在信息化逐渐渗入人们生活、工作的今天,手机已经成了人们形影不离的通讯工具和智能设备。而对于职务犯罪侦查来说,手机往往意味着珍贵的线索来源。在技术侦查领域有句话“反贪查手机,反渎查电脑”,这看似调侃的话语并非随口说出,而是多年职务犯罪侦查经验的宝贵总结以及反贪、反渎干警的共识。
那么,从反贪工作实践的角度来说,手机数据信息究竟应该从何查起,如何把通过技术手段获得的手机数据分析结果在办案中发挥得淋漓尽致?
笔者认为可以首先从以下三方面入手,即:从基础数据查,从关联数据查,从隐藏数据查。
何谓从基础数据查?
基础,顾名思义,是某个领域最基本的资料和存在。手机的基础数据,就是由技术部门在分析手机后出具的手机话单分析报告等,其中包含了短信、通话情况、联系人等手机通讯功能最基础的数据。
当前的手机数据分析软件大多使用罗列清单的方式呈现基础通讯数据——其优点和缺点都很明显:优点是极其全面,无所不包;缺点也正是源于其无所不包的特性,经常需要办案人员从茫茫数据海洋中筛选出自己需要的有价值信息。这就要求办案人员在手机数据分析报告形成前头脑里便有明确的目标,能够迅速筛选有效信息。在手机话单等数据一经出炉后便精准定位,第一时间锁定目标。如,根据办案需要使用ctrl+F进行关键词搜索、通过讯问得出有用信息并从中检索、通过作案日期锁定相关信息、通过关系人筛选有用信息等。
随着专业软件的开发和手机数据查询质量要求的提高,图表在手机数据分析报告里出现得越来越频繁,并且呈现多样化的趋势:饼状图、柱状图,放射状图甚至3D模型均屡见不鲜。图表以其得天独厚的直观映像为办案人员提供独特参考。譬如,其中的放射状图就好像西方警探经常使用的“人物关系网络线索墙”——对一个人经常接触的对象由点到线,由线到面,由面成网,从而形成不仅直观而且立体的人际关系网络图。对图表的把握,往往能体现一个办案人员潜在的技侦分析水平,图表需要使用者有极强的空间想象能力和数据映射想象能力——即看到图表“背后”的东西。更有甚者,在一些特殊情况下,办案人员需要根据自己对提取到手机数据的理解及案件的进展情况临时制作图表,与其它干警达成有效交流。如在我院办理的某拆迁安置领域系列案件的案情讨论会上,就有干警使用图表在白板上将犯罪嫌疑人的经常联络人根据时间轴绘制出来,再在每个时间点对关键信息逐一加以辨析,使大家一目了然,案情也进一步明晰。
对基础数据研究得越透彻,就越发能感觉到手机数据分析报告绝不是简单的数据记录和罗列,而能反映出一个人的行为轨迹、社会关系,通讯习惯,心理状态等诸多信息。手机如何变,其作为基础功能的通讯功能不会变。因此掌握基础数据永远是运用手机数据分析手段的基本功。
何谓从关联数据查?
