根据《公安机关电信网络诈骗案件现场勘查工作指引(试行)》的相关规定,被害人手机等电子设备由受案地公安机关负责勘查,被害人涉案证据的勘查按照以下步骤进行:
一、询问基本情况
(一)紧急止付
被害人报案时,受案民警根据被害人反映的情况判断是否为电信网络诈骗案件,如系电信网络诈骗案件,有止付条件的,根据被害人提供的涉案账户信息,侦查机关要快速反应,并立即上报系统平台,协同银行等金融机构冻结尚未转移的涉案资金,进行紧急止付。在实践中,初查阶段冻结资金有多种途径:
一是通过银联客服电话冻结。对于准确获取犯罪嫌疑人用于诈骗的银行卡账号的情形,可拨打银联人工客服电话,查清开户行和地址,予以冻结;若不知犯罪嫌疑人银行卡账号,则可到银行柜台通过被害人银行卡和身份信息,查询对方账号,再予以冻结。
二是通过电话银行冻结。此途径利用银行错误密码锁止机制,通过反复五次输错密码冻结诈骗账号的电话银行转账功能。每次冻结时限24小时,可反复冻结。
三是通过网上银行冻结。操作与第二种情形相似。
四是通过银行柜台冻结。侦查人员制作冻结法律文书到涉案账号地归属银行或总行办理冻结手续,此法冻结期限较长(六个月),且稳定彻底。在实践中,可用前三种途径进行紧急处置,再通过第四种途径规范办理冻结手续。
(二)询问被害人
对被害人的询问既是电信网络诈骗案件的主要线索来源,也是获取证明电信网络诈骗犯罪行为发生证据的重要途径。对于大多数电信诈骗而言,被害人都能积极主动地提供被骗过程的言词证据。公安机关受理电信网络诈骗案件警情后,要迅速组织侦查人员耐心细致地询问被害人,准确记录案件关键信息,为深入侦查取证提供可靠线索。询问重点是被骗过程中涉及的"网络流""信息流""资金流"等信息。
询问过程应详细了解以下信息:
1.被害人身份。包括自然身份信息和网络虚拟身份信息。重点查明是否为残疾人、老年人、未成年人、在校学生、丧失劳动能力的人或者重病患者的亲属。
2.被骗经过。包括被害人被骗的始末、交流沟通、心理变化及遭受损失的经过、被骗金额、涉及网络通讯工具、网页网址信息、支付结算工具、指定被害人转账的账号、转出的资金金额,以及是否造成被害人及其近亲属自杀、死亡或者精神失常后果等情况。
3.涉案电子设备信息。对涉案电子设备外观特征进行拍照固定,并使用截屏或拍照等方式记录设备唯一性标识,如计算机的 MAC 地址信息,手机、平板的序列码、 MAC 、 IMEI 、 MEID 、 ICCID 等设备唯一性信息。
4.犯罪嫌疑人信息。犯罪嫌疑人冒用的身份、使用的化名、性别、声音特征、数量、微信号码、支付宝账号,作案的电话号码、短信或来电显示的电话等犯罪嫌疑人基本信息。
二、提取前准备工作
1.征得被害人或报案人同意,告知采集范围。勘查取证前应当向报案人声明信息采集的用途是为侦破案件提供线索和证据,采取的是定向采集的方式,只会对与本案相关的数据进行提取固定,不会侵犯被害人的个人隐私,消除报案人顾虑。应征得被害人或报案人同意后,才可以进行勘查工作。
2.对涉案电子设备的勘查应在报案后马上进行,先勘查后立案。
3.安排见证人见证。根据《公安机关刑事案件现场勘验检查规则》第24条的规定,应当邀请一至二名与案件无关的公民作见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录材料中注明情况,并对相关活动进行录像。
4.公安机关现场勘查人员不得少于二人。根据《公安机关刑事案件现场勘验检查规则》第24条的规定,公安机关对刑事案件现场进行勘验、检查不得少于二人。必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行。
三、采集录入涉案信息
根据2021年出台的《全国公安机关电信网络诈骗案件现场勘查信息录入规范(试行)》,要求所有"电诈案件"现场勘查信息应客观、准确、规范、及时录入全国公安机关现场勘查信息系统。录入内容包括:基本信息、通讯流信息、网络流信息、资金流信息。
(一)基本信息必录内容包含:案件信息、人员信息、物证基本信息。
1.案件信息包括:警情或案件编号、案件名称、案件类别、发案开始时间、发案结束时间、涉案金额、发案区划、发案地点、简要案情、勘查开始时间、勘查结束时间、勘查单位、勘查地点、现场指挥人员、现场勘查人员、电子数据现场提取笔录。简要案情应录入时间、被害人姓名、地点、通联方式、被骗平台网站、案件类别、转账方式(写清账号)、涉案金额8个基本信息。例如,2021年5月20日,被害人张三报称其在黄埔区天丰路 x 号 xx 栋 xxx 家中,通过 QQ 联系认识了昵称为贷款小张( QQ 号码123456789)的人,在"宏天快贷" APP 被以贷款交保证金为由被诈骗,通过银行卡向 xxx 交通银行账户6222xxxxxxxxxxxxxxx转账人民币20万元。
