欒潤生，王超強，李 娜

（1.安徽公安職業(yè)學(xué)院 安徽合肥 230088；2.亳州市公安局 安徽亳州 236800）

大數(shù)據(jù)時代的數(shù)據(jù)化生存模式和犯罪的數(shù)據(jù)化新生態(tài)[1]，需要我們審時度勢、精心謀劃、超強布局、積極應(yīng)對。其中，比特幣勒索罪是值得高度的一種新型犯罪活動。2017年，全球多地爆發(fā)了勒索病毒，有150多個國家的超過30萬臺計算機、10萬個組織或機構(gòu)以及個人受到感染，其中包括美國、西班牙、法國、德國、俄羅、英國以及中國等全球各地多個企事業(yè)單位、高校和部分政府機構(gòu)計算機信息系統(tǒng)受到影響。對此類犯罪，我們要充分挖掘犯罪特點、理清犯罪脈絡(luò)，做到深入分析、系統(tǒng)偵查、科學(xué)取證、全面治理。

2009年，一位名叫SatoshiNakamoto的計算機程序員發(fā)表研究報告：《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》（Bitcoin：A Peer-to-Peer Electronic Cash System），表達了他對電子貨幣的創(chuàng)新思路[2]。比特幣（BitCoin）作為一款開源軟件，以P2P的網(wǎng)絡(luò)形式存在的數(shù)字貨幣，但是這種貨幣不同于傳統(tǒng)的貨幣，它的支付系統(tǒng)是去中心化，無第三方監(jiān)管[3]。筆者認為，其沒有內(nèi)在價值不能兌換其他商品，但卻在法律的邊緣游走，比如暗網(wǎng)上的交易，大多數(shù)都是以比特幣等價交換，同時，其沒有實物形態(tài)，不具有法定貨幣，更無任何政府、法律實體監(jiān)管支持。

2013年12月3日，中國人民銀行等五部委聯(lián)合發(fā)布了“關(guān)于防范比特幣風(fēng)險的通知”（以下簡稱《通知》）。該《通知》將比特幣列為一種虛擬商品?！锻ㄖ芬螅焊鞔蠼鹑凇⒅Ц稒C構(gòu)不得從事與比特幣有關(guān)的業(yè)務(wù)、服務(wù)和結(jié)算工具等；各交易平臺、網(wǎng)站要切實履行好法律賦予的反洗錢義務(wù)，如：嚴格身份識別、及時提交可疑交易報告等，有效防范與比特幣相關(guān)的洗錢風(fēng)險①。2017年底，央行聯(lián)合多部委，決定引導(dǎo)中國境內(nèi)存在的虛擬貨幣礦場“有序退出”，但對區(qū)塊鏈及其底層技術(shù)，則是持積極鼓勵的態(tài)度。區(qū)塊鏈分布式體系結(jié)構(gòu)、數(shù)據(jù)驗證和存儲、對等網(wǎng)絡(luò)協(xié)議、加密、一致性算法、身份認證、智能合約和云計算等多類技術(shù)是當(dāng)前網(wǎng)絡(luò)信息技術(shù)發(fā)展的主流。2016年12月，國務(wù)院發(fā)布的《“十三五”國家信息化規(guī)劃》把區(qū)塊鏈技術(shù)、量子通信技術(shù)等一系列新興技術(shù)列為基礎(chǔ)性創(chuàng)新研發(fā)和前沿性前瞻布局項目②[4]。

一、比特幣敲詐勒索犯罪現(xiàn)狀

（一）比特幣敲詐勒索犯罪的特點

2017年5月，WannaCry蠕蟲通過MS17-010漏洞在全球大范圍爆發(fā)，感染了大量未打系統(tǒng)漏洞補丁的計算機（多為XP系統(tǒng)），感染并植入病毒，將電腦系統(tǒng)內(nèi)的各類文件加密、鎖閉，然后彈窗提示：需支付一定價值的比特幣方可解鎖。并要求受害者用戶在一定時間內(nèi)支付一定數(shù)量的比特幣到攻擊者給出的支付地址——比特幣錢包中去，超過期限贖金金額將會逐漸增加[5]。

