犯罪侦查中网络通讯数据留存制度的欧洲法审视

师 索，陈玮煌

(1.西南政法大学 重庆，401120；2.重庆市人民检察院，重庆 401120)

一、引言

安东尼·吉登斯将监控、资本、工业、军队作为现代性的构成要件，他认为民族国家的监控达到了以往社会秩序类型无法比肩的程度[1]。国家通过各种形式的监控，最大程度满足社会控制与重大决策的基础信息来源。一旦失去监控权，也就意味着政权的岌岌可危，监控的政治意义由此可见[2]。所以，任何国家对于强化监控权、增设监控机构、扩张监控网络均会不遗余力地寻求合法性与正当性的证成。监控形式也随着人类社会发展不断进化。在过去，人们对于电话监听充满恐惧，唯恐落入国家权力漩涡。三网合一时代为国家监控的普遍化、前置化、隐秘化提供了重要契机，无线通话、上网记录、位置信息等“元数据”足以让系统精准还原社会个体的行为结构。这些储存在电信网络运营商的数据将让任何人无所循行。数据留存(Data Retention)作为全新的监控方式已被嵌入市民社会，不仅可为网络运营商利用既得数据进行大数据分析而获利提供技术保障，同时也作为犯罪侦查的重要保障措施与各国执法机构紧密关联，成为社会控制、刑事侦查、反恐等领域的重要技术工具。但是，国家对网络空间主张网络主权而设置监控制度时，必须意识到网络时代的国家主权和公民人权已被高度抽象化，国家必须将公民的数据权利视为基本人权的重要形式，数据留存之于数据权利与侦查执法之于基本权利并无本质差别。因此，国家必须对数据留存设置人权保障机制。

我国目前的数据留存制度处于初步构建时期。《反恐怖主义法》第19条中要求电信业经营者、互联网服务提供者依法保存恐怖主义、极端主义信息的规定，《网络安全法》第21条关于留存网络日志以及重要数据备份等规定[注]《网络安全法》第21条第3款规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；第4款规定：采取数据分类、重要数据备份和加密等措施。，均体现了较为浓厚的国家主义色彩，数据人权保障机制非常薄弱，尤其和人权保障较为先进的欧洲相比差距较大。欧洲地区不仅有欧盟层面的立法保障，还有欧盟法院、欧洲人权法院根据《欧盟条约》《欧洲基本权利宪章》《欧洲人权公约》等规范构建的司法保障体系，以此实现了无死角的权利保障。数据留存制度在我国公民的意识层面也还非常陌生，绝大多数公民都知道个人数据被泄露，但可能并不知悉个人数据被留存。整个数据制度也通常在留存的基础之上去实现交换、流动、分析等后续流程，研究数据留存也在为数据制度供给基础理论。较之于立法对监听、截取邮件等“点对点”技术措施的严格规制，“主动化”“预防化”“无差别化”数据留存所引发的争议及其背后国家监控权与公民隐私权之间的博弈似乎刚刚启幕。对于犯罪的恐惧和安全的需求已成为西方社会政治决策的重要始因。数据留存在法理基础、政治正当性、权利侵害性与权利保障机制方面的复杂关系需要理清。本文以欧盟《数据留存指令》的出台、发展与废除为研究主线，梳理欧洲法框架下的数据留存制度，剖析数据留存在欧洲层面如何发展，欧盟、成员国与社会组织、个体之间如何博弈，以期为我国提供必要的经验支撑和借鉴。

二、数据留存的兴起与《数据留存指令》的出台

在“911”恐怖袭击后，欧美将预防和打击恐怖主义犯罪提上战略日程。欧盟2002年出台的《电子通讯部门个人数据处理和隐私保护指令》(2002/58/EC)第5条第1款规定：“成员国应通过国家立法，确保通信和相关通讯数据在公共通信网络和公共电子通信服务过程中的机密性。特别是未经用户同意，禁止用户以外的其他用户进行监听、窃听、留存和截取或监视通信和相关通讯数据，除非依第15条第1款规定之授权。本款不妨碍在不影响保密原则情况下传送通信所必需的技术存储。”第15条第1款规定：“成员国可以采取立法措施限制本指令规定的权利和义务范围，这种限制必须是为了在社会中为保障国家安全、公共安全，预防、侦查与起诉犯罪行为，或者未经授权使用电子通讯系统，而采取的必要的、适当的、相称的措施[注]参见：DIRECTIVE 2002/58/EC.。基于该款规定，成员国可以通过立法措施规定在有限期间内对数据进行留存。”

通讯数据的留存需求往往建立在数据已是国家机关履行职责唯一路径的论调上，毫无疑问，通讯数据及其内容已经成为犯罪侦查和情报活动的主要路径，特别是通讯数据往往是识别通讯用户的唯一方式，因此，能够有效利用这些数据对于侦查的成功至关重要。一些欧洲国家据此开始构建数据留存机制，要求通信运营商保留网络数据和流量数据，他们认为这些数据的效用对于执法机构预防和侦查恐怖主义犯罪至关重要。各个国家在实践中的做法也不尽相同。一些国家采取了强制性数据留存机制，而其他国家则采取了自愿性数据留存机制。比如英国在《2001年反恐怖主义、犯罪与安全法》中，以“实施细则”的形式要求运营商自愿留存相关数据12个月，而不愿保留的数据则根据英国数据保护法规进行匿名处理或者删除。在通信运营商自愿留存数据的情况下，执法机构可以根据《2000年侦查权力法》的相关规定获取并使用数据，同时也规定了一些限权措施和权利保障措施。在此期间，各个国家在数据留存的立法形式、留存期间、权利保障方面的规定较为松散。

2001年之后，欧盟尝试协调在各个国家之间建立比较统一的数据留存规则，但由于各个国家面临的反恐形势和社会安全情境差别较大，一直未能达成共识。直到2004年“马德里地铁爆炸案”发生，欧洲才意识到恐怖主义已经降临。随后，瑞典、法国、英国、爱尔兰等国向欧洲联盟理事会提交了一项有关数据留存的框架性决定草案。2005年9月，在英国担任欧洲理事会主席国期间，英国内政大臣主持召开全体大会商议如何界定通讯数据留存、如何确保在反恐与严重犯罪侦查中获取所需的通讯数据等事宜。在经过2005年12月的理事会第1次会议和第2次会议达成共识后，欧洲理事会于2006年2月21日正式通过《数据留存指令》(Data Retention Directive)[注]《数据留存指令》的全称为DIRECTIVE 2006/24/EC of the European parliament and of the council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.。指令要求电子通讯服务商和公共通讯网络运营商留存个人或法人的通讯数据与位置数据6个月至24个月，从而为预防、侦查、起诉有组织犯罪、恐怖主义犯罪等严重犯罪提供便利。指令第5条将这些数据细化为6类，分别是：追踪和识别通讯来源的必需数据；识别通讯目的地的必需数据；确定通讯时间、日期、持续期间的必需数据；识别通讯类型的必需数据；识别用户通讯设备的必需数据；识别通讯设备地理位置的必需数据[注]参见：DIRECTIVE 2006/24/EC.。指令要求成员国自指令通过之日起18个月内将其转为法律，即必须在2007年9月15日之前执行完毕。

