附 录-凯发娱乐
作为对本书所涉内容的有效补充,本附录收录了近年来电子数据的主要司法解释和规范性文件。现行体制是将诸电子数据规范分散规定于各司法解释和规范性文件中,包括司法机关针对电子数据的收集、保全、审查、认定等问题进行规范的若干司法解释和程序规定,也有工商管理总局针对工商行政管理机关开展电子数据取证工作的指导意见、中华全国律师协会针对律师开展电子数据取证、质证和认证工作的操作指南、司法部司法鉴定管理局颁布的电子数据司法鉴定实施规范等。
出于篇幅考虑,本附录根据电子数据取证主体的不同,仅节选了电子数据取证的若干司法解释和规范性文件,包括最高人民法院、最高人民检察院、公安部联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号),公安部出台的《公安机关办理刑事案件电子数据取证规则》(2019年),中华全国律师协会出台的《律师办理电子数据证据业务操作指引》(2012年)中的电子数据取证规定,国家工商行政管理总局关于工商行政管理机关电子数据证据取证工作的指导意见(工商市字〔2011〕248号),司法部司法鉴定管理局颁布的《电子数据司法鉴定通用实施规范》(2014年)。至于其他的关于电子数据取证的司法解释和规范性文件,读者如果感兴趣可根据书里表中的提示进行相应的查询。
附录1 近年来关于电子数据的主要司法解释和规范性文件
续表
续表
附录2 最高人民法院最高人民检察院公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)
为规范电子数据的收集提取和审查判断,提高刑事案件办理质量,根据《中华人民共和国刑事诉讼法》等有关法律规定,结合司法实际,制定本规定。
一、一般规定
第一条 电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
电子数据包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。
以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。
第二条 侦查机关应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。
第三条 人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。
第四条 电子数据涉及国家秘密、商业秘密、个人隐私的,应当保密。
第五条 对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性:
(一)扣押、封存电子数据原始存储介质;
(二)计算电子数据完整性校验值;
(三)制作、封存电子数据备份;
(四)冻结电子数据;
(五)对收集、提取电子数据的相关活动进行录像;
(六)其他保护电子数据完整性的方法。
第六条 初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。
二、电子数据的收集与提取
第七条 收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。
第八条 收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
第九条 具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)原始存储介质位于境外的;
(四)其他无法扣押原始存储介质的情形。
对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。
为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。
第十条 由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。
第十一条 具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
第十二条 冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)其他防止增加、删除、修改电子数据的措施。
第十三条 调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。
第十四条 收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。
第十五条 收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。
针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。
第十六条 对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。
电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
第十七条 对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。
具体办法由公安部、最高人民检察院分别制定。
三、电子数据的移送与展示
第十八条 收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。
对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。
对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。
第十九条 对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。
对数据统计量、数据同一性等问题,侦查机关应当出具说明。
第二十条 公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。人民检察院在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。
对于提起公诉的案件,人民法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知人民检察院。
公安机关、人民检察院应当自收到通知后三日内移送电子数据或者补充有关材料。
第二十一条 控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
四、电子数据的审查与判断
第二十二条 对电子数据是否真实,应当着重审查以下内容:
(一)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;
(二)电子数据是否具有数字签名、数字证书等特殊标识;
(三)电子数据的收集、提取过程是否可以重现;
(四)电子数据如有增加、删除、修改等情形的,是否附有说明;
(五)电子数据的完整性是否可以保证。
第二十三条 对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:
(一)审查原始存储介质的扣押、封存状态;
(二)审查电子数据的收集、提取过程,查看录像;
(三)比对电子数据完整性校验值;
(四)与备份的电子数据进行比较;
(五)审查冻结后的访问操作日志;
(六)其他方法。
第二十四条 对收集、提取电子数据是否合法,应当着重审查以下内容:
(一)收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;
(二)收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚;
(三)是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像;
(四)电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
第二十五条 认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关ip地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
第二十六条 公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。
经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。
公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。
对电子数据涉及的专门性问题的报告,参照适用前三款规定。
第二十七条 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
(一)未以封存状态移送的;
(二)笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;
(三)对电子数据的名称、类别、格式等注明不清的;
(四)有其他瑕疵的。
第二十八条 电子数据具有下列情形之一的,不得作为定案的根据:
(一)电子数据系篡改、伪造或者无法确定真伪的;
(二)电子数据有增加、删除、修改等情形,影响电子数据真实性的;
(三)其他无法保证电子数据真实性的情形。
五、附则
第二十九条 本规定中下列用语的含义:
(一)存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。
(二)完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。
(三)网络远程勘验,是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。
(四)数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
(五)数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
(六)访问操作日志,是指为审查电子数据是否被增加、删除或者修改,由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。
第三十条 本规定自2016年10月1日起施行。之前发布的规范性文件与本规定不一致的,以本规定为准。
附录3 公安部《公安机关办理刑事案件电子数据取证规则》(2019年)
第一章 总 则
第一条 为规范公安机关办理刑事案件电子数据取证工作,确保电子数据取证质量,提高电子数据取证效率,根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定,制定本规则。
第二条 公安机关办理刑事案件应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取涉案电子数据,确保电子数据的真实、完整。
第三条 电子数据取证包括但不限于:
(一)收集、提取电子数据;
(二)电子数据检查和侦查实验;
(三)电子数据检验与鉴定。
第四条 公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的,应当保密;对于获取的材料与案件无关的,应当及时退还或者销毁。
第五条 公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。
第二章 收集提取电子数据
第一节 一般规定
第六条 收集、提取电子数据,应当由二名以上侦查人员进行。必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。
第七条 收集、提取电子数据,可以根据案情需要采取以下一种或者几种措施、方法:
(一)扣押、封存原始存储介质;
(二)现场提取电子数据;
(三)网络在线提取电子数据;
(四)冻结电子数据;
(五)调取电子数据。
第八条 具有下列情形之一的,可以采取打印、拍照或者录像等方式固定相关证据:
(一)无法扣押原始存储介质并且无法提取电子数据的;
(二)存在电子数据自毁功能或装置,需要及时固定相关证据的;
(三)需现场展示、查看相关电子数据的。
根据前款第二、三项的规定采取打印、拍照或者录像等方式固定相关证据后,能够扣押原始存储介质的,应当扣押原始存储介质;不能扣押原始存储介质但能够提取电子数据的,应当提取电子数据。
第九条 采取打印、拍照或者录像方式固定相关证据的,应当清晰反映电子数据的内容,并在相关笔录中注明采取打印、拍照或者录像等方式固定相关证据的原因,电子数据的存储位置、原始存储介质特征和所在位置等情况,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
第二节 扣押、封存原始存储介质
第十条 在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据,能够扣押原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
勘验、检查与电子数据有关的犯罪现场时,应当按照有关规范处置相关设备,扣押、封存原始存储介质。
第十一条 对扣押的原始存储介质,应当按照以下要求封存:
(一)保证在不解除封存状态的情况下,无法使用或者启动被封存的原始存储介质,必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存;
(二)封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况;必要时,照片还要清晰反映电子设备的内部存储介质细节;
(三)封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
第十二条 对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。
第十三条 对无法确定原始存储介质持有人(提供人)或者原始存储介质持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,应当在有关笔录中注明,由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的过程全程录像。
第十四条 扣押原始存储介质,应当收集证人证言以及犯罪嫌疑人供述和辩解等与原始存储介质相关联的证据。
第十五条 扣押原始存储介质时,可以向相关人员了解、收集并在有关笔录中注明以下情况:
(一)原始存储介质及应用系统管理情况,网络拓扑与系统架构情况,是否由多人使用及管理,管理及使用人员的身份情况;
(二)原始存储介质及应用系统管理的用户名、密码情况;
(三)原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其它移动存储介质,是否进行过备份,备份数据的存储位置等情况;
(四)其他相关的内容。
第三节 现场提取电子数据
