王桂强
(公安部物证鉴定中心,北京 100038)
·论 著·
物证鉴定情报论
王桂强
(公安部物证鉴定中心,北京 100038)
物证鉴定情报是逻辑分析物证鉴定案件资料信息生成的犯罪情报产品。物证鉴定案件资料包含了大量关于犯罪环境和犯罪活动的信息,这些信息可以成为情报的重要信息基础。物证鉴定迄今主要聚焦于提供犯罪侦查线索和提供法庭证据。物证鉴定情报应用可以视为传统侦查应用和证据应用之外的物证鉴定第三大任务,这符合情报导向警务观点。本文概述了物证鉴定情报定义和其依靠的理论基础,重点阐述了包括物证提取、特征检测、资料整合分析存储、组合分析、融合分析,以及情报产品分类、表达、传递和支持决策等步骤构成的物证鉴定情报分析一般化框架模型,提出了物证鉴定情报能力建设的建议。这个一般化和多物证类型的模型可以帮助明确定义物证鉴定情报以及理解它在警务中的角色和定位,也可以用于以情报导向视角指导使用各类物证鉴定资料和其它来源信息。
物证鉴定情报;物证鉴定资料;整合分析;组合分析;融合分析;犯罪情报
物证鉴定情报应用近年来已成为物证鉴定领域理论和实践发展热点[1-20]。对其关注度日益增加的原因,一是情报导向警务需要更多更好的犯罪情报,二是物证鉴定案件资料具有很强的情报潜力。传统的物证鉴定任务,主要是法庭诉讼证据应用和犯罪侦查应用,而情报应用被认为是物证鉴定的第三大任务,其目的是提供犯罪情报产品、支持各层级警务决策。物证鉴定情报应用与传统证据和侦查应用目的不同,导致它们具有不同的属性、技术方法和理论基础。本文试图探讨物证鉴定情报应用概念、原理和一般性技术框架,以促进其理论探索和实践发展。
1.1 物证鉴定情报定义
Ribaux等将物证鉴定情报定义为“为犯罪侦查和犯罪分析目的逻辑处理物证鉴定案件资料生成的准确、及时和有用的犯罪情报产品”[1,3]。物证鉴定情报是基于对源自犯罪(或争议活动)的痕迹物证发现、提取、检测、分析以及与其它来源信息综合分析获得的犯罪情报,能够帮助警察机构更好理解犯罪问题,特别是如何犯罪、何时犯罪和为何犯罪,从而以更加积极主动的方式使用资源。
物证鉴定案件资料(以下简称物证鉴定资料)是物证鉴定情报分析的基础信息来源,它是从犯罪现场提取的各种痕迹物证和相关参考样本检验鉴定生成的所有资料。痕迹物证(以下简称物证)是犯罪活动期间转移的形态、信号或物体,是犯罪活动的遗留物,包含了生成它们的活动和环境信息[1]。物证鉴定获取的有关信息已经被广泛有效地用于支持法庭诉讼和犯罪侦查,帮助回答何人、何地、何时、何物、何事、何为和何故等犯罪重建要素信息。由于相同来源或活动能够生成具有相似特征的物证,分析多个案件物证特征相似性可以链接相关案件并基于链接生成相关假说,因此物证鉴定资料能够有效支持犯罪情报分析。
情报分析依赖逻辑处理信息能力[3]。物证鉴定情报分析以物证鉴定资料包含的相关信息作为推理事实起点,推理条件是包括物证鉴定学、犯罪学、计算机学、心理学和经济学等领域专业知识和其它相关知识,推论是犯罪情报产品。物证鉴定情报分析的核心是逻辑分析和解释物证鉴定资料,其基本手段是运用物证鉴定原理和方法链接多个案件物证实体,再基于这些链接结果结合犯罪学等相关知识进一步生成相关假说或建议[1]。
物证鉴定情报是可以影响决策者思想的分析产品,产品价值超越了它们所依靠的物证鉴定资料事实[1]。它们形式上是书面或口头报告,或是电话交谈。物证鉴定情报产品接收者是犯罪侦查员和指挥员,或是可以影响犯罪减少和预防的其他部门决策者。物证鉴定情报提倡对预防和解决犯罪活动采取前摄和全面的响应,而不是仅聚焦于解决已发生的单个犯罪案件。它能够提供战术、行动和战略三个层级犯罪情报,在拘捕罪犯、犯罪减少、犯罪预防和评估方面提供帮助。
物证鉴定情报存在主观性和不确定性问题。虽然物证鉴定资料信息源自客观、可测量和可比较的物理实体,相对其它信息通常有更高可靠性,但物证鉴定情报是超越了物证鉴定资料事实的假说,资料非完美性和逻辑方法固有性质导致情报产品不可避免地存在不确定性。
1.2 物证鉴定情报与物证鉴定
物证鉴定情报更加前摄和全面地响应犯罪活动超越了传统物证鉴定证据和侦查应用的反应性和案件导向警务模式,扮演了与目前主要由司法审判系统驱动的传统证据和侦查应用任务互补的全新角色,因此可以被视为物证鉴定的第三大任务[15]。
物证鉴定三大应用任务关注对象和作用不同。传统上被作为物证鉴定默认应用的证据应用关注单一案件并专注于提供证据帮助法庭做出决定,主要聚焦在犯罪现场、物品与人员之间的关联关系。侦查应用可以通过早期提供排除或蕴含嫌疑人信息影响侦查关注点,例如通过DNA和指印物证。情报应用关注多个案件和它们之间的关联,聚焦于整体犯罪活动,致力于通过帮助制定警务决策达到瓦解、减少和阻止犯罪目的。
物证鉴定侦查、证据和情报应用都依赖逻辑分析物证信息的过程,但它们采用不同推理方法(不同事实解释方式)和不同事实起点。在侦查应用中,物证鉴定科学家围绕犯罪事件通过归纳推理和溯因推理方法解释观察结果并生成假说以提供侦查线索。在证据应用中,科学家针对嫌疑人以提供证明证据为目的通过假说演绎和演绎推理方法对物证鉴定结果做出评估意见。情报应用是采用溯因推理方法分析多个案件物证鉴定资料生成犯罪情报。
