犯罪现场勘查学

杨运生

目录

  • 1 现场勘查依据的法律法规
    • 1.1 刑事诉讼法
    • 1.2 刑事办案程序
    • 1.3 现场勘查规则
    • 1.4 《公安机关侦办电信诈骗案件工作机制(试行)》
    • 1.5 《公安机关办理刑事案件电子数据取证规则》
    • 1.6 《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》
    • 1.7 《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》
    • 1.8 平安山西建设条例
  • 2 多发性侵财案件的现场勘查
    • 2.1 概述
    • 2.2 盗窃案件的现场勘查
    • 2.3 抢劫案件的现场勘查
    • 2.4 德为天地制卷系统
    • 2.5 2023年黄河流域公安院校现场勘查比赛规程
    • 2.6 刑科·动态 | 科技学子展风采,真学实练绽芳华
    • 2.7 第一届黄河流域公安院校现场勘查比赛在我校举办
    • 2.8 第一届黄河流域公安院校现场勘查比赛 山西警察学院刑技系学生战果辉煌
    • 2.9 第三届痕迹检验技术发展与应用学术研讨会在河南开封召开
  • 3 电诈案件现场勘查
    • 3.1 第一章  绪论 第一节  电信网络诈骗犯罪概述
    • 3.2 第二节  电信网络诈骗犯罪现场的概念及特点
    • 3.3 第三节  电信网络诈骗案件现场勘查的含义和特点
    • 3.4 第二章电信网络诈骗案件现场勘查的任务、原则和方法
    • 3.5 第二节 电信网络诈骗案件现场勘查的原则
    • 3.6 第三节 电信网络诈骗案件现场勘查的基本方法
    • 3.7 第三章  被害人涉案电子设备勘查
    • 3.8 第二节 被害人涉案电子设备勘查流程
    • 3.9 第三节  被害人涉案电子数据的固定提取方法
    • 3.10 第四章  涉案网络空间勘查
    • 3.11 第五章窝点现场勘查
    • 3.12 涉诈 APP 安装包在侦查破案中应用方法探究
    • 3.13 智慧侦查背景下现场勘查时空拓展新模式:云勘查
  • 4 食药环林案件现场勘查
    • 4.1 教学视频资料
    • 4.2 考核标准
    • 4.3 放火案件现场勘查和物证搜寻规律方法
  • 5 犯罪现场勘查教学资料
    • 5.1 现场勘查教材
    • 5.2 现场勘查实训指导
    • 5.3 2015年教案
    • 5.4 2010年资料
    • 5.5 2008年资料
    • 5.6 培训课件及案例
    • 5.7 打绳结的手法与职业特点
    • 5.8 开锁破锁痕迹
    • 5.9 常用设备
  • 6 课程思政案(事)例
    • 6.1 爱国主义情怀
    • 6.2 警察职业精神
    • 6.3 中国枪王朵英贤
    • 6.4 中华文化和中国精神的时代精华
第三节 电信网络诈骗案件现场勘查的基本方法

电信网络诈骗案件的典型特征就是犯罪行为人与被害人通过电话、短信、网络、电子支付平台等非接触方式交流和互动,因此,大量的犯罪证据也形成于这些电信、银联、网络传输系统与平台之中,不仅需要运用采集 DNA 、指纹、足迹等传统物证的方法,还需要运用电子证据固定、提取等专门技术。现场记录已经由传统的现场笔录、现场制图、现场照相录像"三录"发展为传统现场记录的数字化与现场勘查数据的全面录入。

电信网络诈骗案件现场勘查中固定、提取的基本方法有以下几种:

一、文字记录

对物证、书证、视听资料、电子数据等证据的种类、位置、存在形式、大小、数量、形状、特征、发情况等数据和信息进行描述记录。根据最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第14条的规定,收集、提取电子数据,应当制作笔录,记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程,并附电子数据清单,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。有条件的,应当对相关活动进行录像。采用打印、拍照或录像等形式固定电子数据的,应在笔录中注明选取固定方式的原因以及文件路径和文件属性。

二、照相、录像法

(一)概念

照相、录像法,是指利用照相器材或截屏等方式,对物证、书证及电子数据等外观、所在位置、性状、内容等进行拍照、录像、截屏或打印的方法。

(二)适用情形

1.能扣押的,扣押涉案电子设备的过程应全程录像,计算录像文件完整性校验值并记入笔录。

2.对于无法扣押原始存储介质并且无法提取电子数据的,存在电子数据自毁功能或装置,或需要及时固定相关证据的,或需现场展示、查看相关电子数据的,以及电子设备内的易失性数据,应采用打印、拍照、录像、截屏或录屏等方式固定电子数据。

