虚拟货币洗钱犯罪侦查对策研究

李 涛，邱归港

（西南政法大学，重庆 401120）

一、问题的提出

数字化时代的支付结算方式和流程较上个时代发生了翻天覆地的变化。随着区块链和互联网技术的不断创新和发展，虚拟货币作为一个专业而又陌生的概念开始逐渐出现在人们的生活中，一大批“区块链+”和“互联网+”产业也相继脱颖而出。尤其是以比特币为代表的加密货币的出现，打破了传统货币体系长期以来建立起来的以“中心化监管”为特色的信任机制体系，开创了点对点式去中心化的交易体系，大大简化了交易流程，提高了交易效率，降低了交易成本。然而，由于互联网和区块链产业与金融产业等其他行业之间的跨行协同发展刚刚起步，无论是技术层面还是有关风险规避的制度层面都存在些许的漏洞。而这些漏洞和技术发展所带来的支付快捷等便利条件被洗钱团伙所利用，且日益将这些条件和工具发展成为一条成熟的洗钱通道，为上游各种经济和金融类犯罪提供了安全的服务接口。

从2013年的《关于防范比特币风险的通知》中规定“虚拟货币不能在货币市场上流通”，到2017年的《关于防范代币发行融资风险的公告》中明确“禁止发行虚拟货币”，并再一次强调“虚拟货币不具有法定货币的法律地位”，再到2021年由十部门联合发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》中提出“金融机构和非银行支付机构不得为虚拟货币相关业务活动提供服务”，这一系列政策的发布实施，无不体现出虚拟货币隐含着巨大的犯罪风险，以及各相关部门对这一问题高度重视。然而，即便是在这种持续高压打击态势下，虚拟货币洗钱犯罪仍然呈现高发趋势，屡禁不止。面对这样的紧张情势，我们不禁产生了一些疑惑：虚拟货币洗钱犯罪中虚拟货币的种类界限如何框定？虚拟货币洗钱犯罪有什么特点？当下虚拟货币洗钱犯罪的模式和黑灰产业链更新换代成什么样的面貌？怎样对虚拟货币洗钱犯罪进行侦查、预测以及防范？本文希望通过梳理统计实践中虚拟货币洗钱犯罪案件的各项数据，深度剖析虚拟货币洗钱的模式架构，从而探索出一条具有针对性的侦查路径，以此来打击和治理虚拟货币洗钱犯罪。

二、逻辑起点：虚拟货币洗钱犯罪的概念厘定

虚拟货币是指一种由私人发行的，具有交易媒介、计价单位、价值储备功能的数字形式价值。但是，虚拟货币不具有法定货币的法律地位。虚拟货币与常说的数字货币不完全相同。数字货币是一种数字形式的新型货币，依托互联网发行和流通，通过信息交换来发挥其所具有的交易媒介、账本记录以及价值贮藏等货币基本功能［1］。央行数字货币的诞生及其法定货币地位的确立，扩大了数字货币的内涵，使得虚拟货币变成了数字货币的下位概念。至此，数字货币依据发行信用可以分为央行数字货币和私人数字货币，而由私人发行的数字货币指的就是虚拟货币。根据流通空间是否受限，虚拟货币可以分为开放式的虚拟货币和封闭式的虚拟货币。开放式虚拟货币，由于使用的范围较大，部分币种得到国际上多数国家的承认，成为了洗钱团伙跨境洗钱的绝佳工具。开放式虚拟货币根据是否使用非对称加密技术，又可以分为加密货币和非加密虚拟货币。其中，加密货币具有去中心化的特征，但是不同的加密货币，去中心化程度有所不同。①去中心化程度，需要根据加密货币的发行、支付和结算等多个阶段是否具有去中心化的特点来进行综合评断。例如，比特币在发行、支付以及清算全过程都保持着去中心化的特点，其属于完全去中心化的加密货币，而相比之下，泰达币只有支付和结算阶段是去中心化的，发行是中心化的，因而其属于有限去中心化的加密货币。完全去中心化的加密货币利用非对称加密技术以及共识算法机制，通过电子签名进行身份认证，从而在交易过程中不受任何第三方的监控，实现点对点直接交易［2］。这一系列特性帮助加密货币完美地规避了传统的金融监控体系，令有洗钱需求的犯罪分子们“趋之若鹜”，同时也使得洗钱犯罪活动的进行更加肆无忌惮。而非加密的虚拟货币还是采用传统中心化的记账和管理方式，一旦发现任何的“风吹草动”，立马通过发行方的后台数据记录就可以查到相应的线索，所以其早已被洗钱团伙所淘汰。当然，除了以上分类方法外，还有其他的分类，例如按照币值是否稳定可以分为稳定币和非稳定币。稳定币大多数有固定的储备资产予以支持，以确保币值稳定，因而其信任基础往往会变为算法、机器、储备资产、发行信用的集合体［3］。这一类虚拟货币最典型的代表就是泰达币（简称USDT），由于其以美元作为储备资产，因而币值相较于其他的虚拟货币更加稳定。也正是因为这个特性，USDT成为虚拟货币洗钱团伙最常用的一种洗钱工具。

本文语境下的洗钱犯罪是广义上的概念，②此广义上的概念也得到了2021年6月中国人民银行《中华人民共和国反洗钱法（征求意见稿）》的支持。即通过各种方式掩饰、隐瞒犯罪所得及其收益的来源和性质的活动［4］。具体来说，虚拟货币洗钱犯罪并不仅仅是指我国《刑法》第191条规定的洗钱罪（狭义），且还包括上游犯罪团伙或者洗钱团伙为了掩饰、隐瞒非法所得赃款的来源和去处，利用虚拟货币对非法所得的赃款（《刑法》191条规定的7类行为之外所得）进行清洗的犯罪行为。如果从规范刑法学的角度考察，上述行为可能构成洗钱罪（狭义）、帮助网络信息活动罪以及掩饰、隐瞒犯罪所得罪等罪名。但是，从《中华人民共和国反洗钱法》的角度及本文语境考察，上述行为都属于广义的洗钱行为。

