摘要:互联网和各类社交媒体的迅速发展和广泛普及,使网络环境下开源情报在侦查中的深度应用成为可能,对推进侦查进程具有重要意义。厘清开源情报应用的基本条件和重要价值,划定开源情报在侦查中的应用边界是实现深度应用的基础和前提。网络环境下开源情报在侦查中的应用是实现全源情报分析,提升侦查效率的重要途径,应在转变价值观念、构建应用体系、提升应用能力等方面促进开源情报在侦查中的实践应用。
一、侦查中开源情报应用的基础和前提
推进开源情报在侦查过程中的应用既是顺应互联网发展趋势的必然举措,也符合现代侦查工作规律的基本要求。而厘清开源情报应用的基本条件和重要价值,确定开源情报在侦查过程中的应用边界是实现深度应用的基础和前提。
( 一) 侦查中开源情报应用的基本条件
公开途径、公开手段和公开信息资源是开源情报应用的三个基本条件,即开源情报的收集和利用必须是在用户通过公开渠道以公开手段获取公开信息资源的基础上实现。
第一,公开途径。主要指存在于公共领域非私人所独享的渠道,任何用户均可以无障碍使用,在查询和获取各类信息和数据过程中不受限制[23]。
第二,公开手段。侦查过程中的开源情报主要利用互联网和各类社交媒体平台以公开手段获取特定目标信息所形成,在收集获取过程中不涉及任何秘密侦查和技术侦查等非公开措施。
第三,公开信息资源。开源情报应用的关键是满足侦查人员情报需求的各类公开信息资源,如果收集的信息和数据并非以公开状态存在,开源情报应用便无法实现。应当说明的是,从常规意义而言,公安内网和各类公安信 息化系统平台是侦查人员收集涉案信息的重要来源,在公安机关内部侦查人员可以按需使用,但是当侦查人员在公安机关以外或在其他无法使用的特殊情况下,公安内网和各类公安信息化系统平台则失去了开源情报来源的 “功能”。因此,根据开源情报应用的基本条件,本文认为侦查中开源情报应用过程限于侦查人员在办理案件过程中以公开手段收集的各类涉案信息,并在分析整合的基础上形成的情报产品,而通过公安内网和各类公安信息化系统平台收集的情报和信息则不包含在内。
(二) 侦查中开源情报发挥的重要价值
在网络环境下,犯罪行为的表现形式不断发展变化,犯罪嫌疑人利用网络实施犯罪明显增多, 引发的犯罪后果和社会影响日趋恶劣,侦查难度增大对侦查部门的情报工作提出更高要求。因此, 推动开源情报在侦查过程中的广泛应用,有助于侦查部门打破时间、空间的限制,将公开信息资 源与秘密信息资源相结合,实现情报价值互补, 把通过公开渠道收集的情报和信息与公安内网信息、移动通信信息、视频监控信息、社会服务信息、商业交易信息等进行交叉比对和印证,以全 源情报贯穿和引领侦查的全过程。
第一,广泛收集犯罪线索。当前,互联网和各类社交媒体平台迅猛发展,智能手机使用率不 断普及,社会公众对互联网和社交媒体平台中各类信息的依赖程度日益加深,而犯罪嫌疑人也同样受网络环境发展的深刻影响。在实施犯罪行为前,犯罪嫌疑人通常会有利用互联网和社交媒体购买作案工具、招募犯罪团伙成员、了解犯罪行为的严重性和侵害对象的主要信息等行为。而且, 部分犯罪嫌疑人由于特定因素对社会和关系人产生愤怒和报复心理,会选择互联网和社交媒体发泄不满情绪。在实施犯罪行为后,犯罪嫌疑人也通常会存在利用互联网和社交媒体寻求心理慰藉、 了解所实施犯罪行为产生的社会影响和销赃等行为。因此,通过互联网和各类社交媒体平台能够追踪犯罪嫌疑人实施犯罪的蛛丝马迹,有效预防和打击犯罪。
