当前位置:首 页 >文章正文
电子数据的冻结与检查
作者:本网综合 发布:2018-11-24 浏览量:1857
一、电子数据冻结
随着云计算等信息技术的发展,越来越多的电子数据存储在云系统或者大型在线系统中,这些情形下原始存储介质无法封存且数据提取困难,给侦查工作带来极大的困扰。为适应实践需要,针对云计算、大数据环境下电子数据取证的问题,《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《规定》)第十一条、第十二条规定了电子数据冻结。
具体而言,具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:
(1)数据量大,无法或者不便提取的。如在一起传播淫秽物品牟利案中,涉案70个网络云盘涉及淫秽视频150余万部,共1000T,按照传统固定证据方式,需要2T硬盘500块。
(2)提取时间长,可能造成电子数据被篡改或者灭失的。如在一起网络贩卖、传播淫秽视频案中,共查扣涉案网盘近千个,按照一条100兆光纤(属较高级别带宽)下载速度及运行商能够提供的最高限速,在全程无中断情况下,预计时间为15至16个月。
(3)通过网络应用可以更为直观地展示电子数据的。如在一起非法集资案中,大量电子数据是从云系统提取的,而这些数据只有在云环境下才能方便的查看、筛选。
(4)其他需要冻结的情形。
对于冻结电子数据的具体操作,《规定》第十二条明确:“冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。”“冻结电子数据,应当采取以下一种或者几种方法:⑴计算电子数据的完整性校验值;⑵锁定网络应用账号;⑶其他防止增加、删除、修改电子数据的措施。”
二、电子数据检查
电子数据同传统证据存在不同,传统物证、书证等在侦查过程中一般只涉及两个阶段,即现场勘验、搜查、提取、扣押阶段以及鉴定检验阶段,一般工作在现场即可完成,对于专门性技术问题通过鉴定检验就可以解决。但是,电子数据仅两个阶段并不能实现所有侦查目的,实践中电子数据的形式、来源复杂多样,通过简单收集、提取的电子数据很难清晰地证明某一犯罪事实,如提取了一个加密文件,需要解密后才能移送;再如在现场制作了某存储介质的镜像文件,需要对该文件进一步恢复才能提取被删除的电子数据,而不是直接移送。对于这些问题,也不宜都作为专门性问题进行鉴定、检验。为此,对于电子数据需要在现场取证和鉴定、检验之间增加一个阶段,即扣押后由侦查人员对电子数据的进一步恢复、破解、统计、关联、比对等处理。该阶段处于现场取证和鉴定、检验之间,是现场取证工作的自然延续,不属于专门性技术问题的检验、鉴定。《规定》第十六条将这个过程规定为电子数据检查,即“对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。”。
依照《规定》第十六条第二款和第三款,电子数据检查应当按以下规定操作:
(1)电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
(2)电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。
关联法律法规条文
最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定
第十一条 具有下列情形之一的,经县级以上公安机关负责人或者检察长批准,可以对电子数据进行冻结:
(一)数据量大,无法或者不便提取的;
(二)提取时间长,可能造成电子数据被篡改或者灭失的;
(三)通过网络应用可以更为直观地展示电子数据的;
(四)其他需要冻结的情形。
第十二条 冻结电子数据,应当制作协助冻结通知书,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。解除冻结的,应当在三日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
冻结电子数据,应当采取以下一种或者几种方法:
(一)计算电子数据的完整性校验值;
(二)锁定网络应用账号;
(三)其他防止增加、删除、修改电子数据的措施。
第十六条 对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。
电子数据检查,应当对电子数据存储介质拆封过程进行录像,并将电子数据存储介质通过写保护设备接入到检查设备进行检查;有条件的,应当制作电子数据备份,对备份进行检查;无法使用写保护设备且无法制作备份的,应当注明原因,并对相关活动进行录像。
电子数据检查应当制作笔录,注明检查方法、过程和结果,由有关人员签名或者盖章。进行侦查实验的,应当制作侦查实验笔录,注明侦查实验的条件、经过和结果,由参加实验的人员签名或者盖章。