北京市海淀区人民检察院

网络安全刑事司法保护白皮书近年来,随着信息技术的发展,我国目前已成为网民全球数量第一的互联网大国,互联网极大地促进了科技、经济、政治、社会、文化发展的同时,网络安全及数据安全事件呈高发趋势,利用计算机网络实施的各类犯罪迅速蔓延,社会危害性严重.

习近平总书记在2018年4月20日至21日全国网络安全和信息化工作座谈会上的讲话中强调,没有网络安全就没有国家安全,要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众的合法权益.
北京市海淀区人民检察院自2016年9月成立科技犯罪检察部以来,办理了肯尼亚、西班牙特大跨境电信诈骗案、"7.
25"特大侵犯公民个人信息专案、最高人民检察院指导案例卫某某非法获取计算机信息系统数据案等一系列具有重大社会影响的案件,为首都科技创新发展营造了风清气朗的网络生态和良好的法治环境.

第一部分一、案件基本情况2016年9月以来,北京市海淀区人民检察院受理网络犯罪案件450件1076人,其中审查逮捕245件588人,审查起诉205件488人,涉及27个罪名.
以审查逮捕案件为例,受案人数较多的罪名有8个,包括诈骗罪34件250人,占比42.
51%;扰乱无线电通讯管理秩序罪64件88人,占比14.
87%;侵犯公民个人信息罪35件68人,占比11.
56%;盗窃罪41件53人,占比9.
01%;非法获取计算机信息系统数据罪、非法控制计算机信息系统罪15件31人,占比5.
27%;破坏计算机信息系统罪12件22人,占比3.
74%;非法吸收公众存款罪5件11人,占比1.
87%.
其余19个罪名受案人数较少,且分布均匀.

二、案件特征犯罪主体呈现低龄、低学历化特征.
犯罪普遍呈现年轻低龄化,1990年—1999年出生的221人,占比37.
58%,1980年—1989年出生283人,占比48.
12%,1970年以前出生人数仅占14.
11%.
与预先设想犯罪高学历化情况不同,此类犯罪的行为人普遍学历较低,本科及其以上学历82人,仅占21%,高中、高职教育主体68人,初中、中专、小学等教育主体242人,占62.
05%.
男性主体占较大比重,审查起诉案件中男性379人,占比77.
66%.
作案地点涵盖全国28个省、市、自治区.

突破了传统地域空间的限制,跨地域作案特征明显.
一是犯罪行为实施地和犯罪结果地之间跨地域.
被害人分布于各个省份,与犯罪分子相隔万里.
二是犯罪主体之间跨地域.
共同犯罪的犯罪主体之间、帮助行为主体与实行行为主体往往并不认识,仅仅通过网络论坛、QQ群、微信群等进行联络.
三是掩饰、隐瞒赃物跨区域.
行为人实施完犯罪行为之后,往往通过互联网寻找收赃人,实现异地销赃.

(三)犯罪行为产业化,日渐形成完整、闭合的产业链条.
较之于传统犯罪,网络犯罪的产业化链条特征明显,产业链的上中下游犯罪分工明确.
产业链上游提供技术工具,制作木马病毒,通过网页、邮件等形式"挂马",诱导用户访问下载并在用户的电脑中种植木马软件,以此来获取用户电脑中的信息或者直接将用户的电脑予以控制.
产业链中游将获取的用户账号、密码等信息通过数据平台清洗后既可以用来盗取财产,也可以以用户信息为对象直接转卖获利,而其控制的"僵尸网络"在发动网络攻击时可以发挥巨大的作用.
产业链的下游则以盗窃、诈骗等形式将获取的数据变现.
如行为人为诈骗犯罪专门编写虚假网站、入侵工具,或将入侵教程发布于黑客论坛,大大降低了犯罪的门槛和成本.

(四)犯罪组织多以公司、集团的形态出现.
实践中发现,在网络犯罪案件中,个体的犯罪行为人往往难以实施规模化的犯罪行为,或犯罪行为本身即是为了公司的业务而实施,因而往往以注册公司形式,有组织、有规模地实施犯罪行为.
如在重庆刷单诈骗案中,行为人为从事刷单业务,组织50余名员工成立公司,有承揽业务的业务部门、专业从事刷单的技术部门、后台服务的财务、行政等部门.
在"7.
25"特大侵犯公民信息专案中,犯罪主体涉及20余家公司,对公司业务进行精准营销,主管人员、技术负责人、业务部门人员在沟通后购买计算机代码用于窃取公民个人信息.

