李柏良
(中国人民公安大学 侦查学院,北京 100032)
所谓电信网络诈骗,是利用电信工具又结合互联网的诈骗犯罪的统称,即犯罪分子以非法占有为目的利用电信手段或网络平台向特定或不特定的人打电话、发送信息,虚构事实、隐瞒真相,骗取公私财物,数额较大的行为。
电信网络诈骗是电信网络技术迅速发展和广泛运用的副作用产物。当前是一个以计算机网络为核心的信息时代,数字化、网络化、信息化是当代的时代特征,互联网在人民的工作、学习、生活中正扮演着越来越重要的角色。但是,我们也要看到在这诸多的便利背后,我国互联网背景下的社会治安防控问题也日益突出,各种矛盾凸显,且亟待解决。
电信网络诈骗的核心特征在于,犯罪嫌疑人通过网络等通信工具将诈骗信息传递给受害人,受害人通过与犯罪分子非接触式沟通,以银行网络转账的方式汇款给犯罪嫌疑人。[1]随着网络技术的迅猛发展,虚拟运营商、第三方支付等互联网新兴经济形态突飞猛进,传统的电信诈骗逐渐呈现电信与网络相交织的特点。相较普通诈骗,电信网络诈骗的手段更加隐蔽,诈骗方式更加智能化,具有明显的集团化、跨境化、年轻化以及侵害对象不特定且涉案金额巨大等特点。
“证据是推动刑事诉讼进行的引擎,惩罚犯罪的目的最终能否实现、能在多大程度上实现,都要受制于证据的有无、多寡和质量高低,都要遵从一定的证据规则和证据运行程序。”因此,公安机关侦办电信网络诈骗案件的过程,就是依法收集、固定相关犯罪证据的过程。在电信网络诈骗中,电子数据能够为公安机关侦查案件提供更多线索,能够为审讯工作提供依据和支撑,还可以与其他的相关证据形成一个完整的、闭合的证据链,更是在进行定罪量刑时的关键证据。
在经济犯罪的案件中,资金交易记录的电子数据是最重要的证据信息,是定罪量刑的关键。对资金交易记录,既要做好保护又要做好审查。对于电子数据中资金交易记录的审查判断,可以通过以下三种方式来进行:一是尽量借助相关司法审计,在其中理顺出相关的信息,或者对数据进行分门别类,统计出具体的总数、金额。二是如果资金交易记录很多,侦查机关可以在调查取证时调取电子材料,将其与纸质版材料一同移送,供公诉机关和审判机关进行进一步数据分析。三是可以根据已知的交易信息,顺藤摸瓜,深度挖掘与案件有更深关联的信息。
经济犯罪案件中的电子数据,除了资金交易记录外,还存在以下几类常见的电子数据。
1.通话记录、手机短信、即时通信记录等各类通信信息。电话、短信、即时通信软件等是行为人实时电信网络诈骗十分重要的几种方式,在此过程中必然会产生大量通信类电子数据,体现出犯罪嫌疑人与犯罪嫌疑人之间、犯罪嫌疑人与被害人之间的沟通、互动过程。
2.网络图文信息、电子交易记录。犯罪分子在相关网站中发布各种虚假广告、虚假理财信息,或者直接开设虚假网络店铺,诱骗当事人购买虚假货物形成网上交易记录。[2]
3.电子账册。在许多电信网络诈骗案件中诈骗团伙的相关工作场所、生活处所中所查获的计算机等电子设备,大多会对诈骗团伙具体的分工、分赃明细以及组织成员基本信息有所记载,应当运用好此类数据,以便于查清楚各个行为人在共同犯罪中所应当承担的责任。
证据的主要作用是使案件结论由高度盖然性向必然真实性转变,电信网络诈骗犯罪的特点,决定了电子数据在证实电信网络诈骗犯罪中所处的重要地位和作用。电子数据是电信网络诈骗案件最主要的证据表现形式,电信网络诈骗犯罪没有普通刑事案件的犯罪现场,公安机关在侦查过程中,很难取得传统意义上的物证、书证、证人证言,更不可能获得体现犯罪嫌疑人诈骗全过程的视频资料。[3]笔者认为,电子数据是电信网络诈骗案件最具证明力的证据(1)证据证明力,是指特定证据所具有的对待证事实的证明作用,也就是特定证据对于证明待证事实的价值。一般来说,证据与待证事实之间的联系紧密程度与证据的证明力成正比。,是电信网络诈骗案件有限适用证据盖然性标准的主要支撑。
电信网络诈骗案件的顺利实施,离不开三个关键点,即电信流、资金流、网络流,而这也为电信网络诈骗案件的侦办提供了基本思路。
对于通过电信流查询来发现线索破案,主要有以下三个方面:第一,获取犯罪嫌疑人使用的电话号码,查明归属地和机主信息,调取案发时间通话记录,对嫌疑手机号码进行技术侦查。第二,可以根据可疑电话的通话记录,进一步进行数据碰撞,调取可用的积极线索。[4]第三,取款视频资料和取款时通信数据交叉结合使用,锁定犯罪嫌疑人。
