DB4101T 62.1-2023 網(wǎng)絡交易管理規(guī)范 第1部分：電子數(shù)據(jù)取證

ICS35.240.99CCSL704101IDB4101/T62.1—2023前言 2規(guī)范性引用文件 3術語和定義 4基本原則 25制定方案 26設備與工具 37收集提取 38登記保存與扣押封存 49記錄 4 5附錄A（資料性）電子數(shù)據(jù)證據(jù)提取筆錄（提綱） 6附錄B（資料性）場所/設施/財務清單（樣式） 8附錄C（資料性）電子數(shù)據(jù)提取固定清單（樣式） 10參考文獻 DB4101/T62.1—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件是DB4101/T62《網(wǎng)絡交易管理規(guī)范》的第1部分,DB4101/T62已經發(fā)布了以下部分：——第1部分：電子數(shù)據(jù)取證。本文件由鄭州市市場監(jiān)督管理局提出并歸口。本文件起草單位：鄭州市市場監(jiān)督管理局網(wǎng)絡交易監(jiān)管分局、廈門市美亞柏科信息股份有限公司。本文件主要起草人：劉長斌、雷兵、關喜斌、周峰、李蒙、任珂、呂臻、黃軒華、劉偉釗。1DB4101/T62.1—2023網(wǎng)絡交易管理規(guī)范第1部分：電子數(shù)據(jù)取證本文件規(guī)定了網(wǎng)絡交易管理中電子數(shù)據(jù)證據(jù)取證的基本原則、制定方案、選擇設備與工具、收集提取、登記保存與扣押封存、記錄和移交。本文件適用于市場監(jiān)管相關執(zhí)法部門網(wǎng)絡交易管理中的電子數(shù)據(jù)證據(jù)取證工作。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GA/T754電子數(shù)據(jù)存儲介質復制工具要求及檢測方法GA/T755電子數(shù)據(jù)存儲介質寫保護設備要求及檢測方法3術語和定義下列術語和定義適用于本文件。3.1網(wǎng)絡交易借助互聯(lián)網(wǎng)進行商品買賣的活動。［來源：GB/T31951—2015，3.1］3.2電子數(shù)據(jù)基于計算機及網(wǎng)絡應用、通信和現(xiàn)代管理技術等電子化技術手段形成的以數(shù)字形式存儲、處理和傳輸?shù)馁Y料。a)網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡平臺發(fā)布的信息；b)手機短信、電子郵件、即時通信、通訊群組等網(wǎng)絡應用服務的通信信息；c)用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息；d)文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。［來源：GB/T37919—2019，3.11，有修改］3.3電子數(shù)據(jù)取證運用技術手段，對網(wǎng)絡交易的電子數(shù)據(jù)證明材料進行收集、保全和記錄，用于鑒別其違法行為的過程。[來源：GB/T37919—2019，3.14，有修改]2DB4101/T62.1—20233.4完整性校驗值為防止電子數(shù)據(jù)被篡改或者破壞，使用散列算法等特定算法對電子數(shù)據(jù)進行計算，得出的用于校驗數(shù)據(jù)完整性的數(shù)據(jù)值。[來源：GB/T37919—2019，3.6]4基本原則4.1合法性收集、提取電子數(shù)據(jù)時，由2名以上具備行政執(zhí)法資格的人員進行。必要時，可指派或者聘請專業(yè)技術人員參與。4.2真實性收集、提取到的電子數(shù)據(jù)計算其完整性校驗值并制作固定電子數(shù)據(jù)證據(jù)清單。4.3關聯(lián)性收集、提取到的電子數(shù)據(jù)從以下因素進行證據(jù)關聯(lián)性驗證：a)證據(jù)證明的事實是否與案件有本質的內在聯(lián)系，以及關聯(lián)程度的大小；b)證據(jù)所證明的事實對案件主要情節(jié)和案件性質的影響程度大??；c)證據(jù)之間是否能互相印證，并形成證據(jù)鏈；d)所形成的證據(jù)鏈是否較全面地印證案件的事實。4.4完整性對作為證據(jù)使用的電子數(shù)據(jù)，采取以下一種或者幾種方法保護電子數(shù)據(jù)的完整性：a)扣押、封存電子數(shù)據(jù)原始存儲介質；b)計算電子數(shù)據(jù)完整性校驗值；c)制作、封存電子數(shù)據(jù)備份；d)對收集、提取電子數(shù)據(jù)的相關活動進行錄像；e)其他保護電子數(shù)據(jù)完整性的方法。