永利娱乐吧APP

政策法規
您當前的位置:

公安機關辦理刑事案件電子數據取證規則

發布日期:2019-01-0308:57:59 来源:政策法規 浏覽次數: 字體:[ ]

第一章    


第一條  为规范公安机关办理刑事案件電子數據取证工作,确保電子數據取证质量,提高電子數據取证效率,根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定,制定本规則。

第二條  公安機關辦理刑事案件應當遵守法定程序,遵循有關技術標准,全面、客觀、及時地收集、提取涉案電子數據,確保電子數據的真實、完整。

第三條  電子數據取證包括但不限于:

(一)收集、提取電子數據;

(二)電子數據檢查和偵查實驗;

(三)電子數據檢驗與鑒定。

第四條  公安機關電子數據取證涉及國家秘密、警務工作秘密、商業秘密、個人隱私的,應當保密;對于獲取的材料與案件無關的,應當及時退還或者銷毀。

第五條  公安機關接受或者依法調取的其他國家機關在行政執法和查辦案件過程中依法收集、提取的電子數據可以作爲刑事案件的證據使用。

第二章  收集提取電子數據


第一節   一般規定

第六條  收集、提取電子數據,應當由二名以上偵查人員進行。必要時,可以指派或者聘請專業技術人員在偵查人員主持下進行收集、提取電子數據。

第七條  收集、提取電子數據,可以根據案情需要采取以下一種或者幾種措施、方法:

(一)扣押、封存原始存儲介質;

(二)現場提取電子數據;

(三)網絡在線提取電子數據;

(四)凍結電子數據;

(五)調取電子數據。

第八條  具有下列情形之一的,可以采取打印、拍照或者錄像等方式固定相關證據:

(一)無法扣押原始存儲介質並且無法提取電子數據的;

(二)存在電子數據自毀功能或裝置,需要及時固定相關證據的;

(三)需現場展示、查看相關電子數據的。

根據前款第二、三項的規定采取打印、拍照或者錄像等方式固定相關證據後,能夠扣押原始存儲介質的,應當扣押原始存儲介質;不能扣押原始存儲介質但能夠提取電子數據的,應當提取電子數據。

第九條  采取打印、拍照或者錄像方式固定相關證據的,應當清晰反映電子數據的內容,並在相關筆錄中注明采取打印、拍照或者錄像等方式固定相關證據的原因,電子數據的存儲位置、原始存儲介質特征和所在位置等情況,由偵查人員、電子數據持有人(提供人)簽名或者蓋章;電子數據持有人(提供人)無法簽名或者拒絕簽名的,應當在筆錄中注明,由見證人簽名或者蓋章。


第二節   扣押、封存原始存儲介質

第十條  在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的電子數據,能够扣押原始存储介质的,应当扣押、封存原始存儲介質,并制作笔录,记录原始存储介质的封存状态。

勘验、檢查与電子數據有关的犯罪现场时,应当按照有关规范处置相关设备,扣押、封存原始存儲介質。

第十一條  對扣押的原始存儲介質,應當按照以下要求封存:

(一)保證在不解除封存狀態的情況下,無法使用或者啓動被封存的原始存儲介質,必要時,具備數據信息存儲功能的電子設備和硬盤、存儲卡等內部存儲介質可以分別封存;

(二)封存前後應當拍攝被封存原始存儲介質的照片。照片應當反映原始存儲介質封存前後的狀況,清晰反映封口或者張貼封條處的狀況;必要時,照片還要清晰反映電子設備的內部存儲介質細節;

(三)封存手機等具有無線通信功能的原始存儲介質,應當采取信號屏蔽、信號阻斷或者切斷電源等措施。

第十二條  對扣押的原始存儲介質,應當會同在場見證人和原始存儲介質持有人(提供人)查點清楚,當場開列《扣押清單》一式三份,寫明原始存儲介質名稱、編號、數量、特征及其來源等,由偵查人員、持有人(提供人)和見證人簽名或者蓋章,一份交給持有人(提供人),一份交給公安機關保管人員,一份附卷備查。

第十三條  對無法確定原始存儲介質持有人(提供人)或者原始存儲介質持有人(提供人)無法簽名、蓋章或者拒絕簽名、蓋章的,應當在有關筆錄中注明,由見證人簽名或者蓋章。由于客觀原因無法由符合條件的人員擔任見證人的,應當在有關筆錄中注明情況,並對扣押原始存儲介質的過程全程錄像。

第十四條  扣押原始存儲介質,應當收集證人證言以及犯罪嫌疑人供述和辯解等與原始存儲介質相關聯的證據。

第十五條  扣押原始存儲介質時,可以向相關人員了解、收集並在有關筆錄中注明以下情況:

(一)原始存儲介質及應用系統管理情況,網絡拓撲與系統架構情況,是否由多人使用及管理,管理及使用人員的身份情況;

