电子取证,移动互联网时代该怎样电子取证?

移动互联网时代该怎样电子取证？

随着移动终端的爆发和云计算的普及，电子数据取证已经成为了新时代的证据类型。电子取证的应用领域非常广泛，其中包括公安，检察，工商，税务，海关以及其他政府部门。国内传统对电子取证设备有需求的客户主要集中在司法部门和行政执法部门，但随着信息技术的普及，其他部门取证需求正在快速增长，比如政务监管部门、企事业单位等。新需求还来自于移动终端设备的升级换代、云端数据的取证以及物联网设备的发展，这些领域都将增加电子数据取证设备的需求。国内电子取证市场起步虽然比国外先进厂商较晚，但由于国内互联网和移动系统发展迅速，独立创新研发日益增多，云计算、大数据和云以及物联网等应用成为了下一个电子数据取证发展重要领域。

在电子数据取证方面，产品围绕计算机取证产品，手机取证产品，数据分析产品及取证平台四大产品线进行新产品的创新突破及更新换代。基于语音识别、语义分析及图片分类、自动分析的人工智能取证产品：高性能一体化取证综合平台“取证航母”、智能化高速取证分析系统“取证金刚”、支持各种移动互联网智能终端的新型“智能终端取证设备”和“智能终端画像系统”、移动式和手持式的“智能取证设备”、专注于数据恢复的“恢复大师”等陆续量产供货。

行行查，行业研究数据库 www.hanghangcha.com

根据IPCOO软件保护中心，计算机取证的一般步骤应由以下几个部分组成：

（1）保护目标计算机系统：冻结计算机系统，以免发生任何的更改系统设置、硬件破坏、数据破坏或病毒感染等情况；

（2）电子证据的确定：从存储在大容量介质的海量数据中，区分哪些是有用数据，哪些是垃圾数据，以便确定那些由犯罪者留下的活动记录作为主要的电子证据，并确定这些记录存在哪里、是怎样存储的；

（3）电子证据的收集：包括收集系统的硬件配置信息和网络拓扑结构，备份或打印系统原始数据，以及收集关键的证据数据到取证设备，并详细记录有关的日期、时间和操作步骤等；

（4）电子证据的保护：采用有效措施保护电子证据的完整性和真实性，包括用适当的一次性只读存储介质(如CD-ROM)进行原始备份、对存放在取证服务器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系统的运行状态等安全措施进行保护等；

（5）电子证据的分析：对电子证据的分析并得出结果报告：分析包括用一系列的关键字搜索获取最重要的信息；对文件属性、文件的数字摘要和日志进行分析；分析Windows交换文件、文件碎片和未分配空间中的数据；对电子证据作一些智能相关性的分析，即发掘同一事件的不同证据间的联系；

（6）归档：对取证过程的各个步骤的情况以及鉴定人员对电子证据的分析结果和评估报告等进行归档处理，形成能提供给法庭的证据。

根据中国产业信息网，2017年我国电子取证市场规模达到15.57亿元，2011-2017年CAGR 21.75%，总体保持较快增长。中国产业信息网预测，至2023年我国电子数据取证市场规模将达到35.62亿元，2018-2023年CAGR约为14.79%。

电子取证设备市场规模有望逐步扩容，短期受益于以刑侦三级实验室建设为代表的公安实验室建设，行业长期增长逻辑主要在于跨警种、跨行业的需求主体范围扩大和技术进步带来的取证对象扩充。

行行查，行业研究数据库 www.hanghangcha.com

除公安实验室建设外，长期来看，电子数据取证行业有望受益技术发展和行业拓展。一方面，技术发展与数据量几何增长，带来了取证对象的扩充：计算机-互联网-移动互联网-云存储-物联网取证；另一方面，行业客户逐渐从公安网安警种往刑侦、经侦、缉毒，从公安部门往监察委、行政执法部门及企事业单位拓展，需求主体范围逐步扩大。另外，客户的区域下沉、存量设备的更新维护同样贡献市场空间。

电子取证作为舶来品，2001年进入中国伊始，取证核心软硬件产品以国外厂商为主，例如，介质取证分析软件（GuidanceSoftware：EnCase、AccessData：FTK 2.0）、硬盘复制机（Paraben：CellSeizure）。2004年，美亚柏科电子数据取证实验室与广州市电子数据检验鉴定中心的成立开创了国内电子数据取证实验室的先河。产业发展至今，由于大部分国外产品本地化程度较低且价格昂贵，加之信息的保密性考虑，自主研发产品逐步取代国外产品，成为市场主流。2018年美亚柏科市场份额达到42%，龙头地位较为稳固。