(五)受害人数多,犯罪数额大,影响范围广.
在侵犯财产权案件中,一方面针对受害人进行精准诈骗的数额不断刷新高度,另一方面互联网又扩大了案件的影响范围,针对不特定公众的诈骗数额虽小,但受害人数攀升,因而总体犯罪数额较大.
如郭某某电信诈骗案中,行为人先后冒充检察官、警察,以被害人涉嫌刑事犯罪为由骗取其人民币1800余万元;而在欧某某非法吸收公众存款案中,行为人以微信公众号的形式宣传其理财产品,向百余名公众吸收存款5000余万元.

(六)跨国犯罪趋势增强,全球化特征明显.
鉴于互联网的全球特性,网络犯罪亦不局限于国内.
为逃避打击,行为人在境外诈骗境内受害人,或在境内租用服务器攻击境外服务器,此类行为常见于电信网络诈骗案件与流量劫持案件.
如我院办理的马某破坏计算机信息系统罪一案,为避免被追诉,其在国内成立公司租用服务器,劫持并篡改国外用户的浏览器数据,受害人主要集中于美国、欧洲等地.
再如我院办理的肯尼亚西班牙特大跨境电信诈骗案,行为人在境外成立犯罪集团专门针对境内的用户实施诈骗.

三、案件类型网络空间是互联网为人们提供各种信息的活动场所,是相对独立的非物理空间,是物理空间以电子为媒介的衍生与延伸,打破了物理空间的有形界限.
一方面网络本身具有财产或使用属性,具有可被侵害的性质;另一方面,传统社会活动因为网络的加入而变得形式上虚拟化.
因而网络空间发生的违法犯罪行为,既有可能是利用网络实施的传统违法犯罪,也可能是针对网络、数据本身的违法犯罪行为.
基于社会实践和打击的需要,本书将网络犯罪分为网络黑产犯罪和网络化的传统犯罪两种基本类型.

网络黑产犯罪以计算机数据、程序、系统或者软件等作为犯罪对象,形成了一条封闭的产业链,上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产,呈现产业化、公司化、平台化的特征,大大降低了犯罪成本,提高了犯罪效率.
实践中此类案件以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主.

传统犯罪的网络化,是现实的犯罪主体利用信息技术在网络空间实施的犯罪行为,没有创设新的法律关系,网络空间只是犯罪的载体,计算机只是辅助手段,如转移到线上的非法吸收公众存款、集资诈骗等犯罪.
此外,传播淫秽物品牟利罪、开设赌场罪等传统犯罪也日渐多发,呈现出新的特点.

第二部分一、网络黑产犯罪网络黑产已经从原始粗放的传播木马病毒、电话诈骗转化为更为先进的拖库撞库、精准诈骗,形成十分成熟的运作模式,产业链复杂、隐蔽、完整、高效.
上游技术供应商,承担着制作木马、恶意代码、肉鸡网络、动态ip非法服务等技术工具服务;中游数据服务商、黑市交易平台,在产业链中充当数据生产者和交易服务提供者的角色;下游行为人利用中游的数据和平台实现直接诈骗、"薅羊毛"、流量劫持等犯罪.
在该产业链中,基于行为人目的的不同,上中下游可以任意组合,形成典型或非典型的网络黑产犯罪.

(一)上游犯罪产业链分析:上游犯罪的出现是网络黑产产业化的体现.
一方面,上游犯罪为下游犯罪提供工具、技术、数据和平台等方面的支持,客观上帮助了下游网络犯罪的实施;下游犯罪在上游犯罪的支持下,犯罪成本下降,效率提升,上游犯罪产业就越来越专业化.
另一方面,由于下游犯罪与上游犯罪在实体上的关联度小,下游犯罪在被查获的同时,侦查机关很难依据下游犯罪查找到上游犯罪,因此刑法设置了非法利用信息网络罪、帮助信息网络犯罪活动罪、提供侵入、非法控制计算机信息系统的程序、工具罪等罪名来单独规制上游犯罪,同时也在非法获取计算机信息系统数据罪、诈骗罪等下游犯罪中设置了"明知"的情节来认定其为下游犯罪的共同犯罪.

1.
网络平台提供者:非法利用信息网络《中华人民共和国刑法修正案(九)》规定利用信息网络实施下列行为之一,情节严重的,构成犯罪:(1)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(2)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(3)为实施诈骗等违法犯罪活动发布信息.
结合我院办理案件中发现的针对非法利用信息网络的行为总结如下:一是为实施犯罪而专门架设非法网站,多数用于实施"钓鱼诈骗",属于电信诈骗犯罪中不可或缺的关键环节.
如胡某某非法利用非法信息网络一案,违法行为人胡某某以非法牟利为目的,在明知他人利用信息网络实施违法犯罪活动的情况下,仍利用信息网络为其设立、维护专门用于实施违法犯罪活动的虚假"最高人民检察院"等非法网站.

