1.电子数据的界定。

《规定》第一条采取“概括加例举”的方式，对电子数据作了明确界定。

具体而言，第一款对电子数据作了概括规定：“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。

”之所以限定为“案件发生过程中”，是为了将案件发生后形成的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等电子化的言词证据排除在外。

需要注意的是，对于“案件发生过程中”不应作过于狭义的把握，从而理解为必须是实行行为发生过程中。

例如，性侵害犯罪发生前行为人与被害人往来的短信、网络诈骗实施前行为人设立的钓鱼网站等，只要与案件事实相关的，均可以视为“案件发生过程中”形成的电子数据。

根据《规定》第一条第二款的规定，电子数据包括但不限于下列信息、电子文件：（1）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；（2）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；（3）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；（4）文档、图片、音视频、数字证书、计算机程序等电子文件。

需要注意的是，其一，以数字化形式存储的音视频属于电子数据而非视听资料，而以模拟信号存储的磁带、录像带等音视频仍然属于视听资料。

其二，上述信息、电子文件虽然都属于电子数据，但对不同类型的电子数据的取证程序要求可能存在差别，如对于通信信息的收集、提取可能涉及技术侦查措施，应当经过严格的批准手续。

其三，根据刑事诉讼法第五十二条第一款“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。

有关单位和个人应当如实提供证据”的规定，《规定》第四条重申了公检法机关收集调取电子数据的依法原则与有关单位的配合义务，明确：“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。

有关单位和个人应当如实提供。

”需要注意的是，对于公检法机关而言，法无授权不可为，具体电子数据的适格取证主体和程序须严格遵守相关规定。

例如，根据宪法第四十条的规定，对通信进行检查限于因国家安全或者追查刑事犯罪的需要，且只能由公安机关或者检察机关依照法律规定的程序进行。

电子数据是新的证据类型。

目前，对于如何准确划分电子数据与其他类型证据的界限存在不同认识。

例如，讯问过程的录音录像究竟应归为“犯罪嫌疑人、被告人供述和辩解”，还是应归为“电子数据”，或者既是“犯罪嫌疑人、被告人供述和辩解”也是“电子数据”经研究认为，不宜单纯依据载体形式区分证据类型。

以笔录形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等言词证据，虽然记载形式是笔录，但在证据分类上应纳入言词证据而非笔录的范畴。

同理，以数字化形式记载的言词证据，虽然载体是电子数据，但在证据分类上也应纳入言词证据而非电子数据的范畴。

更为重要的是，根据刑事诉讼法的规定，不同类型的证据在取证方法、取证程序上有不同的要求，对有关证据审查判断的要点也不同。

例如，对于以录像形式反映的犯罪嫌疑人口供，不仅要审查录像提取、保管、移送等是否符合相应要求，更要审查讯问的主体、方法、程序等是否符合法律规定。

为更为充分地保护刑事诉讼相关主体的合法权益，《规定》第一条第三款规定：“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。

确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定。

”当然，随着信息技术的进一步发展，关于电子数据与其他类型证据的界分问题，还可以进一步研究探讨。

2.保护电子数据完整性的方法。

电子数据完整性是真实性的要素之一。

基于此，《规定》第五条规定了完整性的保护方法。

具体而言，对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：（1）扣押、封存电子数据原始存储介质。

存储介质，是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。

原始存储介质即存储电子数据的原始载体。

（2）计算电子数据完整性校验值。

完整性校验值，是指为防止电子数据被篡改或者破坏，使用散列算法等特定算法对电子数据进行计算，得出的用于校验数据完整性的数据值。

实践中要求第一时间计算完整性校验值，并在笔录中注明。

当需要验证电子数据是否完整、是否被增加、删除、修改时，便可以采用同一算法对电子数据再计算一次，将两次所得的值进行比较，如果一致则电子数据没有发生变化，如果不一致则证明电子数据发生了变化。

（3）制作、封存电子数据备份。

具体操作中，可以制作多个备份，封存其中部分备份件，将其余备份件用于进一步的侦查。

（4）冻结电子数据。

（5）对收集、提取电子数据的相关活动进行录像。

鉴于录音相较于录像反映的信息量不足，此处要求录像，而非录音或者录像。

（6）其他保护电子数据完整性的方法。

需要强调的是，收集、提取电子数据的情形复杂多样，实践中应当灵活掌握相应的完整性保护方法，至少采取一种，有条件的情况下应当采取多种。

以本条规定的电子数据完整性保护方法为基础，《规定》第二十三条进一步规定了审查电子数据完整性的方法。

3.电子数据的取证原则。

为确保电子数据的真实性和完整性，《解释》第九十三条对电子数据的审查判断作了明确要求，其中确立的规则就是“以收集原始存储介质为原则，以直接提取电子数据为例外”。

《意见》沿用上述原则，并作了进一步明确。

《规定》第八条、第九条对此进行了重申，并作了具体细化规定。

《规定》第八条第一款规定：“收集、提取电子数据，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。

”实践中，在可行的情况下，应尽量封存原始存储介质，以保证其完整性和真实性。

同时，《规定》第八条第二款、第三款对原始存储介质的封存要求作了专门规定，即“封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。

