源自《涉案协议》干预的正当性

二、源自《涉案协议》干预的正当性

接下来，欧洲法院对源自《涉案协议》的干预的正当性进行了分析。欧洲法院认为，《宪章》第7条保障每个人均享有其私人和家庭生活、居所和通信获得尊重的权利。《宪章》第8条第1款则明确赋予个人数据保护权。该权利要求在个人数据从欧盟传输至非欧盟成员国的情况下，欧盟法律所赋予的对基本权利和自由的高水平保护能够继续。即使旨在确保该保护水平而采取的措施，有别于欧盟为确保满足欧盟法律的要求而采取的措施，这些措施亦需在实践中被证明是有效的，以确保相关保护与欧盟所保障的保护实质相同。

需予指出的是，根据《宪章》“序言”部分第4条的规定，有必要“根据社会变迁、社会进步和科技发展之情形，加强对基本权利的保护”。但是，《宪章》第7和8条所规定的权利并非绝对权利，而是必须根据其在社会中的功能予以考量。

还应指出的是，根据《宪章》第8条第2款的规定，个人数据必须“出于特定目的并基于相关个人的同意或法律规定的其他合法理由”而予以处理。此外，根据《宪章》第52条第1款第1段的规定，对《宪章》规定的权利和自由的行使之任何限制都必须由法律规定，并尊重这些权利和自由的本质。根据《宪章》第52条第1款第2段的规定，依据比例原则，此类限制只有在具备必要性，并确实符合欧盟所确认的总体利益目标或保护他人权利和自由的需要之际，始得为之。

欧洲法院认为，任何对基本权利行使的限制都必须由法律规定的要求，意味着允许干预这些权利的法律依据本身必须界定这些限制的范围。根据欧洲法院的判例，在欧盟境内对私人生活获得尊重的基本权利予以保护，要求有关个人数据保护的减损和限制只有在充分必要的情况下方可适用。为了满足该要求，导致该干预的相关立法必须制定清晰和准确的规则，以规范有关措施的范围和适用，并采取最低限度的保障措施，以便其数据被保留的个人拥有充分的保障，可以有效保护其个人数据免遭滥用的风险。该立法特别指出，在何种情况和条件下可以采取相关措施（该措施就该等数据的处理作出了规定），从而确保将干预限制在充分必要的范围之内。在个人数据受制于自动处理的情况下，对此类保障措施的需求将更为迫切。上述考量因素在系争事项涉及特殊种类的个人数据，即敏感数据的保护的情况下应特别予以适用。

（一）关于对《涉案协议》涵盖的旅客姓名记录数据进行处理的理由

关于将旅客姓名记录数据传输到加拿大，以及对该数据进行后续处理是否基于航空旅客的“同意”或《宪章》第8条第2款规定的“法律规定的其他合法理由”的问题，欧洲法院认为，根据《涉案协议》处理旅客姓名记录数据所追求的目标，与航空承运人收集该数据所追求的目标并不相同。鉴于此，该数据处理不能视为系基于航空旅客就以下事项，即航空承运人出于预订目的而收集旅客姓名记录数据所作出的同意。在此情形下，该数据处理需要航空旅客本身的同意或法律规定的其他合法理由。考虑到《涉案协议》中没有任何条款规定，将旅客姓名记录数据传输至加拿大以及对该数据进行后续处理必须获得相关航空旅客的同意。据此，有必要认定该协议是否构成《宪章》第8条第2款规定的“法律规定的其他合法理由”。

欧洲议会主张，《涉案协议》不属于《宪章》第8条第2款以及第52条第1款规定的“法律”，因为该协议在任何情况下都不构成“立法行为”。对此，欧洲法院认为，欧洲议会的主张缺乏依据，理由如下。

