雙軌制網絡傳銷案的電子證據分析與評析

王寧 姚 潔 吳華東 麥永浩

1.湖北警官學院 2.湖北省漢川市公安局3.電子數據取證湖北省協同創新中心

一、前言

近年來，以花錢報單、只要發展兩線便可獲利，參與團隊計酬、消費積分返利的雙軌制網絡傳銷以迅猛的速度在全國蔓延。雙軌制網絡傳銷與實物推銷[2]、廣告點擊、mim模式、廣告提成等網絡傳銷的運作模式有所不同，更具隱蔽性、欺騙性。該類傳銷案的組織結構、基本運作模式、會員人數、分布區域、涉案金額等相關證據均保存在網絡中，涉及電子證據多，而且數據量大、相互之間的關系復雜，給公安機關偵破雙軌制網絡傳銷案件帶來取證難、定性難、打擊難等偵破難點。

筆者以一個具體案例為例，對雙軌制網絡傳銷案的取證方法進行了闡述，尤其重點對電子證據的分析進行了詳細闡述，并總結了此類案件電子證據的獲取和分析的關鍵點。

二、雙軌制網絡傳銷案電子證據的獲取與分析——以具體案件為例

2013年11月，漢川公安局網安大隊接到群眾反映，其通過互聯網購買了河北某生物科技有限公司的乙連清產品，并注冊成為該公司的會員，該公司的市場計劃和營銷運作模式疑似非法傳銷活動。經公安機關偵查發現，“河北某生物科技有限公司”利用互聯網發展會員并推廣其公司產品（產品種類有“乙連清、乙連美、乙連通”等七種），該公司采取夸大產品功效來吸引消費者購買其產品，購買產品后再網上注冊成為公司會員，再通過會員發展下線會員、銷售產品返利、重復計酬等模式進行運營。經進一步偵查發現，這是一起以電子商務網站（Http://hyzcw.com）為幌子，靠發展下線會員牟取利益的典型網絡傳銷案件。2014年5月，漢川公安局開展集中收網行動，抓獲該團伙成員11名，扣押、凍結資金400余萬元，一舉摧毀了該傳銷組織。

（一）案件證據的獲取

為獲取該公司網絡后臺的數據等重要證據，漢川公安局首先獲取了該公司后臺管理人員的管理員登錄賬號、密碼、登錄的網站網址，并全面復制、拷貝登錄后網站網頁的全部信息，同時對整個調取證據的過程進行全程錄像。其次進一步通過該公司網站服務器的托管服務商獲取了其服務器硬盤中存有該網絡傳銷案通過互聯網向所有成員和管理員開放的會員網絡辦公系統，提取了該會員系統網站全部的數據庫數據、源代碼文件。然后根據網站源代碼文件配置文件php顯示，搭建會員網絡辦公系統的Mysql+Apache+PHP本地運行環境。

因此用于案件證據分析的電子證據源就有三個：互聯網上運行會員網絡辦公系統提取出的會員資料、獎金發放資料、店鋪資料等；本地運行網站提取出的會員資料、獎金發放資料、店鋪資料等；托管服務商提供的該會員系統網站全部的數據庫數據、源代碼文件，圖1顯示了互聯網和本地環境運行的會員網絡辦公系統。

（二）證據分析

1．會員接點人組織關系分析

其目的是分析會員的上下級接點關系，用于揭示會員的內部組織結構關系。依次對互聯網和本地環境運行的會員網絡辦公系統提取出的會員資料表、Mysql數據庫dg_users表的數據庫字段進行過濾篩選出會員號、接點人、區位三個字段的數據列表。由于一個接點人對應的會員號有1個或2個，該會員號作為接點人對應的會員號有1個或2個，循環遍歷數據采用Visual C++編程或直接采用Microsoft Office Visio2007的組織結構向導，分析結果均顯示會員接點人組織結構關系具有二叉樹結構，圖2顯示了分析過程。

2．獎金發放規則分析

其分析目的是揭示該會員網站多樣化的獎金發放規則。分析過程是使用網站管理員賬號、密碼登錄本地運行網站，結合網頁顯示內容和網頁源碼語句確定數據庫中對應的表名、字段名之間的關系；進入網站主頁面后點擊對應的獎金發放功能模塊，通過鼠標指向，找到所指向的php文件和傳遞的變量，進一步分析該指向php文件的程序代碼，找到具體獎金發放規則的php源程序文件（1_do.php）；結合Mysql數據庫表中字段和數據，具體分析獎金發放規則的php文件的程序執行程序和功能，確定獎金是以何規則發放。圖3顯示分析過程。

