数据证据取证与存储可以建立吗

① 数字取证的基本原则和一般步骤是怎样的

数字证据的取证原则和方法

数字证据是计算机和网络科技高速发展的产物，是将法律与高科技相结合的一种新形式的证据。数字证据的取证规则、取证方式都有别于传统证据，需要通过特定的技术手段进行分析和获取，因此在数字证据的取证过程中应当注意规范取证流程，遵循一定的原则和方法。

一、数字证据的取证程序应严格规范

1.证据现场的保护。取证人员进入现场后，应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离;保护好计算机日志，对数据进行备份，切断远程控制;封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份;提取涉案计算机硬盘、移动磁介质、光盘等，特别应注意对当事人随身携带的存储介质的提取。

2.证据的提取和固定。提取和固定数字证据时，一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏，只有这样，才能保证数字证据的真实性、完整性和安全性。在取证过程中，应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份，记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。

3.证据的分析。应当注意的是，所有的检查和分析工作应该在备份件上进行，以保证原始证据的可靠性和可信性。对数字证据进行数据分析，必须考虑计算机的类型，采用的操作系统，是否有隐藏的分区，有无可疑外设，有无远程控制、木马程序及当前计算机系统的网络环境。对数据进行全面的分析，还应该注意检查所有的日志文件，对在该系统上使用过的用户操作时间以及操作记录进行登记，查看可能进入或使用过该机器系统的可疑程序。

二、数字证据取证过程中应注意保持证据原始性

1.对原始数据进行备份后利用备份的数据进行分析，不能对原始数据直接进行分析。要在不破坏原始介质的前提下，对所获得的数据进行分析，从而提取出有效证据。为保证原始介质数据的完整性，在进行数据分析之前，必须对原始数据进行镜像拷贝，然后对拷贝进行分析。

2.对原始数据要进行冗余备份。数字证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于数字证据本身的不稳定性造成备份数据的丢失，另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析，提高取证效率。

3.在备份复制过程中，以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时，应当使用安全只读接口，使用写保护技术进行操作。对重要证据文件还应采取必要的加密技术和数字签名等技术，并且应当记录分析过程所使用的设备型号、序列号，所使用的软件的名称、版本号、具体操作过程以及检查结果等，制作相应的工作记录或检验文书。

4.详细记录取证全程，保证证据连续性。将数字证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。在移动硬件之前，把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来，用摄像机记录检验分析的全过程，尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像。

5.保障硬件环境安全可靠。存储数字证据的介质必须按照科学方法保全，应该远离磁场、高温、灰尘、潮湿、静电环境，避免造成电磁介质数据丢失，防止破坏重要的线索和证据。还要注意防磁，特别是使用安装了无线电通讯设备的交通工具运送数字证据时，要关掉车上的无线设备，以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。

② 电子数据取证规则

取证程序违法的电子数据证据应当予以排除。收集、调取电子数据证据应当依照法律的规定进行。取证手段违法的电子数据证据应当予以排除。当事人调查收集电子数据证据，要依法进行，不得通过侵犯他人合法权益的方式获取证据。电子数据是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料。电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。

可认定为客观的、真实可靠的电子数据有：
1、经公证证明为真实可靠的电子证据；
2、经专家鉴定为真的电子证据；
3、有确切证据证明电子证据内容完整未被更改的；
4、双方当事人均认可的电子证据。

法律依据：
《中华人民共和国民事诉讼法》 第六十三条 证据包括：
（一）当事人的陈述；
（二）书证；
（三）物证；
（四）视听资料；
（五）电子数据；
（六）证人证言；
（七）鉴定意见；
（八）勘验笔录。
证据必须查证属实，才能作为认定事实的根据。

