DB4101T 62.1-2023 網(wǎng)絡(luò)交易管理規(guī)范 第1部分：電子數(shù)據(jù)取證

ICS35.240.99CCSL704101IDB4101/T62.1—2023前言 2規(guī)范性引用文件 3術(shù)語和定義 4基本原則 25制定方案 26設(shè)備與工具 37收集提取 38登記保存與扣押封存 49記錄 4 5附錄A（資料性）電子數(shù)據(jù)證據(jù)提取筆錄（提綱） 6附錄B（資料性）場所/設(shè)施/財務(wù)清單（樣式） 8附錄C（資料性）電子數(shù)據(jù)提取固定清單（樣式） 10參考文獻(xiàn) DB4101/T62.1—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件是DB4101/T62《網(wǎng)絡(luò)交易管理規(guī)范》的第1部分,DB4101/T62已經(jīng)發(fā)布了以下部分：——第1部分：電子數(shù)據(jù)取證。本文件由鄭州市市場監(jiān)督管理局提出并歸口。本文件起草單位：鄭州市市場監(jiān)督管理局網(wǎng)絡(luò)交易監(jiān)管分局、廈門市美亞柏科信息股份有限公司。本文件主要起草人：劉長斌、雷兵、關(guān)喜斌、周峰、李蒙、任珂、呂臻、黃軒華、劉偉釗。1DB4101/T62.1—2023網(wǎng)絡(luò)交易管理規(guī)范第1部分：電子數(shù)據(jù)取證本文件規(guī)定了網(wǎng)絡(luò)交易管理中電子數(shù)據(jù)證據(jù)取證的基本原則、制定方案、選擇設(shè)備與工具、收集提取、登記保存與扣押封存、記錄和移交。本文件適用于市場監(jiān)管相關(guān)執(zhí)法部門網(wǎng)絡(luò)交易管理中的電子數(shù)據(jù)證據(jù)取證工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GA/T754電子數(shù)據(jù)存儲介質(zhì)復(fù)制工具要求及檢測方法GA/T755電子數(shù)據(jù)存儲介質(zhì)寫保護設(shè)備要求及檢測方法3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)交易借助互聯(lián)網(wǎng)進(jìn)行商品買賣的活動。［來源：GB/T31951—2015，3.1］3.2電子數(shù)據(jù)基于計算機及網(wǎng)絡(luò)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段形成的以數(shù)字形式存儲、處理和傳輸?shù)馁Y料。a)網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的信息；b)手機短信、電子郵件、即時通信、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息；c)用戶注冊信息、身份認(rèn)證信息、電子交易記錄、通信記錄、登錄日志等信息；d)文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。［來源：GB/T37919—2019，3.11，有修改］3.3電子數(shù)據(jù)取證運用技術(shù)手段，對網(wǎng)絡(luò)交易的電子數(shù)據(jù)證明材料進(jìn)行收集、保全和記錄，用于鑒別其違法行為的過程。[來源：GB/T37919—2019，3.14，有修改]2DB4101/T62.1—20233.4完整性校驗值為防止電子數(shù)據(jù)被篡改或者破壞，使用散列算法等特定算法對電子數(shù)據(jù)進(jìn)行計算，得出的用于校驗數(shù)據(jù)完整性的數(shù)據(jù)值。[來源：GB/T37919—2019，3.6]4基本原則4.1合法性收集、提取電子數(shù)據(jù)時，由2名以上具備行政執(zhí)法資格的人員進(jìn)行。必要時，可指派或者聘請專業(yè)技術(shù)人員參與。4.2真實性收集、提取到的電子數(shù)據(jù)計算其完整性校驗值并制作固定電子數(shù)據(jù)證據(jù)清單。