首页 ¦ 机构介绍 ¦ 鉴定范围 ¦ 新闻资讯 ¦ 鉴定指南 ¦ 法律法规 ¦ 学术争鸣 ¦ 典型案例 ¦ 儿童DNA数据库 ¦ 寻亲DNA数据库
设为首页 | 加入收藏
 您当前的位置:首页 >> 热点专题
电子证据质证:10个重点问题
江西求实司法鉴定网站   www.中国司法鉴定.com 2016-02-16 10:31:04  发布人:admin 
【字体: 】  【关闭窗口】

电子证据质证,是网络犯罪辩护的重中之重。现根据《刑法》、《刑事诉讼法》、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(文号:法释[2011]19号)、《计算机犯罪现场勘验与电子证据检查规则》(文号:公信安[2005]161号)、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(文号:公通字[2014]10号)、《公安机关刑事案件现场勘验检查规则》(文号:公通字[2005]54号)等有关法律、法规,归纳出电子证据质证的十个重点问题,并对其法律规范、相关辩点进行汇总。

一、计算机犯罪现场勘验与电子证据检查的组织实施、操作人员、公民见证

有关规定如下:

1、计算机犯罪现场勘验与电子证据检查,由县级以上公安机关公共信息网络安全监察部门负责组织实施。

2、对计算机犯罪现场勘验与电子证据检查,不得少于二人,并遵循办案人员与检查人员分离的原则。检查工作应由具备电子证据检查技能的专业技术人员实施。执行现场勘验、检查工作的人员,应佩戴公安部统一制发的《刑事案件现场勘验检查证》。

3、对计算机犯罪现场的勘验,应邀请一至二名与案件无关的公民作为见证人,公安司法人员不得作为见证人。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第二章、《公安机关刑事案件现场勘验检查规则》第三十二条。

本部分辩点如下:

1、计算机犯罪现场勘验与电子证据检查的组织实施工作的主体,是否具备以下两点:(1)县级以上的公安机关;(2)公安机关的公共信息网络安全监察部门。

2、对于计算机犯罪现场勘验与电子证据检查的操作人员,看以下方面:(1)实施人员是否达到两人以上;(2)办案人员与检查人员是否分离;(3)检查工作的实施人员是否具备相应的专业技能;(4)有无佩戴《刑事案件现场勘验检查证》。

3、对于见证人:(1)人数;(2)是否与案件有关;(3)是否公安司法人员。

二、现场保护

有关规定:

1、案发地公安机关接到报警后,应迅速派员赶赴现场,进行现场保护,负责保护现场的警察除保护物证等紧急情况外,不得进入现场、不得触动现场痕迹与物品。处理紧急状况时,也应尽可能避免破坏现场的痕迹、物品。

2、现场保护的时间:从发现刑事案件现场开始,至现场勘验、检查结束。不能完成现场勘验、检查的,继续对整个或部分现场进行保护。

相关条文:《公安机关刑事案件现场勘验检查规则》第三章。

本部分辩点如下:

1、公安机关有无履行保护现场的职责?

2、保护现场的警察有无进入现场、有误触动现场痕迹与物品?如有,则原因为何?

3、现场保护的开始时间与结束时间。

三、电子数据的取证、审查

有关规定:

1、收集、提取电子数据,能够获取原始储存介质的,应当存封原始储存介质,并应制作笔录,记录其存封状态。笔录由侦查人员、该介质持有人签名或盖章。持有人无法签名或拒绝签名的,应当在笔录中注明,由见证人签名或盖章。有条件的,侦查人员应对相关活动进行录像。

2、具有下列情形之一,无法获取原始存储介质的,可以提取电子数据,但应当在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况,并由侦查人员、电子数据持有人、提供人签名或者盖章;持有人、提供人无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章;有条件的,侦查人员应当对相关活动进行录像:(1)原始存储介质不便封存的;(2)提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的;(3)原始存储介质位于境外的;(4)其他无法获取原始存储介质的情形。

3、收集、提取电子数据应当制作笔录,记录案由、对象、内容,收集、提取电子数据的时间、地点、方法、过程,电子数据的清单、规格、类别、文件格式、完整性校验值等,并由收集、提取电子数据的侦查人员签名或者盖章。远程提取电子数据的,应当说明原因,有条件的,应当对相关活动进行录像。通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的,应当对恢复、破解过程和方法作出说明。

4、收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的复制件一并移送。

5、对文档、图片、网页等可以直接展示的电子数据,可以不随案移送电子数据打印件,但应当附有展示方法说明和展示工具;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,公安机关应当随案移送打印件。

6、对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附有电子数据属性、功能等情况的说明。

7、对数据统计数量、数据同一性等问题,公安机关应当出具说明。

8、对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具检验报告。

相关条文:《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第五条。

本部分辩点如下:

1、有无存封原始介质?存封原始介质的笔录是否由侦查人员和介质持有人签章?若介质持有人拒绝签章,则有无记入笔录、有无见证人签字?有无录像?

