欧盟警务执法数据流动机制研究

2022-11-23 15:11林海文刘宏松
关键词:数据保护警务指令

林海文,刘宏松

(1.浙江警察学院,浙江 杭州 310053;2.上海交通大学,上海 200030)

随着大数据时代的到来,互联网服务数据的指数级增长导致执法当局越来越多地依靠电子信息来调查和起诉犯罪,电子证据(E-evidence)应用已成为犯罪调查的关键[1]。由于网络空间的弱地域性特征,可以用于证明案件事实的电子数据呈现出全球分布和高速传输的特征,跨境电子取证已成为网络信息时代打击犯罪的新常态[2]。根据欧盟委员会调查,85%的犯罪案件需要电子证据,其中65%的数据来自私人(互联网)服务提供商(private service provider)[3]。因此,犯罪的调查(不仅仅指网络犯罪)通常要求获得储存在司法机关掌握范围之外的数据和电子证据。然而,许多数据通常是由跨国公司或外国公司掌握。针对存储于境外的数据,一国应该采取怎样的措施或方案获取域外电子证据管辖权?

通常来讲,为获取位于境外的数据,执法机构(Law Enforcement Agency, 简称LEA) 要么通过向数据所在的外国执法当局发出司法合作请求,间接获取执法相关数据;要么通过打通双边法律监管机制,直接接触控制该数据的服务提供商[4]。前者主要在双边或多边法律互助条约(Mutual Legal Assistance Treaty,简称MLAT)框架下获取存储在本国以外的数据,从数据获取的角度来看是一种间接形式的合作,是刑事诉讼中用于引导跨国收集证据请求的“经典”国际法工具;后者主要通过国家执法部门与私人行为体(主要指企业)的直接合作,通常被称为公私伙伴关系(Public-Private Partnership,简称PPP)[5],典型代表是美国云法案(Cloud Act)。欧洲调查令(EIO)是两种模式的过渡机制,建立在司法判决相互承认的原则基础上,用于欧盟内部执行调查措施。

本文聚焦于欧盟警务执法数据流动的机制,分以下四部分对这一问题进行探讨:第一部分对警务执法数据跨境流动进行界定,第二部分梳理欧盟跨境警务执法数据流动的方案,第三部分总结欧盟警务执法数据流动与数据保护的内部规范性协调,第四部分分析欧盟警务执法数据“充分性保护”的评估机制及其实践困境,最后总结反思。

一、警务执法数据流动的界定

由于规则相对分散,需要对基本概念进一步明确。作为协调不同国家立场的国际组织,欧盟尚未对警务执法数据流动的基本概念给予官方界定。就此,欧洲数据保护专员(European Data Protection Supervisor,简称EDPS)呼吁对数据跨境流动进行清晰界定[6]。为解决基本概念的界定问题,约翰·弗雷尔(John Forrer)等从公私伙伴关系(PPP)的角度加以定义,认为这是政府和私营部门组织之间的协定,其中私营组织参与传统上由公共部门提供的公共商品或服务的决策与生产,并且私营部门分担这种生产的风险[7]。跨国公私伙伴关系本质上是国家之间的合作。关于警务执法数据流动,本文采用劳拉·德雷克斯勒(Laura Drechsler)的定义:“警务执法数据跨国流动是指第三方国家的执法部门或者相关国际组织获得位于欧盟的数据的过程。”[8]本文将从欧盟视角,结合LED(Law Enforcement Directive 的简称)的有关规定,①LED 通常为《警务与执法数据保护指令》, 参见: EU Directive 2016/680 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to The Processing of Personal Data by Competent Authorities for the Purposes of the Prevention, Investigation, Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties, and on the Free Movement of such Data, and Repealing Council Framework Decision 2008/977/JHA[DB/0L].[2022-03-21].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.为获取欧盟的警务执法数据的可行路径提供理论解读。

首先,关于数据的表现形式。本文认为,在执法领域所指的数据表现为“电子证据”。“电子证据”是电子形式的数据或计算机数据,即以二进制形式存储或传输的事实、概念或信息[9]。如果证据数字化或者变成能够被访问、查看或通过自动手段处理的二进制形式,就有可能成为电子证据。欧盟认为,“电子证据”不仅包括“由服务提供商以电子形式存储的证据,诸如存储的订阅者数据、访问数据、交易数据和内容数据”,还包括“与电子通信服务、电信和其他互联网或基于应用程序的服务相关的活动产生的电子存储数据,诸如连接、流量、位置数据等内容的用户信息”[4]。

其次,关于数据的应用主体。界定警务执法数据传输的关键是明确提出数据传输要求的主体。欧盟对“主体”提出全新定义,LED 第3(7)条规定,“主管当局(competent authority)”包括两类行为者:公共部门和私人部门。第3(7)a 条规定,主管当局是任何主管第1(1)条规定的执法目的的公共机构。根据TFEU 第87 条关于欧盟内部警察合作的规定,这不仅指“传统的”执法机构,如警察、法院、检察院、海关和其他专门的执法机构,②参见: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12012E%2FTXT.还包括边境警卫、金融情报单位和任何其他负有执法任务的私人行为体[5]。LED 第3(7)b 条规定,主管机构还可以是“受国家法律委托为第1(1)条规定的执法目的而行使公共权力和公权力的任何其他机构或实体”,包括公私伙伴关系中的私人当事方,私人机构从公共机构手中接管传统上被认为属于国家垄断的执法任务的情况。因此,LED 第3(7)b 条中提到的“其他机构或实体”似乎着眼于未来,预计国家的执法方式将沿着当前的私有化和公私伙伴关系的趋势变化,特别是警务私有化[10]。

