各位尊敬的深圳律师同仁：

  本次分享所涉及的法律规范，主要包括：

    第一、《计算机犯罪现场勘验与电子证据检查规则》（文号：公信安[2005]161号）。

    第二、《公安机关刑事案件现场勘验检查规则》（文号：公通字[2005]54号）。

  本次分享的内容，分为以下三个部分：

    1、关于案发现场保护的辩点；

    2、关于计算机犯罪现场勘验与电子证据检查的辩点；

   电子数据，是指基于计算机应用、通信和现代管理技术等电子化技术手段，而形成包括文字、图形符号、数字、字母等资料。电子数据外在展示，离不开电子设备（包括计算机、手机等等）。电子数据的储存，离不开储存媒介（如硬盘、U盘、光盘、云端服务器等）。

  而对于电子证据，根据《计算机犯罪现场勘验与电子证据检查规则》第二条规定：电子证据，包括电子数据、储存媒介、电子设备。

  由此可见，电子证据的外延，大于电子数据。电子数据，属于电子证据的其中一类。

  现在进行第一个方面：关于案发现场保护的辩点。

  根据《公安机关刑事案件现场勘验检查规则》第三章规定，案发地公安机关接到报警后，应迅速派员赶赴现场，进行现场保护。比如说，犯罪嫌疑人某甲在京基一百的某间办公室涉嫌从事破坏计算机信息系统的犯罪活动。那么，在接到报警之后呢，警察就得迅速到场，进行现场保护，避免因犯罪现场遭受破坏而对举证以及法律事实的构建造成不可挽回的损害。

  负责保护现场的警察除保护物证等紧急情况外，不得进入现场、不得触动现场痕迹与物品。处理紧急状况时，也应尽可能避免破坏现场的痕迹、物品。

因此，在现场保护的时间方面，辩护人须注意以下四个时间节点：

  1、发现刑事案件现场的时间；

  2、现场勘验、检查结束的时间；

  3、现场保护开始的时间；

  4、现场保护的结束时间。

  其中，现场保护的开始时间，与发现刑事案件现场的时间，应当是相吻合的。现场保护的结束时间，不得早于现场勘验、检查结束的时间。

  这是第一部分，关于现场保护，从以下问题，寻求辩点：

  本部分主要的法律依据，来自于公安部《计算机犯罪现场勘验与电子证据检查规则》（文号：公信安[2005]161号）。

  现场勘验检查、远程勘验、电子证据检查的区别，在于行为的对象。现场勘验检查，针对的是犯罪现场。比如说某甲设计计算机病毒程序的办公场地，就是警方进行现场勘验检查的对象。远程勘验，针对的是远程目标系统。比如说，某甲将设计计算机病毒相关的资料，保存在他的百度云盘。那么，警方对百度云服务器进行的勘验，则属于远程勘验。而电子证据检查，则针对的是已经扣押、存封、固定的电子证据，目的在于检查现有固定证据，以发现相关线索、提取相关证据。简单来说，就是在证据的基础上挖掘线索、提取证据。

 （一）组织实施、操作人员、公民见证；

  第一、组织实施、操作人员、公民见证：

  计算机犯罪现场勘验与电子证据检查，由县级以上公安机关公共信息网络安全监察部门负责组织实施。这里就存在两个发问点：

  1、实施的公安机关的级别，是否达到县级以上；

  2、是不是由公安机关的网监部门实施。以某甲的破坏计算机系统案为例，犯罪现场，为京基一百大厦的某间办公室，所以，罗湖区公安分局、深圳市公安局的网监部门，有权实施勘验检查。而罗湖分局桂圆派出所，则无权实施勘验检查。这是组织实施方面。

  关于操作人员，有以下几个规定：

  1、不得少于二人。

  2、办案人员与检查人员分离。通过人员的分离，避免办案人员可能会有的先入为主，影响到勘验检查的客观公正性。

  3、应由具备电子证据检查技能的专业技术人员实施。

  4、应佩戴公安部统一制发的《刑事案件现场勘验检查证》。

  因此，在勘验检查的实施人员方面，有四个点：

  1、人数；

  2、办案人员与检查人员是否分离；

  3、人员是否具备相应的技能；

  4、有无佩戴相关证件。

  关于见证，对计算机犯罪现场的勘验，应邀请一至二名与案件无关的公民作为见证人，公安司法人员不得作为见证人。见证人，应在勘验检查笔录上签字。所以，对于公民见证，由两个辩点：

  1、与本案是否有关？

  2、是否公安司法人员？在实践中，存在花钱买见证的情况，就是你去作为见证人签字，然后公安局就给你五百、八百。也有些公安机关的工作人员，肥水不流外人田，让自己的亲戚到场见证。这属于违规操作，违反了与案件无关的规则，辩护人可以据此提出证据瑕疵的意见。

