第一节  被害人涉案电子设备的内涵

一、被害人涉案电子设备的含义

电信网络诈骗案件中，被害人涉案证据主要有被害人陈述、电子数据、物证、书证、视听资料等，被害人涉案电子设备是指储存有与案件相关数据的被害人的手机、平板电脑、计算机等电子设备。被害人涉案电子设备既是重要的物证，也是涉案电子数据、书证、视听资料等证据的重要储存介质。电信网络诈骗案件中犯罪分子利用现代通信工具和支付手段实施远程、非接触性犯罪，既不与被害人发生面对面的接触，也不存在传统意义上的犯罪现场，被害人手机等涉案电子设备是电信网络诈骗案件的第一现场。因此，从被害人涉案电子设备中勘验、检查和提取的电子数据对侦破此类犯罪具有重要证明价值，能够有效揭示出与电信诈骗犯罪活动相关的犯罪行为、作案过程和涉案人数等关联信息。被害人涉案电子设备中的涉案电子数据向前可溯源至推送应用程序或网址的分发服务器或平台开发者，向后可追踪至犯罪主网站并关联网站搭建、管理、运作者，横向可辐射到应用程序封装打包、关联第三方服务商，通过对被害人涉案电子设备勘查，可为侦办电信网络诈骗案件提供证据与线索。同时，由于电子数据的虚拟性、高速流转性、不稳定性和易修改性等，要求侦查人员应及时采取措施勘查涉案电子设备，一旦错失良机，后续补充侦查很难有所突破。

二、被害人涉案电子设备的类型

电信网络诈骗案件中，被害人涉案电子设备有计算机、手机、固定电话机等，当前最常见的有手机、平板电脑、计算机三类。

（一）手机

随着智能手机的普及与运用，互联网正步入以 PC 为终端转变为以手机为终端的移动时代。当前，电信网络诈骗案件中，手机是被害人提供涉案证据的主要电子设备。智能手机的操作系统有： Android 、 iOS 、 Symbian 、 WindowsMobile 、 Windowsphone 、 PalmOS 和 BlackBerryOS 等，它们之间的应用软件互不兼容。从第一台智能手机夏普的" ZaurusOS "，到昔日辉煌的 Nokia 塞班系统，再到现在主流智能手机操作系统苹果 iOS 和谷歌 Android 。智能手机的发展很大程度上取决于操作系统的发展。2016年中国境内活跃的智能手机达23.3亿部，操作系统主要为 Android 、 iOS 、 Symbian 和 WindowsPhone ，其中 Android 系统智能手机19.3亿部，占所有智能手机数量的83.02%。由于安卓手机的市场占有率最高，以及安卓模拟器能够模拟安卓系统内各种手机应用，使得电信网络诈骗案件中， Android 系统智能手机在被害人涉案电子设备的占比最高。在很长一段时间，我国对数字取证的研究都偏重于桌面计算机取证，使移动终端取证科学的发展更加缓慢、落后。自2013年起，我国司法部门才开始重视移动终端取证领域，陆续出台《法庭科学电子物证手机检验技术规范》《移动终端取证检验方法》《手机电子数据提取操作规范》和《即时通讯记录检验操作规范》等技术标准。

（二）平板电脑

平板电脑是一种小型、方便携带的个人电脑，以触摸屏作为基本的输入设备。在各种终端设备中，平板电脑凭借适合办公的屏幕尺寸以及优于笔记本电脑的便携性，成为移动终端的首选。当前平板电脑市场中主流的操作系统是苹果 iOS 和谷歌 Android ，平板电脑与智能手机的大部分 APP 各功能界面在布局上比较接近，平板电脑虽也属于被害人的终端设备之一，但在电信网络诈骗案件中极少遇到被害人将其作为涉案电子设备的情形。