2、需要提取电子数据的,提取电子数据的原因为何?有无在笔录中记载相关情况?笔录有谁签字?持有人、提供人没签名的,有无在笔录中记载、有无见证人签字?有无录像?

3、收集、提取电子数据的,有无制作笔录?笔录的内容是否完整?笔录由谁签字?远程提取电子数据的,原因何在、有无录像?通过数据恢复、破解等方式获取被删除、隐藏或者加密的电子数据的,有无进行必要的说明?

4、收集、提取的原始存储介质或者电子数据,有无以封存状态随案移送?有无制作电子数据的复制件一并移送?

5、对文档、图片、网页等可以直接展示的电子数据,有无附有展示方法说明和展示工具?法院、检察院因设备等条件限制无法直接展示电子数据的,公安机关有无随案移送打印件?

6、对于无法直接展示的电子数据,有无附有电子数据属性、功能等情况的说明?

7、有无对数据统计数量、数据同一性等问题出具说明?

8、对电子数据涉及的专门性问题难以确定的,有无提供鉴定意见或检验报告?鉴定意见和检验报告是谁出具的?

四、电子证据的固定、存封

有关规定:

1、作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。

2、根据《计算机犯罪现场勘验与电子证据检查规则》第十三条规定,封存电子设备和存储媒介的方法是:(1)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。(2)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。

3、固定存储媒介和电子数据包括以下方式:(1)完整性校验方式,是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;(2)备份方式,是指复制、制作原始存储媒介的备份,并依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介;(3)封存方式,对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介,并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第三章。

本部分辩点如下:

1、作为证据使用的存储媒介、电子设备和电子数据有无在现场固定或封存?

2、关于电子设备和存储媒介存封的方法:(1)是否保证再不接触存封的情况下无法使用或启动?(2)存封前有无拍照并制作清单?(3)照片有无从各个角度反应设备存封前后的状况?有无清晰反应封口和张贴封条处?

3、关于固定存储媒介和电子数据的方式:(1)有无计算完整性校验值?有无制作、填写《固定电子证据清单》?(2)有无存封原始储存媒介?如何存封?(3)采用存封方式的原因为何?有无注明不计算完整性校验值或制作备份的理由?

五、现场勘验检查

现场勘验检查,是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验检查程序包括:(1)保护现场;(2)收集证据;(3)提取、固定易丢失数据;(4)在线分析;(5)提取、固定证物。

有关规定如下:

1、对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带应当编号封存。

2、在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。

3、在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。

4、在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。除以下情形外,一般不得实施在线分析:(1)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;(2)情况特殊,不允许关闭电子设备或扣押电子设备的;(3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。

5、易丢失数据提取和在线分析,应当依循以下原则:(1)不得将生成、提取的数据存储在原始存储媒介中。(2)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。(3)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。

6、现场勘验检查结束后,应当及时制作《现场勘验检查工作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第四章。

本部分辩点如下:

1、现场勘验检查的程序是否合规?

2、对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带,有无编号封存?

3、关于现场拍摄的照片:(1)有无统一编号?(2)有无制作《勘验检查照片记录表》?

4、关于在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据:(1)有无计算其完整性校验值?(2)有无填写《固定电子证据清单》?

5、关于在线分析:(1)是否因紧急情况而不得不为之?(2)是否出现不允许关闭或扣押设备的特殊情况?(3)有无损害重要电子数据的完整性和真实性?

6、关于易丢失数据提取和在线分析的原则:(1)有无将生成、提取的数据存储在原始存储媒介中?(2)有无在目标系统中安装新的应用程序?如有,为何?有无在《现场勘验检查笔录》中记录所安装的程序及其目的?(3)有无在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响?

7、现场勘验检查结束后,有无及时制作《现场勘验检查工作记录》?《现场勘验检查工作记录》包括什么内容?

六、远程勘验

远程勘验,是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。相关规定如下:

1、远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。

2、应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。

3、远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。

4、通过网络监听获取特定主机通信内容以提取电子证据时,应当遵循与远程勘验相同的规定。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第五章。

,,

本部分辩点如下:

1、从中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,有无计算其完整性校验值并制作《固定电子证据清单》?