一些组织坚决反对该指令，理由是指令让公民在受到广泛监控方面是不成比例的，全面留存数据也违反了欧洲人权公约第8条的规定。运营商对指令的反对理由则在于成本问题，留存大量的数据会给通信运营商带来包括硬件和软件在内的额外成本。在技术层面，运营商认为一部分数据留存实质上附加了“收集”义务而将让成本增加。对于跨国性的运营商来说，还面临着不同国家在留存期限上不断调整的难题[3]。在欧洲频繁遭受恐怖袭击以及犯罪全球化的背景下，政府的强势话语和各方的妥协让指令艰难出台，但是博弈并没有结束，这仅仅是一个开始。

三、数据留存指令的初步博弈

(一)欧盟法院在Ireland v European Parliament and Council中的妥协

指令的出台并非想象中的一帆风顺，其最终将指令转换为法律的建议也是欧洲各利益集团进行激烈辩论的结果，欧洲委员会、理事会和欧洲议会、各成员国代表、权利组织与通信网络运营商之间进行了初步的利益博弈。毋庸置疑，成员国的执法机关对该指令表示了极大的欢迎和支持，但爱尔兰和斯洛伐克的代表投了反对票[注]参见：COUNCIL OF THE EUROPEAN UNION. 6077/06 (Presse 38) PRESS RELEASE 2709th Council Meeting.。指令以多数票获得通过后，爱尔兰和斯洛伐克随即向欧盟法院(the Court of Justice of the European Union，简称CJEU)上诉，申请宣告指令无效[注]参见：CJEU Case C‐301/06 Ireland v. Parliament and Council.。

1.爱尔兰与斯洛伐克对指令根基的质疑

爱尔兰的理由是指令选择欧共体条约(the Treaty establishing the European Community)第95条作为法律依据是一个根本性错误。欧共体条约第95条或任何其他条款都不能为该指令提供适当的法律依据。符合欧共体第95条的措施旨在提供欧洲内部市场运行方面的功能，而指令的主要目的甚至是唯一目的，是推进欧洲对包括恐怖主义在内的严重犯罪的预防、侦查和起诉，真正目的并不是为运营商在欧盟内的跨境服务提供方便，而是为了满足执法者在后期的数据利用需求。

另外，欧共体立法机关无权在欧共体第一支柱授予的权力范围之外，根据欧共体条约第95条去合并2002/58号指令的规定，指令中的数据留存措施可能有效的法律依据应当是欧盟条约第30条、第31条第1款c项与第34条第2款b项的规定。

斯洛伐克支持爱尔兰的上述观点，认为指令的主要目标不是消除市场内部的障碍和缺陷，而是为了在商业目的范围外协调成员国留存个人数据的方式，以此推进成员国在刑事法领域的行动，所以这不在欧共体权限范围内。此外，斯洛伐克认为指令要求保留个人数据构成了对欧洲人权公约第8条中个人隐私权利的广泛干预。这种深度干预是否可以经济理由证明其正当性，尤其是本案中以增强市场功能为理由，仍然是有疑问的。

2.欧盟法院对质疑的回应

对此，欧盟议会回应到，爱尔兰对指令的解读是有选择性的，指令序言第5条和第6条已经阐明指令的主要目的是消除电子通讯服务市场内部的障碍因素，事实陈述部分第25段则证实基于执法目的获取和使用留存数据不在共同体能力范围内。在纽约、马德里和伦敦相继发生恐怖袭击后，一些成员国采取了不同的数据留存规则，这种差异可能妨碍运营商提供电子通信服务，在增加运营商成本的情形中，可能导致内部竞争市场的扭曲，而指令的主要目的就是协调成员国对运营商在数据留存方面的义务。因此欧共体条约第95条具有法律基础。至于是否构成公约第8条意义上的权利干预，欧盟理事会则认为，公约第8条所保护的权利不是绝对的，并可能受到第8条第2款规定的条件限制。留存数据符合《公民权利和政治权利国际公约》第8条第2款承认的合法公共利益，属于保护该利益的适当手段。西班牙和荷兰认为，指令的主要目的是通过成员国现有的法律规定和技术上的差异，消除内部市场产生的障碍。第一是协调留存数据的义务；第二是详细说明与该义务有关的标准，例如数据类别和留存期间。

3.欧盟法院支持以市场调和功能作为指令的法律基础

欧盟法院在评判各方观点后认为，爱尔兰和斯洛伐克的理由不能接受。共同体立法机关在国家规则之间存在差异，特别是阻碍基本自由或产生扭曲的竞争，从而直接影响市场内部运作时，可能会诉诸条约第95条。恐怖袭击事件发生后，若干成员国认识到电子通信数据是预防和侦测犯罪行为的有效手段，根据2002/58号指令第15条第1款采取措施，以期对服务提供者留存此类数据施加义务。截至2005年，成员国采取的留存措施大不相同，特别是数据性质和留存期间。国家规则之间的差异可能对内部市场的运作产生直接影响，可以预见的是随着时间推移，影响将变得更加严重。这样的情况证明了共同体立法机关通过采取协调一致的规则来维护内部市场的正常运作的目标。指令基本上仅限于运营商的活动，而不管理成员国的警察或执法当局如何获取数据或使用数据。指令规定的措施本身不涉及成员国的警察或执法当局对权利的干预。特别是从指令第3条可以清楚看出，运营商只保留提供相关通信服务过程中产生或处理的数据，只是与运营商商业活动密切相关的数据。因此，指令实际上独立于刑事领域内任何警察和司法合作的行动。它既不协调国家有关主管部门如何获取数据的问题，也不协调这些当局之间使用和交换这些数据的问题。这些原则上属于“欧盟条约”第六章所涉领域的事项，已被排除在指令规定之外。基于此，指令实质上主要是针对市场内部相关运营商的活动，排除了根据“欧盟条约”第六章公共安全机构和国家安全机构的执法活动。所以驳回了爱尔兰和斯洛伐克的诉求。

从裁决结果来看，欧盟法院支持将欧共体条约第95条作为指令法律基础，一个可能的解释就是，欧盟法院没有就指令的次要功能是否与执法目的相关，以及如何规制执法结果进行深入的探讨。如果欧盟法院否决了第一支柱作为法律基础，那么在欧盟层面，任何基于执法目的的数据留存措施将不得不建立在不同规定之上，这反过来意味着欧洲议会和欧洲数据保护专员将被排除于立法程序。欧洲议会也将因此缺乏对留存措施的直接控制，反而可能对欧盟公民的权利造成更多的不可控风险。所以，从当时的环境来看，欧盟法院在裁决中考虑了过多的政治因素，而对法律因素本身的关照不够。