第二,及时获取涉案信息。在侦查过程中, 侦查人员利用公安内网及各类公安信息化系统平台等途径是收集涉案信息的主要方式。此外,则主要通过技术侦查和秘密侦查措施收集情报和信息。但是,公安内网和公安信息化系统平台只能在公安机关内部使用,而我国对技术侦查和秘密侦查措施的审核批准有严格的法律程序限制。以技术侦查为例, 《公安机关办理刑事案件程序规 定》第 256 条规定: “对于需要采取技术侦查措施的,需报设区的市一级以上公安机关负责人批准, 适用对象也仅限于犯罪嫌疑人、被告人以及与犯罪活动直接关联的人员。”由此可以看出,技术侦查只有市一级以上公安机关有权实施和具备实施的技术能力,而侦查部门采取技术侦查的前提是在必要的情况下,经过严格的审批程序,在确定特定人员的犯罪嫌疑后才可以申请使用。但是在当下犯罪行为日益复杂多变的背景下,犯罪行为与犯罪嫌疑人之间的因果关系减弱,确定特定人员是否与犯罪活动有直接关联存在困难,而非上述类型犯罪案件则意味着申请采取技术侦查措施的难度较大。所以在特定环境下,侦查人员可以通过多种公开渠道及时收集有关案情和可疑人员 的信息,对案件发展脉络形成总体把握。
第三,综合信息交叉比对。公安内网和各类公安信息化系统平台中存储的基础信息均是按照系统要求以一定的固定格式进行录入,收集的有关案件、人员、车辆等信息缺乏灵活性。尤其对于由其他业务主管部门掌握的信息和数据,侦查机关必须在经过申请后才能获取,存在一定的时间延误,而开源情报的来源分散在各类公开资源中,范围更加广泛,内容结构丰富。
第四,深入分析判断案情。信息化工具能够缩短案情分析周期,有效节省侦查资源,但是各 种类型案件涉及的要素均有不同,每个案件的特殊性决定了案件中的 “隐性”要素仍需要依靠人的主观思维进行分析。开源情报在侦查过程中的应用可以有效保障侦查人员人工分析与信息化自动分析之间的平衡,充分发挥侦查人员的案情分析能力,根据具体案件事实、犯罪行为特性和客观实际情况采取相应的案情分析方式[24]。
二、侦查中开源情报应用的主要路径
2019 年 1 月,美国发布新版 《美国国家情报战略》,在该报告中提到 “情报部门已经研发出能够及时发现和准确识别有效信息的新方法,此方法已被用于国家情报评估和情报预警过程中。机器学习研究推动产生更加有效的自动化方法,可以从社交媒体、新闻、金融数据、网络搜索查询和成千上万的数据中预测国家安全和 政 治 稳 定。”[25]开源情报收集来源经历了从报纸、书籍等纸质媒介,电视、广播等电子媒介向网络媒介的转变,而开源情报应用也逐步实现从人工收集分 析到自动抓取挖掘的过渡。美国兰德智库 ( RAND Corporation) 认为: “伴随着互联网的快速发展, 开源情报的应用方式已发生重大变化,开源情报已发展到第二代阶段。”[26]而学术界同样普遍认为, 在网络环境下单纯依靠人工作为开源情报的主要 分析方式已无法满足用户的情报需求,主要集中展对结构化数据、半结构化数据、非结构化数据以及异构数据等各类信息的自动化抓取等方面的研究[27]。对我国公安机关而言,大数据、云计算和人工智能等新技术已逐渐在警务实战中应用并不断走向成熟,而开源情报应用尚处于初级阶段,在打击和预防犯罪过程中的应用也仍在探索过程中。因此,根据我国侦查工作的具体现实, 开源情报的收集和分析仍以人工为主要方式。
(一) 收集来源的整合
根据美国中央情报局的分类,开源情报的收 集来源主要包括: 互联网; 传统大众媒体 ( 包括 电视、广播、报纸、杂志) ; 专业期刊、会议论文集和智库研究成果; 照片; 地理空间信息 ( 包括 地图和商业影像产品) 等类型[28]。而在互联网和社交媒体迅速兴起的背景下,本文将侦查中开源情报的收集来源概括为搜索引擎类、社交媒体类、 研究报告和数据库类三种[29]。
第一,搜索引擎类。2019 年 8 月,中国互联 网络信息中心发布第 44 次 《中国互联网络发展状 况统计报告》,截至 2019 年 6 月,我国互联网普及率达 61. 2%,较 2018 年底提升 1. 6 个百分点[30]。面对海量的互联网信息资源,利用各类搜索引擎是开源情报收集的重要方式。在侦查过程中,侦查人员除按照主题进行搜索外,还可以按照 “姓 名+地名”“姓名+工作单位”“姓名+职务”“姓名 +工作领域” “城市+地址” “城市+机构”等格式对特定目标对象进行复合搜索,并根据案情发展 动态调整。搜索引擎一般均内置高级搜索功能, 不仅能够按照不同时间以及 doc、pdf、xls 等文件格式类型等进行查询,还可以在特定网站内搜索相关信息[31]。此外,主流搜索引擎均具有 “识 图”功能,侦查人员可以将已掌握的包含人物形 象、建筑物等内容的图片嵌入搜索引擎,逐个核对疑似图片来源网站中的搜索结果。各类搜索引擎内置的 “识图”功能可以在确定特定目标对象基本信息、未知建筑物信息过程中发挥重要作用。
