• 首页
  • 手机找法网

摘要: 关键词:侦查模式; 在2005年6月CFAT2005中国计算机取证技术峰会上,与会代表们曾经探讨过这样一个问题:现在有一些作案人通过代理服务器,登录、控制他人计算机系统,然后实施各种网络犯罪,在这种情况下,调查人员通过技术手段可能反向追踪到被操控作案的计算

摘要:   关键词:侦查模式;    在2005年6月CFAT2005中国计算机取证技术峰会上,与会代表们曾经探讨过这样一个问题:现在有一些作案人通过代理服务器,登录、控制他人计算机系统,然后实施各种网络犯罪,在这种情况下,调查人员通过技术手段可能反向追踪到被操控作案的计算机——即业内所说的“肉机”或“傀儡机”,但怎么能够确定该计算机的持有人是否就是真正的作案人?主讲技术专家建议通过技术手段继续追踪,直至作案者的计算机或IP地址。作为法律人士的代表,笔者指出,这其实涉及网络时代侦查模式的革新问题。本文就此作初步探讨,以求教于方家。  一、传统侦查模式在网络时代遭遇挑战  网络技术是计算机技术与通信技术相互渗透、不断发展的产物,广泛而深刻地影响着人们的生活。许多人惊呼,人类已经不知不觉进入了网络时代。在享受网络带来极大便利的同时,人类也正在承受着非法侵入计算机系统、破坏计算机系统、网上色情、网上赌博、网上洗钱、网上盗窃等新型犯罪引发的恶果。因此,打击网络犯罪与传统犯罪,是各国面临的两项同等艰巨的任务。  在长期的实践中,侦查机关形成了两种针对传统犯罪的侦查模式:其一是“从事到人”开展侦查,其二是“从人到事”开展侦查。前者是对受案时侦查机关只知道犯罪案件发生、而不知道谁是作案人的犯罪案件,所以侦查从已知的犯罪事实入手,通过对事的侦查揭露与证实作案人;后者是对受案时已有明确的犯罪嫌疑人的案件进行侦查,侦查工作是围绕犯罪嫌疑人的有关活动与社会关系开始的,通过查证线索发现犯罪嫌疑人有罪或无罪的证据,进而认定或否定其犯罪。  以此为标准,应该说网络犯罪的侦查看似属于第一种模式。通常侦查人员总是先掌握了网上的某种犯罪信息,如因接受群众举报发现了色情网站、赌博网站或者某重要网站被侵入、数据被篡改等等,然后开展调查,最终揭露和证实作案人。然而,从侦查途径方面作微观考察,网络犯罪的侦查模式同传统案件实际上有着重大不同。  对于传统犯罪而言,“从事到人”开展侦查的方法有:(1)从因果关系入手;(2)从作案规律入手;(3)从作案手段入手;(4)从并案侦查入手;等等。所有这些具体途径都是以“何事”为起点、以“何人”为终点,以已知的其他案件要素为中间媒介展开的,进而形成了“何事——何时——何人”、“何事——何地——何人”、“何事——何故——何人”、“何事——何物——何人”以及“何事——何情——何人”等五种带有摸排特点的、具体的侦查思路。这是传统案件“从事到人”模式的应有之义。图1传统的“从事到人”侦查模式  而就网络犯罪而言,这五种侦查思路均无法直接适用。例如,在一起传统盗窃案件的侦查过程中,侦查人员可以根据“案件发生时是否到过现场”或“案件发生时是否去向不明”来查找和审查嫌疑人,这属于“何事——何时(地)——何人”的范畴。而在一起网络盗窃案件的侦查过程中,侦查人员则很难以“案发现场”或“案发时间”为中介来查找和审查嫌疑人。无数侦查实例表明,网络犯罪的“案发现场”或“案发时间”要素同作案人之间的联系太遥远,不能起到连接已知案件事实与未知事实的作用。  为什么会出现这一问题?盖因为网络犯罪主要发生在虚拟的数字化空间,而作案人则处于现实的物理空间。其“何人”和“何事”基本上横跨虚拟与现实两大空间,两者之间联系的中间纽带非常特殊,必须经过两大空间之间的转换。如果侦查人员事先知道了“何事”,很难直接通过上述中间要素——“何时”、“何地”、“何故”、“何物”与“何情”,查清楚未知的“何人”。这些中间要素不具有将“何人”和“何事”连接起来的侦查价值。由此可见,网络犯罪的侦查必须另外寻求思路与模式。  二、网络犯罪侦查适用全新的模式  如何有效地侦查网络犯罪,这需要探究网络犯罪的一般机理。假如某个作案人想策划实施网络色情犯罪、网络赌博犯罪、网络侵入犯罪与网络数据窃取或篡改犯罪等,显然他本身不能直接闯入虚拟空间,而必须通过一定的计算机系统行事。