(二)欧盟对市民社会的回应

2010年6月22日，帕特里克·布雷耶博士联合欧洲各国106名各界人士向欧盟委员会递交联名信，指出“尽管指令被用于刑事犯罪侦查领域，但这样对整个欧洲人民的侵略性监控是无法接受的。研究已经表明，没有全面留存通讯数据并不影响刑事侦查，在奥地利、比利时、德国、希腊、俄罗斯、瑞典等国，全面留存数据甚至可能违宪。另一方面，全面数据留存耗费运营商巨大的成本最终仍得让全体欧盟人民来分摊买单。法律专家希望欧盟法院能够像罗马尼亚宪法法院裁定国内立法机构引入指令违宪，以及欧洲人权法院对Marper案的判决一样，裁决在没有任何合理怀疑下的数据留存行为违反欧洲基本人权宪章规定。”

2011年4月，欧盟委员会内政部专员塞西莉亚·马姆斯特罗姆(Cecilia Malmström)发表《数据留存指令评价报告》做出回应，指出：“经过五年实践，数据留存已被证明在刑事调查中是有效的，但在指令设计方面需要改进，以便更好地尊重公民的安全和隐私。在马德里和伦敦发生爆炸事件之后，欧洲处于高度警戒状态。政府面临着巨大的压力，必须确保警察和检察官拥有追踪恐怖主义和其他安全威胁所需的全部工具。通讯数据和位置数据是这些工具之二，这就是为什么欧盟采取措施保证在刑事调查中可以获取这些数据。在刑事侦查或起诉中，孤立地衡量单一类型证据的价值往往不可能。一些案例证明留存通讯数据非常重要，比如欧盟刑警组织对一个涉及7万名成员的国际恋童癖网站进行侦查，揭露了670名可疑人员身份，保护超过200名儿童免遭侵害。但是，没有将指令转换为国内法的国家显然不能完成这一行动。另一方面，成员国在留存目的，留存期限，访问程序和条件，偿付运营商费用以及国家之间在访问数据频次、使用哪些类型数据等方面存在很大差异。下一步，欧洲委员会将整合欧洲议会、成员国议会以及民间组织的意见，争取对指令进行修正[4]”。

民间的呼吁和官方的回应仅仅是数据留存指令引发的争议面向之一，国家对于公民的监控并未由此削弱，尤其是网络通讯时代来临，对于公民的监控已经从传统的点对点监听进化到了普遍性的互联网监控、手机、计算机数据监控等。在指令争议的背后，是国家监控权与公民隐私权之间的深度博弈，而数据保护仅仅是通讯网络监控的一个枝节，其背后巨大的监控权若没有制度制约，任何国家的公民均将成为数据分析对象而丧失基本人格，斯诺登式的丑闻亦将会层出不穷。众所周知，欧盟对于人权保障可谓世界旗帜，在欧盟一级的各类公约均强调对人权的保护。《欧盟条约和欧盟运行条约(合并本)》第16条规定：“每个人都有权保护与他们相关的个人数据。”[注]参见：Consolidated Versions of the Treaty on European Union and the Treaty on the Functioning of the European Union, 2012. Acticle 16.《欧洲基本人权宪章》适用于欧盟成员国管辖范围内的每个人，第7条规定：“人人均有要求其私人和家庭生活、住所及通信受到尊重的权利。”第8条规定：“每个人均有要求其个人数据得到保护的权利。这些数据必须基于特定目的，且经数据所有人同意或在其它法律规定之正当依据下，方可公平处理。每个人均有权了解其个人数据，并有权要求销毁其个人数据。”另外，欧盟成员国除了遵守本国宪法和法律规定，还要遵守《个人数据自动处理保护公约》和《欧洲人权公约》第8条的法律义务。但是，即便如此，欧盟委员会仍然成了欧洲数据留存制度的强力推动者，特别是在2014年欧盟法院裁决数据留存指令无效之前，积极利用权力威胁并采取各种法律制裁，迫使成员国执行指令转换[5]。

四、指令转换中的博弈：成员国的司法审查

爱尔兰和斯洛伐克试图从法律根基的角度去质疑指令的合法性来源，尽管未能成功，但指令在随后的国内转换中同样遭到了部分成员国市民社会组织的强烈抵制和司法部门的严格审查。指令导致了对非嫌疑人数据的巨量储存，成员国表达的批评意见主要集中于指令侵犯了基本隐私权和通讯自由权。“感觉被监视的威胁”成为大规模数据留存的重要后果而必须得到司法评价[6]。这些问题在欧盟法院的上述裁决中并未得到解决，欧盟法院也并未处理基本权利的匹配问题，很多国家在转换指令为国内法后被上诉到法院。国内法院在处理指令的立法转换问题时，由于缺失欧盟法院指引，在审查转换立法时更多地就其合宪性问题做出限制性解释。保加利亚、罗马尼亚、德国、塞浦路斯和捷克的最高法院或宪法法院均面临着要求裁决这些转换法全部或部分无效的案件申请。

(一)保加利亚：干预隐私的依据不充分

2008年3月19日，保加利亚互联网权利组织Access to Information Program(AIP)向保加利亚最高行政法院提起诉讼，认为指令转换而来的《保加利亚第40号条例》中的数据留存规定违反了《保加利亚共和国宪法》《欧洲人权公约》、欧盟立法的相关规定。但是一审于2008年7月17日被三人小法庭驳回。AIP就此向5人大法庭提起上诉，二审于2008年12月11日胜诉[7]。

该条例由国家信息技术与通讯部(SAITC)和内政部(MoI)制定，并于2008年1月29日在国家公报上公布。条例第5条规定：“内政部、安全机构和其他执法机关则可以在没有法院许可的情形下，通过计算机终端被动获取所有留存在互联网和手机通信运营商处的数据。”法院认为该条款并未对获取计算机终端数据的行为进行限制，也并未对隐私权提供任何保障，这违反了《保加利亚宪法》第32条规定的私人生活和家庭事务免遭非法干预以及个人荣誉、尊严和声望不被侵犯的规定。另外，该条中的“侦查机构、检察院和法院基于刑事诉讼需要，安全机构基于国家安全的需要而获取所留存数据”的表述，在保加利亚刑事诉讼法典、特别监控措施法以及个人数据保护法等法律中也没有找到依据。由此，法院裁定该条规定违反公约第8条、《保加利亚宪法》第32条和第34条以及指令的原则性规定而无效。立法机构根据法院要求修正了立法，目前已经生效。

(二)罗马尼亚：例外规则成了正式规则

罗马尼亚于2008年根据指令出台了转换立法第298/2008号法律。2009年2月，罗马尼亚人权捍卫协会联合多家民间人权保护组织致信罗马尼亚人民律师，要求提请宪法法院审查第298/2008号法律，但是被申诉专员拒绝。随后，民间社会委员会(CSC)对电信运营商Orange提起民事诉讼，要求其强制遵守保证电信通话机密性合同的命令。CSC的律师认为，全面数据留存将每个人都视为罪犯，这是对人格尊严的严重侮辱[8]。案件在审理期间被提交给罗马尼亚宪法法院进行违宪审查。

