第一章 总则
第一条 为了规范市场监督管理行政执法电子数据取证工作,提升执法人员电子数据取证能力,提高行政执法效能,根据《中华人民共和国行政处罚法》《中华人民共和国行政强制法》《市场监督管理行政处罚程序规定》等有关规定,制定本规定。
第二条 市场监督管理部门及其执法人员在行政执法过程中围绕电子数据的收集提取、查封扣押、检查分析、证据存储等活动,适用本规定。
第三条 市场监督管理部门及其执法人员应当遵守法定程序,遵循有关技术标准,全面、客观、及时收集、提取涉案电子数据,确保电子数据的真实、合法。
电子数据作为证据使用时,应当符合证据的合法性、真实性、关联性要求。
第四条 市场监督管理部门依法向有关单位或个人收集提取电子数据,有关单位或个人应当如实提供。
执法人员对履行职责过程中知悉的国家秘密、商业秘密、个人隐私应当依法保密。
第五条 市场监督管理部门接收或依法调取的其他国家机关收集、提取的与案件相关的电子数据,经查证属实可以作为行政执法案件的证据使用。
第二章 电子数据取证一般规定
第六条 本规定所称的电子数据是指与案件相关,以数字化形式存储、处理、传输,能够证明案件事实的信息。
电子数据包括但不限于下列信息、电子文件:
(一)文档、图片、音视频等电子文件及其属性信息;
(二)网页、博客、论坛等网络平台发布的信息;
(三)用户注册信息、身份认证信息、数字签名等用户身份信息;
(四)交易记录、浏览记录、操作记录等用户行为信息;
(五)源代码、工具软件、运行脚本等行为工具信息;
(六)系统日志、应用程序日志、安全日志等系统运行信息;
(七)在各类网络应用服务中存储的与案件相关的信息文件等。
第七条 收集、提取电子数据,根据案情需要可以依法采取以下一种或者几种措施、方法:
(一)查封、扣押或先行登记保存原始存储介质;
(二)现场提取电子数据;
(三)网络在线提取电子数据;
(四)其他符合法律、法规、规章规定的措施、方法。
第八条 现场收集、提取电子数据,应当由两名以上具备行政执法资格的人员进行,必要时可以指派或者聘请有专门知识的人员辅助执法人员收集、提取电子数据。
第九条 市场监督管理部门可以利用互联网信息系统或者设备收集、固定电子数据。用来收集、固定电子数据的互联网信息系统或者设备应当符合相关规定,并记录使用的系统、设备、软件的名称和版本号。
第十条 执法人员提取电子数据时,应当制作笔录,由执法人员、电子数据持有人(提供人)签名或者盖章。电子数据持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,执法人员应当在笔录中注明情况并采取录音、录像等方式记录,必要时可以邀请见证人现场见证。
第十一条 具有下列情形之一的,执法人员可以采取打印、拍照、截屏、录屏或者录像等方式固定相关电子数据:
(一)无法查封、扣押原始存储介质并且无法提取电子数据的;
(二)存在电子数据自毁功能或装置,需要及时固定相关证据的;
(三)需要现场展示、查看相关电子数据的;
(四)其他需要采取打印、拍照、截屏、录屏或者录像等方式固定相关证据的情形。
第十二条 执法人员采取打印、拍照、截屏、录屏或者录像等方式固定电子数据的,应当清晰反映电子数据的内容,并在笔录中注明采取打印、拍照、截屏、录屏或者录像等方式固定电子数据的原因,电子数据存储位置、原始存储介质特征和存放地点等情况,由执法人员、电子数据持有人(提供人)签名或者盖章。电子数据持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,执法人员应当在笔录中注明情况,并采取录音、录像等方式记录,必要时可以邀请见证人现场见证。
第十三条 根据执法需要,市场监督管理部门可以委托有资质的第三方电子数据鉴定机构进行鉴定,也可以委托公证机构对电子数据取证过程进行公证。
第三章 查封、扣押原始存储介质
第十四条 在案件查办过程中,发现与案情相关的电子数据,现场无法直接提取,应当依法查封、扣押原始存储介质,对存储介质做唯一性标识并制作笔录,记录原始存储介质查封、扣押前后的状态。
第十五条 查封、扣押原始存储介质,应当依照《中华人民共和国行政强制法》规定的程序进行,并当场交付实施行政强制措施决定书和清单,写明原始存储介质名称、编号、数量、规格型号及其来源等,由执法人员、持有人(提供人)签名或者盖章。
第十六条 查封、扣押原始存储介质时,对无法确定原始存储介质持有人(提供人),原始存储介质持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,执法人员应当在笔录中注明情况,并采取录音、录像等方式记录,必要时可以邀请见证人现场见证。
第十七条 对查封、扣押的原始存储介质,应当符合以下要求:
(一)保证在不解除查封、扣押状态的情况下,无法使用或者启动原始存储介质。必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别查封、扣押;
(二)查封、扣押前后应当拍摄被查封、扣押原始存储介质的照片。照片应当反映原始存储介质查封、扣押前后的状况,清晰反映封口或者张贴封条处的状况;
(三)查封、扣押具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施;
(四)对原始存储介质的充电线、数据线或其他必要的连接附属品一起查封、扣押。
第十八条 查封、扣押原始存储介质时,可以向相关人员了解、收集并在笔录中注明以下情况:
(一)原始存储介质及应用系统管理情况,网络拓扑与系统架构情况,是否由多人使用及管理,使用及管理人员的身份情况等;
(二)原始存储介质及应用系统管理的用户名、密码情况;
(三)原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其它移动存储介质,是否进行过备份,备份数据的存储位置等情况;
(四)其他相关的内容。
第四章 现场提取电子数据
第十九条 现场提取电子数据可以采取以下措施保护涉案电子设备:
(一)及时将涉案人员和现场其他相关人员与电子设备分离;
(二)在未确定是否易丢失数据的情况下,不能关闭正在运行状态的电子设备;
(三)对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施;
(四)保护电源;
(五)有必要采取的其他保护措施。
第二十条 现场提取电子数据,应当遵守以下规定:
(一)不得将提取的数据存储在原始存储介质中;
(二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在笔录中记录所安装的程序及目的;
(三)应当在笔录中详细、准确记录实施的操作。
第二十一条 现场提取电子数据时,应当制作笔录并列明以下内容:
(一)原始存储介质的名称、存放地点、信号开闭状况及是否采取强制措施;
(二)提取的方法、过程,提取后电子数据的存储介质名称;
(三)提取电子数据的名称、类别、文件格式;
(四)与案件相关的电子数据证据的完整性校验值;
(五)其他应当列明的事项。
第二十二条 对提取的电子数据可以进行数据压缩,并在笔录中注明相应的方法和压缩后文件的完整性校验值。
第二十三条 在电子数据可能灭失或者以后难以取得的情况下,可以依法先行登记保存原始存储介质,并在七个工作日内及时作出处理决定。先行登记保存期间,当事人或者有关人员不得转移、变卖、毁损存储介质,不得删除、修改电子数据。
第五章 网络在线提取电子数据
第二十四条 对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
对网络违法行为的技术监测记录资料,可以作为实施行政执法的电子数据证据。
第二十五条 实施在线电子数据取证前,应对用来提取电子数据的计算机系统、设备的硬件、软件环境进行检测,确保完整、可靠,处于正常可运行状态。执法人员在提取电子数据过程中,对可能无法重复提取及无法复现的情形,应当全程录屏。
第二十六条 在线收集、固定电子数据时,可以通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台获取。必要时可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。
第二十七条 网络在线提取时应当制作笔录或证据报告,并采用截屏、录屏、录像等其中一种或几种方式记录以下信息:
(一)远程计算机信息系统的访问方式;
(二)提取的日期和时间;
(三)提取使用的工具和方法;
(四)电子数据的网络地址、存储路径或者数据提取时的进入步骤等;
(五)计算完整性校验值的过程和结果;
(六)其他依法应当记录的信息。
第六章 电子数据的检查分析
第二十八条 对查封、扣押、先行登记保存的原始存储介质或者提取的电子数据,需要进一步发现和提取与案件相关的线索和证据的,可以进行电子数据检查分析并制作笔录,记录检查分析基本情况、检查过程和检查结果等内容。
第二十九条 电子数据的检查分析,应当由两名以上执法人员进行。必要时可以指派或者聘请有专业技术知识的人员参加。
第三十条 检查分析电子数据应当遵循以下要求:
(一)通过安全的写保护设备接入到涉案检查设备进行检查,或者先制作电子数据备份,再对备份进行检查,无法使用写保护设备且无法制作备份的,应当注明原因,并全程录像;
(二)检查前应对原始存储介质及其封口或者封条处的保护措施进行核对,有必要的应在检查后及时恢复保护措施,并通过拍照、录像等方式记录核对过程;
(三)检查具有无线通信功能的电子设备,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。
第七章 电子数据证据的存储
第三十一条 电子数据证据存储应当依据《中华人民共和国保守国家秘密法》《中华人民共和国数据安全法》等法律法规规定,实施安全与保密管理。
第三十二条 电子数据证据存储可以采用介质存储、区块链、云存储等方式。
为防止电子数据证据丢失,可以将其备份存储。
第三十三条 行政处罚案件结案后,应当将电子数据证据按照档案管理的有关规定立卷归档。
第八章 附则
第三十四条 本规定中下列用语的含义:
(一)存储介质,是指具备电子数据存储功能的硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体或设备。
(二)完整性校验值,是指为防止电子数据被篡改或者破坏,使用散列算法等特定算法对电子数据进行计算,得出的用于校验数据完整性的数据值。
(三)数字签名,是指利用特定算法对电子数据进行计算,得出的用于验证电子数据来源和完整性的数据值。
(四)数字证书,是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。
第三十五条 市场监督管理部门及其执法人员在监督检查过程中的电子数据取证可以参照本规定执行。
第三十六条 本规定自印发之日起施行。 |