第十六条 具有下列无法扣押原始存储介质情形之一的,可以现场提取电子数据:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;
(四)关闭电子设备会导致重要信息系统停止服务的;
(五)需通过现场提取电子数据排查可疑存储介质的;
(六)正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;
(七)其他无法扣押原始存储介质的情形。
无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。
第十七条 现场提取电子数据可以采取以下措施保护相关电子设备:
(一)及时将犯罪嫌疑人或者其他相关人员与电子设备分离;
(二)在未确定是否易丢失数据的情况下,不能关闭正在运行状态的电子设备;
(三)对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施;
(四)保护电源;
(五)有必要采取的其他保护措施。
第十八条 现场提取电子数据,应当遵守以下规定:
(一)不得将提取的数据存储在原始存储介质中;
(二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在笔录中记录所安装的程序及目的;
(三)应当在有关笔录中详细、准确记录实施的操作。
第十九条 现场提取电子数据,应当制作《电子数据现场提取笔录》,注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
第二十条 对提取的电子数据可以进行数据压缩,并在笔录中注明相应的方法和压缩后文件的完整性校验值。
第二十一条 由于客观原因无法由符合条件的人员担任见证人的,应当在《电子数据现场提取笔录》中注明情况,并全程录像,对录像文件应当计算完整性校验值并记入笔录。
第二十二条 对无法扣押的原始存储介质且无法一次性完成电子数据提取的,经登记、拍照或者录像后,可以封存后交其持有人(提供人)保管,并且开具《登记保存清单》一式两份,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),另一份连同照片或者录像资料附卷备查。
持有人(提供人)应当妥善保管,不得转移、变卖、毁损,不得解除封存状态,不得未经办案部门批准接入网络,不得对其中可能用作证据的电子数据增加、删除、修改。必要时,应当保持计算机信息系统处于开机状态。
对登记保存的原始存储介质,应当在七日以内作出处理决定,逾期不作出处理决定的,视为自动解除。经查明确实与案件无关的,应当在三日以内解除。
第四节 网络在线提取电子数据
第二十三条 对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
第二十四条 网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。
第二十五条 网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息:
(一)远程计算机信息系统的访问方式;
(二)提取的日期和时间;
(三)提取使用的工具和方法;
(四)电子数据的网络地址、存储路径或者数据提取时的进入步骤等;
(五)计算完整性校验值的过程和结果。
第二十六条 网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。
第二十七条 网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:
(一)需要分析、判断提取的电子数据范围的;
(二)需要展示或者描述电子数据内容或者状态的;
(三)需要在远程计算机信息系统中安装新的应用程序的;
(四)需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的;
(五)需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的;
(六)其他网络在线提取时需要进一步查明有关情况的情形。
第二十八条 网络远程勘验由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件,上级公安机关认为有必要时,可以直接组织指挥网络远程勘验。
第二十九条 网络远程勘验应当统一指挥,周密组织,明确分工,落实责任。
第三十条 网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照本规则第二十五条的规定录像,录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记入笔录。
第三十一条 远程勘验结束后,应当及时制作《远程勘验笔录》,详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。
远程勘验并且提取电子数据的,应当按照本规则第二十六条的规定,在《远程勘验笔录》注明有关情况,并附《电子数据提取固定清单》。
第三十二条 《远程勘验笔录》应当客观、全面、详细、准确、规范,能够作为还原远程计算机信息系统原始情况的依据,符合法定的证据要求。
对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,逐次制作补充《远程勘验笔录》。
第三十三条 网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。
采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照刑事诉讼法第一百五十四条规定执行。
第三十四条 对以下犯罪案件,网络在线提取、远程勘验过程应当全程同步录像:
(一)严重危害国家安全、公共安全的案件;
(二)电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件;
(三)社会影响较大的案件;
(四)犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件;
(五)其他需要全程同步录像的重大案件。
第三十五条 网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的,应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。
第五节 冻结电子数据
第三十六条 具有下列情形之一的,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
第三十七条 冻结电子数据,应当经县级以上公安机关负责人批准,制作《协助冻结电子数据通知书》,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
第三十八条 不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日以内制作《解除冻结电子数据通知书》,通知电子数据持有人、网络服务提供者或者有关部门执行。
第三十九条 冻结电子数据的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的,应当按照本规则第三十七条的规定重新办理冻结手续。逾期不办理继续冻结手续的,视为自动解除。
第四十条 冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)采取写保护措施;
(四)其他防止增加、删除、修改电子数据的措施。
