電子證據(jù)的固定采集與展示業(yè)務(wù)操作指引.doc

江蘇省律師電子證據(jù)的固定采集與展示業(yè)務(wù)操作指引第一章 總 則第一條 為指導(dǎo)律師正確、妥善處理在執(zhí)業(yè)活動中所涉及的與電子證據(jù)有關(guān)的法律事務(wù)，幫助律師提高業(yè)務(wù)水平與辦案質(zhì)量，為當(dāng)事人提供規(guī)范、高效、專業(yè)的法律服務(wù)，特制定本指引。第二條 本指引所涉及的電子證據(jù)的固定采集與出示，是指律師根據(jù)中華人民共和國律師法第三十五條之規(guī)定，在為當(dāng)事人提供民商事、行政法律服務(wù)（包括訴訟案件的代理或非訴訟法律事務(wù)的處理）中，對于與案情或代理事務(wù)有關(guān)的、以電子數(shù)據(jù)方式存在的相關(guān)信息、文件、資料等，按一定技術(shù)要求與程序，進(jìn)行固定采集并運用的方式與方法。第三條 律師辦理刑事案件中，涉及到對電子證據(jù)固定采集的，建議律師通過申請人民檢察院、人民法院收集、調(diào)取。律師對偵查機(jī)關(guān)、人民檢察院、人民法院收集、調(diào)取電子證據(jù)，可依據(jù)本指引提出程序及方法上的建議及意見，也可以參考本指引對上述電子證據(jù)的真實性、合法性進(jìn)行判斷和質(zhì)證。第四條 律師在引用本指引時，應(yīng)充分認(rèn)識到電子證據(jù)的相關(guān)技術(shù)特點與特性。為此，在處理具體事務(wù)時，如因技術(shù)進(jìn)步或其它因素，導(dǎo)致本指引的相關(guān)做法與實際情況不一致或不適用時，應(yīng)及時咨詢相關(guān)專業(yè)技術(shù)人員的意見，并根據(jù)自己的實際要求與經(jīng)驗，做出恰當(dāng)?shù)呐袛唷５谖鍡l 本指引所制定的內(nèi)容作為律師在處理具體案件所涉及電子證據(jù)的固定采集與出示的執(zhí)業(yè)行為參考。律師在處理上述事務(wù)中，不采取或不參考本指引所制定的內(nèi)容，并不當(dāng)然表明該律師實際采取的執(zhí)業(yè)行為或方法存有瑕疵或不當(dāng)。第二章 電子證據(jù)概述 第六條 本章內(nèi)容并非對電子證據(jù)進(jìn)行理論上的探討或研究，而是通過對電子證據(jù)的一般描述，來指導(dǎo)和規(guī)范律師對電子證據(jù)進(jìn)行固定采集及展示的執(zhí)業(yè)行為。 第七條 本指引所稱電子證據(jù)（Electronic Evidence）是指能夠證明相關(guān)法律事實或案件事實的、被作為證據(jù)使用的電子文件或電子數(shù)據(jù)。能夠證明相關(guān)法律事實或案件事實是電子證據(jù)的重要法律特征。 第八條 上條所述電子文件（Electronic Records）是指基于電子信息技術(shù)生成的，以數(shù)字化形式存在于磁盤、光盤等數(shù)字存儲設(shè)備，其內(nèi)容可與載體分離，并可在其它同類或不同載體之間多次復(fù)制或轉(zhuǎn)化的文件。 第九條 固定采集電子證據(jù)時，應(yīng)注意下列電子文件的不同類型對固定采集技術(shù)手段的影響： 一、字處理文件，通過文字處理系統(tǒng)形成的文件，由文字、標(biāo)點、表格、各種符號或其他編碼文本組成。所有這些軟件、系統(tǒng)、代碼連同文本內(nèi)容一起，構(gòu)成了字處理文件的基本要素。其中，文本內(nèi)容通常成為電子證據(jù)。例如，.DOC文檔、.XLS文檔。 二、圖形處理文件，通過專門的計算機(jī)應(yīng)用軟件系統(tǒng)，運行相應(yīng)的輔助設(shè)計或輔助制造功能所得到的圖形數(shù)據(jù)。通過圖形人們可以直觀地了解非連續(xù)性數(shù)據(jù)間的關(guān)系，使得復(fù)雜的信息變得清晰。例如，運用Photoshop軟件、AutoCad軟件生成的圖形文件。 三、程序文件，是由多條計算機(jī)命令集合在一起的電子文件，是程序源代碼文件通過編譯器翻譯生成的電腦可以識別和運行的一種特殊的文件。在軟件開發(fā)環(huán)境下，程序文件指的是源代碼，如ASP、C等，在電腦使用人或用戶環(huán)境下，程序文件通常指的是可以直接在電腦上運行的.EXE文件。計算機(jī)軟件就是由若干個程序文件組成的。 