三、规律探寻：实证视角下虚拟货币洗钱犯罪的特征描述

虚拟货币洗钱犯罪案件近几年频繁多发。特别是由于当下电信网络诈骗依然处于高发态势，因而上游犯罪分子对于赃款洗白的需求量极其之大。通过登录威科先行法律信息库，进入裁判文书的高级检索界面，在“关键词”一栏键入“虚拟货币” “洗钱”进行搜索（为了避免有遗漏，又将“关键词”一栏改为“USDT”“洗钱”进行了二轮搜索）。经过逐份筛选，去除掉虚拟货币诈骗案以及虚拟货币传销案等完全与虚拟货币洗钱无关的案例后，仅剩下201份与虚拟货币洗钱有关的裁判文书。通过仔细阅读统计后，发现我国的虚拟货币洗钱犯罪具有以下特征：

（一）案件数量近年迅速攀升

从已审结的历年案件数量统计来看，2010年到2017年很少有虚拟货币洗钱案件进入到最后的审判环节并被宣判，之所以会出现此现象主要有两方面原因：一是从2009年比特币网络诞生开始，虚拟货币才逐渐进入人们关注的视线中，但也只限于一小部分人群。由于大部分虚拟货币都会涉及分布式记账以及非对称加密技术等区块链专业知识，因此很少有人愿意去真正学习、了解虚拟货币。直到2017年12月17日，比特币涨到了目前为止的最高点，单位价值接近两万美金，才使得一些希望通过投资理财赚钱的人们开始学习研究虚拟货币。二是由于此次统计的数据来源于法律信息库，这些都是已经完成审判的案件，而没有被发现的案件以及正在侦查的案件均未被统计进来。因此，基于以上两点原因，虚拟货币洗钱犯罪的统计数据从2018年开始有了明显的增长趋势。由图1可见，到2020年为止，这三年期间一直呈翻倍式增长。由于虚拟货币本身所具有的去中心化以及匿名性等特点，洗钱团伙似乎发现了“新大陆”，对利用虚拟货币进行洗钱显得格外青睐。虽然利用虚拟货币洗钱是一种全新的洗钱渠道，但是中间仍然离不开传统洗钱工具的使用，最典型的就是银行卡以及各种第三方支付平台的APP。然而，从2020年10月开始的全国范围内的“断卡行动”使得全国有可疑资金流动的银行卡均被冻结，这大大阻碍了利用虚拟货币进行洗钱的行为。不仅如此，从2019年开始，我国反洗钱领域的研究也从传统的洗钱领域转移到虚拟货币洗钱领域［5］。所以，2021年的案件数量有了大幅度地下降。

图1 虚拟货币洗钱犯罪已审判案件数量统计图

（二）上游犯罪种类较为集中

虚拟货币洗钱犯罪究其根本属于下游犯罪的范畴，它无法独立于它所服务的上游犯罪独立存在。而且，根据目前警方在侦查实践中破获的虚拟货币洗钱犯罪案件经验来看，发现此类案件的线索大多数都是来源于上游犯罪资金流轨迹的追踪。因此，虚拟货币洗钱犯罪所服务的上游犯罪，对于发现和破获虚拟货币洗钱犯罪本身也有着举足轻重的地位。从图2中统计的数据可以发现，虚拟货币洗钱犯罪所服务的上游犯罪具有明显的集中性，90%为诈骗犯罪和网络赌博犯罪。如果单独来看诈骗罪这180件案件会发现，几乎都是属于典型的电信网络诈骗犯罪。其中以“虚拟货币投资理财”诈骗、“冒充公务人员”诈骗和“冒充熟人或者上级领导”诈骗等几类诈骗较为突出。而网络赌博本身也是一种洗钱方法。其所获得的非法收入以虚拟货币的形式再过滤一遍，使得资金流盘根交错，大大增加了资金流追踪的难度。

图2 虚拟货币洗钱犯罪所服务的上游犯罪统计图

（三）团伙作案、洗钱窝点灵活多变

经统计，在201份裁判文书中，只有22件案件的作案人是自己单独行动，接近90%的虚拟货币洗钱犯罪案件的犯罪分子都组成了一个专业的且有着明显组织架构的洗钱团伙，内部人员分工较为明确。其中有的负责在QQ群、微信群或者一些有加密性质的聊天软件中发布招募“卡农”的广告，大多都会承诺给予“卡农”丰厚的酬金，以便于吸引更多的人加入到洗钱的队伍中去。需要注意的是，现在的“卡农”较以前有些许的不同。在以前，“卡农”只需要提供洗钱所需用到的银行卡、支付宝、手机号等信息即可。然而，随着反洗钱监测体系的逐步完善，无论是银行还是第三方支付系统，只要超过一定数额或者频次的转账，都需要本人进行人脸识别。这一政策使得“卡农”所提供的服务内容不得不进行升级，不仅仅要提供银行卡和第三方支付平台的注册账号，还要在洗钱团伙指定的位置随时待命，以便满足“刷脸”的需求。有的“卡农”甚至直接变成了实际操作虚拟货币买卖的主要人员，以便于刷脸解锁更大数额转账或者为银行卡解冻等；有的负责寻找和通知及时更换安全的洗钱窝点，如果反侦查意识较高或者上线在培训时特别强调，一般都会一周更换一次洗钱窝点，具有明显的灵活性和极强的反侦查特点。在洗钱窝点的选择方面，一般是在酒店开房或者在洗钱团伙其中一员的家里；还有的负责洗钱团伙日常的饮食起居等生活方面的打理；有的则负责将兑换虚拟货币前后阶段的赃款进行取现。这一系列“各司其职”的人员组成了一个完整而又专业的虚拟货币洗钱团伙，有的相互之间联系紧密，有的相互之间甚至都不认识。每人按照自己洗钱流水的一定比例进行抽成，而洗钱的数额动辄上百万，丰厚的佣金吸引着大批低学历的无业人员和农民参与进来。

