網(wǎng)絡(luò)犯罪偵查中的身份同一認(rèn)定

趙長(zhǎng)江，張 碩

（重慶郵電大學(xué) 重慶 400065）

在網(wǎng)絡(luò)犯罪①中，犯罪行為人借助網(wǎng)絡(luò)終端設(shè)備實(shí)施犯罪行為。其犯罪行為橫跨現(xiàn)實(shí)和網(wǎng)絡(luò)兩大空間，在兩個(gè)空間內(nèi)形成了復(fù)雜的雙重或多重身份。目前，雖然網(wǎng)絡(luò)犯罪偵查與電子取證均已成為研究熱點(diǎn)，也不乏相關(guān)的研究論文成果，但針對(duì)網(wǎng)絡(luò)犯罪偵查中的身份同一性認(rèn)定這一論題的研究卻很少[1]。故筆者以技術(shù)背景為依據(jù)，結(jié)合法學(xué)知識(shí)進(jìn)行學(xué)科交叉研究，針對(duì)網(wǎng)絡(luò)犯罪偵查中的身份同一性認(rèn)定進(jìn)行剖析，對(duì)傳統(tǒng)偵查學(xué)中的洛卡德交換原理在網(wǎng)絡(luò)犯罪偵查中的適用進(jìn)行證明，以此來解決網(wǎng)絡(luò)犯罪偵查中的身份同一性問題。試以交叉學(xué)科研究方法，期望為網(wǎng)絡(luò)犯罪偵查中的身份同一性認(rèn)定提供理論參考依據(jù)，有效解決網(wǎng)絡(luò)犯罪偵查實(shí)踐中因理論研究、實(shí)踐方案不足而產(chǎn)生的相對(duì)棘手的身份同一性認(rèn)定問題，進(jìn)而為打擊網(wǎng)絡(luò)犯罪盡綿薄之力。

一、網(wǎng)絡(luò)犯罪偵查中身份同一認(rèn)定的理論基礎(chǔ)

同一認(rèn)定，是指具有專門知識(shí)的人或熟悉某客體特征的人，在分析和比較先后出現(xiàn)的兩個(gè)客體反映形象的基礎(chǔ)上，對(duì)他們是否出自一個(gè)或是是否原屬同一整體物所作出的判斷[2]。犯罪偵查中的身份同一性認(rèn)定與司法證明活動(dòng)中的身份同一性認(rèn)定不同，前者實(shí)際上是一個(gè)不斷嘗試的過程，當(dāng)身份同一性認(rèn)定和事件同一性認(rèn)定完成時(shí)即偵查終結(jié)，后者體現(xiàn)在裁判文書中，具有終局性[1]。在網(wǎng)絡(luò)犯罪案件中，犯罪行為人以網(wǎng)絡(luò)為依托進(jìn)行非法活動(dòng)，因而在網(wǎng)絡(luò)空間中犯罪行為主體擁有“網(wǎng)絡(luò)”虛擬身份。在整個(gè)犯罪偵查過程中是圍繞人和被偵查人的行為進(jìn)行的，因此，網(wǎng)絡(luò)犯罪偵查的身份同一認(rèn)定是整個(gè)犯罪偵查的支點(diǎn)。

網(wǎng)絡(luò)犯罪過程中必然出現(xiàn)形形色色的電子痕跡。電子痕跡本質(zhì)上是反映客體特征的信息，遵循著從“物理空間”到“單機(jī)空間”再到“網(wǎng)絡(luò)空間”的信息轉(zhuǎn)移規(guī)律[3]。針對(duì)上述網(wǎng)絡(luò)犯罪行為進(jìn)行分析，其犯罪行為均為行為人“個(gè)體”到“單機(jī)”到“網(wǎng)絡(luò)”這一行為軌跡；由于個(gè)體要借助于單機(jī)這一客體，進(jìn)而在網(wǎng)絡(luò)空間中實(shí)施行為，因此，單機(jī)這一客體便成為現(xiàn)實(shí)身份和網(wǎng)絡(luò)身份進(jìn)行同一性認(rèn)定的紐帶。筆者認(rèn)為，在網(wǎng)絡(luò)犯罪偵查中進(jìn)行身份同一性認(rèn)定中勢(shì)必要考慮和解決以下三個(gè)問題:（1）雖然在網(wǎng)絡(luò)犯罪偵查中以單機(jī)為線索，但因網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的獨(dú)立性，使得犯罪分子存在雙重或多重身份，勢(shì)必將加劇現(xiàn)實(shí)身份和網(wǎng)絡(luò)身份同一認(rèn)定的復(fù)雜性。（2）同時(shí)，因網(wǎng)絡(luò)空間以網(wǎng)絡(luò)數(shù)據(jù)為內(nèi)容，網(wǎng)絡(luò)數(shù)據(jù)這一虛擬信息顯然區(qū)別于傳統(tǒng)物理介質(zhì)，欲在網(wǎng)絡(luò)犯罪偵查中獲取犯罪“痕跡”，對(duì)于信息系統(tǒng)擁有“記錄”功能具有一定的依賴性。（3）又因犯罪行為人自身警惕性，借助于網(wǎng)絡(luò)易于實(shí)施反偵查行為，或利用其自身網(wǎng)絡(luò)專業(yè)技術(shù)對(duì)抗執(zhí)法，亦或者使用其他手段隱匿或消除犯罪痕跡，因此犯罪行為人便和偵查人員之間產(chǎn)生技術(shù)對(duì)抗性。