③ 如何进行电子数据证据的收集

电子数据证据收集的具体步骤:
1.涉案计算机系统的保护。(1)对涉案计算机第一时间进行封锁。(2)对涉案计算机硬盘、光盘等存储介质进行原数据拷贝，尽量避免在原计算机内操作，以免数据丢失。有必要利用硬盘拷贝机把涉案硬盘进行整盘拷贝。(3)利用先进的计算机取证勘查箱进行取证，它具有应用范围广、携带方便、规范化、专业化的特点。(4)在现场取证调查时应记录的内容包括:电脑使用者，电脑状态，是否连接网络，执行取证在场人员，电脑的品牌、型号，电脑硬盘序列号，电脑的外设情况。
2.确定证据。(1)利用搜索工具，进行一系列的关键字搜索查找最重要的信息。(2)借助专业的删除———格式化恢复工具，把删除、隐藏、加密的信息找出。注意Windows系统的交换文件和硬盘中未分配的空间往往存放着犯罪嫌疑人容易忽视的证据。(3)利用数据解密技术和密码破译技术，对电子介质中的被保护信息进行强行访问，获取信息。(4)把搜集好的数据与办案干警初步确定数据进行印证。(5)收集好的原数据应做备份。
3.提取分析数据。(1)利用专业的取证分析平台对文件属性、文件的摘要和日志进行分析。分析平台应具有数据恢复、数据修复、多格式支持、信息检索等必要功能。(2)对确凿证据，作出与案件关联的分析报告。
4.归档。对得出的结论以及电子证据要严格保管、做好备份。办案人员查看时必须登记。

法律依据:
最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》 第八条收集、提取电子数据，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。
封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

④ 电子数据取证的四大基本原则是什么电子证据的特点有哪些

1.合法性原则。一是主体合法，即电子数据取证工作必须由侦查人员主导，由相关技术人员协助配合予以进行。二是程序合法，即应依法收集、存储、传递、出示电子数据证据，并载明其形成的时间、地点、制作人、制作过程及设备情况等，必要时需配备
见证人员。三是来源合法，即电子数据所依附存储介质和设备获取的合法性。
2.及时性原则。由于电子数据具有唯一性，一旦灭失便难以恢复，及时取证要求在电子数据收集过程中显得尤为突出。
3.全面性原则。电子数据取证过程必须全方位、多角度、多层次地进行，不能因疏忽而遗漏任何与案件事实相关联的电子数据，以进行相互印证、排除矛盾并形成完整的证据链。
4.专业性原则。基于电子计算机和信息技术而存在的电子数据，无法完全依靠传统
刑事证据收集技术，为了保证电子数据证据的证明力，应在侦查人员主导下，由专业技术人员借助专门设备和技术手段，遵循一系列专业操作规范对相关电子数据进行提取和固定。
5.无损性原则。收集、固定电子数据的过程应避免不当操作，始终确保涉案设备和运行环境的一致性，对存储介质的保存应远离磁场、高温、灰尘、潮湿的环境，避免造成电磁介质数据丢失，确保电子数据的无损状态。

⑤ 电子数据证据的调查取证要求

法律解析：

电子数据包括下列信息、电子文件：网页、博客、微博客等网络平台发布的信息；手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息，等等。 《最高人民法院关于民事诉讼 证据 的若干规定》第十四条规定，电子数据包括下列信息、电子文件： （一）网页、博客、微博客等网络平台发布的信息； （二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息； （三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息； （四）文档、图片、音频、视频、数字证书、计算机程序等电子文件； （五）其他以数字化形式存储、处理、传输的能够证明案件事实的信息。

法律依据：

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第六条 初查过程中收集、提取的电子数据，以及通过网络在线提取的电子数据，可以作为证据使用。 第七条 收集、提取电子数据，应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。 第八条 收集、提取电子数据，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。 封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况。 封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。 法律依据： 最高人民法院关于执行《中华人民共和国 刑事诉讼法 》若干问题的解释第九十三条 对电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等电子数据，应当着重审查以下内容： (一)是否随原始存储介质移送;在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时，提取、复制电子数据是否由二人以上进行，是否足以保证电子数据的完整性，有无提取、复制过程及原始存储介质存放地点的文字说明和签名; (二)收集程序、方式是否符合法律及有关技术规范;经勘验、检查、搜查等侦查活动收集的电子数据，是否附有笔录、清单，并经侦查人员、电子数据持有人、见证人签名;没有持有人签名的，是否注明原因;远程调取境外或者异地的电子数据的，是否注明相关情况;对电子数据的规格、类别、文件格式等注明是否清楚; (三)电子数据内容是否真实，有无删除、修改、增加等情形; (四)电子数据与案件事实有无关联; (五)与案件事实有关联的电子数据是否全面收集。 对电子数据有疑问的，应当进行鉴定或者检验。