基于大数据的网络贩枪案件犯罪情报分析

芦 佳

（南京森林警察学院，江苏 南京 210023）

近年来，互联网及物流业高速发展，不可避免的为网络贩枪犯罪快速蔓延创造了条件。虽然公安机关对其一直保持高压态势，但是交易便利、运输通畅、获益暴利、风险较低、打击滞后等原因，犯罪规模和案件的数量持续升级，犯罪形势日益严峻。2011 年至2015 年，全国共破获非法制造贩卖气枪、仿真枪等各类枪支案件9000 余起，抓获犯罪嫌疑人8 万余名，为社会稳定和公共安全消除了重大隐患。[1]但由于犯罪黑数的存在，实际发生情况无从掌握，立案侦查的案件可能只是冰山一角，并且随着社会经济的进一步发展，影响此类案件的因素不发生质的变化，案件数量可能还会进一步攀升。由于网络贩枪案件的最根本特点及侦查难点，就是无法发现案件、难于搜集线索，进而导致侦查遇到极大困难，而打击犯罪的有效性是犯罪发生的重要影响因素。因此，在新的历史时期，使用基于大数据的犯罪情报分析方法，增强发现案件线索的能力，提高侦查工作效率，从而带动侦查模式的升级，这不仅是现实需要，更是网络社会犯罪形势变化的应然之策。

一、网络贩枪案件的特点

（一）贩枪行为具有极大隐蔽性

贩枪行为具有极大隐蔽性，从而造成无法发现案件且难于搜集线索，这是其最为根本的特点以及侦查难点。首先，贩枪行为以网络为交易平台，隐匿于网络而无法发现。此类案件是典型远程非接触式犯罪案件，交易双方从相互结识到达成交易，每个环节都依托网络完成。买卖双方远隔万里、互不相识，交易过程一对一联系，所有联络账号、资金账户、物流地址、联系方式都使用假身份证办理，作案过程非常隐蔽。其次，案件因为没有直接受害人而无法第一时间被发现。此类犯罪行为，首先是一场买卖交易，其行为没有直接侵害第三人利益，没有直接受害人，所以没有受害人报案。一般来说，公安机关发现案件的主要渠道就是受害人的报案，无人报案则根本无法立案侦查，也将缺少受害人的直接指控。最后，因为贩枪行为的违法性，案犯会尽可能采用掩人耳目的手段不留证据。例如，对涉及枪支及零部件全部采用暗语或隐语进行交流，以逃避网络监控。同时双方联络时采用微信、QQ 等工具，利用快递进行交付时，寄件人是卖家，但不会留下相关真实信息，收货人为买家，除手机号为真实信息外其他收件人名字地址等都为虚假信息。在发布的贩枪信息中，即便有枪支零部件图片，也与五金零件没有明显区别，非专业人员根本无法识别。因此，案件的隐蔽性使得网络贩枪案件在侦查中遇到极大困难，如何发现案件成为首要解决的问题。

（二）被贩卖枪支种类繁多

网络贩枪案件中涉及的枪支种类则比较繁多，包括以下几类：第一，国外制式枪支。被贩卖的制式枪支主要是走私入境的国外制式枪支，国内的比较少，例如，从美国走私入境的“格洛克”手枪、“伯莱塔”手枪等。制式枪支虽然数量较小，但是因为射击精准度高、性能好，危害性较大，应该是侦查的重点。第二，以火药为动力的仿制、改制枪。这一类枪支主要是仿制的国内制式枪支，或利用发令枪、气手枪等进行改制的枪支。由于犯罪分子通过简单改装就能制成击发“64 式”子弹的手枪，这已经形成了一条产业链。第三，高杀伤力气枪。此类枪支约占总数的50%，有直接走私入境的“秃鹰”气枪，也有仿“秃鹰”、“快排”等气枪的国内自制枪支。购买枪支的人主要用于打猎，但是近年来出现了多起利用气枪致人死亡的案件，也应引起重视。第四，各类射击球形弹丸的软气枪。这类枪支是境内外玩具厂家仿造军用枪支制造的高仿气动枪，外观、颜色、重量一致，被爱好者拿来收藏或进行对抗游戏。此类枪支主要从香港、台湾等地走私入境，或者由国内一些玩具加工作坊、工厂非法制造。此类枪支在其他一些国家允许生产、销售，由于我国枪支鉴定标准低于国外，故在我国被认定为枪支。枪支种类虽多，但主要由国外走私入境或者国内仿制、改装而成，因此可将网络贩枪案件分为贩卖走私入境、仿制枪支以及改制枪支三类案件。

