网络诈骗犯罪案件审查的十大要点
(一)全面排查被害人报案资料,顺藤摸瓜。
网络诈骗类案件虽区分不同种类,但一般情况均系因被害人报案而案发,且犯罪行为人多采用虚假身份作案。
故在被害人报案后,应及时收集、提取被害人处的聊天记录等电子数据,及时调取被害人资金转移情况,将聊天记录中对应的人员、资金接受账户对应的人员落地,包括是用谁的身份信息注册的账户,使用人的IP地址,使用人的实际地址等。再由这些关联信息进一步向上推导,抽丝剥茧,明确可疑人员。
(二)做好虚拟账户的落地。
打击电信网络诈骗犯罪,首先要解决的问题就是虚拟世界的数据和现实社会人员身份落地关联的问题。网络环境下可通过IP、MAC等信息,解决设备关联的问题。
比如服务器定位,可通过网站域名获取网站IP地址、网站备案,对IP地址为反向代理(VPN)的,还需进行分析才能定位真实的IP服务器地址。
然后通过调取网络注册信息、身份认证信息、网络社区登录密码以及相关技术手段,明确犯罪工具所包含的账号、网络流量、恶意代码、设备指纹信息等是犯罪嫌疑人使用的或所有的,被害人资金是流向犯罪嫌疑人的,包括相关银行卡在犯罪嫌疑人处扣押,或相关被害人信息、通讯账号信息等在犯罪嫌疑人处被发现。
(三)注重有关资金链条证据的收集。
资金流的梳理是网络诈骗案件的关键。应及时调取银行转账凭证、交易流水、第三方支付交易记录以及其他关联账户交易记录、现场书证的查扣、与犯罪关联的银行卡及申请资料等,从中审查相关银行卡信息与被害人存款、转移赃款等账号有无关联,资金交付支配占有过程;
犯罪嫌疑人的短信以及QQ、微信、skype等即时通讯工具聊天记录等与犯罪有关的信息,用于查明是否出现涉案银行卡账号、资金流转等犯罪信息,赃款是否由犯罪嫌疑人取得。
对犯罪团伙类网络诈骗,还应注意用于诈骗的银行卡、记账本、表格等,这些往往是后续继续寻找被害人以及明确整个犯罪团伙犯罪数额的关键。
(四)注重有关信息链条证据的收集。
侦查机关对有远程勘验条件的,应第一时间根据被害人报案开展远程证据提取,收集犯罪行为人用于犯罪的软件、工具等,明确犯罪使用的CDR电话清单、手机IMEI串号、语音网关设备、路由设备、交换设备、手持终端等。
要注意审查诈骗窝点物理IP地址是否与所使用电话CDR数据清单中记录的主叫IP地址或IP地址所使用的线路(包括此线路的账号、用户名称、对接服务器、语音网关、手持终端等设备的IP配置)一致,电话CDR数据清单中是否存在被害人的相关信息资料,改号电话显示号码、呼叫时间、电话、IP地址是否与被害人陈述及其他在案证据印证。
在电信网络诈骗窝点查获的手机IMEI串号以及其他电子作案工具,是否与被害人所接到的诈骗电话显示的信息来源一致;在诈骗窝点查获的纸质和电子账目报表,是否与被害人陈述的时间、金额等细节相互印证。
(五)注重有关人员链条证据的收集。
电信网络诈骗多为共同犯罪,在审查刑事责任年龄、刑事责任能力方面的证据基础上,应重点审查犯罪嫌疑人供述和辩解、手机通信记录、犯罪嫌疑人之间的聊天记录、诈骗脚本、内部分工、培训资料、监控视频等证据,通过自供和互证,以及与其他证据之间的相互印证,查明各自的分工和作用,以区分主、从犯。
对于分工明确、有明显首要分子、较为固定的组织结构的3人以上固定的犯罪组织,应当认定为犯罪集团。注意审查犯罪嫌疑人供述的行为方式与被害人陈述的被骗方式、交付财物过程或者其他证据是否一致。
对于团伙作案的,还要重视对同案犯罪嫌疑人供述和辩解的审查,梳理各个同案犯罪嫌疑人的指证是否相互印证。
(六)及时扣押、收集、提取电子数据。
在电子数据取证中,应首先尽可能地收集和保全与电子数据相关的存储介质,以免介质出现毁损、灭失等情况而导致电子数据无法收集。
除传统犯罪案件办理过程中的扣押程序外,还可采取网络远程勘验的方式,分析服务器网站数据,找到网站及其数据库数据所在路径,获取对应的网站数据及数据库数据;可采取电子数据检查的方式,通过本地镜像,获取与案件相关的网站数据及数据库数据。