  第二、现场勘验检查、远程勘验、电子证据检查

  现场勘验检查，是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验检查的程序包括以下几个方面：

  (1)保护现场；(2)收集证据；(3)提取、固定易丢失数据；(4)在线分析；(5)提取、固定证物。

  “提取、固定易丢失数据”，顾名思义，就是对已丢失数据的提取与固定。而在线分析，指的在现场不关闭电子设备的情况下，直接分析和提取电子系统中的电子数据。

  提取、固定易丢失数据，与在线分析的共性，在于所获取的电子数据，有可能与原始数据存在较大偏差，甚至有可能导致原始数据的改变或灭失。因此，在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据，应当计算其完整性校验值并制作、填写《固定电子证据清单》，以保证其完整性和真实性。这里需要注意一个名词：完整性校验值。电子数据，在传输的过程中，受各方面因素影响，比如说电压、网速，储存介质、传输线路的温度、湿度等，有可能会发生变化，也有可能会受到破坏与篡改。而完整性校验值，则是针对电子数据的变化而设置的数值。据计算机专业人士的介绍：比较普遍的算法，是奇偶校验法和CRC校验法，但是，这两种方法并没有对抗数据篡改的能力，于是又出现了MD5算法。MD5算法，具有“数字指纹”的特征，可以有效防止数据被恶意破坏、篡改，保证电子数据的真实性。总之，重要的问题说三遍，请大家注意“完整性校验值计算“。

  “在线分析”，就是警方到达案发现场时，某甲的电脑还在运作，而警察在不关机的情况下，直接进行分析与提取电子数据。简单来说，就是现场不关机直接勘验检查。

  在线分析，有以下的细节问题，需要辩护人注意：

  除以下情形外，一般不得进行在线分析：

  (1)案件情况紧急，在现场不实施在线分析可能会造成严重后果的；

  (2)情况特殊，不允许关闭电子设备或扣押电子设备的；

  (3)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。

  对于以上规定，第（3）项的合理性，是指的商榷的。因为在线分析会不会造成重要电子数据的破坏，是事先难以准确把握的。一旦造成破坏，对证据的损害将是不可挽回的。并且，第（3）项规定也有可能导致在线分析的滥用。

  远程勘验，通过网络对远程目标系统实施勘验。比如说，对某甲的百度云盘所进行的勘验，对服务器设在境外的网站所进行的勘验，等等。在远程勘验过程中提取的电子数据，应计算完整性校验值。

  电子证据检查，主要注意以下几点：

  1、复制、制作原始储存媒介的备份，应遵循以下原则：

  (1)复制后应重新封存原始存储媒介，并制作、填写《封存电子证据清单》。

  (2)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。

  2、原则上不得直接检查原始储存媒介，应当制作、复制原始储存媒介的备份，并在备份储存媒介上实施检查。允许检查原始储存媒介的情形，包括以下三个方面：

  (1)情况紧急的重大案件，不立即检查可能延误案件的侦查工作，导致严重后果的；

  (2)已计算存储媒介的完整性校验值，检查过程能够保证不修改原始存储媒介所存储的数据的；

  (3)因技术条件限制，无法复制原始存储媒介的。

  3、需要直接检查原始存储媒介的，应当遵循以下原则：

  (1)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像；

  (2)检查完毕后应当重新封存，并制作、填写《封存电子证据清单》；

  (3)应当制作《原始证据使用记录》，由两名检查人员签名。

  现场勘验检查、远程勘验、电子证据检查，经公安机关实施之后，应分别制作《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》。这些工作记录，属于刑事诉讼法所规定的书证。在此提供如下质证点：

  现在进入第三部分：关于电子数据、电子证据的辩点。

    （一）电子证据的提取与审查

  公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第五条规定，电子证据的提取方式，分为两种：

  1、存封原始介质；

  2、无法获取原始存储介质的，可提取电子数据。

  对于原始介质存封，我们可以通过以下几个问题，设计质证思路：

  2、有没有制作笔录，记录其存封状态？笔录是否由侦查人员、该介质持有人签名或盖章？第一个问题，公安机关必须给予肯定的回答。对于第二个问题，如果持有人无法签名或拒绝签名的，应当在笔录中注明，由见证人签名或盖章。

  1、是否属于规范所列举的无法获取原始储存介质的情形？公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》规定，属于无法获取原始储存介质，可提取电子数据的情形包括以下四个方面：

  （1）原始存储介质不便封存的；

  （2）提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的；

  （3）原始存储介质位于境外的；

  （4）其他无法获取原始存储介质的情形。

  2、关于笔录的问题、录像的问题，与存封原始储存介质类似，不再重复。

   收集、提取的原始存储介质或者电子数据，应当以封存状态随案移送，并制作电子数据的复制件一并移送。

 （二）电子证据的固定与存封

  作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。根据《计算机犯罪现场勘验与电子证据检查规则》第十三条规定，封存电子设备和存储媒介的方法是：(1)采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储媒介和启动被封存电子设备。(2)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》，照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况。

  固定存储媒介和电子数据包括以下方式：

  (1)完整性校验方式，是指计算电子数据和存储媒介的完整性校验值，并制作、填写《固定电子证据清单》；

  (2)备份方式，是指复制、制作原始存储媒介的备份，并依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介；

  (3)封存方式，对于无法计算存储媒介完整性校验值或制作备份的情形，应当依照《计算机犯罪现场勘验与电子证据检查规则》第十三条规定的方法封存原始存储媒介，并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。