再次,关于数据的应用范围。欧盟对于基于预防、调查、侦查、起诉刑事犯罪行为以及执行刑法等有关的请求向第三方(国家或国际组织)的数据传输积极认可。③EU Directive(2016/680), para4。参见:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.LED 第1(1)条规定,本指令就主管部门为预防、调查、侦查、起诉刑事罪行或执行刑事处罚的目的而保护处理个人数据的规则,包括对公共安全威胁的防范和预防。然而,在实践中,欧盟成员国对什么构成刑事犯罪有不同的看法,一些成员国将这一概念理解为包括最终可能导致刑事指控的行政违法行为[11]。LED 前言第12 条(Recital 12)明确指出,指令的实质范围包括“警方在事先不知道某一事件是否属于刑事犯罪的情况下进行的活动”。LED 前言第27 条(Recital 27)进一步指出,“数据处理不必完全在预防、调查、侦查或起诉具体刑事犯罪的有限范围内进行”,还包括为了“发展对犯罪活动的理解和在所发现的不同刑事犯罪之间建立联系”的处理。衡量一个真实或潜在的网络安全事件的规模和威胁程度,原则上应属于LED 框架下的处理活动;但是主管当局在其他授权任务中为其他目的进行的任何数据处理,包括为公共利益、科学或历史研究或统计目的的存档,则属于GDPR 规制范畴。①Article 9(2) and Recital 12 of LED.

最后,关于数据传输主体“充分保护”的认定。由于个人数据是个人隐私权和身份权的重要体现,受到《欧盟基本权利宪章》规制。2015 年,欧盟法院(Court of Jusitc of European Union, 简称CJEU)判决的Schrems I 案中提出,“数据传输需求的第三方国家应执行具有同样的基本数据权利保护标准的机制。”②参见:https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62014CJ0362.在此背景下,欧盟委员会于2016 年提出了关于电子证据和信息获取的新规则,以更快、更有效地保护并获取电子证据,确保欧盟内所有提供服务的供应商遵守同样的义务。该提案包括欧盟2016/679 条例(GDPR)③《通用数据保护条例》(General Data Protection Regulation),简称GDPR。参见:https://eur-lex.europa.eu/eli/reg/2016/679/oj.和欧盟2016/680 指令(LED),旨在为与服务提供商合作建立一个共同框架并提高法律的确定性和清晰度。获得充分性认定将使个人数据可以从欧盟流向第三国,无须任何进一步的保护,否则会导致跨境数据传输的难题。欧盟正是借此牢牢掌握了美欧之间数据流动博弈的主动权。④参见:李丝默. 中美欧博弈背景下的中欧跨境数据流动合作[J]. 欧洲研究,2021(6):1-24.

二、欧盟警务执法数据流动方案

关于电子数据跨境取证管辖,在国别层次形成了数据存储地模式和数据控制者模式两大方案。以数据存储地模式为依托的跨境执法数据传输采用“刑事司法互助”模式,以数据控制者模式为依托的跨境执法数据传输采用“充分性认定”的方式。其中,传统的数据存储地模式以国家疆域为基础,因其适用困难、取证效率低下而有所松动,数据控制者模式依托跨境云服务提供者,实现了对前一模式的部分取代[12]。为了提升警务执法数据应用的效用,欧盟正在由传统的依赖“刑事司法互助”的间接数据传输模式向依赖“充分性认定”的直接数据传输模式转型,该转型过程经历了数据保留机制的废止、刑事司法互助机制作用的弱化、“相互承认”机制的加强以及“充分性保护”认定机制的启动等过程。总体来看,随着数字社会的全面到来,私营企业和公共执法机构直接合作的趋势愈发强烈[13],“相互承认”机制与“充分保护”认定机制将成为欧盟对外数据传输合作的主要模式。

(一)数据保留机制的废止

九·一一事件后,欧盟执法机构开始加强执法数据方面的合作。2004 年西班牙恐怖袭击发生后不久,欧盟的四个成员国(法国、爱尔兰、瑞典和英国)共同起草并公布了《欧盟数据保留指令》(简称《指令》)草案。⑤草案全称:Draft Framework Decision on the retention of data processed and stored in connection with the provision of publicly available electronic communications services or data on public communications networks for the purpose of prevention,investigation, detection and prosecution of crime and criminal offence including terrorism, Council doc. 8958/04, Brussels, 28 April 2004[DB/OL]. Database eurocrim(2004-04-28)[2022-03-21].https://db.eurocrim.org/db/en/vorgang/81/.2006 年,欧盟正式颁布《指令》。《指令》首次规定了公共电子网络与电信领域数据保留时间(由六个月到两年不等)、数据保留的类型,并要求通信公司⑥通信公司或通信运营商是指经监管机构授权运行电信系统的公司。(电子通信服务Electronic Communications Services 或公共通信网络Public Communications Networks 的提供者)保留属于个人或法人实体的数据,包括:名单数据、流量数据⑦流量数据是指在电子通信网络上为通信而传输的任何数据或进行计费而处理的任何数据。、位置数据⑧位置数据是指在电子通信网络中或通过电子通信服务处理的,表明公开电子通信用户的终端设备地理位置的任何数据,包括IP 地址等信息。。该指令要求保留数据以供执法机构使用,目的是促进刑事调查和反恐合作。但该指令对于数据持有及监管的要求十分粗略,仅仅在数据的获取、保护责任上有部分规定,因此后来饱受质疑。⑨参见:Franziska Boehm and Mark D. Cole. Data Retention after the Judgement of the Court of Justice of the European Union.https://www.zar.kit.edu/DATA/veroeffentlichungen/237_237_Boehm_Cole-Data_Retention_Study-June_2014_1a1c2f6_9906a8c.pdf.

