張 羽, 楊永川

(中國人民公安大學(xué),北京 100038)

0 引言

信息時(shí)代的來臨促使網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)應(yīng)用技術(shù)得到快速的發(fā)展,也為其在日常社會(huì)生活中的應(yīng)用鋪平了道路。但任何高新技術(shù)本質(zhì)上都是一柄雙刃劍,在給人們?nèi)粘Ｉ顜砭薮蟊憷耐瑫r(shí),也帶來了更多的安全隱患。計(jì)算機(jī)犯罪作為一種新興的犯罪形式,以其高科技性、高隱蔽性以及匿名性正逐步得到越來越多的網(wǎng)絡(luò)安全專家與社會(huì)有識之士的重點(diǎn)關(guān)注。計(jì)算機(jī)犯罪案件本質(zhì)上不同于一般的行政或刑事案件,它具有時(shí)空跨度大、發(fā)生與存在時(shí)間短以及隱蔽性強(qiáng)的特點(diǎn),對社會(huì)的危害性也絕不亞于一般的刑事案件。但由于一般計(jì)算機(jī)犯罪案件難發(fā)現(xiàn)、難認(rèn)定、難處理,尤其是缺少可信的能用于定罪量刑的電子證據(jù),大部分計(jì)算機(jī)犯罪案件都未能得到有效的處理,這不僅影響到了正常的社會(huì)、經(jīng)濟(jì)秩序,也助長了部分不法分子的囂張氣焰。據(jù)公安機(jī)關(guān)統(tǒng)計(jì),1999年我國偵破的計(jì)算機(jī)犯罪案件有400余起,2000年飆升至 2 700起,2001年達(dá)到 4 500起,2003年高達(dá) 1萬多起,到了 2005年計(jì)算機(jī)案件上升至 21 000起。如何有效地發(fā)現(xiàn)、打擊和預(yù)防計(jì)算機(jī)犯罪,成了公安、司法機(jī)關(guān)在信息社會(huì)亟待解決的重大問題。

1 計(jì)算機(jī)犯罪偵查淺析

一次完整的計(jì)算機(jī)犯罪過程,從時(shí)間軸上分析,可大致分為三個(gè)階段,同傳統(tǒng)犯罪一樣,也存在犯罪準(zhǔn)備階段、犯罪實(shí)施階段以及證據(jù)消亡階段。

圖1 計(jì)算機(jī)犯罪時(shí)間軸分析

在犯罪準(zhǔn)備階段,犯罪嫌疑人需要收集大量與犯罪目標(biāo)相關(guān)的系統(tǒng)信息,這既包括使用技術(shù)手段獲取的計(jì)算機(jī)信息、網(wǎng)絡(luò)配置信息,也包含使用社會(huì)工程手段獲取的物理環(huán)境信息等。不同于一般的刑事犯罪案件,計(jì)算機(jī)犯罪案件的犯罪準(zhǔn)備階段有可能會(huì)持續(xù)一個(gè)非常長的時(shí)期。在進(jìn)入犯罪實(shí)施階段后,計(jì)算機(jī)犯罪的特殊性更是顯露無遺,由于計(jì)算機(jī)犯罪案件本身具有時(shí)空跨度大、發(fā)生時(shí)間短以及隱蔽性高的特點(diǎn),通常還不等被害人察覺,犯罪過程已經(jīng)基本結(jié)束。在犯罪實(shí)施結(jié)束后,計(jì)算機(jī)犯罪通常還有一個(gè)比較明顯的證據(jù)消亡階段,在這個(gè)階段,計(jì)算機(jī)犯罪過程中所殘留下的一些寶貴的證據(jù)信息,會(huì)由于嫌疑人人工破壞或自然的方式逐漸消亡,如果不能采取及時(shí)有效的措施加以固定保存,下一步的偵查工作將難以繼續(xù)進(jìn)行。

