电子数据取证办案速查手册
国家市场监管总局关于印发《市场监督管理行政执法电子数据取证暂行规定》的通知
国家市场监管总局关于印发《市场监督管理行政执法电子数据取证暂行规定》的通知文章属性•【制定机关】国家市场监督管理总局•【公布日期】2024.04.07•【文号】国市监稽规〔2024〕4号•【施行日期】2024.04.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】市场规范管理正文市场监管总局关于印发《市场监督管理行政执法电子数据取证暂行规定》的通知国市监稽规〔2024〕4号各省、自治区、直辖市和新疆生产建设兵团市场监管局(厅、委),总局各司局、各直属单位:《市场监督管理行政执法电子数据取证暂行规定》已经2024年4月1日市场监管总局第10次局务会议通过,现印发给你们,请认真贯彻执行。
市场监管总局2024年4月7日市场监督管理行政执法电子数据取证暂行规定目录第一章总则第二章电子数据取证一般规定第三章查封、扣押原始存储介质第四章现场提取电子数据第五章网络在线提取电子数据第六章电子数据的检查分析第七章电子数据证据的存储第八章附则第一章总则第一条为了规范市场监督管理行政执法电子数据取证工作,提升执法人员电子数据取证能力,提高行政执法效能,根据《中华人民共和国行政处罚法》《中华人民共和国行政强制法》《市场监督管理行政处罚程序规定》等有关规定,制定本规定。
第二条市场监督管理部门及其执法人员在行政执法过程中围绕电子数据的收集提取、查封扣押、检查分析、证据存储等活动,适用本规定。
第三条市场监督管理部门及其执法人员应当遵守法定程序,遵循有关技术标准,全面、客观、及时收集、提取涉案电子数据,确保电子数据的真实、合法。
电子数据作为证据使用时,应当符合证据的合法性、真实性、关联性要求。
第四条市场监督管理部门依法向有关单位或个人收集提取电子数据,有关单位或个人应当如实提供。
执法人员对履行职责过程中知悉的国家秘密、商业秘密、个人隐私应当依法保密。
第五条市场监督管理部门接收或依法调取的其他国家机关收集、提取的与案件相关的电子数据,经查证属实可以作为行政执法案件的证据使用。
电子数据取证规则
电子数据取证规则近年来,因计算机技术的发展,电子数据在法律调查和诉讼中发挥着重要作用。
随着计算机技术的发展,人们越来越多地使用电子数据来储存信息,而电子数据取证技术也相应地得到了发展,成为司法机构不可缺少的一种技术工具。
一、定义电子数据取证是指由专业的取证人员运用专业的方法和技术,从电脑系统,存储设备,数据库或其它电子数据存储媒介上检索并取得案件有关以及重要线索的信息,以便数据分析或司法证明,在鉴定过程中提取、加工、存储等过程。
二、步骤电子数据取证通常是步骤较复杂并且耗时较长的过程,它分为三个步骤:1.取证准备:取证前,要进行严格的熟悉计算机环境、了解案件情况、准备取证器材、准备取证文件等;2.取证采集:在取证器材的帮助下,将案件当事人或者相关人员的磁盘或其它存储设备中的相关电子数据文件进行采集;3.取证处理:将取证采集的文件进行处理,对文件使用MD5等算法进行数字指纹校验,以便得到更可靠的证据;三、技术要求电子数据取证所需要技术要求有:1.备计算机系统安全知识,能够审查操作系统中的配置文件;2.悉计算机网络工作原理,能够审查网络系统配置文件;3.握外部设备、储存设备取证技术,能够审查外部设备中的数据;4.握电子数据分析的技术,能够分析电子数据文件;5.悉数字指纹算法,掌握数字指纹证据与案件信息的关联性;四、技术保护由于现在可以使用电子数据以及网络,因此,要保证电子数据取证质量,首先要采取有效的技术保护措施,确保取证过程中的数据完整、真实可靠。
1.强存储设备的保护措施:电子数据取证过程中,要求存储设备运行稳定,只有存储设备运行正常,才能保证取证的质量,因此,应该加强对存储设备的保护;2.强计算机系统安全:电子数据取证过程中,为了防止恶意破坏或攻击,应加强有关政策和规定,强化计算机系统安全;3.强取证技术:取证技术不断发展,应与时俱进,研究新的取证技术,开发新的取证工具,以提高现有的取证方法;4. 保护被取证的人的信息:电子数据取证过程中,除了取证必要的信息外,应当保护被取证的人的信息不被滥用;五、总结电子数据取证虽然过程复杂,但是十分重要。
电子数据侦查取证程序
在搜查过程中,采取措施保护搜查到的电子数据,确保其完整性和 真实性。
扣押阶段
扣押电子数据
01
在搜查阶段结束后,对需要扣押的电子数据进行扣押,并制作
扣押清单。
存储电子数据
02
将扣押的电子数据存储在安全的地方,确保其不被篡改或丢失
。
对扣押物品进行标识
03
对扣押的电子设备或存储介质进行标识,并确保其安全存放。
06
电子数据侦查的未来展望与建 议
加强技术研发与应用
继续研发高效的电子数据取证技术
随着电子数据的种类和数量不断增加,需要进一步研发高效的电子数据取证技术,包括 数据挖掘、机器学习和大数据分析等技术。
推广应用智能辅助办案系统
通过人工智能技术,开发智能辅助办案系统,可以帮助侦查人员快速、准确地获取和分 析电子数据,提高办案效率。
案例四:网络传销案件的侦查
总结词
网络传销案件的侦查需要全面调查、重点打击,同时加强宣 传教育和综合治理。
详细描述
在侦查网络传销案件时,应全面调查、重点打击。通过勘验 、检查和鉴定等手段收集涉案证据,并依法追究相关人员的 法律责任。同时,需要加强宣传教育和综合治理工作,提高 公众对传销的识别能力和防范意识。
ห้องสมุดไป่ตู้
数字取证技术
数字痕迹收集
数据恢复技术
