公通字〔2018〕41号《公安机关办理刑事案件电子数据取证规则》(全文)
公安机关办理刑事案件电子数据取证规则
公通字〔2018〕41号 2018年12月13日
第一章 总 则
第一条 为规范公安机关办理刑事案件电子数据取证工作,确保电子数据取证质量,提高电子数据取证效率,根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定,制定本规则。
第二条 公安机关办理刑事案件应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取涉案电子数据,确保电子数据的真实、完整。
第三条 电子数据取证包括但不限于:
(一)收集、提取电子数据;
(二)电子数据检查和侦查实验;
(三)电子数据检验与鉴定。
第四条 公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的,应当保密;对于获取的材料与案件无关的,应当及时退还或者销毁。
第五条 公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。
第二章 收集提取电子数据
第一节 一般规定
第六条 收集、提取电子数据,应当由二名以上侦查人员进行。必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。
第七条 收集、提取电子数据,可以根据案情需要采取以下一种或者几种措施、方法:
(一)扣押、封存原始存储介质;
(二)现场提取电子数据;
(三)网络在线提取电子数据;
(四)冻结电子数据;
(五)调取电子数据。
第八条 具有下列情形之一的,可以采取打印、拍照或者录像等方式固定相关证据:
(一)无法扣押原始存储介质并且无法提取电子数据的;
(二)存在电子数据自毁功能或装置,需要及时固定相关证据的;
(三)需现场展示、查看相关电子数据的。
根据前款第二、三项的规定采取打印、拍照或者录像等方式固定相关证据后,能够扣押原始存储介质的,应当扣押原始存储介质;不能扣押原始存储介质但能够提取电子数据的,应当提取电子数据。
第九条 采取打印、拍照或者录像方式固定相关证据的,应当清晰反映电子数据的内容,并在相关笔录中注明采取打印、拍照或者录像等方式固定相关证据的原因,电子数据的存储位置、原始存储介质特征和所在位置等情况,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
第二节 扣押、封存原始存储介质
第十条 在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据,能够扣押原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
勘验、检查与电子数据有关的犯罪现场时,应当按照有关规范处置相关设备,扣押、封存原始存储介质。
第十一条 对扣押的原始存储介质,应当按照以下要求封存:
(一)保证在不解除封存状态的情况下,无法使用或者启动被封存的原始存储介质,必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存;
(二)封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况;必要时,照片还要清晰反映电子设备的内部存储介质细节;
(三)封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
第十二条 对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。
第十三条 对无法确定原始存储介质持有人(提供人)或者原始存储介质持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,应当在有关笔录中注明,由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的过程全程录像。
第十四条 扣押原始存储介质,应当收集证人证言以及犯罪嫌疑人供述和辩解等与原始存储介质相关联的证据。
第十五条 扣押原始存储介质时,可以向相关人员了解、收集并在有关笔录中注明以下情况:
(一)原始存储介质及应用系统管理情况,网络拓扑与系统架构情况,是否由多人使用及管理,管理及使用人员的身份情况;
(二)原始存储介质及应用系统管理的用户名、密码情况;
(三)原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其它移动存储介质,是否进行过备份,备份数据的存储位置等情况;
(四)其他相关的内容。
第三节 现场提取电子数据
第十六条 具有下列无法扣押原始存储介质情形之一的,可以现场提取电子数据:
(一)原始存储介质不便封存的;
(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
(三)案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;
(四)关闭电子设备会导致重要信息系统停止服务的;
(五)需通过现场提取电子数据排查可疑存储介质的;
(六)正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;
(七)其他无法扣押原始存储介质的情形。
无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。
第十七条 现场提取电子数据可以采取以下措施保护相关电子设备:
(一)及时将犯罪嫌疑人或者其他相关人员与电子设备分离;
(二)在未确定是否易丢失数据的情况下,不能关闭正在运行状态的电子设备;
(三)对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施;
(四)保护电源;
(五)有必要采取的其他保护措施。
第十八条 现场提取电子数据,应当遵守以下规定:
(一)不得将提取的数据存储在原始存储介质中;
