电子证据提取保存及注意要点.docx

1、电子证据提取保存及注意要点电子证据提取保存及注意要点电子证据提取保存及注意要点现根据刑法 、刑事诉讼法 、关于办理危害计算机信息 系统安全刑事案件应用法律若干问题的解释 （文号：法释 201119 号）、计算机犯罪现场勘验与电子证据检查规则 （文号：公信安2005161 号）、关于办理网络犯罪案件适用 刑事诉讼程序若干问题的意见 （文号：公通字201410 号）、 公安机关刑事案件现场勘验检查规则 （文号：公通字 200554 号）等有关法律、法规，归纳出电子证据质证的十 个重点问题，并对其法律规范、相关辩点进行汇总。一、计算机犯罪现场勘验与电子证据检查的组织实施、操作 人员、公民见证有关规定

2、：1、计算机犯罪现场勘验与电子证据检查，由县级以上公安 机关公共信息网络安全监察部门负责组织实施。2、对计算机犯罪现场勘验与电子证据检查，不得少于二人， 并遵循办案人员与检查人员分离的原则。检查工作应由具备 电子证据检查技能的专业技术人员实施。执行现场勘验、检 查工作的人员，应佩戴公安部统一制发的刑事案件现场勘 验检查证。3、对计算机犯罪现场的勘验，应邀请一至二名与案件无关 的公民作为见证人，公安司法人员不得作为见证人。相关条文：计算机犯罪现场勘验与电子证据检查规则第 二章、公安机关刑事案件现场勘验检查规则第三十二条。 本部分辩点：1、计算机犯罪现场勘验与电子证据检查的组织实施工作的 主体，是

3、否具备以下两点： （ 1）县级以上的公安机关； （2） 公 安机关的公共信息网络安全监察部门。2、对于计算机犯罪现场勘验与电子证据检查的操作人员， 看以下方面： （ 1）实施人员是否达到两人以上； （2）办案人 员与检查人员是否分离； （3）检查工作的实施人员是否具备 相应的专业技能；（4）有无佩戴刑事案件现场勘验检查证3、对于见证人： （1）人数；（2）是否与案件有关； （3）是 否公安司法人员。二、现场保护有关规定：1、案发地公安机关接到报警后，应迅速派员赶赴现场，进 行现场保护，负责保护现场的警察除保护物证等紧急情况 外，不得进入现场、不得触动现场痕迹与物品。处理紧急状 况时，也应尽可能

4、避免破坏现场的痕迹、物品。2、现场保护的时间：从发现刑事案件现场开始，至现场勘 验、检查结束。不能完成现场勘验、检查的，继续对整个或 部分现场进行保护。相关条文：公安机关刑事案件现场勘验检查规则第三章。 本部分辩点：1、公安机关有无履行保护现场的职责？2、保护现场的警察有无进入现场、有误触动现场痕迹与物 品？如有，则原因为何？3、现场保护的开始时间与结束时间。三、电子数据的取证、审查有关规定：1、收集、提取电子数据，能够获取原始储存介质的，应当 存封原始储存介质，并应制作笔录，记录其存封状态。笔录 由侦查人员、该介质持有人签名或盖章。持有人无法签名或 拒绝签名的，应当在笔录中注明，由见证人签名

5、或盖章。有 条件的，侦查人员应对相关活动进行录像。2、具有下列情形之一，无法获取原始存储介质的，可以提 取电子数据，但应当在笔录中注明不能获取原始存储介质的 原因、原始存储介质的存放地点等情况，并由侦查人员、电 子数据持有人、提供人签名或者盖章；持有人、提供人无法 签名或者拒绝签名的，应当在笔录中注明，由见证人签名或 者盖章；有条件的， 侦查人员应当对相关活动进行录像： （1） 原始存储介质不便封存的； （ 2）提取计算机内存存储的数据、 网络传输的数据等不是存储在存储介质上的电子数据的； （3）原始存储介质位于境外的； （ 4）其他无法获取原始存 储介质的情形。3、收集、提取电子数据应当制作

