电子证据提取保存及注意要点

《电子证据提取保存及注意要点》由会员分享，可在线阅读，更多相关《电子证据提取保存及注意要点（17页珍藏版）》请在金锄头文库上搜索。

1、电子证据提取保存及注意要点电子证据提取保存及注意要点现根据刑法、刑事诉讼法、关于办理危害计算机信息系 统安全刑事案件应用法律若干问题的解释（文号：法释2011119 号）、计算机犯罪现场勘验与电子证据检查规则（文号：公信安20051161号）、关于办理网络犯罪案件适用 刑事诉讼程序若干问题的意见（文号：公通字2014J10号）、公安机关刑事案件现场勘验检查规则（文号：公通字200554号）等有关法律、法规，归纳出电子证据质证的十 个重点问题，并对其法律规范、相关辩 点进行汇总。一、计算机犯罪现场勘验与电子证据检查的组织实施、操作 人员、公民见证有关规定：K计算机犯罪现场勘验与电子证据检查，由县

2、级以上公安 机关公共信 息网络安全监察部门负责组织实施。2、对计算机犯罪现场勘验与电子证据检查，不得少于二人，并遵循办案人员与检查人员分离的原则。检查工作应由具备 电子证据检查技能的专业技术人员实施。执行现场勘验、检 查工作的人员，应佩戴公安 部统一制发的刑事案件现场勘 验检查证。3、对计算机犯罪现场的勘验，应邀请一至二名与案件无关的公民作为 见证人，公安司法人员不得作为见证人。相关条文：计算机犯罪现场勘验与电子证据检查规则第 二章、公安机关刑事案件现场勘验检查规则第三十二条。本部分辩点：1、计算机犯罪现场勘验与电子证据检查的组织实施工作的主体，是否 具备以下两点：(1)县级以上的公安机关；(

3、2)公 安机关的公 共信息网络安全监察部门。看以下方2、对于计算机犯罪现场勘验与电子证据检查的操作人员，面：(1)实施人员是否达到两人以上；(2)办案人员与检查人员 是否分离；(3)检查工作的实施人员是否具备相应的专业技能;(4)有无佩戴刑事案件现场勘验检查证 3、对于见证人：(1)人数；(2)是否与案件有关；(3)是 否公安司法人员。二、现场保护有关规定：K案发地公安机关接到报警后，应迅速派员赶赴现场，进 行现场保 护，负责保护现场的警察除保护物证等紧急情况夕卜，不得进入现场 不得触动现场痕迹与物品。处理紧急状 况时，也应尽可能避免破坏现 场的痕迹物品。2、现场保护的时间：从发现刑事案件现场

4、开始，至现场勘验、检查结 束。不能完成现场勘验、检查的，继续对整个或 部分现场进行保护。 相关条文：公安机关刑事案件现场勘验检查规则第三章。本部分 辩点:1、公安机关有无履行保护现场的职责？2、保护现场的警察有无进入现场、有误触动现场痕迹与物 品？如有,则原因为何？3、现场保护的开始时间与结束时间。三 电子数据的取证、审查有关规定：K收集 提取电子数据，能够获取原始储存介质的，应当存封原始储 存介质，并应制作笔录，记录其存圭寸状态。笔录由侦查人员 该介质 持有人签名或盖章。持有人无法签名或拒绝签名的，应当在笔录中注 明，由见证人签名或盖章。有条件的，侦查人员应对相关活动进行录 像。2、具有下列

5、情形之一，无法获取原始存储介质的，可以提 取电子数据，但应当在笔录中注明不能获取原始存储介质的原因、原始存储介 质的存放地点等情况，并由侦查人员、电子数据持有人 提供人签名 或者盖章；持有人 提供人无法签名或者拒绝签名的，应当在笔录中 注明，由见证人签名或者盖章；有条件的，侦查人员应当对相关活动 进行录像：（D 原始存储介质不便封存的；（2）提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的；（3）原始存储介质位于境外的；（4）其他无法获取原始存储 介质的情形。3、收集、提取电子数据应当制作笔录，记录案由、对象、内容，收集、提取电子数据的时间、地点、方法、过程，电子数据

