(以下内容以正式文件为准)

淄博市市场监督管理局

电子数据取证程序暂行规定

第一章  总则

    第一条  为规范全市市场监管部门电子数据取证工作，根据《中华人民共和国行政诉讼法》《最高人民法院关于行政诉讼证据若干问题的规定》《市场监督管理行政处罚程序暂行规定》等有关规定，制定本规定。

    第二条  全市市场监管部门实施电子数据取证，适用本规定。

第三条  实施电子数据取证，应当遵守法定程序，遵循有关技术标准，全面、客观、公正、及时收集、提取、固定、保全电子数据。

    第四条  电子数据取证过程中涉及商业秘密、个人隐私的，应当保密；对于获取的材料与案件无关的，应当及时退还或者销毁。

第五条  用来收集、固定、保全电子数据的互联网信息系统或者设备应当符合有关规定或技术标准，保证收集、固定、保全电子数据的真实性、完整性。

    第六条  对于复杂疑难案件，市场监管部门可以指派或聘请专业人员或机构，辅助办案人员对案件有关的电子数据进行调查取证。

第二章  电子数据取证一般程序

第一节  一般规定

    第七条  电子数据是以数字化形式存储、处理、传输的，能够证明案件事实的数据。

第八条  收集、提取电子数据，应当由二名以上具备行政执法资格的人员进行。

第九条  收集、提取电子数据，可以根据案情需要采取以下一种或者几种措施、方法：

    （一）扣押、封存原始存储介质；

    （二）现场提取电子数据；

    （三）网络在线提取电子数据；

（四）调取电子数据；

（五）其他符合法律法规规定的方法。

    第十条  具有下列情形之一的，可以采取书式固定、拍照录像等方式固定相关证据：

    （一）无法扣押原始存储介质并且无法提取电子数据的；

    （二）存在电子数据自毁功能或装置，需要及时固定相关证据的；

    （三）需现场展示、查看相关电子数据的。

    根据前款第二、三项的规定采取书式固定、拍照录像等方式固定相关证据后，能够扣押原始存储介质的，应当扣押原始存储介质；不能扣押原始存储介质但能够提取电子数据的，应当提取电子数据。

    第十一条  采取书式固定、拍照录像等方式固定相关证据的，应当清晰反映电子数据的内容，并在相关笔录中注明采取上述方式固定相关证据的原因，电子数据的存储位置、原始存储介质特征和所在位置等情况，由执法人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。同时，应当注明制作方法、制作时间、制作人等。

第二节  扣押、封存原始存储介质

    第十一条  在行政执法过程中发现与案情有关的电子数据，能够扣押原始存储介质的，应当扣押、封存原始存储介质，并在《现场检查笔录》中记录原始存储介质的封存状态。

    扣押、封存电子数据原始存储介质，应当严格依照法律法规关于扣押、封存的有关规定。

    第十二条  对扣押的原始存储介质，应当按照以下要求封存：

    （一）保证在不解除封存状态的情况下，无法使用或者启动被封存的原始存储介质；必要时，具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存；

    （二）封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况，清晰反映封口或者张贴封条处的状况；必要时，照片还要清晰反映电子设备的内部存储介质细节；

    （三）封存手机等具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

    第十三条  对扣押的原始存储介质，应当会同在场见证人和原始存储介质持有人（提供人）查点清楚，当场开列《扣押清单》一式两份，写明原始存储介质名称、编号、数量、特征及其来源等，由执法人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），一份交给执法机关。

    第十四条  对无法确定原始存储介质持有人（提供人）或者原始存储介质持有人（提供人）无法签名、盖章或者拒绝签名、盖章的，应当在有关笔录中注明，由见证人签名或者盖章。

    第十五条  扣押原始存储介质，应当收集案件当事人供述和辩解等与原始存储介质相关联的证据。

    第十六条  扣押原始存储介质时，可以向相关人员了解、收集并在有关笔录中注明以下情况：

    （一）原始存储介质及应用系统管理情况，网络拓扑与系统架构情况，是否由多人使用及管理，管理及使用人员的身份情况；

    （二）原始存储介质及应用系统管理的用户名、密码情况；

    （三）原始存储介质的数据备份情况，有无加密磁盘、容器，有无自毁功能，有无其它移动存储介质，是否进行过备份，备份数据的存储位置等情况；

    （四）其他相关的内容。

第三节  现场电子数据取证

    第十七条  具有下列无法扣押原始存储介质情形之一的，可以现场提取电子数据：

    （一）原始存储介质不便封存的；

    （二）提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的；

    （三）案件情况紧急，不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的；

    （四）关闭电子设备会导致重要信息系统停止服务的;

    （五）需通过现场提取电子数据排查可疑存储介质的；

    （六）正在运行的计算机信息系统功能或者应用程序关闭后，没有密码无法提取的；

    （七）其他无法扣押原始存储介质的情形。

    无法扣押原始存储介质的情形消失后，应当及时扣押、封存原始存储介质。

    第十八条  现场提取电子数据，可以采取以下措施保护相关电子设备：

    （一）及时将案件有关人员与电子设备分离;