計(jì)算機(jī)犯罪偵查就是為了揭露和證實(shí)計(jì)算機(jī)犯罪案件,查獲犯罪嫌疑人,在犯罪消亡階段或者犯罪實(shí)施階段,依法收集相應(yīng)的電子證據(jù),進(jìn)行專門的調(diào)查和實(shí)施強(qiáng)制性措施的活動(dòng)。在計(jì)算機(jī)犯罪偵查過程中,我們不僅需要建立與時(shí)俱進(jìn)的取證技術(shù)工具體系,更重要的是擺脫傳統(tǒng)偵查思維方式的影響。目前,計(jì)算機(jī)犯罪案件的偵查大多是根據(jù)以往經(jīng)驗(yàn),參考傳統(tǒng)刑事案件的理論指導(dǎo)開展工作,忽視了計(jì)算機(jī)犯罪案件自身的特點(diǎn),使得相關(guān)案件的偵破受到了很大的阻礙。有鑒于此,本文結(jié)合各地、各部門的實(shí)際調(diào)研經(jīng)驗(yàn),以計(jì)算機(jī)應(yīng)用技術(shù)為基礎(chǔ)平臺,借鑒形式化建模方法,提出一個(gè)適合計(jì)算機(jī)犯罪案件的偵查模型。該模型主要適用于公安機(jī)關(guān)開展的刑事偵查活動(dòng),旨在為一線偵查人員提供清晰、明確的理論與技術(shù)指導(dǎo)。

2 計(jì)算機(jī)犯罪偵查模型

偵查本質(zhì)上是一種訴訟活動(dòng),是刑事訴訟程序中的一個(gè)重要階段,具有嚴(yán)格的法律規(guī)范性。一般偵查活動(dòng)的主要任務(wù)有:收集證據(jù);查明犯罪事實(shí),認(rèn)定犯罪嫌疑人;查獲犯罪嫌疑人;制止和預(yù)防犯罪。其中最重要的兩大目的是查明事實(shí)真相和獲取可用于定罪量刑的相關(guān)證據(jù)。對于計(jì)算機(jī)犯罪偵查,根據(jù)其特點(diǎn),結(jié)合偵查基本程序,建立計(jì)算機(jī)犯罪偵查模型 M如下。在此模型中,非特別指出的情況下一般主體均限定為公安機(jī)關(guān)。

計(jì)算機(jī)犯罪偵查模型 M為一個(gè)標(biāo)準(zhǔn)三元組:

M=(S,E,T)

其中,狀態(tài)集合 S=(事件通知階段,響應(yīng)準(zhǔn)備階段,偵查階段,處置階段);事件集合 E=(受案,立案,不予立案,破案,補(bǔ)充偵查,偵查終結(jié))。

轉(zhuǎn)換函數(shù)集合

T={Aβ→B|(A,B)∈ S,β∈ E}

轉(zhuǎn)換規(guī)則以圖示形式表示如下。

圖2 計(jì)算機(jī)犯罪偵查模型

對于模型 M,從宏觀上分析,將一次完整的計(jì)算機(jī)犯罪偵查流程分解為幾個(gè)階段(狀態(tài)),不同狀態(tài)根據(jù)輸入事件不同,遵循一定的事件轉(zhuǎn)換函數(shù)跳轉(zhuǎn)至下一個(gè)特定狀態(tài)。其中“事件通知階段”為該模型的起始狀態(tài),也是空閑狀態(tài),此狀態(tài)可以根據(jù)內(nèi)在條件判斷啟動(dòng)該模型,在實(shí)際應(yīng)用當(dāng)中主要根據(jù)接報(bào)案件線索決定是否啟動(dòng)此偵查模型,模型空閑時(shí)也是在此狀態(tài)等待?！疤幹秒A段”是該模型的終止?fàn)顟B(tài),此狀態(tài)需要根據(jù)偵查情況對案件做出不同的處理決定,并觸發(fā)相應(yīng)的事件引導(dǎo)模型回歸初始狀態(tài)或進(jìn)入下一特定狀態(tài)。不同狀態(tài)遵循特定的轉(zhuǎn)換規(guī)則搭建起整個(gè)計(jì)算機(jī)犯罪偵查模型,同時(shí),每個(gè)狀態(tài)內(nèi)部也都存在自己的事件處理模塊。

2.1 事件通知階段

“事件通知階段”負(fù)責(zé)將計(jì)算機(jī)案件的發(fā)生通知給公安機(jī)關(guān)偵查部門,以便做進(jìn)一步處理。該狀態(tài)的轉(zhuǎn)換規(guī)則函數(shù)有{(事件通知階段,受案)→響應(yīng)準(zhǔn)備階段}。“事件通知階段”包含的事件處理模塊如圖3所示。