通过收集计算机系统中的数字痕迹, 如文件属性、系统日志等,可以推断 出发生过的事件。
通过数据恢复技术,可以恢复被删除 或格式化的数据,如聊天记录、邮件 等。
图像处理技术
通过对图像进行处理和分析,可以提 取出有用的信息,如时间戳、地理位 置等。
加密与解密技术
对称加密技术
分析阶段
电子取证流程与基本原则
电子取证流程与基本原则电子取证是指在刑事调查和诉讼中,通过技术手段获取、保护和分析与犯罪行为相关的电子证据。
电子取证的流程和基本原则对于确保证据的合法性、完整性和可靠性至关重要。
以下是电子取证的基本流程和原则。
电子取证的基本流程:1.调查前准备:在进行电子取证之前,调查人员需要进行调查前准备工作。
这包括明确调查目标、确定需要获取的电子证据类型、制定调查计划、筹备取证工具和设备等。
2.取证措施:取证措施通常包括电子设备的拷贝、备份、封存和保护等。
调查人员需要确保在取证过程中不会对原始数据造成任何破坏或篡改,以保证证据的可靠性。
3.电子证据获取:电子证据的获取是电子取证的核心环节。
调查人员通过技术手段,如数据恢复、计算机取证、网络取证、移动设备取证等,获取与案件相关的电子证据。
在取证过程中,需要遵守相关法律法规,确保证据的合法性。
4.电子证据分析:对于获取的电子证据,调查人员需要进行分析和鉴定。
这包括对电子证据的搜集、索引、过滤、关联和逻辑分析等,以提取有价值的信息和证据。
5.电子证据报告:在电子取证的最后阶段,调查人员需要将分析得出的电子证据整理成报告。
报告应包括所获取的证据、分析过程、鉴定结论等,并遵守相关法律程序,以支持后续的诉讼或调查活动。
电子取证的基本原则:1.合法原则:在电子取证过程中,必须遵守相关法律法规,并获得相关许可。
例如,调查人员需要获得令或授权才能进行电子设备的和取证活动。
2.真实性原则:电子证据的真实性是电子取证的核心要求。
调查人员需要确保所获取的电子证据是原始、完整和未经篡改的。
为了维护证据的真实性,应采取严格的取证和保管措施,并避免任何可能对证据造成破坏或篡改的操作。
3.完整性原则:电子证据的完整性是指在取证过程中不应有任何遗漏或缺失。
调查人员需要全面搜集与案件相关的电子证据,并确保证据的完整性。
任何取证过程中的遗漏或删除都可能影响到案件的审理和判决结果。
4.可靠性原则:电子证据的可靠性是指证据能够准确地反映案件的真相。
电子证据收集与保全操作说明书
电子证据收集与保全操作说明书一、背景介绍随着现代科技的迅猛发展,电子证据在法律交涉中的重要性也逐渐凸显。
为了保证电子证据的合法性和可靠性,我们需要进行正确的电子证据收集与保全操作。
本操作说明书旨在为相关人员提供详细的操作指南,确保电子证据的收集与保全过程正确、完整、可靠。
二、收集前准备工作1.明确目标:在开始收集电子证据之前,必须明确所需证据的种类、内容和关键信息。
2.制定计划:根据目标确定收集方案和时间安排,并明确相关人员的职责和权限。
3.确保设备完好:检查收集设备,包括计算机、移动设备以及存储介质等,确保正常运行并充足电量。
三、电子证据收集操作步骤1.识别证据:根据目标,确定需要收集的证据类型,例如电子邮件、文档、短信、社交媒体帖子等。
2.采用合适的方法:根据不同的证据类型和来源选择合适的收集方法,如抓取、备份、截屏等。
3.规范操作流程:对于不同的收集方法,制定详细的操作流程,包括打开软件、输入命令、选择目标文件等操作步骤。
4.确保完整性:在进行电子证据收集过程中,必须确保所有相关证据内容的完整性,避免任何操作对证据造成损坏或篡改。
5.确保可追溯性:记录所有收集操作的详细信息,包括时间、地点、人员、操作步骤等,以便后续审查和验证。
四、电子证据保全操作步骤1.存储介质选择:根据证据量和类型选择合适的存储介质,如外部硬盘、云存储等,并确保存储介质的可靠性和安全性。
2.制定存储方案:建立统一的存储方案,包括目录结构、文件命名规范等,便于后续查找和管理。
3.备份原始数据:对于所收集到的原始数据,必须进行备份保留,防止数据丢失或损坏。
4.离线存储:将备份的电子证据存储在离线介质中,与网络隔离,避免被篡改或丢失。
5.访问权限控制:对存储的电子证据进行访问权限控制,确保只有经过授权的人员可以查看和处理。
6.加密与解密:对于特别敏感的电子证据,采用加密措施确保数据安全,并建立解密机制以便合法解密获取证据。
五、注意事项1.依法操作:在进行电子证据收集和保全过程中,务必严格遵守相关法律法规,不得越权操作或非法侵入他人系统。
电子证据取证技术手册
电子证据取证技术手册在当今信息化时代,电子证据取证成为了刑事侦查和民事诉讼中不可或缺的一环。
本手册旨在介绍电子证据取证的基本原理、方法和技术,帮助读者了解和掌握相关的知识,提高电子证据取证的效率和准确性。
第一章前言随着互联网和信息技术的迅猛发展,电子数据成为了我们日常生活中不可或缺的一部分。
然而,电子数据的特殊性使得它们容易被篡改、删除或伪造,这就给电子证据的取证工作带来了巨大的挑战。
为了确保司法公正和证据的真实性,电子证据取证技术应运而生。
第二章电子证据取证的基本原理2.1 数字取证的概念与特点电子证据取证是指通过科学的手段获取电子数据,并确保其完整性和可信度的过程。
与传统的物理证据不同,电子证据具有易丢失、易篡改、易删除等特点,在取证过程中需要特殊的技术手段来保证其完整性。
2.2 电子证据的分类根据电子证据的来源和形式,我们将其分为主动电子证据和被动电子证据。
主动电子证据是指用户主动产生的电子数据,例如电子邮件、聊天记录等。
被动电子证据是指用户在使用电子设备时留下的痕迹,例如操作系统日志、磁盘镜像等。
