電子證據(jù)的固定采集與展示業(yè)務(wù)操作指引.doc

江蘇省律師電子證據(jù)的固定采集與展示業(yè)務(wù)操作指引第一章 總 則第一條 為指導(dǎo)律師正確、妥善處理在執(zhí)業(yè)活動(dòng)中所涉及的與電子證據(jù)有關(guān)的法律事務(wù)，幫助律師提高業(yè)務(wù)水平與辦案質(zhì)量，為當(dāng)事人提供規(guī)范、高效、專(zhuān)業(yè)的法律服務(wù)，特制定本指引。第二條 本指引所涉及的電子證據(jù)的固定采集與出示，是指律師根據(jù)中華人民共和國(guó)律師法第三十五條之規(guī)定，在為當(dāng)事人提供民商事、行政法律服務(wù)（包括訴訟案件的代理或非訴訟法律事務(wù)的處理）中，對(duì)于與案情或代理事務(wù)有關(guān)的、以電子數(shù)據(jù)方式存在的相關(guān)信息、文件、資料等，按一定技術(shù)要求與程序，進(jìn)行固定采集并運(yùn)用的方式與方法。第三條 律師辦理刑事案件中，涉及到對(duì)電子證據(jù)固定采集的，建議律師通過(guò)申請(qǐng)人民檢察院、人民法院收集、調(diào)取。律師對(duì)偵查機(jī)關(guān)、人民檢察院、人民法院收集、調(diào)取電子證據(jù)，可依據(jù)本指引提出程序及方法上的建議及意見(jiàn)，也可以參考本指引對(duì)上述電子證據(jù)的真實(shí)性、合法性進(jìn)行判斷和質(zhì)證。第四條 律師在引用本指引時(shí)，應(yīng)充分認(rèn)識(shí)到電子證據(jù)的相關(guān)技術(shù)特點(diǎn)與特性。為此，在處理具體事務(wù)時(shí)，如因技術(shù)進(jìn)步或其它因素，導(dǎo)致本指引的相關(guān)做法與實(shí)際情況不一致或不適用時(shí)，應(yīng)及時(shí)咨詢(xún)相關(guān)專(zhuān)業(yè)技術(shù)人員的意見(jiàn)，并根據(jù)自己的實(shí)際要求與經(jīng)驗(yàn)，做出恰當(dāng)?shù)呐袛?。第五條 本指引所制定的內(nèi)容作為律師在處理具體案件所涉及電子證據(jù)的固定采集與出示的執(zhí)業(yè)行為參考。律師在處理上述事務(wù)中，不采取或不參考本指引所制定的內(nèi)容，并不當(dāng)然表明該律師實(shí)際采取的執(zhí)業(yè)行為或方法存有瑕疵或不當(dāng)。第二章 電子證據(jù)概述 第六條 本章內(nèi)容并非對(duì)電子證據(jù)進(jìn)行理論上的探討或研究，而是通過(guò)對(duì)電子證據(jù)的一般描述，來(lái)指導(dǎo)和規(guī)范律師對(duì)電子證據(jù)進(jìn)行固定采集及展示的執(zhí)業(yè)行為。 第七條 本指引所稱(chēng)電子證據(jù)（Electronic Evidence）是指能夠證明相關(guān)法律事實(shí)或案件事實(shí)的、被作為證據(jù)使用的電子文件或電子數(shù)據(jù)。能夠證明相關(guān)法律事實(shí)或案件事實(shí)是電子證據(jù)的重要法律特征。 第八條 上條所述電子文件（Electronic Records）是指基于電子信息技術(shù)生成的，以數(shù)字化形式存在于磁盤(pán)、光盤(pán)等數(shù)字存儲(chǔ)設(shè)備，其內(nèi)容可與載體分離，并可在其它同類(lèi)或不同載體之間多次復(fù)制或轉(zhuǎn)化的文件。 第九條 固定采集電子證據(jù)時(shí)，應(yīng)注意下列電子文件的不同類(lèi)型對(duì)固定采集技術(shù)手段的影響： 一、字處理文件，通過(guò)文字處理系統(tǒng)形成的文件，由文字、標(biāo)點(diǎn)、表格、各種符號(hào)或其他編碼文本組成。所有這些軟件、系統(tǒng)、代碼連同文本內(nèi)容一起，構(gòu)成了字處理文件的基本要素。其中，文本內(nèi)容通常成為電子證據(jù)。例如，.DOC文檔、.XLS文檔。 二、圖形處理文件，通過(guò)專(zhuān)門(mén)的計(jì)算機(jī)應(yīng)用軟件系統(tǒng)，運(yùn)行相應(yīng)的輔助設(shè)計(jì)或輔助制造功能所得到的圖形數(shù)據(jù)。通過(guò)圖形人們可以直觀地了解非連續(xù)性數(shù)據(jù)間的關(guān)系，使得復(fù)雜的信息變得清晰。例如，運(yùn)用Photoshop軟件、AutoCad軟件生成的圖形文件。 三、程序文件，是由多條計(jì)算機(jī)命令集合在一起的電子文件，是程序源代碼文件通過(guò)編譯器翻譯生成的電腦可以識(shí)別和運(yùn)行的一種特殊的文件。在軟件開(kāi)發(fā)環(huán)境下，程序文件指的是源代碼，如ASP、C等，在電腦使用人或用戶(hù)環(huán)境下，程序文件通常指的是可以直接在電腦上運(yùn)行的.EXE文件。計(jì)算機(jī)軟件就是由若干個(gè)程序文件組成的。 四、多媒體文件，是指計(jì)算機(jī)技術(shù)為基礎(chǔ)，以計(jì)算機(jī)及其外部設(shè)備為中心，通過(guò)掃描識(shí)別、視頻捕捉、音頻錄入等手段綜合編輯而形成的多種媒體組合文件。