1、從電子數據取證到電子數據偵查摘要從1999年美國出現第一款商用計算機取證工具并隨后引入中國，從2013年刑事訴訟法首 次確立“電子數據”作為證據的法律地位至今，電子數據取證技術和產品已經在司法機關得到廣泛 應用。然而，電子數據取證以技術為先的理念極大地限制了其自身發展的空間。本文針對電子數據 取證的局限性，提出電子數據偵查的理念：在刑事案件偵查全過程中，以發現和收集案件相關證據、 查明犯罪事實、確定和查獲犯罪嫌疑人為目標，圍繞以案件要素構成的研判模型，從海量電子數據 中挖掘線索和證據，直至案件偵破終結的一系列案件研判活動。并依此理念提出滿足公安機關和檢 察機關偵查業務需求的解決方案。關鍵詞：電

2、子數據偵查、案件構成要素、案件研判模型、智能研判什么是電子數據偵查？從電子數據取證起步1991年，在第一屆國際計算機調查專家會議上，首次提出“計算機證據(Computer Evidence)”和“計算 機取證(Computer Forensic)”。1999年，美國出現了第一款計算機取證的商用工具EnCase。此后，以計算機取證為代表的電子數據取證的 理念、技術和工具產品開始引入到國內，成為刑事案件偵查的技術手段之一。2013年1月1日施行的中華人民共和國刑事訴訟法首次確立了“電子數據”作為證據的法律地位，電 子數據取證在司法機關迎來了更大的發展機遇。全國公安機關縣級以上網安部門、公安機關基層

3、科所隊基本完成 智能終端數據取證設備的全面部署，正在逐步形成規范化、常態化的數據采集工作機制，為公安機關電子數據取 證工作奠定了堅實的基礎。檢察機關已經建成全國的電子數據云平臺，并開始覆蓋基層檢察院，應用服務正在向 偵查辦案部門延伸。電子數據取證局限性由于限定于電子數據證據和線索的取證分析，傳統電子數據取證以技術為先的理念具有以下不足，限制了其 發展空間：電子數據作為獨立的偵查線索和證據來源，沒有與傳統偵查手段獲取的線索和證據關聯，不能站在刑事案件 偵查的高度，融合兩種線索和證據來源，共同為偵查業務服務。由于定位于技術支持地位，電子數據取證產品為用戶提供的是技術性的取證分析功能(例如，關系分析

4、、行 為軌跡、異常分析等)。用戶面對的是復雜難懂的功能邏輯。為完成刑事案件偵查任務，他們需要在各種取 證分析功能之間切換，手工輸入各種已知的線索信息。研判分析的結果多以技術性的文字、圖表形式展現。電子數據取證產品通常限于在特定偵查階段，為特定具體的偵查任務提供證據和線索，提供技術性研判分析。 研判結果無法直觀呈現，不能在偵查團隊內部交流共享，不能回溯推演。針對電子數據取證的局限性，本文首次提出電子數據偵查的理念，提出滿足公安機關和檢察機關兩大司法機 關偵查業務需求的解決方案。什么是電子數據偵查電子數據偵查是在以刑事案件偵查為主的各類案件偵查或者調查辦理全過程中，以收集和發現案件相關證據、 查明

5、犯罪事實、確定和查獲違法犯罪嫌疑人為目標，圍繞案件構成要素，從海量的電子數據中挖掘線索和證據， 直至案件偵破終結的一系列案件研判活動。電子數據偵查的核心要素包括：以電子數據取證技術手段，采集并匯聚以手機和個人計算機為主的各種涉案設備的電子數據1（這里的涉 案設備指案件中嫌疑人、被害人或者其他相關人擁有或使用的各種電子終端設備）；融合傳統偵查手段獲取的案件證據和線索1（通常是已經記錄在公安機關或檢察機關的網上辦案系統、現 場勘驗信息系統、詢問/訊問筆錄信息系統等系統中的電子數據）；整合司法機關（公安機關和檢察機關）各種情報信息資源1，整合社會情報信息資源1；建立以犯罪主體、相關人（受害人和知情人

