2023年11月29日发(作者:)
电子证据提取保存及注意要点
电子证据提取保存及注意要点
现根据《刑法》、《刑事诉讼法》、《关于办理危害计算机信息
系统安全刑事案件应用法律若干问题的解释》(文号:法释
[2011]19号)、《计算机犯罪现场勘验与电子证据检查规则》
(文号:公信安[2005]161号)、《关于办理网络犯罪案件适用
刑事诉讼程序若干问题的意见》(文号:公通字[2014]10号)、
《公安机关刑事案件现场勘验检查规则》(文号:公通字
[2005]54号)等有关法律、法规,归纳出电子证据质证的十
个重点问题,并对其法律规范、相关辩点进行汇总。
一、计算机犯罪现场勘验与电子证据检查的组织实施、操作
人员、公民见证有关规定:
1、计算机犯罪现场勘验与电子证据检查,由县级以上公安
机关公共信息网络安全监察部门负责组织实施。
2、对计算机犯罪现场勘验与电子证据检查,不得少于二人,
并遵循办案人员与检查人员分离的原则。检查工作应由具备
电子证据检查技能的专业技术人员实施。执行现场勘验、检
查工作的人员,应佩戴公安部统一制发的《刑事案件现场勘
验检查证》。
3、对计算机犯罪现场的勘验,应邀请一至二名与案件无关
的公民作为见证人,公安司法人员不得作为见证人。
相关条文:《计算机犯罪现场勘验与电子证据检查规则》第
二章、《公安机关刑事案件现场勘验检查规则》第三十二条。
本部分辩点:
1、计算机犯罪现场勘验与电子证据检查的组织实施工作的
主体,是否具备以下两点:(1)县级以上的公安机关;(2)
公 安机关的公共信息网络安全监察部门。
2、对于计算机犯罪现场勘验与电子证据检查的操作人员,
看以下方面:(1)实施人员是否达到两人以上;(2)办案人
员与检查人员是否分离;(3)检查工作的实施人员是否具备
相应的专业技能;(4)有无佩戴《刑事案件现场勘验检查证》。
3、对于见证人:(1)人数;(2)是否与案件有关;(3)是
否公安司法人员。
二、现场保护有关规定:
1、案发地公安机关接到报警后,应迅速派员赶赴现场,进
行现场保护,负责保护现场的警察除保护物证等紧急情况
外,不得进入现场、不得触动现场痕迹与物品。处理紧急状
况时,也应尽可能避免破坏现场的痕迹、物品。
2、现场保护的时间:从发现刑事案件现场开始,至现场勘
验、检查结束。不能完成现场勘验、检查的,继续对整个或
部分现场进行保护。
相关条文:《公安机关刑事案件现场勘验检查规则》第三章。
本部分辩点:
1、公安机关有无履行保护现场的职责?
2、保护现场的警察有无进入现场、有误触动现场痕迹与物
品?如有,则原因为何?
3、现场保护的开始时间与结束时间。
三、电子数据的取证、审查有关规定:
1、收集、提取电子数据,能够获取原始储存介质的,应当
存封原始储存介质,并应制作笔录,记录其存封状态。笔录
由侦查人员、该介质持有人签名或盖章。持有人无法签名或
拒绝签名的,应当在笔录中注明,由见证人签名或盖章。有
条件的,侦查人员应对相关活动进行录像。
2、具有下列情形之一,无法获取原始存储介质的,可以提
取电子数据,但应当在笔录中注明不能获取原始存储介质的
原因、原始存储介质的存放地点等情况,并由侦查人员、电
子数据持有人、提供人签名或者盖章;持有人、提供人无法
签名或者拒绝签名的,应当在笔录中注明,由见证人签名或
者盖章;有条件的,侦查人员应当对相关活动进行录像:(1)
原始存储介质不便封存的;(2)提取计算机内存存储的数据、
网络传输的数据等不是存储在存储介质上的电子数据的;
(3)原始存储介质位于境外的;(4)其他无法获取原始存
储介质的情形。
3、收集、提取电子数据应当制作笔录,记录案由、对象、
内容,收集、提取电子数据的时间、地点、方法、过程,电
子数据的清单、规格、类别、文件格式、完整性校验值等,
并由收集、提取电子数据的侦查人员签名或者盖章。远程提
取电子数据的,应当说明原因,有条件的,应当对相关活动
进行录像。通过数据恢复、破解等方式获取被删除、隐藏或
者加密的电子数据的,应当对恢复、破解过程和方法作出说
明。
4、收集、提取的原始存储介质或者电子数据,应当以封存
状态随案移送,并制作电子数据的复制件一并移送。
5、对文档、图片、网页等可以直接展示的电子数据,可以
本部分辩点:
1、有无存封原始介质?存封原始介质的笔录是否由侦查人
员和介质持有人签章?若介质持有人拒绝签章,则有无记入
笔录、有无见证人签字?有无录像?