2.3 电子证据取证的基本原则电子证据取证需要遵循一些基本原则,包括合法性原则、可靠性原则、完整性原则和可追溯性原则。
只有遵循这些原则,才能保证取证过程的合法性和证据的可信度。
第三章电子证据取证的基本方法3.1 采集电子证据的采集是取证过程中最关键的一步。
我们可以通过网络监控、镜像磁盘、数据恢复等手段采集电子证据。
在采集过程中,需要注意保护证据的完整性和可靠性,避免对证据造成任何损坏或篡改。
3.2 鉴定电子证据的鉴定是判断证据的真实性和有效性的过程。
通过分析和解读电子证据,可以确定证据的来源、内容和关联关系。
在鉴定过程中,需要运用各种技术手段,如数据恢复、数据分析等。
3.3 提取电子证据的提取是将采集到的证据从原始数据中提取出来的过程。
提取后的证据需要保存在安全的环境中,并确保其可阅读和可搜索。
检察办案中的电子数据及其取证实务
检察办案中的电子数据及其取证实务作者:刘政来源:《中国检察官·司法务实》2017年第05期信息技术的飞速发展及计算机网络技术的应用,丰富了我们的生活,也影响了社会的政治、经济和文化的发展。
伴随着这些便利,电子数据也越来越多的出现在了当今的检察工作中、出现在法律监督工作中。
与传统证据不同,信息技术与网络技术的普遍应用,使得电子数据变得隐蔽与智能化。
检察机关在办案过程中,遇到电子数据取证以及检验鑒定的案件越来越多。
笔者2009年开始从事电子数据取证及检验鉴定工作,历案数百余,对电子数据现场勘验、介质扣押以及实验室检验有些心得。
下面将就电子数据的定义、种类、属性以及检察机关办案中电子取证实务等方面做以介绍。
一、电子数据与电子数据取证的定义(一)电子数据的定义2013年之前,在我国电子数据不论从学理上还是法律上都没有统一的定义。
其中检察机关对电子证据的定义见于2009年4月3日最高人民检察院下发的《人民检察院电子证据鉴定程序规则(试行)》。
其中给出了如下定义:“电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。
”一段时间之内,检察机关办案过程中遇到由信息技术应用而产生的证据被定义为电子证据。
2013年正式实施的《刑事诉讼法》第48条将“电子数据”首次纳入法定证据,与视听资料同列为第八种刑事诉讼证据。
从此之后电子数据作为证据种类之一具备了它的法律地位。
2016年10月1日最高人民法院、最高人民检察院、公安部(以下简称“两高一部”)共同颁布施行的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《规定》)第1条中对电子数据进行了明确的定义,即电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
(二)电子数据的种类电子数据的种类非常多,分类标准也非常多,如果从办案取证工作角度来分,我们感兴趣的是用户个人行为生成的各类数据。
在电子侦查中使用数字取证技术的注意事项
在电子侦查中使用数字取证技术的注意事项随着科技的不断发展,数字取证技术在刑事侦查中的应用越来越普遍。
数字取证技术是指通过对电子设备和数字数据进行收集、分析、保护和呈现,以获取证据来支持调查、取证和诉讼的过程。
然而,在使用数字取证技术进行电子侦查时,侦查人员需要注意一些重要事项,以确保取证的准确性、合法性和可靠性。
首先,在进行数字取证之前,侦查人员需要确保取证过程的合法性。
侦查人员应了解和遵守适用的法律法规,并仅在合法授权的情况下进行数字取证。
对于包含个人隐私信息的设备或数据,必须获得相应的授权或搜索令才能进行取证。
任何违反隐私权的操作都是不允许的。
其次,在进行数字取证时,侦查人员需要确保取证过程的可靠性和可追溯性。
侦查人员应采取正确的取证方法和工具,确保所有数据的完整性和准确性,以避免数据篡改和丢失。
将取证过程进行详尽的记录和文档化,包括取证时间、地点、参与者、方法和所采用的工具等信息,以便在需要时供法庭和其他相关方查阅和核实。
第三,保护取证过程中的数据安全是非常重要的。
侦查人员应使用安全的设备和网络来收集、存储和传输取证数据,以防止数据泄露或被黑客攻击。
同时,采取必要的措施来保护取证设备的安全性,例如加密存储设备、限制物理访问和安装防病毒软件等。
对于涉及敏感信息的案件,应采取额外的安全措施来确保数据不会被未经授权的人员访问和使用。
此外,对于数字取证中所收集到的数据,侦查人员应进行有效的分析和解释。
这需要专业技术人员具备扎实的计算机科学知识和取证技术,能够理解和解释被取证数据的意义和价值。
同时,取证人员还需要具备良好的报告写作能力,能够将分析结果清晰、准确地表达出来。
最后,侦查人员在进行数字取证时也需注意对所涉及的证据和信息进行保密。
侦查人员应遵守相关机构的保密要求,并采取措施防止泄露取证过程和取证结果的敏感信息。
在案件调查期间,保持与其他调查人员和律师的合作和沟通,以确保取证工作的顺利进行。
综上所述,数字取证技术在电子侦查中的应用已经成为一种重要的手段。
商业诈骗案件中的电子数据取证与分析方法
商业诈骗案件中的电子数据取证与分析方法随着互联网的不断发展和商业活动的数字化,商业诈骗案件也呈现出日益复杂的趋势。
在处理此类案件时,有效的电子数据取证与分析方法成为了关键。
本文将就商业诈骗案件中的电子数据取证与分析方法进行探讨。
一、概述随着电子技术的不断进步,电子数据已成为商业活动中不可或缺的一部分。
在商业诈骗案件中,犯罪分子往往通过电子渠道实施作案,并留下大量的电子数据。
因此,对于电子数据的取证与分析成为了破案的关键环节。