4.3關(guān)聯(lián)性收集、提取到的電子數(shù)據(jù)從以下因素進(jìn)行證據(jù)關(guān)聯(lián)性驗證：a)證據(jù)證明的事實是否與案件有本質(zhì)的內(nèi)在聯(lián)系，以及關(guān)聯(lián)程度的大?。籦)證據(jù)所證明的事實對案件主要情節(jié)和案件性質(zhì)的影響程度大??；c)證據(jù)之間是否能互相印證，并形成證據(jù)鏈；d)所形成的證據(jù)鏈?zhǔn)欠褫^全面地印證案件的事實。4.4完整性對作為證據(jù)使用的電子數(shù)據(jù)，采取以下一種或者幾種方法保護電子數(shù)據(jù)的完整性：a)扣押、封存電子數(shù)據(jù)原始存儲介質(zhì)；b)計算電子數(shù)據(jù)完整性校驗值；c)制作、封存電子數(shù)據(jù)備份；d)對收集、提取電子數(shù)據(jù)的相關(guān)活動進(jìn)行錄像；e)其他保護電子數(shù)據(jù)完整性的方法。4.5保密性電子數(shù)據(jù)涉及國家秘密、商業(yè)秘密和個人隱私的，應(yīng)保密。5制定方案電子數(shù)據(jù)證據(jù)收集與提取之前，應(yīng)制定詳細(xì)方案，包括但不限于：a)收集與提取的目的和范圍；b)參加人員應(yīng)明確分工，落實責(zé)任；c)應(yīng)攜帶的儀器設(shè)備；d)采用的方法和步驟；e)電子數(shù)據(jù)證據(jù)收集提取順序；f)電子數(shù)據(jù)收集提取操作可能造成的影響。3DB4101/T62.1—20236設(shè)備與工具根據(jù)方案選擇設(shè)備與工具，包括但不僅限于：a)照錄像設(shè)備、電子物證現(xiàn)場檢查箱、手機信號屏蔽設(shè)備、收集屏蔽箱（袋）、手機取證設(shè)備、仿真設(shè)備、保全備份設(shè)備、專用存儲介質(zhì)、便攜式計算機、打印機等；b)綜合取證分析軟件、手機取證分析軟件、仿真軟件、在線取證軟件、免安裝和免系統(tǒng)注冊軟件等；c)對電子數(shù)據(jù)進(jìn)行復(fù)制，應(yīng)使用符合GA/T754和GA/T755規(guī)定的電子數(shù)據(jù)存儲介質(zhì)復(fù)制及寫保護設(shè)備及工具。7收集提取7.1現(xiàn)場7.1.1具有下列無法扣押原始存儲介質(zhì)情形之一的，應(yīng)現(xiàn)場收集提取電子數(shù)據(jù)：a)原始存儲介質(zhì)不便封存的；b)提取計算機內(nèi)存數(shù)據(jù)、網(wǎng)絡(luò)傳輸數(shù)據(jù)等不是存儲在存儲介質(zhì)上的電子數(shù)據(jù)的；c)案件情況緊急，不立即提取電子數(shù)據(jù)可能會造成電子數(shù)據(jù)滅失或者其他嚴(yán)重后果的；d)關(guān)閉電子設(shè)備會導(dǎo)致重要信息系統(tǒng)停止服務(wù)的；e)需通過現(xiàn)場提取電子數(shù)據(jù)排查可疑存儲介質(zhì)的；f)正在運行的計算機信息系統(tǒng)功能或者應(yīng)用程序關(guān)閉后，沒有密碼無法提取的；g)其他無法扣押原始存儲介質(zhì)的情形。7.1.2現(xiàn)場收集提取電子數(shù)據(jù)，符合以下要求：a)不應(yīng)將收集提取的數(shù)據(jù)存儲在原始存儲介質(zhì)中；b)不應(yīng)在目標(biāo)系統(tǒng)中安裝新的應(yīng)用程序。如特殊原因，需在目標(biāo)系統(tǒng)中安裝新的應(yīng)用程序的，應(yīng)在《電子數(shù)據(jù)證據(jù)提取筆錄》（見附錄A）中記錄所安裝的程序及目的；c)應(yīng)在有關(guān)筆錄中詳細(xì)、準(zhǔn)確記錄實施的操作。7.1.3現(xiàn)場收集提取電子數(shù)據(jù)時采取以下措施保護相關(guān)電子設(shè)備：a)及時將案件當(dāng)事人或者其他相關(guān)人員與電子設(shè)備分離；b)在未確定是否易丟失數(shù)據(jù)的情況下，不應(yīng)關(guān)閉正在處于運行狀態(tài)的電子設(shè)備；c)對現(xiàn)場計算機信息系統(tǒng)可能被遠(yuǎn)程控制的，及時采取信號屏蔽、信號阻斷、斷開網(wǎng)絡(luò)連接等措施；d)保護電源；e)有必要采取的其他保護措施。