基于电子数据推理的网络犯罪主体同一认定*

王宁 许致君

1. 湖北警官学院 2. 湖北省阳新县公安局

引言

由于网络的虚拟性、跨地域性等特征，网络犯罪在空间上呈现出犯罪嫌疑人位于现实物理空间，而犯罪行为发生在虚拟网络空间的“二元性特征”，网络犯罪的这种特征使得确定犯罪嫌疑人身份的难度加大。司法实践中通过寻找补强证据如口供、言词证据来认定物理空间与虚拟空间嫌疑人身份一致性，容易在庭上受到质疑。在立法层面，最高人民法院、最高人民检察院、公安部先后于2016年、2018年、2021年发布了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《公安机关办理刑事案件电子数据取证规则》《人民检察院办理网络犯罪案件规定》，这些部门规范增强了司法办案的可操作性，但关于网络犯罪主体身份同一认定的方法描述还比较简约。在学理上，针对如何有效解决网络犯罪案件中嫌疑人身份同一认定问题的研究也很少[1]。本文针对网络犯罪主体身份同一认定这一问题，从电子数据推理角度探讨网络犯罪主体同一认定的步骤、原则、方法。

一、网络犯罪主体同一认定的困境

在网络犯罪案件中，嫌疑人身份信息的查获和确定是案件事实查明首先需要解决的问题，也是后续刑事追诉能有效进行的保证。但在网络犯罪案件中，犯罪嫌疑人的身份涉及物理空间和虚拟空间两个空间，虚拟空间中的犯罪嫌疑人身份表现为涉案机器或电子账号。涉案机器包括实体硬盘、智能手机、电脑设备、对外租赁的“云服务器”等；涉案电子账号包括微信、QQ、Soul、四喵、陌陌、探探、Facebook、Twitter、银行卡号、支付宝账号等。网络犯罪主体的同一认定，则是证明涉案机器或电子账号的持有者、使用者就是指向物理空间的真正作案人。

由于网络犯罪案件中犯罪嫌疑人现实身份和虚拟身份的二重性，办案人员经常面临着对网络犯罪主体同一认定的困境。在此类案件中，曾一度被称为“证据之王”的嫌疑人口供往往很难获取，即使前期已获取口供，也可能随后遭遇翻供。同时，行为人会针对被指控的事实提出抗辩[2]。在司法实务中具体表现为，犯罪嫌疑人根本否认涉案机器或电子账号为其所有，或者在如恐怖主义犯罪案件、贩卖毒品等案件中由于犯罪行为的隐蔽性很强，犯罪嫌疑人零口供。犯罪嫌疑人承认涉案机器或电子账号为其所有或共同持有，但不为其所用，如在某网络小贷APP涉嫌套路贷案中，犯罪嫌疑人称该APP为公司所有，但为了虚构公司业绩，获得客户和投资人信任，后台数据的修改以及大量虚假交易记录的注入是其技术团队所为，所以导致交易金额虚高。司法实务中采用嫌疑人口供或将嫌疑人口供制作为询问笔录并由嫌疑人签字确认的方式，可能在庭审中出现“被告人翻供”或如“黑客”行为抗辩、“木马”病毒抗辩、“他人”行为抗辩等，容易酿成错案或放纵犯罪[3]。

此外，伴随着新兴互联网业态模式发展，网络犯罪与经济犯罪聚合升级，近年来涉众型经济犯罪在一定范围内呈现愈演愈烈的态势。相比传统犯罪案件，这类网络犯罪样态的案件具有涉案人数多、涉案资金大等特点。以笔者作为国家电子数据司法鉴定人参与的几起投资型网络诈骗、网络传销等涉众型犯罪案件为例[4]，在这类案件中，众多的案件参与人仅只能被称为“集资参与人”或“涉案人员”，犯罪嫌疑人与被害人、主犯与从犯的界限，以及参与人的界限模糊。犯罪组织通过不断增加内部层级，发展会员并形成角色丰富的涉案人员群体，真正的犯罪嫌疑人居于幕后并遥控指挥，办案人员通过该犯罪组织下级人员的供述通常很难发现幕后的“真正犯罪嫌疑人”。在案件事实查明中某嫌疑人为逃避打击，隐瞒其犯罪事实，可能只承认一个会员账号，但实质上该嫌疑人使用很多会员账号登陆，奖金瓜分时可能用多个银行账号，会员账号与银行资金账号可能会出现一对一、一对多、多对多的复杂关系[5]。因此在案件事实查明中，利用其工商注册登记信息等传统方法来证明案件参与人在犯罪组织中的角色，确定主从关系，不仅会耗费大量的司法和社会资源，而且这类信息的收集难保没有遗漏。采用传统司法实践中对于犯罪主体的证明方式，如采用嫌疑人口供、被害人陈述或证人证言等证明犯罪主体同一的方式，对具这类网络犯罪样态的案件而言，其证明作用亦十分有限。

