法律咨询热线
139-1089-5797
首席律师
最新推荐
最新图文
中华全国律师协会律师办理电子数据证据业务操作指引
导读:中华全国律师协会律师办理电子数据证据业务操作指引目录第一章总则2第二章电子数据证据的取证4第一节电子数据证据的取证方式与流程4第二节临场保护与外围调查6第三节电子数据证据等的收集与固定7第三节A电子数据证据的…
中华全国律师协会律师办理电子数据证据业务操作指引
目 录
第1条 制定指引的目的和依据
为了指导全国律师高效专业地处理与电子数据证据相关的法律业务,提高律师业务水平与办案质量,根据《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国行政诉讼法》及《中华人民共和国律师法》等法律法规的规定,结合电子数据证据的特点,制定本指引。
第2条 电子数据、电子数据证据的定义及作用
2.1 本指引所称的电子数据,是指借助于信息技术生成、修改、删除、存储、传递、获取等形成的一切数据,主要包括电脑文档、手机文档、电子邮件、即时通讯记录、博客、微博、网页历史记录、IP地址、手机短信、通话记录、传真记录、信令数据、电子签名、电子痕迹等。
2.2 当电子数据用于证明案件事实时,即为电子数据证据。电子数据证据主要存在于电脑、移动存储设备、移动通信设备、互联网服务器等电子设备或存储介质中。电子数据证据可以依据不同标准区分为文档文件、图形文件、多媒体文件、程序文件与数据库文件等,单机数据与网络数据,静态数据与动态数据,数据内容、附属信息、关联痕迹与系统环境信息等。
2.3 电子数据证据既可以直接作为一种专门的法定证据使用,也可以转化为其他的法定证据或者作为线索使用。
第3条 电子设备的定义
本指引所称的电子设备,是指由电子元器件组成,且应用一定的处理系统用于生成、修改、删除、存储、传递电子数据的设备,主要包括台式电脑、笔记本电脑、平板电脑、掌上电脑、服务器、手机、数码照相机、数码摄像机、打印机、复印机、传真机、电话机、扫描仪、导航仪、路由器、电视机顶盒、手机基站等。
第4条 存储介质的定义
本指引所称的存储介质,是指数字化存储电子数据及相关信息的介质,主要包括电脑硬盘、移动硬盘、光盘、优盘、记忆棒、存储卡等。
第5条 律师办理电子数据证据业务的范围及培训
5.1 律师办理的电子数据证据业务主要包括电子数据证据的取证、举证、质证及相关法律咨询等。
5.2 为了提高办理电子数据证据业务的能力,律师可以参加必要的专业培训或者申领相关的专业资质证书。
第6条 律师办理电子数据证据业务的原则
律师办理电子数据证据业务应当遵守以下基本原则:
(一) 遵守国家法律法规的有关规定和普遍性的技术规范;
(二) 对涉及国家秘密、商业秘密、个人隐私和个人信息的电子数据证据依法承担保密义务;
(三) 注重电子数据证据与传统证据的结合使用;
(四) 保证存储介质和电子数据证据的安全性、真实性和完整性;
(五) 必要时邀请具有专门知识的人协助。
第7条 律师开展电子数据证据取证工作的方式及要求
7.1 律师在办理案件过程中,可以根据案件需要采取如下方式开展电子数据证据取证工作:
(一) 指导当事人开展电子数据证据取证工作;
(二) 自行开展电子数据证据取证工作;
(三) 聘请鉴定机构开展电子数据证据鉴定工作;
(四) 申请公证机关进行电子数据证据保全;
(五) 申请人民法院、人民检察院、仲裁委员会等有权机关进行电子数据证据的收集和保全;
(六) 请求网络运营服务商等第三方进行电子数据证据的固定与保管。
7.2 律师采取第(一)、(二)、(三)、(六)种方式开展电子数据证据取证的,可以申请公证机关进行全程录像公证、全程文字记录公证或者提存镜像报告公证等。
7.3 律师采取第(一)、(二)、(四)种方式开展电子数据证据取证的,可以借助专业的电子数据取证设备或软件,或者寻求鉴定机构等专业技术服务机构提供的电子数据证据收集、固定等相关技术服务。
7.4 律师采取第(三)、(四)、(六)种方式开展电子数据证据取证的,可以协助鉴定机构、公证机关或者第三方确定电子数据证据的取证范围和制定方案。
第8条 律师配合公安司法机关进行电子数据证据取证
律师办理刑事案件涉及电子数据证据的,应当依法向公安司法机关报案或者报告,并根据本指引配合开展电子数据证据取证工作。
第9条 律师配合行政执法机关进行电子数据证据取证
律师办理行政案件涉及电子数据证据的,可以向行政执法机关报案或者报告,并根据本指引配合开展电子数据证据取证工作。
第10条 律师申请公证机关进行电子数据证据公证
10.1 电子数据证据公证主要包括电子数据证据的内容公证(包括网页公证、电子邮件公证、聊天记录公证、手机数据公证等)、电子数据证据的存储位置以及软硬件环境公证、电子数据证据的文本公证、电子取证行为公证、镜像复制的行为公证、电子数据证据及取证报告的提存公证等。
10.2 律师根据诉讼需要申请进行电子数据证据公证的,可以与公证机构商定公证项目。
第11条 律师申请鉴定机构进行电子数据司法鉴定
11.1 电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施,也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。
11.2 律师根据诉讼需要委托鉴定机构进行电子数据证据司法鉴定的,可以与鉴定机构商定鉴定项目。
第12条 律师开展电子数据证据取证工作的流程
律师自行开展或者协助、配合开展电子数据证据的取证工作,主要包括临场保护、外围调查、电子数据证据等的收集与固定以及电子数据证据的检验分析、审查判断等环节。
第13条 律师开展电子数据证据取证工作的记录
律师自行开展或者协助、配合开展电子数据证据的取证工作,应当对取证过程进行记录,并签字和注明时间。
第14条 律师对电子设备的场所与环境进行临场保护的任务
律师发现电子设备中可能存在涉案电子数据证据的,应当视不同情况及时采取或者协助、配合采取相关措施,对电子设备所在的场所、所接入的网络环境进行控制与保护。
第15条 律师对电子设备的场所与环境进行临场保护的要求
进行临场控制与保护时,律师可以采取措施避免或者防止任何人采取可能导致原始电子数据证据发生改变的任何操作。
第16条 律师对电子设备的场所与环境进行外围调查
16.1 进行临场控制与保护时,律师可以及时开展或者协助、配合开展外围调查,对有关的当事人陈述、证人证言、书证等进行收集、固定;必要时还可以对电子设备的购买记录、领用记录、归还记录以及使用情况等进行收集、固定,并制作相关笔录,请有关人员签字确认。
16.2 律师发现电子设备正在运行、且继续运行可能会导致涉案电子数据证据灭失或受损的,应当根据具体情况采取或者协助、配合采取切断电源、断开网络、屏蔽信号等相应的应急措施。必要时,律师可以自行或者协助、配合对易丢失电子数据证据进行紧急收集与固定。
16.3 律师发现电子设备正在显示或生成涉案电子数据证据的,应当采取或者协助、配合采取拍照、录像等方式,对屏幕显示的内容进行记录,并在记录中签字和注明时间。
第17条 律师制定电子数据证据收集与固定的方案与计划
17.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,必要时可以在具有专门知识的人的协助下,制定电子数据证据收集与固定的方案与计划。
17.2 上述电子数据证据收集与固定的方案与计划主要包括:
(一) 现场获取的目的和范围;
(二) 锁定目标设备及其范围;
(三) 现场获取人员的分工与责任;
(四) 进行电子数据证据现场获取所需携带的取证设备、取证软件;
(五) 现场获取采用的技术规范;
(六) 电子数据证据现场获取的具体方案;
(七) 电子数据证据现场获取的应急措施或替代方案。
第18条 律师制定电子数据证据收集与固定方案与计划的合法性要求
律师制定电子数据证据收集与固定的方案与计划时应当注意取证手段和方式的合法性,不得通过窃取、入侵等非法方法取证。
第19条 律师开展电子数据证据取证的先行取证要求
律师自行开展或者协助、配合开展电子数据证据的取证工作,必要时可以自行或者建议先行提取电子设备上的指纹信息,采集汗液、毛发等生物样本。
第20条 律师开展电子数据证据取证的镜像复制要求
20.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,具备条件的应当制作原始存储介质的镜像复制件,并对原始存储介质进行封存,避免或者防止原始电子数据证据发生任何改变。制作镜像复制件的,以一式两份为宜。
20.2 因客观原因不能封存原始存储介质或制作镜像复制件的,可以采取写保护方法对电子数据证据进行收集与固定,并妥善保管原始存储介质。
第21条 律师制作镜像复制件的安全性与完整性要求
21.1 律师制作或者协助、配合制作原始存储介质的镜像复制件,应当确保原始存储介质的安全及其中数据的完整性。
21.2 因客观原因不能封存原始存储介质或者不能保证电子数据证据的完整性的,应当向当事人说明事由及可能产生的影响,并征得当事人的书面同意。