6、）、相關物、作案行為、作案時間、作案空間、作案動機目的、 作案結果等刑事案件要素構成的案件研判模型；在以刑事案件偵查為主的各類案件偵查或調查辦理全過程中，以案件研判模型為核心展開的一系列案件研判 活動；案件研判活動的目的是為發現和收集案件證據、查明犯罪事實、確定和查獲犯罪嫌疑人等各項偵查任務服務。電子數據偵查活動的本質是利用已知線索和證據，從以電子數據形式存在的海量情報信息1中挖掘出更多新 線索和證據，再利用新線索繼續挖掘其它線索，如此循環反復，直至查明違法犯罪行為、動機目的、組織分工以 及違法犯罪結果等相關事實，直至偵查終結。電子數據偵查的理念和優勢電子數據偵查的理念下圖描述了電子數據偵查的

7、理念和內涵，以下將做詳細闡述。普通案件位生電牯大專案班交 專頂斗爭也克 士：E可視用的案杵冊刊模型？理 廣三:嘉:案I、匚土土班:qr.犯不寸,險生,犯心血性工,.，.t .苴三證匣.二二卜俎叩（已知，瞌旃m圖1 電子數據偵查概念模型以電子數據取證手段，采集并匯聚各種涉案終端設備上的電子數據截止2015年12月，我國網民規模達 6.88億，其中手機網民達6.2億，占網民的90%以上，只使用手機上 網的網民1.3億，占整體網民的大約18.5%。手機用戶數超過13億戶，手機普及率達95.5部/百人。用戶規模 超過1億的網絡應用包括：即時通訊、搜索引擎、網絡新聞、網絡視頻、網絡音樂、網上支付、網絡購

8、物、網絡 游戲、網上銀行、網絡文學、旅行預訂、電子郵件、團購、互聯網醫療、論壇bbs、在線教育、互聯網理財。這 組數字表明：手機已經成為人們日常生活的必需品，以智能手機為主的智能終端設備記錄了人們日常溝通交流、 生活工作、娛樂學習、出行購物等等行為。在這個大數據的時代，不論是數字化犯罪還是傳統手段犯罪，除非“不 食人間煙火”，否則都將落入“天網恢恢，疏而不漏”的電子數據記錄體系。其中，以電子數據取證技術手段、從涉案終端設備上采集并匯聚的電子數據記錄著涉案相關人、尤其是犯罪 嫌疑人的日常行為，是電子數據偵查最重要的線索和證據來源。融合傳統偵查手段獲取的案件證據和線索電子數據偵查整合傳統偵查手段獲

9、取的案件證據和線索，包括：物證書證，證人證言，被害人陳述，犯罪嫌 疑人、被告人供述和辯解，鑒定意見，勘驗檢查、辨認、偵查實驗等筆錄，視聽資料。這些線索和證據通常已經 記錄在公安機關或檢察機關的網上辦案系統、人員信息采集系統、現場勘驗信息系統、詢問/訊問筆錄信息系統 等信息系統中，以結構化、半結構化或者非結構化電子數據形式存在。電子數據偵查融合這些傳統線索和證據，通過碰撞比對、搜索等傳統分析手段，從海量涉案設備電子數據中 挖掘線索和證據，可以大大提高案件偵破成功率。整合司法機關（公安機關和檢察機關）各種情報信息資源司法機關情報信息資源通常包括：公安情報平臺、警務綜合應用平臺、警用地理信息平臺、網

