反数据侦查行为及对策

梅 蓉

(南京警察学院，江苏·南京 210023)

数据资源已经成为21世纪的“新石油”，数据化应用已经成为各个行业关注的焦点和提升实力的重要措施之一。数据驱动侦查、数据主导侦查已成为侦查新模式，数据侦查在侦查实践中已经取得了令人瞩目的成绩，在打击各类犯罪中正发挥着重要的作用，已成为新型的侦查措施。其改变了侦查模式，革新了侦查方法，创新了侦查思维，拓展了侦查原理，提高了侦查效益。侦查与犯罪一直都在博弈，犯罪手段和侦查手段也在不断升级。道高一尺，魔高一丈。犯罪行为人为了逃避打击，了解和学习新型侦查手段，提升犯罪手段。在犯罪的过程中出于理性自利的原因会做出一系列的反侦查行为，特别是针对数据侦查的反侦查行为越来越多，而且此类反侦查行为还在不断升级，向着专业化、技术化方向发展，识别难度增大、主动性增强，值得反思，了解产生原因、行为特征、具体表现，并提出行之有效的解决方案。

一、反数据侦查行为的概念

数据化时代背景下，让“数据说话”已成为侦查机关开展侦查活动的必备手段。侦查效率和质量得到很大提高，侦查的主动性呈现出来，但反数据侦查行为也相应出现。不同于传统的反侦查行为，反数据侦查行为具有了时代的特征。即，技术性强，犯罪嫌疑人具备与数据有关的技术。如，数据隐藏技术、数据恢复技术、数据分析技术、数据可视化技术等。在理解反数据侦查行为之前，必须厘清数据侦查的含义。数据侦查是指侦查主体为了揭露、证实、打击和防控犯罪，基于数据技术、人工智能技术、互联网技术等，结合案件信息对采集和已知的数据集进行分析，发现案件线索和证据，揭露犯罪事实，抓获犯罪嫌疑人的一种新型侦查措施。 也就是说，开展数据侦查的基础就是数据，数据类型越多、数据量越大，数据分析的结果越接近犯罪事实。影响数据分析的因素有数据量、数据噪声、数据类型。为此，反数据侦查行为就是犯罪行为人根据对数据侦查的认知和一定的犯罪经验，借助于数据有关的技术和装备，精心策划和充分准备，成功作案并实施一系列对抗、干扰、迷惑行为，企图将预谋阶段、作案阶段以及逃跑阶段产生的数据量减少、数据类型减少、数据噪声增大等，达到逃避侦查和干扰侦查的一种反侦查行为。反数据侦查行为会伴随着犯罪和侦查整个过程，初于犯罪准备阶段，终于侦查的终结，因此，侦查过程中绝不能忽视反数据侦查行为，要能准确识别并采取合适的措施来应对。现如今，电信诈骗犯罪频发，网络行为会留下数据，这类犯罪更是伴随着大量的反数据侦查行为。因此，侦查工作就是数据侦查与反数据侦查的较量，研究反数据侦查行为是侦查发展和应对新型电信诈骗犯罪的必备手段。

二、反数据侦查行为产生的主要原因

反数据侦查行为的产生必然存在因果关系，总结原因，可以更好地认识反数据侦查行为，并能提出针对性的对策。

(一)对抗性驱动

社会心理学家认为当他人要限制我们的自由时，产生了消极反应，形成了对抗心理。趋利避害是人的本性，也是产生对抗行为的基础。当犯罪行为人有了对抗心理，为了维护自己的行动自由，自然而然地产生了抗拒行为。数据侦查行为与反数据侦查行为具有对抗性，天生就是竞争关系，数据侦查行为以制止犯罪和查明案件为目的，而反侦查行为以阻碍调查、逃避打击和法律制裁为目的。当犯罪行为人了解到侦查机关利用数据侦查这一新型措施发现、确定身份，刻画活动轨迹、定位，以及查明案件事实，其自然有了针对数据的反侦查行为。随着侦查机关坚持走科技兴警的道路，提倡数据赋能，侦查人员逐渐养成了数据侦查思维，数据侦查应用越来越深入，数据分析能力也在不断升级。特别是智能侦查颠覆了我们的认知，数据侦查达到了立竿见影的效果，侦查面临的困境也在逐渐减少，侦查能力不断增强，极大挤压了犯罪行为人的生存空间，使得犯罪行为人犯罪成本提高、安全性降低。因此，也就推动他们投入更多精力实施更高明的反数据侦查行为。