二是专门黑客类网站成为犯罪方法、犯罪工具、违法信息的发源地,多数黑客类网站采取会员注册、付费服务的方式牟利.
我们也注意到,部分合法的计算机信息系统安全研究网站在发布安全研究文章时未注意对关键信息予以隐匿,可能导致涉嫌违法违规,部分研究人员在研究网络安全时的行为可能同样涉嫌违法犯罪.

三是QQ群、微信群等通讯群组依旧是违法信息交易、交换的主要渠道,多数违法行为人倾向选择使用支付宝等第三方支付服务平台进行资金结算,而网络服务提供者对公民个人隐私保护和侦查机关取证需求之间的矛盾日益凸显.
在我院办理的大量网络犯罪刑事案件中,网络服务提供者往往以不保存用户通讯信息为由表示无法进一步提供涉案电子证据.
同时我们注意到,为规避网络服务提供者的监管,部分违法行为人选择了诸如TELEGRAM一类的采用"点对点"加密技术的即时通讯软件,这为刑事取证工作带来新的挑战.

2.
技术工具提供者:提供侵入、非法控制计算机信息系统程序、工具上游犯罪链中有部分行为人因掌握较高的技术而编写程序、发现漏洞,客观上为下游犯罪提供了技术工具.
如马某提供侵入、非法控制计算机信息系统程序工具罪一案中,马某编写程序后在贴吧、群组、淘宝等平台向他人出售专门用于撞库的软件,用于获取用户在各大网站的账号、密码,还可根据购买者的需求订制软件功能,如有购买者在购买后提出订制扫号功能,即对撞库成功的账号和密码扫描查看其中的余额.
通常购买者购买该软件的目的是实施后续的违法犯罪行为.
另外,对于明知下游实施犯罪行为而提供工具的,以下游犯罪的共同犯罪论.

3.
信息传播服务者:扰乱无线电通讯管理秩序行为人通过使用"伪基站"设备发送带有木马病毒、钓鱼网站的手机短信,诱使公众点击,以获取公民个人信息、银行卡账号密码、社交网络信息等进而从事盗取银行账户财产、精准诈骗等下游犯罪行为.
伪基站设备也常被用来发送赌博、招嫖、假发票等违法犯罪信息.
使用"伪基站"发送包含诈骗、赌博、招嫖、木马病毒、钓鱼网站链接等违法犯罪信息的钓鱼短信的行为,达到"情节严重"标准的,应以扰乱无线电通讯管理秩序罪认定.
如果行为人明知他人具有实施电信诈骗犯罪的故意而仍为其提供"伪基站"设备则以共同犯罪论处.

(二)中游犯罪产业链分析网络犯罪黑色产业链中游的目的是依靠犯罪行为获取具有变现价值的生产要素,而生产要素的具体内容和价值取决于其使用的场景.
例如,对于电信诈骗类案件而言,公民个人身份信息是其完成犯罪中不可或缺的生产要素;对于流量攻击产业而言,生产要素则是计算机信息系统的控制权和流量带宽;对于APT类攻击而言,0DAY类漏洞则是最为核心的生产要素.
黑色产业链中游是以牟利为目的,为下游犯罪提供相关生产要素.
同时,我们注意到,下游犯罪行为人并非是网络犯罪黑色产业链中游的唯一市场.
因购买成本低廉、规避监管、缺乏合法获取渠道等因素,部分合规主体也会选择从黑色产业链购买相关生产要素,无形中为犯罪行为提供了销赃渠道,也进一步助推了黑色产业链的发展.
在此基础之上,我们认为,在互联网语境之下,以"数据"为表现形式的生产要素,均可以寻找到相应的网络犯罪黑色产业链中游市场.
在案件办理的过程中,我们发现网络犯罪黑色产业链中游通常利用社会工程学攻击、钓鱼攻击、撞库、内部人员作案、安全漏洞挖掘、流量劫持、非法利用信息网络等行为方式达到犯罪目的.

1.
社会工程学及钓鱼式攻击围绕计算机信息系统安全攻防技术,衍生出诸多不同学科,其中最为著名的是社会工程学(SocialEngineering),其核心是将计算机信息系统的安全视角从技术的对抗转变为人性的对抗,将人性视作计算机信息系统中的一个无法避免和修复的缺陷,通过对关键人员的行为、性格、习惯等要素进行研究、分析,从而获取与计算机信息系统安全有关的信息,而为达到上述目的,行为人往往会运用到搜集公民个人信息、欺骗、敲诈等危害手段.
在社会工程学基础之上,结合了计算机信息系统技术的钓鱼式攻击,已经成为近年来违法行为人员常用的伎俩.
我们注意到,诸多企业、网络安全研究机构、网络应急响应平台均已经在其关于计算机信息系统安全测试的行为规范中,将"社会工程学"、"钓鱼式攻击"等非技术性对抗的测试方式予以排除.

