王海林,井曉龍,魏慧雯

(中國人民公安大學(xué)， 北京 100038)

0 引言

2019年，公安部“凈網(wǎng)2019”專項(xiàng)行動工作偵破電信網(wǎng)絡(luò)詐騙案件8.5萬起，同比上升3.0%，抓獲犯罪嫌疑人5.14萬人，同比上升32.28%。同時(shí)，電信網(wǎng)絡(luò)詐騙案件數(shù)量年增幅在20%以上，中國互聯(lián)網(wǎng)絡(luò)信息中心于2020年4月28日發(fā)布的第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中顯示，2020年網(wǎng)民遭遇網(wǎng)絡(luò)詐騙的比例為23.3%，同比上升1.8%，網(wǎng)絡(luò)詐騙與個(gè)人信息泄露并列為網(wǎng)民遭遇網(wǎng)絡(luò)安全問題中占比最大的兩個(gè)部分，電信網(wǎng)絡(luò)詐騙犯罪形勢依然嚴(yán)峻。公安部聯(lián)合其他部門進(jìn)行偵破，取得了顯著成果，但是其破案率在所有刑事案件中仍是最低的。究其原因是因?yàn)殡娦啪W(wǎng)絡(luò)詐騙手段更新速度快，上下游犯罪產(chǎn)業(yè)鏈分工明確，并且利用網(wǎng)絡(luò)作為媒介，實(shí)施非接觸犯罪，給偵查工作帶來了困難。

僅應(yīng)用“從案到人”的偵查模式，從受害者報(bào)案后的時(shí)間節(jié)點(diǎn)進(jìn)行切入尋求破獲電信網(wǎng)絡(luò)詐騙犯罪的方法和手段是相對被動的，無法滿足電信網(wǎng)絡(luò)詐騙犯罪偵查的需求。當(dāng)前，從研究內(nèi)容看，黃首華[1]認(rèn)為傳統(tǒng)偵查模式不能滿足當(dāng)前電信網(wǎng)絡(luò)詐騙犯罪的偵查需要，提出用通信和資金兩種要素引導(dǎo)案件偵查；胡錦鑫[2]提出了在多環(huán)式優(yōu)化偵查思維指導(dǎo)下，以資金和人員信息穿透為基礎(chǔ)的網(wǎng)絡(luò)金融犯罪偵查模式優(yōu)化方案。但此種新型偵查模式?jīng)]有超出“從案到人”和“從人到案”偵查模式的概念范圍。本文基于“從人到案”偵查模式，探索其在電信網(wǎng)絡(luò)詐騙犯罪的應(yīng)用，從犯罪嫌疑人在犯罪預(yù)備和實(shí)施犯罪的過程中所暴露出的線索入手，獲取人員信息，掌握犯罪動態(tài)。

1 電信網(wǎng)絡(luò)詐騙犯罪偵查困境及偵查模式掣肘

1.1 電信網(wǎng)絡(luò)詐騙犯罪的偵查困境

電信網(wǎng)絡(luò)詐騙犯罪偵查活動需要偵查人員對犯罪嫌疑人的網(wǎng)絡(luò)虛擬身份與自然人身份進(jìn)行同一認(rèn)定，即從網(wǎng)絡(luò)空間數(shù)據(jù)逆向回溯目標(biāo)電子設(shè)備，再進(jìn)一步追溯物理空間行為人。當(dāng)前，偵查活動往往在案件發(fā)生后介入，物理空間和虛擬空間的隔離給偵查工作帶來一系列困難。

(1)案件發(fā)現(xiàn)難。犯罪行為人利用電信網(wǎng)絡(luò)作為媒介接觸受害者，兩者之間全程沒有接觸，非接觸作案隱蔽性強(qiáng)。同時(shí)，數(shù)據(jù)量龐大、種類繁多導(dǎo)致無法對犯罪團(tuán)伙的詐騙行為形成有效預(yù)警，偵查活動開展被動。

(2)后期取證難。犯罪團(tuán)伙會實(shí)時(shí)清理服務(wù)器信息，使得偵查人員可以收集的有效證據(jù)減少，并且難以挖掘犯罪活動之間深層次的聯(lián)系。

(3)追贓減損難。犯罪團(tuán)伙成員會迅速拆分匯款，將贓款洗白，詐騙、轉(zhuǎn)賬、拆分、取款時(shí)間間隔極短，虛擬空間和物理空間的隔離使得偵查人員難以對犯罪迅速作出反應(yīng)，獲取關(guān)鍵證據(jù)，降低犯罪損失。