(二)数据技术驱动

技术日新月异，犯罪行为人对技术极其敏感，他们深知利用新技术可以提高犯罪手段，增加侦查难度。事实上，我们不得不承认犯罪技术往往超前于侦查技术。新技术不仅使得犯罪行为人的犯罪手段升级，往往也使得其行为更为隐蔽，甚至可以逃避数据侦查。他们利用技术来规避数据记录、隐藏数据记录或者毁灭数据记录，甚至伪造数据记录。由于对技术认知的深度不够或者压根不了解新技术，侦查人员往往非常被动。由于数据侦查和反数据侦查互为导向，不断对抗，不断升级，为了取得侦查主动权，侦查机关有必要超前学习新技术，避免陷于被动境地。

三、反数据侦查行为的特征

(一)多样性

数据类型的多样性使得数据侦查途径也是多样的。在侦查过程中，可以根据案件实际情况，以某一数据侦查途径为主，其他为辅；或者加强部门协作，多维数据侦查途径一起推进，快速查明案情，追缉犯罪嫌疑人。出于对数据侦查的对抗、降低犯罪成本以及确保犯罪顺利实施等主观原因。犯罪过程中，犯罪行为人会做出一系列的反数据侦查行为。可为侦查提供服务的数据，必然经过采集、传输、存储、处理等环节，每一个环节都有可能被犯罪行为人对抗，产生诸多反数据侦查行为。另外，不同类型数据的载体、产生的位置、产生的机理、用途、传输手段、存储要求等不同，犯罪行为人也有了针对不同类型数据的反侦查行为。因此侦查过程中，反数据侦查行为很多，侦查人员要能准确识破，避免误导侦查。

(二)全程性

反数据侦查行为贯穿于整个案件过程中，案前的准备、作案的过程中、案后的逃跑都会有对抗性的侦查行为产生。为了避免产生对其不利的电子数据，犯罪行为人会有意识地进行案前作案规划，在准备充分的情况下，再实施犯罪。全程化的反数据侦查行为使得数据侦查工作举步艰难，那就需要谨慎分析，提高数据侦查技术水平，寻找突破口。

(三)技术性

由于技术会给犯罪带来更强的隐匿性、破坏性和逃逸性，犯罪行为人或者犯罪团伙通常对技术非常敏感，他们会用新型技术来实施犯罪，提升犯罪水平，犯罪手段也非常专业。为了逃避打击，他们学习新型信息技术的知识。如云计算、大数据、人工智能技术、物联网技术、通信技术、传感器技术、视频技术、控制技术、系统的管理和应用、电子设备的使用等，来实施专业性犯罪。事实上，现在的犯罪技术往往超前于侦查技术，侦查工作很被动。

(四)隐蔽性

犯罪行为人为了逃避法律的制裁，避免侦查人员的监视、追踪、回溯调查等，会故意地破坏数据的产生、毁坏已有的数据、修改或者伪造数据等，这些行为均比较隐蔽，不易被侦查人员察觉。在以网络为平台的犯罪案件中，犯罪行为更为隐蔽，犯罪行为人通常会选择隐蔽性的APP平台或者网站进行作案、隐藏自己的IP、利用虚假身份注册信息等。

(五)双面性

反数据侦查行为的目的就是给侦查工作带来干扰，阻碍侦查工作的开展。但是，现如今很多行为的产生都会留痕，反数据侦查行为也不可避免，加上反数据侦查行为往往为异常行为，异常数据反而易被识别，更易被发现和锁定犯罪嫌疑人。行为的产生通常具有持续性，若反数据侦查行为产生，会导致连续性破坏，反而形成漏洞，易被识别。由于双面性，侦查人员应不惧反数据侦查行为，积极寻找漏洞、找异常，发现反数据侦查行为。