4.5保密性電子數(shù)據(jù)涉及國家秘密、商業(yè)秘密和個人隱私的，應保密。5制定方案電子數(shù)據(jù)證據(jù)收集與提取之前，應制定詳細方案，包括但不限于：a)收集與提取的目的和范圍；b)參加人員應明確分工，落實責任；c)應攜帶的儀器設備；d)采用的方法和步驟；e)電子數(shù)據(jù)證據(jù)收集提取順序；f)電子數(shù)據(jù)收集提取操作可能造成的影響。3DB4101/T62.1—20236設備與工具根據(jù)方案選擇設備與工具，包括但不僅限于：a)照錄像設備、電子物證現(xiàn)場檢查箱、手機信號屏蔽設備、收集屏蔽箱（袋）、手機取證設備、仿真設備、保全備份設備、專用存儲介質、便攜式計算機、打印機等；b)綜合取證分析軟件、手機取證分析軟件、仿真軟件、在線取證軟件、免安裝和免系統(tǒng)注冊軟件等；c)對電子數(shù)據(jù)進行復制，應使用符合GA/T754和GA/T755規(guī)定的電子數(shù)據(jù)存儲介質復制及寫保護設備及工具。7收集提取7.1現(xiàn)場7.1.1具有下列無法扣押原始存儲介質情形之一的，應現(xiàn)場收集提取電子數(shù)據(jù)：a)原始存儲介質不便封存的；b)提取計算機內存數(shù)據(jù)、網(wǎng)絡傳輸數(shù)據(jù)等不是存儲在存儲介質上的電子數(shù)據(jù)的；c)案件情況緊急，不立即提取電子數(shù)據(jù)可能會造成電子數(shù)據(jù)滅失或者其他嚴重后果的；d)關閉電子設備會導致重要信息系統(tǒng)停止服務的；e)需通過現(xiàn)場提取電子數(shù)據(jù)排查可疑存儲介質的；f)正在運行的計算機信息系統(tǒng)功能或者應用程序關閉后，沒有密碼無法提取的；g)其他無法扣押原始存儲介質的情形。7.1.2現(xiàn)場收集提取電子數(shù)據(jù)，符合以下要求：a)不應將收集提取的數(shù)據(jù)存儲在原始存儲介質中；b)不應在目標系統(tǒng)中安裝新的應用程序。如特殊原因，需在目標系統(tǒng)中安裝新的應用程序的，應在《電子數(shù)據(jù)證據(jù)提取筆錄》（見附錄A）中記錄所安裝的程序及目的；c)應在有關筆錄中詳細、準確記錄實施的操作。7.1.3現(xiàn)場收集提取電子數(shù)據(jù)時采取以下措施保護相關電子設備：a)及時將案件當事人或者其他相關人員與電子設備分離；b)在未確定是否易丟失數(shù)據(jù)的情況下，不應關閉正在處于運行狀態(tài)的電子設備；c)對現(xiàn)場計算機信息系統(tǒng)可能被遠程控制的，及時采取信號屏蔽、信號阻斷、斷開網(wǎng)絡連接等措施；d)保護電源；e)有必要采取的其他保護措施。7.1.4應對收集提取的電子數(shù)據(jù)證據(jù)進行數(shù)據(jù)壓縮，并在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明相應的方法和壓縮后文件的完整性校驗值。7.2網(wǎng)絡在線7.2.1對公開發(fā)布的電子數(shù)據(jù)、境內遠程計算機信息系統(tǒng)上的電子數(shù)據(jù)，可通過網(wǎng)絡在線收集提取。7.2.2應計算電子數(shù)據(jù)的完整性校驗值，必要時，可提取有關電子簽名認證證書、數(shù)字簽名、注冊信息等關聯(lián)性信息。7.2.3對可能無法重復收集提取或者可能會出現(xiàn)變化的電子數(shù)據(jù)，應采用錄像、拍照、截取計算機屏幕內容等方式記錄包括但不限于以下信息：4DB4101/T62.1—2023a)遠程計算機信息系統(tǒng)的訪問方式；b)收集提取的日期和時間；c)收集提取使用的工具和方法；d)電子數(shù)據(jù)的網(wǎng)絡地址、存儲路徑或者數(shù)據(jù)收集提取時的進入步驟等；e)計算完整性校驗值的過程和結果。7.2.4需要進一步查明下列情形之一的，可對遠程計算機信息系統(tǒng)進行網(wǎng)絡遠程勘驗：a)分析、判斷收集提取的電子數(shù)據(jù)范圍的；b)展示或者描述電子數(shù)據(jù)內容或者狀態(tài)的；c)在遠程計算機信息系統(tǒng)中安裝新的應用程序的；d)通過勘驗行為讓遠程計算機信息系統(tǒng)生成新的除正常運行數(shù)據(jù)外電子數(shù)據(jù)的；e)收集遠程計算機信息系統(tǒng)狀態(tài)信息、系統(tǒng)架構、內部系統(tǒng)關系、文件目錄結構、系統(tǒng)工作方式等電子數(shù)據(jù)相關信息的；f)其他網(wǎng)絡在線收集提取時需要進一步查明有關情況的情形。