媒體包括文本、圖形、動(dòng)畫(huà)、動(dòng)靜態(tài)視頻、音頻等。 第十條 不同的分類(lèi)方法與標(biāo)準(zhǔn)，可將電子證據(jù)分成不同的種類(lèi)。本指引的重點(diǎn)在于對(duì)基于計(jì)算機(jī)技術(shù)應(yīng)用和互聯(lián)網(wǎng)絡(luò)技術(shù)應(yīng)用中所出現(xiàn)的電子證據(jù)，如何進(jìn)行固定采集與展示。 第十一條 電子證據(jù)通常存在于計(jì)算機(jī)的硬盤(pán)、U盤(pán)、磁（光）盤(pán)等移動(dòng)存儲(chǔ)設(shè)備。手機(jī)特別是具有計(jì)算機(jī)功能的智能手機(jī)作為電子證據(jù)的載體之一，反映或記錄使用人的意思表示、行為的電子證據(jù)比其他載體中的電子證據(jù)更具有價(jià)值。第三章 電子證據(jù)的固定與采集第一節(jié) 電子證據(jù)的固定采集基本方法第十二條 打印對(duì)于可以直觀或直接反映或證明案件事實(shí)的電子證據(jù)，可以直接將有關(guān)內(nèi)容打印在紙張上的方式進(jìn)行取證。打印后，可以按照提取書(shū)證的方法予以保管、固定，并注明電子證據(jù)打印的時(shí)間、數(shù)據(jù)信息在計(jì)算機(jī)中的位置（如存放于那個(gè)文件夾中等）或來(lái)源、取證人員等。第十三條 拷貝是將作為電子證據(jù)的電子文件，通過(guò)拷貝復(fù)制到U盤(pán)、移動(dòng)硬盤(pán)或光盤(pán)中的方式。取證人員應(yīng)當(dāng)檢驗(yàn)所準(zhǔn)備的U盤(pán)，移動(dòng)硬盤(pán)或光盤(pán)，確認(rèn)沒(méi)有病毒感染。拷貝之后，應(yīng)當(dāng)及時(shí)檢查拷貝的質(zhì)量，防止因保存方式不當(dāng)?shù)仍蚨鴮?dǎo)致的拷貝不成功或感染有病毒等。取證后，注明提取的時(shí)間并封閉。第十四條 拍照、攝像對(duì)于具備視聽(tīng)資料特征的電子證據(jù)，可以采用拍照、攝像的方法進(jìn)行證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。此外，在電子證據(jù)取證過(guò)程中，對(duì)取證全程進(jìn)行拍照、攝像，對(duì)被固定采集的電子證據(jù)的真實(shí)性具有一定的增強(qiáng)作用。第十五條 制作司法文書(shū)由執(zhí)法機(jī)關(guān)對(duì)電子證據(jù)制作相應(yīng)的檢查筆錄和鑒定。檢查筆錄是指對(duì)于取證證據(jù)種類(lèi)、方式、過(guò)程、內(nèi)容等在取證中的全部情況進(jìn)行的記錄。鑒定是專(zhuān)業(yè)人員就取證中的專(zhuān)門(mén)問(wèn)題進(jìn)行的認(rèn)定，也是一種固定證據(jù)的方式。第十六條 查封、扣押申請(qǐng)執(zhí)法機(jī)關(guān)對(duì)于涉及案件的電子證據(jù)的載體進(jìn)行采取查封、扣押，將有關(guān)載體置于執(zhí)法機(jī)關(guān)保管之下。之后再對(duì)該電子證據(jù)進(jìn)行分析、解讀。第十七條 公證通過(guò)公證機(jī)構(gòu)以證據(jù)保全公證的方式對(duì)有關(guān)電子證據(jù)進(jìn)行公證。這是有效獲取電子證據(jù)的便捷途徑。第十八條 數(shù)據(jù)解析對(duì)于不能直接或直觀的證明案件事實(shí)的電子證據(jù)，在確保數(shù)據(jù)真實(shí)的情況下，運(yùn)用特定的軟件工具，對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析、轉(zhuǎn)化，使得其可以直觀的形態(tài)為人們所認(rèn)知或了解。第十九條 恢復(fù)。大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能。因此，當(dāng)有關(guān)電子證據(jù)已經(jīng)被修改、破壞的，可以通過(guò)對(duì)自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過(guò)的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取電子證據(jù)，也可以使用一些專(zhuān)門(mén)的恢復(fù)性軟件或?qū)ｉT(mén)設(shè)備來(lái)恢復(fù)、獲取電子證據(jù)。第二節(jié) 電子證據(jù)固定采集的注意事項(xiàng) 第二十條 條件允許情況下，建議由公證機(jī)關(guān)做為電子證據(jù)固定采集的主體。律師以代理人或公證委托人身份，只是對(duì)相關(guān)電子證據(jù)的固定采集進(jìn)行目標(biāo)、方法、步驟上的指導(dǎo)和要求。 律師應(yīng)當(dāng)注意：在司法實(shí)踐中，即便經(jīng)過(guò)公證的電子證據(jù)在證明效力上仍可能存有異議。 