公安機關辦理刑事案件電子數據取證規則
第一章總則
第一條 為規范公安機關辦理刑事案件電子數據取證工作,確保電子數據取證質量,提高電子數據取證效率,根據《中華人民共和國刑事訴訟法》《公安機關辦理刑事案件程序規定》等有關規定,制定本規則。
第二條 公安機關辦理刑事案件應當遵守法定程序,遵循有關技術標準,全面、客觀、及時地收集、提取涉案電子數據,確保電子數據的真實、完整。
第三條 電子數據取證包括但不限于:
(一)收集、提取電子數據;
(二)電子數據檢查和偵查實驗;
(三)電子數據檢驗與鑒定。
第四條 公安機關電子數據取證涉及國家秘密、警務工作秘密、商業秘密、個人隱私的,應當保密;對于獲取的材料與案件無關的,應當及時退還或者銷毀。
第五條 公安機關接受或者依法調取的其他國家機關在行政執法和查辦案件過程中依法收集、提取的電子數據可以作為刑事案件的證據使用。
第二章收集提取電子數據
第一節一般規定
第六條 收集、提取電子數據,應當由二名以上偵查人員進行。必要時,可以指派或者聘請專業技術人員在偵查人員主持下進行收集、提取電子數據。
第七條 收集、提取電子數據,可以根據案情需要采取以下一種或者幾種措施、方法:
(一)扣押、封存原始存儲介質;
(二)現場提取電子數據;
(三)網絡在線提取電子數據;
(四)凍結電子數據;
(五)調取電子數據。
第八條 具有下列情形之一的,可以采取打印、拍照或者錄像等方式固定相關證據:
(一)無法扣押原始存儲介質并且無法提取電子數據的;
(二)存在電子數據自毀功能或裝置,需要及時固定相關證據的;
(三)需現場展示、查看相關電子數據的。
根據前款第二、三項的規定采取打印、拍照或者錄像等方式固定相關證據后,能夠扣押原始存儲介質的,應當扣押原始存儲介質;不能扣押原始存儲介質但能夠提取電子數據的,應當提取電子數據。
第九條 采取打印、拍照或者錄像方式固定相關證據的,應當清晰反映電子數據的內容,并在相關筆錄中注明采取打印、拍照或者錄像等方式固定相關證據的原因,電子數據的存儲位置、原始存儲介質特征和所在位置等情況,由偵查人員、電子數據持有人(提供人)簽名或者蓋章;電子數據持有人(提供人)無法簽名或者拒絕簽名的,應當在筆錄中注明,由見證人簽名或者蓋章。
第二節扣押、封存原始存儲介質
第十條 在偵查活動中發現的可以證明犯罪嫌疑人有罪或者無罪、罪輕或者罪重的電子數據,能夠扣押原始存儲介質的,應當扣押、封存原始存儲介質,并制作筆錄,記錄原始存儲介質的封存狀態。
勘驗、檢查與電子數據有關的犯罪現場時,應當按照有關規范處置相關設備,扣押、封存原始存儲介質。
第十一條 對扣押的原始存儲介質,應當按照以下要求封存:
(一)保證在不解除封存狀態的情況下,無法使用或者啟動被封存的原始存儲介質,必要時,具備數據信息存儲功能的電子設備和硬盤、存儲卡等內部存儲介質可以分別封存;
(二)封存前后應當拍攝被封存原始存儲介質的照片。照片應當反映原始存儲介質封存前后的狀況,清晰反映封口或者張貼封條處的狀況;必要時,照片還要清晰反映電子設備的內部存儲介質細節;
(三)封存手機等具有無線通信功能的原始存儲介質,應當采取信號屏蔽、信號阻斷或者切斷電源等措施。
第十二條 對扣押的原始存儲介質,應當會同在場見證人和原始存儲介質持有人(提供人)查點清楚,當場開列《扣押清單》一式三份,寫明原始存儲介質名稱、編號、數量、特征及其來源等,由偵查人員、持有人(提供人)和見證人簽名或者蓋章,一份交給持有人(提供人),一份交給公安機關保管人員,一份附卷備查。