第一，《欧盟运行条约》第218条第6款反映了欧盟机构之间的内部分权，该款意图在制定欧盟内部措施的程序与达成国际协议的程序之间维持平衡，以确保欧洲议会和欧盟理事会根据该条约规定的机构平衡原则在特定领域享有相同的权利。基于要达成涵盖相关领域（根据《欧盟运行条约》第294条的规定，该领域适用欧盟内部的普通立法程序）的国际协议需要获得欧洲议会的批准。该协议由此可视为欧盟内部的立法行为。

第二，欧洲议会并未主张《涉案协议》不符合《宪章》第8条第2款以及第52条第1款就该协议所导致的干预所提出的可理解和可预见的要求。

综上，欧洲法院认定，本案所涉的向加拿大传输旅客姓名记录数据，系基于《宪章》第8条第2款规定的“法律规定的其他理由”进行。关于该理由是否合法的问题，欧洲法院认为，因此问题与《涉案协议》追求的目标是否欧盟所确认的总体利益目标不可分，所以，欧洲法院将在下文中对此问题予以审查。

（二）关于总体利益目标以及对相关基本权利的本质的尊重

欧洲法院指出，《涉案协议》旨在通过将旅客姓名记录数据传输至加拿大，并在打击恐怖主义犯罪和严重跨国犯罪的框架内对该数据予以使用，以确保公共安全。从欧洲法院的判例可以看出，该目标构成了欧盟的总体利益目标，并能够成为对《宪章》第7和8条所规定的基本权利进行干预的正当理由。此外，保护公共安全亦有助于保护他人的权利和自由。就此，《宪章》第6条规定，每个人不仅享有人身自由，而且享有人身安全。

关于《宪章》第7条规定的私人生活获得尊重这一基本权利的本质，即使旅客姓名记录数据在某些情况下可以揭示相关个人的私人生活的非常具体的信息，该信息仍然仅限于私人生活的某些方面，特别是与加拿大和欧盟之间的航空旅行有关的方面。关于《宪章》第8条规定的个人数据保护权的本质，《涉案协议》在第3条中限制了旅客姓名记录数据的处理目的，并在第9条中规定了确保旅客姓名记录数据的安全性、机密性和完整性，以及保护其免受非法访问和处理的规则。在此情况下，《涉案协议》所导致的干预已因欧盟的总体利益目标而变得正当，并且不会对《宪章》第7和8条所规定的基本权利的本质造成不利影响。

（三）《涉案协议》所涵盖的旅客姓名记录数据处理的适当性

关于将旅客姓名记录数据传输至加拿大，并在加拿大对该数据进行后续处理，对于确保公共安全这一目标而言是否适当的问题，欧洲法院认为，从欧盟委员会发送给欧盟理事会和欧洲议会的、关于向第三国传输旅客姓名记录数据的全球方案的报告可以看出，在航空旅客到达之前，对旅客姓名记录数据进行分析，从而对这些旅客所带来的风险进行评估，极大地便利并加快了安全和边境控制检查。此外，如同欧盟委员会在其书面意见中所指出的，根据加拿大边境服务局提供的信息，对旅客姓名记录数据的处理已使得该局在2014年4月—2015年3月，从2800万在欧盟与加拿大之间飞行的旅客中逮捕了178人。在这种情况下，将旅客姓名记录数据传输至加拿大并在加拿大对该数据进行后续处理，对于确保实现《涉案协议》所追求的与保护公共安全有关的目标可谓适当。

（四）关于《涉案协议》所导致的干预的必要性

关于《涉案协议》所导致的干预的必要性这一问题，欧洲法院认为，有必要根据欧洲法院的判例，审查这些干预是否仅限于充分必要的范围。同时，有必要审查该协议是否规定了清晰和准确的规则，对其所规定的有关措施的范围和适用予以规范。