四、多媒體文件，是指計算機(jī)技術(shù)為基礎(chǔ)，以計算機(jī)及其外部設(shè)備為中心，通過掃描識別、視頻捕捉、音頻錄入等手段綜合編輯而形成的多種媒體組合文件。媒體包括文本、圖形、動畫、動靜態(tài)視頻、音頻等。 第十條 不同的分類方法與標(biāo)準(zhǔn)，可將電子證據(jù)分成不同的種類。本指引的重點在于對基于計算機(jī)技術(shù)應(yīng)用和互聯(lián)網(wǎng)絡(luò)技術(shù)應(yīng)用中所出現(xiàn)的電子證據(jù)，如何進(jìn)行固定采集與展示。 第十一條 電子證據(jù)通常存在于計算機(jī)的硬盤、U盤、磁（光）盤等移動存儲設(shè)備。手機(jī)特別是具有計算機(jī)功能的智能手機(jī)作為電子證據(jù)的載體之一，反映或記錄使用人的意思表示、行為的電子證據(jù)比其他載體中的電子證據(jù)更具有價值。第三章 電子證據(jù)的固定與采集第一節(jié) 電子證據(jù)的固定采集基本方法第十二條 打印對于可以直觀或直接反映或證明案件事實的電子證據(jù)，可以直接將有關(guān)內(nèi)容打印在紙張上的方式進(jìn)行取證。打印后，可以按照提取書證的方法予以保管、固定，并注明電子證據(jù)打印的時間、數(shù)據(jù)信息在計算機(jī)中的位置（如存放于那個文件夾中等）或來源、取證人員等。第十三條 拷貝是將作為電子證據(jù)的電子文件，通過拷貝復(fù)制到U盤、移動硬盤或光盤中的方式。取證人員應(yīng)當(dāng)檢驗所準(zhǔn)備的U盤，移動硬盤或光盤，確認(rèn)沒有病毒感染?？截愔?，應(yīng)當(dāng)及時檢查拷貝的質(zhì)量，防止因保存方式不當(dāng)?shù)仍蚨鴮?dǎo)致的拷貝不成功或感染有病毒等。取證后，注明提取的時間并封閉。第十四條 拍照、攝像對于具備視聽資料特征的電子證據(jù)，可以采用拍照、攝像的方法進(jìn)行證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。此外，在電子證據(jù)取證過程中，對取證全程進(jìn)行拍照、攝像，對被固定采集的電子證據(jù)的真實性具有一定的增強(qiáng)作用。第十五條 制作司法文書由執(zhí)法機(jī)關(guān)對電子證據(jù)制作相應(yīng)的檢查筆錄和鑒定。檢查筆錄是指對于取證證據(jù)種類、方式、過程、內(nèi)容等在取證中的全部情況進(jìn)行的記錄。鑒定是專業(yè)人員就取證中的專門問題進(jìn)行的認(rèn)定，也是一種固定證據(jù)的方式。第十六條 查封、扣押申請執(zhí)法機(jī)關(guān)對于涉及案件的電子證據(jù)的載體進(jìn)行采取查封、扣押，將有關(guān)載體置于執(zhí)法機(jī)關(guān)保管之下。之后再對該電子證據(jù)進(jìn)行分析、解讀。第十七條 公證通過公證機(jī)構(gòu)以證據(jù)保全公證的方式對有關(guān)電子證據(jù)進(jìn)行公證。這是有效獲取電子證據(jù)的便捷途徑。第十八條 數(shù)據(jù)解析對于不能直接或直觀的證明案件事實的電子證據(jù)，在確保數(shù)據(jù)真實的情況下，運用特定的軟件工具，對相關(guān)數(shù)據(jù)進(jìn)行分析、轉(zhuǎn)化，使得其可以直觀的形態(tài)為人們所認(rèn)知或了解。第十九條 恢復(fù)。大多數(shù)計算機(jī)系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能。因此，當(dāng)有關(guān)電子證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取電子證據(jù)，也可以使用一些專門的恢復(fù)性軟件或?qū)ｉT設(shè)備來恢復(fù)、獲取電子證據(jù)。第二節(jié) 電子證據(jù)固定采集的注意事項 第二十條 條件允許情況下，建議由公證機(jī)關(guān)做為電子證據(jù)固定采集的主體。律師以代理人或公證委托人身份，只是對相關(guān)電子證據(jù)的固定采集進(jìn)行目標(biāo)、方法、步驟上的指導(dǎo)和要求。 律師應(yīng)當(dāng)注意：在司法實踐中，即便經(jīng)過公證的電子證據(jù)在證明效力上仍可能存有異議。 第二十一條 對電子證據(jù)固定采集的具體操作，建議由專業(yè)的技術(shù)人員或公證人員實際進(jìn)行。 