在发言之前,我想先介绍一下我们的团队。我们团队,既做理论和实践的复合研究,又做法律与技术的交叉研究。今天我的主题发言也是采用这种方法。我喜欢用实践案例去论证我的理论思考,用技术原理去解释法律规则。从表面上看,今天给各位介绍的“题目”很“高大上”。实际上,我就是想跟各位分享五个故事。从中,提出一点想法,这些想法是我认为将来网络侦查执法的大趋势。
这里,我要讲一个案件。这个案件发生在2009年,我们学生宿舍有位同学,他在QQ上收到一个朋友发来的消息,说急需1500块钱。由于QQ的主人是这位同学的好朋友,也是经常通过QQ联系的,因此这位同学就直接打了1500块钱。后来,才知道这个QQ被盗了。这位同学随后就打电话给海淀公安报案,公安说你们这数只够治安案件,治安案件几乎不可能进行跨地域调查。
在此,我们要思考这真的是治安案件吗?恐怕不是。为什么呢?因为大家都知道,网络诈骗有一个特点就是小额多笔。从这个案件的诈骗技巧来看,作案人明显是十分专业的,很明显是惯犯。
我们的同学很聪明。就跟那警察套近乎。说,老哥你哪的,他说山西的。我也是山西的,看着老乡面上你能不能帮我查一查。他说至少2000块钱才能立刑事案件。我们的同学很聪明,他说:如果我再汇500块钱给作案人,是不是就可以立刑事案件了?警察说,理论上是可以,但是立案后我们得逐级上报给共同上级,再由共同上级协调作案人所在地的公安机关。这位同学最终还是决定不“投资”这500块钱。
那么这里的问题是,大家都知道,网络犯罪有“线上作案,线下逃窜”的特点。我们在打击网络犯罪时,如果还用传统的“网格式”地域管辖,那地域之间的“协作”、上下级之间的“管理”,必然成为打击网络犯罪的体制性障碍。何况,传统“网格式”地域管辖经常还存在“谁都能管,但谁都不管”的“踢皮球”现象。比如,像上面这个案件,北京公安明明可以立案,却建议被害人到作案人所在地去报案。
在一个案件中,嫌疑人自学制作了DDOS攻击使用的“恶意程序”,并把“恶意程序”放在了租用的境外服务器上。随后利用境外服务器上的“恶意程序”,控制全世界各地的许多“肉机”。最后,通过这些“肉机”同时向某网络交易平台发起攻击,使之陷入长时间瘫痪。而,该网络交易平台因赔偿客户的交易损失就破产了。当然,嫌疑人实施这样的行为,他的本意其实是为了敲诈勒索。
就本案而言,其实刑事实体法上也有很多问题。通过DDOS攻击的技术原理,我们可以发现,这类案件的罪名选择有很大的余地。比如,制作DDOS攻击程序可能触犯“故意制作、传播计算机病毒等破坏性程序犯罪”,入侵并控制互联网上的“肉鸡”可能触犯“非法侵入计算机信息系统罪”、“非法控制计算机信息系统罪”、“非法获取计算机信息系统数据罪”,进一步对目标网站发动DDOS攻击由于会使目标网站陷入瘫痪、公共网络信道严重堵塞因此又可能构成“破坏计算机信息系统罪”、“破坏公用电信设施罪”。当然,由于前述手段是基于敲诈勒索的目的,因此又可以适用传统的敲诈勒索罪。当然,刑事实体法问题,不是我今天要讲的主要问题。但它会影响我后面所说的问题。
除了罪名选择之外,还有定罪标准问题。根据现在的司法解释,定罪标准有许多种,比如根据被攻击电脑的数量,或者违法所得,造成被害人损失,等。到底按哪个标准来定罪?还有就是,证据的搜集及证据充分性问题。不同罪名、不同定罪标准,对证据收集的范围及证据充分性要求,显然又不尽相同。
就我刚才说的案件,其实是一个失败的案件。在侦查阶段,由于公安也拿不准定什么罪名,也搞不清应当收集哪些证据。等时间过久,案件送到检察院侦监部门被退回补充侦查时,发现原来的关键证据都已经无法找到了。比如说,境外服务器上的犯罪证据已经因为租用到期而灭失了。被害人的服务器也因为公司破产而被随意处理无法找回。
所有了解技术的同志应该都知道,像网络犯罪案件中的电子证据往往很容易灭失。比如说,有些服务器的日志信息一般存一个月左右就会被滚动覆盖掉。且不说在网站上的电子证据,可能会被嫌疑人删除、破坏。就我本人经手过的网络犯罪案件而言,无法破案的,几乎都是因为没有及时进行电子证据固定的。
这给我们的思考是:网络犯罪案件既然罪名复杂,定罪标准不统一,电子证据又十分容易灭失,那么,我们是否可能让检察院的侦监部门提前介入侦查呢?换言之,有没有可能让侦查机关、检察机关提前形成案件的统一认识?就我个人看来,这很有必要。当然,我也认为侦查监督部门提前介入并不会影响“检察监督”的公正性。