圖3 事件通知階段結(jié)構(gòu)圖

如圖3所示,一般來說,計(jì)算機(jī)犯罪案件的發(fā)現(xiàn)和接報(bào)有多種形式,常見的包括:公民報(bào)案、自查、協(xié)查。公民報(bào)案不僅包括受害單位和個(gè)人報(bào)案,也包括知情人舉報(bào)。自查是指公安機(jī)關(guān)利用特殊技術(shù)手段,自己發(fā)現(xiàn)計(jì)算機(jī)犯罪案件線索或事實(shí)的情況。比如公安機(jī)關(guān)的網(wǎng)監(jiān)部門通過網(wǎng)絡(luò)布控、日常監(jiān)查等預(yù)警機(jī)制發(fā)現(xiàn)計(jì)算機(jī)案件線索,通過監(jiān)控手段發(fā)現(xiàn)危害社會(huì)的有害信息等。協(xié)查通常也分為兩種情況,一種是不同地區(qū)同警種之間關(guān)于計(jì)算機(jī)犯罪案件的合作,另一種是不同警種間相互協(xié)作辦理同一案件。

“事件通知階段”針對來源信息,啟動(dòng)內(nèi)部的事件處理模塊,判斷接收到的信息是否包含基本犯罪事實(shí)。對于認(rèn)為可能包含犯罪事實(shí)的案件線索,由“事件通知階段”開始啟動(dòng)計(jì)算機(jī)犯罪偵查模型,并觸發(fā)“受案”事件,模型進(jìn)入“響應(yīng)準(zhǔn)備階段”。否則,模型繼續(xù)等待。

2.2 響應(yīng)準(zhǔn)備階段

“響應(yīng)準(zhǔn)備階段”由案件響應(yīng)模塊、取證準(zhǔn)備模塊和初查模塊組成。“事件通知階段”將“受案”事件傳遞給“響應(yīng)準(zhǔn)備階段”后,首先交由案件響應(yīng)模塊對案件進(jìn)行初步處理,包括受案登記、制訂偵查策略、確定取證對象等,同時(shí)通知取證準(zhǔn)備模塊進(jìn)行必要的取證準(zhǔn)備工作。取證準(zhǔn)備模塊得到通知后,為案件的調(diào)查提供各方面的準(zhǔn)備,包括人員準(zhǔn)備、技術(shù)、工具準(zhǔn)備等,完畢后通知案件響應(yīng)模塊已準(zhǔn)備就緒。案件響應(yīng)模塊得到準(zhǔn)備就緒的通知后,開始組織初查,圍繞是否有犯罪事實(shí)發(fā)生、是否需要追究刑事責(zé)任、是否符合管轄原則三個(gè)大的方面展開初步調(diào)查工作。根據(jù)初查結(jié)果,若認(rèn)為沒有犯罪事實(shí),或者犯罪情節(jié)顯著輕微不需要追究刑事責(zé)任,或者具有其他依法不追究刑事責(zé)任情形的,觸發(fā)“不予立案”事件,并回轉(zhuǎn)至“事件通知階段”,模型中止,繼續(xù)等待;若認(rèn)為存在犯罪事實(shí),則觸發(fā)“立案”事件,模型跳轉(zhuǎn)至“偵查階段”?！绊憫?yīng)準(zhǔn)備階段”包含的轉(zhuǎn)換規(guī)則函數(shù)主要有:{(響應(yīng)準(zhǔn)備階段,立案)→偵查階段,(響應(yīng)準(zhǔn)備階段,不予立案)→事件通知階段}。其包含的事件處理模塊如圖4所示。

(1)案件響應(yīng)模塊

案件響應(yīng)模塊是“響應(yīng)準(zhǔn)備階段”中的核心數(shù)據(jù)模塊,負(fù)責(zé)與其他模塊的統(tǒng)籌響應(yīng),是整個(gè)“響應(yīng)準(zhǔn)備階段”的指揮中樞。模型進(jìn)入“響應(yīng)準(zhǔn)備階段”后,首先啟動(dòng)案件響應(yīng)模塊,對“受案”事件進(jìn)行處理,并根據(jù)案情制訂相應(yīng)的偵查策略,確定取證工作方向并進(jìn)行任務(wù)劃分,同時(shí),給取證準(zhǔn)備模塊發(fā)送“取證準(zhǔn)備通知”消息。在收到來自取證準(zhǔn)備模塊“準(zhǔn)備就緒通知”的消息后,對準(zhǔn)備情況進(jìn)行檢查,符合要求后開始組織初查。總體來說,案件響應(yīng)模塊的主要功能函數(shù)包括:受案登記、決策指揮、同取證準(zhǔn)備模塊的相互協(xié)調(diào)以及組織初查四部分。

