勘验 和 检查
复制、制作原始存储媒介的备份， 电子证 检查、分析 并在备份存储媒介上实施检查 据检查 电子数据， 提取电子证 检查原始存储媒介 据 检查原始电子设备 电子证据检 应当及时制作《电子证据检查工 查结束 作记录》
检查人员
除三种情形外，不得直接检查原始存储媒 检查原始电子设备，或者因第三十条描 介，应当制作、复制原始存储媒介的备份， 述的原因，需要直接检查原始存储媒介 并在备份存储媒介上实施检查 的，应当遵循三个原则： 《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《 封存电子证据清单》、和《原始证据使用记录》等内容组成。
对电子证据进行检查 电子证据的 移交电子证据 移交 检查电子证据的完整性 从电子证据中提取电子数据
检查人员 办案人员 检查人员 检查人员
1、不得少于二人；2、应当遵循办案人员与检查人员分离的原则 办案人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电 子证据清单》的复印件，检查人员应当依照三个原则检查电子证据的完整性 从电子证据中提取电子数据，应当制作《提取电子数据清单》，记录该电子数据的 来源和提取方法 复制、制作原始存储媒介的备份应当遵循三个原则
检查人员
（五）
勘验检查记录 《现场勘验检查工作记录》、 《 远程勘验工作记录》、 《电 子证据检查工作记录》 《现场勘验检查笔录》 《现场勘查照片记录表》 《远程勘验笔录》 《电子证据检查笔录》 办案人员 检查人员 办案人员 办案人员 办案人员 检查人员 应当加盖骑缝章后由至少两名勘验、检查人员签名。《现场勘验检查工作记录》应当 由至少一名见证人签名。 内容一般包括：基本情况；现场情形；勘查过程；勘查结果 应当记录该相片拍摄的内容、对象，并编号入卷。 内容一般包括：基本情况；勘验过程；勘验结果 内容一般包括：基本情况；检查过程；检查结果 牛律师机构网络犯罪辩护研究中心 应晓伟律师（广东君言律师事务所）
勘验 和 检查
现场勘 验检查 * 勘验 和 检查 *
（5）提取、固定证物 录像和录像带的封存 拍照
现场勘验检 应当及时制作《现场勘验检查工 查结束 作记录》 2 远程勘验 提取数据 远程勘 验
办案人员
办案人员 录像、照相、截屏 远程勘验结 应当及时制作《远程勘验工作记 束 录》 网络监听 办案人员 办案人员
（四）
（1）能够 获取原始存 应当封存原始存储介质 储介质的 勘验 和 检查
侦查人员
（2）无法 获取原始存 可以提取电子数据 收集、 储介质的 提取电 子数据
侦查人员
移送
以封存状态随案移送，并制作电子 数据的复制件一并移送
（三） 1
对计算机犯罪现场进行勘验 现场勘验检查 （1）保护现场 （2）收集证据 现场勘验检 （3）提取、固定易丢失数据 查程序 （4）在线分析 办案人员
计算机犯罪现场勘验和电子证据检查规则表
勘查工作 组织 与 指挥 组织实施 统一指挥计算机犯罪现场勘验和电子证据检查 执行主体 要求或说明
县级以上公安 机关网络安全 必要时，可以指派或者聘请具有专门知识的人参加 监察部门 人民警察担任；重大、特别重大案件由案发地公安机关负责人担任；必要时，上级公 指挥员 安机关可以直接组织指挥 目的是保护电子证据的完整性、真实性和原始性。应当在现场固定或封存 办案人员 办案人员 计算电子数据和存储媒介的完整性校验值，并制作、填写《固定电子证据清单》 复制、制作原始存储媒介的备份，并依照规定的封存方法封存原始存储媒介 对于无法计算存储媒介完整性校验值或制作备份的情形，应当依照规定的封存方法封 存原始存储媒介，并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由 应当保证在不解除封存状态的情况下，无法使用被封存的存储媒介和启动被封存电子 设备 封存前后应当拍摄被封存电子设备和存储媒介的照片，并制作《封存电子证据清单 》，照片应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状 况
不得少于二人 1、不得少于二人；2、现场勘验检查，应当邀请一至两名与案件无关的公民作见证 人；3、公安司法人员不能充当见证人。
办案人员
1、在现场提取的易丢失数据以及现场在 线分析时生成和提取的电子数据，应当 计算其完整性校验值并制作、填写《固 定电子证据清单》，以保证其完整性和 真实性。2、易丢失数据提取和在线分 除规定的三种情形外，一般不得实施在线分 析 析，应当依循三原则。 对现场状况以及提取数据、封存物品文 件的过程、在线分析的关键步骤应当录 现场照相和录像的基本要求详见【公通字 像，录像带应当编号封存 [2005]54号】文第53条 在现场拍摄的照片应当统一编号制作《 勘验检查照片记录表》 《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《 封存电子证据清单》和《勘验检查照片记录表》等内容组成。（依照【公通字 [2005]54号】文规定，现场勘验检查工作记录还包括现场图、现场照片、现场录像和 现场录音。现场绘图、现场照相、录像、现场勘验、检查笔录应当相互吻合。） 不得少于二人 远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它 电子数据，应当计算其完整性校验值并制作《固定电子证据清单》 应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电 子证据等关键步骤 《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查 照片记录表》以及截获的屏幕截图等内容组成 通过网络监听获取特定主机通信内容以提取电子证据时，应当遵循与远程勘验相同的 规定
（一）
*
固定或封存电子证据 方式一：完整性校验勘验 和 检查源自电子证 据的固 定与封 存
固定存储媒 方式二：备份 介和电子数 据 方式三：封存
办案人员
封存电子设 备和存储媒 介
采用封存方法 办案人员 检查人员 封存前后拍照
（二）
*
收集、提取电子数据
应当制作笔录，记录案由、对象、内容，收集、提取电子数据的时间、地点、方法、 过程，电子数据的清单、规格、类别、文件格式、完整性校验值等，并由收集、提取 电子数据的侦查人员签名或者盖章。远程提取电子数据的，应当说明原因，有条件 的，应当对相关活动进行录像。通过数据恢复、破解等方式获取被删除、隐藏或者加 密的电子数据的，应当对恢复、破解过程和方法作出说明。（依据【公通字〔2014〕 10号】文） 在笔录中记录原始存储介质的封存状态，由侦查人员、原始存储介质持有人签名或者 盖章；持有人无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章 。有条件的，侦查人员应当对相关活动进行录像 在笔录中注明不能获取原始存储介质的原因、原始存储介质的存放地点等情况，并由 侦查人员、电子数据持有人、提供人签名或者盖章；持有人、提供人无法签名或者拒 绝签名的，应当在笔录中注明，由见证人签名或者盖章；有条件的，侦查人员应当对 相关活动进行录像 对可以直接展示的电子数据，可以不随案移送电子数据打印件，但应当附有展示方法 说明和展示工具；人民法院、人民检察院因设备等条件限制无法直接展示电子数据 的，公安机关应当随案移送打印件； 公安机关 对无法直接展示的电子数据，应当附有电子数据属性、功能等情况的说明 对数据统计数量、数据同一性等问题，公安机关应当出具说明。