（四）犯罪工具较为固定，成本较低

从收集到的201份裁判文书来看，虚拟货币洗钱犯罪分子所使用的主要洗钱工具包括：手机、电脑、银行卡、电话卡、银行U盾等，部分洗钱团伙可能还使用了随身移动Wi-Fi发射器和U盘等硬件基础设施。此类犯罪工具的获取极其容易，且成本较低。实际操作虚拟货币洗钱的犯罪分子一般会配备多部手机，利用大量不同的电话号码注册虚拟货币交易平台账号、第三方支付平台的账号以及银行卡号，以便于进行虚拟货币买卖。如此即可实现一个人同时操作多个虚拟货币的账号进行洗钱，大大提高了洗钱的效率。在有些洗钱团伙中，一个人一天即可完成上百万赃款的转移。除了上述所提到的“硬件”洗钱工具之外，要完成虚拟货币洗钱，还需通过一定的“软件”工具。从目前的数据统计来看，下载最多的为“火币网”APP。反侦查意识较强的洗钱团伙在进行关键信息交流时，会通过下载一些加密聊天软件进行点对点式的秘密通话，使得侦查机关无论在收集线索还是在电子取证方面都面临较大困难，这一类软件的典型代表有“蝙蝠”和“Telegram”。

四、体系梳理：虚拟货币洗钱犯罪的生态剖析

近几年，公安机关进行的“清网”和“断卡”专项行动使得传统洗钱模式和各种网络犯罪受到重创。为了谋求新生，虚拟货币作为新兴的洗钱通道应运而生，并且在短短几年内形成了一套较为稳定的虚拟货币洗钱犯罪的生态体系。从上游以个人信息买卖为代表的黑灰产业，到中游的洗钱运作模式，再到下游与支付结算息息相关的交易方式，每经过一个阶段，资金流的轨迹就模糊一分，黑钱也就漂白了一分。只有对虚拟货币洗钱犯罪的整个生态进行更进一步的剖析，才能够更加清楚地了解虚拟货币洗钱犯罪的每一个环节，从而有针对性地对虚拟货币洗钱的各个模块进行专项打击。

（一）虚拟货币洗钱犯罪相关的黑灰产业链

虚拟货币洗钱出现之初，金融行动特别工作组（Financial Action Task Force on Money Laundering，简称“FATF”）便推动各国就虚拟货币反洗钱监管达成了共识，通过加强KYC（即了解你的客户）认证和提高虚拟货币服务业市场准入门槛等具体措施，监管防范虚拟货币洗钱犯罪行为的发生。这不仅仅提高了提供虚拟货币相关服务产业的审查义务标准，同时也“倒逼”虚拟货币洗钱团伙不得不将洗钱的模式进行升级，利用虚假身份信息规避虚拟货币交易所和侦查机关的双重审查。正是洗钱团伙对于虚假身份信息的需求，催生了一条服务于虚拟货币洗钱犯罪相关的黑灰产业链。

1.上游：“买手”的招募及其“两件套”的买卖

由于虚拟货币交易所的反洗钱监管近几年愈发严格，大额的交易或者短时间内频繁地进行交易都会收到平台进行人脸识别的客户尽职调查提醒，以防止不法分子利用法币与虚拟货币之间的兑换进行洗钱。洗钱团伙目前应对此种监管政策的方法有两种：一种是发布广告招募“买手”，“买手”必须携带自己的银行卡和绑定该银行卡账户的虚拟货币交易平台的注册账号，或者第三方支付平台的账号和绑定该第三方支付平台账号的虚拟货币交易平台注册账号进行应召。有的以赚取更多的佣金为目的，需要跟随洗钱团伙学习虚拟货币洗钱的整个流程，之后便成为新的操作手，一旦出现交易超额提醒，需要进行人脸识别时直接进行“刷脸”。而有的以轻松赚钱为目的，只需带着上述所说的“买手”应招所需的“两件套”到达指定招募地点，待洗钱团伙需要“买手”进行人脸识别时，配合进行“刷脸”即可。另一种是直接发布广告，向从事黑灰产业的人收集大量的“两件套”，将所需清洗的赃款平均分配到每张银行卡中，进而使虚拟货币交易无法达到限额提醒的数量。

2.中游：IP跳转等技术类服务产业

在“互联网+”时代，犯罪分子想要进行身份伪装，除了进行个人信息买卖之外，还会通过使用IP资源隐藏自己的真实地址信息。目前，“秒拨IP”在黑灰产行业中比较火热，其利用家用宽带上网每次断线重连都会获取一个新IP地址的原理，租用大量家用宽带线路，瞬间制造百万量级的IP地址，形成“IP池”，将其提供给网络犯罪团伙使用。由于其IP池规模庞大，且秒拨IP和正常用户IP取自同一个IP池中，使用周期结束后大部分都会继续流转到正常用户手中，基本与正常用户IP混于一体，大大增加了侦查机关识别风险IP的难度。这一技术当下被广泛运用于电信网络诈骗犯罪和虚拟货币洗钱犯罪之中。在统计的裁判文书中，有一例为虚拟货币洗钱提供此类服务的案例：被告人冯某某违反互联网实名登记安全保护管理制度，批量购买他人违规获取的互联网宽带账号10个及服务器。然后伙同他人研发具有在全国范围内IP跳换功能（即隐藏用户真实IP地址，规避调查）的“牛魔IP代理”服务软件，以每月使用费99元至459元不等的套餐价格通过网络推广销售。先是帮助一批电诈团伙进行电信网络诈骗活动，后又用该IP跳转技术，为他人的洗钱行为提供便利。具体操作为：先以毛某某银行账户注册的身份，登录VVBTC比特币网络交易平台，再使用该账户内流转的诈骗资金进行交易。由于使用“牛魔IP代理”过程中未落实真实身份信息认证、留存用户日志等重要信息，侦查机关无法在短时间内通过IP这条线索进行落地抓捕，极大地延缓了侦查的进程。

