4.26.2005

Ministry of Public Security rules on computer crime scene investigation and electronic evidence forensics 公信安[2005]161号


计算机犯罪现场勘验与电子证据检查规则
公信安[2005]161

第一章 总则
 
  第一条 为规范计算机犯罪现场勘验与电子证据检查工作,确保现场勘验检查质量,根据《刑事诉讼法》、《公安机关办理刑事案件程序规定》、《公安部刑事案件现场勘查规则》,制定本规则。
  第二条 在本规则中,电子证据包括电子数据、存储媒介和电子设备。
  第三条 计算机犯罪现场勘验与电子证据检查包括:
  (一)现场勘验检查。是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。
  (二)远程勘验。是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
 
 (三)电子证据检查。是指检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。
  第四条 计算机犯罪现场勘验与电子证据检查的任务是,发现、固定、提取与犯罪相关的电子证据及其他证据,进行现场调查访问,制作和存储现场信息资料,判断案件性质,确定侦查方向和范围,为侦查破案提供线索和证据。
  第五条 计算机犯罪现场勘验与电子证据检查,应当严格遵守国家法律、法规的有关规定。不受其他任何单位、个人的干涉。
  第六条 执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能。
  第七条 计算机犯罪现场勘验与电子证据检查工作,应当以事实为依据,防止主观臆断,严禁弄虚作假。
                       
第二章 组织与指挥
 
  第八条 计算机犯罪现场勘验与电子证据检查,应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。必要时,可以指派或者聘请具有专门知识的人参加。
   第九条 对计算机犯罪现场进行勘验和对电子证据进行检查不得少于二人。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。公安司法人员不能充当见证人。电 子证据检查,应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施,办案人员应当予以配合。
 
  第十条 对计算机犯罪现场勘验与电子证据检查应当统一指挥,周密组织,明确分工,落实责任。
   第十一条 计算机犯罪现场勘验与电子证据检查的指挥员应当由具有计算机犯罪现场勘验与电子证据检查专业知识和组织指挥能力的人民警察担任。重大、特别重大案件的勘验 检查工作,指挥员由案发地公安机关负责人担任。必要时,上级公安机关可以直接组织指挥现场勘验和电子证据检查工作。
                  
第三章 电子证据的固定与封存
 
  第十二条 固定和封存电子证据的目的是保护电子证据的完整性、真实性和原始性。
  作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。
  第十三条 封存电子设备和存储媒介的方法是:
  (一)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。
  (二)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。
  第十四条 固定存储媒介和电子数据包括以下方式:
  (一)完整性校验方式。是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;
  (二)备份方式。是指复制、制作原始存储媒介的备份,并依照第十三条规定的方法封存原始存储媒介;
  (三)封存方式。对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照第十三条规定的方法封存原始存储媒介,并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。
                     
第四章 现场勘验检查
 
  第十五条 现场勘验检查程序包括:
  (一)保护现场;
  (二)收集证据;
  (三)提取、固定易丢失数据;
  (四)在线分析;
  (五)提取、固定证物。
  第十六条 对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带应当编号封存。
 
 第十七条 在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。
  第十八条 在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。
  第十九条 在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。除以下情形外,一般不得实施在线分析:
  (一)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;
  (二)情况特殊,不允许关闭电子设备或扣押电子设备的;
  (三)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。
  第二十条 易丢失数据提取和在线分析,应当依循以下原则:
  (一)不得将生成、提取的数据存储在原始存储媒介中。
  (二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。
  (三)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。
  第二十一条 现场勘验检查结束后,应当在及时制作《现场勘验检查工作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。
                       
第五章 远程勘验
 
  第二十二条 远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。
  第二十三条 应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。
  第二十四条 远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。
 
  第二十五条 通过 网络监听获取特定主机通信内容以提取电子证据时,应当遵循与远程勘验相同的规定。
                      
第六章 电子证据检查
 
  第二十六条 办案人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电子证据清单》的复印件,检查人员应当依照以下原则检查电子证据的完整性:
   
(一)对于以完整性校验方式保护的电子数据,检查人员应当核对其完整性校验值是否正确;  (二)对于以封存方式保护的电子设备或存储媒介,检查人员应当比对封存的照片与当前封存的状态是否一致;
   (三)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员应当在《电子证据检查笔录》中注明,并由送检人签名。
  第二十七条 电子证据检查包括:
  (一)检查、分析电子证据中包含的电子数据,提取与案件相关的电子证据。
  (二)检查、分析电子证据中包含的电子数据,制作《电子证据检查笔录》描述检查结论。
  第二十八条 从电子证据中提取电子数据,应当制作《提取电子数据清单》,记录该电子数据的来源和提取方法。
  第二十九条 复制、制作原始存储媒介的备份应当遵循以下原则:
  (一)复制并重新封存原始存储媒介。
  (二)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。
  (三)复制完成后应当依照第十三条规定重新封存原始存储媒介,并制作、填写《封存电子证据清单》。
  第三十条 除下列情形外,不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查:
  (一)情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;
  (二)已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介所存储的数据的;
  (三)因技术条件限制,无法复制原始存储媒介的。
 
  第三十一条 检查原始电子设备,或者因第三十条描述的原因,需要直接检查原始存储媒介的,应当遵循以下原则:
  (一)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像;
  (二)检查完毕后应当依照第十三条规定重新封存原始存储媒介和原始电子设备,并制作、填写《封存电子证据清单》。
  (三)应当制作《原始证据使用记录》,记录直接检查原始证据的原因和目的、实施的操作、对原始存储媒介和原始电子设备中存储的信息可能产生的影响,并由两名检查人员签名。
   第三十二条 电子证据检查结束后,应当及时制作《电子证据检查工作记录》。
  《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》等内容构成。
                    
第七章 勘验检查记录
 
  第三十三条 《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》应当加盖骑缝章后由至少两名勘验、检查人员签名。
  《现场勘验检查工作记录》应当由至少一名见证人签名。
  第三十四条 《现场勘验检查笔录》的内容一般包括:
  (一)基本情况。包括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、职务,见证人的姓名、住址等;
  (二)现场情形。包括现场的设备环境、网络结构、运行状态等;
  (三)勘查过程。包括勘查的基本情况,易丢失证据提取的过程、产生的数据,在线勘验、检查过程中实施的操作、对数据可能产生的影响、提取的数据,封存物品、固定证据的有关情况等;
  (四)勘查结果。包括提取物证的有关情况、勘查形成的结论以及发现的案件线索等。
  第三十五条《现场勘查照片记录表》应当记录该相片拍摄的内容、对象,并编号入卷。拍摄的照片可以是数码照片或光学照片。
  第三十六条 《远程勘验笔录》的内容一般包括:
  (一)基本情况。包括勘验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的对象,勘验的目的等;
  (二)勘验过程。包括勘验使用的工具,勘验的方法与步骤,提取和固定数据的方法等;
  (三)勘验结果。包括通过勘验发现的案件线索,目标系统的状况,目标网站的内容等。
  第三十七条 《电子证据检查笔录》的内容一般包括:
  (一)基本情况。包括检查的起止时间,指挥人员、勘验人员的姓名、职务,检查的对象,检查的目的等;
  (二)检查过程。包括检查过程使用的工具,检查的方法与步骤,提取数据的方法等;
  (三)检查结果。包括通过检查发现的案件线索,提取的信息内容等。
                     
第八章 附则
 
 第三十八条 对刑事案件现场勘验、检查应当遵循公安机关对刑事案件现场勘验、检查的有关规定。
  第三十九条 本规则自发布之日起施行。