电子证据在网络传销案件侦查中的运用

宋鹏

（汉寿县人民检察院，湖南汉寿 415900）

电子证据在网络传销案件侦查中的运用

宋鹏

（汉寿县人民检察院，湖南汉寿 415900）

电子证据在网络传销案件中具有举足轻重的作用，是定罪量刑的关键证据之一。从发现电子证据到将电子证据作为有效诉讼证据提供给法庭，不仅涉及取证主体的选择、取证程序的运用、证据体系的构建等法律问题，还涉及数据库的分析、密码的破解、证据的固定等技术问题。只有了解网络传销案的特点，掌握该类案件的分析方法和法律适用才能发挥电子证据的优势。

网络传销；电子证据；电子取证

随着计算机网络技术的飞速发展，利用计算机网络实施的犯罪日趋增多，网络传销是近年来比较常见的网络犯罪。网络传销手段更隐密，它的获利方式同样是下线交纳会员费，然后拉人头作为自己的下线，以获得更多返利，这种方式与传销没有本质区别，只是网络传销使用了网络技术。这一区别虽然没有改变传销的本质，却改变了案件证据的侧重点。网络传销案的关键犯罪证据是电子证据。获取电子证据并最终运用电子证据指控犯罪是办理该类案件的关键。

一、典型网络传销案件分析

案例一：2008年，林某、王某夫妇以成立生物科技公司为掩护，以网站和会员管理系统为依托，以销售生物保健产品为幌子，要求参加者购买产品获得会员资格，同时按照一定的顺序组成层级，以发展下线会员的数量作为计酬和返利的依据，引诱参加者继续发展他人参加，骗取财物，在全国各省市大肆发展下线会员。截至案发，该传销组织已发展会员7.3万人，会员金字塔状安置层级达200层，涉案金额达2.7亿元。鉴于案情特别重大，并涉及大量电子证据，检察院迅速指派办案人员介入侦查活动，引导并监督侦查取证。

案例二：2014年3月以来，杨某在广东省广州市编造“XX联合集团”，以销售《外汇月月通（智能型）》理财产品，代客理财和提供外汇交易平台等经营服务为名，自建网站和会员管理系统，在全国各地发展会员，要求参加者以购买外汇产品、缴纳外汇保证金的方式缴纳会员费成为公司注册会员，用发展会员提成为诱饵，以发展下线会员的数量作为计酬或者返利的依据，引诱参加者继续发展他人参加，从而骗取高额会员费。截至案发，该传销组织发展会员3000多人，共收取注册会员费2.29亿多元人民币。在公安机关的邀请下，检察机关派员提前介入侦查，引导并监督侦查取证。

（一）网络传销类型

1.传统网络传销。本文案例一属于典型的传统网络传销案，传销组织以推销商品为主，借助网络平台发展会员。

2.多层次网络版虚拟传销[1]。这种传销以“拉人头不见物”为标志，用虚拟的产品取代实物产品作为拉人头的工具。本文案例二属于这种类型。

3.通过增加点击广告率来发展会员的传销。以投入少量的钱成为股东，每天点击广告可获得收入为诱饵拉人头，但实际上收入并不由点击广告产生，而是来自下线交纳的费用。

（二）网络传销案特点

通过对上面两个案件以及其它公开的案例进行对比，我们发现网络传销案件具有以下共同特点：

1.作案手段网络化。以成立注册公司为掩护，以购买产品、提供服务等为幌子，网上销售、网上付费，关键数据都存储在数据库中。

2.运用看似合法的网站作掩护。从外表上看，传销网站类似商品“进销存”管理网站，无任何传销的字眼，与合法网站没有区别。

3.发展速度快、涉案金额大。由于网络的广布性、便捷性，在网上发展会员的速度非常快。

4.涉案人员籍贯异地化。涉案人员籍贯分布杂乱，层级关系复杂，跨省取证难度大。

5.具有很强的欺骗性。传销网站的宣传不再出现上线、下线、入会费等字眼，取而代之的是网络管理员、金牌会员、银牌会员等网络流行称谓。[2]