1.《涉案协议》涵盖的旅客姓名记录数据

（1）对于应予传输的旅客姓名记录数据而言，《涉案协议》是否足够准确。就《涉案协议》涵盖的数据而言，欧洲法院认为，《涉案协议》应以清晰、准确的方式，对航空公司根据协议传输至加拿大的旅客姓名记录数据予以界定。尽管《涉案协议》附件中载明的19个旅客姓名记录数据的标题与《国际民用航空组织关于旅客姓名记录数据的指导方针》附录1一致，但需要指出的是，标题5提及了“可获得的常客和优惠信息（免费机票、升舱等）”，标题7则包括“所有可获得的联系信息（包括汇款人信息）”，这两个标题均未以足够清晰和准确的方式，对应予传输的旅客姓名记录数据予以界定。

具体而言，标题5使用的“等”这一用语表明，该标题并未明确应予传输的数据的范围。此外，从该标题的用语无法清楚地看出，该标题是仅涵盖客户忠诚度计划项下的航空旅客等级的相关信息，还是涵盖该计划项下进行的航空旅行和交易的所有信息。标题7使用的“所有可获得的联系信息”这一用语也没有充分明确应传输的数据的范围。特别是该标题既未明确其涵盖哪种类型的联系信息，也未明确该联系信息是否涵盖为相关航空旅客进行航班预订的第三方的联系信息、通过其可与航空旅客联系的第三方的信息或者在紧急情况进行相关通知的第三方的信息。

标题8与“所有可获得的付款/账单信息（不包括与信用卡或相关账户相联且与相关旅行交易无关联的其他交易明细）”有关。该标题因使用了“所有可获得的信息”这一用语，因此显得特别宽泛。不过，考虑到该标题应视为仅涵盖与机票的付款方式和账单有关的信息，而不包括与相关航班不直接相关的任何其他信息，因此，应认定标题8满足了清晰和精确的要求。

标题17系“一般说明，包括其他补充信息（OSI）、特殊服务信息（SSI）和特殊服务请求信息（SSR）”。根据欧盟委员会所作的解释，该标题构成所谓的“自由文本”标题。鉴于除了《涉案协议》附件其他地方列明的信息之外，该标题还意图涵盖“所有补充信息”。因此，该标题未就应予传送的信息的性质和范围提供任何说明，该信息甚至可以包含与旅客姓名记录数据的传输目的完全无关的信息。此外，该标题使用“包含”这一用语表明，该标题所提及的信息系通过举例方式列明。因此，该标题未对可列于其下的信息的性质和范围设定任何限制。在此情况下，不能认定该标题已被充分地、准确地界定。

标题18与“为预订目的而收集的任何预报旅客信息数据”有关。根据欧盟理事会和欧盟委员会所作的说明，该信息与欧盟《2004/82号指令》第3条第2款中提及的信息相对应，即所使用的旅行证件的号码和类型、国籍、全名、出生日期、进入欧盟成员国领土的过境点、运输代码、运输的出发和到达时间、运送的旅客总数以及登机的起始地点等。只要该标题被解释为仅涵盖该条款中明确提及的信息，则该标题可视为满足了清晰和准确的要求。

欧洲法院强调，尽管《涉案协议》第4条第3款要求，在传输给加拿大的旅客姓名数据未在该协议附件中列明的情况下，加拿大应删除该类数据，但这并不能弥补标题5、7和17在准确性方面的不足。由于该附件本身并未以足够清晰和准确的方式，对拟传输的旅客姓名记录数据予以限制。因此，《涉案协议》第4条第3款的规定无法解决拟传输的旅客姓名记录数据的不确定性问题。在此情况下，就拟传输至加拿大的旅客姓名记录数据而言，《涉案协议》附件的标题5、7和17并未以足够清晰和准确的方式，就该协议对《宪章》第7、8条规定的基本权利的干预范围予以限制。

（2）敏感数据。关于《涉案协议》第2条（e）项所规定的敏感数据的传输，该项规定将此类数据界定为任何显示“种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格”的信息，或有关“个人的健康或性生活”的信息。尽管该协议附件载明的19个标题中，没有一个明确提及这种性质的数据，但此类数据仍属于标题17的范围之内。此外，《涉案协议》第8和16条规定了有关敏感数据的使用和保留的具体规则，而这意味着该协议的当事方已对将此类数据传输至加拿大予以接受。