第22条 律师封存电子设备、存储介质的注意事项
律师封存或者协助、配合封存电子设备、存储介质的,应当注意记录反映其特定性的标识信息(包括序列号、识别码、用户标识、品牌、厂商、型号、容量等),并注明或者告知妥善保管的注意事项。
第23条 律师制作镜像复制件的注意事项
23.1 律师制作或者协助、配合制作镜像复制件,可以交由或者聘请具有相关资质或能力的专业人员实施,并记录反映其中电子数据证据完整性的校验信息。
23.2 必要时,律师可以将含有校验信息的镜像复制报告提交公证处,进行提存公证。
23.3 因客观原因无法产生校验信息的,律师可以及时采取适当的措施对原始存储介质进行封存以保证其数据完整性。
第24条 律师对附属信息、关联痕迹、系统环境信息数据的收集与固定要求
24.1 律师自行开展或者协助、配合开展电子数据证据的取证工作,可以一并收集与固定与电子数据有关的附属信息、关联痕迹、系统环境信息数据。
24.2 这些附属信息、关联痕迹、系统环境信息数据主要包括:
(一) 存储介质的状态,确认是否存在异常状况等;
(二) 电子设备中正在运行的进程;
(三) 用户操作产生的临时文件;
(四) 日志文件;
(五) 操作系统信息,包括系统版本号、注册所有者、安装日期、管理员与用户帐号、登录次数、最后一次关机时间等;
(六) 尚未永久存储的电子数据;
(七) 共享的网络驱动器、文件夹信息和共享设置选项信息;
(八) 网络连接信息,包括拨号信息、VPN、无线网络连接及其连接的名称、网络映射信息等;
(九) 保证数据独立于电子数据存储介质的软硬件信息;
(十) 备份数据以及所有者、备份时间等相关信息。
第25条 律师对互联网上电子数据证据的收集与固定
25.1 对于来源于互联网上的电子数据证据,律师可以申请公证机关进行公证保全,或者申请人民法院进行诉前或仲裁前证据保全。
25.2 依照本章申请保全的,应当遵守民事诉讼法的相关规定,同时注意参照中国公证协会《办理保全互联网电子证据公证的指导意见》以及本节A “电子数据证据的公证保全”的有关规定。
第26条 律师对利害关系人没有争议的、档案部门正常保管的电子数据证据的收集与固定
26.1 对于利害关系人没有争议的或者档案部门正常保管的电子数据证据,律师可以采用打印、拍照等方式转化为纸质文档,并注明打印、拍照的时间、地点,邀请当事人或者证据持有人在纸质文档上签章确认,必要时邀请见证人见证、进行全程录音录像或者通过第三方制作提取笔录。
26.2 对于转化得来的纸质文档,可以按照对待书证的方法予以保管。
第27条 律师对交互式设备中电子数据证据的收集与固定
27.1 对于交互式电子设备中电子数据证据,律师可以固定和保全本方电子设备的电子数据证据,也可以固定和保全对方当事人、第三方(如通讯网络服务商等)电子设备中的电子数据证据。
27.2 固定和保全对方当事人、第三方持有的电子数据证据的,可以采取以下两种途径:
(一) 通过对方当事人、第三方查询并固定相关的电子数据证据,必要时申请公证机关对取证过程进行公证;
(二) 通过向人民法院申请调查令或诉前证据保全的方式,向对方当事人、第三方调取相关的电子数据证据。
27.3 律师向人民法院申请调查令或诉前证据保全的,可以向法院提交存储电子数据证据的电子设备或者存储介质的准确地点。
第28条 律师运输、保管、转移、使用电子设备、存储介质及电子数据证据的注意事项
28.1 电子设备、存储介质及其电子数据证据的运输、保管应当做好防磁、防震、防热、防潮等措施,避免造成设备、介质损坏或者数据变化。除以上一般保护措施外,对于有网络连接的移动通讯设备还可以采取信号屏蔽等特殊保护措施。
28.2 律师在保管、转移或使用电子数据证据及其上述载体时,可以同步制作相应的保管记录、转移记录和使用记录。
第29条 律师可以申请电子数据证据公证保全
律师申请电子数据证据公证保全的,可以要求公证机关采用录屏软件或者录像进行记录。在对网页进行保全时,除了涉案网页外,可以申请一并对有关的网页快照或者转载进行公证保全。
第30条 电子数据证据公证保全的操作者
30.1 律师申请电子数据证据公证保全的,证明法律行为的公证可以由当事人或其委托的代理人进行行为操作,证明法律事件的公证应当由公证人员亲自进行行为操作。
30.2 在条件允许的情况下,应当由公证机构作为电子数据证据收集与固定的主体,律师仅对相关工作的目标、方法、步骤进行指导和要求。
第31条 电子数据证据公证保全的技术方案与计划
对电子数据证据进行收集与固定时,应当由具有专门知识的人或者公证人员按事先拟定的技术方案与计划进行操作。对公证的过程中的违法操作行为,律师应当及时向公证机构或者公证人员提出。
第32条 电子数据证据公证保全的场所
律师申请电子数据证据公证保全的,应当在公证机构或者专业技术服务机构的工作场所进行。由于技术条件的限制等客观原因需要在本方当事人工作场所进行的,律师可以建议公证人员对所公证的网络环境、电子设备进行清洁性检查。
第33条 电子数据证据公证保全的使用设备
律师申请电子数据证据公证保全的,原则上应当使用公证机构或者专业技术服务机构提供的设备。由于技术条件的限制等客观原因需要使用本方当事人提供的设备的,律师可以建议公证人员对公证所用的电脑或其它设备、网络环境进行清洁性检查。
第34条 电子数据证据公证保全的一般要求
律师申请电子数据证据公证保全的,可以建议公证人员保证电子数据证据的完整性,保证电脑系统、辅助软件和分析方法必须安全可信;提醒公证人员详细如实记录整个公证的过程,记录的内容应当真实、客观、准确、完整、清晰,记录的文本或者音像应当妥善保存。
第35条 电子数据证据公证保全的特别措施
对于下列电子数据证据申请公证保全的,律师可以建议公证人员采取特别措施:
(一)对于设置了限制打印等技术障碍的电子数据证据,详细记录破解障碍、完整打印的过程;
(二)对于需要下载的电子数据证据,注意是否被限制下载,若被限制则通过全程录像进行保全;
(三)对于电话录音、电子音频聊天记录等包含言词内容的电子数据证据,审查、核实陈述该言词的特定人的身份。
第36条 电子数据证据公证保全的合法性要求
电子数据证据的保全公证,律师可以建议公证人员注意获取证据手段的合法性,审查核实操作人的权限,以防止侵犯他人隐私权和个人信息权等合法权益。
第37条 电子数据证据公证书的审查
公证机关出具公证书后,律师应当及时审查其形式和内容。对不符合形式要求、记载错误的,应当及时要求公证人员补正。
第38条 律师可以对电子数据证据进行检验分析
为了查明案件事实的需要,律师可以对电子设备或存储介质中的电子数据证据进行检验分析。需要采取技术手段的,律师可以邀请并协助、配合具有专门知识的人开展工作,共同制定电子数据证据检验分析方案。必要时,律师可以自行委托或者申请有权机关委托司法鉴定。
第39条 律师对电子数据证据检验分析的原则
律师开展电子数据证据检验分析工作,原则上应当在复制件上进行或者采取写保护方式进行。
第40条 律师对电子数据证据检验分析的方法
律师开展电子数据证据检验分析工作,可以按照涉案人员、时间顺序、争议事实等要素进行,必要时可以聘请具有专门知识的人采取数据搜索、数据恢复、数据修复等方法进行技术辅助。
第41条 律师对电子数据证据检验分析的目的
律师开展电子数据证据检验分析工作,应当注意全面调取数据内容、附属信息、关联痕迹以及系统环境信息,进行综合评断。
第42条 律师对电子数据证据检验分析的技巧
律师开展电子数据证据检验分析工作时发现涉案电子数据证据的,可以此为线索扩大查找其他涉案的电子数据证据和传统证据,以重建虚拟空间的案件事实。
第43条 律师对电子数据证据检验分析可以借助司法鉴定等
43.1 对于电子设备或存储介质中涉案电子数据证据的真实性等专业性问题存在疑问的,律师可以自行委托或者申请有权机关委托司法鉴定或者专业性审查,也可以收集、固定有关的传统证据或者来自第三方的电子数据证据等进行佐证。
43.2 依照本章进行司法鉴定的,应当参照本节A “电子数据司法鉴定”的专门规定。
第44条 电子数据司法鉴定的主要项目
根据国家发改委和司法部发布的《司法鉴定收费管理办法》的相关规定,电子数据司法鉴定的主要项目包括硬盘检验、服务器检验、手机机身检验、注册表检验鉴定、软件一致性检验鉴定、软件功能检验、文件一致性检验鉴定、数据库数据恢复、密码破解、电子数据鉴定文证复审等。
第45条 律师对电子数据司法鉴定主体的审查
律师申请电子数据司法鉴定的,应当注意审查判断有关的司法鉴定机构及其鉴定人员是否具备相应的资质以及专业的软硬件设备。
第46条 律师对电子数据司法鉴定工作的配合
律师申请电子数据司法鉴定的,可以保持与鉴定机构的联系,对电子数据固定提取的过程及详细情况向相关鉴定人员及时做出陈述及说明。
第47条 律师对电子数据司法鉴定文书的审查
律师在收到司法鉴定机构出具的鉴定文书后,应当进行审查。发现鉴定文书不符合相关内容和形式要求的,应当向司法鉴定机构要求补正;对于鉴定过程和鉴定意见存在疑问的,律师应当及时要求司法鉴定人员给予解释和说明。
第48条 律师审查判断电子数据证据的原则