7.1.4應(yīng)對收集提取的電子數(shù)據(jù)證據(jù)進(jìn)行數(shù)據(jù)壓縮，并在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明相應(yīng)的方法和壓縮后文件的完整性校驗值。7.2網(wǎng)絡(luò)在線7.2.1對公開發(fā)布的電子數(shù)據(jù)、境內(nèi)遠(yuǎn)程計算機信息系統(tǒng)上的電子數(shù)據(jù)，可通過網(wǎng)絡(luò)在線收集提取。7.2.2應(yīng)計算電子數(shù)據(jù)的完整性校驗值，必要時，可提取有關(guān)電子簽名認(rèn)證證書、數(shù)字簽名、注冊信息等關(guān)聯(lián)性信息。7.2.3對可能無法重復(fù)收集提取或者可能會出現(xiàn)變化的電子數(shù)據(jù)，應(yīng)采用錄像、拍照、截取計算機屏幕內(nèi)容等方式記錄包括但不限于以下信息：4DB4101/T62.1—2023a)遠(yuǎn)程計算機信息系統(tǒng)的訪問方式；b)收集提取的日期和時間；c)收集提取使用的工具和方法；d)電子數(shù)據(jù)的網(wǎng)絡(luò)地址、存儲路徑或者數(shù)據(jù)收集提取時的進(jìn)入步驟等；e)計算完整性校驗值的過程和結(jié)果。7.2.4需要進(jìn)一步查明下列情形之一的，可對遠(yuǎn)程計算機信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程勘驗：a)分析、判斷收集提取的電子數(shù)據(jù)范圍的；b)展示或者描述電子數(shù)據(jù)內(nèi)容或者狀態(tài)的；c)在遠(yuǎn)程計算機信息系統(tǒng)中安裝新的應(yīng)用程序的；d)通過勘驗行為讓遠(yuǎn)程計算機信息系統(tǒng)生成新的除正常運行數(shù)據(jù)外電子數(shù)據(jù)的；e)收集遠(yuǎn)程計算機信息系統(tǒng)狀態(tài)信息、系統(tǒng)架構(gòu)、內(nèi)部系統(tǒng)關(guān)系、文件目錄結(jié)構(gòu)、系統(tǒng)工作方式等電子數(shù)據(jù)相關(guān)信息的；f)其他網(wǎng)絡(luò)在線收集提取時需要進(jìn)一步查明有關(guān)情況的情形。網(wǎng)絡(luò)在線收集提取或者網(wǎng)絡(luò)遠(yuǎn)程勘驗時，應(yīng)使用電子數(shù)據(jù)持有人、網(wǎng)絡(luò)服務(wù)提供者提供的用戶名、密碼等進(jìn)行遠(yuǎn)程訪問。8登記保存與扣押封存8.1在證據(jù)可能滅失或者以后難以取得的情況下，可根據(jù)相關(guān)法律規(guī)定,對與涉嫌違法行為有關(guān)的證據(jù)采取先行登記保存措施。8.2在現(xiàn)場檢查過程中，發(fā)現(xiàn)與案情相關(guān)的電子數(shù)據(jù)，可根據(jù)相關(guān)法律規(guī)定對電子數(shù)據(jù)載體進(jìn)行扣押。8.3對扣押的原始存儲介質(zhì)，應(yīng)會同在場見證人和原始存儲介質(zhì)持有人（提供人）查點清楚，開具《場所/設(shè)施/財物清單》（見附錄B），扣押原始存儲介質(zhì)時，應(yīng)收集證人證言以及案件當(dāng)事人供述等與原始存儲介質(zhì)相關(guān)聯(lián)的證據(jù)，并在筆錄中注明以下情況：a)原始存儲介質(zhì)及應(yīng)用系統(tǒng)管理情況，網(wǎng)絡(luò)拓?fù)渑c系統(tǒng)架構(gòu)情況，是否由多人使用及管理，管理及使用人員的身份情況等；b)原始存儲介質(zhì)及應(yīng)用系統(tǒng)管理的用戶名、密碼情況；c)原始存儲介質(zhì)的數(shù)據(jù)備份情況，有無加密磁盤、容器，有無自毀功能，有無其它移動存儲介質(zhì)，是否進(jìn)行過備份，備份數(shù)據(jù)的存儲位置等情況；d）其他相關(guān)的內(nèi)容。