鉴定知识
电子数据相关规定

一、关于电子数据的8个主要司法解释和规范性文件 

目前,重点针对电子数据调取、审查运用等问题进行规范的司法解释主要包括2005年公安部《计算机犯罪现场勘验与电子证据检查规则》、2005年公安部《公安机关电子数据鉴定规则》、2009最高人民检察院《电子证据鉴定程序规则(试行)》、《人民检察院电子证据勘验程序规则(试行)》、2012年最高人民法院《关于适用刑事诉讼法若干问题的解释》、2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(简称“意见”)、2016年《公安机关执法细则》、2016年9月由最高人民法院、最高人民检察院、公安部联合颁发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(简称“规定”),以及其它散见于赌博罪司法解释等中的相关规定。

其中,2016年9月出台的《规定》第一次就电子数据这一特殊证据种类的收集提取和审查判断等方面做出了系统的规定。目前,各个相关司法解释、规范性文件在具体内容上存在一定出入,但根据《规定》第三十条的规定:“本规定自2016年10月1日起施行。之前发布的规范性文件与本规定不一致的,以本规定为准。”。

二、关于电子数据的界定

(一)《计算机犯罪现场勘验与电子证据检查规则》

电子证据包括电子数据、存储媒介和电子设备。

(二)《公安机关电子数据鉴定规则》第二条

第二条 本规则所称的电子数据,是指以数字化形式存储、处理、传输的数据。

(编者注:其所限定范围比《规定》要广,但目前应当遵循《规定》中的表述。)

(三)高检院《电子证据鉴定程序规则》第二条

电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。

(四)最高法《关于适用刑事诉讼法的解释》第九十三条第一款

电子数据包括:电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。

(编者注:该解释只作列举,而未下定义。)

(五)《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条

第一条  电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。

(编者注:从字面理解,应当不包括案件发生后查办过程中形成的数据,这一点在司法实践中可能会带来争议。)

电子数据包括但不限于下列信息、电子文件:

(编者注:“但不限于”的表述说明,此处列举并非穷尽式列举。)

(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;

(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;

(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;

(四)文档、图片、音视频、数字证书、计算机程序等电子文件。

以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。

(编者注:从文意分析,此种情况下以不适用本规则为原则,以适用为例外。)

三、一般性规定

(一)《规定》第二、三、四、六条

第二条  侦查机关应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取电子数据;人民检察院、人民法院应当围绕真实性、合法性、关联性审查判断电子数据。

第三条  人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。

第四条  电子数据涉及国家秘密、商业秘密、个人隐私的,应当保密。

第六条  初查过程中收集、提取的电子数据,以及通过网络在线提取的电子数据,可以作为证据使用。

(编者注:对初查所取得电子数据证据效力的确认。)

四、勘验、检查规定

(一)现场勘验

《公安机关执法细则》第七章的规定:

7-02.勘验、检查的机构和人员

计算机犯罪现场勘验与电子证据检查,应当由县级以上公安机关网络安全保卫部门负责组织实施。必要时,可以指派或者聘请具有专门知识的人参加。

(编者注:对参与主体进行了明确限定。)

7-04.现场勘验检查

1.现场勘验检查程序。现场勘验检查是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关的电子证据和其他相关证据。

现场勘验检查程序包括:

(1)保护现场;

(2)收集证据;

(3)提取、固定易丢失数据;

(4)在线分析;

(5)提取、固定证物。

2.录像。对现场状况以及提取数据、封存物品文件的过程,在线分析的关键步骤应当录像,录像带应当编号封存。

(编者注:公安机关的规定与《规定》相比更加严格,将录像作为了勘验、检查的必要手段。)

3.照相。在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。

4.制作《固定电子证据清单》。在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。

(编者注:完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。为了确保数据的原始性,根据文意计算完整性检验值应当在取证现场同步完成。)

5.在线分析。在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。除以下情形外,一般不得实施在线分析:

(编者注:从文意来看,在线分析属于特殊情形下的特殊勘验、检查方法。)

(1)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;

(2)情况特殊,不允许关闭电子设备或扣押电子设备的;

