●陳明/文

職務(wù)犯罪案件手機(jī)話單分析技巧

●陳明*/文

近年來，在職務(wù)犯罪案件中，對被調(diào)查人員手機(jī)話單進(jìn)行分析判斷越來越受到辦案人員的青睞。通過話單分析技巧的運(yùn)用，可以分析出被調(diào)查人員之間的來往頻繁程度、被調(diào)查人員的實(shí)際居住地等有價(jià)值的信息，有助于高效開展初查工作。

職務(wù)犯罪初查手機(jī)話單分析

近年來，職務(wù)犯罪行為的隱蔽性越來越高，從一般的房產(chǎn)、車輛、銀行交易流水等信息越來越難以分析判斷被調(diào)查人員之間的往來關(guān)系，加上初查的不公開性，使得初查面臨的挑戰(zhàn)越來越大，也凸顯出手機(jī)話單分析的重要性。通過基礎(chǔ)的EXCEL軟件可以根據(jù)一個(gè)或多個(gè)需求，對話單進(jìn)行快速、高效的分析，提高效率。

實(shí)踐中，話單分析大體可以分為基礎(chǔ)分析和特殊需求分析兩種，可根據(jù)需求靈活分析。

一、基礎(chǔ)分析

對一個(gè)話單的基礎(chǔ)分析一般包括分析通話/短信總量、通話/短信頻率//通話時(shí)間和日期、通話時(shí)長、通話地點(diǎn)等?；A(chǔ)分析并不一定能夠直觀分析出調(diào)查所需，但卻能夠服務(wù)于下一步的特殊需求分析。

第一，通話/短信總量。通話/短信總量是指被調(diào)查人在一定時(shí)間內(nèi)發(fā)生通話/短信的總數(shù)量，從EXCEL的橫行數(shù)便可以直觀讀出。一個(gè)話單如果3個(gè)月內(nèi)通話/短信總量太少，則證明該號碼使用頻率過低，可推斷被調(diào)查人很可能使用另外的號碼;反之，可推斷該號碼系被調(diào)查人日常使用的號碼，具備較高分析價(jià)值。

第二，通話/短信頻率。通話/短信頻率即對方號碼與被調(diào)查人號碼發(fā)生通話或短信來往的頻率，可直觀反映出對方和被調(diào)查人的關(guān)系密切程度。一般情況下，與家庭成員的通訊是最為頻繁的，除此之外就是社會交際和工作業(yè)務(wù)上的通訊。如果一個(gè)話單出現(xiàn)了與疑似行賄人或疑似情人之間的頻繁通訊時(shí)，那便非常值得懷疑雙方之間是否存在不正當(dāng)經(jīng)濟(jì)往來或不正當(dāng)男女關(guān)系了。

很多人在統(tǒng)計(jì)通話/短信的頻率時(shí)，只是簡單使用EXCEL的排序功能對話單中的“對方號碼”一項(xiàng)進(jìn)行排序，但效果不佳。因?yàn)镋XCEL的排序功能只是按照“對方號碼”數(shù)值本身的大小進(jìn)行升序或降序排列，如189開頭的號碼數(shù)值大于139開頭的號碼，139開頭的號碼大于138開頭的號碼，這樣便無法對相同“對方號碼”出現(xiàn)的次數(shù)進(jìn)行統(tǒng)計(jì)。其實(shí)EXCEL有一名為“countif”的函數(shù)可以用于統(tǒng)計(jì)頻率。假設(shè)“對方號碼”項(xiàng)出現(xiàn)在表格的C列，“對方號碼”的數(shù)值從表格第二行即C2開始出現(xiàn)，那么可在“對方號碼”后新建一列(D列)，在D列第一行D1中將該列命名為“通話頻率”或者“短信頻率”，接著在第二行即D2的方框中輸入“=countif(C：C，C2)”。如“對方號碼”的第一個(gè)數(shù)值出現(xiàn)在其它列其它行，函數(shù)中括弧輸入的字母(列)和數(shù)字(行)則以此類推。接著回車后便可以發(fā)現(xiàn)D2出現(xiàn)了一個(gè)數(shù)值，該數(shù)字就是整個(gè)表格中的與C2數(shù)值相同的“對方號碼”出現(xiàn)的次數(shù)。接著點(diǎn)擊D2方框右下角的小黑點(diǎn)，然后下拉，則D列出現(xiàn)了對應(yīng)于C列號碼出現(xiàn)頻率的數(shù)值。然后對列D進(jìn)行降序排序，便可以從高到低排列出對方號碼的出現(xiàn)頻率(見圖1)。在統(tǒng)計(jì)通話/短信頻率后，便可以根據(jù)需求進(jìn)行分析。