3.网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式进行记录。

(三)操作要求

1.拍照时,物证标识牌的序号应当朝向照相机方向;然后靠近痕迹、物证等放置比例尺,比例尺的刻度朝向痕迹、物证,并对特征进行细目照相。

2.应当清晰反映涉案电子数据的内容。

3.网络在线提取,应记录:①远程计算机信息系统的访问方式;②提取的日期和时间;③提取使用的工具和方法;④电子数据的网络地址、存储路径或者数据提取时的步骤等;⑤计算完整性校验值的过程和结果。

三、扣押、封存原始存储介质

(一)适用情形

在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据,能够扣押原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。勘验、检查与电子数据有关的犯罪现场时,应当按照有关规范处置相关设备,扣押、封存原始存储介质。扣押与封存的对象可以是电子设备、储存介质或电子数据。

(二)操作要求对扣押的原始存储介质,应当按照以下要求封存:

1.保证在不解除封存状态的情况下,无法使用或者启动被封存的原始存储介质,必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存。

2.封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况。必要时,照片还要清晰反 映电子设备的内部存储介质细节。

3.封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。对无法确定原始存储介质持有人(提供人)或者原始存储介质持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,应当在有关笔录中注明,由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的过程全程录像。

四、现场提取电子数据

现场提取电子数据,是指对案(事)件现场及其场所电子物证的发现、固定、收集的过程。对不能扣押原始存储介质但能够提取电子数据的,应当提取电子数据。

(一)适用情形

具有下列无法扣押原始存储介质情形之一的,可以现场提取电子数据:

1.原始存储介质不便封存的;

2.提取的计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;

3.案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;

4.关闭电子设备会导致重要信息系统停止服务的;

5.需要通过现场提取电子数据排查可疑存储介质的;

6.正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;

7.其他无法扣押原始存储介质的情形。无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。

(二)保护措施

现场提取电子数据可以采取以下措施保护相关电子设备:

1.及时将犯罪嫌疑人或者其他相关人员与电子设备分离。

2.在未确定是否易丢失数据的情况下,不能关闭正在运行的电子设备。

3.对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施。

4.保护电源。

5.有必要采取的其他保护措施。

(三)操作要求

1.不得将提取的数据存储在原始存储介质中。

2.不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在笔录中记录所安装的程序及目的。

3.应当在有关笔录中详细、准确记录进行的操作。

4.应当制作《电子数据现场提取笔录》。注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因。原始存储介质的存放地点,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。

5.对提取的电子数据可以进行数据压缩,并在笔录中注明相应的方法和压缩后文件的完整性校验值。

6.由于客观原因无法由符合条件的人员担任见证人的,应当在《电子数据现场提取笔录》中注明情况,并全程录像,对录像文件应当计算完整性校验值并记入笔录。

7.对无法扣押的原始存储介质且无法一次性完成电子数据提取的,经登记、拍照或者录像后,可以封存后交其持有人(提供人)保管,并且开具《登记保存清单》一式两份,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),另一份连同照片或者录像资料附卷备查。

五、网络在线提取电子数据

(一)概念

网络在线提取电子数据,是指在目标系统运行的情况下,获取目标系统中的电子数据的过程。一般是采用下载或录像等方式固定网络上可以浏览的信息。通过网络在线提取的电子数据,可以作为证据使用。

(二)适用情形

1.境内、外网络上公开发布的电子数据,可以通过网络在线提取。

2.境内远程计算机信息系统上的电子数据,可以通过网络在线提取。为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。

(三)操作要求

1.计算完整性校验值。网络在线提取应当计算电子数据的完整性校验值,可以通过专门的工具人工计算或在线提取专业系统同步自动计算。

2.提取关联信息。必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

3.照相、录像法。网络在线提取时,对可能无法重复提取或者可能会出现变化的电子数据,应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息:①远程计算机信息系统的访问方式;②提取的日期和时间;③提取使用的工具和方法;④电子数据的网络地址、存储路径或者数据提取时的步骤等;⑤计算完整性校验值的过程和结果。