網(wǎng)絡在線收集提取或者網(wǎng)絡遠程勘驗時，應使用電子數(shù)據(jù)持有人、網(wǎng)絡服務提供者提供的用戶名、密碼等進行遠程訪問。8登記保存與扣押封存8.1在證據(jù)可能滅失或者以后難以取得的情況下，可根據(jù)相關法律規(guī)定,對與涉嫌違法行為有關的證據(jù)采取先行登記保存措施。8.2在現(xiàn)場檢查過程中，發(fā)現(xiàn)與案情相關的電子數(shù)據(jù)，可根據(jù)相關法律規(guī)定對電子數(shù)據(jù)載體進行扣押。8.3對扣押的原始存儲介質，應會同在場見證人和原始存儲介質持有人（提供人）查點清楚，開具《場所/設施/財物清單》（見附錄B），扣押原始存儲介質時，應收集證人證言以及案件當事人供述等與原始存儲介質相關聯(lián)的證據(jù)，并在筆錄中注明以下情況：a)原始存儲介質及應用系統(tǒng)管理情況，網(wǎng)絡拓撲與系統(tǒng)架構情況，是否由多人使用及管理，管理及使用人員的身份情況等；b)原始存儲介質及應用系統(tǒng)管理的用戶名、密碼情況；c)原始存儲介質的數(shù)據(jù)備份情況，有無加密磁盤、容器，有無自毀功能，有無其它移動存儲介質，是否進行過備份，備份數(shù)據(jù)的存儲位置等情況；d）其他相關的內容。8.4封存要求：a)保證在不解除封存狀態(tài)的情況下，無法使用或者啟動原始存儲介質；必要時，應分別封存具備數(shù)據(jù)信息存儲功能的電子設備和硬盤、存儲卡等內部存儲介質；b)封存前后應拍攝被封存原始存儲介質的照片，照片應反映原始存儲介質封存前后狀況，清晰反映封口或者張貼封條處狀況；必要時，照片還應清晰反映電子設備的內部存儲介質細節(jié)；c)封存手機等具有無線通信功能的原始存儲介質，應采取信號屏蔽、信號阻斷或者切斷電源等措施。9記錄9.1現(xiàn)場收集提取電子數(shù)據(jù)過程中，應制作《電子數(shù)據(jù)證據(jù)提取筆錄》?！峨娮訑?shù)據(jù)證據(jù)提取筆錄》中應注明電子數(shù)據(jù)的來源、事由和目的、對象、收集提取電子數(shù)據(jù)的時間、地點、方法、過程、不能扣押原始存儲介質的原因和原始存儲介質的存放地點等，并附《電子數(shù)據(jù)提取固定清單》（見附錄C）。5DB4101/T62.1—20239.2遠程勘驗結束后，應及時制作《電子數(shù)據(jù)證據(jù)提取筆錄》，詳細記錄遠程勘驗有關情況，遠程勘驗提取的電子數(shù)據(jù)以及勘驗照片、截獲的屏幕截圖及其完整性校驗值等內容，并附《電子數(shù)據(jù)提取固定清單》。9.3對計算機信息系統(tǒng)進行多次遠程勘驗的，在制作首次檢查筆錄后，應逐次制作補充筆錄。9.4執(zhí)法人員（取證人員）、電子數(shù)據(jù)持有人（提供人）應在《電子數(shù)據(jù)證據(jù)提取筆錄》、《電子數(shù)據(jù)提取固定清單》、《場所/設施/財物清單》上簽字或者蓋章。9.5電子數(shù)據(jù)持有人（提供人）無法或者拒絕在電子數(shù)據(jù)證據(jù)提取相關文書中簽名的，應在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明，由見證人簽名或者蓋章；由于客觀原因無法由符合條件的人員擔任見證人的，應當在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明情況，并全程錄像，對錄像文件應當計算完整性校驗值并記入筆錄。9.6在電子數(shù)據(jù)取證過程中，對收集提取的電子數(shù)據(jù)證據(jù)應出具電子數(shù)據(jù)固證文書。文書內容包括：取證部門、取證時間、取證方式、取證依據(jù)及方法、取證設備及環(huán)境和區(qū)塊鏈登記信息等。10移交10.1原始存儲介質應當以封存狀態(tài)移交相關部門。移交時，應將收集提取的電子數(shù)據(jù)及備份件、相關文書和取證過程錄像文件一并移交。10.2移交的的電子數(shù)據(jù)證據(jù)應計算其完整性校驗值，并制作固定電子數(shù)據(jù)證據(jù)清單。10.3移交的電子數(shù)據(jù)證據(jù)涉及到網(wǎng)絡應用賬號時，應注明其賬號及密碼。10.4移交的電子數(shù)據(jù)證據(jù)應提供查看工具和展示方法說明。6DB4101/T62.1—2023電子數(shù)據(jù)證據(jù)提取筆錄（提綱）電子數(shù)據(jù)證據(jù)提取筆錄提綱如下。 7DB4101/T62.1—2023 8DB4101/T62.1—2023（資料性）場所/設施/財務清單（樣式）場所/設施/財務清單樣式如下： （單位名稱）場所/設施/財物清單文書編號：9DB4101/T62.1—2023