Appearance
科技犯罪偵查基礎

這是將數次實習課程中「跨日期重複用到」的科技犯罪偵查觀念,整理而成的一份通用基礎筆記。內容以公開法律知識與學術概念為限,嚴格實施去識別化,不含任何特定個案、機關編制、網段 IP 或具體攻擊侵入手段。
一、 核心觀念:數位線索與證據轉化
佐證:數位證據處理可對照 ISO/IEC 27037;若要進入訴訟程序,另須注意 《刑事訴訟法》第 158-4 條 的證據能力風險。
科技犯罪偵查的本質,是在高度變動且匿名的數位虛擬空間中,尋找犯罪者遺留的數位跡證(Digital Traces),並將其轉化為法庭認可之證據。
(一) 數位證據(電磁紀錄)之學理特徵
佐證:「識別、收集、獲取、保全」四階段參考 ISO/IEC 27037。
- 無體性與媒介依賴性(Immateriality):數位證據本身為電磁狀態(0與1),不具備實體物理形狀,必須依賴顯示器、電腦或特殊軟體等媒介才能呈現。
- 易逝性與易竄改性(Fragility):極易受到系統關機、軟體自動覆寫、遠端擦除或惡意修改的影響,甚至常因開機讀取本身就導致檔案時間戳記變更。
- 複製同一性(Clonability):在未受損的前提下,數位複製品與原始檔能產生完全一致的雜湊值(Hash Value),在物理與資訊學上具備完全相同之屬性。
- 痕跡存留性(Traceability):任何系統存取、網絡連線或指令輸入,均會在系統核心日誌或網路設備中留存時間戳與存取軌跡。
(二) 三大黃金原則
佐證:法治與比例原則可對照 《個人資料保護法》第 5 條;程序違法的證據風險可對照 《刑事訴訟法》第 158-4 條。
- 線索不等於結論:IP 位址、電信門號、車牌、金融帳戶或虛擬資產錢包,在實務上均可能屬於人頭、跳板(VPN/Tor)或受控設備。僅憑單一登記資料,不能直接作為起訴之唯一依據。
- 多源交叉驗證(Cross-Validation):必須將時間(Timestamp)、地理位置、行為模式、登入日誌進行交叉比對。當不同管道的資料在同一個時空節點上產生吻合,其真實性才具備高度說服力。
- 法治原則與比例原則:偵查手段的強度與程序必須符合法律規定,不得為了提高效率而侵害正當法律程序,並應隨時考量干預人民權利之比例原則。
二、 強制處分:搜索與扣押之法制規範
佐證:搜索票與扣押基礎可對照 《刑事訴訟法》第 128 條、第 133 條。
數位證據具有「易竄改、易滅失、隱密性高」之特徵,因此在採取扣押與搜索時,須有堅實的法理基礎以維護其證據能力。
(一) 令狀原則與法定搜索類型(《刑事訴訟法》)
- 法官簽發搜索票(第 128 條):搜索原則上應用搜索票。票上應詳列案由、被告、搜索處所、應扣押之物,特別是針對電磁紀錄之搜索,必須於搜索票上載明搜索範圍包含電腦、行動裝置、雲端空間或相關儲存設備。
- 附帶搜索(第 130 條):司法警察逮捕、拘提或羈押被告時,得無票搜索其身體、隨身物、交通工具及立即可觸及處所。
- 實務注意:附帶搜索之目的在於防範即時危害與滅證。智慧型手機及雲端帳號內含海量個人隱私,實務上多認為其非附帶搜索之合理範疇,不得以附帶搜索為由,在現場強制要求嫌疑人解鎖手機並進行全面電磁紀錄下載。
- 同意搜索(第 131-1 條):無搜索票但經受搜索人自願同意。
- 程序要件:必須向當事人說明有拒絕搜索之權利,並請其簽署「自願受搜索同意書」,並將該同意意旨詳載於筆錄中,以昭公信。
- 逕行搜索與緊急搜索(第 131 條):
- 逕行搜索(第 1 項):因追捕現行犯、逃犯,或有事實足信有人在內犯罪而情形急迫。
- 緊急搜索(第 2 項):發現涉嫌重罪有急迫危險,且證據有立即可滅失之虞。由檢察官指揮執行,並須於執行後 3 日內陳報法院核備,若法院駁回,其扣押之物不得作為證據。
