电子证据提取保存及注意要点.docx
《电子证据提取保存及注意要点.docx》由会员分享,可在线阅读,更多相关《电子证据提取保存及注意要点.docx(9页珍藏版)》请在冰豆网上搜索。
![电子证据提取保存及注意要点.docx](https://file1.bdocx.com/fileroot1/2022-11/18/a577a007-2b92-406f-8761-24fed167f9b2/a577a007-2b92-406f-8761-24fed167f9b21.gif)
电子证据提取保存及注意要点
电子证据提取保存及注意要点
电子证据提取保存及注意要点
现根据《刑法》、《刑事诉讼法》、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(文号:
法释[2011]19号)、《计算机犯罪现场勘验与电子证据检查规则》(文号:
公信安[2005]161号)、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(文号:
公通字[2014]10号)、《公安机关刑事案件现场勘验检查规则》(文号:
公通字[2005]54号)等有关法律、法规,归纳出电子证据质证的十个重点问题,并对其法律规范、相关辩点进行汇总。
一、计算机犯罪现场勘验与电子证据检查的组织实施、操作人员、公民见证有关规定:
1、计算机犯罪现场勘验与电子证据检查,由县级以上公安机关公共信息网络安全监察部门负责组织实施。
2、对计算机犯罪现场勘验与电子证据检查,不得少于二人,并遵循办案人员与检查人员分离的原则。
检查工作应由具备电子证据检查技能的专业技术人员实施。
执行现场勘验、检查工作的人员,应佩戴公安部统一制发的《刑事案件现场勘验检查证》。
3、对计算机犯罪现场的勘验,应邀请一至二名与案件无关的公民作为见证人,公安司法人员不得作为见证人。
相关条文:
《计算机犯罪现场勘验与电子证据检查规则》第二章、《公安机关刑事案件现场勘验检查规则》第三十二条。
本部分辩点:
1、计算机犯罪现场勘验与电子证据检查的组织实施工作的主体,是否具备以下两点:
(1)县级以上的公安机关;
(2)公安机关的公共信息网络安全监察部门。
2、对于计算机犯罪现场勘验与电子证据检查的操作人员,看以下方面:
(1)实施人员是否达到两人以上;
(2)办案人员与检查人员是否分离;(3)检查工作的实施人员是否具备相应的专业技能;(4)有无佩戴《刑事案件现场勘验检查证》
3、对于见证人:
(1)人数;
(2)是否与案件有关;(3)是否公安司法人员。
二、现场保护有关规定:
1、案发地公安机关接到报警后,应迅速派员赶赴现场,进行现场保护,负责保护现场的警察除保护物证等紧急情况外,不得进入现场、不得触动现场痕迹与物品。
处理紧急状况时,也应尽可能避免破坏现场的痕迹、物品。
2、现场保护的时间:
从发现刑事案件现场开始,至现场勘验、检查结束。
不能完成现场勘验、检查的,继续对整个或部分现场进行保护。
相关条文:
《公安机关刑事案件现场勘验检查规则》第三章。
本部分辩点:
1、公安机关有无履行保护现场的职责?
2、保护现场的警察有无进入现场、有误触动现场痕迹与物品?
如有,则原因为何?
3、现场保护的开始时间与结束时间。
三、电子数据的取证、审查有关规定:
1、收集、提取电子数据,能够获取原始储存介质的,应当存封原始储存介质,并应制作笔录,记录其存封状态。
笔录由侦查人员、该介质持有人签名或盖章。
持有人无法签名或拒绝签名的,应当在笔录中注明,由见证人签名或盖章。
有条件的,侦查人员应对相关活动进行录像。
2、具有下列情形之一,无法获取原始存储介质的,可以提取电子数据,但应当在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况,并由侦查人员、电子数据持有人、提供人签名或者盖章;持有人、提供人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章;有条件的,侦查人员应当对相关活动进行录像:
(1)原始存储介质不便封存的;
(2)提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的;(3)原始存储介质位于境外的;(4)其他无法获取原始存储介质的情形。
3、收集、提取电子数据应当制作笔录,记录案由、对象、内容,收集、提取电子数据的时间、地点、方法、过程,电子数据的清单、规格、类别、文件格式、完整性校验值等,并由收集、提取电子数据的侦查人员签名或者盖章。
远程提取电子数据的,应当说明原因,有条件的,应当对相关活动进行录像。
通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的,应当对恢复、破解过程和方法作出说明。
4、收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的复制件一并移送。
5、对文档、图片、网页等可以直接展示的电子数据,可以不随案移送电子数据打印件,但应当附有展示方法说明和展示工具;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,公安机关应当随案移送打印件。
6、对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附有电子数据属性、功能等情况的说明。
7、对数据统计数量、数据同一性等问题,公安机关应当出具说明。
8、对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具检验报相关条文:
《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第五条。
本部分辩点:
1、有无存封原始介质?
