从电子数据取证到电子数据侦查【上】

摘要

从1999年美国出现第一款商用计算机取证工具并随后引入中国，从2013年《刑事诉讼法》首次确立“电子数据”作为证据的法律地位至今，电子数据取证技术和产品已经在司法机关得到广泛应用。然而，电子数据取证以技术为先的理念极大地限制了其自身发展的空间。本文针对电子数据取证的局限性，提出电子数据侦查的理念：在刑事案件侦查全过程中，以发现和收集案件相关证据、查明犯罪事实、确定和查获犯罪嫌疑人为目标，围绕以案件要素构成的研判模型，从海量电子数据中挖掘线索和证据，直至案件侦破终结的一系列案件研判活动。并依此理念提出满足公安机关和检察机关侦查业务需求的解决方案。

 

关键词：电子数据侦查、案件构成要素、案件研判模型、智能研判

 

1 什么是电子数据侦查？

1.1从电子数据取证起步

1991年，在第一届国际计算机调查专家会议上，首次提出“计算机证据（ComputerEvidence）”和“计算机取证（ComputerForensic）”。

1999年，美国出现了第一款计算机取证的商用工具EnCase。此后，以计算机取证为代表的电子数据取证的理念、技术和工具产品开始引入到国内，成为刑事案件侦查的技术手段之一。

2004年，盘石软件推出国内第一款自主开发的计算机现场取证工具SafeImager。

2013年1月1日施行的《中华人民共和国刑事诉讼法》首次确立了“电子数据”作为证据的法律地位，电子数据取证在司法机关迎来了更大的发展机遇。全国公安机关县级以上网安部门、公安机关基层科所队基本完成智能终端数据取证设备的全面部署，正在逐步形成规范化、常态化的数据采集工作机制，为公安机关电子数据取证工作奠定了坚实的基础。检察机关已经建成全国的电子数据云平台，并开始覆盖基层检察院，应用服务正在向侦查办案部门延伸。

 

1.2电子数据取证局限性

由于限定于电子数据证据和线索的取证分析，电子数据取证以技术为先的理念具有以下不足，限制了其发展空间：

1. 电子数据作为独立的侦查线索和证据来源，没有与传统侦查手段获取的线索和证据关联，不能站在刑事案件侦查的高度，融合两种线索和证据来源，共同为侦查业务服务。

2. 由于定位于技术支持的地位，电子数据取证产品为用户提供的是技术性的取证分析功能（例如，关系分析、行为轨迹、异常分析等）。用户面对的是复杂难懂的功能逻辑。为完成刑事案件侦查任务，他们需要在各种取证分析功能之间切换，手工输入各种已知的线索信息。研判分析的结果多以技术性的文字、图表形式展现。

3. 大多数情况下，电子数据取证更多用于时候的证据固定和提取，用于侦查的情况不多，为特定具体的侦查任务提供证据和线索，提供技术性研判分析。研判结果无法直观呈现，不能在侦查团队内部交流共享，不能回溯推演。

 

针对电子数据取证的局限性，本文首次提出电子数据侦查的理念，提出满足公安机关和检察机关两大司法机关侦查业务需求的解决方案。

 

1.3什么是电子数据侦查

电子数据侦查是在以刑事案件侦查为主的各类案件侦查或者调查办理全过程中，以发现和收集案件相关证据、查明犯罪事实、确定和查获犯罪嫌疑人为目标，围绕案件构成要素，从海量的电子数据中挖掘线索和证据，直至案件侦破终结的一系列案件研判活动。

电子数据侦查的核心要素包括：

1. 以电子数据取证技术手段，采集并汇聚以手机和个人计算机为主的各种涉案设备的电子数据这里的涉案设备指各类案件中嫌疑人、被害人或者其他相关人拥有或使用的各种终端设备）；