2.人员信息包括:人员类型、姓名、证件类型、证件号码、性别、民族、职业、文化程度、现住地址、手机号码。
3.物证基本信息包括:物证持有人、物证照片、手机品牌、手机型号、 IMEI 值、 MAC 地址、手机系统、系统版本。
拍摄物证照片时,应注意以下要求:(1)手机正面照,包括比例尺,屏幕开启状态下拍照;(2)手机背面照(取下手机壳),包括比例尺;(3)手机参数截屏,应截取全部参数、状态信息等;(4)如有其他物证,一并拍照录入。
(二)通讯流信息
通讯流信息包括涉案通话记录、短信、录音等,常见的有以下内容:嫌疑号码类型、嫌疑号码、首次通讯时间、通讯内容简述、通话录音、诈骗短信。其中,如有通话录音,需完成采集并录入原文件,系统计算哈希值;通讯内容简述中,如有短信,直接复制短信内容,如果是通话,需注明通话内容。
(三)网络流信息
网络流信息包括网络通联工具、网络诈骗工具、网络后台服务器等,常见的有以下内容:网络通联工具名称、网络通联内容、嫌疑账号信息、诈骗网站、诈骗 APP 安装文件、诈骗 APP 解析结果、公众号或小程序。诈骗网站,应完整录入网站名称、网站地址、服务器 IP 地址、被害人登录账 号、密码、邀请码以及网站内容截图等。诈骗 APP ,是指在诈骗分子的诱导下,被害人通过扫描二维码、点击网址链接等方式下载安装的 APP 。安装文件包括 Android 系统的 APK 文件、 iOS 系统的 IPA 文件。常见的有虚假理财投资、刷单、裸聊、网络交友等类型。要完整录入以下内容:诈骗 APP 名称;下载来源,包括二维码、下载链接等详细信息;被害人登录的账户名、密码、邀请码等; APP 安装包原文件。所有安装文件均需要进行静态、动态解析,要按照"应解尽解、解出必录"原则开展工作。诈骗 APP 解析后,尽可能全面录入包名、MD5值、犯罪主网站网址或 IP 地址(诈骗 APP 后台服务器)、签名信息、封装公司和 ID 、客服公司和 ID 等信息。应注意不要采集与案件无关的数据或正规的 APP 安装文件,如应用商店内的 APP 安装文件、与案件无关的 APP 安装文件及解析结果、语音信息等。
(四)资金流信息
资金流信息包括涉案支付方式、交易内容、虚拟货币等,常见有以下内容:转账方式、付款人账号和姓名、收款人账号和姓名、转账时间及金额、转账交易数据截图。转账方式包括银行柜面、网银、银行 APP 、微信、 QQ 、支付宝等第三方支付、虚拟货币交易信息及其他支付方式。
四、文书制作
现场勘查人员应遵循相关标准和规范,可采用打印、拍照、录像、截屏或录屏等方式固定提取涉案证据,并制作《询问笔录》《现场勘验检查工作记录》《电子数据现场提取笔录》(见图3-2-1)及其他规定制作的文书,及时上传采集的数据。常见规范的专业勘查设备一般都有自动生成《电子数据现场提取笔录》的功能,能在勘查完成后,自动生成笔录,大大减轻现场勘查人员的工作量。
(一)《电子数据现场提取笔录》的制作
1.内容。应注明的内容有:①电子数据的来源、事由和目的、对象;2提取电子数据的时间、地点、方法、工具、过程;③不能扣押原始存储介质的原因;④原始存储介质的存放地点;⑤注明类别、文件格式、完整性校验值等,对提取的电子数据进行数据压缩的,应在笔录中注明相应的方法和压缩后文件的完整性校验值。
2.要求。①笔录由侦查人员、被害人或报案人签名或电子信息授权;②附《电子数据提取固定清单》(见图3-2-2)和涉案电子设备照片、截图;③无论采取何种方式固定电子数据,均应当能清晰地反映涉案电子数据的内容,并在笔录中注明选取固定方式的原因以及文件路径和文件属性;④现场勘查人员应当自勘查取证结束后24小时内,将勘验信息准确、规范上传到"全国公安机关现场勘验信息系统”。
(二)《电子数据提取固定清单》的制作
1.内容。应注明的内容有:①案由、提取时间;②电子数据的类别、文件格式、完整性。
2.要求。由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在《电子数据现场提取笔录》中注明,由见证人签名或者盖章。
电子数据现场提取笔录
图3-2-1《电子数据现场提取笔录》式样
电子数据提取固定清单
图3-2-2《电子数据提取固定清单》式样