被病毒加密鎖死的文件類型包括：

我們以比特幣敲詐勒索犯罪在A省2017年間發(fā)生的多起案件為例，通過對其梳理，分析其特點、流程和相關(guān)犯罪后果。這是其偵查治理對策制定的重要依據(jù)。具體情況（如表1）。

表1 2017年A省比特幣相關(guān)犯罪簡表③

（二）比特幣敲詐勒索犯罪構(gòu)成

通過對比特幣敲詐勒索犯罪進行解構(gòu)，特別是從“WannaCry”事件來看[6]，比特幣敲詐勒索犯罪及其他相關(guān)犯罪已經(jīng)不再是所謂的“黑暗角落”，而是漸漸走向公眾視野。

目前我國《刑法》針對計算機網(wǎng)絡(luò)犯罪主要規(guī)定了4種罪名：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪；破壞計算機信息系統(tǒng)罪。

非法侵入計算機信息系統(tǒng)罪，本罪的犯罪對象是“特殊系統(tǒng)”。一般指使用木馬等黑客手段，具有相當(dāng)高的技術(shù)含量。但是，即使不使用技術(shù)手段，獲取了“特殊系統(tǒng)”的賬號密碼登入查看、獲取相關(guān)數(shù)據(jù)信息也構(gòu)成“侵入”事實。

非法獲取計算機信息系統(tǒng)數(shù)據(jù)和非法控制計算機信息系統(tǒng)的犯罪，是指除了侵入“特殊系統(tǒng)”之外的“普通系統(tǒng)”。

提供入侵和非法控制計算機信息系統(tǒng)里的程序、工具等的犯罪行為，其危害的是計算機信息系統(tǒng)的管理秩序。

破壞計算機信息系統(tǒng)的犯罪行為，具體而言有三種形式：破壞計算機信息系統(tǒng)功能；增刪、修改或破壞計算機信息系統(tǒng)里的數(shù)據(jù)和應(yīng)用程序；傳播計算機病毒。

“WannaCry”病毒屬于“蠕蟲型病毒”，能夠自我復(fù)制、傳播，并且通過加密數(shù)據(jù)程序破壞了計算機系統(tǒng)的數(shù)據(jù)和正常功能，被攻擊或感染的計算機信息系統(tǒng)的軟件或硬件無法正常運行，計算機系統(tǒng)中的數(shù)據(jù)和程序被加密，無法正常使用。這種行為與破壞計算機信息系統(tǒng)罪的犯罪構(gòu)成一致。對系統(tǒng)內(nèi)加密的文件，聲明支付一定比特幣才能解密相威脅，明顯是為了非法獲利，符合敲詐勒索罪的犯罪構(gòu)成。由此可見，病毒索財觸犯了破壞計算機信息系統(tǒng)罪和敲詐勒索罪兩個罪名。

2017年3月29日接黃某某報警稱：2017年3月26日8時許，A省Y公司有限公司負責(zé)人黃某某發(fā)現(xiàn)其公司服務(wù)器計算機儲存的文件均被加密，且該計算機桌面上收到一封英文郵件，該郵件稱其公司計算機文件已被攻擊加鎖，如果想解鎖的話，必須支付六個“比特幣”。當(dāng)時一個“比特幣”價值5500元錢，6個“比特幣”價值33000元錢，且該郵件同時標(biāo)注了購買“比特幣”的鏈接。

