移動互聯網時代該怎樣電子取證？

隨著移動終端的爆發和云計算的普及，電子數據取證已經成為了新時代的證據類型。電子取證的應用領域非常廣泛，其中包括公安，檢察，工商，稅務，海關以及其他政府部門。國內傳統對電子取證設備有需求的客戶主要集中在司法部門和行政執法部門，但隨著信息技術的普及，其他部門取證需求正在快速增長，比如政務監管部門、企事業單位等。新需求還來自于移動終端設備的升級換代、云端數據的取證以及物聯網設備的發展，這些領域都將增加電子數據取證設備的需求。國內電子取證市場起步雖然比國外先進廠商較晚，但由于國內互聯網和移動系統發展迅速，獨立創新研發日益增多，云計算、大數據和云以及物聯網等應用成為了下一個電子數據取證發展重要領域。

在電子數據取證方面，產品圍繞計算機取證產品，手機取證產品，數據分析產品及取證平臺四大產品線進行新產品的創新突破及更新換代。基于語音識別、語義分析及圖片分類、自動分析的人工智能取證產品：高性能一體化取證綜合平臺“取證航母”、智能化高速取證分析系統“取證金剛”、支持各種移動互聯網智能終端的新型“智能終端取證設備”和“智能終端畫像系統”、移動式和手持式的“智能取證設備”、專注于數據恢復的“恢復大師”等陸續量產供貨。

行行查，行業研究數據庫 www.hanghangcha.com

根據IPCOO軟件保護中心，計算機取證的一般步驟應由以下幾個部分組成：

（1）保護目標計算機系統：凍結計算機系統，以免發生任何的更改系統設置、硬件破壞、數據破壞或病毒感染等情況；

（2）電子證據的確定：從存儲在大容量介質的海量數據中，區分哪些是有用數據，哪些是垃圾數據，以便確定那些由犯罪者留下的活動記錄作為主要的電子證據，并確定這些記錄存在哪里、是怎樣存儲的；

（3）電子證據的收集：包括收集系統的硬件配置信息和網絡拓撲結構，備份或打印系統原始數據，以及收集關鍵的證據數據到取證設備，并詳細記錄有關的日期、時間和操作步驟等；

（4）電子證據的保護：采用有效措施保護電子證據的完整性和真實性，包括用適當的一次性只讀存儲介質(如CD-ROM)進行原始備份、對存放在取證服務器上的電子證據采用加密、物理隔離、建立安全監控系統實時監控取證系統的運行狀態等安全措施進行保護等；

（5）電子證據的分析：對電子證據的分析并得出結果報告：分析包括用一系列的關鍵字搜索獲取最重要的信息；對文件屬性、文件的數字摘要和日志進行分析；分析Windows交換文件、文件碎片和未分配空間中的數據；對電子證據作一些智能相關性的分析，即發掘同一事件的不同證據間的聯系；

（6）歸檔：對取證過程的各個步驟的情況以及鑒定人員對電子證據的分析結果和評估報告等進行歸檔處理，形成能提供給法庭的證據。

根據中國產業信息網，2017年我國電子取證市場規模達到15.57億元，2011-2017年CAGR 21.75%，總體保持較快增長。中國產業信息網預測，至2023年我國電子數據取證市場規模將達到35.62億元，2018-2023年CAGR約為14.79%。

電子取證設備市場規模有望逐步擴容，短期受益于以刑偵三級實驗室建設為代表的公安實驗室建設，行業長期增長邏輯主要在于跨警種、跨行業的需求主體范圍擴大和技術進步帶來的取證對象擴充。

行行查，行業研究數據庫 www.hanghangcha.com

除公安實驗室建設外，長期來看，電子數據取證行業有望受益技術發展和行業拓展。一方面，技術發展與數據量幾何增長，帶來了取證對象的擴充：計算機-互聯網-移動互聯網-云存儲-物聯網取證；另一方面，行業客戶逐漸從公安網安警種往刑偵、經偵、緝毒，從公安部門往監察委、行政執法部門及企事業單位拓展，需求主體范圍逐步擴大。另外，客戶的區域下沉、存量設備的更新維護同樣貢獻市場空間。