3.下游：境外洗钱专用的虚拟货币交易平台

由于国内政策的严厉打压，之前在我国较为活跃的大部分虚拟货币交易所都转移到了境外，其中有部分交易所坐落在反洗钱标准较低的国家和地区。有的交易所甚至积极地为洗钱团伙寻找虚拟货币的卖方，从中获取一定比例的提成。在虚拟货币交易平台撮合下，“买手”在平台上发布购买虚拟货币的广告，利用平台和有意向出售虚拟货币的卖方沟通信息。在与卖方达成协议后，将需要清洗的赃款转移至虚拟货币交易平台暂行托管，待卖家放币并且平台通过审核确认后，平台扣除自己所应得的佣金将买家买币所支付的赃款转给卖家，同时将虚拟货币转到买家所注册的虚拟货币交易平台账户中，最后买家再通过平台将虚拟货币提出到指定的钱包地址。如果需要洗钱的数额较大，所需要的虚拟货币账户数量不够，部分虚拟货币交易平台也会提供出售虚拟货币交易平台账号信息的服务。

（二）虚拟货币洗钱模式

虚拟货币依靠其独特的匿名性、跨国性、即时性等特征而成为多数犯罪集团洗钱的首选。目前，我国出现的虚拟货币洗钱模式主要有以下几种：

1.虚拟货币承兑商洗钱模式

虚拟货币承兑商洗钱模式是最简单也是洗钱最常用的一种洗钱模式。上游的犯罪团伙只需要把赃款打进虚拟货币承兑商的银行或者第三方支付平台账号中，之后承兑商就会用自己常年合法“炒币”使用的虚拟货币交易平台账号在平台上购买所需承兑的虚拟货币，并将钱包的地址发送给上游的犯罪团伙，通常约定按照兑换资金数额的一定比例收取佣金，一般不会超过5%［6］。上游犯罪团伙将虚拟货币提币至自己向黑灰产商买来的虚拟货币平台的注册账号中或者其他的数字货币钱包，然后可以选择将虚拟货币卖出变现或者继续在交易平台中进行币币交易，进一步掩盖资金流的轨迹。此种模式主要是将黑钱与虚拟货币承兑商多年的合法交易相混合，而且中间没有用到犯罪团伙任何真实身份的验证，即使公安机关发现了一些蛛丝马迹，也很难深挖出幕后的整个洗钱团伙。

2.虚拟货币“跑分”洗钱模式

在目前的司法实践中来看，虚拟货币跑分模式一共有两种表现，一种是与传统的法定货币跑分洗钱模式首尾相接，洗钱团伙收到上游诈骗或者赌博犯罪团伙作案获得的赃款后，先进行传统二维码法定货币转账的跑分洗钱，第一轮结束后再购买虚拟货币进行第二轮的洗钱，进一步模糊资金流的来源和去向。另一种是直接将虚拟货币代替法币进行跑分（见图3），参与跑分的跑分平台注册用户需先在虚拟货币交易平台购得一定数量的虚拟货币交给跑分平台当作保证金，并且将注册的虚拟货币交易平台账户信息以及与该账户绑定的银行卡或者第三方支付平台信息一并提交给跑分平台。然后，由境外准备提币的犯罪团伙向跑分平台发起提币请求，平台收到请求后，将需要跑分的虚拟货币任务拆分成多份并下发到各个跑分平台注册用户手中。同时，将注册用户提交的银行卡或第三方支付平台账号信息发送给境外申请提币人所指定的境内洗钱团伙。境内洗钱团伙将赃款转移至注册用户的账号中后，注册用户再登录自己注册的虚拟货币交易平台账号，在虚拟货币交易平台购买虚拟货币，扣除之前交的保证金后将虚拟货币转给跑分平台，跑分平台扣除佣金后将虚拟货币转给境外的申请提币人［7］。

图3 虚拟货币跑分洗钱模式示意图

3.“搬砖”套利洗钱模式

“搬砖”其实是币圈里的一种说法，它又可以称为“持币套利”，是一种以赚取不同平台间虚拟货币差价为盈利的一种投资手段。一般来说，同一种虚拟货币在不同的虚拟货币交易平台上所挂出的价格可能是不同的，而从事“搬砖”业务的人通过从价格较低的虚拟货币交易平台买入虚拟货币，然后再将这些虚拟货币从价格较高的虚拟货币交易平台卖出，从而赚取两平台之间的差价。但正是这样一种原本合法的投资理财手段，常被洗钱团伙所利用。当上游犯罪分子将犯罪所得转入洗钱团伙手中时，洗钱团伙会联系常年进行“搬砖”业务的人，有的也会临时组建队伍，并就“搬砖”的基本操作流程进行专业化的培训，包括赃款的多重转账、虚拟货币交易所的注册流程、测试卡是否被冻结、刷脸解锁更大额的转账或转币等等。具体操作流程为：首先，由上游犯罪分子将赃款转移到“搬砖”实际操作者的银行卡或者支付宝账户中。然后，由“搬砖”实际操作者在挂售价格较低的虚拟货币交易平台上用赃款低价买入虚拟货币（一般是USDT，因为USDT的价格较为稳定，风险较小）。最后，买到虚拟货币后再找价格较高的虚拟货币交易平台出售变现，并把变现的资金经过多级卡和支付宝账户转账给洗钱指定账户。如果洗钱团伙或者上游犯罪团伙手上直接需要处理的刚好为虚拟货币（例如部分虚拟货币投资理财诈骗案件以及盗窃虚拟货币的案件，还有已经通过“代理人”组织“买手”将银行卡或者第三方支付平台中的赃款兑换成了虚拟货币而没有出售变现的），都可以直接联系这种从事虚拟货币买卖业务的人员，将手中的虚拟货币以虚假低价抛售给他们，由他们卖出后把自己应得的佣金扣除，再把钱打给洗钱团伙或者上游犯罪团伙。