(六)普遍性

如今每一起犯罪案件中，或多或少地都会出现一种或者多种反数据侦查行为，反数据侦查行为普遍存在。为了避免侦查机关采集到留下的数据痕迹，犯罪行为人基于对数据侦查手段的认知以及趋利避害心理的驱使，必然会产生相应的反侦查行为。物理空间实施的犯罪，犯罪嫌疑人通常有躲避视频探头、套用车牌、规避手机的使用等行为。虚拟空间实施的犯罪，犯罪嫌疑人通常将服务器设置境外、隐藏IP地址、使用暗语进行网络联络，使用非常规性平台等行为。

四、反数据侦查行为的表现

(一)规避型反数据侦查行为

规避型反数据侦查行为是指犯罪行为人为了躲避数据的采集或监控而产生的行为。犯罪行为人通常会减少不必要的网络活动、关闭位置服务等来躲避数据的采集和监控。一般电子设备、传感器等数据采集的范围是有限的，为了不被采集数据，犯罪行为人会有意避开设备数据的范围，会选择盲区、绕道等躲避数据的采集。犯罪行为人也会通过不携带通信设备，或者借助于特殊手段和技术躲避数据的采集和监控。下面总结几种常见的规避型反数据侦查行为。

1.针对视频监控的反数据侦查行为

视频监控存在盲区是客观存在的现象。犯罪行为人周密策划作案路线，往往会选择在监控盲区作案、逃跑，以逃避警方追踪。一些犯罪行为人为了不暴露行踪，不坐火车或者飞机出行，选择开车，通过不挂车牌、使用假车牌或者套牌、频繁更换车辆或者套牌，来规避数据的采集。甚至尽可能少走高速等方式，避免车牌照的采集或者人像的采集。

2.针对移动终端的反数据侦查行为

在现如今移动互联网的时代，外挂式电子设备以及移动通信终端设备已成为人们的必需品，这些电子设备会与附近的基站、通信系统进行数据交换，也就是说只要携带电子设备，就会产生电子数据。为此，犯罪行为人深知移动终端就如同一颗炸弹，随时会暴露自己的行踪。作案之后立刻换手机，认为自己犯下的罪行就会被隐藏，甚至有些犯罪行为人作案时不携带移动通信终端设备。还有一些反数据侦查的犯罪行为人，为了与被害人沟通或者犯罪团伙之间沟通，不得不使用手机，会选择专机专卡作案，使得侦查机关无法通过数据分析查明犯罪事实。

3.针对网络的反数据侦查行为

在一些涉网犯罪案件中，犯罪行为人为了躲避数据侦查，通过租用境外服务器的虚拟空间，开设非法网站或者开通网络电话牟取利益。目前，犯罪行为人租用的境外服务器主要以加拿大、美国、韩国服务器为主。对于利用境外服务器实现涉网违法犯罪行为的网站，公安机关的查处难度大。通常维护不良网站的人员早就受到法律制裁，但不良网站的运行没有停止，因为服务器在国外，根没有挖除，不良网站依然存在，且跳转的域名达到成千上万，无法一一屏蔽域名。还有很多有组织犯罪，犯罪团伙成员之间为单线联络，会通过网络招募一些下手，指挥下手实施犯罪，这些下手都不知道招募者的真实身份，这样避免产生数据信息交叉，可以防止侦查机关通过社会网络关系分析发现。