(4)偵查串并案難。犯罪組織架構(gòu)逐漸完善，電信網(wǎng)絡(luò)詐騙犯罪網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈也已經(jīng)逐漸形成，以案件線索作為切入點(diǎn)使得偵查人員容易忽視與該案件無關(guān)但是與犯罪成員、組織架構(gòu)和犯罪產(chǎn)業(yè)鏈相關(guān)的線索，難以抓住核心犯罪要素進(jìn)行串并案；并且，由于詐騙活動針對不特定對象，使得基于案件線索的串并案容易受地域管轄的限制。

(5)追捕和打擊效果不佳。公安機(jī)關(guān)的嚴(yán)厲打擊使電信網(wǎng)絡(luò)詐騙犯罪在境內(nèi)發(fā)展受阻，通信、網(wǎng)上銀行和網(wǎng)絡(luò)技術(shù)的發(fā)展為境外作案提供了技術(shù)支持，典型網(wǎng)絡(luò)詐騙犯罪呈現(xiàn)出了境外作案的趨勢。對于已經(jīng)成形的犯罪團(tuán)伙，對其采取有效的打擊措施需要付出比犯罪團(tuán)伙未成形時(shí)更多的人力物力，并且難以打擊到團(tuán)伙核心，使得犯罪團(tuán)伙組織者依然可以在短時(shí)間內(nèi)重新組建犯罪團(tuán)伙，繼續(xù)作案。

1.2 電信網(wǎng)絡(luò)詐騙犯罪偵查模式掣肘

電信網(wǎng)絡(luò)詐騙犯罪偵查的效果取決于犯罪分子的專業(yè)度和偵查挖掘犯罪信息能力兩方面。當(dāng)前，犯罪手段日漸專業(yè)，急需提高整體偵查能力，僅調(diào)整偵查策略是無法滿足偵查需要的。偵查模式作為案件偵查的途徑，決定了偵查活動的切入點(diǎn)。

按照偵查活動著手時(shí)間點(diǎn)的標(biāo)準(zhǔn)劃分，“從案到人”偵查模式是案件發(fā)生之后，偵查人員運(yùn)用各種偵查措施獲取案件線索和證據(jù)，還原案件事實(shí)，將行為線索證據(jù)聚焦到具體犯罪嫌疑人的偵查方式?！皬娜说桨浮眰刹槟Ｊ绞窃诜缸镱A(yù)備、犯罪實(shí)施、犯罪完成的時(shí)間階段，借助數(shù)據(jù)庫和各項(xiàng)偵查業(yè)務(wù)手段，從犯罪嫌疑人已暴露的嫌疑信息和線索中尋找確認(rèn)其與特定案件之間聯(lián)系，發(fā)現(xiàn)并破獲一系列案件的偵查方式。其中，“人”不僅僅指人員信息，還包括由于犯罪嫌疑人活動所暴露出來的可能與犯罪相關(guān)的人員信息和活動線索。兩種偵查模式核心區(qū)別在于案件切入點(diǎn)，“從案到人”偵查模式從已發(fā)案件的信息和線索切入尋找犯罪嫌疑人，而“從人到案”偵查模式先鎖定具體犯罪嫌疑人，再尋找其與案件的聯(lián)系[3]。

當(dāng)前電信網(wǎng)絡(luò)詐騙犯罪的偵查模式兼具“從人到案”和“從案到人”，但更偏重“從案到人”。 “從案到人”偵查模式，側(cè)重在電信網(wǎng)絡(luò)詐騙犯罪發(fā)生之后再開展偵查活動，難以在短時(shí)間內(nèi)收集犯罪線索證據(jù)并偵破案件，回溯上游犯罪，追回財(cái)產(chǎn)，充分發(fā)揮偵查的主觀能動性。所以，側(cè)重于“從案到人”的偵查模式不能滿足網(wǎng)絡(luò)詐騙犯罪類案件的偵查要求。

