單秉治，喬順利

（中國刑事警察學(xué)院，遼寧 沈陽 110854）

一、引言

在大數(shù)據(jù)和移動互聯(lián)時代，我國網(wǎng)絡(luò)信息技術(shù)不斷更新迭代，與社會生活深度融合的趨勢日益明顯。據(jù)中國互聯(lián)網(wǎng)信息中心（CNNIC）第51 次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》（以下簡稱為“統(tǒng)計報告”）顯示，截至2022 年12 月，我國互聯(lián)網(wǎng)普及率達(dá)75.6%，網(wǎng)民規(guī)模為10.67 億，同比增長3.4%[1]。穩(wěn)步提升的互聯(lián)網(wǎng)普及率持續(xù)推動網(wǎng)民數(shù)量的增長，海量網(wǎng)民也為相關(guān)互聯(lián)網(wǎng)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)發(fā)展提供內(nèi)生動力，帶動了社交媒體的流行、在線購物的興起和短視頻直播的推廣。基于網(wǎng)絡(luò)信息技術(shù)發(fā)展衍生的新平臺、新模式、新業(yè)態(tài)在給人民生活帶來便利、給社會經(jīng)濟(jì)發(fā)展帶來動力的同時，也成為滋生違法犯罪的溫床。一方面?zhèn)鹘y(tǒng)接觸式犯罪日益與網(wǎng)絡(luò)信息技術(shù)相結(jié)合并向非接觸式演變；另一方面在網(wǎng)絡(luò)空間中的典型非接觸式犯罪日益高發(fā)，借助網(wǎng)絡(luò)實施的新型犯罪層出不窮，犯罪的涉網(wǎng)性、新穎性、復(fù)雜性使得涉網(wǎng)新型犯罪屢打不絕、多發(fā)易發(fā)。其中，電信網(wǎng)絡(luò)詐騙犯罪是當(dāng)下最猖獗的一類涉網(wǎng)新型犯罪。按照公安部“四專兩合力”（即專題研究、專門隊伍、專案攻堅、專業(yè)技術(shù)和抓好內(nèi)容合力、促成外部合力）理念，全國公安機(jī)關(guān)應(yīng)著力破解打擊電信網(wǎng)絡(luò)詐騙違法犯罪難題，創(chuàng)新完善“四專兩合力”理念及其配套機(jī)制措施[2]。據(jù)螞蟻集團(tuán)《電信網(wǎng)絡(luò)詐騙治理和技術(shù)應(yīng)用研究報告（2022 年）》顯示，2022年網(wǎng)絡(luò)刷單詐騙的發(fā)案量在全部電信網(wǎng)絡(luò)詐騙案件中維持在近30%的高位，是嚴(yán)重危害廣大人民群眾財產(chǎn)安全和破壞網(wǎng)絡(luò)秩序的第一大電詐騙局[3]。網(wǎng)絡(luò)刷單詐騙犯罪是指以非法占有為目的，以招募“刷客”為誘餌，通過網(wǎng)絡(luò)平臺引流，以進(jìn)行虛假交易牟利等方式誘騙被害人進(jìn)行墊資交易，詐騙被害人預(yù)先墊付資金等財物的違法行為。目前，針對網(wǎng)店商家和互聯(lián)網(wǎng)平臺的網(wǎng)絡(luò)刷單詐騙模式單一且發(fā)案量少，而針對個人的網(wǎng)絡(luò)刷單詐騙卻多發(fā)高發(fā)，形式多樣且屢打不絕。因此，有必要對該類電信網(wǎng)絡(luò)詐騙犯罪進(jìn)行專題研究，從而不斷提升預(yù)防、打擊犯罪的能力水平，堅決遏制此類犯罪多發(fā)高發(fā)態(tài)勢。

基于文獻(xiàn)分析法，獲取保存在中國知網(wǎng)等學(xué)術(shù)文獻(xiàn)數(shù)據(jù)庫中的以“網(wǎng)絡(luò)刷單詐騙”為關(guān)鍵詞的期刊論文和學(xué)位論文等，并結(jié)合相關(guān)報紙和書籍，對研究現(xiàn)狀進(jìn)行梳理后發(fā)現(xiàn)，學(xué)界關(guān)于網(wǎng)絡(luò)刷單詐騙犯罪的研究集中于刑法學(xué)、偵查學(xué)、犯罪學(xué)和心理學(xué)這四個方面。其中，關(guān)于網(wǎng)絡(luò)刷單詐騙犯罪的電子取證的研究成果總體來說不算豐富。筆者在中國知網(wǎng)以“刷單詐騙”和“取證”為關(guān)鍵詞進(jìn)行主題檢索僅獲得4 篇論文。具體而言，湯艷君等人[4]基于3 起典型案例，對網(wǎng)絡(luò)兼職刷單詐騙案件的作案過程和手段進(jìn)行了總結(jié)，分別從信息流和資金流方向出發(fā)，提出對受害人和犯罪嫌疑人進(jìn)行取證的思路與方法。許丹璨[5]在梳理網(wǎng)絡(luò)刷單詐騙犯罪偵查困境后，指出偵查取證存在取證技術(shù)設(shè)備落后的問題，并主張在補(bǔ)強(qiáng)證據(jù)的同時落實相關(guān)環(huán)節(jié)各個部門的監(jiān)管責(zé)任，使偵查機(jī)關(guān)在犯罪萌芽階段就能獲得重要線索，避免后續(xù)取證乏力的情況出現(xiàn)。趙明正[6]認(rèn)為電子數(shù)據(jù)易毀損、證據(jù)之間關(guān)聯(lián)性弱、公民報案率低是電子數(shù)據(jù)取證困難的三個重要原因，并提出通過深化語義分析來掌握犯罪分子的聯(lián)絡(luò)途徑，通過對報案線索整合與深挖來尋找案件突破口，通過對信息流、資金流和設(shè)備流電子數(shù)據(jù)的提取、分析來實現(xiàn)對犯罪嫌疑人的定位等。徐仙偉、張騰飛[7]通過對網(wǎng)絡(luò)刷單詐騙犯罪的常用套路和手段進(jìn)行梳理，基于公安實戰(zhàn)業(yè)務(wù)，闡明相應(yīng)的取證流程，并提出微信聊天記錄取證、QQ 聊天記錄取證和計算機(jī)取證等常用取證手段。綜上所述，當(dāng)前關(guān)于網(wǎng)絡(luò)刷單詐騙犯罪電子取證的研究主題大致分為兩個方面：一是基于網(wǎng)絡(luò)刷單詐騙犯罪的作案過程和手段，提出取證思路和取證方法；二是在梳理網(wǎng)絡(luò)刷單詐騙犯罪偵查困境的基礎(chǔ)上，指出電子數(shù)據(jù)取證難的問題，并提出相應(yīng)對策。目前，網(wǎng)絡(luò)刷單詐騙如雨后春筍般出現(xiàn)，其犯罪特征已經(jīng)出現(xiàn)新的變化，過往的研究成果應(yīng)對起來已捉襟見肘。因此，有必要對當(dāng)前網(wǎng)絡(luò)刷單詐騙犯罪電子取證問題進(jìn)行系統(tǒng)研究，在借鑒相關(guān)研究成果的基礎(chǔ)上，更全面地揭示當(dāng)前網(wǎng)絡(luò)刷單詐騙犯罪中電子取證所面臨的困境，并探索更具針對性和可行性的網(wǎng)絡(luò)刷單詐騙犯罪電子取證路徑。

二、網(wǎng)絡(luò)刷單詐騙犯罪的特征演化與流程分析

在時代發(fā)展、犯罪活動和偵查行為三者構(gòu)成的動態(tài)發(fā)展系統(tǒng)中，一方面，犯罪活動會順應(yīng)時代發(fā)展，不斷衍生出新的特點和規(guī)律，倒逼偵查行為順應(yīng)時代發(fā)展的應(yīng)然趨勢而做出改變；另一方面，由犯罪活動和偵查行為此消彼長、對立統(tǒng)一催生的新技術(shù)和新理念反過來也會影響時代的發(fā)展。但不管時代如何發(fā)展，偵查行為的滯后性和時效性始終客觀存在?；谙鄳?yīng)的時代背景，偵查對策需要根據(jù)犯罪規(guī)律的變化不斷進(jìn)行調(diào)整和改進(jìn)，甚至重新制定。因此，在研究網(wǎng)絡(luò)刷單詐騙電子取證問題之前，有必要對當(dāng)前網(wǎng)絡(luò)刷單詐騙犯罪的新特點和全流程進(jìn)行梳理總結(jié)。