4.通过地下钱庄进行虚拟货币跨境洗钱模式

地下钱庄作为一种非法的机构，一直是各类上游犯罪分子和洗钱团伙的首选洗钱渠道。但近期由于反洗钱政策将矛头直指地下钱庄等专门从事洗钱业务的非法机构，其洗钱业务一度遭到重创。2020年12月26日通过的《刑法修正案（十一）》，删除了“明知”的主观要件，大大放松了入罪的条件，进一步加强了对地下钱庄等“顶风作案”的洗钱机构的整治［8］。鉴于上述背景，地下钱庄为了规避国内 “反洗钱”整顿，越来越多地开始推出虚拟货币跨境洗钱的新业务。图4中描绘了地下钱庄利用虚拟货币跨境洗钱的大概流程，此处的账户是一个宽泛概念，可以理解为用户为完成与境内外虚拟货币交易平台、囤币商以及其他账户之间的交易而在银行、支付机构、虚拟货币交易平台开立的单一账户或是其组合。上游犯罪分子只需要把犯罪所得的赃款转移到地下钱庄指定的账户中，地下钱庄的人员会线下寻找虚拟货币囤币商或者是通过虚拟货币交易平台的撮合与出售货币的人进行OTC场外交易，买到虚拟货币后就通过虚拟货币交易平台转往境外，并在境外出售兑换成境外法定货币，或者在境外的虚拟货币交易所进行其他种类虚拟货币的兑换，如此进行反复交易，最后转化为看似合法的现金或者虚拟货币转回上游犯罪分子指定的账户中［9］。

图4 地下钱庄利用虚拟货币跨境洗钱流程示意图

（三）虚拟货币洗钱所用到的交易方式

根据交易过程的不同，虚拟货币的交易方式可以分为场内交易和OTC场外交易。根据是否需要依托平台，又可以将场外交易分为线上交易和线下交易。其中，OTC场外交易相较于其他交易方式所留下的痕迹较少，被洗钱团伙频繁利用到洗钱犯罪活动中，以购入虚拟货币的方式掩盖上游犯罪的违法所得。

1.场内交易

场内交易是与场外交易相对应的一种交易方式，通俗来说就是交易所交易。2017年中国人民银行等七部门联合发布了《关于防范代币发行融资风险的公告》，使得国内的虚拟货币交易所受到封杀，但不乏有“漏网之鱼”，而且还有相当一部分的交易所在收到消息后提前将服务器转移至了境外。从收集到的201份裁判文书中可以看出，场内交易虽然遗留下的痕迹更多且受到了国内政策的抵制，但是仍然有洗钱团伙选择这一种交易方式。究其原因，场外交易的不确定性较大，有可能遇到“黑吃黑”现象，一旦对方拿到资金或者收到虚拟货币后直接跑路，无异于“竹篮打水”。在交易所交易的过程中，无论是转账还是虚拟货币的转移，抑或是对交易的细节进行沟通商量，都是在交易所中进行。卖方需要事先把虚拟货币转交给交易所，而买方也提前把资金转账到了交易所，然后再由交易所将虚拟货币和资金分别转移至买家和卖家的账户中。由于虚拟货币才刚刚兴起，大多数的交易所还处在积累信誉、站稳市场的阶段，因此场内交易仍为一种较为重要的交易方式。

2.OTC场外交易

场外交易原本是证券期货市场的专业术语，又称柜台交易，是指交易双方直接成为交易对手的交易方式。在虚拟货币兴起之后，场外交易被广泛运用到虚拟货币的交易之中，特指不依托交易所，买卖虚拟货币的双方直接进行交易的交易方式。2017年在场内交易受到国内的封禁后，场外交易迅速兴起并取而代之，发展出了线上和线下两种交易方式。

（1）线上交易

线上交易即由平台买币，既有虚拟货币交易平台，又有专门的兑换平台（只进行法币兑换交易），这里的交易平台只充当监管或者担保角色，不参与实际交易，客户自己在平台上选择交易对手，协商购买价格与数量。达成一致意见后可以不通过虚拟货币交易平台，直接通过微信或者支付宝转账给卖主，卖主确认收到钱款后会通知抵押托管其虚拟货币的交易平台将虚拟货币转给买主。如此虚拟货币交易平台所留下的信息微乎其微，侦查机关想从中得到相关有用线索更是难如登天。因而，这一交易方式被洗钱团伙频繁利用到洗钱活动中，以购入虚拟货币的方式掩盖资金的来源。

（2）线下交易

线下交易则完全脱离了虚拟货币交易平台，由币民们面对面进行交易，或者联系“矿工”进行交易，既可以选择联系中间商进行换币，也可以利用数字钱包直接转币。2021年3月19日，最高人民检察院、中国人民银行联合发布惩治虚拟货币洗钱犯罪典型案例中，被告人陈某某将犯罪所得的赃款转给“矿工”换取比特币密钥，并将密钥发送给上游犯罪人，供其在境外使用。从“矿工”手中购买比特币密钥是目前实践中比较新的一种洗钱方式，此案例刚一发布，很多网友都表示“惊叹不已”。一般来说，“矿工”通过“挖矿”所得的区块奖励背景干净，很少有人会联想到这个区块奖励易主后会用它来洗钱，因而这笔交易从表面看来与常规交易无异。更进一步，如果此区块不是被矿池挖出来的，而是由个人“矿工”挖出，此个人“矿工”可能在境外也会给相关执法机构办案造成很大困难。

五、路径探索：虚拟货币洗钱犯罪的侦查方法

针对虚拟货币洗钱犯罪，根据实践中发生的案例总结此类犯罪的特点，并详细解析虚拟货币洗钱常用的几种模式，可以使得侦查机关在虚拟货币洗钱犯罪的侦查过程中更加清楚地把握此类案件的“要害”所在，从而“对症下药”。具体而言，我们将从情报、技术和国际合作三个方面来详细讨论如何有效进行虚拟货币洗钱犯罪的侦查。

