计算机网络犯罪“人机合一”问题的识别与探索

王丰

摘 要：计算机网络犯罪案件数量日益增长。因该类犯罪的特殊性，案件办理中如何锁定犯罪嫌疑人成为突出问题。当前对计算机网络犯罪案件电子证据的取证、审查的研究探讨已达白热化，但办案实践中对确定案件嫌疑人等证据链的实质性审查还停留于办理传统刑事案件的固有思维。在现有条件下高效、客观办理计算机网络犯罪案件，不仅需要立足于新的证据模式，更需要在新证据类型下探究新的审查模式，才能做到不偏不倚、有的放矢。

关键词：网络犯罪 人机合一 远程取证 电子证据

计算机网络犯罪案件中，如何确定犯罪人与犯罪事实同一性，即“人机合一”的识别，已经成为横亘在司法工作人员面前的难题。认识和理解“人机合一”问题，不仅是刑事程序问题，更是事实评价问题。

一、识别：“人机合一”的内涵与特征

（一）何为“人机合一”

计算机网络犯罪案件中的“人机合一”与人工智能领域的“人机合一”在内涵和外延上均大相径庭。人工智能领域的“人机合一”又名“人机交互”，即系统（机器）对用户要求的理解和服从。[1]而计算机网络犯罪案件中的“人机合一”则着眼于客观行为与行为人的同一，强调的是人对系统（机器）所发出的指令或操作行为。“人机合一”问题的存在，主要在于解决犯罪行为系“何人所为”的问题。由于计算机网络犯罪具有操控行为的远程性、手段隐蔽性等特征，即使发现犯罪行为，也很难立即确定犯罪人，这是导致该类案件发生后无法及时被侦破的主要原因，也是目前其进入刑事诉讼进程后遭遇到的首要问题。

（二）“人机合一”的特征

1.“人机合一”是进行刑事立案的前提。刑事诉讼法要求发现有犯罪事实或犯罪嫌疑人才可进行刑事立案，说明犯罪事实和犯罪嫌疑人的确定不仅是立案的要求，也是确定管辖的要求。两高一部相关司法解释确定计算机网络犯罪案件的管辖的规定中，明确与犯罪嫌疑人有关的网站服务器所在地等多个地点均有管辖权。由此可见，无论是确定立案标准还是确定管辖地，都需要确定犯罪事实的发生和犯罪嫌疑人的存在。而解决“人机合一”问题的主要目的在于确定犯罪人和犯罪发生地，这是区分一个行为是否构成刑事犯罪的前提。

2.“人机合一”是实施案件侦查的目的。追究犯罪人的刑事责任是刑事诉讼的核心目的之一，这要求侦查机关把握证据，锁定犯罪嫌疑人。计算机网络犯罪的发生、发展离不开嫌疑人的操控，而该类犯罪具有的隐蔽性等特征客观上又造成了确定、抓获嫌疑人的过程中会出现诸多难题。近年来刑侦技术、手段的发展，虽然为案件的查处提供了极大帮助，但面对高智能性、隐蔽性集中的计算机网络犯罪案件，确定犯罪主体已不能固守原有侦查思维的窠臼。确定犯罪嫌疑人在何处，操纵哪些计算机网络终端设备/系统，使用哪些网络服务设备以及获得哪些网络服务商的帮助，都是该类案件中必须要查明的事实。

3.“人机合一”是推动诉讼进程的核心。刑事诉讼的核心任务在于确定行为主体、查明犯罪事实并科以刑事处罚。围绕确定行为主体这一问题进行取证、论证，无疑就抓住了追诉犯罪的核心。“人机合一”问题正是计算机网络犯罪案件的证据链核心，一切诉讼活动均要服务于发现、解决该问题，并最终达到“犯罪事实清楚、证据确实充分”的标准。

二、探究：“人机合一”下的侦查与取证

与传统犯罪形式相比，计算机网络犯罪缺少物质性痕迹，其犯罪目的与动机的特殊性、犯罪证据的即时性和不可物化性特征，使得该类犯罪行为不易被发现、识别和侦破，也导致难以确定犯罪主体及其行为，这是“人机合一”问题出现的根源。