公安机关在对违法资金流进行调查之初,要先调取嫌疑账户的开户资料,查明开户人详细情况,有视频信息的一并调取。其次,公安机关还要调取涉案银行卡的相关信息并调取银行及周边视频资料。最后,进行数据碰撞,从而发现犯罪嫌疑人使用的通讯工具,分析电子数据。
资金流是电信网络诈骗得手与否的最后一公里,也是侦办电信网络诈骗案件的关键环节。多部门合作,快速启动,不仅可以最大限度降低被害人的经济损失,也可以及时有效的发现犯罪嫌疑人。
以上三种侦办路径侧重点各不相同,但都有良好的应用效果。由于篇幅所限,本文仅对资金流整治路径进行分析。
违法资金流常用的思路是运用经侦大数据思维,对经侦数据资源实现线索引导性和资金轨迹证据证明力的基础方法。在侦破案件的实践中比较普遍的三种方法有资金流向分析法、对接分析法、市场空间分析法。
1.资金流向分析法。此种方法是依据违法资金的流向规律,通过对涉案资金的流动方向、脉络交叉、沉淀合流、管理转移、消费用途等进行分析。此方法一般包括三个步骤:第一,素材整理。对于素材整理可以分为两种,即“人多按行分”和“行多按人分”。这里的“人”指的是资金管理的主体(既可以是自然人也可以是法人),这里的“行”指的是资金管理工具(如支付宝、银联支付等)。[5]所谓“人多按行分”指犯罪主体素材较多的时候,按照每个人的资金管理工具进行分类。与“人多按行分”相反,“行多按人分”是指案件涉及的资金管理工具较多时,按照每个资金管理工具的人进行分类。第二,延伸主体。一般电信网络诈骗犯罪不一定只有侵害方和受害方两个涉案资金主体,并且往往第三方资金主体会对案件的破获起到至关重要的作用。因此,以初始轨迹的“人”和“钱”为基础,延伸第三方资金主体是本方法的重要步骤。第三,流向拓展。资金轨迹的流向拓展一般有两种,一种是以犯罪主体为始端的“自上而下”,另一种是以受害群体为始端的“自下而上”。
“自上而下”适用于两种情况,即自侦发现犯罪主体和报案的受害者可以直接提供犯罪主体身份和账户。具体可以分为以下五步:(1)从犯罪主体入手,按“由人到钱”的工作方法,查清犯罪主体资金管理工具;(2)通过第一步确定账户用途和资金性质,再利用其关联每位资金管理工作的管理人和实际操作人;(3)利用相关情报分析软件(如IBM的i2 COPLINK)计算抽取数据,进行大数据可视化分析,以确定犯罪资金的成本投入、利益产出以及犯罪成员之间的利益分配时间段、总量、批次、比例和用途等;(4)利用已有的数据进行碰撞竞合“交通、网络、通信”轨迹,固定和调取证据;(5)根据调取到的证据,制定侦查战略,部署下一步工作任务。
“自下而上”是以受害主体为始端。由于一般的案件均是受害人报案,所以该方法是非常常用的。具体也分为五步:(1)从受害主体入手,按照“由人到钱”的工作方法,查清犯罪嫌疑人的资金管理工具;(2)根据资金走向查找过渡账户、集中账户、分配账户、取现账户、掩护账户;(3)以被侵害主体为始端,“自下而上”使用情报分析软件,计算抽取数据、进行大数据可视化分析,确定犯罪资金的成本投入、利益产出,以及犯罪成员之间的利益分配时间段、总量、批次、比例和用途等;(4)用上级资金关联人的主体身份碰撞竞合“交通、网络、通信”轨迹,固定和调取证据,横向拓展关联人物、事件、资金、公司等与案件相关的线索,挖掘隐藏的犯罪网络分支;(5)根据犯罪网络分支各环节人员在“交通、网络、通信”轨迹上标注的关系位置,制定侦查策略、部署警力和任务。
2.对接分析法。此方法立足公安机关管控的“交通、技侦、网侦、资金”四大轨迹技术手段和一体化“合成作战”机制。具体有两种做法:一种是抓取数据、竞合素材。这种方法的素材因实际案件的不同情况而异,但主要都是通过关注敏感人员、敏感时间、敏感金额、敏感走向、敏感备注等素材来实现的;另一种是技术对接、扩展空间。具体方式有通过输出侦控素材对接、通过关联关系人对接、通过标注证据架构对接、通过一体化合成作战对接。
3.市场空间分析法。此方法是针对犯罪主体主观故意和危害结果进行素材收集整理与数学结论推演的分析方法。市场空间分析法可以分为微观应用和宏观应用。微观应用主要是根据犯罪行为在市场空间内的非法性,进行倾向性罪名的证据架构和线索脉络组合运算,在清算成本、核对收益、固定证据、追赃挽损中具有重要作用。[4]例如,电信网络诈骗犯罪,就要购买设备和原材料、聘请技术人员以及购买出国机票等。宏观应用是根据市场空间本身存在经济犯罪的非法因素进行综合分析,依靠地方党委和政府施政。