二、網(wǎng)絡(luò)犯罪偵查中身份同一認(rèn)定的前提

在犯罪偵查中，欲進(jìn)行身份同一認(rèn)定，前提是要獲取檢材，繼而再同樣本進(jìn)行認(rèn)定；傳統(tǒng)犯罪案件（現(xiàn)實(shí)空間）中，可以依據(jù)洛卡德交換原理來獲取檢材。那么在網(wǎng)絡(luò)空間中，是否同樣可以適用洛卡德交換原理來獲得檢材？

洛卡德交換原理即“接觸即留痕”，主要證明的是“痕”是否存在（有與無）的問題。其底層原理是以質(zhì)量守恒②為依據(jù)，在傳統(tǒng)犯罪案件中，以犯罪嫌疑人行為軌跡范圍為限定，就構(gòu)成了一個(gè)孤立系統(tǒng)，在其系統(tǒng)內(nèi)，實(shí)施任何行為（包括毀滅罪證的行為，因?yàn)樵跉缭凶C據(jù)的同時(shí)，又會(huì)有新的證據(jù)產(chǎn)生）的實(shí)體都將會(huì)被“記錄”或者說是產(chǎn)生相互的物質(zhì)交換。實(shí)體間相互記錄，對(duì)其案件而言，即行為人（實(shí)體）及其借助的其他載體（實(shí)體）實(shí)施犯罪活動(dòng)的行為而產(chǎn)生的物質(zhì)交換，證成了龐大的相互關(guān)聯(lián)的證據(jù)體系。綜上所述，不難發(fā)現(xiàn)洛卡德交換原理的適用并非沒有條件，上述中多次提到物質(zhì)交換，其物質(zhì)交換的前提是符合:（1）必須具備兩個(gè)物質(zhì)實(shí)體；（2）必須具備外力條件；（3）兩個(gè)物質(zhì)實(shí)體必須發(fā)生接觸關(guān)系；（4）其結(jié)果必須引起物質(zhì)的變化[4]。

（一）洛卡德交換原理在網(wǎng)絡(luò)犯罪偵查中的適用

在物理空間犯罪現(xiàn)場(chǎng)中，被侵害對(duì)象及其物質(zhì)環(huán)境的變化，構(gòu)成了犯罪現(xiàn)場(chǎng)的特有形態(tài)，這種特有的現(xiàn)場(chǎng)形態(tài)，體現(xiàn)著犯罪行為的危害結(jié)果，也帶了犯罪的信息[5]。網(wǎng)絡(luò)犯罪的身份識(shí)別實(shí)質(zhì)上就是綜合利用物理空間的傳統(tǒng)證據(jù)與虛擬空間的電子痕跡進(jìn)行大的人身同一認(rèn)定[3]。

1.可適用傳統(tǒng)犯罪偵查方法的“個(gè)體”到“單機(jī)”。犯罪行為人借助網(wǎng)絡(luò)終端設(shè)備③進(jìn)入到網(wǎng)絡(luò)中，對(duì)“網(wǎng)絡(luò)”實(shí)施攻擊，或借助網(wǎng)絡(luò)為工具實(shí)施犯罪行為，再或者直接在網(wǎng)絡(luò)空間中實(shí)施犯罪行為。網(wǎng)絡(luò)犯罪行為人要使用網(wǎng)絡(luò)終端設(shè)備進(jìn)入到網(wǎng)絡(luò)空間中，在這一范圍內(nèi)，存在行為人和網(wǎng)絡(luò)終端設(shè)備兩個(gè)有形實(shí)體；網(wǎng)絡(luò)犯罪行為人使用網(wǎng)絡(luò)終端設(shè)備，勢(shì)必存在因施加外力而使得網(wǎng)絡(luò)終端設(shè)備產(chǎn)生響應(yīng)的個(gè)體和單機(jī)設(shè)備的直接接觸；行為人接觸網(wǎng)絡(luò)終端設(shè)備，“一般而言”一定會(huì)存在“指紋”，此時(shí)便可以利用傳統(tǒng)犯罪偵查的手段進(jìn)行偵查。