(3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。

6.易丢失数据提取和在线分析。易丢失数据提取和在线分析,应当遵循以下原则:

(编者注:以下原则是为了保护电子数据的原始性和完整性。)

(1)不得将生成、提取的数据存储在原始存储媒介中。

(2)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。

(3)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。

7.制作《现场勘验检查工作记录》。现场勘验检查结束后,应当及时制作《现场勘验检查工作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。

(编者注:已列明名称的特定文书不能够以工作说明或工作记录予以替代。)

《现场勘验检查笔录》的内容一般包括:

(1)基本情况。包括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、职务,见证人的姓名、住址等;

(2)现场情形。包括现场的设备环境、网络结构、运行状态等;

(3)勘查过程。包括勘查的基本情况,易丢失证据提取的过程、产生的数据,在线勘验、检查过程中实施的操作、对数据可能产生的影响、提取的数据,封存物品、固定证据的有关情况等;

(4)勘查结果。包括提取物证的有关情况、勘查形成的结论以及发现的案件线索等。

《勘验检查照片记录表》应当记录该照片拍摄的内容、对象,并编号入卷。

拍摄的照片可以是数码照片或者光学照片。

(二)网络远程勘验

(编者注:网络远程勘验,是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。)

第一,《公安机关执法细则》第七章的规定:

7-05.远程勘验

1.远程勘验的目的。远程勘验的目的是通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。

2.远程勘验方法。远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其他电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。

3.记录关键步骤。应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。

4.制作《远程勘验工作记录》。远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。

《远程勘验笔录》的内容一般包括:

(1)基本情况。包括勘验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的对象,勘验的目的等;

(2)勘验过程。包括勘验使用的工具,勘验的方法与步骤,提取和固定数据的方法等;

(3)勘验结果。包括通过勘验发现的案件线索,目标系统的状况,目标网站的内容等。

第二,《规定》第九条第三款

第九条 (一、二款略)

为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。

(编者注:根据此款规定,公诉人在采取技术侦查措施时,需要重点审查相关审批手续。) 

(三)电子数据检查

第一,《公安机关执法细则》第七章的规定

7-06.电子证据检查

1.电子证据检查的目的。电子证据检查的目的是检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。

2.电子证据检查的方法。侦查人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电子证据清单》的复印件,检查人员应当依照以下原则检查电子证据的完整性:

(1)对于以完整性校验方式保护的电子数据,检查人员应当核对其完整性校验值是否正确;

(2)对于以封存方式保护的电子设备或存储媒介,检查人员应当比对封存的照片与当前封存的状态是否一致;

(3)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员应当在《电子证据检查笔录》中注明,并由送检人签名。

3.电子证据检查的内容。电子证据检查包括:

(1)检查、分析电子证据中包含的电子数据,提取与案件相关的电子证据;

(2)检查、分析电子证据中包含的电子数据,制作《电子证据检查笔录》描述检查结论。

从电子证据中提取电子数据,应当制作《提取电子数据清单》,记录该电子数据的来源和提取方法。

4.电子证据检查的对象。

(1)复制、制作原始存储媒介的备份应当遵循以下原则:

①复制并重新封存原始存储媒介;

②对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作;

③复制完成后,应当依照本章第7-03条第2款规定重新封存原始存储媒介,并制作、填写《封存电子证据清单》。

(2)除下列情形外,不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查:

①情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;

②已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介所存储的数据的;

③因技术条件限制,无法复制原始存储媒介的。

(3)检查原始电子设备,或者因前项描述的原因,需要直接检查原始存储媒介的,应当遵循以下原则:

①对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像;

②检查完毕后应当依照本章第7-03条第2款规定重新封存原始存储媒介和原始电子设备,并制作、填写《封存电子证据清单》;

③应当制作《原始证据使用记录》,记录直接检查原始证据的原因和目的、实施的操作、对原始存储媒介和原始电子设备中存储的信息可能产生的影响,并由两名检查人员签名。

5.制作《电子证据检查工作记录》。电子证据检查结束后,应当及时制作《电子证据检查工作记录》。《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》等内容构成。

