于 龍（遼寧省公安廳，遼寧 沈陽 110032）

隨著5G 時代到來和互聯(lián)網(wǎng)科技的發(fā)展，中國網(wǎng)絡(luò)安全整體雖然保持平穩(wěn)態(tài)勢，但用戶信息泄露、網(wǎng)絡(luò)黑客勒索和通訊信息詐騙等問題呈逐年上升趨勢，利用互聯(lián)網(wǎng)技術(shù)進行盜竊、詐騙、敲詐以及從事色情活動等各類違法犯罪案件頻繁發(fā)生，圍繞互聯(lián)網(wǎng)衍生的黑產(chǎn)行業(yè)正在形成規(guī)模。信息網(wǎng)絡(luò)技術(shù)為代表的新科技產(chǎn)業(yè)革命已經(jīng)萌發(fā)[1]，相關(guān)黑色產(chǎn)業(yè)為黃賭毒、詐騙、洗錢等犯罪通過網(wǎng)絡(luò)空間肆意蔓延提供了支撐，并嚴重破壞互聯(lián)網(wǎng)秩序，侵害公民人身和財產(chǎn)權(quán)利，給公安機關(guān)維護網(wǎng)絡(luò)安全帶來了嚴峻的挑戰(zhàn)。網(wǎng)絡(luò)黑產(chǎn)，又稱網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，公安部將其定義為借助互聯(lián)網(wǎng)技術(shù)、網(wǎng)絡(luò)媒介，為黑客攻擊、網(wǎng)絡(luò)黃賭、通訊網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)水軍等違法犯罪活動提供幫助，并從中牟利的犯罪產(chǎn)業(yè)。經(jīng)過長時間的技術(shù)積累和變化，網(wǎng)絡(luò)黑產(chǎn)已形成技術(shù)服務(wù)類、賬號身份類、營銷推廣類和資金結(jié)算類四大主要模式。在此基礎(chǔ)上，網(wǎng)絡(luò)黑產(chǎn)犯罪則是指利用計算機網(wǎng)絡(luò)實施的以犯罪組織網(wǎng)絡(luò)化、犯罪流程鏈條化為特征的遠程非接觸式團伙犯罪形態(tài)。公安機關(guān)為營造清朗的網(wǎng)絡(luò)空間，治理網(wǎng)絡(luò)黑產(chǎn)犯罪產(chǎn)業(yè)鏈勢在必行。[2]

一、網(wǎng)絡(luò)黑產(chǎn)犯罪鏈條

網(wǎng)絡(luò)黑產(chǎn)犯罪是多個黑色產(chǎn)業(yè)鏈組合實施的結(jié)果，這些黑產(chǎn)鏈條越來越多地采取平臺化運作、定制化服務(wù)的方式為多個網(wǎng)絡(luò)犯罪活動高頻同步地提供支持。網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈可細分為上、中、下游。上游包含：發(fā)布需求或定制黑灰產(chǎn)服務(wù)的老板、從攻擊網(wǎng)站中獲取信息并販賣的黑客、收集提供各種網(wǎng)絡(luò)黑灰產(chǎn)資源的商人（如手機黑卡、動態(tài)IP 等）；中游包含：根據(jù)上游需求，負責開發(fā)定制黑灰產(chǎn)工具的技術(shù)人員、以自動化手段整合各種黑灰產(chǎn)資源的數(shù)據(jù)商人等；下游包含：實施犯罪活動的一線操作人員。

（一）個人信息鏈條

從使用頻率看，個人信息鏈條為其他鏈條提供原料支撐，個人信息多次流轉(zhuǎn)、反復聚合不會減值，使用頻率最高，傳導路線最長，可復用性最強，在網(wǎng)絡(luò)犯罪生態(tài)中具有基礎(chǔ)性地位，涉及非法提供、獲取、竊取、清洗、轉(zhuǎn)售、交換、利用等環(huán)節(jié)。

（二）網(wǎng)絡(luò)賬號鏈條

網(wǎng)絡(luò)賬號鏈條是通過提供非實名賬號或者偽實名賬號，如未實名登記的電話號碼、網(wǎng)絡(luò)應用賬號，為犯罪分子利用電話、手機、電子郵箱、即時通訊、論壇、微博等網(wǎng)絡(luò)服務(wù)實施犯罪提供支持，其主要涉及賬號注冊（盜取）、租賃（購買）、使用或者盜用等環(huán)節(jié)。

（三）網(wǎng)絡(luò)流量鏈條

網(wǎng)絡(luò)流量鏈條是使用非法線路、加密通信、私設(shè)信道，為違法犯罪分子隱藏身份、隱蔽通信、繞過防線、逃避打擊提供支持，其主要形式是通過盜接網(wǎng)絡(luò)線路、創(chuàng)建加密通信應用或者繞開國家監(jiān)管私設(shè)信道支撐網(wǎng)絡(luò)違法犯罪，涉及非法線路、加密通信或者非法信道的拾建、轉(zhuǎn)租、使用、掩護等環(huán)節(jié)。