2.從“單機(jī)”到“網(wǎng)絡(luò)”觀洛卡德交換原理在網(wǎng)絡(luò)犯罪偵查中的適用。洛卡德交換原理的適用核心在于兩者進(jìn)行“接觸”產(chǎn)生信息“交換”。在網(wǎng)絡(luò)空間中，行為人使用網(wǎng)絡(luò)終端設(shè)備獲取網(wǎng)絡(luò)信息，這一行為進(jìn)行時(shí)和行為結(jié)束后，在網(wǎng)絡(luò)終端設(shè)備和“網(wǎng)絡(luò)”中皆會(huì)留下相互的信息；在單機(jī)中留下所瀏覽過的網(wǎng)絡(luò)數(shù)據(jù)，例如內(nèi)存中的網(wǎng)站數(shù)據(jù)、系統(tǒng)日志中的網(wǎng)絡(luò)訪問信息等；而在訪問的網(wǎng)絡(luò)中則會(huì)留下用戶的瀏覽痕跡，例如用戶登陸請(qǐng)求、用戶訪問記錄等。故筆者認(rèn)為，單機(jī)和網(wǎng)絡(luò)的交互，已經(jīng)達(dá)到了兩個(gè)實(shí)體接觸、交換的效果，即以滿足傳統(tǒng)犯罪中洛卡德交換原理的“兩個(gè)實(shí)體”“施加外力”“接觸”“物質(zhì)發(fā)生變化（留痕）”的特性；故，可以從理論的角度認(rèn)為，洛卡德原理同樣可以適用在網(wǎng)絡(luò)空間中。但是，從實(shí)踐的角度出發(fā)，這種網(wǎng)絡(luò)空間中的“痕”，是否真實(shí)存在？

因網(wǎng)絡(luò)空間的是由電信號(hào)鏈接各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)而組成的虛擬空間，且在虛擬空間中實(shí)時(shí)進(jìn)行著數(shù)據(jù)傳輸；網(wǎng)絡(luò)空間的犯罪痕跡同現(xiàn)實(shí)空間的犯罪痕跡因網(wǎng)絡(luò)空間的虛擬性和動(dòng)態(tài)性而具有極大的差異?，F(xiàn)實(shí)空間中的犯罪痕跡因空間的廣泛性和實(shí)體接觸的復(fù)雜性，可以利用“理科”手段進(jìn)行分析和發(fā)現(xiàn)案件中的蛛絲馬“痕”。

而在網(wǎng)絡(luò)空間中的犯罪痕跡因空間的虛擬性和動(dòng)態(tài)性，使得“痕跡”具有易失性，且痕跡的表現(xiàn)形式只能通過數(shù)據(jù)的“語義”來表達(dá)。因此，網(wǎng)絡(luò)空間中的“痕”可能僅僅是“存在過”，稍不同于“存在”；實(shí)務(wù)中務(wù)必要解決這一問題，方可進(jìn)行同一性認(rèn)定。筆者認(rèn)為，解決該問題，至少要滿足兩個(gè)條件:（1）系統(tǒng)性，即對(duì)于網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)終端對(duì)網(wǎng)絡(luò)服務(wù)的一次訪問，無論是網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備還是網(wǎng)絡(luò)平臺(tái)都應(yīng)該自動(dòng)記錄用戶的訪問信息，包括訪問時(shí)間、訪問者IP地址、訪問者M(jìn)AC地址、訪問者的相關(guān)屬性信息等，這種系統(tǒng)自動(dòng)記錄性，是必要的；（2）即存性，即系統(tǒng)自動(dòng)記錄的信息會(huì)被立刻存儲(chǔ)下來，且持續(xù)存在。此時(shí)若細(xì)思想，上述為兩者不正是“網(wǎng)絡(luò)日志”所具備的功能嗎。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）中，第21條規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者④應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”，其中第三款明確規(guī)定的義務(wù)為“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”；即意味著，在法律中已經(jīng)規(guī)定網(wǎng)絡(luò)運(yùn)營商必須要履行上述義務(wù)。因此，網(wǎng)絡(luò)空間中的“痕”一定處于“存在”狀態(tài)，且可以被檢測(cè)和利用。在網(wǎng)絡(luò)犯罪偵查中，網(wǎng)絡(luò)痕跡可以因網(wǎng)絡(luò)日志存在而完美的適應(yīng)洛卡德交換原理；其偵查工作僅僅是后期對(duì)網(wǎng)絡(luò)運(yùn)營商提供的日志進(jìn)行數(shù)據(jù)分析的問題；這同傳統(tǒng)的犯罪案件，例如某案件偵查中發(fā)現(xiàn)并采取了指紋，后期進(jìn)行指紋分析有異曲同工之妙。