物证鉴定情报应用与传统证据应用的另一个差别是对不确定性容忍度。由于物证鉴定情报应用采用溯因推理寻求观察结果的最佳解释,分析涉及探寻多于一种的假说,导致情报存在一定不确定性。在警务决策语境中,物证鉴定情报发现意义重大,因此情报应用相对于证据应用可以容忍更大的不确定性范围,但物证鉴定情报不等于较低标准的证据。在法庭定罪决策语境中,决策危险和不确定性必须减少到最小,证据应用几乎不能容忍不确定性存在。
1.3 物证鉴定情报与情报导向警务
物证鉴定情报在警务环境中运行。各种警务战略的共同目标是选择最适当方法了解犯罪问题及其根源以及公众的期待,并通过控制和减少犯罪以增加安全。现代警务模型都将信息流动性和信息处理严谨性作为模型效力和效益的关键方面,反映了从纯反应式执法向更加前摄和积极主动警务的转变,情报导向警务由此而生。
情报导向警务关键要素之一是在支持犯罪减少、瓦解和预防的框架中分析资料和使用犯罪情报[1]。情报导向警务的发展吸引物证鉴定运转在一个新的语境中并已经对物证鉴定产生影响。物证鉴定资料包含的相对全面和客观的犯罪信息使其成为情报导向警务重要资料来源。通过连接不同信息片段了解重复犯罪问题情况是警务战略核心之一[17],而物证鉴定资料强大的犯罪现场链接能力可以为犯罪链接提供充实基础。此外,基于科学和技术手段获取的物证鉴定资料信息的客观性提供了物证鉴定情报准确性基础。相对“情报导向警务”最初主要基于来自告密和秘密行动获得的“软”情报,源自物证鉴定资料的“硬”情报提供了更高警务战略期望[16]。
物证鉴定情报分析过程涉及两个主要阶段:一是比较分析多个案件物证实体特征,依据特征相似性程度发现和确定物证实体之间链接;二是通过解释链接存在原因生成相关假说或建议。这两个核心分析过程依靠的理论基础是物证鉴定原理和溯因推理原理。
物证鉴定科学的两个核心观念是Locard提出“物质转移原理”和Kirk提出“个体同一认定原理”[21]。它们是物证鉴定侦查和证据应用的理论基础,也是物证鉴定情报分析的重要理论基础[9]。Kirk的同一认定原理提出“宇宙中没有完全同样的事物”,为比较两个物体提供了科学基础。由于以绝对条件看每个物体都是唯一的,物证鉴定科学只能以相对的相似性推断两个物体是否有同一来源。不同来源物体肯定是不同的,而相同来源物体在性质特征上应该表现出非常接近的一致性。同一认定原理引申了两个相关概念:种类同一认定和个体同一认定,前者目的在于鉴别共享相同种类特征物品,而后者在同种类物体集内进一步区分物品直至个体。这两个概念已经获得了广泛承认,它们支撑了物证同一认定鉴定证据有效性。物证鉴定情报分析发现物证实体链接也是基于比较和评估物证特征相似性,因此需要同一认定原理作为理论基础。当然,以情报观点对物证进行链接分析与物证鉴定侦查和证据应用的同一认定分析存在重要差别,前者目标是探寻两个物体之间的相似性,而后者是探寻差异性。
Locard的物质转移原理被表述为“每次接触留下痕迹”,它指出罪犯与犯罪现场、受害人和其它相关物体接触后它们之间将留下物理踪迹[21]。这个原理支撑了物证鉴定关联和重建两个重要概念。物证与其来源之间关联的基础是物质转移的可能性,而重建是关联在时间和空间的排序。物质转移原理及其衍生的物证关联和重建概念是支撑物证鉴定证据评估的理论基础。它们也同样适用物证鉴定情报分析。依照这个理论,可以基于发现的物证实体链接结果推断物证形成原因并进一步生成相关假说或建议。例如,海洛因物证杂质特征反映的物质转移线索主要是鸦片生物碱、反应副产品、残留溶剂和金属元素,其中原料物质留下了它的商品物质痕迹,制造者留下了未反应成分痕迹,分配者留下了污染痕迹。物证鉴定可以发现或解码所有这些物质转移痕迹,将海洛因物证与嫌疑人关联,与其它案件海洛因物证关联,与海洛因加工方法关联和与原料地理起源关联,从而为更加广泛的侦查关联提供基础。
基于物证实体特征相似性生成链接和基于链接生成相关假说的物证鉴定情报分析需要采用溯因推理方法。溯因推理开始于已知事实集合并推导出事实的最合适解释,因此常常被称作是寻求最佳解释的推理。由于溯因推理仅从个别特征的相似性就推导出另一个未知特征的相似性,其生成的最佳解释具有很强的假说性质,是不确定性结论。此外,溯因推理的运用受到非逻辑因素影响较大,个人的知识水平、主观偏见、经验程度以及外力的干预都会直接影响推理分析结果。
在物证鉴定情报溯因分析中,依照物证同一认定原理和物质转移原理,解释物证实体之间特征呈现相似性结果的最可能原因是它们有相同来源或由相同活动形成的,因此基于物证实体特征相似性结果可以推导物证实体存在链接的假说,即它们有相同来源或由相同活动形成的。同样地,依照物证同一认定原理、物质转移原理和其它资料信息及相关知识,基于物证实体链接和可以进一步推断同一人(或同一组人)犯下的系列犯罪或其它与物证形成有关的相关犯罪活动的假说和建议。
由此可见,物证鉴定情报溯因推理分析是基于共同原因假设:不同物证实体之间可比较特征的相似结果可能表明这些特征是同一原因或同一类型原因重复生成的结果。共同原因假设存在的基础是:依照物证鉴定原理这个假设能够最佳地解释被链接物证实体之间存在的特征相似性。但是,这个假设不是唯一的,其它可能原因被判断合理性相对较低但不能完全排除。例如,两个毒品物证特征分型之间的相似性可以归结为它们是由相同犯罪网络生产的,或仅仅是因为巧合呈现了相似的特征分型。