2、有无采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤?

3、远程勘验结束后,有无及时制作《远程勘验工作记录》?内容是否完整?

4、通过网络监听获取特定主机通信内容以提取电子证据时,有无遵循与远程勘验相同的规定?

七、电子证据检查

电子证据检查,是指检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。相关规定如下:

1、办案人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电子证据清单》的复印件,检查人员应当依照以下原则检查电子证据的完整性:(1)对于以完整性校验方式保护的电子数据,检查人员应当核对其完整性校验值是否正确;(2)对于以封存方式保护的电子设备或存储媒介,检查人员应当比对封存的照片与当前封存的状态是否一致;(3)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员应当在《电子证据检查笔录》中注明,并由送检人签名。

2、电子证据检查包括:(1)检查、分析电子证据中包含的电子数据,提取与案件相关的电子证据。(2)检查、分析电子证据中包含的电子数据,制作《电子证据检查笔录》描述检查结论。

3、从电子证据中提取电子数据,应当制作《提取电子数据清单》,记录该电子数据的来源和提取方法。

4、复制、制作原始存储媒介的备份应当遵循以下原则:(1)复制并重新封存原始存储媒介。(2)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。(3)复制完成后应当依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定重新封存原始存储媒介,并制作、填写《封存电子证据清单》。

5、除下列情形外,不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查:(1)情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;(2)已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介所存储的数据的;(3)因技术条件限制,无法复制原始存储媒介的。

6、检查原始电子设备,需要直接检查原始存储媒介的,应当遵循以下原则:(1)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像;(2)检查完毕后应当依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定重新封存原始存储媒介和原始电子设备,并制作、填写《封存电子证据清单》;(3)应当制作《原始证据使用记录》,记录直接检查原始证据的原因和目的、实施的操作、对原始存储媒介和原始电子设备中存储的信息可能产生的影响,并由两名检查人员签名。

7、电子证据检查结束后,应当及时制作《电子证据检查工作记录》。《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》等内容构成。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第六章。

本部分辩点如下:

1、办案人员将电子证据移交给检查人员时,有无同时提供《固定电子证据清单》和《封存电子证据清单》的复印件?

2、关于检查电子证据的完整性的原则:(1)对于以完整性校验方式保护的电子数据,检查人员有无核对其完整性校验值是否正确?(2)对于以封存方式保护的电子设备或存储媒介,检查人员有无比对封存的照片与当前封存的状态是否一致?(3)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员有无在《电子证据检查笔录》中注明?有无由送检人签名?

3、从电子证据中提取电子数据,有无制作《提取电子数据清单》?有无记录该电子数据的来源和提取方法?

4、关于复制、制作原始存储媒介的备份应当遵循以下原则:(1)有无复制并重新封存原始存储媒介?(2)对于解除封存状态、开始复制、复制结束、重新封存等关键步骤,有无录像记录检查人员实施的操作?(3)有无重新封存原始存储媒介?如何重新封存?有无制作、填写《封存电子证据清单》?

5、在原始媒介上检查,还是在其备份上检查?

6、如在原始媒介上检查的,是否属于紧急情况?是否已计算计算存储媒介的完整性校验值?能否保证不修改原始存储媒介所存储的数据?是否因技术条件限制,无法复制原始存储媒介?

7、关于直接检查原始存储媒介应遵循的原则:(1)对解除封存状态、检查过程的关键操作、重新封存等重要步骤,有无录像?(2)检查完毕后有无重新封存?有无制作、填写《封存电子证据清单》?(3)有无制作《原始证据使用记录》?记录的内容是否完整?有无两名检查人员签名?

8、电子证据检查结束后,有无及时制作《电子证据检查工作记录》?《电子证据检查工作记录》包含了什么?

八、勘验检查记录

关于勘验检查记录的有关规定如下:

1、《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》应当加盖骑缝章后由至少两名勘验、检查人员签名。《现场勘验检查工作记录》应当由至少一名见证人签名。

2、《现场勘验检查笔录》的内容一般包括:(1)基本情况。包括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、职务,见证人的姓名、住址等;(2)现场情形。包括现场的设备环境、网络结构、运行状态等;(3)勘查过程。包括勘查的基本情况,易丢失证据提取的过程、产生的数据,在线勘验、检查过程中实施的操作、对数据可能产生的影响、提取的数据,封存物品、固定证据的有关情况等;(4)勘查结果。包括提取物证的有关情况、勘查形成的结论以及发现的案件线索等。