律师对于电子数据证据进行审查判断,应当遵循非歧视原则。不得仅以该种证据系电子形式为由而限制或者剥夺其证据能力和证明力。
第49条 律师审查判断电子数据证据的内容
律师对电子数据证据的证据能力与证明力进行审查判断,应当重点审查电子数据证据的合法性、关联性、原始性、真实性、完整性与充分性。
第50条 律师对电子数据证据合法性的审查判断
律师对于本方以非法手段或方式收集的电子数据证据或者严重侵犯他人合法权益取得的电子数据证据,应当避免提交法庭;对于本方收集但存在手续欠缺、程序瑕疵等问题的电子数据证据,应当采取适当方法予以补强或者转化。
第51条 律师对电子数据证据关联性的审查判断
律师审查电子数据证据的关联性,应当结合待证事实进行审查,必要时可以通过技术手段加以辅助审查。
第52条 律师对电子数据证据完整性与真实性的审查判断
52.1 律师审查电子数据证据的完整性与真实性,可以就以下各方面进行考察:
(一) 电子数据证据的收集、保管主体;
(二) 电子数据证据是否由电子设备正常运行而产生;
(三) 电子数据证据是否由电子设备自动生成;
(四) 电子数据证据的内容是否得到完整提取和精确复制;
(五) 收集的有关外围信息是否全面;
(六) 收集、保管的记录等是否构成完整的证据保管链;
(七) 收集、保管的方法能否确保原始介质及其中的电子数据证据至提交时不发生实质性的变化。
52.2 必要时,律师可以聘请具有专门知识的人对电子数据证据的内容及取证措施进行技术性审查,判断是否存在技术问题。
第53条 律师对电子数据证据充分性的审查判断
律师审查判断电子数据证据的充分性,应当考察电子数据证据之间、电子数据证据与传统证据之间是否构成完整的证据体系。
第54条 律师对电子数据证据审查判断后的特殊处置
54.1 律师对电子数据证据进行审查判断后发现在网络服务商、网站等第三方另存有电子数据证据的,可以自行调查或者申请有权机关进行调取。
54.2 律师对电子数据证据进行审查判断后发现对方当事人藏匿电子数据证据的,可以申请办案部门责令对方当事人提交。
第55条 律师进行电子数据证据举证的原则
律师向法庭提交电子数据证据,原则上应当一并提交电子数据证据所在的电子设备或存储介质。因客观原因不能提交的,应当说明理由。
第56条 律师进行电子数据证据举证的方式
律师向法庭提交电子数据证据,可以通过打印件、取证报告、鉴定意见书或者公证文书等方式;必要时,还可以通过列表方式对电子数据证据进行归纳整理,并以书面报告的方式进行说明。
第57条 律师进行电子数据证据举证的技巧
57.1 律师向法庭提交电子数据证据需要展示的,可以根据电子数据证据的具体类型,借助多媒体设备出示、播放或者演示。必要时,律师可以聘请有专门知识的人进行操作,并就相关技术问题作出说明和解释。
57.2 电子数据证据的展示应当完整、全面地展示数据内容、附属信息、关联痕迹以及系统环境等内容。
第58条 律师进行电子数据证据质证的内容
律师对电子数据证据进行质证时,可以重点围绕电子数据证据的证据能力、证明力等内容展开。
第59条 律师对电子数据证据合法性的质证
律师对于对方采用非法方法取得的电子数据证据,可以申请法庭予以排除。
第60条 律师对电子数据证据真实性和完整的申请确认
对于本方提交的下列电子数据证据,对方提出异议但没有足以反驳的相反证据的,律师可以请求法庭确认其真实性和完整性:
(一) 由可靠的公共资源网站、档案部门、对方当事人网站等保管的;
(二) 由可信的电子设备或未开源软件自动生成的;
(三) 附有安全的电子签名措施、电子认证措施或者其他适当的安全措施保障的;
(四) 数据内容、附属信息、关联痕迹与系统环境信息等高度一致的;
(五) 具有独立来源的电子数据证据之间、电子数据证据与传统证据之间相互印证的。
第61条 律师进行电子数据证据质证的方式
对于电子数据证据的专业性争议问题,律师可以申请采用以下方法解决:
(一) 庭上模拟演示;
(二) 申请专家证人进行解释与说明;
(三) 申请司法鉴定;
(四) 其他合理的方法。
第62条 律师进行电子数据证据质证的质询权
62.1 对于电子数据证据鉴定意见书有异议或者疑问的,律师可以申请法庭传唤司法鉴定人到庭接受质询。
62.2 对于电子数据证据公证书有异议或者疑问的,律师可以申请法庭传唤公证人员到庭接受质询。
62.3 必要时,律师可以聘请具有专门知识的人帮助质询。
第63条 律师提供电子数据证据法律咨询服务的内容
律师可以就如下电子数据证据问题依法提供法律咨询服务:
(一) 电子数据证据的法律规范;
(二) 电子数据证据的相关技术规则;
(三) 中外关于电子数据证据的制度差异;
(四) 电子数据证据的取证、举证、质证与认证方法;
(五) 具体案件中电子数据证据的应用;
(六) 关于电子数据证据的其他法律问题。
第64条 律师提供电子数据证据法律咨询服务的技巧
律师开展电子数据证据法律咨询服务,应当注意不同国家有关法律制度的差异,并结合电子数据证据的技术特点和实务经验。
第65条 指引的制定者及解释者
本指引由中华全国律师协会制定并负责解释。
第66条 指引的效力
本指引仅为指导建议或行为参考类文件。律师在办理电子数据证据业务中未采取或者未参考本指引的,并不必然构成执业行为不当。
第67条 指引的修订
本指引主要根据现有的信息技术和法律法规拟定,将根据技术的发展与法律的变化而进行修订。
第68条 指引的实施日期
本指引于公布之日起施行。
(本指引由全国律协信息网络与高新技术法律专业委员会负责起草,主要执笔人是刘品新、邹毅,作出贡献的还有邹锦沛、王永全、蔡海宁、余建军、胡仕波、詹朝霞、刘宇梅、谌兰、徐志强、谢君泽、吕宏庆、姜晓亮、迟桂荣、黄玲、夏巍、赵云、冯士柏、吴旭东、李德成、刘春泉、俎晓彤、费震宇、车捷、曾丽、钱钧、陈春华、沈国庆、王继丰、陈际红、马克伟、徐家力、俞卫锋、寿步等)
1.镜像复制。镜像复制是一种精确复制,是指在只读条件下使用专用设备或者软件,利用位对位(比特对比特)单向复制的原理,对检材中的数据进行全面、无损地复制。镜像复制能够在原始电子数据不发生改变的情况下,确保镜像复制件中的数据与原始检材中的数据完全一致。
2.校验信息。这里的校验信息是指在镜像复制的过程中由镜像复制设备或者镜像复制软件通过一定的校验算法,对检材或复制件中的数据计算得出的散列值(也称为哈希值)。散列值重复的可能性几乎不存在,常常被用来验证原始检材数据与镜像复制件中数据一致性。
3.写保护。写保护是一种通过一定的软硬件设备来保证在对电子数据进行查看、检验分析时不改变原始数据的保护方法。它的功能主要包括防止对电子数据的错误操作、防病毒等。
4.屏蔽信号。屏蔽信号主要是针对移动通信设备而言的,常用的手段有信号屏蔽袋等,主要用于屏蔽手机信号、无线Wi-Fi信号、蓝牙信号等常见的射频信号。由于网络推送信息、短信息或者新来电等都可能造成移动通讯设备中原始数据的破坏,实践中常常要采用屏蔽信号的方式来保证电子数据的原始性。
5.软件一致性检验。文件一致性检验是指通过对软件、文件的对比分析,判断检材软件、文件与样本软件、文件是否一致的检验活动。
6.交互式电子设备。交互式电子设备是指可以通过网络、蓝牙、红外、数据线等连接方式相互访问的电子设备。
项目 | 内容 | 有无 | 具体情况(可加附件) | 签署 日期 |
来源 | 购买记录 | |||
发放领用记录 | ||||
收回归还记录 | ||||
使用情况 | 使用者 | |||
使用者信息技术水平 | ||||
用途 | ||||
使用期间 | ||||
配置情况 | 硬件标识信息(如序列号) | |||
软件配置 | ||||
网络配置 | ||||
其他外设 | ||||
帐户密码 | 系统登录帐户 | |||
上网帐户 | ||||
邮件帐户 | ||||
即时通讯 | ||||
网络存储 | ||||
其他帐户 | ||||
当前运行情况 | ||||
备注 | ||||
取证人员: 律师事务所律师 执业证号:
签名: 日期: 年 月 日
人大证据学研究所主要执笔的《律师办理电子数据证据业务操作指引》公布实施
| | 2013-10-21 | 1559
《中华全国律师协会律师办理电子数据证据业务操作指引》起草说明
一、制订《律师办理电子数据证据业务操作指引》的必要性
2012年我国刑事诉讼法、民事诉讼法的修订均将“电子数据”列入法定证据种类。我国行政诉讼法的修订也正在紧锣密鼓进行中,“电子数据”进入行政诉讼法亦是必然。三大诉讼法的修订与实施,必将给律师业务带来巨大的影响。
首先,电子数据证据将作为新鲜面孔活跃于司法活动中。刑民诉讼法修订之前,无论是司法机关还是专家学者对于电子数据的诸多问题见仁见智,对于其证据资格和证明力问题讨论不休,实务中电子数据证据也往往转化为鉴定意见、书证、视听资料等传统证据使用。随着修改诉讼法的修改,电子数据证据这一新鲜面孔将越来越多地直接步入司法舞台。
其次,涉及电子数据证据的案件将大幅增加,电子数据证据在办案过程中的重要性必将日益凸显。现代信息社会,互联网和各种各样的电子设备在人们的生活工作中都发挥着极其重要的作用,人类社会几乎每人每天都会与虚拟空间打交道。一旦发生民事纠纷、刑事案件或者其他法律纠纷,电子数据因其带有大量的涉案信息必将发挥重要的作用。