3.1 物证鉴定情报分析流程框架
现行物证鉴定数据库应用显著改善了犯罪侦查过程,并逐渐成为物证鉴定情报产品日常来源重要渠道。它们初期开发应用主要由物证鉴定技术进步驱动,导致不同类型物证各自建立物证鉴定数据库。为了在情报导向警务中更加有效地综合利用各类物证鉴定资料和其它资料,需要建立一个能够以合作方式综合分析各种资料的一般化物证鉴定情报分析框架。基于国外物证鉴定情报实践和研究[4,5,10,13],作者提出图1所示的物证鉴定情报分析流程框架。
这个物证鉴定情报分析流程框架包含7个基本步骤。第一步是物证发现,通过犯罪调查和其它途径发现和提取与犯罪(或问题活动)相关的物证,如DNA、指印、鞋印和毒品等。第二步是物证检测,采用物证鉴定检测手段抽取能够反映物证相关特性的特征分型,如DNA分型和指印脊线特征。第三步是整合分析和存储,通过整合分析多个案件同种类物证的特征分型,发现物证实体之间链接并基于链接结果生成单物证鉴定情报,再将整合分析结果有组织地存储在存储器中。第四步是组合分析,将经过整合分析和存储的多种类型物证鉴定资料组合加以分析生成多物证鉴定情报。第五步是融合分析,将物证鉴定资料整合/组合分析的存储结果与其它非物证鉴定资料融合分析生成综合物证鉴定情报。第六步是情报产品输出和传递,以适当形式表达和传递物证鉴定情报产品给合适的决策制定者。第七步是决策制定,基于物证鉴定情报制定警务决策并影响犯罪活动和环境,犯罪活动和环境的变化反过来可能影响第一步的物证发现,因此构成动态的物证鉴定情报循环分析环。
图1 物证鉴定情报分析一般化流程框架Fig.1 The generalized framework of forensic intelligence process
3.2 物证发现和收集
物证发现是物证鉴定情报分析的第一步骤,其任务是发现和识别犯罪活动的物理遗留物,即物证。物证包含了能够反映它的来源及形成的活动信息。通过检测和比较物证特征并在具体语境中解释检验结果意义,这些物证信息能够以逐个案件方式被用作证据支持法庭决策或用作线索支持犯罪侦查决策,也可以用于情报分析支持警务决策。
发现物证是物证鉴定案件资料收集的基础工作,关键之一是区分与犯罪活动相关和无关的物体。物证收集对象包括犯罪现场物证和相关参考样本。物证收集途径:一是通过犯罪现场勘验和案件调查活动,大多数物证来源于犯罪现场;二是通过物证鉴定实验室日常案件检验,例如依照侦查和诉讼需求送检的可疑物质经检验确定为毒品后,扣押物成为情报分析对象;三是一些非犯罪侦查活动,例如边界入境检查发现假身份证件或废水分析发现毒品成分等;四是情报目的专门收集活动,如提取已知人员指纹、DNA或人像样本,或已知分类的鞋底花纹、油漆和毒品等参考物品样本。
3.3 物证特征检测
物证检测是物证鉴定情报分析第二步骤,其任务是检测物证特征分型。物证特征分型是以情报处理为目的,选择能够反映物证形成并且可测量的物理、化学、生物等属性特征。物证检测将物证从真实有形实体变换成为称作特征分型的概念实体,后者是物证鉴定案件资料存储和逻辑处理的对象,因此物证检测是物证鉴定案件资料收集的必须步骤。
物证特征选择有两种方式:直接引用和专门设计。物证鉴定实验室为侦查和证据应用开发的物证来源鉴定特征,许多可以直接用于情报分析目的。最典型的直接引用特征,是人身或物品来源鉴定特征,如DNA物证常染色体STR分型、指印脊线特征、鞋印形态特征和弹头弹壳发射痕迹特征等,它们可以有效用于物证实体链接分析。因此,物证鉴定实验室日常案件工作生成的鉴定结果可以成为物证鉴定资料主要来源。另外一类物证特征分型是专门为情报应用目的设计开发的,例如为毒品物证特别选择设计的化学和物理分型(大小、重量、颜色、标志、有机和无机杂质、掺杂物、稀释物等),它们可以有效链接物证并推断毒品生产和分配工序、市场大小和演变等信息。直接引用或专门设计物证特征分型时,必须平衡物证特征的代表性与选择性,以及特征检测方法的可靠性、可重复性和成本、时间周期等因素。
3.4 物证鉴定资料存储
物证鉴定情报分析第三步骤含有两个不同但相互影响的活动:物证鉴定资料存储和整合分析。该步骤的基本任务:一是通过整合分析新案件物证鉴定资料与存储器中以往案件物证鉴定资料发现物证实体之间链接关系并进而生成相关情报;二是在存储器中有组织地持续存储物证鉴定资料及整合分析结果,以保证存储资料能够实时反映对犯罪现象的最新认识。新物证鉴定资料进入存储器不是简单添加而是一个整合存储过程:首先是整合分析新资料与以往资料,然后存储最新分析结果,由此更新存储资料。类似地,后续第四步组合分析和第五步融合分析物证鉴定资料结果也同样要反馈存入存储器并作为今后新分析的资料基础。
物证鉴定资料存储器中的存储内容是经过逻辑分析处理的、以结构化方式有组织存储的以往案件物证鉴定资料和分析结果。它代表了物证鉴定情报分析部门在一个特定时间点对犯罪问题或犯罪模式、系列犯罪、案件链接等情况的了解和认识[10]。
物证鉴定资料存储器是物证鉴定情报分析的基础平台,其两个主要功能:一是可以让新案件物证鉴定资料与实时更新的以往案件资料有效整合,二是能够保持对物证鉴定资料的持续性分析。为此,资料存储器必须满足四方面要求:一是以计算机数据库系统作为运行基础,以支持对巨大数量资料进行存储、快速访问和搜索;二是以适当架构有组织地存储资料“项”;三是存储内容能够持续和及时更新,以保证真实反映动态犯罪活动;四是存储器结构必须能够操纵学习以减少链接盲点。