第六节 调取电子数据
第四十一条 公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明,被调取单位、个人拒绝盖章、签名或者附说明的,公安机关应当注明。必要时,应当采用录音或者录像等方式固定证据内容及取证过程。
公安机关应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。
第四十二条 公安机关跨地域调查取证的,可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后,在传来的法律文书上加盖本地办案部门印章后,代为调查取证。
协作地办案部门代为调查取证后,可以将相关法律文书回执或者笔录邮寄至办案地公安机关,将电子数据或者电子数据的获取、查看工具和方法说明通过公安机关信息化系统传输至办案地公安机关。
办案地公安机关应当审查调取电子数据的完整性,对保证电子数据的完整性有疑问的,协作地办案部门应当重新代为调取。
第三章 电子数据的检查和侦查实验
第一节 电子数据检查
第四十三条 对扣押的原始存储介质或者提取的电子数据,需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式,以进一步发现和提取与案件相关的线索和证据时,可以进行电子数据检查。
第四十四条 电子数据检查,应当由二名以上具有专业技术的侦查人员进行。必要时,可以指派或者聘请有专门知识的人参加。
第四十五条 电子数据检查应当符合相关技术标准。
第四十六条 电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性。移交时,应当办理移交手续,并按照以下方式核对电子数据:
(一)核对其完整性校验值是否正确;
(二)核对封存的照片与当前封存的状态是否一致。
对于移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,检查人员应当在有关笔录中注明。
第四十七条 检查电子数据应当遵循以下原则:
(一)通过写保护设备接入到检查设备进行检查,或者制作电子数据备份、对备份进行检查;
(二)无法使用写保护设备且无法制作备份的,应当注明原因,并全程录像;
(三)检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况;
(四)检查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。
第四十八条 检查电子数据,应当制作《电子数据检查笔录》,记录以下内容:
(一)基本情况。包括检查的起止时间,指挥人员、检查人员的姓名、职务,检查的对象,检查的目的等;
(二)检查过程。包括检查过程使用的工具,检查的方法与步骤等;
(三)检查结果。包括通过检查发现的案件线索、电子数据等相关信息。
(四)其他需要记录的内容。
第四十九条 电子数据检查时需要提取电子数据的,应当制作《电子数据提取固定清单》,记录该电子数据的来源、提取方法和完整性校验值。
第二节 电子数据侦查实验
第五十条 为了查明案情,必要时,经县级以上公安机关负责人批准可以进行电子数据侦查实验。
第五十一条 电子数据侦查实验的任务包括:
(一)验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化;
(二)验证在一定时间内能否完成对电子数据的某种操作行为;
(三)验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果;
(四)确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据;
(五)其他需要验证的情况。
第五十二条 电子数据侦查实验应当符合以下要求:
(一)应当采取技术措施保护原始存储介质数据的完整性;
(二)有条件的,电子数据侦查实验应当进行二次以上;
(三)侦查实验使用的电子设备、网络环境等应当与发案现场一致或者基本一致;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验;
(四)禁止可能泄露公民信息或者影响非实验环境计算机信息系统正常运行的行为。
第五十三条 进行电子数据侦查实验,应当使用拍照、录像、录音、通信数据采集等一种或多种方式客观记录实验过程。
第五十四条 进行电子数据侦查实验,应当制作《电子数据侦查实验笔录》,记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签名或者盖章。
第四章 电子数据委托检验与鉴定
第五十五条 为了查明案情,解决案件中某些专门性问题,应当指派、聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告。
需要聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告的,应当经县级以上公安机关负责人批准。
第五十六条 侦查人员送检时,应当封存原始存储介质、采取相应措施保护电子数据完整性,并提供必要的案件相关信息。
第五十七条 公安部指定的机构及其承担检验工作的人员应当独立开展业务并承担相应责任,不受其他机构和个人影响。
第五十八条 公安部指定的机构应当按照法律规定和司法审判机关要求承担回避、保密、出庭作证等义务,并对报告的真实性、合法性负责。
公安部指定的机构应当运用科学方法进行检验、检测,并出具报告。
第五十九条 公安部指定的机构应当具备必需的仪器、设备并且依法通过资质认定或者实验室认可。
第六十条 委托公安部指定的机构出具报告的其他事宜,参照《公安机关鉴定规则》等有关规定执行。
第五章 附 则
第六十一条 本规则自2019年2月1日起施行。公安部之前发布的文件与本规则不一致的,以本规则为准。
附录4 国家工商行政管理总局关于工商行政管理机关电子数据证据取证工作的指导意见(工商市字〔2011〕248号)
各省、自治区、直辖市及计划单列市、副省级市工商行政管理局、市场监督管理局:
为规范工商行政管理机关电子数据证据取证工作,加强网络商品交易及有关服务违法行为查处工作,根据《中华人民共和国行政诉讼法》、《中华人民共和国电子签名法》、《最高人民法院关于行政诉讼证据若干问题的规定》以及《工商行政管理机关行政处罚程序规定》,现就工商行政管理机关电子数据证据(以下简称电子数据)取证工作提出如下指导意见:
一、电子数据取证是指工商行政管理执法人员在查处网络商品交易及有关服务违法行为时,运用技术手段收集、调取违法行为的电子数据证明材料或者与违法行为有关的其他电子数据材料。
二、本意见所称电子数据是指以电子数据的形式存在于计算机存储器或外部存储介质中,能够证明案件真实情况的电子数据证明材料或与案件有关的其他电子数据材料。
三、电子数据取证应当严格遵守国家法律、法规、规章的有关规定,除与案件有关联的电子数据外,不得随意复制、泄露案件当事人储存在计算机系统中的私人材料和商业秘密。
四、电子数据取证工作任务应当至少有2名执法人员参与进行,其中至少有1名人员应当熟练掌握计算机操作知识。
五、执法人员应当收集电子数据的原始载体。收集原始载体有困难的,可以采用以下四种方式取证,取证时应当注明制作方法、制作时间、制作人和证明对象等。
(一)书式固定。对于计算机系统中的文字、符号、图画等有证据效力的文件,可以将有关内容直接进行打印,按书面证据进行固定。书式固定应注明证据来源并保持其完整性。
(二)拍照摄像。如果电子数据中含有动态文字、图像、声音、视频或者需要专门软件才能显示的内容,可以采用拍照、录音或摄像方法,将其转化为视听资料证据。