（三）计算机虽然随着智能手机的普及，电信网络诈骗案件中被害人的涉案证据绝大部分存在于手机中，但有些案件，还是有一些聊天记录或涉诈程序、网站登录记录等信息存于被害人的计算机中。当前，计算机市场占有比例较高的操作系统主要有 Win - dows 、 Unix 和 MacOSX 。

三、被害人涉案电子数据的内容被害人涉案电子数据包括但不限于以下内容：

1．涉案电子设备外观特征、型号及序列号等信息；

2．涉案通讯记录、短信；

3．涉案账号（包括社交软件、支付、电子商务平台等账号）;

4．微信、 QQ 、电子邮箱等社交软件中的涉案数据；

5．涉案音频、视频、图片等；

6．涉案应用程序；

7．涉案域名；

8．涉案二维码；

9．其他。

第二节  被害人涉案电子设备勘查流程

根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的相关规定，被害人手机等电子设备由受案地公安机关负责勘查，被害人涉案证据的勘查按照以下步骤进行：

一、询问基本情况

（一）紧急止付

被害人报案时，受案民警根据被害人反映的情况判断是否为电信网络诈骗案件，如系电信网络诈骗案件，有止付条件的，根据被害人提供的涉案账户信息，侦查机关要快速反应，并立即上报系统平台，协同银行等金融机构冻结尚未转移的涉案资金，进行紧急止付。在实践中，初查阶段冻结资金有多种途径：

一是通过银联客服电话冻结。对于准确获取犯罪嫌疑人用于诈骗的银行卡账号的情形，可拨打银联人工客服电话，查清开户行和地址，予以冻结；若不知犯罪嫌疑人银行卡账号，则可到银行柜台通过被害人银行卡和身份信息，查询对方账号，再予以冻结。

二是通过电话银行冻结。此途径利用银行错误密码锁止机制，通过反复五次输错密码冻结诈骗账号的电话银行转账功能。每次冻结时限24小时，可反复冻结。

三是通过网上银行冻结。操作与第二种情形相似。

四是通过银行柜台冻结。侦查人员制作冻结法律文书到涉案账号地归属银行或总行办理冻结手续，此法冻结期限较长（六个月），且稳定彻底。在实践中，可用前三种途径进行紧急处置，再通过第四种途径规范办理冻结手续。

（二）询问被害人

对被害人的询问既是电信网络诈骗案件的主要线索来源，也是获取证明电信网络诈骗犯罪行为发生证据的重要途径。对于大多数电信诈骗而言，被害人都能积极主动地提供被骗过程的言词证据。公安机关受理电信网络诈骗案件警情后，要迅速组织侦查人员耐心细致地询问被害人，准确记录案件关键信息，为深入侦查取证提供可靠线索。询问重点是被骗过程中涉及的"网络流""信息流""资金流"等信息。

询问过程应详细了解以下信息：

1．被害人身份。包括自然身份信息和网络虚拟身份信息。重点查明是否为残疾人、老年人、未成年人、在校学生、丧失劳动能力的人或者重病患者的亲属。

2．被骗经过。包括被害人被骗的始末、交流沟通、心理变化及遭受损失的经过、被骗金额、涉及网络通讯工具、网页网址信息、支付结算工具、指定被害人转账的账号、转出的资金金额，以及是否造成被害人及其近亲属自杀、死亡或者精神失常后果等情况。

3．涉案电子设备信息。对涉案电子设备外观特征进行拍照固定，并使用截屏或拍照等方式记录设备唯一性标识，如计算机的 MAC 地址信息，手机、平板的序列码、 MAC 、 IMEI 、 MEID 、 ICCID 等设备唯一性信息。

4．犯罪嫌疑人信息。犯罪嫌疑人冒用的身份、使用的化名、性别、声音特征、数量、微信号码、支付宝账号，作案的电话号码、短信或来电显示的电话等犯罪嫌疑人基本信息。

二、提取前准备工作

1．征得被害人或报案人同意，告知采集范围。勘查取证前应当向报案人声明信息采集的用途是为侦破案件提供线索和证据，采取的是定向采集的方式，只会对与本案相关的数据进行提取固定，不会侵犯被害人的个人隐私，消除报案人顾虑。应征得被害人或报案人同意后，才可以进行勘查工作。