需指出的是，与《涉案协议》第2条（e）项规定的一类或多类敏感数据相关，并且不考虑相关旅客的个人行为，但是却考虑了旅客姓名记录数据的处理目的，即打击恐怖主义和严重跨国犯罪的任何措施，均将侵犯《宪章》第7、8和21条所保障的权利。考虑到相关数据处理违反《宪章》第21条规定的风险，将敏感数据传输至加拿大需要其他准确且特别充分的正当理由，这些理由需建立在打击恐怖主义和严重跨国犯罪以及保护公共安全的基础之上。但是，本案并不存在此种正当理由。

此外，还需指出的是，欧盟立法机关已在欧洲议会和欧盟理事会于2016年4月27日发布的《关于使用旅客姓名记录数据以预防、侦查、调查和起诉恐怖主义犯罪和严重犯罪的2016/681指令》（以下简称《2016/681指令》）第6条第4款、第7条第6款和第13条第4款中对处理敏感数据予以禁止。

基于上述理由，应认定《宪章》第7、8和21条以及第52条第1款既禁止将敏感数据传输至加拿大，也禁止欧盟与加拿大谈判达成有关加拿大当局使用和保留此类数据的条件。

2.旅客姓名记录数据的自动处理

欧洲法院注意到，传输至加拿大的旅客姓名记录数据，旨在根据预先建立的模型和标准以及与各种数据库的交叉核对，以自动化方式进行分析。而航空旅客对公共安全带来的风险评估系在这些旅客到达加拿大之前，通过自动分析旅客姓名记录数据的方式进行。由于这些分析是基于未经核实的个人数据以及预先建立的模型和标准进行的，因此必然存在一些错误，而该错误的程度似乎是显著的。

关于自动处理旅客姓名记录数据的后果，尽管《涉案协议》第15条规定，加拿大不得仅依据对旅客姓名记录数据的自动处理，而作出对旅客造成重大不利影响的任何决定。同时，该《协议》第3条界定了加拿大主管当局处理旅客姓名记录数据的目的，第7条则包含了适用于旅客姓名记录数据处理的非歧视条款。但是，旅客姓名记录数据自动分析所导致的对《宪章》第7和8条规定的权利的干预程度，本质上取决于预先建立的模型和标准以及该类数据处理所依据的数据库。因此，该预先建立的模型和标准应具体可靠，使得出相关结果（该结果针对的是那些可能被“合理怀疑”参与恐怖主义犯罪或严重跨国犯罪的个人，并且不具有歧视性）成为可能。同样，用于交叉核对旅客姓名记录数据的数据库必须是可靠的、最新的，并且仅限于加拿大在打击恐怖主义和严重跨国犯罪方面使用的数据库。

此外，如前所述，对旅客姓名记录数据进行自动分析必然产生一些错误，因此，根据《涉案协议》第15条的规定，对这些数据进行自动处理后获得的任何肯定结果都必须在采取对相关航空旅客产生不利影响的个别措施之前，通过非自动方式进行单独复查。鉴此，根据《涉案协议》第15条的规定，该措施不能完全和决定性地建立在旅客姓名记录数据自动处理的结果之上。

另外，为了确保预先建立的模型和标准、对这些模型和标准的使用，以及所使用的数据库在实践中没有歧视性且仅限于充分必要的情况，这些预先建立的模型和标准以及所使用的数据库的可靠性和实时性，应在考虑统计数据和国际研究结果的情况下，受制于《涉案协议》第26条第2款规定的有关执行该协议的联合审查。

3.处理旅客姓名记录数据的目的

（1）预防、侦查或起诉恐怖主义犯罪或严重跨国犯罪。《涉案协议》第3条第1款规定，旅客姓名记录数据只有出于预防、侦查、调查或起诉恐怖主义犯罪或严重跨国犯罪之目的，方可由加拿大主管机关处理。