（三）网络传销案电子证据的特点

笔者对两起案件包含的电子证据进行了归纳，见表1。

从表1可以看出，网络传销案电子证据有以下特点：

1.网络传销案的电子证据种类繁多。网络传销案件相比传统传销案增加了数据库、网站、程序等电子证据，这是一般案件所不具备的。

2.数据库、网站、程序是核心证据。数据库是网络传销案的核心证据，它包含人数、层级数、返利数等关键数据，网站、程序源代码、可执行程序是比较关键的证据，它包含算法、运算逻辑、密码等关键数据，对正确提取证据有很大帮助。

3.核心证据看不见摸不着，没有具体原件形式，取证技术要求高。从网站、数据库中提取证据，需要把网站、数据库运行起来进行动态分析，甚至需要编程才能提取出有价值的证据，同时需要科学地进行固定才能作为证据使用。

表1

4.分析证据需要用到的技术多而偏。编程、WEB、数据库、反编译、密码破解等技术都有所涵盖，在一般刑事案件中有些技术很少用到，也很少有侦查员去深入研究。

二、网络传销案电子证据运用的困难

网络传销案从一开始侦查就涉及电子证据，能不能成案，电子证据起决定作用，但是，运用好电子证据并不简单，主要表现在：

（一）发现电子证据困难

网络传销案网站多以合法形式出现，行为隐蔽，有些对关键数据采取了加密、自动删除、伪装等反侦查措施。办案人员使用常规方法很难在第一时间发现和收集这些证据。

（二）网络传销案电子证据勘验、检查要求高

笔者发现，数据库存储在国外的情况非常普遍，如本文两例案件的数据库均存储在国外。调取境外服务器中的电子证据，如何确保完整性，涉及到法律程序和技术双重问题，稍有不慎就会导致电子证据从源头上被否定。用何种技术手段确保电子数据的完整性和真实性便成为重点。同时，对存储在国内的电子证据进行现场勘验也有很高的要求。

（三）搭建传销网络平台难度高

网络平台包含“金字塔”层级结构图等关键数据。除了需要利用这些数据查清传销犯罪事实外，侦查、庭审都需要展示这些重要数据。提取来的数据库、网站等电子证据已经脱离了原来的软硬件平台，搭建起来比较困难，需要有一定经验。

（四）获取关键数据难度大

网络传销案电子证据具有海量、分散、关系复杂等特点，提取与案件相关的电子数据，需要进行编程和计算，方法要具备科学性，使用电子证据要符合法律规定。比如提取传销组织层数、团队会员数、奖金总数、个人获利数，不仅需要计算准确而且计算的方法要经得起再验证。

（五）电子证据衍生证据难获取

由于犯罪嫌疑人提供给开发人员的需求说明书不会包含传销的字眼，交流时也讲得很隐晦，程序的核心算法被看似合法的网站所伪装，开发人员不会承认自己开发的是传销网络平台，要揭穿网络平台与传销之间的这层面纱，侦查人员需要具备丰富的审讯经验和一定的计算机知识储备。

三、网络传销案侦查中运用电子证据对策

侦查是刑事诉讼的一个基本的、独立的诉讼阶段，是公诉案件的必经程序，侦查的质量直接影响公诉的质量。依照法定程序发现和收集有关案件的各种证据，查明犯罪事实是侦查的重要任务之一。在涉及大量电子证据的案件中如何完成好侦查任务，笔者认为可以从以下几方面入手。

（一）重视取证主体问题

全面、合法取证的关键在于取证人员的素质。一方面，技术在不断更新发展，取证人员必须具备相应的取证能力。另一方面，司法在不断地进步，取证人员要熟悉诉讼程序，经验丰富，具有出庭能力。安排精干的力量，专门负责电子证据的取证、分析、移送鉴定、应诉等工作，对案件的顺利进行影响很大。如本文两个案例，侦查机关安排了3名精通计算机的侦查员组成电子证据组并邀请1名检察人员参与。实践证明，电子证据组在侦查、分析证据、鉴定等环节，对充分发掘电子证据起了重要作用，检察人员的参与对规范取证行为起了重要作用。