圖4 響應(yīng)準(zhǔn)備階段結(jié)構(gòu)圖

(2)取證準(zhǔn)備模塊

取證準(zhǔn)備模塊是后續(xù)調(diào)查取證過程中的一個(gè)關(guān)鍵環(huán)節(jié),為取證工作提供了各項(xiàng)前期準(zhǔn)備,是保障取證工作順利進(jìn)行的基礎(chǔ)。取證準(zhǔn)備模塊主要提供兩大方面的功能。一是人員準(zhǔn)備,包括在取證之前對人員的培訓(xùn),以便有效的鑒別、尋找、收集、分析電子證據(jù)。二是技術(shù)、工具準(zhǔn)備。一般來說,至少要必備以下一些工具設(shè)備:系統(tǒng)處理軟件、數(shù)據(jù)備份軟件、數(shù)據(jù)恢復(fù)軟件以及基本的固件設(shè)備,比如便攜的取證工具箱等。

(3)初查模塊

初查是檢察機(jī)關(guān)或者公安機(jī)關(guān)的偵查部門,根據(jù)案件管轄范圍和立案標(biāo)準(zhǔn),對已經(jīng)受理的案件進(jìn)行立案偵查前的初步調(diào)查核實(shí)。它是介于“受案”和“立案”之間的一種特殊的調(diào)查活動(dòng),主要用于確定犯罪事實(shí)是否存在和是否具有立案偵查的可能性。初查對于計(jì)算機(jī)犯罪偵查具有重要意義,不僅是甄別證據(jù)、定性立案的首要前提,而且是提高破案效率、打擊犯罪的關(guān)鍵環(huán)節(jié)。

在實(shí)施過程中,初查應(yīng)該圍繞是否有犯罪事實(shí)發(fā)生、是否需要追究刑事責(zé)任、是否符合管轄原則三方面開展工作,具體需要查清以下具體問題:案件管轄的法定性、主體身份的確定性、材料事實(shí)的可靠性、危害程度的嚴(yán)重性、疑點(diǎn)發(fā)展的邏輯性、犯罪存在的可能性和刑事追究的排他性。

2.3 偵查階段

“偵查階段”包含物理取證模塊和數(shù)字取證模塊,其主要負(fù)責(zé)“立案”后對案件的偵查活動(dòng)。物理取證模塊負(fù)責(zé)計(jì)算機(jī)犯罪現(xiàn)場的確定以及隨之展開的現(xiàn)場勘查活動(dòng),而數(shù)字取證模塊則是在此基礎(chǔ)上進(jìn)行電子證據(jù)的識別、保存、收集、檢查以及分析活動(dòng)。在整個(gè)偵查活動(dòng)中,數(shù)字取證模塊根據(jù)數(shù)字分析結(jié)果,有可能需要協(xié)調(diào)物理取證模塊對現(xiàn)場進(jìn)行重新勘查,以獲取一些不完整的證據(jù)信息。在犯罪事實(shí)得到證據(jù)確認(rèn),相關(guān)嫌疑人或主要犯罪嫌疑人已經(jīng)歸案的情況下,觸發(fā)“破案”事件,模型跳轉(zhuǎn)至“處置階段”。該狀態(tài)的轉(zhuǎn)換規(guī)則函數(shù)有{(偵查階段,破案)→處置階段}。其包含的事件處理模塊如圖5所示。

圖5 偵查階段結(jié)構(gòu)圖

(1)物理取證模塊

物理取證模塊是“偵查階段”的初始模塊,在接到“立案”事件后即開始啟動(dòng)。物理取證模塊主要對計(jì)算機(jī)犯罪案件發(fā)生的現(xiàn)場、可能包含涉案電子數(shù)據(jù)的物理介質(zhì)進(jìn)行初步調(diào)查,獲取與案件有關(guān)的物理證據(jù),以備后續(xù)的數(shù)字取證。物理取證模塊遵循的是傳統(tǒng)意義上的偵查流程,其包含的主要功能函數(shù)有計(jì)算機(jī)犯罪現(xiàn)場確定以及犯罪現(xiàn)場勘查。

