數據證據取證與存儲可以建立嗎

① 數字取證的基本原則和一般步驟是怎樣的

數字證據的取證原則和方法

數字證據是計算機和網路科技高速發展的產物，是將法律與高科技相結合的一種新形式的證據。數字證據的取證規則、取證方式都有別於傳統證據，需要通過特定的技術手段進行分析和獲取，因此在數字證據的取證過程中應當注意規范取證流程，遵循一定的原則和方法。

一、數字證據的取證程序應嚴格規范

1.證據現場的保護。取證人員進入現場後，應迅速封鎖整個計算機區域，將人、機、物品之間進行物理隔離;保護好計算機日誌，對數據進行備份，切斷遠程式控制制;封存現場的信息系統、各種可能涉及到的磁介質、內部人員使用的工作記錄、程序備份和數據備份;提取涉案計算機硬碟、移動磁介質、光碟等，特別應注意對當事人隨身攜帶的存儲介質的提取。

2.證據的提取和固定。提取和固定數字證據時，一個重要的原則就是確保對目標計算機中的原始數據不產生任何改動和破壞，只有這樣，才能保證數字證據的真實性、完整性和安全性。在取證過程中，應在對案件有關的計算機中的數據和資料不進行任何改動或損壞的前提下進行備份，記錄備份的時間、地點、數據來源、提取過程、使用方法、備份人及見證人名單並簽名。

3.證據的分析。應當注意的是，所有的檢查和分析工作應該在備份件上進行，以保證原始證據的可靠性和可信性。對數字證據進行數據分析，必須考慮計算機的類型，採用的操作系統，是否有隱藏的分區，有無可疑外設，有無遠程式控制制、木馬程序及當前計算機系統的網路環境。對數據進行全面的分析，還應該注意檢查所有的日誌文件，對在該系統上使用過的用戶操作時間以及操作記錄進行登記，查看可能進入或使用過該機器系統的可疑程序。

二、數字證據取證過程中應注意保持證據原始性

1.對原始數據進行備份後利用備份的數據進行分析，不能對原始數據直接進行分析。要在不破壞原始介質的前提下，對所獲得的數據進行分析，從而提取出有效證據。為保證原始介質數據的完整性，在進行數據分析之前，必須對原始數據進行鏡像拷貝，然後對拷貝進行分析。

2.對原始數據要進行冗餘備份。數字證據在保存時應該有兩個或兩個以上完整的拷貝。冗餘備份一方面避免了由於數字證據本身的不穩定性造成備份數據的丟失，另一方面還可以在數據分析過程中同時對拷貝文件進行調查和分析，提高取證效率。

3.在備份復制過程中，以及對備份復制的硬碟或鏡像文件進行數據分析、恢復、檢驗時，應當使用安全只讀介面，使用防寫技術進行操作。對重要證據文件還應採取必要的加密技術和數字簽名等技術，並且應當記錄分析過程所使用的設備型號、序列號，所使用的軟體的名稱、版本號、具體操作過程以及檢查結果等，製作相應的工作記錄或檢驗文書。

4.詳細記錄取證全程，保證證據連續性。將數字證據從獲取生成之後到提交法庭作為審判依據的過程中產生的變化都進行記錄和說明。在移動硬體之前，把被提取的設備在現場中的相對位置、具體外觀和連接狀態用照相、錄像、繪圖、文字的形式記錄下來，用攝像機記錄檢驗分析的全過程，尤其對解除封存狀態、檢查過程的關鍵操作、重新封存等主要步驟應當多角度錄像。

5.保障硬體環境安全可靠。存儲數字證據的介質必須按照科學方法保全，應該遠離磁場、高溫、灰塵、潮濕、靜電環境，避免造成電磁介質數據丟失，防止破壞重要的線索和證據。還要注意防磁，特別是使用安裝了無線電通訊設備的交通工具運送數字證據時，要關掉車上的無線設備，以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等存儲的數據。

② 電子數據取證規則

取證程序違法的電子數據證據應當予以排除。收集、調取電子數據證據應當依照法律的規定進行。取證手段違法的電子數據證據應當予以排除。當事人調查收集電子數據證據，要依法進行，不得通過侵犯他人合法權益的方式獲取證據。電子數據是指基於計算機應用、通信和現代管理技術等電子化技術手段形成包括文字、圖形符號、數字、字母等的客觀資料。電子數據是案件發生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據。

可認定為客觀的、真實可靠的電子數據有：
1、經公證證明為真實可靠的電子證據；
2、經專家鑒定為真的電子證據；
3、有確切證據證明電子證據內容完整未被更改的；
4、雙方當事人均認可的電子證據。

法律依據：
《中華人民共和國民事訴訟法》 第六十三條 證據包括：
（一）當事人的陳述；
（二）書證；
（三）物證；
（四）視聽資料；
（五）電子數據；
（六）證人證言；
（七）鑒定意見；
（八）勘驗筆錄。
證據必須查證屬實，才能作為認定事實的根據。

