基于NVIVO11的电信网络诈骗案件侦查逻辑模型的建构与应用

谢 玲

(西南政法大学刑事侦查学院， 重庆 401120)

0 引言

随着移动互联网技术和智能通讯手段的更迭、个人财富数据集中方式的多样化和快捷支付体系的建立，犯罪人借助电信、网络终端实施的“非接触”式电信网络诈骗案件高发，呈现出大数据时代背景下犯罪手段智能化、方式信息化、目标广泛化、成员团伙化、行动跨境化等新型犯罪特征。近年来，在公安机关的严厉打击下，电信诈骗案件发案率有所回落，据统计，2018年全国案件总数相较于2017年、2016年分别下降10.96%、34.98%，涉案总金额相应下降15.93%、36.63%。但是，个别省份发案率高于其他地区平均发案水平，区域犯罪形势仍然严峻。本研究着眼于电信网络诈骗案件侦查与传统侦查不同的侦查策略和侦查方法，以扎根理论为基础进行质性研究，通过对电信网络诈骗案件报告的文本分析，提炼核心理论范畴，探索电信诈骗案件侦查的逻辑路径和结构模型，为打击治理电信诈骗犯罪的侦查实务提供参考。

1 研究对象和工具

1.1 对象

本研究采集的文本和数据均来自于2018年全国各地公安机关办理电信网络诈骗的案件报告随机抽样，共获得147份案件报告作为本文分析的数据基础。其中，涉及菲律宾、泰国、柬埔寨、缅甸、马来西亚、台湾等境外窝点的样本8份，其余139份为境内窝点样本。样本种类如图1所示，其中“其他诈骗”具体包括以办理税务事项、帮助戒除网瘾、参加充值返利活动、出售考试答案、发表论文、教授网络游戏、利用资金漏洞平台盈利、冒充金融客服、私家侦探调查、网络赌博、网络恋爱交友、网络募捐、网络招嫖、虚假旅游报团、中奖缴纳保证金、咨询合作项目、介绍客户的名义实施的诈骗，共计12类27种类型，占公安部公布的48种通讯网络诈骗手法种类的56%。每一份案件报告(样本数)均涉及串并案(案件数)分析，因而实际分析案件数量为453起，其分布情况如图2所示。

图1 研究样本所涉电信网络诈骗案件种类和数量

图2 研究样本串并案件数量

1.2 工具方法

电信网络诈骗有别于传统诈骗，实务中运用的侦查对策和方法随着诈骗手段的推陈出新不断演化发展，有待于提炼形成新的侦查理论模型更好地指导和服务于侦查工作。在以建构理论为宗旨的质性研究方法中，扎根理论(Grounded Theory)是与侦查科学注重实践理性之理论品性最契合的分析方式之一，是使用研究中收集到的实证数据生成一个新理论的定性方法[1]：“扎根”于第一手案件研判资料和真实数据，“逐步向上”演绎和归纳出犯罪发生经过与侦查权导入角度的程式，使现行侦查模式更加规范科学。

本研究采用质性研究中常用的计算机辅助软件工具NVIVO11 Pro对研判材料进行定性分析。NVIVO是在1991年Tom Richards和Lyn Richards研发的质性研究计算机软件NUD*IST基础上发展而来的，它采用“编码”的方式将文本资料裂解并概念化和范畴化形成各级节点，从中发现和建立新的理论[2]。本研究对案件报告进行至少3次的逐级登陆分析：第一，在开放编码阶段，逐字逐句读取每一份案件报告，从中发现、提取关键字句作为自由节点并按照概念的属性与维度加以初步命名，纳入每一节点中的参考点代表所有研判资料中相同编码内容出现的频次；第二，在主轴编码阶段，根据犯罪活动与侦查活动的对策关系和功能关系建立概念类属，通过开放性节点向树状节点转化的方式，划分归纳出“犯罪行为轨迹”“人员流侦查路径”等主要类属，“诈骗资讯传输线”“诈骗资金注入点”次要类属，从材料文本中摘入编码频次形成节点编码体系，阐明由犯罪现象与行动策略之间的互动方式，确认影响侦查思路的情境因素和条件，描述侦查策略和方法产生的实际效果，形成一个犯罪与对策的派典模式(Paradigm Model)作为该类犯罪侦查逻辑雏形；第三，在选择性编码阶段，在已经产生的概念类属中选择“轨迹碰撞分析”作为频繁出现、能够串连所有主轴编码中类属的“核心类属”，对其维度、特征、条件、影响和策略等属性进行登陆[3]，在理论结构上扩容出一个针对电信网络诈骗犯罪的侦查逻辑模型。