在我院办理的洪某某涉嫌敲诈勒索、侵犯公民个人信息一案中,犯罪人员洪某某系某小额贷款公司员工,为拓宽业务渠道,其将视线的目光转移到某互联网金融平台收集、储存的客户信息资料.
洪某某前期花费大量时间从相关网站、论坛、新闻中搜集该公司的信息资料,包括业务模式、企业架构等内容.
随后,通过精心伪造的社交信息混入该公司的员工QQ群并取得被害公司管理人员信任,进而掌握被害公司内部网络登录权限.
洪某某在掌握相关权限后,非法登陆被害公司的服务器并下载、储存公民个人信息、运营数据、人力资源等数据信息,然后结合相关数据有针对性地实施诈骗、敲诈勒索等违法行为.

撞库撞库,本质上是利用用户在不同场景中倾向使用同一账户与密码的行为习惯,以泄露的用户身份认证信息为数据样本,通过计算机信息系统程序批量的尝试登陆他方网站的一种犯罪手段,相较于传统的密码穷举方法更为高效,是黑色产业链中游中最为重要也是最为常见的一种犯罪形态.
近年来,互联网企业用户身份认证信息数据库泄露事件频发,为撞库攻击提供了充足的"数据弹药".
我们注意到,多数违法行为人因同时存在非法获取与使用用户身份认证信息的情况,因此难以明确区分其在黑色产业链中的地位,用户身份认证信息先清洗再出售的使用方式已经成为业界常态,而这些用户身份认证信息多数会再次经由黑产市场成为新的"数据弹药".
在选择撞库攻击的对象时,违法行为人往往基于以下考虑:一是用户身份认证信息是否具有直接经济利益.
违法行为人可以通过用户身份认证信息直接对相关经济利益予以控制,典型的犯罪场景是盗取他人账号内的真实与虚拟财产.
如2015年7月至2016年8月末,犯罪嫌疑人胡某使用专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对某网络公司的计算机信息系统实施撞库攻击,非法获取该公司储存的用户身份认证信息217526组,并将其中部分含有账户余额的数据出售,非法获利人民币6万元.
在我院办理的某网络游戏专案中,撞库攻击是窃取用户虚拟财产的重要手段.

二是用户身份认证信息本身并不包含任何直接的经济利益,但对用户身份认证信息加以利用,可以间接达到其他行为目的,典型的犯罪场景为刷粉、顶帖等产业.
我院办理的顾某非法获取计算机信息系统一案,犯罪行为人顾某通过撞库攻击掌握某网络公司大量用户身份认证信息后,收费帮助他人顶帖、刷粉.

内部人员作案内外部人员勾结作案,已经成为中游黑产实施违法犯罪行为的常见模式.
因内部人员相较于外部人员,往往具有更高的内部权限,了解更多有助于实施犯罪行为的信息,天然具有适宜的犯罪机会,犯罪行为更隐蔽,成本更低,影响更为严重.
内部控制系统在面临内部人员作案的情况下,也往往不能起到应有的效果,导致此类案件频发.
内部人员作案的情形主要包含以下两类:一是内部人员与外部人员尤其是黑产组织勾结,非法获取企业计算机信息系统控制权.
2017年1月至3月期间,违法行为人吴某受某黑客组织指使,通过网络联系上在某云计算有限公司担任计算机信息系统工程师的违法行为人闫某并向其提供木马程序.
后闫某将上述木马程序布置在该云计算有限公司分布在呼和浩特等地的207台服务器上.
期间,违法行为人吴某实际非法牟利人民币28800元,违法行为人闫某实际非法牟利人民币27400元.
经鉴定,涉案木马程序均具有DDOS攻击功能.