二、电子数据取证电子数据取证是指通过指定的取证工具和技术手段,从涉案电子设备中提取并保留相关证据的过程。
在商业诈骗案件中,采取以下步骤进行电子数据取证:1. 设定目标:根据案件具体情况,确定需要取证的设备和存储介质。
2. 获取授权:在取证过程中,确保获取相应的授权凭证和手续。
3. 采取措施:使用专业的取证工具,对涉案设备进行物理取证或逻辑取证。
4. 保证完整性:在取证过程中,要确保证据的完整性和可靠性,避免任何可能导致证据被篡改或损坏的情况发生。
5. 文档记录:取证过程中应详细记录每个步骤和操作,包括时间、地点、人员等信息,以确保取证过程的可追溯性和可信度。
三、电子数据分析在商业诈骗案件中,电子数据的分析是获取证据并揭示犯罪嫌疑人的关键环节。
以下是常用的电子数据分析方法:1. 数据筛选:通过筛选和过滤大量的电子数据,找出与案件相关的关键信息。
2. 数据关联:将不同来源的电子数据进行关联,发现数据之间的关系和规律。
3. 社交网络分析:通过分析犯罪嫌疑人在社交媒体和通讯工具上的活动,揭示其与其他嫌疑人之间的联系和行为模式。
4. 时间线分析:根据电子数据的时间戳和元数据,绘制时间线,还原案件发生的经过和顺序。
5. 数据可视化:通过将电子数据以图表或图像的形式展示,使得数据更加直观,便于分析人员发现隐藏的信息和线索。
四、数据保护与隐私在进行电子数据取证和分析的过程中,必须充分尊重和保护被取证方的隐私权利。
电子取证侦查流程案例
电子取证侦查流程案例一、电子取证侦查的重要性。
1.1 在当今这个数字化的时代,电子设备无处不在。
手机、电脑等就像一个个装满秘密的小盒子。
电子取证侦查呢,就像是打开这些小盒子的神奇钥匙。
不管是刑事案件,还是民事纠纷,电子证据往往能起到一锤定音的关键作用。
这就好比是战场上的秘密武器,有时候比传统证据更有说服力。
1.2 你想想啊,如果一个犯罪分子通过网络实施诈骗,要是没有电子取证侦查,那他可能就逍遥法外了。
这就如同让老鼠在眼皮子底下溜走,让人不甘心呐。
所以说,这电子取证侦查可是维护公平正义的得力助手。
二、电子取证侦查的流程。
2.1 证据的收集。
首先呢,得确定证据来源。
这就像是在寻宝前先确定宝藏的大致方位。
比如说涉及网络犯罪,那就要从服务器、网站这些地方去找线索。
要是涉及手机犯罪,那就得把手机当作重点目标。
这个过程就像大海捞针一样,得小心翼翼、仔仔细细的,不能放过任何蛛丝马迹。
2.2 证据的保全。
找到证据后,可不能掉以轻心。
这就好比抓到了鱼,得好好养着,不能让它死了。
要通过合法的手段,使用专业的设备和软件,把证据完好无损地保存下来。
这一步要是出了差错,那前面的努力可就白费了,就像竹篮打水一场空。
2.3 证据的分析。
接下来就是分析证据啦。
这可不像看小说那么简单。
得有专业的知识和技能。
要从海量的数据中找出有用的信息,就像是从沙子里淘出金子。
有时候数据被加密了,那还得像解开九连环一样,找到破解的方法。
这个过程需要耐心,急不得,不然就会欲速则不达。
三、案例分析。
3.1 就拿之前一个网络盗窃案来说吧。
受害者发现自己的网上银行账户被盗取了大量资金。
侦查人员首先确定了证据来源是受害者的电脑和相关的银行服务器。
他们在受害者电脑里发现了一些可疑的软件安装记录,这就像发现了小偷留下的脚印。
3.2 然后呢,他们小心翼翼地把这些证据保全起来。
之后在分析这些证据的时候,通过技术手段追踪到了这些可疑软件背后的IP地址,顺藤摸瓜找到了犯罪嫌疑人的位置。
电子数据取证办案速查手册
电子数据取证办案速查手册第一章速查手册概述计算机取证是一门发展非常迅速的学科,时代需要一批能不断吸收最新的知识,掌握最新的技能,使用最新的工具,不断提高自身素质的网络精英,来应对同样在飞速进步的高科技犯罪分子。
为电子数据取证与勘察过程中提供一本速查手册,协助办案人员快速查询一些细节性的易遗忘的知识点,这是这本手册设计的初衷。
第二章计算机犯罪现场勘察指南一:保护现场现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。
在保护现场时需要依循以下原则:1 禁止嫌疑人接触数字化设备现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。
必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息,但必须禁止嫌疑人直接操作计算机。
如果所勘查的现场是公共上网场所(如网吧),必须尽量根据预先掌握的情况(如嫌疑人的体貌特征、当前登录的帐号等)和技术手段确定嫌疑人身份,并采用隐蔽的方式控制嫌疑人。
除非案件特别重大或特别紧急,否则不得采用公开的方式控制犯罪嫌疑人。
2 防止嫌疑人采用隐蔽手段故意破坏证据嫌疑人可能通过网络、拨入设备远程控制计算机或者网络,在紧急情况下,可以切断相关的有线网络和无线网络连接(关闭交换机、HUB 或无线接入设备)和拨入设备(关闭MODEM)。
嫌疑人可能通过切断电源的方式破坏数据,在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。
嫌疑人可能在系统上安装专门的程序,在满足特定条件下该程序自动清除相关证据。
在现场勘查时要评估嫌疑人是否可能具备这一技术水平,如果这种可能性较大,要立即关闭计算机电源。
在现场勘查中不应听从嫌疑人的建议实施操作,因为嫌疑人提供的操作方法有可能会导致证据损毁。
3 防止调查人员无意中破坏证据如果电子设备(包括计算机、PDA 、移动电话、打印机、传真设备等)已经打开,不要立即关闭该电子设备。
