劉志軍 吳華東 覃光軍

1.湖北警官學(xué)院2.湖北省漢川市公安局3.中新科維計(jì)算機(jī)司法鑒定所

引言

互聯(lián)網(wǎng)技術(shù)發(fā)展和移動(dòng)設(shè)備普及應(yīng)用，網(wǎng)絡(luò)支付業(yè)務(wù)呈現(xiàn)爆發(fā)式增長，也迅速滋生非法網(wǎng)絡(luò)支付這一新型犯罪。未取得國家支付業(yè)務(wù)許可的非法網(wǎng)絡(luò)支付平臺通過實(shí)體工具、APP或網(wǎng)站等渠道聚合正規(guī)、持牌第三方支付平臺或銀行，并大量注冊虛假商戶或個(gè)人支付賬戶，借助技術(shù)手段非法搭建資金結(jié)算綜合支付通道，已成為網(wǎng)絡(luò)賭博、電信詐騙、非法期貨平臺、非法集資、盜竊、洗錢等犯罪涉案資金轉(zhuǎn)移的重要載體。當(dāng)前無論是學(xué)術(shù)理論研究還是司法實(shí)務(wù)中鮮有文獻(xiàn)展開非法網(wǎng)絡(luò)支付平臺案件電子證據(jù)的研究和探討，本文以湖北某市公安局偵辦的“上海某付公司”案為基礎(chǔ)，試從學(xué)理理論上歸納該類案件的電子證據(jù)偵查取證和分析方法，以期為該類案件的電子證據(jù)研究和應(yīng)用提供參考借鑒。

一、電子證據(jù)源

圖1給出了非法網(wǎng)絡(luò)支付平臺的框架結(jié)構(gòu)圖。由圖1可知，非法網(wǎng)絡(luò)支付平臺依托技術(shù)服務(wù)提供商等搭建支付平臺和維護(hù)管理數(shù)據(jù)，在第三方支付平臺或銀行授權(quán)前提下，利用己方技術(shù)對支付接口進(jìn)行整合，為下游非法平臺或非法商家從事非法收款和結(jié)算（即入金、出金）業(yè)務(wù)。

（一）銀行及第三方支付平臺

銀行及第三方支付平臺潛在的電子證據(jù)源包括從銀行可調(diào)取的資金交易記錄信息、資金交易統(tǒng)計(jì)信息（銀行、交易次數(shù)、交易總金額、起時(shí)間、止時(shí)間、期間天數(shù)、交易平均值）、賬戶交易流水信息（清算日期、交易金額、付款方賬戶號、付款方賬戶名、收款方賬戶號、收款方賬戶名、摘要）等；也包括從第三方支付平臺調(diào)取的產(chǎn)品形式（如APP支付、小程序支付、花唄支付、當(dāng)面付等）、下單表、訂單表、對賬單、收單交易表、統(tǒng)一收單交易結(jié)算、收單交易撤銷或退款表等電子證據(jù)。

（二）平臺經(jīng)營主體

目前許多非法網(wǎng)絡(luò)支付平臺經(jīng)營者并沒有能力搭建平臺及進(jìn)行相應(yīng)的數(shù)據(jù)維護(hù)，其平臺的建立和數(shù)據(jù)管理維護(hù)依托于技術(shù)支撐服務(wù)商。平臺經(jīng)營者潛在電子證據(jù)源有涉案手機(jī)、電腦主機(jī)、移動(dòng)存儲介質(zhì)等。涉案電腦主機(jī)、移動(dòng)存儲介質(zhì)中可能存儲有一是從非法網(wǎng)絡(luò)支付平臺的服務(wù)器數(shù)據(jù)庫中下載的表格信息等；二是電子檔形式保存的公司營業(yè)資質(zhì)、相關(guān)批文、若干合同協(xié)議等；三是對支付平臺操作的日志記錄等信息；四是電腦主機(jī)版QQ或微信等發(fā)布的通知信息或聊天記錄。涉案手機(jī)通信中可能存儲有涉案的用戶信息、圖片照片、視頻錄音、通話記錄、聊天記錄、郵件等與案件有關(guān)的信息。

（三）非法商家

指的是與非法網(wǎng)絡(luò)支付平臺簽有產(chǎn)品、費(fèi)率、交易風(fēng)控協(xié)議等的非法商戶。其潛在的電子證據(jù)源包括該非法商家后臺數(shù)據(jù)庫中的統(tǒng)計(jì)表、對賬表、結(jié)算表、交易訂單及提現(xiàn)信息，也包括移動(dòng)端商家的收單通知、退款、運(yùn)營統(tǒng)計(jì)、日報(bào)月報(bào)表、關(guān)于掃碼支付或刷卡支付等信息。

