【程序性要点】刑事案件中的电子数据收集提取
2023-2-22 07:31:34 Author: 电子物证(查看原文) 阅读量:7 收藏

电子数据不同于物证、书证等传统证据形式,它是以虚拟而非实体形态存储、处理和传输的,极易被悄无声息、不留痕迹地篡改或破坏。正因如此,电子数据的收集、提取应当遵循更为严格的流程,以充分保障其真实性、有效性。

以《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、《公安机关办理刑事案件电子数据取证规则》为依据,给大家提炼总结了刑事案件中电子数据收集、提取的一些要点,以供参考。

01

保护电子数据完整性的方法

电子数据完整性是真实性的要素之一,甚至是最重要的要素。因此,在电子数据收集、提取过程中,应当采取以下一种或者几种方法保护电子数据的完整性:

1

扣押、封存电子数据原始存储介质。存储介质,是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。原始存储介质即存储电子数据的原始载体。

2

计算电子数据完整校验值。实践中要求第一时间计算完整性校验值,并在笔录中注明。当需要验证电子数据是否完整、是否被增加、删除、修改时,便可以采用同一算法对电子数据再计算一次,将两次所得的值进行比较,看是否发生了变化。

3

制作、封存电子数据备份。具体操作中,可以制作多个备份,封存其中部分备份件,将其余备份件用于进一步的侦查。

4

冻结电子数据。即通过技术手段,锁定相关电子数据,防止对其进行增加、删除、修改等操作。

5

对收集、提取电子数据的相关活动进行录像。鉴于录音相较于录像反映的信息量不足,此处要求录像,而非录音或者录像。

6

其他保护电子数据完整性的方法。

02

电子数据取证的技术标准

电子数据的取证方法应当符合相关技术标准。截至2022年2月,国内电子数据取证相关标准包括国家推荐行业标准4项;公共安全行业标准37项;司法鉴定技术标准及规范19项;认证认可行业标准和规范8项。(点击国内电子数据取证相关标准及技术规范列表--截至2022.2查看详细列表,来源:网安杂谈)

03

电子数据取证的基本原则

电子数据取证应坚持「以扣押原始存储介质为原则,以直接提取电子数据为例外,以打印、拍照、录像等方式固定为补充」的原则。

以扣押原始存储介质为原则

在能够扣押电子数据原始存储介质的情况下,应当扣押原始存储介质,并制作笔录,记录原始存储介质的封存状态。实践中对原始存储介质的封存方法灵活多样,既可以装入物证袋封存,又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。

注意事项:

01

封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。

02

封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。

03

封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。比如拔出电池,设置为飞行模式且关闭“寻回”功能,或直接装入屏蔽袋。

以直接提取电子数据为例外

在无法扣押原始存储介质的情形下,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值。

 适用情形:

01

原始介质不便封存。如网络服务器一般采取集中存储的方式,其硬盘动辄成百上千T,但其中很多内容与案件无关,不必收集,在这种情况下一般只提取与案件相关的部分数据。

02

提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据。这些信息必须在开机运行的状态下获取,一旦关机或者重新启动系统,电子数据就会消失,难以再次获取。

03

原始存储介质位于境外。对位于境外的服务器无法直接获取原始存储介质,一般只能通过网络在线提取电子数据。

04

其他无法扣押原始存储介质的情形。如:①案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;②关闭电子设备会导致重要信息系统停止服务的;③需通过现场提取电子数据排查可疑存储介质的;④正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的。但当无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。

以其他方式固定为补充

如果由于客观原因无法或者不宜采用以上方法收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。

 具体案例:

01

无法扣押原始存储介质并且无法提取电子数据:小额网络侵财类案件多由派出所办理,派出所往往没有专业取证设备,无法提取电子数据,而有的受害人即使报案也不愿将手机交公安机关保存。

02

存在电子数据自毁功能或装置,需要及时固定相关证据:对于一些具备“阅后即焚”功能的即时通信软件,信息接收者收到信息后,点击阅读信息后5秒左右自动删除,无法及时提取数据,并且难以恢复,即使扣押封存原始存储介质了也毫无意义。

04

其他程序性注意事项

NO.笔录与见证

收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章。电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。

NO.2 网络远程勘验

为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续

NO.3 电子数据检查

①应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。②电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。

参考资料:《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的理解与适用,作者:周加海 喻海松


转自:效率源



文章来源: http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651044996&idx=1&sn=d941c4684bdf71021fdd9fa42c047019&chksm=80d0f375b7a77a63fa6bc0ecbcca2b42342d33fc2e3d35fc45d0d9a888615d3fea700643cb32#rd
如有侵权请联系:admin#unsafe.sh