2、需要提取电子数据的,提取电子数据的原因为何?有无
在笔录中记载相关情况?笔录有谁签字?持有人、提供人没
签名的,有无在笔录中记载、有无见证人签字?有无录像?
3、收集、提取电子数据的,有无制作笔录?笔录的内容是
否完整?笔录由谁签字?远程提取电子数据的,原因何在、
有无录像?通过数据恢复、破解等方式获取被删除、隐藏或
四、电子证据的固定、存封有关规定:
1、作为证据使用的存储媒介、电子设备和电子数据应当在
现场固定或封存。
2、根据《计算机犯罪现场勘验与电子证据检查规则》第十
三条规定,封存电子设备和存储媒介的方法是:(1)采用的封
存方法应当保证在不解除封存状态的情况下,无法使用被封
存的存储媒介和启动被封存电子设备。(2)封存前后应当拍摄
被封存电子设备和存储媒介的照片并制作《封存电子证据清
单》,照片应当从各个角度反映设备封存前后的状况,清晰
反映封口或张贴封条处的状况。
3、固定存储媒介和电子数据包括以下方式:(1)完整性校验
方式,是指计算电子数据和存储媒介的完整性校验值,并制
作、填写《固定电子证据清单》;(2)备份方式,是指复制、
制作原始存储媒介的备份,并依照《计算机犯罪现场勘验与
电子证据检查规则》第十三条规定的方法封存原始存储媒
介;(3)封存方式,对于无法计算存储媒介完整性校验值或制
作备份的情形,应当依照《计算机犯罪现场勘验与电子证据
检查规则》第十三条规定的方法封存原始存储媒介,并在勘
验、检查笔录上注明不计算完整性校验值或制作备份的理
由。
本部分辩点:
1、作为证据使用的存储媒介、电子设备和电子数据有无在
现场固定或封存?
2、关于电子设备和存储媒介存封的方法:(1)是否保证再
不接触存封的情况下无法使用或启动?(2)存封前有无拍
照并制作清单?(3)照片有无从各个角度反应设备存封前
后的状况?有无清晰反应封口和张贴封条处?
3、关于固定存储媒介和电子数据的方式:(1)有无计算完
整性校验值?有无制作、填写《固定电子证据清单》?(2)
有无存封原始储存媒介?如何存封?(3)采用存封方式的
原因为何?有无注明不计算完整性校验值或制作备份的理
由?
五、现场勘验检查
现场勘验检查,是指在犯罪现场实施勘验,以提取、固定现
场存留的与犯罪有关电子证据和其它相关证据。现场勘验检
查程序包括:(1)保护现场;(2)收集证据;(3)提取、固定易
丢失数据;(4)在线分析;(5)提取、固定证物。有关规定:
1、对现场状况以及提取数据、封存物品文件的过程、在线
分析的关键步骤应当录像,录像带应当编号封存。
2、在现场拍摄的照片应当统一编号制作《勘验检查照片记
录表》。
3、在现场提取的易丢失数据以及现场在线分析时生成和提
取的电子数据,应当计算其完整性校验值并制作、填写《固
定电子证据清单》,以保证其完整性和真实性。
4、在线分析是指在现场不关闭电子设备的情况下直接分析
和提取电子系统中的数据。除以下情形外,一般不得实施在
线分析:(1)案件情况紧急,在现场不实施在线分析可能会造
成严重后果的;(2)情况特殊,不允许关闭电子设备或扣押电子
设备的;(3)在线分析不会损害目标设备中重要电子数据的完
整性、真实性的。重要电子数据是指可能作为证据的电子数
据。
5、易丢失数据提取和在线分析,应当依循以下原则:(1)不
得将生成、提取的数据存储在原始存储媒介中。(2)不得在目
标系统中安装新的应用程序。如果因为特殊原因,需要在目
标系统中安装新的应用程序的,应当在《现场勘验检查笔录》
中记录所安装的程序及其目的。(3)应当在《现场勘验检查笔
录》中详细、准确记录实施的操作以及对目标系统可能造成
的影响。
6、现场勘验检查结束后,应当及时制作《现场勘验检查工
作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、
《固定电子证据清单》、《封存电子证据清单》和《勘验检查
照片记录表》等内容组成。
相关条文:《计算机犯罪现场勘验与电子证据检查规则》第
四章。
本部分辩点:
1、现场勘验检查的程序是否合规?