(二)破坏型反数据侦查行为

破坏型反数据侦查行为是指犯罪行为人为了犯罪有关的行为不被电子设备记录，故意破坏数据采集设备、传输线路、存储设备或者电子数据的行为。破坏型反数据侦查行为常见于针对视频监控系统的反数据侦查行为。很多犯罪行为人为了掩盖自己的犯罪行为，有意地破坏数据的载体。在作案前，可能会破坏前段采集设备或者传输线路；若案前没有破坏的行为，可能作案之后，会想方设法地破坏存储设备或者毁坏数据。随着犯罪行为人对视频监控威力的认知不断提高，在部分案件中，尤其是在银行、珠宝店等地方的抢劫案中，犯罪行为人往往第一时间破坏视频监控设备。由于摄像头离嫌疑人近，容易被看到，常会遭到嫌疑人直接暴力破坏。当然，有的嫌疑人也会通过遮挡镜头等方式来使监控无法发挥作用。另外，嫌疑人一般会对有线传输线路进行破坏，这样探头所拍摄到的影像就无法传输到主控设备。因此，针对性破坏主控设备的反侦查行为也比较多。

很多犯罪行为人深知自己的行为会被电子设备记录，出于趋利避害的心理，自然而然选择删除数据。常见的破坏性行为有针对视频、移动终端、网络终端等破坏数据的行为。通常犯罪嫌疑人为了逃避打击、躲避侦查，常在作案后立刻删除微信、QQ、短信、通话记录等手机信息。在涉网犯罪案件中，犯罪嫌疑人深知网络行为会在主机、服务器等上留下痕迹，为了逃避打击，有意删除对方计算机中易暴露自己信息的痕迹。

(三)遮掩型反数据侦查行为

遮掩型反数据侦查行为是指犯罪行为人为了隐藏自己，借助某些手段或者途径掩盖自己或者不法行为。常见反数据侦查行为有盗用他人的信息从事违法犯罪活动。如，利用他人的身份证或者假身份证办理银行卡、购买手机号、注册网络信息，或者借助技术手段隐藏自己的IP地址；还有一些犯罪行为人为了逃避侦查，会套用假车牌，遮挡车牌，经过卡口视频时拉下遮阳板、伸长脖子，男扮女装、戴假发、戴眼镜，改变走姿，改变随身携带的物品等隐藏自己，甚至还有一些犯罪行为人伪造不在场的时空信息数据，误导侦查。常见的遮掩型反数据侦查行为的表现如下：

1.基于移动通信的反数据侦查行为

自从实施最严手机实名制令后，手机卡能体现使用者的真实身份。在犯罪的过程中，犯罪行为人为了隐藏自己的身份，会避开实名注册，通过一些特殊途径购买手机号码，尽可能地避免身份信息暴露。犯罪团伙成员在作案准备阶段、作案过程甚至作案之后中，通常会对传递的语音信息或者文字信息进行加密，或者使用暗语进行联络。犯罪行为人为了逃避追踪、迷惑侦查人员，会使用市场上提供的手机卡非法复制功能，将同一个手机号复制到多张卡上同时使用。当犯罪行为人将此方法作为反侦查手段时，有意识地分布于几个地区，由不同的人分别连贯操控使用，侦查部门的工作会受到极大干扰。手机卡非法复制的另一个功能就是能够实现一卡多号，即将多个手机号复制在一张卡上，犯罪行为人在作案的过程中或者作案后不断更改使用不同的手机号，使得侦查人员不能按照常规的方法快速刻画犯罪行为人的轨迹和位置。此外，还有一些犯罪行为人一部手机启用多张卡，作案过程中不停地换用SIM卡，企图逃避打击。另外，犯罪行为人会使用盗、抢的手机与同伙或者被害人联系。使用他人手机作案，对于侦查人员来说，无法直接通过手机通信数据分析获取关于犯罪行为人的相关信息。

2.基于视频的反数据侦查行为

犯罪行为人为逃避追踪，最简单也最直接的方式就是伪装个人特征。犯罪行为人往往会换衣服、用口罩、头套等物品遮掩自己的面部，即使被监控探头拍到，也与案发现场面目有较大差别，容易让侦查员分析发生错误。