2. 融合传统侦查手段获取的案件证据和线索（通常是已经记录在公安机关或检察机关的网上办案系统、现场勘验信息系统、询问/讯问笔录信息系统等系统中的电子数据）；

3. 整合司法机关（公安机关和检察机关）各种情报信息资源，整合社会情报信息资源；

4. 建立以犯罪主体、相关人（受害人和知情人）、相关物、作案行为、作案时间、作案空间、作案动机目的、作案结果等刑事案件要素构成的案件研判模型；

5. 在以刑事案件侦查为主的各类案件侦查或调查办理全过程中，以案件研判模型为核心展开的一系列案件研判活动；

6. 案件研判活动的目的是为发现和收集案件证据、查明犯罪事实、确定和查获犯罪嫌疑人等各项侦查任务服务。

电子数据侦查活动的本质是利用已知线索和证据，从以电子数据形式存在的海量情报信息中挖掘出更多新线索和证据，再利用新线索继续挖掘其它线索，如此循环反复，直至侦查终结。

 

2  电子数据侦查的理念和优势

2.1电子数据侦查的理念

下图描述了电子数据侦查的理念和内涵，以下将做详细阐述。

                            

图1 电子数据侦查概念模型

 

1)       以电子数据取证手段，采集并汇聚各种涉案终端设备上的电子数据

截止2015年12月，我国网民规模达 6.88 亿，其中手机网民达6.2亿，占网民的90%以上，只使用手机上网的网民1.3亿，占整体网民的大约18.5%。手机用户数超过13亿户，手机普及率达95.5部/百人。用户规模超过1亿的网络应用包括：即时通讯、搜索引擎、网络新闻、网络视频、网络音乐、网上支付、网络购物、网络游戏、网上银行、网络文学、旅行预订、电子邮件、团购、互联网医疗、论坛/bbs、在线教育、互联网理财。这组数字表明：手机已经成为人们日常生活的必需品，以智能手机为主的智能终端设备记录了人们日常沟通交流、生活、工作、娱乐、学习、出行、购物等等行为。在这个大数据的时代，不论是数字化犯罪还是传统手段犯罪，除非“不食人间烟火”，否则都将落入“天网恢恢，疏而不漏”的电子数据记录体系。

其中，以电子数据取证技术手段、从涉案终端设备上采集并汇聚的电子数据是电子数据侦查的核心数据资源，因为其中记录着涉案相关人、尤其是犯罪嫌疑人的日常行为，是电子数据侦查最重要的线索和证据来源。

 

2)       融合传统侦查手段获取的案件证据和线索

电子数据侦查整合传统侦查手段获取的案件证据和线索，包括：1）物证；2）书证；3）证人证言；4）被害人陈述；5）犯罪嫌疑人、被告人供述和辩解；6）鉴定意见；7）勘验、检查、辨认、侦查实验等笔录；8）视听资料。这些线索和证据通常已经记录在公安机关或检察机关的网上办案系统、人员信息采集系统、现场勘验信息系统、询问/讯问笔录信息系统等信息系统中，以结构化、半结构化或者非结构化电子数据形式存在。

电子数据侦查融合这些传统线索和证据，通过碰撞比对、搜索等传统分析手段，从海量涉案设备电子数据中挖掘线索和证据，可以大大提高案件侦破成功率。

 

3)       整合司法机关（公安机关和检察机关）各种情报信息资源

司法机关情报信息资源通常包括：公安情报平台、警务综合应用平台、警用地理信息平台、网安综合应用平台、人口信息库、机动车信息库、在逃人员信息系统、被盗抢汽车信息系统、禁毒信息管理系统、电信诈骗案件侦查破案协助平台、旅馆住宿信息系统、网吧上网信息系统等等。这些海量的情报信息中隐藏着犯罪分子犯罪行为的蛛丝马迹，电子数据侦查整合这些情报信息，使得从中挖掘犯罪线索和证据、查明犯罪事实、确定和查获犯罪嫌疑人成为可能。

 

4)       整合社会情报信息资源

社会情报信息资源是指电信、互联网服务、银行、证券、水电煤公用服务、广电、邮政、快递、医院等各类社会服务企业单位，以及工商、税务、海关、民政、房地产登记这类行政管理部门所运营维护的各类信息系统中保存的情报信息。这些情报信息记录了普通社会人群生活、工作、娱乐、购物、出行等日常行为，其中也包括违法犯罪分子的日常行为以及违法犯罪行为。与司法机关的情报信息资源相比，这些情报信息覆盖的社会人群更加广泛，记录的社会行为更加全面、详尽。通过整合这些社会信息资源，完全有可能捕捉到犯罪分子更多的蛛丝马迹，让其无处遁形。