物证鉴定资料逻辑分析是以存储器中的物证鉴定实体作为基础单元。这些资料实体项目设置受多种因素影响[5],常见项目有:(1)物证资料,包括犯罪现场物证和相关已知来源参考样本以及它们的特征分型;(2)相关案件资料,包括时空、作案手法、犯罪类型;(3)物证链接关系,包括已经建立的物证实体之间特征相似性关系以及相应链接值、确定性程度等;(4)案件系列,包括基于物证实体链接分析建立的犯罪系列以及各系列犯罪特点刻画(如地理信息、作案人物理描述、作案手法、识别标志和车辆信息等);(5)案件组(有限案件集),依照一定条件筛选的用于过程分析的有限案件集。
3.5 物证鉴定资料整合分析
物证鉴定资料整合分析是物证鉴定情报分析第三步骤的活动之一。整合分析启动通常是因为新案件物证鉴定资料输入,其主要任务是发现新资料与存储器中以往资料物证实体之间链接和基于链接生成相关情报。
整合分析过程可以分为四个部分。第一,将新资料物证特征与存储器中以往案件资料物证特征进行相似性比较和评估,以获得新物证实体与之前物证实体之间关联关系得分和链接值。由于特征分型相似性比较和评估必须在同类型物证间进行,整合分析只能局限于在相同类型物证实体之间进行。第二,基于物证实体之间关系得分和链接值并参照预先设定的链接阈值,建立物证实体链接,包括现场物证之间、现场物证与已知参考样本之间、样本与样本之间的链接,并将物证实体整理归入相应的链接实体组。第三,将新资料物证实体的特征分型、归属组别、与其它实体关系得分和关联链接值存入存储器,更新资料存储以保证后续新资料整合分析需要。第四,解释推断发现的物证实体链接原因,包括同一来源(人、机构、犯罪网络、实验室、材料)或是相同活动(模式或方法)等,并基于原因假说进一步推断导致这些假说成立的更深层原因推论/意见,由此生成犯罪系列和其它相关情报产品。例如,对一个新的生物物证常染色体STR分型进行整合分析,首先是发现新物证与以往案件的一个物证实体STR分型一致,其次是基于这个一致性评估建立这两个物证链接关系,再进一步解释链接原因推导两个物证来自同一人的假说,最后基于同一来源假说推断这两个案件是同一人犯下的系列案件。又如,基于两个毒品物证化学/物理分型相似性生成的链接可以推断它们有相同来源,再进一步推断这些毒品涉及一个特别犯罪团伙。
整合分析可以构建三种类型链接并生成相应情报:一是构建犯罪现场物证与已知来源样本之间链接,或未知身份人员样本与已知人员样本之间链接,并生成战术层级的犯罪嫌疑人关联情报(提供嫌疑人身份信息);二是构建犯罪现场物证之间链接并生成行动层级的系列犯罪情报;三是构建犯罪现场物证与已知来源/分类物品样本链接并提供现场物证供体类型/特性推断情报。
在当前实践中,物证鉴定资料整合分析已经通过物证鉴定数据库模式以计算机自动检索方式得以日常化运用。如图2所示,通过对新案件现场物证或新关注人员样本与物证鉴定数据库存储的以往物证和参考样本资料的链接分析,可以生成表1所列5种典型犯罪情报产品。嫌疑人关联情报和系列犯罪情报生成于物证来源鉴定数据库,如DNA和指纹数据库,这些数据库存储内容包括以往犯罪案件现场物证和已知身份人员(犯罪前科或嫌疑人)样本的特征分型两大部分。供体推断情报应用依赖物证分类特征数据库,数据库存储内容是已知分类的参考物品样本的分类特征,如DNA显型特征数据库和汽车油漆数据库。
整合分析发现的物证实体链接和基于链接生成的情报产品具有假说属性,多种原因导致情报产品存在不确定性。首先,链接分析依赖的共同原因假说决定了链接结果的不确定性。这个共同原因假说被认为是物证实体之间特征相似性结果的最合理解释,但不是唯一解释,还存在其它合理性较低的解释。例如,两个物证实体特征呈现相似性可能是同一来源,也可能是不同来源但因随机巧合原因呈现相似性,后者导致虚假链接。物证特征随机呈现相似性的可能性主要取决于物证特征的类型、数量和质量。足够数量和质量的物证个体同一认定特征呈现相似性是随机原因造成可能性极小,生成的链接有极高确定性,例如DNA物证常染色体STR分型和指印脊线特征等。但是,基于种类同一认定特征相似性建立的链接存在一定不确定性,例如依据鞋底花纹形态、工痕宽度、物质理化特征建立的链接,它们不确定程度与种类特征频率、数量和质量有关。第二,物证特征检测活动错误可能导致虚假链接。例如,生物物证STR分型结果可能来自人员、物证交叉、工具和耗材等污染,它们极易导致出现错误链接。第三,特征呈现相似性的评估结论在一定程度上是分析人员的主观判断,存在错误可能性。
图2 物证鉴定数据库5种典型整合分析Fig.2 Five typical integrating analysis processes of forensic database
表1 物证鉴定数据库整合分析生成5种典型情报产品Table 1 Five typical forensic intelligence products from integrating analysis of forensic database