对于违法资金的分析,由于公安机关对资金流的分析都是以犯罪主体的资金、网络、通信、交通四个轨迹所承载的证据为主要节点,这就决定了违法资金分析的三大模式:由钱到人、由人到钱、由钱到案。
1.由钱到人。从一个银行账户中,我们可以得到的证据主要有:网银交易IP、开户时间、交易金额、交易对方名称等。如果存在交易,那么就会产生银行凭据。对此,公安机关可以提取相关人的指纹、笔迹以及DNA,并且银行如有监控,可以在监控中得到更多的线索。
2.由人到钱。此模式是指侦查员在掌握一个或多个涉案人员,通过身份信息延伸至资金轨迹进行经营和证据提取等工作。对其身份进行公安云搜索,排查其身份证在全国银行系统的碰撞信息并记录其业务发生行,找出不合常理的转账汇款理财信息,再结合涉案人员的犯案时间、地点、金额,就可以排查到相关的资金运作账户。
3.由钱到案。此模式属于对案件初显脉络架构进行案件还原的过程。在处理经济案件的过程中,人和钱都是必不可少的两大因素,由人可以排查到钱,所谓的资金轨迹。以资金轨迹为基点,从开户信息、网络痕迹、交易对手、生活消费中可以排查相关涉案人员的资金管理工具等线索。根据相关线索一步步进行摸排、信息碰撞,不断获取新的线索,最终将案件证据链封闭。
1.交互式分析技术。此项技术主要是通过用户对调取的模型进行不断迭代,交互更新,得到用户想要的数据处理结果,具有处理方式灵活、直观、易控制等优点。此技术主要有三大方法:(1)资金数据项。即对所有资金数据的相关字段进行统计,将涉及的资金数据项列出来。(2)资金数据分析的五维模型。在获取到资金数据项中的数据之后,分析人员要对以上这些资金数据进行进一步的研判。根据电信网络诈骗犯罪的资金流特点,在进行分析时,可以从五个维度进行考量。维度一,考察资金流动数量。主要分析资金进出额度与账户持有人身份不符的特征账户,找出资金流动额度与相关行业不符的特征账户。维度二,资金流动的性质和目的。主要查看交易主体之间是否有相关性,再辅以其他数据印证其性质和目的。维度三,寻找资金流动路径。找出分散转入、一次转出的特征账户;找出一次性转入、分散转出的特征账户;找出单向流入、单向流出的特征账户。维度四,资金流动的法律或条款标准。找出法律规定内的擦边球账户。维度五,资金流动频率。找出账号长期停滞、频率突然增大的特征账户,找出资金单项流动频繁爆发、具有一定周期性的账户。(3)对异常资金数据的分析方法。电信网络诈骗团伙为了得到诈骗所得赃款,会发生各种非法经济行为,这些行为会与正常的资金流动不相匹配。在侦查活动中可以根据此类异常资金流动,寻找线索和案件突破口。[6]
2.监测预警分析技术。目前,大数据时代已经来临,智能监管将成为重要的监管手段,大数据监管将逐渐替代人工监管,打破“信息孤岛”,实现“互联网+监管”模式。利用大数据技术从海量数据中快速锁定目标,有助于降低监管成本,提升监管效率,实现网络违法犯罪的治理从“事后防御+事中拦截”模式向“事后预警+事先防范”模式转变。基于我国当代公共安全基础理论和大数据技术的社会背景,我们应当构建系统性的电信网络诈骗犯罪监测预警的全过程体系,即监测—分析—预警—处置。
3.大数据可视化技术。电信网络诈骗有涉及人员多、犯罪集团化、诈骗渠道多元化、侵害对象不特定且涉案金额巨大的特点,因此对于数据的处理也有较高的要求。利用大数据可视化技术,在数据处理的基础上,将数据信息以图表图形的形式表现出来,使得数据更加清晰可见,并能根据现有数据进行更加深入的挖掘,找到数据线索之间背后的某种关联性,为破获案件找到新的突破口。[7]
大数据分析,建模是必不可少的一个环节。构建模型是基于对犯罪特征的识别与捕捉,在整个模型的构建过程中,要结合分析模型构建的基本要素。
根据相关部门统计,电信网络诈骗犯罪正在逐年增多,呈上升态势。由于电信网络诈骗犯罪的资金流特点,公安机关在侦办过程中经常会遇见打击难、定位难、抓捕难等问题,导致难以破案。对于电信网络诈骗的侦办要注意电信流、资金流和网络流的查询,其中难点及重点就是对资金流的查询及控制。因此,要不断学习发展公安机关对犯罪资金流查询定位技术,积极与银行合作,引入最新的网络技术,如本文中所提及的交互式分析技术、监测预警分析技术、大数据可视化技术等。当然这些技术虽然已经开始运用,但是仍然有很多方面还有待于进一步去完善。