第十三條 對無法確定原始存儲介質持有人(提供人)或者原始存儲介質持有人(提供人)無法簽名、蓋章或者拒絕簽名、蓋章的,應當在有關筆錄中注明,由見證人簽名或者蓋章。由于客觀原因無法由符合條件的人員擔任見證人的,應當在有關筆錄中注明情況,并對扣押原始存儲介質的過程全程錄像。
第十四條 扣押原始存儲介質,應當收集證人證言以及犯罪嫌疑人供述和辯解等與原始存儲介質相關聯的證據。
第十五條 扣押原始存儲介質時,可以向相關人員了解、收集并在有關筆錄中注明以下情況:
(一)原始存儲介質及應用系統管理情況,網絡拓撲與系統架構情況,是否由多人使用及管理,管理及使用人員的身份情況;
(二)原始存儲介質及應用系統管理的用戶名、密碼情況;
(三)原始存儲介質的數據備份情況,有無加密磁盤、容器,有無自毀功能,有無其它移動存儲介質,是否進行過備份,備份數據的存儲位置等情況;
(四)其他相關的內容。
第三節現場提取電子數據
第十六條 具有下列無法扣押原始存儲介質情形之一的,可以現場提取電子數據:
(一)原始存儲介質不便封存的;
(二)提取計算機內存數據、網絡傳輸數據等不是存儲在存儲介質上的電子數據的;
(三)案件情況緊急,不立即提取電子數據可能會造成電子數據滅失或者其他嚴重后果的;
(四)關閉電子設備會導致重要信息系統停止服務的;
(五)需通過現場提取電子數據排查可疑存儲介質的;
(六)正在運行的計算機信息系統功能或者應用程序關閉后,沒有密碼無法提取的;
(七)其他無法扣押原始存儲介質的情形。
無法扣押原始存儲介質的情形消失后,應當及時扣押、封存原始存儲介質。
第十七條 現場提取電子數據可以采取以下措施保護相關電子設備:
(一)及時將犯罪嫌疑人或者其他相關人員與電子設備分離;
(二)在未確定是否易丟失數據的情況下,不能關閉正在運行狀態的電子設備;
(三)對現場計算機信息系統可能被遠程控制的,應當及時采取信號屏蔽、信號阻斷、斷開網絡連接等措施;
(四)保護電源;
(五)有必要采取的其他保護措施。
第十八條 現場提取電子數據,應當遵守以下規定:
(一)不得將提取的數據存儲在原始存儲介質中;
(二)不得在目標系統中安裝新的應用程序。如果因為特殊原因,需要在目標系統中安裝新的應用程序的,應當在筆錄中記錄所安裝的程序及目的;
(三)應當在有關筆錄中詳細、準確記錄實施的操作。
第十九條 現場提取電子數據,應當制作《電子數據現場提取筆錄》,注明電子數據的來源、事由和目的、對象、提取電子數據的時間、地點、方法、過程、不能扣押原始存儲介質的原因、原始存儲介質的存放地點,并附《電子數據提取固定清單》,注明類別、文件格式、完整性校驗值等,由偵查人員、電子數據持有人(提供人)簽名或者蓋章;電子數據持有人(提供人)無法簽名或者拒絕簽名的,應當在筆錄中注明,由見證人簽名或者蓋章。
第二十條 對提取的電子數據可以進行數據壓縮,并在筆錄中注明相應的方法和壓縮后文件的完整性校驗值。
第二十一條 由于客觀原因無法由符合條件的人員擔任見證人的,應當在《電子數據現場提取筆錄》中注明情況,并全程錄像,對錄像文件應當計算完整性校驗值并記入筆錄。
第二十二條 對無法扣押的原始存儲介質且無法一次性完成電子數據提取的,經登記、拍照或者錄像后,可以封存后交其持有人(提供人)保管,并且開具《登記保存清單》一式兩份,由偵查人員、持有人(提供人)和見證人簽名或者蓋章,一份交給持有人(提供人),另一份連同照片或者錄像資料附卷備查。
持有人(提供人)應當妥善保管,不得轉移、變賣、毀損,不得解除封存狀態,不得未經辦案部門批準接入網絡,不得對其中可能用作證據的電子數據增加、刪除、修改。必要時,應當保持計算機信息系統處于開機狀態。