（一）做实信息研判，确定侦查策略

在计算机网络犯罪案件中，许多被害人在报案时并不能确定犯罪人的身份、所在地或具体行为，这需要侦查机关在接到报案后迅速展开线索筛查，及时确定嫌疑人及其犯罪行为，为实施抓捕和取证提供指引。

1.诱惑犯罪行为，掌握犯罪动向。（1）针对计算机网络系统的技术型犯罪，如黑客攻击、非法窃取、删改各种信息、数据等行为，可建立与原系统相似的模拟系统，而当嫌疑人再次实施类似行为时，将其诱入到虚拟系统中来，而将真正的信息系统隐藏起来，利用此类技术手段锁定嫌疑人。鉴于各类网络犯罪的论坛层出不穷，侦查人员也可伪装成有共同诉求的黑客，在网络聊天室或论坛上与其建立联系，“以黑制黑”，也可同步实施秘密取证。[2]（2）针对通过计算机网络实施侵财类或者破坏国家社会管理秩序类的犯罪，如网络“黄赌毒”犯罪，侦查人员可通过假扮消费者来秘密取证，这与传统类型的诱惑侦查方法相似。

上述“诱惑”式侦查，其目的在于确定嫌疑人和犯罪行为的存在，为获取嫌疑人信息提供帮助。在设置模拟陷阱时要注重原有数据的保护，对其进行镜像备份，并应对网络系统进行实时监控。在实施上述侦查活动时，侦查人员切勿为抓捕而进行“钓鱼”式侦查，否则将影响全案的合法性处置。

2.使用技术手段，追踪犯罪人员。在追踪、定位犯罪人员上，不仅要依靠侦查机关自身的技术手段，也需依赖社会第三方技术力量的支持。（1）利用技术手段确定犯罪人员所在区域和硬件状况。除了少数网络攻击类犯罪外，多数普通涉网类犯罪行为均可对犯罪人员进行监控追踪。以传统的IP追踪技术为例，利用IP地址分析技术，结合ISP服务商提供的数据，以确定嫌疑人的具体位置及所在网络属性、操作系统、用户类型等物理信息，这一技术早已得到广泛应用。[3]同时，可通过分析入侵者所使用的网络软件及手段，对其特征进行分析，进而通过相关数据的收集与分析，确定其具体信息。时机一旦成熟，就可对其实施抓捕。（2）利用新型支付数据完成对犯罪人员身份等信息的锁定。在以“非法牟利”为目的的网络犯罪领域，多数交易行為均以支付数据来体现。侦查机关可以借助支付平台提供的相关支付数据来判断嫌疑人的身份和财产信息。相较于其他技术追踪手段，这一方式具有及时性、低成本性等优点，目前已被广泛应用于网络技术、侵财类案件的侦破中。

（二）关注“犯罪现场”，固定一手证据

在计算机网络犯罪案件中，“犯罪现场”并非一般意义上的“犯罪人实施犯罪行为的场所”，不仅包括行为人操控计算机系统（硬件）的现场，例如存放计算机硬件设备的区域，也包括被行为人所利用，用于接收操控指令并实施犯罪行为的网络终端设备所在地，例如机房、服务器托管方等地。确定“犯罪现场”是锁定“人机合一”的关键，只有在“犯罪现场”发现行为人操控设备实施犯罪的相关证据，才能确定犯罪行为人，实现排他目的。针对“犯罪现场”的取证，关键在于硬件设备的扣押、提取和电子数据的勘验、固定。

1.现场控制与戒备。计划好的侦查、抓捕活动实施后，侦查人员应即刻控制全部在场人员，保证各硬件、终端前的原有人员停止操控、不可移动，并立即将在场人员与其被抓捕前所使用的硬件设备进行逐一编号，做到“人机一一对应”，为下一步固定个人行为打好基础。

2.固定、隔离犯罪现场。禁止无关人员进出现场或接触现场设备，现场物品一律禁止翻动或带出，对现场的网络设备等物品及现场布局进行拍照。同时，要即刻切断现场设备的联网线路，以防止他人远程删除或破坏犯罪证据。如因工作需要无法断开联网线路，应立即更改有关的网络口令或密码，防止数据丢失。[4]

3.提取、固定现场电子数据。对现场已确定收集的数据进行复制备份，复制过程应按照法定流程实施。对复制的电子数据，在确定不破坏现场的前提下，可通过正常显示后拍照或打印，后由见证人确认签字进行证据固定，并根据上述勘查情况及时制作《现场勘查笔录》和现场图。

