·
為規範電子資料的收集提取和審查判斷, 提高刑事案件辦理品質, 根據《中華人民共和國刑事訴訟法》等有關法律規定, 結合司法實際, 制定本規定。
一、一般規定
第一條 電子資料是案件發生過程中形成的, 以數位化形式存儲、處理、傳輸的, 能夠證明案件事實的資料。
電子資料包括但不限於下列資訊、電子檔:
(二)手機短信、電子郵件、即時通信、通訊群組等網路應用服務的通信資訊;
(三)使用者註冊資訊、身份認證資訊、電子交易記錄、通信記錄、登錄日誌等資訊;
(四)文檔、圖片、音視頻、數位憑證、電腦程式等電子檔。
以數位化形式記載的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等證據, 不屬於電子資料。 確有必要的, 對相關證據的收集、提取、移送、審查, 可以參照適用本規定。
第二條 偵查機關應當遵守法定程式, 遵循有關技術標準, 全面、客觀、及時地收集、提取電子資料;人民檢察院、人民法院應當圍繞真實性、合法性、關聯性審查判斷電子資料。
第三條 人民法院、人民檢察院和公安機關有權依法向有關單位和個人收集、調取電子資料。 有關單位和個人應當如實提供。
第四條 電子資料涉及國家秘密、商業秘密、個人隱私的, 應當保密。
第五條 對作為證據使用的電子資料, 應當採取以下一種或者幾種方法保護電子資料的完整性:
(一)扣押、封存電子資料原始存儲介質;
(二)計算電子資料完整性校驗值;
(三)製作、封存電子資料備份;
(四)凍結電子資料;
(五)對收集、提取電子資料的相關活動進行錄影;
(六)其他保護電子資料完整性的方法。
第六條 初查過程中收集、提取的電子資料, 以及通過網路線上提取的電子資料, 可以作為證據使用。
二、電子資料的收集與提取
第七條 收集、提取電子資料, 應當由二名以上偵查人員進行。 取證方法應當符合相關技術標準。
第八條 收集、提取電子資料, 能夠扣押電子資料原始存儲介質的, 應當扣押、封存原始存儲介質, 並製作筆錄, 記錄原始存儲介質的封存狀態。
封存電子資料原始存儲介質, 應當保證在不解除封存狀態的情況下,
封存手機等具有無線通訊功能的存儲介質, 應當採取信號遮罩、信號阻斷或者切斷電源等措施。
第九條 具有下列情形之一, 無法扣押原始存儲介質的, 可以提取電子資料, 但應當在筆錄中注明不能扣押原始存儲介質的原因、原始存儲介質的存放地點或者電子資料的來源等情況, 並計算電子資料的完整性校驗值:
(一)原始存儲介質不便封存的;
(二)提取電腦記憶體資料、網路傳輸資料等不是存儲在存儲介質上的電子資料的;
(三)原始存儲介質位於境外的;
(四)其他無法扣押原始存儲介質的情形。
對於原始存儲介質位於境外或者遠端電腦資訊系統上的電子資料, 可以通過網路線上提取。
為進一步查明有關情況, 必要時, 可以對遠端電腦資訊系統進行網路遠端勘驗。 進行網路遠端勘驗, 需要採取技術偵查措施的, 應當依法經過嚴格的批准手續。
第十條 由於客觀原因無法或者不宜依據第八條、第九條的規定收集、提取電子資料的, 可以採取列印、拍照或者錄影等方式固定相關證據, 並在筆錄中說明原因。
第十一條 具有下列情形之一的, 經縣級以上公安機關負責人或者檢察長批准, 可以對電子資料進行凍結:
(一)資料量大, 無法或者不便提取的;
(二)提取時間長, 可能造成電子資料被篡改或者滅失的;
(三)通過網路應用可以更為直觀地展示電子資料的;
(四)其他需要凍結的情形。
第十二條 凍結電子資料, 應當製作協助凍結通知書, 注明凍結電子資料的網路應用帳號等資訊, 送交電子資料持有人、網路服務提供者或者有關部門協助辦理。 解除凍結的, 應當在三日內製作協助解除凍結通知書, 送交電子資料持有人、網路服務提供者或者有關部門協助辦理。