(三)拷贝复制。执法人员可以将涉嫌违法的计算机文件拷贝到u盘或刻录到光盘等计算机存储设备,也可以对整个硬盘进行镜像备份。在复制之前,应当检验确认所准备的计算机存储设备完好且没有数据。在复制之后,应当及时检查复制的质量,防止因保存方式不当等导致复制不成功或被病毒感染,同时要现场封存好复制件。
案件当事人拒绝对打印的相关书证和转化的视听证据进行核对确认,执法人员应当注明原因,必要时可邀请与案件无关的第三方人员进行见证。
(四)委托分析。对于较为复杂的电子数据或者遇到数据被删除、篡改等执法人员难以解决的情况,可以委托具有资质的第三方电子数据鉴定机构或司法部门进行检验分析。
委托专业机构或司法部门分析时,执法人员应填写委托书,同时提交封存的计算机存储设备或相关设备清单。专业机构按规定程序和要求分析设备中包含的电子数据,提取与案件相关的电子数据,并制作鉴定结论。
六、在计算机终端设备中进行电子数据取证时,应当了解掌握提供证据单位的计算机的密码设置、应用软件安装、资料存放位置等情况。
七、在网络交易平台中进行电子数据取证时,按照《网络商品交易有及有关服务行为管理暂行办法》、《互联网信息服务管理办法》有关规定,网络服务经营者应提供有关数据,并在输出的电子数据书件上加盖公章予以确认。
八、工商行政管理机关查处违法案件涉及电子数据时,执法人员在案件现场应制作现场检查记录,现场检查记录应客观、详细、真实地记录计算机系统中显示与违法事实相关的内容和储存位置。
在案件调查阶段制作询问笔录中,对于现场检查记录、打印书证、拷贝复制文件时已经取得的电子数据内容,应专门询问案件当事人,并详细记载回答内容,使询问笔录与其他证据相互印证。
九、根据法律、法规的规定,执法人员对于专门用于违法经营的计算机系统中发现涉及违法经营的证据材料,经报请批准,可以直接对计算机及相关设备进行查封或扣押,防止案件当事人损毁、破坏数据。
十、对现场计算机设备实施行政强制措施进行查封时,其查封方法应当保证在不解除查封状态的情况下,无法使用被查封的设备。查封前后应当拍摄被查封计算机设备的照片,清晰反映封口或张贴封条处的状况。
请各地按照此文件精神,进一步规范电子数据取证工作。在实际工作中遇到的新情况新问题,请及时通报总局市场规范管理司。
国家工商行政管理总局
二〇一一年十二月十二日
附录5 中华全国律师协会律师办理电子数据证据业务操作指引(2012年)(节选)
第二章 电子数据证据的取证
第一节 电子数据证据的取证方式与流程(https://www.daowen.com)
第7条 律师开展电子数据证据取证工作的方式及要求
7.1 律师在办理案件过程中,可以根据案件需要采取如下方式开展电子数据证据取证工作:
(一)指导当事人开展电子数据证据取证工作;
(二)自行开展电子数据证据取证工作;
(三)聘请鉴定机构开展电子数据证据鉴定工作;
(四)申请公证机关进行电子数据证据保全;
(五)申请人民法院、人民检察院、仲裁委员会等有权机关进行电子数据证据的收集和保全;
(六)请求网络运营服务商等第三方进行电子数据证据的固定与保管。
7.2 律师采取第(一)、(二)、(三)、(六)种方式开展电子数据证据取证的,可以申请公证机关进行全程录像公证、全程文字记录公证或者提存镜像报告公证等。
7.3 律师采取第(一)、(二)、(四)种方式开展电子数据证据取证的,可以借助专业的电子数据取证设备或软件,或者寻求鉴定机构等专业技术服务机构提供的电子数据证据收集、固定等相关技术服务。
7.4 律师采取第(三)、(四)、(六)种方式开展电子数据证据取证的,可以协助鉴定机构、公证机关或者第三方确定电子数据证据的取证范围和制定方案。
第8条 律师配合公安司法机关进行电子数据证据取证
律师办理刑事案件涉及电子数据证据的,应当依法向公安司法机关报案或者报告,并根据本指引配合开展电子数据证据取证工作。
第9条 律师配合行政执法机关进行电子数据证据取证
律师办理行政案件涉及电子数据证据的,可以向行政执法机关报案或者报告,并根据本指引配合开展电子数据证据取证工作。
第10条 律师申请公证机关进行电子数据证据公证
10.1 电子数据证据公证主要包括电子数据证据的内容公证(包括网页公证、电子邮件公证、聊天记录公证、手机数据公证等)、电子数据证据的存储位置以及软硬件环境公证、电子数据证据的文本公证、电子取证行为公证、镜像复制的行为公证、电子数据证据及取证报告的提存公证等。
10.2 律师根据诉讼需要申请进行电子数据证据公证的,可以与公证机构商定公证项目。
第11条 律师申请鉴定机构进行电子数据司法鉴定
11.1 电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施,也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。
11.2 律师根据诉讼需要委托鉴定机构进行电子数据证据司法鉴定的,可以与鉴定机构商定鉴定项目。
第12条 律师开展电子数据证据取证工作的流程
律师自行开展或者协助、配合开展电子数据证据的取证工作,主要包括临场保护、外围调查、电子数据证据等的收集与固定以及电子数据证据的检验分析、审查判断等环节。
第13条 律师开展电子数据证据取证工作的记录
律师自行开展或者协助、配合开展电子数据证据的取证工作,应当对取证过程进行记录,并签字和注明时间。
第二节 临场保护与外围调查
第14条 律师对电子设备的场所与环境进行临场保护的任务
律师发现电子设备中可能存在涉案电子数据证据的,应当视不同情况及时采取或者协助、配合采取相关措施,对电子设备所在的场所、所接入的网络环境进行控制与保护。
第15条 律师对电子设备的场所与环境进行临场保护的要求
进行临场控制与保护时,律师可以采取措施避免或者防止任何人采取可能导致原始电子数据证据发生改变的任何操作。
第16条 律师对电子设备的场所与环境进行外围调查
16.1 进行临场控制与保护时,律师可以及时开展或者协助、配合开展外围调查,对有关的当事人陈述、证人证言、书证等进行收集、固定;必要时还可以对电子设备的购买记录、领用记录、归还记录及使用情况等进行收集、固定,并制作相关笔录,请有关人员签字确认。
16.2 律师发现电子设备正在运行、且继续运行可能会导致涉案电子数据证据灭失或受损的,应当根据具体情况采取或者协助、配合采取切断电源、断开网络、屏蔽信号等相应的应急措施。必要时,律师可自行或者协助、配合对易丢失电子数据证据进行紧急收集与固定。
16.3 律师发现电子设备正在显示或生成涉案电子数据证据的,应当采取或者协助、配合采取拍照、录像等方式,对屏幕显示的内容进行记录,并在记录中签字和注明时间。
第三节 电子数据证据等的收集与固定
第17条 律师制定电子数据证据收集与固定的方案与计划
17.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,必要时可以在具有专门知识的人的协助下,制定电子数据证据收集与固定的方案与计划。
17.2 上述电子数据证据收集与固定的方案与计划主要包括:
(一)现场获取的目的和范围;
(二)锁定目标设备及其范围;
(三)现场获取人员的分工与责任;
(四)进行电子数据证据现场获取所需携带的取证设备、取证软件;
(五)现场获取采用的技术规范;
(六)电子数据证据现场获取的具体方案;
(七)电子数据证据现场获取的应急措施或替代方案。
第18条 律师制定电子数据证据收集与固定方案与计划的合法性要求
律师制定电子数据证据收集与固定的方案与计划时应当注意取证手段和方式的合法性,不得通过窃取、入侵等非法方法取证。
第19条 律师开展电子数据证据取证的先行取证要求