第二,社交媒体类。各类社交媒体的出现不仅改变了社会公众获取信息的途径和渠道,而且 还促使社会信息更加透明,这为开源情报的利用提供了便利和更多可行性[32]。因此,有学者认为 “社交媒体提供了一种全新视角,让情报分析人员 在网络世界里尽可能接近和了解更真实的个人生活状态。”[33]任何用户都可以在社交媒体平台上发布文字、图片、视频等内容,并在使用过程中共享个人生活信息、地理位置等。在侦查过程中, 侦查人员同样可以通过各类社交媒体进行有针对性的情报收集工作,搜索包含时间、地点、人物等关键信息[34]。这其中首先是微信、微博。微信 和微博是目前社会公众使用最广泛的即时通信和实时信息分享工具,平台用户群体巨大,用户发布的信息类型丰富,涉及范围广泛,是侦查过程中收集各类涉案信息的重要来源。其次是论坛、 贴吧。作为网络信息的重要交换和传播平台,用 户能够在论坛和贴吧中匿名发表自己的观点和态度,而这其中也会夹杂贩卖走私枪支、豪华车辆、 国家野生保护动物等犯罪信息。侦查人员可以根据这些信息收集犯罪线索,查获犯罪嫌疑人。还包括各类应用软件。在侦查过程中,侦查人员可以通过各类应用软件收集不同类型的社会信息。以短视频分享软件为例: 目前以抖音为代表的短视频分享软件发展迅速。2020 年 1 月 6 日,抖音 发布 《2019 抖音数据报告》,报告显示抖音日活跃用户数超过 4 亿,用户全年打卡 6. 6 亿次[35]。在各类视频中包含着丰富的信息,部分视频发布者为博取更多用户关注,分享包含暴力、色情、恐怖主义等内容的视频,侦查人员通过视频分享平台不仅能够发现多种犯罪行为,还可以广泛收集可疑线索。
第三,研究报告和数据库类。各类智库和研究机构通常会定期公开发布关于不同犯罪类型的研究报告,详细阐述某一阶段犯罪行为的发展现状和特点。此外,通过各类机构运营维护的犯罪数据库也可以为侦查部门提供针对特定犯罪行为的侦防措施。侦查人员根据各类研究报告和数据库搜索目标数据,分析评估犯罪行为的未来发展 趋势。以反恐和安全类数据库为例,澳大利亚经济与和平研究所 ( Institute for Economics and Peace, IEP) 每年都会定期发布 《全球恐怖主义指数报 告》,深入分析全球恐怖主义的发展走向,介绍主要恐怖活动组织的生存状况,并对开展反恐斗争提出有价值的对策建议[36]。此外,美国马里兰大学 ( University of Maryland) 运营维护的全球恐怖主义数据库 ( Global Terrorism Database,GTD) 是目前世界反恐领域最权威的数据库之一,汇总多个国家和地区发生的恐怖袭击事件,详细记录了使用武器、伤亡人数、袭击方式等数据[37]。类似的数据库还有英国 Jane's 恐怖主义与叛乱活动情报中心 ( Terrorism & Insurgency Centre) 等。上述研 究报告和数据库,在我国开展反恐工作和涉恐犯罪侦查过程中能够发挥重要的指导作用。所以, 各类研究报告和数据库对侦查部门分析和研究特定犯罪行为发展趋势和采取相应的打击防范对策 均有重要参考价值。
( 二) 分析要素的选择
在侦查过程中,需要侦查人员收集和分析各类涉案信息,即 “人、事、物、时、空”五要素,主要包括: 与人有关的信息、与物有关的信息、 与机构有关的信息、与地址有关的信息等[38]。在 网络环境下,开源情报的收集范围也应包含上述 五要素信息,并根据案情动态调整选择。
