北京市公安局關于辦理電信詐騙案件指導意見

北京市公安局關于辦理電信詐騙案件指導意見
（2015年6月12日 京公法字〔2015〕757號）
一、電信詐騙案件的特征規(guī)律（略）
二、電信詐騙案件的取證要點及規(guī)格
鑒于電信詐騙案件的犯罪特點，及偵查取證工作的要點和流程，特制定以下證據要點及規(guī)格形式：
（一）接報、受理階段
各級公安機關辦案部門在接到事主通過“110”等方式報警稱被他人實施電信詐騙后，接報單位應迅速接處警，刑偵、網安等部門協(xié)同開展調查取證、追贓減損工作。
1.制作事主報案材料。重點詢問事主報案原因、被騙地點、發(fā)案時間、被騙方式、轉賬方式、轉賬金額、相關知情人、對方信息、通聯(lián)號碼、轉賬賬號等，力求盡可能多的獲取事主能夠提供的相關細節(jié)。
2.制作《受案登記表》。嚴格按照《受案登記表》的填寫要求，對各填寫項認真填寫并向事主出具《受案回執(zhí)》。
3.制作《現(xiàn)場勘驗筆錄》、《遠程勘驗工作記錄》等電子勘驗報告。根據案件情況，由網安部門對事主的手機、電腦等電子設備初步勘查，發(fā)現(xiàn)涉案線索后應依法提取帶回公安機關進行細致勘驗檢測，及時制作《現(xiàn)場勘驗筆錄》、《遠程勘驗工作記錄》，內容應包括：提取、固定事主手機中的涉案短信、郵件、通話記錄及被植入的惡意程序等信息；提取、固定事主電腦被植入木馬等惡意程序等涉案信息；對事主被騙過程中所點擊的掛馬網站進行遠程勘驗，提取、固定涉案網站的域名、IP、偽造文書信息及木馬等惡意程序等信息。
（二）初查、立案階段
1.調取事主通話記錄單。根據事主提供的與詐騙人員通聯(lián)的電話號碼，向所屬三大通訊運營商調取事主被騙期間的電話記錄單，內容應包括起止時間、通話時長、主或被叫、對方號碼、通信類型等全部與之相關的通聯(lián)信息。
2.調取事主個人涉案銀行賬戶交易明細。根據事主提供的轉賬賬戶，向所屬的銀行調取開戶信息、案發(fā)期間的交易明細等。
3.調取事主轉賬目標銀行賬戶的交易明細。通過對事主被騙賬戶交易明細的梳理，確定被騙款項轉入賬戶，并調取該賬戶的交易明細及開戶信息；同時，根據該筆被騙錢款的流向，順次查詢調取相關交易明細，反映該筆被騙錢款被多次轉賬并最終提現(xiàn)的完整過程，形成完整的資金流。
4.對涉案轉賬用銀行卡信息人員查找取證，制作詢（訊）問筆錄。根據涉案錢款資金流向的查證，對涉案的轉賬、提現(xiàn)銀行卡的開卡人員進行查找，在制作詢（訊）問筆錄時，要以開卡時間、開卡目的、使用情況、出售情況、收卡人信息等為問話重點。
5.將事主被騙時使用的涉案手機、電腦送鑒定機構檢驗鑒定。對事主手機內的涉案短信、微信、通話記錄等提取固定；對事主用于網銀轉賬的電腦進行鑒定，對其中網銀賬戶登錄及操作過程進行固定，同時通過技術溯源查找、確定接收事主轉賬的銀行賬戶使用網銀登錄時的IP地址、網轉設備MAC碼等。
6.關聯(lián)調取涉案轉賬卡日常刷卡記錄，查找確定“試卡用” POS機，進而確定持有人員身份信息并查找取證。通過對涉案轉賬用銀行卡的日常交易記錄進行梳理，梳理核對出該銀行卡短期內多次小額存取的記錄，對存在測試銀行卡安全性的記錄進行溯源，到POS機發(fā)放公司調取相關數(shù)據，并通過登記信息確定持機人員真實身份信息，查獲后制作筆錄材料，確實存在涉案嫌疑的應及時采取強制措施予以控制。