律师自行开展或者协助、配合开展电子数据证据的取证工作,必要时可以自行或者建议先行提取电子设备上的指纹信息,采集汗液、毛发等生物样本。
第20条 律师开展电子数据证据取证的镜像复制要求
20.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,具备条件的应当制作原始存储介质的镜像复制件,并对原始存储介质进行封存,避免或者防止原始电子数据证据发生任何改变。制作镜像复制件的,以一式两份为宜。
20.2 因客观原因不能封存原始存储介质或制作镜像复制件的,可以采取写保护方法对电子数据证据进行收集与固定,并妥善保管原始存储介质。
第21条 律师制作镜像复制件的安全性与完整性要求
21.1 律师制作或者协助、配合制作原始存储介质的镜像复制件,应当确保原始存储介质的安全及其中数据的完整性。
21.2 因客观原因不能封存原始存储介质或者不能保证电子数据证据的完整性的,应当向当事人说明事由及可能产生的影响,并征得当事人的书面同意。
第22条 律师封存电子设备、存储介质的注意事项
律师封存或者协助、配合封存电子设备、存储介质的,应当注意记录反映其特定性的标识信息(包括序列号、识别码、用户标识、品牌、厂商、型号、容量等),并注明或者告知妥善保管的注意事项。
第23条 律师制作镜像复制件的注意事项
23.1 律师制作或者协助、配合制作镜像复制件,可以交由或者聘请具有相关资质或能力的专业人员实施,并记录反映其中电子数据证据完整性的校验信息。
23.2 必要时,律师可以将含有校验信息的镜像复制报告提交公证处,进行提存公证。
23.3 因客观原因无法产生校验信息的,律师可以及时采取适当的措施对原始存储介质进行封存以保证其数据完整性。
第24条 律师对附属信息、关联痕迹、系统环境信息数据的收集与固定要求
24.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,可以一并收集与固定与电子数据有关的附属信息、关联痕迹、系统环境信息数据。
24.2 这些附属信息、关联痕迹、系统环境信息数据主要包括:
(一)存储介质的状态,确认是否存在异常状况等;
(二)电子设备中正在运行的进程;
(三)用户操作产生的临时文件;
(四)日志文件;
(五)操作系统信息,包括系统版本号、注册所有者、安装日期、管理员与用户账号、登录次数、最后一次关机时间等;
(六)尚未永久存储的电子数据;
(七)共享的网络驱动器、文件夹信息和共享设置选项信息;
(八)网络连接信息,包括拨号信息、vpn、无线网络连接及其连接的名称、网络映射信息等;
(九)保证数据独立于电子数据存储介质的软硬件信息;
(十)备份数据以及所有者、备份时间等相关信息。
第25条 律师对互联网上电子数据证据的收集与固定
25.1 对于来源于互联网上的电子数据证据,律师可以申请公证机关进行公证保全,或者申请人民法院进行诉前或仲裁前证据保全。
25.2 依照本章申请保全的,应当遵守民事诉讼法的相关规定,同时注意参照中国公证协会《办理保全互联网电子数据公证的指导意见》以及本节a“电子数据证据的公证保全”的有关规定。
第26条 律师对利害关系人没有争议的、档案部门正常保管的电子数据证据的收集与固定
26.1 对于利害关系人没有争议的或者档案部门正常保管的电子数据证据,律师可以采用打印、拍照等方式转化为纸质文档,并注明打印、拍照的时间、地点,邀请当事人或者证据持有人在纸质文档上签章确认,必要时邀请见证人见证、进行全程录音录像或者通过第三方制作提取笔录。
26.2 对于转化得来的纸质文档,可以按照对待书证的方法予以保管。
第27条 律师对交互式设备中电子数据证据的收集与固定
27.1 对于交互式电子设备中电子数据证据,律师可以固定和保全本方电子设备的电子数据证据,也可以固定和保全对方当事人、第三方(如通讯网络服务商等)电子设备中的电子数据证据。
27.2 固定和保全对方当事人、第三方持有的电子数据证据的,可以采取以下两种途径:
(一)通过对方当事人、第三方查询并固定相关的电子数据证据,必要时申请公证机关对取证过程进行公证;
(二)通过向人民法院申请调查令或诉前证据保全的方式,向对方当事人、第三方调取相关的电子数据证据。
27.3 律师向人民法院申请调查令或诉前证据保全的,可以向法院提交存储电子数据证据的电子设备或者存储介质的准确地点。
第28条 律师运输、保管、转移、使用电子设备、存储介质及电子数据证据的注意事项
28.1 电子设备、存储介质及其电子数据证据的运输、保管应当做好防磁、防震、防热、防潮等措施,避免造成设备、介质损坏或者数据变化。除以上一般保护措施外,对于有网络连接的移动通讯设备还可以采取信号屏蔽等特殊保护措施。
28.2 律师在保管、转移或使用电子数据证据及其上述载体时,可以同步制作相应的保管记录、转移记录和使用记录。
第三节a 电子数据证据的公证保全
第29条 律师可以申请电子数据证据公证保全
律师申请电子数据证据公证保全的,可以要求公证机关采用录屏软件或者录像进行记录。在对网页进行保全时,除了涉案网页外,可以申请一并对有关的网页快照或者转载进行公证保全。
第30条 电子数据证据公证保全的操作者
30.1 律师申请电子数据证据公证保全的,证明法律行为的公证可以由当事人或其委托的代理人进行行为操作,证明法律事件的公证应当由公证人员亲自进行行为操作。
30.2 在条件允许的情况下,应当由公证机构作为电子数据证据收集与固定的主体,律师仅对相关工作的目标、方法、步骤进行指导和要求。
第31条 电子数据证据公证保全的技术方案与计划
对电子数据证据进行收集与固定时,应当由具有专门知识的人或者公证人员按事先拟定的技术方案与计划进行操作。对公证的过程中的违法操作行为,律师应当及时向公证机构或者公证人员提出。
第32条 电子数据证据公证保全的场所
律师申请电子数据证据公证保全的,应当在公证机构或者专业技术服务机构的工作场所进行。由于技术条件的限制等客观原因需要在本方当事人工作场所进行的,律师可以建议公证人员对所公证的网络环境、电子设备进行清洁性检查。
第33条 电子数据证据公证保全的使用设备
律师申请电子数据证据公证保全的,原则上应当使用公证机构或者专业技术服务机构提供的设备。由于技术条件的限制等客观原因需要使用本方当事人提供的设备的,律师可以建议公证人员对公证所用的电脑或其他设备、网络环境进行清洁性检查。
第34条 电子数据证据公证保全的一般要求
律师申请电子数据证据公证保全的,可以建议公证人员保证电子数据证据的完整性,保证电脑系统、辅助软件和分析方法必须安全可信;提醒公证人员详细如实记录整个公证的过程,记录的内容应当真实、客观、准确、完整、清晰,记录的文本或者音像应当妥善保存。
第35条 电子数据证据公证保全的特别措施
对于下列电子数据证据申请公证保全的,律师可以建议公证人员采取特别措施:
(一)对于设置了限制打印等技术障碍的电子数据证据,详细记录破解障碍、完整打印的过程;
(二)对于需要下载的电子数据证据,注意是否被限制下载,若被限制则通过全程录像进行保全;
(三)对于电话录音、电子音频聊天记录等包含言词内容的电子数据证据,审查、核实陈述该言词的特定人的身份。
第36条 电子数据证据公证保全的合法性要求
电子数据证据的保全公证,律师可以建议公证人员注意获取证据手段的合法性,审查核实操作人的权限,以防止侵犯他人隐私权和个人信息权等合法权益。
第37条 电子数据证据公证书的审查
公证机关出具公证书后,律师应当及时审查其形式和内容。对不符合形式要求、记载错误的,应当及时要求公证人员补正。
第四节 电子数据证据的检验分析
第38条 律师可以对电子数据证据进行检验分析