二、网络犯罪主体同一认定的电子数据推理

司法实践中，整个案件或案件客观事实的某一部分通过证明的手段来认定事实经常会遇到无法克服的瓶颈，因此，推理是无奈但也是唯一的选择[6]。就网络犯罪案件而言，直接证据如口供、证人证言等言词证据往往难以证明网络犯罪的主要案件事实，难以证明涉案机器或电子账号的指向就是真正的作案人。因此，网络犯罪主体同一认定需要办案人员以间接证据为基础，以经验法则为依据，推理出涉案机器或电子账号的持有者、使用者，并推定出物理空间中真正的作案人。

（一）电子数据推理运用的步骤

网络犯罪主体同一认定的首要任务是全面收集证据，收集虚拟空间和物理空间的证据。其次是面对大量的证据，依据具体案情和待证事实，分别在虚拟空间和物理空间分类评估证据，并形成各个独立的得到证明的基础事实。最后，以证明的事实为基础，以经验法则为依据，对嫌疑人身份的同一性进行推定，推理步骤如图1所示。

1. 全面收集证据

在网络犯罪案件中，对于能扣押、封存电子数据原始介质的，应当扣押、封存。对于不宜扣押、封存电子数据原始介质的如“云服务器”等，应依法收集提取涉案的音视频、数据库、电子邮件、社交媒体文件等内容信息数据，还应收集这些数据产生过程中的相关数据信息如注册人信息/使用者信息、交互信息、存储位置信息等。

2. 形成基础事实

案件初始，从物理空间和虚拟空间收集的证据是海量的、杂乱的，办案人员需要根据案件具体情况对证据分类及评估，选取与待证事实关联性强的证据，保证证据的合法真实性，在物理空间和虚拟空间分别形成系列能证明的基础事实。

3. 嫌疑人身份同一认定

办案人员根据已证明的基础事实，以经验法则为依据，从虚拟空间的涉案机器或电子账号追溯到物理空间行为人，或从物理空间真正作案人向虚拟空间对涉案机器或电子账号的持有者和使用者展开推理等。

（二）电子数据推理运用的原则

1. 推理的基础事实必须真实

基础事实是推理的基础，没有基础事实无法进行推理。而且基础事实必须是被证据直接证明的事实，否则，推理虚假的可能性极大。司法实务中，基础事实均应由相互印证证据予以直接证明，如推理嫌疑人是某涉案电子设备持有者的基础事实由已被证明的证人证言、现场勘查工作记录等证据组成。

2. 推理依据必须可靠

推理依据，又称经验法则，是人们经反复实践认识到的现象之间有根据的、合乎逻辑的常态联系和因果关系。这种推理依据是社会上一般人或普通大众所感知或认同的无须证据证明的具有普适性的基本常识。例如，某涉案电子账号是通过嫌疑人刷脸或指纹登录的，则推理出该涉案电子账号为犯罪嫌疑人所持有，合乎逻辑和常识的推理依据是人体生物特征唯一性。

3. 推理结论事实允许反驳

推理结论事实的真实性受基础事实是否为真、推理依据是否可靠、推理运用是否合理等因素影响。司法实务中，存在着例外因素、经验法则未预见的特殊因素的介入，可能因办案人员司法经验等的差异得出不同的结论。允许犯罪嫌疑人提出反驳，否则有可能错误定罪。

三、网络犯罪主体同一认定的推理方法

（一）基于使用者唯一性的推理认定法

基于使用者唯一性的推理认定有基于人体生物特征识别数据的人身同一认定和基于密码技术的人身同一认定。前者是利用物理空间中人的形象特征如指纹、人脸相貌、视网膜、DNA遗传基因等的身份识别，后者是利用密码技术认定相关主体的身份。例如，通过指纹、人脸、虹膜识别等方式登录涉案机器的，则可推定该涉案机器为嫌疑人所持有和使用，除非嫌疑人能够提出有效的抗辩证据；通过指纹、人脸刷脸等方式登录进入涉案电子账号的，则可推定该电子账号为嫌疑人所持有和使用，除非嫌疑人能够提出有效的抗辩证据。

利用基于密码技术的人身同一认定包括数字签名等。数字签名是非对称密钥加密技术与数字摘要技术的应用，其可简单地理解为对附加个人标记所作的密码交换，达到系统上手书签名盖章的作用。类似传统纸质文件上的签字或者盖章，数字签名可用于人身同一认定，例如，利用网络银行实施转账行为的U盾或密码器数字签名。手机号码一般采用实名制且是唯一，一些应用程序账号如微信、支付宝等APP采用手机号注册，设备登录采用“密码 + 短信验证码”二次交叉认证方式，在排除短信嗅探、木马等安全威胁后，结合商家短信平台安全评估等其他证据，可推定涉案电子账号为嫌疑人持有和使用，除非嫌疑人能够提出有效的抗辩证据。