（四）工具技術(shù)鏈條

這是指木馬病毒、網(wǎng)站、應用、域名、基站、主機等網(wǎng)絡(luò)犯罪工具的研發(fā)、租用、銷售和網(wǎng)絡(luò)入侵、攻擊、種馬等技術(shù)服務(wù)鏈條，以及供各類犯罪共同應用的通道、平臺、虛擬貨幣和知識輸送等網(wǎng)絡(luò)犯罪基礎(chǔ)設(shè)施，涉及生成（搭建、控制）、租用（購買）、使用、維護等環(huán)節(jié)。工具技術(shù)鏈條的智力密集性特點，決定了它是最為稀缺的黑產(chǎn)鏈條。

（五）推介廣告鏈條

推介廣告鏈條通過硬件設(shè)備、線路接入、瀏覽入口、信息搜索、網(wǎng)絡(luò)頁面、應用插件等載體為網(wǎng)絡(luò)犯罪提供廣告推送、應用推介、應用安裝服務(wù)，涉及入口設(shè)置、內(nèi)容投放、信息獲取、應用安裝等環(huán)節(jié)。

（六）資金通道鏈條

資金通道鏈條作為最為關(guān)鍵的鏈條，其末端往往指向網(wǎng)絡(luò)黑產(chǎn)犯罪的核心人物，為犯罪分子提供銀行、支付、電子商務(wù)、取現(xiàn)等資金流轉(zhuǎn)、掩飾、套現(xiàn)通道，涉及賬號開設(shè)、資金轉(zhuǎn)移、取現(xiàn)、消費、洗錢等環(huán)節(jié)。

二、網(wǎng)絡(luò)黑產(chǎn)犯罪的特點

隨著互聯(lián)網(wǎng)日益普及，網(wǎng)絡(luò)黑產(chǎn)犯罪借勢發(fā)展，攫取巨額利益，借助互聯(lián)網(wǎng)非接觸式的特點，其組織方式、外在表現(xiàn)形式、波及范圍、影響危害均發(fā)生了深刻變化，相互交織構(gòu)成錯綜復雜的網(wǎng)絡(luò)違法犯罪生態(tài)，更是在犯罪主體、犯罪手段和犯罪形式等方面呈現(xiàn)出以下特點。

（一）犯罪主體低齡化、地域化、組織化

縱觀2020 年全年，因個人信息泄露、垃圾短信、詐騙信息等原因造成了人民群眾不同程度的經(jīng)濟財產(chǎn)損失，網(wǎng)民總體損失約805 億元。①數(shù)據(jù)參見《2020 年中國網(wǎng)民權(quán)益保護調(diào)查報告》。公安部連續(xù)開展“凈網(wǎng)2018”“凈網(wǎng)2019”等專項行動，全國公安機關(guān)已偵破涉網(wǎng)案件4 萬余起，抓獲犯罪嫌疑人5 萬多名。[3]筆者通過對已經(jīng)破獲的案件和近年來抓獲的從事網(wǎng)絡(luò)黑色產(chǎn)業(yè)人員進行分析發(fā)現(xiàn)，大多數(shù)黑色產(chǎn)業(yè)人員都是1990 年以后出生，年齡在18-30 歲之間的占了犯罪主體的近八成，屬于典型的低齡型犯罪，且戶籍所在地集中在福建、湖南、廣東、廣西等地，呈現(xiàn)出鮮明的地域化特點。組織化是近些年黑產(chǎn)犯罪主體的重要特點，即呈現(xiàn)出分工明確、組織嚴密、協(xié)同作案的趨勢。國內(nèi)黑產(chǎn)犯罪組織更為復雜、精細。從產(chǎn)業(yè)鏈分布來看，上游有挖掘互聯(lián)網(wǎng)平臺漏洞制作攻擊工具的團隊，專門的料商、卡商和養(yǎng)號平臺；中游有針對不同交易類型搭建交易模塊，提供集約化處理方案的組織；下游分布著廣大的金字塔式的群體，如代理群體、推廣引流人員以及維護公司聲譽的公關(guān)人員。