宪法法院于2009年10月做出裁决，宣布第298/2008号法律因违宪而整体无效[注]参见：ROMANIA Constitutional Court. DECISION no.12581. 8 October 2009.。宪法法院严厉批评了转换法，指出了违宪的几点理由，比如《宪法》第26条的隐私权，《宪法》第27条规定的住所不受侵犯权，28条规定的通讯秘密权，以及第1条第3款规定的人格自由发展权。考虑到法律对私生活、通讯秘密、言论自由的限制，法院强调，这种限制权利的立法表述并不精准和清晰，因此违反了《宪法》第53条对限权性规定的要求。法院批评道，对于国家机关的解释应涵盖任何安全机构和情报机构。对于隐私权和通讯自由权的持续性限制，在执行中若没有相应的保障机制，权利将消失殆尽。自然人和法人，电子通讯网络的大量用户，将被永久性地入侵到他们的通讯隐私与自由表达中，那等于再没有自由的可能性，所有的通讯方式均不能得到审查。

宪法法院在比较了数据留存规则和其他执法规则后，认为刑事侦查中的音视频监控措施都比数据留存的适用更加严格，并且音视频监控仅仅用于重要的犯罪嫌疑人。法院由此认为，数据留存的侵入持续发生，并且没有一个诸如合理怀疑的审查理由。这样，数据留存的例外情形反而成了正式规则，并颠覆了隐私法的可预见性。另一方面，问题也在于本应当为法律适用提供精确规则的次级立法并没有通过。

尽管宪法法院的裁决不利，批评意见也非常尖锐，罗马尼亚议会仍然在争议环境中通过了新的法律。新法的草案是在欧盟委员会施加的强制转换义务下拟定，曾被参议院拒绝，但在2012年5月最终被议会通过，并于2012年6月由总统签署颁布。修正后的法律受到了更为严厉的批评，因为所谓的修正基本就是在原法基础上做了一些细微的修补，也并未回应宪法法院的意见，特别是立法机构拒绝写入程序性的保障措施，完全依赖于刑事诉讼法典中的程序性要求，这无疑绕开了宪法法院的修改要求。然而，对于新法的适用，2012年之后再也没有案件上诉到宪法法院。

(三)德国：转换立法违反了比例原则

对于指令转换，最有争议的要数德国联邦宪法法院于2010年3月的裁决[注]参见：Judgment of 02 March 20101 BvR 256/08, 1 BvR 586/08, 1 BvR 263/08.。法院废除了2007年12月颁布的德国电信监控法修正案(The Act for the Amendment of Telecommunications Surveillance)中关于指令适用规定的核心章节。直到指令最终被欧盟法院宣布无效，德国也并未再对指令进行转换。德国联邦宪法法院对德国的转换立法的批评尽管非常严厉，但却限制了意见的延伸，并未向欧盟法院提交审查指令的合法性问题。相反，仅仅表达了对德国立法机构在理解指令并准备转换过程中最基本的反对意见。法院表示，指令的转换方式和指令想要实现的目的之间明显违反了比例原则。也就是说，法院为立法机构寻求了适用指令的解释空间，这种解释可能并不违反宪法。

但是，该法在详细审查之下被认为违反了德国《宪法》第10条关于通讯秘密保护的规定。法院认为，基于执法目的的数据留存并不是说必然不符合宪法规定，而是在公民可能遭受基本权利侵犯时，法律保障措施并不充分。联邦宪法法院强调，数据采集可用于构建“几乎所有公民的有意义的人格档案以及追踪他们的行踪”。这需要非常高标准的数据安全、处理过程的透明与违法留存的法律保护。法院裁决的中心意思在于，基于侦查和起诉犯罪的需求而使用留存的数据，至少需要基于特定的事实，对犯罪行为具有合理怀疑，即便是在个案中，这也是非常重要的。需要获取数据的犯罪类型缺乏明确的规定被视为违法，因为为自我解释留下了大量的空间。德国议会在宪法法院做出裁决后的几年间，并未考虑重新转换指令，也未考虑怎么重新转换更合适。尽管宪法法院废除了整部转换立法，但为创造新的限制人权的法律留下了可能空间。这种可能性由于政府关注的政治争论而并未被意识到，在2010年后，德国没有再进行转换立法。德国搁置争议的态度也遭到了欧盟委员会的多次警告，并于2012年5月31日被欧盟委员会告上了欧盟法院，要求欧盟法院对德国处以强制罚款[9]。

(四)捷克：知情权保障缺失

成员国中的又一个宪法诉讼是由捷克宪法法院于2011年3月做出，这导致了国内的转换立法部分被废除[注]参见：Czech Constitutional Court, Decision of 22 March 2011, Official Gazette of the Czech Republic 1 April 2011.。宪法法院对数据留存，尤其是超越了打击严重犯罪和恐怖主义需要的国内立法的必要性和比例性提出了高度质疑。按照法院的观点，权利支持者认为立法的大量缺陷存在于并未要求相关机构在采集和留存个人数据后履行告知义务，未能保障当事人的知情权。另外，大量的国家机构原则上均可以参与到数据留存之中，宪法法院认为这缺乏对行为目的的限制。不只是宪法法院批评国内法超越了指令的原始目的，立法机构也明显要求只能在通过其他方式不能实现执法目的时，才能使用留存的数据。宪法法院的裁决并未明显说明转换立法是否违宪，但捷克议会在随后制定的数据留存法案中采纳了这些意见。

五、权利的胜利：《数据留存指令》的废除

尽管国内法院裁决在陈词上严厉批评了与基本权利相悖的立法，但没有一个法院就指令是否违反法律以及不符合宪章规定而向欧盟法院申请立法指引。直到2012年，爱尔兰数字权利组织和以Seitlinger为代表的11128名奥地利公民分别向爱尔兰高等法院和奥地利宪法法院提起上诉，才正式启动了指令的合法性审查程序。爱尔兰高等法院裁定数字权利爱尔兰公司与爱尔兰政府当局之间就执行电子数据留存的国家措施的合法性问题构成争议，提交欧盟法院审理。奥地利宪法法院收到了大量申请人的诉讼请求，要求废除由数据留存指令转换而来的奥地利电信法。宪法法院将这些申请提交至欧盟法院审理。2014年4月8日，欧盟法院大法庭在合并审理爱尔兰高等法院和奥地利宪法法院提交给欧盟法院的案件中[注]参见：Digital Rights Ireland Ltd (C 293/12)v Minister for Communications, Marine and Natural Resources.，就欧盟第2006/24/EC号指令，即通常所言的《数据留存指令》的合法性做出了无效裁决。