第二十二條 除非技術(shù)上必要，對電子證據(jù)進(jìn)行固定采集的場所，建議一般應(yīng)在公證機(jī)關(guān)或中立第三方的工作場所進(jìn)行。 第二十三條 除非技術(shù)上必要，對電子證據(jù)固定采集所使用的計算機(jī)設(shè)備或其他數(shù)碼設(shè)備，建議使用公證機(jī)關(guān)或中立第三方的設(shè)備。 第二十四條 來源于互聯(lián)網(wǎng)的電子證據(jù)，須對證據(jù)的來源、域名、IP等相關(guān)因素進(jìn)行保存。孤立的網(wǎng)頁文件，其真實性難以證明，證明效力很弱。 第二十五條 對電子證據(jù)固定采集過程中，應(yīng)注意避免數(shù)據(jù)污染，從而影響相關(guān)電子證據(jù)的真實性。用于固定相關(guān)電子證據(jù)的載體應(yīng)當(dāng)是干凈的、未受污染的。 第二十六條 在使用非第三方的計算機(jī)或電子設(shè)備進(jìn)行電子證據(jù)的固定采集時，須由專業(yè)人員對該計算機(jī)及電子設(shè)備進(jìn)行“清潔性檢查”。 所謂“清潔性檢查”是指對相關(guān)計算機(jī)或電子設(shè)備中的軟件系統(tǒng)、功能、配置進(jìn)行查看或固定，以確保通過該計算機(jī)或電子設(shè)備所獲取的電子證據(jù)的真實性以及數(shù)據(jù)來源的唯一性。 第二十七條 如有可能，對于記錄、存儲電子證據(jù)初始形成的電子證據(jù)載體、設(shè)備、介質(zhì)等，應(yīng)當(dāng)提存原物并隨同電子證據(jù)一并固定采集。 第二十八條 借助某些專業(yè)的電子證據(jù)取證設(shè)備或軟件，或者尋求中立的第三方提供的電子證據(jù)固定采集的相關(guān)專業(yè)技術(shù)服務(wù)，不失為對電子證據(jù)固定采集的一種有效途徑。這有助于提高相關(guān)電子證據(jù)的證明力。 采取黑客手段等非法手段獲取的電子證據(jù)，因其來源不具有合法性，不具有相應(yīng)的證明效力。 第二十九條 鑒于電子證據(jù)的脆弱性和易篡改，應(yīng)當(dāng)采用適當(dāng)?shù)膬Υ娼橘|(zhì)進(jìn)行原始的鏡像備份，用“鏡像復(fù)制”的方法復(fù)制若干個副本。建議將其中的兩個副本復(fù)制在只能寫入一次的介質(zhì)上（如非可擦寫光盤），防止被提取到的電子證據(jù)意外被改變。 第三十條 以第三方所作的提取筆錄形式將復(fù)制的時間、地點、復(fù)制的方法、處理人員、使用軟硬件、復(fù)制過程等事項記錄下來，以確保電子證據(jù)的合法性、真實性、關(guān)聯(lián)性與完整性。 第三十一條 不得改變原始證據(jù)或原始數(shù)據(jù)。對于固定采集的電子證據(jù)進(jìn)行鑒定和技術(shù)分析前，應(yīng)當(dāng)進(jìn)行完整的備份，對備份的電子證據(jù)進(jìn)行鑒定分析，不允許直接對原有存儲介質(zhì)直接進(jìn)行技術(shù)操作。第三節(jié) 來源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù) 第三十二條 固定當(dāng)前所使用的電子設(shè)備與計算機(jī)所處的網(wǎng)絡(luò)環(huán)境是對來源于互聯(lián)網(wǎng)絡(luò)電子證據(jù)進(jìn)行固定采集的前提步驟。 第三十三條 固定上條所述網(wǎng)絡(luò)環(huán)境應(yīng)當(dāng)包括以下要素：1、當(dāng)前計算機(jī)連接互聯(lián)網(wǎng)的方式：是通過局域網(wǎng)連接還是直接互聯(lián)網(wǎng)；2、在局域網(wǎng)環(huán)境下，相關(guān)的IP地址、網(wǎng)關(guān)設(shè)置；（如下圖）3、局域網(wǎng)的拓樸結(jié)構(gòu)；4、互聯(lián)網(wǎng)的登錄方式與連接方式（有線或無線、寬帶或ADSL方式）；5、通過局域網(wǎng)連接狀態(tài)，主服務(wù)器與終端的權(quán)限分配與應(yīng)用；6、如當(dāng)前所使用電子設(shè)備并非計算機(jī)（如智能手機(jī)等），需提供該電子設(shè)備的說明書或操作手冊。 第三十四條 固定當(dāng)前所使用的電子設(shè)備與計算機(jī)的自身系統(tǒng)配置文件（如下圖）。