行行查，行业研究数据库 www.hanghangcha.com

目前，随着需要取证的存储介质形式、容量、数量的增长，电子取证实验室网络已逐步发展至分布式架构或云架构，取证软硬件需求也从以硬盘复制机、介质取证分析软件为主逐渐扩展到分布式智能取证系统、计算机取证移动工作站、手机取证设备、云取证设备等。

行行查，行业研究数据库

请至网站www.hanghangcha.com

手机访问“行行查”小程序更方便

什么是电子证据存证书？

所谓电子证据：我国《民事诉讼法》中规定的“电子数据”，在学术与实践中常称为“电子证据”，两者所指外延大致相同。

根据《民事诉讼法司法解释》规定，电子数据是指：通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。一般来说，电子证据指以现代信息技术为支撑的数据电文作为诉讼证据的统称。

《关于民事诉讼证据的若干规定》提出，质证时，当事人应当围绕证据的真实性、关联性、合法性，针对证据证明能力有误以及证明力大小进行质疑、说明与辩驳。这也是司法审判人员审查和核实电子证据的标准。

法规条文规范限制：依据《电子签名法》第八条，审查数据电文作为证据的真实性应当考虑一下因素：

1、生成、储存或者传递数据电文方法的可靠性；

2、保持内容完整性方法的可靠性；

3、用以鉴别发件人方法的可靠性；

4、经司法鉴定未经篡改的电子证据；

“经具有电子数据司法鉴定资质的司法鉴定机构通过标准的鉴定程序鉴定的电子证据，应被认定具有真实性。”

构建电子证据链闭环：由于电子数据实时产生、易灭失等特性，契约锁针对电子合同每一步操作全程留痕、实时记录存证。将电子证据存证、取证贯穿在电子合同每一次操作过程中，构建电子证据闭环，确保电子合同的证据证明能力。

合同签署与传输：

在技术上，通过CA身份认证与信息加密技术，保障合同签署过程中签署身份真实可信、不可抵赖，签署内容不可篡改。

电子合同签署与传输过程中，利用哈希值固化技术，对每个操作节点的电子数据固定并留存。通过比对签署前后的合同原文哈希值即可对电子合同是否被篡改给予证明。

合同数据存与证：

借助时间戳技术，电子合同在签署、存储、传输等过程中的每一次操作都可以加以固定，使每一个环节的电子数据之间相互关联。

同时，为了确保电子数据存储的公平公正与权威性，电子合同平台联合东方公证处实现电子合同公证服务。根据合同当事人申请，平台可提供具有权威性的公证书证明电子合同作为证据材料的证明能力

什么是远程电子取证？

远程电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。

具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

什么是电子取证技术？

电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。

公安电子证据实施细则？

第一章 总 则

第一条 为规范公安机关办理刑事案件电子数据取证工作，确保电子数据取证质量，提高电子数据取证效率，根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定，制定本规则。

第二条 公安机关办理刑事案件应当遵守法定程序，遵循有关技术标准，全面、客观、及时地收集、提取涉案电子数据，确保电子数据的真实、完整。

第三条 电子数据取证包括但不限于：

（一）收集、提取电子数据；

（二）电子数据检查和侦查实验；

（三）电子数据检验与鉴定。

第四条 公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的，应当保密；对于获取的材料与案件无关的，应当及时退还或者销毁。

第五条 公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。

第二章 收集提取电子数据

第一节 一般规定

第六条 收集、提取电子数据，应当由二名以上侦查人员进行。必要时，可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。

第七条 收集、提取电子数据，可以根据案情需要采取以下一种或者几种措施、方法：

（一）扣押、封存原始存储介质；

（二）现场提取电子数据；

（三）网络在线提取电子数据；

（四）冻结电子数据；

（五）调取电子数据。

第八条 具有下列情形之一的，可以采取打印、拍照或者录像等方式固定相关证据：

（一）无法扣押原始存储介质并且无法提取电子数据的；

（二）存在电子数据自毁功能或装置，需要及时固定相关证据的；

（三）需现场展示、查看相关电子数据的。

根据前款第二、三项的规定采取打印、拍照或者录像等方式固定相关证据后，能够扣押原始存储介质的，应当扣押原始存储介质；不能扣押原始存储介质但能够提取电子数据的，应当提取电子数据。