（一）網(wǎng)絡(luò)刷單詐騙犯罪的新特征

1.引流方式從單一向復(fù)合式演變

傳統(tǒng)的網(wǎng)絡(luò)刷單詐騙也被稱為“購物式”刷單詐騙，以“兼職招聘”“高額返利”“足不出戶賺大錢”等為噱頭招募“刷手”并對其實施詐騙，本質(zhì)上是基于電商市場中大量的刷單需求而存在的。此模式下被害群體特征比較明顯，多為涉世未深的大學(xué)生、全職媽媽等無固定工作或個人收入較低的群體。隨著全民反詐心智的逐漸成熟，傳統(tǒng)的“購物式”刷單騙術(shù)已難再有成效，為了提高詐騙成功率，犯罪分子在沿用傳統(tǒng)刷單套路的同時，以前期引流環(huán)節(jié)為抓手，衍生出多種新型詐騙手段，單一的網(wǎng)絡(luò)刷單詐騙模式逐漸向復(fù)合式演變。其中，一部分犯罪分子緊蹭社會熱點設(shè)下新型刷單騙局，例如個人養(yǎng)老金制度正式實施后，多家銀行推出消費金、話費等開戶獎勵，犯罪分子趁機(jī)假借為銀行獲取客戶量的理由在社交平臺發(fā)布代開戶任務(wù)，再使用刷單騙術(shù)騙取受害者繳納的押金、保證金等[8]。另一部分犯罪分子則通過竊取個人信息，利用群眾的消費習(xí)慣及偏好，在短時間內(nèi)定制出復(fù)合詐騙劇本，創(chuàng)新出一系列基于刷單的“騙中騙”，即“刷單+色情”“刷單+跑分”“刷單+賭博”等。例如，有的犯罪分子通過抖音等短視頻平臺或QQ、陌陌等社交平臺尋找目標(biāo)男性并推廣色情軟件，以必須充值會員或完成信譽(yù)任務(wù)后才能提供色情服務(wù)為理由進(jìn)行刷單詐騙[9]；有的犯罪分子以“PF（跑分）易上手，出租賬戶日賺千元 ！”吸引受害者從事“跑分”業(yè)務(wù)，在指令受害者多次向指定賬戶轉(zhuǎn)賬后卷款跑路[10]；有的犯罪分子剛開始利用刷單賺取傭金來獲取受害者的信任，逐漸突破其心理防線，之后誘導(dǎo)受害者下載相關(guān)博彩軟件進(jìn)行賭博，并通過操作軟件后臺數(shù)據(jù)制造盈利假象，促使受害者持續(xù)下注，不斷詐騙受害者的財產(chǎn)[11]。

2.寄生于犯罪各環(huán)節(jié)之中的黑灰產(chǎn)業(yè)鏈日益成熟

隨著網(wǎng)絡(luò)刷單詐騙犯罪的發(fā)展，各類黑灰產(chǎn)業(yè)融貫其中，已經(jīng)逐漸形成一套復(fù)雜隱蔽的鏈條化產(chǎn)業(yè)體系，產(chǎn)業(yè)鏈分工日益平臺化和專業(yè)化。具體來說，產(chǎn)業(yè)鏈上游相對穩(wěn)定，主要涉及有關(guān)“賬號”、“引流”“通訊”和“技術(shù)”等四個方面的內(nèi)容，負(fù)責(zé)為中游的詐騙犯罪提供各種工具資料、技術(shù)支持等，如收購和倒賣大量的公民個人信息、短視頻網(wǎng)站賬戶以及銀行賬戶信息，設(shè)計詐騙腳本，制作虛假鏈接和虛假二維碼等；產(chǎn)業(yè)鏈下游則主要從事“洗錢”和“分贓”業(yè)務(wù)，為中游所騙取的財產(chǎn)進(jìn)行轉(zhuǎn)移、變現(xiàn)提供通道等。上游、下游產(chǎn)業(yè)鏈不直接與受害者接觸或參與詐騙，而是為中游產(chǎn)業(yè)作案提供相應(yīng)的服務(wù)和支撐。

此外，領(lǐng)域垂直化和精細(xì)化成為電信網(wǎng)絡(luò)詐騙黑灰產(chǎn)業(yè)發(fā)展的顯著趨勢，并且黑灰產(chǎn)業(yè)的兼容性和復(fù)用性強(qiáng)，詐騙分子可以購買所需的黑灰產(chǎn)業(yè)服務(wù)自由組合，例如由于賬號獲取和維護(hù)成本高，一旦被平臺識別為風(fēng)險賬號并進(jìn)行限權(quán)或封禁，掌握大量賬號的“碼商”將遭受較大損失，因此“職業(yè)解封”和“職業(yè)投訴”等產(chǎn)業(yè)應(yīng)運而生；“閱后即焚”照片分享應(yīng)用（Snapchat）的火爆帶來了“閱后即焚”的火熱，相關(guān)黑色產(chǎn)業(yè)致力于支持文字、圖片、語音和短視頻等“閱后即焚”的加密即時通信軟件的研發(fā)或應(yīng)用；“NZT 一鍵新機(jī)”[12]軟件提供“一鍵改機(jī)”“設(shè)置定位”等功能，能夠一鍵改變手機(jī)的國際移動設(shè)備識別碼（IMEI）等設(shè)備參數(shù)、隨時切換手機(jī)定位地址等，提供虛假設(shè)備環(huán)境使得手機(jī)軟件無法獲取用戶的真實設(shè)備參數(shù)，進(jìn)而阻礙平臺對風(fēng)險設(shè)備的識別。

3.犯罪組織結(jié)構(gòu)松散化趨勢明顯

基于中國裁判文書網(wǎng)2018 年以來有關(guān)“刷單詐騙”的判決書，并梳理各地公安機(jī)關(guān)揭露的刷單詐騙套路發(fā)現(xiàn)，詐騙團(tuán)伙內(nèi)部以及各個黑灰產(chǎn)業(yè)之間呈現(xiàn)出一種在程序上銜接緊密，但組織上相對松散的狀態(tài)。組織中的每個犯罪分子只對自己的行為負(fù)責(zé)，同級之間互不認(rèn)識，上下線之間單線聯(lián)系，但彼此之間并非領(lǐng)導(dǎo)與被領(lǐng)導(dǎo)的關(guān)系，僅僅是利益交換的關(guān)系。較低層級的犯罪分子通過完成相應(yīng)的角色任務(wù)，可以按照固定比例從對應(yīng)的多個上線處領(lǐng)取詐騙所得分成；一個上線也可對應(yīng)多個下線，甚至彼此之間不屬于同一個詐騙團(tuán)伙。比如齊齊哈爾市公安局梅里斯分局偵破的一起全鏈條網(wǎng)絡(luò)刷單詐騙犯罪案件中，一名受害者在同一時間被兩個刷單詐騙團(tuán)伙侵害，警方經(jīng)過大量的偵查工作后發(fā)現(xiàn)，兩個詐騙團(tuán)伙成員彼此之間并不認(rèn)識，且沒有任何往來，但二者卻是同一個境外詐騙集團(tuán)的下線[13]。

4.境內(nèi)外勾連態(tài)勢愈演愈烈

隨著國內(nèi)對網(wǎng)絡(luò)空間管控的完善和刷單詐騙打擊手段的升級，犯罪行為跨境化趨勢加劇。詐騙團(tuán)伙或黑灰產(chǎn)業(yè)的首要分子突破時空界限，通過網(wǎng)絡(luò)使用代號、暗語等實現(xiàn)跨境互通互聯(lián)，操縱犯罪組織運轉(zhuǎn)和犯罪活動進(jìn)行。一方面，境內(nèi)各地犯罪分子赴境外實施詐騙的情況一直存在，通常為境外金主出資招募、境內(nèi)犯罪嫌疑人出資給“蛇頭”主動偷渡或親友結(jié)伙出境等。比如2020 年4月，4 個犯罪嫌疑人相約共赴緬甸“務(wù)工”，在“蛇頭”組織下偷越中緬邊境線出境，并加入當(dāng)?shù)匾辉p騙犯罪集團(tuán)，針對境內(nèi)居民從事刷單詐騙犯罪活動，在數(shù)月內(nèi)非法獲利上萬元①參見（2023）皖0422 刑初36 號刑事判決書。。2020 年12 月云南公安機(jī)關(guān)成功搗毀了一個組織運送他人偷越國（邊）境的犯罪團(tuán)伙，該團(tuán)伙受境外詐騙團(tuán)伙或境內(nèi)犯罪嫌疑人的“委托”，幫助境內(nèi)外犯罪分子偷越國境線達(dá)50 余次[14]。另一方面，暗網(wǎng)成為境內(nèi)外犯罪分子聯(lián)絡(luò)和交易的重要場所，通過暗網(wǎng)實施違法犯罪行為的形式復(fù)雜多樣，越來越多的研究表明在暗網(wǎng)市場中有關(guān)個人信息、犯罪技術(shù)或教程等方面的交易激增。比如有的犯罪嫌疑人自行組建工作室從事“上粉”業(yè)務(wù)，即通過使用暗網(wǎng)或“翻墻”等方式為境外的詐騙團(tuán)伙提供被害人信息，并誘導(dǎo)被害人添加境外詐騙團(tuán)伙提供的社交賬號，每當(dāng)有一個被害人添加了指定賬號，就相當(dāng)于犯罪嫌疑人上了一個“粉”，也就是完成了一個單②參見（2020）吉0802 刑初139 號刑事判決書。。

