比例原则下电子通信数据留存之限度—《欧盟2006/24号指令》无效案*

周 杰译

欧盟法院（大法庭）

案号：C-293/12；C-594/12

2013年7月9日庭审，2014年4月8日判决

根据《欧盟运行条约》第267条的规定，爱尔兰最高法院、奥地利宪法法院分别于2012年1月27日和2012年11月28日作出提起“先予判决”请求的决定。欧盟法院于2012年6月11日和2012年12月19日先后收到上述请求。两案被合并审理，案号分别为C-293/12、C-594/12。

法庭组成：斯克瑞斯（主席）、莱纳茨（副主席）以及蒂扎诺、拉波尔塔、冯·丹维茨、尤哈斯、博格·巴尔泰、费恩隆德、克鲁斯·维拉卡、罗萨斯、阿瑞斯蒂斯、伯尼科特、阿巴吉耶夫、托阿德尔和瓦伊达（法官）。

佐审官：克鲁斯·维拉隆。

书记官：马拉切克。

一、基本案情

本案中的两起“先予裁决”请求，均要求欧盟法院对《欧盟2006/24号指令》的效力进行审查。该指令由欧盟议会和欧盟理事会于2006年3月15日表决通过，全称为《关于公共电信服务提供商和公共网络服务提供商留存在提供服务过程中产生或处理的数据并修改〈欧盟2002/58号指令〉的指令》。①OJ 2006 L 105，p.54.

C-293/12号案中的“先予裁决”起因于，在爱尔兰国内法院的诉讼中，原告要求该国最高法院废除有关留存电子通信数据的国内立法及行政措施。原告方为：爱尔兰数据权利有限公司。共同被告为：爱尔兰交通、海洋和自然资源部部长；司法、平等和法律改革部部长；加达·西奥卡纳专员；总检察长。

C-594/12号案中的“先予裁决”起因于，奥地利凯龙特纳州政府、赛特林格先生、乔尔先生及其他11128名原告，分别向该国宪法法院提起违宪之诉，要求判决转化《欧盟2006/24号指令》的国内立法违宪。

二、法条背景

（一）《欧盟95/46号指令》

欧盟议会和理事会于1995年10月24日通过的《在数据处理方面对个人的保护以及数据自由流动的95/46号指令》，其宗旨是保护人的基本权利和自由，尤其强调加强对数据处理过程中的隐私权保护。②OJ 1995 L 281，p.31.

关于数据安全，该指令第17条第1款规定：“各成员国应要求数据控制者采取适当的技术和组织措施确保个人数据的安全，防止数据的非法或意外毁坏、丢失或改变，以及未经授权的获取与披露。当需要在网络中转移个人数据时，相关安全措施应当更加完善。成员国应建立与受保护数据的性质以及潜在风险相匹配的安全保护措施，在具体实施时可以考虑目前的技术水平和成本。”

（二）《欧盟2002/58号指令》

欧盟议会和理事会于2002年7月12日通过的《电子通信领域个人数据处理与隐私保护的2002/58号指令》的目的是协调成员国的相关规定，确保公民基本权利和自由得到同等水平的保护，尤其强调对数据处理过程中隐私权和数据保密权的保护。同时，该指令旨在确保电子通信数据、电信设备以及相关服务能够在欧盟范围内自由流通。该指令第1条第2款规定，为了实现该条第1款的目的，该指令将对《95/46号指令》进行补充和具体化。欧盟议会和理事会于2009年11月25日通过的《2009/136号指令》对该指令进行了修正。③OJ 2009 L 337，p.11.

关于数据安全，该指令第4条规定：“（1）电信服务提供商须采取适当的技术和组织措施保障数据的安全性。在必要情形下，还应与网络服务提供商共同采取安全保障措施。电信服务提供商应提供与风险相匹配的安全保护，但在具体实施时，可将技术现状与成本考虑在内。在符合《95/46号指令》的前提下，上述措施应至少能够保证：个人数据只被法律授权的人基于合法的目的获取，并能防止存储或传输中的个人数据遭受意外或非法毁坏、丢失、改变，或者未经授权的存储、处理、获取与披露。此外，还应保证相关安全政策得到落实。成员国主管机关应能够对上述安全措施进行审查，并应发布在此方面的最佳实践。（2）当存在突破网络安全的风险时，电信服务提供商必须将相关风险通知用户。如果某项风险在电信服务提供商应对措施的范围之外时，其还应将可能的救济措施及相关成本告知用户。”