就“恐怖主义犯罪”这一用语而言，《涉案协议》第3条第2款准确界定了该用语所涵盖的活动以及应视为“恐怖主义实体”的个人、团体和组织。同时，就“严重跨国犯罪”这一用语而言，《涉案协议》第3条第3款第一段通过要求相关犯罪应处以4年或4年以上剥夺自由的刑罚，从而清晰地界定了相关犯罪的严重程度。此外，关于这些犯罪的性质，该款规定因提及了“加拿大法律所界定的犯罪”，故应视为足够准确。最后，《涉案协议》第3条第3款第二段准确地说明了相关犯罪可视为具有跨国性质的不同情况。在此情形下，应认定《涉案协议》第3条第1—3款载明了清晰和准确的规则，并且这些规则限于充分必要的情形。(https://www.daowen.com)

（2）其他目的。《涉案协议》第3条第4款允许加拿大主管机关在特殊情况下，在有必要保护任何个人的切身利益之场合（例如死亡、重伤或重大公共卫生风险等，特别是国际公认的标准所要求的场合），对旅客姓名记录数据予以处理。此外，该《协议》第3条第5款（a）和（b）项授权加拿大逐一处理旅客姓名记录数据，以确保公共行政部门的监督或问责，并遵守法院发出的传票、令状或命令。

由于《涉案协议》第3条第4款将加拿大主管机关可以将旅客姓名记录数据（该数据系依据《涉案协议》收集）用于相关目的（该目的与《涉案协议》固有的目的，即打击恐怖主义和严重跨国犯罪无关）之情形限于保护个人的切身利益，该款规定由此以清晰、准确的方式界定了允许进行前述使用的情形。此外，鉴于《涉案协议》第3条第4款规定，加拿大主管机关只有在特殊情况下方可获得相关授权。据此，应认定该款规定载明了限于充分必要情况的规则。

相比之下，《涉案协议》第3条第5款（a）和（b）项有关加拿大可以处理旅客姓名记录数据的措辞过于含糊和笼统，故无法满足清晰和准确的要求。因此，《涉案协议》第3条第5款（a）和（b）项所载明的规则并未限于就实现《涉案协议》追求的目标而言系充分必要的情形。

4.《涉案协议》涵盖的加拿大机关

根据《涉案协议》第2条（d）项的规定，加拿大主管机关负责根据该协议接收和处理旅客姓名记录数据。根据《涉案协议》第5条的规定，加拿大主管机关被认为就前述数据处理确保了欧盟法律规定的充分的保护水平。此外，从该《协议》序言部分第15条可以清楚地看出，加拿大承诺其主管机关将遵守协议中载明的有关隐私和个人数据保护的保障措施。

尽管《涉案协议》并未载明加拿大主管机关的身份，但是该《协议》第30条第2款（a）项要求加拿大在协议生效之前将主管机关的身份通知欧盟委员会。因此，就加拿大主管机关的身份而言，该《协议》是足够清晰和准确的。

此外，应予指出的是，尽管《涉案协议》第18条第1款未详细说明加拿大主管机关有权依照该款规定向其披露旅客姓名记录数据的“加拿大其他政府机关”的身份。但是，从《涉案协议》第18条第1款（a）、（c）和（e）项可以清楚地看出，旅客姓名记录数据只能向“其职责与第3条规定的范围直接相关”的机关披露，若该披露“对于第3条所述的目的而言是必要的”，且若这些机关提供了“与本协议所述的保障同等的保护”。

就《涉案协议》第3条第5款、第6条第1—2款、第8条第3—5款、第12条第3款、第16条和第17条指定加拿大为负责处理这些条款中提及的旅客姓名记录数据的实体而言，应将这些条款理解为要么指定加拿大主管机关，要么指定该《协议》第18条所指的机关。据此，可以认定《涉案协议》的前述条款满足了清晰和准确的要求。