（四）技術(shù)支撐提供商

主要指為非法網(wǎng)絡(luò)支付平臺提供技術(shù)支撐和數(shù)據(jù)運(yùn)營服務(wù)的提供者，技術(shù)支撐包括為該支付平臺提供服務(wù)商平臺、商戶平臺接入及若干接口技術(shù)開發(fā)，數(shù)據(jù)運(yùn)營服務(wù)主要是為該支付平臺提供服務(wù)商管理、渠道管理、商戶管理和產(chǎn)品管理。潛在的電子證據(jù)源有平臺軟件開發(fā)設(shè)計(jì)電子文檔、軟件程序源代碼、數(shù)據(jù)庫設(shè)計(jì)方案電子文檔等，托管服務(wù)的空間、主機(jī)、帶寬等出租服務(wù)信息，以及數(shù)據(jù)存儲、備份交換等信息。

數(shù)據(jù)運(yùn)營服務(wù)的服務(wù)器后臺數(shù)據(jù)庫存儲著核心的電子證據(jù)源，潛在的電子證據(jù)包括但不限于商家統(tǒng)計(jì)表、與支付相關(guān)的營收表、結(jié)算表和退款表、消息服務(wù)表、用戶權(quán)限分級表、交易訂單表、對賬表以及對商家管理的支付賬號表、商家基本資料表、商家支付設(shè)置（如支付產(chǎn)品、費(fèi)率）表等。

二、電子證據(jù)偵查

（一）案例簡介

2018年湖北某市公安局偵破了一起期貨詐騙案件，在該案中嫌疑人架設(shè)“某期貨交易平臺”，在2017年6月至12月間誘導(dǎo)5萬多名受害人進(jìn)入該平臺，騙取資金達(dá)數(shù)十億元。雖經(jīng)公安機(jī)關(guān)艱苦偵查后偵破該案，但僅追繳回部分涉案資金，絕大部分資金已完成變現(xiàn)轉(zhuǎn)換。2019年2月，該市公安局將該案中涉及的非法網(wǎng)絡(luò)支付渠道線索上報(bào)至湖北省公安廳，5月10日，該市公安局對該非法網(wǎng)絡(luò)支付平臺“上海某付公司”立案偵查。2019年6月11日，在公安部和省廳統(tǒng)一指揮協(xié)調(diào)下，公安機(jī)關(guān)調(diào)動(dòng)警力80余人，分別在上海市、合肥市、長沙市、福州市開展統(tǒng)一收網(wǎng)行動(dòng)，抓獲包括主要犯罪嫌疑人在內(nèi)的涉案人員30人，扣押服務(wù)器6臺、電腦28臺、手機(jī)49部、合同158份、銀行卡130張，凍結(jié)涉案資金2900余萬元，后經(jīng)查證該平臺交易金額累計(jì)高達(dá)131億余元[1,2]。

（二）電子證據(jù)偵查

非法網(wǎng)絡(luò)支付平臺的電子證據(jù)偵查過程可簡要表述為：線索來源分析→運(yùn)營主體偵查→支付平臺網(wǎng)站服務(wù)器IP定位→數(shù)據(jù)庫數(shù)據(jù)獲取→虛擬空間電子證據(jù)分析及其與物理空間案件證據(jù)的印證分析。

1.線索來源分析

由圖1虛線框所示，線索的來源一般有幾種方式，一是銀行/第三方支付平臺從交易金額、交易時(shí)間、關(guān)系網(wǎng)絡(luò)、資金聚合等多維度的分析中發(fā)現(xiàn)異常并移交的線索；二是會(huì)員個(gè)人或受害人舉報(bào)的線索，但非法網(wǎng)絡(luò)支付平臺多服務(wù)于“黑產(chǎn)”、“灰產(chǎn)”，普通受害人無法清楚非法網(wǎng)絡(luò)支付平臺的存在，這類線索來源較少；三是辦理上游案件中發(fā)現(xiàn)的線索。本案即為對上游案件數(shù)據(jù)清理后發(fā)現(xiàn)非法網(wǎng)絡(luò)支付渠道線索，如圖2所示。

2.經(jīng)營主體的電子證據(jù)偵查

非法網(wǎng)絡(luò)支付案件都是在網(wǎng)絡(luò)上發(fā) 生，大量數(shù)據(jù)存在于網(wǎng)絡(luò)上，偵查辦案實(shí)踐中對此的地面?zhèn)刹楣ぷ鞑⒉皇呛芏?。?jīng)營主體電子證據(jù)偵查分析包括一是資金流分析，二是賬戶主體分析，三是資金行為分析，四是必要的實(shí)地調(diào)查取證。

