双轨制网络传销案的电子证据分析与评析

王宁 姚 洁 吴华东 麦永浩

1.湖北警官学院 2.湖北省汉川市公安局3.电子数据取证湖北省协同创新中心

一、前言

近年来，以花钱报单、只要发展两线便可获利，参与团队计酬、消费积分返利的双轨制网络传销以迅猛的速度在全国蔓延。双轨制网络传销与实物推销[2]、广告点击、mim模式、广告提成等网络传销的运作模式有所不同，更具隐蔽性、欺骗性。该类传销案的组织结构、基本运作模式、会员人数、分布区域、涉案金额等相关证据均保存在网络中，涉及电子证据多，而且数据量大、相互之间的关系复杂，给公安机关侦破双轨制网络传销案件带来取证难、定性难、打击难等侦破难点。

笔者以一个具体案例为例，对双轨制网络传销案的取证方法进行了阐述，尤其重点对电子证据的分析进行了详细阐述，并总结了此类案件电子证据的获取和分析的关键点。

二、双轨制网络传销案电子证据的获取与分析——以具体案件为例

2013年11月，汉川公安局网安大队接到群众反映，其通过互联网购买了河北某生物科技有限公司的乙连清产品，并注册成为该公司的会员，该公司的市场计划和营销运作模式疑似非法传销活动。经公安机关侦查发现，“河北某生物科技有限公司”利用互联网发展会员并推广其公司产品（产品种类有“乙连清、乙连美、乙连通”等七种），该公司采取夸大产品功效来吸引消费者购买其产品，购买产品后再网上注册成为公司会员，再通过会员发展下线会员、销售产品返利、重复计酬等模式进行运营。经进一步侦查发现，这是一起以电子商务网站（Http://hyzcw.com）为幌子，靠发展下线会员牟取利益的典型网络传销案件。2014年5月，汉川公安局开展集中收网行动，抓获该团伙成员11名，扣押、冻结资金400余万元，一举摧毁了该传销组织。

（一）案件证据的获取

为获取该公司网络后台的数据等重要证据，汉川公安局首先获取了该公司后台管理人员的管理员登录账号、密码、登录的网站网址，并全面复制、拷贝登录后网站网页的全部信息，同时对整个调取证据的过程进行全程录像。其次进一步通过该公司网站服务器的托管服务商获取了其服务器硬盘中存有该网络传销案通过互联网向所有成员和管理员开放的会员网络办公系统，提取了该会员系统网站全部的数据库数据、源代码文件。然后根据网站源代码文件配置文件php显示，搭建会员网络办公系统的Mysql+Apache+PHP本地运行环境。

因此用于案件证据分析的电子证据源就有三个：互联网上运行会员网络办公系统提取出的会员资料、奖金发放资料、店铺资料等；本地运行网站提取出的会员资料、奖金发放资料、店铺资料等；托管服务商提供的该会员系统网站全部的数据库数据、源代码文件，图1显示了互联网和本地环境运行的会员网络办公系统。

（二）证据分析

1．会员接点人组织关系分析

其目的是分析会员的上下级接点关系，用于揭示会员的内部组织结构关系。依次对互联网和本地环境运行的会员网络办公系统提取出的会员资料表、Mysql数据库dg_users表的数据库字段进行过滤筛选出会员号、接点人、区位三个字段的数据列表。由于一个接点人对应的会员号有1个或2个，该会员号作为接点人对应的会员号有1个或2个，循环遍历数据采用Visual C++编程或直接采用Microsoft Office Visio2007的组织结构向导，分析结果均显示会员接点人组织结构关系具有二叉树结构，图2显示了分析过程。

2．奖金发放规则分析

其分析目的是揭示该会员网站多样化的奖金发放规则。分析过程是使用网站管理员账号、密码登录本地运行网站，结合网页显示内容和网页源码语句确定数据库中对应的表名、字段名之间的关系；进入网站主页面后点击对应的奖金发放功能模块，通过鼠标指向，找到所指向的php文件和传递的变量，进一步分析该指向php文件的程序代码，找到具体奖金发放规则的php源程序文件（1_do.php）；结合Mysql数据库表中字段和数据，具体分析奖金发放规则的php文件的程序执行程序和功能，确定奖金是以何规则发放。图3显示分析过程。