8.4封存要求：a)保證在不解除封存狀態(tài)的情況下，無法使用或者啟動原始存儲介質(zhì)；必要時，應(yīng)分別封存具備數(shù)據(jù)信息存儲功能的電子設(shè)備和硬盤、存儲卡等內(nèi)部存儲介質(zhì)；b)封存前后應(yīng)拍攝被封存原始存儲介質(zhì)的照片，照片應(yīng)反映原始存儲介質(zhì)封存前后狀況，清晰反映封口或者張貼封條處狀況；必要時，照片還應(yīng)清晰反映電子設(shè)備的內(nèi)部存儲介質(zhì)細(xì)節(jié)；c)封存手機等具有無線通信功能的原始存儲介質(zhì)，應(yīng)采取信號屏蔽、信號阻斷或者切斷電源等措施。9記錄9.1現(xiàn)場收集提取電子數(shù)據(jù)過程中，應(yīng)制作《電子數(shù)據(jù)證據(jù)提取筆錄》?！峨娮訑?shù)據(jù)證據(jù)提取筆錄》中應(yīng)注明電子數(shù)據(jù)的來源、事由和目的、對象、收集提取電子數(shù)據(jù)的時間、地點、方法、過程、不能扣押原始存儲介質(zhì)的原因和原始存儲介質(zhì)的存放地點等，并附《電子數(shù)據(jù)提取固定清單》（見附錄C）。5DB4101/T62.1—20239.2遠(yuǎn)程勘驗結(jié)束后，應(yīng)及時制作《電子數(shù)據(jù)證據(jù)提取筆錄》，詳細(xì)記錄遠(yuǎn)程勘驗有關(guān)情況，遠(yuǎn)程勘驗提取的電子數(shù)據(jù)以及勘驗照片、截獲的屏幕截圖及其完整性校驗值等內(nèi)容，并附《電子數(shù)據(jù)提取固定清單》。9.3對計算機信息系統(tǒng)進(jìn)行多次遠(yuǎn)程勘驗的，在制作首次檢查筆錄后，應(yīng)逐次制作補充筆錄。9.4執(zhí)法人員（取證人員）、電子數(shù)據(jù)持有人（提供人）應(yīng)在《電子數(shù)據(jù)證據(jù)提取筆錄》、《電子數(shù)據(jù)提取固定清單》、《場所/設(shè)施/財物清單》上簽字或者蓋章。9.5電子數(shù)據(jù)持有人（提供人）無法或者拒絕在電子數(shù)據(jù)證據(jù)提取相關(guān)文書中簽名的，應(yīng)在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明，由見證人簽名或者蓋章；由于客觀原因無法由符合條件的人員擔(dān)任見證人的，應(yīng)當(dāng)在《電子數(shù)據(jù)證據(jù)提取筆錄》中注明情況，并全程錄像，對錄像文件應(yīng)當(dāng)計算完整性校驗值并記入筆錄。9.6在電子數(shù)據(jù)取證過程中，對收集提取的電子數(shù)據(jù)證據(jù)應(yīng)出具電子數(shù)據(jù)固證文書。文書內(nèi)容包括：取證部門、取證時間、取證方式、取證依據(jù)及方法、取證設(shè)備及環(huán)境和區(qū)塊鏈登記信息等。10移交10.1原始存儲介質(zhì)應(yīng)當(dāng)以封存狀態(tài)移交相關(guān)部門。移交時，應(yīng)將收集提取的電子數(shù)據(jù)及備份件、相關(guān)文書和取證過程錄像文件一并移交。10.2移交的的電子數(shù)據(jù)證據(jù)應(yīng)計算其完整性校驗值，并制作固定電子數(shù)據(jù)證據(jù)清單。10.3移交的電子數(shù)據(jù)證據(jù)涉及到網(wǎng)絡(luò)應(yīng)用賬號時，應(yīng)注明其賬號及密碼。10.4移交的電子數(shù)據(jù)證據(jù)應(yīng)提供查看工具和展示方法說明。6DB4101/T62.1—2023電子數(shù)據(jù)證據(jù)提取筆錄（提綱）電子數(shù)據(jù)證據(jù)提取筆錄提綱如下。 7DB4101/T62.1—2023 8DB4101/T62.1—2023（資料性）場所/設(shè)施/財務(wù)清單（樣式）場所/設(shè)施/財務(wù)清單樣式如下： （單位名稱）場所/設(shè)施/財物清單文書編號：9DB4101/T62.1—2023