《电子证据检查笔录》的内容一般包括:

(1)基本情况。包括检查的起止时间,指挥人员、勘验人员的姓名、职务,检查的对象,检查的目的等;

(2)检查过程。包括检查过程使用的工具,检查的方法与步骤,提取数据的方法等;

(3)检查结果。包括通过检查发现的案件线索,提取的信息内容等。

第二,《规定》第十六条的规定

第十六条 对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。

(编者注:明确了电子数据检查的基本方法;强调了侦查实验的实施前提。)

电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。

(编者注:拆封过程中的录像是必须程序;为保证检材的完整性,规定以检查备份为原则;对传输设备进行了特别规定,对于无法使用规定设备的情况,需要同时完成两项必须工作:一是书面说明,二是录像。)

电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。

五、关于电子数据的收集、提取规定

(一)关于取证主体的规定

第一,《意见》第13条

13.收集、提取电子数据,应当由二名以上具备相关专业知识的侦查人员进行。取证设备和过程应当符合相关技术标准,并保证所收集、提取的电子数据的完整性、客观性。

第二,《规定》第7条

第七条 收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。

(编者注:与《意见》相比,《规定》对取证主体的资格规定的更为宽泛,取消了“具备相关专业知识”,毕竟《意见》中的这一限定在实践中很难实现和鉴别。)

(二)关于取证程序的规定

第一,《意见》第14-16条

  14.收集、提取电子数据,能够获取原始存储介质的,应当封存原始存储介质,并制作笔录,记录原始存储介质的封存状态,由侦查人员、原始存储介质持有人签名或者盖章;持有人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,侦查人员应当对相关活动进行录像。

  15.具有下列情形之一,无法获取原始存储介质的,可以提取电子数据,但应当在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况,并由侦查人员、电子数据持有人、提供人签名或者盖章;持有人、提供人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章;有条件的,侦查人员应当对相关活动进行录像:

  (1)原始存储介质不便封存的;

  (2)提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的;

  (3)原始存储介质位于境外的;

  (4)其他无法获取原始存储介质的情形。

  16.收集、提取电子数据应当制作笔录,记录案由、对象、内容,收集、提取电子数据的时间、地点、方法、过程,电子数据的清单、规格、类别、文件格式、完整性校验值等,并由收集、提取电子数据的侦查人员签名或者盖章。远程提取电子数据的,应当说明原因,有条件的,应当对相关活动进行录像。通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的,应当对恢复、破解过程和方法作出说明。

第二,《规定》第八条第一款、第九条第一、二款、第十条至第十五条

第八条 收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。

第九条 具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值:

(编者注:《规定》与《意见》相比,增加规定了“计算电子数据的完整性校验值”。)

(一)原始存储介质不便封存的;

(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;

(三)原始存储介质位于境外的;

(四)其他无法扣押原始存储介质的情形。

对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。

(编者注:此款系《规定》中增加的内容,确认了此种情形下通过网络取证的证据资格问题。)

第十条 由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的,可以采取打印、拍照或者录像等方式固定相关证据,并在笔录中说明原因。

(编者注:这一规定增强了办案单位在实践中的操作的灵活性,降低了取证的难度,但在实践中何为“不宜依据第八条、第九条的规定收集、提取电子数据”,容易引发争议。)

第十一条 具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:

(一)数据量大,无法或者不便提取的;

(二)提取时间长,可能造成电子数据被篡改或者灭失的;

(三)通过网络应用可以更为直观地展示电子数据的;

(四)其他需要冻结的情形。

第十二条 冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。

(编者注:未规定在无需继续冻结的情况下,应当在多长时间内做出解除冻结决定。)

冻结电子数据,应当采取以下一种或者几种方法:

(编者注:从文义来看,实践中应当尽可能同时使用多种技术方法进行冻结,以确保“冻结”的有效性。)

(一)计算电子数据的完整性校验值;

(二)锁定网络应用账号;

