上海市高级人民法院:关于知识产权案件中涉及计算机等数字化设备的现场勘查与电子证据保全若干问题的解答(四):固定证据

  由于部分涉及侵权的电子信息证据可能会在关闭电源之后或者在运输过程中丢失,因此,对于这些易丢失的信息要先予以固定,以便有效地保全证据。

  一是,保全人员到达现场时侵权行为正在发生,如系统正在上传或者下载相关侵权信息,或者被告正在使用计算机等信息系统;二是,从被控侵权行为发生到保全人员到达现场期间系统未被重新启动过。在上述情况下,应当提取易丢失信息以固定证据。

  提取的内容一般应包括时间信息、屏幕上显示的内容以及系统运行状态等内容。

  如果从被控侵权行为发生到保全人员抵达现场期间,被控侵权行为已经停止并且系统曾经重新启动的,则只需要提取时间信息,无需提取其它易丢失信息。

  系统时间对于证据分析具有非常重要的意义,而关闭设备或者在搬运设备过程中,可能导致系统时间丢失(比如COMS电池掉电等)。因此,在任何情况下,对于任何有内置时钟的设备,都应当记录该设备当前时间、该时间与北京时间的时差以及时区设置等时间信息。

  同时,还应当根据具体的案件情况,提取记录其他时间信息,如相关系统、程序的安装时间、修改时间、运行时间;相关内容的复制、上传、下载时间等。

  应当使用光学照相机或者摄像机拍摄计算机以及PDA等设备屏幕上显示的内容,同时记录拍摄的时间。

  拍摄的照片或者音像资料应当能够清晰显示重要的证据信息。比如正在上传或者下载的信息内容、用户正在浏览的页面以及该页面上显示的相关信息、用户正在使用的聊天软件或者邮件上显示的相关内容等等。

  拍摄的照片或者音像资料应当全面反映当前系统中应用程序的运行状态。如果系统上同时运行多个程序(如打开多个窗口的),应当拍摄每个应用程序在屏幕上显示的信息。如果应用程序的当前配置信息在关闭计算机后会丢失的,则应当打开相应的配置页,拍摄该配置页中显示的配置信息。

  系统状态信息同样十分重要,保全人员应当意识到应用程序当前内存中可能保留有重要的证据。比如,IE的内存中可能保存有用户刚访问过的页面、帐号和口令;即时通信软件的内存中可能保存有用户使用的帐号、刚刚聊天的内容;打印程序中可能包含有用户刚打印的信息等。而在关闭计算机后,这些信息将会丢失。保全人员应当意识到对于绝大多数电子设备来说,在切断电源时会丢失一些信息,因此应当根据案件的具体情况分析该电子设备中是否包含易丢失证据以及是否需要提取这些证据,对于有必要提取的应当及时提取以固定证据。

  —般需要提取的计算机系统状态信息包括:系统当前运行的进程;每个进程当前打开的文件;每个进程内存中的内容;当前网络连接状态;系统运行的日志文件等。

  其他电子设备中易丢失证据的提取:传真机,在未关闭电源之前,可以提取该传真机最近发送的目标电话号码;打印机,可以提取最近打印的信息等。

  保全人员在提取上述易丢失信息时,应当注意以下几点:

  第一,不能使用目标系统上的程序实施提取。目标系统上的程序有可能被替换而不能准确提取所需信息,因此应当使用自带的软件实施提取。

  第二,不能使用消耗大量资源的软件实施提取。一艘情况下,在提取系统状态信息时,避免使用需要消耗大量资源(内存、磁盘空间)的软件实施提取,因为这些软件可能会对系统上的证据造成破坏。通常情况下,不要使用图形界面的软件,而要使用命令行界面的软件。

  第三,不能将提取的信息存储在目标系统原有的存储媒介中,提取得到的信息应当存储到保全人员自带的存储媒介中,以避免对原有的存储媒介造成破坏。

  第四,注意保护易丢失信息的完整性和真实性。在提取这些信息的过程中,应当有当事人或者见证人在场,并且详细记录提取过程(记录执行的命令或者使用摄像机记录提取过程)和提取的时间。