第二十一條 對(duì)電子證據(jù)固定采集的具體操作，建議由專(zhuān)業(yè)的技術(shù)人員或公證人員實(shí)際進(jìn)行。 第二十二條 除非技術(shù)上必要，對(duì)電子證據(jù)進(jìn)行固定采集的場(chǎng)所，建議一般應(yīng)在公證機(jī)關(guān)或中立第三方的工作場(chǎng)所進(jìn)行。 第二十三條 除非技術(shù)上必要，對(duì)電子證據(jù)固定采集所使用的計(jì)算機(jī)設(shè)備或其他數(shù)碼設(shè)備，建議使用公證機(jī)關(guān)或中立第三方的設(shè)備。 第二十四條 來(lái)源于互聯(lián)網(wǎng)的電子證據(jù)，須對(duì)證據(jù)的來(lái)源、域名、IP等相關(guān)因素進(jìn)行保存。孤立的網(wǎng)頁(yè)文件，其真實(shí)性難以證明，證明效力很弱。 第二十五條 對(duì)電子證據(jù)固定采集過(guò)程中，應(yīng)注意避免數(shù)據(jù)污染，從而影響相關(guān)電子證據(jù)的真實(shí)性。用于固定相關(guān)電子證據(jù)的載體應(yīng)當(dāng)是干凈的、未受污染的。 第二十六條 在使用非第三方的計(jì)算機(jī)或電子設(shè)備進(jìn)行電子證據(jù)的固定采集時(shí)，須由專(zhuān)業(yè)人員對(duì)該計(jì)算機(jī)及電子設(shè)備進(jìn)行“清潔性檢查”。 所謂“清潔性檢查”是指對(duì)相關(guān)計(jì)算機(jī)或電子設(shè)備中的軟件系統(tǒng)、功能、配置進(jìn)行查看或固定，以確保通過(guò)該計(jì)算機(jī)或電子設(shè)備所獲取的電子證據(jù)的真實(shí)性以及數(shù)據(jù)來(lái)源的唯一性。 第二十七條 如有可能，對(duì)于記錄、存儲(chǔ)電子證據(jù)初始形成的電子證據(jù)載體、設(shè)備、介質(zhì)等，應(yīng)當(dāng)提存原物并隨同電子證據(jù)一并固定采集。 第二十八條 借助某些專(zhuān)業(yè)的電子證據(jù)取證設(shè)備或軟件，或者尋求中立的第三方提供的電子證據(jù)固定采集的相關(guān)專(zhuān)業(yè)技術(shù)服務(wù)，不失為對(duì)電子證據(jù)固定采集的一種有效途徑。這有助于提高相關(guān)電子證據(jù)的證明力。 采取黑客手段等非法手段獲取的電子證據(jù)，因其來(lái)源不具有合法性，不具有相應(yīng)的證明效力。 第二十九條 鑒于電子證據(jù)的脆弱性和易篡改，應(yīng)當(dāng)采用適當(dāng)?shù)膬?chǔ)存介質(zhì)進(jìn)行原始的鏡像備份，用“鏡像復(fù)制”的方法復(fù)制若干個(gè)副本。建議將其中的兩個(gè)副本復(fù)制在只能寫(xiě)入一次的介質(zhì)上（如非可擦寫(xiě)光盤(pán)），防止被提取到的電子證據(jù)意外被改變。 第三十條 以第三方所作的提取筆錄形式將復(fù)制的時(shí)間、地點(diǎn)、復(fù)制的方法、處理人員、使用軟硬件、復(fù)制過(guò)程等事項(xiàng)記錄下來(lái)，以確保電子證據(jù)的合法性、真實(shí)性、關(guān)聯(lián)性與完整性。 第三十一條 不得改變?cè)甲C據(jù)或原始數(shù)據(jù)。對(duì)于固定采集的電子證據(jù)進(jìn)行鑒定和技術(shù)分析前，應(yīng)當(dāng)進(jìn)行完整的備份，對(duì)備份的電子證據(jù)進(jìn)行鑒定分析，不允許直接對(duì)原有存儲(chǔ)介質(zhì)直接進(jìn)行技術(shù)操作。第三節(jié) 來(lái)源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù) 第三十二條 固定當(dāng)前所使用的電子設(shè)備與計(jì)算機(jī)所處的網(wǎng)絡(luò)環(huán)境是對(duì)來(lái)源于互聯(lián)網(wǎng)絡(luò)電子證據(jù)進(jìn)行固定采集的前提步驟。 第三十三條 固定上條所述網(wǎng)絡(luò)環(huán)境應(yīng)當(dāng)包括以下要素：1、當(dāng)前計(jì)算機(jī)連接互聯(lián)網(wǎng)的方式：是通過(guò)局域網(wǎng)連接還是直接互聯(lián)網(wǎng)；2、在局域網(wǎng)環(huán)境下，相關(guān)的IP地址、網(wǎng)關(guān)設(shè)置；（如下圖）3、局域網(wǎng)的拓樸結(jié)構(gòu)；4、互聯(lián)網(wǎng)的登錄方式與連接方式（有線或無(wú)線、寬帶或ADSL方式）；5、通過(guò)局域網(wǎng)連接狀態(tài)，主服務(wù)器與終端的權(quán)限分配與應(yīng)用；6、如當(dāng)前所使用電子設(shè)備并非計(jì)算機(jī)（如智能手機(jī)等），需提供該電子設(shè)備的說(shuō)明書(shū)或操作手冊(cè)。 第三十四條 固定當(dāng)前所使用的電子設(shè)備與計(jì)算機(jī)的自身系統(tǒng)配置文件（如下圖）。