    （二）在未确定是否易丢失数据的情况下，不能关闭正在运行状态的电子设备;

    （三）对现场计算机信息系统可能被远程控制的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施；

    （四）保护电源；

    （五）有必要采取的其他保护措施。

    第十九条  现场提取电子数据，应当遵守以下规定：

    （一）不得将提取的数据存储在原始存储介质中；

    （二）不得在目标系统中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当在笔录中记录所安装的程序及目的；

    （三）应当在有关笔录中详细、准确记录实施的操作。

    第二十条  现场提取电子数据，应当在《现场检查笔录》中注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点，并附《电子数据提取固定清单》，注明类别、文件格式、完整性校验值等，由执法人员、电子数据持有人（提供人）签名或者盖章；

    电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。

    第二十一条  对提取的电子数据可以进行数据压缩，并在笔录中注明相应的方法和压缩后文件的完整性校验值。

    第二十二条  由于客观原因无法由符合条件的人员担任见证人的，应当在《现场检查笔录》中注明情况，并全程录像，对录像文件应当计算完整性校验值并记入笔录。

    第二十三条  对无法扣押的原始存储介质且无法一次性完成电子数据提取的，经登记、拍照或者录像后，可以封存后交其持有人（提供人）保管，并且开具《先行登记保存清单》一式两份，由执法人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），另一份连同照片或者录像资料附卷备查。

    采取或解除先行登记保存措施，应当严格依照有关法律规定执行。

第四节  网络在线电子数据取证

    第二十四条  对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取。

    第二十五条  网络在线提取应当计算电子数据的完整性校验值；必要时，可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

    第二十六条  网络在线提取时，对可能无法重复提取或者可能会出现变化的电子数据，应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息：

    （一）远程计算机信息系统的访问方式；

    （二）提取的日期和时间；

    （三）提取使用的工具和方法；

    （四）电子数据的网络地址、存储路径或者数据提取时的进入步骤等；

    （五）计算完整性校验值的过程和结果。

    第二十七条  网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象，提取电子数据的时间、地点、方法、过程，不能扣押原始存储介质的原因，并附《电子数据提取固定清单》，注明类别、文件格式、完整性校验值等，由执法人员签名或者盖章。

    利用互联网信息系统实施网络在线提取电子数据时，应当按照前款规定执行。

    第二十八条  网络在线提取时需要进一步查明下列情形之一的，可以对远程计算机信息系统进行网络远程勘验：

    （一）需要分析、判断提取的电子数据范围的；

    （二）需要展示或者描述电子数据内容或者状态的；

    （三）需要在远程计算机信息系统中安装新的应用程序的；

    （四）需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的；

    （五）需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的；

    （六）其他网络在线提取时需要进一步查明有关情况的情形。

    第二十九条  网络在线提取或者网络远程勘验时，应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。

    第三十条  网络远程勘验结束后，应当及时制作《现场检查笔录》，详细记录网络远程勘验有关情况以及勘验照片、截获的屏幕截图、录像等内容。由执法人员和见证人签名或者盖章。

    网络远程勘验并且提取电子数据的，应当按照本规定第二十六条，在有关笔录中注明情况，并附《电子数据提取固定清单》。

    第三十一条  网络远程勘验的笔录应当客观、全面、详细、准确、规范，能够作为还原远程计算机信息系统原始情况的依据，符合法定的证据要求。

    对计算机信息系统进行多次远程勘验的，在制作首次检查笔录后，逐次制作补充笔录。

    第三十二条  网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的，应当在现场检查笔录中注明采用的相关软件名称和版本号。

第五节  调取电子数据

    第三十三条  市场监管部门向案件当事人和有关人员以外的单位调取电子数据，应当经办案部门有关负责人批准，开具限期提供材料通知书，注明需要调取电子数据的相关信息和有关依据，通知有关单位配合执行。被调取单位应当在通知书回执上签名或者盖章，并附完整性校验值等保护电子数据完整性方法的说明，被调取单位拒绝盖章或者附说明的，市场监管部门应当注明。

    第三十四条  市场监管部门跨地域调取电子数据的，可以将相关法律文书及凭证通过邮寄、传真或者网络信息系统传输至协作地市场监管部门，由协作地市场监管部门代为调取电子数据。

第三章  电子数据检查

    第三十五条  对扣押的原始存储介质或者提取的电子数据，需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式，以进一步发现和提取与案件相关的线索和证据时，可以进行电子数据检查。

