上海市高级人民法院民三庭关于知识产权案件中涉及计算机等数字化设备的现场勘查与电子证据保全若干问题的解答(二):保护现场

  在进行现场勘查和电子证据保全时,保护好现场是调查人员必须首先做到的关键之处。保护现场的目的是防止现场的证据被有意或无意破坏,只有在保护好现场的情况下,才能顺利完成现场勘查和电子证据保全。

  一、保护现场需要注意哪些方面?

  在对需要进行勘查和电子证据保全的现场进行保护时要注意以下几方面:防止被调查人员接触数字化设备、防止被调查人员采取隐蔽手段故意破坏证据、防止调查人员无意中损坏证据、防止正在运行的系统破坏证据。

  二、如何防止被调查人员接触数字化设备?

  现场勘查与电子证据保全过程中要禁止任何非调查人员接触电源、计算机、网络设备、存储设备等数字化设备。在缺乏相关信息而无法操作相关设备的情况下,应当要求被调查人员提供登陆计算机的口令、手机和PDA的解锁口令、应用程序的功能等相关信息,但是必须禁止被调查人员直接操作计算机等数字化设备,以防止其故意破坏证据。

  三、如何防止被调查人员采取隐蔽的手段故意破坏证据?

  被调查人员可能采取切断电源、远程控制以及系统自动清除等隐蔽性手段来破坏证据。在此情况下,可以采取以下措施保护现场:首先,要将被调查人员控制在不可能接触任何电源开关的区域,以防止被调查人员通过切断电源的方式破坏数据;其次,可以切断相关的有线网络和无线网络连接(如:关闭交换机、HUB或无线接入设备)和拨入设备(关闭MODEM),以防止被调查人员通过网络、拨入设备远程控制计算机或者网络;再次,被调查人员可能在系统上安装特定条件下自动清除相关证据的专门程序,在现场勘查时要注意评估、仔细观察,如果这种可能性较大,应当立即关闭计算机电源。

  此外,在现场勘查中不应听从被调查人员的建议实施操作,因为该种操作方法可能会导致证据损毁。

  四、如何防止调查人员无意中损坏证据?

  在进行现场勘查与电子证据保全时,有时调查人员的操作可能会在无意中损坏证据,因此要特别注意采取正确的操作方法,以防止上述情况出现。

  一般情况下,应当让电子设备(包括计算机、PDA、移动电话、打印机、传真设备等)保持原先的状态,即已经打开的不要立即关闭,已经关闭的不要打开。

  对计算机进行操作时,要首先观察显示器的电源是否打开,如果未打开则打开显示器电源;如果显示器处于黑屏状态,则移动鼠标或者单击“CTRL”键以查看计算机是否处于运行状态。如果计算机上的应用程序正在运行,一般情况下暂时不要关闭,但是应当禁止重新运行计算机上原有的任何应用程序。

  对被调查人员正在编辑的电子文档,应当将该电子文档另存到调查人员自带的封装空白存储媒介,不要再直接保存该电子文档。

  对正在执行打印任务的打印机,不要停止该打印任务,让其将打印任务执行完毕。

  对非接触式智能卡,要注意避免该智能卡放置在智能卡读写器临近位置。

  对调查人员无法识别的设备,要与相关专家联系寻求技术支持。如果未能获得专家支持,可以直接关闭电源,但不得尝试对该设备进行任何操作。

  如果现场情况紧急,而且数字化设备中存储的数据可能受到严重破坏,要优先提取数字化证据。

  五、如何防止正在运行的系统破坏证据?

  对正在实施整理硬盘、格式化硬盘、批量拷贝信息、批量下载信息、杀毒等可能大量访问存储媒介的操作的数字化设备,要立即终止这些操作,以防止数据丢失。

  对正在摄像的数码摄像机,要停止该数码摄像机的工作进程,以防止当前拍摄内容覆盖以前存留的信息。

  对正在录音的数码录音设备,要停止该录音设备的工作进程,以防止当前录音内容覆盖以前存留的信息。