（三）参与贩枪人员特点

1.案犯职业特征明显

从网络贩枪案件中的案犯个体来看，多为20至40 岁的男性青年，主要有买家、卖家及制造人员、境外走私人员等。买家多是枪支爱好者，购买气枪为收藏、狩猎、娱乐等，偶尔也有制式枪支。另外少部分人员都是赌博、娱乐场所从业人员，为实施其他类犯罪而购买枪支，对枪支的性能、质量要求较高，多是制式及仿制式的以火药为动力的枪支，杀伤力大，危害性强。卖家与制造人员则主要由枪支爱好者逐渐发展而来，他们最初只是爱好枪支而收藏购买，长期钻研后掌握制枪技术要点而开始贩卖或组织生产制造。

2.贩卖网络纵横交错

网络贩枪案件前后经历买卖制贩运多个环节，并且包括从批发到零售的多层级销售网络，多人参与其中，但又与普通团伙犯罪不同。他们互不熟悉，不知真实身份，单纯依靠网络联络，并且组织松散，每次交易的时候随机组合形成类似蜘蛛网似的层级混乱的上下线关系。贩卖枪支过程中也没有明确的分工，每个人可能都是贩卖交易链上的一员，每一次贩卖有不同的案犯组成新的链条，每个人都可能同时是买家又或是卖家，买一把枪的全部零部件可能需要经过多个上级，这是一种相互联系同时又非常独立的分散、开放、庞杂的多点交叉关系。

3.地理位置遍布全国各地

参与贩枪行为一般有多名人员，包括买家、卖家，有时还存在中间商以及枪支制造商或改制商，如果是走私入境的枪支还会有境外走私枪支人员。他们分布全国各地，买家多位于各地农村、山区，其购买枪支主要用来打猎或者收藏，虽然收货地址基本是假的，但由于在填写物流信息时，地址填写栏比较规范，必须填写到某某村某某组，而之后的门牌号则不会是真的，因此买家所在区域是可以确定的。卖家由枪支爱好者以及发展而来的买枪者构成，贩卖走私枪支的案犯多集中于沿海经济发达地区，与境外人员保持密切联系，其他卖家则与上文所述买家的地理位置表现一致。再看仿制、改制枪支的案犯，主要集中在长三角、珠三角等制造业发达地区，成熟、完善的制造加工产业链为制造枪支零部件提供了技术及设备保证。参与贩枪人员所处地理位置的特点，改变了多年来国内制枪贩枪多为西部几个重点地区的态势，这可能缘于高度依赖现代化制造业设备并且专业化程度较高的仿制、改制枪支技术，在网络社会不再需要以地缘、亲缘为纽带进行交流。