（一）情报主导：“四流”数据情报来源指导侦查策略的制定

1.线索核心：资金流数据情报

资金流是网络犯罪侦查过程中具有核心地位的一条主线。图5是在阅读并统计分析201份裁判文书后总结的虚拟货币洗钱犯罪资金流的示意图，通过图5可以发现在虚拟货币洗钱犯罪案件中，在进行虚拟货币交易前后依然会用到传统的洗钱工具，最典型的就是银行卡和第三方支付平台的账号。虽然现有的技术不足以支撑侦查机关直接破解相关区块链的区块密码和查清楚虚拟货币交易的“幕后黑手”，但是在购买虚拟货币之前和将虚拟货币卖出变现之后的这段资金流轨迹是完全可以掌握的，而且在区块链浏览器上可以查到大多数的交易信息和交易地址，将上述有价值的信息与交易时间、交易账号、交易对象、交易金额、资金流向等数据进行碰撞，综合进行研判分析，是有可能推出完整的资金流以及幕后交易者的相关信息的［10］。

图5 虚拟货币洗钱犯罪资金流示意图

上述的资金流示意图中显示的只是赃款流经虚拟货币附近阶段的轨迹，在将赃款兑换成虚拟货币之前，有很多裁判文书中都写明了资金流的轨迹，少的也有两级或者三级银行卡，多的甚至超过十级。而且将虚拟货币变现后，一般也不会直接转到犯罪团伙手中，需要经过层层转账，利用“车手”进行取款，将现金交给自己的上线，再由上线存入银行转账给犯罪团伙。在这两段时间中，可以通过银行系统或者其他支付机构的金融系统监测异常的资金流，如具有一对多转出、多对一转入、频繁或定期特殊大额转账、向慈善机构小额转账进行“试卡”、呈现周期性启用和关闭等特征的账户［11］。同时注意查看ATM机前取款的监控录像，通过人民币上独一无二的冠字号查清楚“车手”取款和存款的数额和动向。需要明确的是，资金流并不仅仅是单独发挥作用，它与信息流、网络流甚至是人员流的情报线索进行结合才能发挥出最大的“效用”。如登录手机银行进行转账时，可以查询手机的IP地址、Mac码等关键的落地信息，还可以查询电子银行轨迹数据里的“终端信息”，这里面记录着登录手机银行的手机号码。

2.研判基础：信息流数据情报

在网络犯罪侦查中，信息流是不可或缺的一项重要情报来源，它是将全部线索有序地串联拼接在一起的基础。由于虚拟货币洗钱犯罪多为团伙犯罪，因而上下线之间一定会通过某种方式进行一定的联系，内容有可能包含洗钱的具体流程和一些细节问题。通过统计裁判文书发现，使用微信的有78例，通过QQ发送信息的有26例，通过“蝙蝠”软件进行联系的有12例，通过“telegram”软件进行联络的有4例。其中微信和QQ的使用数据中，有一部分是上游电诈团伙与被害人的聊天记录，还有一部分是转账的记录，剩下的则是在群中发布招募虚拟货币跑分接单人员的广告，真正用于洗钱团伙成员之间进行联系的少之又少。现在更多的是使用“蝙蝠”或者“telegram”这一类加密聊天软件进行秘密联络，而且在谈及与洗钱有关的较为核心的部分时会用到一些专业的暗号或术语来掩饰聊天内容。

侦查机关在侦办案件的过程中可以与腾讯等互联网企业建立长效监测合作机制，一旦发现微信或者QQ中有关于虚拟货币洗钱的聊天内容，如犯罪嫌疑人身份、联系方式、工资收益、资金流向、虚拟货币交易对象等，立马对其账号进行锁定，全程监控聊天内容，实时更新和保存，为进一步精准研判收集充足的数据。在收集可疑聊天数据时需要注意，不仅要收集与洗钱有关的信息，还应当收集上游犯罪的聊天信息，然后进行并案分析［12］。同时找出可疑账号所绑定的电话号码，对该号码的通话记录和内容进行实时监控，一旦洗钱团伙通过电话进行单线联系，可以第一时间掌握洗钱团伙的计划和动向。至于“蝙蝠”这一类加密聊天软件，虽然它们都采取了端对端的加密方式，聊天内容不会被包括服务器在内的任何第三方所窥视，但是公安机关依然可以和软件开发公司申请提取后台服务器数据，并组建专业的技术团队对提取的数据进行解密，从而揭开加密通信软件中隐藏的黑幕。

3.落地关键：网络流数据情报

网络流数据情报是对犯罪嫌疑人进行身份确认以及实施落地抓捕的关键一环。虚拟货币洗钱犯罪团伙在进行买卖虚拟货币操作时，往往是在同一地点集中进行。因而，要特别注意多部手机或者电脑连接同一个Wi-Fi进行虚拟货币交易以及多部正在进行虚拟货币交易的手机或者电脑的IP定位相同的情况。可以通过网安技术侦查手段和一些互联网企业的技术协助，对登录虚拟货币交易平台账号的设备IP进行查询，并及时进行落地侦控，干净利落扫清洗钱窝点［13］。为了防止被跳转IP的黑灰产工具所误导，侦查机关还需要综合多方面的信息进行判断。比如可以对一个IP从网络和业务两个层面做画像，并通过专业的评分模型，给每个IP输出一个相应的风险值，基于动态更新的风险值来建立各种业务规则，可以有效识别作弊IP，从而尽可能地减少对正常用户的误杀。同时也要结合资金流线索进行追踪分析，如发现短时间内既有电子货币转账，又有虚拟货币交易的情况，立马进行交易手机Mac码（连接Wi-Fi的情况）或者机身码IMEI（使用4G或者5G流量的情况）的反查，如果洗钱犯罪分子使用的虚拟货币交易平台APP或者手机银行APP没有关闭软件获取经纬度的功能，可以提前落地并进行阵地控制，一旦确认，立即实施抓捕。