封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。

”“封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

”需要强调的是，实践中对原始存储介质的封存方法灵活多样，既可以装入物证袋封存，又可以通过对电源接口以及机箱螺钉处加贴封条达到封存目的。

但是，对于手机等具有无线通信功能的存储介质，除采取普通封存方式（如装入物证袋封存）外，还应当附加其他保护措施，如拔出电池，设置为飞行模式且关闭“寻回”功能，或者直接装入屏蔽袋（盒）。

《规定》第九条第二款规定在例外情况下可以直接提取电子数据。

具体包括如下情形：（1）原始存储介质不便封存的。

从实践来看，有些情况下难以将原始存储介质封存或者全盘复制、提取，比如网络服务器一般采取集中存储的方式，其硬盘动辄成百上千T，但其中很多内容与案件无关，不必收集，在这种情况下一般只提取与案件相关的部分数据。

（2）提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的。

内存、网线等介质无法稳定存储电子数据，不属于存储介质的范畴。

对计算机内存数据、网络传输数据等必须在开机运行的状态下获取，一旦关机或者重新启动系统，电子数据就会消失，难以再次获取。

故而，对于上述电子数据无法通过封存原始存储介质的方式加以收集。

（3）原始存储介质位于境外的。

对位于境外的服务器无法直接获取原始存储介质，一般只能通过网络在线提取电子数据。

（4）其他无法扣押原始存储介质的情形。

《规定》对实践中存在的既不能扣押原始存储介质又不能提取电子数据情形下电子数据的固定方法作了补充规定。

例如，目前市场上出现了一种“阅后即焚”的通信模式，越来越多的即时通信软件具备了“阅后即焚”功能，如“支付宝”和“钉钉”即时通信软件。

信息接收者收到信息后，点击阅读信息后5秒左右自动删除，无法及时提取数据，并且难以恢复，即使扣押封存了也毫无意义。

再如，就船舶导航系统等工控系统而言，有些只有操作界面，无接口可以导出数据，也无法把整个船舶或者大型系统扣押。

基于此，《规定》第十条明确规定：“由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的，可以采取打印、拍照或者录像等方式固定相关证据，并在笔录中说明原因。

”自此，电子数据取证确立了“以扣押原始存储介质为原则，以直接提取电子数据为例外，以打印、拍照、录像等方式固定为补充”原则。

4.电子数据冻结。

随着云计算等信息技术的发展，越来越多的电子数据存储在云系统或者大型在线系统中，这些情形下原始存储介质无法封存且数据提取困难，给侦查工作带来极大的困扰。

为适应实践需要，针对云计算、大数据环境下电子数据取证的问题，《规定》第十一条、第十二条规定了电子数据冻结。

具体而言，具有下列情形之一的，经县级以上公安机关负责人或者检察长批准，可以对电子数据进行冻结：（1）数据量大，无法或者不便提取的。

如在一起传播淫秽物品牟利案中，涉案70个网络云盘涉及淫秽视频150余万部，共1000T，按照传统固定证据方式，需要2T硬盘500块。

（2）提取时间长，可能造成电子数据被篡改或者灭失的。

如在一起网络贩卖、传播淫秽视频案中，共查扣涉案网盘近千个，按照一条100兆光纤（属较高级别带宽）下载速度及运行商能够提供的最高限速，在全程无中断情况下，预计时间为15至16个月。

（3）通过网络应用可以更为直观地展示电子数据的。

如在一起非法集资案中，大量电子数据是从云系统提取的，而这些数据只有在云环境下才能方便的查看、筛选。

（4）其他需要冻结的情形。

对于冻结电子数据的具体操作，《规定》第十二条明确规定：“冻结电子数据，应当制作协助冻结通知书，注明冻结电子数据的网络应用账号等信息，送交电子数据持有人、网络服务提供者或者有关部门协助办理。

解除冻结的，应当在三日内制作协助解除冻结通知书，送交电子数据持有人、网络服务提供者或者有关部门协助办理。

”“冻结电子数据，应当采取以下一种或者几种方法：（一）计算电子数据的完整性校验值；（二）锁定网络应用账号；（三）其他防止增加、删除、修改电子数据的措施。

”5.电子数据检查。

电子数据同传统证据存在不同，传统物证、书证等在侦查过程中一般只涉及两个阶段，即现场勘验、搜查、提取、扣押阶段以及鉴定检验阶段，一般工作在现场即可完成，对于专门性技术问题通过鉴定检验就可以解决。

但是，电子数据仅两个阶段并不能实现所有侦查目的，实践中电子数据的形式、来源复杂多样，通过简单收集、提取的电子数据很难清晰地证明某一犯罪事实，如提取了一个加密文件，需要解密后才能移送；再如在现场制作了某存储介质的镜像文件，需要对该文件进一步恢复才能提取被删除的电子数据，而不是直接移送。

对于这些问题，也不宜都作为专门性问题进行鉴定、检验。

为此，对于电子数据需要在现场取证和鉴定、检验之间增加一个阶段，即扣押后由侦查人员对电子数据的进一步恢复、破解、统计、关联、比对等处理。