第十七条 认定网络犯罪的犯罪嫌疑人，应当结合全案证据，围绕犯罪嫌疑人与原始存储介质、电子数据的关联性、犯罪嫌疑人网络身份与现实身份的同一性，注重审查以下内容：

（一）扣押、封存的原始存储介质是否为犯罪嫌疑人所有、持有或者使用；
（二）社交、支付结算、网络游戏、电子商务、物流等平台的账户信息、身份认证信息、数字签名、生物识别信息等是否与犯罪嫌疑人身份关联；
（三）通话记录、短信、聊天信息、文档、图片、语音、视频等文件内容是否能够反映犯罪嫌疑人的身份；
（四）域名、IP地址、终端MAC地址、通信基站信息等是否能够反映电子设备为犯罪嫌疑人所使用；　　    
（五）其他能够反映犯罪嫌疑人主体身份的内容。

‍‍‍‍‍    

       实践中，需要运用科学技术手段和法律规则，综合分析各种证据，如原始介质、网络账户、电子数据、物证、书证、证人证言等，以确定行为人的身份。

       一、扣押、封存的原始存储介质是否为犯罪嫌疑人所有、持有或者使用

      原始存储介质指的是电子数据存储的物理媒介，其中包含电子数据的初始版本和原始形态，主要是存储数据的设备或介质，如计算机硬盘、固态硬盘、存储卡、手机等。原始存储介质通常是电子数字取证过程中的关键证据，因为原始介质保存了行为人如犯罪嫌疑人使用的电子设备上的原始数据，这些原始数据可以包括文档、图片、视频、通信记录、日志文件等。通过对原始存储介质进行取证和分析，可以获取与调查相关的重要信息和证据。因此，在信息网络犯罪中，扣押和封存原始存储介质是为了保护证据的完整性和真实性，以及防止电子数据可能存在被篡改或删除。

       实践中，审查扣押、封存的原始存储介质是否为犯罪嫌疑人所有、持有或使用，通常需要审查以下几方面：

      （一）证据合法性

       证据合法性是判断被扣押、封存的原始存储介质与行为人之间关联性的基础，也是判断原始介质真实性的前提。同时需要说明的是，证据合法性也同样适用于本条对原始存在介质与行为人关联性的所有方式中，在这一并提出。对扣押、封存原始存储介质，主要审查以下几方面：

       1.侦查机关在扣押、封存原始存储介质时，是否制作笔录，笔录中是否记录原始存储介质的封存状态，笔录中是否有侦查人员、原始存储介质持有人 (提供人)的签名或者盖章，是否有见证人签名或者盖章等。

       2.在封存原始存储介质时，是否保证在封存状态的情况下，无法对原始存储介质中的电子数据进行增加、删除、修改。在审查时，要注意除扣押、封存笔录外，还要注意对原始存储介质移交手续，如从侦查机关移交给检察机关、审判机关的手续是否完全，从时间上审查是否中断，是否可能还存在移交给其他部门的情况。

       3.封存原始存储介质时，包括封存前、后时，是否前拍摄被封存原始存储介质的照片，相关照片是否能够清晰反映封口或者张贴封条处的状况等。实践中，要注意封条是否在原始存储介质的接口处，如对台式计算机的机箱，封条是否在机箱中各机箱板的接口处。

       4.封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。实践中，在扣押手机等具有无线通信功能的存储介质情形较常见，需要注意一些屏蔽、信号阻断的方式方法。

       一是金属屏蔽箱。金属屏蔽箱是一种具有金属屏蔽材料的盒子或容器，可以完全封闭手机信号。将手机放入金属屏蔽箱内，可以有效地屏蔽手机信号，使其无法连接到移动网络或接收信号。

       二是信号屏蔽袋。信号屏蔽袋，是一种使用特殊材料制成的袋子，具有金属屏蔽层。将手机放入信号屏蔽袋中，可以阻断手机信号的传输和接收。

       三是信号阻断器。信号阻断器是一种设备，可以发射特定频率的无线信号，干扰或阻断手机与移动网络的连接。这种设备可以通过发射强大的无线信号干扰手机信号，使手机无法正常通信。

       另外，将手机关闭电源也是为了防止行为人或其他人通过远程访问或通信对手机上的数据进行篡改、删除或毁坏的方法，同时也可以防止行为人或其他人通过手机进行通信或其他行为，例如发送或接收与案件相关的信息、指令或破坏证据等。因此，将手机等关闭电源也是刑事案件侦查中的一项标准做法

      因此，对扣押、封存笔录，要注意审查是否记载信号屏蔽、信号阻断的方式，或者是否及时关闭电源。

       （二）证明行为人与存储介质直接关联的证据

       1.生物痕迹物证。原始存储介质表面，或者内部可能包含行为人的指纹、DNA等物证，这些物证可以通过各种生物痕迹科学鉴定与行为人进行直接关联，证明行为人曾经持有或者安装、维护或者置换原始存储介质内部设备。

