“从人到案”侦查模式在电信网络诈骗犯罪侦查中的应用

王海林,井晓龙,魏慧雯

(中国人民公安大学， 北京 100038)

0 引言

2019年，公安部“净网2019”专项行动工作侦破电信网络诈骗案件8.5万起，同比上升3.0%，抓获犯罪嫌疑人5.14万人，同比上升32.28%。同时，电信网络诈骗案件数量年增幅在20%以上，中国互联网络信息中心于2020年4月28日发布的第45次《中国互联网络发展状况统计报告》中显示，2020年网民遭遇网络诈骗的比例为23.3%，同比上升1.8%，网络诈骗与个人信息泄露并列为网民遭遇网络安全问题中占比最大的两个部分，电信网络诈骗犯罪形势依然严峻。公安部联合其他部门进行侦破，取得了显著成果，但是其破案率在所有刑事案件中仍是最低的。究其原因是因为电信网络诈骗手段更新速度快，上下游犯罪产业链分工明确，并且利用网络作为媒介，实施非接触犯罪，给侦查工作带来了困难。

仅应用“从案到人”的侦查模式，从受害者报案后的时间节点进行切入寻求破获电信网络诈骗犯罪的方法和手段是相对被动的，无法满足电信网络诈骗犯罪侦查的需求。当前，从研究内容看，黄首华[1]认为传统侦查模式不能满足当前电信网络诈骗犯罪的侦查需要，提出用通信和资金两种要素引导案件侦查；胡锦鑫[2]提出了在多环式优化侦查思维指导下，以资金和人员信息穿透为基础的网络金融犯罪侦查模式优化方案。但此种新型侦查模式没有超出“从案到人”和“从人到案”侦查模式的概念范围。本文基于“从人到案”侦查模式，探索其在电信网络诈骗犯罪的应用，从犯罪嫌疑人在犯罪预备和实施犯罪的过程中所暴露出的线索入手，获取人员信息，掌握犯罪动态。

1 电信网络诈骗犯罪侦查困境及侦查模式掣肘

1.1 电信网络诈骗犯罪的侦查困境

电信网络诈骗犯罪侦查活动需要侦查人员对犯罪嫌疑人的网络虚拟身份与自然人身份进行同一认定，即从网络空间数据逆向回溯目标电子设备，再进一步追溯物理空间行为人。当前，侦查活动往往在案件发生后介入，物理空间和虚拟空间的隔离给侦查工作带来一系列困难。

(1)案件发现难。犯罪行为人利用电信网络作为媒介接触受害者，两者之间全程没有接触，非接触作案隐蔽性强。同时，数据量庞大、种类繁多导致无法对犯罪团伙的诈骗行为形成有效预警，侦查活动开展被动。

(2)后期取证难。犯罪团伙会实时清理服务器信息，使得侦查人员可以收集的有效证据减少，并且难以挖掘犯罪活动之间深层次的联系。

(3)追赃减损难。犯罪团伙成员会迅速拆分汇款，将赃款洗白，诈骗、转账、拆分、取款时间间隔极短，虚拟空间和物理空间的隔离使得侦查人员难以对犯罪迅速作出反应，获取关键证据，降低犯罪损失。

(4)侦查串并案难。犯罪组织架构逐渐完善，电信网络诈骗犯罪网络黑色产业链也已经逐渐形成，以案件线索作为切入点使得侦查人员容易忽视与该案件无关但是与犯罪成员、组织架构和犯罪产业链相关的线索，难以抓住核心犯罪要素进行串并案；并且，由于诈骗活动针对不特定对象，使得基于案件线索的串并案容易受地域管辖的限制。

(5)追捕和打击效果不佳。公安机关的严厉打击使电信网络诈骗犯罪在境内发展受阻，通信、网上银行和网络技术的发展为境外作案提供了技术支持，典型网络诈骗犯罪呈现出了境外作案的趋势。对于已经成形的犯罪团伙，对其采取有效的打击措施需要付出比犯罪团伙未成形时更多的人力物力，并且难以打击到团伙核心，使得犯罪团伙组织者依然可以在短时间内重新组建犯罪团伙，继续作案。