偏重“從案到人”的原因之一，是沒有將大數(shù)據(jù)的分析手段應(yīng)用融合到偵查行為中。偵查人員不能僅限于在應(yīng)用“從案到人”的偵查模式的基礎(chǔ)上調(diào)整偵查策略和手段來應(yīng)對電信網(wǎng)絡(luò)詐騙犯罪，而是應(yīng)當(dāng)重視“從人到案”偵查模式的應(yīng)用，用大數(shù)據(jù)分析歷史案件，驅(qū)動偵查活動，分配偵查資源，提前開展偵查活動，擴(kuò)大對可疑人員的關(guān)注范圍，在犯罪完成之前及時(shí)發(fā)現(xiàn)線索和證據(jù)，變單一式的偵查思維為復(fù)合式偵查思維，更有利于公安機(jī)關(guān)掌握情報(bào)和線索，進(jìn)行監(jiān)控預(yù)警和及時(shí)反應(yīng)，提升整體偵查能力。

2 “從人到案”偵查模式在電信詐騙犯罪中的應(yīng)用

由于電信網(wǎng)絡(luò)詐騙基于資金運(yùn)作和信息應(yīng)用，所以“從人到案”和“從案到人”偵查模式都需要通過信息流和資金流進(jìn)行追查并提取證據(jù)，但“從人到案”的偵查模式強(qiáng)調(diào)將偵查活動介入犯罪的時(shí)間，提前動態(tài)監(jiān)控資金流和信息流數(shù)據(jù)，并自動識別虛擬空間和物理空間的信息和線索，追溯到犯罪嫌疑人再尋找與其相關(guān)的案件。

如圖1所示，“從人到案”偵查模式在電信網(wǎng)絡(luò)詐騙犯罪偵查中的應(yīng)用需要結(jié)合電信、銀行等部門業(yè)務(wù)，并深化與互聯(lián)網(wǎng)企業(yè)的合作，通過公安部統(tǒng)一搭建的網(wǎng)絡(luò)平臺，充分利用整合現(xiàn)有的信息資源，獲取資金流、信息流的數(shù)據(jù)，引入人工智能，梳理已偵破的案件進(jìn)行建模，實(shí)時(shí)獲取嫌疑人進(jìn)行犯罪活動所暴露出來的可能與犯罪有關(guān)的資金流和信息流線索，以此為基礎(chǔ)，結(jié)合人工核查，建立重點(diǎn)可疑人員數(shù)據(jù)庫，構(gòu)建動態(tài)監(jiān)控人員活動和信息線索研判的數(shù)據(jù)庫。在犯罪預(yù)備到犯罪實(shí)施完成的階段中，進(jìn)行犯罪嫌疑人的識別，異常流動資金情報(bào)研判，獲取跳轉(zhuǎn)服務(wù)器信息[4]。并根據(jù)所獲得的信息，碰撞犯罪嫌疑人同伙，判斷其在組織內(nèi)地位和作用，挖掘上游組織者，通過對異常流動資金監(jiān)控可疑洗錢賬戶，將資金流、信息流、人員流結(jié)合識別潛在受害者。主動出擊，將數(shù)據(jù)挖掘貫穿犯罪階段始終，尋找潛在的犯罪線索，引導(dǎo)系列案件偵查，追溯犯罪產(chǎn)業(yè)鏈，提高偵查活動效率。

2.1 犯罪預(yù)備階段：數(shù)據(jù)——人員——團(tuán)伙

這里的“數(shù)據(jù)”指犯罪團(tuán)伙成員進(jìn)行犯罪活動所暴露出的痕跡?！皵?shù)據(jù)——人員——團(tuán)伙”模式是用出境信息及線索確定嫌疑人，再進(jìn)一步追查上游組織者。

圖1 犯罪預(yù)備階段“數(shù)據(jù)——人員——團(tuán)伙”偵查流程圖

電信網(wǎng)絡(luò)詐騙犯罪實(shí)施和犯罪完成階段中犯罪痕跡相對于犯罪預(yù)備階段來說，犯罪團(tuán)伙會更注重掩蓋和消除作案線索和痕跡，例如，犯罪嫌疑人在犯罪實(shí)施過程中利用VoIP網(wǎng)絡(luò)電話呼叫留下的IP地址往往是浮動的或頻繁更換的，難以追溯其實(shí)際IP地址，洗錢時(shí)使用的是 “人頭卡”，難以獲取犯罪嫌疑人的真實(shí)身份。但在犯罪活動開始之前，犯罪團(tuán)伙的交流和活動大部分在境內(nèi)。偵查人員在犯罪預(yù)備階段，可以通過對特征分析提取，監(jiān)控資金流、信息流、人員流尋找未出境的潛在犯罪嫌疑人，并將人員信息歸入重點(diǎn)可疑人員數(shù)據(jù)庫。

