Pages

4.26.2005

Ministry of Public Security rules on computer crime scene investigation and electronic evidence forensics 公信安[2005]161号


计算机犯罪现场勘验与电子证据检查规则
公信安[2005]161

第一章 总则
 
  第一条 为规范计算机犯罪现场勘验与电子证据检查工作,确保现场勘验检查质量,根据《刑事诉讼法》、《公安机关办理刑事案件程序规定》、《公安部刑事案件现场勘查规则》,制定本规则。
  第二条 在本规则中,电子证据包括电子数据、存储媒介和电子设备。
  第三条 计算机犯罪现场勘验与电子证据检查包括:
  (一)现场勘验检查。是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。
  (二)远程勘验。是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
 
 (三)电子证据检查。是指检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。
  第四条 计算机犯罪现场勘验与电子证据检查的任务是,发现、固定、提取与犯罪相关的电子证据及其他证据,进行现场调查访问,制作和存储现场信息资料,判断案件性质,确定侦查方向和范围,为侦查破案提供线索和证据。
  第五条 计算机犯罪现场勘验与电子证据检查,应当严格遵守国家法律、法规的有关规定。不受其他任何单位、个人的干涉。
  第六条 执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能。
  第七条 计算机犯罪现场勘验与电子证据检查工作,应当以事实为依据,防止主观臆断,严禁弄虚作假。
                       
第二章 组织与指挥
 
  第八条 计算机犯罪现场勘验与电子证据检查,应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。必要时,可以指派或者聘请具有专门知识的人参加。
   第九条 对计算机犯罪现场进行勘验和对电子证据进行检查不得少于二人。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。公安司法人员不能充当见证人。电 子证据检查,应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施,办案人员应当予以配合。
 
  第十条 对计算机犯罪现场勘验与电子证据检查应当统一指挥,周密组织,明确分工,落实责任。
   第十一条 计算机犯罪现场勘验与电子证据检查的指挥员应当由具有计算机犯罪现场勘验与电子证据检查专业知识和组织指挥能力的人民警察担任。重大、特别重大案件的勘验 检查工作,指挥员由案发地公安机关负责人担任。必要时,上级公安机关可以直接组织指挥现场勘验和电子证据检查工作。
                  
第三章 电子证据的固定与封存
 
  第十二条 固定和封存电子证据的目的是保护电子证据的完整性、真实性和原始性。
  作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。
  第十三条 封存电子设备和存储媒介的方法是:
  (一)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。
  (二)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。
  第十四条 固定存储媒介和电子数据包括以下方式:
  (一)完整性校验方式。是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;
  (二)备份方式。是指复制、制作原始存储媒介的备份,并依照第十三条规定的方法封存原始存储媒介;
  (三)封存方式。对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照第十三条规定的方法封存原始存储媒介,并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。
                     
第四章 现场勘验检查
 
  第十五条 现场勘验检查程序包括:
  (一)保护现场;
  (二)收集证据;
  (三)提取、固定易丢失数据;
  (四)在线分析;
  (五)提取、固定证物。
  第十六条 对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带应当编号封存。
 
 第十七条 在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。
  第十八条 在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。
  第十九条 在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。除以下情形外,一般不得实施在线分析:
  (一)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;
  (二)情况特殊,不允许关闭电子设备或扣押电子设备的;
  (三)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。
  第二十条 易丢失数据提取和在线分析,应当依循以下原则:
  (一)不得将生成、提取的数据存储在原始存储媒介中。
  (二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。
  (三)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。
  第二十一条 现场勘验检查结束后,应当在及时制作《现场勘验检查工作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。
                       
第五章 远程勘验
 
  第二十二条 远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。
  第二十三条 应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。
  第二十四条 远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。
 
  第二十五条 通过 网络监听获取特定主机通信内容以提取电子证据时,应当遵循与远程勘验相同的规定。
                      
第六章 电子证据检查
 
  第二十六条 办案人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电子证据清单》的复印件,检查人员应当依照以下原则检查电子证据的完整性:
   