       2.解锁或使用方式。电子数据的解锁及使用方式是指对原始存储介质进行的操作，如开机、登录、拷贝、删除等，需要特定的生物、数字密码或特定设备等。

      （1）生物密码通常具有与行为人之间唯一的特定性，目前，生物密码解锁方式主要应用于电子设备和某些高安全级别的存储介质，例如指纹解锁、面部识别和虹膜扫描等。常见的生物密码解锁方式：

      一是指纹解锁。即通过读取和验证用户指纹的唯一模式来解锁设备或存储介质。指纹解锁已广泛用于智能手机、笔记本电脑和指纹锁等设备。

       二是面部识别。即使用设备的摄像头或深度传感器来扫描和识别用户的面部特征。面部识别已经成为许多智能手机和计算机系统的常见解锁方式。

       三是虹膜扫描。即通过扫描用户眼睛的虹膜模式来进行解锁。虹膜扫描通常用于高安全级别的场所，例如军事设施和高保密文件的存储介质。

       四是声纹识别。即通过分析和验证用户的声音特征来解锁设备或存储介质。声纹识别适用于语音助手、电话系统和语音识别应用等。

       五是掌纹识别。通过扫描和识别用户手掌纹路来解锁设备。这种掌纹识别生物解锁方式较指纹识别更为先进，目前还较少应用，但正在不断发展和研究中。

      （2）数字密码解锁方式广泛应用于各种存储介质，包括电子设备、保险柜、保险箱、安全存储盒等。数字密码通常亦能直接关联行为人，如行为人供述（证言）的数字密码，一般只是行为人本人所掌握，但相较生物密码来说关联的唯一性较弱，实践中亦常见行为人称数字密码并非其独自掌握。解锁原始存储介质的常见数字密码包括以下几种：

       一是数字密码锁。这是最为常见的解锁方式，行为人可以使用字母、数字、特殊字符或二者结合方式来解锁存储介质，通常是在字母、数字键盘上输入预先设置的密码。实践中要注意，有的数字密码与生物密码相关联，如有的数字密码可以通过生物密码自动输入，可增加该原始存储介质与行为人关联唯一性的判断。另外，PIN码解锁也是一种常见的数字密码形式，常见于手机等设备中，与手机卡相匹配，虽同样属数字密码锁的一种，但与行为人设备使用直接匹配，亦增加唯一性判断。

       二是数字组合锁。某些原始存储介质可能配备了数字组合锁，需要通过旋转数字盘来设置和输入正确的数字组合才能解锁，常见于同时带有物理与数字锁功能的保险柜等。

       三是二次（或多次）认证数字密码。某些存储介质可能需要进行双重认证，即输入数字密码之后，还需要输入另一个动态生成的密码，如一次性密码（OTP）或者动态验证码。对于需要二次认证的数字密码，通常需要将其存储在安全的介质中，以确保密码的保密性和完整性。这些设备一般较为精细或高端，包括安全芯片，即一种专门设计用于存储和处理敏感信息的硬件组件，具有物理和逻辑上的安全特性，能够提供密码保护、加密和防篡改等功能，常用于智能卡、身份认证设备、加密USB驱动器等；受控访问存储，也是一种物理存储介质，常见如磁带、硬盘或闪存驱动器，用于存储密码和敏感数据，通常具有访问控制机制，只有经过授权的人员或系统才能读取或修改其中的数据；密码管理器，即一种软件应用程序，用于安全地存储和管理用户的密码，通常使用加密算法将密码存储在本地设备上或云服务器中，并要求用户提供主密码或其他身份验证因素如生物特征等以访问存储的密码。

      （3）特定设备密码解锁

       常见的为加密存储器即一种专门设计用于存储和保护数据的设备，如加密USB闪存驱动器或硬盘驱动器，使用加密算法对存储的数据进行加密，需要提供密码或其他身份验证因素才能访问数据。这其实又是另外一个原始存储介质，可结合上述方式进行审查。

       （三）证明行为人与存储介质关联的其他证据

       证明行为人与原始存储介质关联的其他证据，包括之后还要详细汇报就本条规定的电子数据中视频、照片等等，这里仅汇报除在原始存储介质中电子数据以外的其他证据。

       1. 言词证据（或证言）

       包括行为人供述、证人证言等，即行为人（证人）通过言词证据证明原始存储介质与行为人有直接关联性，如犯罪嫌疑人供述或证人证言证明原始存储介质为行为人购买并使用。

       2.物证、书证等客观证据

       包括原始存储介质的购买记录、发票、包装等书证、物证，证明该原始存储介质来源与行为人的关联。

       总的来说，“扣押、封存的原始存储介质是否为犯罪嫌疑人所有、持有或者使用”必须经过在案证据进行综合判断，也需要检察人员知晓各种能够证明原始存储介质与行为人关联的各种方式方法。