关于数据保密，该指令第5条第1款和第3款规定：“（1）成员国应通过国内法保证电子通信内容与流量数据的保密性。除了第15条第1款的规定外，应禁止在未获得用户同意的情况下，通过偷听、偷录等方式对通信的内容和数据进行截取或监控。在不违反保密原则的前提下，本款不阻止对于正常通信而言所必要的技术性存储。（3）各成员国应确保，只有当获得用户或使用者同意并做出充分告知后，才能获取或存储用户或使用者最终设备上已经存储的信息。本款规定亦不阻止对于正常通信而言所必要的技术性存储或获取。”

该指令第6条第1款规定：“在不违反本条第2、3、5款以及第15条第1款的前提下，当被处理或存储的通信数据对于正常通信而言已不再必要时，必须予以删除或做匿名化处理。”

该指令第15条第1款规定：“成员国可以在国内法中对本指令第5、6、8.1、8.2、8.3、8.4条和第9条中规定的权利和义务进行限缩，但是任何限缩都应建立在保卫国家安全、公共安全，以及预防、调查或起诉刑事犯罪的目的之上。同时，任何限缩措施都应符合必要性、适当性和比例性原则。在此基础上，成员国可以通过国内法规定在一定期间内留存通信数据。即使如此，也应符合欧盟法的一般原则，包括《欧盟条约》第6条第1款和第2款中的规定。”

（三）《欧盟2006/24号指令》

欧盟委员会在咨询来自执法部门和电信业界的代表以及数据保护专家的意见后，于2005年9月21日提出一份关于通信流量数据留存政策选项的影响评估报告。①COM（2005） 438 final，the proposal for a directive.该报告构成了《2006/24号指令》的立法基础。

《2006/24号指令》立法说明（recital）的第4段指出：“《2002/58号指令》第15条第1款规定，成员国可以对该指令第5条、第6条、第8条第1款至第4款、第9条规定的权利义务的内容予以限缩。但是任何此类限制必须建立在保卫国家安全、国防、公共安全，或者预防、调查和起诉刑事犯罪等公共利益目的之上。并且此类措施必须符合必要性、适当性和比例性原则的要求。”

该指令立法说明的第5段第1句指出：“部分成员国在国内法中已经规定，出于预防、调查和起诉刑事犯罪的目的，服务提供商应对通信流量数据加以留存。”

该指令立法说明的第7至11段指出：“（7）欧盟司法与内务委员会在2002年12月19日强调，电子通信方式日益重要，相关通信数据在预防、调查和起诉刑事犯罪过程中将发挥非常重要的作用，对于打击有组织犯罪而言更是如此。（8）欧盟理事会于2004年3月25日通过的《反恐怖主义宣言》中要求欧盟理事会研究通信数据留存规则。（9）《欧洲人权公约》第8条规定，②1950年11月4日签订于罗马。任何人享有其私生活和通信被尊重的权利。只有依照法律规定在必要的情况下，权力部门才可以对其作出限制，比如，基于保护国家安全、公共安全以及防止犯罪和社会失序的目的，或是为了保护他人的权利和自由。在多个成员国的国内执法过程中，电子通信数据已经被证明是极其有效的调查工具。对于打击有组织犯罪、恐怖主义犯罪等严重犯罪行为，其价值更加突出。因此，应保证在符合相关规定的条件下，执法机关可以在一定期间内获得被留存的数据。（10）欧盟理事会在2005年7月13日发表谴责伦敦恐袭的宣言中，再次重申应尽快建立电信数据留存的共同规则。（11）鉴于通信流量数据及位置数据对于调查和起诉刑事犯罪的重要性，有必要在共同体层面上规定电信服务提供商或网络服务提供商在一定期间内留存这两类数据。”

该指令立法说明的第16、21和22段指出：“（16）《95/46号指令》第6条规定服务提供商应保证数据的质量，第16、17条规定服务提供商应保证数据的保密性和安全性。这些规定完全适用于根据本指令要求予以留存的数据。（21）鉴于本指令旨在协调各成员国国内的数据留存规则，并且考虑到成员国立法不能有效保证为了调查和起诉严重犯罪的目的能够有效获得这些数据，而基于本指令的适用范围和效果，上述目的能够在共同体层面上得到更好的实现，因此根据《欧盟条约》第5条之辅助性原则制定本指令。并且根据该条之比例原则，本指令的规定将不超过为了实现上述立法目的之必要限度。（22）本指令尊重基本权利，遵守《欧盟基本权利宪章》中规定的基本原则。尊重按照《宪章》第7、8条中规定的公民私生活和通信受保护权以及个人数据受保护权。”