凍結電子資料, 應當採取以下一種或者幾種方法:
(一)計算電子資料的完整性校驗值;
(二)鎖定網路應用帳號;
(三)其他防止增加、刪除、修改電子資料的措施。
第十三條 調取電子資料, 應當製作調取證據通知書, 注明需要調取電子資料的相關資訊, 通知電子資料持有人、網路服務提供者或者有關部門執行。
第十四條 收集、提取電子資料,應當製作筆錄,記錄案由、物件、內容、收集、提取電子資料的時間、地點、方法、過程,並附電子資料清單,注明類別、檔案格式、完整性校驗值等,由偵查人員、電子資料持有人(提供人)簽名或者蓋章;電子資料持有人(提供人)無法簽名或者拒絕簽名的,應當在筆錄中注明,由見證人簽名或者蓋章。有條件的,應當對相關活動進行錄影。
第十五條 收集、提取電子資料,應當根據刑事訴訟法的規定,由符合條件的人員擔任見證人。由於客觀原因無法由符合條件的人員擔任見證人的,應當在筆錄中注明情況,並對相關活動進行錄影。
針對同一現場多個電腦資訊系統收集、提取電子資料的,可以由一名見證人見證。
第十六條 對扣押的原始存儲介質或者提取的電子資料,可以通過恢復、破解、統計、關聯、比對等方式進行檢查。必要時,可以進行偵查實驗。
電子資料檢查,應當對電子資料存儲介質拆封過程進行錄影,並將電子資料存儲介質通過防寫設備接入到檢查設備進行檢查;有條件的,應當製作電子資料備份,對備份進行檢查;無法使用防寫設備且無法製作備份的,應當注明原因,並對相關活動進行錄影。
電子資料檢查應當製作筆錄,注明檢查方法、過程和結果,由有關人員簽名或者蓋章。進行偵查實驗的,應當製作偵查實驗筆錄,注明偵查實驗的條件、經過和結果,由參加實驗的人員簽名或者蓋章。
第十七條 對電子資料涉及的專門性問題難以確定的,由司法鑒定機構出具鑒定意見,或者由公安部指定的機構出具報告。對於人民檢察院直接受理的案件,也可以由最高人民檢察院指定的機構出具報告。
具體辦法由公安部、最高人民檢察院分別制定。
三、電子資料的移送與展示
第十八條 收集、提取的原始存儲介質或者電子資料,應當以封存狀態隨案移送,並製作電子資料的備份一併移送。
對網頁、文檔、圖片等可以直接展示的電子資料,可以不隨案移送列印件;人民法院、人民檢察院因設備等條件限制無法直接展示電子資料的,偵查機關應當隨案移送列印件,或者附展示工具和展示方法說明。
對凍結的電子資料,應當移送被凍結電子資料的清單,注明類別、檔案格式、凍結主體、證據要點、相關網路應用帳號,並附查看工具和方法的說明。
第十九條 對侵入、非法控制電腦資訊系統的程式、工具以及電腦病毒等無法直接展示的電子資料,應當附電子資料屬性、功能等情況的說明。
對資料統計量、資料同一性等問題,偵查機關應當出具說明。
第二十條 公安機關報請人民檢察院審查批准逮捕犯罪嫌疑人,或者對偵查終結的案件移送人民檢察院審查起訴的,應當將電子資料等證據一併移送人民檢察院。人民檢察院在審查批准逮捕和審查起訴過程中發現應當移送的電子資料沒有移送或者移送的電子資料不符合相關要求的,應當通知公安機關補充移送或者進行補正。
對於提起公訴的案件,人民法院發現應當移送的電子資料沒有移送或者移送的電子資料不符合相關要求的,應當通知人民檢察院。
公安機關、人民檢察院應當自收到通知後三日內移送電子資料或者補充有關材料。
第二十一條 控辯雙方向法庭提交的電子資料需要展示的,可以根據電子資料的具體類型,借助多媒體設備出示、播放或者演示。必要時,可以聘請具有專門知識的人進行操作,並就相關技術問題作出說明。
四、電子資料的審查與判斷
第二十二條 對電子資料是否真實,應當著重審查以下內容:
(一)是否移送原始存儲介質;在原始存儲介質無法封存、不便移動時,有無說明原因,並注明收集、提取過程及原始存儲介質的存放地點或者電子資料的來源等情況;