(一)欧盟法院基于《欧洲基本权利宪章》的裁决

1.数据留存宏观上属于权利干预措施

在考虑需要留存的数据类型时，欧盟法院认为这样的数据可以准确地勾勒出数据留存人的私生活情况，例如日常生活习惯、永久或临时居住地、日常运动、交往活动、社会关系及其社会环境。在这种情况下，即使不允许留存通信内容，通信用户或网络用户所享有宪章第11条规定的言论自由权也可能受到威胁。国家主管部门为了获取数据而要求留存数据可能直接影响私人生活，从而影响到“宪章”第7条保障的权利。此外，所留存数据也属于“宪章”第8条意义上的个人资料的处理，因此必须满足该条所规定的数据保护要求。在审议干预隐私权和保护个人数据的问题时，欧盟法院提出以下意见：对电子通信服务或公共通信网络运营商施加的义务“本身就是干预”宪章第7条保障的权利，国家当局由此获取数据属于“进一步干预这一基本权利”，而且也违反了保护个人数据的权利。宪章第52条第1款规定，对宪章所保障权利的任何限制必须由法律规定，并且必须尊重这些权利的实质。任何限制都需要进行比例性检验，只有在必要时才能实施，并符合欧盟承认的普遍利益目标或保护他人的权利和自由的必要性。

2.指令并不违反比例原则

欧盟法院注意到，指令的基本目标是协助欧盟成员国打击严重犯罪行为，维护公共安全。打击国际恐怖主义是普遍关心的目标。由于电子通讯的重要性逐步提升，数据留存成为国家当局打击严重犯罪行为的宝贵工具。根据这些意见，欧盟法院认为，必须给国家提供获取留存数据的机会，通过预防和侦查严重罪行来“真正达到普遍利益的目标”。在这方面，留存个人数据的相关欧盟立法必须包含明确而精细的规则，规定相关措施的适用范围，并且还必须涵盖最低限度的保障措施，以确保被留存数据的个人有权利保护他们的个人数据免遭滥用和非法访问及使用的风险。

欧盟法院随后对国家当局的干涉是否与追求目标相称进行说明。根据判例法，比例原则要求欧盟机构为实现立法目标所采取的措施不得超过适当的限度。鉴于保护个人数据在尊重私人生活等基本权利方面的重要作用，以及指令对该权利的严重干预，欧盟立法机关的自由裁量权应该酌情减少，并且对自由裁量权的审查应当更加严格。就留存数据是否能实现指令的目标而言，鉴于电子通信数据在侦查犯罪行为中发挥至关重要的作用，必须让有权提起刑事诉讼的机关获得更多揭露犯罪的机会，留存数据是实现指令目标的“有价值工具”，因此“可能被认为是适当的”。

3.指令超出了国家干预的必要性范畴

就必要性标准而言，即干预是否限于必要情况，欧盟法院认为应当将指令第3条和第5条第1款一并解读：指令要求留存有关固定电话、移动电话、互联网接入，互联网电子邮件和互联网电话的所有通信数据。指令适用于所有电子通信方式，其使用在人们的日常生活中越来越重要。此外，根据指令第3条，该指令涵盖所有电信用户和网络注册用户。因此，它需要干预整个欧洲公民的基本权利。数据留存体制不仅影响到那些因数据而可能有助于起诉刑事诉讼的人，而且还影响那些没有证据表明他们的行为可能与严重犯罪有关的人。该规则没有例外，没有人可以得到豁免，甚至适用于那些通讯受到职业秘密保护的人士。为了寻求更好的犯罪控制，指令不要求在留存数据与公共安全威胁之间存在任何联系。特别是留存以下两类数据更加不受限制。第一，与严重犯罪相关的特定时间、或特定地域范围或特定的参与人群的数据；第二，由于其他原因，可以通过留存特定人员的数据而对预防、侦查、起诉严重犯罪作出贡献的。

4.国家获取数据缺乏制约和审查而严重干预权利

欧盟法院还审查了指令是否对国家当局获取留存数据的权力作出限制。在这方面，欧盟法院认为指令不仅缺乏普遍意义的限制，也没有制定任何客观标准来对国家机关在获取数据以及后续的预防、侦查与起诉中的数据使用进行限制。仅仅由每个成员国在国内法中自行界定严重犯罪，在宪章第7条和第8条的框架下，这种对公民权利的干预，可能被认定为是“足够严重的”。此外，指令没有规定对国家主管部门访问和随后使用所留存数据的实质性和程序性限制，未能以法院或任何其他独立行政机关的事先审查为依据，获得对数据的访问及其使用必要的授权，并且，不要求成员国确定此类限制是至关重要的。就六个月至两年的留存期间，欧盟法院指出，指令并没有基于追诉目标或相关人员而区分不同的数据类型。但留存期间必须制定客观标准，并以客观标准来确定留存期限是否“严格必要”。根据上述理由，欧盟法院认为，指令没有制定明确、精准的规则来规范国家干涉宪章第7条和第8条基本权利的程度。因此，在不受规定的明确限制，以及不能确保实际上仅限于严格必要的情境中，必须认定指令已对欧盟法律秩序中的基本权利进行广泛和特别严重的干预。

5.指令对留存数据的保护机制缺失

关于运营商保留数据的安全性和指令提供的保护措施来看，欧盟法院认为，根据宪章第8条规定，指令不包含足够的保障措施以规避数据被滥用的风险，以及能够防止任何非法访问和使用数据的情况。欧盟的其他指令[注]1995年出台的《个人数据保护指令》(95/46/EC)规定：“个人数据的所有权属于对收集和处理个人资料具有合法权益的个人。除非数据主体明确同意，否则不得处理侵犯基本自由或具有隐私性质的数据”。2002年出台的《电子通讯部门个人数据处理和隐私保护指令》(2002/58/EC)第5条第1款规定：“成员国应通过国家立法，确保通信和相关通讯数据在公共通信网络和公共电子通信服务过程中的机密性。特别是未经用户同意，禁止用户以外的其他用户进行监听、窃听、存储和截取或监视通信和相关通讯数据，除非依第15条第1款规定之授权。本款不妨碍在不影响保密原则情况下传送通信所必需的技术存储”。要求对数据的处理必须经过数据主体的同意，并由特定人员处理。法院认为这种保护措施应该是具体的，并且包括以下几个方面：第一，指令要求保留的大量数据；第二，该数据的敏感性质；第三，非法访问该数据的风险，特别是以明确和严格的方式管理数据安全，以确保其完整和保密。此外，指令未对会员国施加确定此类规则的具体义务。在没有独立机构处理和遵守数据保护规则的情况下，不能充分保障个人数据的安全和保护。

基于此，欧盟法院根据宪章第7条、第8条和第52条第1款裁决欧盟立法机构通过的2006/24/EC号指令，超出了相称原则规定的限度而至始至终无效。对于已经将指令规定移植到国内法的成员国，则必须遵照法院这一裁决[10]。

(二)欧洲人权法院判例对欧盟法院的影响

1.欧洲人权公约对欧洲基本权利宪章的影响

欧盟法院的裁决集中于可能侵犯隐私权和数据保护的范围、干预的界定上，尤其是可能对基础权利的正当性侵犯。因此，欧盟法院不仅分析欧洲基本人权宪章的规定，还要参考欧洲人权法院基于公约第8条的判例法体系。在欧盟法的背景中，欧洲人权公约和人权法院的判例法对欧盟法院的判决具有关联性。在欧盟条约详细规定基本权利之前，欧盟法院就针对基本权利逐渐形成了一套可以作为法律依据的“基本原则”。欧盟法院为了实现法治目的，充分利用各缔约国的宪法传统作为激励源，并频繁利用欧洲人权公约约束缔约国。直到马斯特里赫特条约之后，欧盟才有相对于欧洲人权公约一样的详细规定。

