吴燕波 向大为
关键词 网络犯罪 侦查 计算机取证 电子证据
基金项目:湖北警官学院2019年度院级科研自选题课题“基于社会工程学攻击的网络诈骗案件研究”; 湖北省人文社科重点研究基地社会治安治理研究中心项目“国际交流合作视野下的网络警察专业建设研究”,同时本文由湖北省电子取证与可信应用协同创新中心资助。
作者简介:吴燕波,湖北警官学院信息技术系,研究方向:计算机科学与应用;向大为,湖北警官学院信息技术系,研究方向:网络安全与执法。
中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2019.08.225
一、网络犯罪的基本特征
如今的网络犯罪主要表现为五个重要特征:
(一)犯罪现象普遍化
网络技术作为一种客观事物,能为人类生活带来多少便利,就能为违法犯罪带来多少便利。网络诈骗、网络非法集资、网络盗窃、网络吸贩毒、网络恐怖主义……但凡能在现实社会中找到的犯罪行为,均能在网络上找到对应的犯罪现象。
(二)组织手法现代化
今天的网络犯罪越来越有现代化、模块化、职业化的趋势,租用空间、建站、代理服务器、流量肉鸡、个人信息及商業数据库窃取和贩卖、黑客工具制作和租赁等,各种黑色产业链专业、系统、便捷,罪犯可以在极短的时间内把所有犯罪要素串联起来。
(三)运作过程隐蔽化
网络技术日新月异,知识、技能、应用的不对等,加大了犯罪运作过程的隐蔽程度。网络犯罪服务专业化、模块化的结构,使得各模块之间的技术细节互不了解,人员可以互不见面,现代通讯技术的发达,使得通讯联络无界化。
(四)犯罪成本低廉化
现在各种网络犯罪软件工具化、操作傻瓜化、获取便利化,犯罪成本日益低廉,而公安执法部门取证的成本却越来越高,此消彼长间,不利于网络安全与执法部门遏制与打击网络犯罪。
(五)犯罪主体年轻化
随着这些年国家法制化进程持续推进,网络犯罪入刑法,涉网法律法规渐成体系,“电子签名法”“网络安全法”相继颁布实施,网络犯罪的法律威慑力不断加强,网络犯罪又逐渐瞄准了少不更事的青少年群体,拉低了网络犯罪的学历层次和平均年龄。
以上这五个方面的特征使得网络犯罪案件在线索发现、立案侦查、现场确定和保护、证据搜集和固定、证据分析和司法鉴定、诉讼程序等各个方面都明显区别于传统的刑事案件。立案后该如何选择对应的侦查策略和手段?系统中是否存在涉案信息?可否将这些信息有效固定并完整提取?涉网犯罪的案件能否成功侦破……网络犯罪侦查与取证将是解决这一系列问题的关键。
二、网络犯罪侦查取证的一般要求
网络犯罪侦查特指国家赋予刑事侦查执法权限的行政机构对网络犯罪行为进行刑事侦查的活动,贯穿立案、侦查、结案整个过程,包括获取和筛选线索、公开与秘密调查、现场勘验、抓捕审讯、司法鉴定、审结和移送等多个环节。有效地威慑、防控和处置网络犯罪,在侦查方面主要有三个要求。
(一)对侦查机构自身建设的要求
由于网络犯罪属于高技术犯罪,因而作为侦破该类犯罪的部门要有相应的侦查技术和设备,定期不断升级,而且还要不断学习补充相关知识技能,加强侦查人员的自身素养,使之能适应侦查取证的需要。
(二)对网络犯罪侦查措施方面的要求
侦查措施指具体侦查手段。由于网络犯罪案件发现、取证、抓捕各环节难于一般犯罪案件,导致案件侦结率低,另外执法规范化方面的要求也较高,所以结合网络犯罪案件自身特点和规律,需要丰富侦查手段并总结提高侦查能力和经验。
(三)对网络犯罪侦查模式方面的要求
侦查模式是侦查主体在侦破案件中所依据的成熟思路或方法模型。由于网络犯罪侦查模式与传统侦查模式不同,所以要求对网络犯罪的侦查模式进行研究和总结,以提高侦查效率。
三、网络犯罪案件侦查取证的方法
(一)网络犯罪现场的确定
犯罪现场对于能否收集到犯罪证据、能否认定犯罪事实进而破案,会产生重大影响。网络犯罪比传统犯罪时空范围大,现场难于确定,确定网络犯罪现场的具体方法主要有:
1.破坏计算机系统软硬件的案件现场即计算机本身及其环境空间。