《公安机关办理刑事案件电子数据取证规则》的理解与适用
《公安机关办理刑事案件电子数据取证规则》的理解与适用作者:田虹翟晓飞王艺筱来源:《派出所工作》2019年第03期为规范公安机关办理刑事案件过程中电子数据取证工作,公安部发布了《公安机关办理刑事案件电子数据取证规则》(公通字〔2018〕41号,以下简称“公安部《规则》”),自2019年2月1日起施行。
为便于执法实践中正确理解和适用,现就“公安部《规则》”的制定背景、起草中的主要考虑,主要内容等介绍如下。
一、制定背景电子数据是一种新型的证据类型。
随着互联网的快速发展,不仅是网络犯罪案件,越来越多的传统刑事案件也需要电子数据取证。
在执法和司法实践推动下,在公安机关打击网络犯罪案件中电子数据取证经验基础上,我国刑事司法领域逐步建立起电子数据取证规则体系。
2012年以前,大多数对电子数据的规定仅仅局限于鉴定的范畴,极少有文件提及电子数据收集提取的问题。
在案件侦查、起诉和审判的实践过程中,多将电子数据转化为其他证据类型使用。
2012年,修改后的《刑事诉讼法》将电子数据确立为法定证据类型,从根本上确立了电子数据的独立证据地位。
同年,最高人民法院出台了《关于适用〈中华人民共和国刑事诉讼法〉的解释》(法释〔2012〕21号),其中第九十三条和第九十四条对电子数据审查判断的最基本原则进行了规定。
2014年,最高人民法院、最高人民检察院、公安部联合出台了《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字〔2014〕10号,以下简称“两高一部《意见》”),其中专设一章对电子数据的收集以及专门性问题的认定若干原则进行了明确。
2016年,最高人民法院、最高人民检察院、公安部联合出台了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号,以下简称“两高一部《规定》”),进一步统一了公检法部门在司法实践中对电子数据的认识和判断标准,提出了电子数据收集提取、审查判断的具体方法,明确了电子数据真实性、合法性、关联性审查的原则,确立了扣押原始存储介质为主、提取电子数据为辅、打印拍照为例外的电子数据取证原则。
公安机关办理刑事案件电子数据取证规则
公安机关办理刑事案件电子数据取证规则文章属性•【制定机关】公安部•【公布日期】2019.01.02•【文号】•【施行日期】2019.02.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】刑事犯罪侦查正文公安机关办理刑事案件电子数据取证规则第一章总则第一条为规范公安机关办理刑事案件电子数据取证工作,确保电子数据取证质量,提高电子数据取证效率,根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定,制定本规则。
第二条公安机关办理刑事案件应当遵守法定程序,遵循有关技术标准,全面、客观、及时地收集、提取涉案电子数据,确保电子数据的真实、完整。
第三条电子数据取证包括但不限于:(一)收集、提取电子数据;(二)电子数据检查和侦查实验;(三)电子数据检验与鉴定。
第四条公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的,应当保密;对于获取的材料与案件无关的,应当及时退还或者销毁。
第五条公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。
第二章收集提取电子数据第一节一般规定第六条收集、提取电子数据,应当由二名以上侦查人员进行。
必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。
第七条收集、提取电子数据,可以根据案情需要采取以下一种或者几种措施、方法:(一)扣押、封存原始存储介质;(二)现场提取电子数据;(三)网络在线提取电子数据;(四)冻结电子数据;(五)调取电子数据。
第八条具有下列情形之一的,可以采取打印、拍照或者录像等方式固定相关证据:(一)无法扣押原始存储介质并且无法提取电子数据的;(二)存在电子数据自毁功能或装置,需要及时固定相关证据的;(三)需现场展示、查看相关电子数据的。
根据前款第二、三项的规定采取打印、拍照或者录像等方式固定相关证据后,能够扣押原始存储介质的,应当扣押原始存储介质;不能扣押原始存储介质但能够提取电子数据的,应当提取电子数据。
刑事案件法律速查手册(3篇)
第1篇第一章总则第一节刑事案件的管辖一、地域管辖根据《中华人民共和国刑事诉讼法》第二十五条,刑事案件由犯罪地的人民法院管辖。
如果由被告人居住地的人民法院审判更为适宜的,可以由被告人居住地的人民法院管辖。
二、级别管辖根据《中华人民共和国刑事诉讼法》第二十六条,基层人民法院管辖第一审普通刑事案件,但是依照本法由上级人民法院管辖的除外。
中级人民法院管辖下列第一审刑事案件:(一)危害国家安全、恐怖活动案件;(二)可能判处无期徒刑、死刑的案件。
高级人民法院管辖的第一审刑事案件,是全省(自治区、直辖市)性的重大刑事案件。
最高人民法院管辖的第一审刑事案件,是全国性的重大刑事案件。
三、指定管辖根据《中华人民共和国刑事诉讼法》第二十七条,上级人民法院可以指定下级人民法院审判管辖不明的案件,也可以指定下级人民法院将案件移送其他人民法院审判。
第二节刑事案件的立案一、立案条件根据《中华人民共和国刑事诉讼法》第一百一十二条,公安机关对于报案、控告、举报和自首的材料,应当按照管辖范围,迅速进行审查,认为有犯罪事实需要追究刑事责任的时候,应当立案;认为没有犯罪事实,或者犯罪事实显著轻微,不需要追究刑事责任的时候,不予立案,并且将不立案的原因通知控告人。