欧洲基本权利宪章和欧洲人权公约之间其实相互对应，比如，宪章第52条第3款规定：“这些权利的界定和范围应当同公约主张的价值相一致”。人权法院的判例法不仅创造了总体原则，而且在很大程度上为宪章中的规定发挥着指引和解释功能。宪章第7条和公约第8条在私人和家庭生活的规定亦几乎相同。另外，宪章第8条关于个人数据保护的规定不仅被公约详细规定，而且长期以来也被人权法院作为解释依据。在2009年里斯本条约生效之前，欧盟法院对数据保护方面的案件判决非常有限，所以也参考公约及其判例法的相关理念和精神。因此，欧盟法院在数据留存指令判决中提及了人权法院的很多判决结果。这些判例涉及根据公约第8条进行评估的数据留存方案，人权法院也基于这些案件提炼出一些总体性的适用标准。欧盟法院在数据留存指令裁决的释法说理中也反复强调这些标准的相关性。

2.宏观数据留存中的权利干预界定

S. and Marper v. United Kingdom[注]参见：S. and Marper v. United Kingdom，[2008] ECHR, 30562/04 and 30566/04.虽然不是直接与通讯数据留存相关，但却与数据留存指令所设置的情境和基于执法目的而采取的数据收集与储存措施相关。该案主要是关于英国国家DNA数据库在公约第8条之下的合规性问题。人权法院回答了在公约第8条规定下，曾经作为嫌疑人，但又未被定罪人员的指纹及DNA数据是否可以持续性留存的问题。早在上世纪70年代，人权法院在Klass v. Germany一案中，就认定截取通讯数据措施构成了公约第8条意义上的干预。在随后的案例中，人权法院又将数据留存措施扩展至录像、录音以及通话。在该案中，人权法院又将指纹、细胞样本、DNA数据纳入《数据保护公约》的调整范围。法院认为，指纹包含了个人的唯一信息，能够在海量的范围中精准识别个人。

数据留存将构成干预，不管是留存于国家机关的数据库还是非国家机关的数据库中，不管是政府官员亲自计量通讯数据抑或由私营通讯公司执行留存任务，同样构成违反公约第8条。欧盟法院在判决中引用了这一解释，认为执法机关使用服务运营商所留存的数据，因此需要根据宪章第7条规定证明其正当性。人权法院认可基于立法原意的犯罪预防与侦查所形成的干预，但也强调成员国在数据留存立法时，对可能让个人关键权利处于危险状态的措施应当“收紧”。人权法院批评了国家对指纹和DNA数据无限期保留的做法，认为如果在刑事司法中不计成本地使用现代科学技术，而未能细致平衡过度使用这些技术与保障重要隐私利益的关系，那么公约第8条提供的权利保障机制将被严重削弱。人权法院批评了英国建立数据库的方式，强调数据留存必须和收集数据的目的构成比例关系，并要求限制留存的期间。另外，留存无关的数据、行为严重性或者嫌疑人年龄等方面的数据均不符合公约规定。

人权法院认为无罪推定和遭受污名化的风险要求对定罪之人和未定罪之人实施不同的数据处遇，在当下的背景下，要特别关注污名化风险对于申诉人的影响，未被定罪的人有权享受无罪推定，因此不能同已定罪之人等同处遇。对于嫌疑人而非定罪之人进行“全面而无差别”的数据留存构成了“恣意”，因此未能在平衡公共利益和私人利益间实现公平。另外，立法者需要区分严重犯罪、普通犯罪与轻微犯罪的界限，以此在数据留存的情境中更好去平衡国家利益和个人利益，建立已入库数据的移除机制。独立审查机制必须被建立来评估留存的理由，比如犯罪的严重程度、被怀疑的力度和其他可以评估留存正当性的标准。在该案中，英国超出了任何可接受的裁量空间，违反了公约第8条。

3.秘密监控中的数据留存如何规制

人权法院在Klass v. Germany一案中，构建了针对国家实施电话监听措施的隐私权保护规则。然而，这类监控措施只要满足“符合法律规定、契合立法目的以及在民主社会中的必要措施”几个要件，就可被容许。在后来的判例中，人权法院又逐渐完善了秘密监控规则。在Rotaru v. Romania[注]参见：Rotaru v. Romania[2000] ECHR, 28341/95.一案中，人权法院认为，使用安全设备来系统收集和储存特定个人的数据，即便没有使用秘密监控的方式，也构成对私人生活的干预。在该案中，将申诉人的信息储存在文件中的卡片上，虽然这些不涉及敏感信息，也可能永远不被使用，但依然构成了干预。在Uzun v. German[注]参见：Uzun v. German[2010] ECHR, 35623/05.一案中，法院认为，判断一个人的私人生活是否受到干预时，需要考虑很多相关因素。任何系统的或永久的记录来源于公共领域，就有可能涉及干预。需要进一步考虑的因素包括：是否存在涉及特定的人的汇编信息，是否有处理和使用个人数据，是否以超出可预见的方式或程度出版有关材料。人权法院认为，当国家公权力采取秘密监控措施时，由于缺乏公众监督和滥权风险，法律的兼容性要求国内法提供充足保障以防止公权力恣意干预隐私权。对于法的可预见性，法院指出，如果法律允许无差别的干预，问题将并不仅仅在于法律的精准性。因此，可能会启动适用拦截命令的违法行为的性质；对通信监控对象类别的定义；监控的时间限制；审查、使用获取数据的程序；与第三方通讯时采取的预防措施以及获得的数据必须被删除或销毁记录的情况，都必须规定在成文法中。

4.欧洲人权法院对数据留存的基本态度

综合而言，人权法院虽然没有收到直接针对数据留存指令相关的申诉，但在上述的判例中，又足以构建起一套针对通信数据留存的司法裁判指引机制。第一，人权法院在判决中建立了清晰标准和重要基本原则，其中一个关键因素就是明确区分了嫌疑人和非嫌疑人的数据留存处遇。第二，不同的犯罪类型应有不同的留存期限，有效的删除机制和独立审查机制，这些原则均在欧盟法院的裁决中引用，并对其他数据留存措施的影响发挥重要作用。第三，公约第8条的表述事实上由一系列的法律标准构成：立法必须符合法治要求，必须能够被理解，必须具有可预见性。法律必须足够的精确，欧洲人权法院构建的保障体系必须为国内立法提供详细的指引。对于公权机构的“恣意干预”，特别是政府使用秘密权力的重大影响案件，必须要有权利保障。针对这些保障措施的评估必须放在案件的整体环境中考量，包括案件性质、措施的范围和期间，当局有权允许、执行和监管这些措施，以及法律提供的救济措施。只要以恣意或随意的方式运用自由裁量权的，将可能导致对公约第8条的违反。

