謝 玲

(西南政法大學刑事偵查學院， 重慶 401120)

0 引言

隨著移動互聯網技術和智能通訊手段的更迭、個人財富數據集中方式的多樣化和快捷支付體系的建立，犯罪人借助電信、網絡終端實施的“非接觸”式電信網絡詐騙案件高發(fā)，呈現出大數據時代背景下犯罪手段智能化、方式信息化、目標廣泛化、成員團伙化、行動跨境化等新型犯罪特征。近年來，在公安機關的嚴厲打擊下，電信詐騙案件發(fā)案率有所回落，據統(tǒng)計，2018年全國案件總數相較于2017年、2016年分別下降10.96%、34.98%，涉案總金額相應下降15.93%、36.63%。但是，個別省份發(fā)案率高于其他地區(qū)平均發(fā)案水平，區(qū)域犯罪形勢仍然嚴峻。本研究著眼于電信網絡詐騙案件偵查與傳統(tǒng)偵查不同的偵查策略和偵查方法，以扎根理論為基礎進行質性研究，通過對電信網絡詐騙案件報告的文本分析，提煉核心理論范疇，探索電信詐騙案件偵查的邏輯路徑和結構模型，為打擊治理電信詐騙犯罪的偵查實務提供參考。

1 研究對象和工具

1.1 對象

本研究采集的文本和數據均來自于2018年全國各地公安機關辦理電信網絡詐騙的案件報告隨機抽樣，共獲得147份案件報告作為本文分析的數據基礎。其中，涉及菲律賓、泰國、柬埔寨、緬甸、馬來西亞、臺灣等境外窩點的樣本8份，其余139份為境內窩點樣本。樣本種類如圖1所示，其中“其他詐騙”具體包括以辦理稅務事項、幫助戒除網癮、參加充值返利活動、出售考試答案、發(fā)表論文、教授網絡游戲、利用資金漏洞平臺盈利、冒充金融客服、私家偵探調查、網絡賭博、網絡戀愛交友、網絡募捐、網絡招嫖、虛假旅游報團、中獎繳納保證金、咨詢合作項目、介紹客戶的名義實施的詐騙，共計12類27種類型，占公安部公布的48種通訊網絡詐騙手法種類的56%。每一份案件報告(樣本數)均涉及串并案(案件數)分析，因而實際分析案件數量為453起，其分布情況如圖2所示。

圖1 研究樣本所涉電信網絡詐騙案件種類和數量

圖2 研究樣本串并案件數量

1.2 工具方法

電信網絡詐騙有別于傳統(tǒng)詐騙，實務中運用的偵查對策和方法隨著詐騙手段的推陳出新不斷演化發(fā)展，有待于提煉形成新的偵查理論模型更好地指導和服務于偵查工作。在以建構理論為宗旨的質性研究方法中，扎根理論(Grounded Theory)是與偵查科學注重實踐理性之理論品性最契合的分析方式之一，是使用研究中收集到的實證數據生成一個新理論的定性方法[1]：“扎根”于第一手案件研判資料和真實數據，“逐步向上”演繹和歸納出犯罪發(fā)生經過與偵查權導入角度的程式，使現行偵查模式更加規(guī)范科學。

本研究采用質性研究中常用的計算機輔助軟件工具NVIVO11 Pro對研判材料進行定性分析。NVIVO是在1991年Tom Richards和Lyn Richards研發(fā)的質性研究計算機軟件NUD*IST基礎上發(fā)展而來的，它采用“編碼”的方式將文本資料裂解并概念化和范疇化形成各級節(jié)點，從中發(fā)現和建立新的理論[2]。本研究對案件報告進行至少3次的逐級登陸分析：第一，在開放編碼階段，逐字逐句讀取每一份案件報告，從中發(fā)現、提取關鍵字句作為自由節(jié)點并按照概念的屬性與維度加以初步命名，納入每一節(jié)點中的參考點代表所有研判資料中相同編碼內容出現的頻次；第二，在主軸編碼階段，根據犯罪活動與偵查活動的對策關系和功能關系建立概念類屬，通過開放性節(jié)點向樹狀節(jié)點轉化的方式，劃分歸納出“犯罪行為軌跡”“人員流偵查路徑”等主要類屬，“詐騙資訊傳輸線”“詐騙資金注入點”次要類屬，從材料文本中摘入編碼頻次形成節(jié)點編碼體系，闡明由犯罪現象與行動策略之間的互動方式，確認影響偵查思路的情境因素和條件，描述偵查策略和方法產生的實際效果，形成一個犯罪與對策的派典模式(Paradigm Model)作為該類犯罪偵查邏輯雛形；第三，在選擇性編碼階段，在已經產生的概念類屬中選擇“軌跡碰撞分析”作為頻繁出現、能夠串連所有主軸編碼中類屬的“核心類屬”，對其維度、特征、條件、影響和策略等屬性進行登陸[3]，在理論結構上擴容出一個針對電信網絡詐騙犯罪的偵查邏輯模型。