(1)嫌疑人員數(shù)據(jù)穿透

電信網(wǎng)絡(luò)詐騙犯罪團(tuán)伙成員的識別借鑒深圳機(jī)場運(yùn)用大數(shù)據(jù)建立藏毒人員標(biāo)簽進(jìn)行人體藏毒人員識別的案例，通過對歷史發(fā)生過的案件和民航數(shù)據(jù)進(jìn)行共性分析，并以此為基礎(chǔ)構(gòu)建模型識別出境的犯罪團(tuán)伙技術(shù)人員和話務(wù)人員。

首先，基于對已破獲的電信網(wǎng)絡(luò)詐騙案件中犯罪團(tuán)伙成員的出行數(shù)據(jù)，進(jìn)行境外詐騙窩點(diǎn)和話務(wù)人員出境時(shí)空熱點(diǎn)的分析，尋找詐騙窩點(diǎn)的空間熱點(diǎn)、話務(wù)人員出境航班起飛地和目的地分布空間熱點(diǎn)，以及出境選擇時(shí)間熱點(diǎn)，結(jié)合出入境簽證信息，確定重點(diǎn)航班，對在時(shí)空熱點(diǎn)內(nèi)的航班進(jìn)行重點(diǎn)監(jiān)控，查找重點(diǎn)嫌疑人。其次，總結(jié)提取罪犯特征，如表1所示，其中包括籍貫、年齡、訂票方式、攜帶行李與否、行李的種類及數(shù)量、出境地點(diǎn)、同行人員、抵達(dá)機(jī)場的交通方式、選擇的出境班次、歷史出行和艙位選擇記錄、訂票與起飛時(shí)間差、出境滯留時(shí)間等特征，并建立相應(yīng)標(biāo)簽，以此為基礎(chǔ)使用機(jī)器學(xué)習(xí)技術(shù)識別并發(fā)現(xiàn)重點(diǎn)嫌疑人，對其進(jìn)行盤問。

表1 已破案件犯罪團(tuán)伙成員特征數(shù)據(jù)分類

(2)疑似團(tuán)伙成員橫向鎖定

在發(fā)現(xiàn)重點(diǎn)可疑人后，一方面通過數(shù)據(jù)研判在出境人員中尋找可疑人員，另一方面在旅行社反饋的可疑人員中核實(shí)比對，尋找同批出境人員的關(guān)聯(lián)。

對與可疑人員籍貫相似、出境時(shí)間相近的人員進(jìn)一步信息研判。首先，及時(shí)挖掘疑似團(tuán)伙成員信息人員及時(shí)挖掘并入庫。其次，基于以上人員的共同信息和社交、資金、軌跡、消費(fèi)信息進(jìn)行進(jìn)一步的數(shù)據(jù)挖掘，尋找范圍相近的可能與犯罪有關(guān)的人員。例如，使用相同種類的簽證關(guān)聯(lián)人員，之前生活軌跡并無交集，在出境前通過同樣的渠道進(jìn)入某公司服務(wù)，與相同的人產(chǎn)生了聯(lián)系，或者出行軌跡產(chǎn)生重疊，出境地和出境目的地相同等特征可以增加其為疑似團(tuán)伙成員的可能性?；谝陨闲畔?，通過信息流、資金流進(jìn)一步挖掘其他航班或其他出發(fā)地、目的地的可疑人員加入重點(diǎn)可疑人員數(shù)據(jù)庫。

偵查人員通過旅行社反饋鎖定疑似團(tuán)伙成員。上游組織者招募成員出境作案時(shí)需要辦理簽證購買機(jī)票，為了節(jié)省時(shí)間和成本，往往會選擇旅行社辦理以上業(yè)務(wù)，由于犯罪團(tuán)伙業(yè)務(wù)量較大，旅行社往往會派專人對接并幫其辦理業(yè)務(wù)，所以旅行社掌握著犯罪團(tuán)伙成員的身份和出行時(shí)間。通過犯罪團(tuán)伙成員出行的批次辦理、辦理旅游簽證、出境地點(diǎn)時(shí)間相近、出境時(shí)間長等特點(diǎn)，旅行社向偵查人員提供可疑人員信息，偵查人員核實(shí)人員信息后，與出境可疑人員信息進(jìn)行比對，可以得到更多同伙成員信息。