在上述背景下，本指令规定电信网络服务提供商具有留存在提供服务过程中产生或处理的通信数据的义务。其中，第1至9条、第11条和第13条的规定如下：

第1条 主题和范围

1.本指令旨在协调各成员国关于电信数据留存的规定，保证在调查和起诉严重犯罪时有权机关能够获得这些数据。

2.本指令适用于任何法人、自然人的通信流量数据和位置数据，以及辨认用户或登记使用人身份所必须的数据。本指令对电子通信的具体内容以及使用电子通信网络查询的内容不予适用。

第2条 定义

1《. 95/46号指令》《2002/21号指令》以及《2002/58号指令》中的定义对于本指令也应适用。2. 就本指令而言：

（a）“数据”，是指通信流量数据和位置数据，以及辨认用户或使用者身份的必要数据；

（b）“使用者”，是指不论出于个人还是商业目的使用公共电信服务的任何法人或自然人，其并不必然是电信服务的实际购买人；

（c）“电话服务”，是指呼叫服务（包括语音、语音邮件、会议和数据呼叫）、增值服务（包括呼叫转移）以及信息和多媒体服务；

（d）“用户身份”，是指订购或者连接进入互联网或通信服务时被分配的唯一识别码；（e）“区域识别码”，是指移动电话发出或结束通话位置的蜂窝编码；

（f）“失败呼叫尝试”，是指通话已连接成功但无应答，或被网络管理介入的状态。

第3条 数据留存义务

1. 通过限缩《2002/58号指令》第5、6、9条的规定，成员国应保证电信服务提供商或网络服务提供商按照本指令的规定留存在其提供服务过程中产生或处理的第5条列明的数据。

2. 第1款的规定包括对失败呼叫尝试的相关数据，但不包括未连接成功的相关数据。

第4条 获取数据

成员国应确保其国内有权机关只在根据其法律明确规定的情况下，方可获取根据本指令所留存的数据。成员国应按照必要性和比例性原则，在其国内法中规定获取留存数据的程序和条件。这些规定还应遵循欧盟法乃至相关国际公法规则，特别应参考经由欧洲人权法院解释的《欧洲人权公约》的规定。在符合必要性和比例性的要求下，获取留存数据的程序和条件应由各成员国在其国内法中做出规定。此类国内法应符合相关欧盟法或国际公法，尤其是经过欧洲人权法院解释的《欧洲人权公约》的相关规定。

第5条 留存数据的类别

1.成员国应确保对下列数据予以留存：

（a）追踪和辨认通信来源的数据：（1）对于固定电话和移动电话：（i）主叫号码；（ii）用户或登记使用人的姓名和地址。（2）对于互联网接入，电子邮件和网络电话：（i）被分配的用户识别码；（ii）进入公共电话网络时被分配的用户身份识别码和电话号码；（iii）在通信时被分配的网络地址、用户身份识别码或者电话号码的用户或登记使用人的姓名和地址。

（b）辨认通信目的地的数据：（1）对于固定电话和移动电话：（i）被叫号码；在涉及呼叫转移等增值服务时，也包括呼叫中转号码；（ii）用户或登记使用人的姓名和地址。（2）对于电子邮件和网络电话：（i）用户身份识别码或网络电话中被叫方的电话号码；（ii）用户或登记使用人的姓名和地址以及通信接受方的用户身份识别码。

（c）辨认日期、时间和通信时长的数据：（1）对于固定电话和移动电话：通信开始和结束的日期与时间。（2）对于互联网接入，电子邮件和网络电话：（i）互联网接入的上线和下线的日期和时间，动态或静态网络地址以及用户或注册使用者的身份识别码；（ii）电子邮件或网络电话上线和下线的日期和时间。

（d）辨认通信类型的数据：（1）对于固定电话和移动电话：使用的电话服务类型。（2）对于电子邮件和网络电话：使用的网络服务类型。

（e）辨认用户通信设备的信息：（1）对于固定电话：主叫和被叫电话号码。（2）对于移动电话：（i）主叫和被叫电话号码；（ii）主叫方国际移动用户识别码（IMSI）；（iii）主叫方国际移动设备识别码（IMEI）；（iv）被叫方国际移动用户识别码；（v）被叫方国际移动设备识别码；（vi）如存在预付费匿名服务，则包括初始激活此项服务的日期和时间以及蜂窝区域识别码。（3）对于互联网接入、电子邮件和网络电话：（i）拨号接入的主叫号码；（ii）通信发出的数据用户线或其他终端。