3.基于数据采集的反数据侦查行为

为了阻止数据的产生或者采集，一些犯罪行为人会有意地遮挡数据采集设备或者转移数据采集设备的工作范围。这种反侦查行为常出现在针对视频的反侦查行为中，为了避免被拍摄到，很多犯罪行为人会采用遮挡镜头来避免被拍摄。

4.基于网络的反数据侦查行为

上网时很容易将个人的IP地址暴露，犯罪行为人为了逃避打击，有意隐藏自己的IP地址，通常采用代理服务器来代理IP地址。警方若追查IP地址，只能追查到代理服务器的IP地址。一些计算机水平较高的犯罪行为人为了逃避侦查，通过控制多个肉鸡作跳板入侵或攻击他人计算机。侦查人员在追查犯罪行为人的IP 地址时，往往查的是被控制的计算机IP地址，很难查到犯罪行为人的IP地址。另外，一些利用网络实施犯罪交易的犯罪行为人，他们通过商品交易平台开设网店掩盖违法交易，从数据上来看就是店主与卖家进行的商品交易。他们还会建立社交群(冒充工作交流群、专业交流群、朋友群、学习分享群等)来吸引客户，躲避监控。还有一些犯罪行为人为了不易被监视或者发现，基于暗网或者深网的隐蔽性。如不被搜索引擎搜索或者不公开、需要身份验证等特殊性，会使用暗网或者深网从事非法活动。如网络赌博、网络卖淫嫖娼、贩卖毒品、贩卖枪支弹药、进行恐怖主义活动等。还有一些犯罪团伙在社交群里交流犯罪有关信息时，会使用网络黑话来逃避网络巡查。一些涉网犯罪案件中，犯罪行为人招募网络技术人员，私自搭建服务器和网站，将网站域名和服务器不断地更换，使用专门的浏览器，网站地址和浏览器下载地址通过专门的群进行发布，企图摆脱侦查机关的网络监控。

5.基于资金流的反数据侦查行为

目前，常见的第三方支付平台有“易宝”“支付宝”“快钱”“贝宝”等。对于一些色情网站、赌博网站等，为了逃避打击，均是通过第三方支付平台的代理网站进行交易。交易过程隐蔽，第三方支付平台只负责资金流向，对于交易的内容并不关心，促使了大量网络犯罪的滋生。犯罪行为人还会通过黑色产业收购银行卡，通过多张收购的银行卡进行资金流转账，最后再通过多样化的洗钱方式将资金流入自己的账户。

五、基于反数据侦查行为的对策

(一)提升反数据侦查行为的识别能力

识别不出反数据侦查行为，意味着侦查方向或者范围会出错，或者阻碍了侦查工作的开展。因此，侦查人员有必要提升反数据侦查行为的识别能力。

1.归纳总结，发现规律

目前，侦查人员在办理很多案件过程中都会发现犯罪行为人采取了一些反数据侦查行为，也有了一定的应对方法。鉴于很多人所受的教育、所处的环境是一致的，所以他们的思维方式也是一致的，行为表现固然也是相同的。所以，侦查人员有必要提炼和总结不同类型案件中涉及的反数据侦查行为，或者针对不同类型数据出现的反侦查行为，发现规律，引导侦查人员在案件办理过程中主动识别出反数据侦查行为，避免误导侦查或者陷入侦查困境。在视频侦查过程中，会发现大量的遮掩型、规避型、破坏型反数据侦查行为，总结案发前、案发后、案发过程中，犯罪行为人可能的反视频数据侦查行为规律，使得侦查人员在视频侦查过程中具备反侦查行为识别的能力，提高视频侦查的效率。

2.换位思考，发现疑点

从侦查的角度去发现反数据侦查行为，有时候难以识别，侦查和反侦查本身就是对抗性活动。 因此，侦查人员有必要换位思考，从犯罪行为人的角度出发，思考在犯罪前、犯罪过程中、犯罪后，会实施哪些反数据侦查行为。在这样行为认知基础上，再去采集和分析数据，能够识别出反侦查行为并挖出隐藏的犯罪信息。犯罪行为人即使有非常强的反数据侦查能力，百密也有一疏，更何况一种行为可能会被多设备同步记录，产生多类型的数据，侦查人员必须运用整体性思维和相关思维开展侦查工作，才能击破犯罪行为人的伪装。