(3)上游組織者縱向追查

偵查人員通過實(shí)時(shí)抓取的形式動態(tài)監(jiān)控篩選資金流、信息流、人員流，并運(yùn)用數(shù)據(jù)挖掘的方法來梳理可疑人員的行為模式，尋找上游組織者。

犯罪團(tuán)伙組織者招募犯罪團(tuán)伙成員可以通過線下同鄉(xiāng)的地緣關(guān)系和短信、微信等社交交友軟件、網(wǎng)上發(fā)布招募信息的等方式。無論采取何種措施聯(lián)絡(luò)，在篩選成員的時(shí)候，都會留下記錄和痕跡，其中包括聊天記錄、出行信息、轉(zhuǎn)賬數(shù)據(jù)、賬戶信息。一方面，偵查人員在追查出境犯罪團(tuán)伙成員時(shí)，可以根據(jù)資金和網(wǎng)絡(luò)等信息循線追查上游犯罪嫌疑人，其表現(xiàn)出的形式是，使同伙人員的生活社交圈產(chǎn)生重疊，重疊的中心就有可能是組織者。另一方面，偵查人員通過調(diào)查與旅行社對接辦理業(yè)務(wù)的上游組織者，通過可疑人員與同行人員的軌跡碰撞，確定其是否與電信網(wǎng)絡(luò)詐騙犯罪存在關(guān)聯(lián)。

2.2 犯罪實(shí)施階段：呼叫——資金——犯罪

如圖2所示，“呼叫——資金——犯罪”是指建立可疑呼叫發(fā)現(xiàn)模型，動態(tài)監(jiān)控改號呼叫。偵查人員發(fā)現(xiàn)并核實(shí)犯罪后，通過已獲取的信息追溯相關(guān)的賬戶和犯罪嫌疑人。由于犯罪團(tuán)伙拆分資金和取現(xiàn)之間的時(shí)間間隔極短，所以將資金流、信息流結(jié)合，在犯罪實(shí)施階段發(fā)現(xiàn)潛在受害者，通過電話勸阻、凍結(jié)賬戶等措施及時(shí)止損。將研判獲得的信息與數(shù)據(jù)庫內(nèi)的可疑人員再進(jìn)行比對挖掘，完成從虛擬空間到自然人的追溯，并將信息歸入犯罪數(shù)據(jù)庫中。

圖2 犯罪實(shí)施階段“呼叫——資金——犯罪”偵查流程圖

(1)可疑呼叫確認(rèn)犯罪

當(dāng)前詐騙團(tuán)隊(duì)通常使用VoIP網(wǎng)絡(luò)電話呼叫受害人，VoIP網(wǎng)絡(luò)電話的特點(diǎn)是地址可變，偵查人員只能追查到跳轉(zhuǎn)服務(wù)器層面，難以追溯其IP地址，這使得在詐騙完成后定位詐騙團(tuán)伙所在位置成為難題。所以偵查機(jī)關(guān)不能僅僅依靠受害者報(bào)案后提供的線索信息來掌握詐騙情況，在特定受害者產(chǎn)生實(shí)際損失前，偵查人員應(yīng)主動出擊，通過與電信部門、360、騰訊等安全中心協(xié)作，對歷史案件和已經(jīng)攔截的可疑電話的撥打時(shí)間、呼叫范圍、呼叫來源、通話時(shí)長等信息進(jìn)行分析總結(jié)提取特征，建立可疑呼叫信息庫，構(gòu)建動態(tài)系統(tǒng)，實(shí)時(shí)識別境外VoIP網(wǎng)絡(luò)電話[5]。在詐騙團(tuán)隊(duì)呼叫特定受害者的同時(shí)，發(fā)現(xiàn)該行為。

偵查機(jī)關(guān)在可疑呼叫動態(tài)發(fā)現(xiàn)系統(tǒng)內(nèi)，檢測到可疑呼叫，可通過電話核查的方式判斷該號主是否為受害者，再通過凍結(jié)賬戶等方式進(jìn)行止損，并進(jìn)入對資金流的偵查。