4.远端数据的同步调取。除涉案人员被抓获的第一现场外，非第一现场（机房、服务器所在地等）的设备数据也应安排技术侦查人员同步调取、固定。对于云端服务器上的数据，应在抓捕的同时要求运营商停止服务，并按侦查机关要求调取服务器日志等数据，在抓捕后及时提交。另外对可能存在犯罪痕迹及侦查线索的非现场物品（网络设备、数据备份、数据存储介质等）可异地进行登记封存，防止有关设备损坏或存储数据遭到破坏，待该案刑事诉讼结束后，视情况决定是否解封。

（三）重视言词证据，完善案件信息

尽管侦查活动的关键核心在于获取客观性证据，以证实“人机合一”中系“何人”使用“何机”实施了犯罪行为。但因计算机网络犯罪过程隐蔽，往往只有涉案人员才了解作案过程，很难有其他第三方证人（技术提供者除外）知晓其中详情。因此，犯罪嫌疑人对于作案过程的供述和辩解以及被害人关于受害过程的陈述尤为重要。

1.犯罪嫌疑人的供述和辩解。核实身份。嫌疑人的身份，不仅包括姓名、年龄、职业、工作、住址、手机号码、有无前科等现实身份信息，还应包括犯罪嫌疑人在网络活动中使用过的虚拟身份。涉及共同犯罪的，应当讯问同案人员的上述身份信息。同时，应关注嫌疑人有无信息技术知识背景，是否涉及专业人才网络犯罪。

核实作案工具。嫌疑人在网络活动中使用过的作案工具，包括QQ、微信、直播平台等社交工具;移动支付、银行账户等支付结算工具;电脑、手机等硬件设备;利用第三方网络平台或通过第三方服务器自行建立的平台;作案工具的获取方式、存储状态（硬盘、邮箱）等。现场提取的电子证据可由有关单位或个人出具包含其内容的书面证明，证明的内容应与勘验检查笔录中记录的内容相符，并交嫌疑人核实。

核实作案过程。嫌疑人实施网络犯罪行为的具体时间、地点、角色、作案手段及获取财物的方式、资金流向等。涉及共同犯罪的，应当讯问同案人员间的沟通、分工模式、赃款赃物分配方案等情况。有条件的，应当在第一次讯问嫌疑人时即让其操作演示作案经过（包括使用账号、密码登录涉案网站、软件等），并同步录音录像或截图保存。由侦查人员操作的，应当将操作经过交嫌疑人核实。

对嫌疑人的讯问过程，不仅要求供述、解释作案的过程，更重要的是听取其对作案行为的辩解。在确定相关软、硬件设备由嫌疑人操作的基础上，通过其供述了解作案的原理及流程，核实其作案行为，方能做到“事半功倍”。

2.被害人陈述。核实身份，包括被害人等涉案人员的现实身份和网络虚拟身份。重点查明基本身份信息和网络支付、社交工具信息，以及是否为弱势群体（残疾人、老人、未成年人、在校学生等）。

核实发案经过。包括被害人遭受损失时使用的网络虚拟身份及与对方交涉、造成损失的具体经过，被害过程中涉及本人及对手使用的网页网址信息、支付结算工具、网络通讯工具以及造成损失的具体情况。

核实报案情况。对于未报案的被害人，询问未及时报案的原因;已报案的，应调取之前的报案记录进行核实。对于被害人能够提供相关被害证明材料（如网站、链接等）的，侦查人员应当记录并调取，作为证据使用。若被害人无法提供相关证明材料，但与其他已报案的被害人属于相同被害模式的，在其有详细陈述之后可将已报案被害人提供的证明材料交由该被害人阅看、确认。侦查人员也可在有条件的情况下，在询问时让被害人操作、演示案发经过并对相关证据进行固定;由侦查人员操作的，应当将操作过程交由被害人核实。

非主动报案被害人的处理。由于同一案件中有相当数量的被害人无法在第一时间发现其受害的事实，公安机关可根据相关证据倒查后发现被害人。一般情况下被害人会分散于各地，这也给取证工作造成较大困难。侦查机关通过协查方式发现、找到被害人的，可按照前述的询问方式对该被害人进行取证。