(二)原始存儲介質及應用系統管理的用戶名、密碼情況;

(三)原始存儲介質的數據備份情況,有無加密磁盤、容器,有無自毀功能,有無其它移動存儲介質,是否進行過備份,備份數據的存儲位置等情況;

(四)其他相關的內容。


第三節   現場提取電子數據

第十六條  具有下列无法扣押原始存储介质情形之一的,可以現場提取電子數據:

(一)原始存儲介質不便封存的;

(二)提取計算機內存數據、網絡傳輸數據等不是存儲在存儲介質上的電子數據的;

(三)案件情況緊急,不立即提取電子數據可能會造成電子數據滅失或者其他嚴重後果的;

(四)關閉電子設備會導致重要信息系統停止服務的;

(五)需通过現場提取電子數據排查可疑存储介质的;

(六)正在運行的計算機信息系統功能或者應用程序關閉後,沒有密碼無法提取的;

(七)其他無法扣押原始存儲介質的情形。

无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存儲介質。

第十七條  現場提取電子數據可以采取以下措施保护相关电子设备:

(一)及時將犯罪嫌疑人或者其他相關人員與電子設備分離;

(二)在未確定是否易丟失數據的情況下,不能關閉正在運行狀態的電子設備;

(三)對現場計算機信息系統可能被遠程控制的,應當及時采取信號屏蔽、信號阻斷、斷開網絡連接等措施;

(四)保護電源;

(五)有必要采取的其他保護措施。

第十八條  現場提取電子數據,应当遵守以下规定:

(一)不得將提取的數據存儲在原始存儲介質中;

(二)不得在目標系統中安裝新的應用程序。如果因爲特殊原因,需要在目標系統中安裝新的應用程序的,應當在筆錄中記錄所安裝的程序及目的;

(三)應當在有關筆錄中詳細、准確記錄實施的操作。

第十九條  現場提取電子數據,应当制作《電子數據现场提取笔录》,注明電子數據的来源、事由和目的、对象、提取電子數據的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点,并附《電子數據提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、電子數據持有人(提供人)签名或者盖章;電子數據持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。

第二十條  對提取的電子數據可以進行數據壓縮,並在筆錄中注明相應的方法和壓縮後文件的完整性校驗值。

第二十一條  由于客觀原因無法由符合條件的人員擔任見證人的,應當在《電子數據現場提取筆錄》中注明情況,並全程錄像,對錄像文件應當計算完整性校驗值並記入筆錄。

第二十二條  對無法扣押的原始存儲介質且無法一次性完成電子數據提取的,經登記、拍照或者錄像後,可以封存後交其持有人(提供人)保管,並且開具《登記保存清單》一式兩份,由偵查人員、持有人(提供人)和見證人簽名或者蓋章,一份交給持有人(提供人),另一份連同照片或者錄像資料附卷備查。

持有人(提供人)應當妥善保管,不得轉移、變賣、毀損,不得解除封存狀態,不得未經辦案部門批准接入網絡,不得對其中可能用作證據的電子數據增加、刪除、修改。必要時,應當保持計算機信息系統處于開機狀態。

對登記保存的原始存儲介質,應當在七日以內作出處理決定,逾期不作出處理決定的,視爲自動解除。經查明確實與案件無關的,應當在三日以內解除。


第四節   網絡在線提取電子數據

第二十三條  對公開發布的電子數據、境內遠程計算機信息系統上的電子數據,可以通過網絡在線提取。

第二十四條  網絡在線提取應當計算電子數據的完整性校驗值;必要時,可以提取有關電子簽名認證證書、數字簽名、注冊信息等關聯性信息。

第二十五條  網絡在線提取時,對可能無法重複提取或者可能會出現變化的電子數據,應當采用錄像、拍照、截獲計算機屏幕內容等方式記錄以下信息:

(一)遠程計算機信息系統的訪問方式;

(二)提取的日期和時間;

(三)提取使用的工具和方法;

(四)電子數據的網絡地址、存儲路徑或者數據提取時的進入步驟等;

(五)計算完整性校驗值的過程和結果。

第二十六條  網絡在線提取電子數據应当在有关笔录中注明電子數據的来源、事由和目的、对象,提取電子數據的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《電子數據提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。

第二十七條  網絡在線提取時需要進一步查明下列情形之一的,應當對遠程計算機信息系統進行網絡遠程勘驗:

(一)需要分析、判斷提取的電子數據範圍的;

(二)需要展示或者描述電子數據內容或者狀態的;

(三)需要在遠程計算機信息系統中安裝新的應用程序的;

(四)需要通過勘驗行爲讓遠程計算機信息系統生成新的除正常運行數據外電子數據的;