（四）作案过程

三类不同贩枪案件的作案过程有不同之处，贩卖走私枪支的案件，在作案前期包含有走私枪支的行为，要结合走私案件的侦查方法来进行侦查，此处不再赘述。除此以外的贩卖行为基本一致，都表现为以互联网为交易平台，发展多层、多级代理商，且通过现代物流行业直接在货源地发货的贩卖模式。交易双方在QQ 群、微信群和一些网站论坛里进行交流，表面上看起来是兴趣爱好者的交流空间，实则发布贩卖或需求信息。大多数案犯手里并没有现货，都是发布带有照片的兜售信息，这样减少风险以及交易成本。当双方达成购买意向后，再使用微信、QQ 互加好友一对一交流，一来保护价格、型号、货源等“商业秘密”，二来更加隐蔽以逃避侦查打击。如果与境外人员联络，案犯则会使用WhatsApp、BBM 等聊天软件，这些软件运营商在境外，无法进行侦控，如果抓获这些犯罪分子则要及时固定手机聊天记录以作为证据使用。达成交易后，买家将货款利用网络转给卖家，再由卖家转账给发货人，发货人用快递直接发货给买家并将快递单号告诉买家。发件人和收件人的信息中，只有收件人的电话是准确无误的，但很多也是为了犯罪而专门购买的电话卡，其他信息基本都是假的。双方都靠快递单号查询运输信息，如果快递在哪里停止不动，也便于提前做好反侦查措施，这里要注意对其资金往来信息进行仔细梳理并固定。此外，仿制、改制枪支时，案犯只需要将图纸及零部件样品发送给五金加工作坊，就能机械化批量生产，图纸在交流群或论坛上可以获取，同时网络商店里上有大量可替代枪支零部件的物品、工具出售，降低了仿制、改制的技术门槛。

（五）侦查难度较大

网络贩枪案件侦查难度较大，第一，案件线索难于发现及追踪，这是由案件的隐蔽性造成的，贩枪行为的发生只有买卖双方知道，很少会有群众直接报警、举报等，导致公安机关无从发现案件以及获取案件线索。再如，因我国海关部门受到监管力量、查验技术的限制，国际邮寄渠道走私入境的枪支发现率较低，难以有效防范此类案件的发生。在追踪线索时一般要落地侦查，为核查一条线索可能要天南地北的往返，并且一条线索延伸出去多条线索，查或不查，都对侦查工作有着消极影响。同时，网上信息数据的分析，在现实中落地也比较困难。第二，分析情报线索难，此类案件发生后在网络上留下大量数据信息可供分析，但是这些数据信息是混杂在社会海量信息中的，在现有技术设备条件下进行区分、筛选、联系的难度较大。第三，取证追缴缉捕难，一旦案件落地后，所有取证追缴缉捕的侦查工作都需要当地侦查机关的协助，但是每个地方的侦查资源都非常有限，很多时候难以有效协助，尤其在追缴枪支时，想要找到被案犯隐藏的具有证据属性的枪支，会面临来自其本人、家属、甚至不知情群众的多重压力与阻拦。加之案件参与人员较多，线长、环节多、程序多，跨地区范围大，以及犯罪行为多记载为网络数据，要进行大量的查账、数据调取、分析研判等工作，对侦查员就提出了更高标准。

二、基于大数据的犯罪情报分析的意义

（一）获取线索的最佳途径

网络贩枪案件情报线索的获取途径主要有：通过网上日常巡查、对重点行业和重点区域的管控、主动分析、侦办已发涉枪案件以及通过群众或秘密力量举报发现五种。[2]在这五种渠道中，除主动分析发现外，其余均是被动发现或者日常侦查工作中的收获，并且这四种获取渠道，可能每次能够取得的情报线索数量比较有限，并且没有延续性和拓展性，使用完以后必须重新开始新一轮工作。而通过侦查员的主动分析可以最大程度发挥侦查员的能动性，并且依靠大数据进行分析可以批量化作业，能发现多条嫌疑线索，一打一串的现象经常出现。实践中，有些侦查员分析工作做得好，发现的案件线索较多，甚至警力不足以开展下一步查证，但还有些侦查员不重视分析情报线索，或者没有掌握分析的关键要点，一直停滞于前期寻找发现案件阶段。因此，应该切实认识到获取情报线索的最优途径就是主动分析情报线索。