2、对现场状况以及提取数据、封存物品文件的过程、在线
分析的关键步骤应当录像,录像带,有无编号封存?
3、关于现场拍摄的照片:(1)有无统一编号?(2)有无制
作《勘验检查照片记录表》?
4、关于在现场提取的易丢失数据以及现场在线分析时生成
和提取的电子数据:(1)有无计算其完整性校验值?(2)
有无填写《固定电子证据清单》?
5、关于在线分析:(1)是否因紧急情况而不得不为之?(2)
是否出现不允许关闭或扣押设备的特殊情况?(3)有无损
害重要电子数据的完整性和真实性?
6、关于易丢失数据提取和在线分析的原则:(1)有无将生
成、提取的数据存储在原始存储媒介中?(2)有无在目标
系统中安装新的应用程序?如有,为何?有无在《现场勘验
检查笔录》中记录所安装的程序及其目的?(3)有无在《现
场勘验检查笔录》中详细、准确记录实施的操作以及对目标
系统可能造成的影响?
7、现场勘验检查结束后,有无及时制作《现场勘验检查工
作记录》?《现场勘验检查工作记录》包括什么内容?
六、远程勘验
远程勘验,是指通过网络对远程目标系统实施勘验,以提取、
固定远程目标系统的状态和存留的电子数据。相关规定:
1、远程勘验过程中提取的目标系统状态信息、目标网站内
容以及勘验过程中生成的其它电子数据,应当计算其完整性
校验值并制作《固定电子证据清单》。
2、应当采用录像、照相、截获计算机屏幕内容等方式记录
远程勘验过程中提取、生成电子证据等关键步骤。
3、远程勘验结束后,应当及时制作《远程勘验工作记录》。
《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据
清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容
组成。
4、通过网络监听获取特定主机通信内容以提取电子证据时,
应当遵循与远程勘验相同的规定。
相关条文:《计算机犯罪现场勘验与电子证据检查规则》第
五章。
本部分辩点:
1、从中提取的目标系统状态信息、目标网站内容以及勘验
过程中生成的其它电子数据,有无计算其完整性校验值并制
作《固定电子证据清单》?
2、有无采用录像、照相、截获计算机屏幕内容等方式记录
远程勘验过程中提取、生成电子证据等关键步骤?
3、远程勘验结束后,有无及时制作《远程勘验工作记录》?
4、通过网络监听获取特定主机通信内容以提取电子证据时,
有无遵循与远程勘验相同的规定?