2 結果分析

文中所有編碼都是具有偵查意義的要素，基于組織偵查邏輯模型的需要，本文僅選擇對構建派典模型有重要貢獻的編碼及其代表的偵查方法和策略進行解碼分析，其余編碼僅作概念類屬編碼統(tǒng)計的一般列舉。

2.1 犯罪行為軌跡編碼分析(節(jié)點及編碼參考點見表1)

犯罪行為軌跡是由作案人按照劇本話術和行騙需要設計的“A詐騙資訊傳輸線”與受害人將資金實際打入的“B詐騙資金注入點”交互匯聚產生犯罪收益的路線?！癆詐騙資訊傳輸線”是指作案人推送或推廣詐騙信息以實施詐騙行為的資訊渠道或載體，它既是作案人對受害人的犯罪溝聯方式，也是各據一方、互不相識、分工明確的作案成員之間緊密協(xié)助的犯罪平臺。依據本研究參考點數統(tǒng)計，目前，詐騙資訊傳輸最常用的是“A5聊天軟件、網絡社區(qū)、網購平臺輸出信息”占37.4%，涉案類型為網絡交友誘導賭博、投資類詐騙、網絡戀愛交友類詐騙，網絡詐騙渠道的盛行暴露出國內聊天軟件、交友網站存在隨時注冊、審核不嚴、未嚴格執(zhí)行網絡實名制等諸多管理漏洞；而利用手機傳播詐騙信息“A1打電話”占21.5%，“A4發(fā)短信”占8%，涉案類型為冒充軍警購物詐騙、冒充熟人(老板)詐騙、網絡刷單類詐騙，雖然隨著即時通訊手段的演變，近年來電話詐騙在案件類型中由最初的70%下降到30%逐漸被網絡詐騙取代，但相對于微信、Q詐等互聯網詐騙，運用電話方式的“優(yōu)勢”在于能夠對詐騙信息做撒網式的普遍推廣，對于特定類型案件仍有廣泛適用空間；最新的、呈上升趨勢的詐騙資訊傳輸方式是結合電話、短信和網絡詐騙手段的“A3多種手段結合使用”，占比高達20.9%。其中，最具有代表性的案件類型是采取多種信息輸出手段的臺灣系冒充公檢法詐騙：一線“話務人員”由機器人撥打智能語音電話，二線“話務人員”使用網絡電話通話并通過改號軟件實現來電任意顯示，三線“話務人員”使用手機誘騙受害人，三線之后采用網絡即時通訊工具持續(xù)與受害人通聯“洗腦”，為騙取信任另以“A9制作詐騙專用炒股平臺、賭博網站、官方網站或APP”的方式偽造司法機關官方網站鏈接和通緝令。當前采用簡單的電話或短信方式完成整個詐騙流程的電詐案件呈現萎縮，詐騙資訊傳輸線的演變發(fā)展趨勢反映出犯罪日益分工細密、團隊作案、手法多元的特征。“B詐騙資金注入點”是指受害人因受蒙蔽或誘導向作案人轉移支付資金的方式。依據本研究參考點數統(tǒng)計，位居前兩位的是以快捷支付方式“B8微信、QQ或支付寶轉賬、充值、發(fā)紅包”轉賬等方式實施詐騙占33.2%，常用支付方式“B5提供銀行卡號、身份證號及驗證碼”轉賬占比為19%。采取不同的行騙渠道取決于詐騙劇本指向的犯罪類型、作案人的網絡技術支持狀況、犯罪流程設定以及對公民個人信息精準程度的掌握等個案條件，比如，快捷支付方式實施簡便、效率高但前期需要對受害人長時間的情感“經營”、獲取受害人信任或只求短、頻、快的小額詐騙；常用支付方式則需要作案人額外制作虛假網站、購買網上準金融產品，且受害人本身具備對網絡轉款二次驗證等網上支付常識缺乏的特征，常見于被騙數額巨大的貸款類詐騙。

表1 電信網絡詐騙案件犯罪行為軌跡編碼統(tǒng)計

2.2 人員流偵查編碼分析(節(jié)點及編碼參考點見表2)