二是内部人员出于利益,非法出售企业保存的计算机信息系统数据.
随着计算机信息系统技术的普及,数据的价值日益凸显,逐渐成为信息社会建设和网络产业发展的重要战略要素.
而企业对数据的保护无异于对商业秘密的保护,从外部获取数据的难度日益艰难,因此,部分企业内部工作人员便利用工作便利,私自兜售企业数据牟利.
在实践中,大量的公民个人信息也以计算机信息系统数据的形式储存,如违法行为人非法获取的数据实质内容为公民个人信息,则构成侵犯公民个人信息罪,尤其是内部工作人员从事银行、电信、快递、教育等行业,影响更为严重、恶劣.
我院办理的卫某某等人非法获取计算机信息系统数据一案入选最高检第九批指导性案例.
因工作需要,违法行为人龚某拥有登录某大型网络公司内部管理开发系统的账号、密码、Token令牌(计算机身份认证令牌),具有查看工作犯罪内相关数据信息的权限.
但该大型网络公司禁止员工私自在内部管理开发系统查看、下载非工作范围内的电子数据信息.
2016年6月至9月,经事先合谋,违法行为人龚某向他人提供自己所掌握的该大型网络公司内部管理开发系统账号、密码、Token令牌.
卫某某利用龚某提供的账号、密码、Token令牌,违反规定多次在异地登录该大型网络公司内部管理开发系统,查询、下载该计算机信息系统中储存的电子数据.
后卫某某将非法获取的电子数据交由他人通过互联网出售牟利,违法所得共计37000元.
本案的典型意义在于明确了内部人员"超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据".

4.
安全漏洞挖掘安全漏洞挖掘是指通过技术手段发现计算机信息系统存在的、具有利用价值的安全缺陷.
违法行为人进行安全漏洞挖掘的主要目的包括三类:第一,通过安全漏洞获取计算机信息系统控制权限,实现对计算机信息系统全部或部分功能的控制;第二,在缺乏授权情况下(或超越授权),访问、下载、监控目标计算机信息系统数据;第三,安全漏洞往往有助于某一类下游犯罪的实施,因此在黑产中具有市场需求和交易价值,违法行为人往往试图将安全漏洞予以出售以获得钱款.
出售行为主要包括两种:一种是以出售可以利用该漏洞实现某种特定功能的计算机信息系统程序的形式出现,这种计算机信息系统程序的出现在客观上降低了违法行为人实施犯罪的成本和技术知识门槛,而这也成为网络犯罪泛滥的主要原因之一;另一种是以教学的方式传授给他人安全漏洞相关情况,这种方式常见于各种黑产类论坛中,这种方式往往涉及0DAY类漏洞,传授者和购买者均希望通过隐匿的方式传递安全漏洞信息,减少安全漏洞曝光的可能性.
我们注意到,安全漏洞挖掘广泛存在于以下违法犯罪活动之中:一是违法行为人可以通过对计算机信息系统安全漏洞进行攻击,绕过安全防范机制,上传木马、病毒等破坏性计算机程序,达到控制目标计算机信息系统的目的,形成"僵尸网络",在黑产中这种行为也被称为"抓肉鸡".
同时我们也注意到,随着移动互联网的发展,移动端设备(手机、平板电脑)的大量普及,黑产的主要控制目标也从计算机转变为LOT设备、移动设备.
"僵尸网络"、"肉鸡"被黑产下游广泛用于各类型犯罪行为,如DDOS攻击、流量欺诈、钓鱼网站等违法行为.

二是支付场景中的安全漏洞可能会导致被害方的直接经济损失.
我院在办理的某外卖平台反向刷单系列案件过程中发现,该外卖平台的移动客户端在系统提现功能设计上存在严重的安全漏洞,导致犯罪嫌疑人可以通过技术手段免费为自身账户充值,类似案例多见于具有支付、提现、消费功能的APP.

三是硬件设备的安全漏洞可能直接威胁公民的个人信息的安全,其中具有代表意义的是家庭路由器与智能摄像头.
家庭路由器,是家庭网络对外访问的必经路径,黑产通过对家庭路由器的入侵可以实现流量劫持、攻击,信息流嗅探等行为.
家庭摄像头因其功能直接与公民的个人隐私及人身安全相关,也受到了黑产的"青睐".
2017年,我院办理的非法控制计算机信息系统罪名的案件中,出现了犯罪嫌疑人利用某搜索引擎,根据特定设备的固件版本、设备指纹ID等信息,查找存在安全漏洞的智能摄像头的行为.

(三)下游犯罪产业链分析网络犯罪的下游产业端是利用上游的技术工具、中游生产的数据资料来进一步将生产要素变现的过程.
无论是利用已获取的公民个人信息实施精准电信网络诈骗,抑或是盗取银行账户内的财产,将游戏账户内的装备变现,还是利用"僵尸网络"发动攻击用于敲诈勒索等行为,其最终的目的都是将这些生产资料转化为经济利益.
在分工更为细致的复杂产业链的末端,为了逃避监管部门对资金链的追踪,出现了协助犯罪分子进行财产转移、转换的犯罪.