1.2 电信网络诈骗犯罪侦查模式掣肘

电信网络诈骗犯罪侦查的效果取决于犯罪分子的专业度和侦查挖掘犯罪信息能力两方面。当前，犯罪手段日渐专业，急需提高整体侦查能力，仅调整侦查策略是无法满足侦查需要的。侦查模式作为案件侦查的途径，决定了侦查活动的切入点。

按照侦查活动着手时间点的标准划分，“从案到人”侦查模式是案件发生之后，侦查人员运用各种侦查措施获取案件线索和证据，还原案件事实，将行为线索证据聚焦到具体犯罪嫌疑人的侦查方式。“从人到案”侦查模式是在犯罪预备、犯罪实施、犯罪完成的时间阶段，借助数据库和各项侦查业务手段，从犯罪嫌疑人已暴露的嫌疑信息和线索中寻找确认其与特定案件之间联系，发现并破获一系列案件的侦查方式。其中，“人”不仅仅指人员信息，还包括由于犯罪嫌疑人活动所暴露出来的可能与犯罪相关的人员信息和活动线索。两种侦查模式核心区别在于案件切入点，“从案到人”侦查模式从已发案件的信息和线索切入寻找犯罪嫌疑人，而“从人到案”侦查模式先锁定具体犯罪嫌疑人，再寻找其与案件的联系[3]。

当前电信网络诈骗犯罪的侦查模式兼具“从人到案”和“从案到人”，但更偏重“从案到人”。 “从案到人”侦查模式，侧重在电信网络诈骗犯罪发生之后再开展侦查活动，难以在短时间内收集犯罪线索证据并侦破案件，回溯上游犯罪，追回财产，充分发挥侦查的主观能动性。所以，侧重于“从案到人”的侦查模式不能满足网络诈骗犯罪类案件的侦查要求。

偏重“从案到人”的原因之一，是没有将大数据的分析手段应用融合到侦查行为中。侦查人员不能仅限于在应用“从案到人”的侦查模式的基础上调整侦查策略和手段来应对电信网络诈骗犯罪，而是应当重视“从人到案”侦查模式的应用，用大数据分析历史案件，驱动侦查活动，分配侦查资源，提前开展侦查活动，扩大对可疑人员的关注范围，在犯罪完成之前及时发现线索和证据，变单一式的侦查思维为复合式侦查思维，更有利于公安机关掌握情报和线索，进行监控预警和及时反应，提升整体侦查能力。

2 “从人到案”侦查模式在电信诈骗犯罪中的应用

由于电信网络诈骗基于资金运作和信息应用，所以“从人到案”和“从案到人”侦查模式都需要通过信息流和资金流进行追查并提取证据，但“从人到案”的侦查模式强调将侦查活动介入犯罪的时间，提前动态监控资金流和信息流数据，并自动识别虚拟空间和物理空间的信息和线索，追溯到犯罪嫌疑人再寻找与其相关的案件。

如图1所示，“从人到案”侦查模式在电信网络诈骗犯罪侦查中的应用需要结合电信、银行等部门业务，并深化与互联网企业的合作，通过公安部统一搭建的网络平台，充分利用整合现有的信息资源，获取资金流、信息流的数据，引入人工智能，梳理已侦破的案件进行建模，实时获取嫌疑人进行犯罪活动所暴露出来的可能与犯罪有关的资金流和信息流线索，以此为基础，结合人工核查，建立重点可疑人员数据库，构建动态监控人员活动和信息线索研判的数据库。在犯罪预备到犯罪实施完成的阶段中，进行犯罪嫌疑人的识别，异常流动资金情报研判，获取跳转服务器信息[4]。并根据所获得的信息，碰撞犯罪嫌疑人同伙，判断其在组织内地位和作用，挖掘上游组织者，通过对异常流动资金监控可疑洗钱账户，将资金流、信息流、人员流结合识别潜在受害者。主动出击，将数据挖掘贯穿犯罪阶段始终，寻找潜在的犯罪线索，引导系列案件侦查，追溯犯罪产业链，提高侦查活动效率。