因此，人权法院关于数据留存的核心观点可以归结为：在电话监听、秘密监控以及秘密情报收集的应用方面，必须有详尽的治理规则和最低限度的保障，特别是在措施期间、数据留存使用的可预见性，第三方机构的获取，数据机密性和整体性的留存程序、销毁程序方面，为了避免滥权和恣意的风险，必须提供足够的保障。

六、后指令时期的博弈

数据留存指令的废除显然是整个欧洲权利支持者的胜利，也充分说明尊重和保护基本权利已经成为欧洲的共识。但是，国家权力并不会就此休止，大有卷土重来之势，这也意味着新一轮的博弈已经开始。

(一)后指令时期的欧盟及成员国面相

指令被废除后，欧洲保护数字自由协会(EDRi)一直对成员国的国内法审查事宜进行追踪。EDRi向欧盟委员会提出，至少有六个国家的现行法律有违反宪章之嫌。委员会作为宪章的监管人，在法律上需进一步研究，并确保成员国的立法符合欧盟法律，并在必要时启动侵权追诉程序。如果委员会只进行“监督”，那么欧盟公民在欧盟法院裁定之后一年内仍有数百万欧盟公民受到非法数据留存法的干预。欧盟委员会基于各方利益权衡，于2017年1月10日出台了全新的《隐私与电子通讯条例》(草案)，以回应欧洲人民对隐私权的关切。该条例强化了对通信内容及元数据的密级提升，除非有例外规定，对任何电子通讯数据的留存均不合法。运营商应当及时清除所留存的数据。终端客户或者受委托的第三方可以留存数据，但必须及时清除元数据。但是，当政府基于国家安全、刑事执法等目的时，运营商应当建立内部程序响应监管机构的数据诉求。这无疑保留了基于侦查执法的数据留存制度。

成员国对待数据留存则呈现出四种立法态度。第一是据理力争的态度，比如英国。英国在欧盟法院废除了数据留存指令后，很快做出回应，于2014年7月10日颁布了《Data Retention and Investigatory Powers Act 2014》。英国政府针对欧盟判决提出了自己的意见，政府认为，数据留存在预防和侦查犯罪过程中发挥了重要作用，关键数据在未来的执法中必不可少。尽管欧盟法院批评了指令的基础性要件，但并未考虑到英国政府在通讯数据体制方面业已建立起的强大保障机制[注]参见：Data Retention and Investigatory Powers Bill Government Note on the European Court of Justice Judgment.。2016年，英国又通过了《侦查权力法》(Investigatory Powers Act 2016)，该法赋予了政府新的监控权，包括强制要求互联网服务供应商留存所有用户网页浏览的完整记录。除了留存互联网连接记录之外，拥有监视权的部门有权强制运营商在手机里植入黑客软件，并收集比以往更多的信息。第二是彻底保护权利的态度。芬兰交通部长克里斯塔·基鲁(Krista Kiuru)已经根据裁决宣布对芬兰法律的全面审查，他说：“如果想成为保护隐私的示范国，芬兰立法必须尊重基本权利和法治。”第三是死灰复燃的态度，比如德国通讯监控法修正案被宪法法院裁定无效后，在长达三年的时间内未起草新的法律。但是在2015年，德国开始着手制定新的数据留存法，并于2016年3月签署了全新的《数据留存法》，该法旨在向执法机构提供电子数据以打击“严重罪行”，要求公共电信和互联网运营商保留各种呼叫详细记录(CDR)。CDR包括电话号码，电话和文本的日期和时间，文本消息的内容以及用于蜂窝呼叫的参与者位置。此外，互联网运营商需要存储用户元数据，如IP地址，端口号以及Internet访问的日期和时间。该法案要求运营商将CDR和元数据存储10周，手机位置数据存储4周[11]。第四就是不置可否的态度，即便欧盟法院废除了指令，也不对已经转换的国内立法进行审查。比如爱沙尼亚、希腊、法国、意大利、立陶宛、拉托维亚等国。

(二)欧洲人权法院的回应：抽象监控立法的可诉性

除了少数极力主张隐私保护的国家，整个欧洲层面的数据留存立法并未因指令的废除而明显减少，反而还在变本加厉地修正、新增立法、扩张监控权，总体情况并不太乐观。因此，欧盟法院的裁决实际上已被架空，此时的欧洲人权法院再次扮演了权利先锋的角色。

在数据留存指令被宣告无效后，欧洲人权法院在2015年和2016年对缔约国的数据留存制度进行了新的诠释。其中2015年的Roman Zakharov v Russia和2016年的Szabó and Vissy v Hungary是其中重要的判例。因为这两个判例质疑了抽象意义上的监控体系，公约第8条对权利干预的审查可以在没有申诉人被实际监控的情形下进行。换句话说，申诉人并不必须成为监控的受害人，只要在监控立法存在的情形下，可能成为受害人就足够了。

在过去，人权法院并不允许针对立法框架的挑战，通常要求侵犯隐私权的具体监控措施存在。但人权法院在Roman Zakharov v Russia[注]参见：Roman Zakharov v. Russia[2010] ECHR, 35623/05.一案中强调，在没有质疑可能性时，受到公众广泛怀疑的秘密监控权滥用可能被认为是不正当的。在这些案件中，哪怕实际的监控侵权风险很低，法院仍有必要加大审查力度。人权法院由此阐明一个观点，监控措施的隐秘性并不会导致措施不可质疑，更不会游离于国内司法机构与人权法院监管。鉴于此，若满足两个要件，申诉人可以声称成为秘密监控措施客观存在以及授权秘密监控措施立法的受害人：第一，审查国内立法的范围是否让申诉人受到影响的人群，申诉人既可能属于争议法律指向的人群，也可能是立法通过设置通讯截取制度而直接受到影响的人群；第二，考虑在国家层面是否有救济措施可供利用，并将依靠这些救济措施的有效性来调整审查力度。在这种情形下，监控的威胁在于通过邮政和通讯服务来限制自由通信。因此，对于所有用户和潜在用户来说，这构成了对公约第8条权利的直接干预，法院有更大的必要进行审查。对于法院过去所构建的个人无权质疑抽象立法的规则，有必要设置一个例外。

在这些案件中，公民并不需要证明对其适用的秘密监控措施存在任何风险。相反，如果国内立法提供了有效的救济，滥权的嫌疑将很难被证明。仅当公民基于个人情况，能够表明他将处于这些措施的潜在风险中，即可声称成为这些立法的受害人。由于任何手机用户均可能成为立法的潜在影响对象，而俄罗斯国内法并未给那些怀疑自己遭受监控的公民提供有效救济。人权法院认为，由于立法的秘密属性、波及范围以及有效救济缺失，对抽象意义的立法进行审查是有正当性的。申诉人由此可以成为在没有具体监控措施存在时的受害人。