没有可供操作的计算机登录网络,就不可能有形形色色的网络犯罪。在所有网络犯罪的过程中,计算机实际上起到了“帮凶”或“电子代理人”的角色,它虽然不是传统刑法学或犯罪学意义上的行为主体,但却实质上起到了协助犯罪的作用。  这就表明,大凡网络犯罪都至少经历过两个形成阶段:一是作案人操作计算机,敲打键盘等向外发出犯罪指令;二是有关犯罪指令以数字形式发出、传递与被执行。前者使得计算机实现了向作案“帮凶”或“代理人”的转变,后者使犯罪得以实现,这是网络犯罪的演变顺序;前者是在物理空间完成的,后者则处在虚拟空间。图2网络犯罪的空间模型  人们常说侦查犹如历史考古。侦查人员的思考方向必然与犯罪的演变顺序相反,他总是千方百计地“重建”过去的案件情况。在网络犯罪侦查中,这一“重建”的过程大致情形如下:他首先要找到作案的计算机,然后找到操作计算机犯罪的作案人,即遵循“事——机——人”模式。  这种新的侦查模式也相应地分为两个阶段:一是“从事到机”阶段,侦查人员要追根溯源定位到作案的计算机;二是“从机到人”阶段,侦查人员要对操作计算机的作案人进行同一认定。这两个侦查阶段有着重大的不同:(1)“从事到机”阶段是虚拟空间的侦查,而“从机到人”阶段则是物理空间的侦查;(2)前一阶段的任务是查找虚拟空间的“元凶”,后一阶段的任务则是认定物理世界的元凶;(3)前一阶段的依据是电子形式的痕迹物证(如比特流、电子指令、密码、IP地址、电子文件等),后一阶段的依据则是各种传统形式的证据;(4)前一阶段的侦查措施是各种技术手段,如网络监控、滤网、数据跟踪、计算机系统勘查、电子数据分析与鉴定等,后一阶段的侦查措施则是传统的取证手段,如讯问、询问、辨认、实地勘验、物理搜查等。如果说前一阶段的侦查是带有高科技性的,必须由网络警察或聘请的计算机专家等人员完成,那么后一阶段的侦查实际上仍属于典型的传统侦查,带有排查法的特点。图3现代的“事——机——人”侦查模式  以前文所说的操纵他人计算机实施的网络犯罪为例。假如美国某一黑客采取迂回曲折的手段非法访问美国国防部的数据库,他先登录到日本某网站,再转“道”澳大利亚某网站,然后借助德国某网站来攻击目标。黑客这一扑溯迷离的行为似乎不能追踪,其实他每登录一网站都在系统日志留下前一服务器设备IP地址等电子信息,通过追踪IP地址和分析系统日志等内容就能逐层追踪到其终端计算机,然后再结合传统的侦查手段侦破此案。在这样的侦查活动中,“从事到机”与“从机到人”两个阶段都是客观存在的。任何一个阶段的疏忽都将导致侦查工作的失败。具体来说,在“从事到机”阶段,如果侦查人员找到的不是作案人直接操纵的计算机,而是“傀儡机”,就不可能破案;同样,在“从机到人”阶段,如果侦查人员无法确定案发时操纵该计算机的人,也不能侦查终结。  总而言之,网络犯罪的侦查模式是一种新型的“事——机——人”模式。其中,既有传统侦查的影子,又有现代侦查的色彩。  三、新侦查模式可拓展用于传统犯罪的侦查  相比“从事到人”模式而言,“事——机——人”模式的突出优点在于有效地将物理空间与虚拟空间联系起来。它不仅揭示了虚拟空间中作案计算机“受雇”犯罪的真相,而且揭示了物理空间中作案人“指示”计算机犯罪的真相。准确地讲,不仅网络犯罪适用这种新侦查模式,任何横跨两大空间的传统犯罪亦可适用这种侦查模式。  现代信息技术的发展状况表明,虚拟空间不仅是指国际互联网空间。只要使用现代通信技术,就可能构成一个虚拟的数字空间,如手机信号空间、电话网空间、电报网空间以及计算机局域网空间等。某些传统犯罪的主要罪行可能发生在物理空间,但从属犯罪行为也可能出现在虚拟空间。假如作案人在实施杀人、抢劫、贩毒、爆炸等传统犯罪前后,通过手机、电话、电报、电子邮件、网络聊天或电子公告牌等方式传递或收集信息的,那么其犯罪地点就不仅仅是三维的物理空间,也拓展到一维的数字化空间中。  “事——机——人”模式显然可以在这些传统犯罪案件的侦查中发挥作用。例如,2003年2月25日,清华大学、北京大学两餐厅陆续发生两起爆炸案件。由于国内“两会”即将召开,警方面对强大的破案压力,成立了由刑侦总队、技术部门、保卫部门、网监部门等组成的专案组。现场勘查表明,这是两起有预谋的爆炸案件。