3.异常数据分析，识别反侦查行为

反数据侦查行为具有两面性。一方面确实给侦查工作带来了阻力；另一方面它未尝不是一种暴露行为，会使得正常行为产生变形。数据异常会提醒侦查人员有可疑行为产生，通过分析，可以发现反侦查行为，揭露犯罪事实。因此，在进行数据分析时，要重视异常数据分析，及时识别反侦查行为。侦查人员可以基于数理统计的方法，如箱型图分析法、离群值检测法、基于机器学习的方法等识别异常数据。当然，异常数据不一定反映反侦查行为，这就需要侦查人员联合多类型数据分析，判断是否反映反数据侦查行为。

4.养成反数据侦查思维

侦查人员在日常工作中，要善于发现、总结、反思、找原因、找规律，逐步形成反数据侦查思维。反数据侦查思维就是指在数据侦查过程中，侦查人员根据案件信息和已知的数据信息，能够有理有据地推测或者识别可能的反数据侦查行为，并有一定的应对方法来解决，保证侦查工作的顺利开展。反数据侦查思维贯穿于整个数据侦查活动中，在数据采集、数据处理、数据分析、数据应用等环节都会运用到该思维。反数据侦查思维是一种主动性思维，在这种思维的引导下，侦查人员会主动地识别和获取反数据侦查行为，从而引导侦查工作开展。

(二)压缩反数据侦查的实施空间

1.完善基础设施建设，犯罪行为人无处藏身

当公安面或者社会面合理安装足够多的多类型数据采集设备时，犯罪行为人将无处藏身。数据可以清晰地记录出行路线、社交行为等，所以在安装采集设备时，要从整体上来规划布局，从全局到局部，尽可能做到无死角地天空立体化覆盖。

2.加强警企合作，全力打击犯罪

从前面所描述的种种反侦查行为可以看出，部分原因是由于企业管理的漏洞，导致了相应反数据侦查行为的发生。一旦犯罪行为人知晓企业的漏洞，他们就会想方设法地去突破，再去实施反侦查行为就特别有效。为此，要加强企业管理，侦查机关要对企业进行相应的指导和培训，建立检查机制，挤压反数据侦查的实施空间。

(三)强化数据侦查技术手段

1.善用数据关联分析技术

通常一种行为会触发多类型数据的产生，当反数据侦查行为产生，某些类型的数据不会产生或者遭到破坏或者分析价值不大，但是可以基于其他类型数据或者关联其他的数据分析开展侦查工作，依然可以快速发现和确定犯罪嫌疑人的身份。数据关联分析时，要想办法关联具有唯一性的标识性数据(如车牌照、手机号、手机串号IMEI、国际移动用户识别码IMSI、MAC码、身份证号、网络身份证CTID等)，通过这些数据的分析，发现和确定犯罪嫌疑人身份。 另外，要善于利用案件数据关联日常生活数据分析。由于反侦查行为的存在，案件数据分析结果往往与现实不符，而日常生活数据不仅真实，而且量大没有噪音，对其进行分析，结果更具有侦查价值。

2.研发数据侦查技术

目前在接触型以及非接触型案件中，均出现了反数据侦查行为且行为不断升级更新。犯罪行为人善用新技术实施犯罪，企图掩藏犯罪行为，使得侦查机关出现难以识别的局面。为此，侦查机关要提高打击能力，借助新技术打击反数据侦查能力强的犯罪行为人。要以反数据侦查行为为导向，研发新的数据侦查技术，充分利用现有的数据资源，发挥数据侦查的主动性。在数据侦查技术的研发中，要侧重于数据分析技术、数据恢复技术、数据取证技术等研发。特别在数据分析技术的研发中，要侧重智能数据关联分析技术、异常数据分析技术研发等，通过技术手段来提高识别和打击反数据侦查的能力。