3、《现场勘查照片记录表》应当记录该相片拍摄的内容、对象,并编号入卷。拍摄的照片可以是数码照片或光学照片。

4、《远程勘验笔录》的内容一般包括:(1)基本情况。包括勘验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的对象,勘验的目的等;(2)勘验过程。包括勘验使用的工具,勘验的方法与步骤,提取和固定数据的方法等;(3)勘验结果。包括通过勘验发现的案件线索,目标系统的状况,目标网站的内容等。

5、《电子证据检查笔录》的内容一般包括:(1)基本情况,包括检查的起止时间,指挥人员、勘验人员的姓名、职务,检查的对象,检查的目的等;(2)检查过程,包括检查过程使用的工具,检查的方法与步骤,提取数据的方法等;(3)检查结果,包括通过检查发现的案件线索,提取的信息内容等。

相关条文:《计算机犯罪现场勘验与电子证据检查规则》第七章。

本部分辩点如下:

1、《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》有无加盖骑缝章后?有无至少两名勘验、检查人员签名?《现场勘验检查工作记录》有无至少一名见证人签名?

2、《现场勘验检查笔录》、《远程勘验笔录》、《电子证据检查笔录》的内容是否完整?

3、《现场勘查照片记录表》有无记录该相片拍摄的内容、对象?有无编号入卷?

4、《远程勘验笔录》的内容是否完整?

九、网络犯罪案件的初查

对接受的案件或者发现的犯罪线索,在审查中发现案件事实或者线索不明,需要经过调查才能够确认是否达到犯罪追诉标准的,经办案部门负责人批准,可以进行初查。

初查过程中,可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制初查对象人身、财产权利的措施,但不得对初查对象采取强制措施和查封、扣押、冻结财产。

相关条文:《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第三条。

本部分辩点如下:

1、是否需要经过调查才能够确认是否达到犯罪追诉标准?

2、初查有无经办案部门负责人批准?

3、初查所采取措施有无限制初查对象人身、财产权利?

4、有无对初查对象采取强制措施和查封、扣押、冻结财产?

十、网络犯罪案件的跨地域取证

有关规定如下:

1、公安机关跨地域调查取证的,可以将办案协作函和相关法律文书及凭证电传或者通过公安机关信息化系统传输至协作地公安机关。协作地公安机关经审查确认,在传来的法律文书上加盖本地公安机关印章后,可以代为调查取证。

2、询(讯)问异地证人、被害人以及与案件有关联的犯罪嫌疑人的,可以由办案地公安机关通过远程网络视频等方式进行询(讯)问并制作笔录。

3、远程询(讯)问的,应当由协作地公安机关事先核实被询(讯)问人的身份。办案地公安机关应当将询(讯)问笔录传输至协作地公安机关。询(讯)问笔录经被询(讯)问人确认并逐页签名、捺指印后,由协作地公安机关协作人员签名或者盖章,并将原件提供给办案地公安机关。询(讯)问人员收到笔录后,应当在首页右上方写明“于某年某月某日收到”,并签名或者盖章。异地证人、被害人以及与案件有关联的犯罪嫌疑人亲笔书写证词、供词的,参照上述规定执行。

4、远程询(讯)问的,应当对询(讯)问过程进行录音录像,并随案移送。

相关条文:《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第四条。

本部分辩点如下:

1、协作地公安机关有无在办案机关传来的法律文书上盖章?

2、询(讯)问异地证人、被害人以及与案件有关联的犯罪嫌疑人的:(1)有无制作笔录?协作地公安机关有无事先核实被询(讯)问人的身份?(3)询(讯)问笔录有无经被询(讯)问人确认并逐页签名、捺指印?(4)询(讯)问笔录有无协作地公安机关协作人员签名或者盖章?(5)询(讯)问人员收到笔录后,有无在首页右上方写明“于某年某月某日收到”?有无签名或者盖章?

3、远程询(讯)问的,有无对询(讯)问过程进行录音录像?有无随案移送?


以上是笔者所归纳的电子证据质证的十个重点问题、相关法律规范,以及对应的辩点,希望能对网络犯罪辩护与电子证据质证提供有益的参考。
文章来源:第一辩护(ID:Shanghai_Law)

上一篇:2016电子取证技术展望     下一篇:《公安机关人民警察执法过错责任追究规定》(最新)自2016年3月1日起施行
江西求实司法鉴定中心 版权所有
中心地址:南昌市高新大道818号(青山湖交警大队旁边)
E_mail:yjyj6969@163.com 联系电话:0791-86287116 传真:0791-86287586
备案证号: 赣ICP备05010187号 Powered by Very CMS Code ©2003-07 JXBSD.COM Corporation