第一,与 “人”有关的信息。在侦查过程中, 通过公开渠道收集涉案人员的基本信息必须是在 利用多种方式对各类信息资源交叉比对分析的基 础上实现。首先,侦查人员应利用搜索引擎对特定对象进行查询,在收集到与该目标人物有关的各类社会信息后再次进行交叉搜索,获取衍生信息,不断扩大和延展收集范围。
例如: 侦查人员可以通过最高人民法院 “中国裁判文书网” “中国执行信息公开网”以及最高人民检察院 “12309 中国检察网”等网站查询特定对象信息,确定其有无涉及刑事案件或曾经受到刑事处罚。当已获取涉案人员的图片时,侦查人员也可以利用搜索引 擎的 “识图”功能查询目标对象的基本信息。而且,腾讯、百度等网络信息公司均建设有 AI 开放平台,能够对两张图片中的人物形象进行比对, 从而实现目标对象之间的身份验证。
其次,在网 络搜索收集信息的基础上,通过各类社交媒体平台进行比对验证,分类和筛选从各类来源收集的信息,剔除不实信息和无效信息,开展综合信息分析,形成有关特定对象的基本信息网络。通过收集多重信息,在反复验证、比对、碰撞的基础上获取与涉案人员有关的线索。最后,侦查人员可以将通过公开渠道收集的关于特定对象的各类信息与公安内网信息进行比对,验证信息的真实性与利用价值。
第二,与 “物”有关的信息。在侦查过程中, 侦查人员通常会发现和查获各类涉案物品,主要 包括涉案通信工具和交通工具等。
一方面,对于涉案通信工具,可以通过网络工具查询手机、电 脑的 IP 地址等信息,借助专业 App 查询 MAC 地 址、WIFI 位置和基站定位,重点分析排查涉案人员活动范围。
另一方面,在侦查过程中,如果侦查人员发现疑似犯罪嫌疑人驾驶的车辆等交通工 具,应及时查证车辆信息和车辆所有人信息。但是,由于车辆信息与车主个人基本信息直接关联, 因此很难直接收集获取目标车辆的信息。所以, 侦查人员可以对车辆信息进行前期查询,为后期的公安内网信息查询和案情分析奠定基础。侦查 人员可以通过互联网汽车网站和汽车类 App,在输入车辆 VIN 码后便可以快速查询车辆配置清单、 维修保养记录、出险记录等信息,有效判断核对车牌号、车辆品牌、使用年限等信息。通过公开途径收集涉案通信工具和交通工具的主要信息, 为下一步侦查工作奠定基础。
第三,与 “地址”有关的信息。侦查人员对收集获取的地址信息进行查证核实是侦查过程中的重点工作。在一般情况下,侦查人员在获取地址后可以开展实地查证,收集案件线索。但是, 犯罪嫌疑人在犯罪预备和实施犯罪行为过程中通常会涉及多个地点,如果侦查人员在未经前期查证的情况下开展实地调查工作则会极大地浪费侦 查资源。所以,侦查人员应在对该地址信息进行 网络查证的基础上确定基本案情,然后再申请异地办案,有利于提升侦查效率。
一方面,如果侦查人员已掌握目标地址信息,利用在线地图工具对地址进行查询是侦查过程中的有效手段。以在线地图工具为例: 百度地图内置的全景地图能够清晰地看到城市建筑格局、道路走向等信息,有助于侦查人员发现特定地点的构造、布局和周边道路走向分布,加深对特定地址的了解和分析。
另一方面,如获取关于特定地址的图片,可以充分利用搜索引擎的 “识图”功能,与网络图片进行比对分析,有利于侦查人员掌握该地址所在的城市和具体位置。