2 结果分析

文中所有编码都是具有侦查意义的要素，基于组织侦查逻辑模型的需要，本文仅选择对构建派典模型有重要贡献的编码及其代表的侦查方法和策略进行解码分析，其余编码仅作概念类属编码统计的一般列举。

2.1 犯罪行为轨迹编码分析(节点及编码参考点见表1)

犯罪行为轨迹是由作案人按照剧本话术和行骗需要设计的“A诈骗资讯传输线”与受害人将资金实际打入的“B诈骗资金注入点”交互汇聚产生犯罪收益的路线。“A诈骗资讯传输线”是指作案人推送或推广诈骗信息以实施诈骗行为的资讯渠道或载体，它既是作案人对受害人的犯罪沟联方式，也是各据一方、互不相识、分工明确的作案成员之间紧密协助的犯罪平台。依据本研究参考点数统计，目前，诈骗资讯传输最常用的是“A5聊天软件、网络社区、网购平台输出信息”占37.4%，涉案类型为网络交友诱导赌博、投资类诈骗、网络恋爱交友类诈骗，网络诈骗渠道的盛行暴露出国内聊天软件、交友网站存在随时注册、审核不严、未严格执行网络实名制等诸多管理漏洞；而利用手机传播诈骗信息“A1打电话”占21.5%，“A4发短信”占8%，涉案类型为冒充军警购物诈骗、冒充熟人(老板)诈骗、网络刷单类诈骗，虽然随着即时通讯手段的演变，近年来电话诈骗在案件类型中由最初的70%下降到30%逐渐被网络诈骗取代，但相对于微信、Q诈等互联网诈骗，运用电话方式的“优势”在于能够对诈骗信息做撒网式的普遍推广，对于特定类型案件仍有广泛适用空间；最新的、呈上升趋势的诈骗资讯传输方式是结合电话、短信和网络诈骗手段的“A3多种手段结合使用”，占比高达20.9%。其中，最具有代表性的案件类型是采取多种信息输出手段的台湾系冒充公检法诈骗：一线“话务人员”由机器人拨打智能语音电话，二线“话务人员”使用网络电话通话并通过改号软件实现来电任意显示，三线“话务人员”使用手机诱骗受害人，三线之后采用网络即时通讯工具持续与受害人通联“洗脑”，为骗取信任另以“A9制作诈骗专用炒股平台、赌博网站、官方网站或APP”的方式伪造司法机关官方网站链接和通缉令。当前采用简单的电话或短信方式完成整个诈骗流程的电诈案件呈现萎缩，诈骗资讯传输线的演变发展趋势反映出犯罪日益分工细密、团队作案、手法多元的特征。“B诈骗资金注入点”是指受害人因受蒙蔽或诱导向作案人转移支付资金的方式。依据本研究参考点数统计，位居前两位的是以快捷支付方式“B8微信、QQ或支付宝转账、充值、发红包”转账等方式实施诈骗占33.2%，常用支付方式“B5提供银行卡号、身份证号及验证码”转账占比为19%。采取不同的行骗渠道取决于诈骗剧本指向的犯罪类型、作案人的网络技术支持状况、犯罪流程设定以及对公民个人信息精准程度的掌握等个案条件，比如，快捷支付方式实施简便、效率高但前期需要对受害人长时间的情感“经营”、获取受害人信任或只求短、频、快的小额诈骗；常用支付方式则需要作案人额外制作虚假网站、购买网上准金融产品，且受害人本身具备对网络转款二次验证等网上支付常识缺乏的特征，常见于被骗数额巨大的贷款类诈骗。