10、安綜合應用平 臺、人口信息庫、機動車信息庫、在逃人員信息系統、被盜搶汽車信息系統、禁毒信息管理系統、電信詐騙案件 偵查破案協助平臺、旅館住宿信息系統、網吧上網信息系統等等。這些海量的情報信息中隱藏著犯罪分子犯罪行為的蛛絲馬跡，電子數據偵查整合這些情報信息，使得從中挖掘犯罪線索和證據、查明犯罪事實、確定和查獲犯 罪嫌疑人成為可能。整合社會情報信息資源社會情報信息資源是指電信、互聯網服務、銀行、證券、水電煤公用服務、廣電、郵政、快遞、醫院等各類 社會服務企業單位，以及工商、稅務、海關、民政、房地產登記這類行政管理部門所運營維護的各類信息系統中 保存的情報信息。這些情報信息記錄了普通社會人群生活、工

11、作、娛樂、購物、出行等日常行為，其中也包括違 法犯罪分子的日常行為以及違法犯罪行為。與司法機關的情報信息資源相比，這些情報信息覆蓋的社會人群更加 廣泛，記錄的社會行為更加全面、詳盡。通過整合這些社會信息資源，完全有可能捕捉到犯罪分子更多的蛛絲馬 跡，讓其無處遁形。電子數據偵查只有整合了社會情報信息資源，將挖掘犯罪線索和證據的數據空間擴展到普通社會人群的日常 行為，才能成為真正意義上的“電子數據偵查”。從下圖我們可以看到傳統偵查手段獲取的線索和證據、涉案設備電子數據、司法機關情報信息資源和社會情 報信息資源在電子數據偵查中的層次關系。電子數據偵查活動的本質就是利用已知線索和證據，從這些以電子數

12、據形式存在的海量情報信息中挖掘出更多新線索和證據。發.新作*f311打有忘口門游三人手中吊：1:球晦JEiiijriaS.舊i WE懊之司法機關情報信息,_ _-案牛二口1 i!i l-飛171；- 聯越蛭詢據WE*柔，誨以7”運涉案澄苗取證聿二的需圖2傳統偵查證據線索、涉案設備電子數據、司法機關和社會情報信息的層次關系建立以案件要素構成的案件研判模型電子數據偵查首先需要建立以案件相關人（犯罪分子、受害人和其他知情人）、相關物、作案行為、作案時 間、作案空間、作案動機目的、作案結果等刑事案件要素構成的案件研判模型，包括涉案人關系模型（其中又包 括嫌疑人團伙關系模型），涉案行為模型、涉案時間模型

13、、涉案空間模型、作案動機目的模型、作案結果模型等。涉案人關系空間要素圖3刑事案件構成要素案件研判模型具有以下意義和作用：案件研判模型由案件構成要素的組成，記錄了案件相關人、相關物、涉案行為的時間和空間、作案動機 目的、作案結果等，成為案件研判分析的基礎以案件研判模型為核心展開的案件研判活動。案件研判模型記錄了已知線索和證據，并以可視化的形式直觀呈現出來。偵查人員可以根據已知線索， 按照其熟悉的偵查思路展開研判分析，發現新線索，新線索可以自動記錄在研判模型中。在以刑事案件偵查為主的各類案件偵查或調查辦理全過程中，案件研判模型可以記錄各個辦案階段的研 判結果，并在偵查團隊內部交流共享、推演回溯，使

14、得跨部門、跨警種、跨區域的聯合協同偵查成為可 案件研判模型可以記錄偵查員的研判行為。通過歸納分析優秀偵查員的研判思路，將其固化為智能研判 算法，轉化為系統自動執行的研判功能。可以利用人工智能技術，通過機器學習偵查員研判行為和思路，系統自動生成智能研判算法。案件研判模型既可以是針對所有刑事案件共性的案件要素的通用案件模型，也可以是針對特定案件類型和偵 查模式的特定類型案件模型。由于刑事案件本身的復雜性，沒有適合各種案件的通用偵查模式和研判思路。但針對特定類型案件的發案規 律，經過長期刑事偵查實踐總結出了科學的偵查模式，優秀的偵查員根據各自偵查辦案實踐形成了一系列有效的 研判思路。基于特定類型的案