控告人如果不服,可以申请复议。
二、立案程序根据《中华人民共和国刑事诉讼法》第一百一十三条,公安机关接受案件后,经审查,认为有犯罪事实需要追究刑事责任的时候,应当立案;认为没有犯罪事实,或者犯罪事实显著轻微,不需要追究刑事责任的时候,不予立案,并且将不立案的原因通知控告人。
控告人如果不服,可以申请复议。
第三节刑事案件的侦查一、侦查机关根据《中华人民共和国刑事诉讼法》第三条,对刑事案件的侦查、拘留、执行逮捕、预审,由公安机关负责。
检察、批准逮捕、检察机关直接受理的案件的侦查、提起公诉,由人民检察院负责。
审判由人民法院负责。
除法律特别规定的以外,其他任何机关、团体和个人都无权行使这些权力。
商业诈骗案件中的电子数据取证与分析方法详述
商业诈骗案件中的电子数据取证与分析方法详述随着信息技术的快速发展,商业诈骗案件中的电子数据取证和分析方法变得越来越重要。
本文将详细介绍商业诈骗案件中的电子数据取证和分析方法,以期提供有效的指导和帮助。
一、电子数据取证的重要性在商业诈骗案件中,电子数据是关键证据之一。
如何正确获取、保存和分析这些数据对于案件的侦破和审判至关重要。
1. 保全数据的重要性在商业诈骗案件中,电子数据作为证据必须得到妥善保全,以确保其完整性和真实性。
任何对数据的篡改或删改都可能对案件结果产生重大影响。
2. 确定取证范围在进行电子数据取证时,需要明确取证的范围。
这需要对案件的具体情况进行分析,确定需要取证的时间段、涉及的设备和存储介质等。
合理确定取证范围不仅有助于提高取证效率,还避免了获取无关数据的浪费。
二、电子数据取证方法1. 数据镜像的获取数据镜像是指在不改变原始数据的情况下,将其完全复制到另一个存储介质中。
数据镜像的获取需要使用专业的工具和技术,以确保数据完整、一致性和准确性。
2. 数据采集与分析在获取数据镜像后,可以使用各种工具进行数据采集和分析。
这些工具可以帮助我们解密、恢复被删除的数据以及发现隐藏的证据,如恢复被删除的文件、恢复隐藏的信息等。
三、电子数据分析方法1. 关联分析关联分析是电子数据分析中常用的一种方法。
通过对电子数据中的关联关系进行深入分析,可以了解参与者之间的关系以及他们之间的交易和行为。
2. 文字分析文字分析是电子数据分析中的另一项重要方法。
通过对电子邮件、即时通讯记录、合同以及其他相关文件的文字内容进行分析,我们可以了解涉案者之间的沟通内容和真实意图。
3. 时间线分析时间线分析是对电子数据中的时间信息进行整理和分析。
通过对不同事件的时间顺序进行分析,我们可以还原事件的发生过程,并判断其合法性和真实性。
四、电子数据分析的挑战与对策1. 数据量大商业诈骗案件中的电子数据往往数量庞大,处理这些数据需要大量的时间和资源。
市监办案,如何调取阿里、腾讯等公司电子数据取证?丨干货速收藏
市监办案,如何调取阿里、腾讯等公司电子数据取证?丨干货速收藏《市场监督管理行政处罚程序暂行规定》第二十条将电子数据作为案件的证据,并强调依法取得证据材料。
电子数据是指以数字化形式存储、处理、传输的数据,如电子邮件、网上聊天记录、手机短信、电子签名、域名等。
在办理打击传销的案件过程中,市场监管部门要依法取得涉案企业或者个人的财付通、微信支付、QQ钱包或支付宝账户等信息,就需要到腾讯或阿里公司去调取需要的信息作为证据。
下面笔者就以亲身经历为大家介绍调证过程:阿里支付宝公司调证程序:市场监督管理机关查询企业或者个人在支付宝的开户信息、交易流水,到支付宝(中国)网络技术有限公司的安全协作中心办理。
地址:杭州市万塘路18号黄龙时代广场B座308室电话:0571--86564763接待时间:工作日上午9:30-11:30,下午13:30-17:30。
程序和准备材料:1、两名执法人员证件及复印件2、立案表复印件3、案件调查情况说明4、协助调查函腾讯财付通公司调证程序:一、证件和文书准备:证件:两名执法人员的执法证或者工作证。
文书:《限期提供材料通知书》、《送达回证》。
格式:1、《限期提供材料通知书》一式两件,一份送达一份归档,送达份要填《送达回证》,盖单位公章。
2、抬头:财付通支付科技有限公司。
3、要写明案件名称、依据的法律条款。
4、内容:查询企业或个人的全称、身份证号,可以查询到财付通注册信息(财付通注册账号即微信账号),微信账号(非微信昵称)可以查询财付通注册信息、交易记录。
需要提醒的是,交易记录需要注明查询时段,最长为近五年的记录,但是录入企业的交易记录时不能超过三个月,所以调取时段过长会分成很多单号提交和提取。
二、调取流程和注意事项:1、两名执法人员携带执法证或者工作证原件和《限期提供材料通知书》、《送达回证》文书,财付通公司办公地址,现址为深圳市松日鼎盛大厦副楼一楼。
在在前台登记后,安全管理部有多名工作人员核审身份,工作时间为上午9点半至12点,下午2点半到5点。
电子数据取证操作规范
电子数据取证操作规范
一是内容要素要齐全。
包括勘验检查的人员、对象、地点、起始时间、方式、目的、经过、结果及案由等基本信息,标明是首次还是补充勘验检查。
发现的重要线索和证据,可以通过拍照、截图等方式附在勘验笔录中。
最后形成的勘验检查笔录由勘验检查人员和见证人签名或盖章。
二是过程记载要全面。
包括勘验检查过程中使用的软硬件设备的基本信息、运行状态,比如设备型号、屏显内容、设备间连接关系等。
数据提取、存储、检查、完整性校验的操作过程,也要根据实际操作顺序翔实反映在勘验检查笔录中。