（二）犯罪形式結(jié)構(gòu)化、分層化、鏈條化

網(wǎng)絡(luò)黑產(chǎn)犯罪以牟利為目的，犯罪組織層級關(guān)系明確、分工不斷細化；產(chǎn)業(yè)鏈組織周密、層級分明。從近年來破獲的多起網(wǎng)絡(luò)黑產(chǎn)犯罪案件中可以發(fā)現(xiàn)，網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈已經(jīng)形成了較為穩(wěn)固的金字塔結(jié)構(gòu)犯罪形式，自上而下人員數(shù)量逐漸增多，技術(shù)含量逐步降低，產(chǎn)業(yè)分工非常明確。金字塔的頂層負責技術(shù)與信息服務(wù)，由掌握計算機技術(shù)和互聯(lián)網(wǎng)資源的人員構(gòu)成，是整個產(chǎn)業(yè)鏈的技術(shù)核心，其作用是為犯罪提供網(wǎng)絡(luò)技術(shù)、黑客工具、非法流量、互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通訊傳輸?shù)戎魏头?wù)。金字塔的中游是具體實施犯罪人員，由大量直接面向受害人實施作案的犯罪團伙構(gòu)成，是整個產(chǎn)業(yè)鏈的罪惡根源。該層的犯罪嫌疑人一般通曉實施網(wǎng)絡(luò)犯罪的方法，他們一方面購買技術(shù)服務(wù)，一方面尋找洗錢銷贓的渠道，串聯(lián)起了整個網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈。金字塔的底層是洗錢銷贓人員，由大量專門從事洗錢、銷贓業(yè)務(wù)的犯罪團伙組成，是整個產(chǎn)業(yè)鏈的利潤來源。該層犯罪嫌疑人精通資金流轉(zhuǎn)方式、變現(xiàn)渠道和洗錢方法，窮盡各種方法為中游犯罪團伙轉(zhuǎn)化違法所得。

（三）犯罪手段專業(yè)化、智能化、隱蔽化

在對犯罪嫌疑人的深入審查發(fā)現(xiàn)，這些人員往往都具備計算機信息分析與應用能力，都能獨立制作詐騙網(wǎng)站、扣費軟件、后臺修改程序等作案工具，具備專業(yè)化特點。網(wǎng)絡(luò)黑色產(chǎn)業(yè)組織往往都有周密的分工，各司其職，互不干擾，但又相互勾結(jié)并緊密與其他違法犯罪活動相交織。網(wǎng)絡(luò)黑色產(chǎn)業(yè)大致可以分為：技術(shù)服務(wù)組、賬號身份組、營銷推廣組、資金結(jié)算組。以兼職刷單類詐騙，行話叫“殺魚盤”為例：網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈從業(yè)人員從源頭上提供用于“上粉”的作案QQ 賬號，并且通過秘密手段提供用于修改鏈接、二維碼數(shù)據(jù)的“過0”軟件以及企業(yè)QQ 賬號?！斑^0”軟件可以將任意金額的淘寶鏈接顯示金額修改為0 元，但實際上待宰的“魚”仍然要支付出相應的金額；企業(yè)QQ 賬號可以同時開通多個子賬戶，方便詐騙嫌疑人偽裝成企業(yè)客服或淘寶客服進行詐騙。還有專門從事各類二維碼制作的“放碼手”，這類黑灰產(chǎn)從業(yè)人員每天都會制作海量用于詐騙的各類二維碼，并單線聯(lián)系詐騙集團中的骨干人員進行“放碼”，根據(jù)詐騙的實際金額抽取20%～60%不等的提成，已然成為詐騙團伙獲利的重要環(huán)節(jié)。“放碼手”不但會一人聯(lián)系多個詐騙團伙傳授躲避公安機關(guān)打擊的經(jīng)驗，甚至還會主動設(shè)置二維碼和鏈接的使用時限與IP 限制，進一步增強了此類犯罪的隱蔽性。

（四）犯罪經(jīng)營方式國際化、模塊化、團隊化

網(wǎng)絡(luò)黑色產(chǎn)業(yè)經(jīng)營方式已從本土轉(zhuǎn)移國際，以常見的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中的卡商供貨來源為例，從最早的找熟人辦卡已逐漸發(fā)展成為出國勞務(wù)輸出公司代辦和哄騙或利誘外國人辦卡。并且由于我國境內(nèi)反詐騙工作的有效推進，進一步擠壓了存量黑產(chǎn)從業(yè)人員向境外轉(zhuǎn)移并野蠻生長的空間。此類黑產(chǎn)從業(yè)人員還與境外勢力勾結(jié)組織黃賭毒犯罪，并用于反哺通訊網(wǎng)絡(luò)詐騙上游犯罪。

而模塊化改變了早期網(wǎng)絡(luò)黑產(chǎn)只能由較高技術(shù)能力的個體或團隊涉足的現(xiàn)狀，也改變了早期網(wǎng)絡(luò)黑產(chǎn)對高技術(shù)專業(yè)人員的過分倚重。模塊化使終端設(shè)備可以借助主程序、子程序和子過程等獨立發(fā)揮作用，也可以共同發(fā)揮作用，成為一個高效而協(xié)同工作的整體，極大提高了終端完成各種各樣的數(shù)據(jù)傳輸、計算和識別等方面的任務(wù)的效率。

這些都促進了黑產(chǎn)經(jīng)營模式的不斷升級為團隊化。如早期的數(shù)據(jù)交易模式是由不同渠道的人員竊取數(shù)據(jù)后交由數(shù)據(jù)中介處理，再由中介銷售給詐騙集團、金融企業(yè)等團體。這一條數(shù)據(jù)產(chǎn)業(yè)鏈的交易各方都較為分散且處于隱蔽狀態(tài)。而現(xiàn)在數(shù)據(jù)產(chǎn)業(yè)鏈中，合法成立的新型數(shù)據(jù)公司替代了信息中介，他們通過整合不同的數(shù)據(jù)渠道收集海量信息，對信息進行整合、分類、清洗，繼而根據(jù)購買方需求提供定制化數(shù)據(jù)服務(wù)。升級后的數(shù)據(jù)服務(wù)較之從前數(shù)據(jù)信息更為集中，分類更為精細，這就使得數(shù)據(jù)購買方能夠更精準定位目標客戶，精準實現(xiàn)自己的非法訴求。