第九条 采取打印、拍照或者录像方式固定相关证据的，应当清晰反映电子数据的内容，并在相关笔录中注明采取打印、拍照或者录像等方式固定相关证据的原因，电子数据的存储位置、原始存储介质特征和所在位置等情况，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。

第二节 扣押、封存原始存储介质

第十条 在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据，能够扣押原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。

勘验、检查与电子数据有关的犯罪现场时，应当按照有关规范处置相关设备，扣押、封存原始存储介质。

第十一条 对扣押的原始存储介质，应当按照以下要求封存：

（一）保证在不解除封存状态的情况下，无法使用或者启动被封存的原始存储介质，必要时，具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存；

（二）封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况，清晰反映封口或者张贴封条处的状况；必要时，照片还要清晰反映电子设备的内部存储介质细节；

（三）封存手机等具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

第十二条 对扣押的原始存储介质，应当会同在场见证人和原始存储介质持有人（提供人）查点清楚，当场开列《扣押清单》一式三份，写明原始存储介质名称、编号、数量、特征及其来源等，由侦查人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），一份交给公安机关保管人员，一份附卷备查。

第十三条 对无法确定原始存储介质持有人（提供人）或者原始存储介质持有人（提供人）无法签名、盖章或者拒绝签名、盖章的，应当在有关笔录中注明，由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的，应当在有关笔录中注明情况，并对扣押原始存储介质的过程全程录像。

第十四条 扣押原始存储介质，应当收集证人证言以及犯罪嫌疑人供述和辩解等与原始存储介质相关联的证据。

第十五条 扣押原始存储介质时，可以向相关人员了解、收集并在有关笔录中注明以下情况：

（一）原始存储介质及应用系统管理情况，网络拓扑与系统架构情况，是否由多人使用及管理，管理及使用人员的身份情况；

（二）原始存储介质及应用系统管理的用户名、密码情况；

（三）原始存储介质的数据备份情况，有无加密磁盘、容器，有无自毁功能，有无其它移动存储介质，是否进行过备份，备份数据的存储位置等情况；

（四）其他相关的内容。

第三节 现场提取电子数据

第十六条 具有下列无法扣押原始存储介质情形之一的，可以现场提取电子数据：

（一）原始存储介质不便封存的；

（二）提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的；

（三）案件情况紧急，不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的；

（四）关闭电子设备会导致重要信息系统停止服务的;

（五）需通过现场提取电子数据排查可疑存储介质的；

（六）正在运行的计算机信息系统功能或者应用程序关闭后，没有密码无法提取的；

（七）其他无法扣押原始存储介质的情形。

无法扣押原始存储介质的情形消失后，应当及时扣押、封存原始存储介质。

第十七条 现场提取电子数据可以采取以下措施保护相关电子设备：

（一）及时将犯罪嫌疑人或者其他相关人员与电子设备分离;

（二）在未确定是否易丢失数据的情况下，不能关闭正在运行状态的电子设备;

（三）对现场计算机信息系统可能被远程控制的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施；

（四）保护电源；

（五）有必要采取的其他保护措施。

第十八条 现场提取电子数据，应当遵守以下规定：

（一）不得将提取的数据存储在原始存储介质中；

（二）不得在目标系统中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当在笔录中记录所安装的程序及目的；

（三）应当在有关笔录中详细、准确记录实施的操作。

第十九条 现场提取电子数据，应当制作《电子数据现场提取笔录》，注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点，并附《电子数据提取固定清单》，注明类别、文件格式、完整性校验值等，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。

第二十条 对提取的电子数据可以进行数据压缩，并在笔录中注明相应的方法和压缩后文件的完整性校验值。

第二十一条 由于客观原因无法由符合条件的人员担任见证人的，应当在《电子数据现场提取笔录》中注明情况，并全程录像，对录像文件应当计算完整性校验值并记入笔录。

第二十二条 对无法扣押的原始存储介质且无法一次性完成电子数据提取的，经登记、拍照或者录像后，可以封存后交其持有人（提供人）保管，并且开具《登记保存清单》一式两份，由侦查人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），另一份连同照片或者录像资料附卷备查。

持有人（提供人）应当妥善保管，不得转移、变卖、毁损，不得解除封存状态，不得未经办案部门批准接入网络，不得对其中可能用作证据的电子数据增加、删除、修改。必要时，应当保持计算机信息系统处于开机状态。