于是,专案组安排警力进行全方位摸排,有的负责访问知情群众,有的负责对校内特殊人群、外来人口、出租房、旅店、商店进行清查走访,从犯罪动机、作案时间、技能条件、作案工具、物证条件、反常条件、个体条件与购物条件等八方面开展拉网式调查。这些调查方式便属于典型的“从事到人”模式。尽管通过这些强度极大的侦查措施基本查明了案情,但在确定嫌疑人方面未见实质性进展。  除此之外,本案中技术部门还对案发时现场附近的手机信号进行分析,试图从中发现嫌疑的手机号码;网监部门负责对内外网上相关信息进行搜索、过滤,一方面减少案件带来的负面影响,另一方面发掘嫌疑信息。事后证明,作案人黄某一路南下潜逃,并多次以“黄老邪”的网名登录互联网,并在“清华网”、“北大网”、“新华社网”、“中国网”等网站上发布信息。正是由于网监部门卓有成效的工作,黄某对犯罪所引发的“平淡”的社会反响甚为不满,于3月6日向北京大学新闻中心的电子邮箱发出一封自称是爆炸案制造者的匿名邮件。警方分析了邮箱名字、邮件内容与发出时IP地址,再通过该IP地址定位出犯罪嫌疑人发出邮件的物理位置——福州“猎人网吧”。最后警方顺藤摸瓜,通过将匿名邮箱登录手机报警、IP地址追踪、询问网吧服务员、化装网友与作案人开展网聊以及现场布控等方式,多管齐下将作案人一举抓获。  这种破案方式颇类似于国内外依靠电话跟踪技术破案的诸多范例。例如,1982年美国人史密斯向当地警察局举报,说他在家里接到了淫秽骚扰电话。警方开始调查,并在此过程中要求伊利诺斯州贝尔电话公司在举报者的电话上安装一个跟踪仪器,这个跟踪仪可以自动记录向举报人打来电话的号码。6月16日,史密斯先生又一次接到骚扰电话,跟踪仪显示拨打电话者是郝勒维克的电话。于是警方抓捕郝勒维克,将其送上了审判台。迄今为止,跟踪查找电话拨号源的做法,已经成为破获作案人利用电话实施犯罪案件的常态。  显而易见,无论是对手机信号的分析,还是IP地址定位、电话跟踪仪追踪等侦查手段,均属于“从事到机”的过程。这些侦查手段的直接目的不是要找出作案人,而是涉案的手机、上网计算机、电话机等,以便为确定作案人作准备。因此,这些案件虽然仍是传统犯罪,但其实际侦查模式也属于“事——机——人”之列。  当代犯罪的发展趋势表明,各种传统犯罪也不一定局限于物理空间。随着网络技术带来的通讯便利日益增强,随着犯罪人群能够越来越娴熟地使用各种网络技术,传统犯罪的一部分过程向虚拟空间渗透,也是一种不可阻挡的态势。因此,传统犯罪的侦查也存在高效利用网络侦查手段的必要性和可能性。  四、结语  网络究竟意味着什么?这是网络时代的人们必须思考的命题。对于以惩恶扬善为己任的警察而言,它不仅带来了巨大挑战,也孕育了新的侦破思路和武器。从传统的“从事到人”侦查模式,转变到“事——机——人”的新模式,将是侦查工作顺应时代发展的必然选择。不仅如此,传统的“从人到事”侦查模式相应地也向“人——机——事”新模式转变的问题,限于篇幅关系,在此不予展开。权且将文中的观点作为引玉之砖,笔者期待更多的专家学者关注网络时代的犯罪侦查这一宏大命题。      [参考文献]  张玉镶,文盛堂.当代侦查学[M].北京:中国检察出版社,1998.475-476.  何家弘.证据调查[M].北京:中国人民大学出版社,2005.169-170.  刘建华.论网络犯罪的运行机理与侦查模式[A].赵永琛,何家弘.侦查论丛:第1卷[C].北京:法律出版社,2003.309.   (作者系中国人民大学法学院副教授、法学博士,证据法学研究所副所长) 出处:山东警察学院学院200601

该内容非常好 赞一个

转发分享给更多朋友阅读

相关文章

我是公众
关注【遇事找法】
法律咨询有法律问题?直接发布咨询(不限时间,律师在线,有问必答)
我是律师
免费营销诊断
加盟热线400-8015-358 (周一至周日 8:30-21:00)

找法网,中国大型的法律服务平台,最早的法律咨询网站,能够为广大用户提供在线免费法律咨询服务。
CopyRight@2003-2020 findlaw.cn ALL Rights Reservrd 版权所有 广州网律互联网科技有限公司
粤公网安备 44010602002221号 增值电信业务经营许可证(粤ICP备10231287号-4
违法和不良信息举报电话:400-0993-290 举报邮箱:ls@ls.cn