（二）从物理空间向虚拟空间的犯罪主体同一推理认定法

这种方法，指的是在用证明的方法对物理空间作案人是涉案机器或电子账号持有者的证明之后，再结合虚拟空间电子数据形成的基础事实去推理该作案人是涉案机器或电子账号的使用者。以某涉案电脑设备为例，例如，通过核对涉案电脑或硬盘的型号、序列号等特征与其购买的发票、资产登记等相关材料的一致性来证明该涉案电脑为物理空间犯罪嫌疑人所持有，或通过涉案电脑上所附的指纹、毛发等生物特征来证明该涉案电脑为嫌疑人所持有，或通过出具的证人证言如“这台电脑是某某使用”、现场勘查工作记录等来认定该涉案电脑为物理空间犯罪嫌疑人所持有。

推理出涉案机器或电子账号为物理空间某嫌疑人所有，并不能证明被涉案机器或电子账号该嫌疑人使用，为推定嫌疑人身份同一还需以虚拟空间电子数据形成的若干基础事实为基础，推理出涉案机器或电子账号的使用者。例如，在某入侵案件中，将嫌疑人涉案电脑的系统日志、系统运行文件与网络交换日志、服务器上应用日志等文件对比关联分析访问者信息、时间信息、地址信息等，如果一致且能形成相互印证的证明结构，则推理出该涉案电脑为嫌疑人所使用。

（三）从虚拟空间向物理空间的犯罪主体同一推理认定法

这种方法，指的是在用证明的方法对虚拟空间涉案机器或电子账号持有者和使用者的证明之后，再结合物理空间若干基础事实去推理该物理空间的真正作案人。在网络犯罪案件中，办案人员可依据涉案机器的IP地址、MAC地址等信息锁定涉案机器；可依据即时聊天记录或调取平台交互信息等锁定涉案电子账号；可依据行为人在网络空间中留下的注册信息、交互信息如涉案机器的运行信息、内容信息等，还原出“特定人”在网络空间从事某种违法犯罪活动的整个流程；可依据对提取的后台数据库中犯罪团队及具体行为人的犯罪所得、资金去向等的分析和查明，锁定虚拟空间嫌疑人身份等。

勾勒出虚拟空间嫌疑人身份或嫌疑人的数据画像，并不能指向或证明其为物理空间中的真正作案人，还需以物理空间证据形成的若干基础事实为基础，推理出物理空间中的真正作案人。例如，在某刷单骗保案件中，办案人员通过网站日志文件等分析出“IP地址”，结合“小额支付”的交易记录锁定虚拟空间嫌疑人，综合分析两类空间中的“收货地址”证据，找出物理空间中的真正作案人，最终“挖掘”出骗保金额1150余万元[7]。再如，在网络传销案中，结合数据库中会员信息表中的会员账号、提款表中的会员账号、银行账号、提款金额、提款时间等字段数据，采用迭代算法，分析嫌疑人会员号与银行账号的绑定关系及犯罪金额，生成“会员账号-银行资金账号”的关联分析结果，确定虚拟空间的案件参与人定性为嫌疑人抑或受害人[5]。在此基础上，再依据银行等金融机构、第三方支付平台等提供的材料来证明嫌疑人为物理空间中的真正作案人。

（四）动力定型特征信息与其他证据综合推理认定法

这种方法，指的是利用动力定型特征进行的人身同一认定。所谓动力定型是指人的大脑皮层对刺激的定型系统所形成的反应定型系统，一旦它形成则具有相对的稳定性和规律性。虽然学术上没有明确界定，但司法实务中已将动力定型特征如利用犯罪行为人实施犯罪行为的动作习惯、书写习惯、个体语言特征等用于案件事实查明和司法鉴定活动中的人身同一认定。在网络犯罪案件中，犯罪嫌疑人也会在虚拟空间留下动力定型特征的痕迹，例如程序代码的编写习惯、网络言语特征等，据此可进行人身同一认定。

利用动力定型特征进行人身同一认定在某种意义上是虚拟空间向物理空间犯罪主体同一推理认定的方法，这种方法在类似网络入侵、病毒木马、网络谣言溯源、传播网络谣言等案件中运用价值极大。例如，在网络谣言溯源案件中利用网络言语特征对嫌疑人生活区域、职业经历、年龄、性别、文化程度等个体特征的刻画。例如，在温州“八一”广电案、“无花果”所开发恶意程序等案件[8]皆是通过对程序代码编写习惯的分析锁定虚拟空间嫌疑人，并综合分析两大空间中的诸如银行账号、地址信息等证据，实现虚拟空间与物理空间犯罪主体同一认定。目前，智能视频监控领域中的步态识别行走运动的动力定型，其技术正进一步研究中，并对未来网络犯罪主体同一认定的应用起到推动作用。

四、结语

在网络犯罪案件中，通过证明的手段来认定网络犯罪主体身份同一此事实经常会遇到认定不能的无奈局面，作为事实认定辅助手段的电子数据推理便有了用武之地，然而，推理毕竟不是证明。因此，有必要对网络犯罪案件中嫌疑人身份同一认定“瓶颈”问题进行梳理，并在此基础上构建网络犯罪主体同一认定的电子数据推理过程，明确电子数据推理运用原则和方法。