(一)对于以完整性校验方式保护的电子数据,检查人员应当核对其完整性校验值是否正确;  (二)对于以封存方式保护的电子设备或存储媒介,检查人员应当比对封存的照片与当前封存的状态是否一致;
   (三)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员应当在《电子证据检查笔录》中注明,并由送检人签名。
  第二十七条 电子证据检查包括:
  (一)检查、分析电子证据中包含的电子数据,提取与案件相关的电子证据。
  (二)检查、分析电子证据中包含的电子数据,制作《电子证据检查笔录》描述检查结论。
  第二十八条 从电子证据中提取电子数据,应当制作《提取电子数据清单》,记录该电子数据的来源和提取方法。
  第二十九条 复制、制作原始存储媒介的备份应当遵循以下原则:
  (一)复制并重新封存原始存储媒介。
  (二)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。
  (三)复制完成后应当依照第十三条规定重新封存原始存储媒介,并制作、填写《封存电子证据清单》。
  第三十条 除下列情形外,不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查:
  (一)情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;
  (二)已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介所存储的数据的;
  (三)因技术条件限制,无法复制原始存储媒介的。
 
  第三十一条 检查原始电子设备,或者因第三十条描述的原因,需要直接检查原始存储媒介的,应当遵循以下原则:
  (一)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像;
  (二)检查完毕后应当依照第十三条规定重新封存原始存储媒介和原始电子设备,并制作、填写《封存电子证据清单》。
  (三)应当制作《原始证据使用记录》,记录直接检查原始证据的原因和目的、实施的操作、对原始存储媒介和原始电子设备中存储的信息可能产生的影响,并由两名检查人员签名。
   第三十二条 电子证据检查结束后,应当及时制作《电子证据检查工作记录》。
  《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》等内容构成。
                    
第七章 勘验检查记录
 
  第三十三条 《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》应当加盖骑缝章后由至少两名勘验、检查人员签名。
  《现场勘验检查工作记录》应当由至少一名见证人签名。
  第三十四条 《现场勘验检查笔录》的内容一般包括:
  (一)基本情况。包括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、职务,见证人的姓名、住址等;
  (二)现场情形。包括现场的设备环境、网络结构、运行状态等;
  (三)勘查过程。包括勘查的基本情况,易丢失证据提取的过程、产生的数据,在线勘验、检查过程中实施的操作、对数据可能产生的影响、提取的数据,封存物品、固定证据的有关情况等;
  (四)勘查结果。包括提取物证的有关情况、勘查形成的结论以及发现的案件线索等。
  第三十五条《现场勘查照片记录表》应当记录该相片拍摄的内容、对象,并编号入卷。拍摄的照片可以是数码照片或光学照片。
  第三十六条 《远程勘验笔录》的内容一般包括:
  (一)基本情况。包括勘验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的对象,勘验的目的等;
  (二)勘验过程。包括勘验使用的工具,勘验的方法与步骤,提取和固定数据的方法等;
  (三)勘验结果。包括通过勘验发现的案件线索,目标系统的状况,目标网站的内容等。
  第三十七条 《电子证据检查笔录》的内容一般包括:
  (一)基本情况。包括检查的起止时间,指挥人员、勘验人员的姓名、职务,检查的对象,检查的目的等;
  (二)检查过程。包括检查过程使用的工具,检查的方法与步骤,提取数据的方法等;
  (三)检查结果。包括通过检查发现的案件线索,提取的信息内容等。
                     
第八章 附则
 
 第三十八条 对刑事案件现场勘验、检查应当遵循公安机关对刑事案件现场勘验、检查的有关规定。
  第三十九条 本规则自发布之日起施行。

4.24.2005

Ministry of Public Security Rules on database forensics 公信安[2005]281号


公安机关电子数据鉴定规则

公信安[2005]281

第一章 总则

   第一条 为了规范公安机关电子数据鉴定工作,保证鉴定结论的真实性和合法性,依据《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国 行政诉讼法》、《公安机关办理刑事案件程序规定》、《公安机关办理行政案件程序规定》的有关规定,制定本规则。
  第二条 本规则所称的电子数据,是指以数字化形式存储、处理、传输的数据。本规则所称的电子数据鉴定,是指公安机关电子数据鉴定机构的鉴定人按照技术规程,运用专业知识、仪器设备和技术方法,对受理委托鉴定的检材进行检查、验证、鉴别、判定,并出具鉴定结论的过程。
  第三条 公安机关电子数据鉴定机构和鉴定人应当遵守法律、法规和行业标准的有关规定,遵循科学、客观、公正独立的原则,保证鉴定工作的科学性和严肃性。
第二章 鉴定机构