存封原始介质的笔录是否由侦查人员和介质持有人签章?
若介质持有人拒绝签章,则有无记入笔录、有无见证人签字?
有无录像?
2、需要提取电子数据的,提取电子数据的原因为何?
有无在笔录中记载相关情况?
笔录有谁签字?
持有人、提供人没签名的,有无在笔录中记载、有无见证人签字?
有无录像?
3、收集、提取电子数据的,有无制作笔录?
笔录的内容是否完整?
笔录由谁签字?
远程提取电子数据的,原因何在、有无录像?
通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的,有无进行必要的说明?
4、收集、提取的原始存储介质或者电子数据,有无以封存状态随案移送?
有无制作电子数据的复制件一并移送?
5、对文档、图片、网页等可以直接展示的电子数据,有无附有展示方法说明和展示工具?
法院、检察院因设备等条件限制无法直接展示电子数据的,公安机关有无随案移送打印件?
6、对于无法直接展示的电子数据,有无附有电子数据属性、功能等情况的说明?
7、有无对数据统计数量、数据同一性等问题出具说明?
8、对电子数据涉及的专门性问题难以确定的,有无提供鉴定意见或检验报告?
鉴定意见和检验报告是谁出具的?
四、电子证据的固定、存封有关规定:
1、作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。
2、根据《计算机犯罪现场勘验与电子证据检查规则》第十三条规定,封存电子设备和存储媒介的方法是:
(1)采用的封
存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。
(2)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。
3、固定存储媒介和电子数据包括以下方式:
(1)完整性校验
方式,是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;
(2)备份方式,是指复制、制作原始存储媒介的备份,并依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介;(3)封存方式,对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介,并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。
相关条文:
《计算机犯罪现场勘验与电子证据检查规则》第
本部分辩点:
1、作为证据使用的存储媒介、电子设备和电子数据有无在现场固定或封存?
2、关于电子设备和存储媒介存封的方法:
(1)是否保证再不接触存封的情况下无法使用或启动?
(2)存封前有无拍
照并制作清单?
(3)照片有无从各个角度反应设备存封前后的状况?
有无清晰反应封口和张贴封条处?
3、关于固定存储媒介和电子数据的方式:
(1)有无计算完整性校验值?
有无制作、填写《固定电子证据清单》?
(2)
有无存封原始储存媒介?
如何存封?
(3)采用存封方式的原因为何?
有无注明不计算完整性校验值或制作备份的理由?
五、现场勘验检查现场勘验检查,是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。
现场勘验检查程序包括:
(1)保护现场;
(2)收集证据;(3)提取、固定易丢失数据;(4)在线分析;(5)提取、固定证物。
有关规定:
1、对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带应当编号封存。
2、在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。
3、在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。
4、在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。
除以下情形外,一般不得实施在线分析:
(1)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;
(2)情况特殊,不允许关闭电子设备或扣押电子设备的;(3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。
重要电子数据是指可能作为证据的电子数据。
5、易丢失数据提取和在线分析,应当依循以下原则:
(1)不
得将生成、提取的数据存储在原始存储媒介中。
(2)不得在目标系统中安装新的应用程序。
如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。
(3)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。
6、现场勘验检查结束后,应当及时制作《现场勘验检查工作记录》。
《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。
相关条文:
《计算机犯罪现场勘验与电子证据检查规则》第四章。
本部分辩点:
1、现场勘验检查的程序是否合规?
2、对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带,有无编号封存?
3、关于现场拍摄的照片:
(1)有无统一编号?
(2)有无制作《勘验检查照片记录表》?
4、关于在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据:
(1)有无计算其完整性校验值?
(2)有无填写《固定电子证据清单》?
5、关于在线分析:
(1)是否因紧急情况而不得不为之?
(2)是否出现不允许关闭或扣押设备的特殊情况?
(3)有无损
害重要电子数据的完整性和真实性?
6、关于易丢失数据提取和在线分析的原则:
(1)有无将生成、提取的数据存储在原始存储媒介中?
(2)有无在目标系统中安装新的应用程序?
如有,为何?
有无在《现场勘验检查笔录》中记录所安装的程序及其目的?
(3)有无在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响?
7、现场勘验检查结束后,有无及时制作《现场勘验检查工作记录》?
《现场勘验检查工作记录》包括什么内容?
六、远程勘验远程勘验,是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
相关规定:
1、远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。
2、应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。
3、远程勘验结束后,应当及时制作《远程勘验工作记录》。
《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。
4、通过网络监听获取特定主机通信内容以提取电子