這些文件包括但不限于：1、當(dāng)前電子設(shè)備與計算機(jī)的品牌、型號；2、當(dāng)前電子設(shè)備與計算機(jī)使用的軟件：操作系統(tǒng)、應(yīng)用程序；3、當(dāng)前計算機(jī)的硬件配置狀況；4、當(dāng)前計算機(jī)系統(tǒng)中的哪些應(yīng)用程序提供遠(yuǎn)程控制；5、其他反映當(dāng)前電子設(shè)備與計算機(jī)功能或性能的文件。 第三十五條 通過IE上網(wǎng)瀏覽之方式，從互聯(lián)網(wǎng)上獲取相關(guān)的電子證據(jù)，建議應(yīng)事先了解域名及域名解析的相關(guān)知識。 中國互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，簡稱CNNIC，其網(wǎng)址為：/index.htm ）是經(jīng)國家主管部門批準(zhǔn)，行使國家互聯(lián)網(wǎng)絡(luò)信息中心的職責(zé)，負(fù)責(zé)管理維護(hù)中國互聯(lián)網(wǎng)地址系統(tǒng)的管理和服務(wù)機(jī)構(gòu)。第三十六條 在Windows系列操作系統(tǒng)下，須運行查看本地計算機(jī)系統(tǒng)內(nèi)的host文件，并對該host文件內(nèi)容予以固定。對該文件內(nèi)容的固定，能確定當(dāng)前計算機(jī)訪問的網(wǎng)站或獲得之電子證據(jù)來源于互聯(lián)網(wǎng)，確保電子證據(jù)來源的唯一性并進(jìn)而保證相關(guān)電子證據(jù)的有效性與證明力。第三十七條 不同系統(tǒng)的host文件存放路徑如下： 1、WinXP/2003/Vista: C:WindowsSystem32Driversetc 2、WinNT/2000: C:WINNTSystem32Driversetc3、Win98/Me: C:Windows第三十八條 host文件是根據(jù)TCP/IP for Windows 的標(biāo)準(zhǔn)來工作的，它的作用是包含IP地址和Host name主機(jī)名的映射關(guān)系，是一個映射IP地址和Host name主機(jī)名的規(guī)定，規(guī)定要求每段只能包括一個映射關(guān)系。根據(jù)Windows系統(tǒng)規(guī)定，在進(jìn)行DNS (域名系統(tǒng)Domain Name System的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機(jī)和網(wǎng)絡(luò)服務(wù)。)請求以前，Windows系統(tǒng)會先檢查自己的Hosts文件中是否有這個地址映射關(guān)系，如果有則調(diào)用這個IP地址映射，如果沒有再向已知的DNS服務(wù)器提出域名解析。第三十九條 在網(wǎng)絡(luò)上訪問網(wǎng)站，要首先通過DNS服務(wù)器把網(wǎng)絡(luò)域名解析成IP地址后，計算機(jī)才能訪問。也就是說Hosts的請求級別比DNS高。host文件中，關(guān)于域名解析的優(yōu)先次序為：本地硬盤局域網(wǎng)互聯(lián)網(wǎng)。以訪問為例說明：1）客戶端首先檢查本地c:windowssystem32driversetchost文件，是否有對應(yīng)的IP地址，若有，則直接訪問WEB站點，若無2）客戶端檢查本地緩存信息，若有，則直接訪問WEB站點，若無3）本地DNS檢查緩存信息，若有，將IP地址返回給客戶端，客戶端可直接訪問WEB站點，若無4）本地DNS檢查區(qū)域文件是否有對應(yīng)的IP，若有，將IP地址返回給客戶端，客戶端可直接訪問WEB站點，若無，5）本地DNS根據(jù)cache.dns文件中指定的根DNS服務(wù)器的IP地址，轉(zhuǎn)向根DNS查詢；6）根DNS收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).com服務(wù)器的IP地址告訴本地DNS服務(wù)器；7）.com服務(wù)器收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).xxx服務(wù)器的IP地址告訴本地DNS服務(wù)器；8）.xxx服務(wù)器收到查詢請求后，分析需要解析的域名，若無，則查詢失敗，若有，返回的IP地址給本地服務(wù)器；9）本地DNS服務(wù)器將的IP地址返回給客戶端，客戶端通過這個IP地址與WEB站點建立連接。