6、笔录，记录案由、对象、 内容，收集、提取电子数据的时间、地点、方法、过程，电 子数据的清单、规格、类别、文件格式、完整性校验值等， 并由收集、提取电子数据的侦查人员签名或者盖章。远程提 取电子数据的，应当说明原因，有条件的，应当对相关活动 进行录像。通过数据恢复、破解等方式获取被删除、隐藏或 者加密的电子数据的，应当对恢复、破解过程和方法作出说 明。4、收集、提取的原始存储介质或者电子数据，应当以封存 状态随案移送，并制作电子数据的复制件一并移送。5、对文档、图片、网页等可以直接展示的电子数据，可以 不随案移送电子数据打印件，但应当附有展示方法说明和展 示工具；人民法院、人民检察院因设备等条件

7、限制无法直接 展示电子数据的，公安机关应当随案移送打印件。6、对侵入、非法控制计算机信息系统的程序、工具以及计 算机病毒等无法直接展示的电子数据，应当附有电子数据属 性、功能等情况的说明。7、对数据统计数量、数据同一性等问题，公安机关应当出 具说明。8、对电子数据涉及的专门性问题难以确定的，由司法鉴定 机构出具鉴定意见，或者由公安部指定的机构出具检验报 相关条文：关于办理网络犯罪案件适用刑事诉讼程序若干 问题的意见第五条。本部分辩点：1、有无存封原始介质？存封原始介质的笔录是否由侦查人 员和介质持有人签章？若介质持有人拒绝签章，则有无记入 笔录、有无见证人签字？有无录像？2、需要提取电子数据的

8、，提取电子数据的原因为何？有无 在笔录中记载相关情况？笔录有谁签字？持有人、提供人没 签名的，有无在笔录中记载、有无见证人签字？有无录像？3、收集、提取电子数据的，有无制作笔录？笔录的内容是 否完整？笔录由谁签字？远程提取电子数据的，原因何在、 有无录像？通过数据恢复、破解等方式获取被删除、隐藏或 者加密的电子数据的，有无进行必要的说明？4、收集、提取的原始存储介质或者电子数据，有无以封存 状态随案移送？有无制作电子数据的复制件一并移送？5、对文档、图片、网页等可以直接展示的电子数据，有无 附有展示方法说明和展示工具？法院、检察院因设备等条件 限制无法直接展示电子数据的，公安机关有无随案移送打

9、印 件？6、对于无法直接展示的电子数据，有无附有电子数据属性、 功能等情况的说明？7、有无对数据统计数量、数据同一性等问题出具说明？8、对电子数据涉及的专门性问题难以确定的，有无提供鉴 定意见或检验报告？鉴定意见和检验报告是谁出具的？四、电子证据的固定、存封有关规定：1、作为证据使用的存储媒介、电子设备和电子数据应当在 现场固定或封存。2、根据计算机犯罪现场勘验与电子证据检查规则第十 三条规定，封存电子设备和存储媒介的方法是： (1) 采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封 存的存储媒介和启动被封存电子设备。 (2) 封存前后应当拍摄 被封存电子设备和存储媒介的照片并制作

10、封存电子证据清 单，照片应当从各个角度反映设备封存前后的状况，清晰 反映封口或张贴封条处的状况。3、固定存储媒介和电子数据包括以下方式： (1) 完整性校验方式，是指计算电子数据和存储媒介的完整性校验值，并制 作、填写固定电子证据清单 ； (2)备份方式，是指复制、 制作原始存储媒介的备份，并依照计算机犯罪现场勘验与 电子证据检查规则第十三条规定的方法封存原始存储媒 介；(3)封存方式，对于无法计算存储媒介完整性校验值或制 作备份的情形，应当依照计算机犯罪现场勘验与电子证据 检查规则第十三条规定的方法封存原始存储媒介，并在勘 验、检查笔录上注明不计算完整性校验值或制作备份的理 由。相关条文：计

11、算机犯罪现场勘验与电子证据检查规则第本部分辩点：1、作为证据使用的存储媒介、电子设备和电子数据有无在 现场固定或封存？2、关于电子设备和存储媒介存封的方法： （1）是否保证再 不接触存封的情况下无法使用或启动？（ 2）存封前有无拍照并制作清单？（ 3 ）照片有无从各个角度反应设备存封前 后的状况？有无清晰反应封口和张贴封条处？3、关于固定存储媒介和电子数据的方式： （1）有无计算完 整性校验值？有无制作、填写固定电子证据清单？（ 2）有无存封原始储存媒介？如何存封？（ 3）采用存封方式的 原因为何？有无注明不计算完整性校验值或制作备份的理 由？五、现场勘验检查 现场勘验检查，是指在犯罪现场实施