(二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在笔录中记录所安装的程序及目的;
(三)应当在有关笔录中详细、准确记录实施的操作。
第十九条 现场提取电子数据,应当制作《电子数据现场提取笔录》,注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
第二十条 对提取的电子数据可以进行数据压缩,并在笔录中注明相应的方法和压缩后文件的完整性校验值。
第二十一条 由于客观原因无法由符合条件的人员担任见证人的,应当在《电子数据现场提取笔录》中注明情况,并全程录像,对录像文件应当计算完整性校验值并记入笔录。
第二十二条 对无法扣押的原始存储介质且无法一次性完成电子数据提取的,经登记、拍照或者录像后,可以封存后交其持有人(提供人)保管,并且开具《登记保存清单》一式两份,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),另一份连同照片或者录像资料附卷备查。
持有人(提供人)应当妥善保管,不得转移、变卖、毁损,不得解除封存状态,不得未经办案部门批准接入网络,不得对其中可能用作证据的电子数据增加、删除、修改。必要时,应当保持计算机信息系统处于开机状态。
对登记保存的原始存储介质,应当在七日以内作出处理决定,逾期不作出处理决定的,视为自动解除。经查明确实与案件无关的,应当在三日以内解除。
第四节 网络在线提取电子数据
第二十三条 对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
第二十四条 网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。
第二十五条 网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息:
(一)远程计算机信息系统的访问方式;
(二)提取的日期和时间;
(三)提取使用的工具和方法;
(四)电子数据的网络地址、存储路径或者数据提取时的进入步骤等;
(五)计算完整性校验值的过程和结果。
第二十六条 网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。
第二十七条 网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:
(一)需要分析、判断提取的电子数据范围的;
(二)需要展示或者描述电子数据内容或者状态的;
(三)需要在远程计算机信息系统中安装新的应用程序的;
(四)需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的;
(五)需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的;
(六)其他网络在线提取时需要进一步查明有关情况的情形。
第二十八条 网络远程勘验由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件,上级公安机关认为有必要时,可以直接组织指挥网络远程勘验。
第二十九条 网络远程勘验应当统一指挥,周密组织,明确分工,落实责任。
第三十条 网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照本规则第二十五条的规定录像,录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记入笔录。
第三十一条 远程勘验结束后,应当及时制作《远程勘验笔录》,详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。
远程勘验并且提取电子数据的,应当按照本规则第二十六条的规定,在《远程勘验笔录》注明有关情况,并附《电子数据提取固定清单》。
第三十二条 《远程勘验笔录》应当客观、全面、详细、准确、规范,能够作为还原远程计算机信息系统原始情况的依据,符合法定的证据要求。
对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,逐次制作补充《远程勘验笔录》。
第三十三条 网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。
采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照刑事诉讼法第一百五十四条规定执行。
第三十四条 对以下犯罪案件,网络在线提取、远程勘验过程应当全程同步录像:
(一)严重危害国家安全、公共安全的案件;
(二)电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件;
(三)社会影响较大的案件;
(四)犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件;
(五)其他需要全程同步录像的重大案件。
第三十五条 网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的,应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。
第五节 冻结电子数据
第三十六条 具有下列情形之一的,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
第三十七条 冻结电子数据,应当经县级以上公安机关负责人批准,制作《协助冻结电子数据通知书》,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
第三十八条 不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日以内制作《解除冻结电子数据通知书》,通知电子数据持有人、网络服务提供者或者有关部门执行。
第三十九条 冻结电子数据的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的,应当按照本规则第三十七条的规定重新办理冻结手续。逾期不办理继续冻结手续的,视为自动解除。