2.1 犯罪预备阶段：数据——人员——团伙

这里的“数据”指犯罪团伙成员进行犯罪活动所暴露出的痕迹。“数据——人员——团伙”模式是用出境信息及线索确定嫌疑人，再进一步追查上游组织者。

图1 犯罪预备阶段“数据——人员——团伙”侦查流程图

电信网络诈骗犯罪实施和犯罪完成阶段中犯罪痕迹相对于犯罪预备阶段来说，犯罪团伙会更注重掩盖和消除作案线索和痕迹，例如，犯罪嫌疑人在犯罪实施过程中利用VoIP网络电话呼叫留下的IP地址往往是浮动的或频繁更换的，难以追溯其实际IP地址，洗钱时使用的是 “人头卡”，难以获取犯罪嫌疑人的真实身份。但在犯罪活动开始之前，犯罪团伙的交流和活动大部分在境内。侦查人员在犯罪预备阶段，可以通过对特征分析提取，监控资金流、信息流、人员流寻找未出境的潜在犯罪嫌疑人，并将人员信息归入重点可疑人员数据库。

(1)嫌疑人员数据穿透

电信网络诈骗犯罪团伙成员的识别借鉴深圳机场运用大数据建立藏毒人员标签进行人体藏毒人员识别的案例，通过对历史发生过的案件和民航数据进行共性分析，并以此为基础构建模型识别出境的犯罪团伙技术人员和话务人员。

首先，基于对已破获的电信网络诈骗案件中犯罪团伙成员的出行数据，进行境外诈骗窝点和话务人员出境时空热点的分析，寻找诈骗窝点的空间热点、话务人员出境航班起飞地和目的地分布空间热点，以及出境选择时间热点，结合出入境签证信息，确定重点航班，对在时空热点内的航班进行重点监控，查找重点嫌疑人。其次，总结提取罪犯特征，如表1所示，其中包括籍贯、年龄、订票方式、携带行李与否、行李的种类及数量、出境地点、同行人员、抵达机场的交通方式、选择的出境班次、历史出行和舱位选择记录、订票与起飞时间差、出境滞留时间等特征，并建立相应标签，以此为基础使用机器学习技术识别并发现重点嫌疑人，对其进行盘问。

表1 已破案件犯罪团伙成员特征数据分类

(2)疑似团伙成员横向锁定

在发现重点可疑人后，一方面通过数据研判在出境人员中寻找可疑人员，另一方面在旅行社反馈的可疑人员中核实比对，寻找同批出境人员的关联。

对与可疑人员籍贯相似、出境时间相近的人员进一步信息研判。首先，及时挖掘疑似团伙成员信息人员及时挖掘并入库。其次，基于以上人员的共同信息和社交、资金、轨迹、消费信息进行进一步的数据挖掘，寻找范围相近的可能与犯罪有关的人员。例如，使用相同种类的签证关联人员，之前生活轨迹并无交集，在出境前通过同样的渠道进入某公司服务，与相同的人产生了联系，或者出行轨迹产生重叠，出境地和出境目的地相同等特征可以增加其为疑似团伙成员的可能性。基于以上信息，通过信息流、资金流进一步挖掘其他航班或其他出发地、目的地的可疑人员加入重点可疑人员数据库。

侦查人员通过旅行社反馈锁定疑似团伙成员。上游组织者招募成员出境作案时需要办理签证购买机票，为了节省时间和成本，往往会选择旅行社办理以上业务，由于犯罪团伙业务量较大，旅行社往往会派专人对接并帮其办理业务，所以旅行社掌握着犯罪团伙成员的身份和出行时间。通过犯罪团伙成员出行的批次办理、办理旅游签证、出境地点时间相近、出境时间长等特点，旅行社向侦查人员提供可疑人员信息，侦查人员核实人员信息后，与出境可疑人员信息进行比对，可以得到更多同伙成员信息。