首先,我们要明确本文阐述的“关联数据”是怎样一种概念。“关联数据”是指从目标手机中获取的除“传统”通讯信息——即通讯录、短信记录、通话记录之外的通讯资料,如微信、QQ、MSN、网络邮件等等。关联数据实际上是另一种“基础数据”,或者说是当今社会有别于传统通讯数据的一种全新的通讯基础数据。
随着时代的演进,智能手机的功用早已不再局限于收发短信接打电话。手机短信正逐步被微信取代。手机通讯软件的语音通话、视频通话等功能使得这些软件所属的互联网公司正在逐步蚕食传统的三大网络运营商的客户与市场。这些通讯软件不仅在生活娱乐中被广泛使用,在工作中也占据一席之地——现在越来越多人开始使用微信群或qq群来开公司例会、网络碰头会就是一个例证。
更值得注意的是,这些新的通讯形式经常与其本人的手机号、身份ID等有着密切的联系。故而才称之为“关联信息”。比如很多人的微信、微博号码就是通过手机号注册的。将一个人的手机号码添加进通讯录的同时,微信经常也会提示添加该人好友;知晓一个人的身份证号码后,甚至能进行该号码下许多账号的密码更改。
当下的手机数据分析软件,一般都具备了分析QQ的功能,但通常还不具备分析微信及其他社交平台的功能。从QQ数据分析报告来看,当前分析软件对这些新通讯平台的分析基本还停留在对通讯录分析的模仿上。譬如,只罗列了手机QQ的联系人及聊天记录,而对于如QQ邮箱、QQ空间、QQ转账支付等信息并未涉及。因此在分析QQ、微信等关联数据时,应该不仅仅依赖于技术部门的分析结果,而应结合干警自身对这些新通讯平台的理解,自主查阅QQ、微信等软件,获得有用信息。除了获得被调查人的来往密切人员情况及不正当经济关系之外,还可通过观察一个人的微信好友、朋友圈等信息,获悉该人员大致的兴趣爱好、社交圈子等等。调查微信、QQ还时常会有一些意外收获,如发现被调查对象的作风问题等等——这些问题往往能成为案件的突破口。分析新通讯平台的作用随着时间的推移将越发重要,尤其当被调查对象为年轻人或比较“潮”的中年人时,分析新通讯手段的内容将更易于获取有效信息。
另外,关联数据的外延不仅仅包括QQ、微信等通讯工具,甚至还包括目标手机中的各种应用及一切使用痕迹。比如,查询手机中支付宝的安装时间、使用频率等信息,可以大致明确一个人的消费习惯、对互联网的熟悉程度,甚至是犯罪线索——眼下,“支付宝红包行贿”、“支付宝借条行贿”等新型的以互联网为依托的行贿手段已经开始出现。在这种情形下,手机数据全面分析将不仅仅是一个侦破手段,更将成为一种取证手段。
何谓从隐藏数据查?
真相往往藏于水面之下。被分析的手机中一般都含有大量的有用信息,然而对于那些预知到自己可能会被调查,早已有所准备的犯罪嫌疑人(在窝案、串案的查办中尤为多见)来说,删除手机资料就成了其最简易而便捷的一种反侦查手段。然而,这些被删除的手机数据一旦被恢复,被恢复的资料可能每一条都是“干货”,对案件推进将起到决定性作用。因此,分析手机数据,从恢复删除资料入手就成了职务犯罪侦查环节的重中之重。
要恢复手机数据,首先要了解手机的存储机制和删除机制。手机存储介质一般分为两种——手机自带存储空间和可移动数据内存卡(以TFT卡、microsoft SD卡居多)。一般而言,短信及通话记录等基础性资料是存储于手机自带存储空间中的,安卓系统手机在4.0版本之后的各种应用也只能安装于手机自带存储空间中。可移动数据内存卡通常作为仓库用来存储一些占用空间较大的非程序文件,如影音资料等。
所谓手机数据的删除机制,实则和电脑硬盘类似——删除一个文件后,该文件在硬盘中并没有被真正删除,而只是被“除名”。此时被“除名”的文件仍然以“底层数据”的形式存在于存储介质当中,当有新的文件或程序占用被删除文件的存储空间时,该文件才会被真正删除。正是这种机制,使得手机数据恢复成为了可能。
了解并掌握至少一种手机数据恢复软件,将让反贪干警如虎添翼。虽然手机数据分析一般交由技术部门人员完成,但是由于技术人员对职务犯罪侦查专业了解不深、相关介入机制不健全等原因,很多时候技术部门并不能及时同步跟进、协助调查。而侦查机会稍纵即逝,当犯罪嫌疑人意识到情形不对、可能东窗事发时,许多人甚至会选择将SIM卡毁坏或将手机直接丢弃。因此,需要侦查人员当场提取数据的情形越来越多。手机不像电脑,数据庞大而不易短时间内提取,只需要一根数据线、一台电脑、一个U盘及其中的手机恢复软件就可以做到数据恢复。在联网条件下,通过下载360等软件也可以进行简单的数据恢复。恢复后的数据可以通过制作镜像文件、压缩打包等方式进行拷贝存储。除了少数反侦查能力极强或数码知识较为丰富的犯罪分子,一般人都不会具备删除底层数据的意识,因此手机数据恢复的可操作性十分之高。即使不确定对方是否进行了删除数据的操作,也可以针对实际情况(如发现被调查手机中明显有一整个时间段数据反常缺失)进行预防式恢复。
那么,当我们从基础数据、关联数据、隐藏数据三方面入手,把一台手机分析完毕,当多达数十页甚至上百页的数据分析资料摆在我们面前时,我们接下来应该怎么做才能最大化地利用这些珍贵资料呢?