（二）规范电子证据的收集程序

电子证据的收集，是产生电子证据的第一步，如果收集环节存在合法性问题，后面所做的工作再好，整个电子证据也会被否定，确保收集的合法性，对保证电子证据效力非常重要。如本文案例中，收集传销平台核心程序代码，由两名具备计算机专门知识的公安民警实施，严格按照《刑事诉讼法》和《计算机犯罪现场勘验与电子证据检查规则》进行收集，邀请了一名与案件无关的公民作见证人，并对整个取证过程进行了录像，保证本案收集电子证据的方法具有科学性并具有可检验性，从源头上就开始保证电子数据的原始性。总而言之，除取证主体合格外，在保护现场、搜查、勘验检查、扣押的过程中应遵守传统取证的一般性规定，此外，在提取、封存电子证据方面还应遵守电子取证的特别规定。

（三）科学固定电子证据

要确保电子证据的一致性，必须要采取科学、稳妥的方法固定电子证据，当争议出现时才能拿得出电子证据未被污染的根据。如本文案例中核心程序代码、数据库的固定，为了慎重起见，采取三种方式进行固定。

一是用MD5校验方式对收集的核心程序代码进行固定。MD5校验是一种典型的用于防止数据被篡改的方法，广泛用于确保信息传输完整一致，MD5校验码以整个数据为单位，生成一串独一无二的检验码，如果在传输环节任何人对数据作了任何改动，检验码将发生改变，MD5常常被形容为数据的“数字指纹”。在提取电子证据后立即制作该电子证据的MD5码，形成“数字指纹”，用于各个环节对电子证据进行校验，确保数据一致。实践中还可以选择其它哈希算法生成“数字指纹”。

二是制作备份。将收集到的核心程序代码刻录成光盘作为原始光盘并制作该原始光盘的备份光盘。制作与原始光盘一模一样的备份光盘是一种合法并且比较简单的保证数据原始性的方法，一旦对一致性有质疑需要验证时，可用原始光盘与备份光盘进行比对。

三是封存原始光盘。在现场对程序代码的原始光盘进行封存，由证据持有人对MD5码进行确认，由见证人签字，并制作《固定电子证据清单》、《封存电子证据清单》。

通过以上一系列技术的和法律的方法对电子证据进行固定后，确保了电子证据从源头上是可靠的、可验证的。

（四）规范电子证据的使用、流转

电子证据需要在不同的承办人之间传递，会被不同的人使用，特别是在侦查阶段，电子证据使用频率很高。如本文中两起案件的电子证据，需要进行检验、分析、鉴定，根据新获得的线索，还要经常提取电子证据中的相关数据，根据侦查的需要有时要向犯罪嫌疑人、证人出示电子证据等。侦查员使用电子证据的目的不同，使用方式也不同，如果在使用和传递电子证据的过程中操作不规范，对电子证据产生污染，可能会导致得出来的分析结果错误，最终取得的侦查成果无效，功亏一篑。为了确保电子证据的一致性，对原始电子证据，需要安排专人保管，对原始证据的启封、重新封存等关键操作必须进行录像，并制作《原始证据使用记录》，详细记载每一次使用原始证据的时间、目的和使用过程。电子证据检验、分析人员，提取电子证据时要制作《提取电子证据清单》详细记录提取的电子数据的来源、提取方法和提取数据的MD5校验值。保证每一次使用、每一次流转的电子证据都有记录可查，每一次生成新的电子证据的方法是可以重新验证的。

（五）解决电子证据的重点、难点问题，发挥电子证据优势

1.对数据库字段含义的分析。简而言之，字段含义就是数据库中哪一组数据代表奖金、那一组数代码层数、那一组数据代表人数等，是非常重要的证据。确定字段理解含义需要花很多精力，可以采取以下三种方式确定数据库字段含义，一是通过浏览数据库观察命名规则确定部分字段含义。