對登記保存的原始存儲介質,應當在七日以內作出處理決定,逾期不作出處理決定的,視為自動解除。經查明確實與案件無關的,應當在三日以內解除。
第四節網絡在線提取電子數據
第二十三條 對公開發布的電子數據、境內遠程計算機信息系統上的電子數據,可以通過網絡在線提取。
第二十四條 網絡在線提取應當計算電子數據的完整性校驗值;必要時,可以提取有關電子簽名認證證書、數字簽名、注冊信息等關聯性信息。
第二十五條 網絡在線提取時,對可能無法重復提取或者可能會出現變化的電子數據,應當采用錄像、拍照、截獲計算機屏幕內容等方式記錄以下信息:
(一)遠程計算機信息系統的訪問方式;
(二)提取的日期和時間;
(三)提取使用的工具和方法;
(四)電子數據的網絡地址、存儲路徑或者數據提取時的進入步驟等;
(五)計算完整性校驗值的過程和結果。
第二十六條 網絡在線提取電子數據應當在有關筆錄中注明電子數據的來源、事由和目的、對象,提取電子數據的時間、地點、方法、過程,不能扣押原始存儲介質的原因,并附《電子數據提取固定清單》,注明類別、文件格式、完整性校驗值等,由偵查人員簽名或者蓋章。
第二十七條 網絡在線提取時需要進一步查明下列情形之一的,應當對遠程計算機信息系統進行網絡遠程勘驗:
(一)需要分析、判斷提取的電子數據范圍的;
(二)需要展示或者描述電子數據內容或者狀態的;
(三)需要在遠程計算機信息系統中安裝新的應用程序的;
(四)需要通過勘驗行為讓遠程計算機信息系統生成新的除正常運行數據外電子數據的;
(五)需要收集遠程計算機信息系統狀態信息、系統架構、內部系統關系、文件目錄結構、系統工作方式等電子數據相關信息的;
(六)其他網絡在線提取時需要進一步查明有關情況的情形。
第二十八條 網絡遠程勘驗由辦理案件的縣級公安機關負責。上級公安機關對下級公安機關刑事案件網絡遠程勘驗提供技術支援。對于案情重大、現場復雜的案件,上級公安機關認為有必要時,可以直接組織指揮網絡遠程勘驗。
第二十九條 網絡遠程勘驗應當統一指揮,周密組織,明確分工,落實責任。
第三十條 網絡遠程勘驗應當由符合條件的人員作為見證人。由于客觀原因無法由符合條件的人員擔任見證人的,應當在《遠程勘驗筆錄》中注明情況,并按照本規則第二十五條的規定錄像,錄像可以采用屏幕錄像或者錄像機錄像等方式,錄像文件應當計算完整性校驗值并記入筆錄。
第三十一條 遠程勘驗結束后,應當及時制作《遠程勘驗筆錄》,詳細記錄遠程勘驗有關情況以及勘驗照片、截獲的屏幕截圖等內容。由偵查人員和見證人簽名或者蓋章。
遠程勘驗并且提取電子數據的,應當按照本規則第二十六條的規定,在《遠程勘驗筆錄》注明有關情況,并附《電子數據提取固定清單》。
第三十二條 《遠程勘驗筆錄》應當客觀、全面、詳細、準確、規范,能夠作為還原遠程計算機信息系統原始情況的依據,符合法定的證據要求。
對計算機信息系統進行多次遠程勘驗的,在制作首次《遠程勘驗筆錄》后,逐次制作補充《遠程勘驗筆錄》。
第三十三條 網絡在線提取或者網絡遠程勘驗時,應當使用電子數據持有人、網絡服務提供者提供的用戶名、密碼等遠程計算機信息系統訪問權限。
采用技術偵查措施收集電子數據的,應當嚴格依照有關規定辦理批準手續。收集的電子數據在訴訟中作為證據使用時,應當依照刑事訴訟法第一百五十四條規定執行。
第三十四條 對以下犯罪案件,網絡在線提取、遠程勘驗過程應當全程同步錄像:
(一)嚴重危害國家安全、公共安全的案件;
(二)電子數據是罪與非罪、是否判處無期徒刑、死刑等定罪量刑關鍵證據的案件;