針對該起案件就是典型的“勒索病毒”案，且案發(fā)是在當(dāng)年比特幣大肆爆發(fā)的前兩個月（2017年5月12日，比特幣“勒索病毒”全面爆發(fā)）。黃某某隨即報警，并描述了當(dāng)時的情形。根據(jù)詢問筆錄，公司員工上班發(fā)現(xiàn)公司掃描等系統(tǒng)無法使用，隨即查看服務(wù)器發(fā)現(xiàn)文件被加密并附有英文勒索界面，警方當(dāng)時也是第一次遇到這種案件，而后立案偵查，開展工作。

后筆者回訪得知：公司服務(wù)器密碼設(shè)置過于簡單并系統(tǒng)老舊存在攻擊漏洞，后通過朋友獲得一個解密程序并成功解密了部分被加密的文件。此類比特幣犯罪的勒索錢財特征明顯，作案技術(shù)手段先進，偵查困難較多，取證過程復(fù)雜，整體辦案工作難度較大。

二、大數(shù)據(jù)背景下比特幣敲詐勒索犯罪的偵查取證

（一）比特幣交易過程解析

對于偵查取證工作來講，梳理其交易流程至關(guān)重要。具體操作流程是：用戶在比特幣客戶端發(fā)起一項交易時，這項交易會向全網(wǎng)廣播并等待網(wǎng)絡(luò)中其他用戶節(jié)點的確認；網(wǎng)絡(luò)節(jié)點把那些接收到并等待確認的交易機型打包，形成新的候選區(qū)塊，并且通過計算隨機字符串放入塊中，使得候選塊的散列結(jié)果滿足某些條件，一旦節(jié)點計算滿足條件的隨機數(shù)字符串，這一區(qū)塊即被視為“合法”，并可以嘗試在網(wǎng)絡(luò)中廣播；當(dāng)其他的網(wǎng)絡(luò)節(jié)點對你廣播出去的區(qū)塊信息進行驗證并且確認無誤后，它作為一個合法的新區(qū)塊添加到他自己維護的區(qū)塊鏈上；當(dāng)大多數(shù)節(jié)點將塊添加到由其自身維護的區(qū)塊鏈結(jié)構(gòu)時，網(wǎng)絡(luò)接受該塊，并且確認塊中包括的交易，從而完成交易[7]。區(qū)塊鏈保存的記錄，記錄著每一筆發(fā)生的比特幣交易，并且在這個記賬系統(tǒng)開始時它就已經(jīng)存在。而在網(wǎng)絡(luò)中人們分享并保存著公眾日志，每個人都會保存一個日志。在我們現(xiàn)實生活中的貨幣，大都是有一個中央機構(gòu)來發(fā)行，這些機構(gòu)控制著貨幣的發(fā)行量。比特幣是一種“點對點”系統(tǒng)，沒有中央機構(gòu)和第三方。比特幣是誰來發(fā)行的呢，實際上是由用戶們來發(fā)行的，是這些用戶促成了網(wǎng)絡(luò)交易的進程，成為“比特幣挖礦”。

