网络犯罪侦查中的身份同一认定

赵长江，张 硕

（重庆邮电大学 重庆 400065）

在网络犯罪①中，犯罪行为人借助网络终端设备实施犯罪行为。其犯罪行为横跨现实和网络两大空间，在两个空间内形成了复杂的双重或多重身份。目前，虽然网络犯罪侦查与电子取证均已成为研究热点，也不乏相关的研究论文成果，但针对网络犯罪侦查中的身份同一性认定这一论题的研究却很少[1]。故笔者以技术背景为依据，结合法学知识进行学科交叉研究，针对网络犯罪侦查中的身份同一性认定进行剖析，对传统侦查学中的洛卡德交换原理在网络犯罪侦查中的适用进行证明，以此来解决网络犯罪侦查中的身份同一性问题。试以交叉学科研究方法，期望为网络犯罪侦查中的身份同一性认定提供理论参考依据，有效解决网络犯罪侦查实践中因理论研究、实践方案不足而产生的相对棘手的身份同一性认定问题，进而为打击网络犯罪尽绵薄之力。

一、网络犯罪侦查中身份同一认定的理论基础

同一认定，是指具有专门知识的人或熟悉某客体特征的人，在分析和比较先后出现的两个客体反映形象的基础上，对他们是否出自一个或是是否原属同一整体物所作出的判断[2]。犯罪侦查中的身份同一性认定与司法证明活动中的身份同一性认定不同，前者实际上是一个不断尝试的过程，当身份同一性认定和事件同一性认定完成时即侦查终结，后者体现在裁判文书中，具有终局性[1]。在网络犯罪案件中，犯罪行为人以网络为依托进行非法活动，因而在网络空间中犯罪行为主体拥有“网络”虚拟身份。在整个犯罪侦查过程中是围绕人和被侦查人的行为进行的，因此，网络犯罪侦查的身份同一认定是整个犯罪侦查的支点。

网络犯罪过程中必然出现形形色色的电子痕迹。电子痕迹本质上是反映客体特征的信息，遵循着从“物理空间”到“单机空间”再到“网络空间”的信息转移规律[3]。针对上述网络犯罪行为进行分析，其犯罪行为均为行为人“个体”到“单机”到“网络”这一行为轨迹；由于个体要借助于单机这一客体，进而在网络空间中实施行为，因此，单机这一客体便成为现实身份和网络身份进行同一性认定的纽带。笔者认为，在网络犯罪侦查中进行身份同一性认定中势必要考虑和解决以下三个问题:（1）虽然在网络犯罪侦查中以单机为线索，但因网络空间和现实空间的独立性，使得犯罪分子存在双重或多重身份，势必将加剧现实身份和网络身份同一认定的复杂性。（2）同时，因网络空间以网络数据为内容，网络数据这一虚拟信息显然区别于传统物理介质，欲在网络犯罪侦查中获取犯罪“痕迹”，对于信息系统拥有“记录”功能具有一定的依赖性。（3）又因犯罪行为人自身警惕性，借助于网络易于实施反侦查行为，或利用其自身网络专业技术对抗执法，亦或者使用其他手段隐匿或消除犯罪痕迹，因此犯罪行为人便和侦查人员之间产生技术对抗性。

二、网络犯罪侦查中身份同一认定的前提

在犯罪侦查中，欲进行身份同一认定，前提是要获取检材，继而再同样本进行认定；传统犯罪案件（现实空间）中，可以依据洛卡德交换原理来获取检材。那么在网络空间中，是否同样可以适用洛卡德交换原理来获得检材？

洛卡德交换原理即“接触即留痕”，主要证明的是“痕”是否存在（有与无）的问题。其底层原理是以质量守恒②为依据，在传统犯罪案件中，以犯罪嫌疑人行为轨迹范围为限定，就构成了一个孤立系统，在其系统内，实施任何行为（包括毁灭罪证的行为，因为在毁灭原有证据的同时，又会有新的证据产生）的实体都将会被“记录”或者说是产生相互的物质交换。实体间相互记录，对其案件而言，即行为人（实体）及其借助的其他载体（实体）实施犯罪活动的行为而产生的物质交换，证成了庞大的相互关联的证据体系。综上所述，不难发现洛卡德交换原理的适用并非没有条件，上述中多次提到物质交换，其物质交换的前提是符合:（1）必须具备两个物质实体；（2）必须具备外力条件；（3）两个物质实体必须发生接触关系；（4）其结果必须引起物质的变化[4]。