第四,与 “机构” 有关的信息。目前,各类社会机构的信息公开程度日益提升,为侦查人员收集获取案件中社会机构的相关信息提供了便利。在侦查过程中,侦查人员可以通过公开的互联网网站和 App 获取相关机构的基本信息。例如: 通 过国家市场监督管理总局的 “国家企业信用信息公示系统” 查询企业信息,包括企业信用信息、 经营异常名录、严重违法失信企业等内容。此外, 还可以通过手机 App 对企业经营情况、股权分配等信息进行查询,以 “天眼查”“企查查”“看准”等 App 为例: 侦查人员能够按照公司名称和人员名称进行搜索查询,获取法人代表、注册资本、注册时间、股东、董事会成员等详细信息,分析企业之间、股东之间的投资关系,了解企业、经济组织和社会机构更加详细的信息和资料。通过公开途径获取的商业信息能够在特定案件中发挥重要作用,取得良好效果。例如: 在故意杀人案的侦查过程中,侦查人员调查与死者关系密切的合作伙伴和朋友等人员,但是这类人员往往交际网络复杂,涉及人员众多,开展调查取证存在一定难度。侦查人员可以利用企业信息查询,如发现某人与该死者存在紧密的投资合作关系和经济往来, 便应及时将其列为重点调查询问对象。
三、加强侦查中开源情报应用的对策建议
在侦查过程中,开源情报应用具备良好的发展基础和前景。但是,由于开源情报应用受其自身特殊属性和外在影响因素限制,在侦查实践应用过程中还存在诸多问题亟待解决[39]。因此,要实现开源情报在侦查中的深度应用,发挥开源情报的重要价值,必须在情报价值观念、情报应用体系、情报应用能力等方面寻求突破。
( 一) 转变开源情报价值观念,创新刑事犯罪情报工作思维
我国侦查体制具有秘密属性,在开展侦查工作过程中侦查部门多强调以秘密手段收集情报, 而对开源情报的基础价值和作用尚未形成正确认识。因此,侦查部门应及时转变情报观念,充分认识开源情报的重要价值,实现与公安内网信息的相互印证,提高情报产品的精准度。当前,互联网和各类社交媒体平台的迅速发展普及为犯罪行为的升级换代提供了重要工具和加速器,也为侦查中开源情报应用提供了重要来源。所以,侦查部门必须紧紧抓住机遇,促进开源情报在我国侦查领域的长远发展。
( 二) 构建开源情报应用体系,强化公开信息资源在侦查过程中的利用
在侦查过程中深化开源情报应用必须构建相应的应用体系予以配套。所以,应在保障开源情报基本条件的基础上,遵循侦查工作规律和程序要求,以充分发挥开源情报的核心价值为根本目标进行应用体系的构建。按照不同的侦查目标及所处的侦查阶段开展相应的开源情报收集分析工作,应根据短期目标、中期目标、长期目标,以 “由人到案” “由案到人” “由物到案”等侦查模式确定情报任务,在侦查前期阶段、攻坚阶段、 终结阶段确定需要查明的各类信息,实现公安内网信息、互联网 信息、社会信息的立体综合应用[40]。侦查部门应对黑社会组织犯罪、电信和网 络诈骗、涉恐犯罪等典型犯罪类型制定开源情报收集方案,按照与案件有关的人员、物品、地址、 机构等信息进行分类,对查证属实的信息予以储存并根据侦查进展与公安内网信息进行比对查证。侦查中的开源情报应用体系并不是一套固定的工作体系,应根据案件性质、复杂程度、涉案人员、 物品规模等要素的不同进行动态调整,以实现不同的任务目标。
( 三) 加强专业情报人才队伍建设,提升侦查人员开源情报应用能力
开源情报的来源广泛,收集过程中受到的限制较少,在应用过程中优势明显。但是,由于收集的信息和数据的真实性和可靠性难以确定,这对侦查人员的收集分析能力提出更高要求。侦查过程中开源情报的收集分析更加侧重于对各类信息和数据的比对查证,所以侦查人员必须具备一定的情报收集和分析能力,熟练掌握各种搜索和查询技能,积极拓展收集来源,延伸涉案信息的查证范围,以便在侦查过程中能够发现和甄别有价值信息。此外,侦查部门还应进一步加大对开源情报应用的投入力度,培养和建设专业情报队伍,紧紧跟随犯罪行为发展趋势,定期根据各类收集来源发展特点开展业务技能培训,不断提升侦查人员的开源情报应用能力。
参考文献及英文摘要略
本文转自:王一帆,陈刚,高贺.网络环境下开源情报在侦查工作中的应用研究[J].中国人民公安大学学报(社会科学版),2020,36(02):48-55.
声明:本文来自丁爸 情报分析师的工具箱,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