对于《指令》的争议,主要集中于《指令》应当以欧盟为第一支柱还是第三支柱为立法依据。①关于欧盟三大支柱的具体内容,参见:Three Pillars of the European Union, http://self.gutenberg.org/articles/Three_pillars_of_the_European_Union.《指令》的出台使移动电话运营商的数据保留规范化,因此,可以认为该指令涉及经济政策,符合以第一支柱为支撑的条件。同时,该指令的出台是为了扩大执法机构的数据权限,主要目的是刑事领域的合作,因此也符合以第三支柱为法律支撑的条件。然而,第一支柱和第三支柱政策的出台要求不同,第一支柱的政策必须由欧盟委员会提出,需要获得大多数同意才可通过;而第三支柱的政策则由欧盟某一具体国家提出,需要所有国家同意才可通过。《指令》通过后不久,爱尔兰和斯洛伐克向欧盟法院提起诉讼,②爱尔兰和斯洛伐克的具体起诉状和欧洲法院的判决,参见:Judgment of the Court(Grand Chamber), Ireland v Parliament and Council, C-301/06,10 February 2009, http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130 d5ef438a96eaae4a758e64c4539c3fa658.e34KaxiLc3eQc40LaxqMbN4OahmTe0?text=&docid=72843&pageIndex=0&doclang=en&mod e=lst&dir=&occ=first&part=1&cid=615870.质疑《指令》的法律依据。例如,爱尔兰认为该指令应当以第三支柱为立法依据,因为《指令》的目的是警务执法合作。《指令》第一条中提到要“确保电子信息服务商有义务保留客户数据的规定,确保有关信息可供调查、侦查和起诉严重的犯罪行为。”③具体内容参见:EU Data Retention Act Article 1.因此,爱尔兰认为该指令的主要目的并非保证电子信息服务商的单一市场运作,最主要的目的是赋权执法机构获取已保留的电子数据。

欧盟法院认为,《指令》不仅规范了执法合作的数据保留行为,还规范了执法需求以外其他的行为,④具体内容参见: CJEU Case C-301/06 Ireland v. Parliament and Council,para 83, https://curia.europa.eu/juris/liste.jsf?n um=C-301/06.认定了《指令》以第一支柱为立法依据的合理性,驳回了爱尔兰和斯洛伐克的起诉。欧盟法院的裁定依据以下推断:假如欧洲法院裁定不应当以第一支柱为法律依据,那么指令将会以第三支柱为法律依据通过;若是以第三支柱为立法依据,欧洲议会及其监督机构欧洲数据保护专员(EDPS)将无法参与到《指令》的立法过程。在欧洲法院看来,立法过程中欧洲议会的缺失可能会让用户的权益保护受到影响。

总体来看,由于《指令》涉及了大量无关嫌疑人的数据,因此《指令》一直受人诟病。一些欧盟成员国法院纷纷裁决国内化后的《指令》违反本国宪法。2014 年的4 月8 日,欧盟法院作出了一个里程碑的裁判,认为《指令》违反了《欧盟基本权利宪章》第7 条和第8 条内容,整部《指令》被宣布无效。

(二)通过“刑事司法互助”机制间接获取

“刑事司法互助”制代表了经典的基于条约的机制,允许外国执法机构在尊重刑事司法管辖权和国家主权的基础上,为进行中的刑事调查和诉讼提供合作和协助。传统上,刑事司法互助是跨境收集刑事证据的最主要渠道,是一种“请求模式”(request model)。根据MLAT 程序,国家司法机构可以通过提交一份司法申请向另一主管(外国)国家当局请求法律援助,由接受国司法审查机构核实,然后决定是否实施或协助履行该请求。[4]MLAT 实施依据既可以在国际协议(如《欧洲理事会关于网络犯罪的公约》)中找到,也可以在欧盟成员国或欧盟与美国等第三国签署的双边协议中找到。例如,欧盟与美国当局提出的电子数据要求,仍须受双方于2003 年签署的《法律互助协定》规限。⑤European Union and United States of America. Agreement on Mutual Legal Assistance between the European Union and the United States of America, OJ L181//41. EUR-Lex. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:22003A0719(02).

2000 年5 月29 日,欧盟理事会依据《欧洲联盟条约》第34 条制定了《欧盟成员国间刑事司法协助公约》(2001 年又进一步签订《附加议定书》),这是欧盟层面的第一个司法协助文书。⑥就刑事司法协助而言,还签有《欧洲刑事司法协助公约》,并于后续签署了《欧洲刑事司法协助公约附加议定书》。这些属于国家间协议,而欧盟层面的公约具有超国家性质。参见:肖军. 欧盟领域内追逃追赃的经验与启示:以欧洲侦查令为切入点[J]. 中国人民公安大学(社会科学版),2016(3):62-74.《欧盟刑事互助公约》提供了一个以传统的刑事司法援助办法为基础的框架[3]。与以往的国际MLAT 协议不同,欧盟MLAT 公约包含了对电信拦截的明确规定。①Artical 17 to 22 of EU MLA Convention.但欧盟委员会也同时认识到,这种机制表现出许多问题:

首先,国际刑事司法协助制度“极其复杂、耗时”,这很大程度上阻碍了犯罪的有效控制和侦查。②Progress Report Following the Conclusions of the Council of the European Union on Improving Criminal Justice in Cyberspace, 15072/1/16 REV 1, Brussels, 7 December 2016, pp: 4-5, https://data.consilium.europa.eu/doc/document/ST-15072-2016-REV-1/en/pdf.就国际刑事司法协助而言,在实践中往往发现,目标电子数据的地理位置难以快速查明,被请求国缺少必要的电子取证措施,被请求响应机制过于缓慢以至于容易导致数据的损毁、灭失,甚至被请求国可能直接拒绝提供协助[14]。即使按照国际司法协助的流程顺利开展,一般也需要10个月左右的时间才能完成,到司法协助请求最终被具体执行时,相应的数据极有可能早已遭到更改或者破坏[15]。

其次,随着表层网络(surface web)治理强度的不断上升,犯罪分子越来越多地向深网(deep web)甚至暗网(dark web)下潜,以隐匿身份或隐藏行踪,在无法准确定位犯罪分子及其活动对应地理坐标的情况下,刑事司法协助机制基本上瘫痪[16]。国际刑事司法协助制度的强地域性与网络空间的弱地域性相矛盾,促成了传统的跨境数据传输的“矛盾”:高效获取电子证据以有效打击犯罪的现实需求与漫长、低效的刑事司法协助机制之间的矛盾。