這些文件包括但不限于：1、當(dāng)前電子設(shè)備與計(jì)算機(jī)的品牌、型號(hào)；2、當(dāng)前電子設(shè)備與計(jì)算機(jī)使用的軟件：操作系統(tǒng)、應(yīng)用程序；3、當(dāng)前計(jì)算機(jī)的硬件配置狀況；4、當(dāng)前計(jì)算機(jī)系統(tǒng)中的哪些應(yīng)用程序提供遠(yuǎn)程控制；5、其他反映當(dāng)前電子設(shè)備與計(jì)算機(jī)功能或性能的文件。 第三十五條 通過(guò)IE上網(wǎng)瀏覽之方式，從互聯(lián)網(wǎng)上獲取相關(guān)的電子證據(jù)，建議應(yīng)事先了解域名及域名解析的相關(guān)知識(shí)。 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，簡(jiǎn)稱(chēng)CNNIC，其網(wǎng)址為：/index.htm ）是經(jīng)國(guó)家主管部門(mén)批準(zhǔn)，行使國(guó)家互聯(lián)網(wǎng)絡(luò)信息中心的職責(zé)，負(fù)責(zé)管理維護(hù)中國(guó)互聯(lián)網(wǎng)地址系統(tǒng)的管理和服務(wù)機(jī)構(gòu)。第三十六條 在Windows系列操作系統(tǒng)下，須運(yùn)行查看本地計(jì)算機(jī)系統(tǒng)內(nèi)的host文件，并對(duì)該host文件內(nèi)容予以固定。對(duì)該文件內(nèi)容的固定，能確定當(dāng)前計(jì)算機(jī)訪問(wèn)的網(wǎng)站或獲得之電子證據(jù)來(lái)源于互聯(lián)網(wǎng)，確保電子證據(jù)來(lái)源的唯一性并進(jìn)而保證相關(guān)電子證據(jù)的有效性與證明力。第三十七條 不同系統(tǒng)的host文件存放路徑如下： 1、WinXP/2003/Vista: C:WindowsSystem32Driversetc 2、WinNT/2000: C:WINNTSystem32Driversetc3、Win98/Me: C:Windows第三十八條 host文件是根據(jù)TCP/IP for Windows 的標(biāo)準(zhǔn)來(lái)工作的，它的作用是包含IP地址和Host name主機(jī)名的映射關(guān)系，是一個(gè)映射IP地址和Host name主機(jī)名的規(guī)定，規(guī)定要求每段只能包括一個(gè)映射關(guān)系。根據(jù)Windows系統(tǒng)規(guī)定，在進(jìn)行DNS (域名系統(tǒng)Domain Name System的縮寫(xiě)，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。)請(qǐng)求以前，Windows系統(tǒng)會(huì)先檢查自己的Hosts文件中是否有這個(gè)地址映射關(guān)系，如果有則調(diào)用這個(gè)IP地址映射，如果沒(méi)有再向已知的DNS服務(wù)器提出域名解析。第三十九條 在網(wǎng)絡(luò)上訪問(wèn)網(wǎng)站，要首先通過(guò)DNS服務(wù)器把網(wǎng)絡(luò)域名解析成IP地址后，計(jì)算機(jī)才能訪問(wèn)。也就是說(shuō)Hosts的請(qǐng)求級(jí)別比DNS高。host文件中，關(guān)于域名解析的優(yōu)先次序?yàn)椋罕镜赜脖P(pán)局域網(wǎng)互聯(lián)網(wǎng)。以訪問(wèn)為例說(shuō)明：1）客戶(hù)端首先檢查本地c:windowssystem32driversetchost文件，是否有對(duì)應(yīng)的IP地址，若有，則直接訪問(wèn)WEB站點(diǎn)，若無(wú)2）客戶(hù)端檢查本地緩存信息，若有，則直接訪問(wèn)WEB站點(diǎn)，若無(wú)3）本地DNS檢查緩存信息，若有，將IP地址返回給客戶(hù)端，客戶(hù)端可直接訪問(wèn)WEB站點(diǎn)，若無(wú)4）本地DNS檢查區(qū)域文件是否有對(duì)應(yīng)的IP，若有，將IP地址返回給客戶(hù)端，客戶(hù)端可直接訪問(wèn)WEB站點(diǎn)，若無(wú)，5）本地DNS根據(jù)cache.dns文件中指定的根DNS服務(wù)器的IP地址，轉(zhuǎn)向根DNS查詢(xún)；6）根DNS收到查詢(xún)請(qǐng)求后，查看區(qū)域文件記錄，若無(wú)，則將其管轄范圍內(nèi).com服務(wù)器的IP地址告訴本地DNS服務(wù)器；7）.com服務(wù)器收到查詢(xún)請(qǐng)求后，查看區(qū)域文件記錄，若無(wú)，則將其管轄范圍內(nèi).xxx服務(wù)器的IP地址告訴本地DNS服務(wù)器；8）.xxx服務(wù)器收到查詢(xún)請(qǐng)求后，分析需要解析的域名，若無(wú)，則查詢(xún)失敗，若有，返回的IP地址給本地服務(wù)器；9）本地DNS服務(wù)器將的IP地址返回給客戶(hù)端，客戶(hù)端通過(guò)這個(gè)IP地址與WEB站點(diǎn)建立連接。