(三)其他防止增加、删除、修改电子数据的措施。

第十三条 调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。

第十四条 收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。

(编者注:进一步细化了笔录所需要记载的内容,尤其是要求记明校验码,明确了对笔录的重点审查内容。同时,实践中对于“有条件”的理解会产生分歧。)

第十五条 收集、提取电子数据,应当根据刑事诉讼法的规定,由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在笔录中注明情况,并对相关活动进行录像。

(编者注:此条中关于见证人缺失情况下证据合法性问题的规定,增强了办案过程中的灵活性,降低了程序性要求,但同时意味着控辩双方要高度关注“由于客观原因无法由符合条件的人员担任见证人的”这一前置条件是否确实成立的问题。)

针对同一现场多个计算机信息系统收集、提取电子数据的,可以由一名见证人见证。

(编者注:此条款专门规定了见证人问题,规定了无见证人情形的适用条件和处置方法,需要强调的是“笔录注明情况”与“录像”是需要同步完成的两项工作。同时,明确了一名见证人可以“针对同一现场多个计算机信息系统收集、提取电子数据”活动进行见证。)

六、关于电子数据的固定和封存的规定

(一)《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第17条

17.收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的复制件一并移送。对文档、图片、网页等可以直接展示的电子数据,可以不随案移送电子数据打印件,但应当附有展示方法说明和展示工具;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,公安机关应当随案移送打印件。对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附有电子数据属性、功能等情况的说明。对数据统计数量、数据同一性等问题,公安机关应当出具说明。

(二)《公安机关执法细则》7-03

1.固定和封存的目的。固定和封存电子证据的目的是保护电子证据的完整性、真实性和原始性。

作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。

2.封存的方法。封存电子设备和存储媒介的方法是:

(1)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。

(2)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。

3.固定的方式。固定存储媒介和电子数据包括以下方式:

(1)完整性校验方式。是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;

(2)备份方式。是指复制、制作原始存储媒介的备份,并依照本条第2款规定的方法封存原始存储媒介;

(3)封存方式。对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照本条第2款规定的方法封存原始存储媒介,并在《现场勘验检查笔录》上注明不计算完整性校验值或制作备份的理由。

(三)《规定》第五条、第八条第二、三款

第五条  对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性:

( 编者注:从文意来看,是在鼓励同时采取多种方法确保电子数据的完整性。究其原因,主要在于电子数据具有能够被“无痕迹修改”的特性。)

(一)扣押、封存电子数据原始存储介质;

(二)计算电子数据完整性校验值;

(编者注:该检验值相当于电子数据的基因代码,电子数据一旦被修改,该数值将发生变化,从而防止有人对电子数据进行无痕迹修改。)

(三)制作、封存电子数据备份;

(编者注:此处的“备份”,通常应当是指取得镜像文件,而非日常生活中的复制、粘贴。)

(四)冻结电子数据;

(五)对收集、提取电子数据的相关活动进行录像;

(编者注:由文意可知,《规定》并未将录像作为必须方式加以规定,为取证活动留有了一定的灵活空间。)

(六)其他保护电子数据完整性的方法。

第八条 (第一款略)

封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。

封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。

七、关于电子数据的移送的规定

(一)《意见》第17条

收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的复制件一并移送。对文档、图片、网页等可以直接展示的电子数据,可以不随案移送电子数据打印件,但应当附有展示方法说明和展示工具;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,公安机关应当随案移送打印件。

(二)《规定》第十八条至第二十条

第十八条 收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。

(编者注:此处与《意见》相比明确规定了移送的是“备份”,改变了“复制件”的称谓,进一步强调随同移送的应当是原件的镜像文件,而非简单的复制、粘贴。对此,在审查证据形式时必须予以关注。)

对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。

(编者注:实践中经常出现侦查机关仅移送视频文件而不移送播放器,从而导致检察机关和辩护人,甚至合议庭无法审查、观看该视频文件。有了这一规定,今后检察机关就有依据监督侦查机关杜绝上述现象的发生,为后续环节审查电子数据提供便利。)

对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。

(编者注:明确了“清单”的具体内容,在审查证据时应当逐项加以审查。)