三、網(wǎng)絡(luò)犯罪偵查中身份同一性認(rèn)定的方法

現(xiàn)實(shí)空間中有了檢材和樣本，便可以進(jìn)行同一性認(rèn)定。那么，在網(wǎng)絡(luò)空間中如何進(jìn)行檢材和樣本的同一性認(rèn)定？檢材的屬性信息總是具有指向性，這一特性在網(wǎng)絡(luò)空間中變得尤為明顯。例如現(xiàn)場(chǎng)空間犯罪現(xiàn)場(chǎng)發(fā)現(xiàn)一43碼的鞋印，此檢材就指向了一類樣本。在網(wǎng)絡(luò)空間中發(fā)現(xiàn)一IP地址，則此“檢材”則指向了全球唯一的IP地址（樣本）。根據(jù)網(wǎng)絡(luò)空間中檢材的特性和網(wǎng)絡(luò)空間的自身特性，筆者分別從網(wǎng)絡(luò)工程學(xué)和社會(huì)工程學(xué)兩個(gè)學(xué)科角度，提出了三種網(wǎng)絡(luò)犯罪偵查中身份同一性認(rèn)定的方法。依賴網(wǎng)絡(luò)工程學(xué)中的網(wǎng)絡(luò)協(xié)議（指的是TCP/IP四層），以網(wǎng)絡(luò)接口層和網(wǎng)際層為依據(jù)，推出了基于網(wǎng)絡(luò)定位的身份同一認(rèn)定方法。以傳輸層和應(yīng)用層為依據(jù)，推出了基于網(wǎng)絡(luò)賬戶信息的身份同一性認(rèn)定方法。依賴社會(huì)工程學(xué)中的信息獲取手段⑤和信息基礎(chǔ)，推出了基于大數(shù)據(jù)挖掘和分析的身份同一性認(rèn)定方法。

（一）基于網(wǎng)絡(luò)定位的身份同一性認(rèn)定

網(wǎng)絡(luò)犯罪行為人在網(wǎng)絡(luò)空間中實(shí)施行為，必定直接或間接地借助于網(wǎng)絡(luò)終端設(shè)備；每個(gè)連接到互聯(lián)網(wǎng)中的網(wǎng)絡(luò)終端設(shè)備存在一個(gè)全網(wǎng)唯一的IP地址。若使用聯(lián)網(wǎng)服務(wù)（即擁有全網(wǎng)唯一的IP地址），則用戶需要同網(wǎng)絡(luò)服務(wù)提供商（Internet Service Provider，其后簡(jiǎn)稱ISP）簽訂服務(wù)協(xié)議（簽訂協(xié)議時(shí)雙方身份的真實(shí)有效性是不言而喻的），ISP負(fù)責(zé)分發(fā)用戶所使用的IP地址。若在網(wǎng)絡(luò)犯罪案件中得知某IP地址⑥，通過ISP查詢便可以知道是哪一地區(qū)的IP，再結(jié)合當(dāng)?shù)豂SP，便可以知道是哪一戶在使用該IP，通過上述IP定位方法，便可給網(wǎng)絡(luò)犯罪偵查提供了偵查方向。因此，在網(wǎng)絡(luò)犯罪偵查過程中，可通過ISP根據(jù)IP使用者的用戶信息找尋網(wǎng)絡(luò)設(shè)備終端所在地，進(jìn)而結(jié)合現(xiàn)場(chǎng)勘驗(yàn)等手段識(shí)別出犯罪嫌疑人。上述中并沒有約束網(wǎng)絡(luò)范圍，可以是全球互聯(lián)網(wǎng)也可以是某企業(yè)內(nèi)部局域網(wǎng)⑦，皆可使用上述方法查找網(wǎng)絡(luò)犯罪行為人的行蹤。

網(wǎng)絡(luò)犯罪案件中基于網(wǎng)絡(luò)定位的設(shè)備有兩類，一是移動(dòng)終端，例如智能手機(jī)和無人機(jī)之類的移動(dòng)終端設(shè)備；二是固定終端，例如個(gè)人電腦和網(wǎng)絡(luò)服務(wù)器之類的固定網(wǎng)絡(luò)終端設(shè)備?，F(xiàn)移動(dòng)終端常用的定位技術(shù)有全球定位系統(tǒng)（Global Positioning System，簡(jiǎn)稱GPS）⑧和移動(dòng)定位服務(wù)（Location Based Service，簡(jiǎn)稱LBS）⑨，其主要應(yīng)用在基于網(wǎng)絡(luò)賬戶信息、數(shù)據(jù)挖掘和分析后的身份同一性認(rèn)定⑩和犯罪嫌疑人的追蹤逮捕中。