第四十條 確定一臺計算機(jī)登錄互聯(lián)網(wǎng)的歷史記錄和狀態(tài)，還可通過固定該計算機(jī)配置的網(wǎng)卡特定編號，結(jié)合網(wǎng)絡(luò)服務(wù)提供商的服務(wù)器相關(guān)系統(tǒng)記錄，確定配置特定網(wǎng)卡編號的計算機(jī)登錄互聯(lián)網(wǎng)的歷史記錄和狀態(tài)。網(wǎng)卡特定編號，如同人的指紋一樣，在全球范圍內(nèi)都是唯一的、不重復(fù)的。但需注意的是，網(wǎng)絡(luò)服務(wù)提供商服務(wù)器上，關(guān)于特定編號網(wǎng)卡登錄互聯(lián)網(wǎng)的歷史記錄，其保存時間是有限的。第四十一條 登錄互聯(lián)網(wǎng)后，打開IE瀏覽器，輸入域名或IP地址，搜尋相關(guān)的信息，將搜尋到的信息保存在新建的文件夾中或存儲介質(zhì)中。所有這些操作均需同步記錄及保存。第四十二條 通過登錄互聯(lián)網(wǎng)固定采集相關(guān)來源于互聯(lián)網(wǎng)的電子證據(jù)時，記錄或保存所有操作步驟的方法通常有：1、書面記錄每個操作步驟及所獲得的內(nèi)容于紙質(zhì)載體上；2、對每個操作步驟所獲內(nèi)容進(jìn)行截屏保存或打印至紙質(zhì)載體上；3、用其他電子設(shè)備對操作步驟進(jìn)行同步攝像；4、使用專用的屏幕錄像軟件對所有操作步驟及所獲內(nèi)容進(jìn)行同步錄像。（有關(guān)的屏幕錄像軟件可直接從相關(guān)的網(wǎng)站上下載使用。）上述方法可以根據(jù)實際情況組合使用，但所獲電子證據(jù)內(nèi)容均應(yīng)刻錄在存儲介質(zhì)中（如CD光盤、U盤等）。第四十三條 注意使用互聯(lián)網(wǎng)絡(luò)資源，獲得相關(guān)的電子證據(jù)或證據(jù)線索、信息。1、工業(yè)和信息化部ICP/IP地址信息備案管理系統(tǒng)/CX/main.jsp2、中國互聯(lián)網(wǎng)絡(luò)信息中心 /3、中國萬網(wǎng) /static/domain/?cid=baidu_domain來源于上述政府網(wǎng)站及中立的第三方網(wǎng)站的電子證據(jù)或信息通常具有較高的證明力。第四十四條 在對計算機(jī)進(jìn)行截屏過程中，需保持所截屏網(wǎng)頁內(nèi)容的完整性。如因紙張尺寸問題，不能將所截屏網(wǎng)頁打印在同一頁紙張上的，可用數(shù)頁紙張連續(xù)截屏網(wǎng)頁內(nèi)容。避免截屏網(wǎng)頁的內(nèi)容缺失導(dǎo)致其證明力下降或喪失。對網(wǎng)站網(wǎng)頁首屏及網(wǎng)頁次屏的截屏應(yīng)當(dāng)滿足無縫銜接的要求。第四十五條 經(jīng)過第三方電子認(rèn)證中心流轉(zhuǎn)的計算機(jī)數(shù)據(jù)，具有較高的證明力。對于此類證據(jù)的固定采集，建議通過一定的取證申請，由提供電子認(rèn)證服務(wù)的網(wǎng)絡(luò)服務(wù)提供商提供。第四節(jié) 來源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)電子郵件信息 第四十六條 電子郵件服務(wù)是互聯(lián)網(wǎng)應(yīng)用最為廣泛的服務(wù)之一。對電子郵件信息而言，其郵件內(nèi)容往往證明了一定的法律事實或行為，從此意義上說，電子郵件信息可視為證據(jù)中的書證。 第四十七條 對電子郵件信息的固定采集，除郵件內(nèi)容外，對電子郵件信頭的固定采集也同樣重要。 第四十八條 一般情況下，電子郵件常用信頭字段包括下列內(nèi)容： 電子郵件常用信頭字段表字段名稱描 述字段名稱描 述From信件寫信人Date信件創(chuàng)建日期Sender信件發(fā)信人Received信件MTA軌跡Reply-to發(fā)信回復(fù)地址Return-path發(fā)信人地址To信件主收信人Subject信件主題Cc信件輔收信人（抄送）Comments關(guān)于信件的其他說明Bcc信件的密件抄送收信人Keywords信件主題關(guān)鍵字Message-id信件唯一標(biāo)識符Encrypted加密信息In-reply-to信件被回復(fù)到Resent-*重新分發(fā)時創(chuàng)建的字段References信件源Content-length信件長度Status由MUA插入標(biāo)識是否信件狀態(tài)（是否新信件、已閱讀、回復(fù)等）X-*信件擴(kuò)展字段，由開發(fā)者創(chuàng)建的非標(biāo)準(zhǔn)字段 第四十九條 對電子郵件信息，建議通過公證機(jī)關(guān)以證據(jù)保全公證的形式予以固定采集。 