【行业资讯】网络传销案件电子数据证据怎么取证？

来源：网监研究
 

编者按
 

执法人员在办理网络传销案件中，涉案当事人使用的传销会员计酬系统电子数据是案件的关键证据，从追查、甄别、扣押系统服务器，到固定、筛选、分析电子数据，电子取证技术均发挥着案件突破的核心作用。小编一向赞同电子取证只要“脱离了方法讲理论”或者“脱离了实践讲方法”就是“砖头观点”。所以今天我们还是继续来点实务，为圈友们提供网络传销案件取证实践中的好方法！

近年来，传销团伙借着“互联网的东风”成蔓延态势，其违法手段几乎一致，均是以开设公司模式雇佣“商务团队”进行高大上的自我包装，而后通过微信或者自建网站推销，以高额回报诱骗吃群众加入，会员间形成金字塔层级式结构，通过后台会员计酬系统进行推广诈骗。涉案公司的经营都是通过一套传销会员计酬系统来管理运作的，该系统中存有实施传销过程中的会员资料、层级推广结构等数据。因此，提取传销会员计酬系统的电子数据是此类案件查办的关键。

一、了解传销会员计酬系统

大部分情况下，传销团伙并不具备软件系统开发能力。此类计酬系统几乎都是从软件公司购买，一套系统可以在几个团伙间共享复制使用，“一次购买终生使用”、“打一枪换一个地方”，所以了解此类系统很有必要。

目前常见的传销会员计酬系统主要有：

1. 基于MySQL数据库开发的传销会员计酬系统。此类系统开发简单，二次开发工作量极少，目前大部分网络传销后台会员系统都使用此类系统。

2. 基于“php+MySQL”的架构开发的传销会员计酬系统。此类系统多为上述第1种系统升级版，功能定制性更高。

3. 基于Navicat数据库管理工具封装的传销会员计酬系统。此类系统较为少见，实际上也是上述第1种系统的定制化。

4. 其他如基于SQL Server数据库开发的传销会员计酬系统等。目前此类系统几乎已被淘汰，但不排除少数传销组织仍在使用。

二、查找、提取服务器数据

通过IP地址和网站WHOIS信息查询，获取服务器物理位置。一般分成服务器位于国内或国外两种情况。

1. 如服务器地址在国内，则根据《禁止传销条例》发函给当地服务器托管运营商。到达机房后参照取证实务 | 某商业秘密案电子数据现场取证方案及取证过程详细介绍介绍方法对机房服务器进行封存或扣押后取证。

2. 如服务器地址在国外，则可开展外围排查，搜集一两个会员账号登陆对系统配置进行初步取证。但是，即使传销团伙将服务器藏匿托管于国外，在现场一般都可以找到架设远程服务器的管理电脑，在此电脑中多含有会员备份文件，此类备份文件拓展名通常为“*.bak”、“.trn”，取到备份文件即可还原远程服务器环境，读取系统会员计酬信息。

三、现场电子数据取证

网络传销案件的违法现场通常为公司办公室，内有数个员工座位，每个座位都有电脑，且所有电脑都以B/S结构连接会员计酬系统服务器。因此，如未能在第二部分“查找、提取服务器数据”中有所突破，则现场连接会员计酬系统的电脑就是我们取证的另一个突破点。在现场取证应遵循“以扣押原始存储介质为首选，以直接提取电子数据为例外，以拍照截屏等方式固定电子数据内容为补充”原则。

1. 确认服务器是否在线运行。可以通过现场电脑测试会员计酬系统是否能正常登录、是否能远程连接等方式，判断服务器是否在线运行。

2. 查找含有“*.bak”、“.trn”备份文件的电脑。迅速在各台电脑中查找会员计酬系统数据库备份文件，如命中关键字，则直接扣押电脑封存硬盘。

3. 直接提取电子数据并拍照截屏补充。如果遇到现场实在未能找到数据库备份文件，则可以使用现场员工电脑登录会员计酬系统进行取证。在现场应尽快按照电子数据现场取证的正确处置步骤，对系统数据进行提取固定，并制作现场取证笔录。现场取证时导出固定电子数据的操作要点有两个：一是应当使用当事人员工电脑登录会员计酬系统，将会员信息、账目明细等数据导出并另存为表格文件；二是若有电子数据无法导出时，可使用截屏、拍照等方式进行固定。

四、分析服务器电子数据

对电子证据的分析步骤主要包括数据库的还原及分析、传销平台的搭建、密码的破解、反编译、层级的计算、数据的提取几个步骤。详细操作过程可参考典型网络传销案电子证据分析方法。具备一定计算机编程能力的执法人员可参照典型方法进行分析，但小编还是推荐直接将服务器数据提交给第三方电子数据鉴定机构进行专业化分析并出具鉴定报告。常见鉴定意见如下图：

至此，执法人员只要安心做好“撒手掌柜”，坐等司法鉴定中心根据我们提交的服务器数据给出的鉴定分析报告。通过报告中的鉴定意见，我们可以完整了解到整个传销团伙的会员数据、计酬方式、转账记录等等。这些数据对于突破网络传销案件起到至关重要的作用。