（二）網(wǎng)絡(luò)刷單詐騙犯罪行為的全流程分析

任何事物都是由諸多要素構(gòu)成的復(fù)雜系統(tǒng)，正確認(rèn)識一個事物需要對其構(gòu)成要素有著準(zhǔn)確、充分的把握，網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)新型犯罪亦是如此。作為一種貫穿偵查活動始終的行為，犯罪流程分析即犯罪過程分析是實現(xiàn)有效預(yù)防、打擊犯罪的重要環(huán)節(jié)。在實施網(wǎng)絡(luò)刷單詐騙犯罪過程中，犯罪資金流、犯罪通信流、犯罪網(wǎng)絡(luò)流和犯罪人員流這些基本要素構(gòu)成了犯罪的普遍形態(tài)，其中，犯罪通信流和犯罪網(wǎng)絡(luò)流可統(tǒng)稱為犯罪信息流?；诜缸镄畔⒘骱头缸镔Y金流對網(wǎng)絡(luò)刷單詐騙犯罪行為進(jìn)行全流程分析，一方面能夠查明刷單詐騙各個階段的涉案人員及其手段；另一方面通過社會網(wǎng)絡(luò)分析，能夠厘清各犯罪主體之間、犯罪主體與犯罪對象之間的關(guān)系，進(jìn)而為實現(xiàn)“全鏈條”打擊犯罪奠定堅實基礎(chǔ)。

圖1 為網(wǎng)絡(luò)刷單詐騙犯罪信息流和犯罪資金流路徑示意圖，縱觀刷單詐騙的全過程，一共可分為三個階段：第一階段為犯罪工具、資料準(zhǔn)備階段，第二階段為詐騙實施階段，第三階段為洗錢和分贓階段。其中，犯罪信息流路徑主要涉及刷單詐騙的前兩個階段，而犯罪資金流路徑則是指犯罪活動的最后一個階段。

圖1 網(wǎng)絡(luò)刷單詐騙犯罪信息流和犯罪資金流路徑示意圖

1.犯罪信息流路徑分析

在犯罪工具、資料準(zhǔn)備階段，賬號、二維碼提供者通過非法竊取、購買或租賃等手段獲取大量的個人基本信息、手機(jī)號碼、社交平臺賬號、銀行賬戶和個人收付款二維碼等信息，并將這些信息提供給虛假鏈接、二維碼制作者，虛假鏈接、二維碼制作者對相關(guān)資源進(jìn)行“包裝”，制作出釣魚鏈接和支付鏈接，然后購買備案域名、租賃服務(wù)器和購買源代碼等用于制作涉詐軟件的材料，通過對接相關(guān)客服平臺、利用短信端口完成驗證，借助封裝平臺完成軟件的制作，最后再將釣魚鏈接、支付鏈接和涉詐封裝軟件提供給詐騙組織者，詐騙組織者再結(jié)合詐騙腳本設(shè)計者提供的犯罪腳本制定出詐騙計劃和招募詐騙執(zhí)行者?；谇捌谙确道?、后期再詐騙的套路，詐騙組織者為首次詐騙者提供手機(jī)號碼、社交平臺賬號、銀行賬號、釣魚鏈接、涉詐軟件、話術(shù)腳本等，為后續(xù)詐騙者額外提供支付鏈接和二維碼等，為犯罪目標(biāo)尋找者提供與“引流”有關(guān)的工具和資料等，進(jìn)而完成犯罪工具、資料、人員的準(zhǔn)備工作。如犯罪嫌疑人楊某某與蔣某某、吳某某和張某某等人協(xié)商進(jìn)行網(wǎng)絡(luò)刷單詐騙活動，其中，蔣某某負(fù)責(zé)租賃出租房，楊某某負(fù)責(zé)購置電腦、手機(jī)、涉詐軟件、推廣過的QQ 號碼等作案工具及流程腳本等材料交由吳某某、張某某等人使用，吳某某除具體實施詐騙行為外，還兼顧財務(wù)，協(xié)助楊某某統(tǒng)計各犯罪嫌疑人詐騙所得情況、提供亞馬遜等平臺相關(guān)支付二維碼、聯(lián)系銷卡等事宜①參見（2019）閩0303 號刑事判決書。。

在詐騙實施階段，犯罪目標(biāo)尋找者通過網(wǎng)站、社交平臺、直播平臺和電子游戲等途徑吸引受害者，并成功完成“引流”，隨后目標(biāo)尋找者將受害者“引薦”給首次詐騙者，首次詐騙者誘導(dǎo)受害者下載并安裝涉詐軟件，采用小額返利的方式讓其嘗到甜頭，激發(fā)其通過持續(xù)刷單來牟利的貪念，后續(xù)詐騙者接手后繼續(xù)誘騙受害者墊付資金，在達(dá)到目的后卷錢跑路完成詐騙。如湖北省公安縣的熊先生在一企業(yè)微信群里通過給網(wǎng)紅點贊和關(guān)注的方式，成功領(lǐng)取了10 元 紅包，接著在群管理員的誘導(dǎo)下，熊先生安裝了指定的刷單軟件。起初，熊先生只是通過完成簡單、易操作的任務(wù)獲得小額返利，然后他逐漸放下內(nèi)心戒備開始做大額返利任務(wù)，但是在他累計投入32 萬余元 后，詐騙分子攜贓款逃之夭夭[15]。

2.犯罪資金流路徑分析

受害者在向指定的銀行賬戶和收付款二維碼完成轉(zhuǎn)賬或支付后，犯罪隨即進(jìn)入“洗錢”和分贓階段，賬戶、二維碼提供者將涉案資金一并交由專業(yè)的洗錢團(tuán)伙“洗白”，洗錢團(tuán)伙在扣除一定手續(xù)費后將剩余贓款交給分贓者處理②參見（2022）湘0381 號刑事判決書。。分贓者、賬戶和二維碼提供者、虛假鏈接和二維碼提供者、詐騙組織者一般會按照固定的比例瓜分贓款，隨后詐騙組織者再根據(jù)詐騙執(zhí)行者的表現(xiàn)對到手的資金進(jìn)行再分配。其中，后續(xù)詐騙者還需要按將自己的分成按固定百分比支付給首次詐騙者，作為其給受害者的“返利”，如犯罪嫌疑人王某某作為首次詐騙者，在第一次詐騙成功后獲得來自上線約60%～75%的提成，而在后續(xù)詐騙者完成第二次詐騙后，其又獲得來自后續(xù)詐騙者約25%的提成①參見（2020）豫0725 刑初212 號刑事判決書。。

值得注意的是，刷單詐騙團(tuán)伙及其黑灰產(chǎn)業(yè)為了提高犯罪過程的隱蔽性和迷惑性，會在各個環(huán)節(jié)之間設(shè)置不同數(shù)量的中間人，作案信息和涉案資金的傳遞不同步進(jìn)行，但總體上看各階段的角色及其任務(wù)基本不變，這為當(dāng)前網(wǎng)絡(luò)刷單詐騙犯罪電子數(shù)據(jù)取證工作提供了合理、可靠的取證來源，也有利于我們揭示取證困境和探索相應(yīng)對策。

三、網(wǎng)絡(luò)刷單詐騙犯罪電子取證面臨的困境

如前文所述，網(wǎng)絡(luò)技術(shù)的應(yīng)用和升級使得刷單詐騙呈現(xiàn)出許多新形態(tài)，為有效打擊此類犯罪，電子數(shù)據(jù)的重要性愈發(fā)不可忽視，電子取證成為必不可少的偵查手段。然而，當(dāng)前刷單詐騙犯罪案件的頻發(fā)反映出公安機(jī)關(guān)在反詐宣傳、偵查打擊等方面存在一些問題，就電子取證方面而言，主要體現(xiàn)為獲取犯罪線索和證據(jù)的來源渠道少、專門取證隊伍和專業(yè)取證技術(shù)支撐不足、偵查取證“兩個合力”不充分。

（一）獲取犯罪線索和證據(jù)的來源渠道少

網(wǎng)絡(luò)刷單詐騙是由犯罪分子所主導(dǎo)的，受害者主動參與的一系列網(wǎng)絡(luò)社會活動?；诰W(wǎng)絡(luò)虛擬空間和現(xiàn)實物理空間，有關(guān)刷單詐騙犯罪線索和證據(jù)的收集始終圍繞犯罪方和受害方開展。由于此類犯罪線索和證據(jù)隱蔽性強(qiáng)、易滅失、缺乏直接關(guān)聯(lián)，因此不易獲取。

1.難以從受害者處獲取有關(guān)犯罪線索和證據(jù)