第五十條 電子郵件信息除了保存在電子郵箱使用人的個人電腦終端上，還保存在提供電子郵件服務(wù)的網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器上。第五十一條 在知悉電子郵箱（Email）地址，但無法掌握電子郵箱使用人計算機(jī)的情況下，可通過申請證據(jù)調(diào)取的方式向?qū)徖砣嗣穹ㄔ荷暾堈{(diào)查令，并依此要求提供電子郵件服務(wù)的網(wǎng)絡(luò)服務(wù)提供者提供相關(guān)的電子郵件證據(jù)。第五十二條 如電子郵件服務(wù)來源于委托人或?qū)Ψ疆?dāng)事人自行設(shè)立的網(wǎng)站，需首先查明該網(wǎng)站所存放的物理服務(wù)器位置。如該網(wǎng)站的服務(wù)器系租用電信服務(wù)器或由電信部門托管的服務(wù)器，可按第五十一條程序固定采集相關(guān)的電子郵件證據(jù)。如該網(wǎng)站的服務(wù)器系委托人或?qū)Ψ疆?dāng)事人自行保管控制，可通過公證機(jī)關(guān)或?qū)徖砣嗣穹ㄔ和ㄟ^證據(jù)保全之方式調(diào)取相關(guān)的電子郵件證據(jù)。第五十三條 作為電子證據(jù)固定采集的預(yù)備措施，建議律師以恰當(dāng)?shù)胤绞教崾井?dāng)事人，在以電子郵件方式與相對人進(jìn)行意思表示或進(jìn)行商談時，對接收到的電子郵件直接以郵件回復(fù)方式進(jìn)行。如此，可動態(tài)記錄雙方意思表示的完整過程，也有助于確定相對人的真實身份。第五節(jié) 來源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)即時通信軟件數(shù)據(jù) 第五十四條 網(wǎng)上聊天記錄的內(nèi)容是當(dāng)事人法律行為或意思表示，以文字方式借助于電子形式的外在表現(xiàn)，具有動態(tài)證明有關(guān)法律事實、法律行為、當(dāng)事人意思表示的特點。從證據(jù)形態(tài)上看，網(wǎng)上聊天記錄集中體現(xiàn)了言詞證據(jù)的某些特性。 第五十五條 固定采集網(wǎng)上聊天記錄內(nèi)容時，不僅應(yīng)以雙方個人電腦中的聊天記錄為主體，還應(yīng)包括即時通信軟件使用人的個人資料、聊天好友資料。 第五十六條 鑒于現(xiàn)階段在互聯(lián)網(wǎng)上沒有實行網(wǎng)絡(luò)實名制，因此在固定采集此類電子證據(jù)時，應(yīng)當(dāng)擴(kuò)大數(shù)據(jù)收集范圍，尤其是反映聊天記錄的用戶網(wǎng)名與現(xiàn)實中自然人身份相對應(yīng)的相關(guān)數(shù)據(jù)。 第五十七條 通過某一方電腦終端固定對方使用人網(wǎng)絡(luò)身份與真實身份相對應(yīng)的電子證據(jù)時，可以通過對方在互聯(lián)網(wǎng)上的ID、上網(wǎng)計算機(jī)的IP地址、在即時通信軟件上登記的個人資料等方式單獨或結(jié)合使用固定對方的真實身份這一事實。 必要時，通過網(wǎng)絡(luò)聊天所獲得的對方自認(rèn)的真實身份也可以起到一定的證明作用。 第五十八條 從理論上看，行為人通過即時通信軟件所產(chǎn)生的電子數(shù)據(jù)都會在有關(guān)的網(wǎng)絡(luò)服務(wù)提供者提供的聊天服務(wù)器上中轉(zhuǎn)、保存。但由于網(wǎng)上聊天系統(tǒng)具有用戶成員多、信息流量大等特點及時性相關(guān)規(guī)定，這些電子數(shù)據(jù)保存時間不低于60天。因此，對此類電子證據(jù)固定采集具有一定的時間要求。 第五十九條 美國微軟公司（Microsoft）的即時通信軟件MSN及騰迅公司（Tencent）的QQ是目前國內(nèi)使用最廣泛的兩款即時通信軟件，已形成了一個較為完善、具有相當(dāng)規(guī)模的互聯(lián)網(wǎng)即時通信體系。 