(二) 雲端電磁紀錄之搜索與扣押實務
佐證:雲端資料若作為電磁紀錄搜索、扣押標的,應回到 《刑事訴訟法》第 128 條、第 133 條;跨境調取另涉司法互助,本文只保留概念。 隨著 SaaS 服務的普及,資料常儲存於境外雲端伺服器(如 Google Drive、iCloud)。其執行法理包含:
- 受搜索人權限登入(用戶授權路徑):在有搜索票授權,或被告自願同意並當場提供登入憑證時,警方得在該授權設備上開啟瀏覽器,下載與案情相關之雲端資料,並立即計算雜湊值備案。
- 第三方調取路徑:透過司法互助(MLAT)或與跨國企業對接窗口調取。
(三) 電磁紀錄之扣押與保全程序
佐證:扣押依據可對照 《刑事訴訟法》第 133 條;犯罪所得與洗錢脈絡可對照 《洗錢防制法》第 2 條、第 3 條。
- 物理扣押:扣押含有電磁紀錄之載體本身(如手機、電腦主機、外接硬碟)。
- 複製扣押:若無法扣押載體本身(如涉及伺服器或影響機關正常運作),得以完整複製原始電磁紀錄之方式(鑑識映像檔,如 DD, E01 格式)行之,並在現場計算其雜湊值(Hash Value)。
- 所得保全:針對不法所得(包含帳戶存款、第三方支付餘額、虛擬資產),得聲請法院裁定扣押犯罪所得,或依《洗錢防制法》執行沒收與追徵。
三、 筆錄製作與犯罪構成要件
佐證:構成要件式筆錄可回查 《刑法》妨害電腦使用罪章第 358 至 363 條 與 妨害名譽第 309、310 條。
筆錄是司法審判的關鍵卷宗。製作筆錄必須以**犯罪構成要件(Elements of a Crime)**為導向,透過問答建立完整犯罪拼圖。
(一) 妨害電腦使用罪章(《刑法》第三十六章)構成要件對照
| 法條 | 罪名與客觀要件 | 筆錄訊問重點 | 告訴性質 |
|---|---|---|---|
| 第 358 條 | 入侵電腦罪:無故輸入帳密、破解保護措施、利用系統漏洞而入侵他人電腦或設備。 | 1. 登入手段(是否未獲授權) 2. 該系統是否設有機密防護(如 MFA、防火牆) 3. 漏洞利用之事實。 | 告訴乃論(《刑法》第 363 條) |
| 第 359 條 | 取得/刪除/變更電磁紀錄罪:無故取得、刪除或變更他人電腦之電磁紀錄,致生損害於公眾或他人。 | 1. 電磁紀錄性質與價值 2. 處分手段(拷貝、格式化、竄改數據) 3. 被害人具體損害結果。 | 告訴乃論(《刑法》第 363 條) |
| 第 360 條 | 干擾電腦系統罪:無故以電腦程式或其他電磁方式干擾他人電腦,致生損害於公眾或他人。 | 1. 干擾手段(如發送 DDoS 封包、植入勒索程式) 2. 服務中斷時間與影響範圍 3. 公眾或他人損害明細。 | 告訴乃論(《刑法》第 363 條) |
| 第 361 條 | 加重處罰(公務電腦):對公務機關之電腦或設備犯前三條之罪者。 | 1. 該受損設備是否屬於公務機關 2. 對公務運作所造成之延宕與危害。 | 非告訴乃論(公訴罪) |
| 第 362 條 | 製作犯罪程式罪:製作專供犯本章之罪之電腦程式而供自己或他人使用,致生損害。 | 1. 程式之惡意用途(如專門解密、遠控木馬) 2. 被告是否具備散布或意圖供犯罪使用之主觀故意。 | 非告訴乃論(公訴罪) |
(二) 妨害名譽罪章構成要件對照
佐證:公然侮辱對照 《刑法》第 309 條;誹謗與真實性抗辯對照 第 310 條。
- 公然侮辱罪(第 309 條):在「不特定人或多數人得以共見共聞」之公開狀態下,對他人進行抽象謾罵(非具體指摘事實),如在遊戲公開頻道、論壇留言罵髒話。