最后,电子数据证据的广泛运用将给实务办案带来重大变化。信息时代以及大数据时代的来临,电子数据的信息量之大超乎人们的想象,其中的有用信息亦以海量计。电子数据证据带有与生俱来的独特属性,与传统证据截然不同。执业律师必须根据电子证据的特性,准确掌握与之相适应的相关取证、举证、质证等规则,及时转变办案思路与模式,更好地应对挑战。
二、《律师办理电子数据证据业务操作指引》的起草依据和起草过程
本指引的起草以我国刑事诉讼法、民事诉讼法、行政诉讼法、律师法以及公安司法机关关于电子证据的规范性文件为依据,参考《中国电子证据立法研究》、《国外电子证据适用指南选译》等专业论著,全面贯彻全国律协专委会关于加强律师办理电子数据证据业务能力的要求。
2009年江苏律协发布了由江苏律协电子商务与信息网络专业委员会起草的《江苏省律师电子证据的固定采集与展示业务操作指引》(下称“江苏版”)。2012年,由全国律协专委会内各区域小组先行召开研讨会,对“江苏版”进行修改完善;同时积极吸纳学界专家,为起草本指引贡献才智。6月,全国律协专委会广东组/广东律协专委会召开研讨会,并给出本指引的“广东版”。8月底、9月初,全国律协专委会京津组/北京律协专委会、全国律协专委会四川组/四川律协专委会先后召开研讨会,就“江苏版”和“广东版”进行研讨,提出修改建议。9月中旬,全国律协专委会江苏组/江苏律协专委会进一步研讨本指引,并给出本指引的“新江苏版”。与此同时,全国律协专委会特邀中国人民大学法学院证据学研究所提供了本指引的“中国人民大学版”。10月13日,全国律协专委会年会在深圳召开。会上深入讨论了本指引的各版本,并成立编撰小组进行深度整合。此后,本指引的征求意见稿和二次征求意见稿于12月先后两次交专委会全体成员征求意见,同时也在专委会外征求意见。在广泛征求意见基础上,经过反复审校,形成了现在提交全国律协的送审稿。
本指引在起草和修改过程中,注意把握以下几个问题:
第一,坚持从我国的立法现状以及司法实践出发,兼顾国际惯例,循序渐进地推进律师界关于电子数据证据观念的转变,逐步提高律师办理电子数据证据业务的能力。
第二,针对律师当前对于电子数据业务的认识水平以及现行法律法规对律师调查取证权的规定,本指引对于律师办理电子数据证据业务工作的构架坚持以律师为中心,并注重律师工作与公安、司法机关、公证机构、鉴定机构工作的结合。
第三,坚持开放性,突出重点。本指引的起草从当前技术水平出发,针对当前技术水平合理规定律师指引,既立足于目前的技术发展水平又具有一定的技术前瞻性。本指引规定详略得当,突出重点,既不失可操作性又不显得过于琐碎。
第四,目前律师界对于电子数据证据尚未建立起全面正确的认识,对于该业务还不熟悉。在此情况下,既要充分考虑现阶段律师界对于电子数据证据的认识水平,又要突出指引的指导规范作用。因此在本指引的用语上,侧重于建议性质的“可以”条款,减少使用强制性质的“应当”条款;侧重于使用法律用语,减少使用技术术语,并在附件中对本指引正文中难以规避的技术术语进行了解释。
三、《律师办理电子数据证据业务操作指引》的主要内容
本指引共有68条,另有三个附件。主要内容如下:
第一章为总则。主要阐明制订本操作指引的依据,电子数据证据的概念、分类,相关概念的解释、办理电子数据证据业务应当遵循的原则等。
第二章为电子数据证据的取证。主要包括电子数据证据的取证方式与流程、临场保护与外围调查、电子数据证据等的收集与固定(含公证保全)、电子数据证据的检验分析(含司法鉴定)、电子数据证据的审查判断等内容。
第三章、第四章分别为电子数据证据的举证与质证。这两章遵循传统证据有关举证、质证的基本思路,结合电子数据证据与传统证据在法律特性上的差异,对电子数据的举证、质证规则作了必要的规定。
第五章涉及有关电子数据证据的法律咨询。列举了几种常见的电子数据证据的法律咨询业务种类。将有利于律师开拓电子数据证据业务。
第六章为附则。
附件一是电子数据若干技术术语的解释。电子数据本身技术性强,本指引中不可避免涉及一些技术术语,因此在附件中加以释明,以便律师理解和掌握。
附件二是电子数据证据取证的一般流程图。用以直观阐明电子数据证据的取证流程。
附件三是《电子设备提取工作记录》。用以方便律师顺利做好电子数据证据的取证工作。
转:北京市律师协会:“律师办理电子数据证据业务操作指引”研讨会综述
律师办理电子数据证据业务操作指引研讨会综述
主讲嘉宾:
1、刘品新:中国人民大学法学院证据学研究所副所长刘品新
2、游涛:工信部软件与集成电路促进中心知识产权处副处长、司法鉴定所副所长
3、杨洋:工信部电信研究院知识产权中心主任助理
4、邹毅:江苏省律师协会“电子商务与信息网络专业委员会”主任
伴随着计算机技术的飞速发展,人们的生活进入了数字化时代,律师在处理民事、刑事等各类案件中越来越多地遇到与传统证据类型区别很大的电子数据证据,但是,由于我国立法的滞后性,而且这类证据也需要对计算机技术有较深入的研究,越来越多的律师对于案件中出现的这类证据感到非常困惑。为了适应时代的发展,全国人民代表大会在2012年修正的《中华人民共和国刑事诉讼法》和《中华人民共和国民事诉讼法》中正式将电子数据作为一类新的证据类型进行立法,因此,电信与邮政法律专业委员会举办的这次“律师办理电子数据证据业务操作指引”研讨会是非常及时和必要的,旨在提高律师办理案件过程中对电子数据证据操作水平。
(一) 电子数据证据的定义
所谓电子数据证据是指借助现代信息技术而形成的一切证据,即用于证明案件事实的电子材料。
(二) 电子数据证据的特征
1、 国际性
电子数据证据与法律规定的其他八种证据相比,具有国际性的特征,表现为电子数据证据可以同时在不同的国家使用,取证可能涉及到多个国家的法律适用的问题。具体来说,某些证据可能在中国取证的,但是也要拿到国外去用,法律适用也会涉及到几个国家的法律。比如苹果和三星的案件、苹果和微软的案件以及富士康和比亚迪的案件都具有类似的情况。
2、 系统性
电子数据证据相比传统证据另一个重要的特点是电子数据证据的系统性,它表现为任何一个简单的操作,往往产生很多关联文件,这些文件是电子数据附属信息,它们之间形成一组具有内在关联的文件,这些文件之间具有系统性。
为什么电子数据证据是系统性的呢?因为电子数据证据的形成是基于计算机系统、操作系统、应用文件系统、网络系统、存储系统、手机系统、GPS系统等,这些系统都是具有系统机制的,基于这样的系统机制所产生的电子数据也一定是具有系统性的特征,这个系统存在的空间又是虚拟的,所以这样的系统中产生的证据一定是成批的。
电子数据证据的系统性表现,一般分为三类:
数据电文证据,指数据电文正文本身、即记载法律关系发生、变更与灭失的数据,如电子邮件、文本文档、图片文件、加密文件、压缩文件等;
附属信息数据,数据电文生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息,如制作人、发件人、收件人、传递路径、日志记录、文档属性等。
关联痕迹证据,电子数据的存储位置、传递信息、使用信息及相关文件的信息,如缓存文件、休眠文件、分页文件、快捷文件、源文件的存储记录以及副本文件等。
电子数据证据因存在的空间不同,分为网络空间的电子数据证据和单机空间的电子数据证据,其中单机空间的电子数据证据表现为数据电文证据、附属信息数据和关联痕迹证据是一致的;而网路空间的电子数据证据要复杂的多,比如网络空间收发一个邮件要经过四个节点,发信电脑,网络服务器电脑,收件人网络服务器电脑,收件人单机电脑,按照系统观念在四个点都有关联痕迹,如果构成一个证据体系的话,很简单的就表现为在这四个节点中至少两个节点能找到相关电子数据,电文是一致的,附属信息是一致的。
电子数据证据的系统性特征决定了这类证据是不容易被篡改的证据,它能真实地反应出人们在虚拟空间的活动轨迹。
3、 多样性
电子数据证据的表现形式非常庞杂,比如电话证据、电报证据、传真证据、电子文件、计算机日志、计算机输出物、计算机打印物、电子邮件、电子数据交换、电子聊天记录、电子公告牌记录、博客记录、微博记录、电子报关单、电子签名、域名、网页、IP地址以及系统文件、休眠文件、日志记录、上网痕迹、手机录音证据、手机摄像证据、手机短消息证据、信令数据、通讯痕迹、雷达记录证据、录音证据、录像证据、摄像证据、GPS证据等。
4、 虚拟性
相比传统证据是人们能够直接看得见、摸得着的物理空间的证据,电子数据证据是存在虚拟空间的证据,这里的虚拟并不是说证据是虚拟的,而是电子数据证据存在于电子介质构成的二进制的虚拟空间,比如单机服务器、网络、手机、GPS、基站、摄像头、各种各样存储介质、电报、打印机、复印机等,或者二进制空间,这些空间都是虚拟空间,只能感知,但是进不去的,不管提取证据,还是保全、解读证据,都必须靠别的方式,人不能直接进入到这个空间中。
(三) 电子数据证据合理定位是什么