（二）固化分析动作可全面提高侦查效率

案件线索的全套分析动作可以固化，所产生的动作模型可供多名侦查员多次使用，这将极大提高侦查效率。第一，分析动作可被复制，全员共享。全国各地的侦查员，在前期分析案件线索的时候，并无法判断后期案件的管辖而进行有区别的线索分析。因此，在整个分析过程中，无论身处何地的侦查员，在进行分析的时候，所使用的分析思路、方法和步骤应该是一致的。具体到每个人的每一步动作，也应该是大体一致的，直接复制使用动作模型可极大提高工作效率。第二，固化经验丰富的侦查员的办案经验与教训，对办案质量及效率的提高显而易见。挑选这样的侦查员提炼思维步骤，建立分析动作的全套模型，对提高整体办案质量和效率是有积极作用的。当然，每个地区或者每一次查办案件的情形都不可能一模一样，因此在实际使用时，可以微调或者更改技术动作，并且要定期更新，无论如何这些细节的修订比起每一次都启动全部的分析程序来说，工作量都是非常小的。第三，固化分析动作可多次重复使用。侦查员在一段时间的犯罪情报分析之后，会具体就某些线索深入追踪而暂停分析工作，等这一些案件破获之后，再重新启动。但前期侦破的案件，其所涉及的全部数据信息并不会因为案件侦破而在网络上消失，这些数据的存在在一定程度上加大下一轮犯罪情报分析的工作量，多次重复使用分析动作则可以避免这种情况的出现。

（三）大数据时代的必然要求

大数据最突出特点就是数据量大，依靠普通人力分析很难完成海量数据的处理，网络贩枪案件的犯罪情报分析工作也是如此。案件中涉及的前期广告信息、相互勾结、交易打款、资金流向、物流运输等行为都在网络上留下痕迹，并被数据记录下来，形成了信息流、资金流、货物流等可供搜集、查询的数据，只靠侦查员个体完成几无可能。而此类案件的侦查突破口，就是在网络数据中寻找线索，若人力完成不了，也不使用先进技术，则是对数据的极大浪费。此外，海量数据背后隐藏的巨大信息，靠肉眼无法识别，应依靠机器来分析、挖掘。而使用基于大数据的犯罪情报分析方法，就是要在海量信息中，由计算机代替人力，自动分析处理数据，极大提高发现案件线索的可能性。

（四）新时期侦查工作模式转变的现实要求

一般盗窃、抢劫案件，一旦发案就有人报案，侦查工作是被动启动的。而网络贩枪案件因其具有的隐蔽性，很少会有群众报案，从搜集案件线索到侦查破案，都需要发挥侦查员的主动性，侦查机关主动发现、成功侦破则会提高侦查员的积极性，更愿意进行主动侦查，案件越打越“多”，形成一种良性循环。这里所指的多，并不是因为侦查力度加大导致的案件发生越来越多，而是案件本来就发生了一定的数量，只有主动出击才发现真正态势，所以呈现越打越多的情况，如果不进行主动侦查，那么到底发生多少案件，实际上无人知晓。现阶段，需要发挥主动性进行侦查的案件占比越来越高，同时，可以采用主动侦查的方法和手段也越来越多，这是犯罪形势与侦查工作发展的双重作用结果。因此，被动侦查转变为主被动相结合的模式，是新时期对侦查工作提出的现实要求。

三、基于大数据的网络贩枪案件犯罪情报分析方法

（一）分析思路

基于大数据的网络贩枪案件线索分析，是通过统计、数学、机器学习等技术，将网络贩枪案件所涉及的数据分类、聚类、关联、分析，挖掘简单数字背后隐藏的巨大信息，批量提取有价值的信息形成案件线索，为下一步侦查工作服务。侦查人员应该吃透网络贩枪不同类型犯罪的作案方法及规律特点，并且全面掌握公安内网以及互联网可获取的数据类型，熟知通过检索某类数据能得到什么样的结果，然后根据此次分析的目的，选择使用具体的软件或者技术手段，设定条件后开展分析工作。