最后,请求事项很可能因政治因素不符合国际法上的“双重犯罪原则”(principle of double criminality)而被请求国所拒绝[15]。国际法原则上,一国的执法管辖权受到严格的地域限制[2]。因此,即便一国有权将某种域外行为纳入本国刑法体系的管辖范围,也并不意味着该国的执法机关有权跨越边界线直接对该行为开展调查取证和后续的司法活动[16]。基于执法管辖权的强地域性限制,原则上一国的跨境执法活动需要建立在相对国承认或同意的基础上。原先基于物理场域系统构建的针对传统犯罪的刑事诉讼制度难以及时有效地应对如此大规模的犯罪转型,犯罪形势与犯罪治理之间错位日益明显[17]。

根据MLAT 一般程序要求,申请执法数据将面临冗长的司法审查程序,导致案件侦查缺乏效率[4]。绕过MLAT,执法机构与国外服务提供商之间的非正式合作逐渐成为获取非内容数据的重要渠道。③Vanessa Franssen, The European Commission’s E-Evidence Proposal:Towards an EU-wide obligation for Service Providers to cooperate with Law Enforcement? European Law Blog, 12 October 2018, http://europeanlawblog.eu/2018/10/12/the-european-commissions-e-evidence-proposal-toward-an-eu-wide-obligation-forservice-providers-to-cooperate-with-lawenforcement/.

(三)“相互承认”机制下的有限获取

为使跨境数据调查更快、更有效,欧盟通过刑事司法领域跨国公私合作——欧洲调查指令(European Investigation Order,简称EIO)推动欧盟成员国及域外国家在相互承认(mutual recognition)的基础上收集、处理和传输数据与电子证据。④这一相较新的欧盟文书取代了适用于欧盟成员国间的双边或多边协议,对欧盟的外部成员合作仍然适用原有的双边或多边协议。Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014L0041&from=FR.

相互承认机制最早应用于刑事诉讼或执行判决的请求者的构想,其制度代表是关于欧洲逮捕令的框架决定,至今已经运作近20 年[3]。欧洲逮捕令是一项司法决定,它是由某一成员国颁发(签发)的关于逮捕和移交在另一成员国的被请求人的决定,目的是为了起诉或执行监禁和羁押[19]。2008 年,欧盟理事会第2008/978/JHA20 号框架决定设立欧洲证据令(European Evidence Warrant,简称EEW),目的是获取用于刑事诉讼的物品、文件和数据,以进一步加强在收集证据领域的互助。它补充了2003 年《关于在欧盟执行冻结财产和证据命令的框架决定》。⑤Council Framework Decision 2003/577/JHA of 22 July 2003 on the Execution in the European Union of Orders Freezing Property or Evidence. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32003F0577.该决定是第一个在获取证据领域实施相互承认原则的文书。但是欧洲证据令(EEW)适用范围有限,欧盟理事会第2008/978/JHA20 号框架决定仅仅适用于欧盟成员国之间。①EU Directive(2016/680),para4,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.

随着2009 年《里斯本条约》的生效,欧盟电子证据传输从法律互助机制逐步走向资格互认机制。《里斯本条约》生效后,欧盟制定了一整套涵盖数据保护、刑事司法、警察执法合作和网络犯罪的欧盟法律[20]。其中,《里斯本条约》第67(3)条和第82 条具体规定了相互承认原则。相互承认原则建立在成员国之间的相互信任的基础上,即一个成员国的司法裁决应在另一个成员国得到承认。因此,根据新规,一项请求的合法性、必要性和相称性由提出请求的成员国的司法机构加以核实,而无须在接受国通过额外的承认程序。相互承认要求各国法律协调一致,这意味着在一个成员国的刑事犯罪也必须在其他成员国构成刑事犯罪。在相互承认机制下,发出国的请求在接收国或执行国的管辖范围内具有“准法律效力”(quasi-automatic legal effect)[21]。

2014 年,EIO 进一步推动相互承认机制的发展与完善。该指令为所有类型的证据提供单一标准的指令,允许一个成员国的执法机构请求另一个成员国执法当局执行调查措施,其中,包括电子证据的生成和保存。EIO 也是基于相互承认的原则,旨在促进成员国之间刑事案件证据的收集和传输。②Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 Regarding the European Investigation Order in Criminal Matters, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014L0041&from=FR.同时,EIO 是一项司法决定,由一个成员国发出或确认在另一个成员国执行一项或几项具体调查措施以获取电子证据。③Article 1(1) of the EIO Directive.EIO 扩大了EEW的适用范围,涵盖了从冻结证据到转移现有证据的整个过程,其主要目标是减少收集证据的碎片化程度,并建立一个更连贯的工具,适用于其他类型的证据。④Lorena Bachmaier Winter, European Investigation Order for Obtaining Evidence in the Criminal Proceedings. Study of the Proposal for a European Directive, in: Zeitschrift für Internationale Strafrechtsdogmatik, No. 9/2010, p. 581. https://zis-online.com/dat/artikel/2010_9_490.pdf.a此外,它还规定了答复请求的最后期限,限制了拒绝请求的理由,并且为克服语言障碍引入了提交请求的标准格式。⑤European Commission Press Release, As of Today the European Investigation Order will Help Authorities to Fight Crime and Terrorism. http://europa.eu/rapid/press-release_IP-17-1388_en.htm.