4.记录相关信息。网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。

5.网络远程勘验。网络远程勘验,是指通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动。

网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:①需要分析、判断提取的电子数据范围的;②需要展示或者描述电子数据内容或者状态的;③需要在远程计算机信息系统中安装新的应用程序的;④需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的;⑤需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的;⑥其他网络在线提取时需要进一步查明有关情况的情形。

6.见证人。网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并按照规定录像,录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记人笔录。

7.笔录。①远程勘验结束后,应当及时制作《远程勘验笔录》,详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。②远程勘验并且提取电子数据的,应当在《远程勘验笔录》注明有关情况,并附《电子数据提取固定清单》。《远程勘验笔录》应当客观、全面、详细、准确、规范,能够作为还原远程计算机信息系统原始情况的依据,符合法定的证据要求。③对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,逐次制作补充《远程勘验笔录》。④网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的,应当在《网络在线提取笔录》或《远程勘验笔录》中注明采用的相关软件名称和版本号。

8.其他要求。网络在线提取或者网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照《刑事诉讼法》第154条的规定执行。

六、冻结电子数据

(一)概念冻结电子数据是侦查机关收集电子数据过程中采取的手段,电子数据冻结程序具有证据保全的属性。冻结刑事电子数据,是指侦查机关在扣押刑事电子数据载体或者封存网络用户账号之后,对可以用作证据使用的电子数据在不能收集或者不便收集的情况下,采取措施确保电子数据处于不能被随意改动的状态的强制性侦查措施。

(二)适用情形具有下列情形之一的,可以对电子数据进行冻结:1.数据量大,无法或者不便提取的;2.提取时间长,可能造成电子数据被篡改或者灭失的;3.通过网络应用可以更为直观地展示电子数据的;4.其他需要冻结的情形。

(三)操作要求

1.工作流程。冻结电子数据,应当经县级以上公安机关负责人批准,制作《协助冻结电子数据通知书》,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日以内制作《解除冻结电子数据通知书》,通知电子数据持有人、网络服务提供者或者有关部门执行。冻结电子数据的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的,应当按照规定重新办理冻结手续。逾期不办理继续冻结手续的,视为自动解除。

2.操作方法。冻结电子数据,应当采取以下一种或者几种方法:(1)计算电子数据的完整性校验值;(2)锁定网络应用账号;(3)采取写保护措施;(4)其他防止增加、删除、修改电子数据的措施。

七、调取电子数据

(一)法律依据

《数据安全法》第35条规定:"公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。"最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第3条规定:"人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。"第13条规定:"调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。"以上法律、法规从调取电子数据的主体及程序上进行了规定。

(二)工作流程

公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明,被调取单位、个人拒绝盖章、签名或者附说明的,公安机关应当注明。必要时,应当采用录音或者录像等方式固定证据内容及取证过程。公安机关跨地域调查取证的,可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后,在传来的法律文书上加盖本地办案部门印章后,代为调查取证。协作地办案部门代为调查取证后,可以将相关法律文书回执或者笔录邮寄至办案地公安机关,将电子数据或者电子数据的获取、查看工具和方法说明通过公安机关信息化系统传输至办案地公安机关。

(三)操作要求

公安机关应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。办案地公安机关应当审查调取电子数据的完整性,对保证电子数据的完整性有疑问的,协作地办案部门应当重新代为调取。调取电子数据需要第三方协同取证。涉案网络社交软件、第三方支付平台、网站代理服务器等电子数据对于发现犯罪、证实犯罪至关重要。但此类数据一般存储在专用加密服务器或云端资源库,数据庞杂,格式不一,海量原始数据往往让办案人员找不到、看不懂、查不清,因此需借助数据取证公司、互联网企业的专业技术优势和数据资源优势协同取证,如腾讯的安全反诈骗实验室、阿里的安全钱盾反诈实验室、京东金融等。例如,某市公安局某分局在抓捕收网期间,聘请专业数据取证公司协助对"期 xx "平台电子数据进行系统提取和固定,共提取服务器镜像数据800G、平台运营数据80G,通过对大量数据的分析比对,抽取出了资金链、交易金额、日志记录等关键证据,为后期依法打击提供了有力的证据支撑。

【思考题】

1.简述电信网络诈骗案件现场勘查的任务。

2.简述电信网络诈骗案件现场勘查的原则。

3.简述电信网络诈骗案件现场勘查的方法。

4.简述网络在线提取电子数据的流程。

5.简述扣押、封存原始存储介质的操作方法。