（一）洛卡德交换原理在网络犯罪侦查中的适用

在物理空间犯罪现场中，被侵害对象及其物质环境的变化，构成了犯罪现场的特有形态，这种特有的现场形态，体现着犯罪行为的危害结果，也带了犯罪的信息[5]。网络犯罪的身份识别实质上就是综合利用物理空间的传统证据与虚拟空间的电子痕迹进行大的人身同一认定[3]。

1.可适用传统犯罪侦查方法的“个体”到“单机”。犯罪行为人借助网络终端设备③进入到网络中，对“网络”实施攻击，或借助网络为工具实施犯罪行为，再或者直接在网络空间中实施犯罪行为。网络犯罪行为人要使用网络终端设备进入到网络空间中，在这一范围内，存在行为人和网络终端设备两个有形实体；网络犯罪行为人使用网络终端设备，势必存在因施加外力而使得网络终端设备产生响应的个体和单机设备的直接接触；行为人接触网络终端设备，“一般而言”一定会存在“指纹”，此时便可以利用传统犯罪侦查的手段进行侦查。

2.从“单机”到“网络”观洛卡德交换原理在网络犯罪侦查中的适用。洛卡德交换原理的适用核心在于两者进行“接触”产生信息“交换”。在网络空间中，行为人使用网络终端设备获取网络信息，这一行为进行时和行为结束后，在网络终端设备和“网络”中皆会留下相互的信息；在单机中留下所浏览过的网络数据，例如内存中的网站数据、系统日志中的网络访问信息等；而在访问的网络中则会留下用户的浏览痕迹，例如用户登陆请求、用户访问记录等。故笔者认为，单机和网络的交互，已经达到了两个实体接触、交换的效果，即以满足传统犯罪中洛卡德交换原理的“两个实体”“施加外力”“接触”“物质发生变化（留痕）”的特性；故，可以从理论的角度认为，洛卡德原理同样可以适用在网络空间中。但是，从实践的角度出发，这种网络空间中的“痕”，是否真实存在？

因网络空间的是由电信号链接各个网络节点而组成的虚拟空间，且在虚拟空间中实时进行着数据传输；网络空间的犯罪痕迹同现实空间的犯罪痕迹因网络空间的虚拟性和动态性而具有极大的差异。现实空间中的犯罪痕迹因空间的广泛性和实体接触的复杂性，可以利用“理科”手段进行分析和发现案件中的蛛丝马“痕”。

而在网络空间中的犯罪痕迹因空间的虚拟性和动态性，使得“痕迹”具有易失性，且痕迹的表现形式只能通过数据的“语义”来表达。因此，网络空间中的“痕”可能仅仅是“存在过”，稍不同于“存在”；实务中务必要解决这一问题，方可进行同一性认定。笔者认为，解决该问题，至少要满足两个条件:（1）系统性，即对于网络用户利用网络终端对网络服务的一次访问，无论是网络节点设备还是网络平台都应该自动记录用户的访问信息，包括访问时间、访问者IP地址、访问者MAC地址、访问者的相关属性信息等，这种系统自动记录性，是必要的；（2）即存性，即系统自动记录的信息会被立刻存储下来，且持续存在。此时若细思想，上述为两者不正是“网络日志”所具备的功能吗。

根据《中华人民共和国网络安全法》（简称《网络安全法》）中，第21条规定“国家实行网络安全等级保护制度。网络运营者④应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”，其中第三款明确规定的义务为“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”；即意味着，在法律中已经规定网络运营商必须要履行上述义务。因此，网络空间中的“痕”一定处于“存在”状态，且可以被检测和利用。在网络犯罪侦查中，网络痕迹可以因网络日志存在而完美的适应洛卡德交换原理；其侦查工作仅仅是后期对网络运营商提供的日志进行数据分析的问题；这同传统的犯罪案件，例如某案件侦查中发现并采取了指纹，后期进行指纹分析有异曲同工之妙。