(2)異常流動資金情報(bào)收集

異常流動資金是指犯罪進(jìn)行中犯罪分子獲取和轉(zhuǎn)移的贓款，在受害者和犯罪分子接觸時(shí)，受害者通過網(wǎng)上銀行或ATM機(jī)向犯罪分子帳戶進(jìn)行轉(zhuǎn)賬，以上兩種轉(zhuǎn)賬方式都會在銀行流水中體現(xiàn)，基于犯罪嫌疑人和受害者的銀行卡轉(zhuǎn)賬、取款流水信息開展偵查活動，有利于偵查人員掌握犯罪在資金方面的情況，掌握案件進(jìn)展。

在確認(rèn)詐騙電話后，追查犯罪團(tuán)伙提供的銀行卡號。當(dāng)前，犯罪分子所使用的銀行卡多是“人頭卡”，即他人實(shí)名辦卡后，犯罪團(tuán)伙從他人手中收購的銀行卡。針對“人頭卡”使用周期短、數(shù)量大的特點(diǎn)，偵查人員對該銀行賬戶的銀行流水進(jìn)行分析，包括一年之內(nèi)使用的時(shí)間段和時(shí)間長度、戶主信息、轉(zhuǎn)賬金額、轉(zhuǎn)賬地點(diǎn)、取款地點(diǎn)、網(wǎng)上銀行登錄地、賬戶間交易的頻率等，并對資金流向，按照犯罪分子多層轉(zhuǎn)賬拆解資金的順序，偵查機(jī)關(guān)可以掌握完整的資金拆解鏈條，通過群組化分析法識別核心賬戶，分析洗錢網(wǎng)絡(luò)的結(jié)構(gòu)和核心節(jié)點(diǎn)。在此基礎(chǔ)上，一方面，可以進(jìn)一步分析與該賬戶發(fā)生過轉(zhuǎn)賬行為的關(guān)聯(lián)銀行卡，挖掘線索，獲取資金流向并梳理各級賬戶的關(guān)系；另一方面，通過核心賬戶的登錄IP地址，可以迅速鎖定犯罪嫌疑人所在地，以便采取進(jìn)一步偵查行動。

(3)深挖潛在犯罪線索

資金流方面，偵查人員確定犯罪后，首先對關(guān)聯(lián)銀行卡交易明細(xì)進(jìn)行核查，通過資金流逐級分散的特點(diǎn)，判定轉(zhuǎn)賬交易的銀行卡是否與犯罪相關(guān)聯(lián)，嘗試通過同環(huán)境IP地址模糊檢索的方法突破物理隔離，尋找可能與犯罪有關(guān)的銀行賬戶，并調(diào)查其關(guān)聯(lián)的人員身份信息。

信息流方面，通過受害者提供的信息，攻破犯罪分子搭建的釣魚網(wǎng)站或軟件。一方面，在服務(wù)器中尋找其他潛在受害者有關(guān)的數(shù)據(jù)、如技術(shù)團(tuán)隊(duì)制作的虛假通緝令等圖片，以圖找圖，同源搜索，找出其他的潛在受害者，提前采取電話告知等措施，提高潛在受害者警惕性；另一方面，動態(tài)監(jiān)控獲取服務(wù)器數(shù)據(jù)，從中獲取IP地址和其他線索判定嫌疑人身份，從在境內(nèi)的技術(shù)人員入手，尋找與犯罪相關(guān)線索。通過嫌疑人軌跡、社交等數(shù)據(jù)，將犯罪實(shí)施階段確定的犯罪人員信息與重點(diǎn)可疑人員數(shù)據(jù)庫中人員信息進(jìn)一步比對，追溯其犯罪同伙和上游組織者。

2.3 犯罪完成階段：人員——案件——產(chǎn)業(yè)鏈

“人員——案件——產(chǎn)業(yè)鏈”是指：在犯罪完成的階段，偵查人員通過對偵查中案件嫌疑人活動信息等數(shù)據(jù)進(jìn)行人員畫像，進(jìn)一步挖掘一系列案件和犯罪產(chǎn)業(yè)鏈。如圖3所示，與“從案到人”偵查模式僅僅從犯罪完成的時(shí)間階段，運(yùn)用受害者提供的信息開展偵查的工作方式不同，“從人到案”偵查模式強(qiáng)調(diào)對3個(gè)犯罪階段的信息收集和情報(bào)導(dǎo)偵。對于在偵案件，借助在犯罪預(yù)備階段獲取入庫的重點(diǎn)嫌疑人員數(shù)據(jù)庫，有的放矢地幫助偵查工作開展，進(jìn)一步篩選重點(diǎn)人員。對于已經(jīng)破獲案件，通過將犯罪分子在犯罪信息與庫中人員信息進(jìn)行軌跡碰撞，進(jìn)一步尋找犯罪團(tuán)伙成員暴露出與案件相關(guān)的嫌疑人活動軌跡或者嫌疑信息，尋找與系列案件和犯罪產(chǎn)業(yè)鏈相關(guān)的人員。