15、件研判模型，完全可以通過歸納分析，將這些偵查模式和研判思路固化形成適合特 定案件類型的智能研判算法。通用案件模型今特定案件模型片觀研判3自動智能研判技窠件類型智能在成i 得定奚里窠髻建坦工：.工注，據T恃定類型窠抖校型,例二按做卜三.美辛怛叫口父，：怛理三時三欄q號三唾弓（-?膽理監在成；L WJ 31 FM i滿五仙查td不押飛巧斐室今潮摩t汕介智就加利舊廿二型仙查定式由委列人； 士人鼻云.電案M.強.用成智能仙判算法K%；:川+部分行3“劃:.m回卜三時,:退土廣空柳工業口的處工現曲XH1成I 茸*柒鋅奉誦r J偵杳5主!卜三、天攜2田界速守其喬利Jt團釗拽型數提 以.口視化形式7叫用戶圖

16、4證據線索、案件研判模型與研判活動的關系I ,篥人關系捏型案彳亍為模型作舸間握型作篥空間雌動機目的摸型電子數據偵查為刑事案件偵查的全過程提供案情研判服務即使尚未獲取涉案設備電子數據，電子數據偵查也可以基于傳統手段獲取的線索和證據建立案件研判模型， 在刑事案件偵查全過程中開展案件研判活動，循環反復地根據已知線索獲取更多線索和證據，直至案件偵查終結。 整個刑事案件偵查過程就是一個涉案線索逐步豐富，涉案證據逐步完整并形成證據鏈，案件研判模型中案件構成 要素逐步完備的過程。電子數據偵查需要支持各種偵查形式，包括：普通刑事案件偵查、重大特定刑事專案偵查、串并案偵查。電子數據偵查的服務對象已經從電子數據取

17、證分析人員，擴展到偵查員、專業的情報分析人員、專案偵查中 的指揮員，即整個刑事案件偵查團隊。電子數字偵查可以為行政違法案件調查服務 以治安案件為主除為刑事案件偵查外，電子數據偵查還可為以治安案件為主的行政違法案件調查服務，為公安機關基層辦理 案件服務。電子數據偵查可以為專項斗爭的偵查任務服務電子數據偵查還可為專項斗爭的全過程提供支撐服務，包括從電子數據中搜集材料、總結犯罪特點、深挖犯 罪事實，查證專項斗爭中發現的重大線索，為后續的立案偵查做準備。2電子數據偵查的優勢與傳統電子數據取證相比，電子數據偵查具有如下優勢：傳統電子數據取證電子數據偵查1傳統偵查手段獲取的線索證據不能自動與 電子數據關聯

18、，共同為偵查服務通過建立案件研判模型，將傳統偵查手段獲得的線索證據 與電子數據取證手段獲取的信息數據整合在一起，自動關 聯，共同為偵查服務2從技術視角為用戶提供取證分析或者研判 分析功能，用戶面對的是復雜難懂的技術 功能邏輯。技術的門檻限制了推廣使用的 范圍，實際的應用效果也會大打折扣。案件研判模型反映的是偵查員熟悉的案件構成要素，以偵 查員的思維方式展開案件研判。拆除技術門檻，有利于在 偵查員和偵查指揮員中推廣使用，提高研判效率和效果， 最終到達提高破案率和破案時效性的目標。3為達到偵查任務目標，用戶需要在各種取 證分析功能之間切換，反復手工選擇或輸 入已知的線索信息作為輸入，研判結果以 技

19、術性的文字、圖表等呈現，不能直觀反 映案件構成要素。已知的線索信息整合到案件研判模型，無需反復選擇或輸 入。偵查員可以針對階段性偵查目標，在熟悉的模型上進 行案件研判活動，系統根據已知線索自動調用研判分析功 能；研判結果直接在模型上體現為更多的線索和證據，并 且以可視化圖表呈現。4取證分析通常只能在已經獲取涉案設備電 子數據的前提下，在特定的偵查階段，為 特定的偵查目標服務。即使尚未獲取涉案設備電子數據，也可以基于傳統手段獲 取的線索證據建立案件研判模型，案件研判活動貫穿于案 件偵查或調查辦理全過程，是根據已知線索獲取更多線索 和證據的過程，是模型中案件構成要素更加完備的過程。5研判結果無法保