物证鉴定整合分析情报的不确定性需要适当评估和表达。评估物证实体之间链接值可以选用确定性方法或贝叶斯框架方法,前者基于一个设定阈值将链接值简单表达为存在或不存在链接,后者链接值表达为依照存在和不存在链接这样的两个竞争性主张的发现相似特征的似然比。
3.6 物证鉴定资料组合分析
物证鉴定资料组合分析是物证鉴定情报分析第四步骤。前述的整合分析可以通过发现现场物证之间链接构建系列犯罪案件集,但整合分析是依照物证类型各自进行的,例如通过链接DNA物证、指印物证和鞋印物证可以各自分别构建DNA链接案件子集、指印链接案件子集和鞋印链接案件子集。组合分析的任务是组合各种类型物证整合分析生成的链接案件子集信息,以获得更加全面的系列犯罪案件集信息。
组合分析基本方法是通过比较两种或多种类物证整合分析生成的链接案件子集中所有案件名称,以发现跨子集的案件链接,并基于这些交叉链接案件将相关链接案件子集合并为一个新系列犯罪集,即多物证鉴定情报。例如,组合分析DNA物证链接案件子集A和指印物证链接案件子集B,若A与B案件子集中交叉出现同一个案件X,则可以将A和B案件子集组合同成为一个系列案件。这个新系列案件集还可以与鞋印和其它更多物证的链接案件子集进行组合分析。
组合分析启动于物证鉴定资料整合分析新结果出现,最主要应用是系列犯罪案件扩展分析。如前所述,当前物证鉴定案件链接分析主要依靠按照犯罪现场痕迹物证类型划分建立的物证鉴定数据库,包括DNA数据库、指纹数据库、声音数据库、鞋印数据库、工痕数据库和枪弹痕数据库等痕迹,或毒品分型数据库。这些物证鉴定数据库能够以整合分析模式各自有效处理物证鉴定资料并各自生成系列犯罪情报。在现有物证鉴定数据库基础上开发可以完成多种类物证鉴定资料组合分析系统意义重大[20],它可以显著增值单物证鉴定情报:一是可以合并多个单物证链接案件子集生成更加全面的系列案件集;二是可以增强案件链接强度,例如通过DNA或指印链接增强基于现场鞋印花纹种类特征建立的低强度链接;三是更加全面的系列案件集有助于更好地归纳刻画系列犯罪模式或增加侦查线索;四是未破案件系列与已破案件合并可以帮助发现系列犯罪嫌疑人。
组合分析结果必须反馈进入物证鉴定案件资料存储器存储供后续进一步分析使用。此外,虽然组合分析简单比对案件名称的分析过程基本不会引入不确定性,但整合分析链接结果包含的不确定性将传递到组合分析结果中,导致组合分析结果存在不确定性。3.7 物证鉴定资料融合分析
3.7.1 融合分析概念和方法
物证鉴定资料融合分析是物证鉴定情报分析第五步骤,其任务是将经过整合和组合分析的物证鉴定资料与其它非物证鉴定资料信息融合加以分析生成综合物证鉴定情报。融合分析使用的非物证鉴定资料信息是指由警察收集或可获得的所有相关信息,例如与犯罪相关的时空信息、询问、观察、电子监控、告密者、经济交易、旅行和海关信息、统计资料、犯罪学和其它来源公开信息。融合分析启动可以来自决策制定者明确提出的问题或由情报分析员预先考虑到的问题,主要应用是案件链接分析和犯罪趋势分析。
融合其它来源信息分析物证鉴定资料可以给决策者提供更加全面有用的情报产品。首先,由于实践中现场物证和参考样本资料收集总是不完整的,仅仅依靠物证鉴定资料整合或组合分析可能不足以确认犯罪案件链接或犯罪趋势,融合其它非物证鉴定资料信息显然有助于更加整体了解犯罪现象。例如,毒品生产和消费模式分析可以综合利用毒品物证特征、网络上相关先导物质资料、城区废水分析结果等完全不同来源的资料信息。其次,融合分析多个来源信息有时可以验证物证种类特征生成的弱链接,增强案件链接强度,例如利用犯罪时空和行为模式等其它调查信息可以验证或排除基于鞋印数据库花纹形态种类特征生成的弱链接。
融合分析基本方法是对物证鉴定资料和其它资料进行多维度分析以发现犯罪链接或犯罪趋势。分析维度多元化和资料多样性是融合分析与整合分析、组合分析的重要区别。融合分析四个主要分析维度是时间、空间、关系、质量/数量,它们对物证鉴定情报分析有同等重要意义[13]。多维度多资料融合分析每个追加信息单元都具有“犯罪图画重建”新能力,可以同步增加犯罪总体模式刻画的明确性。但是,融合分析也显著增加了分析复杂性和困难,需要情报分析员、物证鉴定人员、犯罪现场勘验员和决策制定者紧密合作完成分析任务。
融合分析情报不可避免地存在不确定性问题。不确定性主要有三方面来源:一是物证鉴定资料整合和组合分析的链接结果包含的不确定性;其次是其它非物证鉴定资料信息包含的不确定性;最后是多维度融合分析推理过程引进的不确定性。
在基于资料信息生成情报假说过程中,特别是对于不确定性较大的融合分析,采用结构化分析比直觉分析可以减少确认偏见影响,更加可能生成正确结论和准确交流结论[2]。在直觉分析方式中,分析员迅速选择一个似乎最符合可获得事实的假说,随后逐渐增加证据并查看这个证据如何符合已经选择的假说,目的是寻找支持这个假说的额外证据以增强论据。与直觉分析不同,结构化分析开始于建立一组可供选择的假说解释资料事实,新证据加入时用来证明其中假说是不可信的,而不是寻找支持假说的证据,最终留下不能排除的假说作为分析结论。
3.7.2 案件链接融合分析
物证鉴定资料融合分析最主要应用是案件链接分析。相对于整合和组合分析,融合链接分析在物证鉴定案件资料基础上增加了非物证鉴定资料作为信息来源,链接分析维度从物证特征一个维度扩展到时间、空间、关系、质量/数量四个维度。