1.
侵犯公民个人信息公民个人信息作为互联网信息落地的关键一环成为犯罪分子觊觎的对象,实践中多以黑客攻击、内部人员泄露等形式存在.
我院办理的北京某信息科技有限公司非法获取侵犯公民个人信息一案,被害公司系某知名互联网企业,其计算机信息系统上储存有大量的公民个人信息,内容包括电话号码、订单、行踪轨迹等,相关信息被用于企业相关服务产品.
由于被害公司计算机信息系统存在重大安全漏洞,加之该公司并未依照《中华人民共和国网络安全法》对公民个人信息采取保密措施,导致犯罪单位可以在未获得公民用户身份认证信息的情况下,通过对安全漏洞的利用,直接抓取被害公司计算机信息系统上储存的公民个人信息.
我院办理的"7.
25"特大侵犯公民个人信息专案则完整展现了一条以电信运营商安全漏洞为核心的"手机访客营销"黑产链条.
经查,从2016年起,违法行为人利用电信运营商存在的重大安全漏洞,建立可以获取手机访客电话号码的服务平台,并将该服务功能进行代理推广、销售.
全国约有4万家不同类型的网站购买相关服务,以便获取手机用户的手机号、搜索关键词、设备信息等数据,并将相关数据用于电话营销服务.

2.
电信诈骗电信网络诈骗犯罪涉及诈骗罪、信用卡诈骗罪等罪名,主要包括以下两种类型:一是通过上游钓鱼网站、木马病毒获取银行账号、密码等财产信息,通过中游的数据服务商清洗并转卖,下游犯罪行为人使用该账号和密码盗取账户中的存款.
如我院办理的张某等3人诈骗一案中,张某等人使用从服务商渠道购买的中国邮政储蓄银行账户和密码、对应的账户持有人的身份证号码等信息,购买专门改号软件服务,拨打客服电话,在银行限定数额内将账户钱款电话转账.
二是行为人通过上中游的犯罪行为或数据平台获取了精确的公民个人信息,如姓名、职业、电话号码、身份证信息等信息,通过打电话的方式进行精准诈骗.
我院办理的张某诈骗案中,行为人获取了受害人的电话号码等个人信息后,谎称自己是海淀区消防大队工作人员,经受害人朋友介绍向张某购买军用帐篷等物资,骗取被害人人民币17万元.

在电信网络诈骗犯罪案件中,为逃避钱款被追踪,诈骗行为的下游已经形成了一个专门洗钱端.
一是行为人使用自己或者他人的身份证办理多张银行卡,提供给诈骗犯罪集团用于洗钱.
二是诈骗行为人在进行电话诈骗时将骗取的钱款直接投注到彩票站购买彩票,随后将彩票返款打入自己所控制的账号.
三是行为人使用他人的银行卡账户办理移动POS机,专门为他人取款.
如我院办理的郭某掩饰隐瞒犯罪所得案,郭某以开茶叶店为名使用其老乡的身份证在不同的公司办理了8台POS机,其使用POS机专门为他人刷卡套现,每取10000元人民币收取点费100元.
该案的受害人被骗1000余万元,该笔钱款从受害人账户转出后,经过层层流转,分别转向了20多个不同人的银行卡账户,最终流转到郭某的账户14万元.
实践中,上述洗钱行为涉及妨害信用卡管理罪、掩饰隐瞒犯罪所得罪.

3.
刷单诈骗企业在对旗下产品进行推广时,常采取补贴、奖励的机制获取用户,在下游产业链中出现了利用企业的奖励机制而专门进行批量下载、注册产品,以骗取企业补贴的行为.
如重庆某公司与某科技公司签订合同,对其旗下手机APP进行推广的过程中,开发出"刷量平台操作系统",通过电脑系统控制手机登陆VPN,模拟各地的IP,控制千余部手机同时完成下载、安装、运行、注册、打开、使用,模拟正常用户下载使用APP.
每注册一个APP账户,该科技公司付给企业推广费3.
6元,该行为以诈骗罪认定.

4.
敲诈勒索行为人通常采取两种方式进行敲诈勒索,一种是通过"僵尸网络"也就是俗称的"肉鸡"进行网络攻击,如潘某敲诈勒索一案,该人通过DDOS攻击致使河北、安徽等地某大宗商品交易市场服务有限公司网络瘫痪,并以此勒索该公司62个比特币;另一种是通过侵入公司服务器窃取公司运营资料从而敲诈勒索被害单位,如洪某某敲诈勒索一案,行为人混入某金融服务公司员工群,利用群内成员的身份认证信息登陆金融服务公司的邮箱,对邮箱数据进行筛选、分析后获得该服务器的身份认证信息,后获取公司的运营资料,包括客户信息、贷款情况,并以此来勒索该公司支付20万元人民币.