  第四条 公安部对全国公安机关电子数据鉴定机构实行鉴定资质许可管理制度。
  第五条 省级以上公安机关公共信息网络安全监察部门和有条件的地市级公安机关公共信息网络安全监察部门可以设立电子数据鉴定机构。
   第六条 省级以上公安机关公共信息网络安全监察部门和有条件的地市级公安机关公共信息网络安全监察部门需要设立电子数据鉴定机构的,应当经公安机关公共信息网络安 全监察部门逐级审核后向公安部申请电子数据鉴定资质。 公安部公共信息网络安全监察局在接到省级公安机关和有条件的地市级公安机关公共信息网络安全监察部门电子数据鉴定资质申请后,应当在一个月内对其资质条件 进行审核,经审核合格后由公安部向其颁发《公安机关电子数据鉴定资质证书》。公安机关电子数据鉴定资质每三年审核一次。公安机关电子数据鉴定机构的资质标 准和管理办法,由公安部统一制定。  
   
第七条 公安机关电子数据鉴定机构应当具备以下条件:
  (一)有明确的业务范围;
  (二)有在业务范围内开展电子数据鉴定所必需的硬件设备和基础设施;
  (三)有与独立开展电子数据鉴定业务相适应的专业人员。
  第八条 上级公安机关电子数据鉴定机构负责对下级公安机关电子数据鉴定机构的业务工作进行监督、指导和复核。
第三章 鉴定人

  第九条 公安部对电子数据鉴定人实行鉴定人资格管理制度。
  第十条 从事电子数据鉴定的人员,应当经地市级以上公安机关公共信息网络安全监察部门推荐,通过公安部组织的有关考试、考核,并取得公安部颁发的《公安机关电子数 据鉴定人资格证书》。  鉴定人持有《公安机关电子数据鉴定人资格证书》,并被公安机关电子数据鉴定机构聘任方可从事电子数据鉴定工作。
  公安机关电子数据鉴定人资格每三年审核一次。公安机关电子数据鉴定人资格标准和管理办法,由公安部统一制定。
  第十一条 公安机关电子数据鉴定人应当具备下列资格条件:
  (一)地市级以上公安机关公共信息网络安全监察部门在编或者聘请的专业技术人员;
  (二)具有从事电子数据鉴定所需的专门知识和工作经验;
  (三)具有高等院校大学本科以上学历;
  (四)经公安部电子数据鉴定专业培训并考试合格。
  第十二条 公安机关公共信息网络安全监察部门的在编民警作为电子数据鉴定人的,可以参照刑事科学技术和技术侦察队伍专业技术职位任职制度评定技术职称。
 
  第十三条 公安机关电子数据鉴定机构聘请公安机关以外的专业技术人员作为鉴定人的,在电子数据鉴定工作中应当与公安机关电子数据鉴定机构签订保密协议。
  第十四条 公安机关电子数据鉴定人享有以下权利:
  (一)在其专业范围内可以充分表达鉴定意见,不受任何单位或者个人的非法干涉;
  (二)了解案情,查看案件或者事件现场,进行现场实验;
 