三、网络犯罪侦查中身份同一性认定的方法

现实空间中有了检材和样本，便可以进行同一性认定。那么，在网络空间中如何进行检材和样本的同一性认定？检材的属性信息总是具有指向性，这一特性在网络空间中变得尤为明显。例如现场空间犯罪现场发现一43码的鞋印，此检材就指向了一类样本。在网络空间中发现一IP地址，则此“检材”则指向了全球唯一的IP地址（样本）。根据网络空间中检材的特性和网络空间的自身特性，笔者分别从网络工程学和社会工程学两个学科角度，提出了三种网络犯罪侦查中身份同一性认定的方法。依赖网络工程学中的网络协议（指的是TCP/IP四层），以网络接口层和网际层为依据，推出了基于网络定位的身份同一认定方法。以传输层和应用层为依据，推出了基于网络账户信息的身份同一性认定方法。依赖社会工程学中的信息获取手段⑤和信息基础，推出了基于大数据挖掘和分析的身份同一性认定方法。

（一）基于网络定位的身份同一性认定

网络犯罪行为人在网络空间中实施行为，必定直接或间接地借助于网络终端设备；每个连接到互联网中的网络终端设备存在一个全网唯一的IP地址。若使用联网服务（即拥有全网唯一的IP地址），则用户需要同网络服务提供商（Internet Service Provider，其后简称ISP）签订服务协议（签订协议时双方身份的真实有效性是不言而喻的），ISP负责分发用户所使用的IP地址。若在网络犯罪案件中得知某IP地址⑥，通过ISP查询便可以知道是哪一地区的IP，再结合当地ISP，便可以知道是哪一户在使用该IP，通过上述IP定位方法，便可给网络犯罪侦查提供了侦查方向。因此，在网络犯罪侦查过程中，可通过ISP根据IP使用者的用户信息找寻网络设备终端所在地，进而结合现场勘验等手段识别出犯罪嫌疑人。上述中并没有约束网络范围，可以是全球互联网也可以是某企业内部局域网⑦，皆可使用上述方法查找网络犯罪行为人的行踪。

网络犯罪案件中基于网络定位的设备有两类，一是移动终端，例如智能手机和无人机之类的移动终端设备；二是固定终端，例如个人电脑和网络服务器之类的固定网络终端设备。现移动终端常用的定位技术有全球定位系统（Global Positioning System，简称GPS）⑧和移动定位服务（Location Based Service，简称LBS）⑨，其主要应用在基于网络账户信息、数据挖掘和分析后的身份同一性认定⑩和犯罪嫌疑人的追踪逮捕中。

固定终端常用的定位技术为互联网协议地址（Internet Protocol Address，简称IP）+媒体访问控制地址（Media Access Control，简称MAC）11定位。但是，IP+MAC的定位方式在技术层面上完全可以做到“虚假的IP+MAC”12。多数情况下，通过网络日志数据获取犯罪行为人的IP+MAC后，最精确的结果是定位到一台网络终端设备，通过对该终端的分析来证明查明的IP地址所指的终端为该终端（依据特定时间段内作出相应的网络行为）。但仅通过获取的IP地址并不能直接证明是终端所有人或联网账号所有人所做出的网络行为13，即IP地址作为身份同一性认定证据的关联性难以得到保证。为了解决该问题，在获得网络设备的位置后，对目标设备的检验过程中，（1）应着重审查终端设备和上网账号所有人“单机”中的事件数据和应用数据14；（2）利用“单机”数据同网络服务提供商提供的犯罪行为人的事件数据和应用数据进行关联性分析；（3）再结合设备和账号的所有人的现实空间活动轨迹信息，进而完成网络犯罪中现实行为人身份与网络身份的同一性认定。

（二）基于网络账户信息的身份同一性认定

随着《网络安全法》的出台，用户“实名制”15这一要求被推了出来，将其作为保障，有效的降低了网络犯罪的侦查难度同时加剧了网络犯罪的成本。因此，在打击网络犯罪中可利用网络账户实名制这一硬性要求，结合网络服务商获取相关网络犯罪行为人的网络账户信息，进而有效打击网络犯罪。网络账户信息指用户在网络运营者提供的平台中所使用的以唯一的用户ID而标识的一系列账号属性信息，唯一的用户ID标识一个用户且应当同用户现实生活中的真实身份进行绑定，一个用户的账号属性信息则包括用户记录信息和用户事件信息。用户记录信息的控制权由用户直接控制（网络平台在合法状况下也可以进行控制），用户可以实现对其信息的增删改查操作。而用户事件信息的控制权由网络平台控制，以方便平台对用户行为的合法性进行审查。对网络账户信息的收集，原则上是在合法前提下收集一切可收集、可能相关的数据，从中提炼出网络身份特征信息，分析得出身份特征，从而完成身份同一性认定[6]。