七、电子证据检查
电子证据检查,是指检查已扣押、封存、固定的电子证据,
以发现和提取与案件相关的线索和证据。相关规定:
1、办案人员将电子证据移交给检查人员时应同时提供《固
定电子证据清单》和《封存电子证据清单》的复印件,检查
人员应当依照以下原则检查电子证据的完整性:(1)对于以完
整性校验方式保护的电子数据,检查人员应当核对其完整性
校验值是否正确;(2)对于以封存方式保护的电子设备或存储
媒介,检查人员应当比对封存的照片与当前封存的状态是否
一致;(3)存储媒介完整性校验值不正确、封存状态不一致或
未封存的,检查人员应当在《电子证据检查笔录》中注明,
并由送检人签名。
2、电子证据检查包括:(1)检查、分析电子证据中包含的电
子数据,提取与案件相关的电子证据。(2)检查、分析电子证
据中包含的电子数据,制作《电子证据检查笔录》描述检查
结论。
3、从电子证据中提取电子数据,应当制作《提取电子数据
清单》,记录该电子数据的来源和提取方法。
4、复制、制作原始存储媒介的备份应当遵循以下原则:(1)
制、复制结束、重新封存等关键步骤应当录像记录检查人员
实施的操作。(3)复制完成后应当依照《计算机犯罪现场勘验
与电子证据检查规则》第十三条规定重新封存原始存储媒
介,并制作、填写《封存电子证据清单》。
5、除下列情形外,不得直接检查原始存储媒介,应当制作、
复制原始存储媒介的备份,并在备份存储媒介上实施检查:
(1)情况紧急的重大案件,不立即检查可能延误案件的侦查工
作,导致严重后果的;(2)已计算存储媒介的完整性校验值,
检查过程能够保证不修改原始存储媒介所存储的数据的;(3)
因技术条件限制,无法复制原始存储媒介的。
6、检查原始电子设备,需要直接检查原始存储媒介的,应
当遵循以下原则:(1)对解除封存状态、检查过程的关键操作、
重新封存等重要步骤应当录像;(2)检查完毕后应当依照《计
算机犯罪现场勘验与电子证据检查规则》第十三条规定重新
封存原始存储媒介和原始电子设备,并制作、填写《封存电
子证据清单》;(3)应当制作《原始证据使用记录》,记录直接
检查原始证据的原因和目的、实施的操作、对原始存储媒介
和原始电子设备中存储的信息可能产生的影响,并由两名检
查人员签名。
7、电子证据检查结束后,应当及时制作《电子证据检查工
作记录》。《电子证据检查工作记录》由《电子证据检查笔录》、
《提取电子数据清单》、《封存电子证据清单》和《原始证据
使用记录》等内容构成。
相关条文:《计算机犯罪现场勘验与电子证据检查规则》第
六章。
本部分辩点:
1、办案人员将电子证据移交给检查人员时,有无同时提供
《固定电子证据清单》和《封存电子证据清单》的复印件?
2、关于检查电子证据的完整性的原则:(1)对于以完整性
校验方式保护的电子数据,检查人员有无核对其完整性校验
值是否正确?(2)对于以封存方式保护的电子设备或存储
媒介,检查人员有无比对封存的照片与当前封存的状态是否
一致?(3)存储媒介完整性校验值不正确、封存状态不一
致或未封存的,检查人员有无在《电子证据检查笔录》中注
明?有无由送检人签名?
3、从电子证据中提取电子数据,有无制作《提取电子数据
清单》?有无记录该电子数据的来源和提取方法?
4、关于复制、制作原始存储媒介的备份应当遵循以下原则:
(1)有无复制并重新封存原始存储媒介?(2)对于解除封
存状态、开始复制、复制结束、重新封存等关键步骤,有无
录像记录检查人员实施的操作?(3)有无重新封存原始存
储媒介?如何重新封存?有无制作、填写《封存电子证据清
单》?
5、在原始媒介上检查,还是在其备份上检查?
6、如在原始媒介上检查的,是否属于紧急情况?是否已计
算计算存储媒介的完整性校验值?能否保证不修改原始存
储媒介所存储的数据?是否因技术条件限制,无法复制原始
存储媒介?
7、关于直接检查原始存储媒介应遵循的原则:(1)对解除
封存状态、检查过程的关键操作、重新封存等重要步骤,有
无录像?(2)检查完毕后有无重新封存?有无制作、填写
《封存电子证据清单》?(3)有无制作《原始证据使用记
录》?记录的内容是否完整?有无两名检查人员签名?
8、电子证据检查结束后,有无及时制作《电子证据检查工
作记录》?《电子证据检查工作记录》包含了什么?