5.相关航空旅客

《涉案协议》涵盖了在欧盟和加拿大之间飞行的所有航空旅客的姓名记录数据。而无论是否存在相关旅客将给加拿大的公共安全带来风险的客观证据，这些旅客的姓名记录数据都将传输至加拿大，从而允许进行相关干预。

应予指出的是，旅客姓名记录数据受制于自动处理。该处理旨在识别公共安全面临的风险，即在该阶段不为主管部门所知的个人可能会出现，并因此需接受进一步的检查。就此而言，在旅客抵达加拿大之前，对旅客姓名记录数据进行自动处理便利并加快了安全检查，特别是在边境进行的安全检查。此外，如果将某类人员或某些地区排除在外，将阻止旅客姓名记录数据自动处理的目标，即通过核查旅客姓名记录数据，从而在所有航空旅客中识别出可能对公共安全带来风险的人员的实现，并使得规避上述核查成为可能。

此外，根据《芝加哥公约》第13条的规定，所有航空旅客必须在进入、离开或停留于缔约国领土之时，就其进入或离开该缔约国领土的行为遵守该国的法律和法规。根据该条规定，所有希望进出加拿大的航空旅客均应受到边境管制，并须遵守加拿大现行法律规定的进出条件。此外，由前述意见可见，通过旅客姓名记录数据识别将对公共安全带来风险的旅客是边境管制的一部分。因航空旅客受到边境管制，故希望进入加拿大并在加拿大停留的航空旅客须受制于对其旅客姓名记录数据的核查。

综上，欧洲法院认定，《涉案协议》允许将所有航空旅客的姓名记录数据传输至加拿大并未超出充分必要的限制。

6.旅客姓名记录数据的保留和使用

欧洲法院强调，为了保留从欧盟传输至加拿大的旅客姓名记录数据，以及《涉案协议》中提及的加拿大机关对这些数据的访问和使用仅限于充分、必要的情况，《涉案协议》应根据欧洲法院的判例制订清晰和准确的规则，指明加拿大机关在何种情况和条件下可以保留、访问和使用这些数据。

就个人数据的保留而言，相关法律必须持续满足客观标准，该标准应在拟保留的个人数据和该法律所追求的目标之间建立联系。

关于相关机关对合法保留的个人数据的使用，欧洲法院已经判决，欧盟法律不能仅要求将访问此类数据作为该法所追求的目标之一，而是应同时规定对此类数据的使用予以规制的实质性和程序性条件。

欧洲法院注意到，《涉案协议》第3条界定了加拿大主管机关使用旅客姓名记录数据的目的，第7条规定了非歧视条款，第15条规定了加拿大基于该数据的自动处理作出相关决定。同时，《涉案协议》第16条第1款规定，旅客姓名记录数据自加拿大收到之日起可由加拿大保留5年。第16条第3款规定，部分数据应在加拿大收到之日起30天或两年内予以屏蔽。由于这两款规定并未在相关旅客之间进行区分，因此其允许保留所有航空旅客的姓名记录数据。

此外，根据《涉案协议》第16条第4款的规定，如果有必要进行《协议》第3条规定的调查，则可以不再屏蔽数据。取消屏蔽将由少数经过特别授权的官员，或经加拿大主管机关首长事先许可的人或该首长特别委任的高级官员来进行。

接下来，欧洲法院基于上述认定，对《涉案协议》有关旅客到达加拿大之前、在加拿大停留期间以及离开加拿大之时或之后，其旅客姓名记录数据的保留和使用规定进行了分析。

（1）关于旅客到达加拿大之前，在加拿大逗留期间以及离开加拿大之时，其旅客姓名记录数据的保留和使用。首先，欧洲法院指出，《涉案协议》允许在整个保留期内将所有航空旅客的姓名记录数据用于《协议》第3条所提及的目的。