表1 电信网络诈骗案件犯罪行为轨迹编码统计

2.2 人员流侦查编码分析(节点及编码参考点见表2)

“人员流侦查”是指从已知的作案人或嫌疑人出发，通过侦查发现或确定犯罪事实。选择侦查的途径一般从人、事、物3个方面着手[4]，“由人到事”的人员流侦查遵循一种由已经事实推出未知事实的犯罪侦查逻辑，可以从侦控基础、侦查技战法、技术反制三个维度揭示它的内涵与应用场景。

第一，作为侦控基础的人员流侦查是指涉案人员真实身份构成基本要素查证系启动或深入开展“资金流侦查”“信息流侦查”重点输出地人员管控的基础。比如资金账户调查中对可疑银行卡户主进行“C1查清嫌疑人身份证、支付和聊天软件ID、手机号、绑定银行卡及WIFI个人信息、工作单位”等身份基本构成要素开展调查以确定嫌疑人身份背景情况；基于侦查实务中对犯罪人户籍所在地分析结果显示：10%高危地区嫌疑人实施了90%的电诈案件，采取重点输出地人员信息筛查实施侦查和管控。一方面，将可疑人员信息中户籍所在地显示为重点输出地的人员纳入重点嫌疑对象，在利用MAC码、IP反查时发现有网银登陆地址为高危地的情形，结合其他分析将该网银账户锁定为嫌疑人账户；另一方面，总结重点输出地人员作案特点与案件类型，依据报案人陈述的该类犯罪手法特征锁定嫌疑人地域范围。

第二，作为侦查技战法的人员流侦查具体是指，基于出境打击的困难，在难以搜集涉案数据信息和现场物证的情形下，对已经明确诈骗嫌疑身份的涉案人员以到案审讯、侦查实验的方式还原窝点架构、由人到案地关联串并案件，组织、形成和固定完整证据链的侦查方法。例如，从“C2出入境信息”入手，对具有重点输入地户籍、境外滞留时间与窝点周期相符、同行结伙、携带黑卡和前往高危出境地特征的人员信息进行筛选和锁定，对已经纳入侦控视线、因旅游护照到期即将回国的入境嫌疑人员实施控制，立足于网络犯罪证据体系的基本架构对嫌疑人实施审讯和侦查实验，以确定其涉嫌电诈的案件类型、窝点运作模式和工作规律、人员构成和角色承担、诈骗对象特征及金额、资金转账方式等重要案件事实，根据案件特征指向编码关键词，从各省市案件库交叉串并出对应案件的“C3关联接警信息”实现人案关联。

第三，作为技术反制的人员流侦查具体是指对可疑账户、开户人、账号用户实施技术监管和限制使用。基于可疑人员信息、设备、账户的研判，将相关人员信息推送银行、第三方支付机构、网络运营商，推动其在本行业内设立风险等级黑名单，对与可疑人员身份注册关联的银行卡及设备有条件地限制或禁止使用。

表2 电信网络诈骗案件人员流侦查编码统计

2.3 信息流侦查编码分析(节点及编码参考点见表3)

“信息流侦查”是指利用通讯流和网络通信流查证电诈犯罪的侦查方法。与“C人员流侦查”相反，它与“E资金流侦查”都是遵循从已知信息到人或涉案设备的、“由事到人”的犯罪侦查逻辑。

由虚拟设备、线路关联到犯罪使用设备、作案人生活使用设备及人员真实身份的侦查路径主要包括:第一，信息的逐级溯源查询和分析。通过犯罪案件线索和企业数据的预警提示，及时抓取作案手机号、即时通讯账号、网站域名等犯罪工具关键信息，查询和分析通讯话单发现犯罪目标服务器，查找数据进出的上下游服务器，逐级向前追溯来源和向后追溯下一次案发去向；第二，信息的关联行业和客户分析。从涉案服务器或域名获取和维护途径入手，查找租用者、使用者IP或关联出其它虚拟账号，定人获取服务器的账号、密码和话单；第三，信息的同环境技术分析。“D10信息流同环境伴随分析”项下显示了侦查实践中常用的分析方法，其基本思路是通过电话号码、聊天支付软件账号关联窝点WIFI、语音网关、PC电脑、笔记本电脑、手机等上网设备，在同线路同IP下发现生活使用的账号、设备，以及拓展出登陆被查设备的其他账号；第四，信息的虚实轨迹分析。“D4多项信息流轨迹及碰撞分析”项下所列举的多种侦查方法，是对犯罪人的真实身份与虚拟身份、生活轨迹与线上轨迹进行对冲碰撞，以确定和印证虚实身份是否具有“同一性”、线上注册轨迹和侦查掌握的IP、登陆日志是否吻合，从而实现侦查定人和侦查定位。