三、網(wǎng)絡(luò)黑產(chǎn)犯罪的成因分析

（一）不良市場需求催生了龐大的網(wǎng)絡(luò)黑產(chǎn)交易

網(wǎng)絡(luò)時代，流量就是資源，是變現(xiàn)的重要依據(jù)，是一切互聯(lián)網(wǎng)公司估值的重要指標，流量的背后是對網(wǎng)民注意力的占有，而注意力是可以轉(zhuǎn)移的，可以在引導下流入不同互聯(lián)網(wǎng)場景中。流量意味著體量，意味著互聯(lián)網(wǎng)社會最基礎(chǔ)的社會資源，也意味著利益變現(xiàn)。數(shù)據(jù)的意義同樣如此，流量是數(shù)據(jù)的攜帶者，其內(nèi)容就是數(shù)據(jù)，只有掌握了數(shù)據(jù)，才能提高流量的轉(zhuǎn)換率，也就意味著提高流量的變現(xiàn)率。對流量和數(shù)據(jù)的瘋狂追求催生了龐大的黑產(chǎn)交易市場。正是這種市場對流量和數(shù)據(jù)的爭奪促使網(wǎng)絡(luò)黑色產(chǎn)業(yè)不斷升級，不斷損害、干擾正常的網(wǎng)絡(luò)生態(tài)和網(wǎng)絡(luò)信息秩序的形成，為網(wǎng)絡(luò)黑產(chǎn)犯罪相關(guān)業(yè)務(wù)的開展，提供相應的支持。

（二）低成本、高收益模式驅(qū)動網(wǎng)絡(luò)黑產(chǎn)犯罪的持續(xù)擴張

網(wǎng)絡(luò)黑產(chǎn)犯罪根本目的是盈利，是通過非法渠道，通過損害個體利益以及社會公共利益來攫取高額利潤。黑產(chǎn)擴張的前提是市場對流量的瘋狂追逐，擴張的驅(qū)動則是低成本、高收益的盈利模式，突出體現(xiàn)在產(chǎn)業(yè)鏈完善，分工明確。隨著黑客技術(shù)升級和黑色產(chǎn)業(yè)鏈的發(fā)展，一方面，原本較為依賴人工的操作，現(xiàn)在可通過產(chǎn)業(yè)分類，比如通過養(yǎng)號、改號、打碼、跑分等平臺的集中模塊來運營相關(guān)業(yè)務(wù)；另一方面，黑產(chǎn)工具逐漸集中、統(tǒng)一，形成集約化經(jīng)營，黑產(chǎn)操作方在此基礎(chǔ)上將不同服務(wù)鏈打包銷售。如此一來，分攤到整個產(chǎn)業(yè)中的技術(shù)和人力成本不斷降低，不同的黑產(chǎn)模塊構(gòu)成了組織復雜、邏輯嚴密的閉環(huán)，吸引大量人流涌入，為網(wǎng)絡(luò)黑產(chǎn)犯罪提供了源源不斷的資源。

（三）黑產(chǎn)類信息監(jiān)管存在大量盲區(qū)

從運作形式來看，網(wǎng)絡(luò)黑產(chǎn)呈現(xiàn)出多場景、跨平臺的特點。網(wǎng)絡(luò)空間的公開信息的非法性往往并不顯著，違法內(nèi)容和操作通常是從公域進入私域，從公開場景進入私密空間，繼而轉(zhuǎn)向特殊交易平臺或者線下交易場所。從引流內(nèi)容看，網(wǎng)絡(luò)黑產(chǎn)前期投放內(nèi)容通常較為隱晦，以打色情、暴力擦邊球為主，同時采用黑話、諧音、分散插入、變形文字、表情、圖文等多種元素結(jié)合以規(guī)避各平臺篩查。社交媒體是此類信息較為集中的地方，隨著近年來國家監(jiān)管機構(gòu)打擊力度的加大，平臺雖在不斷完善相應管理制度來打擊與黑產(chǎn)有關(guān)的信息發(fā)布、傳播，并不斷加大平臺內(nèi)容審核力度，但仍然難以從根本上解決問題。

（四）海量公民信息泄露給黑產(chǎn)犯罪提供源源不斷的“餌料”