三是主要结论要精准。
要能够客观准确地反映电子数据的真实情况,主要记录提取出的信息内容、完整性校验值等,并对数据逻辑性关系进行审查。
要求语言规范、不加评论,比如分析或推测出来的可能性结论就不能记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子数据取证办案速查手册第一章速查手册概述计算机取证是一门发展非常迅速的学科,时代需要一批能不断吸收最新的知识,掌握最新的技能,使用最新的工具,不断提高自身素质的网络精英,来应对同样在飞速进步的高科技犯罪分子。
为电子数据取证与勘察过程中提供一本速查手册,协助办案人员快速查询一些细节性的易遗忘的知识点,这是这本手册设计的初衷。
第二章计算机犯罪现场勘察指南一:保护现场现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。
在保护现场时需要依循以下原则:1 禁止嫌疑人接触数字化设备现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。
必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息,但必须禁止嫌疑人直接操作计算机。
如果所勘查的现场是公共上网场所(如网吧),必须尽量根据预先掌握的情况(如嫌疑人的体貌特征、当前登录的帐号等)和技术手段确定嫌疑人身份,并采用隐蔽的方式控制嫌疑人。
除非案件特别重大或特别紧急,否则不得采用公开的方式控制犯罪嫌疑人。
2 防止嫌疑人采用隐蔽手段故意破坏证据嫌疑人可能通过网络、拨入设备远程控制计算机或者网络,在紧急情况下,可以切断相关的有线网络和无线网络连接(关闭交换机、HUB 或无线接入设备)和拨入设备(关闭MODEM)。
嫌疑人可能通过切断电源的方式破坏数据,在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。
嫌疑人可能在系统上安装专门的程序,在满足特定条件下该程序自动清除相关证据。
在现场勘查时要评估嫌疑人是否可能具备这一技术水平,如果这种可能性较大,要立即关闭计算机电源。
在现场勘查中不应听从嫌疑人的建议实施操作,因为嫌疑人提供的操作方法有可能会导致证据损毁。
3 防止调查人员无意中破坏证据如果电子设备(包括计算机、PDA 、移动电话、打印机、传真设备等)已经打开,不要立即关闭该电子设备。
如果电子设备已经关闭,不要打开该电子设备。
计算机在长期不使用的情况下,显示器可能处在节电模式(黑屏状态),或者用户可能临时关闭显示器,而计算机确正在运行之中。
在现场勘查时要观察显示器电源是否打开,如果没有打开,打开显示器电源。
如果屏幕处在黑屏状态,移动鼠标或者单击“Ctrl” 键以查看计算机是否处在运行状态。
如果计算机上应用程序正在运行,一般情况下暂时不要关闭。
但禁止重新运行计算机上原有的任何应用程序。
如果打印机正在执行打印任务,不要停止该打印任务,让打印机将打印任务执行完毕。
如果嫌疑人正在编辑电子文档,不要直接保存该电子文档,必须将该电子文档另存到勘查人员自带的存储媒介。
如果发现非接触式智能卡,要注意避免将该智能卡放置在智能卡读写器临近。
如果发现调查人员无法识别的设备,要与相关的专家联系提供技术支持。
如果未能获得专家支持,可以直接关闭电源,但不得尝试对该设备进行任何操作。
如果案件中需要提取指纹、DNA 等线索(比如嫌疑人刚离开作案现场)时,注意不要接触任何设备。
如果现场情况紧急,而且数字化设备中存储的数据可能受到严重破坏,要优先提取数字化证据。
4 防止正在运行的系统破坏证据如果操作系统正在实施整理硬盘、格式化硬盘、批量拷贝信息、批量下载信息、杀毒等可能大量访问存储媒介的操作,要立即终止这些操作。
如果数码摄像机正在摄像,要停止该数码摄像机,因为当前拍摄内容会覆盖以前存留的信息。
如果数码录音设备正在录音,要停止该录音设备,因为当前录音内容会覆盖以前存留的信息。
二:搜查证物搜查证物的目的是发现所有可能与案件相关的证据和设备。
在搜查证据时应依照以下原则:1:检查与目标计算机互联的系统现场勘查时要注意查看网络、电缆、电源等线路的连接走向,查看是否有通过这些线路连接到其它地理位置(比如房屋中隐蔽的角落或者隔壁的房屋)。
现场勘查时要注意查看是否有无线局域网或其它无线网络连接方式,如果有则必须了解这些无线连接方式可能覆盖的范围以及可能通过无线网络接入该目标网络的主机情况和人员情况。
必要情况下要搜查可能通过无线局域网络接入到该目标网络的主机。
现场勘查时要注意检查系统是否通过调制解调器提供拨入服务,如果是则必须向嫌疑人了解该拨入服务器向那些客户提供拨入服务,拨入到该系统的电话号码是什么。
2:搜查数字化证据存储设备由于存储设备体积可能很小,嫌疑人身上(比如衣服中)可能携带有重要的存储设备(比如存储卡等),在控制现场时要优先搜查嫌疑人身上携带的设备,防止嫌疑人破坏这些证据。
搜查所有可能存储有数字化证据的设备,一般包括(不限于)计算机、PDA 、移动存储媒介(包括优盘、活动硬盘、ZIP 盘、软盘、光盘、存储卡,如SD 卡、CF 卡、记忆棒等)、移动电话、备份磁带、数码相机、数码摄像机、数码录音笔、智能卡、磁卡等。
3:外部设备的搜查如果发现现场存在特殊的存储媒介(如特殊的存储卡)要注意搜查该存储媒介的读写设备。
如果发现存储媒介的读写设备(比如存储卡或智能卡读写器、数字录音设备等),要注意搜查与该读写设备相关的存储设备。