6、的清单、规格、类别、文件格式、完整性校验值等,并由收集、提取电子数据的侦查人员签名或者盖章。远程提 取电子数据的，应当说明原因，有条件的，应当对相关活动 进行录像。通过数据恢复 破解等方式获取被删除、隐藏或 者加密的电子数据的，应当对恢复、破解过程和方法作 出说明。4、收集、提取的原始存储介质或者电子数据，应当以封存状态随案移 送，并制作电子数据的复制件一并移送。5、对文档、图片、网页等可以直接展示的电子数据，可以不随案移送电子数据打印件，但应当附有展示方法说明和展 示工具；人民法院、 人民检察院因设备等条件限制无法直接 展示电子数据的，公安机关应 当随案移送打印件。6、对侵入、非法控制计算机

7、信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据，应当附有电子数据属性、功能等情况的说 明。7、对数据统计数量、数据同一性等问题，公安机关应当出 具说明。8、对电子数据涉及的专门性问题难以确定的，由司法鉴定 机构出具鉴 定意见，或者由公安部指定的机构出具检验报相关条文：关于办理 网络犯罪案件适用刑事诉讼程序若干问题的意见第五条。本部分辩点：K有无存封原始介质？存封原始介质的笔录是否由侦查人员和介质持 有人签章？若介质持有人拒绝签章，则有无记入笔录、有无见证人签 字？有无录像？2、需要提取电子数据的，提取电子数据的原因为何？有无在笔录中记 载相关情况？笔录有谁签字？持有人 提供人没签名

8、的，有无在笔录 中记载、有无见证人签字？有无录像？3、收集 提取电子数据的，有无制作笔录？笔录的内容是 否完整？笔录由谁签字？远程提取电子数据的，原因何在、有无录像？通过数据 恢复 破解等方式获取被删除、隐藏或 者加密的电子数据的，有无进 行必要的说明？4、收集、提取的原始存储介质或者电子数据，有无以封存状态随案移 送？有无制作电子数据的复制件一并移送？5、对文档、图片、网页等可以直接展示的电子数据，有无附有展示方法说明和展示工具？法院、检察院因设备等条件限制无法直接展示电 子数据的，公安机关有无随案移送打印件?6、对于无法直接展示的电子数据，有无附有电子数据属性、功能等情况的说明?7、有无对

9、数据统计数量、数据同一性等问题出具说明?8、对电子数据涉及的专门性问题难以确定的，有无提供鉴 定意见或检 验报告？鉴定意见和检验报告是谁出具的?四、电子证据的固定、存封有关规定：1、作为证据使用的存储媒介、电子设备和电子数据应当在 现场固定或 封存。2、根据计算机犯罪现场勘验与电子证据检查规则第十 三条规定，封存电子设备和存储媒介的方法是：(1)采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封 存的存储媒介和启动被封存电子设备。(2)封存前后应当拍摄被圭寸存电子设备和存储媒介的照片并制作封存电子证据清单5照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况。3、

10、固定存储媒介和电子数据包括以下方式：（1）完整性校验方式，是指计算电子数据和存储媒介的完整性校验值，并制 作、填写固定电子证据清单；（2）备份方式，是指复制 制作原始存储媒介的备份，并依照计算机犯罪现场勘验与 电子证据检查规则第十 三条规定的方法圭寸存原始存储媒介；（3）圭寸存方式，对于无法计算存储 媒介完整性校验值或制 作备份的情形，应当依照计算机犯罪现场勘 验与电子证据检查规则第十三条规定的方法封存原始存储媒介，并 在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。相关条文：计算机犯罪现场勘验与电子证据检查规则第 本部分辩点:K作为证据使用的存储媒介、电子设备和电子数据有无在 现场