第四十條 確定一臺(tái)計(jì)算機(jī)登錄互聯(lián)網(wǎng)的歷史記錄和狀態(tài)，還可通過(guò)固定該計(jì)算機(jī)配置的網(wǎng)卡特定編號(hào)，結(jié)合網(wǎng)絡(luò)服務(wù)提供商的服務(wù)器相關(guān)系統(tǒng)記錄，確定配置特定網(wǎng)卡編號(hào)的計(jì)算機(jī)登錄互聯(lián)網(wǎng)的歷史記錄和狀態(tài)。網(wǎng)卡特定編號(hào)，如同人的指紋一樣，在全球范圍內(nèi)都是唯一的、不重復(fù)的。但需注意的是，網(wǎng)絡(luò)服務(wù)提供商服務(wù)器上，關(guān)于特定編號(hào)網(wǎng)卡登錄互聯(lián)網(wǎng)的歷史記錄，其保存時(shí)間是有限的。第四十一條 登錄互聯(lián)網(wǎng)后，打開(kāi)IE瀏覽器，輸入域名或IP地址，搜尋相關(guān)的信息，將搜尋到的信息保存在新建的文件夾中或存儲(chǔ)介質(zhì)中。所有這些操作均需同步記錄及保存。第四十二條 通過(guò)登錄互聯(lián)網(wǎng)固定采集相關(guān)來(lái)源于互聯(lián)網(wǎng)的電子證據(jù)時(shí)，記錄或保存所有操作步驟的方法通常有：1、書(shū)面記錄每個(gè)操作步驟及所獲得的內(nèi)容于紙質(zhì)載體上；2、對(duì)每個(gè)操作步驟所獲內(nèi)容進(jìn)行截屏保存或打印至紙質(zhì)載體上；3、用其他電子設(shè)備對(duì)操作步驟進(jìn)行同步攝像；4、使用專(zhuān)用的屏幕錄像軟件對(duì)所有操作步驟及所獲內(nèi)容進(jìn)行同步錄像。（有關(guān)的屏幕錄像軟件可直接從相關(guān)的網(wǎng)站上下載使用。）上述方法可以根據(jù)實(shí)際情況組合使用，但所獲電子證據(jù)內(nèi)容均應(yīng)刻錄在存儲(chǔ)介質(zhì)中（如CD光盤(pán)、U盤(pán)等）。第四十三條 注意使用互聯(lián)網(wǎng)絡(luò)資源，獲得相關(guān)的電子證據(jù)或證據(jù)線索、信息。1、工業(yè)和信息化部ICP/IP地址信息備案管理系統(tǒng)/CX/main.jsp2、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 /3、中國(guó)萬(wàn)網(wǎng) /static/domain/?cid=baidu_domain來(lái)源于上述政府網(wǎng)站及中立的第三方網(wǎng)站的電子證據(jù)或信息通常具有較高的證明力。第四十四條 在對(duì)計(jì)算機(jī)進(jìn)行截屏過(guò)程中，需保持所截屏網(wǎng)頁(yè)內(nèi)容的完整性。如因紙張尺寸問(wèn)題，不能將所截屏網(wǎng)頁(yè)打印在同一頁(yè)紙張上的，可用數(shù)頁(yè)紙張連續(xù)截屏網(wǎng)頁(yè)內(nèi)容。避免截屏網(wǎng)頁(yè)的內(nèi)容缺失導(dǎo)致其證明力下降或喪失。對(duì)網(wǎng)站網(wǎng)頁(yè)首屏及網(wǎng)頁(yè)次屏的截屏應(yīng)當(dāng)滿(mǎn)足無(wú)縫銜接的要求。第四十五條 經(jīng)過(guò)第三方電子認(rèn)證中心流轉(zhuǎn)的計(jì)算機(jī)數(shù)據(jù)，具有較高的證明力。對(duì)于此類(lèi)證據(jù)的固定采集，建議通過(guò)一定的取證申請(qǐng)，由提供電子認(rèn)證服務(wù)的網(wǎng)絡(luò)服務(wù)提供商提供。第四節(jié) 來(lái)源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)電子郵件信息 第四十六條 電子郵件服務(wù)是互聯(lián)網(wǎng)應(yīng)用最為廣泛的服務(wù)之一。對(duì)電子郵件信息而言，其郵件內(nèi)容往往證明了一定的法律事實(shí)或行為，從此意義上說(shuō)，電子郵件信息可視為證據(jù)中的書(shū)證。 第四十七條 對(duì)電子郵件信息的固定采集，除郵件內(nèi)容外，對(duì)電子郵件信頭的固定采集也同樣重要。 第四十八條 一般情況下，電子郵件常用信頭字段包括下列內(nèi)容： 電子郵件常用信頭字段表字段名稱(chēng)描 述字段名稱(chēng)描 述From信件寫(xiě)信人Date信件創(chuàng)建日期Sender信件發(fā)信人Received信件MTA軌跡Reply-to發(fā)信回復(fù)地址Return-path發(fā)信人地址To信件主收信人Subject信件主題Cc信件輔收信人（抄送）Comments關(guān)于信件的其他說(shuō)明Bcc信件的密件抄送收信人Keywords信件主題關(guān)鍵字Message-id信件唯一標(biāo)識(shí)符Encrypted加密信息In-reply-to信件被回復(fù)到Resent-*重新分發(fā)時(shí)創(chuàng)建的字段References信件源Content-length信件長(zhǎng)度Status由MUA插入標(biāo)識(shí)是否信件狀態(tài)（是否新信件、已閱讀、回復(fù)等）X-*信件擴(kuò)展字段，由開(kāi)發(fā)者創(chuàng)建的非標(biāo)準(zhǔn)字段 第四十九條 對(duì)電子郵件信息，建議通過(guò)公證機(jī)關(guān)以證據(jù)保全公證的形式予以固定采集。 