过初查获取网络犯罪分子的犯罪证据，扩大线索，为进一步的侦查工作提供依据、奠定基础。　
                  　　案件初查工作，要做好以下环节：　
                  　　（一）线索的筛选　
                  　　这是初查工作的前奏，是对发现的网络犯罪线索、材料、资料进行审查，判断是否存在犯罪事实，决定是否需要调查
                  。网络犯罪的线索来源比较特别，其特别之处在于相当多的网络犯罪线索是利用技术手段通过网络获取的。不管是通过何种手段获取的线索均应采用传统的方法，并借助网络技术去筛选，至于谁先谁后，谁重谁轻应视具体情况而定。具体说来，网络犯罪案件线索的筛选主要要解决以下问题：1、对线索、材料、资料进行分析和审查，以初步判明线索存在的可能性和案件的性质，以决定是否有必要进行初查。2、结合对各种线索的比较和分析，选出重点，确定薄弱环节或调查目标，找出入手的关键部位，然后开始初查工作。　
                  　　（二）侦查计划的拟定　
                  　　网络犯罪初查阶段的主要
                  任务是通过初查弄清是否确有犯罪存在和是否需要追究刑事责任，从而确定案件是否能够成立，同时通过初查及时获取犯罪证据为立案创造条件。为保证初查工作的顺利进行，就有必要拟定计划，围绕前述中心任务开展工作。　
                  　　网络犯罪初查工作计划是基于有组织、有目的、有准备、有计划地开展工作之目的而制定的，它主要包含以下内容：1、确定初查的具体内容和急需的主要证据。2、弄清是否涉及跨国联合侦查、国际协查和域外取证等问题。3、因事因人确定好初查的方法、步骤和相应的措施。4、对初查中可能涉及的或可能遇到的专业性知识及有关法规、政策性规定进行初步了解。5、选择好初查突破口，明确主攻方向，初查矛头所指。6、安排好人员的配置和使用及必需的物质保障。7、考虑从何处聘请计算机网络专家或技术人员来现场指导。8、明确注意事项及有关工作纪律。　
                  　　（三）秘密调查　
                  　　秘密调查是网络犯罪案件初查的主要工作。即要求侦查主体针对网络犯罪案件本身及有关问题，在不被嫌疑人、被调查人察觉的情况下，侦查人员通过隐蔽自己的真实身份、意图或行为，麻痹迷惑被调查人而收集情报和密取证据。网络犯罪的秘密调查具有以下一些特征：1、隐蔽性。侦查主体的调查活动相对被调查者而言处于一种隐蔽状态。2、策略性。网络犯罪是一种智能型犯罪，犯罪主体多具有较高的智力、知识水准，侦查与反侦查乃是双方智力能力的较量。因此，要求秘密调查要有策略性，而秘密调查本身就是由侦查人员在这场智力较量中所采取的重要策略。3、科学性。秘密调查向侦查人员提出了更高的要求，要做到既进行调查又相对隐蔽，必须建立在科学的思维、动用科学知识和科学方法之上。推测某一事实是否存在要符合逻辑原理，判断嫌疑人行为性质要动用法律规定，采取的侦查谋略离不开心理学等方面的有关知识。另外，网络犯罪具有突出的专业性、技术性特点，只有了解相关行业的基本常识和有关网络知识，才能使秘密调查的方向、方法符合实际。4、灵活性。灵活性是秘密调查的灵魂，要贯穿秘密调查工作的始终，只有因案、因人、因地、因时开展秘密调查，才能收到应有的效果，提高成功率。　
                  　　网络犯罪的秘密调查可采用两种方式：一是传统式的秘密调查。包括：通过委托实施；通过便衣查访；通过改变身份进行等方式。二是网络式的秘密调查。主要是通过网络监控、跟踪等进行秘密调查。
        　　三、网络犯罪现场勘查　

　　网络犯罪是一种对存在于虚拟空间的信息进行侵犯的行为。尽管这种行为侵犯的只是肉眼见不到的比特，但犯罪分子在实施侵犯行为的过程中却必须使用电子计算机等物理设备，这些物理设备总是存在于一定的物理空间，因而网络犯罪同样有明显的犯罪现场，而且大多数网络犯罪现场是有勘查价值的。在我们发现网络犯罪线索后，只要有条件（知道用来实施犯罪行为的计算机等设备所在的空间）就应想方设法对犯罪现场进行勘查。　

　　（一）临场初步处置　

　　当具备赶赴现场的条件后，侦查人员应尽快行动。临场后具体应做好以下几方面的工作：　

　　1、封锁现场，进行人、机、物品之间的隔离。　

　　要对现场实行人、机隔离，人、物隔离。将现场内所有人员迅速带离现场，并立即检查他们随身携带的物品，重点是书面记录、通讯工具、磁卡类可以读写的卡片、磁介质（软盘、光盘等）。有关人员在滞留检查期间，不能与外界进行联系。　

　　2、加强现场保护。　

　　迅速派人看管配电室，避免发生突然断电导致系统运行中的各种数据结果丢失；看管现场上以及现场周围的各种电信终端设施（例如传真机、调制解调器等），检查现场上及周围有没有强磁场和可以产生强磁场的物品，妥善保管各种磁介质，避免被各种磁场消磁。　

　　3、查明现场情况，确认事件性质。　

　　通过对受害单位或个人基本情况的了解，结合对现场上各种情况的观察和检测，侦查人员应尽快召开现场会，综合各方面情况进行分析，判断所发生的事件是意外事故还是犯罪行为。对于事故，要及时向受害者讲明情况，移交有关部门进行处理；对于已经判定发生了犯罪行为的，要按程序办理立案审批手续，迅速进入侦查取证阶段。　