網(wǎng)絡(luò)黑產(chǎn)犯罪對作案網(wǎng)絡(luò)賬號、銀行卡的需求激增，號商、卡商產(chǎn)業(yè)經(jīng)過多輪分工，逐步形成生產(chǎn)和使用獨立協(xié)同、利益共享的穩(wěn)定供給關(guān)系。如“地堆團伙”（指在農(nóng)村、學校等地擺攤收購公民信息的團伙）以誘騙、有償幫助開卡、假扮國家工作人員欺騙開卡等多種方式，誘導他人使用本人信息申辦手機、銀行卡并收集販賣，有的甚至利用他人姓名、身份證號制作假身份證件后開卡。由于運營商和銀行審核把關(guān)不嚴，未認真履行實名認證、資質(zhì)審查等職責，為不法分子開立假賬戶提供了便利。網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員竊取公民網(wǎng)絡(luò)郵箱數(shù)據(jù)、醫(yī)療數(shù)據(jù)、房產(chǎn)數(shù)據(jù)、營商數(shù)據(jù)甚至即時類通訊聊天軟件數(shù)據(jù)等公民個人隱私信息，并在隱匿渠道大肆售賣，這些侵犯公民個人信息犯罪進而形成了黑色產(chǎn)業(yè)鏈，成為各網(wǎng)絡(luò)犯罪的“原料庫”和供養(yǎng)其滋生的“餌料”。

（五）第四方支付等新型支付方式成為網(wǎng)絡(luò)黑產(chǎn)犯罪結(jié)算主要渠道

網(wǎng)絡(luò)黑產(chǎn)犯罪團伙受利益驅(qū)動，對非法支付服務(wù)的需求十分迫切，實踐發(fā)現(xiàn)犯罪團伙的支付結(jié)算主要通過兩種渠道。第一種是個人代充，即本人或其親友注冊多個支付寶、微信賬號，然后開通代充平臺賬號，幫助網(wǎng)站“上分加幣”，進行虛實貨幣兌換。第二種是第四方支付平臺，也是當前支付服務(wù)中最突出的問題，其中涉及碼商、技術(shù)、客服等多個環(huán)節(jié)，犯罪團伙為了躲避第三方支付平臺的風控機制[4]，通過以下方式進行“第四方支付”[5]：一是租用或收購學生、農(nóng)民注冊的微信、支付寶賬號，或者建立專門的接單群，拉人入群以“跑分”方式提供資金結(jié)算，扣除傭金后獲利；二是出錢讓農(nóng)民或其他人員辦理個體工商戶執(zhí)照，開通多個收款賬戶；三是在電商平臺開設(shè)虛假店鋪、注冊小號，利用“空包單號”（即以刷單、刷信譽為目的，創(chuàng)建虛假交易訂單號）以虛假交易形式為賭博公司充值、兌換或支付賭資。

四、公安機關(guān)打擊網(wǎng)絡(luò)黑產(chǎn)犯罪的困境

（一）網(wǎng)絡(luò)黑產(chǎn)組織周密，違法犯罪活動清除難

網(wǎng)絡(luò)黑產(chǎn)呈現(xiàn)出顯著的金字塔結(jié)構(gòu)模式，產(chǎn)業(yè)鏈上游難追溯。各類黑灰產(chǎn)業(yè)鏈犯罪嫌疑人往往分布在不同的作案窩點，各層級人員嚴格歸類，互不交叉。通過分析活躍在多個平臺的網(wǎng)絡(luò)黑產(chǎn)活動以及公安機關(guān)查辦的案件的情況發(fā)現(xiàn)，網(wǎng)絡(luò)黑產(chǎn)犯罪近些年呈現(xiàn)出下游產(chǎn)業(yè)鏈龐大、上游核心產(chǎn)業(yè)難以有效打擊的發(fā)展趨勢。如最為常見的刷量和引流行為，都是處于網(wǎng)絡(luò)黑產(chǎn)產(chǎn)業(yè)鏈的下游，都是大量的普通人參與的群眾性商業(yè)活動。一方面許多參與其中的人難以意識到其行為與黑產(chǎn)之間的關(guān)聯(lián)，監(jiān)管與平臺在落實相關(guān)舉措的時候，也很難對這類活動進行有效管理；另一方面又很難對黑產(chǎn)信息源頭予以有效控制，對黑產(chǎn)核心力量也難以形成斬盡殺絕的效果。為逃避偵查，黑產(chǎn)組織之間往往采用虛擬身份進行交流，上游人員的真實身份十分隱秘，這就導致打掉的往往是“小魚小蝦”，難以從根本上清除非法產(chǎn)業(yè)鏈。

（二）相關(guān)從業(yè)人員隱藏犯罪痕跡，發(fā)現(xiàn)身份難

黑產(chǎn)犯罪的特點在客觀上要求嫌疑人必須通過網(wǎng)絡(luò)實現(xiàn)相互勾聯(lián)，為逃避公安網(wǎng)安部門的感知與監(jiān)管，避免其犯罪行為被發(fā)現(xiàn)，嫌疑人在通訊工具的選擇和使用上異常謹慎。一是頻繁更換主流即時通訊賬號。在使用QQ、微信等社交通訊工具方面會非常謹慎，不定期更換賬號已成常態(tài)，且只談?wù)撘话銉?nèi)容，涉及敏感信息時會使用加密通訊軟件，或轉(zhuǎn)為其他隱蔽渠道。二是喜歡使用語音類即時通訊工具。YY等專業(yè)語音類即時通訊工具實時交流，有利作案，采取即時語音的方式隱蔽性更強，可以更加便利地交流敏感信息。三是優(yōu)先使用境外即時通訊工具。WhatsApp、GTalk 等境外即時通訊工具既能滿足嫌疑人境內(nèi)外聯(lián)系的需要，又有利于逃避公安機關(guān)監(jiān)管，在黑產(chǎn)犯罪中的使用率呈爆發(fā)式增長。