在网络空间中犯罪需要借助其网络平台才能实施其犯罪行为，而在实施犯罪的前提则是需要在平台注册账户——成为平台的用户。依据《网络安全法》第24条，其行为人在平台进行注册必然要进行实名制。因此，若是行为人在网络空间中实施犯罪行为，其服务提供商可立即知晓网络账户所对应用户的真实身份。依据《网络安全法》中的第28条“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。因此，公安机关亦可立即知道网络犯罪行为人的“真实身份”，继而可立即进行追踪其用户和用户设备位置（可依据公安内部系统和网络定位技术追踪用户和设备位置），再结合现场勘验，进而完成网络犯罪事件-涉案设备/场所-犯罪行为人的同一性认定。

（三）基于大数据挖掘和分析的身份同一性认定

上述两种身份同一性认定方法基本可以解决大部分传统的网络犯罪案件。基于网络定位的身份同一性认定和基于网络账户信息的身份同一性认定针对网络犯罪侦查有以下措施和不足:（1）以网络为对象的犯罪（危害计算机信息系统安全犯罪案件），通过网络中间节点日志和网络服务器日志获取IP地址，进而联合ISP获取IP所对应的用户信息，进而完成网络犯罪的侦查；缺点是，不便于（或者说无法）追踪（利用网络技术产生的）虚假的流量包数据所造成的网络攻击。（2）以网络为工具的犯罪（通过危害计算机信息系统安全实施的盗窃、诈骗、敲诈勒索等犯罪案件），可以利用基于网络定位的方法进行侦查。而实施的诈骗、敲诈勒索案件等可以利用网站账号信息进行侦查。缺点是:网络犯罪中涉及的比特币之类的加密虚拟货币，暂且没有良好的侦查办法。（3）在网络空间中的犯罪（在网络上发布信息或者设立主要用于实施犯罪活动的网站、通讯群组，针对或者组织、教唆、帮助不特定多数人实施的犯罪案件），则可以结合网络服务提供商，获取网络IP信息和账户信息，进而完成网络犯罪的侦查。缺点是，若是网络犯罪行为人，利用虚假身份16实施网络犯罪行为，利用上述方法便不能对该问题进行有效解决。

针对上述两种方法未解决的问题，可利用大数据挖掘和分析的手段进行补充侦查。以案件相关的现场勘验获取的物理设备进行的取证线索和远程勘验的网络空间中的取证线索为依据，依托互联网服务进行横向（互联网数据搜索）17和纵向（专库搜索）18进行数据挖掘和分析。根据已有线索结合上述纵横两种数据收集方法，收集一切合法情况下可收集的数据，运用特定的数学模型和分析方法对海量数据进行计算，继而进行数据综合处理分析（例如，数据碰撞、数据挖掘、数据画像、热点分析、犯罪网络分析）[7]，处理后得出行为人信息，最终进行行为人身份判断以完成网络犯罪身份同一性认定。

四、结语

本文从传统犯罪侦查的身份同一性认定问题，引申到网络犯罪的身份同一性认定问题，继而，对网络犯罪进行分析得出犯罪行为为“个体”到“单机”到“网络”的犯罪行为轨迹，同时提出对于网络犯罪侦查必须要面临的身份复杂性、系统依赖性、技术对抗性的棘手问题。其核心问题是解决身份同一认定的问题。

文中分析了网络空间中身份同一认定的前提，从传统网络犯罪侦查中适用洛卡德交换原理，到证明在网络犯罪侦查中适用洛卡德交换原理，继完成而由检材到样本的同一认定。在网络空间中检材到样本的认定，不同于现实空间中的认定，笔者从网络工程学和社会工程学两个学科角度，提出了基于网络定位的身份同一认定、基于网络账户信息的身份同一认定和基于大数据挖掘和分析的身份同一性认定的认定方法，继而网络犯罪侦查中的同一认定问题便可以迎刃而解。本文因为为可以将洛卡德交换原理完美适用到网络犯罪侦查中，为网络犯罪身份同一认定提供理论依据。基于此抛砖引玉般的提出了三种身份同一性认定方法，但在网络犯罪身份同一认定中仍具有一定的指导意义。