12、勘验，以提取、固定现 场存留的与犯罪有关电子证据和其它相关证据。现场勘验检 查程序包括： （1） 保护现场； （2）收集证据； （3）提取、固定易 丢失数据； （4） 在线分析； （5）提取、固定证物。有关规定：1、对现场状况以及提取数据、封存物品文件的过程、在线 分析的关键步骤应当录像，录像带应当编号封存。2、在现场拍摄的照片应当统一编号制作勘验检查照片记 录表。3、在现场提取的易丢失数据以及现场在线分析时生成和提 取的电子数据，应当计算其完整性校验值并制作、填写固 定电子证据清单 ，以保证其完整性和真实性。4、在线分析是指在现场不关闭电子设备的情况下直接分析 和提取电子系统中的数据。除以下

13、情形外，一般不得实施在 线分析： (1) 案件情况紧急，在现场不实施在线分析可能会造 成严重后果的 ;(2) 情况特殊，不允许关闭电子设备或扣押电子 设备的 ;(3)在线分析不会损害目标设备中重要电子数据的完 整性、真实性的。重要电子数据是指可能作为证据的电子数 据。5、易丢失数据提取和在线分析，应当依循以下原则： (1)不得将生成、提取的数据存储在原始存储媒介中。 (2) 不得在目 标系统中安装新的应用程序。如果因为特殊原因，需要在目 标系统中安装新的应用程序的， 应当在现场勘验检查笔录 中记录所安装的程序及其目的。 (3)应当在现场勘验检查笔 录中详细、准确记录实施的操作以及对目标系统可能

14、造成 的影响。6、现场勘验检查结束后，应当及时制作现场勘验检查工 作记录。现场勘验检查工作记录 由现场勘验检查笔录 、 固定电子证据清单 、封存电子证据清单和勘验检查 照片记录表等内容组成。相关条文：计算机犯罪现场勘验与电子证据检查规则第 四章。本部分辩点：1、现场勘验检查的程序是否合规？2、对现场状况以及提取数据、封存物品文件的过程、在线 分析的关键步骤应当录像，录像带，有无编号封存？3、关于现场拍摄的照片： （ 1）有无统一编号？（ 2）有无制 作勘验检查照片记录表？4、关于在现场提取的易丢失数据以及现场在线分析时生成 和提取的电子数据： （ 1）有无计算其完整性校验值？（ 2） 有无填写

15、固定电子证据清单？5、关于在线分析：（ 1）是否因紧急情况而不得不为之？ （2） 是否出现不允许关闭或扣押设备的特殊情况？（ 3）有无损害重要电子数据的完整性和真实性？6、关于易丢失数据提取和在线分析的原则： （ 1）有无将生 成、提取的数据存储在原始存储媒介中？（ 2）有无在目标 系统中安装新的应用程序？如有，为何？有无在现场勘验 检查笔录 中记录所安装的程序及其目的？ （ 3）有无在 现 场勘验检查笔录中详细、准确记录实施的操作以及对目标 系统可能造成的影响？7、现场勘验检查结束后，有无及时制作现场勘验检查工 作记录？现场勘验检查工作记录包括什么内容？六、远程勘验 远程勘验， 是指通过网络对远程目标系统实施勘验， 以提取、 固定远程目标系统的状态和存留的电子数据。相关规定：1、远程勘验过程中提取的目标系统状态信息、目标网站内 容以及勘验过程中生成的其它电子数据，应当计算其完整性 校验值并制作固定电子证据清单 。2、应当采用录像、照相、截获计算机屏幕内容等方式记录 远程勘验过程中提取、生成电子证据等关键步骤。3、远程勘验结束后，应当及时制作远程勘验工作记录 。 远程勘验工作记录由远程勘验笔录 、固定电子证据 清单、勘验检查照片记录表以及截获的屏幕截图等内容 组成。4、通过网络监听获取特定主机通信内容以提取电子