第一章 总则 第一条 为强化诉讼监督,规范我区检察机关电子证据技术工作,根据《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《人民检察院电子证据鉴定程序规则(试行)》等有关规定,制定本规范。 第二条 本规范中的电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物,主要包括电子数据、电子设备和存储介质。 第三条 本规范中,根据检察办案的需要和委托,将电子证据技术工作分为勘验检查、检验鉴定、技术性证据审查和技术协助四种类型: (一)勘验检查,是指检察技术人员或具有专门知识的人,在检察机关侦查人员的主持下,运用科学技术手段,依法对与犯罪有关的现场、电子设备、存储介质、电子数据等进行勘验、检查,发现、收集、提取、固定相关电子证据的一项侦查活动。 (二)检验鉴定,是指取得相应鉴定资格的检察机关鉴定人或其他具有专门知识的人,运用科学技术手段,依法对送检的电子证据检材进行鉴别和判断,并出具鉴定意见的一项技术性活动。 (三)技术性证据审查,是指检察技术人员或具有专门知识的人,运用科学技术手段,依法对送审的电子证据材料的合法性、科学性、客观性、规范性等进行审查,并提供审查意见的一项技术性活动。 (四)技术协助,是指检察技术人员或具有专门知识的人,运用科学技术手段,依法获取电子设备或存储介质内部电子数据,为办案部门提供证据或在发现线索、引导审讯、突破口供、查明方向等方面提供有价值的技术帮助的一项技术性活动。 第四条 电子证据技术工作原则: (一)无损害原则。从事电子证据技术工作,不能采取任何改变原始电子设备或存储介质的行为。 (二)避免直接使用原始证据原则。一般情况下,应制作原始证据的复制件,避免对原始证据进行直接操作;特殊情况下,需访问原始证据的,操作人员须具备相应能力,并要记录相关过程。 (三)记录所操作原则。检查过程中,应记录电子证据的相关操作。第三方根据之前所记录的操作,应能取得相同的结果。 (四)专业胜任原则。从事电子证据工作的检察技术人员必须参加过专业上岗培训,能够胜任工作,从事电子证据检验鉴定同时还必须取得相应鉴定资格。 (五)遵循法律法规原则。不能采取非法扣押、密录、窃取等手段获取电子证据。 第二章 勘验检查 第五条 需要检察技术人员协助进行电子证据勘验检查的,委托单位需向检察技术部门提交委托书,同时提供必要的案情。 第六条 检察技术部门收到委托书后,经审查符合相关程序并具备相关技术条件的,应填写委托受理登记表,同时指派二名以上检察技术人员担任勘检人,必要时可聘请具有专门知识的人参加,在侦查人员的主持下开展电子证据勘验检查工作。聘请人员参加的,需向其提交聘请书。 第七条 电子证据勘验检查包括: (一)场所勘验,是指对涉及电子证据的场所进行勘验,记录场所环境。 (二)电子设备或存储介质勘验,是指对涉及电子证据的计算机、手机、网络系统等电子设备或硬盘、U盘、光盘、软盘、磁带、各类存储卡等存储介质的外在状况进行勘验,直接收集、封存电子设备或存储介质并进行相关记录。 (三)数据检查,是指对涉及电子证据的计算机内含的数据内容进行现场或远程网络检验分析,复制、提取、固定与案件相关的电子数据。 第八条 电子证据勘验检查应当按照场所勘验、电子设备或存储介质勘验、数据检查的顺序进行。 第九条 进行场所勘验,应当详细记录勘验时间、勘验地点、相关人员、现场环境,电子设备或存储介质的存放地点、方位等,并按规范要求拍摄现场照片或录制现场录像。 