（f）辨认移动通信设备位置的数据：（1）通信开始时的蜂窝区域识别码；（2）通信过程中的蜂窝区域识别码。

2.有关通信内容的数据不得被留存。

第6条 留存期间

各成员国应保证第5条所列数据从通信之日起至少被留存6个月，但不得超过2年。

第7条 数据安全和保护

在不违反《95/46号指令》和《2002/58号指令》的前提下，各成员国应保证电信服务提供商和网络服务提供商遵守以下数据安全与保护的原则：

（a）留存的数据应保持与网络上的数据同等质量，并得到同等程度的安全保护；

（b）应采取适当的技术和组织措施，防止留存数据的意外或非法损毁、丢失或更改，或者未经授权或非法的存储、处理、获取与披露；

（c）保证只有经过特别授权的人才能获取留存数据；

（d）除了已经被获取并保存的数据以外，其他数据应在留存期结束后被彻底删除。

第8条 存储要求

成员国应保证，在接到合法请求后，留存数据以及其他相关的必要信息能够被无不适当迟延地传输给相关部门。

第9条 监管部门

1. 成员国应指定一个或多个部门负责其领土内留存数据的安全。

2. 上款提及的数据安全部门应该独立履行其监管职责。

第11条 修改《2002/58号指令》

下列内容应被添加到《2002/58号指令》第15条中，作为第1款之后的独立一款（第1a款）：“第1款对于《2006/24号指令》为了实现其第1条第1款的目的所具体要求留存的数据不予适用。”

第13条 救济、责任和处罚

1.成员国应采取必要措施，确保《95/46号指令》第3章所建立的国内司法救济、责任和处罚的规定能够充分适用于根据本指令留存的数据。

2.成员国应采取必要措施，保证实施本指令的国内法所禁止的获取或转移留存数据的行为将受到有效、适当和具有震慑力的行政或刑事处罚。

三、要求先予裁决的具体问题

（一）C-293/12案

2006年8月11日，数据权利公司向爱尔兰最高法院起诉，质疑该国关于电子通信数据留存的立法和行政措施的有效性。其要求该国最高法院确认《2006/24号指令》及其国内于2005年颁布的《刑事司法（恐怖主义犯罪）法》的第7编无效。

爱尔兰最高法院认为，在欧盟法院对《2006/24号指令》的效力进行审查前，其不能对该案所涉的问题作出裁判。因此决定暂停国内程序，并将下列问题提交到欧盟法院，要求先予裁决如下问题：

1.《2006/24号指令》第3、4、6条对原告使用移动电话的权利进行限制，是否违反《欧盟条约》第5条第4款的规定？也就是说，限权措施对于追求其立法目的而言，是否是适当的、必要的和成比例的？

2.具体来说：（1）《2006/24号指令》是否与《欧盟运行条约》第21条规定的公民在欧盟境内的自由迁徙与居住的权利产生冲突？（2）《2006/24号指令》是否与《欧盟基本权利宪章》（下文简称《宪章》）第7条以及《欧洲人权公约》第8条规定的隐私权产生冲突？（3）《2006/24号指令》是否与《宪章》第8条规定的个人数据受保护权产生冲突？（4）《2006/24号指令》是否与《宪章》第11条及《欧洲人权公约》第10条规定的自由表达权产生冲突？（5）《2006/24号指令》是否与《宪章》第41条规定的善治原则产生冲突？

3. 根据《欧盟条约》第4条第3款规定的忠诚合作原则，达到何种程度时，成员国法院需根据《宪章》对转化《2006/24号指令》的国内措施进行审查和评估？

（二）C-594/12案

该案起因于，奥地利卡隆特纳州政府、赛特林格先生、乔尔先生和其他11128名原告分别向该国宪法法院提起的违宪之诉。他们共同要求废除其国内2003年通过的《电信法案》的第102a条的规定。①Telekommunikationsgesetz 2003.该条是为了转化《2006/24号指令》，于2003年经联邦立法修改而来。②Bundesgesetz，mit dem das Telekommunikationsgesetz 2003-TKG 2003 geändert wird，BGBl I，27/2011.原告认为该条的规定构成对公民数据受保护权的侵犯。

奥地利宪法法院认为，《2006/24号指令》对几乎所有人的通信数据进行留存，可能与《宪章》中规定的权利产生冲突。该指令规定的数据留存规则并未考虑被留存数据之人的行为与犯罪事实之间的关联，对于他们而言，其私生活信息和个人数据将被权力部门所掌控并在多重目的上被使用。他们将被置于更大的风险之中。此外，可获取数据人员的数量也没有被规定下来。因此，奥地利宪法法院质疑《2006/24号指令》的规定违反了关于基本权利保护的比例原则。