电子数据证据在我国没有正式立法之前,很多人将它作为线索,然后转化为法律认可的其他证据形式,自从《刑事诉讼法(2012修正)》和《民事诉讼法(2012修正)》颁布以后,电子数据证据正式作为我国法律规定的一种证据形式,但是,国际上还有一种更加主流的说法,就是把它作为一种现场,法庭上呈现的电子数据证据往往不是直接拿过去的,它可能是打印出来的派生物,也可能拿原始介质,比如录音笔,但是录音笔不是证据本身,而是通过录音笔这种原始介质把电子数据的虚拟空间直接带到了法庭上,这个虚拟空间里一批文件可以反复检验,通过这些文件还原案件的客观事实。
(四) 司法实践中如何有效地运用电子数据证据
司法实践中有效地运用电子数据证据的意义在于借助其在虚拟空间形成的证据系统性还原虚拟空间的案件事实,重点是通过一定的方法构建虚拟空间的证据系统或体系。下面我们通过一个招投标的案例来分析如何有效地运用电子数据证据还原客观事实:
有几家公司投一个四千万的工程,当时采取的中标方法是谁的标的最接近平均值谁中标,结果有一家中标之后被人举报其中参与投标四家公司违标,一家冒充这四家公司投标,参与投标的共有十家公司,怎么确定是否这四家公司是否围标呢?首先应该看光盘,光盘跟打印的标书对应的,光盘不仅仅是打印出来的证据,还是现场,能够告诉我们这个证据是怎么形成的,首先挑出相同的WORD文档标书,大家一看就会发现这里面有问题,其他另外几家完全不一样,这四家非常一致,作者、保存者、修订号、打印时间、编辑时间非常像,但是只有这些还不能定案,最重要的是看电子文档创建内容时间,这四个完全一致,这是电脑中一般不可改的时间,是OFFICE最早产生的时间,当然,如果要找特别高的专家是可以改的,除了这些以外还有一些隐藏的时间属性也能够看到,那几家公司在事实面前只好承认了。
总之,通过数据电文本身、附属信息数据以及缓存文件、休眠文件、分页文件、快捷文件、源文件的存储记录以及副本文件等总是能找到蛛丝马迹,还原案件的事实情况,因为电子数据证据是不能被篡改的证据,即使你想刻意改变文件的某些内容,修改的痕迹还是被真实地记录下来。
(五) 如何开展电子数据证据的取证
1、当事人自行收集
如果当事人对电子数据证据所涉及的技术比较熟悉,可以自行收集相关的电子数据证据,但是应该注意收集的证据能成为法律意义的证据。
2、电子数据鉴定
由当事人或者律师申请鉴定机构鉴定,由鉴定人员按照鉴定程序,对电脑同步进行全程录像公证,公证处到现场录像;或者申请电子鉴定,由鉴定机构进行同步全程文字公证,证明你用哪一个拷贝机把盘卸下来之后拷了,什么时候形成的;或者申请电子鉴定,由鉴定机构工作人员到现场对服务器硬盘进行复制,并采取数据恢复等检验方式,做成镜像盘,出具镜像报告,及时进行镜像报告提存公证,出具鉴定意见书,证明是某某时间鉴定机构做了一个镜像,包括镜像报告是什么。
3、法院对电子数据证据进行证据保全
目前深圳的有些法院TSV证据保全存系统,当事人在起诉立案之前,先申请证据保全,由人民法院在网上将电子数据证据固定下来,加上时间戳,证明在什么时间人民法院在网上看到了什么。
时间戳的唯一性和权威性与传统数字证书及电子物证取证技术相结合的综合性电子物证取证方案,解决当前电子物证取证过程中存在的,电子物证易篡改、可抵赖的问题。
4、电子数据证据公证
电子数据公证,由当事人、律师或者法院委托,由公证人员按照公证程序,浏览电脑或网页中的文件,采取截屏或者截屏打印的方法,出具公证书。
5、工商局调查
对于违反《反不正当竞争法》的行为,作为行政执法部门的工商局有权介入调查,并对查实的违法行为给予相应的处罚。然后由工商局等执法人员取证。
6、公安机关调查
根据《刑事诉讼法》第89条规定,公安机关对已经立案的刑事案件,应当进行侦查、收集、调取犯罪嫌疑人有罪或者无罪、罪轻或者罪重的证据材料。因此,如果已经立案的刑事案件中涉及到对电子数据证据的调查,就应该由公安机关来完成调查工作,但是,公安机关的刑警往往不太懂电子数据证据的取证技术,实务中非常困难。往往需要当事人报案的时候就要提供相应的证据材料,当事人可以委托鉴定机构做相应的证据固定。
(六) 电子数据证据的鉴定原则
1、程序性原则
即受理、提取、复制、分析、鉴定和出具鉴定文书均应严格按照程序进行, 确保程序合法。
2、安全性可靠原则
鉴定检材必须首先对原始数据进行复制备份,并通过哈希值校验确保检材复制件与原件的数据保持一致性和完整性, 然后对原件封存,对复制件进行分析和鉴定,以确保鉴定数据的安全可靠。
3、全程记录和有效监督原则
为确保电子证据在法庭上应有的证明力,对电子证据的提取、复制、分析、鉴定等重要的鉴定过程要进行详细如实记录并签名,有条件的可进行全程录像,形成一个完整的电子证据“鉴定链”,并接受监督。
4、保密原则
要求电子证据鉴定人员严格保守执业秘密,禁止泄漏与鉴定有关的国家秘密、商业秘密和相关案情,对于可能涉及鉴定的个人隐私等信息,也要求鉴定人员必须严格按相关保密规定予以保密。
(七) 电子数据鉴定的阶段
电子数据鉴定的过程三个阶段:证据获取、证据分析和证据表现阶段
1、证据获取阶段:固定证据。 电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。
2、证据分析阶段:分析证据与案件的关联性。对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。
3、证据表现阶段:就电子证据与案件的关联性进行说明。
(八) 电子数据鉴定的流程
1、现场电子证据固定的工作流程为:
记录现场计算机的连接现状→固定当前对象计算机的易失性数据→关闭当前计算机系统→拆卸当前计算机取出硬盘介质→对硬盘介质进行写保护处理→使用专用设备进行硬盘复制→计算原始硬盘介质并封存→封存硬盘介质副本→现场固定结束。
“易失性数据”指计算机系统内存放在进程、内存等对象里面的数据,一旦关机或者重启就会永久丢失,其中可能存储着对鉴定工作至关重要的数据,因此在开始进行静态固定之前,易失性数据是必须先进行固定的。
2、涉及知识产权的电子数据证据的司法鉴定的工作流程
(1)保护窃密时的计算机系统中相关的软硬件及当时的数据状态,封存使用过的所有储存介质,如硬盘、光盘、软盘,尽可能地保存完整的原始记录和工作日志,以保证原始证据的有效性。
(2)对不能停止运行的计算机系统或是网络系统,应该将系统当时的状态或运行参数、网络运行环境进行详细记录等。备份时按照储存介质中所有数据的物理存放格式进行复制。
(3)收集与案件有关的资料,比如在数据传送、接收过程中形成的命令记录、现场上各种系统硬件的连接状态、连接方式、系统运行的参数。
(4)检查计算机、网络以及查收的储存介质中信息。
如通过服务器上的日志记录,可以查看在设置的时间内对保存的内容使用终端进行复制、使用网络进行打印等计算机操作的记录,计算机上每一个文件夹、文件的内容,使用者的信箱内容等等。
(5)采用专业的数据分析技术查找,并恢复被故意删除、修改的文件和磁盘数据。
查清关键文件被修改移动的时间、修改前的状态和属性等。
(6)通过对犯罪嫌疑人操作计算机系统所留下的时间、范围的记录,查找破案的线索和证据。
如通过E-mall信件的lP地址可以找到发信方所使用的计算机,从而缩小案件的侦破范围。
(九) 电子物证加时间戳流程
(l)对指定电子物证提取Hash值,包含原始文件信息、签名参数、签名时间等信息;
(2)将Hash值提交到电子物证取证系统的时间戳服务器;
(3)时间戳服务器通过通信接口访问第三方公共时间戳服务中心,获取可信时间戳签名;
(4)保存电子证据Hash值和时间戳到数据库;
(5)返回。
二、讲座点评互动阶段综述
(一)电子数据证据公证效力
在司法实践中法院对于电子数据证据公证书的效力,有两种倾向意见,一种意见认为公证书是事实公证;另一种意见认为公证书是行为公证。
持事实公证意见的人认为公证过程中公证是没有问题的,对公证书本身的真实性、合法性、有效性也是不持异议的,但是对于公证书的内容跟公证的证明目的之间不能划等号。因此,尽管当事人在诉讼过程中对电子数据证据做了公证,但是也不一定被法院采纳。
从另一方当事人的角度该如何应对一方的公证书呢?考虑到中国的国情,有很多法官对这方面不太懂,另一方当事人可以做反公证,比如新浪和搜狐知识产权案子就做了反公证;另一种方法可以做反鉴定,公证书说明网页上有什么内容,鉴定机构通过鉴定手段发现很多背后隐藏的东西,以此来证明公证的内容是错误的。第三种方法,民诉法修改以后,当事人可以请专家到庭,对专业问题可以由专家用演示方法告诉法官公证是错的。总而言之,要考虑到中国的国情,不要跟法官太多的讲法条,法条上就说没有相反证据就不能推翻,那就找点相反证据。
(二)从域外取得的电子数据证据的效力
在刑事案件中,如果被害人的服务器在中国,实施侵害的服务器在国外,公安机关计算机现场勘察和电子数据检查规则和人民检察院电子证据鉴定程序规则里面都规定了远程勘验,规定远程勘验是现场勘验的一种,对于这种情况,公安机关怎么做呢?公安人员通过电脑自己远程操作,然后用摄像头拍下来,然后做成现场勘验报告,对于这样的现场勘验报告,我们国家认为都是合法的、有效的。
此研讨会让律师们扩大了视野、开拓了思路、提升了能力、坚定了取证的信心!