7.調取與事主通聯(lián)的涉案網絡VOIP電話線路使用存儲記錄。通過調取梳理事主被詐騙期間的通訊記錄，確定詐騙團伙使用的偽裝號碼，通過溯源該主叫號碼，反查為其提供通訊連接的線路商，并從該線路商處獲取該線路使用的歷史記錄。同時，對該線路使用的歷史記錄進行梳理，繼續(xù)追溯查詢該通訊線路在多層轉包過程中的對應IP地址，直至溯源至境外詐騙團伙接入窩點的IP地址。
8.調取固定涉及提現(xiàn)人員的相關錄像。通過對涉案資金流的追蹤，確定終端提現(xiàn)地，依法對ATM機或銀行柜臺的有關錄像進行調取，并對有條件的錄像內容進行視頻比對，確定提現(xiàn)“車手”的真實身份信息，開展查找抓捕工作。
9.開具案件《立案決定書》、《調取證據通知書》、《現(xiàn)場勘驗筆錄》、《遠程勘驗工作記錄》等法律文書，完善法律手續(xù)。
（三）抓捕、初審階段
1.由境外政府警務部門出具抓捕目標窩點與我在偵案件相關聯(lián)的證明材料。該證明材料的內容應包括：詐騙窩點的地理位置、確定為抓捕目標的原因以及對抓捕過程的簡單描述等，同時將該證明材料交由第三方翻譯機構進行專業(yè)的漢化翻譯。
2.了解詐騙窩點網絡結構，拍照固定并繪制《電子設備拓撲圖》。初入窩點時，即刻對窩點全貌進行拍照，由網安部門負責查看窩點網絡架設結構，保持原貌，防止隨意移動或開關相關電子設備。
3.逐一登記查獲的電子設備，制作《扣押清單》。對窩點內的所有可能涉案的電子設備進行登記，履行扣押手續(xù)，其中包括窩點公共電子設備及涉案人員個人使用的電子設備。
4.逐一登記查獲的相關物證、書證等，制作《扣押清單》。除重點登記扣押涉案電子設備外，亦應對現(xiàn)場查獲的紙質版話術單、業(yè)績單、日常筆記、可能涉案的銀行卡、往來機票、培訓用材料等，逐一逐人對應扣押。
5.制作《現(xiàn)場勘查工作記錄》。在網安部門制作《電子設備拓撲圖》的同時，由刑偵部門開展現(xiàn)場勘查，對窩點的外景、內部進行拍照固定，繪制現(xiàn)場方位圖，逐一房間勘查，并在初始狀態(tài)的基礎上，分別對涉案人員在窩點內的位置進行拍照固定，如“一線”人員對其固定工位的指認等。同時，對于重要的電子設備，提取到的話術單、業(yè)績單，用于日常提示的書寫板等亦要拍照固定，并在方位圖中進行表述。
6.對電子設備制作《現(xiàn)場勘驗筆錄》、《遠程勘驗工作記錄》。根據實際情況，及時對電子設備進行現(xiàn)場勘驗，避免證據滅失。
現(xiàn)場勘驗包括：
（1）電子語音包、文檔、掛馬網站、木馬文件和釣魚網站的網址、素材等電子數(shù)據；
（2）值班表、詐騙話術、業(yè)績單、學習筆記等電子數(shù)據；
（3）涉案銀行卡賬號信息；
（4）正在登錄的網站賬號、網頁內容、上網瀏覽記錄（重點提取網上銀行、VOIP電話平臺登錄信息）、上網搜索記錄、自動完成字段、COOKIE信息等；
（5）各類加密容器、加密壓縮包內的涉案文件；
（6） USB設備使用記錄、操作系統(tǒng)的系統(tǒng)日志、程序日志、安全日志等；
（7） QQ， Skype等即時通訊工具的登錄賬號，主要聯(lián)系人及聊天記錄；
（8） VOIP電話軟件及電子話單；
（9）調取手機中的通訊錄、短信、涉案圖片和文檔、通訊工具聊天記錄等數(shù)據；
（10）支付寶、財付通、paypal等涉案電子支付賬號信息；
（11）各類涉案影音文件，包括圖片、音頻、視頻等；