不知道大家有没有观察到,这两年我们国家各部门,包括公安部、网信办、工信部在内,联合开展的“净网”行动和“剑网”行动,执法效果特别好。如果说,进行网络执法监管,公安建一套执法系统、网信建一套执法系统、文化建一套执法系统、工商再建一套执法系统,各个行政职能部门都建一套自己的网络执法系统,这既不现实也是浪费。同时,有心观察的朋友应该不难发现,网络中的一个行为,往往是多个职能部门都可以监管。因此,就有必要研究行政执法部门之间的数据共享。
当然,也有人对“扫黄打非”办公室这样的部门提出质疑,说他是运动式执法,有些过激。我认为,网络的联合执法本身是一种科学的发展趋势。这种模式的执法效果是有目共睹的。问题是,如何将这种执法模式制度化、规范化。
讲到这里,我想做个小结:我认为,针对互联网监管,政府应该建立集中统一的网络侦查执法“大”平台。这是因为违法犯罪与侦查执法具有对称性。如果说,违法犯罪已经借助互联网完成手段升级,我们侦查执法还用传统手段去应对,这显然是无法面对的。而,这个网络执法“大”平台就是我们治理互联网所要用的“执法网”。其次,在前述执法平台的基础,使联合执法制度化、规范化,促进行政执法的手段共享与数据共享。
我要讲一个案件,就是我们曾帮助司法机关办理的华润泄密案。在这个案件中,我只讲与这里有关的一点案情。当时,华润集团从审计署获取了一份十分重要的审计报告。就司法机关调查,这份重要的审计报告就是从某个电子邮箱发送出去的。但司法机关多次去该电子邮箱运营企业去调取该关键的涉案邮件。电子邮箱运营企业却坚持声称:该邮件已经被删除,因此无法提供。当然,由于司法机关并不知道,电子邮件删除后,虽然调取不到邮件的具体内容,但实际上可以调取到电子邮件的发送日志信息,它可用于证明何时何邮箱发送过何主题的邮件。甚至,还有一些不为人知,只有开发者知道的重要信息。
我认为,目前很多互联网企业对于配合侦查执法,最多属于“半推半就”的被动式调查状态。实际上,在司法机关的要求之外,互联网企业或多或少都还有一些司法机关不知道但有证明价值的证据。然而,他们并不会“主动调查”更不会“主动提交”。其实,我们应该相信,在涉及网络违法犯罪调查时,互联网企业所掌握的线索、证据资源比执法机关、司法机关更丰富,互联网企业所掌握的技术、能力比执法机关、司法机关更高超。就以腾讯来说,如果腾讯要主动查处用户的违法犯罪行为,他们肯定要比执法部门、司法部门要厉害。你们信吗?
然而,在当前,也许由于公权力机关的“优越感”,网络侦查执法的“公私合作”一直没有开展得很好。其实,美国从2003年开始就将网络执法的“公私合作”作为一个基本原则,并规定在政府的战略性文件里。我认为,将来在查处网络违法犯罪上,互联网企业必将会成为我们的主力,而侦查执法部门则承担一个“指挥棒”的角色。换言之,如何让互联网企业由“被动式调查”与“主动式调查”,是我国政府在治理网络违法犯罪应当思考的重要问题之一。
也讲一个案例,在前年曾发生一个案件,有个互联网企业在一夜之间有四十多台服务器被入侵,每天晚上八点钟全部自动关机。事情发生后,这个企业请了一堆服务器运营维护的专业人员进行调查。最后不但没查清楚,反而错过最重要的调查时间,使得关键数据几乎全部灭失。我想说的问题是什么呢?就是,网络违法犯罪的侦查与执法,已经出现明显的技术化、专业化趋势。
首先,任何网络违法犯罪问题几乎都是技术性问题和专业性问题。如果侦查队伍中没有专门的技术辅助人才,网络违法犯罪几乎不可能告破。像前面所说的案件,仅是从事服务器运营维护的专业人员不可能完成犯罪侦查的工作。
不仅如此,打击网络违法犯罪对专业分工需求越来越强。具体的说,在电子取证与网络犯罪侦查领域中,专业性人才已经出现了明显的分工。比如说,做数据恢复的,不一定懂数据库。懂数据库的,不一定懂网络入侵检测。显然,侦查、执法人员需要“找对”技术专家。
那么,如何看待侦查执法与技术的关系呢?从目前实务来看,侦查执法人员与技术人员是一种“协作”关系。即后者以技术辅助或司法鉴定的方式帮助侦查执法人员办案。但从长远趋势来看,侦查执法与技术将必然出现“趋同”,即由同一人掌握侦查执法能力和基本的技术调查能力。
第一,网络侦查执法应当由“网格式”变成“树状式”;
第二,不仅要形成“警警联动”,还要形成“警检联动”;
第三,网络联合执法制度化与数据共享的规范化;
第四,建立集中统一的网络侦查执法“大”平台;
第五是公私合作常态化,互联网企业由从“被动配合”到“主动调查”;
第六是从目前的“侦技配合”到将来的“侦技同一”。
谢谢大家!
【本文是作者在2015年互联网刑事法制高峰论坛的主题发言整理稿】
时间:2015-12-24
来源:腾讯研究院犯罪研究中心(微信公众号tencentccc)
联系客服