在提取时,应做到依法、全面提取与案件相关的通话记录、即时社交软件上的聊天记录、支付宝等支付工具上的交易记录,且应注重调取IP地址、MAC地址、银行交易明细、网上支付平台的数据、上网记录、电子邮件等数据,提取上述电子数据后,应将收集到的证据备份,将扣押的证据封存。需要提交鉴定的证据应及时委托鉴定。
(七)以电子数据为中心开展讯问工作。
网络诈骗犯罪多呈现公司化运作,组织结构严密,分工精细。讯问前应注重对电子数据的审查,通过电子数据明确作案手法、人员分工、大致的犯罪数额等,以便掌握讯问的主动性,确保讯问工作有的放矢,提高讯问效率。同时,网络犯罪案件,行为人的作案方式多样,根据不同作案方式,案件的定性也会有所区别。
在确保办案安全的情况下,侦查机关可以在讯问犯罪嫌疑人时即让其操作演示作案经过并截图保存;由侦查人员操作的,应当将操作经过交犯罪嫌疑人核实,操作过程可采取同步录音录像的方式固定。
(八)从认罪态度好的人员开始讯问。
公司型诈骗集团人员众多,层级也较多。新加入人员虽对犯罪集团了解不深,但一般态度相对较好,属于相对容易讯问突破的人选。
在犯罪中处于从属地位的人员、有立功意愿的人员,大都会如实供述相关犯罪事实,可优先讯问,了解更多犯罪细节后,再去讯问组织者、领导者,往往也能起到较好的效果。
对于网站数据库内容,还可通过有关责任人员或管理、技术人员了解网站管理路径和用户密码、网站数据库相关表项结构和功能等技术细节,进一步获取注册用户数量、交易金额统计及更改交易金额查询等。
实践中,常用的数据库查询工具为Navicat,它是一套数据库管理工具,主要功能包括支持对象列表在SQL编辑器、简化SQL、数据库范围搜索、ER图表查看等。
(九)输赢的确定性和考题的一致性也是侦查中应当关注的要点。
网络赌博诈骗应对涉案赌局输赢的确定性进行侦查,赌博具有随机性而诈骗要求确定性,故应对犯罪嫌疑人实施行为的控制性展开侦查,明确盈利是否为犯罪嫌疑人掌控;同时,考试、考题类案件之所以能够以诈骗罪定罪处罚,其前提是行为人虚构了拥有真实考题等内容,一旦比对下来考题具有一致性,虚构事实的前提也就不存在了。
(十)订单信息的真实性可作为刷单类诈骗的切入点。
兼职刷单诈骗和薅羊毛式诈骗都是通过虚假刷单实现的,均不存在真实的消费者,故此类案件订单信息的人员和金额信息均会呈现相对集中的特点,可结合订单信息展开侦查。
确定的明知与概括的明知是区分诈骗共犯和帮信罪的关键
为电信网络诈骗犯罪提供银行卡的行为,因其主观上的“明知”及客观上提供支付结算的帮助行为,与刑法中数个罪名的构成要件类似,引发司法适用争议。诈骗罪共犯、帮助信息网络犯罪活动罪、掩饰隐瞒犯罪所得罪均在适用范围内。因此,分析贩卖银行卡(下称“贩卡”)的行为并区分不同情况下的具体认定很有必要,笔者认为,准确认定电信网络诈骗中贩卡行为应把握以下三点:
以贩卡行为人的明知程度区分诈骗共犯和帮助信息网络犯罪活动罪。司法实践中,对贩卡行为人“明知”的认定一般分为确定的明知与概括的明知:
确定的明知,在实践中主要通过两种客观行为加以推定。第一种是“事先通谋”的行为。比如贩卡行为是根据诈骗共谋执行分工要求,与整个诈骗犯罪不存在明显的分割,对于此种以贩卡为借口,辩称只提供银行卡,不参与诈骗活动的行为人,应认定为电信诈骗共犯。第二种行为是“事中勾连”的行为。如贩卡行为人虽不是电信网络诈骗团伙成员,主观“明知”未达到与诈骗“通谋”的程度,但其与诈骗犯罪团伙存在直接勾连,对电信诈骗的“明知”程度较高,具体表现为贩卡行为人对诈骗团伙的人员体系、组织架构、行为手段、操作流程、主要内容等一项或数项内容存在较为详细的了解,其贩卡的行为与诈骗团伙形成了一种稳定、长期的甚至是独家的“供需”关系,介入诈骗犯罪的程度较深,在诈骗犯罪实行的连贯性方面起到了实质上的保障作用,对此类贩卡行为人也应认定为诈骗罪共犯。