(五)需要收集遠程計算機信息系統狀態信息、系統架構、內部系統關系、文件目錄結構、系統工作方式等電子數據相關信息的;

(六)其他網絡在線提取時需要進一步查明有關情況的情形。

二十八  網絡遠程勘驗由辦理案件的縣級公安機關負責。上級公安機關對下級公安機關刑事案件網絡遠程勘驗提供技術支援。對于案情重大、現場複雜的案件,上級公安機關認爲有必要時,可以直接組織指揮網絡遠程勘驗。

第二十九條  網絡遠程勘驗應當統一指揮,周密組織,明確分工,落實責任。

第三十條  网络远程勘验应当由符合條件的人员作为见证人。由于客观原因无法由符合條件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照本规則第二十五條的规定录像,录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记入笔录。

第三十一條  遠程勘驗結束後,應當及時制作《遠程勘驗筆錄》,詳細記錄遠程勘驗有關情況以及勘驗照片、截獲的屏幕截圖等內容。由偵查人員和見證人簽名或者蓋章。

远程勘验并且提取電子數據的,应当按照本规則第二十六條的规定,在《远程勘验笔录》注明有关情况,并附《電子數據提取固定清单》。

第三十二條  《遠程勘驗筆錄》應當客觀、全面、詳細、准確、規範,能夠作爲還原遠程計算機信息系統原始情況的依據,符合法定的證據要求。

對計算機信息系統進行多次遠程勘驗的,在制作首次《遠程勘驗筆錄》後,逐次制作補充《遠程勘驗筆錄》。

第三十三條  網絡在線提取或者網絡遠程勘驗時,應當使用電子數據持有人、網絡服務提供者提供的用戶名、密碼等遠程計算機信息系統訪問權限。

采用技术侦查措施收集電子數據的,应当严格依照有关规定办理批准手续。收集的電子數據在诉讼中作为证据使用时,应当依照刑事诉讼法第一百五十四條规定执行。

第三十四條  對以下犯罪案件,網絡在線提取、遠程勘驗過程應當全程同步錄像:

(一)嚴重危害國家安全、公共安全的案件;

(二)電子數據是罪與非罪、是否判處無期徒刑、死刑等定罪量刑關鍵證據的案件;

(三)社會影響較大的案件;

(四)犯罪嫌疑人可能被判處五年有期徒刑以上刑罰的案件;

(五)其他需要全程同步錄像的重大案件。

第三十五條  網絡在線提取、遠程勘驗使用代理服務器、點對點傳輸軟件、下載加速軟件等網絡工具的,應當在《網絡在線提取筆錄》或者《遠程勘驗筆錄》中注明采用的相關軟件名稱和版本號。


第五節   凍結電子數據

第三十六條  具有下列情形之一的,可以對電子數據進行凍結:

(一)數據量大,無法或者不便提取的;

(二)提取時間長,可能造成電子數據被篡改或者滅失的;

(三)通過網絡應用可以更爲直觀地展示電子數據的;

(四)其他需要凍結的情形。

第三十七條  凍結電子數據,应当经县级以上公安机关负责人批准,制作《协助凍結電子數據通知书》,注明凍結電子數據的网络应用账号等信息,送交電子數據持有人、网络服务提供者或者有关部门协助办理。

第三十八條  不需要继续凍結電子數據时,应当经县级以上公安机关负责人批准,在三日以内制作《解除凍結電子數據通知书》,通知電子數據持有人、网络服务提供者或者有关部门执行。

第三十九條  凍結電子數據的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的,应当按照本规則第三十七條的规定重新办理冻结手续。逾期不办理继续冻结手续的,视为自动解除。

第四十條  凍結電子數據,应当采取以下一种或者几种方法:

(一)計算電子數據的完整性校驗值;

(二)鎖定網絡應用賬號;

(三)采取寫保護措施;

(四)其他防止增加、刪除、修改電子數據的措施。


第六節   調取電子數據

第四十一條  公安机关向有关单位和个人調取電子數據,应当经办案部门负责人批准,开具《调取证据通知书》,注明需要調取電子數據的相关信息,通知電子數據持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护電子數據完整性方法的说明,被调取单位、个人拒绝盖章、签名或者附说明的,公安机关应当注明。必要时,应当采用录音或者录像等方式固定证据内容及取证过程。

公安机关应当协助因客观條件限制无法保护電子數據完整性的被调取单位、个人进行電子數據完整性的保护。

第四十二條  公安機關跨地域調查取證的,可以將《辦案協作函》和相關法律文書及憑證傳真或者通過公安機關信息化系統傳輸至協作地公安機關。協作地辦案部門經審查確認後,在傳來的法律文書上加蓋本地辦案部門印章後,代爲調查取證。

協作地辦案部門代爲調查取證後,可以將相關法律文書回執或者筆錄郵寄至辦案地公安機關,將電子數據或者電子數據的獲取、查看工具和方法說明通過公安機關信息化系統傳輸至辦案地公安機關。