圖3 犯罪完成階段“人員——案件——產(chǎn)業(yè)鏈”偵查流程圖

(1)在偵案件人員畫像

偵查人員對詐騙窩點(diǎn)的境外服務(wù)器進(jìn)行遠(yuǎn)程勘驗(yàn)，動態(tài)獲取詐騙窩點(diǎn)服務(wù)器IP并調(diào)取與IP同環(huán)境數(shù)據(jù)，通過與互聯(lián)網(wǎng)公司的合作，嘗試獲取與詐騙窩點(diǎn)IP同環(huán)境人員的支付寶賬號等虛擬身份信息。一方面，研判其關(guān)聯(lián)的手機(jī)號碼、郵箱等信息，模糊尋找異地通訊數(shù)據(jù)，發(fā)現(xiàn)其他團(tuán)伙成員[6]。再結(jié)合資金流、信息流的數(shù)據(jù)，結(jié)合監(jiān)控錄像，確定團(tuán)伙成員身份；另一方面，與庫中人員進(jìn)行比對,并結(jié)合犯罪分子單線聯(lián)系的特點(diǎn)，用網(wǎng)絡(luò)分析法厘清所獲取犯罪團(tuán)伙的關(guān)系，梳理犯罪團(tuán)伙組織構(gòu)架，尋找犯罪團(tuán)伙組織架構(gòu)的相關(guān)線索。

在受害者報(bào)案后，偵查機(jī)關(guān)通過將資金流與犯罪數(shù)據(jù)庫中的人員信息結(jié)合，對網(wǎng)上銀行登錄地IP地址、相關(guān)手機(jī)基站數(shù)據(jù)、住宿、出行、出境、消費(fèi)等數(shù)據(jù)進(jìn)行碰撞，可以進(jìn)一步深挖犯罪團(tuán)伙成員犯罪活動線索，鎖定涉案相關(guān)人員，并挖掘其與案件的關(guān)聯(lián)。同時(shí)通過節(jié)點(diǎn)的聯(lián)系頻率和數(shù)量梳理整個(gè)組織的人員架構(gòu)。通過其線上和線下的地址、銀行賬戶、郵箱、手機(jī)號碼、社交賬號等身份信息確定其他嫌疑人員的身份。為下一步出境追捕和取證工作打下基礎(chǔ)。

(2)已破案件數(shù)據(jù)挖掘

一個(gè)電信網(wǎng)絡(luò)詐騙犯罪案件的破獲是一系列電信網(wǎng)絡(luò)詐騙案件的突破口。對已經(jīng)確定的犯罪團(tuán)伙成員的身份、行為、關(guān)系信息、物品信息、賬戶信息進(jìn)行分析，尋找隱藏在案件數(shù)據(jù)中的人、事、地點(diǎn)的關(guān)聯(lián)關(guān)系[7]。通過出境記錄、出境時(shí)間、同行人員、訂票時(shí)間、停留在境外的時(shí)間和通緝記錄、犯罪記錄、嫌疑人籍貫、身份信息、人員關(guān)系等信息進(jìn)一步確認(rèn)身份，以此尋找出境人員和涉案資金流和信息流的關(guān)系，針對較為穩(wěn)定、使用時(shí)間長的通訊工具，例如犯罪團(tuán)伙之間微信、QQ、專聯(lián)手機(jī)號碼等通信信息，進(jìn)一步挖掘其人員關(guān)系。使用群組化分析法厘清通話記錄之間的關(guān)系，對高頻聯(lián)系人的身份進(jìn)行進(jìn)一步調(diào)查。

一個(gè)犯罪團(tuán)伙的信息是發(fā)現(xiàn)其他犯罪團(tuán)伙活動線索的切入點(diǎn)。對已掌握的犯罪團(tuán)伙成員人員特征、作案方式、信息軌跡等進(jìn)行分類分析與聚類分析，尋找更詳細(xì)的細(xì)節(jié)信息。由于同一個(gè)技術(shù)團(tuán)隊(duì)可能為數(shù)個(gè)犯罪團(tuán)伙提供技術(shù)服務(wù)，偵查人員可以通過犯罪團(tuán)伙的作案方式、劇本關(guān)鍵詞、釣魚網(wǎng)站和詐騙App、非法線路、偽基站等線索進(jìn)行串并分析，碰撞挖掘同類型的犯罪團(tuán)伙線索，并追溯到具體人員信息。