2．对涉案电子设备的勘查应在报案后马上进行，先勘查后立案。

3．安排见证人见证。根据《公安机关刑事案件现场勘验检查规则》第24条的规定，应当邀请一至二名与案件无关的公民作见证人。由于客观原因无法由符合条件的人员担任见证人的，应当在笔录材料中注明情况，并对相关活动进行录像。

4．公安机关现场勘查人员不得少于二人。根据《公安机关刑事案件现场勘验检查规则》第24条的规定，公安机关对刑事案件现场进行勘验、检查不得少于二人。必要时，可以指派或者聘请专业技术人员在侦查人员主持下进行。

三、采集录入涉案信息

根据2021年出台的《全国公安机关电信网络诈骗案件现场勘查信息录入规范（试行）》，要求所有"电诈案件"现场勘查信息应客观、准确、规范、及时录入全国公安机关现场勘查信息系统。录入内容包括：基本信息、通讯流信息、网络流信息、资金流信息。

（一）基本信息必录内容包含：案件信息、人员信息、物证基本信息。

1．案件信息包括：警情或案件编号、案件名称、案件类别、发案开始时间、发案结束时间、涉案金额、发案区划、发案地点、简要案情、勘查开始时间、勘查结束时间、勘查单位、勘查地点、现场指挥人员、现场勘查人员、电子数据现场提取笔录。简要案情应录入时间、被害人姓名、地点、通联方式、被骗平台网站、案件类别、转账方式（写清账号）、涉案金额8个基本信息。例如，2021年5月20日，被害人张三报称其在黄埔区天丰路 x 号 xx 栋 xxx 家中，通过 QQ 联系认识了昵称为贷款小张（ QQ 号码123456789）的人，在"宏天快贷" APP 被以贷款交保证金为由被诈骗，通过银行卡向 xxx 交通银行账户6222xxxxxxxxxxxxxxx转账人民币20万元。

2．人员信息包括：人员类型、姓名、证件类型、证件号码、性别、民族、职业、文化程度、现住地址、手机号码。

3．物证基本信息包括：物证持有人、物证照片、手机品牌、手机型号、 IMEI 值、 MAC 地址、手机系统、系统版本。

拍摄物证照片时，应注意以下要求：(1）手机正面照，包括比例尺，屏幕开启状态下拍照；(2）手机背面照（取下手机壳），包括比例尺；(3）手机参数截屏，应截取全部参数、状态信息等；(4）如有其他物证，一并拍照录入。

（二）通讯流信息

通讯流信息包括涉案通话记录、短信、录音等，常见的有以下内容：嫌疑号码类型、嫌疑号码、首次通讯时间、通讯内容简述、通话录音、诈骗短信。其中，如有通话录音，需完成采集并录入原文件，系统计算哈希值；通讯内容简述中，如有短信，直接复制短信内容，如果是通话，需注明通话内容。

（三）网络流信息

网络流信息包括网络通联工具、网络诈骗工具、网络后台服务器等，常见的有以下内容：网络通联工具名称、网络通联内容、嫌疑账号信息、诈骗网站、诈骗 APP 安装文件、诈骗 APP 解析结果、公众号或小程序。诈骗网站，应完整录入网站名称、网站地址、服务器 IP 地址、被害人登录账 号、密码、邀请码以及网站内容截图等。诈骗 APP ，是指在诈骗分子的诱导下，被害人通过扫描二维码、点击网址链接等方式下载安装的 APP 。安装文件包括 Android 系统的 APK 文件、 iOS 系统的 IPA 文件。常见的有虚假理财投资、刷单、裸聊、网络交友等类型。要完整录入以下内容：诈骗 APP 名称；下载来源，包括二维码、下载链接等详细信息；被害人登录的账户名、密码、邀请码等； APP 安装包原文件。所有安装文件均需要进行静态、动态解析，要按照"应解尽解、解出必录"原则开展工作。诈骗 APP 解析后，尽可能全面录入包名、MD5值、犯罪主网站网址或 IP 地址（诈骗 APP 后台服务器）、签名信息、封装公司和 ID 、客服公司和 ID 等信息。应注意不要采集与案件无关的数据或正规的 APP 安装文件，如应用商店内的 APP 安装文件、与案件无关的 APP 安装文件及解析结果、语音信息等。