“人員流偵查”是指從已知的作案人或嫌疑人出發(fā)，通過偵查發(fā)現或確定犯罪事實。選擇偵查的途徑一般從人、事、物3個方面著手[4]，“由人到事”的人員流偵查遵循一種由已經事實推出未知事實的犯罪偵查邏輯，可以從偵控基礎、偵查技戰(zhàn)法、技術反制三個維度揭示它的內涵與應用場景。

第一，作為偵控基礎的人員流偵查是指涉案人員真實身份構成基本要素查證系啟動或深入開展“資金流偵查”“信息流偵查”重點輸出地人員管控的基礎。比如資金賬戶調查中對可疑銀行卡戶主進行“C1查清嫌疑人身份證、支付和聊天軟件ID、手機號、綁定銀行卡及WIFI個人信息、工作單位”等身份基本構成要素開展調查以確定嫌疑人身份背景情況；基于偵查實務中對犯罪人戶籍所在地分析結果顯示：10%高危地區(qū)嫌疑人實施了90%的電詐案件，采取重點輸出地人員信息篩查實施偵查和管控。一方面，將可疑人員信息中戶籍所在地顯示為重點輸出地的人員納入重點嫌疑對象，在利用MAC碼、IP反查時發(fā)現有網銀登陸地址為高危地的情形，結合其他分析將該網銀賬戶鎖定為嫌疑人賬戶；另一方面，總結重點輸出地人員作案特點與案件類型，依據報案人陳述的該類犯罪手法特征鎖定嫌疑人地域范圍。

第二，作為偵查技戰(zhàn)法的人員流偵查具體是指，基于出境打擊的困難，在難以搜集涉案數據信息和現場物證的情形下，對已經明確詐騙嫌疑身份的涉案人員以到案審訊、偵查實驗的方式還原窩點架構、由人到案地關聯串并案件，組織、形成和固定完整證據鏈的偵查方法。例如，從“C2出入境信息”入手，對具有重點輸入地戶籍、境外滯留時間與窩點周期相符、同行結伙、攜帶黑卡和前往高危出境地特征的人員信息進行篩選和鎖定，對已經納入偵控視線、因旅游護照到期即將回國的入境嫌疑人員實施控制，立足于網絡犯罪證據體系的基本架構對嫌疑人實施審訊和偵查實驗，以確定其涉嫌電詐的案件類型、窩點運作模式和工作規(guī)律、人員構成和角色承擔、詐騙對象特征及金額、資金轉賬方式等重要案件事實，根據案件特征指向編碼關鍵詞，從各省市案件庫交叉串并出對應案件的“C3關聯接警信息”實現人案關聯。

第三，作為技術反制的人員流偵查具體是指對可疑賬戶、開戶人、賬號用戶實施技術監(jiān)管和限制使用?；诳梢扇藛T信息、設備、賬戶的研判，將相關人員信息推送銀行、第三方支付機構、網絡運營商，推動其在本行業(yè)內設立風險等級黑名單，對與可疑人員身份注冊關聯的銀行卡及設備有條件地限制或禁止使用。

表2 電信網絡詐騙案件人員流偵查編碼統(tǒng)計

2.3 信息流偵查編碼分析(節(jié)點及編碼參考點見表3)

“信息流偵查”是指利用通訊流和網絡通信流查證電詐犯罪的偵查方法。與“C人員流偵查”相反，它與“E資金流偵查”都是遵循從已知信息到人或涉案設備的、“由事到人”的犯罪偵查邏輯。

由虛擬設備、線路關聯到犯罪使用設備、作案人生活使用設備及人員真實身份的偵查路徑主要包括:第一，信息的逐級溯源查詢和分析。通過犯罪案件線索和企業(yè)數據的預警提示，及時抓取作案手機號、即時通訊賬號、網站域名等犯罪工具關鍵信息，查詢和分析通訊話單發(fā)現犯罪目標服務器，查找數據進出的上下游服務器，逐級向前追溯來源和向后追溯下一次案發(fā)去向；第二，信息的關聯行業(yè)和客戶分析。從涉案服務器或域名獲取和維護途徑入手，查找租用者、使用者IP或關聯出其它虛擬賬號，定人獲取服務器的賬號、密碼和話單；第三，信息的同環(huán)境技術分析。“D10信息流同環(huán)境伴隨分析”項下顯示了偵查實踐中常用的分析方法，其基本思路是通過電話號碼、聊天支付軟件賬號關聯窩點WIFI、語音網關、PC電腦、筆記本電腦、手機等上網設備，在同線路同IP下發(fā)現生活使用的賬號、設備，以及拓展出登陸被查設備的其他賬號；第四，信息的虛實軌跡分析。“D4多項信息流軌跡及碰撞分析”項下所列舉的多種偵查方法，是對犯罪人的真實身份與虛擬身份、生活軌跡與線上軌跡進行對沖碰撞，以確定和印證虛實身份是否具有“同一性”、線上注冊軌跡和偵查掌握的IP、登陸日志是否吻合，從而實現偵查定人和偵查定位。