第十条 进行电子设备或存储介质勘验,应当详细记录电子设备或存储介质及其主要配件的名称、型号、数量、品牌和序列号,以及线路连接、网络结构和设备运行状况等,并按规范要求拍摄照片。 第十一条 电子设备或存储介质处于关机状态,或关闭电源不会改变电子设备或存储介质内部重要数据的,检察技术人员应当协助侦查人员直接予以收集并封存,由侦查人员、检察技术人员、见证人和持有人在密封件上签名或盖章,同时制作封存电子证据的清单。持有人不在现场或拒绝签名的,应当注明。 第十二条 收集的电子设备或存储介质需要提取其内部电子数据或进行鉴定的,可以委托检察技术部门提供技术协助或委托检察机关司法鉴定部门进行检验鉴定。 第十三条 具有下列情况之一的,应当在现场进行数据检查: (一)直接收集电子设备或存储介质确有困难的,或因保密要求不能直接收集的; (二)电子证据电子设备或存储介质处于开机运行状态,不允许关闭其电源,或者关闭电源会导致重要数据丢失或改变的; (三)因特殊网络环境要求,必须通过专门的网络或网络终端才能访问计算机、网络系统的; (四)情况紧急或其他原因,必须在现场进行数据固定或提取的。 第十四条 对计算机进行数据检查应遵循以下原则: (一)如果计算机处于关机状态,不要开启它的系统; (二)如果计算机处于开机状态,不要立即关机。 第十五条 数据检查主要任务是: (一)制作存储介质的复制件并加以固定; (二)提取易丢失的电子数据; (三)检验分析并提取、固定与案件相关的电子数据。 第十六条 进行数据检查,应记录目标设备的型号、品牌和序列号,目标系统的名称、版本号、系统时间及误差,以及专门取证设备工具的名称、版本号等信息。进行远程数据检查计算机、网络系统的,还应当详细记录目标网络地址、网络域名、网络运营商、网络路径、服务器名称、系统环境、系统设置等信息。 数据检查重要步骤应当全程录像,录像资料应当编号保存。 第十七条 不具备直接收集条件、且计算机处于关机状态的,应先通过拍照等方式记录其线路连接等状况,拔下机箱硬盘数据线和电源线,进入BIOS记录机器当前时间;再通过专门的取证启动光盘从光盘启动目标计算机,采用专门的硬盘复制工具和只读锁设备等,制作存储介质的复制件加以固定。 第十八条 复制件应存储在安全的介质中,并进行编号、封存,侦查人员、技术人员、见证人和持有人应当在密封件上签名或者盖章,并制作固定电子证据的清单。持有人不在现场或拒绝签名的,应当注明。 第十九条 固定的存储介质复制件需要提取其内部电子数据或进行鉴定的,可以委托检察技术部门提供技术协助或委托检察机关司法鉴定部门进行检验鉴定。 第二十条 计算机处于开机状态的,应以拍照等方式记录设备当前的运行状态及时间信息,使用专门的关键数据提取工具在线提取易丢失的数据。易丢失的数据主要包括内存信息、桌面信息、进程信息、网络连接信息、IE表单、加载模块信息、路由表信息等,这些信息在计算机关机后将会丢失。 第二十一条 在线提取易丢失数据后,应按合理的方式关闭计算机: (一)对于客户端计算机,直接断电关机; (二)对于服务器,按正常关机步骤关闭。 关闭计算机后,可采取直接收集电子设备或存储介质的方法直接收集该计算机或硬盘;不具备收集条件的,可按制作复制件的方法进行证据的固定。 第二十二条 不具备直接收集条件、且现场无法制作复制件的,可以进行现场检验分析,提取、固定检验分析过程中发现或生成的与案件相关的电子数据。现场检验分析或通过网络远程检验分析应当遵循以下原则: (一)检验分析应当使用安全的设备和软件,严格按照相应的技术操作规范进行,并详细记录操作过程; (二)检验分析应当避免在目标设备或系统上安装程序。