計算機犯罪現場勘驗與電子證據檢查規則

計算機犯罪現場勘驗與電子證據檢查規則

為規範計算機犯罪現場勘驗與電子證據檢查工作，確保現場勘驗檢查質量，根據《刑事訴訟法》、《公安機關辦理刑事案件程序規定》、《公安部刑事案件現場勘查規則》，制定本規則。
在本規則中，電子證據包括電子數據、存儲媒介和電子設備。

頒佈單位：公安部

文       號：公信安[2005]161號

頒佈時間：2005-04-15

實施時間：2005-04-15

時 效  性：現行有效

效力級別：部門工作文件

第一章 總 則

第一條 為規範計算機犯罪現場勘驗與電子證據檢查工作，確保現場勘驗檢查質量，根據《刑事訴訟法》、《公安機關辦理刑事案件程序規定》、《公安部刑事案件現場勘查規則》，制定本規則。

第二條 在本規則中，電子證據包括電子數據、存儲媒介和電子設備。

第三條 計算機犯罪現場勘驗與電子證據檢查包括：

(一)現場勘驗檢查。是指在犯罪現場實施勘驗，以提取、固定現場存留的與犯罪有關電子證據和其它相關證據。

(二)遠程勘驗。是指通過網絡對遠程目標系統實施勘驗，以提取、固定遠程目標系統的狀態和存留的電子數據。

(三)電子證據檢查。是指檢查已扣押、封存、固定的電子證據，以發現和提取與案件相關的線索和證據。

第四條 計算機犯罪現場勘驗與電子證據檢查的任務是，發現、固定、提取與犯罪相關的電子證據及其他證據，進行現場調查訪問，製作和存儲現場信息資料，判斷案件性質，確定偵查方向和範圍，為偵查破案提供線索和證據。

第五條 計算機犯罪現場勘驗與電子證據檢查，應當嚴格遵守國家法律、法規的有關規定。不受其他任何單位、個人的干涉。

第六條 執行計算機犯罪現場勘驗與電子證據檢查任務的人員，應當具備計算機現場勘驗與電子證據檢查的專業知識和技能。

第七條 計算機犯罪現場勘驗與電子證據檢查工作，應當以事實為依據，防止主觀臆斷，嚴禁弄虛作假。

第二章 組織與指揮

第八條 計算機犯罪現場勘驗與電子證據檢查，應當由縣級以上公安機關公共信息網絡安全監察部門負責組織實施。必要時，可以指派或者聘請具有專門知識的人蔘加。

第九條 對計算機犯罪現場進行勘驗和對電子證據進行檢查不得少於二人。現場勘驗檢查，應當邀請一至兩名與案件無關的公民作見證人。公安司法人員不能充當見證人。電子證據檢查，應當遵循辦案人員與檢查人員分離的原則。檢查工作應當由具備電子證據檢查技能的專業技術人員實施，辦案人員應當予以配合。

第十條 對計算機犯罪現場勘驗與電子證據檢查應當統一指揮，周密組織，明確分工，落實責任。

第十一條 計算機犯罪現場勘驗與電子證據檢查的指揮員應當由具有計算機犯罪現場勘驗與電子證據檢查專業知識和組織指揮能力的人民警察擔任。重大、特別重大案件的勘驗檢查工作，指揮員由案發地公安機關負責人擔任。必要時，上級公安機關可以直接組織指揮現場勘驗和電子證據檢查工作。

第三章 電子證據的固定與封存

第十二條 固定和封存電子證據的目的是保護電子證據的完整性、真實性和原始性。

作為證據使用的存儲媒介、電子設備和電子數據應當在現場固定或封存。

第十三條 封存電子設備和存儲媒介的方法是：

(一)採用的封存方法應當保證在不解除封存狀態的情況下，無法使用被封存的存儲媒介和啟動被封存電子設備。

(二)封存前後應當拍攝被封存電子設備和存儲媒介的照片並製作《封存電子證據清單》，照片應當從各個角度反映設備封存前後的狀況，清晰反映封口或張貼封條處的狀況。

第十四條 固定存儲媒介和電子數據包括以下方式：

(一)完整性校驗方式。是指計算電子數據和存儲媒介的完整性校驗值，並製作、填寫《固定電子證據清單》;

