关于《公安机关办理刑事案件电子数据取证规则》收集提取的基本归纳
关于《公安机关办理刑事案件电子数据取证规则》的基本归纳
(仅涉及收集提取)
一、一般原则
1.电子数据取证范围:电子数据的收集提取、电子数据的检查检验鉴定、侦查实验;
2.电子数据涉及国家秘密、商业秘密、警务工作秘密和个人隐私的保密。
二、收集提取电子数据
(一)一般性规定:
1.电子数据取证前置程序的必要要求:
收集和提取电子数据应当2名以上侦查人员进行(必要时可指派或聘请专业技术人员在侦查人员的主持下收集和提取电子数据)
2.电子数据取证前置程序的一般性要求:
(1)原则上,只要有可以扣押原始存储介质和提取电子数据的可能性,不允许采取打印、拍照、录像等方式固定相关证据;
a.若无法扣押原始存储介质并且无法提取电子数据的,可以采取打印、拍照、录像等方式固定相关证据。(彻底不可能)可以封存后交给持有人(提供人)保管,并开具《登记保存清单》一式两份,由侦查人员、持有人(提供人)和见证人签/章。
(2)b.若电子数据存在自毁功能或装置,需要及时固定相关证据的;
c.若需要展示、查看相关电子数据的;
上述两种(b、c)方式固定后,能扣押原始存储介质或提取电子数据的,仍应当提取。
◎【“5确保”和“2签章”】
上述三种(a、b、c)采用打印、拍照、录像等非“根源性”方式固定证据的,应确保内容清晰、注明原因、数据存储位置、存储介质的特征和介质所在位置等情况。
由侦查人员签/章、电子数据持有人(提供人)签/章→提供不了的在笔录中注明并由见证人签/章。
3.收集、提取电子数据的方式:
A.(原则)扣押、封存原始存储介质(“一锅端”)
B.现场提取电子数据
C.网络在线提取电子数据
D.冻结电子数据
E.调取电子数据
(二)扣押、封存原始存储介质(原则上扣、封原始存储介质优先)
1.原始存储介质的封存要求:
(1)不解封状态下,无法使用或启用,必要时内部存储介质可以分别封存;
(2)封存前后应拍摄被封存介质照片,反应封存前后状况、反应封口或者封条处的状况;
(3)具有无线通信功能的原始存储介质(手机等)应屏蔽阻断信号或切断电源等。
2.扣押的原则要求:
(1)在场的见证人和原始存储介质持有人(提供人)查点清楚,开列《扣押清单》一式三份(注明名称、编号、数量、特征及其来源等)。
签章要求:侦查人员、持有人(提供人)和见证人签/章→持有人(提供人)不确定或无法签章、拒绝签章的,应笔录注明由见证人签/章→因客观原因无法由符合条件的人员担任见证人的,应笔录注明并全程录像。
(2)扣押时,应收集证人证言以及嫌犯供述和辩解等与原始存储介质相关联的证据。
(三)现场提取电子数据:
1.可以现场提取电子数据的情形:
(1)不便封存;
(2)提取计算机内存数据、网络传输数据等不在介质上的电子数据;
(3)案情紧急,不立即提取可能会造成灭失或者其他严重后果的;
(4)关闭电子设备会导致重要信息系统停止服务的;
(5)需要通过现场提取排除可以存储介质的;
(6)正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;
(7)其他
无法扣押的情形消失后,应当及时扣押、封存原始存储介质。
2.现场提取电子数据应当:
(1)不得将提取的数据存储在原始存储介质中;
(2)不得在目标系统中安装新的应用程序;(特殊原因可例外,但应在笔录中记录安装的程序及目的);
(3)在有关笔录中详细、准确记录实施的操作;
(4)应制作《电子数据现场提取笔录》,注明基本情况(电子数据来源、事由、目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始介质的原因、原始介质的存放地点),并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签/章→电子数据持有人(提供人)无法签名或者拒绝签名的,应当注明并由见证人签/章→由于客观原因无法由符合条件的人员担任见证人的,应在《电子数据现场提取笔录》中注明并全程录像,对录像文件应计算完整性校验值并记录在笔录中。
3.对提取的电子数据可以压缩,但应在笔录中注明相应的方法和压缩后的文件完整性校验值。
(四)网络在线提取电子数据(公开发布的、境内远程计算机信息系统的电子数据)
网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。(技侦的应当按照规定)
网络在线提取或者网络远程勘验时,严重危害国家安全、公共安全的案件;电子数据涉及罪与非罪、是否无期、死刑等定罪量刑关键的案件;社会影响较大的案件;可能被判处5年以上有期的案件(应当全程同步录像)
1.应当计算电子数据的完整性校验值,必要时可以提取有关电子签名认证证书、数字签名、注册信息等关联信息。
2.网络在线提取的要求,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截屏等方式记录以下信息:
(1)远程计算机信息系统的访问方式;
(2)提取的日期和时间;