- 誹謗罪(第 310 條):意圖散布於眾,而指摘或傳述足以毀損他人名譽之具體事實。
- 免責要件(第 3 項):能證明指摘事實為真實者不罰;但若涉及私德且與公共利益無關者,仍需處罰(不可因涉案人指稱是事實而免責,須檢視公共利益關聯性)。
四、 多源資料整合分析框架
佐證:通聯、通信紀錄、網路流量紀錄的資料類型可對照 《通訊保障及監察法》第 3-1 條;調取程序可對照 第 11-1 條。
偵查口訣:找人、找地、找物、找錢、找帳號、找設備。
| 資料來源 | 偵查分析價值 | 技術侷限性與學理原理 |
|---|---|---|
| 金流資料 | 追查髒款流向、分析提領斷點,並可透過 165 平台聯防攔截。 | 只呈現資金轉移,無法單獨等同行為人(如人頭帳戶、車手僅是工具)。 |
| 通聯紀錄 | 勾勒通訊網絡、通話頻率,並利用基地台軌跡推估活動區域。 | 基地台為「扇形覆蓋定位(Cell ID)」,非點狀 GPS 定位,精確度有限。 |
| 車流軌跡 | 結合車牌辨識系統與監視器畫面,補強人與空間之實體關聯。 | 車主與實際駕駛不一定一致,天候與反偵查手段可能影響畫面辨識。 |
| 網路連線 Log | 追查 IP 登入來源、網域解析與平台連線歷史。 | 嫌疑人可使用 VPN、Tor 或共用行動網路公網 IP(CGNAT)。CGNAT 環境下,單憑公網 IP 無法識別用戶,必須搭配**來源通訊埠(Source Port)**與高精度時間戳進行對應。 |
| 虛擬資產帳本 | 公鏈帳本具公開且不可竄改性,可用於追查加密貨幣資金鏈。 | 匿名性高,必須結合 VASP(虛擬資產業者)的 KYC 資料與登入 IP 才能找人。 |
| 公開情報 OSINT | 合法查詢網域 WHOIS、DNS 解析、子網域,判斷惡意基礎設施。 | 資料可能被防護服務遮蔽,且必須在不侵入系統的合法範圍內執行。 |
五、 常見犯罪類型偵查邏輯
佐證:詐欺金流與洗錢行為可對照 《洗錢防制法》第 2 條、第 3 條;個資使用另見 《個人資料保護法》第 15、16 條。
(一) 釣魚簡訊與 OTP 盜刷詐騙
佐證:涉及簡訊、門號與平台資料時,門號實名與風險控管可對照 《電信事業用戶號碼使用管理辦法》第 3、5、15 條。
- 犯罪路徑:假冒公用事業或銀行發送簡訊 ─> 被害人點擊假連結進入高度仿真網頁 ─> 被害人輸入信用卡號與 OTP ─> 集團後台即時獲取並進行線上綁卡/盜刷。
- 共同節點分析法(Common Node Analysis):
- 詐騙集團常重複使用部分網路資源與洗錢管道。
- 偵查時比對多個被害人案件中,釣魚網站所指向之域名註冊人、所解析之同一個 IP 或 C 段、發送釣魚簡訊所透過之特定簡訊閘道器(SMS Gateway)儲存帳戶,以及盜刷所得之流向(如購買同一個商家的虛擬商品)。
- 當發現多起案件有共同的技術或行為特徵時,即能將斷裂的線索串聯,作為向法院聲請搜索票或拘提的證據基礎。
(二) 身分冒用與數位金融申辦
佐證:身分核對、影像留存、異常使用風險控管可對照 《電信事業用戶號碼使用管理辦法》第 3 條、第 6 條、第 15 條。
- 個資取得與申辦:以釣魚或假徵才等手法取得被害人雙證件照片後,在線上冒名申請數位存款帳戶或「先買後付(BNPL)」服務。
- 制度防堵與 KYC 升級:
- 線上開戶必須搭配多重因子驗證(MFA)與第三人金融機構驗證。
- 電信認證機制會利用「行動身分識別(Mobile ID)」技術,核對該申辦人填寫之身分證字號與該手機門號之持有人登記資料是否一致。
- 配合《電信事業用戶號碼使用管理辦法》,線上申請門號必須實施「活體人臉偵測(Liveness Detection)」或強制自然人憑證讀卡簽章,以杜絕人頭卡之氾濫。