图1

可以发现图1中表名“jiesuan”是“结算”的拼音，以数字作后缀表示期数，字段“bianhao”表示编号，字段“jangjin”是“奖金”的拼音，数字后缀应该表示不同的奖金。右图中可以看到字段“bianhao”、”Anzhi”、“Tuijian”，可以推测分别表示“编号、安置、推荐”。一般情况下，我们通过阅读字段名可以理解大部分字段的含意。

二是通过数据库中内容可以确定部分字段含意。如图2，我们可以通过“StoreName”这列的内容，判断这张表存放的是店铺信息，也就是团队信息，这张表的信息很重要。

图2

三是通过在前台或后台随机填入一些数据再查看后台变化确定了一些关键字段的含义，如图3。

图3

这里我们通过前后数据的变化，推断出了三个奖项与字段的对应关系。

在确定字段关系后，我们可以构建大量SQL程序提取与定罪量刑紧密相关的电子证据，如各期汇款金额、各期新增店铺数、订货统计等。

2.密码的获取。由于应用程序的业务处理逻辑杂，在不进入应用程序业务层的情况下分析应用程序和数据库是很困难的事情，因此，获取管理员登录密码进入业务处理层对成功提取数据至关重要。以本文案例二为例，分析管理员密码的基本步骤如下：

在数据库中找到存储管理员密码的表，如图4：

图4

我们发现，管理员用户名为admin，但密码已经进行了加密处理。

我们展开MVC工程的控制，发现有与登录有关的控制，如图5：

图5

继续分析该程序，找到判断密码对错的代码，如图6：

图6

分析该代码可以看出，EncryptUtils. AESEncrypt(model.Pwd)是加密程序，在该程序中设置断点。如图7：

图7

在登录界面输入用户名admin，密码123456，开始调试，程序停止在断点处，再逐过程运行，得到“123456”的32位加密字符串：

“A0-E0-91-34-09-2B-69-3E-3D-ED-48 -AE-BD-78-5F-F8”

用该字符串替换数据库中超级管理员的字符串，如图8：

图8

用密码123456登录成功，如图9：

图9

3.对涉及定罪量刑的网络层级结构的分析。从传销网络的树型结构中计算出任一会员（包括塔尖）所辖下级会员总人数、下级会员构成的金字塔最大层数，对传销案件意义重大。提取传销组织这种树形结构，递归是一个比较好的方法。如图10：

图10

总之，通过对侦查中运用电子证据的研究发现，在侦查中运用好、运用透电子证据，充分挖掘电子证据，需要侦查员具备扎实的法律知识、丰富的取证经验、敏锐的取证意识、大量的计算机知识储备。

四、网络传销案电子证据体系的构建

证据体系是一个主次分明、井然有序的有机整体。证据体系的概念一般只会在研究整个案件证据的时候提到，但是电子证据的特殊性，决定了电子证据易被否定，建立一个稳固的电子证据体系，能自证其合法性、科学性、真实性，值得思考。按照电子证据与案件的紧密程度，有重点地收集、分析、提取、固定电子证据，形成一个主次分明、程序完备的电子证据集的过程就是建立电子证据体系的过程。笔者通过办案实践，总结出了网络传销案电子证据集的主要内容，以及主次划分和制作要点。

（一）网络传销案的基本电子证据及相关衍生证据

在网络传销案件中，人数、层级、返利金额等与犯罪构成和定罪量刑有直接关系，而这些证据存储在网站的数据库中，因此数据库是网络传销案的关键证据，如果失掉数据库，网络传销案电子证据将失掉半壁江山。与数据库相关的证据主要有：

1.远程勘验报告

在传统案件中一般很少见到远程勘验报告，远程勘验报告是对计算机犯罪现场远程勘验，提取、固定证据后形成的报告网络传销犯罪案件的服务器在镜外时，大多数情况下只能采取远程勘察手段获取网站源代码和数据库。远程勘验报告用来证明网站源代码和数据库的来源及固定方法，必不可少。