電子取證作為舶來品，2001年進入中國伊始，取證核心軟硬件產品以國外廠商為主，例如，介質取證分析軟件（GuidanceSoftware：EnCase、AccessData：FTK 2.0）、硬盤復制機（Paraben：CellSeizure）。2004年，美亞柏科電子數據取證實驗室與廣州市電子數據檢驗鑒定中心的成立開創了國內電子數據取證實驗室的先河。產業發展至今，由于大部分國外產品本地化程度較低且價格昂貴，加之信息的保密性考慮，自主研發產品逐步取代國外產品，成為市場主流。2018年美亞柏科市場份額達到42%，龍頭地位較為穩固。

行行查，行業研究數據庫 www.hanghangcha.com

目前，隨著需要取證的存儲介質形式、容量、數量的增長，電子取證實驗室網絡已逐步發展至分布式架構或云架構，取證軟硬件需求也從以硬盤復制機、介質取證分析軟件為主逐漸擴展到分布式智能取證系統、計算機取證移動工作站、手機取證設備、云取證設備等。

行行查，行業研究數據庫

請至網站www.hanghangcha.com

手機訪問“行行查”小程序更方便

什么是電子證據存證書？

所謂電子證據：我國《民事訴訟法》中規定的“電子數據”，在學術與實踐中常稱為“電子證據”，兩者所指外延大致相同。

根據《民事訴訟法司法解釋》規定，電子數據是指：通過電子郵件、電子數據交換、網上聊天記錄、博客、微博客、手機短信、電子簽名、域名等形成或者存儲在電子介質中的信息。一般來說，電子證據指以現代信息技術為支撐的數據電文作為訴訟證據的統稱。

《關于民事訴訟證據的若干規定》提出，質證時，當事人應當圍繞證據的真實性、關聯性、合法性，針對證據證明能力有誤以及證明力大小進行質疑、說明與辯駁。這也是司法審判人員審查和核實電子證據的標準。

法規條文規范限制：依據《電子簽名法》第八條，審查數據電文作為證據的真實性應當考慮一下因素：

1、生成、儲存或者傳遞數據電文方法的可靠性；

2、保持內容完整性方法的可靠性；

3、用以鑒別發件人方法的可靠性；

4、經司法鑒定未經篡改的電子證據；

“經具有電子數據司法鑒定資質的司法鑒定機構通過標準的鑒定程序鑒定的電子證據，應被認定具有真實性。”

構建電子證據鏈閉環：由于電子數據實時產生、易滅失等特性，契約鎖針對電子合同每一步操作全程留痕、實時記錄存證。將電子證據存證、取證貫穿在電子合同每一次操作過程中，構建電子證據閉環，確保電子合同的證據證明能力。

合同簽署與傳輸：

在技術上，通過CA身份認證與信息加密技術，保障合同簽署過程中簽署身份真實可信、不可抵賴，簽署內容不可篡改。

電子合同簽署與傳輸過程中，利用哈希值固化技術，對每個操作節點的電子數據固定并留存。通過比對簽署前后的合同原文哈希值即可對電子合同是否被篡改給予證明。

合同數據存與證：

借助時間戳技術，電子合同在簽署、存儲、傳輸等過程中的每一次操作都可以加以固定，使每一個環節的電子數據之間相互關聯。

同時，為了確保電子數據存儲的公平公正與權威性，電子合同平臺聯合東方公證處實現電子合同公證服務。根據合同當事人申請，平臺可提供具有權威性的公證書證明電子合同作為證據材料的證明能力

什么是遠程電子取證？

遠程電子取證是指利用計算機軟硬件技術，以符合法律規范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。

從技術方面看，計算機犯罪取證是一個對受侵計算機系統進行掃描和破解，對入侵事件進行重建的過程。

具體而言，是指把計算機看作犯罪現場，運用先進的辨析技術，對計算機犯罪行為進行解剖，搜尋罪犯及其犯罪證據。

什么是電子取證技術？

電子取證是指利用計算機軟硬件技術,以符合法律規范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看,計算機犯罪取證是一個對受侵計算機系統進行掃描和破解,對入侵事件進行重建的過程。