特殊情况需要安装程序的,应当详细记录安装程序的名称、目的、安装目标位置以及程序运行可能造成的影响; (三)检验分析应当提取可能与案件相关的全部数据内容。 第二十三条 现场或远程网络检验分析过程中,应当采取以下方式,及时提取、固定检验分析过程中发现或生成的与案件相关的数据内容: (一)复制提取与案件相关的数据另存于安全的存储介质中加以固定,对数据进行完整性校验并记录; (二)对无法复制提取与案件相关的数据的,可以根据实际情况采取拍照、录音、录像或打印等方式予以固定。 第二十四条 提取的易丢失数据或与案件相关的数据应存储在安全的介质上,并进行编号、封存,侦查人员、技术人员、见证人和持有人应当在密封件上签名或者盖章,并制作固定电子证据的清单。持有人不在现场或拒绝签名的,应当注明。 提取的易丢失数据或与案件相关的数据需要进一步分析或鉴定的,可以委托检察技术部门提供技术协助或委托检察机关司法鉴定部门进行检验鉴定。 第二十五条 勘验检查结束后,检察技术部门应当配合侦查部门制作勘验检查笔录,记录上述条款要求记录的相关内容,电子证据勘验检查笔录一般包括以下附件: (一)收集的电子设备和存储介质,固定的存储介质复制件,提取、固定的电子数据; (二)现场照片、电子设备及存储介质照片、录音录像; (三)封存电子证据的清单; (四)固定电子证据的清单; (五)其他相关资料。 第二十六条 检察技术部门配合侦查部门完成电子证据勘验检查后,应归档以下材料: (一)受理登记表; (二)勘验检查笔录副本。 第三章 检验鉴定 第二十七条 电子证据鉴定范围: (一)电子证据数据内容一致性的认定; (二)对各类存储介质或设备存储数据内容的认定; (三)对各类存储介质或设备已删除数据内容的认定; (四)加密文件数据内容的认定; (五)计算机程序功能或系统状况的认定; (六)电子证据的真伪及形成过程的认定; (七)根据诉讼需要进行的关于电子证据的其他认定。 第二十八条 进行电子证据鉴定,委托单位应向检察技术部门提交委托书、检材及检材的有关记录等材料。重新鉴定或补充鉴定的,应说明理由并提交原鉴定书或检验报告。 第二十九条 接受委托时,应当听取案情介绍,并审查以下事项: (一)委托主体和程序是否符合规定; (二)鉴定要求是否属于受理范围; (三)核对封存状况与记录是否一致; (四)启封查验检材的名称、数量、品牌、型号、序列号等; (五)检材是否具备鉴定条件; (六)记录材料是否齐全,内容是否完整。 第三十条 经审查符合要求的,应当予以受理。需要进一步审查的,应当在收到委托书之日起五个工作日内完成审查,并向委托单位作出答复。 具有下列情况之一的,应当不予受理: (一)超出受理范围和鉴定范围的; (二)违反委托程序要求的; (三)不具备鉴定条件的; (四)其他情形。 第三十一条 鉴定机构决定受理的,应当填写委托受理登记表,并制作送检材料清单。检材未采取封存措施或记录材料不全的应当予以注明。 第三十二条 对受理的检材,应当场密封,由送检人、接收人在密封件上签名或者盖章,并制作使用和封存记录。 第三十三条 鉴定机构应当指派或聘请两名以上检察机关鉴定人员担任该案检验人或鉴定人。必要时,可以聘请其他具有专门知识的人员参加。聘请人员参加的,需向其提交聘请书。 鉴定人应当制定方案。必要时,可以进一步了解案情,查阅案卷,参与询问或讯问。 第三十四条 检验鉴定过程应当严格按照有关技术规范操作,并做好详细的记录。检验鉴定应当对检材复制件进行,对检材的关键操作应当进行全程录像。特殊情况无法复制的,应借助只读接口设备等方式进行检验,确保检材不被修改。 