案件链接融合分析有两种基本模式:物证鉴定资料起始模式和其它资料信息起始模式。物证鉴定部门一般更加倾向采用物证鉴定资料起始模式:首先整合和组合分析物证鉴定资料,然后用其它资料信息对整合和组合分析结果进行多维度分析。这种模式本质上是将物证鉴定资料整合和组合分析情报产品作为需要进一步验证的假说,利用其它资料信息确认或排除这个假说[13]。这种模式的分析过程包括五个主要环节。第一,将物证鉴定资料整合和组合分析建立的链接案件子集作为融合分析的起始资料。第二,采用相关的其它非物证鉴定资料信息细致比较各个链接案件子集内和子集间所有案件,尝试在时间、空间、关系、质量/数量四个维度发现链接,并基于发现的链接生成新的假设,例如:(1)基于发现各子集间案件链接结果推断相关案件子集可以合并成一个新系列犯罪案件集;(2)基于在物证鉴定链接案件子集内案件之间发现链接矛盾,如子集内案件之间犯罪模式或犯罪时空存在严重冲突,推断否定原物证鉴定链接并相应调整原链接案件子集构成;(3)基于物证鉴定弱链接案件子集内案件之间发现新维度链接结果,可以推断强化原物证鉴定链接案件强度。第三,分析新生成系列犯罪集内各个案件并重新归纳该系列案件集的犯罪模式特点。第四,将新的融合分析链接结果存入资料存储器。第五,用新刻画的犯罪模式特点仔细检索存储器中其它犯罪案件资料信息,基于相同犯罪模式链接分析生成新系列案件集并导致原有系列案件集再次合并或断裂,如此构成由检索、仔细检查、修改和更新存储组成的分析循环。
第二种模式,其它资料信息起始模式,是以其它非物证鉴定资料信息的多维度链接分析为起始点。其主要分析过程包括:首先,采用作案手法、时间、地理等信息对案件进行多维度链接分析发现和构建链接案件希望集;其次,采用物证鉴定资料信息细致分析希望集内所有案件,基于物证特征链接结果确认或否定希望集内案件之间的链接,最终生成链接融合分析情报产品。在有限的案件希望集内整合和组合分析物证鉴定资料可以有效减少链接盲点。
在实际应用时,资料融合分析流程不一定是严格的先物证鉴定资料后非物证鉴定资料或反之,更可能是根据具体分析目的和可获得资料情况采用灵活方式反复交叉分析这两类信息。
3.7.3 犯罪趋势融合分析
犯罪趋势分析是物证鉴定案件资料融合分析的第二个重要应用。它是指在一组因具有相似属性而假设存在关联关系的物证鉴定资料实体组中发现在时间、空间、关系、质量/数量四个典型分析维度之一存在的断裂、偏离和变化,并依据这些发现推断新犯罪趋势[13]。例如,当边检新发现几个伪造护照机读编码是正确的,而在之前扣押的假护照编码一直是错误的,则可以确定这是一个趋势。这个趋势表明可能出现了一个更高质量的新系列伪造文件,或是由新犯罪组织制造。类似地,在毒品物证中观察到新切片剂型可以预示出现新制造工艺或出现新配送结构。又如,当一个特定类型案件的比例在一个时间段增加,它可以被视为一个特殊的犯罪活动信号,趋势分析可以帮助划定这个特殊犯罪现象的范围。
趋势分析首先需要构建一个有希望发现犯罪趋势的关联案件群组作为推理分析基础。关联案件群组构建方法是在时间、空间、关系、质量/数量四个维度中的一个或两个维度上比较分析以往案件资料实体相似性,例如基于犯罪场所类型构建的关联案件群组。虽然趋势分析发现关联实体群组和链接分析发现物证实体链接集都是基于四个维度的相似性比较,但前者涉及的关联群组中实体间相似程度不需要像链接实体那么高,前者可能基于软特征或有限特征数量(例如仅基于毒品纯度特征)的相似性。此外,趋势分析更加适应于中宏观分析,而链接分析更加适应中微观分析,因为前者通常需要较大时空范围物证鉴定资料以达到可接受的统计意义,后者最少只需要两个物证实体就可以进行链接[13]。
趋势分析的后续环节是在已构建的关联案件群组中搜寻新趋势和基于发现的趋势进一步推断新犯罪情况。新趋势搜寻方法是对关联案件群组中所有物证实体进行鉴别和分解,搜寻“离群实体”或能够表明模式变化的实体。搜寻时,通常组合时间、空间、关系、质量/数量四个维度中的两个或更多维度发现离群或变化实体,例如(1)被关联毒品物证数量随时间变化;(2)发现某种类型假文件的地理或时间集中度;(3)街头扣押毒品或假文件平均质量的突然上升/下降。
综上所述,物证鉴定情报分析可以通过整合、组合和融合三种方式分析物证鉴定资料。虽然整合和组合分析相对简单和容易实现,并且借助物证鉴定数据库模式已经能够提供许多战术和行动层级犯罪情报,但它们只是物证鉴定资料情报应用的初级方式。整合分析只能链接相同类型物证案件,组合分析可以链接跨物证类型案件,而融合分析可以实现跨物证类型和跨犯罪类型的案件链接。融合分析物证鉴定资料是物证鉴定情报应用的高级阶段,只有与其它非物证鉴定资料信息融合才能够充分利用物证鉴定资料信息的情报价值获取更加全面准确的犯罪问题图像。
4.1 物证鉴定情报层级
依照应用语境不同,物证鉴定情报产品可以分为战术情报、行动情报和战略情报三个层次[10]。“战术情报”是逐个案件、反应式、短期考虑和关注微观犯罪环境的,一般用于支持一线执法人员实时制定决策或针对具体案件提供侦查线索。DNA或指纹数据库日常大量生成的现场物证“比中”已知人员结果是典型的战术情报。“行动情报”是中期导向和更加前摄的,关注“中观层次”犯罪环境,其目的是帮助区域主管或指挥官发现和帮助解决如系列犯罪和有组织犯罪等重复犯罪问题。典型的行动情报是DNA或指纹数据库生成的系列犯罪情报。“战略情报”是更加前摄和积极主动的,关注总体犯罪行为和环境模式,支持警察主管和最高管理者更加综合的决策制定,有时也影响健康政策等非执法活动决策。