公安電子證據實施細則？

第一章 總 則

第一條 為規范公安機關辦理刑事案件電子數據取證工作，確保電子數據取證質量，提高電子數據取證效率，根據《中華人民共和國刑事訴訟法》《公安機關辦理刑事案件程序規定》等有關規定，制定本規則。

第二條 公安機關辦理刑事案件應當遵守法定程序，遵循有關技術標準，全面、客觀、及時地收集、提取涉案電子數據，確保電子數據的真實、完整。

第三條 電子數據取證包括但不限于：

（一）收集、提取電子數據；

（二）電子數據檢查和偵查實驗；

（三）電子數據檢驗與鑒定。

第四條 公安機關電子數據取證涉及國家秘密、警務工作秘密、商業秘密、個人隱私的，應當保密；對于獲取的材料與案件無關的，應當及時退還或者銷毀。

第五條 公安機關接受或者依法調取的其他國家機關在行政執法和查辦案件過程中依法收集、提取的電子數據可以作為刑事案件的證據使用。

第二章 收集提取電子數據

第一節 一般規定

第六條 收集、提取電子數據，應當由二名以上偵查人員進行。必要時，可以指派或者聘請專業技術人員在偵查人員主持下進行收集、提取電子數據。

第七條 收集、提取電子數據，可以根據案情需要采取以下一種或者幾種措施、方法：

（一）扣押、封存原始存儲介質；

（二）現場提取電子數據；

（三）網絡在線提取電子數據；

（四）凍結電子數據；

（五）調取電子數據。

第八條 具有下列情形之一的，可以采取打印、拍照或者錄像等方式固定相關證據：

（一）無法扣押原始存儲介質并且無法提取電子數據的；

（二）存在電子數據自毀功能或裝置，需要及時固定相關證據的；

（三）需現場展示、查看相關電子數據的。

根據前款第二、三項的規定采取打印、拍照或者錄像等方式固定相關證據后，能夠扣押原始存儲介質的，應當扣押原始存儲介質；不能扣押原始存儲介質但能夠提取電子數據的，應當提取電子數據。

第九條 采取打印、拍照或者錄像方式固定相關證據的，應當清晰反映電子數據的內容，并在相關筆錄中注明采取打印、拍照或者錄像等方式固定相關證據的原因，電子數據的存儲位置、原始存儲介質特征和所在位置等情況，由偵查人員、電子數據持有人（提供人）簽名或者蓋章；電子數據持有人（提供人）無法簽名或者拒絕簽名的，應當在筆錄中注明，由見證人簽名或者蓋章。

第二節 扣押、封存原始存儲介質

第十條 在偵查活動中發現的可以證明犯罪嫌疑人有罪或者無罪、罪輕或者罪重的電子數據，能夠扣押原始存儲介質的，應當扣押、封存原始存儲介質，并制作筆錄，記錄原始存儲介質的封存狀態。

勘驗、檢查與電子數據有關的犯罪現場時，應當按照有關規范處置相關設備，扣押、封存原始存儲介質。

第十一條 對扣押的原始存儲介質，應當按照以下要求封存：

（一）保證在不解除封存狀態的情況下，無法使用或者啟動被封存的原始存儲介質，必要時，具備數據信息存儲功能的電子設備和硬盤、存儲卡等內部存儲介質可以分別封存；

（二）封存前后應當拍攝被封存原始存儲介質的照片。照片應當反映原始存儲介質封存前后的狀況，清晰反映封口或者張貼封條處的狀況；必要時，照片還要清晰反映電子設備的內部存儲介質細節；

（三）封存手機等具有無線通信功能的原始存儲介質，應當采取信號屏蔽、信號阻斷或者切斷電源等措施。

第十二條 對扣押的原始存儲介質，應當會同在場見證人和原始存儲介質持有人（提供人）查點清楚，當場開列《扣押清單》一式三份，寫明原始存儲介質名稱、編號、數量、特征及其來源等，由偵查人員、持有人（提供人）和見證人簽名或者蓋章，一份交給持有人（提供人），一份交給公安機關保管人員，一份附卷備查。