撰稿人:刘金燕 电信与邮政法律专业委员会副秘书长
审校人:陈际红 电信与邮政法律专业委员会主任
马立文 电信与邮政法律专业委员会副主任
律师办理网络侵权案件电子证据的固定
采集与展示业务操作指引
第一章 总 则
第一条 为指导律师正确、妥善处理在执业活动中所涉及的与电子证据有关的法律事务,帮助律师提高业务水平与办案质量,为当事人提供规范、高效、专业的法律服务,特制定本指引。
第二条 本指引所涉及的电子证据的固定采集与出示,是指律师根据《中华人民共和国律师法》第三十五条之规定,在为当事人提供民商事、行政法律服务(包括诉讼案件的代理或非诉讼法律事务的处理)中,对于与案情或代理事务有关的、以电子数据方式存在的相关信息、文件、资料等,按一定技术要求与程序,进行固定采集并运用的方式与方法。
第三条 律师办理刑事案件中,涉及到对电子证据固定采集的,建议律师通过申请人民检察院、人民法院收集、调取。律师对侦查机关、人民检察院、人民法院收集、调取电子证据,可依据本指引提出程序及方法上的建议及意见,也可以参考本指引对上述电子证据的真实性、合法性进行判断和质证。
第四条 律师在引用本指引时,应充分认识到电子证据的相关技术特点与特性。为此,在处理具体事务时,如因技术进步或其它因素,导致本指引的相关做法与实际情况不一致或不适用时,应及时咨询相关专业技术人员的意见,并根据自己的实际要求与经验,做出恰当的判断。
第五条 本指引所制定的内容作为律师在处理具体案件所涉及电子证据的固定采集与出示的执业行为参考。律师在处理上述事务中,不采取或不参考本指引所制定的内容,并不当然表明该律师实际采取的执业行为或方法存有瑕疵或不当。
第二章 电子证据概述
第六条 本章内容并非对电子证据进行理论上的探讨或研究,而是通过对电子证据的一般描述,来指导和规范律师对电子证据进行固定采集及展示的执业行为。
第七条 本指引所称电子证据(Electronic Evidence)是指能够证明相关法律事实或案件事实的、被作为证据使用的电子文件或电子数据。能够证明相关法律事实或案件事实是电子证据的重要法律特征。
第八条 上条所述电子文件(Electronic Records)是指基于电子信息技术生成的,以数字化形式存在于磁盘、光盘等数字存储设备,其内容可与载体分离,并可在其它同类或不同载体之间多次复制或转化的文件。
第九条 固定采集电子证据时,应注意下列电子文件的不同类型对固定采集技术手段的影响:
一、字处理文件,通过文字处理系统形成的文件,由文字、标点、表格、各种符号或其他编码文本组成。
所有这些软件、系统、代码连同文本内容一起,构成了字处理文件的基本要素。其中,文本内容通常成为电子证据。例如,.DOC文档、.XLS文档。
二、图形处理文件,通过专门的计算机应用软件系统,运行相应的辅助设计或辅助制造功能所得到的图形数据。通过图形人们可以直观地了解非连续性数据间的关系,使得复杂的信息变得清晰。例如,运用Photoshop软件、AutoCad软件生成的图形文件。
三、程序文件,是由多条计算机命令集合在一起的电子文件,是程序源代码文件通过编译器翻译生成的电脑可以识别和运行的一种特殊的文件。在软件开发环境下,程序文件指的是源代码,如ASP、C等,在电脑使用人或用户环境下,程序文件通常指的是可以直接在电脑上运行的.EXE文件。计算机软件就是由若干个程序文件组成的。
四、多媒体文件,是指计算机技术为基础,以计算机及其外部设备为中心,通过扫描识别、视频捕捉、音频录入等手段综合编辑而形成的多种媒体组合文件。媒体包括文本、图形、动画、动静态视频、音频等。
第十条 不同的分类方法与标准,可将电子证据分成不同的种类。本指引的重点在于对基于计算机技术应用和互联网络技术应用中所出现的电子证据,如何进行固定采集与展示。
第十一条 电子证据通常存在于计算机的硬盘、U盘、磁(光)盘等移动存储设备。手机特别是具有计算机功能的智能手机作为电子证据的载体之一,反映或记录使用人的意思表示、行为的电子证据比其他载体中的电子证据更具有价值。
第三章 电子证据的固定与采集
第一节 电子证据的固定采集基本方法
第十二条 打印
对于可以直观或直接反映或证明案件事实的电子证据,可以直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法予以保管、固定,并注明电子证据打印的时间、数据信息在计算机中的位置(如存放于那个文件夹中等)或来源、取证人员等。
第十三条 拷贝
是将作为电子证据的电子文件,通过拷贝复制到U盘、移动硬盘或光盘中的方式。取证人员应当检验所准备的U盘,移动硬盘或光盘,确认没有病毒感染。拷贝之后,应当及时检查拷贝的质量,防止因保存方式不当等原因而导致的拷贝不成功或感染有病毒等。取证后,注明提取的时间并封闭。
第十四条 拍照、摄像
对于具备视听资料特征的电子证据,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。此外,在电子证据取证过程中,对取证全程进行拍照、摄像,对被固定采集的电子证据的真实性具有一定的增强作用。
第十五条 制作司法文书
由执法机关对电子证据制作相应的检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。
第十六条 查封、扣押
申请执法机关对于涉及案件的电子证据的载体进行采取查封、扣押,将有关载体置于执法机关保管之下。之后再对该电子证据进行分析、解读。
第十七条 公证
通过公证机构以证据保全公证的方式对有关电子证据进行公证。这是有效获取电子证据的便捷途径。
第十八条 数据解析
对于不能直接或直观的证明案件事实的电子证据,在确保数据真实的情况下,运用特定的软件工具,对相关数据进行分析、转化,使得其可以直观的形态为人们所认知或了解。
第十九条 恢复。
大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能。因此,当有关电子证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取电子证据,也可以使用一些专门的恢复性软件或专门设备来恢复、获取电子证据。
第二节 电子证据固定采集的注意事项
第二十条 条件允许情况下,建议由公证机关做为电子证据固定采集的主体。律师以代理人或公证委托人身份,只是对相关电子证据的固定采集进行目标、方法、步骤上的指导和要求。
律师应当注意:在司法实践中,即便经过公证的电子证据在证明效力上仍可能存有异议。
第二十一条 对电子证据固定采集的具体操作,建议由专业的技术人员或公证人员实际进行。
第二十二条 除非技术上必要,对电子证据进行固定采集的场所,建议一般应在公证机关或中立第三方的工作场所进行。
第二十三条 除非技术上必要,对电子证据固定采集所使用的计算机设备或其他数码设备,建议使用公证机关或中立第三方的设备。
第二十四条 来源于互联网的电子证据,须对证据的来源、域名、IP等相关因素进行保存。孤立的网页文件,其真实性难以证明,证明效力很弱。
第二十五条 对电子证据固定采集过程中,应注意避免数据污染,从而影响相关电子证据的真实性。用于固定相关电子证据的载体应当是干净的、未受污染的。
第二十六条 在使用非第三方的计算机或电子设备进行电子证据的固定采集时,须由专业人员对该计算机及电子设备进行“清洁性检查”。
所谓“清洁性检查”是指对相关计算机或电子设备中的软件系统、功能、配置进行查看或固定,以确保通过该计算机或电子设备所获取的电子证据的真实性以及数据来源的唯一性。
第二十七条 如有可能,对于记录、存储电子证据初始形成的电子证据载体、设备、介质等,应当提存原物并随同电子证据一并固定采集。
第二十八条 借助某些专业的电子证据取证设备或软件,或者寻求中立的第三方提供的电子证据固定采集的相关专业技术服务,不失为对电子证据固定采集的一种有效途径。这有助于提高相关电子证据的证明力。
采取黑客手段等非法手段获取的电子证据,因其来源不具有合法性,不具有相应的证明效力。
第二十九条 鉴于电子证据的脆弱性和易篡改,应当采用适当的储存介质进行原始的镜像备份,用“镜像复制”的方法复制若干个副本。建议将其中的两个副本复制在只能写入一次的介质上(如非可擦写光盘),防止被提取到的电子证据意外被改变。
第三十条 以第三方所作的提取笔录形式将复制的时间、地点、复制的方法、处理人员、使用软硬件、复制过程等事项记录下来,以确保电子证据的合法性、真实性、关联性与完整性。
第三十一条 不得改变原始证据或原始数据。对于固定采集的电子证据进行鉴定和技术分析前,应当进行完整的备份,对备份的电子证据进行鉴定分析,不允许直接对原有存储介质直接进行技术操作。
第二节 来源于互联网络的电子证据
第三十二条 固定当前所使用的电子设备与计算机所处的网络环境是对来源于互联网络电子证据进行固定采集的前提步骤。
第三十三条 固定上条所述网络环境应当包括以下要素:
1、当前计算机连接互联网的方式:是通过局域网连接还是直接互联网;
2、在局域网环境下,相关的IP地址、网关设置;(如下图)
3、局域网的拓朴结构;
4、互联网的登录方式与连接方式(有线或无线、宽带或ADSL方式);
5、通过局域网连接状态,主服务器与终端的权限分配与应用;
6、如当前所使用电子设备并非计算机(如智能手机等),需提供该电子设备的说明书或操作手册。