第五十條 電子郵件信息除了保存在電子郵箱使用人的個(gè)人電腦終端上，還保存在提供電子郵件服務(wù)的網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器上。第五十一條 在知悉電子郵箱（Email）地址，但無(wú)法掌握電子郵箱使用人計(jì)算機(jī)的情況下，可通過(guò)申請(qǐng)證據(jù)調(diào)取的方式向?qū)徖砣嗣穹ㄔ荷暾?qǐng)調(diào)查令，并依此要求提供電子郵件服務(wù)的網(wǎng)絡(luò)服務(wù)提供者提供相關(guān)的電子郵件證據(jù)。第五十二條 如電子郵件服務(wù)來(lái)源于委托人或?qū)Ψ疆?dāng)事人自行設(shè)立的網(wǎng)站，需首先查明該網(wǎng)站所存放的物理服務(wù)器位置。如該網(wǎng)站的服務(wù)器系租用電信服務(wù)器或由電信部門(mén)托管的服務(wù)器，可按第五十一條程序固定采集相關(guān)的電子郵件證據(jù)。如該網(wǎng)站的服務(wù)器系委托人或?qū)Ψ疆?dāng)事人自行保管控制，可通過(guò)公證機(jī)關(guān)或?qū)徖砣嗣穹ㄔ和ㄟ^(guò)證據(jù)保全之方式調(diào)取相關(guān)的電子郵件證據(jù)。第五十三條 作為電子證據(jù)固定采集的預(yù)備措施，建議律師以恰當(dāng)?shù)胤绞教崾井?dāng)事人，在以電子郵件方式與相對(duì)人進(jìn)行意思表示或進(jìn)行商談時(shí)，對(duì)接收到的電子郵件直接以郵件回復(fù)方式進(jìn)行。如此，可動(dòng)態(tài)記錄雙方意思表示的完整過(guò)程，也有助于確定相對(duì)人的真實(shí)身份。第五節(jié) 來(lái)源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)即時(shí)通信軟件數(shù)據(jù) 第五十四條 網(wǎng)上聊天記錄的內(nèi)容是當(dāng)事人法律行為或意思表示，以文字方式借助于電子形式的外在表現(xiàn)，具有動(dòng)態(tài)證明有關(guān)法律事實(shí)、法律行為、當(dāng)事人意思表示的特點(diǎn)。從證據(jù)形態(tài)上看，網(wǎng)上聊天記錄集中體現(xiàn)了言詞證據(jù)的某些特性。 第五十五條 固定采集網(wǎng)上聊天記錄內(nèi)容時(shí)，不僅應(yīng)以雙方個(gè)人電腦中的聊天記錄為主體，還應(yīng)包括即時(shí)通信軟件使用人的個(gè)人資料、聊天好友資料。 第五十六條 鑒于現(xiàn)階段在互聯(lián)網(wǎng)上沒(méi)有實(shí)行網(wǎng)絡(luò)實(shí)名制，因此在固定采集此類(lèi)電子證據(jù)時(shí)，應(yīng)當(dāng)擴(kuò)大數(shù)據(jù)收集范圍，尤其是反映聊天記錄的用戶(hù)網(wǎng)名與現(xiàn)實(shí)中自然人身份相對(duì)應(yīng)的相關(guān)數(shù)據(jù)。 第五十七條 通過(guò)某一方電腦終端固定對(duì)方使用人網(wǎng)絡(luò)身份與真實(shí)身份相對(duì)應(yīng)的電子證據(jù)時(shí)，可以通過(guò)對(duì)方在互聯(lián)網(wǎng)上的ID、上網(wǎng)計(jì)算機(jī)的IP地址、在即時(shí)通信軟件上登記的個(gè)人資料等方式單獨(dú)或結(jié)合使用固定對(duì)方的真實(shí)身份這一事實(shí)。 必要時(shí)，通過(guò)網(wǎng)絡(luò)聊天所獲得的對(duì)方自認(rèn)的真實(shí)身份也可以起到一定的證明作用。 第五十八條 從理論上看，行為人通過(guò)即時(shí)通信軟件所產(chǎn)生的電子數(shù)據(jù)都會(huì)在有關(guān)的網(wǎng)絡(luò)服務(wù)提供者提供的聊天服務(wù)器上中轉(zhuǎn)、保存。但由于網(wǎng)上聊天系統(tǒng)具有用戶(hù)成員多、信息流量大等特點(diǎn)及時(shí)性相關(guān)規(guī)定，這些電子數(shù)據(jù)保存時(shí)間不低于60天。因此，對(duì)此類(lèi)電子證據(jù)固定采集具有一定的時(shí)間要求。 第五十九條 美國(guó)微軟公司（Microsoft）的即時(shí)通信軟件MSN及騰迅公司（Tencent）的QQ是目前國(guó)內(nèi)使用最廣泛的兩款即時(shí)通信軟件，已形成了一個(gè)較為完善、具有相當(dāng)規(guī)模的互聯(lián)網(wǎng)即時(shí)通信體系。 第六十條 某些版本的QQ軟件（如木子版QQ、珊瑚版QQ）以及其他顯IP外掛程序可以在線監(jiān)控對(duì)方的IP地址及使用的QQ版本，并對(duì)IP地址作出初步的物理位置判斷。 