一般計(jì)算機(jī)犯罪現(xiàn)場都可以明確分為物理現(xiàn)場和數(shù)字現(xiàn)場兩部分,通過對計(jì)算機(jī)犯罪現(xiàn)場的發(fā)現(xiàn)與識別,有助于確定偵查方向,縮小偵查范圍,對后續(xù)的現(xiàn)場勘查、數(shù)字取證工作也存在直接影響。計(jì)算機(jī)犯罪現(xiàn)場確定也是物理取證的首要任務(wù)。

在確定犯罪現(xiàn)場的基礎(chǔ)上,需要展開進(jìn)一步的現(xiàn)場勘查工作,確定需要調(diào)查的物理對象及其他相關(guān)線索,為下一步的數(shù)字取證提供準(zhǔn)備。一般計(jì)算機(jī)犯罪案件的現(xiàn)場勘查應(yīng)當(dāng)包含以下主要內(nèi)容:①現(xiàn)場保護(hù);②現(xiàn)場訪問;③實(shí)地勘察,現(xiàn)場搜索;④現(xiàn)場勘查記錄;⑤識別、收集、保存物理證據(jù);⑥特殊電子數(shù)據(jù)的獲取。

(2)數(shù)字取證模塊

數(shù)字取證模塊是整個(gè)“偵查階段”的核心,也是整個(gè)計(jì)算機(jī)犯罪偵查模型的關(guān)鍵,如何有效地獲取與案件相關(guān)的電子證據(jù)是貫穿整個(gè)偵查流程中最重要的任務(wù)。數(shù)字取證模塊在物理取證模塊對犯罪現(xiàn)場進(jìn)行勘查的基礎(chǔ)上,對其獲取的相關(guān)實(shí)物證據(jù)進(jìn)行數(shù)字分析,以從中發(fā)現(xiàn)有價(jià)值的電子證據(jù)。數(shù)字取證模塊中包含的功能函數(shù)有:①電子證據(jù)識別;②電子證據(jù)保存;③電子證據(jù)收集;④電子證據(jù)檢查;⑤電子證據(jù)分析。

2.4 處置階段

“處置階段”是計(jì)算機(jī)犯罪偵查模型的最終狀態(tài),是對偵查取證活動(dòng)的終了和總結(jié),標(biāo)志著偵查取證活動(dòng)的結(jié)束。“處置階段”涉及兩個(gè)不同機(jī)關(guān),包含兩個(gè)條件模塊和一個(gè)基本模塊,其主要工作是根據(jù)現(xiàn)有偵查結(jié)論對案件做出合法的處理決定。該狀態(tài)可分為兩個(gè)過程,分別由公安機(jī)關(guān)和檢察機(jī)關(guān)依法處理,并觸發(fā)相應(yīng)的事件函數(shù)。該狀態(tài)的轉(zhuǎn)換規(guī)則函數(shù)有{(處置階段,補(bǔ)充偵查)→響應(yīng)準(zhǔn)備階段,(處置階段,偵查終結(jié))→事件通知階段}。其包含的事件處理模塊如圖6所示。

圖6 處置階段結(jié)構(gòu)圖

(1)公安機(jī)關(guān)

在“處置階段”,公安機(jī)關(guān)根據(jù)接收的“破案”事件,對已查清的犯罪事實(shí)進(jìn)行審查,并決定是否追究刑事責(zé)任。根據(jù)《公安機(jī)關(guān)辦理刑事案件程序規(guī)定》第二百六十四條,對于犯罪事實(shí)清楚,證據(jù)確實(shí)、充分,犯罪性質(zhì)和罪名認(rèn)定正確,法律手續(xù)完備,依法應(yīng)當(dāng)追究刑事責(zé)任的案件,觸發(fā)“移交起訴”事件,并由公安機(jī)關(guān)制作《起訴意見書》,經(jīng)縣級以上公安機(jī)關(guān)負(fù)責(zé)人批準(zhǔn)后,連同案卷材料、證據(jù),一并移送同級人民檢察院審查決定。對于其他依法可以不予追究刑事責(zé)任的則交由其他處理決定。無論公安機(jī)關(guān)做出何種處理決定,在觸發(fā)相應(yīng)的事件處理程序的同時(shí)都會(huì)觸發(fā)“偵查終結(jié)”事件。該事件將引導(dǎo)模型回轉(zhuǎn)至“事件通知階段”進(jìn)行等待,以啟動(dòng)下一次的偵查流程。