第三十四条 固定当前所使用的电子设备与计算机的自身系统配置文件(如下图)。这些文件包括但不限于:
1、当前电子设备与计算机的品牌、型号;
2、当前电子设备与计算机使用的软件:操作系统、应用程序;
3、当前计算机的硬件配置状况;
4、当前计算机系统中的哪些应用程序提供远程控制;
5、其他反映当前电子设备与计算机功能或性能的文件。
第三十五条 通过IE上网浏览之方式,从互联网上获取相关的电子证据,建议应事先了解域名及域名解析的相关知识。
中国互联网络信息中心(China Internet Network Information Center,简称CNNIC,其网址为:http://www.cnnic.net.cn/index.htm )是经国家主管部门批准,行使国家互联网络信息中心的职责,负责管理维护中国互联网地址系统的管理和服务机构。
第三十六条 在Windows系列操作系统下,须运行查看本地计算机系统内的host文件,并对该host文件内容予以固定。对该文件内容的固定,能确定当前计算机访问的网站或获得之电子证据来源于互联网,确保电子证据来源的唯一性并进而保证相关电子证据的有效性与证明力。
第三十七条 不同系统的host文件存放路径如下:
1、WinXP/2003/Vista: C:\Windows\System32\Drivers\etc
2、WinNT/2000: C:\WINNT\System32\Drivers\etc
3、Win98/Me: C:\Windows
第三十八条host文件是根据TCP/IP for Windows 的标准来工作的,它的作用是包含IP地址和Host name主机名的映射关系,是一个映射IP地址和Host name主机名的规定,规定要求每段只能包括一个映射关系。根据Windows系统规定,在进行DNS (域名系统Domain Name System的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。)请求以前,Windows系统会先检查自己的Hosts文件中是否有这个地址映射关系,如果有则调用这个IP地址映射,如果没有再向已知的DNS服务器提出域名解析。
第三十九条 在网络上访问网站,要首先通过DNS服务器把网络域名解析成IP地址后,计算机才能访问。也就是说Hosts的请求级别比DNS高。host文件中,关于域名解析的优先次序为:本地硬盘—局域网—互联网。以访问www.xxx.com为例说明:
1)客户端首先检查本地c:\windows\system32\drivers\etc\host文件,是否有对应的IP地址,若有,则直接访问WEB站点,若无
2)客户端检查本地缓存信息,若有,则直接访问WEB站点,若无
3)本地DNS检查缓存信息,若有,将IP地址返回给客户端,客户端可直接访问WEB站点,若无
4)本地DNS检查区域文件是否有对应的IP,若有,将IP地址返回给客户端,客户端可直接访问WEB站点,若无,
5)本地DNS根据cache.dns文件中指定的根DNS服务器的IP地址,转向根DNS查询;
6)根DNS收到查询请求后,查看区域文件记录,若无,则将其管辖范围内.com服务器的IP地址告诉本地DNS服务器;
7).com服务器收到查询请求后,查看区域文件记录,若无,则将其管辖范围内.xxx服务器的IP地址告诉本地DNS服务器;
8).xxx服务器收到查询请求后,分析需要解析的域名,若无,则查询失败,若有,返回www.xxx.com的IP地址给本地服务器;
9)本地DNS服务器将www.xxx.com的IP地址返回给客户端,客户端通过这个IP地址与WEB站点建立连接。
第四十条 确定一台计算机登录互联网的历史记录和状态,还可通过固定该计算机配置的网卡特定编号,结合网络服务提供商的服务器相关系统记录,确定配置特定网卡编号的计算机登录互联网的历史记录和状态。
网卡特定编号,如同人的指纹一样,在全球范围内都是唯一的、不重复的。但需注意的是,网络服务提供商服务器上,关于特定编号网卡登录互联网的历史记录,其保存时间是有限的。
第四十一条 登录互联网后,打开IE浏览器,输入域名或IP地址,搜寻相关的信息,将搜寻到的信息保存在新建的文件夹中或存储介质中。所有这些操作均需同步记录及保存。
第四十二条 通过登录互联网固定采集相关来源于互联网的电子证据时,记录或保存所有操作步骤的方法通常有:
1、书面记录每个操作步骤及所获得的内容于纸质载体上;
2、对每个操作步骤所获内容进行截屏保存或打印至纸质载体上;
3、用其他电子设备对操作步骤进行同步摄像;
4、使用专用的屏幕录像软件对所有操作步骤及所获内容进行同步录像。(有关的屏幕录像软件可直接从相关的网站上下载使用。)
上述方法可以根据实际情况组合使用,但所获电子证据内容均应刻录在存储介质中(如CD光盘、U盘等)。
第四十三条 注意使用互联网络资源,获得相关的电子证据或证据线索、信息。
1、工业和信息化部ICP/IP地址信息备案管理系统
http://www.miibeian.gov.cn/CX/main.jsp
2、中国互联网络信息中心 http://www.cnnic.net.cn/
3、中国万网http://www.net.cn/static/domain/?cid=baidu_domain
来源于上述政府网站及中立的第三方网站的电子证据或信息通常具有较高的证明力。
第四十四条 在对计算机进行截屏过程中,需保持所截屏网页内容的完整性。如因纸张尺寸问题,不能将所截屏网页打印在同一页纸张上的,可用数页纸张连续截屏网页内容。避免截屏网页的内容缺失导致其证明力下降或丧失。
对网站网页首屏及网页次屏的截屏应当满足无缝衔接的要求。
第四十五条 经过第三方电子认证中心流转的计算机数据,具有较高的证明力。对于此类证据的固定采集,建议通过一定的取证申请,由提供电子认证服务的网络服务提供商提供。
第三节 来源于互联网络的电子证据—电子邮件信息
第四十六条 电子邮件服务是互联网应用最为广泛的服务之一。对电子邮件信息而言,其邮件内容往往证明了一定的法律事实或行为,从此意义上说,电子邮件信息可视为证据中的书证。
第四十七条 对电子邮件信息的固定采集,除邮件内容外,对电子邮件信头的固定采集也同样重要。
第四十八条 一般情况下,电子邮件常用信头字段包括下列内容:
字段名称 | 描 述 | 字段名称 | 描 述 |
From | 信件写信人 | Date | 信件创建日期 |
Sender | 信件发信人 | Received | 信件MTA轨迹 |
Reply-to | 发信回复地址 | Return-path | 发信人地址 |
To | 信件主收信人 | Subject | 信件主题 |
Cc | 信件辅收信人(抄送) | Comments | 关于信件的其他说明 |
Bcc | 信件的密件抄送收信人 | Keywords | 信件主题关键字 |
Message-id | 信件唯一标识符 | Encrypted | 加密信息 |
In-reply-to | 信件被回复到 | Resent-* | 重新分发时创建的字段 |
References | 信件源 | Content-length | 信件长度 |
Status | 由MUA插入标识是否信件状态 (是否新信件、已阅读、回复等) | X-* | 信件扩展字段,由开发者创建的非标准字段 |
第四十九条 对电子邮件信息,建议通过公证机关以证据保全公证的形式予以固定采集。
第五十条 电子邮件信息除了保存在电子邮箱使用人的个人电脑终端上,还保存在提供电子邮件服务的网络服务提供者的服务器上。
第五十一条 在知悉电子邮箱(Email)地址,但无法掌握电子邮箱使用人计算机的情况下,可通过申请证据调取的方式向审理人民法院申请调查令,并依此要求提供电子邮件服务的网络服务提供者提供相关的电子邮件证据。
第五十二条 如电子邮件服务来源于委托人或对方当事人自行设立的网站,需首先查明该网站所存放的物理服务器位置。
如该网站的服务器系租用电信服务器或由电信部门托管的服务器,可按第五十一条程序固定采集相关的电子邮件证据。
如该网站的服务器系委托人或对方当事人自行保管控制,可通过公证机关或审理人民法院通过证据保全之方式调取相关的电子邮件证据。
第五十三条 作为电子证据固定采集的预备措施,建议律师以恰当地方式提示当事人,在以电子邮件方式与相对人进行意思表示或进行商谈时,对接收到的电子邮件直接以邮件回复方式进行。如此,可动态记录双方意思表示的完整过程,也有助于确定相对人的真实身份。
第四节 来源于互联网络的电子证据—即时通信软件数据
第五十四条 网上聊天记录的内容是当事人法律行为或意思表示,以文字方式借助于电子形式的外在表现,具有动态证明有关法律事实、法律行为、当事人意思表示的特点。从证据形态上看,网上聊天记录集中体现了言词证据的某些特性。
第五十五条 固定采集网上聊天记录内容时,不仅应以双方个人电脑中的聊天记录为主体,还应包括即时通信软件使用人的个人资料、聊天好友资料。
第五十六条 鉴于现阶段在互联网上没有实行网络实名制,因此在固定采集此类电子证据时,应当扩大数据收集范围,尤其是反映聊天记录的用户网名与现实中自然人身份相对应的相关数据。
第五十七条 通过某一方电脑终端固定对方使用人网络身份与真实身份相对应的电子证据时,可以通过对方在互联网上的ID、上网计算机的IP地址、在即时通信软件上登记的个人资料等方式单独或结合使用固定对方的真实身份这一事实。