鉴于此，奥地利宪法法院决定暂停其国内审理程序，并将下列问题提请欧盟法院作先予裁决：

1.关于欧盟机构行为之效力：《2006/24号指令》第3至9条的规定是否与《欧盟基本权利宪章》的第7、8以及11条的规定产生冲突？

2.关于条约解释：（1）对于《宪章》第8条的解释，《95/46号指令》以及关于个人数据保护与自由流动的《2001/45号条例》，③OJ 2001 L 8，p.1.是否具有同等的解释作用？（2）根据《宪章》第52条第3款末句的规定，“欧盟法”和数据保护具体指令之间的关系如何？（3）《95/26号指令》和《2001/45号条例》都对《宪章》中个人数据受保护权作了限制，“次级法”（secondary law）中对基本权利的限制在解释《宪章》第8条时应当被考虑吗？（4）《宪章》第52条第4款是否是第53条规定的“维持更高保护水平”原则的延伸？也就是说，根据《宪章》的规定，对基本权利进行限制的次级法是否应接受更严格的审查？（5）根据《宪章》第52条第3款、序言第5段以及第7条的规定，欧洲人权法院作出的判例能否对《宪章》第8条的解释产生影响？

四、对提请“先予裁决”问题的考虑

（一）C-293/12案第2个问题的第（2）至（4）项及C-594/12案的第1个问题

C-293/12案的第2个问题的第（2）至（4）项和C-594/12案的第1个问题，在实质上都是要求欧盟法院根据《宪章》第7、8、11条对《2006/24号指令》的效力进行审查。因此，这些问题应被一同考虑。

1.《欧洲基本权利宪章》第7、8、11条与审查《2006/24号指令》的效力是否相关？

根据《2006/24号指令》第1条及其立法说明的第4、5、7至11段以及第21和22段，该指令的主要目的是为了预防、调查和起诉严重犯罪，协调各成员国关于留存电子通信数据的规定，但应符合《宪章》第7条和第8条的规定。

《2006/24号指令》第3条要求电信服务提供商或网络服务提供商对该指令第5条所列数据进行留存，以保证有权机关在必要情况下可获得留存数据。该条与《宪章》第7条规定的私生活和通信受保护权、第8条规定的个人数据受保护权以及第11条规定的自由表达权的规定存在潜在冲突。

在此方面，电信服务提供商或网络服务提供商根据《2006/24号指令》第3、5条的规定，必须留存下列类型的数据：跟踪和辨认通信来源和目标的数据；辨认通信日期、时间、时长和类型的数据；辨认用户通信设备和移动通信位置的数据。具体而言，用户或登记使用人的姓名、地址、主叫号码、被叫号码以及网络IP地址都将被留存。通过这些信息，有关部门可以掌握用户或登记使用人及其通信对象的身份、通信时间、通信位置，以及在某一时间段内与特定人通信频率的数据。

因此，数据被留存人的私生活情况，比如日常生活习惯、永久或临时居住地、日常或特殊活动、社会关系及其所处社会环境等信息，都可以被非常准确地监控。

虽然《2006/24号指令》的第1.2和5.2条不允许对通信的具体内容以及通过网络查询的内容进行留存，但是不难想象，该规定可能对电子通信方式本身造成不良影响，进而对《宪章》第11条规定的自由表达权产生侵害。

该指令有关留存数据以及有权机构获取留存数据的规定，将直接对个人私生活造成影响，也就影响到《宪章》第7条规定的权利。此外，该指令的数据留存规则也在《宪章》第8条的调整范围内，因为其涉及对个人数据的处理。①Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert EU：C：2010：662，p.47.

因此，本案中要求先予裁决的问题，既与《2006/24号指令》是否符合《宪章》第7条的规定有关，也与其是否符合《宪章》第8条的规定有关。

综上考虑，对于回答C-293/12号案第2个问题的第（2）至（4）项以及C-594/12号案的第1个问题，根据《宪章》第7条和第8条的规定对《2006/24号指令》的效力进行审查是恰当的。

2.《2006/24号指令》是否侵犯了《欧洲基本权利宪章》第7、8条规定的基本权利？

正如佐审官在其意见书的第39、40段中所指出的，《2006/24号指令》关于通信数据留存的规定，偏离了《95/46号指令》和《2002/58号指令》共同建立起来的个人数据隐私与安全的保护体系。这两个指令规定在通信结束后，除了向用户提供通信账单所必备的数据外，用户的其他通信数据应被删除或做匿名化处理。

证明公民隐私权是否被侵犯，无须考察相关私生活信息的敏感度，也无须考察被侵权人的生活是否变得不便利。②See，to that effect，Cases C-465/00，C-138/01 and C-139/01 Österreichischer Rundfunk and Others EU：C ：2003：294，p.75.