（四）资金流信息

资金流信息包括涉案支付方式、交易内容、虚拟货币等，常见有以下内容：转账方式、付款人账号和姓名、收款人账号和姓名、转账时间及金额、转账交易数据截图。转账方式包括银行柜面、网银、银行 APP 、微信、 QQ 、支付宝等第三方支付、虚拟货币交易信息及其他支付方式。

四、文书制作

现场勘查人员应遵循相关标准和规范，可采用打印、拍照、录像、截屏或录屏等方式固定提取涉案证据，并制作《询问笔录》《现场勘验检查工作记录》《电子数据现场提取笔录》（见图3-2-1）及其他规定制作的文书，及时上传采集的数据。常见规范的专业勘查设备一般都有自动生成《电子数据现场提取笔录》的功能，能在勘查完成后，自动生成笔录，大大减轻现场勘查人员的工作量。

（一）《电子数据现场提取笔录》的制作

1．内容。应注明的内容有：①电子数据的来源、事由和目的、对象；2提取电子数据的时间、地点、方法、工具、过程；③不能扣押原始存储介质的原因；④原始存储介质的存放地点；⑤注明类别、文件格式、完整性校验值等，对提取的电子数据进行数据压缩的，应在笔录中注明相应的方法和压缩后文件的完整性校验值。

2．要求。①笔录由侦查人员、被害人或报案人签名或电子信息授权；②附《电子数据提取固定清单》（见图3-2-2）和涉案电子设备照片、截图；③无论采取何种方式固定电子数据，均应当能清晰地反映涉案电子数据的内容，并在笔录中注明选取固定方式的原因以及文件路径和文件属性；④现场勘查人员应当自勘查取证结束后24小时内，将勘验信息准确、规范上传到"全国公安机关现场勘验信息系统”。

（二)《电子数据提取固定清单》的制作

1．内容。应注明的内容有：①案由、提取时间；②电子数据的类别、文件格式、完整性。

2．要求。由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在《电子数据现场提取笔录》中注明，由见证人签名或者盖章。

图3-2-1《电子数据现场提取笔录》式样

电子数据取证的原则

1.依法取证原则

2．保护证据完整性原则

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第五条规定："对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：（一）扣押、封存电子数据原始存储介质；（二）计算电子数据完整性校验值：（三）制作、封存电子数据备份；（四）冻结电子数据；（五）对收集、提取电子数据的相关活动进行录像；（六）其他保护电子数据完整性的方法。"第十六条规定："电子数据检查，应当对电子数据存储介质拆封过程进行录像，并将电子数据存储介质通过写保护设备接入到检查设备进行检查；有条件的，应当制作电子数据备份，对备份进行检查；无法使用写保护设备且无法制作备份的，应当注明原因，并对相关活动进行录像。"一般情况下，为了避免电子数据在分析处理过程中遭受意外损坏，对电子数据证据做多个备份是必要的。不应在原始介质上进行分析，而应对原始介质做备份，然后将原始介质作为证据保存起来，在备份上进行检验。因为，有时使用写保护设备长时间对原始证据盘进行分析，有可能会损害原始硬盘。比如，原始证据盘已经存在一定的坏扇区或弱扇区，如果长时间对硬盘进行分析，可能损害原始硬盘。因此，推荐的做法是先用硬盘复制机将原始硬盘复制一个或多个副本，再将原始证据盘封存，后续都通过只读锁对证据副本硬盘进行分析。在特殊情况下，如需访问在原始计算机或存储介质中的数据，访问人员必须有能力胜任此操作，且必须对操作的全过程进行录像，并能给出相关解析说明要访问原始证据的理由。