受害者是犯罪分子實施刷單詐騙行為所侵害的對象，也是犯罪行為的親身經(jīng)歷者，獲取受害者陳述等直接證據(jù)能夠快速還原整個案發(fā)經(jīng)過、了解詐騙手法。而以受害者使用的移動智能終端或電腦端設(shè)備為核心的受害現(xiàn)場，是刷單詐騙行為發(fā)生的最主要場所，最為集中地遺留著與犯罪行為有關(guān)的電子數(shù)據(jù)等證據(jù)，是獲取犯罪線索和證據(jù)最重要的來源。雖然當(dāng)前刷單詐騙的案件數(shù)量巨大，但仍存在大量的犯罪“黑數(shù)”，之所以會出現(xiàn)這種現(xiàn)象，部分受害者缺乏線索證據(jù)提供意識是一個重要原因。具體表現(xiàn)為：第一，受害者因為受騙金額不多，出于“無所謂”或“嫌麻煩”的心理而選擇不報案，即便是面對公安機(jī)關(guān)的調(diào)查訪問工作，受害者也會覺得配合警方做筆錄費時費力，從而拒絕配合；第二，受害者出于有意或無意，刪除了移動終端或電腦端的相關(guān)數(shù)據(jù)，如與犯罪分子的聊天、交易記錄等，與刷單詐騙有關(guān)的應(yīng)用程序、網(wǎng)絡(luò)鏈接URL 地址、瀏覽器中的歷史數(shù)據(jù)等；第三，在“刷單+賭博”的詐騙中，受害者知道賭博本身就是違法行為，擔(dān)心報案后會遭受處罰，便選擇不報案；第四，在“刷單+色情”的詐騙中，會有大量涉及個人隱私的案件事實，受害者通常向公安機(jī)關(guān)做選擇性陳述或拒絕透露。

2.難以查明各犯罪主體及其行為之間的關(guān)系

當(dāng)前刷單詐騙團(tuán)伙內(nèi)部以及各個黑灰產(chǎn)業(yè)之間呈現(xiàn)出一種在程序上銜接緊密，但組織上相對松散的狀態(tài)。每個犯罪分子都有自己的角色任務(wù)，并且只對自己的行為負(fù)責(zé)，同級之間互不認(rèn)識，上下線之間單線聯(lián)系。犯罪資源的交換和共享使得犯罪分子之間僅僅是一種利益互換關(guān)系，下線的犯罪分子即便被抓獲，也無法準(zhǔn)確提供上線身份的有效信息，上線犯罪分子同樣不清楚下線的信息身份，只負(fù)責(zé)“派單”和“分紅”。各犯罪團(tuán)伙的組織者或首要分子通過增加不定數(shù)量的中間人來延伸犯罪鏈條的長度和犯罪網(wǎng)絡(luò)的復(fù)雜程度，從而混淆共同犯罪人之間的關(guān)系，達(dá)到隱匿犯罪核心信息、確保自身安全的目的。不同犯罪團(tuán)伙內(nèi)部成員關(guān)系相互交織，致使上下線之間的關(guān)系多元化和復(fù)雜化，厘清各犯罪主體之間關(guān)系的難度也因此大大增加。此外，犯罪行為跨境化程度加劇，部分刷單詐騙團(tuán)伙將服務(wù)器和窩點設(shè)置在與我國缺乏相應(yīng)國際警務(wù)合作機(jī)制的國家或地區(qū)，并招募人員對我國公民實施詐騙[16]。犯罪行為和犯罪結(jié)果的跨境化分布，使得偵查機(jī)關(guān)只能采用線上追蹤的單一方式，涉案人員或涉案資金一旦出境，追回的可能性極小。部分黑灰產(chǎn)業(yè)活躍于暗網(wǎng)之中，為境內(nèi)犯罪團(tuán)伙提供犯罪工具和資料，給偵查取證的合法性、真實性和關(guān)聯(lián)性帶來了極大挑戰(zhàn)。

3.風(fēng)險管控部門難以識別和采集有關(guān)犯罪信息

從社會層面獲取犯罪線索、證據(jù)的渠道仍然較少，互聯(lián)網(wǎng)、銀行、第三方支付等相關(guān)風(fēng)險管控部門難以準(zhǔn)確識別和有效采集有關(guān)犯罪信息。比如在詐騙前期的引流環(huán)節(jié)，部分瀏覽器、社交平臺和直播平臺無法實現(xiàn)對犯罪信息的識別、記錄和屏蔽；在受害者打開虛假鏈接或下載、安裝涉詐軟件時，部分手機(jī)任由用戶個人操作，無法識別潛在風(fēng)險并做到有效阻止；網(wǎng)上銀行和第三方支付機(jī)構(gòu)等僅在注冊賬戶時會采集用戶的個人信息，而在后續(xù)使用過程中僅通過密碼便可完成支付，存在開戶者和使用者不一致的監(jiān)管漏洞，缺少使用者指紋、人像和虹膜信息的進(jìn)一步采集；受害者在刷單過程中進(jìn)行一對多或多次小額轉(zhuǎn)賬支付時，部分網(wǎng)上銀行或第三方支付機(jī)構(gòu)缺少“提醒”服務(wù)，使得受害者的損失如滾雪球般越滾越大；在涉案資金流轉(zhuǎn)上，洗錢團(tuán)伙利用跑分平臺、混幣平臺或暗網(wǎng)進(jìn)行，使得金融機(jī)構(gòu)風(fēng)險交易系統(tǒng)難以識別可疑資金流[17]；在網(wǎng)絡(luò)刷單詐騙犯罪的“全鏈條”中，詐騙團(tuán)伙及黑灰產(chǎn)業(yè)內(nèi)部成員多使用“代號”“暗語”等犯罪隱語進(jìn)行溝通，對于復(fù)雜多變的犯罪隱語，部分社交平臺缺乏相應(yīng)的語義識別系統(tǒng)，無法對涉及詐騙犯罪的聯(lián)絡(luò)內(nèi)容進(jìn)行識別、預(yù)警和記錄等。

（二）專門取證隊伍和專業(yè)取證技術(shù)支撐不足

1.專門取證隊伍建設(shè)不足

在非接觸性犯罪多發(fā)的背景下，犯罪手段、犯罪目標(biāo)、犯罪成員聯(lián)系等多個方面都呈現(xiàn)出非接觸的特點，犯罪現(xiàn)場勘查的對象從實體空間向虛擬空間轉(zhuǎn)變，犯罪現(xiàn)場的虛擬空間也由“終端”虛擬空間向“云端”虛擬空間轉(zhuǎn)變[18]。依托網(wǎng)絡(luò)刷單詐騙犯罪現(xiàn)場勘查開展的電子取證工作應(yīng)當(dāng)遵循《中華人民共和國刑事訴訟法》和《公安機(jī)關(guān)刑事案件現(xiàn)場勘驗檢查規(guī)則》的規(guī)定，電子數(shù)據(jù)的提取固定應(yīng)當(dāng)遵循《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》及相關(guān)技術(shù)標(biāo)準(zhǔn)，確保勘查取證工作合法、全面、細(xì)致、客觀。此外，專門取證隊伍和專業(yè)取證技術(shù)支撐是否充足直接影響取證質(zhì)量的高低。其中，專門取證隊伍支撐不足可能會引發(fā)取證主體或取證程序不合法、取證專業(yè)性無法得到保障等問題。目前，部分偵查人員缺乏必備的專業(yè)技術(shù)能力，對某些現(xiàn)場的電子數(shù)據(jù)發(fā)現(xiàn)不了、提取不出，加之專業(yè)電子取證人員的匱乏，嚴(yán)重影響了電子取證的質(zhì)量和效率，偵查機(jī)關(guān)即便委托第三方調(diào)查取證，也可能會因為相關(guān)技術(shù)人員缺乏法律和證據(jù)意識、不熟悉偵查取證流程等，使得獲取的電子數(shù)據(jù)達(dá)不到證據(jù)標(biāo)準(zhǔn)或不具備證明力。因此，公安機(jī)關(guān)在推進(jìn)專門取證隊伍建設(shè)的基礎(chǔ)上，還應(yīng)加強(qiáng)對偵查取證人員的培養(yǎng)，使其不僅具備充足的有組織犯罪案件的偵辦經(jīng)驗和扎實的法律功底，還熟練掌握利用手機(jī)、計算機(jī)、互聯(lián)網(wǎng)等取證的知識和技能。