电子数据侦查只有整合了社会情报信息资源，将挖掘犯罪线索和证据的数据空间扩展到普通社会人群的日常行为，才能成为真正意义上的“电子数据侦查”。

 

从下图我们可以看到传统侦查手段获取的线索和证据、涉案设备电子数据、司法机关情报信息资源和社会情报信息资源在电子数据侦查中的层次关系。电子数据侦查活动的本质就是利用已知线索和证据，从这些以电子数据形式存在的海量情报信息中挖掘出更多新线索和证据。

图2 传统侦查证据线索、涉案设备电子数据、司法机关和社会情报信息的层次关系

5)       建立以案件要素构成的案件研判模型

电子数据侦查首先需要建立以案件相关人（犯罪分子、受害人和其他知情人）、相关物、作案行为、作案时间、作案空间、作案动机目的、作案结果等刑事案件要素构成的案件研判模型，包括涉案人关系模型（其中又包括嫌疑人团伙关系模型），涉案行为模型、涉案时间模型、涉案空间模型、作案动机目的模型、作案结果模型等。

图3 刑事案件构成要素

案件研判模型具有以下意义和作用：

·    案件研判模型由案件构成要素的组成，记录了案件相关人、相关物、涉案行为的时间和空间、作案动机目的、作案结果等，成为案件研判分析的基础— 以案件研判模型为核心展开的案件研判活动。

·    案件研判模型记录了已知线索和证据，并以可视化的形式直观呈现出来。侦查人员可以根据已知线索，按照其熟悉的侦查思路展开研判分析（线索搜索、碰撞比对、涉案人行为分析、涉案人关系分析等等），发现新线索，新线索可以自动记录在研判模型中。

·    在以刑事案件侦查为主的各类案件侦查或调查办理全过程中，案件研判模型可以记录各个办案阶段的研判结果，并在侦查团队内部交流共享、推演回溯，使得跨部门、跨警种、跨区域的联合协同侦查成为可能。

·    案件研判模型可以记录侦查员的研判行为。通过归纳分析优秀侦查员的研判思路，将其固化为智能研判算法，转化为系统自动执行的研判功能。

·    可以利用机器学习技术，通过学习侦查员研判行为和思路，由系统自动生成智能研判算法。

 

案件研判模型既可以是针对所有刑事案件共性的案件要素的通用案件模型，也可以是针对特定案件类型和侦查模式的特定类型案件模型。

由于刑事案件本身的复杂性，没有适合各种案件的通用侦查模式和研判思路。但针对特定类型案件的发案规律，经过长期刑事侦查实践总结出了科学的侦查模式，优秀的侦查员根据各自侦查办案实践形成了一系列有效的研判思路。基于特定类型的案件研判模型，完全可以通过归纳分析，将这些侦查模式和研判思路固化形成适合特定案件类型的智能研判算法。

图4 证据线索、案件研判模型与研判活动的关系

 

6)       电子数据侦查为刑事案件侦查的全过程提供案情研判服务

即使尚未获取涉案设备电子数据，电子数据侦查也可以基于传统手段获取的线索和证据建立案件研判模型，在刑事案件侦查全过程中开展案件研判活动，循环反复地根据已知线索获取更多线索和证据，直至案件侦查终结。整个刑事案件侦查过程就是一个涉案线索逐步丰富，涉案证据逐步完整并形成证据链，案件研判模型中案件构成要素逐步完备的过程。

电子数据侦查涉及的刑事案件侦查程序包括：

·   受理案件的审查和立案

·   勘查勘验

·   案情分析判断

·   拟定侦查方案

·   开展侦查，寻找线索

·   深入侦查，搜集证据

·   并案侦查

·   破案

·   结案

电子数据侦查需要支持各种侦查形式，包括：普通刑事案件侦查、重大特定刑事专案侦查、串并案侦查。

电子数据侦查的服务对象已经从电子数据取证分析人员，扩展到侦查员，扩展到专案侦查或专项斗争中的指挥员，即整个刑事案件侦查团队。甚至可以为专业情报人员提供情报分析方面的帮助。

 

7)       电子数字侦查可以为行政违法案件调查服务 — 以治安案件为主

除为刑事案件侦查外，电子数据侦查还可为以治安案件为主的行政违法案件调查服务，为公安机关基层办理案件服务。

 