固定終端常用的定位技術(shù)為互聯(lián)網(wǎng)協(xié)議地址（Internet Protocol Address，簡(jiǎn)稱IP）+媒體訪問控制地址（Media Access Control，簡(jiǎn)稱MAC）11定位。但是，IP+MAC的定位方式在技術(shù)層面上完全可以做到“虛假的IP+MAC”12。多數(shù)情況下，通過網(wǎng)絡(luò)日志數(shù)據(jù)獲取犯罪行為人的IP+MAC后，最精確的結(jié)果是定位到一臺(tái)網(wǎng)絡(luò)終端設(shè)備，通過對(duì)該終端的分析來證明查明的IP地址所指的終端為該終端（依據(jù)特定時(shí)間段內(nèi)作出相應(yīng)的網(wǎng)絡(luò)行為）。但僅通過獲取的IP地址并不能直接證明是終端所有人或聯(lián)網(wǎng)賬號(hào)所有人所做出的網(wǎng)絡(luò)行為13，即IP地址作為身份同一性認(rèn)定證據(jù)的關(guān)聯(lián)性難以得到保證。為了解決該問題，在獲得網(wǎng)絡(luò)設(shè)備的位置后，對(duì)目標(biāo)設(shè)備的檢驗(yàn)過程中，（1）應(yīng)著重審查終端設(shè)備和上網(wǎng)賬號(hào)所有人“單機(jī)”中的事件數(shù)據(jù)和應(yīng)用數(shù)據(jù)14；（2）利用“單機(jī)”數(shù)據(jù)同網(wǎng)絡(luò)服務(wù)提供商提供的犯罪行為人的事件數(shù)據(jù)和應(yīng)用數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析；（3）再結(jié)合設(shè)備和賬號(hào)的所有人的現(xiàn)實(shí)空間活動(dòng)軌跡信息，進(jìn)而完成網(wǎng)絡(luò)犯罪中現(xiàn)實(shí)行為人身份與網(wǎng)絡(luò)身份的同一性認(rèn)定。

（二）基于網(wǎng)絡(luò)賬戶信息的身份同一性認(rèn)定

隨著《網(wǎng)絡(luò)安全法》的出臺(tái)，用戶“實(shí)名制”15這一要求被推了出來，將其作為保障，有效的降低了網(wǎng)絡(luò)犯罪的偵查難度同時(shí)加劇了網(wǎng)絡(luò)犯罪的成本。因此，在打擊網(wǎng)絡(luò)犯罪中可利用網(wǎng)絡(luò)賬戶實(shí)名制這一硬性要求，結(jié)合網(wǎng)絡(luò)服務(wù)商獲取相關(guān)網(wǎng)絡(luò)犯罪行為人的網(wǎng)絡(luò)賬戶信息，進(jìn)而有效打擊網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)賬戶信息指用戶在網(wǎng)絡(luò)運(yùn)營者提供的平臺(tái)中所使用的以唯一的用戶ID而標(biāo)識(shí)的一系列賬號(hào)屬性信息，唯一的用戶ID標(biāo)識(shí)一個(gè)用戶且應(yīng)當(dāng)同用戶現(xiàn)實(shí)生活中的真實(shí)身份進(jìn)行綁定，一個(gè)用戶的賬號(hào)屬性信息則包括用戶記錄信息和用戶事件信息。用戶記錄信息的控制權(quán)由用戶直接控制（網(wǎng)絡(luò)平臺(tái)在合法狀況下也可以進(jìn)行控制），用戶可以實(shí)現(xiàn)對(duì)其信息的增刪改查操作。而用戶事件信息的控制權(quán)由網(wǎng)絡(luò)平臺(tái)控制，以方便平臺(tái)對(duì)用戶行為的合法性進(jìn)行審查。對(duì)網(wǎng)絡(luò)賬戶信息的收集，原則上是在合法前提下收集一切可收集、可能相關(guān)的數(shù)據(jù)，從中提煉出網(wǎng)絡(luò)身份特征信息，分析得出身份特征，從而完成身份同一性認(rèn)定[6]。

在網(wǎng)絡(luò)空間中犯罪需要借助其網(wǎng)絡(luò)平臺(tái)才能實(shí)施其犯罪行為，而在實(shí)施犯罪的前提則是需要在平臺(tái)注冊(cè)賬戶——成為平臺(tái)的用戶。依據(jù)《網(wǎng)絡(luò)安全法》第24條，其行為人在平臺(tái)進(jìn)行注冊(cè)必然要進(jìn)行實(shí)名制。因此，若是行為人在網(wǎng)絡(luò)空間中實(shí)施犯罪行為，其服務(wù)提供商可立即知曉網(wǎng)絡(luò)賬戶所對(duì)應(yīng)用戶的真實(shí)身份。依據(jù)《網(wǎng)絡(luò)安全法》中的第28條“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助”。因此，公安機(jī)關(guān)亦可立即知道網(wǎng)絡(luò)犯罪行為人的“真實(shí)身份”，繼而可立即進(jìn)行追蹤其用戶和用戶設(shè)備位置（可依據(jù)公安內(nèi)部系統(tǒng)和網(wǎng)絡(luò)定位技術(shù)追蹤用戶和設(shè)備位置），再結(jié)合現(xiàn)場(chǎng)勘驗(yàn)，進(jìn)而完成網(wǎng)絡(luò)犯罪事件-涉案設(shè)備/場(chǎng)所-犯罪行為人的同一性認(rèn)定。