(二)電子資料是否具有數位簽章、數位憑證等特殊標識;
(三)電子資料的收集、提取過程是否可以重現;
(四)電子資料如有增加、刪除、修改等情形的,是否附有說明;
(五)電子資料的完整性是否可以保證。
第二十三條 對電子資料是否完整,應當根據保護電子資料完整性的相應方法進行驗證:
(一)審查原始存儲介質的扣押、封存狀態;
(二)審查電子資料的收集、提取過程,查看錄影;
(三)比對電子資料完整性校驗值;
(四)與備份的電子資料進行比較;
(五)審查凍結後的訪問操作日誌;
(六)其他方法。
第二十四條 對收集、提取電子資料是否合法,應當著重審查以下內容:
(一)收集、提取電子資料是否由二名以上偵查人員進行,取證方法是否符合相關技術標準;
(二)收集、提取電子資料,是否附有筆錄、清單,並經偵查人員、電子資料持有人(提供人)、見證人簽名或者蓋章;沒有持有人(提供人)簽名或者蓋章的,是否注明原因;對電子資料的類別、檔案格式等是否注明清楚;
(三)是否依照有關規定由符合條件的人員擔任見證人,是否對相關活動進行錄影;
(四)電子資料檢查是否將電子資料存儲介質通過防寫設備接入到檢查設備;有條件的,是否製作電子資料備份,並對備份進行檢查;無法製作備份且無法使用防寫設備的,是否附有錄影。
第二十五條 認定犯罪嫌疑人、被告人的網路身份與現實身份的同一性,可以通過核查相關IP位址、網路活動記錄、上網終端歸屬、相關證人證言以及犯罪嫌疑人、被告人供述和辯解等進行綜合判斷。
認定犯罪嫌疑人、被告人與存儲介質的關聯性,可以通過核查相關證人證言以及犯罪嫌疑人、被告人供述和辯解等進行綜合判斷。
第二十六條 公訴人、當事人或者辯護人、訴訟代理人對電子資料鑒定意見有異議,可以申請人民法院通知鑒定人出庭作證。人民法院認為鑒定人有必要出庭的,鑒定人應當出庭作證。
經人民法院通知,鑒定人拒不出庭作證的,鑒定意見不得作為定案的根據。對沒有正當理由拒不出庭作證的鑒定人,人民法院應當通報司法行政機關或者有關部門。
公訴人、當事人或者辯護人、訴訟代理人可以申請法庭通知有專門知識的人出庭,就鑒定意見提出意見。
對電子資料涉及的專門性問題的報告,參照適用前三款規定。
第二十七條 電子資料的收集、提取程式有下列瑕疵,經補正或者作出合理解釋的,可以採用;不能補正或者作出合理解釋的,不得作為定案的根據:
(一)未以封存狀態移送的;
(二)筆錄或者清單上沒有偵查人員、電子資料持有人(提供人)、見證人簽名或者蓋章的;
(三)對電子資料的名稱、類別、格式等注明不清的;
(四)有其他瑕疵的。
第二十八條 電子資料具有下列情形之一的,不得作為定案的根據:
(一)電子資料系篡改、偽造或者無法確定真偽的;
(二)電子資料有增加、刪除、修改等情形,影響電子資料真實性的;
(三)其他無法保證電子資料真實性的情形。
五、附 則
第二十九條 本規定中下列用語的含義:
(一)存儲介質,是指具備資料資訊存儲功能的電子設備、硬碟、光碟、優盤、記憶棒、存儲卡、存儲晶片等載體。
(二)完整性校驗值,是指為防止電子資料被篡改或者破壞,使用散列演算法等特定演算法對電子資料進行計算,得出的用於校驗資料完整性的資料值。
(三)網路遠端勘驗,是指通過網路對遠端電腦資訊系統實施勘驗,發現、提取與犯罪有關的電子資料,記錄電腦資訊系統狀態,判斷案件性質,分析犯罪過程,確定偵查方向和範圍,為偵查破案、刑事訴訟提供線索和證據的偵查活動。
(四)數位簽章,是指利用特定演算法對電子資料進行計算,得出的用於驗證電子資料來源和完整性的資料值。
(五)數位憑證,是指包含數位簽章並對電子資料來源、完整性進行認證的電子檔。