（二）数据种类及分析内容

网络贩枪案件犯罪情报的分析工作，应着重在犯罪过程、案犯的真实身份及所在地、贩卖人员网络的层级及结构等几方面展开，可以使用的数据包括以下几类：交易购买信息、联络沟通信息、资金往来信息、物流运输信息等，每一种数据可以帮助分析多项内容，每一项内容也可通过四种数据综合进行分析，要灵活运用并不断创新。

1.交易购买信息

通过交易购买信息，其中买家通常购买少量材料和配件，收货地较为集中。卖家则不仅卖出了大量材料和配件，还会去购买这些物品，其收货地址集中，发货地分散在全国各地。制造人呈现购买有大量的工具、材料、配件，收货地址集中的特点。故此，可直接分析交易网络的组织结构与人员结构，包括贩卖网络、销售层级、上下线关系等，通过购买信息还能挂钩资金往来记录和物流运输记录，间接分析案犯特征及真实身份等，并且通过检索关键词，可直接锁定交易嫌疑线索的数据集合。

2.联络沟通信息

联络沟通信息主要有电话、QQ、微信信息三类。犯罪分子虽然主要是靠网络联系，即大多使用QQ、微信，但是也出现间隔使用电话联络的情况。这里相互沟通主要是买家与卖家间的、不同层级卖家间的、卖家与制造人间的三种类型，因此，梳理全部人员的联络信息，可以分析出涉案人员，并且梳理组织结构，理清各级代理商的层级关系。联络沟通信息要与交易购买信息进行数据碰撞，以实现数据库之间的连接以及进一步缩小侦查范围。此外要注意的是，近期案犯有选择聊天平台有向超信、WhatsApp 等内小众聊天软件和境外聊天软件上转移的倾向。

3.资金往来信息

犯罪分子大多采用网上即时支付的方式进行支付，就会留下资金往来记录。现在常见的主要使用支付宝、微信转账，这种方式便捷、隐蔽，偶尔也会使用银行账户转账，或者是在柜员机上进行无卡转账，这样能够避免留下犯罪证据。一般买家相关记录里大多数为转出资金记录，卖家的记录有买有进，并且记录数量庞大，而制造人的资金往来记录则只有转进，数量也较大。通过资金往来记录可以查明涉案资金流向，能够分析嫌疑人在贩卖网络中是属于买卖制哪一方人员，并且能够梳理出上下级关系和犯罪组织结构。记录同时可以查明人员身份，部分QQ、微信等虚拟身份，依靠技术手段即可初步查明真实身份。

4.物流运输信息

卖家交付枪支时大多让制造人直接发货，减少中间环节同时降低风险，制造人接到订单信息和货款后，按照买家提供的地址电话，将枪支零部件拆散并进行伪装，后通过快递运输交付，通过快递单号可以全程追踪枪支，侦查员也即可以通过单号进行信息的挖掘。物流运输信息可反映收货人的地址和电话，地址虽然是假的，但是大的区域范围可以确定。而电话号码不能直接查到买家的真实身份，但是可以作为分析的一个信息点。因此，物流信息记录可帮助梳理贩卖人员网络结构，更多是在后期帮助确定侦查落地点。

（三）分析步骤

1.数据采集

数据采集是分析工作的基础步骤，结合公安内网与互联网的各数据库及资源库进行的具体操作。例如，各平台采集到的数据可以直接对接到公安大数据分析平台上，对零散的Excel、CSV 等格式的数据，可以通过文件上传的形式进行。数据主要来源于互联网，以上面分析内容为分类，采集包括交易购买数据、联络信息数据、资金往来数据和物流信息数据四类。在使用过程中，还可以根据实际情况进行筛选与补充。

2.数据清洗

由于各数据库录入信息的标准不一，以及录入不规范等原因，会造成一些数据无法被检索被使用，对这些数据要进行处理或者剔除，以保证下一步程序的顺利进行。主要在具体数据的大小写转换、替换、截取、拼接、首尾去空格等方面进行。