欧洲法院认为，旅客姓名记录数据便利了安全检查和边境管制检查。考虑到该数据的性质，出于前述检查目的而保留和使用该数据并不限于特定的航空旅客，也无法事先获得法院或独立行政机关的授权。据此，应认定只要航空旅客在加拿大境内或将要离开加拿大，则该数据和《涉案协议》所追求的目标之间的必要联系就已存在，该协议不会仅因其允许系统地保留和使用所有航空旅客的姓名记录数据而超出充分必要的限制。

同时，为核实预先建立的模型和标准（该模型和标准系处理旅客姓名记录数据的基础）的可靠性和实时性，或者为了确定用于旅客姓名记录数据处理的新模型和标准，从而系统性地使用旅客姓名记录数据，则与前述意见中提及的安全检查和边境管制检查直接相关，也应视为未超出充分必要的限制。

必须指出的是，无论在航空旅客到达加拿大之前对姓名记录数据进行自动分析的结果如何，航空旅客在加拿大停留期间，有可能发生加拿大主管机关拥有在此期间收集的相关信息，该信息显示有必要使用这些旅客的数据打击恐怖主义和严重跨国犯罪的情形。由于航空旅客系在其姓名记录数据经核实之后被允许进入加拿大领土，因此，在航空旅客于加拿大停留期间使用该数据，必须建立在能够证明该使用是正当的基础之上。根据欧洲法院的判例，该使用要求相关规则规定对该使用予以规制的实质性和程序性条件，以保护该等数据免遭滥用的风险。此类规则必须基于客观标准，以便界定《涉案协议》中提及的加拿大机关被授权使用旅客姓名记录数据的情形和条件。就此而言，如果存在有效证据，可以据以推断一个或多个航空旅客的姓名记录数据可能为打击恐怖主义和严重跨国犯罪提供助力，则使用这些数据未超出充分必要的限制。

此外，为了确保前述条件在实践中获得充分遵守，作为一般原则，除非存在有效成立的紧急情况，否则，在航空旅客于加拿大停留期间使用被保留的旅客姓名记录数据，必须由法院或独立行政机关事先进行审查。并且，该法院或独立行政机关的决定应基于主管机关在防止、侦查或起诉犯罪的程序框架内提交的附具理由的请求而作出。而如果《涉案协议》不符合前述条件，则该协议即未确保该协议提及的加拿大机关在航空旅客于加拿大停留期间，将其对旅客姓名记录数据的使用限于充分必要的情况。

（2）航空旅客离开加拿大之后，旅客姓名记录数据的保留和使用。一般而言，离开加拿大的航空旅客在进入加拿大和离开加拿大时会受到检查。这些旅客的姓名记录数据在其到达加拿大之前、在加拿大停留期间或离开加拿大之时也已经经过核实。在此情况下，只要该检查和核实未发现存在恐怖主义或严重跨国犯罪方面的客观证据，原则上这些旅客应视为没有风险。无论如何，从过去5年的情况无法明显地看出，较之未前往加拿大的人，所有前往加拿大旅行的航空旅客在其离开加拿大之后将产生更高的风险。因此，对于抵达加拿大以及至其离开加拿大之时均未发现此类风险的航空旅客，他们的旅客姓名记录数据与《涉案协议》所追求的目标之间似乎并不存在能够使得保留这些旅客的姓名记录数据成为正当的联系（即使仅仅是间接联系）。欧盟理事会和欧盟委员会就国际严重犯罪网络的平均周期，以及与这些网络有关的调查的持续时间和复杂性而向欧洲法院提出的意见并不能使得以下行为，即在所有航空旅客离开加拿大之后，出于有可能访问相关旅客姓名记录数据的目的而持续存储该数据（无论该数据是否与打击恐怖主义和严重的跨国犯罪有任何联系）成为正当。在此情形下，对所有已经离开加拿大的航空旅客的姓名记录数据进行持续存储并未限于充分必要的情形。但是，如果在特定案件中相关客观证据可以被确认，而基于该证据可以推断某些航空旅客即使离开加拿大仍可能在打击恐怖主义和严重跨国犯罪方面带来风险，则在这些旅客离开加拿大之后，仍然存储其旅客姓名记录数据是被允许的。