EIO 标志着欧洲立法者在获取证据方面从MLAT 原则进一步走向相互承认。相比“一事一申请”的MLAT 制度,相互承认机制大大节约了警务执法数据跨境获取的成本,提高了传输的效率,从而有利于打击犯罪的整体效能。但是当面对存储于欧盟之外的第三方的数据需求(尤其是欧盟公民的数据主要由总部设在美国的服务提供商和数字平台处理)时,EIO 制度存在适用的局限。⑥它的存储和位置通常取决于业务架构选择,而不是传统的调查权限。这些挑战主要来自电子数据信息的“波动性”,因此,执法机构对另一个国家管辖下的数据的访问因请求的跨国和跨管辖性质而延迟。⑦European Commission, ‘Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters and Proposal for a Directive of the European Parliament and of the Council Laying Down Harmonised Rules on the Appointment of Legal Representatives for the Purpose of Gathering Evidence in Criminal Proceedings, SWD/2018/118 final-2018/0108 (COD), p.20.https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN.

尽管MLAT 机制功能弱化,但相互承认机制并非完全替代法律互助机制[22],法律互助原则与相互承认原则仍相辅相成。值得注意的是,这些措施的效率和基本权利的保护都取决于相关国家和行为者之间的相互信任[23]。这不仅涉及对数据质量本身和合法性等方面的相互信任,还涉及对数据和隐私保护等方面的信任[24]。电子通信的扩散和越来越多的应用推动执法机构在司法协助的合作渠道之外获得属于欧盟管辖的私人公司控制的数据[20]。

(四)通过“充分性保护”向网络信息者直接调取

网络空间的弱地域性与刑事执法管辖权的强地域性之间形成鲜明反差,而程序烦冗且漫长,强地域性的传统国际刑事司法协助机制已经难以有效满足司法实践的要求[18]。目前,对MLAT 和EIO 模型的批评集中于将跨国界数据请求交由外国司法审查而导致案件办理延误[25]。人们多次呼吁消除网络空间中的“刑事调查障碍”,特别是关于获取服务提供商持有的电子信息的司法合作规则的障碍[26]。什么样的机制能够更好地满足当下执法机构对数字证据的需求?在传统国际刑事司法协助难以及时有效满足取证需求的背景下,向网络信息业者直接调取数据成为代表性改革模式[18]。在执法人员可以直接从持有电子信息的服务提供商那里获得电子信息的情况下,犯罪的起诉可能会大幅提高,而且无须首先获得持有数据的公司所在国家司法当局的授权。在此情况下,直接向网络服务业跨境取证的模式应运而生。

网络服务者,主要是数据占有者或者控制者,基于所掌握的技术和资源优势,越来越多地成为执法机关调取证据的对象。欧盟委员会于2016 年提出了关于电子证据和信息获取的新规则,以更快、更有效地保护并获取电子证据,确保欧盟内所有提供服务的提供商遵守同样的义务。该提案包括欧盟2016/679 条例(GDPR)和欧盟2016/680 指令(LED),服务提供商对一般个人数据的处理归属于GDPR的规制范围,而执法机构(LEA)为预防、调查、侦查和起诉犯罪的目的进行的个人数据处理则受LED 规则的规制。2018 年5 月6 日,理事会关于保护在警察和刑事司法合作框架内处理的个人数据的2008/977/JHA 框架决定被2016/680 指令(LED)取代。与前者不同,第2016/680 指令既涵盖了成员国内部数据流动,又涵盖了与第三方(国家或国际组织)之间的数据交流。因此,就范围而言,LED 比之前的欧盟规范有所拓展。为扩大欧盟成员国打击犯罪的效率,提升数据保护水平,在欧盟“相互承认”的制度的基础上发展为“充分性决定”(adequacy decision),①Article 36 of LED.并不断改进和完善。

LED 确定了允许将个人数据转移到第三国或国际组织的条件。这种转移的理由之一是欧盟委员会决定有关的第三国或国际组织拥有“适当水平的保护”制度。例如,根据LED 第36 条,如果第三国或国际组织内的一个或多个特定部门确保有足够的保护水平,则可以向第三国或国际组织传输数据。另外,如欧盟委员会已决定确保上述适当程度的保护,则可将个人资料转移至该第三国或地区执法部门或国际组织,而无须取得任何具体授权。根据CJEU 的规定,第三国的保护水平必须与欧盟保证的水平基本相等,在这方面,第三国须有监督与问责的手段,尽管某种程度的保护的目的可能不同于欧盟内部的保护,但这些手段必须在实践中证明是有效的。因此,充分性标准并不要求逐条反映欧盟立法,而是要确立该立法的本质,即核心要求。

欧盟委员会于2018 年又起草了《刑事调查证据提取和存留命令条例》,其核心措施是在特定条件下由被请求国的适格机关直接向相关信息或网络服务提供者或其在欧盟境内的代理人发出针对特定数据的“欧洲提取令”(European Production Order)或“欧洲留存令”(European Preservation Order)。根据该《条例》,只要网络服务提供者在欧盟境内提供服务,成员国相关机关可以直接向其发出电子证据提取和留存指令。该背景下,在寻求服务提供者有效的资源合作的基础上,通过提取令、留存令制度而转向跨境数据的强制披露[26],克服了服务提供商与执法部门数据交流的低效困境,促进了基于电子数据的调查和起诉,为跨境犯罪调查提供了更加有利条件。

三、欧盟警务执法数据流动与数据保护规范的融合

在规则建构层面,GDPR 确立了跨境数据流动的欧盟立法范式,数据跨境流动融入欧盟个人数据保护的标准规范体系。②例如,数据传输的一般原则(GDPR 第44 条)是针对出境数据的永久最低保护标准;充分性决定(GDPR 第45 条)是针对特定国家“整体适用”欧盟个人数据保护标准的法律方案;标准数据保护条款(GDPR 第46 条)是针对特定商事主体“个别适用”欧盟个人数据保护标准的法律工具。参见:金晶. 个人数据跨境传输的欧盟标准——规则建构、司法推动与范式扩张[J]. 欧洲研究, 2021(4):89-109.目前,欧盟的数据保护法律框架已发展到承认两种不同的数据保护制度适用于公私伙伴关系中的信息共享:一种是通用性数据保护制度(GDPR),一种是执法当局为执法目的进行的数据处理制度(LED)。在数据保护改革过程中,前者继承了《数据保护指令》(95/46/EC)规范,后者继承了《框架决定》(2008/977/JHA)规范。①European Commission, Explanatory Memorandum to the Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, COM /2012/010 final -2012/0010 (COD), para 3.4.1. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52012PC0010&from=ES.通过普通法与特别法相结合的方式,欧盟实现了数据保护规范的整体适用与个别适用相融合。欧盟修正了原有数据保护法律框架中对私营部门向执法当局传输数据规制空白的缺点,实现了对刑事执法数据处理的全面监管[27]。

