首页> 图书频道> 政法> 法学

判决

2026年01月16日
版权
判决

2014年4月8日,欧洲法院就本案作出判决。在判决中,欧洲法院认为,爱尔兰高等法院以及奥地利宪法法院提出的问题实质上是要求欧洲法院根据《宪章》第7、8和11条的规定,对《2006/24指令》的有效性进行审查。

欧洲法院认为,从《2006/24指令》第1条以及该指令“序言”部分第4、5、7、11、21和22条可以看出,该指令的主要目的是协调欧盟成员国有关公共电子通信服务或公共通信网络提供商保留某些数据(这些数据由该提供商生成或处理)的规定,以确保相关数据可以在尊重《宪章》第7和8条规定的权利的情况下,用于预防、调查、侦查和起诉严重犯罪(例如有组织犯罪和恐怖主义犯罪)。

欧洲法院注意到,《2006/24指令》第3条规定,公共电子通信服务或公共通信网络的提供商应保留该指令第5条中列明的数据,以便适格国家机关在必要时可以访问这些数据,这一规定涉及与《宪章》第7条规定的尊重私人生活和通信、《宪章》第8条规定的个人数据保护以及《宪章》第11条规定的尊重言论自由相关的问题。欧洲法院同时注意到,根据《2006/24指令》第3和5条的规定,公共电子通信服务或公共通信网络的提供商必须保留的数据,包括跟踪和识别通信来源及其目的地的必要数据;识别通信的日期、时间、时长和类型的必要数据;识别用户的通信设备的必要数据;识别移动通信设备的位置的必要数据;订阅者或注册用户的姓名和地址、主叫号码、被叫号码和网络服务IP地址等数据。这些数据使得识别通信用户的身份、相关通信手段以及识别通信时间和通信发生的地点成为可能。同时,这些数据还使得知晓该用户在特定时间内与某些人的通信频率成为可能。由此,这些数据作为一个整体,可以就其数据被保留的个人的私人生活得出非常精确的结论,例如,这些个人的日常生活习惯、永久或临时住所、日常或其他运动、所进行的活动以及这些个人的社会关系及其经常出入的社会环境等。在这种情况下,尽管从《2006/24指令》第1条第2款和第5条第2款的规定可以清楚地看出,该指令不允许保留通信的内容或使用电子通信网络查询的信息,但前述数据的保留仍可能会影响用户对该指令所涵盖的通信方式的使用,并因此影响他们行使《宪章》第11条所保障的言论自由。

同时,《2006/24指令》规定的因适格国家机关可能对相关数据进行访问而保留的数据直接和具体地影响了私人生活,并因此影响了《宪章》第7条所保障的权利。此外,该数据保留亦包括在《宪章》第8条的范围之内,因为其构成第8条规定的个人数据处理,并因此必须遵循该条规定的数据保护要求。尽管爱尔兰高等法院以及奥地利宪法法院在其先予裁决请求中提出了根据《宪章》第7条的规定用户的数据是否可以被保留的问题,但这些法院的请求也涉及《2006/24指令》是否满足了《宪章》第8条规定的个人数据保护要求的问题。鉴于此,为了回答爱尔兰高等法院以及奥地利宪法法院提出的问题,根据《宪章》第7和8条对《2006/24指令》进行审查是恰当的。

欧洲法院认为,《2006/24指令》第5条第1款通过要求保留该款列明的数据,并允许适格国家机关访问这些数据,从而减损了《95/46指令》和《欧盟电子隐私指令》就电子通信行业中的个人数据处理所建立的隐私权保护体系。《95/46指令》和《欧盟电子隐私指令》规定了通信和流量数据的保密性,以及当这些数据不再为通信传输所需时,删除这些数据或对这些数据进行匿名化处理的义务,除非这些数据为处理账单所需,且须限于必要的范围之内。考虑到在确定对隐私权的干预是否存在时,与私人生活相关的信息是否敏感信息或相关个人是否遭受任何形式的不便均联系不密切。因此,《2006/24指令》第3和6条要求公共电子通信服务或公共通信网络提供商承担的、在一定时期内保留与相关个人的私人生活及其通信有关的数据(例如该指令第5条中规定的数据)的义务,本身即构成对《宪章》第7条所保障的权利的干预。