(三)社會影響較大的案件;
(四)犯罪嫌疑人可能被判處五年有期徒刑以上刑罰的案件;
(五)其他需要全程同步錄像的重大案件。
第三十五條 網絡在線提取、遠程勘驗使用代理服務器、點對點傳輸軟件、下載加速軟件等網絡工具的,應當在《網絡在線提取筆錄》或者《遠程勘驗筆錄》中注明采用的相關軟件名稱和版本號。
第五節凍結電子數據
第三十六條 具有下列情形之一的,可以對電子數據進行凍結:
(一)數據量大,無法或者不便提取的;
(二)提取時間長,可能造成電子數據被篡改或者滅失的;
(三)通過網絡應用可以更為直觀地展示電子數據的;
(四)其他需要凍結的情形。
第三十七條 凍結電子數據,應當經縣級以上公安機關負責人批準,制作《協助凍結電子數據通知書》,注明凍結電子數據的網絡應用賬號等信息,送交電子數據持有人、網絡服務提供者或者有關部門協助辦理。
第三十八條 不需要繼續凍結電子數據時,應當經縣級以上公安機關負責人批準,在三日以內制作《解除凍結電子數據通知書》,通知電子數據持有人、網絡服務提供者或者有關部門執行。
第三十九條 凍結電子數據的期限為六個月。有特殊原因需要延長期限的,公安機關應當在凍結期限屆滿前辦理繼續凍結手續。每次續凍期限最長不得超過六個月。繼續凍結的,應當按照本規則第三十七條的規定重新辦理凍結手續。逾期不辦理繼續凍結手續的,視為自動解除。
第四十條 凍結電子數據,應當采取以下一種或者幾種方法:
(一)計算電子數據的完整性校驗值;
(二)鎖定網絡應用賬號;
(三)采取寫保護措施;
(四)其他防止增加、刪除、修改電子數據的措施。
第六節調取電子數據
第四十一條 公安機關向有關單位和個人調取電子數據,應當經辦案部門負責人批準,開具《調取證據通知書》,注明需要調取電子數據的相關信息,通知電子數據持有人、網絡服務提供者或者有關部門執行。被調取單位、個人應當在通知書回執上簽名或者蓋章,并附完整性校驗值等保護電子數據完整性方法的說明,被調取單位、個人拒絕蓋章、簽名或者附說明的,公安機關應當注明。必要時,應當采用錄音或者錄像等方式固定證據內容及取證過程。
公安機關應當協助因客觀條件限制無法保護電子數據完整性的被調取單位、個人進行電子數據完整性的保護。
第四十二條 公安機關跨地域調查取證的,可以將《辦案協作函》和相關法律文書及憑證傳真或者通過公安機關信息化系統傳輸至協作地公安機關。協作地辦案部門經審查確認后,在傳來的法律文書上加蓋本地辦案部門印章后,代為調查取證。
協作地辦案部門代為調查取證后,可以將相關法律文書回執或者筆錄郵寄至辦案地公安機關,將電子數據或者電子數據的獲取、查看工具和方法說明通過公安機關信息化系統傳輸至辦案地公安機關。
辦案地公安機關應當審查調取電子數據的完整性,對保證電子數據的完整性有疑問的,協作地辦案部門應當重新代為調取。
第三章電子數據的檢查和偵查實驗
第一節電子數據檢查
第四十三條 對扣押的原始存儲介質或者提取的電子數據,需要通過數據恢復、破解、搜索、仿真、關聯、統計、比對等方式,以進一步發現和提取與案件相關的線索和證據時,可以進行電子數據檢查。
第四十四條 電子數據檢查,應當由二名以上具有專業技術的偵查人員進行。必要時,可以指派或者聘請有專門知識的人參加。
第四十五條 電子數據檢查應當符合相關技術標準。
第四十六條 電子數據檢查應當保護在公安機關內部移交過程中電子數據的完整性。移交時,應當辦理移交手續,并按照以下方式核對電子數據:
(一)核對其完整性校驗值是否正確;
(二)核對封存的照片與當前封存的狀態是否一致。