(一)整体适用

GDPR 是规范数据主体(即数据被收集和处理的个人)和数据控制者(即收集和处理这些个人数据的公司和政府)权利和义务的关键法律来源[28]。欧盟立法者认为,一旦超出GDPR 的适用范围,就存在数据接收国(第三国)无限制使用个人数据的风险,因此,GDPR 对数据跨境传输采取了“原则禁止+例外允许”的基本模式[29]。这种双重制度的出现是由于执法部门在预防和调查犯罪方面的特殊需要。例如,在某些情况下,通知嫌疑人收集数据会损害刑事调查的利益。②Recital 10 of the LED.当警察和刑事司法当局处理个人数据时,对他们的保护由另一个来源的法律所规范,即LED,③Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation,detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data,and repealing Council Framework Decision 2008/977/JHA, pp. 89-131, https://eur-lex.europa.eu/legalcontent/EN/TXT/HTML/?uri=CELEX:32016L0680&from=EN, accessed on 28.08.2020.其目的是通过促进欧盟成员国与域外国家的警察和刑事司法当局之间更有效地交流来改善欧盟在打击恐怖主义和跨境犯罪领域的合作。④Protecting Personal Data When Being Used by Police and Criminal Justice Authorities (from 2018), https://eurlex.europa.eu/legal-content/EN/TXT/HTML/?uri=LEGISSUM:310401_3&from=EN, accessed on 28.08.2020.GDPR 和LED 确立了欧盟个人数据处理的基本原则和最低标准,目的是确保对个人权利,特别是隐私权的尊重。

如前所述,LED 适用于主管当局为预防、调查、发现或起诉刑事犯罪或执行刑事处罚的目的而处理个人数据,包括防范和预防公共安全威胁。但凡主管当局处理个人资料的目的并非为该指示的目的,例如雇用、人员培训、存档及警察指示第9(2)条所列的目的,⑤Article 1(1) of the LED.即使这些任务是由法律赋予的,要适用GDPR。同样,如果主管当局以外的机构或实体最初为其他目的收集个人数据,并为调查、侦查或起诉刑事犯罪的目的进一步处理这些数据,即使是根据法律义务,这种处理也将受到GDPR的约束。

但是,LED 与GDPR 有所不同。欧盟颁布的GDPR 是一项规章(regulation),适用于个人数据处理的一般规则,LED 是一项指令,规定适用于个人数据处理执法目的的具体规则,统一数据保护规则并不适用于所有的欧盟法律领域[30]。事实上,在实现国家间协调方面,规章比指令更有效。因为指令约束力的选择权留给成员国,特别是当指令仅规定了最低限度的协调时,协调的程度就较小。而在指令的范围内,协调取决于成员国之间的一致解释和应用。就隐私权利保护而言,GDPR 着重解决雇主代表的企业利益与个人的隐私权利;而LED 着重解决国家机关代表的公共安全利益与个人隐私保护。就人的尊严标准而言,GDPR 以人的尊严为标准,对为了“更高的”利益而侵犯隐私的行为做出了可接受和不可接受的区分,而LED 中没有任何条款明确提到人的尊严权。在解决冲突方面,GDPR 强调“牺牲”雇主的利益,而在LED 所规范的情况下,国家机构代表的公共利益具有优先性。

(二)个别适用

虽然GDPR 规定了一般的数据保护规则,但LED 作为特别法运作,承认执法活动的特殊性质,是欧盟立法者考虑警务与刑事执法中数据保护的特殊规定,专门为执法部门在数字时代处理个人数据而设计[31]。

一般来说,属于GDPR 范围内的事项受到了更多的实质性限制,而在LED 范围内的处理受到的实质性限制较少,但也有更严格的合规性的要求。例如,与GDPR 第6 条规定的允许控制者有选择最合适的合法处理的六个一般理由相比,LED只有一个合法处理的理由,这就是“主管当局为执法目的执行任务”的必要性,而该要求是基于国家或欧盟的法律(LED 第8(1)条)。此外,指令规定了“处理的目标、要处理的个人数据和处理的目的”(LED 第8(2)条),根据该指令,执法当局在数据方面拥有的“权力”更大,也更具侵入性。

GDPR 第9 条明确禁止处理“敏感”数据,除非列出一个或多个适用例外的情况,而LED 第10条没有使用禁止性语言。相反,它只是说处理特殊类别的个人数据应该是“绝对必要的,要对数据主体的权利和自由采取适当的保障措施”,并依靠其中的一个法律理由。根据GDPR 第13 条,必须提供关于自动决策的存在或为不同目的进一步处理的意图,以及跨境数据转移的可能性的信息,但根据LED 则不需要。与GDPR 第13 条相比,LED 第13(1)和(2)条规定的数据主体的信息权利是有限的:关于数据接收者和国际数据转移的信息只能在“特定情况”下提供;关于存在自动决策或为不同目的进一步处理的信息,在GDPR 第13 条下必须提供,而在LED 下则没有。根据LED 第13 条第3 款,国家法律可以进一步限制信息权,其中包括避免妨碍官方或法律查询、调查或程序;保护公共或国家安全以及他人的权利和自由。上述内容表明,确定信息共享的具体范围对数据主体的权利、信息共享伙伴的(限制)权力以及信息共享的合法性具有重大影响。有两个因素是界定指令的实质范围和确定两个数据保护文书中哪一个适用的关键:处理个人数据的行为者必须是警察指令第3(7)条意义上的“主管当局”以及处理必须是为了第1(1)条规定的“执法”目的而进行的。