对登记保存的原始存储介质，应当在七日以内作出处理决定，逾期不作出处理决定的，视为自动解除。经查明确实与案件无关的，应当在三日以内解除。

第四节 网络在线提取电子数据

第二十三条 对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取。

第二十四条 网络在线提取应当计算电子数据的完整性校验值；必要时，可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

第二十五条 网络在线提取时，对可能无法重复提取或者可能会出现变化的电子数据，应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息：

（一）远程计算机信息系统的访问方式；

（二）提取的日期和时间；

（三）提取使用的工具和方法；

（四）电子数据的网络地址、存储路径或者数据提取时的进入步骤等；

（五）计算完整性校验值的过程和结果。

第二十六条 网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象，提取电子数据的时间、地点、方法、过程，不能扣押原始存储介质的原因，并附《电子数据提取固定清单》，注明类别、文件格式、完整性校验值等，由侦查人员签名或者盖章。

第二十七条 网络在线提取时需要进一步查明下列情形之一的，应当对远程计算机信息系统进行网络远程勘验：

（一）需要分析、判断提取的电子数据范围的；

（二）需要展示或者描述电子数据内容或者状态的；

（三）需要在远程计算机信息系统中安装新的应用程序的；

（四）需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的；

（五）需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的；

（六）其他网络在线提取时需要进一步查明有关情况的情形。

第二十八条 网络远程勘验由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件，上级公安机关认为有必要时，可以直接组织指挥网络远程勘验。

第二十九条 网络远程勘验应当统一指挥，周密组织，明确分工，落实责任。

第三十条 网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的，应当在《远程勘验笔录》中注明情况，并按照本规则第二十五条的规定录像，录像可以采用屏幕录像或者录像机录像等方式，录像文件应当计算完整性校验值并记入笔录。

第三十一条 远程勘验结束后，应当及时制作《远程勘验笔录》，详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。

远程勘验并且提取电子数据的，应当按照本规则第二十六条的规定，在《远程勘验笔录》注明有关情况，并附《电子数据提取固定清单》。

第三十二条 《远程勘验笔录》应当客观、全面、详细、准确、规范，能够作为还原远程计算机信息系统原始情况的依据，符合法定的证据要求。

对计算机信息系统进行多次远程勘验的，在制作首次《远程勘验笔录》后，逐次制作补充《远程勘验笔录》。

第三十三条 网络在线提取或者网络远程勘验时，应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。

采用技术侦查措施收集电子数据的，应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时，应当依照刑事诉讼法第一百五十四条规定执行。

第三十四条 对以下犯罪案件，网络在线提取、远程勘验过程应当全程同步录像：

（一）严重危害国家安全、公共安全的案件；

（二）电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件；

（三）社会影响较大的案件；

（四）犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件；

（五）其他需要全程同步录像的重大案件。

第三十五条 网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的，应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。

第五节 冻结电子数据

第三十六条 具有下列情形之一的，可以对电子数据进行冻结：

（一）数据量大，无法或者不便提取的；

（二）提取时间长，可能造成电子数据被篡改或者灭失的；

（三）通过网络应用可以更为直观地展示电子数据的；

（四）其他需要冻结的情形。

第三十七条 冻结电子数据，应当经县级以上公安机关负责人批准，制作《协助冻结电子数据通知书》，注明冻结电子数据的网络应用账号等信息，送交电子数据持有人、网络服务提供者或者有关部门协助办理。

第三十八条 不需要继续冻结电子数据时，应当经县级以上公安机关负责人批准，在三日以内制作《解除冻结电子数据通知书》，通知电子数据持有人、网络服务提供者或者有关部门执行。

第三十九条 冻结电子数据的期限为六个月。有特殊原因需要延长期限的，公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的，应当按照本规则第三十七条的规定重新办理冻结手续。逾期不办理继续冻结手续的，视为自动解除。

第四十条 冻结电子数据，应当采取以下一种或者几种方法：

（一）计算电子数据的完整性校验值；

（二）锁定网络应用账号；

（三）采取写保护措施；

（四）其他防止增加、删除、修改电子数据的措施。

第六节 调取电子数据

第四十一条 公安机关向有关单位和个人调取电子数据，应当经办案部门负责人批准，开具《调取证据通知书》，注明需要调取电子数据的相关信息，通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章，并附完整性校验值等保护电子数据完整性方法的说明，被调取单位、个人拒绝盖章、签名或者附说明的，公安机关应当注明。必要时，应当采用录音或者录像等方式固定证据内容及取证过程。