3.支付平臺網(wǎng)站服務(wù)器IP定位

運(yùn)營支付平臺網(wǎng)站服務(wù)器數(shù)據(jù)庫存儲著核心的電子證據(jù)源，確定網(wǎng)站服務(wù)器IP地址具有關(guān)鍵作用。一是采用網(wǎng)偵的特偵措施，找到涉案域名；二是根據(jù)涉案公司名稱，采用天眼查或域名備案查詢，對域名進(jìn)行查看分析；三是從資金數(shù)據(jù)入手，找到嫌疑人的相關(guān)賬戶，重點(diǎn)分析賬戶字段中一些內(nèi)容信息，查詢交易平臺是否存有服務(wù)器租賃、托管等信息，進(jìn)而分析其域名及IP地址。本案中采用第二種分析方式，查詢到提供租賃托管服務(wù)及數(shù)據(jù)運(yùn)維的技術(shù)服務(wù)公司，進(jìn)而鎖定服務(wù)器IP地址，找到數(shù)據(jù)庫。

三、電子證據(jù)分析

電子證據(jù)分析指的是運(yùn)用科學(xué)的分析方法對公安機(jī)關(guān)在偵查過程中收集到的多源、分散的電子數(shù)據(jù)信息進(jìn)行分析，用于揭示犯罪行為發(fā)生時(shí)間、發(fā)生地點(diǎn)、犯罪手段和方法，以及犯罪結(jié)果等[3]。根據(jù)非法網(wǎng)絡(luò)支付平臺案件特征，其電子證據(jù)分析包括但不限于資金流向分析（出金入金）、資金行為分析、涉案重點(diǎn)賬戶主體分析、涉案金額統(tǒng)計(jì)分析，以及虛擬空間電子證據(jù)與物理空間實(shí)物證據(jù)之間的待證證明關(guān)系等。

（一）資金流向分析

資金流向分析指的是通過對案件資金的運(yùn)動(dòng)過程來證明犯罪的行為過程，對資金流向分析可以揭示案件是否發(fā)生、是否為嫌疑人所為，還能揭示犯罪的時(shí)間和地點(diǎn)、手段和方法等。在非法網(wǎng)絡(luò)支付平臺案件資金流向的電子證據(jù)分析中，一是涉案賬戶分析，具體包括收單賬戶（資金入口）、中轉(zhuǎn)賬戶（虛假商戶）、結(jié)算賬戶（資金出口）涉案的資金流向，二是具體涉案賬戶的交易明細(xì)、下單收單、對賬表等電子證據(jù)的分析。

（二）涉案重點(diǎn)賬戶主體分析

非法網(wǎng)絡(luò)支付案件中，運(yùn)營主體常借助資金數(shù)據(jù)量巨大、資金關(guān)系異常復(fù)雜的事實(shí)采用虛假注冊賬戶的方式逃避監(jiān)管并從事非法支付活動(dòng)。在電子證據(jù)分析中，一是需要分析非法網(wǎng)絡(luò)支付必要的收單賬戶、結(jié)算賬戶、過度賬戶信息，二是借助數(shù)據(jù)庫相應(yīng)表格的字段及對應(yīng)數(shù)據(jù)，進(jìn)而分析統(tǒng)計(jì)并印證涉案的重點(diǎn)賬戶主體信息。

（三）涉案金額統(tǒng)計(jì)及其它

在非法網(wǎng)絡(luò)支付平臺案件中，虛假資金賬戶與正規(guī)資金賬戶混雜，資金數(shù)據(jù)龐大且關(guān)系復(fù)雜。在涉案金額統(tǒng)計(jì)中，需要厘清上游案件和它案中涉案的非法賬戶、支付通道、交易時(shí)間，以及對應(yīng)的涉案金額統(tǒng)計(jì)。根據(jù)不同案件，有時(shí)需要資金行為分析，電子證據(jù)與物理空間證據(jù)之間的待證證明關(guān)系分析如身份信息確定、資金信息的認(rèn)定、人員之間關(guān)系的確認(rèn)等等。限于篇幅，在此不一一討論。

四、結(jié)語

當(dāng)前非法網(wǎng)絡(luò)支付平臺案件中，運(yùn)營主體采用資金分流、資金混淆等方式對資金隱匿性操作使得資金查證困難，非法網(wǎng)絡(luò)支付平臺間多個(gè)資金渠道清算以及多重轉(zhuǎn)接也使得運(yùn)營主體查證困難，也可能存在著在上游案件辦理時(shí)，牽連案件如非法網(wǎng)絡(luò)支付平臺已經(jīng)銷毀證據(jù)跑路，辦案單位的時(shí)間和精力難以為繼去關(guān)注涉案的非法網(wǎng)絡(luò)平臺支付等。因此在非法網(wǎng)絡(luò)支付平臺案件中，要科學(xué)高效確定電子證據(jù)源并展開偵查取證，獲取定案核心證據(jù)，用科學(xué)的方法分析電子數(shù)據(jù)，構(gòu)建完整證據(jù)鏈，獲得有證明力的證據(jù)，將會(huì)對非法網(wǎng)絡(luò)支付平臺案件的打擊起到積極作用。