11、固定或 封存？2、关于电子设备和存储媒介存圭寸的方法:（D是否保证再不接触存封的情况下无法使用或启动？（2）存封前有无拍照并制作清单？ （ 3 ）照片有无从各个角度反应设备存封前后的状 况？有无清晰反应封口和张贴封条处?3、关于固定存储媒介和电子数据的方式：（1）有无计算完 整性校验值？有无制作、填写固定电子证据清单2)有无存封原始储存媒介？如何存封？ （ 3）采用存封方式的原因为何？有无注明不计算完整性校验值或制作备份的理由？五现场勘验检查现场勘验检查，是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验检 查程序包括：（1）保护现场；（2）收集证据；（3

12、）提取、固定易丢失数据；（4）在线分析；（5）提取、固定证物。有关规定：分析的关键取的电子数K对现场状况以及提取数据、封存物品文件的过程、在线步骤应当录像，录像带应当编号圭寸存。2、在现场拍摄的照片应当统一编号制作勘验检查照片记 3、在现场提取的易丢失数据以及现场在线分析时生成和提据，应当计算其完整性校验值并制作、填写固定电子证据清单, 以保证其完整性和真实性。4、在线分析是指在现场不关闭电子设备的情况下直接分析 和提取电子 系统中的数据。除以下情形外，一般不得实施在 线分析：（D案件情 况紧急，在现场不实施在线分析可能会造 成严重后果的；（2）情况特 殊，不允许关闭电子设备或扣押电子 设备的

13、；（3）在线分析不会损害目 标设备中重要电子数据的完 整性、真实性的。重要电子数据是指可能 作为证据的电子数据。5、易丢失数据提取和在线分析，应当依循以下原则：（1）不得将生成 提取的数据存储在原始存储媒介中。（2）不得在目标系统 中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新 的应用程序的，应当在现场勘验检查笔录中记录所安装的程序及 其目的。（3）应当在现场勘验检查笔录中详细、准确记录实施的 操作以及对目标系统可能造成的影响。6、现场勘验检查结束后，应当及时制作现场勘验检查工 作记录。现场勘验检查工作记录由现场勘验检查笔录、固定电子证据清单、封存电子证据清单和勘验检查照片记录表

14、等内容组成。相关条文：计算机犯罪现场勘验与电子证据检查规则第四章。本部分辩点：1、现场勘验检查的程序是否合规？2、对现场状况以及提取数据 封存物品文件的过程 在线分析的关键步骤应当录像，录像带，有无编号圭寸存？3、关于现场拍摄的照片：（1）有无统一编号？ （ 2）有无制作勘验检查照片记录表？4、关于在现场提取的易丢失数据以及现场在线分析时生成 和提取的电 子数据：（D有无计算其完整性校验值？ （ 2）有无填写固定电子证据清单？5、关于在线分析：（1）是否因紧急情况而不得不为之？（2）是否出现不允许关闭或扣押设备的特殊情况？ （3）有无损害重要电子数据的完整性和真实性?6、关于易丢失数据提取和在

15、线分析的原则：（1）有无将生 成、提 取的数据存储在原始存储媒介中？ （ 2）有无在目标系统中安装新的 应用程序？如有，为何？有无在现场勘验检查笔录中记录所安装 的程序及其目的？ （ 3）有无在现场勘验检查笔录中详细、准 确记录实施的操作以及对目标 系统可能造成的影响？7、现场勘验检查结束后，有无及时制作现场勘验检查工 作记录？现场勘验检查工作记录包括什么内容？ 六、远程勘验 远程勘验，是指通过网络对远程目标系统实施勘验, 以提取、固定远程目标系统的状态和存留的电子数据。相关规定:K远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据，应当计算其完整性 校验值并制作固定 电子证据清单。2、应当采用录像、照相、截获计算机屏幕内容等方式记录 远程勘验过 程中提取、生成电子证据等关键步骤。3、远程勘验结束后，应当及时制作远程勘验工作记录。远程勘验工作记录由远程勘验笔