事实证明,LED 和GDPR 之间的划界焦点在于隐私权的保护程度,尽管隐私权受到国家和国际法律框架的规范,但隐私权的保护仍不断面临新的挑战[32]。作为国际和国家承认的基本人权,隐私和人的尊严密切相关,由于现代技术的发展,特别是在其与保护安全和预防犯罪的公共利益相冲突的情况下,两者都受到了严重威胁。一个详细而全面的立法框架不仅规定了个人数据保护的基本标准,而且还规定了监测机制和对其违反行为的有效制裁,这是有效保护隐私权和人类尊严的一个关键前提条件。然而,实际的保护并不仅仅取决于立法框架,还取决于数据保护的评估监督机构应用这些条款的方式[30]。

四、欧盟警务执法数据“充分性保护”的评估及其实践困境

通过结合数据主体的权利和处理数据者的义务,由独立机构对此类处理和监督行使控制,可以实现充分性。然而,数据保护规则只有在可执行和在实践中遵守时才有效。因此,不仅需要考虑适用于转移到第三国或国际组织的个人数据规则的内容,而且还要考虑确保这些规则的有效性的现有制度。根据欧盟的数据保护机制,个人数据不会被自由地传送到其境外。相反,欧盟为这些目的引入了一个特殊的“过滤器”,即充分性保护机制。作为一般规则,只有当接收方保证“充分”的保护水平时,欧盟成员国才允许将个人信息传输到第三国。根据欧盟法院的规定,第三国的保护水平必须与欧盟的保护水平基本相当。为了达到这种保护水平的目的,第三国所诉诸的手段和方式,可能与欧洲联盟内所采用的有所不同,但“这些手段必须反应欧盟数据保护的本质要求,并在实践中证明是有效的”。①参见:https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62014CJ0362.第三国应提供保证,确保基本相当于欧洲联盟内所确保的适当保护水平,特别是在数据由一个或几个具体部门共同处理的情况下,更应当如此。②Recital 67 of the LED.如果欧盟委员会已决定评估第三国具有确保提供足够的保护机制,可将个人资料转移至该第三国执法机构或国际组织,而无须取得任何特别授权。欧盟委员会作出充分认定的目的是正式确认对第三国或国际组织的数据保护水平基本上等同于欧盟的数据保护水平。

(一)评估机制

评估是实现数据保护机制中的一个重要组成部分。①参见:https://www.europeansources.info/record/judgment-in-case-c-362-14-maximillian-schrems-v-data-protectioncommissioner/.高效的评估执行机制对数据保护规则的有效性至关重要。②Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, https://edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf.1995 年,欧盟第95/46 号指令初次引入数据保护局(Data Protection Agency,简称DPA),成为欧盟执法和跨境数据传输的主要监督机制。在欧盟第95/46 号指令之后,欧盟第2016/680 号指令(LED)第41(3)条规定,成员国有义务建立独立监督机构(Independent Supervisory Authority,简称ISA),以促进该指令在欧盟范围内的一致应用。

就评估的具体标准和要求而言,LED 第36(2)条确定了欧盟委员会在评估第三国或国际组织保护水平的充分性时应考虑的要素。具体而言,委员会应考虑法治、对人权和基本自由的尊重、有关立法以及此类立法的实施情况,为其个人数据被转移的数据主体提供有效和可强制执行的行政和司法补救等方面的内容。为评估LED 第36(2)a 条是否满足,EDPB 认为,评估LED 在监测领域的充分性时,必须考虑这些建议中列出的保证,并考虑监测领域的具体情况。关于LED 第36(2)b 条的要求,第三国不仅应确保有效的独立数据保护监督,还应与成员国的数据保护当局建立合作机制。③Recital 67 of the LED.LED 第36(3)条规定至少每四年必须进行一次定期审查。LED 第36(4)条规定,欧盟委员会有责任持续监督可能影响充分性决定功能的发展。值得注意的是,根据LED 第36(5)条,当第三国或国际组织不再确保适当水平的保护时,欧盟委员会有权废除、修改或暂停现有的充分性保护决定。

此外,LED 第45(1)条规定,每个成员国的数据监督机构应有权在其成员国的领土上执行根据该指令分配给它的任务,并行使赋予它的权力。同时,第45(2)条规定,成员国应规定每个监督机构在以其司法身份行事时,无权监督法院的处理业务。

为履行其根据LED 第51(1)条向欧盟委员会提供意见的任务,欧洲数据保护委员会(European Data Protection Board,简称EDPB)应收集所有有关文件,包括有关函件和欧盟委员会作出的调查结果。无论如何,欧盟委员会提供的资料应详尽无遗,并使EDPB 有能力评估第三国执法机构或国际组织的资料保护水平。EDPB 将在适当的时候就欧盟委员会的调查结果提供意见,识别适当框架中的不足之处(如果有的话),并在必要时提供可能的建议。

(二)实践困境

在实践中,执法行为者可以要求甚至命令服务提供商披露存储在国外的数据。然而,风险在于,执行这样一项请求或命令可能违反有关国家适用的(国家或超国家)法律。在微软爱尔兰案的长期纠纷中,直接(即非司法调解)请求访问服务提供商持有的电子信息所带来的司法、法律和实践挑战得到了体现。④参见:https://harvardlawreview.org/2015/01/in-re-warrant-to-search-a-certain-email-account-controlled-maintainedby-microsoft-corp/.警务执法数据流动与数据保护形成冲突,包括了数据主权管辖冲突、诉讼规则冲突、数据控制者合规冲突等。