2.專業(yè)取證技術(shù)應(yīng)用不足

由于犯罪分子的反偵查意識和對證據(jù)的把控力越來越強(qiáng)，其不僅會對物理存儲的電子數(shù)據(jù)進(jìn)行破壞、篡改，還會對遠(yuǎn)程服務(wù)器上的數(shù)據(jù)進(jìn)行修改、刪除。因此，偵查機(jī)關(guān)要想確保涉案電子數(shù)據(jù)保持相關(guān)原始狀態(tài)，避免信息被刪除、丟失變得更加困難。傳統(tǒng)的犯罪現(xiàn)場保護(hù)措施對無邊界的網(wǎng)絡(luò)虛擬空間不再適用，全面固定靜態(tài)數(shù)據(jù)或者實時監(jiān)控動態(tài)數(shù)據(jù)成為電子證據(jù)材料保全的關(guān)鍵，這就要求偵查機(jī)關(guān)必須及時控制相關(guān)電子證據(jù)的存儲介質(zhì)、具備專業(yè)的數(shù)據(jù)恢復(fù)技術(shù)和實時監(jiān)測技術(shù)等[19]。專業(yè)的實時監(jiān)測技術(shù)是及時控制存儲介質(zhì)的重要前提，偵查機(jī)關(guān)的取證行為不是盲目開展的，是基于監(jiān)測系統(tǒng)的數(shù)據(jù)收集和數(shù)據(jù)解析，依靠有關(guān)電子痕跡的發(fā)現(xiàn)而進(jìn)行的。對于利用表層網(wǎng)絡(luò)實施的犯罪行為，偵查機(jī)關(guān)可以采用網(wǎng)絡(luò)遠(yuǎn)程控制、網(wǎng)絡(luò)在線提取、遠(yuǎn)程技術(shù)偵查等方式進(jìn)行，但對存在于“深網(wǎng)”“暗網(wǎng)”的犯罪信息，偵查機(jī)關(guān)卻因缺乏相應(yīng)的監(jiān)測技術(shù)，難以對其進(jìn)行有效捕捉。有效的數(shù)據(jù)恢復(fù)是認(rèn)定刷單詐騙犯罪的重要“抓手”，當(dāng)前對計算機(jī)的數(shù)據(jù)恢復(fù)主要是基于文件系統(tǒng)和文件內(nèi)容的恢復(fù)，相關(guān)取證工具和取證軟件的開發(fā)、應(yīng)用也比較完善，但對移動智能終端尤其是手機(jī)的電子數(shù)據(jù)的恢復(fù)技術(shù)還存在瓶頸，手機(jī)芯片普遍具備加密屬性，傳統(tǒng)數(shù)據(jù)恢復(fù)手段無法適用，只能依靠刪除記錄和備份數(shù)據(jù)進(jìn)行恢復(fù)，而一旦犯罪分子清洗相關(guān)數(shù)據(jù)庫或損毀手機(jī)，手機(jī)中的電子數(shù)據(jù)便難以再恢復(fù)。

（三）偵查取證“兩個合力”不充分

網(wǎng)絡(luò)刷單詐騙犯罪流程分工細(xì)致、環(huán)節(jié)眾多，犯罪上游、中游、下游產(chǎn)業(yè)鏈完整，信息流、資金流、人員流等要素齊全且復(fù)雜?；诰W(wǎng)絡(luò)和物理空間情況，與犯罪行為有關(guān)的電子數(shù)據(jù)等證據(jù)呈現(xiàn)跨行業(yè)、跨地域分布的特點。打擊刷單詐騙等電信網(wǎng)絡(luò)詐騙犯罪，抓好偵查取證“兩個合力”（即內(nèi)部合力和外部合力）至關(guān)重要。其中，內(nèi)部合力既包括各級公安機(jī)關(guān)之間的偵查取證協(xié)作，又包括公安機(jī)關(guān)與國內(nèi)其他社會行業(yè)或部門之間的偵查取證協(xié)作。《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》（以下簡稱“反電詐法”）第七條規(guī)定：“有關(guān)部門、單位在反電信網(wǎng)絡(luò)詐騙工作中應(yīng)當(dāng)密切協(xié)作，實現(xiàn)跨行業(yè)、跨地域協(xié)同配合、快速聯(lián)動，加強(qiáng)專業(yè)隊伍建設(shè)，有效打擊治理電信網(wǎng)絡(luò)詐騙活動?！边@明確指出了反電信網(wǎng)絡(luò)詐騙，國內(nèi)各行業(yè)、各部門要堅持齊抓共管、群防群治的系統(tǒng)觀念，無論是公安系統(tǒng)內(nèi)部還是社會各行業(yè)或部門，對電子取證等偵查行為應(yīng)當(dāng)落實責(zé)任、高度配合[20]。外部合力則是指我國與其他國家或地區(qū)之間關(guān)于跨境電子取證的協(xié)同配合。據(jù)報道，歐盟成員國約85%的刑事案件偵辦涉及電子證據(jù)，其中2/3 的案件需要向隸屬于不同司法轄區(qū)的跨境網(wǎng)絡(luò)服務(wù)提供者取證[21]。因此，在國內(nèi)外，刑事案件偵查中電子數(shù)據(jù)取證的跨機(jī)構(gòu)、跨區(qū)域協(xié)同配合均是必要的。但是，協(xié)作并非都一帆風(fēng)順，抓好偵查取證“兩個合力”主要存在以下困境。

1.內(nèi)部協(xié)作機(jī)制不完善

一方面，當(dāng)前全國各地數(shù)據(jù)信息系統(tǒng)的搭建通常是由省級公安機(jī)關(guān)牽頭，基于本地區(qū)經(jīng)濟(jì)發(fā)展水平和犯罪形勢來進(jìn)行的，各類數(shù)據(jù)收集、分析研判系統(tǒng)的研發(fā)和應(yīng)用無法滿足不同偵查實踐的需要，加之部分公安機(jī)關(guān)由于內(nèi)部考核標(biāo)準(zhǔn)不完善，主偵機(jī)關(guān)和協(xié)助機(jī)關(guān)的職責(zé)不明確，“物理合成”“技術(shù)壁壘”“信息孤島”等現(xiàn)象仍客觀存在。此外，不同警種構(gòu)建的數(shù)據(jù)庫和使用的信息平臺存在差異，例如犯罪人員數(shù)據(jù)庫及信息平臺由刑偵部門掌管，關(guān)于大額資金流的研判分析由經(jīng)偵部門基于專業(yè)的信息平臺進(jìn)行，跨部門使用數(shù)據(jù)庫時需要共同的上級領(lǐng)導(dǎo)授權(quán)或許可，這也在一定程度上影響了公安機(jī)關(guān)偵查取證的效率。

另一方面，偵查機(jī)關(guān)進(jìn)行跨行業(yè)電子取證離不開電信業(yè)務(wù)經(jīng)營者、銀行業(yè)金融機(jī)構(gòu)、非銀行支付機(jī)構(gòu)和互聯(lián)網(wǎng)服務(wù)提供者等方面的協(xié)助，雖然反電詐法第五條規(guī)定：“有關(guān)部門和單位、個人應(yīng)當(dāng)對在反電信網(wǎng)絡(luò)詐騙工作過程中知悉的國家秘密、商業(yè)秘密和個人隱私、個人信息予以保密?！钡糠蛛娮訑?shù)據(jù)的所有者可能會以此為理由拒絕配合或不愿全力配合，這是因為我國目前對電子數(shù)據(jù)類型和公開程度沒有明確的法律規(guī)定。此外，我國境內(nèi)的電子取證工作通常是由偵查機(jī)關(guān)直接向有關(guān)的電信部門、金融機(jī)構(gòu)和互聯(lián)網(wǎng)企業(yè)等提出取證請求，個別公安機(jī)關(guān)由于缺乏和中小微企業(yè)之間的專項業(yè)務(wù)合作，使得相關(guān)企業(yè)難以在物質(zhì)層面得到政府提供的補(bǔ)貼，大大降低了企業(yè)協(xié)助辦案的積極性。

2.外部協(xié)作存在法律沖突

網(wǎng)絡(luò)詐騙活動在國際上也被視為違法犯罪行為，許多國家和國際組織都制定了相關(guān)法律來打擊網(wǎng)絡(luò)詐騙犯罪，如歐盟的《網(wǎng)絡(luò)犯罪公約》、美國的《計算機(jī)欺詐和濫用法》等，大多數(shù)國家對網(wǎng)絡(luò)詐騙行為的定性相似，這為我國跨境電子取證提供了良好的國際環(huán)境。目前，我國在法律層面規(guī)定了基于國際刑事司法協(xié)助取證模式和單向跨境電子取證模式來應(yīng)對網(wǎng)絡(luò)詐騙犯罪的跨境電子取證問題，但是這兩種模式都存在一定的弊端[22]。

國際刑事司法協(xié)助取證模式依靠雙重犯罪原則來實現(xiàn)，我國在申請國際刑事司法協(xié)助前必須準(zhǔn)確地知道電子證據(jù)所在國是否與我國締結(jié)了相關(guān)合作協(xié)議，請求取證的內(nèi)容是否明確，審批周期和取證時間有多長等。該取證模式極為被動，在證據(jù)標(biāo)準(zhǔn)、取證技術(shù)、協(xié)助成本等方面容易產(chǎn)生爭議。為了突破數(shù)據(jù)屬地管轄，我國規(guī)定了單向跨境電子取證模式，但相關(guān)法律規(guī)定均以部門規(guī)章的形式做出，其法律效力在國際上不被認(rèn)可，在取證范圍上僅限公開發(fā)布的境外電子數(shù)據(jù)。此外，主張網(wǎng)絡(luò)空間主權(quán)的《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國國際刑事司法協(xié)助法》嚴(yán)格限制我國電子數(shù)據(jù)向境外輸出，這就導(dǎo)致我國電子數(shù)據(jù)在輸出和輸入上并不對等，相關(guān)法律規(guī)范也無法形成邏輯自洽的規(guī)制體系。由此看來，我國兩種主流的跨境偵查取證協(xié)作模式無法滿足當(dāng)前網(wǎng)絡(luò)詐騙犯罪跨境電子取證的需要，國際警務(wù)合作阻礙多、國內(nèi)法律規(guī)范不通暢成為制約取證質(zhì)量和效率的兩大重要因素，亟待建立一種合法、便捷、高效且適合我國國情的跨境電子取證模式。