第十三條 對無法確定原始存儲介質持有人（提供人）或者原始存儲介質持有人（提供人）無法簽名、蓋章或者拒絕簽名、蓋章的，應當在有關筆錄中注明，由見證人簽名或者蓋章。由于客觀原因無法由符合條件的人員擔任見證人的，應當在有關筆錄中注明情況，并對扣押原始存儲介質的過程全程錄像。

第十四條 扣押原始存儲介質，應當收集證人證言以及犯罪嫌疑人供述和辯解等與原始存儲介質相關聯的證據。

第十五條 扣押原始存儲介質時，可以向相關人員了解、收集并在有關筆錄中注明以下情況：

（一）原始存儲介質及應用系統管理情況，網絡拓撲與系統架構情況，是否由多人使用及管理，管理及使用人員的身份情況；

（二）原始存儲介質及應用系統管理的用戶名、密碼情況；

（三）原始存儲介質的數據備份情況，有無加密磁盤、容器，有無自毀功能，有無其它移動存儲介質，是否進行過備份，備份數據的存儲位置等情況；

（四）其他相關的內容。

第三節 現場提取電子數據

第十六條 具有下列無法扣押原始存儲介質情形之一的，可以現場提取電子數據：

（一）原始存儲介質不便封存的；

（二）提取計算機內存數據、網絡傳輸數據等不是存儲在存儲介質上的電子數據的；

（三）案件情況緊急，不立即提取電子數據可能會造成電子數據滅失或者其他嚴重后果的；

（四）關閉電子設備會導致重要信息系統停止服務的;

（五）需通過現場提取電子數據排查可疑存儲介質的；

（六）正在運行的計算機信息系統功能或者應用程序關閉后，沒有密碼無法提取的；

（七）其他無法扣押原始存儲介質的情形。

無法扣押原始存儲介質的情形消失后，應當及時扣押、封存原始存儲介質。

第十七條 現場提取電子數據可以采取以下措施保護相關電子設備：

（一）及時將犯罪嫌疑人或者其他相關人員與電子設備分離;

（二）在未確定是否易丟失數據的情況下，不能關閉正在運行狀態的電子設備;

（三）對現場計算機信息系統可能被遠程控制的，應當及時采取信號屏蔽、信號阻斷、斷開網絡連接等措施；

（四）保護電源；

（五）有必要采取的其他保護措施。

第十八條 現場提取電子數據，應當遵守以下規定：

（一）不得將提取的數據存儲在原始存儲介質中；

（二）不得在目標系統中安裝新的應用程序。如果因為特殊原因，需要在目標系統中安裝新的應用程序的，應當在筆錄中記錄所安裝的程序及目的；

（三）應當在有關筆錄中詳細、準確記錄實施的操作。

第十九條 現場提取電子數據，應當制作《電子數據現場提取筆錄》，注明電子數據的來源、事由和目的、對象、提取電子數據的時間、地點、方法、過程、不能扣押原始存儲介質的原因、原始存儲介質的存放地點，并附《電子數據提取固定清單》，注明類別、文件格式、完整性校驗值等，由偵查人員、電子數據持有人（提供人）簽名或者蓋章；電子數據持有人（提供人）無法簽名或者拒絕簽名的，應當在筆錄中注明，由見證人簽名或者蓋章。

第二十條 對提取的電子數據可以進行數據壓縮，并在筆錄中注明相應的方法和壓縮后文件的完整性校驗值。

第二十一條 由于客觀原因無法由符合條件的人員擔任見證人的，應當在《電子數據現場提取筆錄》中注明情況，并全程錄像，對錄像文件應當計算完整性校驗值并記入筆錄。

第二十二條 對無法扣押的原始存儲介質且無法一次性完成電子數據提取的，經登記、拍照或者錄像后，可以封存后交其持有人（提供人）保管，并且開具《登記保存清單》一式兩份，由偵查人員、持有人（提供人）和見證人簽名或者蓋章，一份交給持有人（提供人），另一份連同照片或者錄像資料附卷備查。

持有人（提供人）應當妥善保管，不得轉移、變賣、毀損，不得解除封存狀態，不得未經辦案部門批準接入網絡，不得對其中可能用作證據的電子數據增加、刪除、修改。必要時，應當保持計算機信息系統處于開機狀態。