公安机关应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。

第四十二条 公安机关跨地域调查取证的，可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后，在传来的法律文书上加盖本地办案部门印章后，代为调查取证。

协作地办案部门代为调查取证后，可以将相关法律文书回执或者笔录邮寄至办案地公安机关，将电子数据或者电子数据的获取、查看工具和方法说明通过公安机关信息化系统传输至办案地公安机关。

办案地公安机关应当审查调取电子数据的完整性，对保证电子数据的完整性有疑问的，协作地办案部门应当重新代为调取。

第三章 电子数据的检查和侦查实验

第一节 电子数据检查

第四十三条 对扣押的原始存储介质或者提取的电子数据，需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式，以进一步发现和提取与案件相关的线索和证据时，可以进行电子数据检查。

第四十四条 电子数据检查，应当由二名以上具有专业技术的侦查人员进行。必要时，可以指派或者聘请有专门知识的人参加。

第四十五条 电子数据检查应当符合相关技术标准。

第四十六条 电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性。移交时，应当办理移交手续，并按照以下方式核对电子数据：

（一）核对其完整性校验值是否正确；

（二）核对封存的照片与当前封存的状态是否一致。

对于移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的，检查人员应当在有关笔录中注明。

第四十七条 检查电子数据应当遵循以下原则：

（一）通过写保护设备接入到检查设备进行检查，或者制作电子数据备份、对备份进行检查；

（二）无法使用写保护设备且无法制作备份的，应当注明原因，并全程录像；

（三）检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况;

（四）检查具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。

第四十八条 检查电子数据，应当制作《电子数据检查笔录》，记录以下内容：

（一）基本情况。包括检查的起止时间，指挥人员、检查人员的姓名、职务，检查的对象，检查的目的等；

（二）检查过程。包括检查过程使用的工具，检查的方法与步骤等；

（三）检查结果。包括通过检查发现的案件线索、电子数据、等相关信息。

（四）其他需要记录的内容。

第四十九条 电子数据检查时需要提取电子数据的，应当制作《电子数据提取固定清单》，记录该电子数据的来源、提取方法和完整性校验值。

第二节 电子数据侦查实验

第五十条 为了查明案情，必要时，经县级以上公安机关负责人批准可以进行电子数据侦查实验。

第五十一条 电子数据侦查实验的任务包括:

（一）验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化；

（二）验证在一定时间内能否完成对电子数据的某种操作行为；

（三）验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果；

（四）确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据；

（五）其他需要验证的情况。

第五十二条 电子数据侦查实验应当符合以下要求:

（一）应当采取技术措施保护原始存储介质数据的完整性；

（二）有条件的，电子数据侦查实验应当进行二次以上；

（三）侦查实验使用的电子设备、网络环境等应当与发案现场一致或者基本一致；必要时，可以采用相关技术方法对相关环境进行模拟或者进行对照实验；

（四）禁止可能泄露公民信息或者影响非实验环境计算机信息系统正常运行的行为。

第五十三条 进行电子数据侦查实验，应当使用拍照、录像、录音、通信数据采集等一种或多种方式客观记录实验过程。

第五十四条 进行电子数据侦查实验，应当制作《电子数据侦查实验笔录》，记录侦查实验的条件、过程和结果，并由参加侦查实验的人员签名或者盖章。

第四章 电子数据委托检验与鉴定

第五十五条 为了查明案情，解决案件中某些专门性问题，应当指派、聘请有专门知识的人进行鉴定，或者委托公安部指定的机构出具报告。

需要聘请有专门知识的人进行鉴定，或者委托公安部指定的机构出具报告的，应当经县级以上公安机关负责人批准。

第五十六条 侦查人员送检时，应当封存原始存储介质、采取相应措施保护电子数据完整性，并提供必要的案件相关信息。

第五十七条 公安部指定的机构及其承担检验工作的人员应当独立开展业务并承担相应责任，不受其他机构和个人影响。

第五十八条 公安部指定的机构应当按照法律规定和司法审判机关要求承担回避、保密、出庭作证等义务，并对报告的真实性、合法性负责。

公安部指定的机构应当运用科学方法进行检验、检测，并出具报告。

第五十九条 公安部指定的机构应当具备必需的仪器、设备并且依法通过资质认定或者实验室认可。

第六十条 委托公安部指定的机构出具报告的其他事宜，参照《公安机关鉴定规则》等有关规定执行。

第五章 附 则

第六十一条 本规则自2019年2月1日起施行。公安部之前发布的文件与本规则不一致的，以本规则为准。