圖1 通話頻率分析圖

第三，通話/短信日期、時(shí)間。通話/短信日期和時(shí)間一般是指被調(diào)查人之間發(fā)生通話/短信往來的具體日期和具體時(shí)間。分析時(shí)應(yīng)當(dāng)注意被調(diào)查人(如可疑行受賄人)之間的發(fā)生通話/短信的日期當(dāng)天是否工作日以及通話時(shí)間是否在辦公時(shí)間內(nèi)。如被調(diào)查人之間的通話/短信發(fā)生在節(jié)假日和非辦公時(shí)間(特別是夜間)，那么便值得懷疑。在分析通話/短信日期、時(shí)間時(shí)，可結(jié)合被調(diào)查人的銀行賬單，注意分析在通話/短信往來前后，被調(diào)查人的銀行賬單有無異?，F(xiàn)金通過轉(zhuǎn)賬或現(xiàn)存方式進(jìn)入。

第四，通話時(shí)長。通話時(shí)長是指對方與被調(diào)查人每次通話的時(shí)間長度，很大程度能反映出對方與被調(diào)查人之間聯(lián)系的頻繁程度和社會關(guān)系的密切程度。由于話單中的通話時(shí)長的格式是“時(shí)：分分：秒秒”，因此用EXCEL的排序功能對“通話時(shí)長”項(xiàng)進(jìn)行升降排序即可。當(dāng)然，通話時(shí)長的分析也要結(jié)合通話日期/時(shí)間來綜合分析。

二、特殊需求分析

第一，異常通話分析。異常通話分析，是指經(jīng)排查后發(fā)現(xiàn)的多個(gè)被調(diào)查人(如一個(gè)可疑受賄人與兩個(gè)或以上的可疑行賄人或被調(diào)查人及其疑似情人)之間的通話分析。例如，分析行受賄關(guān)系時(shí)，可以使用EXCEL的“查找”功能，在可疑受賄人的話單中，用多個(gè)可疑行賄人的號碼進(jìn)行檢索，然后將檢索結(jié)果匯總列表，進(jìn)而分析。在分析時(shí)，應(yīng)當(dāng)特別注意對通話頻率、通話日期和時(shí)間、通話時(shí)長等要素進(jìn)行單一以及綜合分析。

第二，基站位置分析。基站位置反映的是被調(diào)查人在通話或上網(wǎng)時(shí)所處的大致地理位置(基站信號覆蓋范圍內(nèi))。通過基站位置分析，可以推斷被調(diào)查人的實(shí)際居住地，可以分析被調(diào)查人的活動軌跡等。

下面以分析被調(diào)查人的實(shí)際居住地為例進(jìn)行分析。一般情況下，人在夜間和清晨多數(shù)是出現(xiàn)在居住地，因此話單中夜間和清晨通話的基站位置以及上網(wǎng)的基站位置(手機(jī)夜間開著移動數(shù)據(jù)流量)多數(shù)也是在居住地。據(jù)此對基站位置出現(xiàn)的頻率進(jìn)行統(tǒng)計(jì)，然后按順序排列，從中找出夜間和清晨時(shí)間段所對應(yīng)的基站編碼和位置區(qū)碼，并通過基站查詢軟件查詢基站位置的地址，再結(jié)合初查掌握的住址信息進(jìn)行比對，從而便可確定被調(diào)查人的實(shí)際居住地。