3．及时取证原则

电子数据证据的获取具有实效性，一旦确定对象后，应尽快提取证据，防止证据变更和丢失。因为电子数据证据最重要的特点之一就是易破坏性，必须尽早收集证据，并保证其没有受到任何破坏。这一原则要求计算机证据的获取要有一定的时效性。电子数据证据从形成到获取间隔的时间越长，被删除、毁坏和修改的可能性就越大。因此，确定取证对象后，应该尽可能早地获取电子数据证据，保证其没有受到任何破坏和损失。

4．证据连续性原则

为了在法庭采用时能证明整个调查取证过程的合法性、真实性和完整性，在电子数据证据从最初的获取状态到法庭提交状态（包含证据的移交、保管、开封、拆卸等）的整个过程中，若存在任何变化都能明确说明此过程中没有人对证据进行恶意的篡改，则该证据是连续性的。这也就是取证过程中一直强调的证据连续性（ ChainofCustody ）原则。

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十四条规定："收集、提取电子数据，应当制作笔录，记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程，并附电子数据清单，注明类别、文件格式、完整性校验值等，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。有条件的，应当对相关活动进行录像。"·7·在取证过程中，应该记录相关的重要操作步骤及其细节，如所有可能接触证据的人、接触时间以及对电子数据证据进行的相关操作。任何取证分析的结果或结论可以在另外一名取证人员的操作下重现。

电子取证面临的问题

目前，电子数据取证面临的问题如下：

(1）培训流于形式，严重滞后发展需求。电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，取证机构必须从人、机、料、法、环、测等多个方面规范电子数据取证工作。而排在第一位的"人"更是整个质量管理体系中的重中之重，电子数据取证对取证人员的经验和专业素养有着极高的要求，这在 CNAS -CL08:2013、 CNAS -CL27:2014以及《司法鉴定人登记管理办法》《公安机关鉴定人登记管理办法》等文件中均进行了明确的规定。鉴定人的专业素养不是与生俱来的，只有通过科学培养、系统学习，才能打造高素质的鉴定队伍。因此，培训是提高鉴定人专业素养、确保鉴定质量的必要手段。目前，我国在该领域的培训工作还处于起步阶段，与国际上的人才培训和认证发展相差甚远。尽管在公安类院校和政法类大学开设了相关课程，但是与实战相差甚远，效果也不尽如人意。大多数电子数据鉴定机构只能通过参加由 CNAS 或者能力验证提供者组织的能力验证活动来发现问题、查找不足。目前，国内尚未有权威的电子数据取证的培训认证体系，一是缺少培训的分级分类，既包括对不同背景、不同知识层次人员制订不同的培训计划，也包括对电子数据不同领域、不同难度制订出分层次的培训计划；二是缺少权威的成体系的教材，目前市面上关于电子数据取证的书籍林林总总，但是没有一套真正成体系的教材，归根结底还是缺少培训认证的顶层设计；三是没有成熟的师资队伍，部分高校的教师基本理论功底扎实，但是缺少大量公安一线实战工作经验的积累，一线优秀取证人员又缺少将自己的经验转化为教学成果的平台；四是缺少权威的培训认证制度。目前只是根据相关规定达到一定知识背景和工作年限就可以取得鉴定人资格，但对于电子数据取证工作，这是远远不够的，需要有关部门尽快制定一套行之有效的认证制度，并由权威机构或部门进行认证。国际上，电子数据取证领域的培训已经成为一种成熟产业，既有基于产品的认证培训，如 EnCase 认证调查员（ EnCE ）和 AccessData 认证调查员（ ACE )，也有包含电子数据取证整个技术体系的综合培训，如计算机入侵调查取证员（ CHFI )、计算机检验员（ CCE )、计算机取证检验员（ CFCE ）及 GIAC 认证取证分析员（ GCFA )、认证取证检验员（ GCFE ）等。