③ 如何進行電子數據證據的收集

電子數據證據收集的具體步驟:
1.涉案計算機系統的保護。(1)對涉案計算機第一時間進行封鎖。(2)對涉案計算機硬碟、光碟等存儲介質進行原數據拷貝，盡量避免在原計算機內操作，以免數據丟失。有必要利用硬碟拷貝機把涉案硬碟進行整盤拷貝。(3)利用先進的計算機取證勘查箱進行取證，它具有應用范圍廣、攜帶方便、規范化、專業化的特點。(4)在現場取證調查時應記錄的內容包括:電腦使用者，電腦狀態，是否連接網路，執行取證在場人員，電腦的品牌、型號，電腦硬碟序列號，電腦的外設情況。
2.確定證據。(1)利用搜索工具，進行一系列的關鍵字搜索查找最重要的信息。(2)藉助專業的刪除———格式化恢復工具，把刪除、隱藏、加密的信息找出。注意Windows系統的交換文件和硬碟中未分配的空間往往存放著犯罪嫌疑人容易忽視的證據。(3)利用數據解密技術和密碼破譯技術，對電子介質中的被保護信息進行強行訪問，獲取信息。(4)把搜集好的數據與辦案幹警初步確定數據進行印證。(5)收集好的原數據應做備份。
3.提取分析數據。(1)利用專業的取證分析平台對文件屬性、文件的摘要和日誌進行分析。分析平台應具有數據恢復、數據修復、多格式支持、信息檢索等必要功能。(2)對確鑿證據，作出與案件關聯的分析報告。
4.歸檔。對得出的結論以及電子證據要嚴格保管、做好備份。辦案人員查看時必須登記。

法律依據:
最高人民法院、最高人民檢察院、公安部《關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》 第八條收集、提取電子數據，能夠扣押電子數據原始存儲介質的，應當扣押、封存原始存儲介質，並製作筆錄，記錄原始存儲介質的封存狀態。
封存電子數據原始存儲介質，應當保證在不解除封存狀態的情況下，無法增加、刪除、修改電子數據。封存前後應當拍攝被封存原始存儲介質的照片，清晰反映封口或者張貼封條處的狀況。
封存手機等具有無線通信功能的存儲介質，應當採取信號屏蔽、信號阻斷或者切斷電源等措施。

④ 電子數據取證的四大基本原則是什麼電子證據的特點有哪些

1.合法性原則。一是主體合法，即電子數據取證工作必須由偵查人員主導，由相關技術人員協助配合予以進行。二是程序合法，即應依法收集、存儲、傳遞、出示電子數據證據，並載明其形成的時間、地點、製作人、製作過程及設備情況等，必要時需配備
見證人員。三是來源合法，即電子數據所依附存儲介質和設備獲取的合法性。
2.及時性原則。由於電子數據具有唯一性，一旦滅失便難以恢復，及時取證要求在電子數據收集過程中顯得尤為突出。
3.全面性原則。電子數據取證過程必須全方位、多角度、多層次地進行，不能因疏忽而遺漏任何與案件事實相關聯的電子數據，以進行相互印證、排除矛盾並形成完整的證據鏈。
4.專業性原則。基於電子計算機和信息技術而存在的電子數據，無法完全依靠傳統
刑事證據收集技術，為了保證電子數據證據的證明力，應在偵查人員主導下，由專業技術人員藉助專門設備和技術手段，遵循一系列專業操作規范對相關電子數據進行提取和固定。
5.無損性原則。收集、固定電子數據的過程應避免不當操作，始終確保涉案設備和運行環境的一致性，對存儲介質的保存應遠離磁場、高溫、灰塵、潮濕的環境，避免造成電磁介質數據丟失，確保電子數據的無損狀態。

⑤ 電子數據證據的調查取證要求

法律解析：

電子數據包括下列信息、電子文件：網頁、博客、微博客等網路平台發布的信息；手機簡訊、電子郵件、即時通信、通訊群組等網路應用服務的通信信息；用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日誌等信息，等等。 《最高人民法院關於民事訴訟 證據 的若干規定》第十四條規定，電子數據包括下列信息、電子文件： （一）網頁、博客、微博客等網路平台發布的信息； （二）手機簡訊、電子郵件、即時通信、通訊群組等網路應用服務的通信信息； （三）用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日誌等信息； （四）文檔、圖片、音頻、視頻、數字證書、計算機程序等電子文件； （五）其他以數字化形式存儲、處理、傳輸的能夠證明案件事實的信息。

法律依據：

《關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第六條 初查過程中收集、提取的電子數據，以及通過網路在線提取的電子數據，可以作為證據使用。 第七條 收集、提取電子數據，應當由二名以上偵查人員進行。取證方法應當符合相關技術標准。 第八條 收集、提取電子數據，能夠扣押電子數據原始存儲介質的，應當扣押、封存原始存儲介質，並製作筆錄，記錄原始存儲介質的封存狀態。 封存電子數據原始存儲介質，應當保證在不解除封存狀態的情況下，無法增加、刪除、修改電子數據。封存前後應當拍攝被封存原始存儲介質的照片，清晰反映封口或者張貼封條處的狀況。 封存手機等具有無線通信功能的存儲介質，應當採取信號屏蔽、信號阻斷或者切斷電源等措施。 法律依據： 最高人民法院關於執行《中華人民共和國 刑事訴訟法 》若干問題的解釋第九十三條 對電子郵件、電子數據交換、網上聊天記錄、博客、微博客、手機簡訊、電子簽名、域名等電子數據，應當著重審查以下內容： (一)是否隨原始存儲介質移送;在原始存儲介質無法封存、不便移動或者依法應當由有關部門保管、處理、返還時，提取、復制電子數據是否由二人以上進行，是否足以保證電子數據的完整性，有無提取、復制過程及原始存儲介質存放地點的文字說明和簽名; (二)收集程序、方式是否符合法律及有關技術規范;經勘驗、檢查、搜查等偵查活動收集的電子數據，是否附有筆錄、清單，並經偵查人員、電子數據持有人、見證人簽名;沒有持有人簽名的，是否註明原因;遠程調取境外或者異地的電子數據的，是否註明相關情況;對電子數據的規格、類別、文件格式等註明是否清楚; (三)電子數據內容是否真實，有無刪除、修改、增加等情形; (四)電子數據與案件事實有無關聯; (五)與案件事實有關聯的電子數據是否全面收集。 對電子數據有疑問的，應當進行鑒定或者檢驗。