(3)挖掘犯罪產(chǎn)業(yè)鏈

當(dāng)前，犯罪產(chǎn)業(yè)鏈源頭性的犯罪是技術(shù)類、非法交易平臺類、虛假賬號注冊類網(wǎng)絡(luò)黑產(chǎn)犯罪，為電信網(wǎng)絡(luò)詐騙犯罪搭建網(wǎng)絡(luò)平臺。中游犯罪是電信詐騙等犯罪，下游犯罪是洗錢等犯罪。

在上游犯罪中，本人開通銀行卡售賣的行為當(dāng)前仍處于法律真空的狀態(tài)，借鑒深圳反詐中心與深圳市銀監(jiān)局協(xié)作的經(jīng)驗(yàn)，建立涉電信網(wǎng)絡(luò)新型違法犯罪高危人員動態(tài)管控庫。將所有注冊地與常用登陸地地址不同、手機(jī)號碼未實(shí)名的銀行卡納入該系統(tǒng)，并限制其網(wǎng)銀轉(zhuǎn)賬等行為。當(dāng)在資金鏈條中發(fā)現(xiàn)“高?！便y行卡涉案兩次以上，則其所有業(yè)務(wù)都需要去柜臺辦理，并且通過對涉案銀行卡卡主的詢問調(diào)查，獲得買賣銀行卡人員的信息。

在下游洗錢犯罪行為中，犯罪分子為了防止偵查人員追查資金流向，會在車手取款后存入指定的安全賬戶的過程中設(shè)置物理隔離，物理隔離成為阻止偵查人員深挖犯罪線索、發(fā)現(xiàn)整個(gè)犯罪產(chǎn)業(yè)鏈的阻礙。針對物理隔離，一方面，偵查人員可以通過分析安全賬戶的取存間隔、轉(zhuǎn)款時(shí)間、款項(xiàng)數(shù)額等特征點(diǎn)，建立安全賬戶的特征模型，結(jié)合曾經(jīng)與犯罪團(tuán)伙成員工資卡發(fā)生過轉(zhuǎn)賬行為的銀行卡的歷史轉(zhuǎn)賬記錄，進(jìn)一步擴(kuò)展線索，尋找安全賬戶，另一方面，結(jié)合ATM機(jī)冠字號查詢溯源防偽技術(shù)，當(dāng)車手存入現(xiàn)金時(shí)獲得其安全賬戶，并向上回溯安全賬戶的關(guān)鍵節(jié)點(diǎn)，對整條安全資金鏈進(jìn)行封堵，對該關(guān)鍵節(jié)點(diǎn)的過去活動進(jìn)一步追查，根據(jù)信息追溯犯罪人，結(jié)合其軌跡、所在地等信息核查其身份，判定其是否與洗錢行為有關(guān)，從技術(shù)層面減少受害者損失。

3 結(jié)論

本文探索“從人到案”的偵查模式在電信網(wǎng)絡(luò)詐騙犯罪的應(yīng)用，將兩種偵查思維和偵查模式結(jié)合起來，從犯罪預(yù)備、犯罪實(shí)施、犯罪完成的三個(gè)時(shí)間節(jié)點(diǎn)入手獲取并處理數(shù)據(jù)，以此為基礎(chǔ)追溯到具體犯罪人員信息，挖掘與其關(guān)聯(lián)的案件、同級上游人員信息和犯罪產(chǎn)業(yè)鏈信息。對于電信網(wǎng)絡(luò)詐騙犯罪，“從人到案”和“從案到人”兼?zhèn)洳?cè)重“從人到案”的偵查模式，能夠運(yùn)用情報(bào)合成作戰(zhàn)，充分發(fā)揮各部門和數(shù)據(jù)庫的作用，獲取傳統(tǒng)的偵查方法無法獲取的有效信息，采取傳統(tǒng)偵查模式無法采取的有效措施，充分發(fā)揮偵查人員的主觀能動性，提高電信網(wǎng)絡(luò)詐騙犯罪偵查活動的效率。