第六十一條 除非有明確的方法或途徑固定相關(guān)的操作內(nèi)容，不建議利用即時(shí)通信軟件中的文件即時(shí)傳輸功能來(lái)傳遞有關(guān)的法律文件、電子信息及電子數(shù)據(jù)。第六節(jié) 來(lái)源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)電子公告信息（BBS） 第六十二條 BBS的一般功能有信息發(fā)布、問(wèn)題討論、文件傳輸、聯(lián)機(jī)交談等。不同的BBS通常將這些功能劃分為不同標(biāo)題命名的“版面”。但無(wú)論如何，用戶(hù)都需將傳輸內(nèi)容上傳到服務(wù)器，其他用戶(hù)才有能進(jìn)行訪問(wèn)。 第六十三條 一套完整的BBS系統(tǒng)由計(jì)算機(jī)硬件、軟件和系統(tǒng)的管理者、用戶(hù)共同組成。其中，硬件部分包括一臺(tái)運(yùn)行BBS系統(tǒng)程序的計(jì)算機(jī)（服務(wù)器）、連接系統(tǒng)與用戶(hù)的設(shè)備以及用戶(hù)個(gè)人電腦終端。軟件部分包括系統(tǒng)和相應(yīng)的通信程序。 第六十四條 BBS證據(jù)按存儲(chǔ)地的不同，可以分為“存儲(chǔ)于BBS服務(wù)器上的證據(jù)”和“存儲(chǔ)于用戶(hù)個(gè)人電腦終端上的證據(jù)”兩種。具有證明力的BBS證據(jù)是存儲(chǔ)于BBS服務(wù)器上的證據(jù)內(nèi)容，這些數(shù)據(jù)包括信息發(fā)布者形成、上傳和存儲(chǔ)的數(shù)據(jù)以及由BBS服務(wù)器系統(tǒng)形成的數(shù)據(jù)兩種， 均屬于需要固定采集的電子證據(jù)內(nèi)容。第七節(jié) 來(lái)源于封閉計(jì)算機(jī)系統(tǒng)中的電子證據(jù) 第六十五條 本指引中所稱(chēng)封閉計(jì)算機(jī)系統(tǒng)指未連接局域網(wǎng)或互聯(lián)網(wǎng)的計(jì)算機(jī)。儲(chǔ)存在此類(lèi)計(jì)算機(jī)中的、具有電子證據(jù)性質(zhì)的計(jì)算機(jī)數(shù)據(jù)之載體主要是計(jì)算機(jī)硬盤(pán)。根據(jù)計(jì)算機(jī)數(shù)據(jù)產(chǎn)生的性質(zhì)，可簡(jiǎn)單將其分為系統(tǒng)數(shù)據(jù)與用戶(hù)數(shù)據(jù)兩類(lèi)。 第六十六條 Windows系列操作系統(tǒng)和UNIX是最常見(jiàn)也是應(yīng)用最廣的兩種操作系統(tǒng)。鑒于操作系統(tǒng)使用之廣泛性，本指引僅涉及Windows操作系統(tǒng)中，相關(guān)電子證據(jù)的固定采集。 第六十七條 從技術(shù)上說(shuō)，幾乎Windows操作系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程序上被審計(jì)。因此，獲取各種系統(tǒng)日志是確定電子證據(jù)的必要步驟。 第六十八條 訪問(wèn)Windows操作系統(tǒng)維護(hù)的各種日志可以獲得以下信息： 1、確定計(jì)算機(jī)在某一時(shí)間段內(nèi)被使用和登錄系統(tǒng)的用戶(hù)； 2、跟蹤登錄者對(duì)特定應(yīng)用程序的使用； 3、跟蹤審核策略的變更，看是否有防御性的策略變化； 4、跟蹤用戶(hù)權(quán)限（如非法提高的訪問(wèn)權(quán)限）的變化，以及用戶(hù)和組的變更。 第六十九條 查看注冊(cè)表是獲得當(dāng)前計(jì)算機(jī)中，可能具有電子證據(jù)性質(zhì)的系統(tǒng)數(shù)據(jù)的有效途徑。 第七十條 在固定采集系統(tǒng)數(shù)據(jù)及用戶(hù)數(shù)據(jù)時(shí)，為保護(hù)原始數(shù)據(jù)，確保證據(jù)的有效性不被破壞，通常情況下，采取以下三種方法進(jìn)行數(shù)據(jù)備份，對(duì)系統(tǒng)進(jìn)行完整復(fù)制： 1、利用磁盤(pán)鏡像工具對(duì)移交的證據(jù)介質(zhì)進(jìn)行復(fù)制。 2、通過(guò)添加一個(gè)硬盤(pán)驅(qū)動(dòng)器的方法創(chuàng)建映象。 3、通過(guò)網(wǎng)絡(luò)發(fā)送映象。 無(wú)論以上述哪種方式固定采集系統(tǒng)數(shù)據(jù)，創(chuàng)建數(shù)據(jù)副本，都需要對(duì)原始驅(qū)動(dòng)器和最后的映象文件執(zhí)行數(shù)據(jù)完整性校驗(yàn)。 第七十一條 數(shù)據(jù)完整性校驗(yàn)可以通過(guò)專(zhuān)用的校驗(yàn)工具軟件進(jìn)行。建議使用專(zhuān)用的電子取證硬盤(pán)復(fù)制機(jī)（如TALON、QUEST）進(jìn)行硬盤(pán)復(fù)制。上述設(shè)備均支持MD5 256位校驗(yàn)功能，確保原始數(shù)據(jù)與復(fù)制數(shù)據(jù)的一致性。 