电子数据侦查

摘要

从1999年美国出现第一款商用计算机取证工具并随后引入中国，从2013年《刑事诉讼法》首次确立“电子数据”作为证据的法律地位至今，电子数据取证技术和产品已经在司法机关得到广泛应用。然而，电子数据取证以技术为先的理念极大地了其自身发展的空间。本文针对电子数据取证的局限性，提出电子数据侦查的理念：在刑事案件侦查全过程中，以发现和收集案件相关证据、查明犯罪事实、确定和查获犯罪嫌疑人为目标，围绕以案件要素构成的研判模型，从海量电子数据中挖掘线索和证据，直至案件侦破终结的一系列案件研判活动。并依此理念提出满足机关和检察机关侦查业务需求的解决方案。

关键词：电子数据侦查、案件构成要素、案件研判模型、智能研判

1什么是电子数据侦查？

1.1从电子数据取证起步

1991年，在第一届国际计算机调查专家会议上，首次提出“计算机证据（Computer Evidence）”和“计算机取证（Computer Forensic）”。

1999年，美国出现了第一款计算机取证的商用工具EnCase。此后，以计算机取证为代表的电子数据取证的理念、技术和工具产品开始引入到国内，成为刑事案件侦查的技术手段之一。

2013年1月1日施行的《中华人民共和国刑事诉讼法》首次确立了“电子数据”作为证据的法律地位，电子数据取证在司法机关迎来了更大的发展机遇。全国机关县级以上网安部门、机关基层科所队基本完成智能终端数据取证设备的全面部署，正在逐步形成规范化、常态化的数据采集工作机制，为机关电子数据取证工作奠定了坚实的基础。检察机关已经建成全国的电子数据云平台，并开始覆盖基层，应用服务正在向侦查办案部门延伸。

1.2电子数据取证局限性

由于限定于电子数据证据和线索的取证分析，传统电子数据取证以技术为先的理念具有以下不足，了其发展空间：

1.电子数据作为的侦查线索和证据来源，没有与传统侦查手段获取的线索和证据关联，不能站在刑事案件侦查的高度，融合两种线索和证据来源，共同为侦查业务服务。

2.由于定位于技术支持地位，电子数据取证产品为用户提供的是技术性的取证分析功能（例如，关系分析、行为轨迹、异常分析等）。用户面对的是复杂难懂的功能逻辑。为完成刑事案件侦查任务，他们需要在各种取证分析功能之间切换，手工输入各种已知的线索信息。研判分析的结果多以技术性的文字、图表形式展现。

3.电子数据取证产品通常限于在特定侦查阶段，为特定具体的侦查任务提供证据和线索，提供技术性研判分析。研判结果无法直观呈现，不能在侦查团队内部交流共享，不能回溯推演。

针对电子数据取证的局限性，本文首次提出电子数据侦查的理念，提出满足机关和检察机关两大司法机关侦查业务需求的解决方案。

1.3什么是电子数据侦查

电子数据侦查是在以刑事案件侦查为主的各类案件侦查或者调查办理全过程中，以收集和发现案件相关证据、查明犯罪事实、确定和查获违法犯罪嫌疑人为目标，围绕案件构成要素，从海量的电子数据中挖掘线索和证据，直至案件侦破终结的一系列案件研判活动。

电子数据侦查的核心要素包括：

4.以电子数据取证技术手段，采集并汇聚以手机和个人计算机为主的各种涉案设备的电子数据[1]（这里的涉案设备指案件中嫌疑人、被害人或者其他相关人拥有或使用的各种电子终端设备）；

5.融合传统侦查手段获取的案件证据和线索[1]（通常是已经记录在机关或检察机关的网上办案系统、现场勘验信息系统、询问/讯问笔录信息系统等系统中的电子数据）；

6.整合司法机关（机关和检察机关）各种情报信息资源[1]，整合社会情报信息资源[1]；

7.建立以犯罪主体、相关人（受害人和知情人）、相关物、作案行为、作案时间、作案空间、作案动机目的、作案结果等刑事案件要素构成的案件研判模型；

8.在以刑事案件侦查为主的各类案件侦查或调查办理全过程中，以案件研判模型为核心展开的一系列案件研判活动；

9.案件研判活动的目的是为发现和收集案件证据、查明犯罪事实、确定和查获犯罪嫌疑人等各项侦查任务服务。

电子数据侦查活动的本质是利用已知线索和证据，从以电子数据形式存在的海量情报信息[1]中挖掘出更多新线索和证据，再利用新线索继续挖掘其它线索，如此循环反复，直至查明违法犯罪行为、动机目的、组织分工以及违法犯罪结果等相关事实，直至侦查终结。