2.4 資金流偵查編碼分析(節(jié)點及編碼參考點見表4)

“資金流偵查”是指通過對涉案資金交易對手賬戶逐級查詢的方式擴線追蹤資金去向，直至取款卡落地的偵查方法。資金流偵查的實施意義主要表現在兩個方面：一是通過資金鏈路了解資金來龍去脈，二是在資金流查證中追蹤嫌疑人轉移資金的工具和方式。

資金鏈路表現為資金賬戶軌跡的動態(tài)變化，偵查人員通過核查資金賬單和資金往來信息發(fā)現作案人的真實身份，但從資金賬戶查詢入手開展調查仍存在現實障礙，作案人為了躲避查證通常采取反偵查手段在多級“人頭”賬戶中拆分、演變贓款直至落地變現：第一，以多級洗錢的方式將贓款轉入最后提現的銀行賬戶。從“E2多級銀行卡資金流向軌跡分析”的編碼情況來看，22%的案件作案人在受害人資金進入一級賬戶后直接取款或消費，43.9%的案件被騙資金流向了三級以上賬戶，最終取款落地；第二，為了逃避偵查機關以“E8銀行賬號止付凍結”的方式限制資金流動，使用“轉賬寶”等用于賭博網站的黑灰產業(yè)洗錢產品操作網上銀行，設置程序將收到的多筆贓款通過設備自動即行轉款到目標賬戶，以縮短轉賬資金在各級賬戶中停留的時間；第三，為了便于從ATM機上取款，作案人對涉案資金進行拆分，通常是以ATM機最高取款限額轉入多張銀行卡分次提現；第四，為了躲避銀行對轉存款的反洗錢和風控查證，采取線上第三方平臺、對公賬戶、賭博網站支付消費，以線下POS機消費做物理隔斷分散資金，從而降低檢測出非法資金提供接口的風險性。面對紛繁復雜的資金流，偵查人員在以資金賬單為基礎的資金往來查證方面，第一，對于涉案資金對手賬戶之間的關聯層層查證、務必窮盡，及時追蹤直接轉賬、取款反存的簡單或小額電信詐騙案件，對于大額復雜案件緊追資金去向、擴展資金對手自動跟蹤并延伸止付保護受害人資金；第二，依據“E9由交易對手賬號、返款賬戶、試充值記錄查找嫌疑人及其受害人對手信息”，對小額返款賬戶，排查對手信息發(fā)現更多受害人，對“E11資金流向下級嫌疑銀行賬戶篩查”重點關注和技術跟蹤以ATM取款最

高限額轉入的二級卡、三級卡，其下級卡賬戶可能具有提現風險，另外要將涉案下級銀行卡發(fā)生在異常取款時間段的小額試充值、查詢等測試銀行卡行為納入偵控，一方面根據ATM機IP地址劃出查詢和取款軌跡，發(fā)現嫌疑人近期活動區(qū)域；另一方面按照“D4.11手機、QQ、微信、ATM機IP活動軌跡與生活軌跡、相關實名登記信息、窩點地碰撞分析”等方法，將資金查詢或存取軌跡與周邊住宿信息進行碰撞以便發(fā)現嫌疑人；第三，從資金往來查找嫌疑人轉移資金過程中留下的電子記載痕跡。例如，從賬戶操控人的背景調查中獲取嫌疑人員信息并入“人員流偵查”，以“E3取款人民幣冠字號、ATM機日志、取款監(jiān)控查詢”的方式提取ATM機上的數據資料，調取嫌疑人在ATM機上操作和發(fā)起存取款、查詢的時間和地點信息，以ATM機記錄的取款人民幣冠字號追蹤嫌疑人活動范圍和軌跡。