四、網(wǎng)絡(luò)刷單詐騙犯罪取證能力的提升策略

當(dāng)前，隨著網(wǎng)絡(luò)刷單詐騙犯罪形式的不斷變化，我國偵查機(jī)關(guān)的電子取證工作面臨諸多挑戰(zhàn)，涉及取證來源、取證技術(shù)和取證協(xié)作等方面的內(nèi)容。偵查機(jī)關(guān)要堅持與時俱進(jìn)的發(fā)展理念，積極主動適應(yīng)犯罪形式的變化，做好實證調(diào)研和專題研究，找到解決網(wǎng)絡(luò)刷單詐騙犯罪電子取證困境的出路。

（一）拓寬刷單詐騙犯罪線索和證據(jù)的來源渠道

1.加強(qiáng)對受害者的訪問和相關(guān)設(shè)備的勘查取證

刷單詐騙的犯罪腳本是犯罪分子實施犯罪行為的重要依據(jù)，也是偵查機(jī)關(guān)分析犯罪分子作案流程、工具和手段的重要材料。一般而言，對受害者及其相關(guān)設(shè)備的勘查取證通常會直接或間接獲取詐騙腳本的大部分內(nèi)容，比如受害者在何時何地以何種方式接受刷單信息，如何與犯罪分子聯(lián)系，犯罪分子如何介紹刷單流程，犯罪分子向受害者推送或索要過哪些信息，是否向受害者返利，誘騙受害者繼續(xù)刷單的詳細(xì)過程，拒不返款的理由等。因此，對受害者進(jìn)行調(diào)查訪問并對其當(dāng)時使用的相關(guān)電子設(shè)備進(jìn)行勘驗檢查，是電子取證的重要方向。對于部分不愿意配合檢查的受害者，偵查人員應(yīng)當(dāng)加強(qiáng)宣傳，簡化取證流程，并根據(jù)情況給予獎勵，以提高其配合的積極性；對于部分害怕遭受處罰的受害者，偵查人員應(yīng)當(dāng)主動與其聯(lián)系并表明追贓挽損的辦案目的，同時在合法范圍內(nèi)盡可能采取說教的方式代替行政處罰，進(jìn)而促使受害者主動配合；對于部分害怕隱私泄露的受害者，偵查人員應(yīng)當(dāng)做好保密工作，涉案電子數(shù)據(jù)的處理應(yīng)向受害者適度公開，及時打消其顧慮。

2.深挖各犯罪主體及其行為之間的關(guān)聯(lián)性

犯罪分子及其行為之間的關(guān)聯(lián)性分析對確定犯罪分子的身份、作案手法及犯罪模式至關(guān)重要，這種關(guān)聯(lián)性可以是同一犯罪人在不同時空條件下實施的多個犯罪行為之間的聯(lián)系，也可以是不同犯罪人之間的聯(lián)系，比如同一犯罪團(tuán)伙中的成員或不同犯罪團(tuán)伙中的節(jié)點成員之間的聯(lián)系。在網(wǎng)絡(luò)刷單詐騙犯罪中，詐騙組織者既是詐騙團(tuán)伙的核心成員，又是連接詐騙執(zhí)行者和相關(guān)黑灰產(chǎn)業(yè)的“紐帶”，犯罪信息流和犯罪資金流在詐騙組織者處匯集，詐騙腳本、涉詐軟件、虛假支付鏈接和二維碼等犯罪工具和資料經(jīng)由詐騙組織者傳遞。因此，可以以其中一種或多種犯罪工具或資料為突破口來鎖定有關(guān)犯罪嫌疑人的身份。比如，涉詐軟件的基本信息、打包信息、分發(fā)信息、服務(wù)器、客服系統(tǒng)、軟件開發(fā)工具包（SDK）插件、短信驗證等方面是情報搜集的重要方向。利用軟件的名稱、版本、包名和安裝包的信息摘要算法（MD5 值）可實現(xiàn)精準(zhǔn)串并案，向軟件的分發(fā)公司調(diào)證可獲取注冊人的注冊信息、支付賬號、收貨地址等。通過封裝平臺的調(diào)證可獲取有關(guān)注冊人或其他關(guān)聯(lián)者的打包信息，有關(guān)軟件服務(wù)器的域名（犯罪主網(wǎng)站）注冊商和服務(wù)器運營商掌握的注冊信息、支付賬號、托管及租用信息、登錄次數(shù)最多的前十個賬戶信息、詐騙過程記錄等信息。偵查人員基于推送、統(tǒng)計、地圖等調(diào)用第三方服務(wù)商的數(shù)據(jù)上傳通道和支付通道的分析資料，可實現(xiàn)對犯罪嫌疑人身份和位置的確定。

3.注重偵查陣地控制，深化線上線下交錯取證

陣地控制作為刑偵三大基礎(chǔ)工作之一，在治理侵財類犯罪中能夠及時發(fā)現(xiàn)犯罪線索和證據(jù)，對案件偵辦發(fā)揮了重要作用。網(wǎng)絡(luò)偵查陣地的建立標(biāo)志著傳統(tǒng)偵查陣地實現(xiàn)由線下向線上、人力向信息化的轉(zhuǎn)變，偵查陣地控制的范圍和手段得以拓展延伸[23]。對現(xiàn)實實體空間和網(wǎng)絡(luò)虛擬空間的偵查陣地開展交錯式電子取證工作，有助于偵查人員獲取大量有價值的犯罪數(shù)據(jù)和信息。首先，互聯(lián)網(wǎng)、通信和金融等有關(guān)行業(yè)風(fēng)險控制部門要加強(qiáng)對犯罪信息的識別與采集，同時偵查機(jī)關(guān)應(yīng)當(dāng)研制并完善相關(guān)領(lǐng)域的信息共享機(jī)制與線索快速移送機(jī)制，比如基于對刷單詐騙腳本和犯罪隱語的分析，瀏覽器、社交平臺和直播平臺可構(gòu)建刷單詐騙犯罪引流階段和實施階段的風(fēng)險識別模型，偵查機(jī)關(guān)進(jìn)而可實現(xiàn)對犯罪信息的實時數(shù)據(jù)采集[24]。其次，受害者主動下載、安裝涉詐軟件是犯罪分子實施刷單詐騙的重要前提，各大手機(jī)廠商應(yīng)當(dāng)增加手機(jī)的反詐功能[25]，加強(qiáng)對涉詐軟件的識別和信息采集，比如小米手機(jī)MIUI 13、vivo手機(jī)的OriginOS 系統(tǒng)積極與國家反詐中心軟件對接，形成數(shù)據(jù)互通，在詐騙來電預(yù)警、涉詐軟件的識別和異常交易提醒等方面有著更快、更精準(zhǔn)的響應(yīng)。最后，銀行或第三方支付機(jī)構(gòu)的技術(shù)部門應(yīng)當(dāng)基于機(jī)器深度學(xué)習(xí)的方法，深入分析各種騙術(shù)和構(gòu)建專業(yè)反詐知識數(shù)據(jù)庫，實現(xiàn)對絕大多數(shù)涉詐交易行為的有效識別和挖掘，并將涉詐賬號等信息同步移送公安機(jī)關(guān)反詐部門，以便進(jìn)行線索倒查，比如螞蟻實驗室研發(fā)的“叫醒服務(wù)”產(chǎn)品，現(xiàn)已上線覆蓋了所有支付寶用戶，不僅會自動阻止詐騙交易，還會主動致電用戶，提示詐騙風(fēng)險。根據(jù)2022 年最新數(shù)據(jù)統(tǒng)計顯示，支付寶AI 反詐“叫醒服務(wù)”對“殺豬盤”類詐騙的勸阻止付率大幅提升，“叫醒”成功率已經(jīng)超過了人工客服[26]，“殺豬盤”類詐騙的案件量也因偵查機(jī)關(guān)的主動倒查得到大幅度減少。

（二）加強(qiáng)偵查取證隊伍的建設(shè)和新型取證技術(shù)的應(yīng)用

1.持續(xù)推動專門取證隊伍建設(shè)

影響網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)新型犯罪偵查效能的因素眾多，其中專門隊伍建設(shè)起到?jīng)Q定性作用。隨著犯罪手段智能化和犯罪方法加速迭代更新，涉網(wǎng)類犯罪形式和手段日益復(fù)雜，為有效應(yīng)對此類犯罪，偵查人員必須具備較強(qiáng)的專業(yè)能力和與時俱進(jìn)的創(chuàng)新能力[27]。這就需要公安機(jī)關(guān)注重培養(yǎng)具備“偵查+技術(shù)”能力的復(fù)合型偵查人才，全面深化“校局合作”和“警企合作”，加強(qiáng)對電子取證程序和取證技術(shù)的培訓(xùn)，不斷規(guī)范取證行為、更新案件偵辦思路和提高電子取證技術(shù)，進(jìn)而提高打擊網(wǎng)絡(luò)刷單詐騙犯罪的專業(yè)水平。