2.4 资金流侦查编码分析(节点及编码参考点见表4)

“资金流侦查”是指通过对涉案资金交易对手账户逐级查询的方式扩线追踪资金去向，直至取款卡落地的侦查方法。资金流侦查的实施意义主要表现在两个方面：一是通过资金链路了解资金来龙去脉，二是在资金流查证中追踪嫌疑人转移资金的工具和方式。

资金链路表现为资金账户轨迹的动态变化，侦查人员通过核查资金账单和资金往来信息发现作案人的真实身份，但从资金账户查询入手开展调查仍存在现实障碍，作案人为了躲避查证通常采取反侦查手段在多级“人头”账户中拆分、演变赃款直至落地变现：第一，以多级洗钱的方式将赃款转入最后提现的银行账户。从“E2多级银行卡资金流向轨迹分析”的编码情况来看，22%的案件作案人在受害人资金进入一级账户后直接取款或消费，43.9%的案件被骗资金流向了三级以上账户，最终取款落地；第二，为了逃避侦查机关以“E8银行账号止付冻结”的方式限制资金流动，使用“转账宝”等用于赌博网站的黑灰产业洗钱产品操作网上银行，设置程序将收到的多笔赃款通过设备自动即行转款到目标账户，以缩短转账资金在各级账户中停留的时间；第三，为了便于从ATM机上取款，作案人对涉案资金进行拆分，通常是以ATM机最高取款限额转入多张银行卡分次提现；第四，为了躲避银行对转存款的反洗钱和风控查证，采取线上第三方平台、对公账户、赌博网站支付消费，以线下POS机消费做物理隔断分散资金，从而降低检测出非法资金提供接口的风险性。面对纷繁复杂的资金流，侦查人员在以资金账单为基础的资金往来查证方面，第一，对于涉案资金对手账户之间的关联层层查证、务必穷尽，及时追踪直接转账、取款反存的简单或小额电信诈骗案件，对于大额复杂案件紧追资金去向、扩展资金对手自动跟踪并延伸止付保护受害人资金；第二，依据“E9由交易对手账号、返款账户、试充值记录查找嫌疑人及其受害人对手信息”，对小额返款账户，排查对手信息发现更多受害人，对“E11资金流向下级嫌疑银行账户筛查”重点关注和技术跟踪以ATM取款最

高限额转入的二级卡、三级卡，其下级卡账户可能具有提现风险，另外要将涉案下级银行卡发生在异常取款时间段的小额试充值、查询等测试银行卡行为纳入侦控，一方面根据ATM机IP地址划出查询和取款轨迹，发现嫌疑人近期活动区域；另一方面按照“D4.11手机、QQ、微信、ATM机IP活动轨迹与生活轨迹、相关实名登记信息、窝点地碰撞分析”等方法，将资金查询或存取轨迹与周边住宿信息进行碰撞以便发现嫌疑人；第三，从资金往来查找嫌疑人转移资金过程中留下的电子记载痕迹。例如，从账户操控人的背景调查中获取嫌疑人员信息并入“人员流侦查”，以“E3取款人民币冠字号、ATM机日志、取款监控查询”的方式提取ATM机上的数据资料，调取嫌疑人在ATM机上操作和发起存取款、查询的时间和地点信息，以ATM机记录的取款人民币冠字号追踪嫌疑人活动范围和轨迹。