第六十條 某些版本的QQ軟件（如木子版QQ、珊瑚版QQ）以及其他顯IP外掛程序可以在線監(jiān)控對方的IP地址及使用的QQ版本，并對IP地址作出初步的物理位置判斷。 第六十一條 除非有明確的方法或途徑固定相關(guān)的操作內(nèi)容，不建議利用即時通信軟件中的文件即時傳輸功能來傳遞有關(guān)的法律文件、電子信息及電子數(shù)據(jù)。第六節(jié) 來源于互聯(lián)網(wǎng)絡(luò)的電子證據(jù)電子公告信息（BBS） 第六十二條 BBS的一般功能有信息發(fā)布、問題討論、文件傳輸、聯(lián)機(jī)交談等。不同的BBS通常將這些功能劃分為不同標(biāo)題命名的“版面”。但無論如何，用戶都需將傳輸內(nèi)容上傳到服務(wù)器，其他用戶才有能進(jìn)行訪問。 第六十三條 一套完整的BBS系統(tǒng)由計算機(jī)硬件、軟件和系統(tǒng)的管理者、用戶共同組成。其中，硬件部分包括一臺運行BBS系統(tǒng)程序的計算機(jī)（服務(wù)器）、連接系統(tǒng)與用戶的設(shè)備以及用戶個人電腦終端。軟件部分包括系統(tǒng)和相應(yīng)的通信程序。 第六十四條 BBS證據(jù)按存儲地的不同，可以分為“存儲于BBS服務(wù)器上的證據(jù)”和“存儲于用戶個人電腦終端上的證據(jù)”兩種。具有證明力的BBS證據(jù)是存儲于BBS服務(wù)器上的證據(jù)內(nèi)容，這些數(shù)據(jù)包括信息發(fā)布者形成、上傳和存儲的數(shù)據(jù)以及由BBS服務(wù)器系統(tǒng)形成的數(shù)據(jù)兩種， 均屬于需要固定采集的電子證據(jù)內(nèi)容。第七節(jié) 來源于封閉計算機(jī)系統(tǒng)中的電子證據(jù) 第六十五條 本指引中所稱封閉計算機(jī)系統(tǒng)指未連接局域網(wǎng)或互聯(lián)網(wǎng)的計算機(jī)。儲存在此類計算機(jī)中的、具有電子證據(jù)性質(zhì)的計算機(jī)數(shù)據(jù)之載體主要是計算機(jī)硬盤。根據(jù)計算機(jī)數(shù)據(jù)產(chǎn)生的性質(zhì)，可簡單將其分為系統(tǒng)數(shù)據(jù)與用戶數(shù)據(jù)兩類。 第六十六條 Windows系列操作系統(tǒng)和UNIX是最常見也是應(yīng)用最廣的兩種操作系統(tǒng)。鑒于操作系統(tǒng)使用之廣泛性，本指引僅涉及Windows操作系統(tǒng)中，相關(guān)電子證據(jù)的固定采集。 第六十七條 從技術(shù)上說，幾乎Windows操作系統(tǒng)中的每一項事務(wù)都可以在一定程序上被審計。因此，獲取各種系統(tǒng)日志是確定電子證據(jù)的必要步驟。 第六十八條 訪問Windows操作系統(tǒng)維護(hù)的各種日志可以獲得以下信息： 1、確定計算機(jī)在某一時間段內(nèi)被使用和登錄系統(tǒng)的用戶； 2、跟蹤登錄者對特定應(yīng)用程序的使用； 3、跟蹤審核策略的變更，看是否有防御性的策略變化； 4、跟蹤用戶權(quán)限（如非法提高的訪問權(quán)限）的變化，以及用戶和組的變更。 第六十九條 查看注冊表是獲得當(dāng)前計算機(jī)中，可能具有電子證據(jù)性質(zhì)的系統(tǒng)數(shù)據(jù)的有效途徑。 第七十條 在固定采集系統(tǒng)數(shù)據(jù)及用戶數(shù)據(jù)時，為保護(hù)原始數(shù)據(jù)，確保證據(jù)的有效性不被破壞，通常情況下，采取以下三種方法進(jìn)行數(shù)據(jù)備份，對系統(tǒng)進(jìn)行完整復(fù)制： 1、利用磁盤鏡像工具對移交的證據(jù)介質(zhì)進(jìn)行復(fù)制。 2、通過添加一個硬盤驅(qū)動器的方法創(chuàng)建映象。 3、通過網(wǎng)絡(luò)發(fā)送映象。 無論以上述哪種方式固定采集系統(tǒng)數(shù)據(jù)，創(chuàng)建數(shù)據(jù)副本，都需要對原始驅(qū)動器和最后的映象文件執(zhí)行數(shù)據(jù)完整性校驗。 第七十一條 數(shù)據(jù)完整性校驗可以通過專用的校驗工具軟件進(jìn)行。