电子数据取证技术要想把电子数据取证的培训做到位，首先，必须建立适应中国国情的电子数据取证培训体系，要有国家权威部门进行的顶层设计；其次，要借鉴国际培训经验，立足于国际视野，在吸纳国外先进理念的同时，建立具有中国特色的体系化、专业化的培训教案、师资队伍和认证制度。目前，公安部和司法部相应机构已经着手编撰了一系列关于电子数据取证的教材，并且结合每年的能力验证活动、大比武、警务技术改革等一系列方式，加强对取证人员进行培训。(2）标准重复严重，质量较差，修订周期过长。与国际相比，我国发布的电子数据取证和鉴定领域的标准及规范看上去数量很多，但是由于标准制定机构之间缺乏协调和统一规划，导致标准内容出现重复现象严重。以国家标准为例，仅有的4个国标中，有两个方向重复，分别出自不同部门。不仅行业标准和司法鉴定技术规范几乎大部分重复，而且行业标准本身也存在重复现象。而作为标准，其基本要求之一就是要统一，要得到各部门、社会各界的共同认可。此外，个别申报标准的部门对标准把关不严，只注重申报数量，不注重申报质量，导致某些标准中出现了严重的错误。电子数据鉴定实验室如果在实际案件中按照标准进行操作，则会带来不可避免的风险。标准一旦制定，一段时间内不会修订。以行业标准为例，一个标准从立项到发布，周期大约为3年。而要进行重新修订，周期一般大于5年，这个仅仅是立项的周期，还不是实际发布的周期。在各类电子设备发展迅速的今天，标准的实践意义不突出。针对目前取证标准混乱的情况，我国已开始着手建立关于电子数据取证的标准体系。目前，全国刑事技术标准化技术委员会电子物证检验分技术委员会在参考借鉴国际研究成果和标准的基础上，结合我国的实际国情，着手制定了符合我国实际工作需求的电子数据取证标准体系及相关标准，该标准体系的草案已经通过了业内专家的评审。相应的，电子数据取证活动也应以"三性"原则为指导，针对电子数据证据的自身特性，从各个方面规范电子数据取证工作。由于电子数据取证是一门综合性的学科，涉及磁盘分析、加密解密、日志信息挖掘、数据库技术、媒体介质的物理分析等方面，如果没有合适的取证工具，依赖人工实现就会大大降低取证过程的速度和取证结果的可靠性。随着大容量磁盘和动态证据信息的出现，手工取证的可行性也日渐降低。所以，电子数据鉴定工作需要相应的工具软件和外围设备来支持。调查取证成功与否很大程度上取决于取证人员是否熟练掌握了足够的、合适的、高效的取证工具。由此可见，在电子数据取证过程中熟练运用软件工具是非常重要的。(3）设备准确度难以保证，缺乏相应的产品准入机制。目前，我国在电子数据取证领域的研发实力和技术积累已经走在国际前列，拥有了包括电子数据取证的硬件（硬盘复制机、只读锁、取证工作站）以及取证软件（计算机取证分析、手机取证分析）等全系列自主研发的取证产品，成为继美国后第二个拥有电子数据取证软硬件综合研发能力的国家。但是，我国在取证产品的检测上与国际相比处于明显劣势，既没有编制取证工具的测试标准，也没有形成配套的标准化测试镜像。很多取证产品为了抢占市场，往往没有经过缜密的测试就推向市场。尤其是手机取证产品，利用同一产品的不同版本进行取证经常会得出不同的结果，严重影响了取证结果的公信力。在取证工具的标准化方面，美国一直走在世界名国前列。