一個(gè)移動話單中與基站相關(guān)的項(xiàng)目有三個(gè)，分別是基站編碼、基站名稱和位置區(qū)碼。三者中的基站名稱除個(gè)別有標(biāo)注中文名稱外，其余均與基站編碼一致?；揪幋a其實(shí)是全球小區(qū)識別碼(Cell Global Identifier)，用來識別一個(gè)移動基站信號所覆蓋的區(qū)域，采用十進(jìn)制編碼。而位置區(qū)碼(Location Area Code，LAC)則可以說是移動信號覆蓋的大位置區(qū)，使用十六進(jìn)制編碼。如果說位置區(qū)碼LAC是路，那么基站編碼Cell便是門牌號，門牌號有重復(fù)，但前面加上了路，便確定了地址的唯一性。故在統(tǒng)計(jì)基站頻率時(shí)，單獨(dú)統(tǒng)計(jì)位置區(qū)碼LAC或基站編碼Cell的頻率并不準(zhǔn)確，必須將二者聯(lián)合在一起，才確定基站位置的唯一性。故可使用EXCEL中的文本串聯(lián)符“&”進(jìn)行二者的聯(lián)合，具體做法是在基站編碼(假設(shè)為C列)和位置區(qū)碼(假設(shè)為D列)后新增一列(假設(shè)為E列)，在E列第一行將該列命名為基站位置，接著在E2輸入“=C2&D2”，然后下拉，便可將基站編碼和位置區(qū)碼聯(lián)合在E列中。接下來便是統(tǒng)計(jì)基站位置的頻率了，方法和上述基礎(chǔ)分析中通話/短信頻率統(tǒng)計(jì)一樣，也是使用“Countif”函數(shù)，先統(tǒng)計(jì)所有基站位置出現(xiàn)的頻率，接著便是排序(如圖2)。

圖2 基站位置頻率統(tǒng)計(jì)圖

排序完成之后，選擇幾組出現(xiàn)在夜間和清晨的高頻基站位置對應(yīng)的基站編碼和位置區(qū)碼，通過基站查詢軟件查詢實(shí)際地址。目前網(wǎng)上有兩種較為好用的基站查詢軟件，分別是“聚合基站”和“Cellmap”。打開基站查詢軟件，只要將位置區(qū)碼(LAC)和基站編碼(Cell)分別輸入軟件中對應(yīng)LAC和Cell里面，點(diǎn)擊查詢即可在地圖上顯示出實(shí)際位置。但由于移動原始話單中的位置區(qū)碼(LAC)一般是十六進(jìn)制編碼，基站編碼(Cell)是十進(jìn)制編碼，而基站查詢軟件中必須統(tǒng)一輸入十進(jìn)制或十六進(jìn)制數(shù)值，故須對LAC或Cell其中一項(xiàng)進(jìn)行數(shù)值轉(zhuǎn)換。一般將十六進(jìn)制的LAC數(shù)值轉(zhuǎn)換為十進(jìn)制符合正常習(xí)慣。數(shù)值轉(zhuǎn)換有兩種方法，一種是使用EXCEL自帶的“HEX2DEC”函數(shù)將位置區(qū)碼整列從十六進(jìn)制轉(zhuǎn)換為十進(jìn)制。另外還有一種簡便的方法，便是使用電腦或手機(jī)自帶的計(jì)算器或下載進(jìn)制轉(zhuǎn)換器，逐個(gè)將十六進(jìn)制的LAC碼轉(zhuǎn)換為十進(jìn)制數(shù)值。在查詢到夜間和清晨高頻通話或上網(wǎng)基站的實(shí)際地址后，便可結(jié)合先前調(diào)查的住址信息，分析確定被調(diào)查人的實(shí)際居住地。