建議使用專用的電子取證硬盤復(fù)制機(jī)（如TALON、QUEST）進(jìn)行硬盤復(fù)制。上述設(shè)備均支持MD5 256位校驗功能，確保原始數(shù)據(jù)與復(fù)制數(shù)據(jù)的一致性。 第七十二條 在封閉的計算機(jī)系統(tǒng)中固定采集電子證據(jù)，尤其應(yīng)注意檢查并固定采集下列文件：1、擴(kuò)展名為.pst的Microsoft Outlook電子郵件文件。Windows系列操作系統(tǒng)默認(rèn)的存儲路徑為：Documents and SettingsLocal SettingsApplication DataMicrosoftOutlook ；2、回收站中的文件；3、擴(kuò)展名為.tmp的檢查臨時文件；4、恢復(fù)被刪除的文件，有相當(dāng)多的工具軟件如Norton可以恢復(fù)系統(tǒng)中被刪除的文件；5、Internet歷史記錄； 第八節(jié) 來源于移動存儲設(shè)備的電子證據(jù) 第七十三條 來源于移動存儲設(shè)備的電子證據(jù)通?？煞譃閮深悾?1、保存在可移動的電磁或光學(xué)介質(zhì)上的電子數(shù)據(jù)，如移動硬盤、CDROM光盤等。此外，數(shù)碼設(shè)備中使用的格式卡如CD卡、CF卡、MS記憶棒、手機(jī)中的SIM卡等也可以歸入此類。 2、保存具備一定計算機(jī)功能的移動數(shù)字設(shè)備中的電子數(shù)據(jù)，如手機(jī)、PDA、車載GPS等。 第七十四條 對保存在可移動的電磁或光學(xué)介質(zhì)（載體）上的電子數(shù)據(jù)，應(yīng)當(dāng)提取原物并將之作為證物使用。 第七十五條 由于原物是以其記載內(nèi)容而非其自身作為證據(jù)使用。因此，可利用相應(yīng)的硬件設(shè)備或軟件工具導(dǎo)出或讀取有關(guān)介質(zhì)（載體）中的數(shù)據(jù)，并對導(dǎo)出或讀取的數(shù)據(jù)進(jìn)行分析。 第七十六條 對上述介質(zhì)（載體）中的數(shù)據(jù)進(jìn)行導(dǎo)出或讀取的過程，建議通過公證機(jī)關(guān)或中立第三方進(jìn)行并對全過程予以記錄，以保證相關(guān)數(shù)據(jù)的真實性。 第七十七條 對于移動數(shù)字設(shè)備中的電子數(shù)據(jù)，如不具備提取保存原物之條件，應(yīng)當(dāng)按上條之要求與途徑，對其中的電子數(shù)據(jù)進(jìn)行固定采集。 第七十八條 在固定采集移動數(shù)字設(shè)備中的電子數(shù)據(jù)時，應(yīng)將該設(shè)備品牌、型號、操作系統(tǒng)、使用說明書等內(nèi)容作為環(huán)境數(shù)據(jù)一并固定采集。 第七十九條 固定采集使用手機(jī)產(chǎn)生的電子證據(jù)時，除了以手機(jī)為對象進(jìn)行固定采集外，還可以通過該手機(jī)的通訊網(wǎng)絡(luò)運營商（中國聯(lián)通、中國移動、中國電信）進(jìn)行相關(guān)電子證據(jù)的固定采集。 第八十條 固定采集通訊網(wǎng)絡(luò)運營商所保存的手機(jī)使用產(chǎn)生的電子證據(jù)，建議通過以下兩種途徑： 1、通過互聯(lián)網(wǎng)登錄運營商的網(wǎng)上營業(yè)廳，查詢并固定相關(guān)的電子證據(jù)信息如通話記錄、短信記錄等等。同時，申請公證機(jī)關(guān)對此過程進(jìn)行證據(jù)保全公證。 2、通過申請調(diào)查令的方式，向通訊網(wǎng)絡(luò)運營商調(diào)取相關(guān)手機(jī)的通訊記錄等數(shù)據(jù)或內(nèi)容。 第八十一條 司法實踐中，手機(jī)短信內(nèi)容可作為證據(jù)使用已無爭議。對手機(jī)短信內(nèi)容的固定采集，建議通過公證機(jī)關(guān)對其進(jìn)行證據(jù)保全的方式進(jìn)行。 第八十二條 根據(jù)現(xiàn)行相關(guān)規(guī)定，手機(jī)號碼的開通使用已實行實名制。但基于通訊網(wǎng)絡(luò)運營商對用戶通訊自由與個人隱私之保護(hù)，手機(jī)機(jī)主或使用人身份的確認(rèn)，需要通過申請人民法院調(diào)查令之方式才能使固定采集的電子證據(jù)具有合法性。第四章 電子證據(jù)的展示 第八十三條 電子證據(jù)作為一種新