关于旅客姓名记录数据的使用，根据欧洲法院的判例，该使用必须基于客观标准，以便界定《涉案协议》中提及的加拿大机关访问该数据以及使用该数据的情况和条件。同时，除非存在有效成立的紧急情况，否则，该使用必须由法院或独立行政机关事先进行审查。并且，法院或独立行政机关的决定应基于主管机关在防止、侦查或起诉犯罪的程序框架内提交的附具理由的请求而作出。

关于被允许存储的旅客姓名记录数据的保留期限，尽管《涉案协议》第16条第1款规定的一般期限与《2006年协议》规定的期限相比延长了1.5年，但该《协议》第16条第1款规定的5年保留期并未超出就打击恐怖主义和严重跨国犯罪的目的而言充分必要的限制。

此外，《涉案协议》第9条第2款规定，加拿大应“在受访问控制保护的安全物理环境中”保存旅客姓名记录数据，即这些数据必须在加拿大保存。同时，《涉案协议》第16条第6款规定，加拿大应在旅客姓名记录数据保留期结束时销毁该数据，即该款要求加拿大有责任销毁这些数据。据此，可以认定，《涉案协议》的这些规定满足了清晰和精确的要求。

综上，欧洲法院认为，《涉案协议》并未确保在航空旅客离开加拿大之后，加拿大机关对旅客姓名记录数据的保留和使用限于充分必要的范围。

7.旅客姓名记录数据的披露

（1）向政府机关披露旅客姓名记录数据。《涉案协议》第18和19条允许加拿大主管机关向其他加拿大政府机关和第三国政府机关披露旅客姓名记录数据。只要此类披露事实上令这些机关能够访问该数据以及可能使用该数据，则该披露即应符合使用该数据的条件。此外，关于向第三国政府机关披露旅客姓名记录数据，《涉案协议》第19条第1款（e）项赋予了加拿大主管机关评估这些第三国所保障的保护水平的自由裁量权。

欧洲法院认为，将个人数据从欧盟传输至非欧盟成员国，只有在该国确保了对基本权利和自由的充分保护水平，且该保护水平与欧盟所保障的水平实质相同的情况下方可进行。此要求亦适用于《涉案协议》第19条中提及的加拿大向第三国披露旅客姓名记录数据的情况，以防止该协议规定的保护水平因个人数据传输至第三国而被规避，并确保欧盟法律所赋予的保护水平的持续性。在此情况下，此类披露要求欧盟与相关非成员国之间存在与《涉案协议》相同的协议，或者欧盟委员会根据《95/46指令》第25条第6款的规定作出相关决定，该决定不仅认定相关第三国确保了欧盟法律规定的充分的个人数据保护水平，而且也将旅客姓名记录数据拟传输的相关机关也包括在内。

若《涉案协议》第18和19条不符合前述要求，则该协议即未确保将加拿大主管机关向其他加拿大政府机关或其他第三国政府机关披露旅客姓名记录数据限制在充分必要的范围之内。

（2）向个人披露旅客姓名记录数据。《涉案协议》第12条第3款允许加拿大“在受限于合理的法律要求和限制……且适当考虑相关个人的合法利益的情况下披露相关信息”。但是，该协议并未限制可以披露的信息的性质，也未限制可以向其进行此种披露的人员，甚至未限制对该信息的使用。

此外，《涉案协议》未对“法律要求和限制”或“相关个人的合法利益”予以界定，也未要求向相关个人披露旅客姓名记录数据与打击恐怖主义和严重跨国犯罪有联系，或以司法机关或独立行政机关的授权为条件。在这种情况下，《涉案协议》第12条第3款的规定超出了充分必要的限制范围。