2电子数据侦查的理念和优势

2.1电子数据侦查的理念

下图描述了电子数据侦查的理念和内涵，以下将做详细阐述。

图1 电子数据侦查概念模型

10.以电子数据取证手段，采集并汇聚各种涉案终端设备上的电子数据

截止2015年12月，我国网民规模达 6.88 亿，其中手机网民达6.2亿，占网民的90%以上，只使用手机上网的网民1.3亿，占整体网民的大约18.5%。手机用户数超过13亿户，手机普及率达95.5部/百人。用户规模超过1亿的网络应用包括：即时通讯、搜索引擎、网络新闻、网络视频、网络音乐、网上支付、网络购物、网络游戏、网上银行、网络文学、旅行预订、电子邮件、团购、互联网医疗、论坛/bbs、在线教育、互联网理财。这组数字表明：手机已经成为人们日常生活的必需品，以智能手机为主的智能终端设备记录了人们日常沟通交流、生活工作、娱乐学习、出行购物等等行为。在这个大数据的时代，不论是数字化犯罪还是传统手段犯罪，除非“不食人间烟火”，否则都将落入“天网恢恢，疏而不漏”的电子数据记录体系。

其中，以电子数据取证技术手段、从涉案终端设备上采集并汇聚的电子数据记录着涉案相关人、尤其是犯罪嫌疑人的日常行为，是电子数据侦查最重要的线索和证据来源。

11.融合传统侦查手段获取的案件证据和线索

电子数据侦查整合传统侦查手段获取的案件证据和线索，包括：物证书证，证人证言，被害人陈述，犯罪嫌疑人、被告人供述和辩解，鉴定意见，勘验检查、辨认、侦查实验等笔录，视听资料。这些线索和证据通常已经记录在机关或检察机关的网上办案系统、人员信息采集系统、现场勘验信息系统、询问/讯问笔录信息系统等信息系统中，以结构化、半结构化或者非结构化电子数据形式存在。

电子数据侦查融合这些传统线索和证据，通过碰撞比对、搜索等传统分析手段，从海量涉案设备电子数据中挖掘线索和证据，可以大大提高案件侦破成功率。

12.整合司法机关（机关和检察机关）各种情报信息资源

司法机关情报信息资源通常包括：情报平台、警务综合应用平台、警用地理信息平台、网安综合应用平台、人口信息库、机动车信息库、在逃人员信息系统、被盗抢汽车信息系统、禁毒信息管理系统、电信诈骗案件侦查破案协助平台、旅馆住宿信息系统、网吧上息系统等等。这些海量的情报信息中隐藏着犯罪分子犯罪行为的蛛丝马迹，电子数据侦查整合这些情报信息，使得从中挖掘犯罪线索和证据、查明犯罪事实、确定和查获犯罪嫌疑人成为可能。

13.整合社会情报信息资源

社会情报信息资源是指电信、互联网服务、银行、证券、水电煤公用服务、广电、邮政、快递、医院等各类社会服务企业单位，以及工商、税务、海关、民政、房地产登记这类行政管理部门所运营维护的各类信息系统中保存的情报信息。这些情报信息记录了普通社会人群生活、工作、娱乐、购物、出行等日常行为，其中也包括违法犯罪分子的日常行为以及违法犯罪行为。与司法机关的情报信息资源相比，这些情报信息覆盖的社会人群更加广泛，记录的社会行为更加全面、详尽。通过整合这些社会信息资源，完全有可能捕捉到犯罪分子更多的蛛丝马迹，让其无处遁形。