與此同時，在犯罪行為仍有跡可循的情況下，網(wǎng)絡(luò)黑產(chǎn)犯罪嫌疑人主要通過隱藏真實信息的方式，給公安機關(guān)造成干擾。一是隱藏網(wǎng)絡(luò)真實地址。常用方法是單一或綜合地使用VPN、VPS、遠程登錄服務(wù)器、遠程控制計算機等工具或方法，使操作計算機的行為、傳輸?shù)臄?shù)據(jù)經(jīng)過多次跳轉(zhuǎn)，目的是避免暴露真實IP 地址，防止被追根溯源。二是隱藏網(wǎng)下真實信息。常用手段包括使用假身份證、假銀行卡、黑電話卡，注冊各種虛假賬號，購買各類黑賬戶等，同時對上網(wǎng)設(shè)備和通訊工具采取專機專用、定期更換等方式。三是隱藏資金流轉(zhuǎn)渠道。常用手段包括使用第三方支付平臺轉(zhuǎn)移資金、利用地下錢莊洗白資金，雇傭?qū)I(yè)團隊異地提款或刷卡、通過各類網(wǎng)絡(luò)交易平臺實施變現(xiàn)、使用專門工具掩護資金流等方式，目的是避免暴露真正的資金流向。

（三）犯罪嫌疑人利用多種手段犯罪，實施抓捕難

無論犯罪行為是否會被發(fā)現(xiàn)、真實信息是否會暴露，犯罪嫌疑人都會想方設(shè)法設(shè)置障礙，增加公安機關(guān)的抓捕難度。一是使用無線通訊等技術(shù)，隱藏上網(wǎng)位置，如在乘坐車輛等移動過程中使用手機流量上網(wǎng)方式作案、隨機接入公共WIFI 作案、A 點創(chuàng)建無線鏈接B 點接入作案等方式被普遍采用。二是由熟人間的“傳幫帶”逐步形成本地犯罪團伙、家族犯罪團伙，最終演變?yōu)榉缸锞奂?。聚集地的各個團伙會自發(fā)地進行串聯(lián)和防護，個別地區(qū)甚至形成了“堡壘村”“護山隊”，給抓捕帶來了難度。三是采取跨境犯罪方式，公開躲避抓捕。部分黑產(chǎn)鏈條中的核心成員身處國外，采取遙控國內(nèi)作案，或者是直接用國外作案的方式實施犯罪，以逃避抓捕。這種跨境犯罪方式不僅增加了司法成本和辦案周期，而且助長了犯罪團伙的囂張氣焰，極易被他人效仿，治理網(wǎng)絡(luò)黑產(chǎn)犯罪工作任重道遠。[6]

（四）證據(jù)鏈條易遭破壞，實行法律處罰難

傳統(tǒng)或線下涉及黑產(chǎn)的違法犯罪行為，會在實施和完成的過程中，留下諸多可以尋蹤的物理痕跡。而網(wǎng)絡(luò)黑產(chǎn)借助互聯(lián)網(wǎng)技術(shù)，采用專業(yè)化和團隊化操作，并且借助電子證據(jù)會在某個環(huán)節(jié)突然失蹤的特點，巧妙地將黑產(chǎn)變現(xiàn)，將其實施違法行為的證據(jù)鏈條切斷，滅失證據(jù)，在不露聲色中將非法行為與黑產(chǎn)結(jié)果之間的因果關(guān)系斷開。

犯罪嫌疑人已經(jīng)逐步意識到電子證據(jù)對于認定犯罪事實的重要意義，會采取多種方式破壞證據(jù)鏈，達到即使被抓也不能被處理的目的。一是設(shè)法銷毀證據(jù)。通過采取頻繁更換作案設(shè)備、每次作案完成后刪除相關(guān)數(shù)據(jù)、定期重裝系統(tǒng)及格式化存儲設(shè)備、被抓捕前毀壞相關(guān)硬件等多種方式，使公安機關(guān)不能獲取或者不能完整獲取電子證據(jù)。二是藏匿關(guān)鍵證據(jù)。對實施犯罪必不可少的關(guān)鍵數(shù)據(jù)采取異地存儲或者本地加密等方式進行藏匿，使關(guān)鍵證據(jù)不被公安機關(guān)獲取，或者即使被發(fā)現(xiàn)也因為無法還原而不能作為電子證據(jù)使用。三是混淆偽裝證據(jù)。網(wǎng)絡(luò)黑產(chǎn)犯罪嫌疑人故意同時從事和犯罪類型相近的合法活動，使涉案證據(jù)和合法數(shù)據(jù)在同一樣本里交織出現(xiàn)，造成在對犯罪事實進行認定時無法剝離合法數(shù)據(jù)的結(jié)果。