4.破案保障：人员流数据情报

之前“由人到案”的侦查模式在充满虚假网络身份的虚拟货币洗钱犯罪中无法发挥作用。打击这类网络犯罪，需要先“由数据到人”，再“由人到案” ，即可以先利用大数据系统碰撞出一部分犯罪嫌疑人，并对这部分犯罪嫌疑人进行落地抓捕，然后利用已到案的犯罪嫌疑人再引出洗钱组织架构中的其他人员，从而深挖出整个洗钱窝点。由于洗钱团伙中往往分工较为明确，有负责操作买卖虚拟货币的，有负责与上线进行对接的，有负责发布广告招募“买手”的，还有负责窝点日常饮食起居的，还有专门负责取现的“车手”等，而且一个洗钱窝点的人员相互之间往往联系较为密切，因而只要先抓住其中一人，便可以“顺藤摸瓜”，牵引出其他的洗钱团伙人员，甚至可以揭开幕后组织洗钱团伙的人以及上游犯罪集团。在对洗钱团伙内部人员组织架构进行侦查时，方法较为灵活。如果已经抓获其中一员，可以通过讯问摸清楚洗钱网络中的其他人员；如果没有抓到洗钱团伙的成员，可以结合资金流线索中工资的发放进行推断，也可以通过信息流截取的关键信息进行综合研判。

（二）技术突破：利用大数据技术变被动侦查为主动侦查

1.以大数据技术为依托建立“警银企”反洗钱系统

在全新的虚拟货币洗钱形势下，大数据侦查起着至关重要的作用。利用大数据技术，建立起警方数据、银行和其他支付机构数据、互联网和区块链企业数据三合一的“警银企”反洗钱系统［14］。在该系统中，警方可以提供有关可疑人员较为全面的身份信息数据、运动轨迹监控数据等；银行和其他的支付机构可以提供法定货币形式的可疑资金流运动轨迹、可疑账号的注册信息及流水明细、可疑取现人员的监控视频等；互联网和区块链企业可以提供可疑设备的IP地址定位、可疑虚拟货币交易记录、可疑的通话记录或聊天记录等。将这三个来源的数据收集到一个综合的反洗钱数据系统中，并将收集的数据实时进行更新、筛选和碰撞，经过分析研判模块后，最终会锁定一定数量的有洗钱嫌疑的账户，然后通过该系统第一时间通知相关银行以及虚拟货币交易平台等支付机构，配合警方将账户及时冻结。例如多个不同的银行账户使用同一IP进行转账，转账的金额都是接近开启人脸识别的极限数额，并在相近的时间段内，陆续将资金转移到了虚拟货币交易平台购买虚拟货币。这种情况即可以直接通知接收该批资金的虚拟货币交易平台将相关的可疑账户进行冻结，阻止洗钱团伙通过虚拟货币交易进行洗钱。

2.以社区算法为核心开发虚拟货币交易检测系统

目前发现的比较主流的社区检测算法有Louvain算法、LPA算法和Informap算法3种。整体上相比较而言，Louvain算法是效率和稳定性最高的，所以主要选取Louvain算法进行人工智能识别检测。Louvain算法是基于模块度的社团检测算法，采用双层迭代的方式，先在遍历所有节点后，将节点归属到模块度产生最大增量的社团中去，然后再将凝聚法和交换策略相结合，将同一社团的顶点进行合并，以社团作为新节点重构网络图，直到模块度稳定为止才算完成关联关系的匹配过程，整体效率和稳定性较高。该系统一共分为四个模块，分别为数据收集模块、数据处理模块、匹配关联模块、特征推理模块。由于虚拟货币交易的信息都储存在区块链中的公链中，随时都可以查询，而且不可篡改，因而获取较为容易。在数据处理模块，系统会根据现有的区块链地址标签筛选排除没有嫌疑的交易账户，从而缩小所需处理数据的数量级。在匹配关联模块，将待检测的交易数据与规则库中已有的交易模型进行匹配验证，如果符合规则库中已有的交易模型，将直接进行人工智能特征推理，根据关联度、聚类、重要度或结构特征等维度，基于人工智能关联识别算法进行检测，识别出的异常交易模型就可以用于虚拟货币洗钱交易的预警。如果遇到新的异常交易模型，该系统也具备模型的自我学习和更新功能，将新学习的异常交易模型储存到规则库中，以便下次继续进行匹配识别［15］。

3.以情绪识别技术为支点升级人脸识别程序

现在单独的人脸识别已经无法监管升级后的虚拟货币洗钱模式，因此人脸识别程序也需要进行相应的再升级。基于情绪理论的表情识别技术，可以添加具有针对性的刺激源，例如在进行人脸识别时，可以在收集面部表情的同时，附加提出“注册此账号是否用于洗钱犯罪”等问题，如果新注册的用户真的是为了进行虚拟货币洗钱而进行注册账号的话，一定会表现出较为明显的应激反应，其中既有情绪反应，也有自我心理防御反应，如紧张、害怕、否认等，细节方面具体表现为：面部肌肉有一定程度的紧张，眉毛和眼睑会上升，瞳孔会先放大然后逐渐缩小等［16］。此时人工智能系统会对这种较为特殊的应激反应表情进行识别，一旦发现并确定，即可发出预警。当然，这只是推断的线索之一，而且可能出现误判的情况，在侦查过程中应当理性使用微表情分析，不能仅仅依靠这一个方面就直接拍案定论，还应当结合其他证据相互印证，以降低产生“奥赛罗”错误的风险。