 (三)要求鉴定委托单位提供必需的检材以及与鉴定有关的补充材料;
  (四)确有正当理由的,可以向公安机关电子数据鉴定机构或者鉴定主持单位提出中止鉴定的请求;
  (五)对提供虚假情况的,可以拒绝或者中止鉴定;
  (六)发现违反鉴定程序或者检材虚假或者鉴定结论错误的,可以向公安机关电子数据鉴定机构提出撤销该鉴定结论的请求;
  (七)鉴定人对鉴定结论有不同意见的,可以保留自己的鉴定意见;
  (八)法律、法规赋予的其他权利。
  第十五条 公安机关电子数据鉴定人应当履行以下义务:
  (一)遵守国家法律、法规、行业标准和检验鉴定规程有关规定;
  (二)做好鉴定的原始记录;
  (三)负责妥善保管送检物品,不得挪用、丢失、损坏送检物品,不得故意增加、删除、篡改送检物品中保存的电子数据;
  (四)严格保守执业秘密;
  (五)在作出回避决定前或者回避复议期间,继续进行检验鉴定工作;
  (六)根据有关规定出庭作证;
  (七)法律、法规要求履行的其他义务。
  第十六条 公安机关电子数据鉴定人有下列行为之一的,应当取消其电子数据鉴定资格,三年内不得再次申请电子数据鉴定资格,违反国家有关法律、法规规定的,应当依法追究其法律责任:
  (一)故意作虚假鉴定的;
  (二)泄漏与鉴定有关的国家秘密、商业秘密或者个人隐私的;
  (三)故意泄漏案情,干扰侦查机关办案的;
  (四)故意增加、删除、篡改送检物品中保存的电子数据的;
  (五)故意泄漏计算机犯罪侦查取证技术,造成严重后果的;
  (六)故意干扰电子数据鉴定工作,严重影响鉴定结论客观、公正的其他行为。
第四章 回避
  第十七条 鉴定人遇有下列情形之一的,应当自行回避,当事人及其法定代理人也有权要求鉴定人回避:
  (一)是本案当事人或者当事人的近亲属的;
  (二)本人或者其近亲属和本案有利害关系的;
  (三)担任过本案证人、辩护人、诉讼代理人的;
  (四)被指派为本案侦查人员的;
  (五)对本人出具的鉴定结论进行重新鉴定的;
  (六)其他可能影响鉴定公正的。
 
  第十八条 鉴定人自行提出回避申请的,应当说明回避理由,由所在电子数据鉴定机构负责人决定是否回避。
  第十九条 当事人及其法定代理人要求鉴定人回避,应当提出书面申请,由鉴定人所在电子数据鉴定机构报请同级公安机关负责人决定是否回避。
  第二十条 鉴定人具有应当回避的情形之一,本人没有自行回避,当事人及其法定代理人也没有申请鉴定人回避的,由地市级以上公安机关电子数据鉴定机构负责人提出回避意见,报请同级公安机关负责人决定。
  第二十一条 决定鉴定人回避,电子数据鉴定机构应当及时通知鉴定委托单位和提出鉴定回避请求的当事人及其法定代理人,并及时记录在案。
   第二十二条 公安机关做出驳回申请鉴定人回避的决定,应当及时告知当事人及其法定代理人,如其不服决定,可以在收到《驳回申请回避决定书》后五日内向原决定机关申请复 议一次。当事人及其法定代理人对驳回申请鉴定人回避的决定不服申请复议的,决定机关应当在三日以内做出复议决定并书面通知申请人。
第五章 鉴定的委托
  第二十三条 鉴定委托单位送检时应当向电子数据鉴定机构提交下列材料:
  (一)《电子数据鉴定委托登记表》;
  (二)证明送检人身份的有效证件;
  (三)委托鉴定的检材;
  (四)鉴定人要求提供的与鉴定有关的其他材料。
  第二十四条 《电子数据鉴定委托登记表》应当包括下列内容:
  (一)委托单位、送检人和委托时间;
  (二)案件或者事件的简要情况;
  (三)《委托鉴定检材清单》。描述送检检材的名称、数量、特征,该检材的来源、封存固定记录等其它说明信息;
  (四)鉴定目的和要求。
  提出复核鉴定或者重新鉴定的,应当附带原鉴定书。
  第二十五条 委托鉴定的存储媒介应当是复制原始存储媒介得到的备份存储媒介。
  因特殊原因,委托鉴定的检材是原始存储媒介或原始电子设备的,委托单位应当提供相应的《固定电子证据清单》和《封存电子证据清单》。
 
