第三章 电子数据的审查
第二十七条 电子数据是以数字化形式存储、处理、传输的,能够证明案件事实的数据,主要包括以下形式:
(一)网页、社交平台、论坛等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络通讯信息;
(三)用户注册信息、身份认证信息、数字签名、生物识别信息等用户身份信息;
(四)电子交易记录、通信记录、浏览记录、操作记录、程序安装、运行、删除记录等用户行为信息;
(五)恶意程序、工具软件、网站源代码、运行脚本等行为工具信息;
(六)系统日志、应用程序日志、安全日志、数据库日志等系统运行信息;
(七)文档、图片、音频、视频、数字证书、数据库文件等电子文件及其创建时间、访问时间、修改时间、大小等文件附属信息。
第二十八条 电子数据取证主要包括以下方式:收集、提取电子数据;电子数据检查和侦查实验;电子数据检验和鉴定。
收集、提取电子数据可以采取以下方式:
(一)扣押、封存原始存储介质;
(二) 现场提取电子数据;
(三)在线提取电子数据;
(四)冻结电子数据;
(五)调取电子数据。
第二十九条 人民检察院办理网络犯罪案件,应当围绕客观性、合法性、关联性的要求对电子数据进行全面审查。注重审查电子数据与案件事实之间的多元关联,加强综合分析,充分发挥电子数据的证明作用。
第三十条 对电子数据是否客观、真实,注重审查以下内容:
(一)是否移送原始存储介质,在原始存储介质无法封存、不便移动时,是否说明原因,并注明相关情况;
(二)电子数据是否有数字签名、数字证书等特殊标识;
(三)电子数据的收集、提取过程及结果是否可以重现;
(四)电子数据有增加、删除、修改等情形的,是否附有说明;
(五)电子数据的完整性是否可以保证。
第三十一条 对电子数据是否完整,注重审查以下内容:
(一)原始存储介质的扣押、封存状态是否完好;
(二)比对电子数据完整性校验值是否发生变化;
(三)电子数据的原件与备份是否相同;
(四)冻结后的电子数据是否生成新的操作日志。
第三十二条 对电子数据的合法性,注重审查以下内容:
(一)电子数据的收集、提取、保管的方法和过程是否规范;
(二)查询、勘验、扣押、调取、冻结等的法律手续是否齐全;
(三)勘验笔录、搜查笔录、提取笔录等取证记录是否完备;
(四)是否由符合法律规定的取证人员、见证人、持有人(提供人)等参与,因客观原因没有见证人、持有人(提供人)签名或者盖章的,是否说明原因;
(五)是否按照有关规定进行同步录音录像;
(六)对于收集、提取的境外电子数据是否符合国(区)际司法协作及相关法律规定的要求。
第三十三条 对电子数据的关联性,注重审查以下内容:
(一)电子数据与案件事实之间的关联性;
(二)电子数据及其存储介质与案件当事人之间的关联性。
第三十四条 原始存储介质被扣押封存的,注重从以下方面审查扣押封存过程是否规范:
(一)是否记录原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,是否与实物一一对应;
(二)是否封存或者计算完整性校验值,封存前后是否拍摄被封存原始存储介质的照片,照片是否清晰反映封口或者张贴封条处的状况;
(三)是否由取证人员、见证人、持有人(提供人)签名或者盖章。
第三十五条 对原始存储介质制作数据镜像予以提取固定的,注重审查以下内容:
(一)是否记录原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,是否记录原始存储介质的存放位置、使用人、保管人;
(二)是否附有制作数据镜像的工具、方法、过程等必要信息;
(三)是否计算完整性校验值;
(四)是否由取证人员、见证人、持有人(提供人)签名或者盖章。
第三十六条 提取原始存储介质中的数据内容并予以固定的,注重审查以下内容:
(一)是否记录原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,是否记录原始存储介质的存放位置、使用人、保管人;
(二)所提取数据内容的原始存储路径,提取的工具、方法、过程等信息,是否一并提取相关的附属信息、关联痕迹、系统环境等信息;
(三)是否计算完整性校验值;
(四)是否由取证人员、见证人、持有人(提供人)签名或者盖章。
第三十七条 对于在线提取的电子数据,注重审查以下内容:
(一)是否记录反映电子数据来源的网络地址、存储路径或者数据提取时的进入步骤等;
(二)是否记录远程计算机信息系统的访问方式、电子数据的提取日期和时间、提取的工具、方法等信息,是否一并提取相关的附属信息、关联痕迹、系统环境等信息;
(三)是否计算完整性校验值;