概括的“明知”是“知道可能”。这里的“知道可能”与“可能知道”并不是简单的文字表述差别,而是有着不同的实质内涵。“知道可能”强调的是行为人主观上还是明知的,只是他人是不是或者会不会利用信息网络实施犯罪以及具体实施什么犯罪处于一种不确定的状态,只要行为人在认识到了这种不确定的状态下,还采取了听之任之、不闻不问的态度,就具备了犯罪故意中放任的意志因素,构成了间接故意。而“可能知道”强调的是行为人主观上是否明知存在着一种不确定状态,即可能知道也可能不知道,只有可能知道了才能认定行为人主观上具备了明知。具体到贩卡行为,则其“明知”是指行为人虽然对上游诈骗犯罪的主观认知较为模糊、零散,但对自己贩卖的银行卡大概率会被用于犯罪的认识较为明确。至于贩卖的银行卡什么时候会被用于犯罪、会用于什么犯罪、贩卡行为在整个犯罪中会起到什么作用在所不问,主观上对其上游犯罪采取一种放任态度。行为的独立性强与上游电信诈骗犯罪融合度不高,割裂感明显。对于此种贩卡行为应认定为帮助信息网络犯罪活动罪,单独成罪。但如果行为人后期被诈骗团伙吸纳或积极参与上游犯罪,主观明知达到了“确知”的程度,则此时行为人则转化为电信诈骗共犯。
以贩卡行为的入罪标准区分罪与非罪、此罪与彼罪。贩卡行为因其必然形成对他人银行卡的非法持有,而产生妨害信用卡管理罪与帮助信息网络犯罪活动罪手段与目的的牵连,需要区分三种情况:
第一,是否构成犯罪。贩卡行为之所以会引发诸多适用争议,是因为现实中贩卡的情形较多,行为层次也较为丰富,甚至存在不少贩卡行为不构成犯罪的情形。比如,行为人以获取少量利益为目的或被他人哄骗,将以自己真实身份办理的银行卡出卖给他人,未达到情节严重的。
第二,是否构成帮助信息网络犯罪活动罪。根据刑法第287条之二的规定,帮助信息网络犯罪活动罪的入罪结构为:“明知”+“帮助行为”+“情节严重”,三个要件需同时具备,缺一不可。我国《银行卡业务管理办法》第28条规定,银行卡及其账户只限经发卡银行批准的持卡人本人使用,不得出租和转借。由此,银行卡出租或者转借即违反了相关规定,“贩卖”当然属于“破坏”的涵摄范围。贩卡行为因其非法持有的必然性而天然地满足“非法持有”型妨害信用卡管理罪的行为要件。根据“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第12条规定,电信诈骗中贩卖银行卡“情节严重”的行为是指贩卖银行卡给三个以上从事电信诈骗的人、贩卖的银行卡被用于电信网络诈骗活动后支付结算金额为20万元以上、贩卖银行卡的违法所得在1万元以上等,上述情况符合其中之一即可满足“情节严重”要件。如果贩卡行为人不能同时满足“明知”+“帮助行为”+“情节严重”的入罪条件,则不能构成帮助信息网络犯罪活动罪。比如,行为人仅为一名从事电信诈骗的人提供银行卡且贩卖的银行卡违法所得未达到1万元,同时被用于电信诈骗的支付结算金额不足20万元,或者贩卡违法所得或支付结算金额无法查明,对于此类贩卡行为则不能以帮助信息网络犯罪活动罪定罪处罚,只能以行为人的手段行为按照妨害信用卡管理罪定罪处罚。若贩卡行为同时又构成帮助信息网络犯罪活动罪,则产生犯罪竞合,应择一重罪适用。
第三,是否构成妨害信用卡管理罪。根据刑法第177条之一和最高人民检察院、公安部《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》规定,非法持有他人信用卡累计5张以上或使用虚假证明文件骗领信用卡的即可立案追诉。由此可知,构成妨害信用卡管理罪不要求行为人对上游犯罪的主观“明知”,若行为人在贩卖银行卡时累计非法持有他人5张以上信用卡或使用虚假证明文件骗领信用卡用于贩卖,则其贩卡行为已符合妨害信用卡管理罪的入罪标准,应以妨害信用卡管理罪定罪处罚。
以贩卡行为侵犯法益和发生阶段的不同区分帮助信息网络犯罪活动罪和掩饰、隐瞒犯罪所得罪。贩卡行为基于为电信网络诈骗提供支付结算的帮助性质,引发帮助信息网络犯罪活动罪和掩饰、隐瞒犯罪所得罪的适用重叠。贩卡并不会阻断司法机关的正常追缴,对贩卡后违法所得的“转移”行为才会构成追缴阻碍,因此掩饰、隐瞒犯罪所得罪惩罚的重点不在于银行卡的“贩卖”行为,而在于对银行卡内非法所得的“转移”行为。同时,对犯罪所得设置追索障碍的行为性质,决定了掩饰、隐瞒犯罪所得罪的帮助行为只能发生在上游犯罪既遂后,是对既遂犯罪的事后帮助。综上,若行为人主观“明知”,客观上仅仅是“贩卖”银行卡而没有其他后续行为,达到情节严重的程度,应认定为帮助信息网络犯罪活动罪。若行为人在“贩卖”银行卡之后又有后续的帮助取现、套现、转账等行为,则应认定为掩饰、隐瞒犯罪所得罪。