2.加強(qiáng)對問題突出領(lǐng)域取證技術(shù)的研發(fā)和應(yīng)用

針對刷單詐騙團(tuán)伙及黑灰產(chǎn)業(yè)所使用的移動應(yīng)用、數(shù)據(jù)篡改、網(wǎng)絡(luò)攻擊等技術(shù)，公安機(jī)關(guān)要加強(qiáng)對問題突出領(lǐng)域取證技術(shù)的研發(fā)和應(yīng)用，提升技術(shù)反制能力，實現(xiàn)“以專制?！?，這是偵查機(jī)關(guān)破解電子取證難題的關(guān)鍵。

第一，構(gòu)建并完善動態(tài)數(shù)據(jù)收集模型。大數(shù)據(jù)時代，電子數(shù)據(jù)具有海量性、實時性和不穩(wěn)定性等特征，無論是表層網(wǎng)絡(luò)還是深層網(wǎng)絡(luò)的電子數(shù)據(jù)取證，有關(guān)涉案電子數(shù)據(jù)實時監(jiān)測和痕跡捕捉等方面的應(yīng)用均有待加強(qiáng)。加之犯罪行為在網(wǎng)絡(luò)虛擬空間中具有隱匿性和持續(xù)性，為了獲取大量完整、實時的電子數(shù)據(jù)，構(gòu)建并完善動態(tài)數(shù)據(jù)收集模型至關(guān)重要。Hirano 等人提出了一種名為LogDrive 的動態(tài)數(shù)據(jù)取證模型，旨在監(jiān)測并獲取云環(huán)境中的數(shù)據(jù)異常情況。該模型通過主動收集虛擬塊設(shè)備中的數(shù)據(jù)，采取虛擬存儲的日志記錄方式來記錄證據(jù)，并以時間序列的調(diào)查方式來呈現(xiàn)被覆蓋或刪除的證據(jù)文件[28]。筆者認(rèn)為此數(shù)據(jù)取證模型針對性強(qiáng)，能夠及時記錄案發(fā)前后的數(shù)據(jù)情況，并能有效應(yīng)對電子數(shù)據(jù)的不穩(wěn)定性問題，可以在偵查取證中借鑒使用。

第二，創(chuàng)新云端數(shù)據(jù)取證方法。當(dāng)前，云環(huán)境電子數(shù)據(jù)取證技術(shù)主要包括基于網(wǎng)頁協(xié)議、軟件協(xié)議、仿真環(huán)境模擬和手機(jī)端流量數(shù)據(jù)截獲等手段的云取證技術(shù)，但是上述技術(shù)都存在取證成本高、分析周期長等問題，缺乏及時性和適用性。董鵬飛[29]等人發(fā)明了一種云端數(shù)據(jù)取證方法及系統(tǒng)，此方法及系統(tǒng)能大幅縮短各類軟件的逆向還原時間，通過找到對應(yīng)接口函數(shù)，以搭建后臺服務(wù)架構(gòu)的方式，有效提升云端電子數(shù)據(jù)取證的效率和可能性，基于核心算法服務(wù)計算，系統(tǒng)的客戶端和服務(wù)端能對獲取數(shù)據(jù)包的合法性進(jìn)行判斷，滿足了對取證程序和取證結(jié)果的合法性要求。筆者認(rèn)為此方法及系統(tǒng)能夠有效地降低云取證的逆向成本，提高取證分析的效率和取證過程的合法性，因此可以考慮加大推廣應(yīng)用。

第三，應(yīng)用新型數(shù)據(jù)恢復(fù)技術(shù)。移動互聯(lián)時代，隨著5G 技術(shù)的普及與發(fā)展，智能手機(jī)已經(jīng)成為人們生活必不可少的組成部分，不僅如此，智能手機(jī)數(shù)據(jù)在刑事案件中作為證據(jù)使用的情況也日益增多。智能手機(jī)上的數(shù)據(jù)主要存儲在SQLite 數(shù)據(jù)庫中，犯罪分子出于反取證的需要，會不定期對手機(jī)數(shù)據(jù)庫進(jìn)行清理，如何從數(shù)據(jù)庫相關(guān)文件中尋找到殘留的數(shù)據(jù)庫記錄痕跡，并對殘留數(shù)據(jù)進(jìn)行分析、整合，進(jìn)而恢復(fù)被刪除的數(shù)據(jù)，是SQLite數(shù)據(jù)庫恢復(fù)被刪除數(shù)據(jù)的難點[30]。梁斌[31]等人設(shè)計出的一種基于日志與文件結(jié)構(gòu)的手機(jī)數(shù)據(jù)恢復(fù)方法適用于SQLite 數(shù)據(jù)庫數(shù)據(jù)被刪除的情況，能夠考慮到所有可能存儲了被刪除數(shù)據(jù)碎片的文件，并能夠有針對性地對不同文件進(jìn)行研究還原，進(jìn)而實現(xiàn)對被刪除數(shù)據(jù)的恢復(fù)，與現(xiàn)有手機(jī)數(shù)據(jù)恢復(fù)技術(shù)相比，這一新方法具有恢復(fù)效率高、擴(kuò)展性強(qiáng)、性能穩(wěn)定等優(yōu)點，能最大可能地恢復(fù)涉案手機(jī)中被刪除的數(shù)據(jù)，進(jìn)而有利于實現(xiàn)對電子證據(jù)的深度挖掘與分析。

（三）內(nèi)外合力構(gòu)建全面協(xié)作機(jī)制

1.公安系統(tǒng)內(nèi)部建立跨區(qū)域警務(wù)戰(zhàn)略合作機(jī)制

針對網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)新型犯罪的偵查治理工作，各地公安機(jī)關(guān)應(yīng)當(dāng)堅持“全國一盤棋”的理念，建立健全跨區(qū)域警務(wù)戰(zhàn)略合作機(jī)制，如加強(qiáng)對刷單詐騙發(fā)案量高或?qū)徑Y(jié)率低地區(qū)的警力支援，促進(jìn)全國范圍內(nèi)案件偵辦思路和先進(jìn)技術(shù)手段的深度融合。此外，公安部應(yīng)當(dāng)發(fā)布相關(guān)文件，明確主偵機(jī)關(guān)和協(xié)作機(jī)關(guān)在辦理網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)新型犯罪案件所需承擔(dān)的職責(zé)，指導(dǎo)各地公安機(jī)關(guān)建立公平合理的考核標(biāo)準(zhǔn)，并視案件偵辦情況進(jìn)行考核評議，以此奠定公安系統(tǒng)內(nèi)部偵查協(xié)作的基調(diào)，如主偵機(jī)關(guān)對偵查計劃的制定和偵查指揮工作等負(fù)責(zé)，協(xié)作機(jī)關(guān)應(yīng)當(dāng)與主偵機(jī)關(guān)共享涉案信息、提供人員支持等。

2.創(chuàng)建國內(nèi)各行業(yè)與公安機(jī)關(guān)信息共享機(jī)制

一方面，為打破偵查協(xié)作的信息壁壘，可以在全國范圍內(nèi)建立“條塊結(jié)合”的信息共享機(jī)制。其中“條”的信息共享機(jī)制是指由公安部牽頭，在統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)和整合各警種數(shù)據(jù)信息庫的基礎(chǔ)上，以縣級公安機(jī)關(guān)的信息數(shù)據(jù)庫為單位，建立全國公安系統(tǒng)內(nèi)部的信息共享機(jī)制。無論申請單位和協(xié)作單位級別的高低，通過該機(jī)制即可實現(xiàn)雙方的“扁平化”對接，無須共同的上級領(lǐng)導(dǎo)單位授權(quán)或許可，簡化了跨區(qū)域偵查協(xié)作的申請流程，提高了跨區(qū)域電子取證的效率。“塊”的信息共享機(jī)制則是由公安部、中國人民銀行、工業(yè)和信息化部、國家工商總局等部門牽頭，為滿足公安機(jī)關(guān)辦案需求而設(shè)立的信息共享與交流機(jī)制。基于區(qū)塊鏈技術(shù)，整合電信業(yè)、銀行金融業(yè)和互聯(lián)網(wǎng)產(chǎn)業(yè)等信息數(shù)據(jù)，搭建相應(yīng)的大數(shù)據(jù)信息共享和監(jiān)測預(yù)警平臺，并且相關(guān)部門均有訪問權(quán)限，通過這一信息共享機(jī)制，可實現(xiàn)對網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)新型犯罪的犯罪線索和證據(jù)的及時發(fā)現(xiàn)、記錄和收集。綜上所述，以滿足公安機(jī)關(guān)辦案為核心，在全國范圍內(nèi)設(shè)立“條塊結(jié)合”的信息共享機(jī)制有利于落實反電詐法關(guān)于各部門、各單位在反詐工作中協(xié)同配合、快速聯(lián)動的要求。