（二）比特幣敲詐勒索犯罪偵查取證難點

由于沒有集中發(fā)行方、總量有限、使用不受地域限制和匿名性這四個主要特點④，導(dǎo)致涉及相關(guān)案件偵查取證存在一定難度。

1.匿名性：信息資料認證難。由于比特幣在交易過程中沒有第三方介入，買賣雙方是點對點交易，且他們的身份是加密的，沒有個人信息轉(zhuǎn)移。由于比特幣的去中心化，即主要的交易不在中心化交易所完成，即比特幣的轉(zhuǎn)賬行為不歸任何的中心化實體監(jiān)管，因此也就很難做到比特幣賬戶地址信息（“虛擬信息”）⑤與個人現(xiàn)實中的身份信息（“真實信息”）對應(yīng)，而在追查該類案件中的首要出發(fā)點就是信息身份的確認。由于比特幣的注冊是開放性的，這使得一些注冊審核信息是虛假的，因為只要滿足一定的注冊條件即可通過審核成功注冊。在網(wǎng)絡(luò)服務(wù)中，后臺服務(wù)的管理者或?qū)徍苏?，僅僅是對其提供的資料進行審核，也就是通常理解的認證不認人。所以，只要“虛擬信息”與“真實信息”失去關(guān)聯(lián)性，比特幣地址信息擁有者就會做到絕對的匿名。至少有以下兩種交易方式能做到接近絕對匿名：一是使用現(xiàn)金當(dāng)面交易。即A支付現(xiàn)金給B并得到B的等價比特幣完成交易。這種交易的方式需要A與B的高信任度；二是使用混幣服務(wù)?；鞄欧?wù)是深網(wǎng)中的一種常見服務(wù)，即A有200枚比特幣分別向B和C轉(zhuǎn)賬了50枚和100枚比特幣，其算法不是A減少了150枚，B、C增加50、100枚，而是以“重新生成”的表現(xiàn)方式：A、B各有150、50枚，接著A、C各有50、100枚。

2.無監(jiān)管、無地域限制的復(fù)雜性：證據(jù)鏈形成難、取證難。由于該類犯罪主要是在網(wǎng)絡(luò)虛擬空間進行，所以在收集證據(jù)方面多是以電子數(shù)據(jù)證據(jù)為主。電子數(shù)據(jù)具有的易失性、隱蔽性、易篡改性使得利用比特幣為支付手段實施違法犯罪的過程中，在偵查取證方面困難重重。一是比特幣的數(shù)量難以確定與追查。由于比特幣的匿名性導(dǎo)致其在交易中的比特幣數(shù)量的傳輸、變化記錄、匿名策略等都存在一定的確認困難。在計算機科學(xué)中，匿名性主要是指使用假名和去關(guān)聯(lián)性兩類。無論是從比特幣地址還是數(shù)量上都可以使用假名、無關(guān)聯(lián)的方式達到匿名。如：同一用戶的不同比特幣地址鏈接、不同交易鏈接的關(guān)聯(lián)以及發(fā)送方與接收方的關(guān)聯(lián)。對于涉嫌對象，其計算機技術(shù)水平會高于一般人員，因此在反偵查意識、能力以及隱藏、刪除日志記錄等方面都會給偵查取證帶來一定程度的難度，證據(jù)鏈難以形成。缺乏必要的客觀電子數(shù)據(jù)證據(jù)及比特幣交易平臺的自我保護等特征，對偵查工作有一定的抵觸情緒或者存在不配合的情況，這也是加大偵查難度的原因之一[8]。

（三）比特幣犯罪偵查取證的突破

現(xiàn)代的電子商務(wù)中，用戶在商品交易時需要提供某些個人信息，使得交易與現(xiàn)實中的個人信息存在關(guān)聯(lián)，是調(diào)查取證的基礎(chǔ)。一些公司使用類似入侵的手段來追蹤用戶偏好，包括用于指紋識別的HTML5API技術(shù)；跨設(shè)備跟蹤；瀏覽器隱私功能解決方案等可以從未提交的表單中嗅探數(shù)據(jù)。

首先，公司將已經(jīng)購買產(chǎn)品的相關(guān)廣告推送給用戶，通過付款流程可以觀察到用戶的購物車、結(jié)賬信息；其次，通過跟蹤支付過程，可以分析用戶是否購買了用于推送廣告的項目，是否已經(jīng)支付了。所以，通過一定的技術(shù)設(shè)計完全可以把這種被動的攻擊技術(shù)轉(zhuǎn)化為主動的調(diào)查取證技術(shù)。然而，比特幣的匿名與完全匿名的事物不同，他有一個交易記錄（transaction-record），每一個比特幣和每一個比特幣用戶的加密身份的完整交易記錄都會保存在公共賬簿上。因此，比特幣交易被認為是化名的，是相對匿名的交易[9]。針對比特幣的匿名性，考慮如下調(diào)查取證思路：