(六)訪問操作日誌,是指為審查電子資料是否被增加、刪除或者修改,由電腦資訊系統自動生成的對電子資料訪問、操作情況的詳細記錄。
第三十條 本規定自2016年10月1日起施行。之前發佈的規範性檔與本規定不一致的,以本規定為准。
第十四條 收集、提取電子資料,應當製作筆錄,記錄案由、物件、內容、收集、提取電子資料的時間、地點、方法、過程,並附電子資料清單,注明類別、檔案格式、完整性校驗值等,由偵查人員、電子資料持有人(提供人)簽名或者蓋章;電子資料持有人(提供人)無法簽名或者拒絕簽名的,應當在筆錄中注明,由見證人簽名或者蓋章。有條件的,應當對相關活動進行錄影。
第十五條 收集、提取電子資料,應當根據刑事訴訟法的規定,由符合條件的人員擔任見證人。由於客觀原因無法由符合條件的人員擔任見證人的,應當在筆錄中注明情況,並對相關活動進行錄影。
針對同一現場多個電腦資訊系統收集、提取電子資料的,可以由一名見證人見證。
第十六條 對扣押的原始存儲介質或者提取的電子資料,可以通過恢復、破解、統計、關聯、比對等方式進行檢查。必要時,可以進行偵查實驗。
電子資料檢查,應當對電子資料存儲介質拆封過程進行錄影,並將電子資料存儲介質通過防寫設備接入到檢查設備進行檢查;有條件的,應當製作電子資料備份,對備份進行檢查;無法使用防寫設備且無法製作備份的,應當注明原因,並對相關活動進行錄影。
電子資料檢查應當製作筆錄,注明檢查方法、過程和結果,由有關人員簽名或者蓋章。進行偵查實驗的,應當製作偵查實驗筆錄,注明偵查實驗的條件、經過和結果,由參加實驗的人員簽名或者蓋章。
第十七條 對電子資料涉及的專門性問題難以確定的,由司法鑒定機構出具鑒定意見,或者由公安部指定的機構出具報告。對於人民檢察院直接受理的案件,也可以由最高人民檢察院指定的機構出具報告。
具體辦法由公安部、最高人民檢察院分別制定。
三、電子資料的移送與展示
第十八條 收集、提取的原始存儲介質或者電子資料,應當以封存狀態隨案移送,並製作電子資料的備份一併移送。
對網頁、文檔、圖片等可以直接展示的電子資料,可以不隨案移送列印件;人民法院、人民檢察院因設備等條件限制無法直接展示電子資料的,偵查機關應當隨案移送列印件,或者附展示工具和展示方法說明。
對凍結的電子資料,應當移送被凍結電子資料的清單,注明類別、檔案格式、凍結主體、證據要點、相關網路應用帳號,並附查看工具和方法的說明。
第十九條 對侵入、非法控制電腦資訊系統的程式、工具以及電腦病毒等無法直接展示的電子資料,應當附電子資料屬性、功能等情況的說明。
對資料統計量、資料同一性等問題,偵查機關應當出具說明。
第二十條 公安機關報請人民檢察院審查批准逮捕犯罪嫌疑人,或者對偵查終結的案件移送人民檢察院審查起訴的,應當將電子資料等證據一併移送人民檢察院。人民檢察院在審查批准逮捕和審查起訴過程中發現應當移送的電子資料沒有移送或者移送的電子資料不符合相關要求的,應當通知公安機關補充移送或者進行補正。
對於提起公訴的案件,人民法院發現應當移送的電子資料沒有移送或者移送的電子資料不符合相關要求的,應當通知人民檢察院。
公安機關、人民檢察院應當自收到通知後三日內移送電子資料或者補充有關材料。
第二十一條 控辯雙方向法庭提交的電子資料需要展示的,可以根據電子資料的具體類型,借助多媒體設備出示、播放或者演示。必要時,可以聘請具有專門知識的人進行操作,並就相關技術問題作出說明。
四、電子資料的審查與判斷
第二十二條 對電子資料是否真實,應當著重審查以下內容:
(一)是否移送原始存儲介質;在原始存儲介質無法封存、不便移動時,有無說明原因,並注明收集、提取過程及原始存儲介質的存放地點或者電子資料的來源等情況;
(二)電子資料是否具有數位簽章、數位憑證等特殊標識;
(三)電子資料的收集、提取過程是否可以重現;