第七十二條 在封閉的計(jì)算機(jī)系統(tǒng)中固定采集電子證據(jù)，尤其應(yīng)注意檢查并固定采集下列文件：1、擴(kuò)展名為.pst的Microsoft Outlook電子郵件文件。Windows系列操作系統(tǒng)默認(rèn)的存儲(chǔ)路徑為：Documents and SettingsLocal SettingsApplication DataMicrosoftOutlook ；2、回收站中的文件；3、擴(kuò)展名為.tmp的檢查臨時(shí)文件；4、恢復(fù)被刪除的文件，有相當(dāng)多的工具軟件如Norton可以恢復(fù)系統(tǒng)中被刪除的文件；5、Internet歷史記錄； 第八節(jié) 來(lái)源于移動(dòng)存儲(chǔ)設(shè)備的電子證據(jù) 第七十三條 來(lái)源于移動(dòng)存儲(chǔ)設(shè)備的電子證據(jù)通?？煞譃閮深?lèi)： 1、保存在可移動(dòng)的電磁或光學(xué)介質(zhì)上的電子數(shù)據(jù)，如移動(dòng)硬盤(pán)、CDROM光盤(pán)等。此外，數(shù)碼設(shè)備中使用的格式卡如CD卡、CF卡、MS記憶棒、手機(jī)中的SIM卡等也可以歸入此類(lèi)。 2、保存具備一定計(jì)算機(jī)功能的移動(dòng)數(shù)字設(shè)備中的電子數(shù)據(jù)，如手機(jī)、PDA、車(chē)載GPS等。 第七十四條 對(duì)保存在可移動(dòng)的電磁或光學(xué)介質(zhì)（載體）上的電子數(shù)據(jù)，應(yīng)當(dāng)提取原物并將之作為證物使用。 第七十五條 由于原物是以其記載內(nèi)容而非其自身作為證據(jù)使用。因此，可利用相應(yīng)的硬件設(shè)備或軟件工具導(dǎo)出或讀取有關(guān)介質(zhì)（載體）中的數(shù)據(jù)，并對(duì)導(dǎo)出或讀取的數(shù)據(jù)進(jìn)行分析。 第七十六條 對(duì)上述介質(zhì)（載體）中的數(shù)據(jù)進(jìn)行導(dǎo)出或讀取的過(guò)程，建議通過(guò)公證機(jī)關(guān)或中立第三方進(jìn)行并對(duì)全過(guò)程予以記錄，以保證相關(guān)數(shù)據(jù)的真實(shí)性。 第七十七條 對(duì)于移動(dòng)數(shù)字設(shè)備中的電子數(shù)據(jù)，如不具備提取保存原物之條件，應(yīng)當(dāng)按上條之要求與途徑，對(duì)其中的電子數(shù)據(jù)進(jìn)行固定采集。 第七十八條 在固定采集移動(dòng)數(shù)字設(shè)備中的電子數(shù)據(jù)時(shí)，應(yīng)將該設(shè)備品牌、型號(hào)、操作系統(tǒng)、使用說(shuō)明書(shū)等內(nèi)容作為環(huán)境數(shù)據(jù)一并固定采集。 第七十九條 固定采集使用手機(jī)產(chǎn)生的電子證據(jù)時(shí)，除了以手機(jī)為對(duì)象進(jìn)行固定采集外，還可以通過(guò)該手機(jī)的通訊網(wǎng)絡(luò)運(yùn)營(yíng)商（中國(guó)聯(lián)通、中國(guó)移動(dòng)、中國(guó)電信）進(jìn)行相關(guān)電子證據(jù)的固定采集。 第八十條 固定采集通訊網(wǎng)絡(luò)運(yùn)營(yíng)商所保存的手機(jī)使用產(chǎn)生的電子證據(jù)，建議通過(guò)以下兩種途徑： 1、通過(guò)互聯(lián)網(wǎng)登錄運(yùn)營(yíng)商的網(wǎng)上營(yíng)業(yè)廳，查詢(xún)并固定相關(guān)的電子證據(jù)信息如通話(huà)記錄、短信記錄等等。同時(shí)，申請(qǐng)公證機(jī)關(guān)對(duì)此過(guò)程進(jìn)行證據(jù)保全公證。 2、通過(guò)申請(qǐng)調(diào)查令的方式，向通訊網(wǎng)絡(luò)運(yùn)營(yíng)商調(diào)取相關(guān)手機(jī)的通訊記錄等數(shù)據(jù)或內(nèi)容。 第八十一條 司法實(shí)踐中，手機(jī)短信內(nèi)容可作為證據(jù)使用已無(wú)爭(zhēng)議。對(duì)手機(jī)短信內(nèi)容的固定采集，建議通過(guò)公證機(jī)關(guān)對(duì)其進(jìn)行證據(jù)保全的方式進(jìn)行。 第八十二條 根據(jù)現(xiàn)行相關(guān)規(guī)定，手機(jī)號(hào)碼的開(kāi)通使用已實(shí)行實(shí)名制。但基于通訊網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)用戶(hù)通訊自由與個(gè)人隱私之保護(hù)，手機(jī)機(jī)主或使用人身份的確認(rèn)，需要通過(guò)申請(qǐng)人民法院調(diào)查令之方式才能使固定采集的電子證據(jù)具有合法性。第四章 電子證據(jù)的展示 第八十三條 電子證據(jù)作為一種新