1.可追溯性。比特幣用戶通常是透露自己的身份以獲取服務(wù)或商品，而基于區(qū)塊鏈比特幣交易，所有的交易記錄都會在分類賬單上有所體現(xiàn)，也就是說這些交易記錄會被公開且永久地記錄在公共賬本上，所以是可追溯的。即使如CoinJoin⑥此類混合服務(wù)——將無法確定輸入、輸出之間的映射關(guān)系從而增加可追溯性難度，但對于大多數(shù)交易，可追溯依然具備條件的。

2.地址關(guān)聯(lián)性。比特幣的匿名一方面是假名，另一方面就是無關(guān)聯(lián)，由于比特幣交易的記錄確認與區(qū)塊鏈特性，這些交易記錄會被公開且永久地記錄在公共賬本上，所以為真實身份與比特幣地址關(guān)聯(lián)提供了實現(xiàn)條件。用戶創(chuàng)建了一個比特幣地址，一旦使用，它將涉及到具有該地址的所有交易的歷史鏈接。任何人都可以看到他們交易的余額和所涉及的比特幣地址。當(dāng)比特幣同一用戶的不同地址以及不同交易可以鏈接在一起時，便可根據(jù)這些操作痕跡進行調(diào)查取證。因為每個交易的輸入、輸出必然會在區(qū)塊鏈中公開并鏈接在一起，而如果能夠通過查看區(qū)塊鏈，使交易鏈接的發(fā)送人能夠與交易的接收者相關(guān)聯(lián)，特別是在調(diào)查交易和從其他賬戶購買相關(guān)賬戶時，區(qū)塊鏈上的關(guān)聯(lián)信息將更加明了。

3.IP地址可獲取性。根據(jù)點對點的網(wǎng)絡(luò)特性，通過監(jiān)聽交易或者中繼便可以得到并記錄它的IP，因此通過一定的技術(shù)手段，比特幣交易中的IP地址是完全能夠被記錄下來的[10]。即使使用代理或跳板也可使用網(wǎng)絡(luò)追蹤溯源技術(shù)獲取交易者真實IP和設(shè)備MAC。

（四）反思與總結(jié)

隨著對比特幣去匿名技術(shù)的研究越來越深入，比特幣“犯罪”也在利用各種技術(shù)增強匿名性，而最新的攻擊技術(shù)以及去匿名算法的不斷改進都可以用更多的輔助信息將身份附加到一些集群，如網(wǎng)絡(luò)層去匿名、標(biāo)簽集群、地址聚類等。

比特幣調(diào)查取證主要包括：知道一個人的個人可識別信息如名稱和電子郵件；在比特幣交易過程中獲取相關(guān)的跟蹤信息；追蹤比特幣交易并關(guān)聯(lián)特定的比特幣地址；根據(jù)比特幣地址獲取該個人的所有交易情況；比特幣調(diào)查取證所使用的關(guān)鍵技術(shù)和工具等。

三、構(gòu)建比特幣敲詐勒索犯罪的大數(shù)據(jù)偵查治理體系

比特幣勒索犯罪的發(fā)生、發(fā)展作為當(dāng)前社會公共安全領(lǐng)域的一類新型犯罪活動，更加需要公安機關(guān)用新思維進行研究、用新方法進行偵查、用新思路進行取證、用新政策進行治理，需要利用當(dāng)前大數(shù)據(jù)優(yōu)勢，努力做到偵、防、打、控、治系統(tǒng)化。