    第三十六条  电子数据检查，应当由二名以上具备行政执法资格的人员进行。必要时，可以指派或者聘请有专门知识的人参加。

    第三十七条  电子数据检查应当保护在市场监管部门移交过程中电子数据的完整性。移交时，应当办理移交手续，并按照以下方式核对电子数据：

    （一）核对其完整性校验值是否正确；

    （二）核对封存的照片与当前封存的状态是否一致。

    对于移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的，检查人员应当在有关笔录中注明。

    第三十八条  检查电子数据应当遵循以下原则：

    （一）通过写保护设备接入到检查设备进行检查，或者制作电子数据备份、对备份进行检查；

    （二）无法使用写保护设备且无法制作备份的，应当注明原因，并全程录像；

    （三）检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况;

    （四）检查具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。

    第三十九条  检查电子数据，应当制作《现场检查笔录》，记录以下内容：

    （一）基本情况。包括检查的起止时间，检查人员的姓名、执法证号，检查的对象，检查的目的等；

    （二）检查过程。包括检查过程使用的工具，检查的方法与步骤等；

    （三）检查结果。包括通过检查发现的案件线索、电子数据等相关信息。

    （四）其他需要记录的内容。

    第四十条  电子数据检查时需要提取电子数据的，应当制作《电子数据提取固定清单》，记录该电子数据的来源、提取方法和完整性校验值。

第四章  电子数据审查

    第四十一条  市场监管部门法制机构应当对执法人员提取、固定的电子数据的合法性、真实性、完整性、关联性进行审查。

    第四十二条  对收集、提取电子数据是否合法，应当着重审查以下内容：

    （一）收集、提取电子数据是否由二名以上具备行政执法资格的人员进行，取证方法是否符合相关技术标准；

　　（二）收集、提取电子数据，是否附有笔录、清单，并经执法人员、电子数据持有人（提供人）、见证人签名或者盖章；没有持有人（提供人）签名或者盖章的，是否注明原因；对电子数据的类别、文件格式等是否注明清楚；

　　（三）是否依照有关规定由符合条件的人员担任见证人，是否对相关活动进行录像；

　　（四）电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备；有条件的，是否制作电子数据备份，并对备份进行检查；无法制作备份且无法使用写保护设备的，是否附有录像。

    第四十三条  对电子数据是否真实，应当着重审查以下内容：

　　（一）是否移送原始存储介质；在原始存储介质无法封存、不便移动时，有无说明原因，并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况；

　　（二）电子数据是否具有数字签名、数字证书等特殊标识；

　　（三）电子数据的收集、提取过程是否可以重现；

　　（四）电子数据如有增加、删除、修改等情形的，是否附有说明；

　　（五）电子数据的完整性是否可以保证。

　　第四十四条  对电子数据是否完整，应当根据保护电子数据完整性的相应方法进行验证：

　　（一）审查原始存储介质的扣押、封存状态；

　　（二）审查电子数据的收集、提取过程，查看录像；

　　（三）比对电子数据完整性校验值；

　　（四）与备份的电子数据进行比较；

　　（五）审查冻结后的访问操作日志；

　　（六）其他方法。

    第四十五条  审查案件查明的事实与电子数据的关联性，可以通过核查相关书证物证、当事人供述等进行综合判断。

　　第四十六条  电子数据具有下列情形之一的，不得作为定案的根据：

　　（一）电子数据系篡改、伪造或者无法确定真伪的；

　　（二）电子数据有增加、删除、修改等情形，影响电子数据真实性的；

　　（三）其他无法保证电子数据真实性的情形。

第五章  电子数据委托检验与鉴定

    第四十七条  为了查明案情，解决案件中某些专门性问题，经办案部门负责人批准，可以聘请有专业知识的人进行检验鉴定，或者委托专业机构出具报告。

    第四十八条  执法人员送检时，应当封存原始存储介质、采取相应措施保护电子数据完整性，并提供必要的案件相关信息。

    第四十九条  市场监管部门委托专业人士、机构实施检验鉴定，应当对鉴定结果的真实性、合法性负责。

第六章  附则

第五十条 本规定中下列用语的含义：

（一）存储介质，是指具备数据信息存储功能的电子设备、硬盘、光盘、优盘、记忆棒、存储卡、存储芯片等载体。

（二）完整性校验值，是指为防止电子数据被篡改或者破坏，使用散列算法等特定算法对电子数据进行计算，得出的用于校验数据完整性的数据值。

（三）网络远程勘验，是指通过网络对远程计算机信息系统实施勘验，发现、提取与案件有关的电子数据，记录计算机信息系统状态，判断案件性质，为案件查办提供线索和证据的活动。

（四）数字签名，是指利用特定算法对电子数据进行计算，得出的用于验证电子数据来源和完整性的数据值。

（五）数字证书，是指包含数字签名并对电子数据来源、完整性进行认证的电子文件。

（六）访问操作日志，是指为审查电子数据是否被增加、删除或者修改，由计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。

第五十一条 电子数据提取固定清单格式范本见附件，各区县市场监管部门可以参照制定本辖区适用的文书格式。

第五十二条 本规定自2020年11月1日起施行。

附件

        市场监督管理局

电 子 数 据 提 取 固 定 清 单