为了查明案件事实的需要,律师可以对电子设备或存储介质中的电子数据证据进行检验分析。需要采取技术手段的,律师可以邀请并协助、配合具有专门知识的人开展工作,共同制定电子数据证据检验分析方案。必要时,律师可自行委托或者申请有权机关委托司法鉴定。
第39条 律师对电子数据证据检验分析的原则
律师开展电子数据证据检验分析工作,原则上应当在复制件上进行或者采取写保护方式进行。
第40条 律师对电子数据证据检验分析的方法
律师开展电子数据证据检验分析工作,可以按照涉案人员、时间顺序、争议事实等要素进行,必要时可以聘请具有专门知识的人采取数据搜索、数据恢复、数据修复等方法进行技术辅助。
第41条 律师对电子数据证据检验分析的目的
律师开展电子数据证据检验分析工作,应当注意全面调取数据内容、附属信息、关联痕迹以及系统环境信息,进行综合评断。
第42条 律师对电子数据证据检验分析的技巧
律师开展电子数据证据检验分析工作时发现涉案电子数据证据的,可以此为线索扩大查找其他涉案的电子数据证据和传统证据,以重建虚拟空间的案件事实。
第43条 律师对电子数据证据检验分析可以借助司法鉴定等
43.1 对于电子设备或存储介质中涉案电子数据证据的真实性等专业性问题存在疑问的,律师可以自行委托或者申请有权机关委托司法鉴定或者专业性审查,也可以收集、固定有关的传统证据或者来自第三方的电子数据证据等进行佐证。
43.2 依照本章进行司法鉴定的,应当参照本节a“电子数据司法鉴定” 的专门规定。
第四节a 电子数据司法鉴定
第44条 电子数据司法鉴定的主要项目
根据国家发改委和司法部发布的《司法鉴定收费管理办法》的相关规定,电子数据司法鉴定的主要项目包括硬盘检验、服务器检验、手机机身检验、注册表检验鉴定、软件一致性检验鉴定、软件功能检验、文件一致性检验鉴定、数据库数据恢复、密码破解、电子数据鉴定文证复审等。
第45条 律师对电子数据司法鉴定主体的审查
律师申请电子数据司法鉴定的,应当注意审查判断有关的司法鉴定机构及其鉴定人员是否具备相应的资质以及专业的软硬件设备。
第46条 律师对电子数据司法鉴定工作的配合
律师申请电子数据司法鉴定的,可以保持与鉴定机构的联系,对电子数据固定提取的过程及详细情况向相关鉴定人员及时做出陈述及说明。
第47条 律师对电子数据司法鉴定文书的审查
律师在收到司法鉴定机构出具的鉴定文书后,应当进行审查。发现鉴定文书不符合相关内容和形式要求的,应当向司法鉴定机构要求补正;对于鉴定过程和鉴定意见存在疑问的,律师应当及时要求司法鉴定人员给予解释和说明。
第五节 电子数据证据的审查判断附录6 电子数据司法鉴定通用实施规范
第48条 律师审查判断电子数据证据的原则
律师对于电子数据证据进行审查判断,应遵循非歧视原则。不得仅以该种证据系电子形式为由而限制或者剥夺其证据能力和证明力。
第49条 律师审查判断电子数据证据的内容
律师对电子数据证据的证据能力与证明力进行审查判断,应当重点审查电子数据证据的合法性、关联性、原始性、真实性、完整性与充分性。
第50条 律师对电子数据证据合法性的审查判断
律师对于本方以非法手段或方式收集的电子数据证据或者严重侵犯他人合法权益取得的电子数据证据,应当避免提交法庭;对于本方收集但存在手续欠缺、程序瑕疵等问题的电子数据证据,应当采取适当方法予以补强或者转化。
第51条 律师对电子数据证据关联性的审查判断
律师审查电子数据证据的关联性,应当结合待证事实进行审查,必要时可以通过技术手段加以辅助审查。
第52条 律师对电子数据证据完整性与真实性的审查判断
52.1 律师审查电子数据证据的完整性与真实性,可以就以下各方面进行考察:
(一)电子数据证据的收集、保管主体;
(二)电子数据证据是否由电子设备正常运行而产生;
(三)电子数据证据是否由电子设备自动生成;
(四)电子数据证据的内容是否得到完整提取和精确复制;
(五)收集的有关外围信息是否全面;
(六)收集、保管的记录等是否构成完整的证据保管链;
(七)收集、保管的方法能否确保原始介质及其中的电子数据证据至提交时不发生实质性的变化。
52.2 必要时,律师可以聘请具有专门知识的人对电子数据证据的内容及取证措施进行技术性审查,判断是否存在技术问题。
第53条 律师对电子数据证据充分性的审查判断
律师审查判断电子数据证据的充分性,应当考察电子数据证据之间、电子数据证据与传统证据之间是否构成完整的证据体系。
第54条 律师对电子数据证据审查判断后的特殊处置
54.1 律师对电子数据证据进行审查判断后发现在网络服务商、网站等第三方另存有电子数据证据的,可以自行调查或者申请有权机关进行调取。
54.2 律师对电子数据证据进行审查判断后发现对方当事人藏匿电子数据证据的,可以申请办案部门责令对方当事人提交。
目次
前言
引言
1范围
2规范性引用文件
3术语和定义
4电子数据鉴定基本原则
5电子数据鉴定通用程序
6电子数据鉴定通用要求
参考文献
前 言
本技术规范按照gb/t 1.1-2009的规则起草。
本技术规范由司法部司法鉴定管理局提出并归口。
本技术规范由国家信息中心电子数据司法鉴定中心联合司法部司法鉴定科学技术研究所、上海辰星电子数据司法鉴定中心共同起草。
本技术规范主要起草人:叶红、王笑强、张羽、魏连、施少培、杨旭、李岩、金波、郭弘、黄道丽、徐隽。
本技术规范为首次发布。
引 言
本规范主要解决电子数据司法鉴定的基本定位、法律要求、程序规范和通用性技术要求,依据cnas、iso/iec中检测实验室的相关标准及行业政策法规,结合电子数据司法鉴定的实际工作,对鉴定活动中所涉及的操作行为、工具设备、鉴定方法以及实施环境提出规范性要求,对鉴定各环节进行任务分解和权责划分,为电子数据司法鉴定的统一规范提供标准依据。
1 范围
本技术规范规定了电子数据司法鉴定的通用实施程序和通用要求,包括鉴定实施中必要环节的程序规范以及技术管理要求。
本技术规范适用于指导电子数据司法鉴定机构和鉴定人员从事司法鉴定业务。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 术语和定义
3.1 电子数据electronic data
基于计算机应用和通信等电子化技术手段形成的信息数据,包括以电子形式存储、处理、传输、表达的静态数据和动态数据。
3.2 存储介质storage medium
承载电子数据的各类载体或设备。
示例:常见存储介质包括硬盘、光盘、闪存等。
3.3 检材material for examination
电子数据鉴定中的检验对象。
3.4 样本material for comparison
电子数据鉴定中用于同检材进行比对检验的电子数据。
3.5 原始电子数据original electronic data
委托鉴定时送检的检材或样本中包含的电子数据。
3.6 电子数据副本duplication of electronic data
通过逐比特复制,获得的与被复制数据完全一致的数据。
3.7 完整性校验integrity check
确保数据复制结果与被复制数据完全一致的校验性比对过程。
3.8 散列值hash value
又称哈希值或校验码,是通过特定的散列算法把任意长度的输入数据变换成固定长度的输出值,用于标识电子数据的唯一性或完整性。
示例:常用散列算法包括md5、sha1和sha256等。
4 电子数据鉴定基本原则
4.1 原始性原则
电子数据鉴定应以保证检材/样本的原始性为首要原则,禁止任何不当操作对检材/样本原始状态的更改。
4.2 完整性原则
条件允许情况下,电子数据鉴定应首先对原始电子数据制作电子数据副本,并进行完整性校验,确保电子数据副本与原始电子数据的一致性。
4.3 安全性原则
电子数据鉴定原则上以电子数据副本为操作对象,检材/样本应封存妥善保管以确保安全。整个检验鉴定过程应在安全可控的环境中进行。