另一方面，由于國內(nèi)的電子取證工作通常是以偵查機(jī)關(guān)直接向數(shù)據(jù)所有者調(diào)取的方式來進(jìn)行的，為消除數(shù)據(jù)所有者的協(xié)作顧慮，有必要基于數(shù)據(jù)內(nèi)容的隱私性對數(shù)據(jù)進(jìn)行分級分類，并加強(qiáng)對數(shù)據(jù)保護(hù)的透明化構(gòu)建。《中華人民共和國數(shù)據(jù)安全法》第二十一條明確規(guī)定要對數(shù)據(jù)實行分級分類保護(hù)，我國眾多學(xué)者也從數(shù)據(jù)的公開程度和數(shù)據(jù)主體的不同等多個角度對數(shù)據(jù)進(jìn)行了劃分，其中姚浩亮[32]采用數(shù)據(jù)主體與內(nèi)容相結(jié)合的方式，將電子數(shù)據(jù)分為國家數(shù)據(jù)、行業(yè)數(shù)據(jù)和個體數(shù)據(jù)三大類，并指明了數(shù)據(jù)的具體使用情況。圖2 為相應(yīng)的數(shù)據(jù)分類示意圖。其中，國家數(shù)據(jù)包括公開數(shù)據(jù)、準(zhǔn)公開數(shù)據(jù)和非公開數(shù)據(jù)；行業(yè)數(shù)據(jù)包括行業(yè)重點數(shù)據(jù)和行業(yè)普通數(shù)據(jù)；個體數(shù)據(jù)包括內(nèi)容數(shù)據(jù)、非內(nèi)容數(shù)據(jù)和未成年數(shù)據(jù)。筆者認(rèn)為該分類方式能夠調(diào)節(jié)數(shù)據(jù)披露和數(shù)據(jù)保護(hù)之間的矛盾，有利于偵查機(jī)關(guān)搭建快捷取證渠道，并為跨境電子取證打下良好基礎(chǔ)。此外，針對中小微企業(yè)配合公安機(jī)關(guān)調(diào)證成本高的問題，可以依托企業(yè)所屬的行業(yè)協(xié)會建立協(xié)作調(diào)證對接和補(bǔ)貼機(jī)制，行業(yè)協(xié)會負(fù)責(zé)對企業(yè)的經(jīng)營業(yè)務(wù)和行業(yè)數(shù)據(jù)進(jìn)行管理、監(jiān)督，作為聯(lián)系偵查機(jī)關(guān)和企業(yè)的“中間人”，搭建相應(yīng)的數(shù)據(jù)提取在線申請平臺，實現(xiàn)流水線式調(diào)證，并根據(jù)調(diào)證成本的高低給予企業(yè)一定數(shù)額的補(bǔ)貼。以互聯(lián)網(wǎng)金融業(yè)為例，目前中國互聯(lián)網(wǎng)金融協(xié)會[33]已成立，相應(yīng)的地方和區(qū)域互聯(lián)網(wǎng)協(xié)會也在陸續(xù)建設(shè)中，行業(yè)協(xié)會的成立既能加強(qiáng)對行業(yè)數(shù)據(jù)的管理、審查，又能提高企業(yè)配合偵查機(jī)關(guān)調(diào)證的積極性，進(jìn)而保證電子取證工作有序、高效地開展。

圖2 基于數(shù)據(jù)主體與內(nèi)容相結(jié)合的電子數(shù)據(jù)分類示意圖

3.探索跨境電子取證新模式

構(gòu)建便捷、高效的網(wǎng)絡(luò)刷單詐騙跨境電子取證模式需要我國在完善跨境電子取證法律規(guī)范的基礎(chǔ)上，加強(qiáng)國際合作。

首先，由于偵查機(jī)關(guān)無法通過刑事司法協(xié)助取證模式對沒有與我國締結(jié)雙邊協(xié)議的國家或地區(qū)開展電子取證工作，所以繞開煩瑣的刑事司法協(xié)助程序，向數(shù)據(jù)管理者直接調(diào)證的單向跨境取證理念更符合我國的實際情況，但為了尊重各國網(wǎng)絡(luò)空間主權(quán)，單向跨境取證行為應(yīng)遵循國家數(shù)據(jù)管轄權(quán)原則，在法律層面規(guī)范跨境電子取證的范圍[34]。此外，還應(yīng)協(xié)調(diào)我國單向跨境電子取證與限制數(shù)據(jù)輸出之間的立法矛盾，形成邏輯自洽的規(guī)制體系，以擴(kuò)大我國單向跨境取證法律的國際認(rèn)可度。如設(shè)置禁止性規(guī)定，嚴(yán)格限制非公開的國家數(shù)據(jù)流通；對于政府或行業(yè)協(xié)會等發(fā)布的行業(yè)普通數(shù)據(jù)，通過提前向國家網(wǎng)信部門報備的方式，允許相關(guān)數(shù)據(jù)持有者在經(jīng)過特定期限后，無須經(jīng)過刑事司法協(xié)助程序，可直接向境外執(zhí)法機(jī)構(gòu)提供；關(guān)于行業(yè)重點數(shù)據(jù)、涉及隱私的個體數(shù)據(jù)和未成年數(shù)據(jù)仍需經(jīng)過國家網(wǎng)信部門嚴(yán)格審批和評估后才能決定是否能夠向境外執(zhí)法機(jī)構(gòu)提供。

其次，根據(jù)2019 年12 月第74 屆聯(lián)合國大會通過的《打擊為犯罪目的使用信息通信技術(shù)》決議顯示，多個國家在跨境電子取證中采取了偵查機(jī)關(guān)向網(wǎng)絡(luò)服務(wù)提供者直接調(diào)證的取證模式，該模式有利于電子數(shù)據(jù)的快速獲取和案件的迅速偵破[35]。此外，根據(jù)國際電信聯(lián)盟發(fā)布的《2020 年度全球網(wǎng)絡(luò)安全指數(shù)》顯示，有166 個國家的偵查機(jī)關(guān)選擇采用與網(wǎng)絡(luò)服務(wù)提供者進(jìn)行公私合作的模式來替代低效率的刑事司法協(xié)助程序[36]，這為我國探索跨境電子取證的新路徑提供了良好的實踐參考。由于各國對網(wǎng)絡(luò)空間主權(quán)的態(tài)度并不一致，導(dǎo)致在聯(lián)合國框架下的立法規(guī)定達(dá)成率低，因此我國可以參考?xì)W盟的做法，先在區(qū)域范圍內(nèi)，與對網(wǎng)絡(luò)空間主權(quán)持支持態(tài)度的國家和地區(qū)達(dá)成區(qū)域性合作協(xié)定，以滿足構(gòu)建跨境快捷取證模式的需要。如2009 年的《上海合作組織成員國保障國際信息安全政府間合作協(xié)定》（以下簡稱為“上合組織協(xié)定”）指明了成員國之間信息安全、信息共享等內(nèi)容[37]，因此我國能基于上合組織協(xié)定，與對網(wǎng)絡(luò)空間主權(quán)持支持態(tài)度的成員國就跨境電子取證的取證范圍、方式、技術(shù)和程序等方面的內(nèi)容達(dá)成進(jìn)一步共識。在此基礎(chǔ)上，我國還應(yīng)在世界范圍內(nèi)不斷促成、深化與我國具有相同理念的國家和地區(qū)之間的合作，以提高對網(wǎng)絡(luò)刷單詐騙犯罪的打擊效率。

最后，我國作為國際刑事警察組織成員國，應(yīng)當(dāng)充分利用好國際刑事警察組織搭建的警務(wù)合作平臺，了解各國關(guān)于跨境執(zhí)法與合作的相關(guān)事宜，并加強(qiáng)有關(guān)跨境電子取證的專業(yè)培訓(xùn)，以提高我國偵查機(jī)關(guān)的跨境取證能力。

五、結(jié)語

隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展和普及，網(wǎng)絡(luò)刷單詐騙等涉網(wǎng)犯罪的犯罪態(tài)勢復(fù)雜多變，在犯罪案件數(shù)量日益增加的同時，犯罪手段愈發(fā)隱蔽，犯罪全鏈條涉及的環(huán)節(jié)眾多。在這樣的背景下，電子取證在打擊網(wǎng)絡(luò)刷單詐騙犯罪中起著至關(guān)重要的作用。然而，作為一項專業(yè)性極強(qiáng)的工作，當(dāng)前網(wǎng)絡(luò)刷單詐騙犯罪電子取證在諸多方面面臨嚴(yán)峻的挑戰(zhàn)。針對網(wǎng)絡(luò)刷單詐騙電子取證工作在實踐中存在的問題，筆者基于“四專兩合力”的反詐工作理念，提出了包括拓寬犯罪線索和證據(jù)的來源渠道、加強(qiáng)取證隊伍的建設(shè)和新型取證技術(shù)的應(yīng)用、構(gòu)建偵查取證“兩個合力”的實現(xiàn)路徑在內(nèi)的應(yīng)對策略。相信隨著國內(nèi)法律規(guī)范的不斷完善、取證技術(shù)的迭代更新、復(fù)合型偵查人才的培養(yǎng)、國內(nèi)外偵查取證協(xié)作的加強(qiáng)，網(wǎng)絡(luò)刷單詐騙犯罪一定會得到有效遏制。