检材每次使用结束后应当重新封签,并填写使用和封存记录。 第三十五条 检验鉴定过程的记录内容包括: (一)操作起止时间、地点和人员; (二)使用的设备名称、型号和软件名称等; (三)具体方法和步骤; (四)结果。 第三十六条 鉴定过程中遇有下列情况之一的,应当中止鉴定: (一)需要补充检材的,书面通知委托单位; (二)委托单位要求中止鉴定的; (三)其他原因。 第三十七条 鉴定过程中遇有下列情况之一的,应当终止鉴定: (一)补充检材后仍无法满足鉴定条件的,书面通知委托单位; (二)委托单位要求终止鉴定的; (三)其他原因。 第三十八条 鉴定过程中遇到重大、疑难、复杂的专门性问题时,经检察长批准,鉴定机构可以组织会检鉴定。 第三十九条 根据鉴定要求,经检验鉴定确定的电子证据应当复制保存于安全的存储介质中。无法复制的,可通过截取屏幕图像、拍照、录像、打印等方式固定提取。 第四十条 检验鉴定完成后,应当制作检验鉴定文书。电子证据检验鉴定文书包括鉴定书和检验报告。检验鉴定文书正本及其附件送回委托单位,鉴定机构保存复制件,连同相关资料存档备查。 第四十一条 电子证据检验鉴定文书一般包含以下附件: (一)经检验鉴定确定的电子证据材料,以及通过截取屏幕图像、拍照、录像、打印等方式固定提取的电子证据材料; (二)送检电子证据材料及送检材料清单; (三)使用和封存记录; (四)检验过程相关工作记录; (五)其他相关材料。 第四十二条 电子证据检验鉴定应当自受理之日起十五个工作日内办结。特殊情况不能完成的,经检察长批准,可以适当延长,并告知委托单位。 第四十三条 电子证据检验鉴定办结后,应该归档以下材料: (一)委托书; (二)受理登记表; (三)检验鉴定文书副本、签发纸和检验鉴定文书初稿; (四)检验鉴定文书的附件复制件。 第四章 技术性证据审查 第四十四条 进行电子证据技术性证据审查的,委托单位需向检察技术部门提交委托书及送审电子证据材料,同时提供必要的案情。 第四十五条 检察技术部门收到委托书后,经审查符合相关程序并具备相关技术条件的,应填写委托受理登记表,制作送审材料清单,同时指派或聘请检察技术人员担任审查人,必要时可聘请其他有专门知识的人参加。聘请人员参加的,需向其提交聘请书。 审查鉴定意见的案件应当由取得相应鉴定资格的鉴定人担任审查人。同一案件的鉴定人不得担任该鉴定意见的审查人。 第四十六条 电子证据技术性证据审查的主要内容: (一)送审的电子证据来源是否合法,是否存在秘密窃取、非法搜查和扣押等情况; (二)送审的电子证据封存是否完好、规范,送审的电子设备及存储介质封存状况是否完好,制作的复制件或提取、固定的电子数据的完整性校验是否一致; (三)获取电子证据的主体是否具备相应的资质资格; (四)获取电子证据的过程和依据的方法是否符合电子证据技术工作的相关规则、方法和标准,取证的过程是否可以重现; (五)获取电子证据的设备或软件工具是否具备相关资质,是否经过核证程序; (六)获取的电子证据材料是否齐全、客观、可靠; (七)送审材料有鉴定意见的,还需审查委托、受理等是否符合法定程序,论证过程是否客观科学、符合逻辑关系,认定的事项、提出的意见与检材是否具有关联性、是否依据充分,鉴定文书的制作是否规范、有无遗漏等。 (八)勘验检查笔录、侦查实验笔录及相关技术操作记录、说明等是否客观、科学、完整,有无遗漏的项目和内容; (九)其他需要审查的内容。 第四十七条 对受理的电子证据材料,应当场密封,由送审人、接收人在密封件上签名或者盖章,并制作使用和封存记录。送审电子证据材料每次使用结束后应当重新封签,并填写使用和封存记录。 