對登記保存的原始存儲介質，應當在七日以內作出處理決定，逾期不作出處理決定的，視為自動解除。經查明確實與案件無關的，應當在三日以內解除。

第四節 網絡在線提取電子數據

第二十三條 對公開發布的電子數據、境內遠程計算機信息系統上的電子數據，可以通過網絡在線提取。

第二十四條 網絡在線提取應當計算電子數據的完整性校驗值；必要時，可以提取有關電子簽名認證證書、數字簽名、注冊信息等關聯性信息。

第二十五條 網絡在線提取時，對可能無法重復提取或者可能會出現變化的電子數據，應當采用錄像、拍照、截獲計算機屏幕內容等方式記錄以下信息：

（一）遠程計算機信息系統的訪問方式；

（二）提取的日期和時間；

（三）提取使用的工具和方法；

（四）電子數據的網絡地址、存儲路徑或者數據提取時的進入步驟等；

（五）計算完整性校驗值的過程和結果。

第二十六條 網絡在線提取電子數據應當在有關筆錄中注明電子數據的來源、事由和目的、對象，提取電子數據的時間、地點、方法、過程，不能扣押原始存儲介質的原因，并附《電子數據提取固定清單》，注明類別、文件格式、完整性校驗值等，由偵查人員簽名或者蓋章。

第二十七條 網絡在線提取時需要進一步查明下列情形之一的，應當對遠程計算機信息系統進行網絡遠程勘驗：

（一）需要分析、判斷提取的電子數據范圍的；

（二）需要展示或者描述電子數據內容或者狀態的；

（三）需要在遠程計算機信息系統中安裝新的應用程序的；

（四）需要通過勘驗行為讓遠程計算機信息系統生成新的除正常運行數據外電子數據的；

（五）需要收集遠程計算機信息系統狀態信息、系統架構、內部系統關系、文件目錄結構、系統工作方式等電子數據相關信息的；

（六）其他網絡在線提取時需要進一步查明有關情況的情形。

第二十八條 網絡遠程勘驗由辦理案件的縣級公安機關負責。上級公安機關對下級公安機關刑事案件網絡遠程勘驗提供技術支援。對于案情重大、現場復雜的案件，上級公安機關認為有必要時，可以直接組織指揮網絡遠程勘驗。

第二十九條 網絡遠程勘驗應當統一指揮，周密組織，明確分工，落實責任。

第三十條 網絡遠程勘驗應當由符合條件的人員作為見證人。由于客觀原因無法由符合條件的人員擔任見證人的，應當在《遠程勘驗筆錄》中注明情況，并按照本規則第二十五條的規定錄像，錄像可以采用屏幕錄像或者錄像機錄像等方式，錄像文件應當計算完整性校驗值并記入筆錄。

第三十一條 遠程勘驗結束后，應當及時制作《遠程勘驗筆錄》，詳細記錄遠程勘驗有關情況以及勘驗照片、截獲的屏幕截圖等內容。由偵查人員和見證人簽名或者蓋章。

遠程勘驗并且提取電子數據的，應當按照本規則第二十六條的規定，在《遠程勘驗筆錄》注明有關情況，并附《電子數據提取固定清單》。

第三十二條 《遠程勘驗筆錄》應當客觀、全面、詳細、準確、規范，能夠作為還原遠程計算機信息系統原始情況的依據，符合法定的證據要求。

對計算機信息系統進行多次遠程勘驗的，在制作首次《遠程勘驗筆錄》后，逐次制作補充《遠程勘驗筆錄》。

第三十三條 網絡在線提取或者網絡遠程勘驗時，應當使用電子數據持有人、網絡服務提供者提供的用戶名、密碼等遠程計算機信息系統訪問權限。

采用技術偵查措施收集電子數據的，應當嚴格依照有關規定辦理批準手續。收集的電子數據在訴訟中作為證據使用時，應當依照刑事訴訟法第一百五十四條規定執行。

第三十四條 對以下犯罪案件，網絡在線提取、遠程勘驗過程應當全程同步錄像：

（一）嚴重危害國家安全、公共安全的案件；

（二）電子數據是罪與非罪、是否判處無期徒刑、死刑等定罪量刑關鍵證據的案件；

（三）社會影響較大的案件；

（四）犯罪嫌疑人可能被判處五年有期徒刑以上刑罰的案件；

（五）其他需要全程同步錄像的重大案件。

第三十五條 網絡在線提取、遠程勘驗使用代理服務器、點對點傳輸軟件、下載加速軟件等網絡工具的，應當在《網絡在線提取筆錄》或者《遠程勘驗筆錄》中注明采用的相關軟件名稱和版本號。