电子数据侦查只有整合了社会情报信息资源，将挖掘犯罪线索和证据的数据空间扩展到普通社会人群的日常行为，才能成为真正意义上的“电子数据侦查”。

从下图我们可以看到传统侦查手段获取的线索和证据、涉案设备电子数据、司法机关情报信息资源和社会情报信息资源在电子数据侦查中的层次关系。电子数据侦查活动的本质就是利用已知线索和证据，从这些以电子数据形式存在的海量情报信息中挖掘出更多新线索和证据。

图2 传统侦查证据线索、涉案设备电子数据、司法机关和社会情报信息的层次关系

14.建立以案件要素构成的案件研判模型

电子数据侦查首先需要建立以案件相关人（犯罪分子、受害人和其他知情人）、相关物、作案行为、作案时间、作案空间、作案动机目的、作案结果等刑事案件要素构成的案件研判模型，包括涉案人关系模型（其中又包括嫌疑人团伙关系模型），涉案行为模型、涉案时间模型、涉案空间模型、作案动机目的模型、作案结果模型等。

图3 刑事案件构成要素

案件研判模型具有以下意义和作用：

•案件研判模型由案件构成要素的组成，记录了案件相关人、相关物、涉案行为的时间和空间、作案动机目的、作案结果等，成为案件研判分析的基础 — 以案件研判模型为核心展开的案件研判活动。

•案件研判模型记录了已知线索和证据，并以可视化的形式直观呈现出来。侦查人员可以根据已知线索，按照其熟悉的侦查思路展开研判分析，发现新线索，新线索可以自动记录在研判模型中。

•在以刑事案件侦查为主的各类案件侦查或调查办理全过程中，案件研判模型可以记录各个办案阶段的研判结果，并在侦查团队内部交流共享、推演回溯，使得跨部门、跨警种、跨区域的联合协同侦查成为可能。

•案件研判模型可以记录侦查员的研判行为。通过归纳分析优秀侦查员的研判思路，将其固化为智能研判算法，转化为系统自动执行的研判功能。

•可以利用人工智能技术，通过机器学习侦查员研判行为和思路，系统自动生成智能研判算法。

案件研判模型既可以是针对所有刑事案件共性的案件要素的通用案件模型，也可以是针对特定案件类型和侦查模式的特定类型案件模型。

由于刑事案件本身的复杂性，没有适合各种案件的通用侦查模式和研判思路。但针对特定类型案件的发案规律，经过长期刑事侦查实践总结出了科学的侦查模式，优秀的侦查员根据各自侦查办案实践形成了一系列有效的研判思路。基于特定类型的案件研判模型，完全可以通过归纳分析，将这些侦查模式和研判思路固化形成适合特定案件类型的智能研判算法。

图4 证据线索、案件研判模型与研判活动的关系

15.电子数据侦查为刑事案件侦查的全过程提供案情研判服务

即使尚未获取涉案设备电子数据，电子数据侦查也可以基于传统手段获取的线索和证据建立案件研判模型，在刑事案件侦查全过程中开展案件研判活动，循环反复地根据已知线索获取更多线索和证据，直至案件侦查终结。整个刑事案件侦查过程就是一个涉案线索逐步丰富，涉案证据逐步完整并形成证据链，案件研判模型中案件构成要素逐步完备的过程。

电子数据侦查需要支持各种侦查形式，包括：普通刑事案件侦查、重大特定刑事专案侦查、串并案侦查。

电子数据侦查的服务对象已经从电子数据取证分析人员，扩展到侦查员、专业的情报分析人员、专案侦查中的指挥员，即整个刑事案件侦查团队。

16.电子数字侦查可以为行政违法案件调查服务 — 以治安案件为主

除为刑事案件侦查外，电子数据侦查还可为以治安案件为主的行政违法案件调查服务，为机关基层办理案件服务。

17.电子数据侦查可以为专项斗争的侦查任务服务

电子数据侦查还可为专项斗争的全过程提供支撑服务，包括从电子数据中搜集材料、总结犯罪特点、深挖犯罪事实，查证专项斗争中发现的重大线索，为后续的立案侦查做准备。

2.2电子数据侦查的优势

与传统电子数据取证相比，电子数据侦查具有如下优势：

3电子数据侦查解决方案

针对机关和检察机关两大司法机关实施刑事案件侦查的业务需要，以及机关调查办理以治安案件为主的行政违法案件的业务需要，本文提出一套完整的行业解决方案 — 取证互联通。