(3)上游组织者纵向追查

侦查人员通过实时抓取的形式动态监控筛选资金流、信息流、人员流，并运用数据挖掘的方法来梳理可疑人员的行为模式，寻找上游组织者。

犯罪团伙组织者招募犯罪团伙成员可以通过线下同乡的地缘关系和短信、微信等社交交友软件、网上发布招募信息的等方式。无论采取何种措施联络，在筛选成员的时候，都会留下记录和痕迹，其中包括聊天记录、出行信息、转账数据、账户信息。一方面，侦查人员在追查出境犯罪团伙成员时，可以根据资金和网络等信息循线追查上游犯罪嫌疑人，其表现出的形式是，使同伙人员的生活社交圈产生重叠，重叠的中心就有可能是组织者。另一方面，侦查人员通过调查与旅行社对接办理业务的上游组织者，通过可疑人员与同行人员的轨迹碰撞，确定其是否与电信网络诈骗犯罪存在关联。

2.2 犯罪实施阶段：呼叫——资金——犯罪

如图2所示，“呼叫——资金——犯罪”是指建立可疑呼叫发现模型，动态监控改号呼叫。侦查人员发现并核实犯罪后，通过已获取的信息追溯相关的账户和犯罪嫌疑人。由于犯罪团伙拆分资金和取现之间的时间间隔极短，所以将资金流、信息流结合，在犯罪实施阶段发现潜在受害者，通过电话劝阻、冻结账户等措施及时止损。将研判获得的信息与数据库内的可疑人员再进行比对挖掘，完成从虚拟空间到自然人的追溯，并将信息归入犯罪数据库中。

图2 犯罪实施阶段“呼叫——资金——犯罪”侦查流程图

(1)可疑呼叫确认犯罪

当前诈骗团队通常使用VoIP网络电话呼叫受害人，VoIP网络电话的特点是地址可变，侦查人员只能追查到跳转服务器层面，难以追溯其IP地址，这使得在诈骗完成后定位诈骗团伙所在位置成为难题。所以侦查机关不能仅仅依靠受害者报案后提供的线索信息来掌握诈骗情况，在特定受害者产生实际损失前，侦查人员应主动出击，通过与电信部门、360、腾讯等安全中心协作，对历史案件和已经拦截的可疑电话的拨打时间、呼叫范围、呼叫来源、通话时长等信息进行分析总结提取特征，建立可疑呼叫信息库，构建动态系统，实时识别境外VoIP网络电话[5]。在诈骗团队呼叫特定受害者的同时，发现该行为。

侦查机关在可疑呼叫动态发现系统内，检测到可疑呼叫，可通过电话核查的方式判断该号主是否为受害者，再通过冻结账户等方式进行止损，并进入对资金流的侦查。

(2)异常流动资金情报收集

异常流动资金是指犯罪进行中犯罪分子获取和转移的赃款，在受害者和犯罪分子接触时，受害者通过网上银行或ATM机向犯罪分子帐户进行转账，以上两种转账方式都会在银行流水中体现，基于犯罪嫌疑人和受害者的银行卡转账、取款流水信息开展侦查活动，有利于侦查人员掌握犯罪在资金方面的情况，掌握案件进展。