2.勘验检查笔录

勘验检查笔录是在抓捕犯罪份子时，对现场状况以及提取数据、封存物品文件过程的记录。一般记载有电子物证的开关机情况、个体位置、网络参数、在线分析过程等。网络传销案服务器在国内时可以采取勘查的方法收集网站源代码和数据库。勘验检查笔录用来证明网站源代码和数据库的来源及固定方法。

远程勘验报告、现场勘查笔录是证明数据库来源的重要证据之一，它具有规范性、专业性、全面性的特点，当对数据库原始性产生疑问时，没有这两份证据，在没有原始载体的情况下很难证明取证之初获取的数据库和原始载体中的一致，甚至因此被否定掉。

（二）网络传销案的优势证据

优势证据主要包括基于原始电子证据，由合格主体经过科学分析后提取的电子证据或其它衍生证据，这些证据与案件联系紧密，可重新验证，不易变动，具有权威性。在网络传销案件中，侦查机关会收集大量电子证据，而一些电子证据很重要，且很复杂。如网络传销案中的关键电子证据“数据库”，当我们说到数据库时，给人的感觉是非常抽象的，它究竟是什么东西，里面的内容怎么分布？对办案人员来说毫无头绪。单纯的“数据库文件、电脑”不是优势证据，对证明案件的事实作用不大。必须用科学的方法从中提取出人数、层级等与定罪量刑紧密相关的电子证据才能在案件中起作用。

1.电子数据提取分析报告

电子数据提取分析报告，是由县级以上公安机关制作的电子证据检验报告，它用科学的方法从电子证据中提取涉案数据，并进行固定，是网络传销案件的关键证据之一。需要注意的是，电子数据提取分析报告对制作主体有特殊要求，需要县级以上公安机关具备专业知识的人员制作，并且要注重对取证方法的记载。电子数据提取分析报告可用于证实犯罪嫌疑人基本情况、成员的关系、固定犯罪金额。它的特点是对制作主体的要求相对较低，制作成本低，效率高，但是它不属于鉴定意见，在运用时应慎重。笔者认为，重大案件和主要以电子证据定案的案件应使用鉴定意见。

2.鉴定意见

电子证据鉴定，作为司法鉴定的一种，是指经过资格认定的专业人员基于计算机科学原理和技术，接受当事人的委托，按照符合法律规定的程序，发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子证据，找出与案件事实之间的客观联系，确定其证明力并提供鉴定意见的活动[3]。鉴定的权威性、科学性、全面性决定了鉴定在电子证据中的重要地位和作用。电子数据鉴定意见往往决定案件的成败，在出现争议时，鉴定可以解决电子证据真实性等证据属性问题，也可以解决犯罪金额、规模等关键事实问题。对电子证据进行鉴定需要注意，需要委托给有鉴定资质的鉴定机构进行鉴定，鉴定人必须具备电子物证鉴定资格。委托鉴定时应当向鉴定机构提交电子数据鉴定委托书、证明送检人身份的有效证件、委托鉴定的检材。电子数据鉴定委托书应当包括委托单位、送检人和委托时间、案件简要情况、委托鉴定检材清单。电子证据存在易篡改性，鉴定机构在使用电子证据时也应当对电子证据启封、重新封存录像。电子证据属于客观证据，以其客观存在的数据证明案件事实，委托鉴定时不能暗示或者强迫鉴定人作出某种鉴定意见，应当保证鉴定意见是电子证据的客观反映。

（三）网络传销案其它证据

1.QQ等聊天记录、通话及短信记录。聊天记录往往包含犯罪头目发出的指令、讨论犯罪的细节、到账通知等。

2.资金流动记录。资金流动的证据主要有：银行账号交易明细、网上银行交易记录、第三方支付平台交易记录。这些证据能证明传销组织的资金流，确定犯罪嫌疑人犯罪金额。

3.照片、视频截屏。犯罪嫌疑人的手机、电脑、U盘中往往存有种类文本文档、PPT文档、电子表格文档、图片、视频，有的可以直接提取、固定，不便提取的可以通过电脑截屏的形式固定。这些证据在证明传销组织发展、壮大方面是很好的辅助证据。