3.1业务功能定位

电子数据侦查解决方案的业务功能定位于：

18.电子数据云平台 — 汇聚、整合电子数据

●汇聚涉案设备电子数据

●整合案事件信息数据 — 检索网上办案系统，整合传统侦查手段获取的线索和证据

●整合司法机关数据资源 — 连接司法机关情报信息系统，检索刑嫌管控、阵地控制信息数据，覆盖刑嫌管控对象；检索基础信息数据（如人口库、卡口库等），覆盖普通人群信息。

●整合社会数据资源（如电信话单、银行账单等）— 有机会从涵盖普通人群的全场景电子数据中挖掘线索，锁定违法犯罪分子。

目标用户角色：平台的规划者

19.电子数据取证分析

挖掘案件线索和证据，为案件侦查和调查取证提供技术支持

目标用户角色：电子数据取证分析人员、取证技术管理者

20.电子数据侦查研判

案件研判分析：在案件侦查全过程中，直接为刑事案件侦查和治安案件调查办理服务

违法犯罪态势分析：分析违法犯罪发生规律、背后动因以及发展态势

目标用户角色：侦查员及业务管理者，侦查业务主管领导；基层办案人员及业务管理者

3.2 解决方案特点

电子数据侦查整体解决方案业务逻辑架构如下图所示：

图5 取证互联通业务逻辑架构

本解决方案特点：

21.方案设计紧紧围绕提升客户战力目标，符合用户任务场景要求

围绕提升客户战力目标，对目标用户群体进行精确细分，将提升战力目标分解到各个用户角色的任务目标，依据用户任务目标和任务场景进行系统设计。并进一步用量化指标考察用户利用本系统完成任务的情况，通过数据统计分析定量评估实际案件侦查的运营效果、存在的问题和系统完善方向。例如：

1)评价系统对提高侦查员破案率和破案时效性的实际效果

2)统计取证分析员从涉案设备电子数据中挖掘出的线索证据数量

3)评价涉案设备电子数据质量与案件侦查效果的关系

4)评价平台涉案设备电子数据数量和质量

22.针对跨部门、跨警种、跨区域合成作战场景设计的安全访问控制机制

对电信诈骗、侵犯公民个人信息、网络等这类跨地域甚至跨境的涉众类新型犯罪，需要多部门跨区域协同作战，由此延伸出多地区、多警种侦查团队协同研判的需求；由于涉案数据敏感性同时又有高度安全保密的需求，取证互联通安全访问控制机制同时满足两方面需求。

23.针对特定案件类型建立特定案件研判模型

以电信诈骗、侵害公民个人身份信息、非法买等涉众类犯罪为例，通过对案件发生、侦破模式的提炼，可固化形成特定的涉案人关系、犯罪行为等研判模型，支持跨区域、跨部门（警种）的协同研判，支持自动串并案分析。

图6 特定类型案件实例

4.    稳固而有弹性的系统架构

支持灵活的部署方式以及多系统协同运营；

支持灵活的跨区域、跨部门（警种）警务协作；

支持业务扩展，如通过简单的系统升级动态扩充智能研判算法，按案件类型扩展案件分析模型，扩充违法犯罪态势分析功能。

5.    灵活而丰富的数据接口

针对各类异构数据源（结构化、半结构化、非结构化），数据适配层定义了统一汇聚数据接口，确保系统具备整合各类情报信息的强大能力。

6.    快速而高效的搜索算法

结合数据库检索和全文搜索引擎，实现快速高效搜索。

未来本系统支持通过语义分析自动从非结构化数据中提取案件线索和证据并进一步自动建立涉案行为过程模型、支持自动统计分析侦查员研判思路并固化形成智能研判算法。

结束语

经过以刑事案件侦查为核心的司法实践运用，电子数据取证在技术、产品、服务和侦查研判等方面的实践积累，为电子数据侦查奠定了坚实的基础。我们相信，通过引入新的理念和坚持不懈地创新，再加上已有实践积累，电子数据在刑事案件侦查上的应用水平将登上新的台阶，为提高司法机关战力做出更大贡献。