3.分析内容逻辑拆解

在具体分析中，就不同数据以及不同的分析内容，交叉重叠在一起，因此实施分析前要对分析内容进行拆解，以此保持清晰的逻辑主线，才能在后期不会遗忘、混淆，否则可能多次重复同一动作或陷入死循环而无法继续分析。下面以改制射钉枪贩枪案件为例具体说明逻辑拆解的过程。

第一，案犯在改制过程之中，必须购买免顶器、射钉枪、钢管，是否具备这三种零部件直接决定能否成功改制，这是一项必要条件，因此以此为第一检索条件，检索所有交易购买信息，能快速进行甄别。

第二，购买这些零部件的人，还有一部分是大型工地、建筑部门在生产建设中的正常需求，要将这些数据剔除。因此，结合物流信息数据，分析收货地址明显为建筑工地等地方的购买记录，将其剔除。还可以通过收货人位于农村地区，乡、村、组这样的地址，明显不可能为建筑工地地址的，可以直接上升为重点嫌疑线索。

第三，以上一步分析后的交易购买记录为对象，梳理这些记录的购买人，并以购买人网络名称为检索词，查找每个人的购买记录，凡是出现购买钢珠或其他可作为子弹使用的物品，那其购买枪支零部件来作为枪支使用的可能性极大，并且购买频繁，大大超过一般使用零部件的用户的购买次数。还可能在购买时间上有明显的断层，即因为某地举办大型活动时加强对快递的管理，限制运输某些物品的情况下，这些案犯便会中断一段时期的发货，造成物流信息记录的断层，这种情况下则说明其购买目的为使用枪支。

第四，根据对购买人的身份背景初步筛查梳理，其职业特征表现为各种职业，不集中于特定某一类。例如，农民或者手工业者，不具备施工条件，其若购买则必定是作为枪支使用。

第五，结合联络信息数据，其通话、聊天记录中会有打猎字眼或图片，其购买零部件则极大可能要制造枪支。

第六，使用资金往来数据，通过进一步分析其上下家，确定整个网络层级及结构。

4.动作固化建模

可将以上经过逻辑拆解的分析内容也即分析动作进行固化，通过专门软件进行，例如南京市公安局，在其大数据分析平台上，留下接口，可以申请开通后使用，或者直接使用Excel 软件中的录制动作功能，进行固化建模。这种模型可供他人多次反复使用，并且易于修改更新。

5.实施分析并查证反馈

动作固化为模型后，可使用模型开始具体分析。对分析的结果即犯罪情报线索，可以开展下一步侦查，例如给予网侦和技侦的支持，以获取更多的信息。同时还要将下一步侦查的结果及时反馈给前期分析人员，以帮助他们对动作模型进行修正或更新，这也是对前期分析研判工作的总结与提高。

（四）注意要点

在实际分析中，还要注意以下问题，第一，在分析中，数据量再大类型再丰富，还要靠人脑去指挥电脑，所以是否具有侦查思维才应该最为重要的因素。数字化时代的本质是对想象力的充分挖掘，在侦查硬件设施一定的条件下，数字化侦查活动效果的大小，主要取决于侦查人员想象力的丰富程度和侦查人员的思维创新能力。[3]第二，对嫌疑线索要区分轻重缓急，就社会危害性较大或者案情复杂的案件优先核查。在梳理线索的时候，要注意对线索进行分类，把重点线索挑出来，考虑进行侦控经营，而对一些比较模糊或是贩卖个别零部件的线索，可考虑再后期进行进一步侦查，以集中侦查力量。第三，一定要注意对分析模型的修正与调整，案件的情况千差万别，一个模型不可能适用于所有的分析工作，更多要在实践中灵活处理。

随着社会的快速发展，各类犯罪的网络化将是侦查员要面对的重大挑战，客观上要求侦查员必须提高善用数据的理念，尽快掌握分析研判数据的技术。在网络贩枪案件侦查工作中，使用基于大数据的犯罪情报研判方法为启动点，引领侦查技术手段的变革，最终实现侦查工作的转型升级。