（12）涉案相關快遞信息；
（13）具有改寫VOIP電話號碼功能的“一號通”等軟件及其使用記錄；
（14）其他案件相關電子數(shù)據。
遠程勘驗包括：
（1）對詐騙團伙所使用的VOIP軟件平臺進行遠程勘驗，調取其登錄的用戶名密碼信息、賬戶詳細信息、撥打VOIP電話的詳細話單和消費充值信息；
（2）對詐騙團伙所使用的掛馬網站進行遠程勘驗，調取涉案網站的前臺及后臺數(shù)據，重點調取域名、IP、偽造文書信息、木馬等惡意程序和登錄維護日志。
7.分類核實窩點涉案人員真實身份信息，制作《到案經過》。經核實，將窩點內人員按照其犯罪分工進行分類，如“一線”、“二線”、“三線”人員，窩點負責人，技術人員，生活服務人員等，并及時查清其真實身份，條件允許的情況下應當逐人單獨看管，防止串供。
8.按人員類別開展初審工作，制作《訊問筆錄》。根據核實情況，按照人員在窩點內的分工開展訊問工作。針對“一線”人員，重點訊問由何人招募、從何地、在何時、以何方法進入詐騙窩點，進入窩點后何人、何方式對其培訓，何分工、實施過程、是否施騙成功獲利，以及如何向“二線”轉遞事主及帶有特征性標記內容的信息等；針對“二線”人員，重點訊問除基礎內容與“一線”人員一致外，還應對其在接到“一線”轉遞的事主后，如何采用有針對性、特征性的話術對事主繼續(xù)施騙的細節(jié)，如事主的基本信息、謊稱的涉案事項、冒稱的人員身份等，建立與事主反映信息的對應性；針對“三線”人員，重點訊問其如何指揮或操作事主轉賬的細致過程，對事主銀行卡號、轉賬公司的卡號、賬戶人員信息、轉款金額、轉款時間、轉款方式、事主及本人的電話號碼等細節(jié)著重訊問；針對窩點負責人，重點訊問其在窩點中的組織、指揮、管理等行為，以及與轉賬公司、設備提供商、專職販卡人員等之間的溝通聯(lián)系情況（有時窩點負責人員即為“三線”人員）；針對窩點技術人員，重點訊問其為窩點設備正常運行、網絡通訊順暢、制作發(fā)送語音包、編寫虛假掛馬網站等提供技術保障的具體行為；針對生活服務人員，重點訊問其協(xié)助他人實施電信詐騙行為的主觀明知，并從中獲利情況。對于上述不同類別人員進行有針對性訊問的同時，均應進行相互間的辨認，同時在訊問中亦要體現(xiàn)對他人行為的相互指證。
（四）審查、固證階段
1.對窩點查獲的所有涉案電子設備均要送司法鑒定機構，進行《電子設備勘驗鑒定》。在對窩點扣押起獲的電子設備做以往常規(guī)勘驗鑒定以外，要重點進行以下鑒定：
（1）對從事主處和嫌疑人處提取的木馬文件進行同一性認定，并在鑒定中說明木馬的功能，如有遠程操作，需體現(xiàn)遠程操作具體過程及IP地址信息；
（2）對事主被騙過程中點擊的掛馬網站域名所解析到的IP地址與詐騙團伙使用的掛馬網站IP地址進行同一性認定；
（3）對窩點扣押的網卡進行破譯解析，可反映出電話撥入撥出的數(shù)量；
（4）對窩點扣押的交換機重點勘查鑒定，提取相關數(shù)據反映語音包發(fā)送量及回撥電話分配情況；
（5）對涉案電腦中安裝使用的相關軟件進行功能認定等。
2.對窩點扣押的紙質版書證進行《筆跡鑒定》。針對扣押的紙質版書證，經初步梳理認定相關人員后，送司法鑒定機關進行筆跡鑒定。
3.調取涉案人員出行及出入境信息記錄。根據涉案人員身份信息在情報數(shù)據庫中，分類梳理人員活動軌跡，向出入境管理部門、鐵路航空部門等調取相關記錄，反映窩點人員間的同行伴隨狀態(tài)，并通過辦理護照、購買機票等操作環(huán)節(jié)確定涉嫌招募、輸送話務人員的“蛇頭”人員身份信息。