5.
利用充值系统漏洞充值随着"互联网+"、信息化建设的发展,具有公共服务职能的政府信息系统、互联网消费平台等开始设置具有一定储值功能的平台,由于系统本身的漏洞或维护不及时等原因,给了犯罪分子以可乘之机.
实践中发现,公交卡、加油站、高校校园卡的储值系统、外卖平台等成为了被侵害的重灾区.
如我院在办理郑某某盗窃一案时发现,郑某的网友陈某在黑客论坛上发现有人发布该外卖平台的充值漏洞,并附有教程,后陈某利用该平台漏洞使用FD抓取软件给郑某的账户中充值10万余元,该案以盗窃罪认定.
另有案件如行为人系地铁运营公司负责充值的人员,利用系统的漏洞其在给乘客充值时侵吞了公司的钱款,鉴于其职务身份,以职务侵占罪认定.

二、网络化的传统犯罪随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现了赌博、贩毒、色情等传统犯罪向网络社会的延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势.
从我院办理案件情况来看,传统犯罪在网络上的表现主要表现为赌博、色情、毒品、非法集资等现象.

(一)传播淫秽物品即时聊天工具、微信群等社交工具的发展大大提高了信息传播的效率,由于信息量巨大,监管难度高,导致淫秽信息在网络空间泛滥.
在陈某某传播淫秽物品罪一案中,行为人加入名为"温柔小女孩"QQ群,该群组人数295人,群组规则要求上传淫秽视频才能成为会员并可以长期留在群组内下载群组内视频,为成为会员,该人上传二十余部具有未成年人内容的淫秽视频,下载量百余次.
实践中购买VR眼镜等新型设备搭售淫秽物品也屡见不鲜.
根据2010年2月2日最高人民法院、最高人民检察院《关于办理利用互联网、移动通讯端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第三条规定:利用互联网建立主要用于传播淫秽电子信息的群组,成员达30人以上或者造成严重后果的,对建立者、管理者和主要传播者,依照刑法第三百六十四条第一款的规定,以传播淫秽物品罪定罪处罚.

(二)网络赌博、开设赌场通过互联网开设赌场,大大提高了赌博的传播效率,由于网络空间隐蔽,服务器通常架设在境外,网站线上只计算点数,资金线通过线下代理商流转,因此在没有提取后来数据的情况下很难统计出真实赌资.
胡某某开设赌场罪一案中,胡某某为赌博网站担任代理并接受投注,其管理的赌博账号赌资达800万元,行为人自己赌博,为了分摊风险,降低赌博成本,自己与商家共同代理赌博网站.
通过调取其与上家银行转账流水,计算出其管理的赌博账号、赌资数额.

(三)网络贩卖毒品毒品交易由于其闭合的特征即使是在现实空间也很难打击,而随着互联网的使用,行为人通过网络购买、贩卖毒品,甚至是走私毒品,买卖双方通过互联网平台更加方便快捷地进行互联,而不需要双方出面就能完成交易,使毒品交易更加隐蔽,加大了打击的困难.
如高某走私、贩卖毒品一案中,行为人从境外走私大麻到境内,毒品由国外卖家使用速递通关进入国内,行为人指使他人取包裹后进行分装,并在微信群中发布贩卖毒品信息,买家下单购买后其通过即时配送服务向买家送达.

(四)互联网非法集资非法集资类案件在"互联网+"的场景下出现了新的态势和特点,互联网的应用使得金融产品经营者与公众的链接更加便捷,金融产品进入的门槛也在降低,较之传统的非法集资犯罪中受害人投资的数额减少.
行为人利用互联网社交工具直接吸收资金,或者使用社交工具广泛的宣传,使得投资者的人数较传统犯罪有显著增长,吸收资金的数额也在不断攀升.
如欧某某非法吸收公众存款一案中,欧某某以APP、微信公众号的形式向不特定公众宣传其理财产品,吸收资金5000万余元,涉及投资人共计15388人.

(五)以第三方支付平台、网贷平台为对象的盗窃、诈骗随着移动支付的普及,人们在支付场景下选择使用第三方平台支付成为常态,用户开通支付账户将自己的钱款存入其中,绑定存款的银行卡,成为犯罪分子觊觎的对象.
同时第三方支付平台多数都开发了小额贷款金融产品,比如微粒贷、蚂蚁借呗、京东白条等,用户在开通账户时绑定了自己的身份信息,开通只需要发送手机验证码,所以犯罪分子在盗窃支付平台内用户个人财产时,申请即时到账的小额贷款,造成被害人损失.
行为人通常与受害人是熟人关系,在日常生活中获知受害人的支付账户和密码,使用受害人的手机从支付宝、微信钱包等将绑定的银行卡中钱款转移到自己账户.
如我院办理的王某某盗窃、信用卡诈骗一案中,犯罪嫌疑人与被害人系男女朋友关系,王某某知道被害人的支付账号和密码,遂趁其熟睡之际将支付宝绑定的银行卡内钱款20000余元转入自己的账户,同时还从蚂蚁借呗借款20000余元,汇入其个人账户.
实践中此类案件在定性上存在较多争议,涉及盗窃罪、信用卡诈骗罪、诈骗罪等不同观点.