(二)備份方式。是指複製、製作原始存儲媒介的備份，並依照第十三條規定的方法封存原始存儲媒介;

(三)封存方式。對於無法計算存儲媒介完整性校驗值或製作備份的情形，應當依照第十三條規定的方法封存原始存儲媒介，並在勘驗、檢查筆錄上註明不計算完整性校驗值或製作備份的理由。

第四章 現場勘驗檢查

第十五條 現場勘驗檢查程序包括：

(一)保護現場;

(二)收集證據;

(三)提取、固定易丟失數據;

(四)在線分析;

(五)提取、固定證物。

第十六條 對現場狀況以及提取數據、封存物品文件的過程、在線分析的關鍵步驟應當錄像，錄像帶應當編號封存。

第十七條 在現場拍攝的照片應當統一編號製作《勘驗檢查照片記錄表》。

第十八條 在現場提取的易丟失數據以及現場在線分析時生成和提取的電子數據，應當計算其完整性校驗值並製作、填寫《固定電子證據清單》，以保證其完整性和真實性。

第十九條 在線分析是指在現場不關閉電子設備的情況下直接分析和提取電子系統中的數據。除以下情形外，一般不得實施在線分析：

(一)案件情況緊急，在現場不實施在線分析可能會造成嚴重後果的;

(二)情況特殊，不允許關閉電子設備或扣押電子設備的;

(三)在線分析不會損害目標設備中重要電子數據的完整性、真實性的。重要電子數據是指可能作為證據的電子數據。

第二十條 易丟失數據提取和在線分析，應當依循以下原則：

(一)不得將生成、提取的數據存儲在原始存儲媒介中。

(二)不得在目標系統中安裝新的應用程序。如果因為特殊原因，需要在目標系統中安裝新的應用程序的，應當在《現場勘驗檢查筆錄》中記錄所安裝的程序及其目的。

(三)應當在《現場勘驗檢查筆錄》中詳細、準確記錄實施的操作以及對目標系統可能造成的影響。

第二十一條 現場勘驗檢查結束後，應當在及時製作《現場勘驗檢查工作記錄》。《現場勘驗檢查工作記錄》由《現場勘驗檢查筆錄》、《固定電子證據清單》、《封存電子證據清單》和《勘驗檢查照片記錄表》等內容組成。

第五章 遠程勘驗

第二十二條 遠程勘驗過程中提取的目標系統狀態信息、目標網站內容以及勘驗過程中生成的其它電子數據，應當計算其完整性校驗值並製作《固定電子證據清單》。

第二十三條 應當採用錄像、照相、截獲計算機屏幕內容等方式記錄遠程勘驗過程中提取、生成電子證據等關鍵步驟。

第二十四條 遠程勘驗結束後，應當及時製作《遠程勘驗工作記錄》。《遠程勘驗工作記錄》由《遠程勘驗筆錄》、《固定電子證據清單》、《勘驗檢查照片記錄表》以及截獲的屏幕截圖等內容組成。

第二十五條 通過網絡監聽獲取特定主機通信內容以提取電子證據時，應當遵循與遠程勘驗相同的規定。

第六章 電子證據檢查

第二十六條 辦案人員將電子證據移交給檢查人員時應同時提供《固定電子證據清單》和《封存電子證據清單》的複印件，檢查人員應當依照以下原則檢查電子證據的完整性：

(一)對於以完整性校驗方式保護的電子數據，檢查人員應當核對其完整性校驗值是否正確;

(二)對於以封存方式保護的電子設備或存儲媒介，檢查人員應當比對封存的照片與當前封存的狀態是否一致;