第十九条 对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。

对数据统计量、数据同一性等问题,侦查机关应当出具说明。

(编者注:明确了文书的名称、性质,可以防止实践中出现文书形式、性质各不相同的问题出现。)

第二十条 公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。人民检察院在审查批准逮捕和审查起诉过程中发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知公安机关补充移送或者进行补正。

对于提起公诉的案件,人民法院发现应当移送的电子数据没有移送或者移送的电子数据不符合相关要求的,应当通知人民检察院。

公安机关、人民检察院应当自收到通知后三日内移送电子数据或者补充有关材料。

(编者注:明确规定了补证期限,防止出现久拖不决。)

八、关于电子数据的鉴定

(一)一般规定

第一,《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第18条

18.对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具检验报告。

第二,《公安机关电子数据鉴定规则》

第十七条 鉴定人遇有下列情形之一的,应当自行回避,当事人及其法定代理人也有权要求鉴定人回避: 
  (一)是本案当事人或者当事人的近亲属的; 
  (二)本人或者其近亲属和本案有利害关系的; 
  (三)担任过本案证人、辩护人、诉讼代理人的; 
  (四)被指派为本案侦查人员的; 
  (五)对本人出具的鉴定结论进行重新鉴定的; 
  (六)其他可能影响鉴定公正的。 

第三,《规定》第十七条

第十七条 对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告。

(编者注:鉴定主体分为两种情况,一是鉴定机构,二是指定机构,但必须是公安部和最高检指定的机构。从而扩大了鉴定主体的范围。)

具体办法由公安部、最高人民检察院分别制定。

(编者注:此为授权性条款,故在《规定》出台后仍然应当认真研究和执行公安部、最高检下发的鉴定程序性文件。)

(二)委托与受理

第一,《公安机关电子数据鉴定规则》第五章、第六章

第二十三条 鉴定委托单位送检时应当向电子数据鉴定机构提交下列材料: 

(一)《电子数据鉴定委托登记表》; 

(二)证明送检人身份的有效证件; 

(三)委托鉴定的检材; 

(四)鉴定人要求提供的与鉴定有关的其他材料。 

第二十四条 《电子数据鉴定委托登记表》应当包括下列内容: 

(一)委托单位、送检人和委托时间; 

(二)案件或者事件的简要情况;

(三)《委托鉴定检材清单》。描述送检检材的名称、数量、特征,该检材的来源、封存固定记录等其它说明信息; 

(四)鉴定目的和要求。 

提出复核鉴定或者重新鉴定的,应当附带原鉴定书。

第二十五条 委托鉴定的存储媒介应当是复制原始存储媒介得到的备份存储媒介。 

因特殊原因,委托鉴定的检材是原始存储媒介或原始电子设备的,委托单位应当提供相应的《固定电子证据清单》和《封存电子证据清单》。 

委托单位未对原始存储媒介或原始电子设备进行封存或固定的,应当在《委托鉴定检材清单》中注明。 

第二十六条 鉴定委托单位已使用过委托鉴定的原始存储媒介和电子设备的,应当介绍使用的情况,并提交相应的《原始证据使用记录》。 

第二十七条 鉴定委托单位不得暗示或者强迫鉴定人作出某种鉴定结论;应当保证其向电子数据鉴定机构提交的检材来源清楚、真实可靠、提取合法。

第二十八条 公安机关电子数据鉴定机构可以受理公安机关、人民法院、人民检察院、司法行政机关、国家安全机关、其他行政执法机关、军队保卫部门、纪检监察部门,以及仲裁机构委托的电子数据鉴定。必要时,经公安机关电子数据鉴定机构主要负责人批准,可以受理律师事务所委托的电子数据鉴定。 

第二十九条 公安机关电子数据鉴定机构接到鉴定委托时,应当审查以下内容: 

(一)委托主体和有关手续是否符合要求; 

(二)送检材料有无鉴定条件; 

(三)核对送检材料的名称、数量; 

(四)《固定电子证据清单》中的完整性校验值是否正确; 