　　（二）采取勘查措施　

　　在临场初步处置的基础上，应进一步迅速采取措施获取证据。　

　　1、实地勘验　

　　通过实地勘验收集现场上遗留的原始资料、数据参数等。勘验过程中主要是针对“硬件、软件、管理制度和人员状况”等方面进行取证调查。这其中既包括传统意义上的取证（如：勘验手印、足迹、工具痕迹；拍摄现场照片、绘制现场图等），又包括对“网络证据”⑦的勘验。　

　　在这里，我们不谈传统意义上的取证，而重点介绍“网络证据”的勘验问题。　

　　“网络证据”，主要是指在硬件、软件、管理制度等方面可以反映网络犯罪行为真实情况的物证、书证及视听资料等。比如，在数据传送与接收过程中形成的电磁记录与命令记录；现场上各种系统硬件的连接状态、连接方式；屏幕显示的系统运行参数、运行结果；打印输出的结果；工作人员的日志记录等。对这些证据的勘验，常用的有记录、封存、备份、收集等手段。　

　　记录，就是用适当的方式将现场上各种仪器设备的连接、配置状况和运行状态，各种电缆线的布线方式（串、并联方式、有无破损断裂），各种插头、插座、开关的工作状态等等情况记录下来。通过记录，保存案发当时的现场状况。进而通过综合电磁记录、命令记录，当事人、知情人、技术人员的回忆，工作日志记录等方面的证据，了解系统软硬件原始状态，并通过原始状态与现场遗留状况的比较，发现各种异常现象或者推断作案人使用的作案工具、作案手法。可用于现场记录的方法包括现场照相、笔录、绘图、录像等。这些工作，有的在临场处置时已经完成，进入实地勘验以后要力求将其细化、完备化。　

　　如，应在临场处置的基础上，进一步审查监视器所显示的任何证据，如果有必要，拍摄下计算机屏幕上显示的内容，并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线，在不会造成数据丢失的情况下，拔掉墙上的电源，一般不能用起动开关去关闭计算机。拍摄下计算机尾部的线路结构。断电前标上线路系统（用遮蔽胶带或钢笔），将端口和插槽作上标记。如果所查获的不只一个系统，应将不同的零部件分别放置，并作标记。　

　　封存，就是对现场上可能记录有犯罪行为过程和真实情况的物品、数据等证据，采取强制性手段维持其现有状态，以备进一步的分析。封存的对象主要包括：现场内的信息系统，各种可能涉及到的磁介质，上机记录，命令记录，内部人员使用的工作记录，现场上的各种打印输出结果，传真打印件，程序备份和数据备份等等。封存当中应当注意的是：封存正在运行的信息系统，要事先做好系统工作状态、系统运行参数的记录，以防关机以后无法恢复。　

　　备份，主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制，以便尽快恢复系统正常工作。备份的对象主要是：系统中的相关数据、系统日志文件等。备份当中应注意的问题是：对于磁介质中所有的数据按照其物理存放格式进行全盘复制，而不是简单地拷贝文件。　

　　收集，就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是：计算机软、硬件，各种输入和输出设备，调制解调器，各种操作手册，各种连接线，同时还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时，要注意避免静电干扰。不能用塑料包装，并将其无线电设备远离磁场放置，避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外，还应将立体声喇叭之类的磁源保管好，不和上述器材放到一块。　

　　2、实地访问　

　　网络犯罪的现场勘查当中，实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人。例如：计算机操作人员，分管领导，技术维护人员等。访问内容应当根据访问对象有策略地加以变化，概括起来包括以下内容：系统的运行状态，曾经进行过哪些操作和维修，操作人员和技术人员以及分管领导的思想表现；技术水平高低、分别能够接触哪些软硬件内容，如何发现系统出现的异常现象、采取过哪些处置措施等等。　

　　（三）对证据资料进行技术分析　

　　在前一阶段勘查取证的基础上，侦查人员可以对所得的相关证据资料（例如：磁介质、系统备份、数据备份）进行技术分析，从而发现作案人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害，从中选取有价值的侦查线索。目前，对相关证据资料进行技术分析的手段多种多样，其中常用的有以下几类：　

　　1、对比分析技术。　

　　这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比，从而发现异常状况，进而分析是否有被篡改的痕迹。　

　　2、关键字查询技术。　

　　这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中，以某些具有特殊功能的指令语句为关键字进行匹配查询，查询的结果将说明是否存在这一特殊功能的指令语句，侦查人员可以从中发现问题。　

　　3、数据分析技术。　

　　对于被作案人删除、修改的文件和磁盘数据，可以通过数据分析技术进行恢复，或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括：　

　　（1）被删改、破坏数据的恢复技术。　

　　这种技术通过磁盘操作技术和电磁学技术，将被删除、破坏的数据进行一定程度的恢复。这对于克服由于作案人故意毁灭证据而制造的困难有着重大意义。　

　　（2）残留数据分析技术。　

　　文件存盘以后，实际的长度要小于或等于所占用的簇的大小，空出来了这部分磁盘空间中会保存有原来存储的某些文件数据。对这些数据的分析，可以了解原来磁盘上存储的内容。　

　　（3）文件“指纹特征数据”分析技术。　

　　在每个文件的尾部均有一些记录该文件生成信息的数据，伴随着文件的修改而变动，这些数据也就是该文件的指纹特征数据。根据这些数据，可以判断文件的最后修改时间和修改次数，这可以帮助侦查人员判断作案时间。　

　　4、文件内容分析技术。　

　　在某些软件运行过程中，经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如：临时文件（.TMP）、备份文件（.BAK)、交换文件(.SWP)；WIN95的“文档”菜单当中记录了使用过文件名称；IE