（三）基于大數(shù)據(jù)挖掘和分析的身份同一性認(rèn)定

上述兩種身份同一性認(rèn)定方法基本可以解決大部分傳統(tǒng)的網(wǎng)絡(luò)犯罪案件。基于網(wǎng)絡(luò)定位的身份同一性認(rèn)定和基于網(wǎng)絡(luò)賬戶信息的身份同一性認(rèn)定針對(duì)網(wǎng)絡(luò)犯罪偵查有以下措施和不足:（1）以網(wǎng)絡(luò)為對(duì)象的犯罪（危害計(jì)算機(jī)信息系統(tǒng)安全犯罪案件），通過網(wǎng)絡(luò)中間節(jié)點(diǎn)日志和網(wǎng)絡(luò)服務(wù)器日志獲取IP地址，進(jìn)而聯(lián)合ISP獲取IP所對(duì)應(yīng)的用戶信息，進(jìn)而完成網(wǎng)絡(luò)犯罪的偵查；缺點(diǎn)是，不便于（或者說無法）追蹤（利用網(wǎng)絡(luò)技術(shù)產(chǎn)生的）虛假的流量包數(shù)據(jù)所造成的網(wǎng)絡(luò)攻擊。（2）以網(wǎng)絡(luò)為工具的犯罪（通過危害計(jì)算機(jī)信息系統(tǒng)安全實(shí)施的盜竊、詐騙、敲詐勒索等犯罪案件），可以利用基于網(wǎng)絡(luò)定位的方法進(jìn)行偵查。而實(shí)施的詐騙、敲詐勒索案件等可以利用網(wǎng)站賬號(hào)信息進(jìn)行偵查。缺點(diǎn)是:網(wǎng)絡(luò)犯罪中涉及的比特幣之類的加密虛擬貨幣，暫且沒有良好的偵查辦法。（3）在網(wǎng)絡(luò)空間中的犯罪（在網(wǎng)絡(luò)上發(fā)布信息或者設(shè)立主要用于實(shí)施犯罪活動(dòng)的網(wǎng)站、通訊群組，針對(duì)或者組織、教唆、幫助不特定多數(shù)人實(shí)施的犯罪案件），則可以結(jié)合網(wǎng)絡(luò)服務(wù)提供商，獲取網(wǎng)絡(luò)IP信息和賬戶信息，進(jìn)而完成網(wǎng)絡(luò)犯罪的偵查。缺點(diǎn)是，若是網(wǎng)絡(luò)犯罪行為人，利用虛假身份16實(shí)施網(wǎng)絡(luò)犯罪行為，利用上述方法便不能對(duì)該問題進(jìn)行有效解決。

針對(duì)上述兩種方法未解決的問題，可利用大數(shù)據(jù)挖掘和分析的手段進(jìn)行補(bǔ)充偵查。以案件相關(guān)的現(xiàn)場(chǎng)勘驗(yàn)獲取的物理設(shè)備進(jìn)行的取證線索和遠(yuǎn)程勘驗(yàn)的網(wǎng)絡(luò)空間中的取證線索為依據(jù)，依托互聯(lián)網(wǎng)服務(wù)進(jìn)行橫向（互聯(lián)網(wǎng)數(shù)據(jù)搜索）17和縱向（專庫搜索）18進(jìn)行數(shù)據(jù)挖掘和分析。根據(jù)已有線索結(jié)合上述縱橫兩種數(shù)據(jù)收集方法，收集一切合法情況下可收集的數(shù)據(jù)，運(yùn)用特定的數(shù)學(xué)模型和分析方法對(duì)海量數(shù)據(jù)進(jìn)行計(jì)算，繼而進(jìn)行數(shù)據(jù)綜合處理分析（例如，數(shù)據(jù)碰撞、數(shù)據(jù)挖掘、數(shù)據(jù)畫像、熱點(diǎn)分析、犯罪網(wǎng)絡(luò)分析）[7]，處理后得出行為人信息，最終進(jìn)行行為人身份判斷以完成網(wǎng)絡(luò)犯罪身份同一性認(rèn)定。