八、勘验检查记录
关于勘验检查记录的有关规定:
1、《现场勘验检查工作记录》、《远程勘验工作记录》、《电子
证据检查工作记录》应当加盖骑缝章后由至少两名勘验、检
查人员签名。《现场勘验检查工作记录》应当由至少一名见
证人签名。
2、《现场勘验检查笔录》的内容一般包括:(1)基本情况。包
括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、
职务,见证人的姓名、住址等;(2)现场情形。包括现场的设备
环境、网络结构、运行状态等;(3)勘查过程。包括勘查的基本
情况,易丢失证据提取的过程、产生的数据,在线勘验、检
查过程中实施的操作、对数据可能产生的影响、提取的数据,
封存物品、固定证据的有关情况等;(4)勘查结果。包括提取物
证的有关情况、勘查形成的结论以及发现的案件线索等。
3、《现场勘查照片记录表》应当记录该相片拍摄的内容、对
象,并编号入卷。拍摄的照片可以是数码照片或光学照片。
4、《远程勘验笔录》的内容一般包括:(1)基本情况。包括勘
验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的
对象,勘验的目的等;(2)勘验过程。包括勘验使用的工具,勘
验的方法与步骤,提取和固定数据的方法等;(3)勘验结果。
包括通过勘验发现的案件线索,目标系统的状况,目标网站
的内容等。
5、《电子证据检查笔录》的内容一般包括:(1)基本情况,包
括检查的起止时间,指挥人员、勘验人员的姓名、职务,检
查的对象,检查的目的等;(2)检查过程,包括检查过程使用的
工具,检查的方法与步骤,提取数据的方法等;(3)检查结果,
包括通过检查发现的案件线索,提取的信息内容等。
相关条文:《计算机犯罪现场勘验与电子证据检查规则》第
七章。
本部分辩点:
1、《现场勘验检查工作记录》、《远程勘验工作记录》、《电子
证据检查工作记录》有无加盖骑缝章后?有无至少两名勘
验、检查人员签名?《现场勘验检查工作记录》有无至少一
名见证人签名?
2、《现场勘验检查笔录》、《远程勘验笔录》、《电子证据检查
笔录》的内容是否完整?
3、《现场勘查照片记录表》有无记录该相片拍摄的内容、对
象?有无编号入卷?
4、《远程勘验笔录》的内容是否完整?
九、网络犯罪案件的初查
对接受的案件或者发现的犯罪线索,在审查中发现案件事实
或者线索不明,需要经过调查才能够确认是否达到犯罪追诉
标准的,经办案部门负责人批准,可以进行初查。
初查过程中,可以采取询问、查询、勘验、检查、鉴定、调
取证据材料等不限制初查对象人身、财产权利的措施,但不
得对初查对象采取强制措施和查封、扣押、冻结财产。
相关条文:《关于办理网络犯罪案件适用刑事诉讼程序若干
问题的意见》第三条。
本部分辩点:
1、是否需要经过调查才能够确认是否达到犯罪追诉标准?
2、初查有无经办案部门负责人批准?
3、初查所采取措施有无限制初查对象人身、财产权利?
4、有无对初查对象采取强制措施和查封、扣押、冻结财产?
十、网络犯罪案件的跨地域取证有关规定:
1、公安机关跨地域调查取证的,可以将办案协作函和相关
法律文书及凭证电传或者通过公安机关信息化系统传输至
协作地公安机关。协作地公安机关经审查确认,在传来的法
律文书上加盖本地公安机关印章后,可以代为调查取证。
2、询(讯)问异地证人、被害人以及与案件有关联的犯罪
嫌疑人的,可以由办案地公安机关通过远程网络视频等方式
进行询(讯)问并制作笔录。
3、远程询(讯)问的,应当由协作地公安机关事先核实被
询(讯)问人的身份。办案地公安机关应当将询(讯)问笔
录传输至协作地公安机关。询(讯)问笔录经被询(讯)问
人确认并逐页签名、捺指印后,由协作地公安机关协作人员
签名或者盖章,并将原件提供给办案地公安机关。询(讯)
2、询(讯)问异地证人、被害人以及与案件有关联的犯罪
嫌疑人的:(1)有无制作笔录?协作地公安机关有无事先核
实被询(讯)问人的身份?(3)询(讯)问笔录有无经被
询(讯)问人确认并逐页签名、捺指印?(4)询(讯)问
笔录有无协作地公安机关协作人员签名或者盖章?(5)询
(讯)问人员收到笔录后,有无在首页右上方写明“于某年
某月某日收到”?有无签名或者盖章?
3、远程询(讯)问的,有无对询(讯)问过程进行录音录
像?有无随案移送?
以上是笔者所归纳的电子证据质证的十个重点问题、相关法
律规范,以及对应的辩点,希望能对网络犯罪辩护与电子证
据质证提供有益的参考。
发布评论