(三)存儲媒介完整性校驗值不正確、封存狀態不一致或未封存的，檢查人員應當在《電子證據檢查筆錄》中註明，並由送檢人簽名。

第二十七條 電子證據檢查包括：

(一)檢查、分析電子證據中包含的電子數據，提取與案件相關的電子證據。

(二)檢查、分析電子證據中包含的電子數據，製作《電子證據檢查筆錄》描述檢查結論。

第二十八條 從電子證據中提取電子數據，應當製作《提取電子數據清單》，記錄該電子數據的來源和提取方法。

第二十九條 複製、製作原始存儲媒介的備份應當遵循以下原則：

(一)複製並重新封存原始存儲媒介。

(二)對解除封存狀態、開始複製、複製結束、重新封存等關鍵步驟應當錄像記錄檢查人員實施的操作。

(三)複製完成後應當依照第十三條規定重新封存原始存儲媒介，並製作、填寫《封存電子證據清單》。

第三十條 除下列情形外，不得直接檢查原始存儲媒介，應當製作、複製原始存儲媒介的備份，並在備份存儲媒介上實施檢查：

(一)情況緊急的重大案件，不立即檢查可能延誤案件的偵查工作，導致嚴重後果的;

(二)已計算存儲媒介的完整性校驗值，檢查過程能夠保證不修改原始存儲媒介所存儲的數據的;

(三)因技術條件限制，無法複製原始存儲媒介的。

第三十一條 檢查原始電子設備，或者因第三十條描述的原因，需要直接檢查原始存儲媒介的，應當遵循以下原則：

(一)對解除封存狀態、檢查過程的關鍵操作、重新封存等重要步驟應當錄像;

(二)檢查完畢後應當依照第十三條規定重新封存原始存儲媒介和原始電子設備，並製作、填寫《封存電子證據清單》。

(三)應當製作《原始證據使用記錄》，記錄直接檢查原始證據的原因和目的、實施的操作、對原始存儲媒介和原始電子設備中存儲的信息可能產生的影響，並由兩名檢查人員簽名。

第三十二條 電子證據檢查結束後，應當及時製作《電子證據檢查工作記錄》。

《電子證據檢查工作記錄》由《電子證據檢查筆錄》、《提取電子數據清單》、《封存電子證據清單》和《原始證據使用記錄》等內容構成。

第七章 勘驗檢查記錄

第三十三條 《現場勘驗檢查工作記錄》、《遠程勘驗工作記錄》、《電子證據檢查工作記錄》應當加蓋騎縫章後由至少兩名勘驗、檢查人員簽名。

《現場勘驗檢查工作記錄》應當由至少一名見證人簽名。

第三十四條 《現場勘驗檢查筆錄》的內容一般包括：

(一)基本情況。包括勘驗檢查的地點，起止時間，指揮人員、勘查人員的姓名、職務，見證人的姓名、住址等;

(二)現場情形。包括現場的設備環境、網絡結構、運行狀態等;

(三)勘查過程。包括勘查的基本情況，易丟失證據提取的過程、產生的數據，在線勘驗、檢查過程中實施的操作、對數據可能產生的影響、提取的數據，封存物品、固定證據的有關情況等;

(四)勘查結果。包括提取物證的有關情況、勘查形成的結論以及發現的案件線索等。

第三十五條 《現場勘查照片記錄表》應當記錄該相片拍攝的內容、對象，並編號入卷。拍攝的照片可以是數碼照片或光學照片。

第三十六條 《遠程勘驗筆錄》的內容一般包括：

(一)基本情況。包括勘驗的起止時間，指揮人員、勘驗人員的姓名、職務，勘驗的對象，勘驗的目的等;

(二)勘驗過程。包括勘驗使用的工具，勘驗的方法與步驟，提取和固定數據的方法等;

(三)勘驗結果。包括通過勘驗發現的案件線索，目標系統的狀況，目標網站的內容等。

第三十七條 《電子證據檢查筆錄》的內容一般包括：

(一)基本情況。包括檢查的起止時間，指揮人員、勘驗人員的姓名、職務，檢查的對象，檢查的目的等;

(二)檢查過程。包括檢查過程使用的工具，檢查的方法與步驟，提取數據的方法等;

(三)檢查結果。包括通過檢查發現的案件線索，提取的信息內容等。

第八章 附 則

第三十八條 對刑事案件現場勘驗、檢查應當遵循公安機關對刑事案件現場勘驗、檢查的有關規定。

第三十九條 本規則自發布之日起施行。