此外,适格国家机关对数据的访问构成对权利的进一步干预。在此情形下,《2006/24指令》第4和8条(这两条规定了有关适格国家机关访问相关数据的规则)既构成对《宪章》第7条所保障的私人生活和通信获得尊重的权利的干预,也构成对《宪章》第8条所保障的个人数据保护权的干预。需要指出的是,《2006/24指令》对《宪章》第7和8条规定的基本权利的干预是广泛的,并因此必须被认定为是特别严重的。此外,这些数据在未告知订阅者或注册用户的情况下被保留并在之后被使用的事实可能会给这些订阅者和用户带来其私人生活遭受持续监视的感觉。

《宪章》第52条第1款规定,对《宪章》规定的权利和自由的行使之任何限制都必须由法律规定,并尊重这些权利和自由的本质。依据比例原则(the principle of proportionality),此类限制只有在具备必要性,并确实符合欧盟所确认的总体利益目标或保护他人权利和自由的需要之际,始得为之。

就隐私权和《宪章》第7条规定的权利的本质而言,尽管《2006/24指令》所要求的数据保留构成对这些权利的严重干预,但鉴于从该指令第1条第2款的规定可以看出,其不允许获知相关电子通信的内容。因此,前述数据保留并不会对这些权利的本质产生不利影响。同时,该数据保留亦不会对《宪章》第8条所规定的个人数据保护权产生实质上的不利影响,因为《2006/24指令》第7条在数据保护以及数据安全方面规定,在不损害依照《95/46指令》和《2002/58指令》所作的相关规定的前提下,公共电子通信服务或公共通信网络的提供商必须遵守某些数据保护和数据安全的原则。根据这些原则,欧盟成员国应确保采取适当的技术和组织措施,以防止意外或非法损毁数据、意外遗失数据或篡改数据。

关于上述干预是否满足欧盟确认的总体利益目标的问题,《2006/24指令》旨在协调欧盟成员国有关公共电子通信服务或公共通信网络提供商保留某些数据(这些数据由该提供商生成或处理)的义务之规定。从该《指令》第1条第1款的规定来看,该《指令》的实质目标是确保相关数据可被获取,以用于调查、发现和起诉各欧盟成员国在其法律中定义的严重犯罪。因此,该指令的实质目标是为打击严重犯罪和维护公共安全提供助力。而从欧洲法院的判例可以清楚地看出,为维护国际和平与安全而与国际恐怖主义作斗争已构成欧盟确认的总体利益目标。同时,为确保公共安全而与严重犯罪作斗争也构成欧盟确认的总体利益目标。

就此,需强调的是,《宪章》第6条规定,任何人不仅有权享有自由,而且还有权享有安全。同时,由《2006/24指令》“序言”部分第7条可见,由于电子通信提供的选择大大增加,欧盟司法和内政委员会于2002年12月19日认定,与电子通信的使用有关的数据特别重要,这些数据可有效预防和打击犯罪,是防范有组织犯罪的宝贵工具。据此,应认定《2006/24指令》有关保留相关数据以使适格国家机关能够访问这些数据的要求,确实满足了欧盟确认的总体利益目标。在此情况下,有必要对相关干预是否符合比例原则进行审查。(https://www.daowen.com)