必要时,通过网络聊天所获得的对方自认的真实身份也可以起到一定的证明作用。
第五十八条 从理论上看,行为人通过即时通信软件所产生的电子数据都会在有关的网络服务提供者提供的聊天服务器上中转、保存。但由于网上聊天系统具有用户成员多、信息流量大等特点及时性相关规定,这些电子数据保存时间不低于60天。因此,对此类电子证据固定采集具有一定的时间要求。
第五十九条 美国微软公司(Microsoft)的即时通信软件MSN及腾迅公司(Tencent)的QQ是目前国内使用最广泛的两款即时通信软件,已形成了一个较为完善、具有相当规模的互联网即时通信体系。
第六十条 某些版本的QQ软件(如木子版QQ、珊瑚版QQ)以及其他显IP外挂程序可以在线监控对方的IP地址及使用的QQ版本,并对IP地址作出初步的物理位置判断。
第六十一条 除非有明确的方法或途径固定相关的操作内容,不建议利用即时通信软件中的文件即时传输功能来传递有关的法律文件、电子信息及电子数据。
第五节 来源于互联网络的电子证据—电子公告信息(BBS)
第六十二条BBS的一般功能有信息发布、问题讨论、文件传输、联机交谈等。不同的BBS通常将这些功能划分为不同标题命名的“版面”。但无论如何,用户都需将传输内容上传到服务器,其他用户才有能进行访问。
第六十三条 一套完整的BBS系统由计算机硬件、软件和系统的管理者、用户共同组成。其中,硬件部分包括一台运行BBS系统程序的计算机(服务器)、连接系统与用户的设备以及用户个人电脑终端。软件部分包括系统和相应的通信程序。
第六十四条BBS证据按存储地的不同,可以分为“存储于BBS服务器上的证据”和“存储于用户个人电脑终端上的证据”两种。具有证明力的BBS证据是存储于BBS服务器上的证据内容,这些数据包括信息发布者形成、上传和存储的数据以及由BBS服务器系统形成的数据两种, 均属于需要固定采集的电子证据内容。
第六节 来源于封闭计算机系统中的电子证据
第六十五条 本指引中所称封闭计算机系统指未连接局域网或互联网的计算机。储存在此类计算机中的、具有电子证据性质的计算机数据之载体主要是计算机硬盘。根据计算机数据产生的性质,可简单将其分为系统数据与用户数据两类。
第六十六条Windows系列操作系统和UNIX是最常见也是应用最广的两种操作系统。鉴于操作系统使用之广泛性,本指引仅涉及Windows操作系统中,相关电子证据的固定采集。
第六十七条 从技术上说,几乎Windows操作系统中的每一项事务都可以在一定程序上被审计。因此,获取各种系统日志是确定电子证据的必要步骤。
第六十八条 访问Windows操作系统维护的各种日志可以获得以下信息:
1、确定计算机在某一时间段内被使用和登录系统的用户;
2、跟踪登录者对特定应用程序的使用;
3、跟踪审核策略的变更,看是否有防御性的策略变化;
4、跟踪用户权限(如非法提高的访问权限)的变化,以及用户和组的变更。
第六十九条 查看注册表是获得当前计算机中,可能具有电子证据性质的系统数据的有效途径。
第七十条 在固定采集系统数据及用户数据时,为保护原始数据,确保证据的有效性不被破坏,通常情况下,采取以下三种方法进行数据备份,对系统进行完整复制:
1、利用磁盘镜像工具对移交的证据介质进行复制。
2、通过添加一个硬盘驱动器的方法创建映象。
3、通过网络发送映象。
无论以上述哪种方式固定采集系统数据,创建数据副本,都需要对原始驱动器和最后的映象文件执行数据完整性校验。
第七十一条 数据完整性校验可以通过专用的校验工具软件进行。建议使用专用的电子取证硬盘复制机(如TALON、QUEST)进行硬盘复制。上述设备均支持MD5 256位校验功能,确保原始数据与复制数据的一致性。
第七十二条 在封闭的计算机系统中固定采集电子证据,尤其应注意检查并固定采集下列文件:
1、扩展名为.pst的Microsoft Outlook电子邮件文件。
Windows系列操作系统默认的存储路径为:Documents and Settings\\LocalSettings\Application Data\Microsoft\Outlook ;
2、回收站中的文件;
3、扩展名为.tmp的检查临时文件;
4、恢复被删除的文件,有相当多的工具软件如Norton可以恢复系统中被删除的文件;
5、Internet历史记录;
第七节 来源于移动存储设备的电子证据
第七十三条 来源于移动存储设备的电子证据通常可分为两类:
1、保存在可移动的电磁或光学介质上的电子数据,如移动硬盘、CDROM光盘等。此外,数码设备中使用的格式卡如CD卡、CF卡、MS记忆棒、手机中的SIM卡等也可以归入此类。
2、保存具备一定计算机功能的移动数字设备中的电子数据,如手机、PDA、车载GPS等。
第七十四条 对保存在可移动的电磁或光学介质(载体)上的电子数据,应当提取原物并将之作为证物使用。
第七十五条 由于原物是以其记载内容而非其自身作为证据使用。因此,可利用相应的硬件设备或软件工具导出或读取有关介质(载体)中的数据,并对导出或读取的数据进行分析。
第七十六条 对上述介质(载体)中的数据进行导出或读取的过程,建议通过公证机关或中立第三方进行并对全过程予以记录,以保证相关数据的真实性。
第七十七条 对于移动数字设备中的电子数据,如不具备提取保存原物之条件,应当按上条之要求与途径,对其中的电子数据进行固定采集。
第七十八条 在固定采集移动数字设备中的电子数据时,应将该设备品牌、型号、操作系统、使用说明书等内容作为环境数据一并固定采集。
第七十九条 固定采集使用手机产生的电子证据时,除了以手机为对象进行固定采集外,还可以通过该手机的通讯网络运营商(中国联通、中国移动、中国电信)进行相关电子证据的固定采集。
第八十条 固定采集通讯网络运营商所保存的手机使用产生的电子证据,建议通过以下两种途径:
1、通过互联网登录运营商的网上营业厅,查询并固定相关的电子证据信息如通话记录、短信记录等等。同时,申请公证机关对此过程进行证据保全公证。
2、通过申请调查令的方式,向通讯网络运营商调取相关手机的通讯记录等数据或内容。
第八十一条 司法实践中,手机短信内容可作为证据使用已无争议。对手机短信内容的固定采集,建议通过公证机关对其进行证据保全的方式进行。
第八十二条 根据现行相关规定,手机号码的开通使用已实行实名制。但基于通讯网络运营商对用户通讯自由与个人隐私之保护,手机机主或使用人身份的确认,需要通过申请人民法院调查令之方式才能使固定采集的电子证据具有合法性。
第四章 电子证据的展示
第八十三条 电子证据作为一种新型的证据形式,要使其发挥证明相关法律事实、法律行为等案件事实的作用,须按照相关证据规则的要求进行证据展示。
第八十四条 在电子证据展示过程中,应充分考虑所掌握电子证据的种类、特征以及区别于其他类型证据的特点,采用科学的展示方法,以便其获得相应的证据证明效力。
第八十五条 展示的电子证据应当包括以下三个方面:
1、证据内容,即电子证据所包含的、可以用来证明某些案件事实的证据或材料。
2、附属信息,指证据内容数据产生、变更、消失的数据,如系统日志、访问时间、IP地址、网站域名归属等。
3、环境数据,指支持电子证据的硬件及软件所产生的数据,如系统的版本数据、系统文档等。
上述三个方面如有缺失,则会直接影响电子证据的真实性、合法性、有效性,甚至导致电子证据不被采信。
第八十六条 由于电子证据的原始状态是一组电子数据(如计算机文件使用的是二进制数据。),需进行一定的程序还原才能显示其内容,并且显示或提取的都是文件的副本。通常情况下,通过以下方法来完成电子证据的展示:
1、通过计算机打印输出的方法;
2、通过计算机读取并处理移动存储介质内电子数据的方法;
3、将计算机系统本身作为证据,以模拟和演示特定条件下计算机的性能证明计算机系统本身的可靠性;
4、将计算机系统所带硬盘作为证据,通过计算机读取处理硬盘数据,展示硬盘内容作为证据展示;或,
5、上述四种方法的结合使用。
第八十七条 在电子证据展示过程中,建议以书面方式提交电子证据信息内容的目录、数据的组织方法、操作系统和应用程序以及正确读取查询信息内容的文档资料。
第八十八条 建议对电子证据的展示,在律师指导下,由专业技术人员进行操作和演示。必要时,由专业技术人员就相关技术问题直接作出说明和解释。
第八十九条 对于涉及技术问题较为专业、复杂的电子证据,建议在电子证据展示的同时,采取以下方法对电子证据中较为专业的技术部分进行解释与说明:
1、申请专家证人对电子证据中相对专业、复杂的部分进行解释与说明;
2、采取模拟演示的方法对电子证据进行解释与说明;
3、使用专用的司法分析软件如ENCASE、FTK (Forensic Toolkit),运用其中的证据监督链(Chain of Custody)信息来对电子证据尤其对其完整性与真实性进行解释与说明。
第五章 附 则
第九十条 本指引由中华全国律师协会信息网络与高新技术专业委员会委托江苏省律师协会电子商务与信息网络业务委员会制定。
第九十一条 本指引系根据现有的电子信息技术而拟定,并非强制性规定,仅供律师在实际业务中参考与借鉴。本指引将根据计算机技术、数字通讯技术及网络技术的不断发展,适时进行修订与补充。
第九十二条 本指引于二〇〇九年八月发布。
注:本指引只作为律师执业的参考。