那么，《2006/24号指令》第3条和第6条要求电信服务提供商或网络服务提供商留存与个人私生活相关数据的规定本身，即已构成对《宪章》第7条规定的公民隐私权的侵犯。

此外，有权机关获取留存数据将导致公民隐私权被再一次侵犯。①See，as regards Article 8 of the ECHR，Eur. Court H.R.，Leander v. Sweden，26 March 1987，§ 48，Series A no 116；Rotaru v. Romania［GC］，no. 28341/95，§ 46，ECHR 2000-V ；and Weber and Saravia v. Germany（dec.），no. 54934/00，§ 79，ECHR 2006-XI.也就是说，《2006/24号指令》第4条和第8条的规定进一步侵犯了《宪章》第7条保护的隐私权。

同样地，因为《2006/24号指令》规定的数据留存规则涉及对个人数据的处理，其构成对《宪章》第8条规定的个人数据受保护权的侵犯。

正如佐审官在其意见书的第77和80段中指出的，我们也认为，《2006/24号指令》对《宪章》第7、8条保护的公民基本权利的侵犯不仅是广泛的，而且也是特别严重的。另外也如同佐审官在其意见书的第52和72段中指出的，在未获告知的情况下，留存和使用用户和登记使用人的通信数据，可能使他们产生受到持续监控的心理感受。

3.《2006/24号指令》侵犯基本权利的行为能否被正当化？

《宪章》第52条第1款规定，任何对宪章中规定之权利与自由的限制都须经由法律做出，尊重权利的本质，符合比例原则，并且对于追求公共利益或保护他人的权利与自由而言确属必要。

（1）是否尊重权利本质？应当承认，《2006/24号指令》虽然对《宪章》第7条规定的隐私权造成了严重侵犯，但是该指令确实对隐私权的实质予以了尊重，也即，根据该指令第1条第2款的规定，任何电子通信的具体内容不得被留存。

同样地，该指令也对《宪章》第8条规定的个人数据受保护权予以了尊重。根据其第7条的规定，按照在不违反《95/46号指令》和《2002/58号指令》的前提下，各成员国应保证电信服务提供商和网络服务提供商遵守一系列的数据安全与保护的原则。根据这些原则，各成员国应保证采取适当的技术和组织措施，以防范数据的意外或非法损毁、丢失或更改。

（2）是否符合公共利益？至于该指令建立的数据留存规则是否出于公共利益目的，我们认为，虽然表面上看，该指令旨在统一各成员国的通信数据留存规则，然而就实质上言，正如该指令第1.1条所阐释的，其目的在于确保在调查和起诉严重犯罪时相关通信数据可以被有权机关获得。也可以说，《2006/24号指令》的实质目的是打击严重犯罪并进而维护公共安全。

欧盟法院在其以往判例中已经清楚地阐明，为了维持国际和平与安全的目的而打击恐怖主义构成一项公共利益。②See，to that effect，Cases C-402/05 P and C-415/05 P Kadi and Al Barakaat International Foundation v Council and Commission EU：C ：2008：461，p.363，and Cases C-539/10 P and C-550/10 P Al-Aqsa v Council EU：C：2012：711，p.130.同样地，欧盟法院也认为出于维护公共安全的目的打击严重犯罪也构成一项公共利益。③See，to that effect，Case C-145/09 Tsakouridis EU ：C：2010：708，pp. 46-47.况且，《宪章》第6条规定的公民权利的范围既包括自由权也包括安全权在内。

应当提及的是，《2006/24号指令》立法说明的第7段指出，欧盟司法与内务理事会在2002年12月19日的结论中指出，电子通信方式日益重要并能够为犯罪活动提供更多的机会。因此，留存电子通信数据将对预防和打击严重犯罪（尤其是有组织犯罪）而言，具有至关重要性。