(五)《封存电子证据清单》记载的内容与送检的原始电子设备或原始存储媒介的封存状况是否一致。 

第三十条 公安机关电子数据鉴定机构经过审查,分别作出接受委托、修改鉴定要求、补送材料或者不予受理的决定。公安机关电子数据鉴定机构是否受理鉴定,应当在收到鉴定委托之日起2个工作日内向鉴定委托单位作出答复,并告之可能作出鉴定结论的时间。 

第三十一条 具有下列情形之一的,公安机关电子数据鉴定机构对鉴定委托不予受理:

(一)违反国家法律、法规的; 

(二)不具备鉴定委托主体资格的; 

(三)违反鉴定委托程序要求的; 

(四)超出鉴定范围的; 

(五)检材和物品与案件或者事件无关的; 

(六)不具备检验鉴定条件的; 

(七)已经委托其他物证鉴定机构正在进行鉴定的; 

(八)其他不应受理或者无法受理的情形。 

第三十二条 公安机关电子数据鉴定机构接受鉴定委托的,应当填写《电子数据鉴定受理登记表》,并向鉴定委托单位提供该《受理电子数据鉴定登记表》的复印件。 

第三十三条《电子数据鉴定受理登记表》应当包括下列内容: 

(一)受理编号; 

(二)委托单位、送检人和委托时间;

(三)鉴定目的和要求; 

(四)《受理鉴定检材清单》。描述受理鉴定的检材名称、数量、特征,检材的完整性和封存状况校验结果;

(五)受理单位、受理人、受理时间。送检方提供的《固定电子证据清单》、《封存电子证据清单》和《原始证据使用记录》,应当作为登记表的附件。 

第三十四条 如果鉴定过程可能修改原始存储媒介和电子设备中存储的数据,公安机关电子数据鉴定机构应当事先征得鉴定委托单位的同意,并在《电子数据鉴定受理登记表》中注明。

第二,最高检《电子证据鉴定程序规则》第七条至第十一条

第七条  接受委托时,应当听取案情介绍,并审查以下事项:1.委托主体和程序是否符合规定;2.鉴定要求是否属于受理范围;3.核对封存状况与记录是否一致;4.启封查验检材的名称、数量、品牌、型号、序列号等;5.检材是否具备鉴定条件;6.记录材料是否齐全,内容是否完整。

第八条 经审查符合要求的,应当予以受理。需要进一步审查的,应当在收到委托书之日起5个工作日内完成审查,并向委托单位作出答复。

第九条 鉴定机构决定受理,应当填写《检验鉴定委托受理登记表》,并制作《电子证据检材清单》。检材未采取封存措施或记录材料不全的应当予以注明。

第十条 对受理的检材,应当场密封,由送检人、接收人在密封件上签名或者盖章,并制作《使用和封存记录》。

第十一条 《使用和封存记录》应记录以下内容:1.受理编号;2.检材的编号和名称;3.使用情况以及使用人;4.启封、封存时间、地点以及操作人。

(三)鉴定程序规定

第一,最高检《电子证据鉴定程序规则》

第十三条 检验鉴定应当自受理之日起15个工作日内完成。特殊情况不能完成的,经检察长批准,可以适当延长,并告知委托单位。

第十五条 检验鉴定过程应当严格按照技术规范操作,并做好相应的工作记录。检验鉴定应当对检材复制件进行,对检材的关键操作应当进行全程录像。检材每次使用结束后应当重新封签,并填写《使用和封存记录》。

特殊情况无法复制的,在检验鉴定过程中,采取必要措施,确保检材不被修改。对特殊原因采取的技术操作,应当在《使用和封存记录》中注明。

第十六条 检验鉴定过程应进行详细的工作记录,包括:1.操作起止时间、地点和人员;2.使用的设备名称、型号和软件名称等;3.具体方法和步骤;4.结果。

第二十一条 根据鉴定要求,经检验鉴定确定的电子证据应当复制保存于安全的存储介质中。无法复制的,可通过截取屏幕图像、拍照、录像、打印等方式固定提取。

第二十二条 检验鉴定完成后,应当制作检验鉴定文书。检验鉴定文书包括鉴定书和检验报告,经检验鉴定确定的电子证据作为检验鉴定文书的附件。

(四)鉴定人出庭

第一,《规定》第二十六条:

第二十六条 公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。

经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。

公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。

对电子数据涉及的专门性问题的报告,参照适用前三款规定。

九、电子数据的审查重点

第一,最高法《解释》第九十三条

1.是否随原始存储介质移送;在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时,提取、复制电子数据是否由2人以上进行,是否足以保证电子数据的完整性,有无提取、复制过程及原始存储介质存放地点的文字说明和签名;2.收集程序、方式是否符合法律及有关技术规范;经勘验、检查、搜查等侦查活动收集的电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人、见证人签名;没有持有人签名的,是否注明原因;远程调取境外或者异地的电子数据的,是否注明相关情况;对电子数据的规格、类别、文件格式等注明是否清楚;3.电子数据内容是否真实,有无删除、修改、增加等情形;4.电子数据与案件事实有无关联;5.与案件事实有关联的电子数据是否全面收集。

对电子数据有疑问的,应当进行鉴定或者检验。

第二,《规定》第二十二条至第二十五条

(编者注:电子数据审查的重点是电子数据的真实性、完整性和合法性,犯罪嫌疑人、被告人网络身份与现实身份之间对应关系的唯一性等。)

第二十二条 对电子数据是否真实,应当着重审查以下内容:

(一)是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;

(二)电子数据是否具有数字签名、数字证书等特殊标识;

(数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。)

(三)电子数据的收集、提取过程是否可以重现;

(编者注:需要关注“可以重现”这一表述,这应当是要求对关键性取证环节和步骤进行“录像”、“照相”的目的所在。)

(四)电子数据如有增加、删除、修改等情形的,是否附有说明;

(五)电子数据的完整性是否可以保证。

第二十三条 对电子数据是否完整,应当根据保护电子数据完整性的相应方法进行验证:

(一)审查原始存储介质的扣押、封存状态;

(二)审查电子数据的收集、提取过程,查看录像;

(三)比对电子数据完整性校验值;

(四)与备份的电子数据进行比较;

(编者注:要高度关注备份文件的证据价值。)

(五)审查冻结后的访问操作日志;

(访问操作日志,是指为审查电子数据是否被增加、删除或者修改,由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。)

(六)其他方法。

第二十四条 对收集、提取电子数据是否合法,应当着重审查以下内容:

(一)收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;

(二)收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚;

(三)是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像;

(四)电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。

第二十五条 认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。

(编者注:对身份对应关系审查方法的概括性总结、列举。)

认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。

(编者注:强调了主观证据对于认定“关联性”问题的重要性。)

十、电子数据不予认定的情形

第一,最高法《解释》第九十四条

经审查无法确定真伪的;制作、取得的时间、地点、方式等有疑问,不能提供必要证明或者作出合理解释的。

第二,《规定》第二十七条、第二十八条

第二十七条 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:

(一)未以封存状态移送的;

(二)笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;

(三)对电子数据的名称、类别、格式等注明不清的;

(四)有其他瑕疵的。

第二十八条 电子数据具有下列情形之一的,不得作为定案的根据:

(一)电子数据系篡改、伪造或者无法确定真伪的;

(二)电子数据有增加、删除、修改等情形,影响电子数据真实性的;

(三)其他无法保证电子数据真实性的情形。

十一、电子数据的展示:《规定》第二十一条

第二十一条 控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。

(编者注:对于聘请出庭的“具有专门知识的人”的资格应当重点加以审查。)


吉林鸣正司法鉴定中心

   本中心依托北华大学及附属医院雄厚的技术力量和先进的仪器设备,能够出色完成各种司法鉴定项目,其中优势项目有:伤残程度鉴定、法医学死因分析、亲子鉴定、个体识别、毒物/毒品/酒精定性定量分析、医疗纠纷、体表损伤计算机测定、活体年龄鉴定、性功能鉴定、微量物证、痕迹鉴定、文书鉴定等。            

咨询电话

0432-62166099

0432-62166090            

QQ在线咨询