2.分析问题计算机拓扑结构,结合案情确定犯罪现场。
3.根据操作系统、数据库系统、其他软件等留存的系统日志信息发现犯罪现场。
4.根据案件性质、种类、模式等分类特征确定犯罪现场。
5.通过分析作案动机、专业水平、手段手法等,间接确定作案现场。
6.调查涉案计算机操作者、管理者等人员,按“事-人-现场”的方法确定犯罪现场。
(二)网络犯罪现场勘查
网络犯罪现场勘验的程序和步骤在《公安机关办理刑事案件程序规定》中有详细说明,大致包含以下几个方面的内容:
1.了解和熟悉案情,尽可能全面的观察现场环境,确定勘验的中心和范围。
2.科学合理确定勘查顺序,较大现场可对人员分组,然后分区、分段、分层勘验。
3.用摄像、照相、录屏、绘现场图、笔录等方法对原始现场进行记录。
4.收集证据原件或和原件等效的证据载体,保证证据的原始性、完整性和有效性。
5.有关证据必要时需勘验人员、见证人、嫌疑人等签字确认。
(三)网络追踪
网络违法犯罪活动追踪调查,关键在于落地查人。主要从以下几个方面入手:
1.查IP地址。通常是通过上网IP、上网账号、上网方式等情况开展调查。例如网络入侵案件中如装有IDS,探测出有网络安全事件发生,网站日志、IDS日志、网络系统的事件日志、操作系统日志等文件中都会有详细的IP访问和操作记录信息。
2.查备案资料。不论是经营性互联网上网单位还是非经营性互联网上网单位,正式接入互联网之前,必须要到地市及以上级公安机关网络安全保卫部门进行联网信息备案,包括使用的IP地址段、网络拓扑结构图、网络和信息安全管理人员联系方式等均可供调查。
3.查联系人网络。网络犯罪很多属于团伙作案,如果查到嫌疑人线索,通过侦查扩线,可以深挖出整个犯罪网络,例如调查嫌疑人的手机通讯录、邮箱通讯录、微信等等。
(四)網络犯罪证据的收集与提取
1.网络犯罪证据收集。刑事诉讼法修订后,电子数据正式成为新刑诉法中八类法定证据类型之一,以往电子证据多转化为其他证据类型使用,现如今已经可以作为独立证据使用。电子证据的收集应注意以下几个问题:
一是注意收集时要保证电子证据的完整性和真实性,常见的技术方法包括哈希校验、数据克隆、只读模式等方法;二是要注意全面收集电子证据,形成完整的证据链条,能真实、准确、完整、全面的反映案件的实际情况;三是严格依法进行收集,以保证程序合法,操作规范,能顺利进入诉讼阶段;四是在遇到困难时可以邀请技术专家参与,必要时邀请的专家可以作为专家证人进入司法过程;五是取证时注意确保案件信息保密以及当事人的隐私权等权利。
2.网络犯罪证据提取与固定。一般来说,较可靠的电子证据主要存在于存储介质上,这一类证据提取过去被称为“主机取证”,后来由于存储介质种类越来越丰富,已很少使用。此外,在网络传输过程中也有一些电子数据可以作为证据使用,但这些电子证据和内存中的电子证据一样,属于易失性证据,断电后即消失,提取时根据载体的不同各有专门的方法来应对,被称为“内存取证”“缓存取证”“在线取证”等等,这些均是从各类数据信息系统和传输系统中找出有价值数据的过程。
计算机证据提取的原则大体包括以下几个方面:一是数据原始性,越是原始的数据,真实性和可信度越高,越能被法庭所采信;二是证据的完整性,指的是电子证据从采集之前到采集之后,内容没有发生过任何变化,取证过程、分析过程、鉴定过程、展示过程等行为均不会对数据造成任何变更;三是数据提取操作的规范性;四是取证过程的连续性和可靠性,接受监督;五是证据本身和取证过程的可再现性。
参考文献:
[1]吴燕波,向大为.电子证据勘查与分析的一般方法[J].湖北警官学院学报,2011(2).
[2]孙奕.Widows7环境下电子取证特点分析[J].信息网络安全,2010(11).
[3]杨世盛.网络犯罪案件侦查取证难的对策建议[J].职工法律天地:下,2014(9):38.
[4]陈廷,解永照.网络犯罪案件中电子数据的取证、审查难点及对策思考[J].公安学刊:浙江警察学院学报,2016(3):31-35.