鉴于上述考虑，我们认为《2006/24号指令》建立的留存电子通信数据的规则，确实具有追求公共利益的目的。

（3）是否符合比例原则？论述至此，我们将对侵犯基本权利的行为是否符合比例原则进行审查。

欧盟法院在既有判例中认为，比例原则要求欧盟机构之行为必须不超过为了追求立法目的之必要和适当的限度。①See，to that effect，Case C-343/09 Afton Chemical EU ：C：2010：419，paragraph 45；Volker und Markus Schecke and Eifert EU ：C：2010：662，p.74；Cases C-581/10 and C-629/10 Nelson and Others EU：C：2012：657，p.71；Case C-283/11 Sky Österreich EU：C：2013：28，paragraph 50；and Case C-101/12 Schaible EU：C：2013：661，p.29.根据比例原则对欧盟机构的行为进行司法审查，我们认为，当受侵犯的权利属于公民基本权利时，欧盟立法机构的自由裁量权将受到严格的限制。其应对相关立法措施将要侵犯权利的领域、权利的性质以及侵权行为本身的严重性及其追求的目的等要素予以充分考虑。②See，by analogy，as regards Article 8 of the ECHR，Eur. Court H.R.，S. and Marper v. the United Kingdom［GC］，nos. 30562/04 and 30566/04，§ 102，ECHR 2008-V）.

本案中，由于个人通信数据对于私生活受保护权的实现具有重要作用，并且《2006/24号指令》对该权利侵犯程度的严重性，欧盟立法机关的自由裁量权应受到严格限制。对欧盟立法机构的相关立法的司法审查也应在更加严格的意义上进行。

那么，该指令规定的数据留存措施相对于该指令所追求的目的而言，是否是适当的呢？我们认为，在电子通信方式日益重要的背景下，电子通信数据已经成为调查和起诉刑事犯罪的关键性工具，能够为打击重大犯罪提供额外的手段。因此，留存相关通信数据的措施对于追求该指令的目的而言是适当的。

乔尔和赛特林格先生以及葡萄牙政府在其各自的书面意见中指出，《2006/24号指令》并不包含所有的电子通信方式，并且存在某些通信方式允许匿名进行。我们认为这一事实虽然可能降低数据留存规则的有效性，但是并不能证明该规则对于其所追求的目标而言是不适当的。佐审官在其意见书的第137段也持这一观点。

关于该指令规定的数据留存措施的必要性，我们认为该措施对于打击严重犯罪尤其是有组织犯罪和恐怖主义犯罪而言，确实是非常重要的。然而不管其所保护的公共安全利益多么重要，并不能证明该措施本身对于实现上述目的是必要的。

就私生活受尊重权而言，根据欧盟法院的判例，保护公民基本权利的原则要求对个人数据受保护权的任何偏离或限制都应在“严格必须”的条件下进行。③Case C-473/12 IPI EU：C：2013：715，paragraph 39 and the case-law cited.我们认为《宪章》第8条第1款规定的个人数据受保护权，与第7条规定的私生活受尊重权的实现具有紧密联系。因此，欧盟相关立法必须对数据留存措施的具体适用范围与方法做出清晰准确的界定，并能够提供留存数据不被滥用、非法使用或获取的最低程度的保护。④See，by analogy，as regards Article 8 of the ECHR，Eur. Court H.R.，Liberty and Others v. the United Kingdom，1 July 2008，no.58243/00，§ 62 and 63；Rotaru v. Romania，§ 57 to 59，and S. and Marper v. the United Kingdom，§ 99.

第一，根据《2006/24号指令》的规定，个人电子通信数据将被服务提供商自动处理，并且也存在明显的违法获取的风险，因此，对留存数据的保护需求更为迫切。⑤See，by analogy，as regards Article 8 of the ECHR，S. and Marper v. the United Kingdom，§ 103，and M. K. v. France，18 April 2013，no.19522/09，§ 35.那么，留存措施是否被限制在严格必须的范围内了呢？按照该指令第3条和第5条第1款的规定，所有的固定电话、移动电话、互联网接入，电子邮件和网络电话的流量数据都需要被留存。也就是说，该指令适用于所有种类的人们广泛使用的电子通信方式。并且根据该指令第3条的规定，所有用户和登记使用人的通信数据都在该指令的调整范围内。因此，我们认为该指令将侵犯全体欧盟公民的基本权利。

就是否符合严格必要性而言，应该首先注意到，该指令虽然追求打击严重犯罪的目标，但是数据留存的规定适用于所有的人、所有的电子通信方式以及所有的通信流量数据，而未作出任何类型上的区别、限制，也不存在任何例外性规定。

该指令以宽泛的方式适用于所有使用电信服务的人，被留存数据的人与潜在犯罪之间是否具有联系在所不问。也就是说，即使对于那些没有任何证据显示其行为与严重犯罪具有联系的人也同样地适用。并且由于该指令没有任何例外规则，造成即使对于那些在法律上负有职业性通信保密义务的人，该指令中规定的数据留存规则也同样适用。