4.4 可靠性原则
电子数据鉴定所使用的技术方法、检验环境、软硬件设备应经过检测和验证,确保鉴定过程、鉴定结果的准确可靠。
4.5 可重现原则
电子数据鉴定应通过及时记录、数据备份等方式,保证鉴定结果的可重现性。
4.6 可追溯原则
电子数据鉴定过程应受到监督和控制,通过责任划分、记录标识和过程监督等方式,满足追溯性要求。
4.7 及时性原则
对委托鉴定的动态、时效性电子数据,应及时进行数据固定与保存,防止数据改变和丢失。
5 电子数据鉴定通用程序
5.1 案件受理
5.1.1 受理方式
案件受理实行程序审核与技术审核相结合的方式,对确认符合受理规定的应予以受理。
5.1.2 程序审核
审核委托方提供的委托书、身份证明、检材等委托材料,对手续齐全的予以确认。
5.1.3 技术审核
5.1.3.1 审核检材/样本的送检状态,使用拍照、录像等方式记录其外观和标识,并确认委托方要求鉴定的电子数据。
5.1.3.2 审核委托方的鉴定要求,通过相互沟通,引导其提出科学、合理、明确的鉴定要求。
5.1.3.3 审核鉴定要求与检材/样本的技术关联性,从技术层面确认委托鉴定要求的有效性和可行性。
5.1.4 受理规则
5.1.4.1 如有以下情况不予受理:
a)经审核委托材料不齐全、委托鉴定要求不具备有效性和可行性,同时无法补充完善的;
b)《司法鉴定程序通则》中第十六条规定的不得受理的情况。
5.1.4.2 对不能当场决定是否受理的,可先行接收进行检验,并向委托方出具送检材料收领单。检验应在七个工作日内完成,确认是否受理并告知委托方。
5.1.4.3 经审核决定受理的,应与委托方签订司法鉴定委托协议书。否则,应完整退还委托方提供的所有委托材料。
5.2 检验/鉴定
5.2.1 方案制定
5.2.1.1 案件受理后,应成立由两名以上鉴定人(含两人)组成的鉴定组共同实施鉴定。
5.2.1.2 根据委托要求、检材及样本的情况,鉴定组讨论确定鉴定方案,鉴定方案主要包括技术路线、使用方法、设备软件、鉴定进度计划等。
5.2.1.3 根据鉴定要求如需补充材料,应及时书面告知委托方,并调整鉴定方案。委托方提供补充材料所需时间不计算在鉴定时限内。
5.2.2 鉴定实施
5.2.2.1 电子数据检验鉴定原则上以电子数据副本作为操作对象,对可制作电子数据副本的检材应先制作电子数据副本,并计算散列值进行完整性校验,制作完成后检材应妥善保管。
5.2.2.2 对不能制作电子数据副本的,应在操作过程中采取可能的写保护措施,并采用拍照、录像等方式记录所有对检材的操作行为。
5.2.2.3 如遇特殊情况,需要以检材作为操作对象并可能对其造成修改时,必须经委托人书面同意,并记录说明所有对检材的具体操作及结果。
5.2.2.4 检验鉴定的操作过程应严格遵守方案所选择的鉴定方法,合理使用设备仪器进行电子数据司法鉴定工作。
5.2.2.5 检验鉴定应详细记录鉴定操作的每个步骤以及阶段性结论。
5.3 文书出具
5.3.1 文书起草
5.3.1.1 鉴定文书应依据《司法鉴定程序通则》和《司法鉴定文书规范》中要求的规范格式进行制作。
5.3.1.2 鉴定文书应如实按照鉴定组讨论形成的意见进行起草,真实客观的反映整个检验鉴定过程。
5.3.2 文书发放
5.3.2.1 鉴定文书制作完成后,应进行内容核对和文字校对,并经相关负责人复核和签发后方可出具。
5.3.2.2 鉴定文书应按约定的方式及时送达委托方,并留存送达回证。
5.4 出庭作证
5.4.1 出庭
5.4.1.1 依法出庭质证是鉴定人应当履行的法律义务。接到审判机关的出庭通知后,鉴定人如无正当理由应准时参加庭审,并客观忠实回答有关鉴定文书的各项问题。
5.4.1.2 鉴定人出庭前应全面掌握鉴定文书的相关情况,包括送检材料、鉴定要求、检验过程和方法、鉴定结论和主要依据等,并准备必要的计算机设备和软硬件环境以便进行鉴定结论展示。
5.4.2 质证
5.4.2.1 鉴定人在庭审中回答问题应简练准确,尽量使用通俗、规范的语言进行解释说明。
5.4.2.2 鉴定人接受当庭询问只限于回答与鉴定文书相关的内容,对涉及国家秘密、个人隐私、技术保密以及与鉴定无关的内容,鉴定人可以向法庭说明理由并拒绝回答。
6 电子数据鉴定通用要求
6.1 鉴定人员
6.1.1 从事电子数据鉴定人员必须取得鉴定执业资格。
6.1.2 新入职的检验鉴定人员必须经过培训才可上岗。鉴定人员应定期接受专业培训,培训可采用在职、脱产或其他适当形式。
6.1.2.1 当检验标准、检验方法、人员岗位和鉴定设备发生变化时,应及时对在岗人员进行培训。
6.2 设备环境
6.2.1 应配备合理的实验室环境,设置门禁管理系统,铺设防静电地板。有手机检验项目的,还应配备必要的手机信号屏蔽设施。
6.2.2 应配备计算机系统及信息网络安全防护措施,及时对防入侵、防病毒软件设备进行升级。
6.2.3 应配置满足电子数据鉴定所必需的工具设备,具体可参照《司法鉴定机构仪器设备配置标准》文件执行。
6.2.4 应对工具设备进行定期维护,并记录仪器设备的使用状态。
6.3 鉴定材料流转和保存
6.3.1 标识
6.3.1.1 在不影响读取的前提下,应在检材/样本上粘贴唯一性标识。
6.3.1.2 无法直接粘贴标识的,可在检材/样本的外包装上进行标识。
6.3.2 交接
6.3.2.1 检材/样本在流转过程中应办理交接手续。
6.3.2.2 在检验鉴定过程中,应妥善保存送检材料,防止其损坏或遗失。
6.3.3 保存
6.3.3.1 同一案件的送检材料应集中放置于一处,放置处应标明案件唯一性标识等信息。
6.3.3.2 应在专门防磁、防静电的存储环境中保存送检材料。
6.4 鉴定方法
6.4.1 应优先使用以国家标准、行业标准或地方标准发布的方法。
6.4.2 当没有以国家、行业、地方标准发布的方法时,可根据具体鉴定要求,参照权威组织、有关科学书籍、期刊公布的方法,自行设计制定适用的鉴定方法。自行制定的鉴定方法,在使用前应通过司法部门组织的专家确认。
6.5 检验记录
6.5.1 检验鉴定过程中,与鉴定活动有关的情况应及时、客观、全面地记录,记录方式包括文字、拍照、截图、录像等。
6.5.2 检验记录应包括以下主要内容:
a)案件编号、检材编号、鉴定要求、检材的基本属性及状态描述;
b)使用的鉴定方法、仪器设备、软件及软件版本号;
c)鉴定步骤、操作结果、鉴定对象特征、鉴定发现;
d)鉴定人员签名、时间记录;
6.5.3 检验记录中的文字表述应准确、无歧义,拍照、录像等材料应清晰可辨识。
6.6 档案管理
6.6.1 应将司法鉴定文书以及在鉴定过程中形成的有关材料整理立卷,归档保存。
6.6.2 应在鉴定完成后及时完成立卷归档工作,并作好档案材料移交记录。
6.6.3 刑事案件档案保管期限为永久保管,其他案件档案保管期限不少于5年。保管期限从该鉴定事项办结后的下一年度起算。
6.6.4 应定期对档案进行检查和清点,防止档案受损。
参考文献
[1]ga/t754-2008电子数据存储介质复制工具要求及检测方法
[2]ga/t755-2008电子数据存储介质写保护设备要求及检测方法
[3]ga/t756-2008数字化设备证据数据发现提取固定方法
[4]ga/t757-2008程序功能检验方法
[5]ga/t976-2012电子数据法庭科学鉴定通用方法
[6]sf/zjd0300001-2010声像资料鉴定通用规范
[7]cnas-cl01检测和校准实验室能力认可准则
[8]cnas-cl27检测和校准实验室能力认可准则在电子物证检验领域的应用说明
[9]司法鉴定程序通则,2007年10月1日
[10]司法鉴定文书规范,2007年10月1日
[11]司法鉴定机构仪器设备配置标准,2012年3月1日