(3)提取使用的工具和方法;
(4)电子数据的网络地址、存储路径或者数据提取时的进入步骤等;
(5)计算完整性校验值的过程和结果。(计算MD值时也需要录像)
3.在有关笔录中应注明电子数据的来源、事由和目的、对象,提取时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别和文件格式、完整性校验值等,由侦查人员签/章。
4.网络在线提取时的远程勘验(县级公安机关负责)
(1)网络远程勘验应当由符合条件的人员作为见证人,由于客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照网络在线提取的要求录像,可以采用录屏录像或者录像机录像等方式,录像文件应当计算完整性校验值记入笔录。
(2)远程勘验结束后,应制作《远程勘验笔录》,由侦查人员和见证人签/章。
远程勘验并且提取电子数据的,按照第“3.”要求注明并附《电子数据提取固定清单》
(3)多次远程勘验的,应逐次制作补充《远程勘验笔录》
(五)冻结电子数据:
1.可以冻结的情形:数据量大,无法或者不便提取;提取时间长,可能造成电子数据篡改或者灭失;通过网络应用可以更直观地展示电子数据的。
2.冻结电子数据应当:
(1)计算电子数据的完整性校验值;
(2)锁定网络应用账号;
(3)采取保护措施;
(4)其他防止增加、删除、修改电子数据的措施。
(六)调取电子数据
三、电子数据的检查和侦查实验
(一)电子数据检查(应制作《电子数据检查笔录》)
1.电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性,移交时应当办理移交手续,并按以下方式核对电子数据:
(1)核对完整性校验值是否正确;
(2)核对封存的照片是否与当前封存状态一致。
有以上问题,可能影响证据真实性和完整性的,检察人员应在笔录中注明。
2.电子数据检查时需要提取电子数据的,应当制作《电子数据提取固定清单》,记录该电子数据的来源、提取方法和完整性校验值。
(二)电子数据侦查实验
1.必要时为了查明案情,经县级以上公安机关负责人批准可以进行侦查实验。
2.电子数据侦查实验应制作《电子数据侦查实验笔录》,记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签/章。
电子数据收集提取中的相关注意点:
1.需要“签/章”的纸面文件(笔录、清单):
(1)采用打印、拍照或录像等方式固定证据的相关笔录,由2人即“侦查人员”和“电子数据持有人(提供人)”签/章→若电子数据持有人(提供人)不或不能签名的,应笔录注明并由“见证人”签/章。
(2)现场提取电子数据出具的《电子数据现场提取笔录》《电子数据提取固定清单》,由2人“侦查人员”和“电子数据持有人(提供人)”签/章→若电子数据持有人(提供人)不或不能签名的,应笔录注明并由“见证人”签/章。
(3)因原始介质无法扣押且无法一次性完成提取而拍照录像开具的《登记保存清单》,由3人“侦查人员”“持有人(提供人)”和“见证人”签/章。
(4)网络在线提取电子数据出具的《电子数据提取固定清单》,由“侦查人员”签/章。
(5)远程勘验结束的《远程勘验笔录》,由2人“侦查人员”和“见证人”签/章。
2.需要“完整性校验”的数据:
(一般采用MD5值进行检测,一个文件数据只有一个固定的MD5值,任何的文件数据修改或者变动MD5值都会发生变化。)
(1)现场提取电子数据出具的《电子数据现场提取笔录》,需要注明完整性校验值;
(2)现场提取的电子数据可以进行数据压缩,并在笔录中注明方法和压缩后的完整性校验值;
(3)现场提取电子数据出具的《电子数据现场提取笔录》中电子数据持有人(提供人)不或不能签名,因客观原因也没有符合条件的见证人而录制的录像,对录像文件应计算完整性校验值(附在电子数据现场提取笔录中);
(4)网络在线提取,应当计算电子数据的完整性校验值(附在笔录中);
(5)网络远程勘验时因客观原因无法由符合条件的人员担任见证人时的录像,录像文件应当计算完整性校验值(附在远程勘验笔录中);
(6)冻结电子数据的,应该计算完整性校验值。
3.收集提取电子数据是否由2名以上侦查人员进行?
是否附有笔录/清单并经3人签/章,没有持有人(提供人)签章的是否注明原因?
电子数据的类别、文件格式是否注明清楚?(否则系瑕疵证据需补正)
是否按规定由符合条件的人员担任见证人,是否对相关活动进行录像?
4.【程序性问题可补正】瑕疵证据附条件排除:
有(不仅限于)下列情形经补正或者合理解释的可以采用,否则排除:
A.未以封存状态移送的;
B.笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签/章的;
C.对电子数据的名称、类别和格式等注明不清的。
5.【实体性问题一律非法证据排除】虚假证据排除:
有(不仅限于)下列情形之一的,不作为定案根据采用:
A.电子数据系篡改、伪造或者无法确定真伪的;
B.电子数据有增加、删除、修改等情形,影响电子数据真实性的。