4.《固定电子证据清单》、《勘验检查照片记录》、《封存电子证据清单》、《原始证据使用记录》、封存启封原始电子证据的录像等。这些证据是证明电子证据在流转过程始终保持原始性的根据。

（四）关于最佳证据的思考

在使用电子证据时通常将电子证据转化为书证，这种做法在电子证据确立为证据种类之前和之后均普遍存在。《刑事诉讼司法解释》规定“据以定案的书证应当是原件”。那么打印物是否能视为原件呢？美国的《联邦证据规则》第一千零一条规定：“资料若是存储在计算机或类似设备，任何印出物或其它视觉可读的输出物，能显示资料的正确性，属于原本”。换而言之，正确的计算机输出物能满足最佳证据规则的要求[4]。可见美国承认电子证据输出物的原件特性。但也不是所有打印物都能被认定为原件，只有能显示资料正确性的打印物才能视为原件，而要证明打印物符合这个条件要求非常高。首先，电子证据不能是非法证据，非法证据是被排除的对象，它的打印物当然不适用；其次，要能确保电子证据的完整性、一致性，即在获取、使用、传递电子证据的过程中，电子证据未遭到污染和原件一致，这需要建立完备的电子取证规范并被认真遵守，还需要设备和技术作支撑；最后，需要基层公安机关、检察机关、法院普遍拥有检测设备和电子取证队伍。在目前的办案实践中，电子证据完整性、一致性的基本判断还需要借助鉴定机构等外部力量。目前，我国立法没有明确规定电子证据输出物具备原件特性。笔者认为，在特定情况下，电子证据输出物可视为原件。如犯罪嫌疑人正准备打印“返奖制度”时被查获，应侦查人员要求将其打印出来，并签字认可，又如犯罪嫌疑人保存在电脑中的电子文档，应侦查员要求打印出来，并签字认可。类似上述已经完成并经持有人签字认可的电子证据输出物，只要符合收集书证的规定，完全可等同于书证，甚至此时电子证据仅起印证作用。

结语

在办理网络犯罪的案件中，使电子证据作为有效的诉讼证据提供给法庭是我们的最终目标。这要求侦查人员和检察人员，要熟悉什么样的证据能成为定案的根据，还要熟悉电子证据的特殊要求，同时要具备审查电子证据实质内容的能力。可见侦查人员、检察人员精通电子证据对案事实和证据的认定能起关键作用，培养即懂电子证据技术又精通法律，证据意识强，熟悉证据标准、证明标准的办案人员，对司法办案的未来发展非常重要。

[1]李亚可.论犯罪现场勘查中的信息管理[J].湖南警察学院学报，2015，（5）：59.

[2]赵薇.网络传销的特征分析[J].计算机取证技术，2015，（2）：12.

[3]金波，黄道丽，夏荣.电子数据鉴定标准体系研究[J].中国司法鉴定，2011，（1）：49.

[4]陈宇，郑昱.刍议审判中心背景下电子数据的客观性审查[A].葛百川.第三届全国电子物证检验技术交流会论文选[C].北京：群众出版社，2016.74.

A Study on the Application of Electronic Evidence on Network Pyramid Selling

SONGPeng
（Hanshou County People’s Procuratorate,HanShou,Hunan,415900）

Electronic evidence plays an important role in network pyramid cases,which is one of the key evidence for sentencing and convicting.From the discovery of electronic evidence to electronic evidence as a valid litigation evidence provided to the court,it not only involves some legal issues including the subject of evidence collection,the use of forensic procedures,the construction of evidence systems,but also involves some technical problems including the analysis of the database,password cracking,evidence fixing.It can play the advantages of electronic evidence only by understanding the characteristics of network pyramid schemes, mastering the analysis of such cases and the application of law.

network pyramid schemes;electronic evidence;electronic obtaining of evidence

D918.2

A

2095-1140（2016）06-0036-08

（责任编辑：李语湘）

2016-06-10

宋鹏（1980-），男，湖南汉寿人，湖南省汉寿县人民检察院检察员。