五、公安機關(guān)打擊網(wǎng)絡(luò)黑產(chǎn)犯罪的對策初探

互聯(lián)網(wǎng)并非法外之地，各級公安機關(guān)必須主動適應形勢，提升能力水平，加強統(tǒng)籌協(xié)調(diào)，進一步完善監(jiān)管體系和網(wǎng)絡(luò)陣地建設(shè)，深化依法治理和全域管控，有效維護人民群眾切身利益。

（一）健全警務(wù)支撐機制

必須適應深度網(wǎng)絡(luò)化、高度智能化的網(wǎng)絡(luò)黑產(chǎn)犯罪生態(tài)，改進警務(wù)支撐機制。在技術(shù)上，充分發(fā)揮公安機關(guān)的經(jīng)驗優(yōu)勢以及網(wǎng)絡(luò)服務(wù)提供者和安全技術(shù)機構(gòu)的數(shù)據(jù)和技術(shù)優(yōu)勢，加快建立基于各類網(wǎng)絡(luò)犯罪生態(tài)和黑產(chǎn)鏈條的分析模型，并在基礎(chǔ)電信運營單位、接入單位、虛擬電信運營單位、大型網(wǎng)絡(luò)平臺以及數(shù)據(jù)中心、域名注冊和解析、內(nèi)容分發(fā)、電子郵件、網(wǎng)絡(luò)安全等網(wǎng)絡(luò)服務(wù)中布設(shè)，從源頭上提升網(wǎng)絡(luò)黑產(chǎn)識別、防范、處置和案件線索排查能力。

一是建立網(wǎng)絡(luò)數(shù)據(jù)中心，實現(xiàn)資源有效整合。公安機關(guān)通過使用技術(shù)手段和數(shù)據(jù)資源作為內(nèi)部的核心優(yōu)勢，數(shù)據(jù)挖掘水平體現(xiàn)公安機關(guān)的核心競爭力，加強數(shù)據(jù)貢獻可以實現(xiàn)資源的最大化整合。[7]公安機關(guān)要以建立大數(shù)據(jù)中心為契機，全面采集、清洗、整合包括源頭監(jiān)管數(shù)據(jù)、社會面網(wǎng)絡(luò)犯罪數(shù)據(jù)、網(wǎng)民舉報數(shù)據(jù)、網(wǎng)絡(luò)犯罪聚集地數(shù)據(jù)、互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)等在內(nèi)的各類數(shù)據(jù)資源，形成真正意義上的網(wǎng)安大數(shù)據(jù)，為后續(xù)工作提供支撐。

二是建立犯罪情報中心，實現(xiàn)自動研判、主動推送。公安機關(guān)應在深入研究網(wǎng)絡(luò)黑產(chǎn)犯罪規(guī)律的基礎(chǔ)上，根據(jù)犯罪的類型和方法，分析在犯罪過程中產(chǎn)生的數(shù)據(jù)和痕跡規(guī)律，結(jié)合網(wǎng)安數(shù)據(jù)資源，逐步研發(fā)數(shù)據(jù)分析模型，搭建數(shù)據(jù)分析系統(tǒng)，并最終建立網(wǎng)絡(luò)犯罪情報中心。

三是建立實戰(zhàn)指揮平臺，實現(xiàn)集群式打擊。目前的抓捕方式多以市縣公安局為單位，設(shè)立指揮部，派出抓捕組，相互間通過電話或網(wǎng)絡(luò)進行交流、匯報和指揮。這種方式不僅耗費了資源，占用了精力，而且降低了效率，甚至可能錯失抓捕時機和泄露工作秘密。因此，公安機關(guān)應建立一體化運作實戰(zhàn)指揮平臺，實現(xiàn)跨地域案件由上一級網(wǎng)安部門統(tǒng)一指揮、涉案地網(wǎng)安部門主動配合的目標，使工作進展、目標軌跡和抓捕條件達到實時化、可視化的要求，取得精準式、集群式打擊的效果。