如果存在针打打印机,并且嫌疑人的犯罪行为与打印信息有关(比如制作有害信息宣传品),要注意搜查打印机使用的色带(包括废弃的色带和当前使用的色带),色带上可能存留有最近打印的信息。
如果发现现场存在调查人员无法识别的设备,要搜查与该设备相关的说明书、软件、配套硬件(如电源等)和配套光盘。
如果发现计算机上运行专用的软件,要搜查与该软件相关的说明书、软件狗、配套光盘、配套硬件等外部设备。
4:其它证据的搜查调查中要注意搜查嫌疑人使用的笔记本、纸张等记录信息,嫌疑人可能会将帐号、口令、联系人信息等与案件相关的信息记录在这些地方。
现场勘查时要向系统管理人员咨询各个存储媒介是否有相应的备份系统。
要向系统管理人员咨询在案发时到调查人员到达现场过程中是否更新过系统中的硬件(比如更换硬盘),要注意追查原有硬件设备的去向。
三:固定易丢失证据易丢失证据是指在关闭电源之后或者在运输过程中可能丢失的信息。
固定易丢失证据应依照以下原则:1:需要固定易丢失证据的情形如果到达现场时犯罪行为正在发生(比如系统正在对外实施攻击、群发垃圾邮件,或者犯罪嫌疑人正在使用该计算机),或者从案件发生到调查人员到达现场期间系统未曾重新启动(比如嫌疑人刚刚离开网吧,系统尚未重新启动),则应当提取易丢失证据。
提取的内容一般包括时间信息、屏幕上显示的内容、系统运行状态等。
如果从案发时间到调查人员抵达案发现场期间,犯罪行为(包括嫌疑人实施的行为以及嫌疑人安装的软硬件系统实施的行为)已经停止并且系统曾经重新启动,则只需提取时间信息,无需提取其它易丢失证据。
2:时间信息的提取调查人员必须意识到设备的关闭或者搬运过程中,都可能导致系统时间丢失(比如CMOS 电池掉电),而系统时间对于证据分析具有非常重要的意义。
在任何情况下,对于任何有内置时钟的设备,都必须记录该设备当前时间、该时间与北京时间的时差以及时区设置。
3:屏幕上显示信息的提取必须使用光学照相机拍摄计算机以及PDA 屏幕上显示的内容,同时记录拍摄的时间。
拍摄的照片必须能够清晰显示重要的证据信息。
比如攻击程序正在攻击的目标、群发垃圾邮件软件正在发送的目标、用户正在浏览的页面以及该页面上显示的帐号信息、用户正在使用的聊天软件上显示的帐号等。
拍摄的照片须全面反映当前系统中应用程序的运行状态。
如果系统上同时运行多个程序(比如打开多个窗口),必须拍摄每个应用程序在屏幕上显示的信息。
如果应用程序的当前配置信息在关闭计算机后会丢失,则应该打开相应的配置页,拍摄该配置页中显示的配置信息。
4:系统运行状态的提取系统状态信息的重要性:调查人员必须意识到应用程序当前内存中可能保留有重要的证据。
比如IE 的内存中可能保存有用户刚访问过的页面、帐号和口令。
即时通信软件的内存中可能保存有用户使用的帐号、刚刚聊天的内容。
打印程序中可能包含有用户刚打印的信息等。
而在关闭计算机后,这些信息将会丢失,因此调查人员必须根据案件情况谨慎地评估提取这些信息的必要性。
传统案件中系统状态信息的提取:对于传统案件,一般需要提取的计算机系统状态信息包括:1、系统当前运行的进程2、每个进程当前打开的文件3、每个进程内存中的内容4、当前网络连接状态计算机系统入侵案件中系统状态信息的提取:对于计算机系统入侵或破坏案的攻击方和被攻击方来说,一般需要提取的系统状态信息(不限于)包括:5、当前运行的进程6、每个进程当前打开的文件7、每个进程内存中的内容8、每个进程提供的网络服务端口9、每个进程所依赖的模块列表10、当前网络连接状态和网卡当前运行模式(是否存在侦听)11、当前网络共享列表12、MAC 地址13、ARP 缓存表14、当前登录用户以及登录的时间对于UNIX/LINUX 系统,还需要提取当前登录用户正在执行的命令、以前执行的命令列表。
其它电子设备中易丢失证据的提取:调查人员必须意识到对于绝大多数电子设备来说,在切断电源时会丢失一些信息,必须根据具体情况分析该电子设备中是否包含易丢失证据以及是否需要提取这些证据。
比如对于传真机来说,在未关闭电源之前必须提取该传真机最近发送的目标电话号码,在关闭传真机之后该电话号码就无法提取。
不得使用目标系统上的程序实施提取:在调查系统入侵案件时,调查人员必须意思到目标系统上的程序有可能被攻击者替换(比如安装rootkit),因此并不能准确提取所需信息,因此调查人员必须使用自带的软件实施提取。
不得使用消耗大量资源的软件实施提取:一般情况下,在提取系统状态信息时,不得使用需要消耗大量资源(内存、磁盘空间)的软件实施提取,因为这些软件可能会对系统上的证据造成破坏。
一般情况下不要使用图形界面的软件,而要使用命令行界面的软件。
不得将提取的信息存储在目标系统原有的存储媒介中:提取得到的信息必须存储到调查人员自带的存储媒介中,以避免对原有的存储媒介造成破坏。
保护易丢失信息的完整性和真实性:在提取这些信息过程中,必须有见证人或嫌疑人在场,并且详细记录提取过程(记录执行的命令或者使用摄像机记录提取过程)和提取的时间。
对于提取得到的信息必须使用哈希算法(MD5 或SHA1)计算得到的信息的哈希值,打印这些哈希值并由见证人或嫌疑人签名。
四:现场在线勘查现场在线勘查是指在现场不关闭计算机的情况下搜查计算机中的内容。
在实施现场在线勘查时必须依照以下原则:1:适用范围调查人员必须意识到现场在线勘查可能对存储媒介上的证据造成破坏。
一般情况下,不得在未关闭计算机的情况下直接分析计算机上的内容,必须直接切断计算机电源,将有关证据提交给专门的技术人员实施离线分析(克隆存储媒介后在数据备份上进行分析)。
如果案件情况紧急(比如需要立即从计算机中获得重要的案件线索)或者无法关闭系统(比如关闭系统将可能造成重大损失)则允许在现场直接查看计算机中的内容。