第五節 凍結電子數據

第三十六條 具有下列情形之一的，可以對電子數據進行凍結：

（一）數據量大，無法或者不便提取的；

（二）提取時間長，可能造成電子數據被篡改或者滅失的；

（三）通過網絡應用可以更為直觀地展示電子數據的；

（四）其他需要凍結的情形。

第三十七條 凍結電子數據，應當經縣級以上公安機關負責人批準，制作《協助凍結電子數據通知書》，注明凍結電子數據的網絡應用賬號等信息，送交電子數據持有人、網絡服務提供者或者有關部門協助辦理。

第三十八條 不需要繼續凍結電子數據時，應當經縣級以上公安機關負責人批準，在三日以內制作《解除凍結電子數據通知書》，通知電子數據持有人、網絡服務提供者或者有關部門執行。

第三十九條 凍結電子數據的期限為六個月。有特殊原因需要延長期限的，公安機關應當在凍結期限屆滿前辦理繼續凍結手續。每次續凍期限最長不得超過六個月。繼續凍結的，應當按照本規則第三十七條的規定重新辦理凍結手續。逾期不辦理繼續凍結手續的，視為自動解除。

第四十條 凍結電子數據，應當采取以下一種或者幾種方法：

（一）計算電子數據的完整性校驗值；

（二）鎖定網絡應用賬號；

（三）采取寫保護措施；

（四）其他防止增加、刪除、修改電子數據的措施。

第六節 調取電子數據

第四十一條 公安機關向有關單位和個人調取電子數據，應當經辦案部門負責人批準，開具《調取證據通知書》，注明需要調取電子數據的相關信息，通知電子數據持有人、網絡服務提供者或者有關部門執行。被調取單位、個人應當在通知書回執上簽名或者蓋章，并附完整性校驗值等保護電子數據完整性方法的說明，被調取單位、個人拒絕蓋章、簽名或者附說明的，公安機關應當注明。必要時，應當采用錄音或者錄像等方式固定證據內容及取證過程。

公安機關應當協助因客觀條件限制無法保護電子數據完整性的被調取單位、個人進行電子數據完整性的保護。

第四十二條 公安機關跨地域調查取證的，可以將《辦案協作函》和相關法律文書及憑證傳真或者通過公安機關信息化系統傳輸至協作地公安機關。協作地辦案部門經審查確認后，在傳來的法律文書上加蓋本地辦案部門印章后，代為調查取證。

協作地辦案部門代為調查取證后，可以將相關法律文書回執或者筆錄郵寄至辦案地公安機關，將電子數據或者電子數據的獲取、查看工具和方法說明通過公安機關信息化系統傳輸至辦案地公安機關。

辦案地公安機關應當審查調取電子數據的完整性，對保證電子數據的完整性有疑問的，協作地辦案部門應當重新代為調取。

第三章 電子數據的檢查和偵查實驗

第一節 電子數據檢查

第四十三條 對扣押的原始存儲介質或者提取的電子數據，需要通過數據恢復、破解、搜索、仿真、關聯、統計、比對等方式，以進一步發現和提取與案件相關的線索和證據時，可以進行電子數據檢查。