第四十八条 检察技术人员进行电子证据技术性证据审查,应当制作复制件,对复制件进行操作;无法复制的,应借助只读接口设备进行操作,确保送审材料不被修改。 第四十九条 技术性证据审查完成后,审查人应制作审查意见书,根据审查的实际情况分别作出“是否采信证据、补充证据、鉴定或重新鉴定”的审查意见。送审的电子证据材料作为审查意见书的附件。审查意见书及附件送委托单位,检察技术部门保存复制件,连同相关资料存档备查。 第五十条 电子证据技术性证据审查一般应在正式受理之日起五个工作日内办结,复杂、疑难的技术性证据审查,可适当延长审查期限,并提前通知委托单位。 第五十一条 电子证据技术性证据审查技术案件办结后,应该归档以下材料: (一)委托书; (二)委托受理登记表; (三)使用和封存记录; (四)审查意见书副本、发文稿纸和意见书初稿; (五)送审的电子证据材料复制件及送审材料清单。 第五章 技术协助 第五十二条 进行电子证据技术协助的,委托单位需向检察技术部门提交委托书,同时提供必要的案情。 第五十三条 检察技术部门收到委托书后,经审查符合相关程序并具备相关技术条件的,应填写委托受理登记表,并应制作送协材料清单,同时指派或聘请检察技术人员担任技术协助承办人,必要时,可以聘请具有专门知识的其他人员参加。聘请外单位人员参加的,需向其提交聘请书。 第五十四条 本规范中,电子证据技术协助的内容包括: (一)对送技术协助的电子设备或存储介质等材料进行数据提取、恢复、挖掘、搜索、分析、检测、密码破解等,获取其内部相关的电子数据; (二)提供现场取证、在线取证、网络取证等方面的技术帮助; (三)为获取电子证据而提供的其他技术帮助。 第五十五条 电子证据技术协助的主要任务是: (一)获取能够直接证明案件事实的电子证据; (二)获取相关有价值的电子数据,为检察办案部门发现线索、引导审讯、突破口供、查明方向等方面提供帮助。 第五十六条 对受理的电子证据材料,应当场密封,由送技术协助人、接收人在密封件上签名或者盖章,并制作使用和封存记录。送技术协助的电子证据材料每次使用结束后应当重新封签,并填写使用和封存记录。 第五十七条 检察技术人员进行电子证据技术协助,应当制作复制件,按照有关技术规范和要求对复制件进行操作,并记录相关操作过程;无法复制的,应借助只读接口设备进行操作,确保送协材料不被修改。 第五十八条 根据有关技术规范和要求,经技术协助获取的电子证据或相关有价值的电子数据应当复制保存于安全的存储介质中。 第五十九条 经技术协助所获取的电子证据或固定提取的其他证据材料需要鉴定的,应当送交司法鉴定部门进行检验鉴定。 第六十条 电子证据技术协助完成后,应当制作技术协助工作说明。技术协助工作说明及其附件送回委托单位,技术部门保存复制件,连同相关资料存档备查。 第六十一条 电子证据技术协助工作说明一般包含以下附件: (一)经技术协助获取的电子证据,以及通过截取屏幕图像、拍照、录像、打印等方式固定提取的电子证据材料; (二)送协电子证据材料及送协材料清单; (三)技术协助操作过程的相关记录; (四)其他相关材料。 第六十二条 电子证据技术协助应当自受理之日起十五个工作日内办结。特殊情况不能完成的,经检察长批准,可以适当延长,并告知委托单位。 第六十三条 电子证据技术协助办结后,应该归档以下材料: (一)委托书; (二)委托受理登记表; (三)使用和封存记录; (四)技术协助工作说明副本、发文稿纸和工作说明初稿; (五)技术协助工作说明的附件复制件。 第六章 附则 第六十四条 本规范自2014年1月1日起试行。 |