4.2 物证鉴定情报分类
依照分析推理程度,物证鉴定情报产品分为发现、假说、提议/建议三大类别[13]。“发现”是基于事实得出的明确主张,常见的有基于物证鉴定资料生成的相关统计结果(如某地发现的假身份证70%被链接),或基于设定的比较和评估方法确定案件A和B链接(如基于现场DNA或指印链接得出案件链接结论),或基于毒品物证有机杂质分析确定两个毒品物证链接。除了检验结果的假阳性和假阴性错误以外,“发现”通常不含主观偏见。
“假说”是需要进一步试验的不确定主张。它通常是在发现基础上做出的进一步推论,因此一般具有更大不确定性。例如,基于假证件A和B链接的“发现”推断它们有相同来源或由同一犯罪组织制作,或基于毒品物证链接“发现”推断它们产自同一个地下实验室。
“提议/建议”是对假说正确性进行验证的具体计划/活动的提议,它是在假说的基础上提出的进一步建议。例如:针对基于假证件A和B链接“发现”推断的它们有相同来源的“假说”,可以“建议”相关部门核查之前记录和询问假证件持有者,以确定他们是否相互认识或有犯罪联系。又如,对于被链接毒品物证是由同一个地下实验室制造的“假说”,可以“提议”检查这些毒品拥有者是否有相同联系电话以确定可能的共同批发商。提议/建议相对于发现和假说一般有更多的机会影响决策,因此有更大附加值,但其风险也相应增加。
4.3 物证鉴定情报产品形象化
物证鉴定情报产品形象化(或可视化)是指使用图形语言表达情报产品含义,是情报产品表达手段。情报产品形象化可以带来重要帮助:一是帮助分析员和用户增强记忆;二是帮助分析和探查资料;三是帮助评价犯罪模式或实体联系假设;四是有助于传达、交流和理解情报产品;五是支持团队合作分析。但是,设计者和使用者不适当的主观选择意识也可能导致形象化方法危及情报分析合理性[11]。
形象化表达最重要方面是针对具体侦查问题选择适当形象化方式,包括示意图、地图、时间轴或图表等。重要的选择依据之一是侦查需要解决的主要或核心问题,这些问题可以被归纳到时间、空间、关联性和量值这四个维度。物证鉴定情报可以依据具体侦查问题需求选择以下一个或多个维度组合的形象化方式[11]。一是时间维度形象化:通过时间系列和周期示意图表达实体之间的时间关系,包括何时间、何时段、多少次、什么频率、何种规律、时序等。二是空间维度形象化:通过地理绘图表达实体之间的空间关系,包括地点、区域、路径、边界或位移等。当探寻“何时”和“何地”要素相对更加重要时,毫无疑问应该选择时空关系形象化方式。实践中,空间和时间维度覆盖了宽泛的犯罪侦查和物证鉴定关注问题,因此基于地理信息系统开发的时空形象化技术被大量使用。三是实体关联关系维度形象化:通过链接图表达人、物或行为等实体之间链接关系。链接图是最典型物证鉴定情报形象化方法。当核心侦查问题涉及发现和分析实体之间关系,链接图是最适合的表达方式。组合时空维度的链接图可以用于排列和整理人员、事件、物证实体关联关系以及它们的时空关系。四是量值维度形象化:通过定量图表达实体之间数值关系,包括多少、何种分布、相关性、百分比等。虽然时间、空间和实体间关系这个三维空间覆盖了广阔范围的侦查问题,但定量也是常见侦查问题,将定量作为形象化第四维度是必要的。
4.4 物证鉴定情报传递使用
不影响决策制定者思考的情报不是情报。物证鉴定情报产品必须以及时适当的形式交流并由决策制定者使用,以取得对犯罪环境的影响。虽然决策制定过程是复杂的并受到许多因素影响,物证鉴定情报无疑是决策制定重要影响元素[13]。
物证鉴定资料信息具有重要情报价值,情报导向警务需要使用物证鉴定资料信息,物证鉴定专业需要情报应用任务作为新发展机遇。虽然当前物证鉴定数据库运行能够提供大量有价值的物证鉴定情报,以致直到今天很多人仍然将物证鉴定情报等同于DNA物证和指纹物证数据库应用,但物证鉴定情报的概念远远超越了物证鉴定数据库应用。依照物证鉴定情报一般化分析流程框架对物证鉴定资料进行结构化存储、整合分析、组合分析并与其它非物证鉴定资料融合分析是物证鉴定情报应用的高级阶段。
物证鉴定情报能力建设已经成为现代警务迫切需要,可以从以下几个方面着手加快物证鉴定情报能力建设:一是开展物证鉴定情报理论研究,构建物证鉴定情报理论基础以指导实践应用;二是开展方法学研究,进一步探索物证鉴定资料分析一般化框架模型;三是开发和完善能够存储和有效分析各种物证鉴定案件资料与其它相关资料的一体化物证鉴定情报系统;四是建立全面有效收集物证鉴定资料机制;五是在物证鉴定领域内建立情报导向文化;六是开展人员培训,提升物证鉴定人员、现场勘验人员、侦查员、分析员和决策指挥员物证鉴定情报应用观念和分析、应用能力。
[1] Ribaux O, Margot P, Julian R. Forensic intelligence, encyclopedia of forensic sciences(Vol.Ⅲ ). 2nd ed. Elsevier Ltd,2013:298-302.