(四)電子資料如有增加、刪除、修改等情形的,是否附有說明;
(五)電子資料的完整性是否可以保證。
第二十三條 對電子資料是否完整,應當根據保護電子資料完整性的相應方法進行驗證:
(一)審查原始存儲介質的扣押、封存狀態;
(二)審查電子資料的收集、提取過程,查看錄影;
(三)比對電子資料完整性校驗值;
(四)與備份的電子資料進行比較;
(五)審查凍結後的訪問操作日誌;
(六)其他方法。
第二十四條 對收集、提取電子資料是否合法,應當著重審查以下內容:
(一)收集、提取電子資料是否由二名以上偵查人員進行,取證方法是否符合相關技術標準;
(二)收集、提取電子資料,是否附有筆錄、清單,並經偵查人員、電子資料持有人(提供人)、見證人簽名或者蓋章;沒有持有人(提供人)簽名或者蓋章的,是否注明原因;對電子資料的類別、檔案格式等是否注明清楚;
(三)是否依照有關規定由符合條件的人員擔任見證人,是否對相關活動進行錄影;
(四)電子資料檢查是否將電子資料存儲介質通過防寫設備接入到檢查設備;有條件的,是否製作電子資料備份,並對備份進行檢查;無法製作備份且無法使用防寫設備的,是否附有錄影。
第二十五條 認定犯罪嫌疑人、被告人的網路身份與現實身份的同一性,可以通過核查相關IP位址、網路活動記錄、上網終端歸屬、相關證人證言以及犯罪嫌疑人、被告人供述和辯解等進行綜合判斷。
認定犯罪嫌疑人、被告人與存儲介質的關聯性,可以通過核查相關證人證言以及犯罪嫌疑人、被告人供述和辯解等進行綜合判斷。
第二十六條 公訴人、當事人或者辯護人、訴訟代理人對電子資料鑒定意見有異議,可以申請人民法院通知鑒定人出庭作證。人民法院認為鑒定人有必要出庭的,鑒定人應當出庭作證。
經人民法院通知,鑒定人拒不出庭作證的,鑒定意見不得作為定案的根據。對沒有正當理由拒不出庭作證的鑒定人,人民法院應當通報司法行政機關或者有關部門。
公訴人、當事人或者辯護人、訴訟代理人可以申請法庭通知有專門知識的人出庭,就鑒定意見提出意見。
對電子資料涉及的專門性問題的報告,參照適用前三款規定。
第二十七條 電子資料的收集、提取程式有下列瑕疵,經補正或者作出合理解釋的,可以採用;不能補正或者作出合理解釋的,不得作為定案的根據:
(一)未以封存狀態移送的;
(二)筆錄或者清單上沒有偵查人員、電子資料持有人(提供人)、見證人簽名或者蓋章的;
(三)對電子資料的名稱、類別、格式等注明不清的;
(四)有其他瑕疵的。
第二十八條 電子資料具有下列情形之一的,不得作為定案的根據:
(一)電子資料系篡改、偽造或者無法確定真偽的;
(二)電子資料有增加、刪除、修改等情形,影響電子資料真實性的;
(三)其他無法保證電子資料真實性的情形。
五、附 則
第二十九條 本規定中下列用語的含義:
(一)存儲介質,是指具備資料資訊存儲功能的電子設備、硬碟、光碟、優盤、記憶棒、存儲卡、存儲晶片等載體。
(二)完整性校驗值,是指為防止電子資料被篡改或者破壞,使用散列演算法等特定演算法對電子資料進行計算,得出的用於校驗資料完整性的資料值。
(三)網路遠端勘驗,是指通過網路對遠端電腦資訊系統實施勘驗,發現、提取與犯罪有關的電子資料,記錄電腦資訊系統狀態,判斷案件性質,分析犯罪過程,確定偵查方向和範圍,為偵查破案、刑事訴訟提供線索和證據的偵查活動。
(四)數位簽章,是指利用特定演算法對電子資料進行計算,得出的用於驗證電子資料來源和完整性的資料值。
(五)數位憑證,是指包含數位簽章並對電子資料來源、完整性進行認證的電子檔。
(六)訪問操作日誌,是指為審查電子資料是否被增加、刪除或者修改,由電腦資訊系統自動生成的對電子資料訪問、操作情況的詳細記錄。
第三十條 本規定自2016年10月1日起施行。之前發佈的規範性檔與本規定不一致的,以本規定為准。