（三）国际联合：通过国际组织深化虚拟货币反洗钱国际合作

由于虚拟货币洗钱犯罪具有跨国性，加之国内禁止虚拟货币交易的政策使得一大批原本在国内运营的虚拟货币交易平台纷纷进驻海外，因而虚拟货币洗钱的赃款往往以虚拟货币的形式流向海外。而且，在海外也有专门与国内进行对接的洗钱窝点，这些资金的追缴、证据的提取以及境外虚拟货币洗钱犯罪嫌疑人的抓捕都需要相应国家的合作与支持。为此，应当以具有国际影响力的国际反洗钱组织（FATF）为核心，深化世界各国之间打击虚拟货币洗钱犯罪的侦查合作。

1.达成反制虚拟货币洗钱犯罪国际共识

虚拟货币的出现给各国经济带来的影响各不相同，对有的国家来说是一次机遇，而对有的国家来说则是一次挑战。因而，不同的国家对待虚拟货币的政策往往各不相同。这就会导致各国在侦查虚拟货币洗钱犯罪的过程中，一旦出现需要国外虚拟货币交易平台或者当地警方、区块链技术公司配合的情况，往往会“四处碰壁”。因此，需要一个具有国际影响力的国际组织引领世界各国积极进行虚拟货币洗钱犯罪侦查合作。FATF是全球范围内最具影响力的反洗钱国际组织。从2013年至今，FATF发布了多份虚拟货币反洗钱的报告和文件，既对当下虚拟货币洗钱发展形势进行了分析，也制定了虚拟货币反洗钱监管的标准、内容。而对虚拟货币反洗钱影响最为深刻的为2019年发布的《以风险为基础的虚拟资产和虚拟资产服务提供商指引》，该文件是第一个国际性的虚拟货币监管标准，具体由40项建议组成。其中“建议40”主要是双边反洗钱监管合作和双边反洗钱金融情报交换，这对虚拟货币洗钱犯罪的跨境情报获取提供了极大的帮助。然而，对于跨境反洗钱合作来说，这还远远不够，应当进一步完善这一项建议，建立起双边侦查合作机制，并秉持着“只要不侵犯主权和不违反国内法律法规，应当尽力配合侦查”的合作理念，就虚拟货币洗钱犯罪的侦查在全世界范围内达成一种虚拟货币反洗钱国际共识［17］。

2.打破虚拟货币洗钱犯罪侦查数据壁垒

在大数据侦查时代，数据情报的收集工作对于案件的侦破起着决定性的作用。但目前各国政治关系较为复杂，基于对数据安全性和隐私权的重视，跨国收集数据情报较为困难，相当一部分国家对外都建立了巨大的数据壁垒。在进行虚拟货币洗钱犯罪侦查过程中，面对此种情况，应当利用国际合约或者通过国际反洗钱组织进行有效沟通，建立双边或多边虚拟货币反洗钱大数据平台，将虚拟货币跨国洗钱犯罪的重要情报线索在平台予以分享，如犯罪嫌疑人的基本情况，有可能涉及的国家，涉嫌洗钱的虚拟货币交易平台的基本信息，相关区块链浏览器的交易记录信息，有可能涉及的上游犯罪信息等［18］。培养精通多门语言和数据处理的复合型侦查人才，并开展了解各国警务结构主题的相关培训，做到知己知彼，这是各国侦查协作的基础［19］。在进行跨境追捕时，就侦查力量部署以及抓捕方案的选择和实施进行积极的沟通和商议，结合合作国家所收集到的数据情报进行有序的抓捕工作。

3.加强虚拟货币洗钱犯罪跨境取证合作

所有的侦查活动都是服务于诉讼程序的，侦查成果最终大多是以证据的形式固定下来，以便进行下一步的审查起诉。然而，大部分的虚拟货币洗钱犯罪都会最终把虚拟货币转移到境外的钱包地址中，有的为了躲避链上资金的追踪会在境外进行“混币”操作，从而完成新一轮的洗钱。所以，跨境取证在虚拟货币洗钱犯罪的侦查过程中几乎是不可或缺的。鉴于此，各反洗钱组织的成员国之间应当建立长期的跨境取证合作机制，设立跨境取证申请的程序体系，在申请取证前应当明确取证的内容和形式，了解所需取证国家的取证限制及相关的法律规定，以确保取证程序上的合法性以及实体上的有效性，进而促进取证合作高效进行。从收集的201份裁判文书中的证据部分来看，虚拟货币洗钱犯罪的证据有很大一部分都是以电子证据的形式呈现，内容主要包括但不限于洗钱团伙所使用的计算机以及移动终端中所存储的虚拟货币提币地址、密钥以及交易数据，聊天软件中没有删除的聊天记录，手机支付软件中的交易流水记录，虚拟货币交易平台服务器设备的数据等。这些需要专业的电子取证人员进行取证，以保证电子证据的合法性和真实性［20］。经相关合约国同意后，在当地警方的积极配合下，也可以进行远程电子取证，经过适当的形式转化，传送到国内的侦查机关，从而形成完整的证据链条。

结语

虚拟货币洗钱犯罪准确来说属于区块链犯罪，它与互联网犯罪是有区别的。囿于区块链技术发展速度的限制，加上区块链所运用的密码学原理和时间戳技术，目前我国还无法做到随时查看和冻结任意节点的链上资产。但是，我们可以通过多方面的情报对链上资产的流动进行推理复原。例如侦查机关与区块链公司合力打造的“链上天眼pro”，即通过整合上百亿条链上地址、交易记录，再结合“信息流”和“人员流”等多种情报线索，运用自主研发的调证工具将链上交易与链下交易行为串联起来，可以有效帮助办案人员快速地把握被调查的案件、地址、资金流向、关系脉络及交易行为等线索，有效填补了虚拟货币洗钱犯罪链上资产追踪情报的空白。在未来，随着虚拟货币洗钱犯罪所用主流币种的链上地址标签日渐完善，监测虚拟货币洗钱犯罪的情报会越来越准确，“打早打小”，遏制其发展将不再困难。