[2] Rockwell LR. Forensic intelligence analysis, encyclopedia of forensic sciences (Vol.Ⅲ ). 2nd ed. Elsevier Ltd, 2013:341-345.
[3] Ribaux O, Girod A, Welsh SJ, et al. Forensic intelligence and crime analysis. Law Probability Risk, 2003, 2:47-60.
[4] Ribaux O, Walsh SJ, Margot P. The contribution of forensic science to crime analysis and investigation: Forensic intelligence. Forensic Sci Intl, 2006, 156(2-3):171-181.
[5] Ribaux O, Margot P. Case based reasoning in criminal intelligence using forensic case data. Science and Justice, 2003,43:135-143.
[6] Bell C. Concepts and possibilities in forensic intelligence. Forensic Sci Int, 2006, 162:38-43.
[7] Ribaux O, Baylon A, Roux C, et al. Intelligence-led crime scene processing. Part I: Forensic intelligence. Forensic Sci Int, 2010,195:10-16.
[8] Ribaux O, Baylon A, Lock E, et al. Intelligence-led crime scene processing. Part II: Intelligence and crime scene examination. Forensic Sci Int, 2010, 199:63-71.
[9] Chan KW, Tan GH, Wong RCS, et al. Looking at forensic intelligence from the metaphysical perspective: Citing illicit heroin profi ling as an example. Australian J Forensic Sci, 2012,44:227-242.
[10] Marclay F, Manginb P, Margotc P, et al. Perspectives for forensic intelligence in anti-doping: Thinking outside of the box. Forensic SciInt, 2013, 229(1-3):133-144.
[11] RossyO, Ribaux O. A collaborative approach for incorporating forensic case data into crime investigation using criminal intelligence analysis and visualization. Science and Justice, 2014,54:146-153.
[12] Ribaux O, Wright B. Expanding forensic science through forensic intelligence. Science and Justice, 2014, 54:494-501.
[13] Morelato M, Baechler S, Ribaux O, et al. Forensic intelligence framework—Part I: Induction of a transversal model by comparing illicit drugs and false identity documents monitoring. Forensic SciInt, 2014, 236:181-190.
[14] Baechler S, Morelatoc M , Ribaux O, et al. Forensic intelligence framework. Part II: Study of the main generic building blocks and challenges through the examples of illicit drugs and false identity documents monitoring. Forensic Sci Int, 2015, 250:44-52.
[15] Ross A. Elements of a forensic intelligence model. Australian J Forensic Sci, 2015, 47:8-15.
[16] Tim Legrand T, Lauren Vogel L. The landscape of forensic intelligence research. Australian J Forensic Sci, 2015, 47:16-26.
[17] O. Ribaux O, Crispino F, Roux C. Forensic intelligence: Deregulation or return to the roots of forensic science. Australian J Forensic Sci, 2015, 47:61-71.
[18] O’Malley T. Forensic informatics enabling forensic intelligence. Australian J Forensic Sci, 2015, 47:27-35.
[19] McCartney C. Forensic data exchange: ensuring integrity. Australian J Forensic Sci, 2015, 47:36-48.
[20] Quentin R, Ioseta, Dessimoz, et al. Integrating forensic information in a crime intelligence database. Forensic Sci Int, 2013,230:137-146.
[21] Inman K, Rudin N. Principles and practice of criminalistics. New York: CRC Press, 2001.
Forensic Intelligence
WANG Guiqiang
(Institute of Forensic Science, Ministry of Public Security, Beijing 100038, China)
Forensic intelligence is a timely product of the criminal intelligence created by logic analyzing forensic case data. There is vast information about the criminal environment and criminal activity in forensic case data, which could potentially be used as a key element of information from intelligence perspective. To date, forensic science is primarily focused on both providing lead for crime investigation and generating evidence for judicial proceedings. Beyond these two traditional applications, the application of forensic intelligence is the third task, which is aligned with the perspective of intelligence-led policing. In this article, the defi nition and rationale theory of forensic intelligence was overviewed. The author proposed a generalized framework of forensic intelligence process which consist of stages of trace collecting, forensic analyzing, data storage, integrating analysis, compounding analysis, fusing analysis, intelligence products expressing and conveying intelligence, and decision-making supporting. This general and multi-commodity model would assist in defi ning forensic intelligence and understanding its role and place in policing, and could be a comprehensive guide to use all kind of forensic case data and other source information from the intelligence-oriented perspective. In the end, the suggestion was proposed to build up the ability of forensic intelligence process.
forensic intelligence; forensic case data; integrating analysis; compounding analysis; fusing analysis; criminal intelligence
DF793.2
A
1008-3650(2015)06-0457-10
10.16467/j.1008-3650.2015.06.006
2015-08-25
王桂强,研究员,理学士,研究方向为物证光学检验、物证鉴定理论和应用。 E-mail: wgqifs126@ifs.org.cn
引用本文格式:王桂强. 物证鉴定情报论. 刑事技术,2015,40(6):457-466.