3．发展轨迹分析（会员人数分析）

统计分析每天会员在左右两区（图2显示的会员组织结构）的人数变化，用于揭示该传销网站会员的发展轨迹。分析过程是依次对互联网和本地环境运行的会员网络办公系统提取出的会员资料表、Mysql数据库dg_users表的会员总人数进行统计分析。同时对这三个证据源的会员数据过滤筛选出会员号、区位、注册时间的数据列表，进行每天会员人数的统计分析，用于揭示该传销网站会员的发展轨迹。图4显示了部分统计分析结果。

4．其它分析

依次对互联网和本地环境运行的会员网络办公系统提取出的会员资料表、Mysql数据库dg_users表的数据库字段进行过滤筛选出会员号、推荐人的数据列表，进行会员推荐人层级关系分析，并结合会员接点人层级关系，揭示推荐人如何将新发展的会员安排在推荐人自己作为接点人的下级或下下级接点的过程，并如何参与团队计酬。通过对提取出的奖金发放资料表、数据库中数据统计分析，得出各省市自治区的总人数和奖金发放总额等。

（三）案件评析

电子证据的分析结果显示此案涉及面广，涉及北京、天津等31个省份，以及澳门特别行政区、台湾地区、日本和俄罗斯，涉案总人数20311名，涉案奖金发放总额86993415.67元。该案的网络传销过程中，消费者花钱报单就可成为会员，成为会员后只要发展两线，并且上线将发展的会员不断安排在下线，便可获取管理奖，参与层碰、对碰奖，参与团队计酬，并可进行无限代领取奖金。

相对于传统意义的网络传销，双轨制网络传销具有更强的广泛性、欺骗性、隐蔽性和技术性特点，这种以网络为平台的非法活动也具有涉案区域广、涉案人员众多、资金量大等特点。由于该类传销案的组织结构、基本运作模式、会员人数、分布区域、涉案金额等相关证据均保存在网络中[1]，电子证据的获取和分析对该类案件的侦破和定性具有重大的意义。

1．多源的证据是前提

单一来源的电子证据并不足以证明案件的事实（弱证据），此案的侦查期间，对该公司网络后台的数据等重要证据全面复制、拷贝登录后网站网页的全部信息，同时对整个调取证据的过程进行全程录像。进而借助技术力量获取了服务器上该会员系统网站全部的数据库数据、源代码文件，通过配置文件，搭建了会员网络办公系统的Mysql+Apache+PHP本地运行环境。多源性的证据不仅利于证据分析，而且利于对证据分析结果同一性的认定，保障证据推理分析结果的正确性。

2．清晰的分析是关键

这类网络传销案件不仅数据量大，涉及到源程序代码、几十个数据库表、上百个网页信息、以及导出提取的大量表格文件，而且关系复杂，如源程序中有测试程序、非执行程序等，数据库数据类型多、表间关系复杂。在此案中，分析会员接点人关系结构、辅以会员推荐人关系结构确定组织结构（双轨制）以及上下线的构成；分析源文件代码和后台数据库数据变化来分析奖金运作模式；统计分析会员总人数和左右两区的每天会员人数变化来确定传销活动的规模和发展轨迹；分析各省市人数和奖金发放金额来确定涉案金额等。清晰的分析不仅易于证据分析人员从繁重的数据处理中脱离出来，而且更易得出分析结论，快速为该案定性。

3．相互的印证是重点

从互联网中的会员网络办公系统提取的数据进行分析的结果、本地环境运行的会员网络办公系统提取的数据进行分析的结果、Mysql数据库中数据表数据分析结果三者相互印证，保障分析结果的同一性。这些电子证据分析的结果与公安部门实际掌握的相关人员银行开户信息、账户间资金周转往来的银行数据印证（资金链）。侦查期间所掌握的相关人员上下线关系、发展程度等与证据分析的结果印证（人员链），形成便于案件事实说明的完整证据链。

三、结束语

网络和通信技术的快速发展，给人们带来方便的同时，也为犯罪分子实施违法活动创造了条件。双轨制网络传销打着投资理财、互联网金融、电子商务的旗号，以高收益为诱饵，猖獗作案，真伪难辨，且以迅猛的速度在全国蔓延。给公安机关对此类案件的预防、打击和查处工作增加了困难。本文结合具体的案例探讨了双轨制网络传销案的电子证据源获取、电子证据的分析，电子证据间的相互印证，以期为实务部门处置该类案件起到一点借鉴作用。

[1]姜涛,彭磊.网络传销案件中电子证据的获取与分析[J].信息网络安全.2013,(08):75-77.

[2]张俊.传销案件的计算机取证问题研究[J].警察技术.2010,(04):37-39.

[2]郭春涛.网络诈骗的概念、主要表现及犯罪构成研究[J].信息网络安全.2011,(04):61-63.