六、 數位鑑識與證據監管鏈(ISO/IEC 標準概念)
佐證:數位證據處理依據參考 ISO/IEC 27037;證據能力仍須回到 《刑事訴訟法》第 158-4 條。
數位證據在採集與保存過程中若未嚴格控管,將因「無法排除事後竄改之可能」而失去證據能力。
(一) 數位證據處理四階段(符合 ISO/IEC 27037)
佐證:四階段來源為 ISO/IEC 27037 官方摘要。
- 識別(Identification):確定涉案現場存在哪些潛在的數位證據載體(如電腦、手機、NAS、雲端硬碟)。
- 收集(Collection):將實體物證進行封存(如將開機中的手機置入信號阻斷袋,防止遠端擦除;包裝貼上封條)。
- 獲取(Acquisition):在不變更原始資料的前提下進行完整複製。通常使用硬體寫入保護器(Write Blocker)對原始碟進行「唯讀複製」,產生 bit-stream 的鑑識映像檔(E01, RAW)。
- 保全(Preservation):確保原始載體與複製品的安全儲存。
(二) 證據監管鏈(Chain of Custody, CoC)與同一性保障
佐證:同一性與鑑識保全屬證據能力基礎,程序風險可對照 《刑事訴訟法》第 158-4 條。
- 雜湊值比對(Hash Value):在現場獲取映像檔完成後,必須立即計算該檔案之 SHA-256 或 MD5 雜湊值,並將此唯一之雜湊值記錄於搜索扣押筆錄中。後續所有的鑑識分析(如以 EnCase, FTK 進行還原與檢索)皆必須在映像檔上進行。在提交法院時,必須重新計算雜湊值以證明「映像檔與扣押當日完全一致」,此即數位證據之同一性保障。
- 監管鏈紀錄:詳實記錄數位物證自扣押當刻起,每次移交之經手人姓名、移交時間、存放處所及流轉目的,防止在流轉中斷鏈。
七、 法律邊界備忘與合規性
佐證:通訊資料見 《通訊保障及監察法》第 3-1、11-1 條;個資見 《個人資料保護法》第 5、6、15、16 條;警察職權界線見 《警察職權行使法》。
- 《通訊保障及監察法》:
- 區分「通信紀錄」(不含內容之門號、基地台、連線 IP 與 Port)與「通信內容」(對話內容、郵件內文)。
- 調取通信紀錄必須符合第 11-1 條之最重本刑三年以上重罪門檻與法定調取程序。
- 《個人資料保護法》:
- 司法警察機關蒐集與利用民眾資料,必須符合第 15 條「執行法定職務必要範圍內」並有特定目的。
- 對於敏感個資(如醫療、基因、性生活、健康檢查、犯罪前科,第 6 條),非有法律明文規定或履行法定職務必要,不得蒐集、處理或利用。
- 誘捕偵查(臥底蒐證)之限制:
- 機會提供(合法):行為人已有犯罪意圖,司法警察僅係提供犯意實施之機會(如喬裝買家向毒販購毒)。
- 陷害教唆(違法):行為人本無犯罪意圖,因司法警察之設計、教唆而產生犯意並實施犯罪行為。此種手段取得之證據將被宣告無證據能力。
法源對照
| 筆記細節 | 主要佐證來源 | 使用方式 |
|---|---|---|
| 搜索票、搜索範圍、數位載體與雲端資料 | 《刑事訴訟法》第 128 條、第 133 條扣押 | 對照「搜索與扣押」章節,提醒搜索票與扣押標的要能具體化到設備、帳號、儲存媒介或電磁紀錄。 |
| 附帶搜索、逕行/緊急搜索、同意搜索 | 《刑事訴訟法》第 130 條、第 131 條、第 131-1 條 | 用於區分無票搜索的例外類型,並提醒手機、雲端帳號等高隱私資料應特別注意程序正當性。 |
| 違法取證與證據能力 | 《刑事訴訟法》第 158-4 條 | 對照「程序瑕疵可能造成證據排除」的說明。 |