四、結(jié)語

本文從傳統(tǒng)犯罪偵查的身份同一性認(rèn)定問題，引申到網(wǎng)絡(luò)犯罪的身份同一性認(rèn)定問題，繼而，對(duì)網(wǎng)絡(luò)犯罪進(jìn)行分析得出犯罪行為為“個(gè)體”到“單機(jī)”到“網(wǎng)絡(luò)”的犯罪行為軌跡，同時(shí)提出對(duì)于網(wǎng)絡(luò)犯罪偵查必須要面臨的身份復(fù)雜性、系統(tǒng)依賴性、技術(shù)對(duì)抗性的棘手問題。其核心問題是解決身份同一認(rèn)定的問題。

文中分析了網(wǎng)絡(luò)空間中身份同一認(rèn)定的前提，從傳統(tǒng)網(wǎng)絡(luò)犯罪偵查中適用洛卡德交換原理，到證明在網(wǎng)絡(luò)犯罪偵查中適用洛卡德交換原理，繼完成而由檢材到樣本的同一認(rèn)定。在網(wǎng)絡(luò)空間中檢材到樣本的認(rèn)定，不同于現(xiàn)實(shí)空間中的認(rèn)定，筆者從網(wǎng)絡(luò)工程學(xué)和社會(huì)工程學(xué)兩個(gè)學(xué)科角度，提出了基于網(wǎng)絡(luò)定位的身份同一認(rèn)定、基于網(wǎng)絡(luò)賬戶信息的身份同一認(rèn)定和基于大數(shù)據(jù)挖掘和分析的身份同一性認(rèn)定的認(rèn)定方法，繼而網(wǎng)絡(luò)犯罪偵查中的同一認(rèn)定問題便可以迎刃而解。本文因?yàn)闉榭梢詫⒙蹇ǖ陆粨Q原理完美適用到網(wǎng)絡(luò)犯罪偵查中，為網(wǎng)絡(luò)犯罪身份同一認(rèn)定提供理論依據(jù)。基于此拋磚引玉般的提出了三種身份同一性認(rèn)定方法，但在網(wǎng)絡(luò)犯罪身份同一認(rèn)定中仍具有一定的指導(dǎo)意義。

[注釋]：

①兩高一部出臺(tái)的《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》中的第1條規(guī)定了網(wǎng)絡(luò)犯罪的內(nèi)容：（1）危害計(jì)算機(jī)信息系統(tǒng)安全犯罪案件；（2）通過危害計(jì)算機(jī)信息系統(tǒng)安全實(shí)施的盜竊、詐騙、敲詐勒索等犯罪案件；（3）在網(wǎng)絡(luò)上發(fā)布信息或者設(shè)立主要用于實(shí)施犯罪活動(dòng)的網(wǎng)站、通訊群組，針對(duì)或者組織、教唆、幫助不特定多數(shù)人實(shí)施的犯罪案件；（4）主要犯罪行為在網(wǎng)絡(luò)上實(shí)施的其他案件。

②質(zhì)量守恒定理：在任何與周圍隔絕的物質(zhì)系統(tǒng)（孤立系統(tǒng)）中，不論發(fā)生何種變化或過程，其總質(zhì)量保持不變。

③網(wǎng)絡(luò)終端：指連接到互聯(lián)網(wǎng)中，具有網(wǎng)絡(luò)地址，且可以發(fā)送和接受網(wǎng)絡(luò)數(shù)據(jù)包的設(shè)備；例如，個(gè)人電腦、智能手機(jī)、智能家電等。

④網(wǎng)絡(luò)運(yùn)營者：《網(wǎng)絡(luò)安全法》中第76條第三款“網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”。筆者認(rèn)為，網(wǎng)絡(luò)所有者指，用戶所使用的網(wǎng)絡(luò)服務(wù)提供商（ISP），例如中國的三大網(wǎng)絡(luò)運(yùn)營商；管理者為用戶所在網(wǎng)絡(luò)管理者，例如學(xué)校內(nèi)部網(wǎng)絡(luò)管理部門、企業(yè)內(nèi)容網(wǎng)絡(luò)管理部門；網(wǎng)絡(luò)服務(wù)提供者為網(wǎng)絡(luò)平臺(tái)提供商，例如網(wǎng)站站長(zhǎng)、網(wǎng)絡(luò)應(yīng)用提供商等。

⑤社會(huì)工程學(xué)中的信息獲取手段：信息源數(shù)據(jù)獲取、誘導(dǎo)、偽裝等；推薦參考《社會(huì)工程：安全體系中的人性漏洞》[美]Christopher Hadnagy著，陸道宏，杜娟，邱璟，譯，人民郵電出版社。