  委托单位未对原始存储媒介或原始电子设备进行封存或固定的,应当在《委托鉴定检材清单》中注明。
  第二十六条 鉴定委托单位已使用过委托鉴定的原始存储媒介和电子设备的,应当介绍使用的情况,并提交相应的《原始证据使用记录》。
  第二十七条 鉴定委托单位不得暗示或者强迫鉴定人作出某种鉴定结论;应当保证其向电子数据鉴定机构提交的检材来源清楚、真实可靠、提取合法。
第六章 鉴定的受理
  第二十八条 公安机关电子数据鉴定机构可以受理公安机关、人民法院、人民检察院、司法行政机关、国家安全机关、其他行政执法机关、军队保卫部门、纪检监察部门,以及仲 裁机构委托的电子数据鉴定。必要时,经公安机关电子数据鉴定机构主要负责人批准,可以受理律师事务所委托的电子数据鉴定。
  第二十九条 公安机关电子数据鉴定机构接到鉴定委托时,应当审查以下内容:
  (一)委托主体和有关手续是否符合要求;
  (二)送检材料有无鉴定条件;
  (三)核对送检材料的名称、数量;
  (四)《固定电子证据清单》中的完整性校验值是否正确;
  (五)《封存电子证据清单》记载的内容与送检的原始电子设备或原始存储媒介的封存状况是否一致。
  第三十条 公安机关电子数据鉴定机构经过审查,分别作出接受委托、修改鉴定要求、补送材料或者不予受理的决定。 公安机关电子数据鉴定机构是否受理鉴定,应当在收到鉴定委托之日起2个工作日内向鉴定委托单位作出答复,并告之可能作出鉴定结论的时间。
  第三十一条 具有下列情形之一的,公安机关电子数据鉴定机构对鉴定委托不予受理:
  (一)违反国家法律、法规的;
  (二)不具备鉴定委托主体资格的;
  (三)违反鉴定委托程序要求的;
  (四)超出鉴定范围的;
  (五)检材和物品与案件或者事件无关的;
  (六)不具备检验鉴定条件的;
  (七)已经委托其他物证鉴定机构正在进行鉴定的;
  (八)其他不应受理或者无法受理的情形。
  第三十二条 公安机关电子数据鉴定机构接受鉴定委托的,应当填写《电子数据鉴定受理登记表》,并向鉴定委托单位提供该《受理电子数据鉴定登记表》的复印件。
  第三十三条《电子数据鉴定受理登记表》应当包括下列内容:
  (一)受理编号;
  (二)委托单位、送检人和委托时间;
  (三)鉴定目的和要求;
  (四)《受理鉴定检材清单》。描述受理鉴定的检材名称、数量、特征,检材的完整性和封存状况校验结果;
  (五)受理单位、受理人、受理时间。送检方提供的《固定电子证据清单》、《封存电子证据清单》和《原始证据使用记录》,应当作为登记表的附件。
  第三十四条 如果鉴定过程可能修改原始存储媒介和电子设备中存储的数据,公安机关电子数据鉴定机构应当事先征得鉴定委托单位的同意,并在《电子数据鉴定受理登记表》中注明。
第七章 鉴定的种类
  第三十五条 电子数据鉴定分为首次鉴定、补充鉴定、重新鉴定。
  第三十六条 为查明、证明案件或者事件的事实状态和解决专门问题,凡符合本规则第二十五条规定的,可以提出首次鉴定的申请。
  第三十七条 案件或者事件当事人、本案侦查人员发现下列情形之一,可以提出补充鉴定的申请:  (一)鉴定内容有明显遗漏的;
  (二)发现新的有鉴定意义的证据的;
  (三)鉴定结论不完善可能导致案件或者事件不公正处理的;
  (四)对已鉴定电子数据有新的鉴定要求的。
  补充鉴定应当由地市级以上公安机关公共信息网络安全监察部门负责人批准后进行。补充鉴定可以由原鉴定人或者其他鉴定人进行。
  第三十八条 案件或者事件当事人、本案侦查人员发现下列情形之一,可以提出重新鉴定的申请:  (一)电子数据鉴定机构、鉴定人不具备鉴定资质、资格的; 
  (二)鉴定人依法应当回避而未回避的;
 