在确认诈骗电话后，追查犯罪团伙提供的银行卡号。当前，犯罪分子所使用的银行卡多是“人头卡”，即他人实名办卡后，犯罪团伙从他人手中收购的银行卡。针对“人头卡”使用周期短、数量大的特点，侦查人员对该银行账户的银行流水进行分析，包括一年之内使用的时间段和时间长度、户主信息、转账金额、转账地点、取款地点、网上银行登录地、账户间交易的频率等，并对资金流向，按照犯罪分子多层转账拆解资金的顺序，侦查机关可以掌握完整的资金拆解链条，通过群组化分析法识别核心账户，分析洗钱网络的结构和核心节点。在此基础上，一方面，可以进一步分析与该账户发生过转账行为的关联银行卡，挖掘线索，获取资金流向并梳理各级账户的关系；另一方面，通过核心账户的登录IP地址，可以迅速锁定犯罪嫌疑人所在地，以便采取进一步侦查行动。

(3)深挖潜在犯罪线索

资金流方面，侦查人员确定犯罪后，首先对关联银行卡交易明细进行核查，通过资金流逐级分散的特点，判定转账交易的银行卡是否与犯罪相关联，尝试通过同环境IP地址模糊检索的方法突破物理隔离，寻找可能与犯罪有关的银行账户，并调查其关联的人员身份信息。

信息流方面，通过受害者提供的信息，攻破犯罪分子搭建的钓鱼网站或软件。一方面，在服务器中寻找其他潜在受害者有关的数据、如技术团队制作的虚假通缉令等图片，以图找图，同源搜索，找出其他的潜在受害者，提前采取电话告知等措施，提高潜在受害者警惕性；另一方面，动态监控获取服务器数据，从中获取IP地址和其他线索判定嫌疑人身份，从在境内的技术人员入手，寻找与犯罪相关线索。通过嫌疑人轨迹、社交等数据，将犯罪实施阶段确定的犯罪人员信息与重点可疑人员数据库中人员信息进一步比对，追溯其犯罪同伙和上游组织者。

2.3 犯罪完成阶段：人员——案件——产业链

“人员——案件——产业链”是指：在犯罪完成的阶段，侦查人员通过对侦查中案件嫌疑人活动信息等数据进行人员画像，进一步挖掘一系列案件和犯罪产业链。如图3所示，与“从案到人”侦查模式仅仅从犯罪完成的时间阶段，运用受害者提供的信息开展侦查的工作方式不同，“从人到案”侦查模式强调对3个犯罪阶段的信息收集和情报导侦。对于在侦案件，借助在犯罪预备阶段获取入库的重点嫌疑人员数据库，有的放矢地帮助侦查工作开展，进一步筛选重点人员。对于已经破获案件，通过将犯罪分子在犯罪信息与库中人员信息进行轨迹碰撞，进一步寻找犯罪团伙成员暴露出与案件相关的嫌疑人活动轨迹或者嫌疑信息，寻找与系列案件和犯罪产业链相关的人员。

图3 犯罪完成阶段“人员——案件——产业链”侦查流程图

(1)在侦案件人员画像

侦查人员对诈骗窝点的境外服务器进行远程勘验，动态获取诈骗窝点服务器IP并调取与IP同环境数据，通过与互联网公司的合作，尝试获取与诈骗窝点IP同环境人员的支付宝账号等虚拟身份信息。一方面，研判其关联的手机号码、邮箱等信息，模糊寻找异地通讯数据，发现其他团伙成员[6]。再结合资金流、信息流的数据，结合监控录像，确定团伙成员身份；另一方面，与库中人员进行比对,并结合犯罪分子单线联系的特点，用网络分析法厘清所获取犯罪团伙的关系，梳理犯罪团伙组织构架，寻找犯罪团伙组织架构的相关线索。

在受害者报案后，侦查机关通过将资金流与犯罪数据库中的人员信息结合，对网上银行登录地IP地址、相关手机基站数据、住宿、出行、出境、消费等数据进行碰撞，可以进一步深挖犯罪团伙成员犯罪活动线索，锁定涉案相关人员，并挖掘其与案件的关联。同时通过节点的联系频率和数量梳理整个组织的人员架构。通过其线上和线下的地址、银行账户、邮箱、手机号码、社交账号等身份信息确定其他嫌疑人员的身份。为下一步出境追捕和取证工作打下基础。