⑥對(duì)于網(wǎng)絡(luò)或網(wǎng)絡(luò)平臺(tái)攻擊的犯罪，可以通過網(wǎng)絡(luò)中間節(jié)點(diǎn)（例如：路由器、交換機(jī)信息等）信息獲取犯罪行為人IP地址；以網(wǎng)絡(luò)為工具和在網(wǎng)絡(luò)空間中的犯罪，亦可通過網(wǎng)絡(luò)中間節(jié)點(diǎn)信息，也可通過（合規(guī)要求的）平臺(tái)日志數(shù)據(jù)獲取用戶的IP地址。

⑦企業(yè)內(nèi)部網(wǎng)絡(luò)（或稱局域網(wǎng)、內(nèi)網(wǎng)）中的IP地址是由企業(yè)內(nèi)部的網(wǎng)絡(luò)管理中心負(fù)責(zé)分配和管理。

⑧全球定位系統(tǒng)，基于網(wǎng)絡(luò)終端GPS模塊實(shí)現(xiàn)，采用衛(wèi)星定位，一般情況定位精度1米以內(nèi)。

⑨移動(dòng)定位服務(wù)，基于手機(jī)SIM卡與網(wǎng)絡(luò)基站溝通以實(shí)現(xiàn)定位，定位精度同手機(jī)信號(hào)、基站有關(guān)。

⑩此身份同一性認(rèn)定，指根據(jù)分析后的案件線索結(jié)合行為人個(gè)人信息和行為人所擁有的移動(dòng)終端設(shè)備的軌跡，三者進(jìn)行聯(lián)系分析，繼而進(jìn)行身份同一性認(rèn)定。

11 IP為上網(wǎng)終端的網(wǎng)絡(luò)地址，連接到互聯(lián)網(wǎng)中的所有網(wǎng)絡(luò)設(shè)備均有一個(gè)全網(wǎng)唯一的IP地址；MAC為上網(wǎng)終端的本地地址，每個(gè)上網(wǎng)設(shè)備均有全球唯一的MAC地址?？珊?jiǎn)單理解為，上網(wǎng)時(shí)需要網(wǎng)卡設(shè)備方可聯(lián)通網(wǎng)絡(luò)服提供商使用上網(wǎng)服務(wù)，繼而獲得網(wǎng)絡(luò)服務(wù)提供商分配的網(wǎng)絡(luò)地址--IP。

12 虛假的IP和MAC：①通過網(wǎng)絡(luò)技術(shù)虛構(gòu)網(wǎng)絡(luò)數(shù)據(jù)包，編造網(wǎng)絡(luò)地址，常用于針對(duì)網(wǎng)絡(luò)的攻擊，例如DDOS泛洪攻擊、ARP欺騙攻擊等；②通過肉雞或VPN等跳板，進(jìn)而隱藏了真實(shí)地址，一般傳統(tǒng)的網(wǎng)絡(luò)攻擊皆使用此方法。

13 列舉兩種情況：①網(wǎng)絡(luò)終端被黑客遠(yuǎn)程控制，稱為肉雞或跳板，其網(wǎng)絡(luò)行為為遠(yuǎn)端黑客實(shí)施；②實(shí)質(zhì)網(wǎng)絡(luò)操作者并非獲得該IP的行為人，可以其他人—朋友、同事、鄰居等，使用該網(wǎng)絡(luò)終端進(jìn)行網(wǎng)絡(luò)犯罪行為的實(shí)施。

14 事件數(shù)據(jù)是指用戶的操作行為數(shù)據(jù)，主要在日志中記錄，例如系統(tǒng)開機(jī)、啟動(dòng)的服務(wù)等；應(yīng)用數(shù)據(jù)是指用戶所操作的“對(duì)象”數(shù)據(jù)，包括應(yīng)用本身和該應(yīng)用產(chǎn)生的數(shù)據(jù)，例如使用遠(yuǎn)程登錄軟件這一“對(duì)象”和遠(yuǎn)程登錄所產(chǎn)生的交互數(shù)據(jù)等。

15 《網(wǎng)絡(luò)安全法》第24條網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù)，辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。

16 此處的虛假身份是指：使用別人的賬戶、設(shè)備、身份信息等，從而隱藏了真實(shí)的行為人身份。

17 互聯(lián)網(wǎng)數(shù)據(jù)搜索包括：百度搜索、谷歌搜索等搜索引擎獲取的泛數(shù)據(jù)信息。

18 常用的專用數(shù)據(jù)庫主要有：公安機(jī)關(guān)自有八大系統(tǒng)數(shù)據(jù)庫、檢察機(jī)關(guān)自有數(shù)據(jù)庫、社會(huì)行業(yè)數(shù)據(jù)庫、政府?dāng)?shù)據(jù)統(tǒng)一開放平臺(tái)等。