侦查人员在以作案人转移资金的工具和方式为基础的资金伴生轨迹查证方面，以资金流查证对接信息流侦查方法。第一，发起对涉案账户或可疑账户登陆信息的反查。查询该IP地址下的关联账户、银行登陆记录，获取最末端上网设备的MAC码接入“D信息流侦查”，以及检索同一登陆IP地址下的其他登陆人员接入“C人员流侦查”做出其真实身份和银行账户信息纳入侦查视线；第二，依据作案人向涉案银行客服中心提起查询请求的电子登陆记录反查其来电号码；第三，追踪作案人准备犯罪、实施犯罪后洗钱的付款方式等相关信息，如倒查作案人支付改号透传线路、服务器供应商、成员分赃的资金链路留下的通讯和网络通信信息；第四，接入“D10信息流同环境伴随分析”，透过作案人经第三方平台购买点卡、虚拟货币再提现、代付收钱等层层物理隔断在网络同环境中查找收益账户，最终并入“C人员流侦查”确定嫌疑人身份。

表4 电信网络诈骗案件资金流侦查编码统计

3 结论与讨论

电信网络诈骗案件最突出的特点在于虚拟空间环境和高新技术手段所带来的“非接触”式作案。在线行为主体一定条件下可以突破虚拟身份的安全特征、变化不同的数字身份，层层拆分资金，使用虚拟器登陆、IP秒变等互联网技术增加了侦查的难度。在大数据组成的数字世界中去筛选、打捞数据，如果没有侦查逻辑模式和应用规则可循将会付出高昂的代价、错过最佳破案战机。人员流、资金流、信息流分析是电信网络诈骗大数据应用场景的重要组成部分，其作用是追踪和比较身份、资金、通讯、网络数据从案发转款到资金落地在数字世界中的发展轨迹与在实体世界的散落痕迹，并在它们之间进行充分的数据对撞，通过“轨迹碰撞分析”寻求线上和线下侦查对象、目标的重合，将“躺着的”、高速流动的可疑数据从符号现象中“立起来”，对应具体案件的现实要素，以实现案件的侦破。

本研究的编码结果表明：电信网络诈骗的犯罪场景和脚本主要发生在外部通联工具内，从事相应侦查活动必然涉及两部分重要数据的研判分析：一是公安系统掌握的与行政管理登记、注册相关的内部数据；二是公安系统外部由第三方支付、通讯运营商控制的、在通讯和网络服务中自动生成的企业数据，所有与案件相关的各种数据均处于公安大数据内部机理与企业大数据外部机理的交汇点上，它们共同构成电信网络诈骗案件侦查逻辑模型的信息支撑条件和模型主干部分。内、外部大数据之间首先要构建通联渠道，其次警方与企业双方要形成统一的侦查逻辑主线。银行、运营商、互联网公司的数据池中存储着大量自动产生的外部数据对案件侦破起着关键作用，直接接触这些数据的企业工作人员如何及时提取关键数据、有用数据必须依赖专门侦查逻辑对数据整合、“轨迹碰撞分析”的指令和要求。因此，在侦查逻辑模型的“研判侧”需要侦查人员预先对每一类案件的作案手法进行破解和分析，以侦查思维研判各类案件作案特征和弱点，对应形成各项侦查逻辑；在“应用侧”将源头使用和开户环节控制方式、犯罪工具获取渠道筛选方向、异常使用环节风控识别校验路径的各类侦查逻辑同时植入公安内部大数据和企业外部大数据的目标数据池，形成针对每一类案件的资金异常甄别模型、通讯异常甄别模型、重点人员侦控模型等案件分类大数据智能应用模块，涉案数据可根据需要人工筛选或自动“溜出”；有效数据在“打击侧”参与预警和侦查活动的运作机制，通过公安综合预警平台、技术反制平台、侦查破案平台实现大数据环境下警企合作多方数据的互联互通和有效适用，逻辑模型如图5所示。比如曾经高发的“嗅探”案件，它不仅攻击了短信的安全认证体系，也颠覆了第三方支付的认证系统，社会危害性极大。通过运用侦查逻辑在线下剖析其作案规律，找到弱点并施以针对性的技术手段，以阻隔其成为电信网络诈骗主流犯罪方法的危险。

图5 电信网络诈骗案件侦查逻辑模型