20、存并直觀推演重現，不能 在偵查團隊內部自由交流共享。研判結果記錄保存在案件模型中，可在偵查團隊內部交流 共享、回溯推演，支持跨部門（警種）、跨區域的團隊協作。6沒有案件研判模型的概念，無法歸納理解 偵查員研判行為背后的偵查思路。可以針對不同案件類型和偵查模式，建立特定類型的案件 研判模型，歸納分析優秀偵查員研判思路，將其固化為智 能的研判算法，由系統自動執行。最終可以利用人工智能技術，通過學習偵查員研判行為， 由系統自動生成智能研判算法。表1 電子數據偵查與傳統電子數據取證的對照3 電子數據偵查解決方案針對公安機關和檢察機關兩大司法機關實施刑事案件偵查的業務需要，以及公安機關調查辦理以治安案件

21、為 主的行政違法案件的業務需要，本文提出一套完整的行業解決方案取證互聯通。業務功能定位電子數據偵查解決方案的業務功能定位于：電子數據云平臺匯聚、整合電子數據匯聚涉案設備電子數據整合案事件信息數據一檢索網上辦案系統，整合傳統偵查手段獲取的線索和證據整合司法機關數據資源 連接司法機關情報信息系統，檢索刑嫌管控、陣地控制信息數據，覆蓋刑嫌 管控對象；檢索基礎信息數據（如人口庫、卡口庫等），覆蓋普通人群信息。整合社會數據資源（如電信話單、銀行賬單等）有機會從涵蓋普通人群的全場景電子數據中挖掘線 索，鎖定違法犯罪分子。目標用戶角色：平臺的規劃者電子數據取證分析挖掘案件線索和證據，為案件偵查和調查取證提供

22、技術支持 目標用戶角色：電子數據取證分析人員、取證技術管理者電子數據偵查研判案件研判分析：在案件偵查全過程中，直接為刑事案件偵查和治安案件調查辦理服務 違法犯罪態勢分析：分析違法犯罪發生規律、背后動因以及發展態勢目標用戶角色：偵查員及業務管理者，偵查業務主管領導；基層辦案人員及業務管理者2解決方案特點電子數據偵查整體解決方案業務邏輯架構如下圖所示：EZLink 同力二:，EZLink詢問;訊問的:血上不出01值查北舞首埋者 TH沖T*三理為XX t十I. i- - 主管領導!打.門：I節內二三|U莊癖二二葉3語1_計算機取證分折前踹設備憤覘在審F1?津 山 蘭能產，城提四逅三:不背理：亍:打：

23、；!.| 昆 K*,k三；I- .1 金計；七違閭喘 志分守打中h上皿據解外請析it tit；=二一.力/ 部,安全訪問 1tMEZliik 匚三三通！+素件出制蕾型*1上下拿甲保 指*彥匚次肘據:L#三口司小升也 粒 4 I .惻“仁二，I.W比苫二道工”1 二上函N三三;四二”二三韋.陣地制惜息 |刑卿f旌信息：W謁丁國 !三：土.；; 恰一梃3-HI IT 一旦1取證分析設苗取證分析設備T - IST1E圖5取證互聯通業務邏輯架構本解決方案特點：方案設計緊緊圍繞提升客戶戰力目標，符合用戶任務場景要求圍繞提升客戶戰力目標，對目標用戶群體進行精確細分，將提升戰力目標分解到各個用戶角色的任務目標， 依據用戶任務目標和任務場景進行系統設計。并進一步用量化指標考察用戶利用本系統完成任務的情況，通過數 據統計分析定量評估實際案件偵查的運營效果、存在的問題和系統完善方向。例如：評價系統對提高偵查員破案率和破案時效性的實際效果統計取證分析