第三，共同聯(lián)系人分析。話單分析軟件的一大優(yōu)點(diǎn)就是可以分析不同號碼之間的共同聯(lián)系人，對于窩案具有一定作用。其實(shí)使用EXCEL也同樣可以做到。例如用EXCEL分析“號碼1”、“號碼2”、“號碼3”三個(gè)號碼兩兩之間以及三個(gè)之間是否存在共同聯(lián)系人，那么可以先將三個(gè)號碼的通話清單先分別填充顏色，如“號碼1”填充黃色、“號碼2”填充紅色、“號碼3”填充藍(lán)色，接著將三份通話清單先后復(fù)制到一個(gè)EXCEL表格里面，接著按照上述通話頻率統(tǒng)計(jì)的辦法使用“countif”函數(shù)對通話頻率進(jìn)行統(tǒng)計(jì)，然后排序。這時(shí)從表格中可以發(fā)現(xiàn)，如果“號碼1”、“號碼2”、“號碼3”之間存在相同的對方號碼(即共同的聯(lián)系人)，那么相同的對方號碼便因?yàn)樯鲜鐾ㄔ掝l率統(tǒng)計(jì)的關(guān)系而被排列在了一起，并且有代表不同被分析號碼的不同顏色予以區(qū)分。這樣一來，我們便可以從表格上清晰地看出不同號碼之間的共同聯(lián)系人(如圖3)。從圖3中可以看出，號碼3(1-6行)和號碼2(7-11行)存在共同聯(lián)系人。

圖3 共同聯(lián)系人統(tǒng)計(jì)圖

第四，共同基站分析。共同基站分析也是基于排查發(fā)現(xiàn)的兩個(gè)或兩個(gè)以上的被調(diào)查人(如可疑行受賄人或被調(diào)查人及其可疑情人)的話單進(jìn)行分析。分析出二者或多者存在共同基站，接著便看共同基站出現(xiàn)的時(shí)候，發(fā)生通話/上網(wǎng)的具體時(shí)間。如時(shí)間相同或相近，可推斷二者或多者處于同一地點(diǎn)，再根據(jù)初查材料進(jìn)行分析或采取進(jìn)一步行動。例如分析發(fā)現(xiàn)可疑行受賄人間存在共同基站，而該基站附近存在酒吧、夜總會等地方，那么便可以前往調(diào)取共同基站出現(xiàn)時(shí)間段的監(jiān)控錄像，調(diào)查可疑行受賄人是否共同出入該地;又如被調(diào)查人及其可疑情人多次出現(xiàn)在共同基站，而該基站附近存在酒店或商品房，那么該地可能是二者開房的酒店或者同居的商品房，接著可以到酒店調(diào)查二者是否共同開房或根據(jù)初查材料分析二者的同居商品房地址。

分析時(shí)可選取通話基站或上網(wǎng)基站，不過因?yàn)閮蓚€(gè)或兩個(gè)以上的被調(diào)查人共同處于某個(gè)地點(diǎn)的時(shí)候，不一定同時(shí)發(fā)生通話或間隔不久相繼發(fā)生通話而產(chǎn)生通話基站信號，但其手機(jī)的上網(wǎng)數(shù)據(jù)流量一般情況下都是開著的進(jìn)而產(chǎn)生上網(wǎng)基站信號，所以分析時(shí)可以上網(wǎng)基站分析為優(yōu)先。由于共同基站分析需要有對多個(gè)被調(diào)查人的基站進(jìn)行共同分析，因此也需要雙話單或多話單，分析方法同上述基站信號分析以及共同聯(lián)系人分析。如分析“號碼1”和“號碼2”的共同基站，先是對兩個(gè)話單填充不同顏色然后并入一個(gè)EXCEL表里，將基站編碼和位置區(qū)碼合并成新列“基站位置”，接著使用“countif”函數(shù)對基站位置進(jìn)行統(tǒng)計(jì)、排序。如果“號碼1”、“號碼2”之間存在相同的基站位置，那么相同的對方號碼便因?yàn)樯鲜龌疚恢媒y(tǒng)計(jì)的關(guān)系而被排列在了一起，并且有代表不同被分析號碼的不同顏色予以區(qū)分。這樣便可以清楚地看出二者的共同基站位置了。

第五，興趣、習(xí)慣分析。從被調(diào)查人的通話、短信和上網(wǎng)記錄中，可以分析出很多被調(diào)查人的興趣愛好、生活習(xí)慣等，比如從每天的早晚通話時(shí)間可以看出被調(diào)查人的作息習(xí)慣，從對方短信賬號可以看出被調(diào)查人主要使用銀行卡的開戶行、投資理財(cái)開戶銀行或公司等等，這些分析結(jié)果不一定對案件線索有直接幫助作用，但也有成為案件某個(gè)突破口的可能性。

*福建省廈門市思明區(qū)人民檢察院反貪局［361005］