偵查人員在以作案人轉移資金的工具和方式為基礎的資金伴生軌跡查證方面，以資金流查證對接信息流偵查方法。第一，發(fā)起對涉案賬戶或可疑賬戶登陸信息的反查。查詢該IP地址下的關聯賬戶、銀行登陸記錄，獲取最末端上網設備的MAC碼接入“D信息流偵查”，以及檢索同一登陸IP地址下的其他登陸人員接入“C人員流偵查”做出其真實身份和銀行賬戶信息納入偵查視線；第二，依據作案人向涉案銀行客服中心提起查詢請求的電子登陸記錄反查其來電號碼；第三，追蹤作案人準備犯罪、實施犯罪后洗錢的付款方式等相關信息，如倒查作案人支付改號透傳線路、服務器供應商、成員分贓的資金鏈路留下的通訊和網絡通信信息；第四，接入“D10信息流同環(huán)境伴隨分析”，透過作案人經第三方平臺購買點卡、虛擬貨幣再提現、代付收錢等層層物理隔斷在網絡同環(huán)境中查找收益賬戶，最終并入“C人員流偵查”確定嫌疑人身份。

表4 電信網絡詐騙案件資金流偵查編碼統(tǒng)計

3 結論與討論

電信網絡詐騙案件最突出的特點在于虛擬空間環(huán)境和高新技術手段所帶來的“非接觸”式作案。在線行為主體一定條件下可以突破虛擬身份的安全特征、變化不同的數字身份，層層拆分資金，使用虛擬器登陸、IP秒變等互聯網技術增加了偵查的難度。在大數據組成的數字世界中去篩選、打撈數據，如果沒有偵查邏輯模式和應用規(guī)則可循將會付出高昂的代價、錯過最佳破案戰(zhàn)機。人員流、資金流、信息流分析是電信網絡詐騙大數據應用場景的重要組成部分，其作用是追蹤和比較身份、資金、通訊、網絡數據從案發(fā)轉款到資金落地在數字世界中的發(fā)展軌跡與在實體世界的散落痕跡，并在它們之間進行充分的數據對撞，通過“軌跡碰撞分析”尋求線上和線下偵查對象、目標的重合，將“躺著的”、高速流動的可疑數據從符號現象中“立起來”，對應具體案件的現實要素，以實現案件的偵破。

本研究的編碼結果表明：電信網絡詐騙的犯罪場景和腳本主要發(fā)生在外部通聯工具內，從事相應偵查活動必然涉及兩部分重要數據的研判分析：一是公安系統(tǒng)掌握的與行政管理登記、注冊相關的內部數據；二是公安系統(tǒng)外部由第三方支付、通訊運營商控制的、在通訊和網絡服務中自動生成的企業(yè)數據，所有與案件相關的各種數據均處于公安大數據內部機理與企業(yè)大數據外部機理的交匯點上，它們共同構成電信網絡詐騙案件偵查邏輯模型的信息支撐條件和模型主干部分。內、外部大數據之間首先要構建通聯渠道，其次警方與企業(yè)雙方要形成統(tǒng)一的偵查邏輯主線。銀行、運營商、互聯網公司的數據池中存儲著大量自動產生的外部數據對案件偵破起著關鍵作用，直接接觸這些數據的企業(yè)工作人員如何及時提取關鍵數據、有用數據必須依賴專門偵查邏輯對數據整合、“軌跡碰撞分析”的指令和要求。因此，在偵查邏輯模型的“研判側”需要偵查人員預先對每一類案件的作案手法進行破解和分析，以偵查思維研判各類案件作案特征和弱點，對應形成各項偵查邏輯；在“應用側”將源頭使用和開戶環(huán)節(jié)控制方式、犯罪工具獲取渠道篩選方向、異常使用環(huán)節(jié)風控識別校驗路徑的各類偵查邏輯同時植入公安內部大數據和企業(yè)外部大數據的目標數據池，形成針對每一類案件的資金異常甄別模型、通訊異常甄別模型、重點人員偵控模型等案件分類大數據智能應用模塊，涉案數據可根據需要人工篩選或自動“溜出”；有效數據在“打擊側”參與預警和偵查活動的運作機制，通過公安綜合預警平臺、技術反制平臺、偵查破案平臺實現大數據環(huán)境下警企合作多方數據的互聯互通和有效適用，邏輯模型如圖5所示。比如曾經高發(fā)的“嗅探”案件，它不僅攻擊了短信的安全認證體系，也顛覆了第三方支付的認證系統(tǒng)，社會危害性極大。通過運用偵查邏輯在線下剖析其作案規(guī)律，找到弱點并施以針對性的技術手段，以阻隔其成為電信網絡詐騙主流犯罪方法的危險。

圖5 電信網絡詐騙案件偵查邏輯模型