4.調取涉案人員個人通訊設備的通話記錄。將梳理確定的涉案人員在用電話號碼向三大通訊運營商提供，由運營商出具相關號碼可溯的通話記錄、短信內容等，并將獲取的相關信息與事主通話記錄進行比對碰撞，客觀表現(xiàn)嫌疑人與事主間的關聯(lián)。
5.調取涉案人員名下銀行賬戶的交易明細。經向銀行服務部門反饋涉案人員身份信息獲得逐人名下的全部銀行開戶情況，并有針對性的（如在偵案件發(fā)生的前后時間段）進行賬戶交易梳理，反映案發(fā)后涉案人員的非法獲利情況等。
6.加大對涉案人員審查訊問力度，制作《訊問筆錄》。從境外將我管轄的部分涉案人員帶回境內審查后，應加大對涉案人員的訊問力度，在訊問常規(guī)問題的同時，要對組織勾聯(lián)、計劃實施、任務分工、施騙過程、犯罪獲利等環(huán)節(jié)著重訊問，特別是結合在偵案件中事主的相關被騙細節(jié)特征，有針對性地開展訊問，盡量對應還原該施騙過程。
（五）其他涉案“子團伙”取證要點
由于當前電信詐騙犯罪團伙趨于專業(yè)化、職業(yè)化，團伙內的分工更為細致明確，出現(xiàn)了將“招募輸送人員”、“提供設備保障”、“收販銀行卡”、“專職轉賬提現(xiàn)”等環(huán)節(jié)“外包”的現(xiàn)象，在整個電信詐騙活動中，呈現(xiàn)出以“施騙窩點”為核心，各“外包環(huán)節(jié)”提供服務支持的運作模式，各“外包環(huán)節(jié)”與施騙窩點多為單向聯(lián)系或“子團伙”兩兩間聯(lián)系，亦可同時為多個施騙窩點提供服務支持的情況，因此，在對上述“子團伙”進行偵查取證時應區(qū)別對待。
1.招募輸送人員團伙。
該團伙即“蛇頭”，應從以下方面重點取證：
（1）核實成員真實身份，查獲后對其“明知赴境外參與施騙窩點而組織人員前往”的主觀故意進行重點訊問；
（2）代替被招募人員辦理護照簽證、購買機票的相關書證；
（3）團伙成員通訊設備的通話記錄、短信內容等，重點梳理與窩點負責人、被招募人員的通聯(lián)情況；
（4）團伙成員的出入境記錄，與被招募人員活動軌跡進行碰撞，證明其伴隨狀態(tài)；
（5）被招募人員、窩點負責人等指證及辨認材料。
2.提供設備保障團伙。
該團伙屬于在境外專職向窩點提供交換機、電腦、電話機等硬件設備并提供搭建、調試、維護等服務，應從以下方面重點取證：
（1）團伙成員對“出售相關設備并進行搭建用于實施電信詐騙”的主觀明知；
（2）出售設備的賬務憑證；
（3）提供維護的具體行為及記錄；
（4）接受詐騙團伙付費的賬目憑證；
（5）成員與窩點人員之間通話、短信、微信等記錄。
3.專職收販銀行卡團伙。
該團伙是電信詐騙犯罪中的重要環(huán)節(jié)，通常情況下，由初級收卡人員從個人處收購銀行卡開始，逐級向上一級收卡人員匯集，最終到達頂級收卡人員，該級別的收卡人員可直接與窩點的負責人或在臺轉賬公司進行聯(lián)系，定期通過郵遞的方式投遞出售大量銀行卡被用作電信詐騙犯罪的轉賬卡或提現(xiàn)卡，因此對該團伙的成員應當嚴厲打擊，重點取證要點為：
（1）團伙成員與施騙窩點或轉賬公司人員通聯(lián)的通話記錄，短信、微信、QQ、Skype等內容；
（2）團伙成員與施騙窩點或轉賬公司的銀行交易記錄；