(2)已破案件数据挖掘

一个电信网络诈骗犯罪案件的破获是一系列电信网络诈骗案件的突破口。对已经确定的犯罪团伙成员的身份、行为、关系信息、物品信息、账户信息进行分析，寻找隐藏在案件数据中的人、事、地点的关联关系[7]。通过出境记录、出境时间、同行人员、订票时间、停留在境外的时间和通缉记录、犯罪记录、嫌疑人籍贯、身份信息、人员关系等信息进一步确认身份，以此寻找出境人员和涉案资金流和信息流的关系，针对较为稳定、使用时间长的通讯工具，例如犯罪团伙之间微信、QQ、专联手机号码等通信信息，进一步挖掘其人员关系。使用群组化分析法厘清通话记录之间的关系，对高频联系人的身份进行进一步调查。

一个犯罪团伙的信息是发现其他犯罪团伙活动线索的切入点。对已掌握的犯罪团伙成员人员特征、作案方式、信息轨迹等进行分类分析与聚类分析，寻找更详细的细节信息。由于同一个技术团队可能为数个犯罪团伙提供技术服务，侦查人员可以通过犯罪团伙的作案方式、剧本关键词、钓鱼网站和诈骗App、非法线路、伪基站等线索进行串并分析，碰撞挖掘同类型的犯罪团伙线索，并追溯到具体人员信息。

(3)挖掘犯罪产业链

当前，犯罪产业链源头性的犯罪是技术类、非法交易平台类、虚假账号注册类网络黑产犯罪，为电信网络诈骗犯罪搭建网络平台。中游犯罪是电信诈骗等犯罪，下游犯罪是洗钱等犯罪。

在上游犯罪中，本人开通银行卡售卖的行为当前仍处于法律真空的状态，借鉴深圳反诈中心与深圳市银监局协作的经验，建立涉电信网络新型违法犯罪高危人员动态管控库。将所有注册地与常用登陆地地址不同、手机号码未实名的银行卡纳入该系统，并限制其网银转账等行为。当在资金链条中发现“高危”银行卡涉案两次以上，则其所有业务都需要去柜台办理，并且通过对涉案银行卡卡主的询问调查，获得买卖银行卡人员的信息。

在下游洗钱犯罪行为中，犯罪分子为了防止侦查人员追查资金流向，会在车手取款后存入指定的安全账户的过程中设置物理隔离，物理隔离成为阻止侦查人员深挖犯罪线索、发现整个犯罪产业链的阻碍。针对物理隔离，一方面，侦查人员可以通过分析安全账户的取存间隔、转款时间、款项数额等特征点，建立安全账户的特征模型，结合曾经与犯罪团伙成员工资卡发生过转账行为的银行卡的历史转账记录，进一步扩展线索，寻找安全账户，另一方面，结合ATM机冠字号查询溯源防伪技术，当车手存入现金时获得其安全账户，并向上回溯安全账户的关键节点，对整条安全资金链进行封堵，对该关键节点的过去活动进一步追查，根据信息追溯犯罪人，结合其轨迹、所在地等信息核查其身份，判定其是否与洗钱行为有关，从技术层面减少受害者损失。

3 结论

本文探索“从人到案”的侦查模式在电信网络诈骗犯罪的应用，将两种侦查思维和侦查模式结合起来，从犯罪预备、犯罪实施、犯罪完成的三个时间节点入手获取并处理数据，以此为基础追溯到具体犯罪人员信息，挖掘与其关联的案件、同级上游人员信息和犯罪产业链信息。对于电信网络诈骗犯罪，“从人到案”和“从案到人”兼备并侧重“从人到案”的侦查模式，能够运用情报合成作战，充分发挥各部门和数据库的作用，获取传统的侦查方法无法获取的有效信息，采取传统侦查模式无法采取的有效措施，充分发挥侦查人员的主观能动性，提高电信网络诈骗犯罪侦查活动的效率。