 (三)在鉴定过程中对送检的电子数据进行修改,并可能影响鉴定结论客观、公正的;
  (四)鉴定结论与事实不符或者同其他证据有明显矛盾的;
  (五)鉴定结论不准确的。
  重新鉴定应当由地市级以上公安机关公共信息网络安全监察部门负责人批准后进行。需要进行重新鉴定的,电子数据鉴定机构应当另行指派或者聘请鉴定人员。
第八章 鉴定程序
  第三十九条 电子数据鉴定应当由两名以上鉴定人员参加。必要时,可以指派或者聘请具有专门知识的人协助鉴定。
  第四十条 电子数据鉴定机构应当在十四个工作日内完成鉴定,出具鉴定文书;法律法规另有规定或者情况特殊的,经鉴定机构负责人批准可以适当延长时间,但应当及时向鉴 定委托单位说明原因。   第四十一条 公安机关电子数据鉴定机构应当采取技术措施保证分析过程中对原始存储媒介和电子设备中的数据不作修改。如因特殊原因,分析过程可能修改原始存储媒介和电子 设备中的数据,公安机关电子数据鉴定机构应当制作《原始证据使用记录》。
  第四十二条 《原始证据使用记录》应当准确、真实地记录以下内容:
  (一)证物名称、编号;
  (二)使用起止时间;
  (三)使用的原因和目的;
  (四)实施的操作、操作的时间以及操作可能对原始数据造成的影响。
  《原始证据使用记录》应当由两名鉴定人员签名。
 
  第四十三条 电子数据鉴定机构在检验鉴定中发现有下列情形之一的,可以中止鉴定:
  (一)出现自身无法解决的技术难题;
  (二)必须补充的鉴定资料无法补充的;
  (三)鉴定委托单位要求中止鉴定的;
  (四)因不可抗力致使鉴定无法继续进行的。
  中止鉴定原因一旦消除,电子数据鉴定机构应当继续进行鉴定;确实无法鉴定的,电子数据鉴定机构应当将有关鉴定资料及时退还鉴定委托单位,并说明理由。
   第四十四条 鉴定结束后,公安机关电子数据鉴定机构应将鉴定报告连同送检物品一并退还送检单位。有研究价值,需要留做资料的,应征得送检单位同意,并商定留用的时限和 应当承担的保管、销毁责任。 对原已封存的原始存储媒介和电子设备,在退还时应当重新封存,并填写《封存电子证据清单》。
  第四十五条 鉴定完毕后,应当将鉴定过程中制作的《封存电子证据清单》、《原始证据使用记录》的复印件统一装订形成《原始证据使用、封存记录》,加盖骑缝章,并交送检方存档备查。
第九章 鉴定文书
  第四十六条 鉴定完毕后,鉴定人应当制作《电子数据鉴定书》。
  《电子数据鉴定书》一式三份,一份交委托鉴定单位,另两份存档。
  第四十七条 电子数据鉴定能够作出明确结论的,《电子数据鉴定书》应当写明鉴定结论;因鉴定条件不足或者其他原因无法作出明确结论的,《电子数据鉴定书》可出具鉴定意见。
 
  第四十八条 《电子数据鉴定书》应当包含以下内容:
  (一)委托单位、委托人、送检时间;
  (二)案由、鉴定要求;
  (三)论证报告;
  (四)鉴定结论或鉴定意见;
  (五)《受理鉴定检材清单》;
  (六)《提取电子证据清单》。
  (七)鉴定过程中生成的照片、文档、图表等其它材料。
  第四十九条 论证报告应当解释形成鉴定结论、鉴定意见的依据。对于无需论证的鉴定结论、鉴定意见可以省略论证报告。
   第五十条 在鉴定结论、鉴定意见和论证报告中引用到的电子数据,应当以电子数据的形式提交作为鉴定报告的附件,并制作《提取电子证据清单》记录该电子数据的来源、提 取方法及其含义。  如果电子数据数量巨大,无法作为附件提交的,可以在《提取电子证据清单》中可以只注明该电子数据在原存储媒介中的存储位置。
  第五十一条 能够转换成书面材料并可以直观理解的电子数据应当转换为书面材料,作为鉴定报告的文本附件。
  第五十二条 鉴定过程中拍摄的照片应当编号并制作《照片记录表》。
  第五十三条 《电子数据鉴定书》至少应由两名鉴定人签名,并加盖鉴定专用章。《电子数据鉴定书》为两页以上的,应当在鉴定报告正面右侧中部加盖骑缝章。
 
  接到人民法院的出庭通知后,由签名盖章的鉴定人负责出庭作证。
第十章 附则
   
   
第五十四条 本规则颁布之前已经从事电子数据鉴定的公安机关和专业技术人员,应当依照本规则的有关规定,报公安部核准并申请公安机关电子数据鉴定机构资质和电子数据鉴定人资格。
  第五十五条 本规则自颁布之日起施行。