(四)是否由取证人员、见证人、持有人(提供人)签名或者盖章。 对可能无法重复提取或者可能出现变化的电子数据,是否随案移送反映提取过程的拍照、录像、截屏等材料。
第三十八条 对冻结的电子数据,注重审查以下内容:
(一)冻结手续是否符合规定;
(二)冻结的电子数据是否与案件事实相关;
(三)冻结期限是否即将到期、有无必要继续冻结或者解除;
(四)冻结期间电子数据是否被增加、删除、修改等。
第三十九条 对调取的电子数据,注重审查以下内容:
(一)调取证据通知书是否注明所调取的电子数据的相关信息;
(二)被调取单位、个人是否在通知书回执上签名或者盖章;
(三)被调取单位、个人拒绝签名、盖章的,是否予以说明;
(四)是否计算完整性校验值或者以其他方法保证电子数据的完整性。
第四十条 对电子数据进行检查、侦查实验,注重审查以下内容:
(一)是否记录检查过程、检查结果和其他需要记录的内容,并由检查人员签名或者盖章;
(二)是否记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签名或者盖章;
(三)检查、侦查实验使用的电子设备、网络环境等是否与发案现场一致或者基本一致;
(四)是否使用拍照、录像、录音、通信数据采集等一种或者多种方式客观记录检查、侦查实验过程。
第四十一条 对电子数据进行检验、鉴定,注重审查以下内容:
(一)鉴定主体的合法性。包括审查司法鉴定机构、司法鉴定人员的资质,委托鉴定事项是否符合司法鉴定机构的业务范围,鉴定人员是否存在回避等情形;
(二)鉴定材料的客观性。包括鉴定材料是否真实、完整、充分,取得方式是否合法,是否与原始电子数据一致;
(三)鉴定方法的科学性。包括鉴定方法是否符合国家标准、行业标准,方法标准的选用是否符合相关规定;
(四)鉴定意见的完整性。是否包含委托人、委托时间、检材信息、鉴定或者分析论证过程、鉴定结果以及鉴定人签名、日期等内容;
(五)鉴定意见与其他在案证据能否相互印证。
对于鉴定机构以外的机构出具的检验、检测报告,可以参照本条规定进行审查。
第四十二条 行政机关在行政执法和查办案件过程中依法收集、提取的电子数据,人民检察院经审查符合法定要求的,可以作为刑事案件的证据使用。
第四十三条 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
(一)未以封存状态移送的;
(二)笔录或者清单上没有取证人员、见证人、持有人(提供人)签名或者盖章的;
(三)对电子数据的名称、类别、格式等注明不清的;
(四)有其他瑕疵的。
第四十四条 电子数据系篡改、伪造、无法确定真伪的,或者有其他无法保证电子数据客观、真实情形的,不得作为定案的根据。
电子数据有增加、删除、修改等情形,但经司法鉴定、当事人确认等方式确定与案件相关的重要数据未发生变化,或者能够还原电子数据原始状态、查清变化过程的,可以作为定案的根据。
第四十五条 对于无法直接展示的电子数据,人民检察院可以要求公安机关提供电子数据的内容、存储位置、附属信息、功能作用等情况的说明,随案移送人民法院。
第四章 出庭支持公诉
第四十六条 人民检察院依法提起公诉的网络犯罪案件,具有下列情形之一的,可以建议人民法院召开庭前会议:
(一)案情疑难复杂的;
(二)跨国(边)境、跨区域案件社会影响重大的;
(三)犯罪嫌疑人、被害人等人数众多、证据材料较多的;
(四)控辩双方对电子数据合法性存在较大争议的;
(五)案件涉及技术手段专业性强,需要控辩双方提前交换意见的;
(六)其他有必要召开庭前会议的情形。
必要时,人民检察院可以向法庭申请指派检察技术人员或者聘请其他有专门知识的人参加庭前会议。
第四十七条 人民法院开庭审理网络犯罪案件,公诉人出示证据可以借助多媒体示证、动态演示等方式进行。必要时,可以向法庭申请指派检察技术人员或者聘请其他有专门知识的人进行相关技术操作,并就专门性问题发表意见。
公诉人在出示电子数据时,应当从以下方面进行说明:
(一)电子数据的来源、形成过程;
(二)电子数据所反映的犯罪手段、人员关系、资金流向、行为轨迹等案件事实;
(三)电子数据与被告人供述、被害人陈述、证人证言、物证、书证等的相互印证情况;
(四)其他应当说明的内容。
第四十八条 在法庭审理过程中,被告人及其辩护人针对电子数据的客观性、合法性、关联性提出辩解或者辩护意见的,公诉人可以围绕争议点从证据来源是否合法,提取、复制、制作过程是否规范,内容是否真实完整,与案件事实有无关联等方面,有针对性地予以答辩。
第四十九条 支持、推动人民法院开庭审判网络犯罪案件全程录音录像。对庭审全程录音录像资料,必要时人民检察院可以商请人民法院复制,并将存储介质附检察卷宗保存。