第三部分为积极应对网络犯罪产业化、新型化、复杂化等挑战,适应首都战略定位对检察机关服务保障科技创新的更高要求,北京市海淀区人民检察院持续加强网络犯罪办案专业化建设,利用专业优势,更好地发挥审前程序中的主导作用、指控和证明犯罪的主体作用,切实履行监督、审查、追诉的法定职责,推动网络安全刑事司法保护迈上新台阶.

一、持续创新专业化办案机制,精准高效办理网络犯罪案件一是整合专业化办案资源,办理重大疑难复杂案件.
我院成立专业化办案部门,专门办理审查科技犯罪案件,在办理重大复杂案件时,成立检察官联合办案组协同办案.
如在肯尼亚特大跨境电信诈骗案中,由一名检察官主办、两名检察官协同办案,审查数百卷宗,成功换押包括5名台湾籍在内的40名犯罪嫌疑人;庭审阶段三名检察官分工配合,采用电子化示证方式,有力地指控了犯罪.
被告人均当庭表示认罪、悔罪,取得了良好的出庭效果.
二是发挥海淀区高校、科研院所资源集中的优势,搭建检学共建平台,建立"外脑"专家库,积极开展专家咨询,大大提升办案质效.
如办理马某等9人流量劫持案件时,为保证案件正确办理,多次邀请外部专家提供法律适用意见,有针对性地开展提前介入、引导侦查、自行补充侦查,成功移送司法机关审判.
三是开展专业同步辅助审查,解决电子数据审查难题.
在检察官自行审查电子证据的基础上,创新开展新型疑难案件专业同步辅助审查机制,案件由办案人员委托检察技术专业人员对涉及技术型证据的合法性、客观性等问题进行审查,技术专业人员提出审查意见,而新型疑难复杂案件则由技术人员作为司法辅助人员,充当检察官"左右脑",随办案组全程介入案件办理,为检察官提供内部专业意见.

二、积极发挥提前介入优势,引导侦查取证有力为应对专业领域案件取证困难等现实问题,我院发挥审前主导作用,充分利用提前介入机制及时准确引导取证,与海淀分局网安大队案件建立联席会议常态化机制,强化捕前取证,统一执法标准,强化监督效果.
我院科技犯罪检察部共计办理提前介入案件53件125人,异地现场引导取证4件70人,成功介入引导"7.
25"系列特大侵犯公民个人信息专案、重庆刷单诈骗等案件的侦查取证工作.
重庆刷单诈骗案案发后,公安机关与我院科技犯罪检察部召开联席会议就案件的行为性质、取证方向和标准进行了探讨,并邀请我院检察官前往犯罪现场引导侦查.
检察官在犯罪现场了解到,行为人为骗取直播平台推广费,租用服务器,设置海量手机端,批量注册虚假的直播平台账号.
就此,检察官提出扣押作案电脑、手机,对电脑端群控软件、手机端注册软件予以勘验,对软件功能进行鉴定,提取注册账号等指导性意见,为后续案件的起诉和判决奠定了坚实的证据基础.

三、积极参与社会治理创新,切实推动网络安全保护一是深化与行政监管机关、行业协会协作,推动风险防治共建.
我院与海淀网安深度协作,共同研究网络犯罪案件的发案特点、原因,共同商讨预防和打击网络犯罪的对策;加强与互联网协会的沟通,及时掌握互联网行业动态;对于已出现的社会综合治理情况以检察建议、情况通报的形式及时向行政监管部门反馈,提出治理建议.
二是加强法律普及和典型案例宣传,与辖区内互联网企业建立犯罪预防基地.
与今日头条、搜狐等多家知名互联网企业达成共识,以大量真实的案件资源进行犯罪预防警示教育,以案说法促进互联网企业建章立制,加强对企业工作人员的刑事风险防控教育.
三是打造"海检极客"等自媒体宣传品牌,以文章、动漫、直播等多种形式开展"互联网+"普法宣传,举办形式多样的宣传讲座,提高广大群众对网络犯罪的防范意识.