3．發展軌跡分析（會員人數分析）

統計分析每天會員在左右兩區（圖2顯示的會員組織結構）的人數變化，用于揭示該傳銷網站會員的發展軌跡。分析過程是依次對互聯網和本地環境運行的會員網絡辦公系統提取出的會員資料表、Mysql數據庫dg_users表的會員總人數進行統計分析。同時對這三個證據源的會員數據過濾篩選出會員號、區位、注冊時間的數據列表，進行每天會員人數的統計分析，用于揭示該傳銷網站會員的發展軌跡。圖4顯示了部分統計分析結果。

4．其它分析

依次對互聯網和本地環境運行的會員網絡辦公系統提取出的會員資料表、Mysql數據庫dg_users表的數據庫字段進行過濾篩選出會員號、推薦人的數據列表，進行會員推薦人層級關系分析，并結合會員接點人層級關系，揭示推薦人如何將新發展的會員安排在推薦人自己作為接點人的下級或下下級接點的過程，并如何參與團隊計酬。通過對提取出的獎金發放資料表、數據庫中數據統計分析，得出各省市自治區的總人數和獎金發放總額等。

（三）案件評析

電子證據的分析結果顯示此案涉及面廣，涉及北京、天津等31個省份，以及澳門特別行政區、臺灣地區、日本和俄羅斯，涉案總人數20311名，涉案獎金發放總額86993415.67元。該案的網絡傳銷過程中，消費者花錢報單就可成為會員，成為會員后只要發展兩線，并且上線將發展的會員不斷安排在下線，便可獲取管理獎，參與層碰、對碰獎，參與團隊計酬，并可進行無限代領取獎金。

相對于傳統意義的網絡傳銷，雙軌制網絡傳銷具有更強的廣泛性、欺騙性、隱蔽性和技術性特點，這種以網絡為平臺的非法活動也具有涉案區域廣、涉案人員眾多、資金量大等特點。由于該類傳銷案的組織結構、基本運作模式、會員人數、分布區域、涉案金額等相關證據均保存在網絡中[1]，電子證據的獲取和分析對該類案件的偵破和定性具有重大的意義。

1．多源的證據是前提

單一來源的電子證據并不足以證明案件的事實（弱證據），此案的偵查期間，對該公司網絡后臺的數據等重要證據全面復制、拷貝登錄后網站網頁的全部信息，同時對整個調取證據的過程進行全程錄像。進而借助技術力量獲取了服務器上該會員系統網站全部的數據庫數據、源代碼文件，通過配置文件，搭建了會員網絡辦公系統的Mysql+Apache+PHP本地運行環境。多源性的證據不僅利于證據分析，而且利于對證據分析結果同一性的認定，保障證據推理分析結果的正確性。

2．清晰的分析是關鍵

這類網絡傳銷案件不僅數據量大，涉及到源程序代碼、幾十個數據庫表、上百個網頁信息、以及導出提取的大量表格文件，而且關系復雜，如源程序中有測試程序、非執行程序等，數據庫數據類型多、表間關系復雜。在此案中，分析會員接點人關系結構、輔以會員推薦人關系結構確定組織結構（雙軌制）以及上下線的構成；分析源文件代碼和后臺數據庫數據變化來分析獎金運作模式；統計分析會員總人數和左右兩區的每天會員人數變化來確定傳銷活動的規模和發展軌跡；分析各省市人數和獎金發放金額來確定涉案金額等。清晰的分析不僅易于證據分析人員從繁重的數據處理中脫離出來，而且更易得出分析結論，快速為該案定性。

3．相互的印證是重點

從互聯網中的會員網絡辦公系統提取的數據進行分析的結果、本地環境運行的會員網絡辦公系統提取的數據進行分析的結果、Mysql數據庫中數據表數據分析結果三者相互印證，保障分析結果的同一性。這些電子證據分析的結果與公安部門實際掌握的相關人員銀行開戶信息、賬戶間資金周轉往來的銀行數據印證（資金鏈）。偵查期間所掌握的相關人員上下線關系、發展程度等與證據分析的結果印證（人員鏈），形成便于案件事實說明的完整證據鏈。

三、結束語

網絡和通信技術的快速發展，給人們帶來方便的同時，也為犯罪分子實施違法活動創造了條件。雙軌制網絡傳銷打著投資理財、互聯網金融、電子商務的旗號，以高收益為誘餌，猖獗作案，真偽難辨，且以迅猛的速度在全國蔓延。給公安機關對此類案件的預防、打擊和查處工作增加了困難。本文結合具體的案例探討了雙軌制網絡傳銷案的電子證據源獲取、電子證據的分析，電子證據間的相互印證，以期為實務部門處置該類案件起到一點借鑒作用。

[1]姜濤,彭磊.網絡傳銷案件中電子證據的獲取與分析[J].信息網絡安全.2013,(08):75-77.

[2]張俊.傳銷案件的計算機取證問題研究[J].警察技術.2010,(04):37-39.

[2]郭春濤.網絡詐騙的概念、主要表現及犯罪構成研究[J].信息網絡安全.2011,(04):61-63.