此外，虽然该指令旨在打击严重犯罪，但是没有任何条文显示被留存的通信数据需要和潜在的公共安全威胁具有联系。具体地说，该指令没有规定留存的数据需与严重犯罪相关，也即与一定时间、一定区域或特定的人群相关。

第二，《2006/24号指令》也没有规定有权机关获取与使用这些数据的任何客观标准。相比于《宪章》第7、8条规定的基本权利受侵犯的程度和严重性，该指令不能被证明是正当的。与此相反，该指令甚至在第1条第1款将“严重犯罪”概念的内涵留待各成员国国内法自行确定。

进一步地，该指令也未规定有权机关获取与使用留存数据的实体性及程序性条件。该指令第4条是关于获取数据的条款，然而令人遗憾的是，该条却并没有明确规定必须严格地基于预防、调查或起诉明确指明的严重犯罪的目的获取或使用留存的数据。该条仅仅要求各成员国根据必要性和比例原则自行规定获取和使用留存数据的程序和条件。

尤其是该指令没有规定有权获取和使用留存数据之人员数量的客观标准，以此将获取与使用留存数据的行为限制在实现立法目的所“严格必须”的范围内。最重要的一点是，不存在一个独立的法庭或行政部门对获取数据的行为进行独立的事先审查，以保证对留存数据的获取被限制在严格必须的范围内。并且，该指令也没有规定成员国制定此类措施的义务。

第三，《2006/24号指令》第6条规定相关数据被留存至少6个月以上，但是并未根据留存数据的有用性或与特定人的相关性而对不同数据的留存期间进行区分。此外，该指令虽然规定数据留存期间在6个月以上24个月以下，但是却未规定确定具体留存期间长短的任何客观标准，以保证符合“严格必须”的要求。

因此，我们认为，《2006/24号指令》没有制定清晰而准确的规则对侵犯《宪章》第7条和第8条权利的行为进行规范。可以认为，在欧盟法律秩序下，该指令广泛而严重地侵犯了公民的基本权利，并且是缺乏相应的规则保证对基本权利的侵犯被限制在了“严格必须”的限度内。

就留存数据的安全保护而言，《2006/24号指令》也未能达到《宪章》第8条所要求的保护水平，以防止对留存数据的滥用、非法获取或使用。另外，该指令的第7条没有专门的规定，来适应留存数据的巨量性、敏感性及存在非法获取风险的特征。该指令也未要求成员国负有建立此类特殊制度的义务。

该指令的第7条与《2002/58号指令》的第4条第1款以及《95/46号指令》的第17条第1款第2项，都不能确保服务提供商采取高水平的技术和组织措施以保护数据的安全，但却允许服务提供商在采取相应措施时考虑其操作成本。尤其应指出，《2006/24号指令》未保证在留存期结束后，被留存的数据将被不可逆转性地删除。

还有该指令未要求将电子通信数据留存在欧盟境内。这将造成根据《宪章》第8条第3款规定的独立机构不能对被留存在欧盟境外的数据进行安全监管。我们认为，基于欧盟法的监管对于保护个人数据的安全而言是至关重要的。①See，to that effect，Case C-614/10 Commission v. Austria EU：C ：2012：631，p.37.

综合上述考虑，根据《欧盟基本权利宪章》第7条、第8条和第52条第1款的规定，《2006/24号指令》的规定已然超出了比例原则的限度。

我们认为，没有必要再根据《宪章》的第11条审查该指令的有效性。

我们对C-293/12号案第2个问题的第（2）至（4）项以及C-594/12号案的第1个问题的回答是：《2006/24号指令》无效。

（二）C-293/12号案的第1个问题，第2个问题的第（1）、（5）项和第3个问题，以及C-594/12号案的第2个问题

如同上述，已没有必要再回答C-293/12号案的第1个问题，第2个问题的第（1）、（5）项和第3个问题，以及C-594/12号案的第2个问题。

因先予裁决程序是成员国法院主审程序的环节之一，具体费用由各国国内法院决定，非主审程序当事方提交意见书的费用除外。

五、判决结果

综上所述，欧盟法院（大法庭）判决如下：

欧盟议会和欧盟理事会于2006年3月15日通过的《2006/24号指令》，亦即《关于公共电信服务提供商和公共网络服务提供商留存其提供业务过程中产生或处理之数据并修改〈欧盟2002/58号指令〉的指令》无效。