對于移交時電子數據完整性校驗值不正確、原始存儲介質封存狀態不一致或者未封存可能影響證據真實性、完整性的,檢查人員應當在有關筆錄中注明。
第四十七條 檢查電子數據應當遵循以下原則:
(一)通過寫保護設備接入到檢查設備進行檢查,或者制作電子數據備份、對備份進行檢查;
(二)無法使用寫保護設備且無法制作備份的,應當注明原因,并全程錄像;
(三)檢查前解除封存、檢查后重新封存前后應當拍攝被封存原始存儲介質的照片,清晰反映封口或者張貼封條處的狀況;
(四)檢查具有無線通信功能的原始存儲介質,應當采取信號屏蔽、信號阻斷或者切斷電源等措施保護電子數據的完整性。
第四十八條 檢查電子數據,應當制作《電子數據檢查筆錄》,記錄以下內容:
(一)基本情況。包括檢查的起止時間,指揮人員、檢查人員的姓名、職務,檢查的對象,檢查的目的等;
(二)檢查過程。包括檢查過程使用的工具,檢查的方法與步驟等;
(三)檢查結果。包括通過檢查發現的案件線索、電子數據、等相關信息。
(四)其他需要記錄的內容。
第四十九條 電子數據檢查時需要提取電子數據的,應當制作《電子數據提取固定清單》,記錄該電子數據的來源、提取方法和完整性校驗值。
第二節電子數據偵查實驗
第五十條 為了查明案情,必要時,經縣級以上公安機關負責人批準可以進行電子數據偵查實驗。
第五十一條 電子數據偵查實驗的任務包括:
(一)驗證一定條件下電子設備發生的某種異常或者電子數據發生的某種變化;
(二)驗證在一定時間內能否完成對電子數據的某種操作行為;
(三)驗證在某種條件下使用特定軟件、硬件能否完成某種特定行為、造成特定后果;
(四)確定一定條件下某種計算機信息系統應用或者網絡行為能否修改、刪除特定的電子數據;
(五)其他需要驗證的情況。
第五十二條 電子數據偵查實驗應當符合以下要求:
(一)應當采取技術措施保護原始存儲介質數據的完整性;
(二)有條件的,電子數據偵查實驗應當進行二次以上;
(三)偵查實驗使用的電子設備、網絡環境等應當與發案現場一致或者基本一致;必要時,可以采用相關技術方法對相關環境進行模擬或者進行對照實驗;
(四)禁止可能泄露公民信息或者影響非實驗環境計算機信息系統正常運行的行為。
第五十三條 進行電子數據偵查實驗,應當使用拍照、錄像、錄音、通信數據采集等一種或多種方式客觀記錄實驗過程。
第五十四條 進行電子數據偵查實驗,應當制作《電子數據偵查實驗筆錄》,記錄偵查實驗的條件、過程和結果,并由參加偵查實驗的人員簽名或者蓋章。
第四章電子數據委托檢驗與鑒定
第五十五條 為了查明案情,解決案件中某些專門性問題,應當指派、聘請有專門知識的人進行鑒定,或者委托公安部指定的機構出具報告。
需要聘請有專門知識的人進行鑒定,或者委托公安部指定的機構出具報告的,應當經縣級以上公安機關負責人批準。
第五十六條 偵查人員送檢時,應當封存原始存儲介質、采取相應措施保護電子數據完整性,并提供必要的案件相關信息。
第五十七條 公安部指定的機構及其承擔檢驗工作的人員應當獨立開展業務并承擔相應責任,不受其他機構和個人影響。
第五十八條 公安部指定的機構應當按照法律規定和司法審判機關要求承擔回避、保密、出庭作證等義務,并對報告的真實性、合法性負責。
公安部指定的機構應當運用科學方法進行檢驗、檢測,并出具報告。
第五十九條 公安部指定的機構應當具備必需的儀器、設備并且依法通過資質認定或者實驗室認可。
第六十條 委托公安部指定的機構出具報告的其他事宜,參照《公安機關鑒定規則》等有關規定執行。
第五章附則
第六十一條 本規則自2019年2月1日起施行。公安部之前發布的文件與本規則不一致的,以本規則為準。
