【电子取证篇】电子数据网络在线提取和远程勘验的区别与联系(附模板下载)

文摘   2024-06-23 22:51   湖北  

不管是对电子数据的收集提取,还是审查判断,都应坚持相应的技术规范和法律规则双重标准---【蘇小沐】



1



两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》法发〔2016〕22号


最高人民法院 最高人民检察院 公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的通知 法发〔2016〕22号(2016年10月01日施行)

1

第九条


第九条 具有下列情形之一,无法扣押原始存储介质的,可以提取电子数据,但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况,并计算电子数据的完整性校验值:

(一)原始存储介质不便封存的;

(二)提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;

(三)原始存储介质位于境外的;

(四)其他无法扣押原始存储介质的情形。

对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。

为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。 


2

 


公安部《公安机关办理刑事案件电子数据取证规则》公通字〔2018〕41 号


公安部《公安机关办理刑事案件电子数据取证规则》公通字〔2018〕41 号(2019年02月01日施行)

第四节  网络在线提取电子数据

第二十三条 对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。

第二十四条 网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

第二十五条 网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息:

(一)远程计算机信息系统的访问方式;

(二)提取的日期和时间;

(三)提取使用的工具和方法;

(四)电子数据的网络地址、存储路径或者数据提取时的进入步骤等;

(五)计算完整性校验值的过程和结果。

第二十六条 网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。

第二十七条 网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:

(一)需要分析、判断提取的电子数据范围的;

(二)需要展示或者描述电子数据内容或者状态的;

(三)需要在远程计算机信息系统中安装新的应用程序的;

(四)需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的;

(五)需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的;

(六)其他网络在线提取时需要进一步查明有关情况的情形。

第二十八条 网络远程勘验由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件,上级公安机关认为有必要时,可以直接组织指挥网络远程勘验。

第二十九条 网络远程勘验应当统一指挥,周密组织,明确分工,落实责任。

第三十条 网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照本规则第二十五条的规定录像,录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记入笔录。

第三十一条 远程勘验结束后,应当及时制作《远程勘验笔录》,详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。

远程勘验并且提取电子数据的,应当按照本规则第二十六条的规定,在《远程勘验笔录》注明有关情况,并附《电子数据提取固定清单》。

第三十二条 《远程勘验笔录》应当客观、全面、详细、准确、规范,能够作为还原远程计算机信息系统原始情况的依据,符合法定的证据要求。

对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,逐次制作补充《远程勘验笔录》。

第三十三条 网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。

采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照刑事诉讼法第一百五十四条规定执行。

第三十四条 对以下犯罪案件,网络在线提取、远程勘验过程应当全程同步录像

(一)严重危害国家安全、公共安全的案件;

(二)电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件;

(三)社会影响较大的案件;

(四)犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件;

(五)其他需要全程同步录像的重大案件。

第三十五条 网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的,应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。

进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。 

引用[1]


《公安机关办理刑事案件电子数据取证规则》的理解与适用(田虹 翟晓飞 王艺筱)

“两高一部《规定》”规定了两种远程收集提取电子数据的方式,即网络在线提取和远程勘验。其中,规定远程勘验是“为进一步查明有关情况,通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动”。

“公安部《规则》”对网络在线提取和远程勘验的区别进一步予以明确,二者类似传统现场勘验和痕迹物品提取,远程勘验兼具收集提取“电子数据” 和进一步收集“有关信息”、查明“有关情况”的功能,侧重于侦查人员分析、判断、发现过程, 是对虚拟现场、电子数据的客观描述,《远程勘验笔录》可以直接反映侦查人员观察到的电子数据内容和相关信息,可以独立作为证据;而网络在线提取只有收集提取“电子数据”的功能, 主要是对电子数据来源的说明,《网络在线提取笔录》证据主体仍然是电子数据,若不附电子数据,则不能作为证据使用。需要特别说明的是,由于“公安部《规则》”着眼点是电子数据,故仅明确了网络在线提取时应当进行远程勘验的情形,未对远程勘验的其他功能作过多规定,并不是用网络在线提取替代远程勘验。实践中,如果远程提取电子数据,则既可以把有关情况记录在《远程勘验笔录》中,又可以记录在《网络在线提取笔录》中,但如果仅收集有关信息不提取电子数据,则只能将有关情况记录在《远程勘验笔录》中。

3

 


(三)电子数据网络取证模板


模板内容应根据具体案件情况来做调整,仅供参考!!!

1

《电子数据网络在线提取笔录》模板



2

电子数据远程勘验笔录》模板



3

《电子数据提取固定清单》模板




参考资料


 

[1] 《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》法发〔2016〕22号

[2] 《公安机关办理刑事案件电子数据取证规则》

[3] 《公安机关办理刑事案件电子数据取证规则》的理解与适用(田虹 翟晓飞 王艺筱)


总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词电子数据网络取证模板自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 06月 23日

最后编辑:2024年 06月 23日

 

END


往期精彩回顾



▲ 【电子取证篇】电子数据取证标准合集更新202405(附下载)


▲ 【电子取证篇】一文带你了解哈希!作为取证人员,我不允许你不懂哈希,也不允许你只懂哈希

 

关注我,了解更多取证知识,别忘+看哦!

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章