(2)檢察機(jī)關(guān)

檢察機(jī)關(guān)在接收到“移交起訴”事件后,進(jìn)入內(nèi)部的審查起訴階段,確定其是否符合起訴條件。若檢察機(jī)關(guān)認(rèn)為犯罪嫌疑人的犯罪事實(shí)已經(jīng)查清,證據(jù)確實(shí)、充分,依法應(yīng)當(dāng)追究刑事責(zé)任的,應(yīng)當(dāng)做出起訴決定,按照審判管轄的規(guī)定,向人民法院提起公訴。此種情況下,觸發(fā)“案件起訴”事件,同時(shí)該偵查模型終止,進(jìn)入后續(xù)的正式起訴流程。

若檢察機(jī)關(guān)經(jīng)過審查,認(rèn)為存在證據(jù)不足或其他情況導(dǎo)致不符合起訴條件的,可將案件退回公安機(jī)關(guān)進(jìn)行補(bǔ)充偵查。在此情況下觸發(fā)“補(bǔ)充偵查”事件,模型跳轉(zhuǎn)至“響應(yīng)準(zhǔn)備階段”,并交由案件響應(yīng)模塊進(jìn)行處理,在對案件的事實(shí)、證據(jù)和定性處理意見進(jìn)行認(rèn)真、全面審查分析的基礎(chǔ)上,進(jìn)行補(bǔ)充偵查活動(dòng)。

3 結(jié)語

計(jì)算機(jī)犯罪偵查模型的建立,從公安機(jī)關(guān)實(shí)戰(zhàn)部門出發(fā),借鑒傳統(tǒng)偵查程序,運(yùn)用形式化分析、建模方法,在對計(jì)算機(jī)犯罪特點(diǎn)進(jìn)行比較分析的基礎(chǔ)上,形成了一套系統(tǒng)的計(jì)算機(jī)犯罪偵查模型,為公安機(jī)關(guān)開展計(jì)算機(jī)犯罪案件的偵查工作提供了有效的技術(shù)支持和實(shí)踐指引。該模型的建立遵循“自頂向下”的建模方法,首先將整個(gè)偵查流程劃分為 4個(gè)階段,對應(yīng) 4個(gè)狀態(tài)空間,通過事件引導(dǎo)進(jìn)行狀態(tài)跳轉(zhuǎn)。在此基礎(chǔ)上,根據(jù)實(shí)際偵查程序,在每個(gè)狀態(tài)空間內(nèi)部構(gòu)建了詳細(xì)的事件處理模塊。該模型對整個(gè)計(jì)算機(jī)犯罪偵查流程進(jìn)行了良好的解釋,并通過了形式化的模型驗(yàn)證。但在實(shí)際應(yīng)用當(dāng)中,模型或許還存有不符合具體案件情況或其他疏漏之處,有待進(jìn)一步的實(shí)踐驗(yàn)證繼而做出修改完善。

[1] 楊永川,蔣平,等.計(jì)算機(jī)犯罪偵查[M].北京:清華大學(xué)出版社,2006:55.

[2] 蔣平,黃淑華,等.數(shù)字取證[M].北京:清華大學(xué)出版社,2006:52.

[3] 趙永琛.新編公安機(jī)關(guān)辦理刑事案件程序解說與運(yùn)用[M].北京:中國人民公安大學(xué)出版社,1998:402.

[4] 蔣宗禮,姜守旭.形式語言與自動(dòng)機(jī)理論[M].北京:清華大學(xué)出版社,2003:89.

[5] 古天龍.軟件開發(fā)的形式化方法[M].北京:高等教育出版社,2005:15.

[6] 周建華,王加陽.計(jì)算機(jī)犯罪取證模型及關(guān)鍵技術(shù)研究[D].長沙:中南大學(xué),2007.