有人也许会说,当然是筛选所需,获得与案情有关的信息。诚然,获取未知信息永远是调查案件一以贯之的行动模式。然而,今天我们讨论的是一些看似“边缘”的策略——与技术人员沟通协调,与技能培训相得益彰,与讯问过程有机统一。
首先,与“解铃人”达成有效沟通。长期以来,技术人员都只被当成进行各种实际技术操作的“师傅”,而在涉及到具体案情时向来将他们“边缘化”。考虑到案件保密需要、办案角色分工等种种原因,这么做无可厚非。然而,在办案实践中,完全把技术部门和办案部门“分家”也是不可取的。由于技术侦查及数据分析的专业性,一些表格、图像、数据所反映的全部信息并不能被肉眼完全识别,这就需要技术人员从专业角度为大家“讲授”。而且不同于鉴定人的是,检察机关的技术人员不必顾忌“中立性”,完全可以对案情提出自己的观点,为办案提供一种全新的视角和思路。此外,通过与技术人员达成有效沟通,办案人员也会对数据分析软件更加熟悉并逐步掌握。
其次,注重办案人员之间的交流和专业技能培训。闭门造车,终究是有局限性的,每一次数据分析讨论都是一次学习与交流的过程。通过召开案情分析会交流讨论,可以从不同角度对各类手机数据资料提出自己的理解和发现,信息分享,取长补短。同时,要加强对办案人员手机、电脑等电子数据取证和分析能力的专业培训,使每一位干警都能逐步掌握乃至熟练运用各种手机数据分析软件及技巧,使侦查人员在不依赖技术人员的情况下依然能游刃有余地进行数据提取和分析,从而抢占侦查先机。
再者,手机数据分析要与讯问、谈话等有机融合。归根结底,手机数据分析是为了服务于案件侦破,因此不能将其割裂于整个案件侦办过程之外。相反,在讯问等侦查环节中熟练融入数据分析成果,往往会相得益彰、事半功倍。数据分析结果可以使讯问更有针对性,甚至可以依据数据分析结果制定整个讯问、谈话的目标及提纲。如在某一段时间,被调查对象的通话频率明显高于往常,且夜间通话较多,单次通话时间长,就可以以此为谈话背景,以该时间段被调查人做了什么及心理历程变化作为讯问的主要目标。反过来,讯问过程中得出的一些疑点,也可以成为对手机数据进行筛选的参考和依据。
对于突审及讯问过程中遇到的“攻坚战”,手机数据分析结果往往可以有效发挥作用,直击对方要害。手机数据分析实质上就是一种对谈话对象的认知了解途径。当通过手机数据分析确定谈话对象的主要关系人,甚至不正当经济往来关系人的身份时,突审可以营造出一种“办案人员已经充分掌握犯罪事实”的氛围,从而在气势上压倒对方,抢占先机。如,在我院查办某国企工作人员受贿案过程中,办案人员在突审前期谈话时,看似不经意的就将该犯罪嫌疑人的生活圈子、交往人员甚至出入场所、时间一一道出,使得发问还未开始犯罪嫌疑人便已完全心虚,从而主动交待了犯罪事实。
手机数据分析中得出的一些关键词、关键人物,往往还能对讯问起到奇效。这些关键词、关键人物未必是涉案金额或行贿人、关系人的姓名,也可能是犯罪嫌疑人一个重病亲人或是其情人的名字。从心理学的角度看,这些关键词、关键人物平时一直被犯罪嫌疑人隐藏在心灵的角落,就像伤口一样敏感而脆弱。当其处在高度紧张的状态中时,这些元素往往能成为犯罪嫌疑人的“引爆点”,使他们的心理防线彻底崩溃,直至放弃最后一丝抵抗。
手机数据分析对于职务犯罪侦查既是十分有效的侦破手段,又是很好的补全证据材料,随着科技信息化水平的逐步提高,以及检察干警技术侦查思维和能力的不断提升,必将在职务犯罪侦查中广泛适用,并发挥愈发重要的作用。
作者:庐阳区人民检察院 李 力