根据欧洲法院的判例,比例原则要求欧盟机构的行为与实现相关立法所追求的合法目标相当,并且不超过就实现这些目标而言是适当和必需的限制。关于对这些条件是否已得到满足而进行的司法审查,欧洲法院认为,在系争问题涉及对基本权利的干预的情况下,欧盟立法机关的自由裁量权范围可能是有限的,具体取决于多种因素,特别是涉及的领域、《宪章》保障的系争权利的性质、干预的性质和严重程度以及干预所追求的目标等。在本案中,考虑到个人数据保护所起的重要作用,同时结合私人生活获得尊重的基本权利以及《2006/24指令》对该权利的干预程度和严重性,欧盟立法机关的自由裁量权应予削减,其结果是对该自由裁量权应予严格审查。

关于保留相关数据对实现《2006/24指令》所追求的目标是否恰当的问题,考虑到电子通信方式日益重要,同时考虑到根据该指令必须保留的数据使得负责刑事起诉的欧盟成员国机关能够有更多机会确定严重犯罪,故应认定保留此类数据对于实现《2006/24指令》所追求的目标是适当的。此认定并不因为以下事实,即目前存在未包括在《2006/24指令》规制范围之内或者允许匿名通信的若干电子通信方式而存在问题。尽管该事实限制了保留数据这一方法实现相关目标的能力,但是,该事实并未使该方法变得不当。

关于《2006/24指令》所要求的保留数据的必要性问题,尽管与严重犯罪特别是有组织犯罪和恐怖主义的斗争对于确保公共安全确实至关重要,而且其有效性在很大程度上取决于现代调查技术的运用。但是,此类总体利益目标,无论多重要,本身并不能证明相关数据保留措施(例如《2006/24指令》确立的数据保留措施)为上述斗争所需。鉴于就私人生活获得尊重的权利而言,根据欧洲法院的判例,对该权利的保护要求有关个人数据保护的减损和限制只有在充分必要的情况下方可适用。同时考虑到《宪章》第8条第1款规定的个人数据保护对于《宪章》第7条规定的私人生活获得尊重的权利尤为重要。因此,相关欧盟立法必须制定清晰和准确的规则,以规范有关措施的范围和适用,并采取最低限度的保障措施,以便其数据被保留的个人拥有充分的保障,可以有效地保护其个人数据免遭滥用的风险,并免遭任何非法访问和使用。而在个人数据根据《2006/24指令》的规定受制于自动处理,并且存在非法访问这些数据的重大风险的情况下,对此类保障措施的需求将更为迫切。

关于《2006/24指令》导致的干预是否限于“充分必要”的范围之内的问题,欧洲法院注意到,根据该《指令》第3条和第5条第1款的规定,该指令要求保留与固定电话、移动电话、网络访问、电子邮件和网络电话有关的所有流量数据。因此,《2006/24指令》导致的干预在电子通信的所有方式中均存在。考虑到这些方式的使用非常广泛,且其在人们的日常生活中日益重要。同时考虑到根据《2006/24指令》第3条的规定,该指令涵盖所有用户。因此,该指令实际上干预了欧洲人民的基本权利。

欧洲法院还注意到,第一,《2006/24指令》以宽泛的方式涵盖了所有个人、电子通信方式以及流量数据,而未依据打击严重犯罪的目标作出任何区别、限制或例外。除了因其存在(即使是间接存在)将导致刑事起诉的情形,其数据被保留的个人之外,《2006/24指令》对使用电子通信服务的所有人均产生了广泛影响,该指令甚至适用于没有证据表明他们的行为可能与严重犯罪有联系,或者只是有间接或微乎其微联系的人。此外,该指令未规定任何例外情形,其结果是该指令甚至适用于根据欧盟成员国法律其通信须受限于职业保密义务的人员。另外,《2006/24指令》在寻求为打击严重犯罪提供助力的同时,并未要求应予保留的数据与对公共安全的威胁之间存在任何关系,特别是该指令未将相关保留限于:①有关特定期限和(或)特定地理区域可能以这种或那种方式涉及严重犯罪的特定人群的数据;②由于其他原因,通过保留其数据可能有助于预防、侦查或起诉严重犯罪的个人。