當(dāng)前，大數(shù)據(jù)時代為犯罪偵查治理工作的跨越式發(fā)展提供了難得的機遇，我們要充分發(fā)揮大數(shù)據(jù)作用，以大數(shù)據(jù)時代海量的數(shù)據(jù)資源為基礎(chǔ)，以先進的大數(shù)據(jù)技術(shù)為支撐，以創(chuàng)新的大數(shù)據(jù)思維為引領(lǐng)，公安機關(guān)各警種、各部門、各地區(qū)開展大數(shù)據(jù)合成偵查[11]，做到精準(zhǔn)打擊、科學(xué)取證、有效辦案、成功訴訟。以公安機關(guān)為引領(lǐng)，聯(lián)合銀行部門、金融機構(gòu)、電信部門、互聯(lián)網(wǎng)企業(yè)等社會其他部門做到發(fā)現(xiàn)及時、監(jiān)督有效、管理科學(xué)、安全運行。各方共同努力，在比特幣敲詐勒索犯罪的各個環(huán)節(jié)，用大數(shù)據(jù)進行預(yù)警預(yù)測、技術(shù)管控、偵查打擊、取證訴訟、協(xié)同作戰(zhàn)，構(gòu)建起比特幣敲詐勒索犯罪的有效偵破技戰(zhàn)術(shù)。

另一方面，相關(guān)單位和個人應(yīng)使用正版正規(guī)軟件，及時對計算機系統(tǒng)及相關(guān)軟件的升級更新，加強安全技術(shù)的學(xué)習(xí)普及，做到“自防”和“外防”相結(jié)合。相關(guān)部門要加強對于相關(guān)行業(yè)、企業(yè)和個人的軟硬件系統(tǒng)的安全支持。同時，應(yīng)加大宣傳力度，引起相關(guān)行業(yè)、企業(yè)和個人的高度重視，加強日常的系統(tǒng)升級、安全防護和數(shù)據(jù)安全。全社會分工負責(zé)，齊抓共管，數(shù)據(jù)共享、協(xié)同配合，達到比特幣敲詐勒索犯罪的系統(tǒng)化治理。

四、結(jié)語

中國特色社會主義已經(jīng)進入了新時代，我國社會主要矛盾已經(jīng)轉(zhuǎn)化為人民日益增長的美好生活需要和不平衡不充分的發(fā)展之間的矛盾[12]。與之相對應(yīng)，在新時代犯罪偵查治理領(lǐng)域的主要矛盾表現(xiàn)為：人民群眾日益增長的公共安全需要和犯罪偵查治理不平衡不充分之間的矛盾[13]。比特幣勒索犯罪作為當(dāng)前社會公共安全領(lǐng)域的一類新型犯罪活動，是犯罪數(shù)據(jù)化生態(tài)的典型代表。對于此類新型犯罪的偵查治理，需要大數(shù)據(jù)的助力，更需要我們在新時代有新思維、新方法、新手段，努力使新型犯罪的治理體系和治理能力現(xiàn)代化，使新時代各行業(yè)、各部門和廣大人民群眾的“軟硬件系統(tǒng)”安全感和財產(chǎn)安全感不斷增強。

[注釋]：

①《中國人民銀行工業(yè)和信息化部中國銀行業(yè)監(jiān)督管理委員會中國證券監(jiān)督管理委員會中國保險監(jiān)督管理委員會關(guān)于防范比特幣風(fēng)險的通知》（銀發(fā)〔2013〕289號，以下簡稱“《通知》”）。

②《國務(wù)院關(guān)于印發(fā)“十三五”國家信息化規(guī)劃的通知》（國發(fā)〔2016〕73號）。

③根據(jù)公安部門相關(guān)案例資料進行整理所得。

④五部委發(fā)布的《關(guān)于防范比特幣風(fēng)險的通知》（銀發(fā)〔2013〕289號）對比特幣的屬性特點認定。

⑤在比特幣網(wǎng)絡(luò)里，身份信息只是一串27-34位的字符。

⑥CoinJoin是一種無信任的方法，可將多個消費者的多個比特幣支付合并到一個單一交易中，使外部各方更難以確定哪個消費者支付哪個接收者或收件人。與許多其他隱私解決方案不同，CoinJoin交易不需要修改比特幣協(xié)議。https：//en.bitcoin.it/w iki/CoinJoin。