王 彬

(河南警察学院，河南 郑州 450046)

大数据时代，恐怖犯罪在许多方面发生了变化。在发生的时空上，从现实空间发展到虚拟空间；在采取的手段上，从传统手段发展到高科技手段；在发生的形式上，呈现出有组织恐怖犯罪与“独狼式”恐怖犯罪并存，且“独狼式”恐怖犯罪形式呈上升趋势。这些变化，给应用常规侦查方法或者手段侦查恐怖犯罪案件带来了许多困难。当下，大数据方法已被广泛应用于包括犯罪侦查在内的各个领域，且效果明显。因此，笔者认为，有必要对大数据方法及其在恐怖犯罪案件侦查中的应用进行研究，以服务于我国的侦查理论研究与实践应用。

一、恐怖犯罪案件及其侦查要素

(一)恐怖犯罪案件概念分析

恐怖犯罪案件，是指组织、策划、实施、煽动实施恐怖活动，宣扬恐怖主义，组织、领导、参加恐怖活动组织，为恐怖活动提供帮助，依法需要追究刑事责任的一类特殊的犯罪案件。

在我国，恐怖犯罪案件主要有：非法持有宣扬恐怖主义、极端主义物品犯罪案件；强制穿戴恐怖主义、极端主义服饰、标志犯罪案件；利用极端主义破坏法律实施犯罪案件；宣扬恐怖主义、极端主义、煽动实施恐怖活动犯罪案件；准备实施恐怖活动犯罪案件；资助恐怖活动犯罪案件；组织、领导、参加恐怖组织犯罪案件。

恐怖犯罪案件具有以下特征：

第一，时间特征。恐怖犯罪案件的时间，是指恐怖犯罪准备的时间和恐怖犯罪实施的时间。这种时间特征主要表现在两个方面：

一是犯罪准备的时间具有长期性。为了实施恐怖犯罪行为，犯罪行为人一般都会经过较长的准备时间，其间包括犯罪意图的逐步形成和犯罪决心的下定，犯罪对象的选定、犯罪人员的招募，犯罪工具的准备，犯罪手段的演练与犯罪所需资金的筹集等。犯罪准备时间可能几十天、几个月，也可能是几年时间。但也有一些是犯罪行为人在某种情景的强烈刺激下，突然实施的恐怖犯罪案件，如犯罪行为人受到宗教极端思想等的灌输和洗脑，临时起意实施的恐怖犯罪案件。

二是犯罪实施的时间具有象征性和挑衅性。犯罪行为人实施恐怖犯罪具有现实的政治、意识形态等方面的诉求，常常会选择具有某种象征意义的时间点或者时间段实施恐怖犯罪行为，向社会扩散其恐怖犯罪行为的影响，向人类宣战、向社会宣战，以使其恐怖犯罪行为更具有挑衅性、行为结果更具有恐吓性。例如，众所周知，911是美国的报警电话，犯罪行为人故意选择这个日子向美国本土发动恐怖袭击，直接挑战美国社会、美国强力部门和执法部门，造成了美国普通民众心理的巨大恐慌。

第二，空间特征。恐怖犯罪案件的空间，是指与恐怖犯罪行为相关的场所，也称犯罪现场。从场域上看，包括现实空间、虚拟空间；从顺序上看，包括恐怖犯罪准备空间和恐怖犯罪实施空间。这种空间特征主要表现在两个方面：

一是犯罪准备的空间具有隐蔽性。网络时代，恐怖犯罪行为已从现实空间拓展到虚拟空间。在现实空间，犯罪行为人一般会选取偏僻、人迹罕至的，或者认为比较封闭的空间进行恐怖犯罪的准备活动，如在高原无人区设立恐怖分子训练营，对恐怖分子进行体能、技能(如制枪、制爆)训练和培训；在隐蔽地点，如密室、地道等，对恐怖分子进行洗脑和组织宣誓效忠等活动。在虚拟空间，犯罪行为人往往借助网络的虚拟性和非实名性，在网络上制作、传播宣扬极端主义思想、恐怖主义思想的视频，传授恐怖犯罪方法、交流恐怖犯罪经验等。由于上述恐怖犯罪准备行为是在网络空间进行的，所以具有相当高的隐蔽性。

二是恐怖犯罪实施的空间具有代表性。一般情况下，犯罪行为人会选择具有政治、经济、文化或者历史代表性意义的地方或者场所发动恐怖袭击，其目的是引起社会的最大程度关注和给社会造成巨大恐慌，使社会成员感到缺乏安全感。如2013年10月28日发生在北京金水桥上的暴力恐怖犯罪案件，2014年3月1日发生在云南昆明火车站的暴力恐怖犯罪案件等。

第三，人员特征。恐怖犯罪案件的人员，是指恐怖犯罪案件的犯罪行为人、恐怖犯罪案件的侵害对象(受害人)。人员特征主要表现在两个方面：

一是恐怖犯罪案件犯罪行为人大都呈现出“三盲”“两化”特点。“三盲”是指文盲、教盲和法盲。从侦查实践来看，我国恐怖犯罪案件中的大部分犯罪行为人基本没有接受过正规的学校教育，不了解宗教教义和戒律、不懂得国家的法律和政策，缺乏对基础自然科学知识的了解、对正常宗教教条的理解和对国家法律、政策的敬畏。“两化”是指恐怖犯罪案件的犯罪行为人的低龄化、女性化。在恐怖犯罪案件中，青少年犯罪行为人、女性犯罪行为人时有出现，且有不断增多的趋势。同时，恐怖犯罪案件的犯罪行为人还呈现出一种有组织性和“自我英雄主义”即“独狼式”并存的特点。

二是恐怖犯罪案件侵害对象呈普遍化特点，但更具有针对性。在实施恐怖犯罪行为时，除无差别地针对普通个体或者群体实施恐怖犯罪行为外，有针对性地选择具有代表性的个体或者群体实施恐怖犯罪行为，也成为犯罪行为人的经常之选。恐怖犯罪的实践表明，在选择侵害对象时，恐怖案件犯罪行为人更倾向于选择具有代表性的个体或者群体，如国家政要、宗教领袖等。

第四，表现特征。与一般犯罪案件相比，恐怖犯罪案件具有以下表现特征：一是恐怖犯罪案件一般不存在因果关系或者利益冲突；二是恐怖犯罪案件的犯罪行为人一般不逃避打击，而且积极宣扬犯罪的后果；三是恐怖犯罪案件与政治或者意识形态的某些主张密切相关联；四是犯罪行为人实施恐怖犯罪的方法和手段十分残忍。

第五，痕迹物品特征。痕迹物品特征，是指恐怖犯罪案件犯罪行为人实施犯罪后，在犯罪现场遗留的痕迹物品所呈现出来的特征。

痕迹物品特征主要表现在两个方面：一是犯罪现场痕迹具有随意性，即犯罪行为人在实施恐怖犯罪行为之后，对犯罪现场遗留的痕迹，如血迹等，不进行任何清理或者掩饰；二是犯罪现场工具具有犯罪效应扩大化趋势，即犯罪行为人通过特制的犯罪工具实施恐怖犯罪行为，使恐怖犯罪行为本身产生的危害效应最大化，如在爆炸物中添加铁钉、碎玻璃片等以增大危害后果。

(二)恐怖犯罪案件的侦查要素

大数据时代，恐怖犯罪行为从现实空间拓展到虚拟空间。同时，一些恐怖犯罪案件本身就是通过网络或者在网络空间中实施完成的，如宣扬恐怖主义、极端主义、煽动实施恐怖活动犯罪案件，资助恐怖活动犯罪案件等。因此，恐怖犯罪案件的侦查要素也存在于现实空间和虚拟空间两个领域。

在现实空间，恐怖犯罪案件的侦查要素主要有以下几类：

1.物品。在恐怖犯罪案件中，物品主要有：(1)实施恐怖犯罪行为之前，犯罪行为人利用或者使用的物品，如组织、领导、参加恐怖组织犯罪的有关文件、资料及其他物品，宣扬恐怖主义、极端主义、煽动实施恐怖活动犯罪的各种标语、传单、录音带、录像带及其他相关材料等。(2)实施恐怖犯罪行为过程之中，犯罪行为人利用或者使用过的物品，如枪支、弹药、爆炸物、刀具、棍棒等物品。(3)实施恐怖犯罪行为之后，犯罪行为人在犯罪现场遗留的物品，如爆炸装置的残留物，爆炸后毁坏的物品、尸体、肢体，开枪后遗留在犯罪现场的弹壳、弹头，以及犯罪行为人在犯罪现场遗留的刀棍等犯罪工具、衣服、鞋帽等。

2.痕迹。不论是有组织的恐怖犯罪，还是“独狼式”恐怖犯罪，在犯罪现场，都会留下各种痕迹。例如，在有组织恐怖犯罪案件中，犯罪行为人实施恐怖犯罪行为时，即可能枪击、砍杀特殊个人或者特殊群体，也可能枪击、砍杀普通群众，不论在哪种情况下，犯罪现场都会遗留各种痕迹，如血迹等。如果犯罪行为人利用交通工具实施恐怖犯罪行为，犯罪现场还会遗留各种交通工具的痕迹，如车胎印迹等。在“独狼式”恐怖犯罪案件中，在实施恐怖犯罪行为之前、之中、之后，犯罪行为人也会在不同的时空条件下遗留各种痕迹，如足迹、手印、血迹等。

3.生物检材。生物检材，“广义而言，泛指有生命的动植物的组成全部及部分残留于刑事案件中的痕迹、物品。狭义而言，就是与人体有关的毛发、分泌物、血液、人体组织、骨骼等”[1]。

在恐怖犯罪案件中，特别是利用枪支、弹药、爆炸物，以及刀具、棍棒等实施的杀人、伤人、危害公共安全、毁坏公私财物的恐怖犯罪案件中，不论是有组织恐怖犯罪案件还是“独狼式”恐怖犯罪案件，犯罪行为人大多会在犯罪现场遗留毛发、血液、犯罪工具等生物检材。例如，在“独狼式”恐怖犯罪过程中，犯罪行为人在针对特定人或者特定群体实施犯罪时，有时会遭到被害人的强烈反抗，被害人甚至会与犯罪行为人进行激烈“搏斗”，在这一过程中，犯罪行为人也可能被打伤，在犯罪现场遗留血迹、毛发等生物检材，或者因逃跑而在犯罪现场遗留下犯罪工具、衣服、帽子，这些遗留的物品上也可能存储有犯罪行为人的脱落细胞等生物检材。

在虚拟空间，恐怖犯罪案件的侦查要素主要有以下几类：

1.通讯数据信息。恐怖犯罪案件，特别是组织、领导、参加恐怖组织犯罪案件、资助恐怖组织犯罪案件等，在实施恐怖犯罪行为之前、之中和之后，恐怖犯罪的组织者、领导者与参加者之间大都会通过手机或者其他通讯工具进行沟通、联络；资助恐怖活动犯罪，资助者与受助者之间也可能会多次沟通、联络。在沟通、联络过程中，犯罪行为人在虚拟空间会遗留通讯信息痕迹。即使是“独狼式”恐怖犯罪案件，只要犯罪行为人携带手机或者其他通讯工具，在虚拟空间也会遗留其通讯信息痕迹，例如手机话单数据信息、实施恐怖犯罪所在地及周围地区的通讯机站存储的手机主叫、被叫与信号漫游等手机通讯数据信息。

2.网络数据信息。当下，信息技术、互联网技术等高速发展，为恐怖犯罪行为提供了新的实施场域，使大量的恐怖犯罪行为得以在网络空间完成。在实施恐怖犯罪过程中，犯罪行为人除使用手机或者其他通讯方式进行沟通、联络外，网络空间也是犯罪行为人在实施恐怖犯罪之前、之中和之后频繁活动的场域，犯罪行为人在网络空间常常会遗留大量的网络信息痕迹。例如，恐怖组织利用网络进行恐怖主义宣传，资助者通过网络给犯罪行为人提供资金支持，恐怖组织通过网络招募、培训恐怖分子等，都会在网络空间遗留录音、录像等视听资料，遗留资金往来的明细，以及通过网络招募、培训恐怖分子的相关网络信息痕迹等。

3.视频数据信息。不论是有组织恐怖犯罪，还是“独狼式”恐怖犯罪，都是在一定的时空条件下完成的，都会被不同时空条件下的视频监控系统所“记录”。实施恐怖犯罪之前的一系列预谋活动，如了解有关人员的活动规律，选择作案目标，准备作案工具等，会被预备活动时空下的视频监控系统所“记录”，遗留下预备活动的视频信息痕迹。在恐怖犯罪过程中，由于犯罪行为人一般都是在公共场合实施恐怖犯罪行为，所以必然会在犯罪现场及其周围地区的视频监控系统中遗留视频信息痕迹。恐怖犯罪行为实施完毕后逃离犯罪现场过程中，犯罪行为人的逃离轨迹也会被沿途的视频监控系统所“记录”，遗留下犯罪行为人的视频信息痕迹。

此外，在恐怖犯罪案件中，犯罪行为人前往同伙居住地、恐怖犯罪实施地、购买恐怖犯罪工具地，乘坐汽车、火车、飞机、船舶等交通工具的购票数据信息，住宿数据信息，以及犯罪行为人所使用的各类磁卡，如加油卡、银行卡、地铁卡、购物卡等所包含的数据信息等，也是重要的信息痕迹类侦查要素。

二、恐怖犯罪案件侦查的大数据方法

当前，在恐怖犯罪案件侦查中，常用的大数据方法主要有：数据搜索法，数据碰撞法，数据挖掘法，数据画像法，犯罪网络关系分析法，等。

(一)数据搜索法

在恐怖犯罪案件侦查中，数据搜索法主要有以下几种：

1.数据库搜索法。数据库搜索是指将犯罪现场获取的各种物品、痕迹、生物检材、视频资料或者其鉴定结果，输入数据库进行人工搜索或者自动搜索，在数据库中查找出与犯罪现场获取的物品、痕迹、生物检材、视频资料，或者其鉴定结果相同及相似的结果，进行同一认定。

恐怖犯罪案件，不论是有组织恐怖犯罪还是“独狼式”恐怖犯罪，不论是针对特殊个人或者特殊群体还是针对普通民众的恐怖犯罪，犯罪行为人在实施恐怖犯罪行为时，大多会使用爆炸、放火、枪击、砍杀等方法，都会在犯罪现场遗留各种侦查要素，如物品、痕迹、生物检材、视听资料等。将在犯罪现场发现、搜集、提取的各类侦查要素，或者其鉴定结果，输入公安机关或者其他相关机关的数据库，大多能够搜索出恐怖犯罪案件侦查所需要的侦查要素，为侦破恐怖犯罪案件提供线索或者提供侦查方向。

2.互联网搜索法。网络数据以半结构化、非结构化形式存在于各个网页、网站的数据库或者存储系统以及暗网中，以视频、音频、文本(字)、图像、数据等形式表现出来。根据查询的需要，搜索者可以在互联网搜索区域或者网页输入关键词或者其他搜索元素，通过搜索引擎技术或者专门搜索软件，在互联网存储的海量数据信息中查询自己所需要的数据信息，并对相关数据信息进行排序，这种方法就是互联网搜索法。

在恐怖犯罪案件侦查中，互联网搜索法是常用的搜索方法。在互联网搜索引擎中输入犯罪嫌疑对象的名字或者其他关键词等，大都能够搜索到嫌疑对象的相关个人数据信息，甚至是较为深层次的个人数据信息。在互联网搜索引擎中输入犯罪现场获取的物品、痕迹、生物检材、视听资料，或者其鉴定结果等侦查要素，有时还能够搜索到犯罪行为人在互联网上进行各种恐怖犯罪行为所遗留的痕迹，如通过互联网购买犯罪工具、物品，通过互联网进行极端主义、恐怖主义宣传、洗脑等活动的遗留痕迹。在互联网搜索中，在搜索引擎中输入的侦查要素，或者其他关键词越多，搜索的范围就越大，搜索到的与恐怖犯罪案件有关的可供查询的结果也就越多。

3.“人肉搜索”法。总的来说，“人肉搜索”是互联网搜索法的一种，但“人肉搜求”又不同于一般的互联网搜索法，它有自己的独特形式、内容和操作方法。“‘人肉搜索’是一种在互联网上，通过发帖、跟帖、收帖的方式，查找案(事)件真相的网络搜索方法。”[2]

在恐怖犯罪案件侦查中，为了找到案件知情人或者目击者，查明案件事实或者犯罪行为人，可以采取“人肉搜索”法展开侦查。具体做法为，在互联网上发帖，将恐怖犯罪案件的有关信息在互联网上公布，如在互联网上公布恐怖犯罪案件犯罪行为人的视听资料，对犯罪行为人的身份进行辨认等，要求知情者或者目击者跟帖。知情者或者目击者根据互联网上发帖求解的内容，以跟帖的方式将自己了解的、与发帖求解内容有关的案件情况，反馈给发帖者。根据知情者或者目击者回帖反馈的与案件有关的数据信息，侦查人员可以分析、查找恐怖犯罪案件侦查线索，搜集恐怖犯罪案件证据材料，甚至直接抓获恐怖犯罪案件犯罪行为人，侦破恐怖犯罪案件。

(二)数据碰撞法

在恐怖犯罪案件侦查中，数据碰撞法主要有以下几种：

1.话单数据碰撞法。话单是通话人各类数据信息的载体，能够反映通话人之间的关系以及通话的时间、地点、时长等内容。话单数据碰撞就是将同一时空条件下不同人的话单数据进行碰撞，或者将不同时空条件下的同一人或者不同人的话单数据进行碰撞。

在恐怖犯罪案件中，犯罪行为人实施恐怖犯罪行为，需要经历不同的犯罪阶段，在不同的犯罪阶段进行不同的活动。不论是在公开场合还是在隐秘场合实施恐怖犯罪行为，犯罪行为人只要使用手机或者其他通讯工具，都会在不同的时空条件下或者同一时空条件下即犯罪现场遗留各种话单数据信息。因此，恐怖犯罪案件发生后，通过勘查犯罪现场及其周围地区的通讯机站，能够搜集和调取到特定时间段内通过该通讯机站打出、打入的手机的话单数据或者漫游到该通讯机站的手机话单数据，从而可以对这些话单数据进行数据碰撞。

2.网络数据碰撞法。网络数据是上网人在互联网遗留的各种数据信息，主要是指上网人的网络活动过程或者活动结果，包括上网时间、上网地点、在网时长、浏览网页，以及在网络空间中进行过哪些网络行为等内容。网络数据碰撞就是将同一个人或者同一伙人在不同时空条件下的网络数据进行碰撞。

在恐怖犯罪案件中，许多恐怖犯罪的准备行为、实施行为，甚至是犯罪实施完毕后的一些行为都是在网络空间进行的。例如，犯罪行为人通过互联网平台购买犯罪工具、物品，通过互联网传播视频资料宣传极端主义、恐怖主义思想，通过互联网培训恐怖分子，犯罪实施完毕后在互联网上渲染恐怖犯罪效果，等等。犯罪行为人只要通过网络实施恐怖犯罪行为，就会在网络空间遗留各种网络数据信息，对犯罪行为人遗留的各种网络数据信息，可以依据一定的标准进行网络数据碰撞。

3.车辆数据碰撞法。车辆数据，包括车辆本身的数据、车载系统记录的各种车辆数据、其他系统记录的车辆数据，以及外力或者人的行为产生的车辆外在数据，如车辆本身的车架号、发动机号，视频监控系统、电子围栏系统记录的车辆数据，车辆碰撞后产生的与车辆有关的保障理赔数据、车辆修理数据等。对各种车辆数据及其相关数据的碰撞就是车辆数据碰撞法。

在恐怖犯罪案件中，利用车辆实施犯罪行为的越来越多。例如，犯罪行为人驾驶装载汽油或者炸药的车辆，在公共场所或者人流密集的地方进行恐怖袭击，恐怖袭击后驾驶车辆快速逃离恐怖袭击现场，或者利用车辆远程奔袭发动恐怖袭击，等等。因此，在恐怖犯罪案件侦查中，常常运用车辆数据碰撞法查找作案用的车辆，或者确定恐怖犯罪案件犯罪行为人的人数。在车辆数据碰撞过程中，车辆数据碰撞法又可分为车辆本身的数据碰撞法，车辆本身的数据与其他相关数据碰撞法等，如将手机数据与车辆数据进行碰撞，将不同时空条件下的车辆视频数据进行碰撞等。

4.视频数据碰撞法。视频数据碰撞法是指将不同时空条件下发生的恐怖犯罪案件犯罪行为人或者犯罪现场背景的视频数据，或者同一时空条件下的同一个犯罪行为人、同一伙犯罪行为人实施恐怖犯罪行为的视频数据，或者犯罪现场背景的视频数据进行碰撞，以查找恐怖犯罪案件线索或者辨认、确定犯罪行为人的方法。

恐怖犯罪案件既可能发生在公共场合，如汽车站、火车站、商场、广场，也可能发生在私人场所，如某个特定个人或者特定群体的家中或者居所等。在视频监控系统日益普及的今天，不论犯罪行为人是在公共场合还是在私人场所实施恐怖犯罪行为，都会在犯罪现场或者在进入犯罪现场的途中遗留各种视频数据。同时，有些恐怖犯罪案件是同一个犯罪行为人或者同一伙犯罪行为人在不同的时空条件下实施的，每一次实施恐怖犯罪行为都会在犯罪现场及其周围地区的视频监控系统中遗留犯罪行为人的视频数据。如果是团伙实施恐怖犯罪行为，犯罪行为人在聚集过程中，或者在聚集地点也会遗留视频数据。对上述各种类型的视频数据，依据一定的时空条件要素，可以进行视频数据碰撞。

(三)数据挖掘法

在恐怖犯罪案件侦查中。数据挖掘法主要有以下几种：

1.手机数据挖掘法。手机数据挖掘包括以下几种：

(1)手机及其软件数据挖掘。手机数据挖掘时，除了要提取手机版本、电话号码、识别码等基本数据信息外，还需要提取手机上的安装软件，如APP软件版本、路径数据等基本数据信息。

(2)手机通讯数据挖掘。这种挖掘是指对犯罪行为人及其相关人员的手机通讯数据，包括每日通话频率、时段通话频率、通话地点、通话时间、通讯方式等通讯数据的挖掘。挖掘手机通讯数据，可以弄清犯罪行为人及其相关人员手机通讯的基本情况，如每日的通话次数，通话的时间、地点，通话的时长，以及犯罪行为人使用短信、微信、QQ及其他网络通讯平台的情况，使用频率的高低变化情况，等等。

(3)地理位置数据挖掘。这种挖掘是凭借手机存储的位置信息、照片，或者网站、第三方软件存储的位置信息，挖掘犯罪行为人及其相关人员所在的地理位置数据。这种挖掘主要有两种方式：一是根据微信、微博、照片的定位功能，挖掘犯罪行为人及其相关人员的活动轨迹；二是汇集所有的地理位置数据信息，并进行时间上的排序，挖掘并还原出犯罪行为人及其相关人员在某一时段内，或者在某一时期内的活动轨迹。

2.话单数据挖掘法。话单数据挖掘就是对犯罪行为人及其相关人员的手机话单的面上数据进行深度挖掘，探求话单面上数据背后的规律性和深层次侦查要素，如犯罪行为人及其相关人员的活动轨迹、隐秘的人际关系和其他隐秘性情况等内容。

在恐怖犯罪案件侦查中，话单数据挖掘主要有以下几种：

(1)开户信息挖掘，是指通过挖掘犯罪行为人及其相关人员的手机号码以及相关数据信息，查明恐怖犯罪案件犯罪行为人及其相关人员的开户信息，如套餐业务、姓名、身份证号码等的方法。

(2)地理位置数据挖掘，是指通过对号码归属地、基站位置等数据的挖掘，查明恐怖犯罪案件犯罪行为人及其相关人员的地理位置，如居住地、户籍地等。

(3)人物关系与活动轨迹挖掘。在恐怖犯罪案件中，犯罪行为人及其相关人员之间的通话频率、通话时长，能够反映出犯罪行为人及其相关人员之间的关系程度。对犯罪行为人及其相关人员在恐怖犯罪过程中的通话频率，通话时间长等的挖掘，基本上可以判定通话各方在恐怖犯罪中的地位以及他们之间的相互关系。通过对话单数据信息，如号码归属地、基站代码的串联、挖掘，可以查明恐怖犯罪案件犯罪行为人及其相关人员在实施恐怖犯罪过程中各个阶段的活动轨迹。

3.网络数据挖掘法。网络数据挖掘法是指对犯罪行为人及其相关人员的网络活动遗留的数据信息进行挖掘的方法。

在恐怖犯罪案件侦查中，网络数据挖掘主要有以下几种：

(1)搜索引擎挖掘。当下，犯罪行为人利用网络实施恐怖犯罪行为已是常态，一些恐怖犯罪案件就是在网络空间完成的，或者是借助网络空间完成的。例如，利用网络宣传极端主义、恐怖主义，通过网络组织、领导、参加恐怖组织等。犯罪行为人在网络空间实施恐怖犯罪行为，大多会注册电子邮箱，利用邮件、微博、微信、QQ账号、游戏账号或者其他网络平台等。因此，在恐怖犯罪案件侦查中，通过搜索引擎输入关键词或者利用专门搜索软件进行检索，大都能够搜索、挖掘出与恐怖犯罪案件有关的数据信息。

(2)QQ、微信、E-mail账号挖掘。目前，申请QQ、微信、E-mail账号已经采取实名制，申请后的账号具有唯一性特征，其基本数据信息大致能够反映申请者的基本情况。在恐怖犯罪案件侦查中，挖掘犯罪行为人的QQ、微信、E-mail账号等基本数据信息背后的深层次侦查要素，定位犯罪行为人的QQ、微信、E-mail账号，查明各种账号的联系内容，大都能够获取恐怖犯罪案件的侦查线索，发现甚至直接锁定恐怖犯罪案件犯罪行为人。

(四)犯罪网络关系分析法

大数据时代，“以用户为中心，根据该用户与其他网络用户的联系频率、互动频率、兴趣相似度、共同好友数量等指标建立联系，并根据这些指标测算出不同用户之间的关系强弱”[3]。也就是说，在大数据时代，可以通过数据挖掘技术来完成犯罪网络分析，自动分析犯罪成员间的互动关系，识别出核心人物、中介性成员等。

大数据时代，手机数据、话单数据、网络数据、视频数据等，为犯罪网络关系分析提供了海量数据来源与支撑。这种通过大数据技术对各种数据资源进行自动分析、识别并得出一定结果的过程，就是大数据时代的犯罪网络关系分析法。

随着全球恐怖主义威胁的日益严重，“目前越来越多的机构开始研发专门针对恐怖犯罪网络分析的数据挖掘方法，如美国卡内基隆大学基于贝叶斯算法研发的NETEST工具，亚利桑那州立大学通过极端主义论坛活动来构建恐怖犯罪网络关系，南加利福尼亚州大学通过相似性算法，寻找与恐怖分子具有相似性的对象等方法”[4]。

三、大数据方法在恐怖犯罪案件侦查中的应用

(一)数据搜索法的应用

恐怖犯罪的过程，就是一个与犯罪行为人有关的各类数据的生成过程，这一过程涉及现实空间与虚拟空间。在现实空间，犯罪行为人实施恐怖犯罪行为时，会遗留物品、痕迹、生物检材等数据资料；在虚拟空间，则会遗留下各种信息痕迹。

在恐怖犯罪案件侦查中，对于实体现场获取的物品、痕迹、生物检材及其鉴定结果，可以输入公安机关数据库，或者利用其他相关数据库进行数据搜索，以获取恐怖犯罪案件侦查需要的数据信息。对于犯罪行为人在虚拟现场遗留的各种信息痕迹，如犯罪行为人的上网记录，使用QQ、微信、二维码的记录等，则可以通过搜索引擎或者专门搜索软件在互联网中进行数据搜索，以获取恐怖犯罪行为人及其相关人员的数据信息。目前，在组织、领导、参加恐怖组织犯罪、资助恐怖主义犯罪等案件侦查中，已经广泛应用数据搜索法在网络空间、公安机关数据库及其他相关数据库中进行数据信息搜索，甚至是多次反复进行搜索，这对于查明和判定一些恐怖犯罪案件中的犯罪行为人及其相关人员的基本情况，对于查找恐怖犯罪案件侦查线索，或者确定恐怖犯罪案件侦查方向，常常能够起到非常重要的作用。

(二)数据碰撞法的应用

在恐怖犯罪案件侦查中，网络数据、话单数据、视频数据、车辆数据等，都可以用来碰撞比对。既可以在同一数据集中选择相同性质的次数据集进行碰撞，也可以在不同的主数据集之间进行碰撞。如将同一地点不同时段或者不同时期的视频轨迹数据进行碰撞、将车辆轨迹数据与视频轨迹数据进行直接碰撞等。

在恐怖犯罪案件侦查中，应用数据碰撞法可按以下步骤：首先，确定查找对象。数据碰撞的目的，是为了查找恐怖犯罪案件的侦查线索或者解决其中的某个关键问题，如厘清犯罪行为人及其相关人员的身份信息、行为轨迹等。其次，筛选相关数据集。恐怖犯罪案件常常涉及多个数据集，但并非每个数据集都是碰撞对象，必须根据查找对象的需要确定一定时空范围的相关数据集。例如，根据已知恐怖犯罪案件犯罪行为人的活动轨迹，可以调取相关区域的视频数据。再次，碰撞比对选取的数据集。数据集之间的碰撞比对，需要在选取的数据集之中进行两两碰撞或者多个数据集同时碰撞，碰撞出的交叉数据往往能够说明数据之间的同一性或者关联性，其就可能是可疑目标数据。第四，根据恐怖犯罪案件的具体案情，对可疑目标数据进行深入的分析、研判，掌握更多的恐怖犯罪案件线索，明确恐怖犯罪案件的侦查方向。

(三)数据挖掘法的应用

数据挖掘法的运用，实际上是通过数据挖掘技术实现的。目前，常用的数据挖掘技术主要有：(1)关联性分析，即通过不同数据项之间的关联性分析，找出不同数据项之间的关系。(2)分类分析，即根据数据的特征，为每个类别建立一个模型，根据数据的属性将其配置到不同的组别之中。(3)聚类分析，即将数据集中具有相似性的数据聚集在一起。(4)时序分析，即加进时间因素进行关联分析，找出数据在时间上所呈现的规律。五是异常分析，即找出数据集中明显不同于既定模式的数据。

在恐怖犯罪案件侦查中，可以运用一种或者多种数据挖掘方法，对案件中的相关数据进行挖掘。例如，组织、领导、参加恐怖组织犯罪，犯罪行为人要组织、领导或者参加恐怖犯罪组织，组织者、领导者、参加者之间必须要进行联系，而手机则是犯罪行为人及其相关人员之间沟通、联络的重要工具。通过关联分析法，对犯罪行为人及其相关人员的通话次数、通话时长、通话频率、通话地点等进行关联分析，大致能够判定犯罪行为人及其相关人员之间的关系，以及各自在通话关系中的地位。在不同的通话关系中，如果多数人经常给某一个人打电话，或者某一个人经常给多数人打电话，基本上就可以判定某一个人为恐怖犯罪活动的组织者或者领导者；通过对同案的多个犯罪行为人话单数据的同时挖掘、比对，还可以分析出共有联系人等信息，为了解同案中的人物关系提供依据。

再如，犯罪行为人在实施恐怖犯罪行为之前，都要为实施恐怖犯罪行为做必要的准备，这一时段内犯罪行为人之间，犯罪行为人与其他相关人员之间的通话时间、通话时长、通话频率、通话地点等，都可能与平时不一样，通过异常数据集的挖掘、分析、比对，可以发现特定时段内犯罪行为人及其相关人员之间通话的内在规律性，从而获取案件侦查线索，直接锁定或者抓获犯罪行为人，侦破恐怖犯罪案件。

(四) 犯罪网络关系分析法的应用

在恐怖犯罪案件中，除了“独狼式”恐怖犯罪外，恐怖犯罪大多是有组织的，犯罪行为人及其相关人员在实施恐怖犯罪行为之前、之中、之后，都会在不同时空条件下遗留各种侦查要素，如手机数据、通讯数据、网络数据、视频数据等，利用这些侦查要素能够分析恐怖犯罪成员之间的网络关系。

对恐怖犯罪网络关系进行分析，通常遵循以下步骤：一是确定初始人物节点。在有组织恐怖犯罪案件中，可以将几个犯罪行为人作为突破口，绘制出数个初始节点。二是一级犯罪关系网络分析。通过对初始人物的社会关系、人物关系的监控，绘制出以其为核心的关系图，寻找与之有着密切联系的关系人。三是联系强弱程度分析。根据相关指标模型，分析各犯罪行为人之间的亲疏关系。四是二级犯罪网络关系分析。即再以一级犯罪网络中与核心人员关系密切的其他可疑人员为核心，绘制二级人际关系图。通过这样层层扩大的方法，最终绘制出完整的恐怖犯罪网络关系图。例如，“美国国家安全局曾在‘9·11’恐怖犯罪发生以后，根据AT&T，Verizon,BellSouth三家美国电信公司的通讯记录，绘制出了恐怖活动犯罪网络图，……，处于中间位置、连线数量较多的人物为Mmohamed Atta、Hani Hanjour、Marman Al-Shehhi、Nawaf Alhazmi等，他们恰恰都是在‘9·11’恐怖袭击中的重要参与者。试想，若是及早发现这些恐怖分子之间的联系，或许就能够阻止这一场灾难了”[5]。