在Szabó and Vissy v Hungary[注]参见：Szabó and Vissy v Hungary[2016] ECHR, 37138/14.一案中，申诉人认为，这种规定秘密监控措施的立法长期存在，并没有足够的保障，构成了对公约第8条的违反。人权法院认为匈牙利监控立法规定的入侵性措施并不具有正当性和比例性，尤其是在绝对的反恐权力之下，没有司法控制。这种立法的存在，对于那些法律适用的对象来说，本身就牵涉监控的威胁，这构成了政府当局的干预。

通过这两个案例的判决，欧洲人权法院对缔约国不遵守欧盟法院裁决的情境做出了回应，创建了抽象监控立法的可诉性和权利干预的司法审查必要性机制，从而为下一步欧盟法院与缔约国宪法法院对国内立法的司法审查创造了全新的法治基础。

(三)欧盟法院在tel2和Watson案件中的摇摆不定

2016年12月，欧盟法院合并审理了Tele2 Sverige AB v. Post-och telestyrelsen(C-203/15)[注]该案的基本案情：在《数据留存指令》被废除后的第2天，瑞典电信运营商Tele2告知瑞典邮政通讯局其将不再依据指令转换法LEK第6章规定继续留存数据，并且删除该日期之前的数据。国家警察委员会向邮政通讯总局投诉，表示Tele2已经停止向其发送有关数据，这将可能给执法活动带来严重后果。邮政通讯总局命令Tele2根据LEK第6章规定恢复数据留存工作。Tele2于是向斯德哥尔摩行政法院提起诉讼，但遭到驳回。随后Tele2又向上诉至斯德哥尔摩行政上诉法院，上诉法院认为就争议事项提交欧盟法院解决更为合适。和Secretary of State for the Home Department v. Tom Watson, Peter Brice, Geoffrey Lewis(C-698/15)[注]该案的基本案情：英国公民Watson, Brice, Lewis就DRIPA第1条的合法性问题分别向高等法院、王座法庭提出司法审查申请，要求认定该款不符合“宪章”第7条和第8条以及“公约”第8条规定。2015年7月17日，高等法院、王座法庭裁定数字权利案件的判决中对“欧盟法律强制性要求”适用于成员国的数据留存立法。高等法院认为，由于欧盟法院认为2006/24号指令与比例原则不相符，因此与该指令相符的国家立法也同样不符合比例原则。设立数据留存规则一般性义务的立法违反了“宪章”第7条和第8条，除非该立法为保护这些权利提供了充分的权利保障措施。DRIPA第1条没有为获取和使用保留数据提供明确和精准的规则，并且获取留存数据不是取决于法院或独立行政机构的事先审查。因此违反“宪章”第7条和第8条。内政部国务大臣向上诉法院提出上诉。上诉法院指出，DRIPA第1条授权内政部国务大臣未经法院或独立行政机构事先授权而要求电信运营商留存所有数据，最长可达十二个月。即使该数据不包含通信内容，也可能对通信用户的隐私造成高度侵犯。因此将这一请求提交欧盟法院进行初步裁决。。Tele2案件的争点在于，在宪章第7条、第8条以及第52条第1款和电子隐私指令第15条第1款规定之下，是否需要给运营商附加无差别化数据留存的一般性义务。如果不需要这种一般义务，是否应当让国家机关依法以特殊方式获取数据？是否以特定规则去保护数据安全?是否所有相关数据必须留存6个月？ Watson案件的争点在于，就欧盟法院在爱尔兰数字权利一案中的裁决而言，成员国执法机构根据国内立法获取留存数据是否要强制遵守欧盟法规定，欧盟法院是否打算超越欧洲人权法院根据公约第8条建立的判例法体系，扩张宪章第7条和第8条的解释效力。

欧盟法院最终裁定，根据第7条、第8条以及第52条第1款，国家为打击犯罪需要，要求对电信用户和网络注册者在所有电子通讯过程中产生的位置数据和流量数据进行留存的国内立法，将被修改后的《电子隐私指令》(Directive 2009/136/EC)排除。同时，对流量数据和位置数据实施安全保障，尤其规定国家权力机构能够获取数据的国内立法，具备以下三个情形时将被排除。第一，为打击犯罪的使用目的而获取留存数据时，未将范围限定在严重犯罪。第二，获取留存数据未经法院或中立行政机构事前审查的。第三，对留存数据范围未限定在欧盟范围内的。也就是说，欧盟法院在最新的判例中修正了之前的观点，认为成员国的数据留存立法只要为打击严重犯罪，经过法院或中立机构的事前审查，且在欧盟范围内留存数据，便是合规于电子隐私指令。

同时，欧盟法院认为watson案中的第二个争议不具有可受理性，并对宪章和公约之间的关系进行了说明。《欧盟条约》第6条第3款要求欧盟应尊重公约所保障的基本权利，并作为欧盟法体系的基本原则，但是欧盟并未加入公约，公约就不能被吸纳为欧盟法的法律工具。宪章第52条第3款也支持宪章的权利保护范围可以比公约更为宽泛。宪章第8条在第7条框架下所涵盖的权利，在公约中并未被充分提及。因此，该案中的与指令相关的争点应当完全在宪章的框架下解释。

尽管欧盟法院与欧洲人权法院的功能并不相同，但是在基本权利范畴中，两者时常产生交集，欧盟法院不可避免的在其自身的判例法体系中受到人权法院判例的影响。由于其所处的政治、利益环境比人权法院更加复杂，欧盟法院期望在基本权利问题上能够实现更多的自主决断权，以应对欧洲的利益团体。所以欧盟法院在合并两案中再次做出了妥协。

七、结语

本文通过对欧洲数据留存制度发展沿革的梳理，审视了欧洲法视野之下国家权力与公民权利在通讯网络时代的深度博弈。尤其是在数据留存指令颁行之后，这种博弈开始达到新的高度，并将一个刑事侦查中的措施问题，逐渐上升到涉及整个欧洲人权保障的问题上来。由于欧盟与成员国之间的复杂关系，这样的博弈仍将继续，其背后所牵涉的国家监控权与公民隐私权之间的缠斗，还会在后续通过指令、立法、判例的形式得到更多的考量和完善。在未来，欧洲数据留存体制的发展将对我国产生深刻的影响。毕竟在现阶段，在国家维稳的大背景中，刑事侦查与通讯网络交叉领域的权利保障还几乎是一片空白，国家对刑事侦查与数据收集、留存、利用等环节的国家主义色彩非常浓厚，至少可以认为，在这一领域，国家权力还未能和公民权利建立一种良好的沟通机制。另一方面，公民对隐私权保护的期冀，只能寄托在国家单方面处理个人数据上的善意和善治，比如国家已经对第三方机构私自转卖、出卖公民个人信息的行为实施了入罪化机制，但在国家对自身使用和处理数据，以及网络运营商自身留存数据后进行大数据分析并由此获利而引发的数据所有权等问题，却并未给予明确的权利保障。这在下一步，仍然是值得思考和憧憬改革的方向。JS