具体而言,外国执法当局单方面获取私人公司持有的个人数据,在超出现有的跨国司法合作法律渠道的情况下,造成了一些困境和法律不确定性。2019 年欧洲刑警组织(Europol)和欧检署(Eurojust)在联合报告中总结了当前打击网络犯罪的主要障碍,包括:数据的丢失或灭失、位置缺失、国内法律框架障碍、国际合作障碍以及公私合作障碍[33]。2020 年,国际刑警组织报告指出,犯罪分子利用执法管辖的地域限制,通过在全球范围内开展犯罪活动来躲避侦查,导致在未经调解的第三国访问数据和基于国家领土的管辖权概念之间存在固有的紧张关系[34]。在刑事司法制度中,管辖权的概念要求建立民事诉讼制度来处理法律冲突,第三国非法访问数据绕过现有的法律约束渠道,会导致法律不安全和不信任。在直接合作模式下,LEA 直接联系服务提供商,而不受请求国当局的任何干预。然而,正如2016 年欧盟委员会关于改善网络空间刑事司法的问卷调查所指出的那样,直接请求的有效履行仍不确定:一方面由于其法律框架不明确;另一方面,由于难以确保国内生产指令的域外执行。目前,欧盟内部对于直接合作的合法性没有共同立场,出现这种情况有两个主要原因:第一,成员国对国内和国外服务提供商的监管存在差异;第二,对于正在处理的服务提供商来说,没有关于直接向另一个国家的服务提供商发出的请求是自愿的还是强制性的规则[4]。

五、总结与反思

为解决支离破碎的数据传输监管框架,欧盟的数据立法保护呈现出统一标准和范式扩张的趋势[31]。2012 年的《在互联世界中保护隐私:面向21 世纪的欧盟数据保护框架》表明,个人数据传输时,无论控制者地理位置或者其数据处理设备是否位于欧盟,应适用欧盟的标准和规则,创建高水平的欧洲数据保护标准[35]。2017 年,《全球化世界中个人数据的交换和保护》提出,GDPR 提供多种数据传输机制,将国际数据流动和个人保护最高水准相结合,推广欧盟高水平的数据保护标准。 以冯德莱恩(Ursula Gertrud von der Leyen)为主席的新一届欧盟委员会在发展欧盟数据法律标准上更为积极[32]。2020 年,欧盟委员会在《人工智能白皮书》 《欧洲数据战略》 以及《塑造欧洲的数字未来》 中均提出,推广欧洲方法,制定全球标准。欧盟个人数据保护的基本价值随着“充分性决定”工具的应用融入日本、韩国的数据立法改革,东亚乃至全球多国的数据立法进程都奉GDPR 为圭臬。

面对越发频繁的跨国网络犯罪,数据的获取和应用已成为遏制网络犯罪上升的关键,欧盟基于充分性认定的警务执法数据跨境传输机制,为我国对外警务执法数据跨境传输的谈判提供了模式参考。我国应当在数据主权国家战略的基础上,着力探索刑事跨境数据取证管辖模式的中国方案。具体而言,在坚持数据存储地模式的同时,有必要设定例外情形; 在把握数据控制者模式之优势的同时,亦需针对他国采取该模式给我国带来的危害予以对等回应;在程序主义数据主权的框架下,加强与其他国家的平等协商与合作,构建适用于电子数据的刑事取证管辖互惠模式[12]。

为了在常规数据提取措施之外设置配套的网络在线提取和远程勘验,我国于2016 年制定了《电子数据规定》,试图通过制定“网络在线提取与远程勘验”措施,回避执法管辖权的强地域限制,但没有解决正当性缺失的问题[2]。在此背景下,2019 年公安部制定了《公安机关办理刑事案件电子数据取证规则》,将网络在线提取措施的适用范围进行了大幅度限缩,即仅限于境内远程计算机信息系统中的电子数据和境外公开发布的电子证据[36]。这在一定程度上化解了执法管辖冲突的问题[37]。但是网络远程勘验措施仍然可能突破执法管辖权的地域限制,可能出现干预网络安全、数据安全以及个人信息保护制度等情况,有触发他国法律责任的风险[2]。

近年来,我国高发的电信网络诈骗案件、网络赌博案件等表现出犯罪链条向境外转移的特征[38],上述困境也成为困扰我国公安机关打击涉外新型犯罪的瓶颈。从执法管辖权的强地域限制出发,在具体的措施设计上无论是采用传统的刑事司法协助机制,还是创新变通式的取证途径,正当性原则意味着一方面这些措施应当具有国内法的明确授权,另一方面应当建立在相对国同意的基础上[2]。后者则要求跨境侦查取证措施的实施原则上不应当是一种单边行为,而是通常需要以国际公约、条约、双边或多边协议或机制为基础。2021 年,我国《最高人民检察院工作报告》已提出要“规范境外取证”,努力避免出现妨碍相对国的协助意愿以及影响取证实际效果的情况出现。

相较于立法管辖权的不断扩张,近些年来我国国际执法管辖权的相关规定没有多少突破性变化。公安部为适应打击犯罪的现实需要,就国际犯罪侦查活动补充规定了国际警务协作机制,但许多国际警务合作机制还有待于进行细化规定[2]。对未来网络犯罪的治理,首先要解决的是如何有效利用多节点治理资源和能力,优化犯罪治理效果,而网络犯罪多节点的协同共治,关键在于程序性规则的有效衔接[39]。这一方面需要在犯罪治理的不同阶段,基于信息生命周期管理的一般理论,建立信息管理和审查的统一或示范性规范;另一方面,需要在一定程度上打破传统的公私界分,探索犯罪治理的公共资源和私人资源之间的有效融合。

猜你喜欢
数据保护警务指令
涉外警务学二级学科构建的意义与可行性研究
基于抽象汇编指令的恶意软件家族分类方法
《单一形状固定循环指令G90车外圆仿真》教案设计
“一带一路”背景下涉外警务人才英语口语提升研究
新机研制中总装装配指令策划研究
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
浙江省嵊州市公安局甘霖派出所:推进警务管家+警务助理模式
湖北省武汉市公安局东西湖区分局:警务技能教官深入派出所培训实战技能
未成年人能不能上社交网络