第四十四條 電子數據檢查，應當由二名以上具有專業技術的偵查人員進行。必要時，可以指派或者聘請有專門知識的人參加。

第四十五條 電子數據檢查應當符合相關技術標準。

第四十六條 電子數據檢查應當保護在公安機關內部移交過程中電子數據的完整性。移交時，應當辦理移交手續，并按照以下方式核對電子數據：

（一）核對其完整性校驗值是否正確；

（二）核對封存的照片與當前封存的狀態是否一致。

對于移交時電子數據完整性校驗值不正確、原始存儲介質封存狀態不一致或者未封存可能影響證據真實性、完整性的，檢查人員應當在有關筆錄中注明。

第四十七條 檢查電子數據應當遵循以下原則：

（一）通過寫保護設備接入到檢查設備進行檢查，或者制作電子數據備份、對備份進行檢查；

（二）無法使用寫保護設備且無法制作備份的，應當注明原因，并全程錄像；

（三）檢查前解除封存、檢查后重新封存前后應當拍攝被封存原始存儲介質的照片，清晰反映封口或者張貼封條處的狀況;

（四）檢查具有無線通信功能的原始存儲介質，應當采取信號屏蔽、信號阻斷或者切斷電源等措施保護電子數據的完整性。

第四十八條 檢查電子數據，應當制作《電子數據檢查筆錄》，記錄以下內容：

（一）基本情況。包括檢查的起止時間，指揮人員、檢查人員的姓名、職務，檢查的對象，檢查的目的等；

（二）檢查過程。包括檢查過程使用的工具，檢查的方法與步驟等；

（三）檢查結果。包括通過檢查發現的案件線索、電子數據、等相關信息。

（四）其他需要記錄的內容。

第四十九條 電子數據檢查時需要提取電子數據的，應當制作《電子數據提取固定清單》，記錄該電子數據的來源、提取方法和完整性校驗值。

第二節 電子數據偵查實驗

第五十條 為了查明案情，必要時，經縣級以上公安機關負責人批準可以進行電子數據偵查實驗。

第五十一條 電子數據偵查實驗的任務包括:

（一）驗證一定條件下電子設備發生的某種異常或者電子數據發生的某種變化；

（二）驗證在一定時間內能否完成對電子數據的某種操作行為；

（三）驗證在某種條件下使用特定軟件、硬件能否完成某種特定行為、造成特定后果；

（四）確定一定條件下某種計算機信息系統應用或者網絡行為能否修改、刪除特定的電子數據；

（五）其他需要驗證的情況。

第五十二條 電子數據偵查實驗應當符合以下要求:

（一）應當采取技術措施保護原始存儲介質數據的完整性；

（二）有條件的，電子數據偵查實驗應當進行二次以上；

（三）偵查實驗使用的電子設備、網絡環境等應當與發案現場一致或者基本一致；必要時，可以采用相關技術方法對相關環境進行模擬或者進行對照實驗；

（四）禁止可能泄露公民信息或者影響非實驗環境計算機信息系統正常運行的行為。

第五十三條 進行電子數據偵查實驗，應當使用拍照、錄像、錄音、通信數據采集等一種或多種方式客觀記錄實驗過程。

第五十四條 進行電子數據偵查實驗，應當制作《電子數據偵查實驗筆錄》，記錄偵查實驗的條件、過程和結果，并由參加偵查實驗的人員簽名或者蓋章。

第四章 電子數據委托檢驗與鑒定

第五十五條 為了查明案情，解決案件中某些專門性問題，應當指派、聘請有專門知識的人進行鑒定，或者委托公安部指定的機構出具報告。

需要聘請有專門知識的人進行鑒定，或者委托公安部指定的機構出具報告的，應當經縣級以上公安機關負責人批準。

第五十六條 偵查人員送檢時，應當封存原始存儲介質、采取相應措施保護電子數據完整性，并提供必要的案件相關信息。

第五十七條 公安部指定的機構及其承擔檢驗工作的人員應當獨立開展業務并承擔相應責任，不受其他機構和個人影響。

第五十八條 公安部指定的機構應當按照法律規定和司法審判機關要求承擔回避、保密、出庭作證等義務，并對報告的真實性、合法性負責。

公安部指定的機構應當運用科學方法進行檢驗、檢測，并出具報告。

第五十九條 公安部指定的機構應當具備必需的儀器、設備并且依法通過資質認定或者實驗室認可。

第六十條 委托公安部指定的機構出具報告的其他事宜，參照《公安機關鑒定規則》等有關規定執行。

第五章 附 則

第六十一條 本規則自2019年2月1日起施行。公安部之前發布的文件與本規則不一致的，以本規則為準。