（3）抓獲時起獲的大量銀行卡、POS機、U盾等物證；
（4）郵遞境外或臺灣的快遞憑證單據；
（5）團伙成員對收卡販卡行為的主觀供述；
（6）下級售卡人員對上級收卡人員的指證材料；
（7）被查獲銀行卡實際開卡人的詢問材料（5名以上），指證購卡人的收卡行為；
（8）銀行工作人員對開卡行為的證明材料；
（9）調取團伙成員使用POS機及進行測試安全性的存取交易記錄。
4.專職轉賬團伙。
該團伙是實現(xiàn)事主錢款被騙轉賬的直接參與者，重點取證要點為：
（1）涉案資金流的查證，反映連貫持續(xù)性，并最終流向涉案轉賬公司控制的銀行卡；
（2）涉案銀行卡網絡登錄的IP地址；
（3）轉賬公司與施騙窩點的通聯(lián)證據，如微信、Skype等內容；
（4）轉賬公司與施騙窩點分配被騙錢款的銀行交易記錄；
（5）轉賬公司與販卡團伙通聯(lián)的記錄；
（6）轉賬公司支付購買販卡團伙銀行卡錢款的交易記錄；
（7）被抓獲提現(xiàn)人員對轉賬公司的指證；
（8）轉賬公司工作人員對實施幫助詐騙窩點進行轉賬行為的供述；
（9）在偵案件中所有涉及銀行卡相互間的梳理比對，提現(xiàn)連貫性的證明材料。
5.專職提現(xiàn)團伙。
該團伙直接與涉案資金接觸，其對于追贓減損有著重要意義，重點取證要點為：
（1）提現(xiàn)團伙與轉賬公司的勾連情況，如通話記錄、短信、微信等；
（2）證明提現(xiàn)團伙人員間的分工職責的證據；
（3）證明提現(xiàn)團伙人員“工作量”的業(yè)績表等書證；
（4）提現(xiàn)團伙人員在ATM機上進行提現(xiàn)操作的交易記錄；
（5）提現(xiàn)團伙人員提現(xiàn)行為的錄像，有條件的可依靠視頻偵查技術，還原嫌疑人真實相貌，確定嫌疑人身份；
（6）提現(xiàn)團伙向轉賬團伙轉款的交易記錄；
（7）抓獲嫌疑人后獲取的涉案銀行卡、手機等物證；
（8）提現(xiàn)團伙人員對其行為的供述材料及相互指證情況。
針對上述團伙人員的定性處罰，應根據其主觀故意供述情況及獲取證據情況，以涉嫌詐騙罪的共犯進行評價。對于詐騙主罪不能認定，但有證據證明其行為涉嫌妨害信用卡管理等其他犯罪的，亦應進行涉罪評價。
三、注意事項
由于當前電信詐騙案件的特殊性，在偵辦該類案件時，確實存在因客觀條件不能固化閉合整個證據鏈條的情況，但應最大限度的豐滿可獲得的環(huán)節(jié)證據，提高證據證明力，推進訴訟進程，應著重注意以下問題：
一是強化取證意識，最大限度的細化事主報案內容，及時開展取證工作，避免因時限造成證據的滅失；
二是提高串并案率，通過偵查發(fā)現(xiàn)，一個詐騙團伙會在一段時間內持續(xù)對一個地區(qū)進行施騙，這就需要大量走訪事主，找出案件共性，有利于打擊的精準性；
三是進一步重視技術勘驗在獲取客觀證據上的作用，及時對涉案物證、電子設備等進行勘驗固定，并及時送司法鑒定機構全面勘驗鑒定；
四是緊緊依托公安部的協(xié)調，加強與境外警務部門的協(xié)作，做好對犯罪窩點的抓捕、勘驗、取證工作，同時避免涉案人員集體關押等情況，防止串供；
五是健全與臺灣地區(qū)警方協(xié)作機制，力爭同步開展抓捕行動，對在臺的“金主”、“轉賬公司”等一并抓獲，同時審查情況及時互通，整體推進案件；
六是建立局內各部門之間的協(xié)作機制，專業(yè)取證工作由專業(yè)部門負責完成，確保證據的法定效力和證明力。