[注释]：

①两高一部出台的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》中的第1条规定了网络犯罪的内容：（1）危害计算机信息系统安全犯罪案件；（2）通过危害计算机信息系统安全实施的盗窃、诈骗、敲诈勒索等犯罪案件；（3）在网络上发布信息或者设立主要用于实施犯罪活动的网站、通讯群组，针对或者组织、教唆、帮助不特定多数人实施的犯罪案件；（4）主要犯罪行为在网络上实施的其他案件。

②质量守恒定理：在任何与周围隔绝的物质系统（孤立系统）中，不论发生何种变化或过程，其总质量保持不变。

③网络终端：指连接到互联网中，具有网络地址，且可以发送和接受网络数据包的设备；例如，个人电脑、智能手机、智能家电等。

④网络运营者：《网络安全法》中第76条第三款“网络运营者，是指网络的所有者、管理者和网络服务提供者”。笔者认为，网络所有者指，用户所使用的网络服务提供商（ISP），例如中国的三大网络运营商；管理者为用户所在网络管理者，例如学校内部网络管理部门、企业内容网络管理部门；网络服务提供者为网络平台提供商，例如网站站长、网络应用提供商等。

⑤社会工程学中的信息获取手段：信息源数据获取、诱导、伪装等；推荐参考《社会工程：安全体系中的人性漏洞》[美]Christopher Hadnagy著，陆道宏，杜娟，邱璟，译，人民邮电出版社。

⑥对于网络或网络平台攻击的犯罪，可以通过网络中间节点（例如：路由器、交换机信息等）信息获取犯罪行为人IP地址；以网络为工具和在网络空间中的犯罪，亦可通过网络中间节点信息，也可通过（合规要求的）平台日志数据获取用户的IP地址。

⑦企业内部网络（或称局域网、内网）中的IP地址是由企业内部的网络管理中心负责分配和管理。

⑧全球定位系统，基于网络终端GPS模块实现，采用卫星定位，一般情况定位精度1米以内。

⑨移动定位服务，基于手机SIM卡与网络基站沟通以实现定位，定位精度同手机信号、基站有关。

⑩此身份同一性认定，指根据分析后的案件线索结合行为人个人信息和行为人所拥有的移动终端设备的轨迹，三者进行联系分析，继而进行身份同一性认定。

11 IP为上网终端的网络地址，连接到互联网中的所有网络设备均有一个全网唯一的IP地址；MAC为上网终端的本地地址，每个上网设备均有全球唯一的MAC地址。可简单理解为，上网时需要网卡设备方可联通网络服提供商使用上网服务，继而获得网络服务提供商分配的网络地址--IP。

12 虚假的IP和MAC：①通过网络技术虚构网络数据包，编造网络地址，常用于针对网络的攻击，例如DDOS泛洪攻击、ARP欺骗攻击等；②通过肉鸡或VPN等跳板，进而隐藏了真实地址，一般传统的网络攻击皆使用此方法。

13 列举两种情况：①网络终端被黑客远程控制，称为肉鸡或跳板，其网络行为为远端黑客实施；②实质网络操作者并非获得该IP的行为人，可以其他人—朋友、同事、邻居等，使用该网络终端进行网络犯罪行为的实施。

14 事件数据是指用户的操作行为数据，主要在日志中记录，例如系统开机、启动的服务等；应用数据是指用户所操作的“对象”数据，包括应用本身和该应用产生的数据，例如使用远程登录软件这一“对象”和远程登录所产生的交互数据等。

15 《网络安全法》第24条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

16 此处的虚假身份是指：使用别人的账户、设备、身份信息等，从而隐藏了真实的行为人身份。

17 互联网数据搜索包括：百度搜索、谷歌搜索等搜索引擎获取的泛数据信息。

18 常用的专用数据库主要有：公安机关自有八大系统数据库、检察机关自有数据库、社会行业数据库、政府数据统一开放平台等。