第四十条 冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)采取写保护措施;
(四)其他防止增加、删除、修改电子数据的措施。
第六节 调取电子数据
第四十一条 公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明,被调取单位、个人拒绝盖章、签名或者附说明的,公安机关应当注明。必要时,应当采用录音或者录像等方式固定证据内容及取证过程。
公安机关应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。
第四十二条 公安机关跨地域调查取证的,可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后,在传来的法律文书上加盖本地办案部门印章后,代为调查取证。
协作地办案部门代为调查取证后,可以将相关法律文书回执或者笔录邮寄至办案地公安机关,将电子数据或者电子数据的获取、查看工具和方法说明通过公安机关信息化系统传输至办案地公安机关。
办案地公安机关应当审查调取电子数据的完整性,对保证电子数据的完整性有疑问的,协作地办案部门应当重新代为调取。
第三章 电子数据的检查和侦查实验
第一节 电子数据检查
第四十三条 对扣押的原始存储介质或者提取的电子数据,需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式,以进一步发现和提取与案件相关的线索和证据时,可以进行电子数据检查。
第四十四条 电子数据检查,应当由二名以上具有专业技术的侦查人员进行。必要时,可以指派或者聘请有专门知识的人参加。
第四十五条 电子数据检查应当符合相关技术标准。
第四十六条 电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性。移交时,应当办理移交手续,并按照以下方式核对电子数据:
(一)核对其完整性校验值是否正确;
(二)核对封存的照片与当前封存的状态是否一致。
对于移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,检查人员应当在有关笔录中注明。
第四十七条 检查电子数据应当遵循以下原则:
(一)通过写保护设备接入到检查设备进行检查,或者制作电子数据备份、对备份进行检查;
(二)无法使用写保护设备且无法制作备份的,应当注明原因,并全程录像;
(三)检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况;
(四)检查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。
第四十八条 检查电子数据,应当制作《电子数据检查笔录》,记录以下内容:
(一)基本情况。包括检查的起止时间,指挥人员、检查人员的姓名、职务,检查的对象,检查的目的等;
(二)检查过程。包括检查过程使用的工具,检查的方法与步骤等;
(三)检查结果。包括通过检查发现的案件线索、电子数据、等相关信息。
(四)其他需要记录的内容。
第四十九条 电子数据检查时需要提取电子数据的,应当制作《电子数据提取固定清单》,记录该电子数据的来源、提取方法和完整性校验值。
第二节 电子数据侦查实验
第五十条 为了查明案情,必要时,经县级以上公安机关负责人批准可以进行电子数据侦查实验。
第五十一条 电子数据侦查实验的任务包括:
(一)验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化;
(二)验证在一定时间内能否完成对电子数据的某种操作行为;
(三)验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果;
(四)确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据;
(五)其他需要验证的情况。
第五十二条 电子数据侦查实验应当符合以下要求:
(一)应当采取技术措施保护原始存储介质数据的完整性;
(二)有条件的,电子数据侦查实验应当进行二次以上;
(三)侦查实验使用的电子设备、网络环境等应当与发案现场一致或者基本一致;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验;
(四)禁止可能泄露公民信息或者影响非实验环境计算机信息系统正常运行的行为。
第五十三条 进行电子数据侦查实验,应当使用拍照、录像、录音、通信数据采集等一种或多种方式客观记录实验过程。
第五十四条 进行电子数据侦查实验,应当制作《电子数据侦查实验笔录》,记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签名或者盖章。
第四章 电子数据委托检验与鉴定
第五十五条 为了查明案情,解决案件中某些专门性问题,应当指派、聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告。
需要聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告的,应当经县级以上公安机关负责人批准。
第五十六条 侦查人员送检时,应当封存原始存储介质、采取相应措施保护电子数据完整性,并提供必要的案件相关信息。
第五十七条 公安部指定的机构及其承担检验工作的人员应当独立开展业务并承担相应责任,不受其他机构和个人影响。
第五十八条 公安部指定的机构应当按照法律规定和司法审判机关要求承担回避、保密、出庭作证等义务,并对报告的真实性、合法性负责。
公安部指定的机构应当运用科学方法进行检验、检测,并出具报告。
第五十九条 公安部指定的机构应当具备必需的仪器、设备并且依法通过资质认定或者实验室认可。
第六十条 委托公安部指定的机构出具报告的其他事宜,参照《公安机关鉴定规则》等有关规定执行。
第五章 附 则
第六十一条 本规则自2019年2月1日起施行。公安部之前发布的文件与本规则不一致的,以本规则为准。
扫描二维码 关注我们