三、求索：“人机合一”审查与确定

“人机合一”问题着眼于犯罪主体与犯罪客观方面的关系，即论证“人”与“机”之间的关系，而计算机网络犯罪案件的特殊性要求必须综合分析所获取的全部证据。因此，如何整合证据并形成完整证据链，是办理此类案件的关键。

（一）审查犯罪主体

1.审查犯罪主体的身份及所处环境。对嫌疑人不仅要审查其刑事责任能力，更重要的是审查其身份、技术背景，包括其所受的教育、职业、喜好、社会关系、所在区域环境等等。通过其供述和辩解以及所调取的涉及其身份信息等书证，审查其教育、職业特点，可以知悉其犯罪能力，例如网络信息专业人员具有此类犯罪的天然优势;审查其喜好或社会关系（所处环境），可以得知其犯罪成因，例如许多电商类诈骗的嫌疑人往往是淘宝卖家，从事电信网络诈骗活动的人员多数来自福建等地。

2.审查犯罪主体的利益需求。实施犯罪必有所图，利益需求正反映出嫌疑人主观上的犯罪意图。审查利益需求，不仅要看其供述或辩解，更要注意其犯罪收入、资金流动和销赃方式。根据从银行及第三方网络支付平台调取的嫌疑人交易记录，查找其获取资金的渠道、账户特点，是否有洗钱的行为，进而反推其获利来源的非法性。同时有必要結合对嫌疑人使用的网络终端或硬件的电子勘查记录，查明其作案工具中有无交易记录，通过硬件设备中交易记录的印证，更容易判断嫌疑人的主观故意和客观行为。

（二）审查客观行为

1.审查初查线索，勘查犯罪痕迹。审查客观行为的主线，始于通过侦查机关提供的被害人报案材料，可以发现其遭受损失的时间、地点及方式;并结合侦查机关的发、破案经过，进一步明确公安机关确定嫌疑人的侦查过程。在明确这一主线的基础上，利用公安机关在初查时发现的各类犯罪痕迹，例如对被害人硬件设备勘查的电子数据，或者被害人遭受财产损失的交易记录，可以印证侦查机关的侦查路径与方式是否得当，说明犯罪主体的嫌疑来源是基于客观证据得出。

2.追踪犯罪痕迹，确定作案设备。现有侦查手段下，确定犯罪嫌疑的主要方式是被侵害方设备中的犯罪痕迹与嫌疑人所使用设备中的犯罪痕迹具有同源性。例如，在DDOS攻击案件中，通过被攻击网站服务器日志的勘查可发现其攻击流量来自某台被该DDOS攻击软件控制的“肉机”（服务器），而对该“肉机”服务器日志的勘查发现攻击指令来源于某个硬件终端，而对该终端的勘查则发现安装DDOS攻击软件并有指令发出，据此即可确定嫌疑人所使用的设备。[5]至于其中的技术问题，则需要侦查机关提供一系列详实、可靠的勘查、实验报告或鉴定意见，通过审查这些报告或结论，辅之以其他专业人员证言等技术类证据，核实作案设备的使用情况，并锁定作案嫌疑。

3.整合犯罪设备，证实行为归属。即使发现了作案设备并确定其权属，仍会有部分嫌疑人提出未实施操作行为的辩解。此时则需要回顾之前发现的一系列犯罪线索等证据，通过对犯罪设备进行勘察后提取的数据，与嫌疑人的身份背景信息、操作信息及交易数据等一系列电子数据相整合，确定系其操纵该设备实施了犯罪行为。当然，因个案差异，这里需要具体问题具体分析，但遵循上述分析模式，相信得出的证据链可以证实全案的主要犯罪事实。

注释：

[1]参见吴玲达等：《多媒体人机交互技术》，国防科技大学出版社1999年版，第3页。

[2]参见殷启新、贾学明、陈煜：《计算机网络犯罪侦查技术及策略研究》，《计算机安全》2008年第4期。

[3]参见张跃仙：《网络犯罪侦查的IP定位跟踪技术研究》，《信息网络安全》2011年第6期。

[4]参见王军：《网络犯罪侦查中证据体系的建立》，《网络安全技术与应用》2003年第10期。

[5]参见张永铮等：《DDOS攻击检测和控制方法》，《软件学报》2012年第8期。