办案地公安机关应当审查調取電子數據的完整性,对保证電子數據的完整性有疑问的,协作地办案部门应当重新代为调取。


第三章   電子數據的檢查和偵查實驗



第一節   電子數據檢查

第四十三條  对扣押的原始存储介质或者提取的電子數據,需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式,以进一步发现和提取与案件相关的线索和证据时,可以进行電子數據檢查。

第四十四條  電子數據檢查,應當由二名以上具有專業技術的偵查人員進行。必要時,可以指派或者聘請有專門知識的人參加。

第四十五條  電子數據檢查應當符合相關技術標准。

第四十六條  電子數據檢查应当保护在公安机关内部移交过程中電子數據的完整性。移交时,应当办理移交手续,并按照以下方式核对電子數據:

(一)核對其完整性校驗值是否正確;

(二)核對封存的照片與當前封存的狀態是否一致。

对于移交时電子數據完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,檢查人员应当在有关笔录中注明。

第四十七條  檢查電子數據应当遵循以下原則:

(一)通过写保护设备接入到檢查设备进行檢查,或者制作電子數據备份、对备份进行檢查;

(二)無法使用寫保護設備且無法制作備份的,應當注明原因,並全程錄像;

(三)檢查前解除封存、檢查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封條处的状况;

(四)檢查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护電子數據的完整性。

第四十八條  檢查電子數據,应当制作《電子數據檢查笔录》,记录以下内容:

(一)基本情况。包括檢查的起止时间,指挥人员、檢查人员的姓名、职务,檢查的对象,檢查的目的等;

(二)檢查过程。包括檢查过程使用的工具,檢查的方法与步骤等;

(三)檢查结果。包括通过檢查发现的案件线索、電子數據、等相关信息。

(四)其他需要記錄的內容。

第四十九條  電子數據檢查时需要提取電子數據的,应当制作《電子數據提取固定清单》,记录该電子數據的来源、提取方法和完整性校验值。


第二節   電子數據侦查实验

第五十條  为了查明案情,必要时,经县级以上公安机关负责人批准可以进行電子數據侦查实验。

第五十一條  電子數據侦查实验的任务包括:

(一)验证一定條件下电子设备发生的某种异常或者電子數據发生的某种变化;

(二)验证在一定时间内能否完成对電子數據的某种操作行为;

(三)验证在某种條件下使用特定软件、硬件能否完成某种特定行为、造成特定后果;

(四)确定一定條件下某种计算机信息系统应用或者网络行为能否修改、删除特定的電子數據;

(五)其他需要驗證的情況。

第五十二條  電子數據侦查实验应当符合以下要求:

(一)應當采取技術措施保護原始存儲介質數據的完整性;

(二)有條件的,電子數據侦查实验应当进行二次以上;

(三)偵查實驗使用的電子設備、網絡環境等應當與發案現場一致或者基本一致;必要時,可以采用相關技術方法對相關環境進行模擬或者進行對照實驗;

(四)禁止可能泄露公民信息或者影響非實驗環境計算機信息系統正常運行的行爲。

第五十三條  进行電子數據侦查实验,应当使用拍照、录像、录音、通信数据采集等一种或多种方式客观记录实验过程。

第五十四條  进行電子數據侦查实验,应当制作《電子數據侦查实验笔录》,记录侦查实验的條件、过程和结果,并由参加侦查实验的人员签名或者盖章。


第四章   電子數據委托检验与鉴定


第五十五條  爲了查明案情,解決案件中某些專門性問題,應當指派、聘請有專門知識的人進行鑒定,或者委托公安部指定的機構出具報告。

需要聘請有專門知識的人進行鑒定,或者委托公安部指定的機構出具報告的,應當經縣級以上公安機關負責人批准。

第五十六條 侦查人员送检时,应当封存原始存储介质、采取相应措施保护電子數據完整性,并提供必要的案件相关信息。

第五十七條  公安部指定的機構及其承擔檢驗工作的人員應當獨立開展業務並承擔相應責任,不受其他機構和個人影響。

第五十八條  公安部指定的機構應當按照法律規定和司法審判機關要求承擔回避、保密、出庭作證等義務,並對報告的真實性、合法性負責。

公安部指定的機構應當運用科學方法進行檢驗、檢測,並出具報告。

第五十九條  公安部指定的機構應當具備必需的儀器、設備並且依法通過資質認定或者實驗室認可。

第六十條  委托公安部指定的机构出具报告的其他事宜,参照《公安机关鉴定规則》等有关规定执行。

第五章     


第六十一條  本规則自2019年2月1日起施行。公安部之前发布的文件与本规則不一致的,以本规則为准。


Produced By 大汉网络 大汉版通发布系统