第二,《2006/24指令》不仅不存在相关限制,而且也没有规定任何客观标准以确定适格国家机关出于预防、侦查或起诉严重犯罪的目的访问及后续使用相关数据的限制。相反,《2006/24指令》仅在第1条第1款中宽泛提及了严重犯罪,并规定严重犯罪将由欧盟成员国在其国内法中界定。此外,《2006/24指令》未包含有关适格国家机关访问和后续使用相关数据的实质性和程序性条件。该《指令》第4条规定了适格国家机关对保留数据的访问,但没有明确规定该访问以及对相关数据的后续使用必须严格限于预防、侦查严重犯罪(该严重犯罪已被准确定义)或者进行相关起诉的目的。该指令仅仅规定,每一欧盟成员国应明确规定依照必要性和比例要求访问被保留数据所须遵循的程序和所须满足的条件。尤其值得一提的是,《2006/24指令》没有规定任何客观标准,以将被授权访问及后续使用被保留数据的人员的数量限于就该指令所追求的目标而言充分必要的范围。而且,适格国家机关对被保留数据的访问,并非基于法院或独立行政机关的事先审查而进行。而一方面,这些法院或行政机关的决定旨在将对相关数据的访问及其后续使用限于为实现所追求的目标充分必要的范围之内;另一方面,这些法院或行政机关将在收到适格国家机关在预防、侦查或起诉的程序中提交的、附具相关理由的请求之后介入。此外,《2006/24指令》亦未要求欧盟成员国承担就上述限制作出规定的义务。

第三,关于数据保留期限,《2006/24指令》第6条仅要求相关数据至少保留6个月,而未针对该指令第5条规定的数据,基于这些数据就所追求的目标或就相关人员而言所具有的可能用途,对这些数据进行区分。此外,相关数据保留期限虽设定为6—24个月,但该指令并未载明该期限的确定必须基于客观标准,以确保该期限限于充分必要的范围之内。

综上,《2006/24指令》并未制定清晰和准确的规则,对干预《宪章》第7和8条规定的基本权利的程度予以规制。据此,应认定《2006/24指令》对欧盟法律秩序中的上述基本权利进行了广泛的特别严重的干预,该干预未被相关规定准确限制,从而限于充分必要的范围之内。

此外,关于与被保留数据的安全性和保护相关的规则,欧洲法院认为,《2006/24指令》并未依照《宪章》第8条的要求提供充分的保障,以确保有效保护被保留的数据,防止滥用风险以及对这些数据的任何非法访问和使用。一方面,《2006/24指令》第7条未规定特定的适用于:①该指令要求保留的大量数据;②该数据的敏感性质;③非法访问该数据的风险的规则,特别是,该指令没有规定能够以清晰和严格的方式规制相关数据的保护和安全,以确保其完整性和机密性的规则。此外,该指令也没有明确欧盟成员国规定此类规则的具体义务。结合《欧盟电子隐私指令》第4条第1款、《95/46指令》第17条第1款第2段的规定,《2006/24指令》第7条未能确保公共电子通信服务或公共通信网络提供商通过技术和组织措施提供高水平的保护和安全性,而是允许这些提供商在确定其适用的安全水平时,在实施安全措施的成本方面考虑相关经济因素。尤其值得注意的是,《2006/24指令》并未确保在数据保留期结束时,对数据进行不可逆的销毁。另一方面,《2006/24指令》并未要求在欧盟境内保留相关数据,其结果是,《宪章》第8条第3款规定的由独立机构对被保留数据的安全性和保护所进行的监控并未获得保障。而根据欧盟法律进行的这种监控,是在个人数据处理方面保护相关个人的重要组成部分。

综上,应认定欧盟立法机关在制定《2006/24指令》时已经超越了比例原则所施加的限制。在这种情况下,根据《宪章》第11条审查《2006/24指令》的有效性已无必要。据此,欧洲法院判决,对于爱尔兰高等法院以及奥地利宪法法院提出的问题的答复是:《2006/24指令》无效。