| 妨害電腦使用罪章 | 《刑法》第 358 條、第 359 條、第 360 條、第 361 條、第 362 條、第 363 條 | 佐證「入侵、取得/刪除/變更電磁紀錄、干擾、公務電腦加重、製作犯罪程式、告訴性質」表格。 |
| 妨害名譽罪章 | 《刑法》第 309 條、第 310 條 | 對照公然侮辱與誹謗的差異:抽象謾罵、具體事實指摘、真實性與公共利益。 |
| 通聯、通信紀錄、網路流量紀錄 | 《通訊保障及監察法》第 3 條、第 3-1 條、第 5 條、第 11-1 條 | 佐證「通信內容」與「非內容紀錄」的區分,以及通訊監察書、調取票的程序。 |
| 詐欺金流、虛擬資產與犯罪所得 | 《洗錢防制法》第 2 條、第 3 條 | 對照洗錢行為、特定犯罪與資金流追查章節。 |
| 個資蒐集、敏感個資、警用新科技 | 《個人資料保護法》第 5 條、第 6 條、第 15 條、第 16 條 | 佐證司法警察蒐集、處理、利用個資必須有法定職務、特定目的與比例限制。 |
| 數位證據處理四階段 | ISO/IEC 27037 官方頁 | 對照識別、收集、獲取、保全四階段;本筆記僅摘要,不複製標準全文。 |
更多連結統一整理於 法規與官方來源索引。
延伸閱讀
官方來源
- 全國法規資料庫:中華民國刑事訴訟法、中華民國刑法、個人資料保護法、通訊保障及監察法。
- 國際標準:ISO/IEC 27037(數位證據處理指引)、ISO/IEC 27043(事件調查架構)。
- 相關對話原文(未公開):
notes/raw_dialogues/01、03、06
補充筆記
本篇整理重點
- 將強制處分章節擴大,補充《刑事訴訟法》令狀搜索要件、附帶搜索在手機與雲端上的限制、自願性同意搜索之程序要件,以及逕行與緊急搜索之陳報法院期限。
- 將筆錄製作章節結構化,以表格形式補齊《刑法》第 358 條至第 362 條「妨害電腦使用罪」之構成要件、訊問要點及告訴性質,並釐清公然侮辱與誹謗罪(包含第 310 條第 3 項之免責條件)之差別。
- 詳述多源資料整合之「六找」框架,補齊各資料源之偵查價值與技術侷限性(如 CGNAT 共用公網 IP 之限制)。
- 將常見犯罪類型偵查邏輯系統化,詳述「共同節點分析法」在釣魚簡訊防制上的應用,以及「行動身分識別(Mobile ID)」和《電信事業用戶號碼使用管理辦法》新規實名制在身分冒用上的防堵邏輯。
- 整理「數位鑑識與證據監管鏈」專章,引用 ISO/IEC 27037 數位證據處理四階段(識別、收集、獲取、保全),詳述證據監管鏈(Chain of Custody)、寫入保護器(Write Blocker)、鑑識映像檔及雜湊值(Hash)在維持證據同一性與法庭證據能力上之意義。
- 整理「法律邊界備忘與合規性」專章,補充《通訊保障及監察法》第 11-1 條、《個人資料保護法》第 15、16 及第 6 條規範,並釐清「機會提供」與「陷害教唆」之司法實務界線。
主要參考來源類型
- 中華民國法規(刑事訴訟法、中華民國刑法、通訊保障及監察法、個人資料保護法、洗錢防制法、電信事業用戶號碼使用管理辦法)。
- 國際資安與鑑識標準(ISO/IEC 27037、ISO/IEC 27043、NIST 數位證據處理指引)。
- 中華民國法院實務判決要旨(關於附帶搜索手機電磁紀錄及違法誘捕偵查證據排除之權衡裁判)。
後續需查證
- 因《通訊保障及監察法》與《個人資料保護法》常因科技演進進行修法(如未來是否引進科技偵查法等新興法源),實務上特定數位跡證(如未涉及通信內容之即時位置軌跡追蹤)之最新法律調取要件,需人工隨時查證最新立法院修法進度與最高法院庭長法官聯席會議決議。
知識結構圖
本篇重點的結構示意圖: