在网络信息环境下，作案人实施网络犯罪行为首先要借助于电子设备，电子设备则进一步通过数据信息的变换与交换去实现具体的行为。电子设备是作案人实施整个犯罪行为时在传统时空环境下所使用的工具，数据信息则是电子设备表达具体行为时在网络信息环境下所使用的工具。作为行为的工具，电子设备和数据信息都可能含有因使用工具所遗留的、反映行为主体身份的客体特征。此外，行为是特定主体的行为，行为痕迹也可能含有反映行为主体身份的客体特征。故，从理论上讲对网络犯罪主体进行同一认定，可以从电子设备、数据信息、行为痕迹这三类客体特征而展开。

以电子设备为中介的同一认定，是指通过收集电子设备的硬件系统（计算设备、网络设备、存储介质等）和以操作系统为代表的软件系统的特征信息来认定网络信息行为人的方法。以电子设备为中介的同一认定，主要有外观信息认定法、系统信息认定法和地址信息认定法。前者纯粹是传统时空环境下的同一认定问题，后二者则涉及网络信息环境的问题。

以电子设备为中介的同一认定，其优点是能够同时解决网络信息环境与传统时空环境的主体同一问题，因为电子设备既是传统时空环境的组成部分，也是网络信息环境的组成部分。同时，这种认定方法的缺点也是十明显的，即这种方法的运用必须依赖于对作案电子设备的审查，如果找不到电子设备或者读取不到数据也就无法运用这个方法。实际上，这已经从客观条件上极大限制了这种方法在网络犯罪侦查中的运用。

与以电子设备为中介不同，以数据信息为中介的同一认定完全有可能摆脱对作案人电子设备的审查依赖。它是通过分析各种类型数据信息以及相关应用程序、代码指令等，以其中所含有的特征信息来认定网络信息行为人。显然，这种认定方法所基于的数据信息不仅可以是来自作案人的电子设备，也可以是来自网络服务器或行为对象的电子设备。这就使得这种同一认定方法具有更大的适用空间。

根据特征信息的数据形式不同，这种同一认定方法又可以进一步区分为密码认定法与明文认定法。前者所依据的特征信息是一种包含密码变换算法的加密信息，后者则是人们可以直接识别的“明文”。一般来说，采用密码认定法更有利于确定个体身份，因为作为加密的特征信息特定性更强，因而特征质量相对较高。

密码用于信息的加密，它的目的是只让某些特定的人知道或利用特定信息的内容，即解密。密码学领域根据加密方与解密方所使用的密钥是否相同，将密码进一步区分为对称密码与非对称密码，这是对密码信息本身所采取的不同安全策略。密码在信息上的对称性与不对称性及其程度直接决定了密码的安全可靠性，也直接决定了密码特征信息的特定性及其强度。根据密码表现形式的不同，密码认定法又可以分为电子签名认定法、应用账户认定法、代码指令认定法。

密码认定法的优势是十分明显的。由于加密变换算法的介入，加密特征信息对一般人而言具有较高的信息不对称性，因而这种特征信息在特定性与稳定性上质量相对较高。它的劣势在于反映性较差。在网络犯罪中，且不论加密特征信息本身数量很少，它们还容易因为识别不了而无法收集运用。

与密码认定法相比，明文认定法具有普遍适用性，而且明文特征信息往往具有十分明显的数量优势。这是因为，明文特征信息具有更好的反映性、更容易识别，因而可以被大量发现与收集。利弊同源，明文特征信息也因为容易识别，因而需要考虑伪造变造的可能性，这往往就影响了特征信息在特定性与稳定性上的质量。

明文认定法主要有日志数据认定法、数据内容认定法以及碎片数据认定法。日志数据认定法是指以系统日志、应用日志、网络交换日志等记录性数据之中所包含的特征信息来认定网络信息行为人的方法。数据内容认定法最易理解，它是因数据内容本身具有某种身份指向的特征信息而可用以认定网络信息行为人。这种认定方法所基于的数据内容一般要有足够强的私密性或保密性，即只有特定的行为主体才能知道或使用。碎片数据认定法，也称为“临时数据认定法”，它是通过分析计算机运行过程中所形成的临时性数据及其所包含的特征信息来认定网络信息行为人的方法。

在网络信息环境下，信息的不对称性往往决定了特征的特定性，信息的对称性则往往决定了特征的可识别性即反映性，反映性好的特征信息又潜伏着稳定性问题，因而特定性、反映性与稳定性之间存在着紧张的矛盾关系。就以加密特征信息而言，它的特定性可能很好，但是可识别性可能很差；就以明文特征信息而言，它的可识别性可能很好，但是可能由于稳定性不足（数据信息容易被伪造与变造）而导致特定性不强。在加密特征信息相对较少、明文特征信息占据主流的情况下，网络信息环境下的特征信息在总体上存在着量增质减的趋势。

与来自行为工具的特征信息不同，以行为痕迹为中介的同一认定，是指以行为本身的历史痕迹来认定网络信息行为人的方法。这些行为痕迹既可以来自行为人电子设备，也可以来自网络服务器或对方电子设备。例如，通过涉案电子邮件的前后邮件来认定行为人、通过聊天记录的上下文来认定行为人。这是根据行为痕迹在时空上的特征来认定行为人。这种认定方法的可靠性往往取决于能否排除网络时空环境对行为过程的影响。换言之，如果能够排除网络入侵对电子邮箱或聊天账户在时间连续性与空间排他性上的影响，那么这种认定方法就具有较高的可靠性。如果不能排除，它们就可能失去了时空条件的逻辑基础。再如，在前文所述的网络入侵案中，也有行为痕迹的运用。作为关键特征信息，账户使用在连续时间内同机器（IP地址）登录，这本身就是行为痕迹在时间与空间上的交叉关联。显然，判断这种犯罪手法特征是否可靠，首先要评估网络时空特性对行为过程的影响。在该案中，由于已经通过种类认定的方法排除了外网范围的空间影响，而内网用户数量本身又不多，因此按照行为过程的时间连续性来推断行为主体是可行的。

网络犯罪主体认定的首要任务就是解决如何在网络信息环境下全面收集特征信息的问题。其次是面对大量特征信息如何进行评估与运用。特征信息在质量上的减弱，决定了网络犯罪主体认定主要是基于种类认定而展开，通过种类认定在数量上的不断增加而趋向于同一认定。因而，在种类认定不断展开过程中以及最终的同一认定结论中，还会涉及确定性的程度变化及其描述问题。

在网络信息环境下，特征信息不仅数量极多而且分布范围很广，特征信息的发现与收集是一项十分严峻的技术工作。就单机电子设备而言，特征信息的数据类型就已经很多。电子设备是一个非常复杂的体系性系统，它往往是由硬件系统（计算设备、网络设备、存储介质等）与软件系统（操作系统、应用程序、代码指令等）两部分组成。从信息技术原理上讲，电子设备在通过数据信息表达具体行为时必须经过操作系统、应用程序及代码指令依时序地逐层运算才能得以实现。电子设备中不仅有静态的数据信息，还有动态的数据信息。前者如，操作系统、应用程序、代码指令等软件数据，实时记录的日志数据信息，以及行为人所意欲传播或记录的数据信息内容等。后者如，正在内存中执行的程序指令数据、正在传输的网络中继数据，以及正在计算的数据信息等。此外，还存在着一些时而静态、时而动态的特殊数据信息，如账户密码、证书密钥等。以上各种类型的数据信息在一定情况下都有可能成为认定网络犯罪主体的特征信息。显然，电子设备的系统性客观上导致了特征信息在数量上的增加，即不同环节的技术处理会导致更多（不同）特征信息的产生。

即使是相同特征信息，它们也存在着总量上增加的趋势，即相同特征信息在更多的地方出现。网络信息技术本质上是一种信息传播技术，网络信息环境下的具体行为在技术上是通过数据信息的不断“复制”与“传播”而实现的。作为一种数据信息的特征信息，它同样会不断“复制”与“传播”，这就导致了相同特征信息在总量上的增加。这种现象不仅表现在单个电子设备之内，也表现在网络信息系统之间。也就是说，特征信息广泛地分布在网络信息系统的各个环节。

在收集到大量特征信息之后，就要对它们的特定性、稳定性乃至反映性进行全面的分析与评估。如前所述，特征的特定性价值是由该特征的出现率所决定的，因而对特定性的评估主要是分析特征信息在主体指向性上的强弱。对稳定性的评估主要是判断特征信息从案件发生到提取为止这个“必要时间”内是否发生变化。对特征信息的反映性评估则是为了判断是否存在伪造变造的可能性及其大小，而不是为了判断特征信息的反映性本身，这是因为如果没有反映性这个特征信息自然就不会被收集得到。

在网络信息环境下，对特征信息的组合分析比对单个特征信息的质量评估更为重要。如果仅仅是从孤立的特征信息来看，考虑到网络信息技术的固有特性，几乎每个特征信息都可以或可能被伪造或变造。但是，如果将很多特征信息进行比较分析、综合分析，就会发现很多特征信息之间能够形成互相支撑或互相排斥的关系，最终可以形成一个整体的特征组合。

网络信息环境下犯罪主体的认定主要是通过种类认定的多次反复运用而达成。比如，在上述网络入侵案中，侦查人员首先通过作案的时间特征把网络入侵主体限定在内网登陆；然后通过作案的对象特征把网络入侵主体限定在刚刚入职和离职的员工范围；最后通过作案的手法特征确定了网络入侵主体所使用的作案电脑。这都是不断展开环环相扣的种类认定。当然，如果本案中能够找到作案电脑，这种种类认定还会继续开展下去并得到最后的同一认定结论。

然而，如果不能找到作案电脑，继续开展种类认定就失去了特征信息的来源与中介。在此情形下，从最后一次种类认定到最终的同一认定只能借助于信息对称性与不对称性的思维方法来完成。对称性与不对称性的研究抓住了物质作用和信息作用的共同本质，沿着这种思维路径，人们在认定网络犯罪主体时有可能走出对实体物质的依赖。这种依赖不仅包括对类似作案电脑这种“物”的审查需求，也包括对作案人“人身”的审查需求。换言之，借助于信息对称性与不对称性，人们有可能跳过对作案工具乃至作案人等实体物质的审查依赖，径直完成对网络犯罪主体的同一认定。

同一认定结论有确定性和非确定性之分，这主要是由客体特征的性质所决定的。一般来说，某同一认定所依据的特征组合具有很强的特定性、稳定性和反映性，那么该同一认定的结论就是确定性的；反之，则属于非确定性同一认定。不论作为类型来讨论还是作为个案来讨论，在特征信息量增质减的技术现实下，网络犯罪主体的认定主要是通过种类认定的多次反复运用以及信息对称性与不对称性思维来完成。在这种确定的方法路径下，同一认定结论的确定性程度评断是一个至关重要的问题。

一方面，在多次反复运用种类认定的过程中，需要对每一次的种类认定及其结论的确定性程度进行评断。这种评断不仅与本次种类认定的特征信息有关，也与上一次种类认定所确定的范围有关。另一方面，信息对称性与不对称性的综合判断也需要通过确定性程度来衡量。比如，前述网络入侵案中，信息对称性与不对称性的综合判断主要是基于页面地址的特定性与私密性、苹果电脑的系统封闭性与技术入侵可能性、涉案员工与被冒用账户高管的特殊关系等。然而，页面地址是否具备足够的特定性与私密性，这是一种技术经验的判断；涉案员工与被冒用账户的特殊关系，这是一种管理经验的判断；而对苹果电脑是否会被技术入侵及其可能性程度的判断，更是有赖于司法人员的专业认知。因而，信息对称性与不对称性的综合判断本身就存在概然性程度的确定问题。可以说，不同认知基础的司法人员所得出的确定性结论本身在程度上就可能不尽相同。

总之，犯罪与侦查之间存在着博弈伴生的关系。同一认定既是犯罪侦查的基本认识方法，又是查证案件事实的具体方法。就每一起犯罪案件的查证而言，作案人的同一认定是最终目标，而这一目标的达致往往还要经由一些具体案件事实要素的同一认定或种类认定。科技手段与思维方法的良好结合才是“道高一丈”的保障。