（二）調(diào)整防治導向

針對網(wǎng)絡(luò)犯罪新形態(tài)，必須調(diào)整防治導向、突出防治重點、創(chuàng)新防治策略。網(wǎng)絡(luò)犯罪的隱蔽性特點使得原有以群眾提交的警情為核心的評價指標體系已難以全面客觀反映網(wǎng)絡(luò)犯罪態(tài)勢和防控成效，可考慮借鑒禁毒部門的成效評估指標體系，既評估核心犯罪又評估黑產(chǎn)鏈條，既評估過程又評估結(jié)果，既定量評估又定性評估，既有正向指標又有反向指標，既有行為指標又有對象指標，既評估本地成效又評估對外影響。在打擊戰(zhàn)果指標方面，可設(shè)置破案數(shù)、刑拘數(shù)、逮捕數(shù)、移送起訴數(shù)、督辦數(shù)、異地在本地抓捕數(shù)。前四個指標側(cè)重從數(shù)量角度評估，督辦數(shù)側(cè)重從質(zhì)量方面評估，異地在本地抓捕數(shù)側(cè)重從負向評估打擊戰(zhàn)果。在發(fā)案情況指標方面，可設(shè)置網(wǎng)絡(luò)犯罪警情指標、網(wǎng)絡(luò)安全事件指標。由于網(wǎng)絡(luò)犯罪的受害人往往難以察覺是否受到侵害，部分受害人顧忌聲譽甚至不報案，因此，既要考慮警情指標，又要考慮公安機關(guān)的監(jiān)測系統(tǒng)主動監(jiān)測以及骨干安全廠商監(jiān)測發(fā)現(xiàn)的安全事件指標，盡可能較正警情指標的偏差。在黑產(chǎn)價格指標方面，針對個人信息、網(wǎng)絡(luò)賬號、網(wǎng)絡(luò)流量、工具技術(shù)、推介廣告、資金通道等黑產(chǎn)鏈條，從中選定通用性較強、價格容易度量的黑產(chǎn)品種，如各常見領(lǐng)域個人信息的價格、非法網(wǎng)絡(luò)流量和線路的價格、銀行卡和支付通道的價格等等，根據(jù)其價格浮動反映防治工作的成效。

（三）明確打擊重點

一是重點打擊危害網(wǎng)絡(luò)安全的網(wǎng)絡(luò)黑產(chǎn)犯罪。沒有網(wǎng)絡(luò)安全就沒有國家安全，而黑客類犯罪破壞的就是網(wǎng)絡(luò)安全，其危害性不言而喻。網(wǎng)安部門作為公安機關(guān)維護網(wǎng)絡(luò)安全的主要力量，應充分發(fā)揮人才優(yōu)勢、技術(shù)優(yōu)勢和資源優(yōu)勢，強力打擊此類犯罪行為。

二是重點打擊黑產(chǎn)犯罪上游人員。該類人員是黑產(chǎn)鏈條的起點，提供各類技術(shù)服務(wù)。他們的出現(xiàn)大大降低了網(wǎng)絡(luò)犯罪的門檻，使網(wǎng)絡(luò)犯罪呈現(xiàn)出“平民化”趨勢，造成了網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈上多個環(huán)節(jié)的惡性膨脹。

三是重點打擊聚集地區(qū)的黑產(chǎn)犯罪。網(wǎng)絡(luò)黑產(chǎn)犯罪聚集地既是居住地，又是作案地，更加有利于犯罪嫌疑人相互學習、交流、保護。犯罪嫌疑人在聚集地內(nèi)肆無忌憚瘋狂作案，公然對抗公安機關(guān)，造成惡劣的負面影響。公安機關(guān)把握實施網(wǎng)絡(luò)黑產(chǎn)犯罪最新的動態(tài)和手法，圍繞已破獲案件積極開展研究，做好預警應對措施[8]，加大打擊力度，鏟除這類毒瘤。

（四）暢通內(nèi)外良性互動渠道

公安機關(guān)可以通過與各部門加強合作以實現(xiàn)通力遏制網(wǎng)絡(luò)黑產(chǎn)犯罪，要與檢察院、法院、通訊管理部門、銀保監(jiān)、銀行金融機構(gòu)、通訊運營商、大型互聯(lián)網(wǎng)企業(yè)建立良好的協(xié)作機制，共同開展通訊網(wǎng)絡(luò)詐騙的發(fā)現(xiàn)、預防和打擊工作。對高危人群進行分析研判，擴充數(shù)據(jù)庫，與技術(shù)部門加強合成作戰(zhàn)，消除內(nèi)部偵查的阻礙，與社會各界部門企業(yè)加強合作，形成打擊合力，拔除痼疾毒瘤，提高執(zhí)法辦案能力。[9]

公安機關(guān)必須充分發(fā)揮多部門合成作戰(zhàn)優(yōu)勢以嚴打網(wǎng)絡(luò)黑產(chǎn)犯罪，會同有關(guān)部門共筑治理防線，發(fā)揮內(nèi)部經(jīng)驗和外界技術(shù)優(yōu)勢，綜合運用各類措施，調(diào)度社會信息資源，加強大數(shù)據(jù)研判與情報多維分析[10]，重視犯罪事實的調(diào)查、強化梳理組織架構(gòu)、將重點人員落地并固定電子證據(jù)，不斷深挖擴線，為重點整治提供有益參考。[11]公安機關(guān)必須嚴打關(guān)鍵鏈條，特別要針對其中起關(guān)鍵作用的鏈條如資金通道鏈條，以及一經(jīng)打擊難以替代的稀缺鏈條如工具技術(shù)鏈條進行重點打擊。