8)       电子数据侦查需要为专项斗争的侦查任务服务

电子数据侦查涉及的专项斗争侦查活动：

·   明确目标、制定行动计划 — 主攻违法犯罪目标、行动时限、组织机构、人员分工。

·   搜集材料、总结犯罪特点 — 确定打击犯罪对象的犯罪事实、调查核实材料，未破案件的有关嫌疑线索等。

·   发动群众提供线索，制造舆论攻势促使违法犯罪人员主动投案自首。

·   全面实施搜捕 — 对抓捕到的犯罪嫌疑对象进行审问，查破积案，深挖余罪，追缴赃款等。

·   深挖犯罪事实 — 对群众检举的线索、犯罪分子自首的情况、犯罪嫌疑对象审问的情况，继续调查取证，积累材料。

·   处理善后 — 对专项斗争活动中发现的重大线索，进行查证，符合立案条件的立案侦查。

 

2.2电子数据侦查的优势

与电子数据取证相比，电子数据侦查具有如下优势：

	电子数据取证	电子数据侦查
1	传统侦查手段获取的线索和证据不能自动与电子数据关联，共同为侦查服务	通过建立案件研判模型，将传统侦查手段获得的线索和证据与电子数据取证手段获取的信息数据整合在一起，自动关联，共同为侦查服务
2	从技术视角，为用户提供取证分析或者研判分析功能（关联分析、碰撞比对、行为轨迹等）。用户面对的是复杂难懂的技术功能逻辑。	案件研判模型反映的是侦查员熟悉的案件构成要素（犯罪主体、相关人、相关物、作案行为、作案时间、作案空间、动机目的、作案结果） 以侦查员的思维方式展开案件研判
3	为达到某个侦查任务目标，用户需要在各种取证分析或者研判功能之间切换，需要反复手工选择或输入已知的线索信息作为输入，研判结果以技术性的文字、图表等呈现，不能直观反映案件构成要素。	已知的线索信息整合到案件研判模型，无需反复选择或输入。侦查员可以针对阶段性侦查目标，直接在熟悉的模型上进行案件研判活动，系统根据已知线索自动调用研判分析功能；研判结果直接在模型上体现为更多的线索和证据，并且以可视化图表呈现。
4	取证分析或研判功能通常只能在已经获取涉案设备电子数据的前提下，在特定的侦查阶段，为特定的侦查目标服务。	即使尚未获取涉案设备电子数据，也可以基于传统手段获取的线索和证据建立案件研判模型，案件研判活动贯穿于案件侦查或调查办理全过程，是根据已知线索获取更多线索和证据的过程，是模型中案件构成要素更加完备的过程。
5	研判结果无法保存并直观推演重现，不能在侦查团队内部自由交流共享。	研判结果记录保存在案件模型中，可在侦查团队内部交流共享、回溯推演，支持跨部门（警种）、跨区域的团队协作。
6	没有充分利用传统侦查手段获取的线索和证据	电子数据侦查引入传统侦查手段获取的线索和证据，通过碰撞比对、搜索等传统分析手段，从大量涉案设备电子数据挖掘线索和证据，从司法机关情报信息系统和社会情报信息系统的海量电子数据中挖掘，可以大大提高案件侦破成功率。
7	技术性研判功能无形中竖起一道技术门槛，限制推广使用的范围，实际的应用效果也会大打折扣。	侦查员熟悉的案件研判模型，以侦查员的思维方式展开研判活动，拆除了技术门槛。有利于在侦查员和侦查指挥员中推广使用，提高研判效率和效果，最终到达提高破案率和破案时效性的结果。
8	没有案件研判模型的概念，无法归纳理解侦查员研判行为背后的侦查思路。	可以针对不同案件类型和侦查模式，建立特定类型的案件研判模型，归纳分析优秀侦查员研判思路，将其固化为智能的研判算法，由系统自动执行。 最终可以利用人工智能技术，通过学习侦查员研判行为，由系统自动生成智能研判算法。

 

3        电子数据侦查解决方案

针对公安机关和检察机关两大司法机关实施刑事案件侦查的业务需要，以及公安机关调查办理以治安案件为主的行政违法案件的业务需要，本文提出一套完整的行业解决方案。

【以下待续】。